Der gerade erschienene „Data Breach Investigations Report“ (DBIR) von Verizon bietet seit nunmehr 12 Jahren interessante Einblicke in die aktuellen Trend in der Bedrohungslandschaft. Für den aktuellen Report wurden 32.000 „Vorfälle“ und fast 4.000 Diebstähle weltweit analysiert. Ganz allgemein fällt auf, dass 70% der Diebstähle im letzten Jahr von Tätern ausserhalb des Unternehmens begangen wurden – dies widerspricht der der weit verbreiteten Meinung, Innentäter seien die Hauptakteure. Weitere 22% wurden durch menschliche Fehler möglich. Zwei Haupttrends lassen sich aus dem Bericht herauslesen.
Zum einen steigt die Zahl der Cloud-Assets, die von Einbrüchen betroffen sind: In etwa einem Viertel (24%) dieser Vorfälle sind Bestandteile von Cloud-Systemen oder Services mit involviert. In den meisten Fällen (73%) wurde ein Email- oder Web-Anwendungsserver ins Visier genommen und bei 77% der Events nutzten die Angreifer vorher gestohlene Login-Informationen. Persönliche Daten sind immer häufiger betroffen, oder zumindest werden diese Diebstähle aufgrund gesetzlicher Bestimmungen öfter gemeldet. Bei 58% der Verstösse waren personenbezogene Daten beteiligt, fast doppelt so viel wie letztes Jahr.
Diese große Beliebtheit von Phishing-Angriffen erklärt Verizon damit, dass Cyberkriminelle immer den schnellsten und einfachsten Weg für eine Kompromittierung wählen. Dies stimmt mit den Beobachtungen von Trend Micro überein. Der „Cloud App Security Report 2019“ zeigte einen jährlichen 35-prozentigen Anstieg der Credential Phishing-Versuche ab 2018.
86% der Übergriffe waren finanziell motiviert, wenngleich Spionage und fortgeschrittene Bedrohungen am meisten Aufsehen erregten. Der Credential-Diebstahl, Angriffe über Social Engineering (d.h. Phishing und Business Email Compromise) und Fehler verursachten die Mehrzahl der Einbrüche (67% oder mehr). Ransomware machte 27% der Malware-Vorfälle aus, und 18% der Unternehmen blockten mindestens eine Ransomware.
Auch erweitert sich die unternehmensweite Angriffsfläche, weil immer mehr Geschäftsprozesse und Daten in Cloud-Systeme migriert werden. Deshalb wird es für Unternehmen immer wichtiger, vertrauenswürdige Sicherheitspartner zu finden, die sie dabei unterstützen, den nativen Schutz zu verbessern, den Cloud Service Provider anbieten.
Zum anderen stellt der DBIR eine steigende Tendenz zu Cloud-basierten Datendiebstählen aufgrund von Fehlkonfigurationen fest. Der Bericht geht davon aus, dass 22 % der Einbrüche aufgrund von menschlichen Fehlern möglich waren, viele davon eben durch Konfigurationsprobleme. Typischerweise werden Cloud-Datenbanken oder Dateispeichersysteme infolge eines Fehlers eines Auftragnehmers oder Inhouse IT-Admins im Internet exponiert.
Der langfristige Trend geht in Richtung einer stärkeren Migration in die Cloud, einer höheren Abhängigkeit von Web-Anwendungen für das Arbeiten an Remote-Standorten und zu mehr Komplexität, da Unternehmen in hybride Systeme von mehreren Anbietern investieren. Das bedeutet ein potenziell höheres Cyberrisiko, das CISOs meistern müssen.
Sicherheitsempfehlungen
In erster Linie sind gerade Cloud-Verantwortliche gut beraten, ein tiefes Verständnis dafür zu entwickeln, wie ihre Unternehmen die Cloud nutzen, um die passenden Sicherheitsrichtlinien und -standards zusammen mit durchsetzungsfähigen Rollen und Verantwortlichkeiten festlegen zu können. Des Weiteren sind Schulungen und Awareness-Programme für Mitarbeiter wichtig. Zudem sollten Best Practices befolgt werden, so etwa die Anwendung von Multi-Faktor-Authentifizierung bei Mitarbeiterkonten, Richtlinien für den Zugang mit den geringsten Privilegien und mehr.
Sicherheitslösungen wie Cloud App Security verbessert den Built-in-Schutz in Office 365, G Suite und für Cloud Dateisharing-Dienste, weil die Lösung Malware und Phishing-Versuche blocken kann. Trend Micro Cloud One – Conformity wiederum liefert automatisierte Sicherheits- und Compliance-Prüfungen, um Fehler bei der Konfiguration zu vermeiden und Cloud Security Posture Management nach Best Practices zu ermöglichen.
Bedrohungsakteure finden permanent neue Wege, um ihre Malware an Verteidigungsmechanismen vorbei zu schleusen. So fanden die Sicherheitsforscher Angriffe der Netwalker Ransomware mit Malware, die nicht kompiliert sondern mit PowerShell verfasst ist und direkt im Hauptspeicher ausgeführt wird, ohne das tatsächliche Ransomware Binary auf Platte speichern zu müssen. Damit wird diese Variante zur dateilosen Bedrohung, die in der Lage ist, sich persistent in Systemen festzusetzen und ihre Entdeckung zu vermeiden, indem sie schon vorhandene Tools missbraucht, um die Angriffe zu starten.
Diese Art der Bedrohung setzt auf eine Technik namens Reflective (deutsch auch Reflexion oder Introspektion) Dynamic-Link Library (DLL) Injection, auch als Reflective DLL Loading bekannt. Die Technik ermöglicht das Einschleusen einer DLL aus dem Hauptspeicher statt von der Platte. Damit ist die Technik unsichtbarer als die übliche DLL Injection. Nicht nur die eigentliche DLL-Datei auf der Festplatte ist nicht erforderlich, sondern auch der Windows-Loader zum Einschleusen wird nicht gebraucht. Dadurch muss die DLL nicht als geladenes Modul eines Prozesses registriert werden und die Malware kann DLL-Load-Monitoring-Tools umgehen.
Trend Micros Sicherheitsforscher stellten schon früher fest, dass Cyberkriminelle diese Technik für die Installation der ColdLock-Ransomware einsetzten. Nun verwendete die gleiche Angriffsmethode die dateilose Ransomware Netwalker. Die technischen Einzelheiten zum Angriff liefert der Originalbeitrag.
Fazit und Empfehlungen
Reflective DLL Injection erschwert die Erkennung von Ransomware-Angriffen und auch deren Untersuchung durch Sicherheitsanalysten. Als dateilose Bedrohung steigt das Risiko von Ransomware-Angriffen noch weiter, weil die Malware persistent auf den Systemen bleibt und Verteidigungsmassnahmen umgehen kann.
Der Schutz vor kombinierten Bedrohungen, die mehrere Techniken einsetzen, erfordert eine mehrschichtiges Sicherheitskonzept, das Endpunkte effizient schützt, so etwa durch Sicherheitslösungen, die Verhaltensüberwachung und verhaltensbasierte Erkennung einsetzen.
Die folgenden Empfehlungen können dazu beitragen, Ransomware-Angriffe zu verhindern:
Regelmässiges Backup der kritischen Daten, um die Auswirkungen eines Ransomware-Angriffs zu minimieren.
Aufbringen der neuesten Software-Patches der Betriebssystem- und Drittanbieter.
Befolgen von Email- und Website-Sicherheitsrichtlinien.
