Archiv der Kategorie: Hacking

Angreifer nehmen Kommunikations-Apps wie Zoom, Slack oder Discord ins Visier

von Trend Micro

In dem Halbjahresbericht zur Sicherheit 2020 zeigt Trend Micro auf, wie während der Corona-Pandemie viele Unternehmen von physischen Büros auf virtuelle umgestiegen sind. Das wiederum führte zu einem Boom für Messaging- und Videokonferenzanwendungen als Kommunikationsmittel, allen voran Zoom, aber auch Slack oder Discord. Und wie nicht anders zu erwarten, gerieten die Anwendungen auch ins Visier der Cyberkriminellen.

In erster Linie hat Zoom alle Rekorde gebrochen und wird in Schulen, Unternehmen und von Einzelpersonen eingesetzt. Daher ist das Conferencing-System auch das interessanteste Ziel für die Kriminellen.

Die wohl bekannteste böswillige Aktivität im Zusammenhang mit Zoom ist das so genannte „Zoom-Bombing“, bei dem Witzbolde eine Besprechung zum Scheitern bringen und dann Störaktionen durchführen, wie z.B. das Versenden von Spam mit pornografischen Inhalten oder auch nur allgemeine Belästigung. Zoom-Bombing ist zwar ärgerlich, aber sicherheitstechnisch in der Regel harmlos. Andererseits gibt es Zoom-bezogene Angriffe mit echter Malware, die viel mehr Schaden anrichten kann. Die häufigste diesbezügliche Angriffstechnik besteht in der Verwendung von Zoom-Installationsprogrammen, die mit Malware gebündelt sind.

Manchmal setzen die Angreifer auf gefälschte Zoom-Installer, um Benutzer dazu zu verleiten, sie auf ihren Rechnern zu installieren. Die Sicherheitsforscher stiessen etwa im Mai auf einen solchen Fall, nachdem sie Samples von Malware-Dateien gefunden hatten, die als gefälschte Zoom-Installer getarnt waren. Für den Durchschnittsanwender dürfte es schwierig sein, die legitime Zoom-Anwendung von den gefälschten zu unterscheiden. Eine genauere Prüfung ergibt, dass bösartige Versionen deutlich größere Dateien aufweisen.

Bild 1. Vergleich der Dateigrösse von bösartigen Zoom-Kopien mit dem legitimen Installer

Eines der Malware-Samples (Trojan.Win32.ZAPIZ.A) ist eine Hintertür mit Funktionen für den Fernzugriff, sodass ein Angreifer Zugriff auf den infizierten Computer erlangen kann, um böswillige Aktionen durchzuführen, wie z. B. Stehlen von Informationen. Das andere Sample (Backdoor.Win32.DEVILSHADOW.THEAABO) verfügt über einen Installer, der aus einer Datei mit bösartigen Befehlen besteht. Interessanterweise haben beide kompromittierten Installer eine legitime Version von Zoom installiert, wahrscheinlich um Hinweise auf böswillige Aktivitäten vor dem Benutzer zu verbergen.

Des Weiteren gibt es böswillige Akteure, die legitime Installer mit Malware-Dateien gebündelt hatten. So entdecken die Forscher im April einen Angriff, bei dem echte Zoom-Installer zum Einsatz kamen, die mit dem RevCode WebMonitor RAT (Backdoor.Win32.REVCODE.THDBABO) bereitgestellt wurden. Diese Malware-Variante erlaubt es ihrem Betreiber, Remote-Befehle auszuführen, z.B. Dateien hinzuzufügen oder zu löschen, Tasteneingaben aufzuzeichnen und Informationen zu sammeln. Die gleiche Masche gibt es auch mit der ZAPIZ Malware (Trojan.Win32. ZAPIZ.A), die nach dem Herunterladen alle Remote Utilities löscht und Informationen stehlen kann, möglicherweise als Vorbereitung für weitere Angriffe.

Es fand sich auch ein E-Mail-Sample, wobei ein böswilliger Akteur versuchte, Geld von dem Opfer zu erpressen, indem er ihm mit der Veröffentlichung von belastendem Videomaterial drohte, das angeblich über eine gehackte Kamera erworben wurde.

Missbrauch von Discord und Slack

Doch gibt es auch Beweise für Angriffe auf andere Kommunikationsdienste wie Slack und Discord. Slack hat mittlerweile (seit 2019) mehr als zehn Millionen aktive Nutzer täglich. Kürzlich fanden die Sicherheitsforscher eine Ransomware-Variante (Ransom.Win32.CRYPREN.C), die auf den ersten Blick ziemlich gewöhnlich scheint. Sie verschlüsselt Dateien und versieht sie danach mit einer .encrypted-Extension.

Bild 2. Die Lösegeldforderung der Crypren Ransomware

Interessant ist, dass Crypren Slack Webhooks nutzt, um den Verschlüsselungsstatus der Opfer an den Command-and-Control (C&C)-Server zu melden— eine bis dato noch nie angetroffene Technik.

Derzeit schickt die Ransomware nur eine minimale Datenmenge zurück, nämlich Computer- und Benutzernamen, die Anzahl der infizierten Dateien und den Infektionszeitstempel – was darauf hindeutet, dass sich die Verwendung von Slack für die Meldung des Infektionsstatus möglicherweise noch in der Testphase befindet.

Discord ist eine weitere Kommunikationssoftware, die ähnliche Eigenschaften wie Slack besitzt (und in Gaming-Communities weit verbreitet ist). Die Sicherheitsforscher stiessen auf Samples, die zeigen, wie böswillige Akteure Discord als Teil einer Kampagne mit bösartigen Spam-Mails verwenden, die schliesslich mit einer AveMaria- oder AgentTesla-Malware-Infektion enden. Die E-Mails enthalten entweder Lieferankündigungen oder Rechnungen in einem DHL- oder TNT-Anhang.

