Archiv der Kategorie: Encryption

Aufkommende Ransomware-Techniken für gezielte Angriffe

Originalartikel von Trend Micro

Wie Trend Micro im Halbjahresbericht 2020 darlegt, sagen die Zahlen zur Lösegeldforderung auf den ersten Blick nicht mehr viel aus. Zwar ist die Zahl der Infektionen, der Offenlegungen von Unternehmen und der Ransomware-Familien zurückgegangen, doch der geschätzte Geldbetrag, der für den Zugriff auf die verschlüsselte Daten ausgegeben wurde, ist stetig gestiegen. Cyberkriminelle greifen Institutionen und Unternehmen an, für die der Zugriff auf ihre Daten und die Wiederherstellung ihre Systeme sehr wichtig ist. Deshalb können die Kriminellen exorbitante Lösegeldforderungen stellen.

Bild 1. Die Gesamtzahl der Ransomware-Familien ist von 2012 bis 2020 zurückgegangen (oben). Das zeigen die monatlichen Erkennungszahlen für neue Ransomware-Familien im ersten Halbjahr 2020 (unten).

Die Bedrohungsakteure zielen nicht mehr auf einzelne Benutzer und Maschinen ab, um zufällige Ransomware-Infektionen auszulösen. Deshalb fehlt es in der Öffentlichkeit an Aktualisierungen und Mundpropaganda über deren Verbreitung. Betroffene Unternehmen und Behörden versuchen, Stillschweigen über die Angelegenheit zu bewahren, bis sie intern gelöst ist. Die Öffentlichkeit wird erst dann auf diese Vorfälle aufmerksam gemacht, wenn Nachforschungen angestellt oder wenn Vorfälle schliesslich gemeldet werden. Doch diese Verlautbarungen geben nur wenige Einzelheiten (wenn überhaupt) darüber, wie die Organisationen zu Opfern wurden oder ob dabei Lösegeld gezahlt wurde. Leider bietet die Bezahlung von Cyberkriminellen keine Garantie dafür, dass die Dateien wieder zugänglich werden oder dafür, dass es in Zukunft keine weiteren Angriffe geben kann.

Arten der Ransomware

Wie bereits erwähnt, gibt ein Vergleich der Erkennungszahlen mit denen von 2019 ein nur unvollständiges Bild des Geschehens. Eine Analyse der Techniken und Routinen der früher und derzeit installierten Ransomware macht deutlich, dass die Cyberkriminellen mittlerweile ihre Aufmerksamkeit auf bestimmte Ziele und grössere Geldsummen lenken, die sie von ihren Opfern erpressen können. Diese Ziele sind häufig in Branchen oder Organisationen mit kritischen öffentlichen Geschäftsvorgängen und Infrastrukturen zu finden.

Bedrohungsakteure können immer noch willkürlich Spam-E-Mails an ein Verzeichnis von E-Mail-Adressen senden, um mindestens ein Opfer anzulocken. Doch die jüngsten Angriffe sind gezielter, und die Opfer wurden vorher ausgekundschaftet, um einen grösstmöglichen Gewinn zu erzielen. Im Laufe der Jahre haben die Forscher drei verschiedene Arten von Ransomware beobachtet mit verschiedenen Routinen für das Eindringen in die Systeme der Opfer.

Wurm-basierte oder Legacy Ransomware

Wurm-basierte Ransomware verbreitet sich ähnlich den Würmern über replizierte Kopien ihrer selbst durch Systeme. Legacy Ransomware nutzt den eingestellten Support für Betriebssysteme aus. Sie setzen auf Schwachstellen als Einstiegspunkte und beeinträchtigen andere Systeme im Netzwerk auch ohne menschliche Interaktion. Einige dieser Bedrohungsvektoren lassen sich verhindern, wenn von den Herstellern veröffentlichte Patches aufgespielt oder die virtuellen Patches von Sicherheitsanbietern heruntergeladen werden, wenn der Support für ein Betriebssystem endet.

Ransomware-Routinen, die Zero-Day-Schwachstellen ausnutzen, können jedoch den grössten Schaden in Systemen anrichten. Ein Beispiel dafür ist WannaCry, das 2017 eingeführt wurde, Monate nachdem die Gruppe Cyberkrimineller Shadow Brokers mehrere Hacker-Tools veröffentlichte, darunter EternalBlue. Die Ransomware verbreitete sich rasch in Unternehmen auf der ganzen Welt und hielt Systeme als Geiseln und deren Betrieb im Stillstand, bis Forscher den Kill Switch in der Kodierung der Routine fanden.

Gängige Ransomware

Diese Art von Ransomware wird über Spam verbreitet. Cyberkriminelle kennen die Opfer nicht und senden die infizierten E-Mails einfach an eine Liste von Adressen, die sie gesammelt, gestohlen oder gekauft haben. Sie setzen Social Engineering-Techniken ein, um die Opfer zu täuschen, so dass diese die E-Mail oder den bösartigen Anhang öffnen und so ihre Systeme mit Lösegeldern infizieren.

Bei den meisten dieser Routinen verschlüsselt die Malware fast alle Arten von Dateien, die sich in einem System befinden können, wie z. B. Mediendateien, Dokumente, ausführbare Dateien und Anwendungen. Zu diesen Routinen gehört vermutlich auch eine Datei oder eine ausführbare Datei, in der die Höhe des Lösegeldes angegeben ist, sowie Support-Anweisungen, wie die Opfer Kryptowährungen erwerben können, um ihre Dateien wiederherzustellen. Dennoch gibt es keine Garantie dafür, dass ihnen der Entschlüsselungsschlüssel zugesandt wird oder dass ihre Dateien nach Zahlung des Lösegelds wiederhergestellt werden.

20162017201820192020 1H
LOCKY82,805WCRY321,814WCRY616,399WCRY416,215WCRY109,838
KOVTER50,390CERBER40,493GANDCRAB14,623LOCKY7,917LOCKEY6,967
NEMUCOD46,276LOCKY29,436LOCKY10,346CERBER5,556CERBER2,360
CERBER40,788CRYSIS10,573CERBER8,786GANDCRAB4,050CRYSIS1,100
CRYPTESLA26,172SPORA8,044CRYSIS2,897RYUK3,544SODINOKIBI727

Tabelle 1. Top fünf Ransomware-Familien von 2016 bis zum ersten Halbjahr 2020 (Daten aus dem Smart Protection Network, SPN)

Lesen Sie die Historie dieser Familien im Originalartikel.

Solch gängige Ransomware ist mittlerweile ein geringeres Problem für Unternehmen. Viele heute verfügbare Sicherheitssysteme und auch veröffentlichte Patches umfassen Mechanismen, die über verhaltensbasierte und Dateiüberwachungs-Technologien die Malware erkennen.

Gezielte oder auf Einbrüchen basierte Ransomware

Gezielte oder auf einem Einbruch basierte Ransomware beinhaltet die Techniken in Routinen, die in den letzten Jahren eingesetzt wurden. Diese Art von Ransomware dringt in ein System mittels z.B. gestohlener RDPs ein, über nicht gepatchte Schwachstellen und schlecht gesicherte Anwendungen. Von Untergrund-Websites können Cyberkriminelle Zugangsdaten wie RDP-Benutzernamen und Passwörter erwerben. Sie können auch Social-Engineering-Techniken einsetzen, um die benötigten Zugangsdaten zu phishen, oder die Zielcomputer mit Malware wie InfoStealer infizieren, um die Bedrohungsvektoren zu finden, die sie missbrauchen können.

Cyberkriminelle nutzen die genannten Zugangsdaten auch, um in die Systeme eines Unternehmens einzubrechen. Manchmal wird dies mit einer Eskalation der Privilegien, Tools oder Methoden kombiniert, die die installierte Sicherheit ausschalten. Im Fall des Vorhandenseins von technologisch fortschrittlicheren Systeme, wie z.B. Verhaltens-/Dateierkennung, ist Living Off the Land Binaries and Scripts (LOLBAS) eine Möglichkeit, der Erkennung beim Ausführen von Ransomware zu entgehen.

Auch hier fügen die Kriminellen Anleitungen in die Lösegeldforderung mit ein, wie das Opfer Bitcoins erwerben kann. Da die Erpresser ihre Ziele kennen, ist die Forderung häufig höher als bei den gängigen Ransomware-Angriffen. Sie setzen darauf, dass die Unternehmen ihre Dateien bzw. Systeme sofort wieder nutzen müssen. Cyberkriminelle können auch Fristen setzen, damit die Sicherheitsteams die Infektion vor Ablauf der Zeit unmöglich allein beheben können und deswegen das Opferunternehmen gezwungen ist zu zahlen. Mittlerweile drohen einige Cyberkriminelle ihren Opfern auch, die verschlüsselten Dateien zu veröffentlichen oder  die gestohlenen Informationen im Untergrund zu verkaufen, sollte das Lösegeld nicht rechtzeitig bezahlt werden.

Bei dieser Art der Ransomware-Angriffe werden nicht alle Dateien verschlüsselt, sondern eher bestimmte Dateitypen oder Anwendungen, die für den Alltagsgeschäftsbetrieb unerlässlich sind, so etwa Systemdateien und ausführbare Dateien. Auch hier gibt es keine Garantie, dass die Dateien wieder verwendbar sind, wenn das Opfer zahlt. Auch besteht die Gefahr, dass die Kriminellen weitere Arten von Malware installieren, die nicht auffindbar ist und für weitere Angriffe genutzt wird.

