„IT-Infrastruktur ist viel mehr als ein Unterbau“

Interview mit Rudolf Didszuhn, Senior Executive Global System Integrators and Advisors

IT als sichere Plattform für innovative Geschäftsprozesse ist das Gebot der Stunde. Das kann nur gelingen, wenn die verschiedenen Abteilungen ihre Kompetenzen bündeln und Silo-übergreifend denken. Rudolf Didszuhn verfügt über mehr als zwanzig Jahre Erfahrung im IT-Sektor, insbesondere im Aufbau internationaler Allianzen. Der ausgewiesene Experte für die Themen Cloud- und Applikationsstrategien, IT-Infrastruktur und Betriebskonzepte erklärt im Interview, wie eine erfolgreiche Zusammenarbeit zwischen Sicherheit mit IT-Infrastruktur und Geschäftsabläufen funktionieren kann.

  1. In Ihrem Webcast auf der IT Infrastructure & Operations 2020 sprachen Sie über „Wandel zu smarter Infrastruktur – Das Gold liegt im Prozess“. Was meinen Sie damit?

IT-Infrastruktur ist heutzutage meist mehr als nur die Basis der Wertschöpfung eines Unternehmens. Unterstützung allein reicht nicht mehr aus, sie muss die Wertschöpfung ermöglichen, damit eine Organisation eben das „Gold“ aus den Geschäftsprozessen schürfen kann. Dafür aber bedarf es einer modernen und innovativen Infrastruktur, die möglichst smart ausgestattet ist und Prozesse mit allen dafür benötigten Daten verwirklicht. Resilienz und Automatisierung sind dabei die Schlüsselfaktoren, die wir berücksichtigen sollten.

  1. Welches sind besonders kritische Bereiche einer solch smarten Infrastruktur?

Da wäre in erster Linie deren zumeist hohe Komplexität zu nennen, denn die einzelnen Bereiche müssen eng miteinander interagieren. Hinzu kommt die erforderliche Integration von operationaler Technologie (OT) mit der Informationstechnologie (IT). Das bedeutet, dass die IT mit Zulieferströmen und Produktion zusammengebracht wird. Investitionen sollen verringert werden, während Integrität und Verfügbarkeit der Daten zunehmen müssen. In einer solchen Umgebung ist digitales Diversity Management unabdingbar.

  1. Was bedeutet Diversity Management genau?

Dazu gehören verschiedene Aspekte, wie die Schaffung von Visibilität oder das Handling von Compliance. Gerade im Fall des Datenmanagements kann dies eine sehr komplexe Aufgabe sein. Zudem geht es um Datensicherheit und Bedrohungsschutz, sowie die sichere nahtlose Zusammenarbeit der Unternehmensanwendungen. Diversity Management kann nicht gelingen, wenn die Abteilungen für sich allein agieren. Leider hat sich gezeigt, dass die meisten Firmen in einzelnen Bedrohungsszenarien denken, gegen die sie sich schützen müssen. Und das funktioniert bereits seit Jahren nicht mehr, führt aber dazu, dass Organisationen auf Vorfälle nicht vorbereitet sind, also nicht angemessen und schnell reagieren können.

  1. Was sind aus Ihrer Sicht die besten Ansätze, um diese Herausforderungen zu meistern?

Die Antwort ist eindeutig: Kompetenzen bündeln und Silo-übergreifend denken. Cross Boundary Collaboration ist gefragt, damit alle Aspekte zentral zusammengefügt werden können. Neue Werkzeuge, beispielsweise die Cloud Plattformen, erfordern neue Anwendungsszenarien und Prozesse. Am Anfang muss das Risikomanagement stehen. Es gilt zu klären, welche Anwendungen und Prozesse vorhanden sind, wo die Daten liegen beziehungsweise ausgetauscht werden, welche Tools und Vorgehensweisen eingesetzt werden können – kurz gesagt, geht es darum festzustellen, wo die Organisation bezüglich der Sicherheit steht und welches Ziel sie erreichen will. Nur so lässt sich Innovation fördern.

  1. Wie kann Trend Micro Unternehmen dabei helfen, diese Herausforderungen zu meistern?

Wir können Unternehmen ein einheitliches Sicherheitsmanagement bieten, das das Diversity Management vom Standpunkt der Security unterstützt. Die 30-jährige Erfahrung in der Cybersecurity Forschung und unser daraus entstandenes globales Bedrohungsnetzwerk (Smart Protection Network) sind unser Fundament um zu wissen, wie wir die Unternehmensdaten und die Daten der Kunden auch morgen zu schützen zu haben. Unsere Lösungen lassen sich in fast jede Plattform integrieren und sind vollständig Cloud-agnostisch. Somit kann man das Trend Micro Sensornetzwerk auch in alle Unternehmensprozesse einbetten.

Zusätzlich können Sie den Vortrag „Wandel zu smarter Infrastruktur – Das Gold liegt im Prozess“ nochmals ansehen.

Fehlkonfigurationen: Das grösste Sorgenkind der Cloud-Sicherheit 2021

Originalartikel von Mark Nunnikhoven, VP Cloud Research

Die Cloud steckt voller neuer Möglichkeiten. So können Anwender etwa mit einem einzigen Befehl das Pendant eines ganzen Datacenters starten. Die Skalierung, um die Anforderungen von Millionen von Kunden zu erfüllen, kann vollständig automatisiert erfolgen. Erweiterte Machine Learning-Analysen sind so einfach wie ein API-Aufruf. Damit sind Teams in der Lage, Innovationen zu beschleunigen und sich fast ausschliesslich darauf zu konzentrieren, Geschäftswert zu generieren. Doch so einfach, wie es scheint, ist es nicht.

Es war zu erwarten, dass neben diesem Steigerungspotenzial auch die Sicherheitsherausforderungen zunehmen, die es bei On-Premises gibt, und Teams mit Zero-Days, Schwachstellenketten und Schatten-IT zu kämpfen haben würden. Doch stellt sich heraus, dass diese Probleme nicht ganz oben auf der Sorgenliste stehen.

Den grössten Kummer bereiten Fehler in Form von Service-Fehlkonfigurationen.

Geteilte Verantwortung

Viele Unternehmen denken, hinsichtlich der Cloud-Sicherheit sind die Cloud Service Provider selbst ein grosses Risiko. Doch gibt es keine Zahlen, die diese Annahme bestätigen. Alle vier grossen Service Provider Alibaba Cloud, AWS, Google Cloud und Microsoft Azure hatten in den letzten fünf Jahren zwei Sicherheitsverletzungen bei ihren Diensten … alle zusammen.

Dennoch sollte nicht vergessen werden, dass jeder dieser Service Provider im Laufe der Jahre mit einer Vielzahl an Sicherheitsschwachstellen fertig zu werden hatte. Die beiden oben erwähnten Sicherheitsvorfälle hatten eine Fehlkonfiguration als Ursache. Der erste stammt von März 2020 und betraf Google Cloud, der zweite passierte im Januar 2020 und traf Microsoft Azure. Weitere Einzelheiten dazu beinhaltet der Originalbeitrag.

Viele Cloud-Dienste sind einfach verwaltete Service-Angebote von gängigen kommerziellen oder Open-Source-Projekten. Diese Projekte hatten verschiedene Sicherheitsprobleme, mit denen sich die Anbieter auseinandersetzen mussten.