Warnungen an IT-Sicherheitsteam senden, wenn Mitarbeiter verdächtige Emails und Dateien finden.
Einführen von Anwendungs-Whitelisting auf den Endpunkten, um unbekannte oder unerwünschte Apps zu blocken.
Regelmässige Schulungen für Mitarbeiter zu den Gefahren des Social Engineering.
Sichere Nutzung von PowerShell mithilfe deren Logging-Fähigkeiten zur Überwachung verdächtigen Verhaltens.
Nutzen von PowerShell-Befehlen wie ConstrainedLanguageMode, um Systeme gegen bösartigen Code abzusichern.
Konfigurieren von Systemkomponenten und Deaktivieren der nicht genutzten und veralteten, um mögliche Eintrittspunkte zu blocken.
Keine Dateien aus unbekannten Quellen herunterladen oder ausführen.
Zudem sollten Unternehmen Sicherheitslösungen einsetzen, die Verhaltens-Monitoring bieten:
Trend Micro Apex One™ – setzt auf Verhaltensanalyse, die vor bösartigen Skripts, Einschleusen, Ransomware und Angriffen über den Browser oder aus der Memory schützen kann.
Trend Micro Worry-Free Services – Umfasst Verhaltensmonitoring, um Skript-basierte, dateilose Bedrohungen zu erkennen und Malware zu blocken, bevor sie ein System kompromittieren kann.
Unternehmen sind gerade dabei, ihre digitale Transformation auf den Weg zu bringen. Dabei setzen sie auf Vielfalt der heutzutage verfügbaren Cloud-basierten Technologien. Für Chief Security Officer (CSO) und Cloud-IT-Teams kann sich die Verwaltung der Cloud-Computing-Sicherheit für eine bestimmte Installation zuweilen schwierig gestalten, und das gerade wegen der Benutzerfreundlichkeit, Flexibilität und Konfigurierbarkeit von Cloud-Diensten. Administratoren müssen ein Verständnis dafür entwickeln, wie ihre Unternehmen die Cloud nutzen, um die passenden Sicherheitsrichtlinien und -standards zusammen mit durchsetzungsfähigen Rollen und Verantwortlichkeiten festlegen zu können.
Herkömmliche netzwerkbasierte Sicherheitstechnologien und -mechanismen lassen sich nicht einfach nahtlos in die Cloud migrieren. Gleichzeitig aber sind die Sicherheitsprobleme, vor denen ein Netzwerkadministrator steht, meist gleich: Wie lässt sich ein unbefugter Zugriff auf das Netzwerk verhindern und Datenverluste vermeiden? Wie kann die Verfügbarkeit sichergestellt werden? Wie lässt sich die Kommunikation verschlüsseln oder Teilnehmer in der Cloud authentifizieren? Und schliesslich wie kann das Sicherheits-Team Bedrohungen leicht erkennen und Schwachstellen in Anwendungen aufdecken?
Geteilte Verantwortlichkeiten
Eigentlich hat Amazon die Konzepte „Sicherheit der Cloud“ versus „Sicherheit in der Cloud“ eingeführt, um die gemeinsame Verantwortung von Anbietern und Kunden für die Sicherheit und Compliance in der Cloud zu klären. Anbieter sind hauptsächlich für den Schutz der Infrastruktur verantwortlich, in der alle in der Cloud angebotenen Services ausgeführt werden. Des Weiteren bestimmt eine gestaffelte Skala je nach dem gekauften Cloud-Service die direkten Verantwortlichkeiten des Kunden.
Praktisch bestimmen die verschiedenen Cloud Service-Modelle — Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS) – welche Komponenten (von der physischen Infrastruktur, die die Cloud hostet, bis zu den Daten, die in der Cloud erstellt, verarbeitet und gespeichert werden) in der Verantwortung des Betreibers und welche in der des Kunden liegen, und wer demzufolge für die Sicherheit zu sorgen hat.
In einem PaaS-Modell wie Google App Engine, Microsoft Azure PaaS oder Amazon Web Services Lambda, kaufen Entwickler die Ressourcen für das Erzeugen, Testen und Ablaufen von Software. Daher sind sie als Nutzer generell für Anwendungen und Daten verantwortlich, während der Anbieter für den Schutz der Container-Infrastruktur und des Betriebssystems sorgen muss – mit einem unterschiedlichen Mass an Verantwortung, je nach der erworbenen spezifischen Dienstleistung.
Bild 1. „Sicherheit der Cloud“ versus „Sicherheit in der Cloud“
Die Sicherheit der Cloud gehört zum Angebot des Cloud Providers. Dies wird durch vertragliche Vereinbarungen und Verpflichtungen, einschließlich Service-Level-Agreements (SLAs) zwischen dem Verkäufer und dem Kunden, sichergestellt. Leistungskennzahlen wie Betriebszeit oder Latenzzeit sowie Erwartungen hinsichtlich der Lösung eventuell auftretender Probleme, dokumentierter Sicherheitsfunktionen und unter Umständen sogar Strafen für mangelnde Leistung können in der Regel von beiden Parteien durch die Festlegung akzeptabler Standards gemanagt werden.
Die wichtigsten Herausforderungen für die Sicherheit
Unternehmen migrieren möglicherweise einige Bereiche in die Cloud, indem sie diese vollständig in der Cloud (auch bekannt als „cloud-nativ“) starten oder setzen ihre ausgereifte Cloud-basierte Sicherheitsstrategie um. Unabhängig davon, in welcher Phase sich ein Unternehmen auf seinem Weg in die Cloud befindet, sollten Cloud-Administratoren in der Lage sein, Sicherheitsoperationen durchzuführen, wie z.B. das Management von Schwachstellen, die Identifizierung wichtiger Netzwerkvorfälle, Incident Response aufzusetzen sowie Bedrohungsinformationen zu sammeln und entsprechende Maßnahmen festzulegen – und das alles unter Einhaltung der relevanten Industriestandards.
Verwalten der Komplexität
Cloud-Implementierungen greifen nicht auf dieselbe Sicherheitsinfrastruktur zu wie On-Premises-Netzwerke. Die Heterogenität der Dienste in der Cloud macht es schwierig, kohärente Sicherheitslösungen zu finden. Cloud-Administratoren müssen jederzeit versuchen, eine hybride Umgebung zu sichern. Die Komplexität der Aufgabe ergibt sich aus der Tatsache, dass die Risiken bei Cloud Computing je nach der spezifischen Cloud-Bereitstellungsstrategie variieren. Dies wiederum hängt von den spezifischen Bedürfnissen der Cloud-Benutzer und ihrer Risikobereitschaft bzw. der Höhe des Risikos ab, welches sie zu übernehmen bereit sind. Aus diesem Grund ist Risikobewertung wichtig, und zwar nicht lediglich gemäss der veröffentlichten Best Practices oder der Einhaltung von Vorschriften entsprechend. Compliance-Richtlinien dienen jedoch als Grundlage oder Rahmen, der dazu beitragen kann, die richtigen Fragen zu den Risiken zu stellen.
Übersicht erhalten
Infolge der Möglichkeit, Cloud-Dienste einfach zu abonnieren, geht der Wechsel innerhalb der Unternehmen immer schneller, und Kaufentscheidungen liegen plötzlich nicht mehr im Zuständigkeitsbereich der IT-Abteilung. Dennoch bleibt die IT-Abteilung weiterhin für die Sicherheit von Anwendungen, die mit Hilfe der Cloud entwickelt wurden, verantwortlich. Die Herausforderung besteht darin, wie sichergestellt werden kann, dass die IT-Abteilung jede Interaktion in der Cloud einsehen und sichern kann, und der Wechsel und Entwicklung trotzdem effizient bleiben.