Bild 3. Beispiel einer Spam Mail

Die E-Mails beinhalten eingebettete Links, sei es in den Bildern oder im Text, die auf eine Discord URL zeigen (hxxps://cdn[.]discordapp[.]com/attachments/{ChannelID}/{AttachmentID}/example[.]exe). Diese URLs werden zum Hosten von AveMaria und AgentTesla genutzt, die dann die Systeme der Nutzer infizieren, wenn diese auf die Executables klicken.

Die Verwendung legitimer Anwendungen wie Slack and Discord als Teil eines Angriffs haben einfache Gründe: Sie sind bekannt, weit verbreitet, kostenlos und bieten eine gewisse Form der Anonymität. Darüber hinaus müssen die Benutzer die Anwendungen nicht einmal installiert haben, um Dateien von ihnen herunterzuladen, was den Prozess rationalisiert und effizient macht. Ein weiterer möglicher Grund ist, dass sie als normale legitime Netzwerkkommunikation ausgegeben werden können. Ihre Beliebtheit bei Angreifern liegt zudem auch daran, dass die Wahrscheinlichkeit, dass Mitarbeiter und Endbenutzer diese Dienste nutzen, sehr hoch ist.

Schutz vor den Angriffen gegen die Kommunikations-Apps

Glücklicherweise ist die Verteidigung gegen diese Art von Angriffen relativ unkompliziert. Im Falle der Zoom-Installer besteht die Gemeinsamkeit zwischen den Angriffen darin, dass sie von anderen Orten als der offiziellen Zoom-Download-Seite heruntergeladen werden. Die einfachste Möglichkeit eine Infektion zu vermeiden besteht darin, Kommunikationsanwendungen (und alle Anwendungen im Allgemeinen) nur über offizielle Kanäle herunterzuladen. Dadurch wird sichergestellt, dass die Software frei von Manipulationen ist.

Benutzer sollten es auch vermeiden, auf Links zu klicken oder Anhänge von verdächtigen oder ungeprüften E-Mails herunterzuladen. Wenn Nutzer sich nicht sicher sind, wäre es eine gute Idee, sich bei dem angeblichen Absender zu vergewissern, ob er derjenige ist, der die E-Mail verschickt hat.

Cloud of Logs: Kriminelle nutzen die Cloud für ihre Prozesse

Originalartikel von Robert McArdle, Director Threat Research

Es wird viel Wirbel um die Cloud gemacht, und dies ist auch gerechtfertigt. Schliesslich lassen sich mithilfe des Konzepts Ressourcen optimieren, Zeit sparen, die Automatisierung erhöhen und einen Teil der Sicherheitsverantwortung abgeben. Aber auch Cyberkriminelle nutzen die Cloud: Gestohlene Zugangsinformationen und Infos über Nutzer werden in der Cloud vorgehalten und auf Abonnement- oder Einmalbasis vermietet. Trend Micro hat diesen Trend ausführlich untersucht. In einem Sample-Datenset von 1.000 Logs konnten die Sicherheitsforscher 67.712 URLs für kompromittierte Konten identifizieren. Der Zugang zu diesen so genannten „Cloud of Logs“ lässt sich über eine monatliche Gebühr von 350 – 1000 $ erwerben. Die Logs umfassen unter Umständen Millionen E-Mails und Passwörter für beliebte Sites wie Google, Amazon, Twitter, Facebook und PayPal.

Gestohlene Zugangsdaten führen zu kompromittierten Unternehmen, und die Cloud macht diesen Prozess effektiver denn je. Es geht nicht um Kriminelle, die die Cloud-Infrastruktur von Firmen angreifen, sondern darum, dass sie die Cloud-Technologie dafür verwenden, ihre Abläufe zu verbessern und zu erweitern.

Die Wiederverwendung von Zugangsdaten ist ein weit verbreitetes Problem in vielen Unternehmen. Deshalb ist es wichtig, die persönlichen Daten der Mitarbeiter bei einer Risikobewertung des Unternehmens ebenfalls zu berücksichtigen.

Neuer Markt für Cyberkriminalität entsteht

Der Diebstahl von Anmeldedaten hat in den letzten Jahren zugenommen, da Angreifer massenhaft Anmeldedaten und damit verbundene E-Mail-Adressen oder Domänennamen erbeuten. Dies ist eine der grundlegendsten und seit langem bestehenden Bedrohungen für Unternehmen weltweit.

Doch nutzt eine grosse Mehrheit der heutigen Angriffe immer noch die grundlegendsten Sicherheitsschwächen aus: die Wiederverwendung von Passwörtern als eine der häufigsten. So könnte zum Beispiel ein Mitarbeiter ein Passwort für sein persönliches Konto auch als Passwort für seine Unternehmensdomäne wiederverwenden. Und die Anmeldedaten für dieses persönliche Account können in diesen Cloud-basierten Logs landen, um von anderen Kriminellen für einen neuen Cyberangriff wiederverwendet zu werden. Allein in sechs der identifizierten Cloud-Logs fanden die Forscher insgesamt 5 TB Logs, also Millionen kompromittierter persönlicher Nutzerdaten.

Im Allgemeinen sieht ein „traditioneller“ Verlauf von Cyberverbrechen über den Diebstahl von Zugangsdaten folgendermassen aus:

  • Eine kriminelle Gruppe kompromittiert ihre Opfer mit verschiedenen Mitteln und setzt Malware zum Informationsdiebstahl ein, um an die Account-Daten der Opfer (Verbraucher und Unternehmen) zu gelangen. Aufgrund der Wiederverwendung von Passwörtern kann jedes kompromittierte persönliche Konto das Unternehmen in Gefahr bringen.
  • Die Kriminellen lagern diese Accounts an einen zentralen Ort aus, einen Server, den sie kontrollieren.
  • Angesichts des Datenvolumens ist eine manuelle Verarbeitung unmöglich – daher starten sie einige einfache Suchläufe über die Daten, um die erfolgversprechenden Konten und Daten (Kreditkarten, E-Mail, Netflix usw.) zu finden. Für jede dieser zielgerichteten Suchen sieht die Gruppe die Listen manuell durch, um herauszufinden, welche dieser Accounts einen effektiveren Zugriff auf ein hochwertiges Ziel ermöglicht. Das ist zeitaufwändig, wenn man Zehntausende Logs und ein Team von vielleicht einem halben Dutzend Personen zur Verfügung hat, die auch noch andere Rollen in der Gruppe haben – der Prozess kann also Tage bis Wochen dauern.
  • Die nicht genutzten Konten werden gebündelt und auf Untergrundmarktplätzen zum Verkauf angeboten. Dies sind die „Filetstücke“, die sich immer gut verkaufen und die leicht zu verarbeiten sind – aber es lässt sich viel mehr daraus machen. Die Zeit, bis zum Verkauf beträgt nicht mehr als ein paar Wochen, da die Daten mit der Zeit „abgestanden“ sind.
  • Der Rest der Daten wird weitgehend verworfen – obwohl sie für den passenden Käufer von Wert sein könnten.
  • Dann erfolgen die Einbrüche bei neuen Opfern, und der Zyklus geht weiter.