Zu den Zielen gehören auch mittelständische Betriebe wie Krankenhäuser, die als einträglich angesehen werden, weil ihre Sicherheitssysteme weniger fortschrittlich sein könnten und sie dennoch über genügend Ressourcen verfügen, um das Lösegeld zu bezahlen.

Im Jahr 2016 begannen Crysis und Dharma als gängige Arten von Ransomware. Die Techniken beider Routinen änderten sich jedoch schnell, um höher bezahlte potenzielle Opfer durch den Einsatz anderer Software und gestohlener RDPs anzugreifen. Dharma zeigte, wie vielseitig Ransomware sein kann, denn die Malware passte ihre Routinen an und nutzte andere legitime Software, um die Überwachung und Aufmerksamkeit umzulenken. Crysis wiederum nahm Unternehmen ins Visier und erlangte selbst nach der Entfernung der Malware wieder Zugang,  indem sie andere angeschlossene Geräte wie Drucker und Router für spätere Angriffe infizierte. Sie wurde als RaaS im Untergrund angeboten und war damit auch weiteren Hackern leicht zugänglich.

Charakteristiken neuer Techniken und Ziele

Diese Ransomware-Techniken des Eindringens in Systeme gezielter Opfern sind nicht neu. Unternehmen und Institutionen mit kritischer Infrastruktur gelten als hochwertige Ziele Da zudem im Untergrund mehr gestohlene Daten wie RDP-Zugangsdaten angeboten werden, können sich riskante Online-Gewohnheiten (wie das Recycling von Benutzernamen und Passwörtern) nicht nur für einzelne Benutzer, sondern auch für ein ganzes Unternehmen als schädlich erweisen.

Bild 2. Die wichtigsten Zielbranchen auf der Grundlage der Ransomware-Erkennung für 1H 2020 (Daten aus dem Trend Micro Smart Protection Network)

Die Ransomware-Routinen sind nun in der Lage, mit fortgeschrittenen Verschleierungstechniken ihre Erkennung zu vermeiden. Auch können sie über die Beschränkung auf nur wenige und bestimmte Dateitypen manche Sicherheitssysteme umgehen, vor allem solche ohne Monitoring von Dateien und Verhalten. So erlauben es die Routinen der Ransomware  Ryuk, das Netzwerk zu infizieren und dann durch laterale Bewegung nach Systemen zu suchen, die den grössten Gewinn versprechen.

Ransomware-Trends

Die Sicherheitsforscher gehen davon aus, dass die eingesetzten Routinen bezüglich ihrer Installation und Verschleierungstechniken komplexer werden und noch mehr Unternehmen und Behörden ins Visier nehmen.

Ebenso werden auch weiterhin mehr Regierungsbehörden und Grossunternehmen mit ihren Assets und nach aussen gerichteten Systeme zum Ziel werden. Von Websites, Anwendungen, E-Mails, Dateien und zentralisierten Kontrollsystemen bis hin zu firmeneigenen Geschäfts- und vertraulichen Sicherheitsinformationen könnten Kunden und Mitarbeiter gleichermassen gefährdet sein.

Auch das Industrial Internet of Things (IIoT) und Industrial Control Systems (ICS) könnten profitable Ziele darstellen. Produktionslinien und Lieferketten dienen als Ziele und Bedrohungsvektoren, und Störungen in diesen automatisierten Sektoren könnten sich nicht nur für das Unternehmen, sondern auch für die Wirtschaft und den Ruf eines Landes als katastrophal erweisen.

Fazit

Es gibt einige Best Practices, die Einzelpersonen, Unternehmen und Institutionen zu ihrem Schutz beachten sollten:

  • Gute Passwort-Strategie verwenden: Keine Benutzernamen und Passwörter für die Online-Konten und –Geräte wiederverwenden sowie die Standard-Anmeldedaten für alle Geräte ändern.
  • Netzwerksegmentierung einführen: Unternehmen sollten das Prinzip der geringsten Privilegien umsetzen und den Zugriff auf wichtige Daten und Systemverwaltungswerkzeuge einschränken.
  • Überprüfen der RDP-Servereinstellungen: Sie müssen regelmässig überwacht und aktualisiert werden. Empfehlenswert ist auch der Einsatz eines Brute-Force-Schutzsystems für RDP-Server sowie die stetige Aktualisierung der Anzahl der Benutzer und Konten mit RDP-Zugriff. Benutzer mit RDP-Zugriff müssen komplizierte und sichere Passwörter verwenden, die regelmässig geändert werden.
  • Überwachen der nach aussen gerichteten Server: IT-Teams sollten gewährleisten, dass die Patch-Zeitpläne eingehalten werden. Bei Implementierungsschwierigkeiten sind virtuelle Patching-Lösungen ein bewährtes Schutzmittel.
  • Aufbewahren der Sicherheitskopien von wichtigen Informationen: Mit der 3-2-1-Methode werden drei Sicherungskopien in mindestens zwei verschiedenen Formaten aufbewahrt, von denen eine separat und ausserhalb des Standorts lagert.
  • Ungeprüfte und verdächtige E-Mails und eingebettete Links nicht öffnen: Ist der Absender unbekannt, und sind die Nachricht und ihre Anhänge nicht verifiziert, so sollte die Nachricht gelöscht und/oder melden die E-Mail sofort an das Sicherheitsteam gemeldet werden.
  • Konsequentes Patchen und Aktualisieren der Systeme, Netzwerke, Software, Geräte, Server und Anwendungen: Sobald die Hersteller Patches oder Updates veröffentlichen, sollten diese angewendet werden, um zu verhindern, dass Schwachstellen offen bleiben, die von Bedrohungsakteuren ausgenutzt werden können.
  • Auf keine Lösegeldforderungen eingehen: Die Bezahlung ermutigt Cyberkriminellen nur, ihre Aktivitäten fortzusetzen. Es gibt auch keine Garantie dafür, dass verschlüsselte Daten abgerufen oder nicht gestohlen werden oder dass es nicht zu anderen späteren Angriffen kommt.

Trend Micro-Lösungen

Ein mehrschichtiger Ansatz kann Ransomware davon abhalten, Netzwerke und Systeme zu erreichen. Unternehmen sollten ihre gesamte IT-Infrastruktur vor Malware und Einbrüchen schützen. Mittelständler können den Schutz von Trend Micro™ Worry-Free™ Services Advanced, und für Heimanwender bietet Trend Micro Internet Security funktionsreichen Schutz für bis zu zehn Geräten. Trend Micro Ransomware File Decryptor Tool kann Dateien entschlüsseln, die von bestimmten Ransomware-Varianten verschlüsselt wurden.

Das Problem mit kontaktlosen Sicherheitslösungen

von Trend Micro Research

Zugangskontrollgeräte, die Gesichtserkennung verwenden, sind zu einem kritischen Teil der Sicherheitsinfrastruktur von Unternehmen geworden. Unternehmen setzen diese Geräte zunehmend ein, um den Zutritt zu gesicherten Räumlichkeiten zu kontrollieren. Die Sicherheitsforscher von Trend Micro haben die Sicherheitsvorkehrungen bestimmter Gerätemodelle untersucht und inhärente Schwächen entdeckt, die die Unternehmen, die diese Geräte einsetzen, ernsthaft gefährden könnten. Sie testeten vier verschiedene Geräte und setzten sie sowohl Cyber- als auch physischen Angriffen aus. Dabei stellten sie fest, dass sie die vorhandenen Sicherheitsmassnahmen umgehen konnten. In einem Fall waren sie sogar in der Lage, Türen zu öffnen, indem sie nur ein statisches Bild des Gesichts einer Person verwendeten.

Zugangskontrollgeräte am Edge des Netzwerks

Diese Zugangskontrollgeräte sind ein Beispiel für ein neues Computing-Paradigma namens Edge-Computing. Die Architektur ist darauf ausgerichtet, Rechenknoten näher an die Sensoren und Aktuatoren an den Rändern (Edge) des Netzwerks zu bringen. Aufgrund ihrer Eigenschaften der geringen Latenz, der Datenlokalisierung und des reduzierten Bandbreitenverbrauchs wird Edge Computing in kritischen Anwendungen wie Flottensteuerung, intelligenter Landwirtschaft und Gebäudeautomatisierung eingesetzt.

Die Verlagerung des Grossteils der Rechenaufgaben auf das Edge-Computing birgt jedoch neue Risiken. Edge-Knoten sind häufig vor Ort exponiert und erhöhen die Wahrscheinlichkeit von Manipulationen und damit das Risiko des Zugriffs auf das restliche Unternehmensnetzwerk. Dieses System erhöht auch die Wahrscheinlichkeit des Diebstahls und der Kompromittierung der in den Geräten gespeicherten Daten.

Auswirkungen auf Unternehmen

Im Rahmen der Erforschung entdeckten die Trend Micro-Experten einige Schwachpunkte in Edge-basierten Zugangskontrollgeräten, die eng mit der neuen Gerätearchitektur zusammenhängen. Diese Sicherheitslücken könnten dazu führen, dass bösartige Akteure verschiedene Aktionen ausführen, wie etwa folgende:

  • Durchbrechen der physischen Sicherheit eines Gebäudes: Sie könnten nicht autorisierte Nutzer hinzufügen und die Rolle des Geräteadministrators übernehmen.
  • Exfiltrieren von kritischen Unternehmensdaten: Damit können Angreifer Türen zu privaten Bereichen öffnen und Anwendungen auf das Gerät installieren.