Bedrohungsakteure nutzen diese Fehlkonfiguration für verschiedene bösartige Aktivitäten aus – von allgemeinen bis zu sehr gezielten Angriffen auf eine bestimmte Organisation als Sprungbrett in ein anderes Netzwerk. Auch über gestohlene Login-Daten, bösartige Container und Schwachstellen in einem der Software Stacks können sich Cyberkriminelle Zutritt zu Cloud-Implementierungen verschaffen. Zu den Cloud-basierten Angriffen auf Unternehmen zählen auch folgende:
Cryptojacking: Bedrohungsakteure stehlen Unternehmen Cloud-Computing-Ressourcen, um nicht autorisiertes Kryptowährungs-Mining zu betreiben. Für den aufkommenden Netzwerkverkehr wird das Unternehmen zur Kasse gebeten.
E-Skimming: Dabei verschaffen sich Kriminelle Zugang zu den Webanwendungen eines Unternehmens, um bösartigen Code einzuschleusen, der finanzielle Informationen der Site-Besucher sammelt und damit schliesslich dem Ruf des Unternehmens schadet.
Nicht autorisierter Zugang: Dies führt zu Datenveränderungen, -diebstahl oder -exfiltrierung. Der Zweck dieser Aktionen kann der Diebstahl von Betriebsgeheimnissen sein oder Zugang zu Kundendatenbanken, um die dort geklauten Informationen im Untergrund zu verkaufen.
Die zu sichernden Bereiche in der Cloud
Bei der Festlegung der Anforderungen an ihre Cloud, sollten Cloud Builder bereits von Anfang an Sicherheit mit berücksichtigen. So lassen sich die Bedrohungen und Risiken vermeiden. Durch die Absicherung jedes der folgenden Bereiche, sofern relevant, können IT-Teams aktuelle und zukünftige Cloud-Implementierungen sicher steuern.
Netzwerk (Traffic Inspection, Virtual Patching)
Ein kritischer Teil des Sicherheitspuzzles, die Netzwerkverkehrs-Inspektion, kann die Verteidigungslinie gegen Zero-Day-Angriffe und Exploits für bekannte Schwachstellen bilden sowie über virtuelles Patching schützen. Eine Firewall in der Cloud unterscheidet sich nur geringfügig von einer herkömmlichen, da die Hauptherausforderung bei der Ausführung darin besteht, die Firewall so zu implementieren, dass Netzwerkverbindungen oder vorhandene Anwendungen nicht unterbrochen werden, unabhängig davon, ob es sich um eine virtuelle private Cloud oder ein Cloud-Netzwerk handelt.
Bild 2. Netzwerksicherheit in der Cloud muss den gesamten Unternehmensverkehr „sehen“ können, unabhängig von dessen Quelle.
Cloud-Instanz (Workload-Sicherheit zur Laufzeit)
Die Begriffe in der Sicherheit und die Paradigmen ändern sich, um dem Verständnis der zu schützenden Komponenten Rechnung zu tragen. In der Cloud bezeichnet das Konzept der Workload eine Einheit von Fähigkeiten oder das Arbeitsaufkommen, das in einer Cloud-Instanz ausgeführt wird. Der Schutz von Workloads vor Exploits, Malware und unbefugten Änderungen stellt eine Herausforderung dar, da sie in Server-, Cloud- oder Container-Umgebungen ausgeführt werden. Workloads werden nach Bedarf dynamisch gestartet, aber jede Instanz sollte sowohl für den Cloud-Administrator sichtbar sein als auch durch eine Sicherheitsrichtlinie geregelt werden.
Bild 3. Workloads sollten auf Bedrohungen überwacht werden, unabhängig von ihrer Art oder dem Ursprung.
DevOps (Container-Sicherheit)
Der Container hat sich in den letzten Jahren zur zentralen Software-Einheit in Cloud-Services entwickelt. Durch die Verwendung von Containern wird sichergestellt, dass Software unabhängig von der tatsächlichen Computing-Umgebung zuverlässig ablaufen kann. Deren Replikation kann kompliziert werden, wenn beispielsweise bestimmte Codes, Werkzeuge, Systembibliotheken oder sogar Softwareversionen auf eine bestimmte Art und Weise da sein müssen.
Bild 4. Container bestehen aus verschiedenen Code Stacks und Komponenten und sollten nach Malware und Schwachstellen gescannt werden.
Insbesondere für Entwickler und Operations-Teams wird die Integration der Sicherheit während der Softwareentwicklung immer wichtiger, da zunehmend Cloud-first App-Entwicklung eingesetzt wird. Das bedeutet, dass Container auf Malware, Schwachstellen (auch in Softwareabhängigkeiten), Geheimnisse oder Schlüssel und sogar auf Compliance-Verletzungen gescannt werden müssen. Je früher diese Sicherheitsüberprüfungen während des Builds stattfinden, — am besten im Continuous-Integration-and-Continuous-Deployment-Workflow (CI/CD) — desto besser.
Applikationen (Serverlos, APIs, Web Apps)
Auf einigen serverlosen oder Container-Plattformen lässt sich traditionelle Sicherheit nicht einsetzen. Dennoch müssen einfache und komplexe Anwendungen selbst genauso gut gesichert werden wie die anderen Bereiche. Für viele Unternehmen stellt die schnelle und effiziente Programmierung und Bereitstellung neuer Anwendungen einen wichtigen Treiber für ihren Weg in die Cloud dar. Aber diese Anwendungen sind auch möglicher Eintrittspunkt für Laufzeitbedrohungen wie das Einschleusen von Code, automatisierte Angriffe und Befehlsausführung aus der Ferne. Finden Angriffe statt, so müssen Cloud-Administratoren auf die Details zugreifen können.
Dateispeicher
Unternehmen betrachten die Cloud hauptsächlich oder teilweise als Möglichkeit, Storage von den On-Premise-Servern dahin auszulagern. Cloud-Speicher für Dateien oder Objekte können zur Quelle für Infektionen werden, wenn aus irgendeinem Grund eine bekannte bösartige Datei hochgeladen wurde. Deshalb sollte Scanning für jede Art von Datei, unabhängig von deren Grösse, verfügbar sein und zwar idealerweise bevor sie gespeichert wird. Nur so lässt sich das Risiko minimieren, dass andere Nutzer auf eine bösartige Datei zugreifen und sie ausführen können.
Compliance und Governance
Datenschutzregularien wie die europäische Datenschutz-Grundverordnung (DSGVO), Industriestandards wie der Payment Card Industry Data Security Standard (PCI-DSS) und Gesetze wie Health Insurance Portability and Accountability Act (HIPAA) haben direkte Auswirkungen auf Unternehmen, die Daten vor allem in der Cloud verarbeiten und speichern. Cloud-Administratoren müssen die Compliance-Anforderungen mit den Vorteilen der Agilität der Cloud abgleichen. Dabei muss Sicherheitstechnologie Unternehmen die Gewissheit geben, dass ihre Installationen den besten Sicherheitspraktiken entsprechen; andernfalls können die Geldstrafen, die sich aus unbeabsichtigten Verstössen ergeben können, die Kosteneinsparungen leicht zunichtemachen.