Der Vorteil der Cloud für Benutzer oder Builder liegt darin, dass alle operativen Arbeiten – und Sicherheit ist operative Arbeit – in jeder Cloud dem Shared Responsibility Model folgt. Darin gibt es sechs Bereiche, in denen betriebliche Arbeiten erforderlich sind. Abhängig von der genutzten Art des Service wechseln die Verantwortlichkeiten. Nutzt ein Unternehmen Instanzen oder virtuelle Maschinen, so ist es für das Betriebssystem, die darauf laufenden Anwendungen und die Daten verantwortlich. Im Fall eines vollständig gemanagten Service ist das Unternehmen für die Sicherheit der Daten, die in dem Service verarbeitet und vorgehalten werden, zuständig. Für alle Arten von Cloud-Services liegt die Verantwortung für die Dienstkonfiguration beim Unternehmen.

Trotz klarer Zuständigkeiten bieten die Provider eine Reihe von Funktionen, die Unternehmen bei der Erfüllung ihrer Aufgaben unterstützen und die Dienste an ihre Bedürfnisse anpassen.

Es gibt zahlreiche Belege dafür, dass Fehlkonfigurationen das grösste Problem bei der Cloud-Sicherheit sind. Sicherheitsforscher, -anbieter oder Branchenorganisationen stimmen in den Ergebnissen überein:

65% — 70%  aller Sicherheitsprobleme in der Cloud starten mit einer Fehlkonfiguration. 45% der Organisationen glauben, dass Vertraulichkeits- und Sicherheitsherausforderungen ein Hindernis für die Migration in die Cloud darstellen. Das ist schade, denn wird das Shared Responsibility Model richtig verstanden, so ist es einfacher, eine robuste Sicherheitsposition aufrechtzuerhalten. Organisationen sollten darauf drängen, schneller in die Cloud zu wechseln, um ihre Sicherheit zu verbessern.

Tempo des Wandels

Fehlkonfigurationen sind nichts anderes als Fehler. Manchmal sind diese Fehler ein Versehen, ein anderes Mal eine falsche Wahl, die aus mangelndem Sicherheitsbewusstsein getroffen wurde. Alles hängt mit den Fähigkeiten zusammen, die die Cloud zugänglich macht und zu einer entsprechenden Steigerung des Innovationstempos geführt hat.

Mit der Zeit werden die Teams schneller und können Innovationen mit einer geringen Fehlerquote erreichen. Tatsächlich sind 43 % der Teams, die eine DevOps-Philosophie eingeführt haben, in der Lage, mindestens einmal pro Woche Code bereitzustellen und dabei eine Fehlerquote von unter 15 % beizubehalten.

Und wenn doch einmal ein Fehler auftritt, können sie ihn innerhalb eines Tages beheben. Noch beeindruckender ist, dass 46 % dieser Teams in der Lage sind, die Probleme innerhalb einer Stunde zu beheben. Leider ist auch bekannt, dass Cyberkriminelle weniger als einen Tag brauchen, und jede Lücke kann ausreichen, damit sie in den Unternehmenssystemen Fuss fassen und einen Vorfall verursachen.

Die anderen 57 % der Teams, von denen die meisten grosse Unternehmen sind, haben oft das Gefühl, dass ihr mangelndes Tempo Schutz bietet. Ein vorsichtiges Vorgehen in der Cloud ermöglicht ihnen eine massvollere Herangehensweise und reduziert ihre Fehlerquote. Das mag zwar stimmen, aber um sie herum findet dennoch ein Wandel statt. Die Cloud-Service-Provider selbst bewegen sich in einem rasanten Tempo.

Im Jahr 2020 haben die vier grossen Hyperscale-Anbieter über 5.000 neue Funktionen für ihre Dienste veröffentlicht.

https://www.trendmicro.com/content/dam/trendmicro/global/en/research/21/a/the-top-worry-in-cloud-security-for-2021/04-the-worry-in-cloud-security-for-2021.jpg

Für Single-Cloud-Anwender bedeutet das fast zwei neue Funktionen pro Tag … Minimum. Für die wachsende Zahl von Multi-Cloud-Benutzern nimmt das Tempo der Veränderungen noch zu.

Selbst wenn sich Ihr Team also langsam bewegt, verschiebt sich der Boden unter ihm schnell.

Ziel der Cybersicherheit

Das Ziel der Cybersicherheit ist eigentlich ziemlich einfach: Sicherstellen, dass das, was gebaut wurde, wie angedacht funktioniert und nur so.

In einer traditionellen On-Premises-Umgebung besteht dieser Standardansatz aus einem starken Perimeter und einer weitreichenden Sichtbarkeit über das gesamte Unternehmen hinweg. In der Cloud funktioniert das nicht. Das Tempo der Veränderungen ist zu schnell, sowohl intern als auch beim Provider. Kleinere Teams bauen mehr und mehr auf. Oft agieren diese Teams von vornherein ausserhalb der zentralen CIO-Infrastruktur.

Dies macht es erforderlich, dass die Sicherheit wie ein weiterer Aspekt eines guten Gebäudes behandelt wird. Sie kann nicht wie eine eigenständige Aktivität gehandhabt werden. Das klingt nach einer monumentalen Aufgabe, ist es aber nicht. Hier erweisen sich Sicherheitskontrollmechanismen als sehr wertvoll.

Geht es um Sicherheitskontrollmechanismen, so spricht man meistens darüber, was sie stoppen. Die Verwendung eines Intrusion Prevention Systems kann Würmer und andere Arten von Netzwerkangriffen stoppen. Anti-Malware-Schutzmassnahmen können Ransomware, Cryptominers und andere bösartige Verhaltensweisen stoppen, usw. Das ist hervorragend und funktioniert gut mit den Sicherheitsteams.

Builder jedoch haben eine andere Perspektive. Im richtigen Kontext ist es einfach zu zeigen, wie Sicherheitskontrollmechanismen ihnen helfen können, besser zu bauen. Das Posture Management stellt sicher, dass die Einstellungen erhalten bleiben, unabhängig davon, wie oft ein Team im Laufe der Woche Deployments durchführt. Netzwerkkontrollen stellen sicher, dass nur gültiger Datenverkehr den Code erreicht. Die Container-Zugangskontrolle stellt sicher, dass der richtige Container zur richtigen Zeit bereitgestellt wird.

Sicherheitskontrollmechanismen tun so viel mehr, als nur zu verhindern, dass etwas passiert. Sie geben Antworten auf kritische Fragen, die sich Entwickler immer öfter stellen. Zwei Kernfragen sind es:

  1. Was kann dieser Code sonst noch tun? (Sehr wenig dank der Sicherheitskontrollmechanismen)
  2. Bist Du Dir sicher? (Ja, ich setze die Mechanismen  ein, um sicherzugehen)

Wenn sie gut entwickelt und intelligent eingesetzt werden, helfen Sicherheitskontrollmechanismen den Teams, Lösungen zu liefern, die zuverlässiger, einfacher zu beobachten und verlässlicher sind.

Sicherheit hilft, besser zu bauen.

Gefahr durch die DoppelPaymer Ransomware

Originalbeitrag von Trend Micro Research

Im Dezember 2020 gab das FBI eine Warnung bezüglich DoppelPaymer heraus. Es handelt sich um eine Ransomware-Familie, die 2019 zum ersten Mal mit Angriffen auf Unternehmen in kritischen Branchen auffiel. Ihre Aktivitäten setzten sich auch 2020 fort, einschliesslich einer Reihe von Vorfällen in der zweiten Jahreshälfte, die die Geschäftsabläufe der Opfer empfindlich störten. Was macht diese Ransomware aus?