Massnahmen gegen das Eindringen

Das Whitepaper „Identified and Authorized: Sneaking Past Edge-Based Access Control Devices“ stellt einige Leitlinien vor, die Anbieter dabei unterstützen, sicherere Geräte herzustellen, einschliesslich der Möglichkeit verschlüsselter Kommunikation, Härten der Geräte und der Ausgabe regelmässiger Sicherheits-Updates. Auch liefert das Whitepaper Hilfestellungen für Unternehmensanwender, um die Risiken durch angreifbare Geräte zu mindern, so etwa physische Absicherung der Geräte, Sichern der Kommunikation und Einsatz von Netzwerküberwachungslösungen.

Weitere Einzelheiten dazu, wie Hacker Edge-basierte Zugangskontrollgeräte angreifen können sowie Massnahmen zur Risikominimierung gibt es unter http://bit.ly/edgedevicesecurity.

Grundlagen der Sicherheit für Kubernetes Cluster

Originalbeitrag von Magno Logan, Trend Micro Research

Obwohl Kubernetes noch nicht sehr lange verfügbar ist, steht die Plattform bereits auf Platz drei bei den bei Entwicklern beliebtesten Produkten. Umso wichtiger ist das Wissen darum, wie die Sicherheit von Kubernetes, und in diesem Fall von Clustern, gewährleistet werden kann. Ein früherer Beitrag beinhaltete bereits einen Überblick über die Sicherheit für die 4 Cs (Cloud, Cluster, Container and Code) in Cloud-nativen Systemen. Jetzt geht es um die Darstellung der Massnahmen für die Sicherheit des Master-Knoten, API-Servers, etcd und für Netzwerk-Policies.

Betreibt ein Unternehmen seine Cluster als Managed Services wie etwa Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (Amazon EKS) oder Google Kubernetes Engine (GKE), so muss der Cloud-Anbieter die Kontrolle über die Sicherheit übernehmen. Dennoch ist ein besseres Verständnis der verfügbaren Sicherheitsoptionen hilfreich, um sicherzustellen, dass der Cloud-Anbieter die empfohlenen Best Practices befolgt. Betreibt eine Organisation ihre eigenen Control Planes, ist das tiefgreifende Wissen zur Sicherheit noch wichtiger.

Das Control Plane

Das Kubernetes Control Plane fungiert als Hauptknoten im Cluster und verwaltet die Worker Nodes. Damit geht es um das Gehirn, das dieses komplexe System in einem guten Zustand und am Laufen hält.

Bild 1. Skizze eines Kubernetes Clusters und dessen Komponenten (Quelle: Kubernetes.io)

Die Abbildung zeigt, dass die Hauptkomponenten für den Cluster im Control Plane sitzen und dass die gesamte Kommunikation über den kube API-Server (kube-apiserver) läuft, der letztendlich ein REST API ist, das alle Management- und Betriebsfunktionen definiert und kontrolliert. Böswillige Akteure bemühen sich um Zugriff auf den kube-apiserver und das Control Plane. Sobald diese kompromittiert sind, können sie den gesamten Cluster kompromittieren, indem sie die Pods (in denen die Container platziert sind) manipulieren, neue aufsetzen, bereits laufende bearbeiten oder sogar ganz entfernen.

Eine der grundlegenden Massnahmen zur Sicherung des Control Plane ist die Integritätsüberwachung der kritischen Kubernetes-Dateien. Auf diese Weise kommt sofort über jede Änderung der Konfiguration eine Benachrichtigung. Aus Sicht der Kubernetes-Sicherheit sind kritische Dateien diejenigen, die den gesamten Cluster beeinträchtigen können, wenn sie kompromittiert werden. Eine Liste der wichtigsten Dateien und Verzeichnisse, die das Team ständig überwachen muss, zusammen mit den empfohlenen Ownership- und Berechtigungsebenen sind in der neuesten CIS Kubernetes Benchmark v1.5.1 detailliert aufgeführt. Bei den meisten dieser Werte handelt es sich um die Standardwerte der Kubernetes-Installation. Eine Tabelle ist im Originalbeitrag aufgeführt.

Der API Server

Den API-Server der Öffentlichkeit zugänglich zu machen, ist ein kritischer Fehler, den immer noch viele machen, und es ist der häufigste Einstiegspunkt für Angreifer, die darüber den Cluster übernehmen können. Viele Angreifer und Bots suchen im Internet ständig nach offen zugänglichen Kubernetes-API-Servern.

Der einfachste Test, um festzustellen, ob der Server im Internet zugänglich ist, besteht darin, den API-Server von einer externen IP aus zu treffen. Hier hilft eine curl-Anfrage oder https://my-control-plane-ip:6443/api. Gibt es eine Antwort auf die Anfrage, so ist das API öffentlich erreichbar. In einem solchen Fall gibt es mehrere Möglichkeiten einen Fix aufzubringen, je nachdem wie der Zugriff auf das API erfolgt. Die beste und sicherste Option ist die folgende:

Entwickler sollten das Cluster API nur über das interne Netzwerk (oder Unternehmens-VPN) erreichen können. Dies lässt sich leicht erreichen, indem die entsprechenden Regeln für die Firewall oder Sicherheitsgruppen (im Fall von AWS) festgelegt werden. Hier muss allerdings darauf geachtet werden, dass in einer Notfallsituation, in der der Cluster-Administrator keinen sofortigen Zugriff auf den Firmen-Laptop oder ein VPN hat, der Zugriff auf den Cluster durch eine sichere Auflistung der IP des Cluster-Administrators gewährleistet ist, vorzugsweise auf den spezifischen API-Port.

Der Zugang auf den Cluster auf GKE lässt sich auch über die Einstellungen des Master Authorized Networks einschränken. Damit entsteht eine weitere Schutzebene für den Fall, dass jemand die Firewall-Regeln manipulieren kann. Der folgende Befehl tut dies:

gcloud container clusters create –enable-master-authorized-networks –master-authorized-networks=CIDR

Des Weiteren kann der Admin prüfen, ob der kube-apiserver die empfohlenen Sicherheitseinstellungen aufweist:

ps -ef | grep kube-apiserver

Weitere Informationen dazu umfasst der Originalbeitrag.

RBAC-Autorisierung

Mit RBAC lässt sich festlegen, wer worauf in dem Cluster zugreifen kann. Die Aktivierung der Autorisierung für RBAC im Cluster wird dringend empfohlen, insbesondere für die Produktion. Zudem kann allen Benutzern der Zugriff auf den Kube-System-Namensraum untersagt werden, wo sich alle Pods des Control Planes befinden.

Das RBAC-Autorisierungsmodul ist in den neuesten Versionen standardmässig aktiviert. Es müssen lediglich die geeigneten Rollen festgelegt und diese bestimmten Nutzern zugewiesen werden. Doch können böswillige Nutzer RBAC deaktivieren. Dies lässt sich mit demselben Befehl überprüfen, der für den Check der Kube API Serverkonfigurationen genutzt wird:

ps -ef | grep kube-apiserver

Beim Einsatz der RBAC-Autorisierung lassen sich vier Arten von API-Objekten nutzen:

  • Role: enthält Regeln, die einen Berechtigungssatz innerhalb eines Namensraums repräsentieren.
  • RoleBinding: vergibt Berechtigungen einer Role an einen oder mehrere Nutzer.
  • ClusterRole: enthält Regeln, die einen Berechtigungssatz auf Cluster-Ebene repräsentieren.
  • ClusterRoleBinding: vergibt Berechtigungen für Nutzer auf ClusterRole-Ebene.

Bild 2. Bezug der Nutzer zu Roles über RoleBindings beziehungsweise von ClusterRoles zu ClusterRoleBindings

Weitere technische Einzelheiten beinhaltet der Originalbeitrag sowie die offizielle Dokumentation.

etcd

etcd ist der Hauptspeicherort für Daten im Cluster. Alle Clusterobjekte werden hier vorgehalten. Er ist hierarchisch aufgebaut und standardisiert, daher nutzen Kubernetes-Installationen etcd für das Speichern von REST API Objekten sowie für Installationskonfigurationen. Wird etcd exponiert, so könnten kritische Daten verloren gehen. Leider kommen Fehlkonfigurationen häufig vor, wie 2.600 exponierte etcd-Services auf Shodan in diesem Jahr zeigen.

Wie bei jedem Datenspeichersystem sollten die gleichen Sicherheitsprinzipien auf etcd angewandt werden. Sowohl die Verschlüsselung im Transit als auch At-Rest sollte vorhanden sein. Derzeitige Kubernetes Standardinstallationen beinhalten bereits die geeigneten Schlüssel und Zertifikate sowie TLS-Verschlüsselung (siehe CIS Kubernetes Benchmark).