Der neue Ablauf beginnt wie der erste, doch gibt es einige Verbesserungen und Zusätze:

  • Die Gruppe transferiert die Logs nun kurz auf einen zentralen Server und nimmt Kürzungen vor, lädt den Rest dann aber sofort in eine „Cloud of Logs“ hoch. Die Rentabilität der „Cloud of Logs“ und das planbare monatliche Gebührenmodell (das für Streaming-Dienste so gut funktioniert) bedeuten, dass es in ihrem Interesse ist, dies als Haupteinnahmequelle zu betrachten. Dadurch verkürzt sich die Zeit von der ersten Kompromittierung bis zum Verkauf von ein paar Wochen auf Tage oder Stunden.
  • Statt einer Gruppe wird es so viele Gruppen geben, die die Daten durchsuchen, wie die Cloud of Logs-Plattform es erlaubt.
  • Als Ergebnis werden nicht nur mehr Accounts als früher zu Geld gemacht, sondern auch die Zeitspanne vom ursprünglichen Datendiebstahl bis zur Wiederverwendung gegen Unternehmen verkürzt sich von ein paar Wochen auf Tage oder gar Stunden.
  • Da die meisten Verstösse nicht sofort entdeckt werden, hat zum Zeitpunkt der Erkennung häufig bereits eine andere Gruppe von Angreifern den ersten Einbruch für den Zugang zum Netzwerk genutzt, um sich dort auf einem Unternehmensserver einzunisten, oder um Ziele für einen Angriff über Social Engineering, BEC-Betrug oder Ransomware zu finden.

Unabhängig vom Endziel nutzen Kriminelle Cloud-Ressourcen, um schneller zu werden und ihre Angriffe weiter zu streuen.

Neue Rollen in cyberkriminellen Gangs

Kriminelle Unternehmen werden Data-Mining-Spezialisten benötigen, um den grösstmöglichen Ertrag aus jedem Terabyte gestohlener Daten zu erzielen. Diese Rolle in der cyberkriminellen Organisation wird nicht darin bestehen, Zugangsdaten zu stehlen oder zu vermarkten, sondern diese Person wird die Daten nach ihrer Bedeutung trennen. Ein idealer Kandidat in diesem neuen Cloud-gesteuerten Geschäftsmodell wird maschinelles Lernen nutzen, um effizient jeden Datentyp zu identifizieren und den für verschiedene Käufer attraktiven zu bündeln. Datenanalysten und Experten für maschinelles Lernen sowie Cloud-Architekten sind in der Geschäftswelt sehr gefragt, und Cyberkriminelle schätzen deren Wissen genauso.

Folgen für die Verteidigungsstrategie von Unternehmen

Das kriminelle Potenzial der gestohlenen Daten wird in vollem Umfang genutzt, da die Informationen unter verschiedenen Cyberkriminellen verteilt werden, die auf verschiedene Verbrechen spezialisiert sind. Zudem nutzen sie Cloud-Technologien genau wie Unternehmen, um agiler zu agieren.

Für die Verteidigungsstrategie eines Unternehmens ist die Zeitspanne vom Diebstahl einer Information bis zu ihrer Verwendung in einem Angriff viel kürzer. Das bedeutet, Organisationen haben jetzt viel weniger Zeit, um den Vorfall des Diebstahls von Anmeldeinformationen zu erkennen und darauf zu reagieren.

Organisationen müssen die Grundlage ihrer Sicherheitshaltung stärken, um Verstösse schnell zu erkennen. Auch die Schulung von Mitarbeitern bezüglich der Basis der Cybersicherheit und wie ihre Sorgfalt zum Schutz des Unternehmens beitragen kann ist wichtig. .

Den vollständigen Bericht über diesen neuen Markt finden Interessierte hier.

Pwn2Own Tokio: Drei Tage erfolgreichen Hackings

Originalbeitrag von Dustin Childs

Der Sieger und Master des Pwn2Own Tokio Hacking-Wettbewerbs steht nun fest. Bereits zum zweiten Mal in diesem von COVID-19 bestimmten Jahr waren es ZDI-Schwachstellenforscher, die drei Tage lang auf Anweisungen der über Online-Plattformen zugeschalteten Teilnehmer virtuell die Hacking-Versuche vorführten. Insgesamt gab es 136.500$ Preisgeld für den erfolgreichen „Missbrauch“ 23 einzigartiger Bugs für sechs unterschiedliche Geräte. Gewinner des Wettbewerbs und neuer „Master of Pwn“ ist das Team Flashback gefolgt von DEVCORE.

Flashback, auch bekannt als Pedro Ribeiro (@pedrib1337) und Radek Domanski (@RabbitPro) hatten mit zwei verschiedenen Hacking-Versuchen Erfolg und erhielten dafür insgesamt 40.000$: Sie nahmen zuerst die WAN-Schnittstelle des Netgear Nighthawk R7800 Router ins Visier und verwendeten eine aus zwei Bugs bestehende Verbindung, um den Router zu kompromittieren und einen Backdoor dort abzulegen, der auch einem Fabriks-Reset widerstand. Beim zweiten Mal kompromittierten sie die WAN-Schnittstelle auf einem drahtlosen Router mithilfe von drei Bugs. Als Folge konnten sie beliebigen Code auf dem TP-Link AC1750 Smart WLAN-Router ausführen.