Cloud-Sicherheitstechnologien
Bei so vielen „beweglichen“ Teilen muss ein Unternehmen, das über eine Cloud-Sicherheitsstrategie nachdenkt, darauf achten, die notwendigen Sicherheitstechnologien zu straffen, vom Schutz vor Malware und Intrusion Prevention bis hin zu Schwachstellenmanagement und Endpoint Detection and Response. Die Gesamtsicherheitslösung muss die Anzahl der Tools, Dashboards und Fenster, die als Grundlage für die IT-Analyse dienen, klein halten. Gleichzeitig muss sie in der Lage sein, die abstrakten Netzwerkgrenzen des ganzen Cloud-Betriebs des Unternehmens überzeugend zu visualisieren — unabhängig davon, ob eine Aktivität, wie z.B. die On-the-Fly-Tool-Entwicklung durch einen der Entwickler, von der IT bewilligt wurde oder nicht.
Trend MicroTM Hybrid Cloud Security kann beispielsweise DevOps-Teams dabei unterstützen, sicher zu entwickeln, schnell zu liefern und überall auszuführen. Die Lösung bietet funktionsstarke, schlanke, automatisierte Sicherheit innerhalb der DevOps Pipeline und liefert mehrere XGenTM Threat Defense-Techniken für den Schutz von physischen, virtuellen und Cloud-Workloads zur Laufzeit. Sie wird von der Cloud OneTM Platform unterstützt, die Unternehmen eine einheitliche Übersicht über die hybriden Cloud-Umgebungen liefert, sowie Sicherheit in Echtzeit durch Netzwerksicherheit, Workload-Sicherheit, Container-Sicherheit, Anwendungssicherheit, File Storage Security sowie Conformity-Dienste.
Unternehmen, die Security as Software für Workloads, Container Images sowie Datei- und Objektspeicher zur Laufzeit benötigen bietet Deep SecurityTM und Deep Security Smart Check Scans für Workloads und Container Images nach Malware und Schwachstellen während der Entwicklung-Pipeline.
Die Sicherheitsforscher von Trend Micro stiessen kürzlich auf einen von MalwareHunterTeam entdeckten Java Downloader, der offenbar in einer Phishing-Kampagne im Zusammenhang mit COVID-19 verbreitet wurde. Bei Ausführung der Datei wird eine neue, unbekannte Malware heruntergeladen, die in Node.js verfasst ist. Der Trojaner wurde „QNodeService“ benannt. Der Einsatz der Plattform Node.js ist ungewöhnlich für Autoren von Commodity-Schädlingen, denn sie ist in erster Linie für die Entwicklung von Webservern gedacht und somit potenziellen Opfermaschinen nicht vorinstalliert. Doch könnte gerade die Wahl dieser ungewöhnlichen Plattform dazu beigetragen haben, dass die Malware von Antivirus-Software nicht erkannt wurde.
Die Malware beinhaltet Funktionen für den Download/Upload sowie die Ausführung von Dateien, den Diebstahl von Login-Informationen aus Chrome sowie Firefox Browsern. Sie ist in der Lage, unter anderem Dateimanagement durchzuführen und zielt auf Windows-Systeme, wobei bestimmte Code-Teile darauf schließen lassen, dass sie künftig auch plattformübergreifend agieren wird. Die technischen Einzelheiten zum Angriffsablauf, dem Verhalten der Malware sowie Indicators of Compromise bietet der Originaleintrag.
Empfehlungen
Bedrohungsakteure entwickeln ständig neuartige Methoden, um dafür zu sorgen, dass ihre Malware so lange wie möglich viele Systeme betrifft, z. B. durch die Verwendung von Umgebungen, die weniger für die Erstellung von Malware genutzt werden, durch die Aufrechterhaltung der Persistenz und durch plattformübergreifende Kompatibilität. Um sich gegen solche Malware zu schützen, können Benutzer etwa mit folgenden Sicherheitslösungen verhindern, dass sie durch mögliche Eintrittspunkte wie Email, Endpunkte und Netzwerk angegriffen werden:
Für Email bietet Trend Micro™ Email Security KI-gestützte Erkennung und Sandboxing-Fähigkeiten, um sowohl Malware als auch bösartige URLs zu blocken.
Für Endpunkte liefert Trend Micro Apex One Möglichkeiten zur automatisierten Bedrohungserkennung mit Hilfe von ML sowohl vor als auch während der Ausführung.
Für Netzwerke unterstützt Trend Micro TippingPoint Threat Protection System die Sicherheit durch die Inspektion und das Blocken von Netzwerkverkehr in Echtzeit, um das Eindringen von Bedrohungen zu verhindern.
In Zeiten von Industrie 4.0 setzen Unternehmen zunehmend auf intelligente Fertigungstechnologien (Smart Manufacturing). Dies bringt zahlreiche Vorteile mit sich, wie z.B. eine höhere Produktivität bei geringeren Kosten, aber damit gehen auch neue Angriffsvektoren einher, über die Bedrohungsakteure in intelligenten Fertigungsanlagen Fuss fassen oder sich lateral bewegen können. Im aktuellen Bericht „Attacks on Smart Manufacturing Systems: A Forward-looking Security Analysis“ analysiert das Trend Micro Forward-Looking Threat Research Team in Zusammenarbeit mit dem Politecnico di Milano (POLIMI) die Angriffsoberflächen für Industrie 4.0 sowie die Vielfalt spezifischer Angriffe auf heutige Roboter und die möglichen Folgen der Angriffe.
Smart Manufacturing beruht auf einer engen Integration zwischen IT- und Operational Technology (OT)-Systemen. Enterprise Resource Planning (ERP)-Software hat sich in Richtung Supply Chain Management (SCM) weiterentwickelt, das über Unternehmens- und Ländergrenzen hinweg alle Arten von Input sammelt und Endprodukte, Zahlungen und Funktionalität auf globaler Ebene liefert.
Supply Chain und Softwareentwicklung in Industrie 4.0
Jede Synergie erfüllt ein Geschäftsziel: Optimierung knapper Ressourcen über verschiedene Quellen hinweg; Minimierung der Herstellungs-, Liefer- und Lagerhaltungskosten über Regionen hinweg, Kontinuität des Betriebs durch Diversifizierung der Lieferanten oder Maximierung des Verkaufs über mehrere Lieferkanäle. Die Supply Chain beinhaltet nicht nur Rohmaterialien für die Fertigung, sondern auch Zulieferer von Komponenten, externe Mitarbeiter für nicht zum Kerngeschäft gehörende Funktionen, Open-Source-Software zur Optimierung der Entwicklungskosten und Subunternehmer für die Ausführung spezieller Konstruktions-, Montage-, Test- und Vertriebsaufgaben. Jedes Element der Supply Chain stellt eine Angriffsfläche dar.
Softwareentwicklung ist seit langem eine Teamleistung. Nicht nur die Designs müssen im gesamten Team klar sein, auch das Testen erfordert eine enge Zusammenarbeit zwischen Architekten, Designern, Entwicklern und der Produktion. Teams identifizieren Geschäftsanforderungen und stellen dann eine Lösung aus Komponenten zusammen, die aus öffentlich zugänglichen Bibliotheken stammen. Diese Bibliotheken können weitere Abhängigkeiten von Fremdcode unbekannter Herkunft enthalten. Vereinfachtes Testen hängt von der Qualität der gemeinsam genutzten Bibliotheken ab, aber gemeinsam genutzte Bibliotheksroutinen können nicht entdeckte (oder absichtlich versteckte) Fehler aufweisen, die erst in einer anfälligen Produktionsumgebung zum Vorschein kommen. Wer testet GitHub? Das Ausmass dieser Schwachstellen ist gewaltig.