Dem FBI zufolge greift DoppelPaymer in erster Linie Unternehmen im Gesundheitswesen, Rettungsdienste und im Bildungswesen an. Die Ransomware war besonders aktiv im September und legte beispielweise die Kommunikation und den allgemeinen Betrieb in der Uniklinik Düsseldorf lahm.

Es wird angenommen, dass DoppelPaymer auf der BitPaymer Ransomware (die 2017 zuerst gesichtet wurde) beruht, weil es Ähnlichkeiten im Code, bei den Lösegeldforderungen und Zahlungsportalen gibt. Neben einigen anderen Unterschieden fällt auch auf, dass die Verschlüsselungsgeschwindigkeit von DoppelPaymer durch den Einsatz von Threaded Dateiverschlüsselung verbessert wurde.

DoppelPaymer benötigt korrekte Befehlszeilenparameter, bevor die Schadsoftware ihre bösartigen Routinen ausführt. Die Samples zeigen unterschiedliche Parameter. Diese Technik wird möglicherweise von den Angreifern verwendet, um eine Entdeckung durch Sandbox-Analysen zu vermeiden und um Sicherheitsforscher daran zu hindern, die Samples zu untersuchen. Der vielleicht außergewöhnlichste Aspekt der Schadsoftware ist die Verwendung eines Tools namens ProcessHacker, mit dem die Ransomware Dienste und Prozesse beendet, um Zugriffsverletzungen während der Verschlüsselung zu verhindern.

Wie bei vielen modernen Ransomware-Familien sind die Lösegeldforderungen von DoppelPaymer für die Entschlüsselung von Dateien mit 25.000 Dollar bis 1,2 Millionen Dollar beträchtlich. Darüber hinaus betreiben die Hintermänner seit Februar 2020 eine Data Leak-Seite und drohen den Opfern  mit der Veröffentlichung ihrer gestohlenen Dateien als Teil der Erpressung.

Die Routine der Ransomware

Bild. DoppelPaymers Infektionsroutine

DoppelPaymer nutzt eine ziemlich ausgefeilte Routine, die mit einer Infiltrierung des Netzwerks über bösartige Spam Mails startet. Sie beinhaltet Spear Phishing Links oder Anhänge, über die die Opfer geködert werden sollen, bösartigen Code auszuführen. Der wiederum lädt weitere Malware mit fortgeschrittenen Fähigkeiten (etwa Emotet) ins betroffene System. Emotet kommuniziert anschliessend mit seinem Command-and-Control (C&C)-Server, installiert verschiedene Module und lädt weitere Malware herunter, die er ausführt.

Bei der DoppelPaymer-Kampagne wurde der C&C-Server zum Herunterladen und Ausführen der Dridex-Malware-Familie verwendet, die wiederum entweder DoppelPaymer direkt oder Tools wie PowerShell Empire, Cobalt Strike, PsExec und Mimikatz herunterlädt. Jedes dieser Tools wird für verschiedene Aktivitäten verwendet, z. B. zum Stehlen von Anmeldeinformationen, zur lateralen Bewegung innerhalb des Netzwerks und zum Ausführen verschiedener Befehle, wie Deaktivieren von Sicherheitssoftware.

Wenn Dridex in das System eindringt, führen die Angreifer die Ransomware nicht sofort aus, sondern die Schadsoftware versucht, sich lateral im Netzwerk des betroffenen Systems zu bewegen, um ein wertvolles Ziel zu finden, von dem sie wichtige Informationen stehlen kann. Erst wenn dieses Ziel gefunden ist, führt Dridex seine endgültige Payload, DoppelPaymer, aus. Diese verschlüsselt die im Netzwerk gefundenen Dateien, sowie feste und Wechsellaufwerke im betroffenen System.

Schliesslich ändert die Ransomware die Benutzerkennwörter, bevor sie einen Systemneustart in den abgesicherten Modus erzwingt, um zu verhindern, dass der Benutzer das System verlässt. Dann ändert sie den Hinweistext, der erscheint, bevor Windows zum Anmeldebildschirm übergeht. Der neue Hinweistext enthält nun die Lösegeldforderung, die Benutzer davor warnt, das System zurückzusetzen oder herunterzufahren sowie die verschlüsselten Dateien zu löschen, umzubenennen oder zu verschieben. Der Hinweis enthält auch die Drohung, die sensiblen Daten der Öffentlichkeit zugänglich zu machen, sollte das geforderte Lösegeld nicht bezahlt werden.

Empfehlungen zum Schutz vor DoppelPaymer

Unternehmen können sich vor Ransomware wie DoppelPaymer schützen, wenn sie die Security Best Practices befolgen:

  • Nicht Öffnen von ungeprüften E-Mails und kein Anklicken von in der Mail eingebetteten Links oder Anhänge
  • Regelmässiges Backup wichtiger Dateien nach der 3-2-1-Regel: Drei Kopien in zwei unterschiedlichen Dateiformaten, Ablage eines der Backups an einem separaten physischen Standort.
  • Sowohl Software als auch Anwendungen mit den neuesten Patches aktualisieren, und das so schnell wie möglich.
  • Sicherstellen, dass Backups geschützt und abgekoppelt vom Netzwerk sind.
  • Auditieren der Nutzerkonten in regelmässigen Abständen – vor allem diejenigen Konten, die öffentlich zugänglich sind, wie etwa Remote Monitoring und Management.
  • Monitoring des ankommenden und abgehenden Netzwerkverkehrs, mit Alerts bei Datenexfiltrierung.
  • Implementieren von Zweifaktor-Authentifizierung.
  • Einsetzen des Prinzips der geringsten Privilegien für Dateien, Verzeichnisse und Netzwerkfreigaben.

Der Originalbeitrag enthält auch die Indicators of Compromise (IOCs).

Digitale Transformation nimmt zu, Sicherheit wird weniger

von Trend Micro

Die digitale Transformation hat während des letzten Jahres Fahrt aufgenommen, das ist Tatsache. Die Unternehmensberatung McKinsey stellt fest, dass Unternehmen, die ihre digitale Strategie auf „Ein- bis Dreijahres-Phasen“ eingerichtet hatten, nun auf Schritte in nur Tagen oder Wochen übergehen. Trend Micro wollte herausfinden, ob die Beschleunigung der Migration in die Cloud auch mit dem erforderlichen Sicherheitsbewusstsein einhergeht. Das Ergebnis einer diesbezüglichen Umfrage ist ernüchternd: 84 Prozent der Schweizer Unternehmen haben zwar ihre Cloud-Migration intensiviert, doch fast keines versteht dabei seine Verantwortung für die Sicherheit.

Im Auftrag von Trend Micro befragte Sapio Research im Oktober 2020 insgesamt 2565 Entscheidungsträger in 28 Ländern (davon 70 in der Schweiz) aus verschiedenen Branchen und von Unternehmen aller Grössenordnungen mit Schwerpunkt auf Grossunternehmen.

84% der Schweizer Befragten (88% weltweit) bestätigten, dass ihr Unternehmen die Geschwindigkeit der IT-Modernisierung während des letzten Jahres erhöht hat – verständlich, angesichts des enormen Wandels zu Remote-Arbeitsumgebungen, der Notwendigkeit, Geschäftsprozesse zu verschlanken und neue, innovative Möglichkeiten für die Kundenkommunikation zu finden. Dabei scheinen die befragten Unternehmen in der Schweiz durchaus zuversichtlich zu sein, was die Cybersicherheit in der Cloud angeht:

  • 44 Prozent geben an, dass die Beschleunigung der Cloud-Migration ihren Fokus auf Security-Best-Practices verstärkt hat (51 Prozent weltweit).
  • 76 Prozent sind überzeugt, dass sie die Sicherheit ihrer Remote-Arbeitsumgebung vollständig oder grösstenteils unter Kontrolle haben (87 Prozent weltweit).
  • 72 Prozent glauben, dass sie vollständig oder grösstenteils die Kontrolle über die Sicherheit ihres zukünftigen hybriden Arbeitsplatzes haben werden (83 Prozent weltweit).