Die Zweitplatzierten, DEVCORE, nahmen sich das Synology DiskStation DS418Play NAS vor. Der erste Einbruchsversuch misslang, doch dann erlangten sie über einen Heap Overflow Root-Zugang zum Server. Am nächsten Tag konnten sie erfolgreich ihre Fehlerkombination zur Codeausführung auf einem Western Digital My Cloud Pro Series PR4100 NAS zeigen. Insgesamt erhielten sie 37.500$ für ihre Vorführungen.

Die endgültige Rangliste der Teilnehmer sieht folgendermassen aus:

Wie nach jedem Pwn2Own-Wettbewerb erhielten die Anbieter die Einzelheiten zu den Schwachstellen und haben nun 120 Tage Zeit, Sicherheits-Patches dafür zu erstellen.

Weitere Einzelheiten zu den Ereignissen der drei Tage finden Interessierte im ZDI-Blog.

VirusTotal unterstützt Trend Micro ELF Hash

Originalartikel von Fernando Merces

IoT Malware-Forscher kennen die Schwierigkeiten beim Wechsel von einem bestimmten Malware-Sample zu einem anderen. IoT-Malware-Samples sind schwierig zu handhaben und zu kategorisieren, da sie in der Regel für mehrere Architekturen kompiliert werden. Ausserdem mangelt es an Tools und Techniken zur Untersuchung dieser Art von Dateien. Um IoT- und Linux-Malware-Forscher generell bei der Untersuchung von Angriffen, die ELF-Dateien (Executable and Linkable Format) enthalten, zu unterstützen, gibt es seit April 2020 ELF Hash von Trend Micro (oder auch telfhash). Telfhash ist ein quelloffener Clustering-Algorithmus zur effizienten Cluster-Bildung von Linux IoT Malware-Samples. Einfach gesagt, handelt es sich um ein Konzept, ähnlich dem Import-Hashing (oder ImpHash) für ELF-Dateien. Doch gibt es einige entscheidende Unterschiede zwischen Telfhash und einem Simbol Table Hash. Jetzt hat VirusTotal die Unterstützung für telfhash angekündigt.

VirusTotal war schon immer ein wertvolles Tool für Bedrohungsforscher. Mit telfhash können die Nutzer der VirusTotal Intelligence-Plattform von einer ELF-Datei auf weitere kommen. Telfhash ist für die IoT-Forschung und mehr von Vorteil, denn dieser Clustering-Algorithmus kann auch für jede Linux-bezogene Malware-Untersuchung verwendet werden, wie z.B. die Analyse einiger Angriffe auf Docker-Container, Windows Subsystem für Linux (WSL), Cryptominer, Rootkits und viele andere. Besonders hilfreich kann er auch in Fällen sein, in denen Varianten von Malware zu plattformübergreifenden Bedrohungen werden.

Funktionsweise

Als Beispiel soll eine ausführbare 32-Bit-ELF-Datei dienen, die mit der IoT-Malware Mirai in Verbindung steht. Nachdem der Hash für die Suche verwendet wurde, findet der Nutzer den Telfhash-Wert im „Detail“-Teil des Suchergebnisses. Klickt er diesen Wert an, so kann er ELF-Dateien suchen, die dem telfhash entsprechen.

Bild 1. Ergebnisse der telfhash-Suche

Der „Behavior“-Tab liefert nützliche Informationen zu den gefundenen Samples. Das sind Daten wie kontaktierte IP-Adressen und C&C URLs, die für eine Untersuchung sehr wichtige Netzwerkindikatoren aufzeigen. Dieses Beispiel (weitere Details im Originalbeitrag) zeigt, wie ein Forscher von einem einzigen IoT-Malware Hash auf sieben andere kommen kann.

Bild 2. Der „Behavior“-Tab eines der gefundenen 64-Bit-Samples

Telfhash ist auch über die VirusTotal API erhältlich.

IoT Monitoring-Daten zu Threat Defense umwandeln

Originalartikel von Shimamura Makoto, Senior Security Specialist

Der Sicherheitsbericht zur Jahresmitte 2020 von Trend Micro weist im Vergleich zum zur zweiten Jahreshälfte 2019 eine Steigerung von 70 Prozent bei Angriffen auf Geräte und Router aus. Dazu gehören auch Attacken auf Internet-of-Things (IoT)-Systeme, die in ihrer Häufung beunruhigen. Die Sicherheitsforscher von Trend Micro überwachen die Trends bezüglich dieser Angriffe und untersuchten Mirai und Bashlite (aka Qbot), zwei berüchtigte IoT Botnet-Schädlingstypen. Interessant sind die Zahlen zu den C&C-Servern dieser Botnets, den IP-Adressen und C&C-Befehle. Auch sammelten die Forscher Daten über die bei der Verbreitung der Malware am häufigsten verwendeten Angriffsmethoden und untersuchten die Verteilung ihrer Varianten.

Zu diesem Zweck überwachten sie C&C-Server mit Verbindung zu Mirai und Bashlite. Die IP-Adressen und Ports der C&C-Server wurden durch die Analyse verwandter Malware-Beispiele sowohl aus internen Datenbanken als auch aus externen Open-Source-Informationen, wie z.B. Informationen aus Twitter-Posts, gewonnen.

Tausende aktiver C&C-Server zeigen Häufung von IoT-Angriffen

Mirai-VariantenBashlite-Varianten
Gesammelte C&C-Serverinformationen7.0305.010
C&C-Server, die eine Verbindung akzeptierten2.9511.746
C&C-Server, die mindestens einen DDoS-Befehl absetzten2.1071.715

Tabelle 1. Anzahl der C&C-Server

Die meisten C&C-Server waren inaktiv. Das bedeutet, als sie entdeckt wurden, akzeptierten sie keine Verbindungen. Doch ein Teil der Server (2.951 für Mirai und 1.746 für Bashlite) waren noch „lebendig“ oder aktiv und ein Teil davon gab auch Distributed Denial-of-Service (DDoS)-Befehle an ihre infizierten Clients aus.