Industrieroboter als Gefahr
Innerhalb des Herstellungsbetriebs legt die Verschmelzung von IT und OT zusätzliche Angriffsflächen frei. Industrieroboter liefern ein deutliches Beispiel. Diese Präzisionsmaschinen sind darauf programmiert, anspruchsvolle Aufgaben schnell und fehlerfrei auszuführen. Programmierbare Roboter können verschiedene Materialkonfigurationen ohne Unterbrechungen produzieren. Sie werden überall in der Fertigung, im Lager, in Distributionszentren, in der Landwirtschaft, im Bergbau und bald auch in Lieferfahrzeugen eingesetzt. Die Supply Chain ist automatisiert worden.
Die Protokolle, von denen Industrieroboter abhängen, gehen von der Annahme aus, dass die Umgebung isoliert ist, und ein Controller die Maschinen an einem Standort steuert. Da die Verbindung zwischen dem Controller und den gesteuerten Robotern fest verdrahtet war, war eine Identifizierung des Operators oder eine Überprüfung der Nachricht nicht erforderlich. Jedes Gerät ging davon aus, dass alle seine Verbindungen extern verifiziert wurden. Die Protokolle enthielten keine Sicherheits- oder Datenschutzkontrollen. Dann übernahm Industrie 4.0 die drahtlose Kommunikation.
Die Angriffe
Zu den möglichen Eintrittspunkten für einen Angriff auf ein Smart Manufacturing-System zählen Engineering Workstations (ein von Domänen-Usern gemeinsam genutztes System, das mit der Produktionshalle verbunden ist), kundenspezifische industrielle Internet-of-things (IIoT)-Geräte mit besserer Automatisierungsflexibilität als klassische Automatisierungshardware wie PLCs oder auch Manufacturing Execution System (MES)-Datenbanken mit kritischen Daten (die DB ist implizit für den Rest des Systems vertrauenswürdig).
Dieser Wechsel zur drahtlosen Kommunikation, der die Kosten für die Kabelverlegung in der Fabrik einsparte, öffnete die Netzwerke für alle Arten von Angriffen. Die Bedrohungsakteure fälschen Befehle, modifizieren Spezifikationen, ändern oder unterdrücken Fehleralarme, modifizieren Ausgabestatistiken und schreiben Logs neu. Die Folgen können gewaltig und doch nahezu unbemerkt sein.
Sicherheitsempfehlungen
Unternehmen müssen konkrete Schritte unternehmen, um ihre Systeme zu schützen:
Auf Netzwerkebene sollte Deep Packet Inspection eingesetzt werden, die die wichtigen, relevanten OT-Protokolle unterstützt, um verdächtige Payloads zu entdecken.
Auf den Endpunkten sollten regelmässige Integritätsüberprüfungen stattfinden, um bei jeder modifizierten Softwarekomponente Alerts zu erhalten.
Für IIoT-Geräte sind Code-Signaturen erforderlich. Sie sollten sich jedoch nicht nur auf die endgültige Firmware beschränken, sondern auch alle anderen Abhängigkeiten einschliessen, um sie vor Bibliotheken Dritter zu schützen, die bösartige Funktionen verbergen könnten.
Die Risikoanalyse für Automatisierungssoftware sollte je nach Bedarf massgeschneidert werden. In Systemen, in denen z.B. kollaborative Roboter Seite an Seite mit Menschen arbeiten, sollte die Sicherheit auf der Firmware-Ebene implementiert werden.
Darüber hinaus ist es empfehlenswert, dass Unternehmen sich nicht nur vor aktuellen, sondern auch vor möglichen künftigen Bedrohungen schützen, indem sie das gleiche Level für die Sicherheitsvorkehrungen wählen, wie auch bei den sicheren Coding-Praktiken und Abwehrmassnahmen für Nicht-OT-Software wie mobile Anwendungen, Webanwendungen und Cloud-Umgebungen.
Der Wert eines Passworts liegt darin, einem User Zugang zu wichtigen Informationen und jeder Menge IT Diensten zu eröffnen. Jeder weiss das und natürlich auch Cyberkriminelle. Somit ist es wenig verwunderlich, dass der Diebstahl von Login-Daten, also „Credentials“, eines der Hauptthemen ist, mit denen sich die Akteure beschäftigen. Jetzt aber, wo die Zahl derer, die im Home Office arbeiten, sprunghaft gestiegen ist, haben die „Credential Phisher“ Hochkonjunktur. Nutzer können sich am besten dagegen wehren, wenn sie verstehen, wie ein solcher Angriff abläuft.
Bild 1. Top 10 Länder, in denen User mit Credential Phishing Angriffen mit Bezug auf Outlook oder Office 365 angegriffen wurden (Quelle Trend Micro)
Vorgehensweise
Der Erfolg eines Credential Phishing-Angriffs steht und fällt mit der Fertigkeit des Angreifers, sein Opfer davon zu überzeugen, ihm sein Passwort freiwillig zu übergeben, und – das ist wichtig – das Opfer darf nicht misstrauisch werden. Denn ein Passwort ist im Zweifel binnen Sekunden geändert. Ein Täter benötigt etwas, eine Seite oder ein Formular, wo User Passwörter eingeben können und ein Mittel, das keinen Argwohn weckt, wenn dies nicht sofort klappt.
Ein beliebtes Ziel sind deshalb vor allem Mail-Clients. Während der Mitarbeiter im Büro einfach nur Outlook öffnet, greift er speziell im Home Office auch mit Vorliebe auf die Webvarianten über den Browser zu und muss sich, um auf seinen Account zu kommen, entsprechend authentifizieren. Damit aber ist die erste Notwendigkeit erfüllt. Der Angreifer muss seinem Opfer lediglich eine Fake Web Client-Seite vorgeben – eine klassische Phishing Aufgabe.
Bild 2. Fake Microsoft Login-Seite
Die Sache hat allerdings einen Haken: Die „klassische“ Angriffs-Mail erhält ein Opfer nur bei aktivem Mail Client. Wie erreicht ein Angreifer also sein Opfer, denn niemand würde den wichtigen Link anklicken, um dann erneut seinen Mail Client aufzumachen …
Hier bedient sich der Angreifer eines „Workarounds“. Die Mail bewirbt offiziell die neueste und/oder interessanteste Nachricht eines News-Dienstes. Klickt der User den Link an, wird er auf genau diese Seite weitergeleitet und erhält dort auch die erwartete Information. Gleichzeitig wird allerdings eine zweite Seite geöffnet, die eigentliche Phishing-Seite mit einem Mail Client-Login und dem Hinweis, dass die aktuelle/letzte Session abgelaufen ist. Geht das Opfer nach einer Weile – die Nachricht zu lesen hat vermutlich Zeit gekostet – auf seinen Mail Client und gibt sein Passwort erneut ein, so erscheint die Nachricht, dass entweder Username oder Passwort falsch waren. Es erfolgt eine Umleitung zurück auf die Original Web Client-Seite. Nach erneuter Eingabe des Passworts erhält er auch seinen gewohnten Zugriff auf seine Mails. Die Episode ist bald vergessen. Timeouts von Webseiten sind jedem vertraut und jeder hat sich schon einmal bei der Passworteingabe vertippt.