Gelingt es einem Angreifer auf irgendeine Weise, den API-Server zu umgehen und Objekte direkt in etcd zu manipulieren, so wäre es, als hätte er vollen Zugriff auf den gesamten Cluster. Er könnte Pods erstellen, Geheimnisse lesen und sensible Daten wie Anmeldeinformationen einsehen. Um dies zu verhindern, müsste nicht nur die Verschlüsselung während der Übertragung aktiviert sein, sondern auch die Verschlüsselung im Ruhezustand (At-Rest).

Das Netzwerk

Standardmässig können alle Pods in einem Cluster mit jedem anderen Pod auf demselben Cluster kommunizieren, einschliesslich Pods aus verschiedenen Namensräumen, und dies schliesst den Hauptnamensraum des Kube-Systems ein, in dem das Control Plane untergebracht ist. So legt es die Netzwerk-Policy fest, die bei der Kubernetes-Installation konfiguriert wird.

Eine Netzwerk-Policy definiert, wie Gruppen von Pods miteinander und mit anderen Netzwerkendpunkten kommunizieren. NetworkPolicy-API-Ressourcen verwenden Labels, um Pods auszuwählen und Regeln zu definieren, die angeben, welche Art von Datenverkehr für die ausgewählten Pods zulässig ist. Diese Richtlinien können helfen, den Zugriff zwischen Pods oder Namespaces einzuschränken. Der gesamte Zugriff kann über Labels in YAML-Dateien konfiguriert werden, so dass z.B. der Zugriff von Pods auf andere Pods im Namensraum des kube-Systems blockiert werden kann.

Hinweis: Es bedarf einer Netzwerklösung oder eines Container Network Interface (CNI), das das NetworkPolicy-Objekt unterstützt. Andernfalls hat dies keine Auswirkungen auf den Cluster.

Für alle aufgeführten Punkte gibt der Originalbeitrag weitere technische Informationen, und auch eine Kubernetes Security Liste auf GitHub bietet Blogs, Artikel, Tools und Videos zum Thema. In einem weiteren Beitrag werden sich die Autoren mit dem Schutz von Worker Nodes, Kubelet sowie den Pods befassen.

Lost in Translation: Wenn industrielle Protokollübersetzung schiefgeht

Originalartikel von Marco Balduzzi, Luca Bongiorni, Ryan Flores, Philippe Z Lin, Charles Perine, Rainer Vosseler

Die Übersetzung ermöglicht den weltweiten Informationsaustausch, das gilt auch für Industrial Internet of Things (II0T)-Umgebungen, wo verschiedene Geräte wie Schnittstellen, Sensoren und Maschinen mit unterschiedlichen Protokollen eingesetzt werden. Protokoll-Gateways sind für die Übersetzung dieser verschiedenen Protokolle in industriellen Einrichtungen zuständig. Trend Micro hat in einem Forschungsprojekt die Schlüsselrolle der Protokollübersetzung und die der Protokoll-Gateways untersucht.

Dabei geht es um ein kleines Gerät, das die verschiedenen Protokolle übersetzt, die von Maschinen, Sensoren und Computern verwendet werden, die Smart Factories, Staudämme, Kraftwerke und andere Industrieanlagen betreiben.

Bild. Position eines Protokoll-Gateways am unteren Rand des Kontrollnetzwerks

Versagen die Protokoll-Gateways, so bricht die Kommunikation zwischen den Steuerungssystemen und der Maschinenanlage zusammen. Die Bediener können die Übersicht über das System verlieren, so dass sie nicht mehr erkennen, ob Maschinen oder Generatoren ordnungsgemäss laufen. Ein Ausfall der Übersetzung kann den Bediener auch daran hindern, Befehle zur Fehlerbehebung zu erteilen. Das Whitepaper „Lost in Translation: When Industrial Protocol Translation goes Wrong“ fasst die Forschungsergebnisse zu den Risiken im Zusammenhang mit Protokoll-Gateways zusammen, sowie die möglichen Auswirkungen eines Angriffs oder der falschen Übersetzung und zeigt Möglichkeiten für die Sicherheit dieser Geräte auf.

Wichtige Erkenntnisse

Die Forscher fanden vielfältige Sicherheitsprobleme und Schwachstellen in den Gateways, die den Betrieb einer Einrichtung auf verschiedene Weise beeinträchtigen kann:

  • Spezifische Szenarien, in denen ein Angreifer Schwachstellen in der Übersetzungsfunktion ausnutzen könnte, um heimlich Befehle zu erteilen, die den operativen Prozess sabotieren können,
  • Authentifizierungsschwachstellen, die den nicht autorisierten Zugang ermöglichen,
  • Schwache Verschlüsselung, die die Entschlüsselung von Konfigurationsdatenbanken erlaubt,
  • Nicht fachgerechte Implementierung von Authentifizierungsmechanismen, wodurch vertrauliche Informationen exponiert werden könnten und
  • Bedingungen für Denial of Service (DoS).

Diese Sicherheitslücken könnten die Sicherheit, Prozesse und Ergebnisse einer Anlage erheblich beeinträchtigen. Als Folge der Fehler würde ein Angreifer in der Lage sein, Techniken zur Darstellungs- und Kontrollverhinderung für die Ausrüstung des industriellen Kontrollsystems (ICS) hinter dem Protokoll-Gateway anzuwenden. Dadurch wäre die Integrität des Befehls-, der Daten und des Kontrollprozesses in Gefahr. Bedrohungsakteure könnten über die Lücken Ingenieure daran hindern, Fabriken, Kraftwerke und andere kritische Einrichtungen zu steuern oder zu überwachen, sodass letztendlich die angegriffenen Anlagen wesentliche Leistungen wie Strom und Wasser nicht mehr liefern oder die Qualität und Sicherheit der Produkte einer Fabrik beeinträchtigt werden.

Anwendungsbereich und Auswirkungen

Das Forschungsprojekt ist für ein breites Fachpublikum konzipiert und beschränkt sich nicht lediglich auf die, die einen Betriebstechnik (OT)-Hintergrund haben. Auditoren und Berater können sich auch über die geschäftlichen Auswirkungen der damit verbundenen Schwachstellen und Angriffsszenarien informieren. Die Forschungsteilnehmer verwendeten das MITRE ATT&CK-Framework für industrielle Steuerungssysteme, um mögliche Angriffstechniken sowie die entsprechenden Auswirkungen darzustellen. Alle Einzelheiten liefert das Whitepaper „Lost in Translation: When Industrial Protocol Translation goes Wrong“.

Empfehlungen

Ausführliche Empfehlungen und eine Sicherheits-Checkliste sollen sicherstellen, dass die Verantwortlichen alle und Schwachstellen angehen können:

  • Beim Kauf der Geräte sollten die Design-Aspekte von Protokoll-Gateways, wie z.B. Unterschiede in den Filterfähigkeiten, berücksichtigt werden.
  • Fachgerechte Konfiguration und Absicherung des Gateways. Diese Geräte können in der Gesamtsicherheit einer Industrieanlage leicht übersehen werden.
  • Protokoll-Gateways sollten als kritische OT-Geräte behandelt werden, um einen besseren Rahmen für einen Sicherheitsplan für ihre Funktion zu schaffen und zu verhindern, dass sie bei den Verteidigungsmassnahmen übersehen werden.

Ransomware-Report: Neue Techniken und besonders betroffene Branchen

Originalbeitrag von Monte De Jesus, Mohammed Malubay und Alyssa Christelle Ramos

In den letzten Monaten sind immer wieder neue Ransomware-Familien aufgetaucht und Techniken und auch Ziele haben sich verändert. Trend Micro hat eine dieser neuen Familien, Avaddon, untersucht. Des Weiteren nahmen die Sicherheitsforscher Techniken, die einige der Ransomware-Variante einsetzen, unter die Lupe sowie die von den Angriffen betroffenen Branchen.

Avaddon Ransomware

Die neue Ransomware Avaddon (Ransom.Win32.AVADDON.YJAF-A) wird durch einen Trojaner (Trojan.JS.AVADDON.YJAF-A) von bösartigen Sites heruntergeladen und auf dem System ausgeführt. Sie wird über Emails mit einem Anhang verbreitet, wobei die meisten einen Foto-bezogenen Betreff haben. Die Infektion erfolgt nach den bekannten Mustern.

Bild 1. Beispiel einer Email der Avaddon-Kampagne

Es werden Dateien in den folgenden Ordnern verschlüsselt:

  • Program Files\Microsoft\Exchange Server
  • Program Files (x86)\Microsoft\Exchange Server
  • Program Files\Microsoft SQL Server
  • Program Files (x86)\Microsoft SQL Server

Zudem fügt sie Prozesse hinzu, die Backups löschen, sodass es schwierig wird, das System wiederherzustellen:

  • wmic.exe SHADOWCOPY /nointeractive
  • wbadmin DELETE SYSTEMSTATEBACKUP
  • wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
  • bcdedit.exe /set {default} recoveryenabled No
  • bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
  • vssadmin.exe Delete Shadows /All /Quiet

Auch werden Prozesse und Services beendet, die zum Grossteil dem Scanning, Speichern oder Extraktion von Dateien dienen. Technische Einzelheiten zum Ablauf beinhaltet der Originalbeitrag.

Neue Techniken

In den letzten Monaten gab es auch Aktualisierungen der von einigen Ransomware-Varianten verwendeten Techniken. So etwa wird die Netwalker Ransomware nun dateilos über reflective Dynamic-Link Library (DLL) Injection (reflective DLL loading) ausgeführt. Bei dieser Technik wird die DLL aus dem Speicher und nicht von der Festplatte injiziert. Obwohl die Technik selbst nicht neu ist (sie wurde bereits früher zur Bereitstellung von ColdLock-Ransomware eingesetzt), ist ihre Verwendung durch Netwalker neu.