Gefährliche Zuversicht

Andererseits scheint bei den Unternehmen grosse Verwirrung darüber zu herrschen, wie effektiv die Cloud-Sicherheitsstrategie ist. Fast die Hälfte der Befragten (53% in Deutschland und 45% weltweit) geben zu, die Sicherheit als ein „sehr signifikantes“ oder „signifikantes“ Hindernis für die Cloud-Einführung zu sehen. Die drei grössten alltäglichen Probleme beim Schutz von Cloud Workloads sind das Festlegen konsistenter Richtlinien (43 Prozent), Herausforderungen beim Ausrollen (31 Prozent), und eine fehlende Integration mit On-Premise-Sicherheitslösungen (30 Prozent).

Bei der Migration zu Cloud-basierten Sicherheitstools werden Datenschutz (54 Prozent), begrenztes Budget (37 Prozent) und Compliance (34 Prozent) von ihnen als die drei wesentlichen Hindernisse wahrgenommen.

Die Umfrage zeigt auch, dass es immer noch einige Missverständnisse rund um das Shared Responsibility Model gibt. Dieses beschreibt, für welche Bereiche der Sicherheit der Cloud Service Provider zuständig ist, und wo der Kunde übernehmen muss. Da beunruhigt die Überzeugung von 91 Prozent (92 Prozent weltweit) der Befragten, die einerseits angaben, das Modell zu verstehen und sich ihrer Verantwortung für die Sicherheit in der Cloud bewusst zu sein. Andererseits doch glauben fast alle (97 Prozent in der Schweiz und weltweit), dass ihr Cloud-Service-Provider (CSP) einen ausreichenden Schutz für ihre Daten bietet.

Tatsächlich aber ist es der Kunde, der Verantwortung für den Schutz seiner Daten und Anwendungen in der Cloud übernehmen muss. Die Cloud Security Alliance erklärt: „Indem Sie die Kontrolle über Informationen und Daten behalten, bestimmen Sie selbst, wie und wann Ihre Daten verwendet werden. Ihr Provider hat keinerlei Einblick in Ihre Daten, und der gesamte Datenzugriff wird von Ihnen by-Design kontrolliert.“

Vielleicht liegt es an diesem Missverständnis, dass weltweit nur 55 Prozent zusätzliche Tools von Drittanbietern verwenden, um ihre Cloud-Umgebungen zu sichern. Dies deutet darauf hin, dass es erhebliche Abdeckungslücken geben könnte.

Eine Strategie festlegen

Wie können Unternehmen also einen sicheren Weg einschlagen und die Vorteile der Cloud nutzen, ohne das Cyber-Risiko zu erhöhen? Der richtige Anbieter kann eine wichtige Rolle spielen: Er kann das Patchen automatisieren und Richtlinien an jede VM, jeden Container und jeden Endpunkt weitergeben, um die Sicherheit und Compliance zu optimieren. Virtuelle Patching-Funktionen können auch dazu beitragen, eine der grössten operativen Herausforderungen von IT-Leitern in Bezug auf die Sicherheit von Workloads zu bewältigen – das Abschirmen anfälliger Systeme vor bekannten und unbekannten Bedrohungen, bis ein offizieller Patch bereitgestellt werden kann.

Zu den Sicherheitslösungen für Cloud-Umgebungen, die von den befragten Unternehmen in der Schweiz als am wichtigsten eingestuft wurden, gehören Tools für Netzwerkschutz (31 Prozent), Cloud Security Posture Management (21 Prozent) und Cloud Access Security Broker (CASB, 20 Prozent).

Risiken managen, wenn die IT-Systemverwaltung ausfällt

Originalbeitrag von Greg Young, VP of Cybersecurity

Zwei der effektivsten Möglichkeiten, Risiken zu verwalten und für mehr Sicherheit im Unternehmen zu sorgen, sind Patching und Backup. Ransomware hat Anwender den Stellenwert von Backups gelehrt. Und Patching ist das Ergebnis der Anforderung an das Funktionieren der  Produkte, bzw. deren Sicherheit. Patching wird, wie auch Backup, von Nicht-Sicherheitsteams durchgeführt und fällt in den Bereich des IT-Systemmanagements (ITSM). Doch was ist zu tun, wenn bei einem Angriff die Empfehlung für Unternehmen auf Abschalten des ITSM lautet?

Vielen Unternehmen dürfte im Dezember wegen des Angriffs auf  SolarWinds-Produkte empfohlen worden sein, ihr ITSM-Produkt „vom Netz zu nehmen“. Dies ist ein ungewöhnliches Vorgehen, weil die meisten Schwachstellen mit einem Pre-Patch-Schutz (IPS-Signaturen) gehandhabt werden, der Zeit verschafft, bis der Patch verfügbar ist und mit möglichst geringer Unterbrechung des Betriebs getestet und installiert werden kann.

Patching ist ein Beispiel für die zwei Kräfte, die in der Cybersicherheit wirken: Funktion und Sicherheit. Die Funktionstüchtigkeit war schon immer die „starke“ Kraft, denn ohne Geschäft gibt es nichts zu sichern. Cybersicherheit hat sich angepasst und ist mehr darauf ausgerichtet, auf das Funktionieren des Geschäfts zu wirken, und das sicher. DevOps Security hat als wichtigste die Aufgabe erkannt, dass die Sicherheit in die Geschäftsabläufe integriert und nicht nur hinzugefügt werden muss.

Beim Patching klafft eine Lücke zwischen der Bedeutung der Sicherheit und den geschäftlichen Anforderungen: zwischen dem Sicherheitsgebot, sofort zu patchen, um Schwachstellen zu schliessen, und dem geschäftlichen Gebot, so zu patchen, dass der Geschäftsbetrieb möglichst wenig gestört wird. Dabei geht es nicht nur darum, den Patch aufzuspielen, sondern vor allem sicherzustellen, dass das Patching keine Abläufe beeinträchtigt. Diesen Spagat bewältigen die Ops-Teams mit Hilfe von ITSM-Produkten.

Was ist konkret zu tun?

Die ungewöhnliche Empfehlung, ein Produkt vom Netz zu nehmen, zeigt, dass der Betrieb des Produkts ein sehr hohes Risiko mit sich bringt. Aber auch danach gibt es ein kleineres, aber nicht unbedeutendes Risiko, wenn kein ITSM verfügbar ist.

Die Empfehlung von SolarWinds umfasst des Weiteren, Sicherheitsmassnahmen zu ergreifen, um nach Kompromittierungen zu suchen, die Hosts neu aufzusetzen und dann das wohlbekannte ITSM wieder online zu nehmen. Das dauert natürlich seine Zeit.