Bild 1. Anzahl der C&C-Server, die eine Verbindung akzeptierten

Es ist offensichtlich, dass die Zahl der aktiven C&C-Server nach wie vor hoch ist, obwohl es Jahre her ist, dass diese Malware-Typen zum ersten Mal in der Öffentlichkeit auftauchten (Mirai um 2016 und Bashlite um 2014). Ausserdem fanden sich 573 gemeinsame IP-Adressen unter den C&C-Servern der beiden Malware-Familien, so dass es möglich ist, dass einige Cyberkriminelle sowohl Mirai als auch Bashlite als Werkzeuge verwenden. Möglicherweise wurde die gleiche IP-Adresse auch von einem anderen Cyberkriminellen wiederverwendet.

Hunderte Befehle zeigen die Botnet-Aktivität

Insgesamt fanden die Forscher 3.822 C&C-Server, die DDoS-Befehle ausgaben. Einer der Server, setzte eine ganze Lawine von 64.991 Befehlen ab.

Bild 2. DDoS-Befehle von den C&C-Servern

Neben den in der Grafik dargestellten Daten gab es auch 136 C&C-Server, die über 1.000 Befehle ausgaben. Eine relativ geringe Anzahl von Servern war aktiv, und es scheint, dass einige inaktive C&C-Server entweder nur zu Testzwecken eingesetzt wurden oder nicht gut funktionieren.

Mit Hilfe von WHOIS fanden die Forscher die Organisationen hinter den IP-Adressen von C&C-Servern. Die meisten C&C-Server basierten auf Hosting-Services, einige davon Bulletproof, die von Cyberkriminellen dazu genutzt werden, um C&C-Server zu betreiben, während sie selbst anonym bleiben. Quellcode von IoT-Malware ist im Untergrund erhältlich, und damit ist es für die Kriminellen einfach, Tools für die Angriffe zu erstellen.

Angriffsmethoden von Mirai

Die Mirai-Familien können auf verschiedene Architekturen wie ARM, x86, MIPS, SH4 und andere abzielen. Die Forscher entdeckten fünf Arten von Angriffsmethoden:

RankName der AngriffsmethodeErklärungC&C-Server mit Verbindung zu Samples
1CVE-2017-17215Command injection attack that targets Huawei HG532 router1423
2Password listingThe malware uses hard-coded credentials to log in to devices that have default or weak credentials.607
3CVE-2014-8361Command execution attack using UPnP SOAP vulnerability in Miniigd that targets devices developed with Realtek SDK520
4ThinkPHP 5.0.23/5.1.31 RCEAn attack that exploits remote code injection vulnerability in ThinkPHP 5.0.23/5.1.31422
5CVE-2018-10561CVE-2018-10562Authentication Bypass and Command Injection vulnerabilities in GPON routers173

C&C-Server in Verbindung mit den Mirai-Varianten

Mehrere Malware-Samples stammen von den gleichen Verteilungsservern. In diesem Fall sind die Inhalte der Samples bis auf ihre Zielarchitekturen nahezu identisch.

Bild 3. Verteilung von Mirai-Varianten über C&C-Server (nur Top Strings)

Es zeigte sich, dass die dargestellten 11 Varianten mit insgesamt 5.740 Servern in Verbindung standen. Die Strings, üblicherweise XOR-kodiert, zeigten sich über Sandbox-Analysen der Malware -Samples in Verbindung mit den Servern. (Achtung: Die meisten davon stammen nur aus Open Source-Quellen; daher stimmt die Summe der Zahlen nicht mit den Zahlen in Tabelle 1 überein.) Weitere Informationen bietet auch der Originalbeitrag.

Verwendung der IOC-Daten für besseren Schutz

Um Kunden vor Cyberbedrohungen zu schützen, verwendet Trend Micro die gesammelten Indicators of Compromise (IOCs) für die verschiedenen Systeme des Monitorings, um die Fähigkeit zur Erkennung von Bedrohungen zu verbessern. Die Sicherheitsforscher sammeln URLs für IoT-Malware-Downloads, fügen sie der Web-Reputationsdatenbank hinzu und kennzeichnen sie entsprechend. Dadurch wird verhindert, dass sich die Geräte der Anwender mit solchen bösartigen URLs verbinden. Darüber hinaus erstellen die Forscher proaktiv ein Erkennungsmuster, sobald sie bei der Überwachung ein neues Muster finden.

Verteidigung von IoT-Systemen

Die meisten IoT-Malware-Programme nutzen die Schwachstellen von IoT-Geräten oder anfälligen Zugangsdaten zur Infektion aus. Um zu verhindern, dass sie durch IoT-Malware kompromittiert werden, wird Benutzern empfohlen, die folgenden Best Practices zu befolgen:

  • Keine Standard-Benutzernamen und -Passwörter verwenden: Nutzer sollten stattdessen sichere Passwörter einrichten, die nicht leicht erraten werden können. Dadurch sind Geräte weniger anfällig für Brute-Force-Angriffe oder Passwortlisten.
  • Regelmässig Software-Updates der Hersteller anwenden: Damit werden Schwachstellen behoben, die eine Infektion ermöglichen.
  • Geräte nicht ans Internet anschliessen, wenn es für ihre Funktion unnötig ist: Sie sollten lieber in ein internes Netzwerk unter einem Gateway-Router gestellt werden, um Angreifern den Zugriff darauf zu verwehren.