Eine weitere erwähnenswerte Entwicklung ist der Einsatz von virtuellen Maschinen bei Ragnar Locker, um der Erkennung durch Antiviren-Software zu entgehen. Laut Sophos wurde dieser Angriffsvektor noch nie zuvor mit einem Ransomware-Typus verwendet. Früher nutzte Ragnar Locker Managed Service Provider aus oder griff RDP-Verbindungen (Windows Remote Desktop Protocol) an.

Fertigung, Logistik und Energiesektor als Ziele

Ransomware-Varianten wählten als Ziel mehrere Firmen aus dem Bereich der Fertigung, Logistik und Energieversorgung. Eine Variante der Ekans Ransomware (Ransom.Win32.EKANS.D) wurde bei gezielten Angriffen gegen Fertigungsunternehmen eingesetzt. Wie von der Firma Dragos beobachtet, ist bei den industriellen Prozessen, die frühere Ekans-Angriffen beendeten, ein besonderes Mass an Vorsätzlichkeit zu erkennen, was sie zu einer Bedrohung macht, die Organisationen mit industriellen Kontrollsystemen (ICS) auf dem Radar haben sollten.

Nefilim, eine Ransomware, die dem jüngsten Trend folgt, nicht nur Dateien zu verschlüsseln, sondern auch Daten zu stehlen, startete Angriffe auf Logistikunternehmen. Die Untersuchungen dieser Angriffe ergaben, dass der Datendiebstahl bereits Wochen oder sogar Monate vor dem Einsatz der Ransomware beginnt und dass bei den Angriffen mehrere (bösartige und nicht bösartige) Tools eingesetzt werden, um Prozesse aufzusetzen und sich durch das Netzwerk zu bewegen.

In ähnlicher Weise veröffentlichten die Betreiber hinter Sodinokibi auf einer Tor-Webseite 1.280 Dateien, angeblich mit Reisepassdaten und anderen Dokumenten von Mitarbeitern eines Elektrodienstleisters. Wenige Wochen zuvor hatte der Ransomware-Angriff das Unternehmen getroffen und den Betrieb unterbrochen.

ColdLock wiederum konzentrierte die Angriffe eher auf eine Region als auf eine Branche, und zwar war die Ransomware vor allem in Taiwan aktiv.

Ransomware-Zahlen für Mai

Im Mai wurde WannaCry mit 15.496 Erkennungen zur führenden Ransomware-Familie. Die Tatsache, dass WannaCry „den ersten Platz verteidigen konnte“, ist auf seine Wurmkomponente und die Beharrlichkeit seiner Betreiber zurückzuführen, die versuchen, die Malware regelmässig zu verbreiten. Daher ist davon auszugehen, dass WannaCry weiterhin eine so hohe Anzahl von Erkennungen aufweisen wird, bis entweder eine neue, massive Ransomware auftaucht oder die Quellen für WannaCry gefunden und entfernt werden. Die nächsten Plätze belegen Locky mit 1.532 und Cerber mit 392 Erkennungen. Diese drei vorderen Plätze sind seit Januar fest belegt, und waren auch im letzten Jahr Top.

Bild 2. Ransomware-Familien mit den meisten Erkennungen (Mai 2020)

Gleichzeitig waren die am meisten betroffenen Branchen Behörden (1.870), die Fertigung (1.599) sowie das Gesundheitswesen (1.217).

Bild 3. Top-Branchen bezüglich von Ransomware-Erkennungszahlen (Mai 2020)

Die meisten Angriffe erlitten Unternehmen mit mehr als 18.000 Erkennungen. Angriffe auf Verbraucher gab es mehr als 4.000, und 1.000 Erkennungen wurden bei mittleren und kleinen Unternehmen gezählt.

Bild 4. Ransomware-Erkennungen nach Segmenten (Mai 2020)

Im Mai wurden vier neue Ransomware-Familien entdeckt. Eine davon ist BlueCheeser (Ransom.MSIL.BLUECHEESER.A), eine Schadsoftware, die verschlüsselten Dateien die Endung .himr anhängt und 400$ Lösegeld verlangt.

Eine weitere ist CoronaLock (Ransom.Win32.CORONALOCK.A), auch als CovidWorldCry bekannt. Sie wird über Coronavirus-bezogenen Spam verbreitet und gibt verschlüsselten Dateien die Endung .corona.lock. Die dritte, PonyFinal (Ransom.Java.PONYFINAL.A), ist eine Java-basierte Malware, die Microsoft-Systeme angreift. GonnaCry (Ransom.Linux.GONNACRY.A) schliesslich zielt auf Linux-Systeme. Die Zahl der gefundenen Familien ist im Vergleich zum April zurückgegangen.

Bild 5. Zahl der neuen Ransomware-Familien (Januar bis Mai 2020)

Starke Verteidigung gegen Ransomware

Betriebsunterbrechungen, Datenverlust und die Veröffentlichung vertraulicher Unternehmensdaten sind einige der Gefahren, die ein Unternehmen durch einen Ransomware-Angriff betreffen können. Es gibt jedoch nach wie vor Wege, sich vor diesen Angriffen zu schützen.

Es folgen einige Best Practices, mit deren Hilfe Anwender ihre Systeme vor Ransomware schützen können:

  • Backup der Dateien nach der 3-2-1 -Regel. Dies bedeutet, regelmässige drei Backups in zwei unterschiedlichen Formaten zu erstellen, wobei eine Kopie Off-Site vorgehalten wird.
  • Regelmässiges Patchen und Aktualisieren von Anwendungen und Software. Dadurch wird sichergestellt, dass Schwachstellen behoben werden. Bei Zero-Day-Schwachstellen virtuelles Patching einsetzen.
  • Sandbox Analyse nutzen. Dadurch können bösartige Dateien in einer isolierten Umgebung ausgeführt werden, sodass diese Dateien überwacht werden, ohne das System zu gefährden.
  • Aktivieren von fortschrittlichen Erkennungsfunktionen wie maschinelles Lernen oder Technologien für die Verhaltensüberwachung.

Auch helfen mehrschichtige Sicherheitslösungen wie etwa Trend Micro™ XDR for Users. Damit können die Bedrohungen früh erkannt werden, bevor sie Endpunkte und andere Schichten des Systems kompromittieren. Trend Micro Apex One™ unterstützt umsetzbare Einsichten und zentrale Transparenz im gesamten Netzwerk. Trend Micro Deep Discovery™ Email Inspector schliesslich kann bösartige Email-Anhänge blockieren und analysieren.

Sicherheit für die 4 Cs von Cloud-nativen Systemen: Cloud, Cluster, Container und Code, Teil 2

Originalbeitrag von Magno Logan, Threat Researcher

Cloud-native Softwareentwicklung baut auf quelloffene und proprietäre Software, um Anwendungen wie Microservices bereitzustellen, die in einzelnen Containern in isoliert ausführbare Prozesse verpackt sind. Da Unternehmen mehrere Container auf mehreren Hosts laufen lassen, setzen sie Orchestrierungssysteme wie etwa Kurbernetes ein, die über CI/CD-Tools mit DevOps-Methodologien bereitgestellt und verwaltet werden. Wie bei jeder Technologie, die unterschiedliche, miteinander verbundene Tools und Plattformen nutzt, spielt auch beim Cloud-nativen Computing Sicherheit eine entscheidende Rolle. Cloud-native Sicherheit unterteilt die Strategie in vier unterschiedliche Schichten. Nach der Darstellung der Sicherheitsproblematik für die Cloud an sich und für die Cluster (Teil 1) stellt dieser 2. Teil die Sicherheit für Container und Code in den Vordergrund.

Kubernetes nennt dies „The 4Cs of Cloud-native Security“.

Bild 1. Die 4 Cs der Cloud-nativen Sicherheit

Wichtig ist, Sicherheitskontrollen in jeder Schicht anzuwenden, denn jeder Layer liefert eine eigene Angriffsoberfläche und wird nicht zwangsläufig durch andere Layer geschützt. So wird etwa eine unsichere Webanwendung bei einem Angriff über SQL Injection nicht durch äussere Schichten (siehe Bild 1) dagegen geschützt, wenn keine spezielle Sicherheitssoftware vorhanden ist. Sicherheitsverantwortliche müssen jedes mögliche Szenario mit einbeziehen und Systeme auf jede Art schützen. Weitere detaillierte Empfehlungen für die sichere Container-Orchestrierung bietet der Blogeintrag zur Sicherheit von Kubernetes Container-Orchestrierung.