Trend Micro rät natürlich nicht dazu, die Empfehlungen zu ignorieren. Doch die mit dieser Aktion verbundenen Risiken sollten bekannt sein und Massnahmen dagegen vorhanden sein:

  1. Ironischerweise stellt Patching das grösste Problem dar, denn ITSM könnte die Patch-Managementlösung des Unternehmens sein. Deshalb muss das Sicherheitsteam prüfen, ob es kritische Patches gibt, die nicht mit dem ITSM-Produkt in Verbindung stehen und installiert werden müssen. Danach sollte entschieden werden, ob dies geschehen soll. Zumindest muss auf jeden Fall gewährleistet sein, dass die IPS-Signaturen für diese anfälligen Produkte inline sind.
  2. System- und Netzwerk Performance Monitoring wird wahrscheinlich nicht verfügbar sein. Hat das SOC keinerlei ITSM-Ansichten für die Bedrohungsjagd, muss es nach anderen Quellen suchen (die vom Hersteller bereitgestellte Überwachung wechseln) oder weniger bevorzugte oder indirekte Überwachungsansichten verwenden.
  3. Nicht alle Ausfälle werden leistungsbezogen sein. Das heisst, nicht alle Leistungsänderungen sind durch einen Funktionsausfall bedingt, weil das ITSM entfernt wurde. Es könnte sich um einen Angriff oder Malware handeln, die die Gelegenheit nutzt, die Umgebung zu infiltrieren, während das ITSM nicht vorhanden ist.

Die Berücksichtigung dieser Punkte kann einige zusätzliche Risiken mindern, während das ITSM abgeschaltet ist und weitere Informationen zu dem Vorfall kommen, die den Bedrohungsjäger in den Opferorganisationen an die Hand gegeben werden. Die nächsten Schritte sind weitaus schwieriger, da Unternehmen alle Spuren dieser Angreifer aus ihren Netzwerken entfernen müssen.

Bis dahin empfiehlt sich insgesamt ein intensiverer Dialog zwischen Sicherheit und Ops, um gemeinsam daran zu arbeiten, die IT-Infrastruktur aufrechtzuerhalten und zu sichern, sollte  das ITSM eine Zeit lang ausfallen.

Phishing-Technik setzt auf legitim aussehende Domänen

Originalartikel von Paul Miguel Babon

Die E-Mail-Bedrohungen nehmen weiterhin zu, und zugleich steigt auch die Zahl der Phishing URLs. Damit haben sich leider die Warnungen von Trend Micro zur Jahresmitte 2020 auch für die zweite Hälfte bestätigt. Kürzlich entdeckten die Sicherheitsforscher eine Phishing-Technik, die eine Kombination aus Phishing-Mail und betrügerischen Seiten nutzt. Die Kombination beinhaltet eine genaue URL, nämlich die Phishing-Seite, und deren Domäne, eine Scam-Website.

Der Prozess startet mit einer Phishing-Mail:

Bild 1. Die eingesetzte Phishing E-Mail

Ein Klick auf „Release All/Block All“ führt den Nutzer auf eine völlig andere Website, die in keiner Beziehung zur E-Mail steht und ein gefälschtes Login-Fenster für ein Mail-System zeigt. Dies ist zwar eine übliche Taktik bei Phishing, doch den Unterschied macht aus, dass die Domäne selbst zugänglich ist und eine Unternehmensseite darstellt.

Bild 2. Die wiseinvestors[.]pro-Unternehmensseite

Mithilfe folgender Faktoren konnten die Sicherheitsforscher erkennen, dass es sich um eine gefälschte Firma handelt:

  • Domänenname. Der Domänenname „WiseInvestors“ unterscheidet sich von dem Markennamen der Firma auf dem Bildschirm, der „Pearl“ lautet. Der Grund: Pearl ist ein WordPress Theme und kein legitimer Service.
  • Ungewöhnliche TLD (Top Level Domain). Die Verwendung von .pro ist unüblich für eine TLD. Anders als .com, .net oder .ph sind nicht übliche TLDs normalerweise billig zu haben, und daher für Cyberkriminelle attraktiv.
  • Template-Text. Reste von Template-Text, ähnlich dem „Lorem Ipsum“-Wortblock, sind auf der Website noch vorhanden (siehe Bild 3).
  • Domänenregistrierung. Laut „whois“ ist die Domäne weniger als ein Jahr alt, was dem Alter der meisten bösartigen Domänen entspricht.

Bild 3. Der Text der Website wirkt unfertig

Bild 4. Whois-Daten zu wiseinvestors[.]pro

Cyberkriminelle können mit dieser Phishing-Technik eine Erkennung in Echtzeit vermeiden, da die Domain weiter untersucht werden muss, was Anti-Spam und Funktionen gängiger Sicherheitssoftware zum Blockieren bösartiger URLs übersehen können. Selbst wenn die Phishing-Mail vereitelt wird, bleibt die Phishing-Domain unentdeckt, sodass Cyberkriminelle weitere Phishing-URLs erstellen können, die auf dieser Domain gehostet werden. Es gab in den vergangenen Monaten auch weitere Beispiele dieser kombinierten Phishing-/Scam-Technik, so etwa folgende:

Bild 5. Gefälschte Benachrichtigung über das E-Mail-Konto-Passwort dient als Phishing-Mail. Wenn das Opfer auf „Passwort behalten“ klickt, wird es auf eine andere Seite umgeleitet.

Empfehlungen

Nutzer können solche Angriffe vermeiden, indem sie ein paar Best Practices befolgen, bevor sie auf einen Link in einer E-Mail klicken:

  • Überprüfen Sie den Inhalt der E-Mail genau. Untersuchen Sie, ob die Informationen, wie z. B. die E-Mail-Adresse, der Nachrichtentext oder die Links, wirklich konsistent sind.
  • Wenn Sie auf den Link aus einer E-Mail klicken, prüfen Sie die Website. Auch wenn sie scheinbar nicht bösartige Inhalte auf ihrer Startseite anzeigt, bedeutet das nicht, dass die Website nicht bösartig ist. Verräterische Zeichen sind Template-Texte innerhalb der Website.
  • Wenn Sie etwas auf Ihrem Arbeitscomputer finden, alarmieren Sie sofort Ihre Sicherheits- und IT-Abteilung, damit diese weitere Untersuchungen vornehmen kann.

Befolgen Unternehmen die folgenden Security Best Practices können sie ähnliche erfolgreiche Phishing-Kampagnen verhindern:

Ein mehrschichtiger Security-Ansatz empfiehlt sich zum Schutz aller möglicher Bedrohungseintrittspunkte. Lösungen wie Trend Micro™ Email Security, die fortschrittliches Machine Learning und dynamische Sandbox-Analysen verwenden, können dazu beitragen, E-Mail-Bedrohungen zu stoppen.

Mehrwert für XDR durch Partnerschaften

Originalbeitrag von Trend Micro

Trend Micro schützt seine Kunden seit über drei Jahrzehnten vor Cyber-Bedrohungen. Die langjährige Erfahrung hat aber auch gezeigt, dass keine IT-Umgebung völlig homogen ist. Ob durch Zufall, Übernahmen oder aufgrund des Designs müssen Technologieverantwortliche in der Regel eine gemischte Umgebung aus mehreren Legacy- und Next-Gen-Produkten verschiedener Anbieter verwalten. Im Sicherheitsbereich kann dies zur Entstehung von Silos und Abdeckungslücken führen, wenn diese individuellen Lösungen nicht richtig zusammenarbeiten. Um einen maximalen Wert für Kunden und deren Sicherheitslage liefern zu können, arbeitet Trend Micro mit Partnern zusammen, wo immer dies möglich ist. So gibt es etwa eine solche Zusammenarbeit mit Unternehmen wie Fortinet über eine offene Integration deren Security Orchestration, Automation and Response (SOAR)-Plattform mit Trend Micro XDR.