Aktualität
Das genannte Beispiel gibt es in zahlreichen Facetten. Natürlich ist Office365 dabei aber auch andere Applikationen speziell Online Meeting Plattformen wie Zoom oder Webex stehen im Fokus. Die Methode selbst wurde ursprünglich von der politisch motivierten Gruppe Pawnstorm (APT28, Fancy Bear) genutzt, um Angriffe auf höchste politische Kreise zu launchen. So steht Pawnstorm für die Angriffe auf die Demokratische Partei (2016), den Bundestag (2015/17) sowie eine Reihe weiterer politischer Angriffe.
Um mit den besseren Sicherheitsmassnahmen Schritt zu halten, entwickeln cyberkriminelle Akteure immer bessere Techniken, mit deren Hilfe sie der Entdeckung entgehen können. Eine der erfolgreichsten Umgehungstechniken sind dateilose Angriffe, die keine bösartige Software erfordern, um in ein System einzudringen. Anstatt sich auf ausführbare Dateien zu verlassen, missbrauchen diese Bedrohungen Tools, die sich bereits im System befinden, um die Angriffe zu initiieren.
Im Sicherheitsbericht für 2019 stellt Trend Micro fest, dass dateilose Bedrohungen immer häufiger werden. Durch die Nachverfolgung nicht dateibasierter Indikatoren und mittels Technologien wie Endpoint Detection-and-Response hat der Anbieter im vergangenen Jahr mehr als 1,4 Millionen dateilose Sicherheitsvorkommnisse blockiert. Dieser Trend war zu erwarten angesichts der Möglichkeiten der Verschleierung und Persistenz, die dateilose Bedrohungen einem Angreifer bieten.
Funktionsweise von dateilosen Angriffen
Der Begriff „dateilos“ legt nahe, dass die Bedrohung oder Technik keine Datei im Hauptspeicher einer Maschine benötigt. Dateilose Funktionalität kann an der Ausführung, am Informationsdiebstahl oder an der Persistenz beteiligt sein. Ein Angriffsablauf muss nicht zwangsläufig wirklich “ dateilos“ erfolgen, es können auch lediglich einige Teile in irgendeiner Form dateilose Techniken benötigen.
Dateilose Bedrohungen hinterlassen nach ihrer Ausführung keine Spuren, so dass es schwierig ist, sie zu erkennen und zu entfernen. Diese Techniken ermöglichen es Angreifern, auf das System zuzugreifen, um dann dort bösartige Aktivitäten auszuführen. Durch die Manipulation von Exploits, legitimen Tools, Makros und Skripts können Angreifer Systeme kompromittieren, Privilegien erhöhen oder sich lateral im Netzwerk bewegen.
Dateilose Angriffe vermeiden sehr effizient ihre Entdeckung durch herkömmliche Sicherheitssoftware, denn die sucht nach Dateien auf der Festplatte eines Rechners, um dann zu beurteilen, ob sie bösartig sind. Diese Art der Bedrohungen sind nicht sichtbar, da sie im Hauptspeicher eines Systems ausgeführt werden können, sich in der Registry befinden oder häufig in Whitelists aufgeführte Tools wie PowerShell, Windows Management Instrumentation (WMI) und PsExec missbrauchen können.
Viele dateilose Bedrohungen missbrauchen das Task-Automatisierungs- und Konfigurationsmanagement-Framework PowerShell, das in vielen Windows-Betriebssystemen integriert ist. Das Microsoft-Framework greift auf Anwendungsprogrammierschnittstellen (APIs) zu, die wichtige System- und Anwendungsfunktionen ausführen. Für Angreifer ist es attraktiv, weil es ihnen ermöglicht, Payloads zu verteilen und bösartige Befehle dateilos auszuführen.
WMI ist eine weitere bekannte Windows-Anwendung, die zur Ausführung von Systemaufgaben für Endpunkte verwendet wird, und ist deshalb ideal geeignet für die Durchführung von Angriffen. Die Hintermänner missbrauchen WMI für die Ausführung von Code, laterale Bewegung und Persistenz; WMI-Repositorys können auch dazu verwendet werden, bösartige Skripts zu speichern, die in regelmäßigen Intervallen aufgerufen werden können. Unternehmensnetzwerke nutzen PowerShell und WMI in der Regel für die Automatisierung von Systemverwaltungsaufgaben. Angreifer machen sich diese Tools häufig zunutze, da sie zur Umgehung signaturbasierter Erkennungssysteme, zur Aufrechterhaltung der Persistenz, zur Exfiltrierung von Daten und für weitere böswillige Zwecke eingesetzt werden können.
Dateilose Angriffe sind nicht neu, doch gehören sie immer häufiger zum Arsenal vieler Angreifer. Eine Zusammenfassung zum Thema bietet die Infografik:
Schutz vor dateilosen Bedrohungen
Die Vielfalt der dateilosen Techniken ermöglicht persistente Angriffe, die die Integrität der Geschäftsinfrastruktur eines Unternehmens beeinträchtigen können. Trotz des Fehlens einer eigenständigen binären oder ausführbaren Datei können Anwender dateilose Bedrohungen verhindern.
Die Bekämpfung dateiloser Angriffe erfordert einen vielschichtigen und tiefgreifenden Schutzansatz, der nicht von traditionellen, dateibasierten Gegenmassnahmen zur Eindämmung von Bedrohungen abhängig ist.
Unternehmen sollten Systeme sichern, ungenutzte oder unwichtige Anwendungen deinstallieren und den Netzwerkverkehr überwachen.
Durch den Einsatz von Mechanismen zur Verhaltensüberwachung können ungewöhnliche Änderungen an Software und Anwendungen wie PowerShell und WMI nachverfolgt werden.
Benutzerdefinierte Sandbox- und Intrusion Detection und Prevention-Systeme können auch dazu beitragen, verdächtigen Datenverkehr wie C&C-Kommunikation oder Datenexfiltrierung zu verhindern.
Darüber hinaus bietet die Trend Micro XDR-Lösung Layer-übergreifende Detection and Response über Emails, Endpunkte, Server, Cloud Workloads und Netzwerke hinweg. Sie nutzt starke KI-Fähigkeiten und Sicherheits-Analytics, um eine breite Vielfalt von Bedrohungen wie dateilose Angriffe zu erkennen, zu untersuchen und darauf zu reagieren.
Trend Micro™ Apex One™ nutzt eine Vielzahl an Fähigkeiten der Bedrohungserkennung wie etwa Verhaltensanalyse, die vor bösartigen Skripts, Einschleusen, Ransomware und Memory- sowie Browser-Angriffen mit Bezug zu dateilosen Bedrohungen schützen. Apex One Endpoint Sensor bietet kontextbezogene Endpunkterecherche und Response (EDR), die Vorfälle überwacht und schnell untersucht, welche Prozesse und Events bösartige Aktivitäten anstoßen.
Trend Micro Deep Discovery beinhaltet einen Layer für Email-Inspektion, der Unternehmen schützen kann, indem er bösartige Anhänge und URLs erkennt. Deep Discovery kann Remote Skripts auch dann entdecken, wenn sie nicht auf einen physischen Endpunkt heruntergeladen werden.