Container-Sicherheit

Für den Betrieb von Containern im Cluster bedarf es der Container Runtime Engines (CREs). Eine der bekanntesten ist Docker, doch Kubernetes unterstützt auch andere wie containerd oder CRI-O. In puncto Sicherheit müssen Unternehmen für diese Schicht drei wichtige Fragen klären:

  • Wie sicher sind die Images? Hier müssen Verantwortliche sicherstellen, dass die Container auf aktuellem Stand und frei von Schwachstellen, die missbraucht werden könnten, sind. Nicht nur das Basis-Image muss abgesichert sein, sondern auch die in den Containern laufenden Anwendungen müssen gescannt und verifiziert sein. Dafür gibt es einige quelloffene Tools, doch nicht alle können Schwachstellen ausserhalb der Betriebssystempakete erkennen. Dafür sollten Anwender auf Lösungen setzen, die auch Anwendungen abdecken, so etwa Deep Security™ Smart Check.
  • Sind die Container vertrauenswürdig? Wurden die Container, die im System laufen, aus den Images in der eigenen Registry erstellt? Wie lässt sich dies gewährleisten? Antworten bieten Image-Signiertools wie TUF oder Notary, mit denen die Images signiert werden können und somit ein vertrauenswürdiges System für die Inhalte der Container erstellt werden kann.
  • Laufen sie mit den geeigneten Privilegien? Hier greift das Prinzip der geringsten Privilegien. Es sollten lediglich Container laufen, wo die Nutzer nur die für ihre Aufgaben erforderlichen Betriebssystemprivilegien haben.

Ein umfassender Leitfaden zu einem höheren Schutz für Container zeigt auch die möglichen Gefahren in jeder Phase der Entwicklungs-Pipeline.

Code-Sicherheit

Hierbei geht es um Anwendungssicherheit. Es ist die Schicht, über die Unternehmen die beste Kontrolle haben. Der Code der Anwendungen stellt zusammen mit den zugehörigen Datenbanken das Kernstück der Systeme dar. Sie sind üblicherweise im Internet zugänglich und werden daher von Angreifern ins Visier genommen, wenn alle anderen Komponenten gut gesichert sind.

Deshalb müssen Unternehmen in erster Linie sicherstellen, dass jegliche Kommunikation TLS-verschlüsselt abläuft, auch wenn es sich um interne Services handelt, wie Load Balancer, Anwendungsserver und Datenbanken. Im Fall eines Orchestrierungstools wie Kubernetes lassen sich dafür Services wie Istio oder Linkerd heranziehen.

Die Angriffsfläche der Systeme kann erheblich verkleinert werden, wenn exponierte Dienste, Ports und API-Endpunkte reduziert und überwacht werden. Hier sollten auch Container Basis-Images und Systeme, auf denen die Cluster laufen, bedacht werden.

Es lassen sich verschiedene Code-Sicherheitsüberprüfungen zur Pipeline hinzufügen, um zu gewährleisten, dass der Code gesichert ist. Hier sind einige davon:

  • Statische Sicherheitsanalyse von Anwendungen. Man spricht auch von „Sicherheitsüberprüfung des Codes“ oder von „Code Auditing“. Die Methode gilt als einer der besten und schnellsten Wege, um Sicherheitsprobleme im Code zu entdecken. Unabhängig von der verwendeten Sprache sollte mindestens ein statisches Analysetool in die Pipeline integriert sein, das bei jedem Commit von neuem Code auf unsichere Kodierungspraktiken prüft. Die Open Web Application Security Project (OWASP) Foundation erstellt eine Liste mit quelloffenen und auch kommerziellen Tools für die Analyse von Quellcode und/oder kompiliertem Code.
  • Dynamische Sicherheitsanalyse von Anwendungen. Obwohl eine dynamische Analyse nur dann durchgeführt werden kann, wenn es eine laufende Anwendung gibt, gegen die getestet wird, ist es ratsam, automatisierte Scans und Checks durchzuführen, um bekannte Angriffe wie SQL Injection, Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF) aufzuspüren. Diese Tools testen auch die Widerstandsfähigkeit der Anwendung, Container und Cluster, wenn auf diese eine Reihe unerwarteter Belastungen und fehlerhafter Anfragen zukommt. OWASP hat ein dynamisches Analysetool, OWASP Zed Attack Proxy (ZAP), das Unternehmen automatisiert und in die eigene Pipeline einfügen können.
  • Analyse der Software-Komposition. 70% bis 90% aller Cloud-nativen Anwendungen umfassen Abhängigkeiten von Bibliotheken und Drittanbietern. Es geht um Codeteile, die wahrscheinlich von jemand ausserhalb des Unternehmens verfasst wurden, und die in den unternehmenseigenen Produktionssystemen laufen. Diese Codes werden im Allgemeinen während der statischen Analyse nicht überprüft. Dafür können Tools wie der OWASP Abhängigkeitscheck genutzt werden, um nach veralteten oder angreifbaren Bibliotheken im Code zu suchen. Snyk wiederum bietet kostenlos Drittanbieterüberprüfung für quelloffene Projekte.

Fazit

Die vier Schichten von Cloud-nativen Systemen sind für die Sicherheit von Anwendungen von entscheidender Bedeutung – und wenn auch nur eine von ihnen Angreifern ausgesetzt ist, kann das gesamte System kompromittiert werden.

Cloud-Sicherheitslösungen von Trend Micro

Cloud-spezifische Sicherheitslösungen wie die Trend Micro™ Hybrid Cloud Security können zum Schutz von Cloud-nativen Systemen und ihren verschiedenen Schichten beitragen. Unterstützt wird sie von Trend Micro Cloud One™ , einer Sicherheitsdienste-Plattform für Cloud-Entwickler. Sie bietet automatisierten Schutz für die CI/CD-Pipeline und Anwendungen. Sie trägt auch dazu bei, Sicherheitsprobleme früher zu erkennen und zu lösen und die Lieferzeit für die DevOps-Teams zu verkürzen. Die Plattform umfasst:

Dateilose Netwalker Ransomware über Reflective Loading

Bedrohungsakteure finden permanent neue Wege, um ihre Malware an Verteidigungsmechanismen vorbei zu schleusen. So fanden die Sicherheitsforscher Angriffe der Netwalker Ransomware mit Malware, die nicht kompiliert sondern mit PowerShell verfasst ist und direkt im Hauptspeicher ausgeführt wird, ohne das tatsächliche Ransomware Binary auf Platte speichern zu müssen. Damit wird diese Variante zur dateilosen Bedrohung, die in der Lage ist, sich persistent in Systemen festzusetzen und ihre Entdeckung zu vermeiden, indem sie schon vorhandene Tools missbraucht, um die Angriffe zu starten.

Diese Art der Bedrohung setzt auf eine Technik namens Reflective (deutsch auch Reflexion oder Introspektion) Dynamic-Link Library (DLL) Injection, auch als Reflective DLL Loading bekannt. Die Technik ermöglicht das Einschleusen einer DLL aus dem Hauptspeicher statt von der Platte. Damit ist die Technik unsichtbarer als die übliche DLL Injection. Nicht nur die eigentliche DLL-Datei auf der Festplatte ist nicht erforderlich, sondern auch der Windows-Loader zum Einschleusen wird nicht gebraucht. Dadurch muss die DLL nicht als geladenes Modul eines Prozesses registriert werden und die Malware kann DLL-Load-Monitoring-Tools umgehen.

Trend Micros Sicherheitsforscher stellten schon früher fest, dass Cyberkriminelle diese Technik für die Installation der ColdLock-Ransomware einsetzten. Nun verwendete die gleiche Angriffsmethode die dateilose Ransomware Netwalker. Die technischen Einzelheiten zum Angriff liefert der Originalbeitrag.

Fazit und Empfehlungen

Reflective DLL Injection erschwert die Erkennung von Ransomware-Angriffen und auch deren Untersuchung durch Sicherheitsanalysten. Als dateilose Bedrohung steigt das Risiko von Ransomware-Angriffen noch weiter, weil die Malware persistent auf den Systemen bleibt und Verteidigungsmassnahmen umgehen kann.

Der Schutz vor kombinierten Bedrohungen, die mehrere Techniken einsetzen, erfordert eine mehrschichtiges Sicherheitskonzept, das Endpunkte effizient schützt, so etwa durch Sicherheitslösungen, die Verhaltensüberwachung und verhaltensbasierte Erkennung einsetzen.

Die folgenden Empfehlungen können dazu beitragen, Ransomware-Angriffe zu verhindern:

  • Regelmässiges Backup der kritischen Daten, um die Auswirkungen eines Ransomware-Angriffs zu minimieren.
  • Aufbringen der neuesten Software-Patches der Betriebssystem- und Drittanbieter.
  • Befolgen von Email- und Website-Sicherheitsrichtlinien.
  • Warnungen an IT-Sicherheitsteam senden, wenn Mitarbeiter verdächtige Emails und Dateien finden.
  • Einführen von Anwendungs-Whitelisting auf den Endpunkten, um unbekannte oder unerwünschte Apps zu blocken.
  • Regelmässige Schulungen für Mitarbeiter zu den Gefahren des Social Engineering.

Empfehlungen zum Schutz vor dateilosen Bedrohungen:

  • Sichere Nutzung von PowerShell mithilfe deren Logging-Fähigkeiten zur Überwachung verdächtigen Verhaltens.
  • Nutzen von PowerShell-Befehlen wie ConstrainedLanguageMode, um Systeme gegen bösartigen Code abzusichern.
  • Konfigurieren von Systemkomponenten und Deaktivieren der nicht genutzten und veralteten, um mögliche Eintrittspunkte zu blocken.
  • Keine Dateien aus unbekannten Quellen herunterladen oder ausführen.