Erweiterte Detection-and-Response (XDR) stellt laut Gartner den stärksten Trend 2020 in der Sicherheit und der Risikominimierung dar. Der Grund dafür ist, dass die Entdeckung und Reaktion auf Bedrohungen immer schwieriger wird, weil sowohl die Zahl als auch die Raffiniertheit der Angriffe steigt, wobei gleichzeitig die Angriffsfläche in den Unternehmen grösser wird. Einem ESG Report zufolge wenden die Sicherheitsteams von mehr als einem Drittel der Unternehmen die meiste Zeit für Notfälle auf, statt sich um Strategie oder Verbesserungen an den Prozessen zu kümmern.

Trend Micro XDR erweitert die Bedrohungserkennung und -bekämpfung (Detection and Response) über den Endpunkt hinaus, indem Daten über E-Mails, Endpunkte, Server, Clouds, Netzwerke und die Trend Micro-eigenen Bedrohungsdaten miteinander korreliert werden, um weniger, aber aussagekräftigere Alarme zu erzeugen.

Partner erweitern Funktionalität von XDR

Doch ist auch bekannt, dass Kunden neben XDR zum Beispiel auch SIEM- und SOAR-Plattformen betreiben wollen. Diese können für die Mitarbeiter des Security Operations Center (SOC) eine wertvolle Arbeit leisten, indem sie Bedrohungsdaten aus verschiedenen Quellen abrufen und korrelieren und eine Reaktion automatisieren.

Deshalb besteht die XDR Strategie darin, sich über eine einfache API in diese Lösungen von ausgewählten Partnern zu integrieren. Ein solcher Partner ist Fortinet, dessen FortiSOAR-Angebot darauf ausgelegt ist, die Fähigkeit der Kunden zur Erkennung und Reaktion auf Bedrohungen zu verbessern.

Die neue offene Integration für Trend Micro ApexOne mit Fortinets Lösung ermöglicht die Koordination proaktiver Massnahmen und automatisierter Reaktionen über eine einfache API, die über automatisierte Playbooks schnelle Reaktionsmöglichkeiten bietet. Mithilfe von Playbooks können Operation-Teams automatisierte Vorgänge, wie das Erstellen einer Live-Untersuchung, das Ausführen von Aktionen auf Sicherheitsendpunkten und Listen von verwalteten Endpunkt-Sicherheitsagenten, problemlos durchführen.

Der offene Ansatz beider Unternehmen machte es einfach, einen Konnektor zwischen den Produkten zu erstellen, der in Kürze weltweit zugänglich gemacht werden wird. Trend Micro XDR erstellt auf Basis seiner nativen Telemetrie priorisierte Alarme und sendet diese an die SIEM/SOAR-Plattformen der Kunden, wo sie bei Bedarf Daten aus anderen Quellen integrieren können, um eine Bedrohungsreaktion zu optimieren.

Diese Integration ist nur der Anfang der gemeinsamen Partnerschaft und wird bald um weitere Funktionen in Trend Micro XDR erweitert, die über den Endpunkt hinausgehen und für mehr Transparenz und Sicherheit sorgen.

MITRE ATT&CK als Hilfe bei Identifizierung eines APT-Angriffs

Originalartikel von Lenart Bermejo, Threat Engineer, Gilbert Sison, Cyber Threat Hunting Technical Lead und Buddy Tancio, Incident Response Analyst

Sicherheitsteams und Forscher sind auf öffentlich dokumentierte Analysen von Tools, Routinen und Verhaltensweisen angewiesen, um sich über die neuesten Erkenntnisse in der Cybersicherheitslandschaft zu informieren. Öffentliche Informationen dienen als Referenz für die bekannten Taktiken, Techniken und Prozeduren (TTPs), um Abwehrmassnahmen gegen Advanced Persistent Threats (APTs) zu installieren und Angriffe zu verhindern. Theoretisches Wissen über die Abwehr eines Angriffs unterscheidet sich jedoch erheblich von der Erfahrung aus erster Hand. Das Fallbeispiel eines Unternehmens soll dies aufzeigen.

Die veröffentlichten Routinen, Tools und Verhaltensweisen können sich für jedes anvisierte Unternehmen oder jede Branche bei der Angriffsausführung durch die kriminellen Gruppen unterscheiden. Angesichts des Aufwands und der Ressourcen, die in die Erforschung und die Mittel zum Eindringen fließen, werden die Bedrohungsakteure sicherstellen, dass sie jedes Mal andere Methoden einsetzen, bei der Erkundung verborgen bleiben, verdeckt Befehle senden und Informationen empfangen, ihren Datenverkehr verschleiern und so lange wie möglich weitere Geräte infizieren. Hier kommen Forscher, Analysten und technologische Lösungen ins Spiel.

Die Sicherheitsforscher von Trend Micro wurden vom Sicherheitsteam eines Unternehmens zu Hilfe gerufen, nachdem das Team verdächtigen Command-and-Control (C&C)-Verkehrsaustausch von einem der Server aus entdeckt hatte. Diesen Verkehr galt es zu untersuchen und zu analysieren. Die Experten erhielten Zugang zu einer begrenzten Anzahl von Maschinen und Daten, um Rückmeldungen und Ereignis-Logs zu untersuchen, einschließlich Festplatten- und Speicher-Images. Ohne eine Endpoint Detection and Response (EDR)- oder eine Cross-Layered Detection and Response (XDR)-Lösung gab es jedoch keine Möglichkeit, alle Samples und Tools zu sammeln, die wahrscheinlich unentdeckt in der Umgebung des unzugänglichen Systems liefen. Dieser Mangel hinderte die Ermittlungs- und Sicherheitsteams daran, eine vollständige Abbildung zu erstellen und Angriffe zuzuordnen.

Umfang und erste Analyse des Angriffs

Eine erste Analyse der Logs ergab insgesamt 62 infizierte Maschinen: 10 Server, 13 Rechner mit Binärdateien, die zum File Scraping und zur Datenexfiltration fähig waren, 22 Rechner mit Backdoor-Shells und weitere Rechner, auf denen andere Tools und normale Anwendungen liefen, die zum Laden bösartiger Binärdateien missbraucht wurden.

Bild 1. Erste Untersuchung der Routine auf Basis der gesammelten und analysierten vorläufigen Daten

Die Backdoor ermöglicht es dem Angreifer, Befehle über cmd.exe auszuführen. Ausserdem wurden Tools wie Mimikatz verwendet, um Benutzerkonten zu übernehmen. Mithilfe von Netzwerk-Scanner-Tools suchten sie andere zu infizierende Computer und banden sie in ein bösartiges Netzwerk ein, über das die Backdoor weitere Tools aus der Ferne ablegen konnte. Um die per Fernzugriff platzierte Binärdatei auszuführen, erstellten sie entweder einen zeitgesteuerten Task oder verwendeten den Befehl wmic process create. In mehreren Fällen wurden Kopien der Backdoor abgelegt, und auch die Tools variierten.

Die Angreifer hatten es vor allem auf Dateien wie PDFs und Microsoft Office abgesehen. Ausserdem ist es wahrscheinlich, dass diese Angriffe schon seit einigen Jahren liefen, das lassen die Zeitstempel der Binärdateien und die Verbreitung der Infektion vermuten. Die Forscher verglichen die gefundenen Routinen und Tools mit MITRE ATT&CK und stellten fest, dass die gesichteten Techniken sowohl mit APT32 als auch mit APT3 übereinstimmen, mit Ausnahme einiger unterschiedlicher Techniken, die nicht zugeordnet werden konnten.