Folgende Trend Micro-Lösungen sind zum Schutz vor IoT-bezogenen Bedrohungen empfehlenswert:

XDR: Analyse eines mehrstufigen Angriffs mit Ngrok

Originalbeitrag von Aprilyn Borja, Abraham Camba, Khristoffer Jocson, Ryan Maglaque, Gilbert Sison, Jay Yaneza

Einer der Hauptvorteile einer Endpoint Detection and Response (EDR)-Sicherheitslösung besteht darin, dass sie so genannten Blue Teams (Sicherheitsmitarbeiter, die für die Instandhaltung und Analyse der Verteidigungsmechanismen des Unternehmensnetzwerks zuständig sing) die benötigten Einsichten liefern, um einen Sicherheitsvorfall bereits frühzeitig zu erkennen und einzugrenzen. Die Innovationen in der Sicherheitstechnologie werden häufig von einer entsprechenden Entwicklung bei den Tools und Techniken begleitet, die böswillige Akteure einsetzen. Das Trend Micro ™ Managed XDR Team musste kürzlich einen Vorfall bei einem Kunden lösen, der gezeigt hat, wie ein böswilliger Akteur mit bestimmten Techniken in einem Angriff die Analyse des Ablaufs erschwerte.

Im Juli 2020 stiess das Team von Trend Micro über die Endpunktsicherheitslösung Trend Micro Apex One ™ auf das folgende verdächtige Ereignis in der Umgebung eines Kunden:

Process: c:\windows\system32\reg.exe CommandLine: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v <value> /t REG_SZ /d „\“c:\Windows\system32\<random name>\““ /f

Es war auffällig, dass erstens der Name des Wertes der erstellten Registry nach dem Muster eines bestimmten Sicherheitsanbieters gestaltet war. Zweitens gab es einen Fehler (oder vielleicht war es Absichtl) in der Schreibweise des Registry-Namens. Schliesslich gab es noch die zufällig benannte ausführbare Datei im Systemverzeichnis. Betrachtet man all dies im Zusammenhang, so liess der Alert die Alarmglocken schrillen.

Es zeigte sich, dass die ausführbare Datei einen Keylogger darstellte, der die Maus- und Tastenbewegungen an ein Gmail-Konto schickte. Das Team fand hartkodierte Informationen in der Binärdatei, die belegen, dass diese speziell für die Zielorganisation erstellt wurde. Darüber hinaus zeigte die Datei auch, dass die Angreifer bereits Informtionen über die Organisation hatten.

Die Durchsuchung der Records und Ereignisse über den Dateinamen des Keyloggers und Hash ergab folgende Erkenntnisse:

Datei-Events: Die Datei wurde entweder über Netzwerkfreigaben oder über den Einsatz eines Exploits den Kernel betreffend abgelegt.

Events mit Befehlszeilen-Parametern: Der Angreifer war in der Lage, einen Service zu erstellen, der eine Reihe von cmd.exe-Prozesse anstösst, um einen Persistenzmechanismus zu aufzubauen.

Registry-Daten: Es gab Einträge, die die Befehlszeilen-Parameter umfassten, die an reg.exe weiter gegeben wurden. Das erklärt auch die vielen cmd.exe-Prozesse.

Daraufhin drangen die Sicherheitsforscher tiefer vor und fanden heraus, dass es eine Komponente geben musste, die mit der Aussenwelt kommunizierte – eine Kopie von ngrok, einem Softwareprogramm, über das eine interne Maschine nach draussen sichtbar ist, indem der Verkehr über die ngrok-Website geroutet wird. Ist das Tool auf zwei Maschinen vorhanden, so sind diese beiden extern sichtbar. Trend Micro hat bereits beschrieben, wie ngrok für bösartige Zwecke missbraucht werden kann.

Die genaueren technischen Details zur Analyse liefert der Originalbeitrag.

Simulieren eines Angriffs

Um die Funktionsweise des Angriffs zu verstehen, simulierte das Team eine solche Attacke und installierten ngrok auf einer der Maschinen (Maschine A), die weder von aussen sichtbar noch zugänglich war.

Ngrok kann jeden offenen IP-Port innerhalb des internen Netzwerks, der für Maschine A (einschließlich sich selbst) zugänglich ist, im Internet exponieren. Im Beispiel exponierte ngrok eine weitere Maschine (Maschine B) 192.168.19.129:445 über den ngrok-Server. So konnte das Sicherheitsteam auf 192.168.19.129:445 über 2.tcp.ngrok.io:14139 zuzugreifen. Mithilfe des Smbexec-Dienstmoduls des Impacket Toolkits und der Anmeldedaten von Maschine B liessen sich von einer externen Maschine einfache Ping-Befehle an Maschine B senden.

Bild 1. Über eine externe Maschine lässt sich ein ping-Befehl an Maschine B senden.

Das daraus resultierende Verhalten war ähnlich dem in der Umgebung des Kunden, wo zufällig benannte Service-Einträge erstellt und dann gelöscht wurden. Die Befehle wurden ausgeführt, ohne dass eine Binärdatei auf dem Zielcomputer abgelegt werden musste.

Weil die Befehle als Dienst ausgeführt wurden, läuft er zudem mit erhöhten Privilegien. Da der Netzwerkverkehr über den ngrok-Dienst getunnelt wurde, war der Befehls- und Kontrollserver effektiv verborgen. Solange der Angreifer die von ngrok zugewiesene öffentliche Adresse kennt, kann er sich von überall und jederzeit mit dem kompromittierten Endpunkt verbinden.

Auch wenn nicht zu erwarten war, dass die Simulation die Aktionen des Angreifers vollständig wiedergeben würde, lieferte sie doch wertvolle Hinweise darauf, wie der Angriff möglicherweise abgelaufen war.

Im Falle der Simulation war es erforderlich, ngrok auf dem internen Rechner zu installieren, es bedurfte der Domäne und des Ports des ngrok-Servers sowie eines Administratorkontos. Es ist davon auszugehen, dass der Angreifer alle drei besass, und sie schienen lange genug präsent gewesen zu sein, um bestimmte Details über die Umgebung zu ermitteln. Sie waren auch in der Lage, ein hochprivilegiertes Konto zu kompromittieren. Insoweit passt die von dem Team durchgeführte Simulation zu den Angriffseigenschaften.