Zudem sollten Unternehmen Sicherheitslösungen einsetzen, die Verhaltens-Monitoring bieten:

  • Trend Micro Apex One™ – setzt auf Verhaltensanalyse, die vor bösartigen Skripts, Einschleusen, Ransomware und Angriffen über den Browser oder aus der Memory schützen kann.
  • Trend Micro Worry-Free Services – Umfasst Verhaltensmonitoring, um Skript-basierte, dateilose Bedrohungen zu erkennen und Malware zu blocken, bevor sie ein System kompromittieren kann.

Aktuell: Coronavirus-Ransomware überschreibt MBR

Von Trend Micro

Cyberkriminelle nutzen die Coronakrise in verschiedenen bösartigen Kampagnen. Das Virus wird als Köder in Email Spam, für BEC, Malware, Ransomware und in bösartigen Domänen eingesetzt. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, die ständig weltweit Samples zu solchen Corona-bezogenen Aktivitäten sammeln. Der Beitrag beschreibt Angriffskampagnen, zeigt Schutzmaßnahmen auf und wird immer wieder aktualisiert! Im Rahmen einer neuen Ransomware-Kampagne wird der Master Boot Record (MBR) des Systems des Opfers überschrieben.

Update 24. April

Die Sicherheitsforscher von Trend Micro Research analysierten kürzlich eine Coronavirus-bezogene Malware, die den Master Boot Record (MBR) des Systems des Opfers überschreibt und damit das Hochfahren des Computers verhindert. Eine tschechische Cybersicherheitsagentur NUKIB hatte die Schadsoftware in einem öffentlichen Report beschrieben. Die Malware-Datei enthält „Coronavirus Installer“ in der Beschreibung.

Bild 1. Bildschirmsperre der Malware

Wird die Schadsoftware ausgeführt, so fährt sie automatisch die Maschine wieder hoch und zeigt dann das im Bild dargestellte Fenster, das nicht geschlossen werden kann. Klickt der Nutzer auf „Help“, so erscheint die Nachricht, der Task Manager startet nicht. Auch der Button „Remove Virus“ lässt sich nicht bedienen. Schließlich erzeugt der Schädling ein verstecktes Verzeichnis namens „COVID-19“, das einige weitere Module umfasst. Wird das System per Hand neu gestartet, so wird eine weitere Binärdatei ausgeführt, und es erscheint der folgende Bildschirm.

Bild 2. Grauer Bildschirm nach einem manuellen Neustart

Die Malware sichert den ursprünglichen MBR und zeigt den Text „Created by Angel Castillo. Your Computer Has Been Trashed“ an. Auch hinterlässt der Angreifer Kontaktinformationen für den Instant Messaging-Dienst Discord und suggeriert damit, dass das Opfer mit dem Hacker kommunizieren muss, um eine Lösung zu finden. Üblicherweise liefert Ransomware Opfern die erforderlichen Informationen für die Überweisung des Lösegelds, einschließlich Betrag und Kryptowährungs-Wallet. Doch in letzter Zeit nutzen viele Malware-Akteure Discord für die Anleitungen für das Opfer.

Viele Angreifer löschen einfach den MBR zu Beginn des Prozesses, auch wenn dies eine ziemlich komplizierte Methode ist. Die Datei „Update.vbs“, die das sekundäre Modul ablegt, gibt einen Hinweis darauf, warum sein Verfasser den Prozess auf diese Weise gestaltet hat. Diese VBS-Datei zeigt ein Nachrichtenfeld an, das darauf hinweist, dass der Benutzer eine Internetverbindung benötigt (wird wahrscheinlich zwei Minuten nach Erscheinen des grauen Bildschirms angezeigt).

Wahrscheinlich wurden weitere Schritte hinzugefügt, um den Benutzer dazu zu bringen, sich mit dem Internet zu verbinden, möglicherweise weil das Opfer online sein muss, damit der MBR überschrieben werden kann. Der MBR wurde beim manuellen Neustart nicht überschrieben, als er in einer geschlossenen Offline-Umgebung getestet wurde.

Trend Micro Research analysierte auch eine Coronavirus-bezogene bösartige HTA-Datei, die möglicherweise von der SideWinder APT-Gruppe stammt. Einzelheiten dazu umfasst der Originalbeitrag.

Malware-Arten, die COVID-19 missbrauchen

COVID-19 im kriminellen Untergrund

Schutz vor diesen Bedrohungen

Zusätzliche Informationen und Hilfsangebote von Trend Micro in der Corona-Krise finden Sie hier.

Untersuchung eines Ransomware-Angriffs mit möglicher Datenexfiltration

Originalartikel von Joelson Soares, Erika Mendoza und Jay Yaneza

Die Managed XDR (MxDR) and Incident Response (IR) Teams von Trend Micro untersuchten kürzlich einen Sicherheitsvorfall bei einem Unternehmen, das Opfer der Nefilim Ransomware geworden war. Die im März dieses Jahres entdeckte Ransomware ist besonders gefährlich, weil die Hintermänner damit drohen, die von dem betroffenen Unternehmen gestohlenen Daten online zu veröffentlichen – eine doppelte Belastung für das Opfer. Denn selbst wenn die Organisation das Lösegeld zahlt und ihre Daten wiederherstellt, haben die Bedrohungsakteure weiterhin Zugang zu den Daten. Diese Masche ist nicht neu, sie wurde auch von anderer Ransomware wie Sodinokibi und DoppelPaymer bereits eingesetzt.

Abfolge des Angriffs

Mithilfe von Trend Micro Deep Discovery Inspector (DDI) konnten Sicherheitsteams die Vorfälle eines Tages Mitte März 2020 nachvollziehen: als erstes gab es den Versuch, eine bösartige Datei (Trojan.Win64.NEFILIM.A) herunterzuladen, die dann für den Download einers RAR-Archivs von einem VPS-gehosteten Server benutzt wird. Ein paar Stunden später erfolgte der Versuch, ein RAR-Archiv mit mehreren Dateien herunterzuladen (technische Einzelheiten im Originalbeitrag).

Trend Micro Deep Security™ (DS) stellte zudem verdächtige Aktivitäten im System fest, wie etwa Beenden von Aktionen oder Remote Code Execution, bis schließlich Nefilim entdeckt wurde.

Auf der Zeitachse lässt sich die Abfolge der Infektion anhand der DDI-Protokolle ablesen – beginnend mit Trojan.Win64.NEFILIM.A, der eine RAR-Datei heruntergeladen hatte, die durch die Verwendung von Batch-Dateien zu einer lateralen Bewegung innerhalb des Systems führte. Der Zielrechner ist in diesem Fall ein Citrix-Server mit Fernzugriff. Es ist unklar, ob der Angreifer Zugriff auf den Server hatte, oder ob der ursprüngliche Downloader durch andere Mittel (d.h. Phishing, Schwachstellen) eingesetzt wurde.

Darüber hinaus legt der Inhalt des RAR-Pakets nahe, dass der Angreifer die Umgebung des Opfers kannte. Interne IP-Adressen, Administrator-Benutzernamen und -Passwörter, Dienste und Prozesse wurden alle in den Batch-Dateien aufgeführt. Darüber hinaus zeigten die Daten des Trend Micro Smart Protection Network (SPN) nur zwei Treffer — einen, der diesem Vorfall entsprach, und einen weiteren in den Vereinigten Staaten –, was darauf hindeutet, dass es sich um einen sehr gezielten Angriff handelte.

Obwohl die erste Beschreibung der Funktionsweise der Nefilim-Ransomware von exponierten Remote Desktop Protocol (RDP)-Ports als Eintrittspunkte ins System ausging, könnten die Bedrohungsakteure in diesem Fall andere Eintrittspunkte benutzt haben, höchstwahrscheinlich irgendeine Form des Fernzugriffs direkt auf die Umgebung.

Kombination von Datendiebstahl und Ransomware

Bei diesem Angriff fällt auf, dass die Hintermänner nicht nur auf Nefilim setzten. Möglicherweise hatten sie die Daten bereits exfiltriert, noch bevor sie einen vollständigen Ransomware-Angriff starteten.

Der Fall zeigt, dass es nicht ausreicht, sich nur auf das Erkennen von Anzeichen eines Angriffs zu konzentrieren, sondern dass es wichtig ist, auch Hinweise auf laterale Bewegungen und Datenexfiltration innerhalb der Umgebung entdecken zu können. Der Eintrittspunkt eines Angriffs liegt möglicherweise nicht dort, wo sich die wichtigen Daten befinden. Daher sind Bedrohungsakteure auch daran interessiert, sich innerhalb der Umgebung bewegen zu können (Host-zu-Host), um in die Teile des Systems zu gelangen, in denen die interessanteren Daten gespeichert sind. Ebenso wichtig ist die Fähigkeit, ungewöhnliche Muster des ausgehenden Datenverkehrs für Hosts (Host-to-external) zu erkennen, da dies eine potenzielle Datenexfiltration darstellt.

Unterstützung durch Sicherheits-Services wie Trend Micro™ Managed XDR

Die von den Angreifern in diesem Fall angewandten Methoden wurden immer wieder beobachtet, selbst bei Bedrohungsakteuren, die andere Ransomware wie RYUK einsetzen.