Manche Unternehmen hat der plötzliche Wechsel der Mitarbeiter zur Arbeit im Home Office unvorbereitet getroffen. Und die Folge davon sind nicht gesicherte Systeme, die im Unternehmen laufen, oder angreifbare Hardware in den Umgebungen der Mitarbeiter zu Hause. Cyberkriminelle versuchen, aus dieser Situation Profit zu schlagen. Doch Anwender und Unternehmen können sich dagegen schützen, wenn sie die Symptome eines Angriffs erkennen und Best Practices beachten.
Trend Micro stellt im Vergleich zu Dezember 2019 einen signifikanten Anstieg bei Angriffen auf Remote-Systeme und vernetzte Geräte fest.
Bild 1. Eingehende Infektionen und Angriffsversuche auf Geräte von Dezember 2019 bis März 2020, Daten aus dem Smart Home Network (SHN) von Trend Micro
Cyberkriminelle bedienten sich bekannter Techniken und griffen über die üblichen Eintrittspunkte an, um in die Heimnetzwerke und Geräte der Benutzer einzudringen. Die Akteure weiteten ihre Aktivitäten mit den bekannten Taktiken und Methoden merklich aus, vom Ausnutzen der häufig noch vorhandenen Standardpasswörter, bis zum wiederholten Missbrauch ungepatchter Schwachstellen und den Scans nach offenen Ports und Diensten sowie der Installation von Backdoors.
Bild 2. Vergleich der wichtigsten Methoden für das Eindringen in Systeme, Dezember 2019 bis März 2020
Mit Fortschreiten der Pandemie und der steigenden Zahl von Mitarbeitern, die Home-Netzwerke für ihre Arbeit nutzten, nahmen auch die bösartigen Routinen zu, die auf Nutzer abzielten, und diese mit Coronavirus-bezogenen Nachrichten köderten. Und auch wenn nicht alle Einbrüche, bösartigen Routinen und Angriffe erkennbare Anzeichen aufweisen, gibt es verräterische Symptome, die von nicht-technischen Mitarbeitern überprüft werden können, um festzustellen, ob ihre Geräte gehackt oder mit Malware infiziert wurden. Einige bösartige Routinen weisen keine offensichtlichen Anzeichen einer Infektion oder eines Eindringens auf, und einige Symptome werden erst nach bestimmten Benutzeraktionen sichtbar.
Details, wie Sie Ihre Geräte schützen können, finden Sie in unserer Infografik. Bitte klicken zum Vergrößern
Wie können Geräte kompromittiert werden?
Cyberkriminelle ändern oder verbessern ständig ihre Techniken, um eine steigende Zahl von mobilen und intelligenten Geräten infizieren und angreifen zu können. Deshalb sollten Nutzer die folgenden Taktiken kennen und bestimmte Aktionen vermeiden:
Herunterladen von Apps, Software und/oder Medien aus Drittanbieter-Marktplätzen oder -Websites. Diese Apps könnten bösartige Komponenten enthalten, sich als bekannte Apps ausgeben oder Funktionen beinhalten, die nichts mit ihrem angeblichen Zweck zu tun haben.
Internetverbindungen über öffentliche WLAN-Netzwerke. Bedrohungsakteure können sich in diese Netzwerke dazuschalten und Informationen daraus stehlen. Auch könnten die verfügbaren Verbindungen gefälschte Hotspots sein, die Daten von den damit verbundenen Geräten kapern.
Anklicken von Phishing- und/oder SMShing-Links. Bedrohungsakteure verwenden in Emails oder Textnachrichten eingebettete bösartige URLs, um Gerätezugriff zu erlangen, Bank- oder persönliche Daten zu stehlen oder Malware zu verbreiten.
Zugriff auf bösartige und/oder infizierte Websites oder Apps. Bösartige Websites können dazu verwendet werden, Geräte zu infizieren, die absichtlich oder unabsichtlich auf diese Seiten zugreifen. Cyberkriminelle können Malware und weitere bösartige Befehle einschleusen oder eine Schicht über die legitime Seite legen, die sich als legitime Seiten ausgibt, um Besucher umzuleiten oder zu infizieren.
Jailbreaking. Dieses Vorgehen beinhaltet die absichtliche Aufhebung von Software- und Telekommunikationsbeschränkungen, um die eingebetteten exklusiven Funktionen des Geräts außer Kraft zu setzen, und bietet somit Ansatzpunkte, die böswillige Akteure ausnutzen können, wenn der Benutzer ins Internet geht.
Ungepatchte System- und/oder Medienschwachstellen. Sicherheitslücken im Betriebssystem, in der Hardware und in Anwendungen können Türen öffnen, die von Cyberkriminellen missbraucht werden.
Einsetzen von standardmäßigen Zugangsdaten. Standard-Benutzernamen und -Passwörter in Routern und Geräten, die von Herstellern und Netzwerk Service Providern vergeben werden, sind in der Regel für alle ihre Abonnenten ähnlich oder gleich. Cyberkriminelle können auf eine gemeinsame Liste zurückgreifen, um bei Angriffen auf diese Geräte zuzugreifen.
Gezielte Angriffe. Hochrangige Personen in bestimmten Branchen sind begehrte Ziele. Ihre jeweiligen Geräte können dazu verwendet werden, ihre Bewegungen zu verfolgen und an hochwertige Kontakte sowie vertrauliche Informationen heranzukommen.
Die praktisch über Nacht eingerichteten Remote-Arbeitsumgebungen könnten die derzeitige Infrastruktur überfordern, aber jedes Unternehmen sollte sie als die neue Norm betrachten. Diese neuen Business-Continuity-Verfahren haben zu einer verstärkten Nutzung von persönlichen Arbeitsgeräten geführt, die mit Heimnetzwerken verbunden sind, und dies führt unter Umständen zu Problemen mit den möglicherweise geringeren Sicherheitsmaßnahmen zu Hause im Vergleich zum Arbeitsplatz. Daher müssen vorläufige Lösungen, die sich auf die Leistungserbringung konzentrieren, in langfristige und nachhaltige Geschäftslösungen geändert werden. Mehr denn je müssen die Benutzer den Datenzugriff zwischen ihrem Zuhause und dem Büro sichern.
Trend Micro überwacht auch weiterhin alle Angriffe und bösartigen Routinen bezüglich COVID-19, die Unternehmen oder Geräte kompromittieren können. Empfehlenswert ist auch ein vielschichtiger Schutz für alle Fronten, der Nutzer zudem daran hindert auf bösartige Domänen zuzugreifen. Die Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können Malware und bösartige Domänen erkennen und blocken.
Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der Schutz wird ständig aktualisiert, um das System sowohl vor alten als auch neuen Angriffen schützen zu können. Trend Micro™ InterScan™ Messaging Security bietet umfassenden Schutz, der ankommende Bedrohungen und nach außen gehende Daten stoppt, sowie Spam und andere Email-Bedrohungen blockiert.
Nutzer können auch den umfassenden Schutz von Lösungen wie Trend Micro™ Security und Trend Micro™ Internet Security nutzen. Diese Systeme bieten einen effizienten Schutz vor Bedrohungen für IoT-Geräte, indem sie Malware an den Endpunkten erkennen. Schließlich lassen sich vernetzte Geräte über Sicherheitssoftware schützen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN), die den Internetverkehr zwischen dem Router und allen damit verbundenen Geräten prüfen. Die Trend Micro™ Deep Discovery™ Inspector Netzwerk-Appliance kann alle Ports und Netzwerkprotokolle überwachen und Unternehmen vor gezielten Angriffen schützen.
Weitere Informationen und Empfehlungen zum Corona-bedingten Arbeiten von zu Hause finden Sie hier.