EDR als Antwort

Bild 2. Root Cause-Analyseablauf einer typischen Backdoor Shell

Shell.exe startet cmd.exe, das dann das Tool zur Ausführung des angegebenen Befehls startet. Das Bild zeigt auch, wie das von ihr installierte Tool – wie Toola.exe – gestartet wird. Diese Art von Diagramm ist unkompliziert und macht es leicht, verdächtige Objekte zu identifizieren und den grundlegenden Ablauf eines Angriffs zu bestimmen.

Bei diesem Vorfall beginnt die Ursachenanalyse mit services.exe und endet mit dem ausgeführten Werkzeug oder Befehl. Es gab keine Hinweise darauf, dass jemals ein mehrstufiges Tool verwendet wurde, das andere Tools ablegt, und aufgrund des Zugriffs, den die Angreifer in diesem Modell hatten, ist es sehr wahrscheinlich, dass sie kein solches Tool benötigten. Die Maschinen waren zugänglich, so dass die Angreifer jedes Werkzeug ausführen konnten, das sie brauchten, ohne sich clevere Mechanismen zur Installation der Binärdatei ausdenken zu müssen (wie z.B. das seitliche Verschieben von einer Maschine auf eine andere). Zum Beispiel legten die Angreifer die Keylogger-Datei über den Server-Message-Block (SMB) ab und gaben einen separaten Befehl aus, um seinen Persistenzmechanismus zu schaffen.

Aussagekräftige Root Cause-Analyseabläufe sind schwer zu bekommen, weil alles mit services.exe beginnt (oder einem anderen Windows-Prozess, wenn eine Datei abgelegt wird), wobei jeweils ein Befehl bzw. ein Werkzeug ausgeführt wird. Der resultierende Ablauf ähnelt eher einem „Baum“ mit services.exe in der Mitte, wobei jeder Zweig einen Befehl darstellt, der über services.exe ausgeführt wird.

Die Analyse zeigt, dass die bei dem Angriff verwendete Technik für die Sicherheitsforscher sehr hinderlich dabei ist, die Abfolge der Ereignisse über ein kurzes Diagramm zusammenzusetzen. Bestimmte Funktionen von EDR sind jedoch für den Umgang mit Vorfällen wie diesem ausgelegt.

Abhilfe durch verdächtige Events

Verdächtige Ereignisse sind wirksame Auslöser für eine EDR-Lösung, und die Fähigkeit, mithilfe derselben Lösung Abhilfe zu schaffen, ist ideal für Sicherheitsteams. Bei diesem Vorfall nutzte Trend Micro Managed XDR die Apex One-Funktionen, um die Bedrohung mit derselben Software-Suite sowohl zu untersuchen als auch zu entschärfen.

Untersuchung über Log Events

Konventionelle Incident Response-Methoden erfordern oftmals den Einsatz eines Tools, um Beweise von einem verdächtigen Host zu erhalten. Bei dieser Untersuchung wurde alles durch die Auswertung der vom EDR protokollierten Ereignisse durchgeführt. Für die Untersuchung war keine Speicher- oder Disk-Image-Erfassung erforderlich, was bedeutet, dass die von EDR gesammelten Daten ausreichten, um festzustellen, wie ähnliche Angriffe funktionieren. Die chronologische Reihenfolge der Befehle wurde den Zeitstempeln der Ereignisse entnommen. Selbst ohne das selbsterklärende Diagramm, das EDR erstellt, ist es immer noch möglich, festzustellen, wie der Angriff stattgefunden hat.

Neue Alerts

EDR ermöglicht die mühelose Erstellung von Warnmeldungen, um eine Untersuchung auszulösen. In diesem Fall können neue Alerts immer dann erstellt werden, wenn services.exe cmd.exe startet und wenn %comspec% in einen Autostart-Registry-Eintrag geschrieben wird. Das kann für künftige Threat-Verfolgungsfähigkeiten für Blue Teams hilfreich sein.

Trend Micro-Lösungen

The Trend Micro XDR schützt E-Mails, Endpunkte, Server, Cloud-basierte Workloads und Netzwerke mithilfe funktionsstarker KI- und Sicherheits-Analytics, um Daten zu korrelieren. Die Lösung liefert ein optimiertes Set Alerts über eine einzige Konsole. Damit können Unternehmen schnell Bedrohungen erkennen und deren Auswirkungen zeitnah eindämmen.

Trend Micro Managed XDR bietet kenntnisreiches Bedrohungs-Monitoring, Korrelation und Analysen durch erfahrene Cybersicherheitsexperten, und das im Rahmen eines 24/7-Service, über den Kunden Erkennung, Analyse und Response aus einer einzigen Quelle erhalten.

Die Weiterentwicklung bösartiger Shell Skripts

Originalartikel von David Fiser, Alfredo Oliveira

Unix-Programmierer nutzen Shell Skripts generell als einfache Möglichkeit mehrere Linux-Befehle aus einer einzigen Datei heraus auszuführen. Viele tun dies als Teil einer gewöhnlichen betrieblichen Workload, bei der Dateien manipuliert, Programme ausgeführt werden und Text gedruckt wird.

Ein Shell-Interpreter steht in jeder Unix-Maschine zur Verfügung und ist daher auch für böswillige Akteure ein interessantes und dynamisches Werkzeug für ihre Zwecke. Trend Micro hat bereits über Payloads berichtet, die über Shell Skripts falsch konfigurierte Redis-Instanzen missbrauchen, Docker-APIs exponieren oder konkurrierende Kryptowährungs-Miner entfernen. Dieser Beitrag stellt dar, wie Cyberkriminelle Shell Skripts verändert haben und wie sie bei der Entwicklung von Malware-Payloads in bösartigen Routinen eingesetzt werden können.

Änderungen an den Befehls- und Programmiertechniken

Die Technik des Missbrauchs von Befehlszeilen-Interpreter ist nicht neu und kommt in der kriminellen Praxis häufig vor. Doch beobachten die Sicherheitsforscher immer weitere Änderungen an den Skritps. Früher waren Shell Skripts eine relativ klare Kombination einfacher Befehle mit klaren Links, die direkt in die Payload eingefügt waren. Doch mit der Weiterentwicklung der Bedrohungen nutzen die Akteure fortgeschrittene Befehls- und Programmiertechniken.