Heutzutage, wo Home Office an Bedeutung gewinnt, ist eine effiziente Umsetzung der Sicherheitspolitik wichtiger denn je. Während große Organisationen in der Lage sind, Sicherheitsteams aufzubauen, die die Arbeitsumgebung sowohl im Büro als auch zu Hause im Auge behalten können, verfügen kleinere Unternehmen möglicherweise nicht über die dafür erforderlichen Ressourcen.

In solchen Fällen können Sicherheits-Services wie die von Trend Micro™ Managed XDR dazu beitragen, die Sicherheit einer Organisation zu verbessern. Sie bieten Übersichtlichkeit und ein breites Spektrum an fachkundiger Sicherheitsanalyse, die Detection-and-Response-Funktionen über Netzwerke, Endpunkte, E-Mails, Server und Cloud-Workloads hinweg integrieren.

Durch den Einsatz fortschrittlicher Analyse- und KI-Techniken (Künstliche Intelligenz) überwacht das Managed XDR-Team die IT-Infrastruktur der Organisation rund um die Uhr und ermöglicht so die Korrelation und Priorisierung von Warnmeldungen je nach Schweregrad. Organisationen können auf erfahrene Cybersicherheitsexperten zurückgreifen, die fachkundig eine Ursachenanalyse durchführen, um zu verstehen, wie Angriffe initiiert werden, wie weit sich Bedrohungen im Netzwerk ausgebreitet haben und welche Abhilfemaßnahmen ergriffen werden müssen.

Die Kunst, das Cloud-Ökosystem zu sichern – Zeit für einen Wandel

Der unternehmensweite Netzwerk-Perimeter und all die damit einher gehenden Gewissheiten für Sicherheitsexperten sind verschwunden. An dessen Stelle ist eine dynamischere, flexible Umgebung getreten, die die digitale Transformation unterstützt sowie das innovationsbedingte Wachstum des Unternehmens vorantreiben soll. Diese neue IT-Welt dreht sich um hybride Cloud-Systeme, Microservices-Architekturen, DevOps und Infrastructure-as-Code. Dieser grundlegende Wandel im Umgang mit der IT bedingt auch große Veränderungen in der Art, wie geschäftskritische Daten und Systeme gesichert sein müssen. Gefordert ist ein neuer Ansatz für das Risikomanagement in einer Cloud-zentrischen Welt.

Eine neue Ära

Die Analysten von Gartner gehen davon aus, dass der weltweite Markt für öffentliche Cloud-Services 2020 um beeindruckende 17% auf 266 Milliarden $ steigen wird. Die Vorteile der Cloud sind mittlerweile wohlbekannt: eine Verbindung aus IT-Effizienz und Flexibilität mit Kosteneinsparungen und Skalierbarkeit. Dadurch können so unterschiedliche Organisationen wie Versorgungsunternehmen, Einzelhändler und sogar Gesundheitsdienstleister Geschäftsprozesse optimieren und die Produktivität ihrer Mitarbeiter verbessern sowie innovative kundenorientierte Dienstleistungen anbieten, um das Wachstum zu fördern.

Unternehmenssysteme bestehen heutzutage aus einem komplexen, heterogenen Mix aus physischen Altservern und mehreren hybriden Cloud-Systemen. Um diese Komplexität zu bewältigen, setzen Unternehmen auf Container und Microservices, die eine bessere Integration hybrider Clouds und eine effizientere Entwicklung neuer Anwendungen ermöglichen sollen. Die für solche Projekte verantwortlichen DevOps-Teams arbeiten auf der Grundlage einer neuen Infrastructure-as-Code, wo alles softwaredefiniert ist – von den VMs und Containern, die schnell herkömmliche Server ersetzen, bis hin zu Netzwerken und Anwendungs-Stacks.

Es nimmt also nicht Wunder, dass der Markt für digitale Transformation in den nächsten fünf Jahren um 18% wachsen soll, und 2025 dann 924 Milliarden $ beträgt.

Neue Probleme

Mit dem radikalen Wechsel in der Bereitstellung von IT gehen zwei neue Gruppen von Risiken einher. Die Cloud Provider selbst haben zwar gute Sicherheitsteams, und ihre Datencenter werden nach den höchsten Sicherheits- und Betriebsstandards geführt, doch liegt die Sicherheit nicht allein in ihrer Verantwortung. Amazon Web Services (AWS) erklärt ausdrücklich, dass das Unternehmen sich um die Infrastruktur kümmert, auf der die Services (Sicherheit für die Cloud) laufen, doch für alles, was darüber hinaus geht, ist der Kunde verantwortlich, einschließlich Gast-Betriebssysteme, Anwendungen und Kundendaten. Das wird als Sicherheit in der Cloud beschrieben — wo die Trennlinie zwischen den beiden Verantwortlichkeiten verläuft, sorgt für permanente Verwirrung.

Auch wenn Cloud Computing Unternehmen das Outsourcing vieler Ressourcen ermöglicht, Verantwortung können sie nicht ausgliedern – eine Tatsache, die auch die DSGVO-Regularien bestätigen. Tatsächlich gestaltet sich das Cloud-Ökosystem genauso komplex, wenn nicht sogar noch komplexer, als das On-Premise-Ökosystem, das es zu ersetzen beginnt, denn Unternehmen setzen ihre Umgebungen über mehrere Anbieter hinweg auf. Geschätzte 85% der Unternehmen nutzen mittlerweile mehrere Clouds, und 76% haben zwischen zwei und 15 Hybrid Clouds im Einsatz.

In manchen Fällen fügen gar die Cloud Provider selbst zusätzliche Komplexität hinzu. Alle ein bis zwei Wochen gerät ein anderes Unternehmen in die Schlagzeilen, weil es versäumt hatte, eine kritische Cloud-Datenbank zu sichern, so dass Informationen im öffentlichen Internet zugänglich wurden. Interne Teams sind schlichtweg nicht in der Lage, angesichts der unzähligen verfügbaren Optionen, die geeignete zu wählen, um solche Accounts richtig zu konfigurieren. Und die schlechte Nachricht dabei ist, dass Hacker vermehrt nach exponierten Instanzen scannen: Manche haben gestohlene Daten und nutzen sie für Erpressung, andere wiederum fügen Code zum Datenabschöpfen in exponierte JavaScript-Dateien ein.

Ein dynamisches Problem

Die neue Welt der Cloud ist unbeständig und schnelllebig – und erfordert eine Änderung in der Art und Weise, wie Sicherheitsmanager reagieren. Cloud Workloads sind von Haus aus dynamisch und verursachen beispielsweise Probleme, für die herkömmliche Sicherheitsprozesse und -werkzeuge nur unzureichend gerüstet sind. Wie lässt sich der Überblick über diese sich schnell verändernden Workloads behalten? Heute handelt es sich vielleicht um einen einfachen Webserver, der nicht viel Schutz benötigt, aber morgen könnte er Teil einer stark regulierten E-Commerce-Umgebung sein. Die Anpassung der Sicherheitshaltung an solche Veränderungen stellt eine große Herausforderung dar.

Die Infrastructure-as-Code-Revolution bringt andere Probleme mit sich. Das Schöne an Containern und Microservices etwa ist, dass sie einfach zu erstellen und zu warten sind, sowie dass sie von DevOps-Teams entwickelt und getestet werden können, so dass sie schnell an Marktanforderungen angepasst werden. Doch die gemeinsame Nutzung von Bibliotheken von Drittanbietern setzt Unternehmen dem Risiko fehlerhaften Codes aus, und Cyberkriminelle sind dafür bekannt, versteckte Schadsoftware in diese Repositories einzufügen.

Zeit für einen Wandel

Für Unternehmen bedeutet all dies, dass die Nutzung der Cloud Hand in Hand mit Cybersicherheit gehen muss. Trend Micro stellte in einer kürzlich durchgeführten Forschungsarbeit fest, dass einem Drittel der befragten Unternehmen Sicherheitsteams beim Start von DevOps-Projekten leider nicht involviert waren, wobei 72% der IT-Leiter die Ansicht vertraten, dass diese Tatsache zu Cyberrisiken für das Unternehmen führt. Werden die oben genannten Probleme nicht angegangen, könnte dies zu hohen Datenverlusten, Service-Ausfällen und allen damit verbundenen Risiken für finanzielle und rufschädigende Auswirkungen führen.

Als guter Ausgangspunkt für eine Änderung der Situation empfiehlt es sich, dass Verantwortliche das Modell der geteilten Verantwortung verstehen und in den Cloud-Verträgen vollständig zu klären, welche Teile der Cloud-Umgebung das Unternehmen selbst sichern muss. Als Nächstes sollten sich die Sicherheitsmanager Tools für das Cloud Security Posture Management (CSPM) ansehen, um einen entscheidenden Einblick in ihre bestehende Infrastruktur zu erhalten und um herauszufinden, wo wichtige Fehlkonfigurationen vorhanden sind. Auch sollten sie in Betracht ziehen, die Leistungsfähigkeit der Infrastructure-as-Code für die Sicherheit zu nutzen, mit API-gesteuerten Diensten, die Kontrollmechanismen nahtlos in die DevOps-Pipelines einbetten, um Bedrohungen vor und während der Laufzeit zu erkennen.

Es gibt kein Zurück zu den Gewissheiten von früher. CISOs müssen sich daher das Neue zu eigen machen und einen Weg finden, das Cyberrisiko zu minimieren, ohne Innovation und Geschäftswachstum zu beeinträchtigen.