Analysen und Zuordnung

Mit Blick auf die Variationen der Techniken analysierten die Forscher die Tools und Beziehungs-Cluster, die die Routinen verwendeten und mit denen sie sich mit den fünf Endpunktzielen mit der grössten Anzahl an Installationen verbanden. Sie fanden sechs Arten von Datenexfiltrations-Tools, sechs Backdoors und fünf verschiedene Tools, die für unterschiedliche Zwecke eingesetzt wurden. Viele dieser Tools nutzten die unternehmensinternen Systeme und Software, wie z. B. das Dokumentenmanagementsystem mit einer MySQL-Backend-Datenbank. Ausserdem fanden sie sechs Beziehungs-Cluster, die die Tools mit den bösartigen Routinen verbanden, sowie vier Einbruchs-Sets, die mit früher dokumentierten Kampagnen von APT-Gruppen und Untergruppen übereinstimmten. Diese Tools und Beziehungen sind im Whitepaper „Finding APTX: Attributing Attacks via MITRE TTPs“ im Detail beschrieben.

Die Gruppen, denen die Forscher den Angriff zuschreiben, verwenden unterschiedliche Toolsets und haben starke Verbindungen zu anderen Gruppen, die bereits von anderen Forschern beschrieben worden sind. Auch die Schreibstile sind sehr unterschiedlich. Das zeigt sich daran, wie dicht gepackt oder „aufschlussreich“ die Tools sind. Auch sind die Redundanzen in den Datenexfiltrations-Prozessen der einzelnen Angriffssets nicht verwunderlich, wenn man bedenkt, dass das Ziel kontinuierlicher Informationsdiebstahl, Datenaktualisierungen und eine verlängerte verborgene Präsenz im System sind.

Fazit

Opferorganisationen sind glücklicherweise in der einzigartigen Lage, die Indicators of Compromise (IOCs) festzustellen, die sie als Referenz verwenden können. Dank der heute verfügbaren technischen Lösungen (z. B. EDR und XDR) könnten undefinierte Logs fehlende Zusammenhänge identifizieren und nachweisen, die zur Erstellung eines vollständigen Abbilds des Eindringens erforderlich sind.

Diese Lösungen könnten den Zeitaufwand für die Identifizierung und Rekonstruktion der Ereignisse, wie den Angriffsablauf, reduzieren. Dennoch spielt die Kooperation von Sicherheits- und Untersuchungsteams eine entscheidende Rolle bei der Identifizierung, Verhinderung und Entschärfung von Bedrohungen, oder bei der Zuordnung zu den verantwortlichen Gruppen.

Die gesamte technische Analyse ist Inhalt des Whitepapers „Finding APTX: Attributing Attacks via Mitre TTPs“.

Backdoors zeigen sich erst, wenn sie genutzt werden

Originalartikel von Greg Young

Wenn Regierungen oder Geheimdienste vorschlagen, ein Telefon, ein Kryptographie-Tool oder ein Produkt mit einer Backdoor auszustatten, sind sich alle Teams darüber einig, dass dies eine sehr schlechte Idee ist. Sicherheitslücken oder Schwachstellen in Produkten sind schwer zu finden. Bei Exploits fällt es leichter, sobald man die Schwachstellen kennt. Aber eine absichtliche Backdoor, ob vom Hersteller oder vom Einschleuser installiert, ist vielleicht die am schwierigsten zu identifizierende Malware.

Eine Backdoor ist eine Schwachstelle und ein Exploit in einem und es bedarf keiner Malware. Zur Klarstellung: Backdoor bedeutet in diesem Zusammenhang, dass sie sich in einem legitimen Produkt-Release befindet und nicht als eine nachträgliche Auslagerung in der Supply Chain. Das mit einer Backdoor versehene System verfügt über ein legitimes Zertifikat und wird alle Hash-, Grössen- und Validierungsprüfungen bestehen. Im Gegensatz zu einer Schwachstelle ist die Backdoor mit allen von seinen Entwicklern gewünschten Sicherheits- und Verschleierungsmassnahmen ausgestattet, wodurch sie für Bedrohungsforscher nahezu nicht aufzuspüren ist. Und jeder Kunde dieses Produkts hat diese Backdoor, und die kann genutzt werden. Wenn der Backdoor-Code also effektiv unauffindbar ist, können sie dann überhaupt entdeckt werden?

Ja, allerdings nicht im inaktiven Zustand (d. h. bevor irgendwelche Aktionen ausgeführt werden). Sobald die Backdoor genutzt wird, kann selbst die bestens getarnte Backdoor entdeckt werden, wenn auch nicht ohne weiteres. Traditionelles Pattern Matching für Exploits hilft nicht weiter, es sei denn, die Backdoor verteilt intern bereits bekannte Malware. Auch auf Schwachstellen basierende IPS-Signaturen erkennen sie in den frühen Stadien nicht. Sie können zwar Verhaltensänderungen entdecken, sobald die Backdoor genutzt wird, haben es aber leichter, wenn klare Indicators of Compromise (IOCs) verteilt werden.

Mit den IOCs sind rückwirkende Suchläufe möglich. Dies kann eine frühe Überprüfung des Ausmasses der Kompromittierung darstellen. Ein Problem dabei wäre, dass häufig Infrastruktursoftware auf der „Safe“-Liste steht oder als „bekannt gut“ gekennzeichnet ist, was bedeutet, dass viele der primären Sicherheitsvorkehrungen angewiesen sind, das mit einer Backdoor versehene System zu ignorieren.

Kritischer Zeitraum zwischen erster Backdoor-Nutzung und ausgestellten IOCs

Doch was passiert, bevor diese IOCs allgemein bekannt sind? Digitale Anhaltspunkte für einen Angriff gibt es schon, bevor die IOCs verfügbar sind, aber kein einzelner Indikator ist ausreichend, um eine Bedrohung zu identifizieren.

Änderungen in den Kommunikationsmustern wären ein solcher Indikator, aber diese sind sehr unauffällig. Viele Systemmanagement- und Backup-Softwaresysteme kommunizieren absichtlich mit einer Vielzahl von Ressourcen. Doch man kann davon ausgehen, dass die Häufigkeit oder die Art dieser Kommunikation möglicherweise anders ausfällt. Grössere Pakete, Austauschvorgänge, die nicht der Norm entsprechen, und wiederholte externe Kommunikation, z. B. mit Command-and-Control-Servern, sind zusätzliche Indikatoren.

XDR-Produkte sind speziell darauf zugeschnitten, Logs der Sicherheits-Events und andere Event-Daten in einem sogenannten Data Lake vorzuhalten, um nach verdächtigen Mustern suchen zu können. Wo diese Muster nicht so ausgeprägt sind, hat ein Threat-Hunter im SOC zumindest Daten für die Analyse zur Verfügung, die aus vielen Quellen gesammelt wurden.  XDR ist besser ist als EDR allein, weil XDR alle EDR-Daten plus Telemetrie und Daten aus Quellen wie E-Mail, Netzwerkgeräten, DNS und anderen sammelt.

Dieser Data Lake mit Telemetriedaten bietet auch einen zusätzlichen Nutzen, indem er rückblickend betrachtet das Ausmass des Angriffs erkennen lässt. Dazu wird der Verlauf der Interaktionen untersucht, die darauf hinweisen könnten, dass unerwarteter Code ausgeführt wurde oder eine Datenexfiltration wahrscheinlich war. Diese Ereignisse können mit Telemetrie und XDR aufgespürt werden.

Blick nach vorn

Ein weiterer Vorteil ist die Dauer der Datenspeicherung. Jetzt sollten alle SOC-Teams dies überprüfen – die Ereignisse der letzten Woche könnten eine Mahnung sein, dass die Angreifer bei den fortschrittlichsten Attacken nicht dieselben Methoden verwenden werden.