Mit Cloud One stellt Trend Micro seine Version einer zukunftsfähigen Security Plattform vor, die nicht nur die technischen Probleme seiner Kunden angeht, sondern auch konzeptionell Flexibilität und Agilität demonstriert und ermöglicht. Um die neue Lösungsplattform detailliert zu erklären und Ihre Vorteile vorzustellen, haben wir eine Reihe von Live-Webinaren zu diversen Use Cases vorbereitet. Melden Sie sich an und erleben Sie Cloud One in Aktion!
Cloud One Workload Security – The Art of „Lift & Shift“ 13.05.2020 | 14:00 Uhr – 14:30 Uhr
Die Grundlage der Workload Security Komponente im Cloud One Service Portal stellt Deep Security as a Service (DSaaS) mit seinen bewährten Modulen dar. Da Schutz- und Überwachungsmodule sowohl in lokalen Rechenzentren, als auch in der Cloud eingesetzt werden können, ergibt sich eine Vielzahl von Use Cases, die einfach adaptiert werden können. Jetzt anmelden
Cloud One für DevOps und Cloud-native Anwendungen 19.05.2020 | 14:00 Uhr – 14:30 Uhr
In diesem Webinar sprechen wir über diese Themen: Wie Sie Sicherheitsprobleme in Ihrer DevOps-Umgebung frühzeitig erkennen Wie Sie Schwachstellen, Malware sowie sensible Daten Ihren Docker Container-Images zeitnah aufspüren Wie Sie ausschließlich richtlinienkonforme Container betreiben Und wie Sie in nur zwei Minuten codebasierte Sicherheit in Anwendungen integrieren können, ohne dass zusätzliche Codeänderungen oder Regeln erforderlich sind Jetzt anmelden
Cloud One Conformity – Sicherheit und Datenschutz über mehrere Cloud-Umgebungen hinweg 26.05.2020 | 14:00 Uhr – 14:30 Uhr
Zentrales Thema vieler Betriebe ist das Konzept Hybrid Collaboration: Business Kommunikation und die Zusammenarbeit von Teams auf der ganzen Welt. Doch dieser Ansatz will gut durchdacht sein, um keine Risiken in Sachen Datenschutz und Compliance einzugehen. Im Webinar reden wir über: – Cloud Operation best practice – AWS Well Architected Framework – Automatic Security & Compliance Posture Remediation Jetzt anmelden
Mit der Cloud One Network Security Komponente steht Ihnen die Funktionalität, und bei Bedarf auch die Performance, der bewährten TippingPoint IPS Lösung in der Cloud zur Verfügung. Wenn Sie Netzwerkzugriffe unabhängig von Systemen und Verfahren auch in der Cloud überwachen bzw. absichern müssen, ist das Cloud One Network Security Modul die erste Wahl. Jetzt anmelden
Online-Kommunikationssysteme haben sich in diesen Zeiten der Pandemie als sehr nützlich erwiesen. Leider stellen das auch Cyberkriminelle fest, und die Angriffe auf die verschiedenen Messaging-Apps, einschließlich Zoom, nehmen stetig zu. Die Sicherheitsforscher von Trend Micro entdeckten im April einen Angriff, der Zoom Installer nutzt, um einen Krypto-Miner zu verbreiten. Kürzlich gab es einen ähnlichen Angriff, der jedoch eine andere Schadsoftware ablegt: RevCode WebMonitor RAT (Backdoor.Win32.REVCODE.THDBABO). Achtung: Die Installer sind zwar legitim, doch die mit Malware gebündelten Programme kommen nicht aus offiziellen Quellen der Zoom-Anwendung, wie z. B. dem Zoom-eigenen Download-Center oder aus legitimen App-Stores wie Apple App Store und Google Play Store, sondern aus bösartigen Quellen.
Viele Malware-Varianten stellen sich als legitime Anwendung dar, um ihre böswilligen Absichten zu verbergen. Zoom ist nicht die einzige Anwendung, die für diese Art von Bedrohung eingesetzt wird. In diesem speziellen Fall haben Cyberkriminelle möglicherweise die legitimen Installationsprogramme mit Zugabe von WebMonitor RAT neu verpackt und diese Installer auf bösartigen Websites veröffentlicht.
Die Kompromittierung beginnt damit, dass der Nutzer die bösartige Datei ZoomIntsaller.exe aus bösartigen Quellen herunterlädt. ZoomInstaller.exe ist die Datei, die die Kombination aus einem nicht bösartigen Zoom-Installationsprogramm und RevCode WebMonitor RAT enthält. ZoomInstaller.exe legt dann eine Kopie seiner selbst namens Zoom.exe ab und öffnet den Prozess notepad.exe, um Zoom.exe auszuführen. Technische Einzelheiten zum Angriffsablauf enthält der Originalbeitrag.
Die Schadsoftware bricht ab, wenn sie in den folgenden virtuellen Umgebungen ausgeführt wird: kernel-basierte virtuelle Maschine, Microsoft Hypervisor, Parallels Hypervisor, VirtualBox, VMware und Xen Virtual Machine Manager. Auch wenn der Schädling eine Datei ähnlich der folgenden – Malware, Sample, Sandbox – findet, bricht er die eigene Ausführung ab. Da das System eine legitime Zoom-Version (4.6) heruntergeladen hat, wird der Nutzer nicht misstrauisch, obwohl sein System zu diesem Zeitpunkt bereits kompromittiert ist.
Erste Beobachtungen des Samples zeigten ein Fareit-ähnliches Verhalten. Bei näherer Betrachtung stellt sich jedoch heraus, dass es sich tatsächlich um RevCode WebMonitor RAT handelt, mit dem bestimmte Gruppen Berichten zufolge bereits Mitte 2017 in Hacking-Foren hausieren gingen. Das RAT (Remote Access Tool) erlaubt es Bedrohungsakteuren, die Kontrolle über kompromittierte Geräte zu erlangen und diese per Keylogging, Webcam-Streaming oder Screen-Captures auszuspionieren.
Empfehlungen
Videokonferenz-Apps lassen sich mit Hilfe folgender Best Practices schützen:
Installer nur aus offiziellen Quellen herunterladen, z.B. aus den eigenen Download-Zentren der Apps. Inoffizielle Download-Sites werden höchstwahrscheinlich von Cyberkriminellen eingerichtet, um ahnungslose Benutzer anzulocken.
Sichern der Videokonferenz-Apps. Dazu gehören u. a. die Vergabe von Passwörtern für Meetings, die Geheimhaltung von Meeting-Informationen, die Nutzung von Warteräumen und die Konfiguration von Host-Controls.
Stets die aktuelle Version der Apps verwenden. Damit werden mögliche Schwachstellen, die Angreifer ausnutzen können, geschlossen. Für Zoom ist es bald die Version 5.0.
Zusätzlich dazu ist es ratsam, eine Sicherheitslösung zu installieren, wie etwa die folgenden:
Trend Micro Apex One™ – bietet fortschrittliche automatisierte Detection & Response für eine wachsende Vielfalt an Bedrohungen.
Trend Micro XDR – setzt künstliche Intelligenz und Analytics ein für die Daten, die Trend Micro-Lösungen in Unternehmen sammeln, um eine schnellere und genauere Erkennung zu erreichen.
Auch empfiehlt sich ein mehrschichtiger Schutzansatz, um proaktiv bekannte und neue Bedrohungen an allen möglichen Eintrittspunkten zu erkennen und zu blockieren.