XDR ist ein grossartiges neues Instrument bei der Jagd auf fortgeschrittene Angriffe und bei der Bestimmung und Begrenzung des Umfangs dieser Angriffe. Auch für den fortschrittlichsten Angriff – ein durch ein Backdoor manipuliertes legitimes Produkt – stellt sich heraus, dass es auch hier Hilfe gibt.

Pawn Storm: Einfachheit als Strategie

Originalbeitrag von Feike Hacquebord, Lord Alfred Remorin

Bei der Entdeckung eines einfachen Remote Access-Trojaner (RAT) im Netzwerk, denkt man nicht gleich einen Advanced Persistent Threat (APT)-Akteur als Angreifer. Brute-Force-Angriffe auf Services wie E-Mail, Microsoft Autodiscover, SMB, LDAP und SQL im Internet sind zudem mittlerweile so häufig, dass sie Hintergrundrauschen durchgehen, das man ignorieren kann. 2020 setzte die berüchtigte APT-Gruppe Pawn Storm genau diese nicht sehr komplizierten Angriffsmethoden so häufig ein, dass ihre Attacken im allgemeinen Rauschen untergehen konnten.

2020 verbreitete Pawn Storm einfache Google Drive- und IMAP-RATs, um ihre üblichen Ziele anzugreifen, so etwa Aussenministerien, Botschaften, die Verteidigungsindustrie und Militäreinrichtungen. Die RATs wurden auch an ein breite Ziele verschiedener Branchen auf der ganzen Welt geschickt. Die Gruppe führte darüber hinaus ausgedehnte Brute-Force-Angriffe durch, um Anmeldeinformationen zu stehlen, z. B. die von E-Mail-Konten von Unternehmen. Dies belegen die Netzwerkproben, die Trend Micro Pawn Storm zuschreibt, und auch die Art und Weise, in der die Akteure kompromittierte E-Mail-Konten für das Versenden von Spear Phishing-Mails missbrauchten. Pawn Storm hat sogar kompromittierte militärische und regierungsnahe E-Mail-Adressen in seiner IMAP-RAT-Malware fest codiert, um mit den Computern der Opfer zu kommunizieren. Kürzlich erklärten norwegische Behörden, Pawn Storm habe das norwegische Parlament gehackt.

Inkrementelle Verbesserungen bei nachfolgenden Versionen der Malware deuten auf eine Lernkurve des Malware-Autors hin, die eher für einen unerfahrenen Akteur als für einen erfahrenen Täter typisch ist. Anfänglich waren die RATs so einfach, dass sie nicht einmal internationale Tastaturen berücksichtigten. Das bedeutet, dass es für den Angreifer schwierig gewesen sein dürfte, die Festplatten der Opfer mit Dateien und Ordnern zu erfassen, die internationale Zeichen enthalten. Dieser Fehler wurde schnell korrigiert, zeigt aber die relative Unerfahrenheit dieses speziellen Pawn Storm-Betreibers. Spätere Versionen der RAT-Malware begannen Verschlüsselung zu verwenden. Die einzige Neben-Payload, die die Forscher fanden, war ein einfacher Keylogger, der gestohlene Informationen lokal auf den Rechnern der Opfer speichert.

Es wäre schwierig, diese Malware Sample Pawn Storm zuzuschreiben. Und ein typischer Netzwerkadmin hätte den Ursprung dieser Art von Malware bei keinem APT-Akteur vermutet. Dennoch konnten die Sicherheitsforscher aufgrund des Langzeit-Monitorings diese Samples sicher Pawn Storm Aktivitäten zuordnen.

Kürzliche Pawn Storm-Aktivitäten

Kompromittierung von Nutzerkonten im Mittleren Osten

Trend Micro hat die Aktivitäten von Pawn Storm genau und konsequent überwacht und im März 2020 die neuesten Forschungsergebnisse zu der Gruppe veröffentlicht. Das Paper zeigt auf, dass Pawn Storm kompromittierte Konten – vor allem im Mittleren Osten – massiv missbraucht, um Spear Phishing-Mails zu versenden. Anfang Dezember nutzte die Gruppe beispielsweise einen VPN-Dienst, um sich mit einem kompromittierten Cloud-Server zu verbinden, und verwendete dann den Server für die Verbindung mit einem kommerziellen E-Mail-Provider für Unternehmen. Die Gruppe meldete sich dann bei einem kompromittierten E-Mail-Konto einer Hühnerfarm im Oman an und verschickte anschließend Credential Phishing-Spam an hochrangige Ziele auf der ganzen Welt. Dies zeigt, dass Pawn Storm sorgfältig darauf bedacht ist, seine Spuren über mehrere Ebenen hinweg zu verwischen.

Seit August 2020 verwenden sie diese Mail-Adressen nicht nur für das Verschicken von Spear Phishing-Mails sondern auch als Kommunikationsweg mit kompromittierten Systemen in IMAP RATs.

Brute Force-Angriffe

Die Sicherheitsforscher gehen davon aus, dass Pawn Storm viele Mailkonten über Brute Force-Angriffe auf Services wie E-Mail, Microsoft Autodiscover, SMB, LDAP und SQL im Internet kompromittiert. So scannte Pawn Storm im Mai 2020 weltweit IP-Adressen, darunter auch solche aus der Verteidigungsindustrie in Europa, auf den TCP-Ports 445 und 1433, wahrscheinlich um angreifbare SMB- und SQL-Server zu finden oder Anmeldeinformationen mit Brute-Force zu sammeln. Im August 2020 schickte Pawn Storm ausserdem UDP-Tests an LDAP-Server auf der ganzen Welt von einer ihrer dedizierten IP-Adressen.

Pawn Storm versucht häufig, diese Brute-Force-Versuche zu verschleiern, indem sie den Angriffsverkehr über Tor- und VPN-Server leiten. Dies reicht jedoch nicht immer aus, um die Aktivitäten zu verbergen. In einem Microsoft-Artikel über das Brute-Forcing von Office365-Anmeldeinformationen über Tor schrieb Microsoft die Aktivitäten Strontium zu, ein anderer Name für Pawn Storm. Trend Micro schrieb Anfang 2020 über ähnliche Angriffe, die 2019 begannen und eindeutig Pawn Storm zuzuordnen waren, weil die Sicherheitsforscher das umfangreiche Sondieren von Microsoft Autodiscover-Servern auf der ganzen Welt mit hochgradig zuverlässigen Indikatoren für die traditionelleren Angriffsmethoden der Gruppe (Spear-Phishing und Credential-Phishing) in Beziehung setzen konnten.

An technischen Einzelheiten Interessierte finden im Originalbeitrag die Analyse anhand eines Beispielfalls.

Trend Micro-Lösungen

Für das extensive Monitoring empfiehlt sich Trend MicroTM XDR, auch weil die Überwachung über alle vernetzten Ebenen von E-Mail, Endpoints, Cloud Workload und Netzwerke hinweg durchgeführt wird. Die Lösung wird von fortschrittlicher KI und Sicherheitsanalysen für die Datenkorrelation unterstützt. Somit ermöglicht XDR die Entdeckung und Reaktion auf einen Angriff bereits zu einem frühen Zeitpunkt.

Mit Trend Micro Managed XDR erhalten Kunden einen 24/7-Service, der die Fähigkeiten erfahrener Managed Detection and Response-Analysten für die fachkundige Überwachung, Korrelation und Analyse von Bedrohungen nutzt.

Indicators of Compromise sowie die relevanten IP-Adressen listet ebenfalls der Originalbeitrag auf.