Einfache Text-Links werden durch Base64-kodierten Text ersetzt, wobei es sich bei einigen Code-Teilen um heruntergeladene oder kodierte Payloads handelt. Damit sollen die direkten Payload-Links versteckt, Sicherheitsregeln für die Identifizierung umgangen und die Analyse erschwert werden. Der kodierte Text wird mithilfe von Base64 dekodiert und an einen Bash Shell-Interpreter weitergegeben, der das Skript ausführt.

Bild. Teil der dekodierten Payload

Wurden früher die Befehle unabhängig von dem auf dem Server laufenden Zieldienst ausgeführt, so ist das Skript mittlerweile in der Lage zu prüfen, ob der Dienst läuft oder nicht, und einen Teil der CPU-Zeit für seine Payloads abzuzweigen. Es kann zusammen mit neueren Versionen ausgeführt werden, die ebenfalls mit Base64 kodiert sind, und ist auch in der Lage, Variablen für bestimmte Links ersetzen.

Die Sicherheitsforscher stellten auch eine Änderung bei der Nutzung von Pastebin zum Speichern von Skript-Teilen fest, so etwa bei der URL. Weitere technische Einzelheiten beinhaltet der Originalbeitrag.

Fazit

Böswillige Akteure verbessern und optimieren unablässig ihre Routinen und Techniken, wie z.B. die Fähigkeit, Payloads zu verschleiern und weiterzugeben. Um ihre Gewinne zu maximieren und den verbesserten Erkennungs- und Eindämmungstechnologien zu entgehen, setzen Cyberkriminelle auch bereits für andere Betriebssysteme dokumentierte und entdeckte Techniken ein oder kombinieren sie mit neuen. Während einige der Techniken bereits in zuvor beobachteten Malware-Routinen oder Umgebungen eingesetzt wurden, sind diese für Shell Skripts und Malware-Familien ziemlich neu.

Es ist noch recht früh, um zu erklären, dass diese Techniken ausgefeiltere Linux-Verschleierungen bedeuten. Diese Entwicklung der Shell Skripts, um sie zur Auslieferung von Payloads zu verwenden, sollte zu mehr Vorsicht führen. Darüber hinaus können Forscher davon ausgehen, dass Klartext weniger verbreitet sein wird; sie werden für eine vollständige Analyse mehrere Schichten gleichzeitig entschlüsseln müssen.

Trend Micro-Lösungen

Trend Micro-Lösungen mit XGen™ Security, wie ServerProtect for Linux und Trend Micro Network Defense können zugehörige bösartige Dateien und URLs erkennen und somit die Systeme der Nutzer schützen. Trend Micro Smart Protection Suites und Trend Micro Worry-Free™ Business Security setzen auf Fähigkeiten zur Verhaltensüberwachung und können so zusätzlich gegen diese Arten von Bedrohung schützen.

Angreifbare Schwächen in Gesichtserkennungsgeräten

Originalartikel von Vincenzo Ciancaglini, Joey Costoya, Philippe Lin, Roel Reyes

Biometrische Sicherheitslösungen wie Fingerabdruck- oder Iris-Scanner und Gesichtserkennungskameras werden in grossem Umfang eingesetzt, um den Zutritt zu geschlossenen Bereichen zu regeln. Aber diese biometrischen Authentifizierungssysteme sind in der Regel sehr rechenaufwändig. Beispielsweise verwenden traditionelle Gesichtserkennungs-Sicherheitslösungen einen externen Dienst für die Berechnung, die zur Validierung eines Benutzers erforderlich ist; eine Kamera vor Ort nimmt ein Bild auf und sendet es dann an einen Cloud-basierten Dienst, der die Verarbeitung vornimmt. Bei gross angelegten Installationen kommt es zu einer Latenzzeit zwischen der Authentifizierung und der Validierung des Benutzers. Und beim Senden grosser Mengen von Bilddaten an den Authentifizierungsdienst treten auch Probleme mit dem Verbrauch der Netzwerkbandbreite auf. Um ein differenzierteres Verständnis der Sicherheitsprobleme bei Gesichtserkennungsgeräten zu erhalten, haben die Sicherheitsforscher die Sicherheit von vier verschiedenen Modellen unter die Lupe genommen: ZKTeco FaceDepot-7B, Hikvision DS-K1T606MF, Telpo TPS980 und Megvii Koala.

Um diese Probleme bei auf Gesichtserkennung basierenden Zugangskontrollgeräten zu lösen, setzen Hersteller von Sicherheitslösungen auf Edge Computing. Im Rahmen dieser Architektur sind die Geräte selbst Edge-Knoten und voll ausgestattet, um ein Benutzerbild direkt zu validieren. Diese Edge-Computing-fähigen Geräte sind nur für Koordinations- und Wartungsaufgaben auf einen externen Dienst angewiesen.

Eine solche Architektur reduziert die Latenzzeit und den Verbrauch der Netzwerkbandbreite, da keine Benutzerbilder über das Netzwerk übertragen werden. Es gibt jedoch Sicherheitsbedenken gegen „dumme“ Geräte mit geringem Stromverbrauch, die mit höheren Rechenkapazitäten und mehr Verantwortung im Validierungsprozess ausgestattet sind.

Aufbau des Versuchs

Die Sicherheit von vier verschiedenen Modellen, ZKTeco FaceDepot-7B, Hikvision DS-K1T606MF, Telpo TPS980 und Megvii Koala, wurde auf den Prüfstand gestellt. Die Geräte und ihre Serverkomponenten (falls zutreffend) wurden in einem isolierten Testnetz aufgebaut. Die Anordnung simulierte die normale Arbeitsumgebung der Geräte:

  • Zugangskontrollgerät: Dies ist das getestete Gerät.
  • Man-in-the-Middle (MitM)-Gerät: Dieses Gerät wird dazu verwendet, um Netzwerkpakete zwischen dem Zugangskontrollgerät und der entsprechenden Serverkomponente transparent zu erfassen.
  • Management Server: Das Zugangskontrollgerät wird in der Regel mit einer Software-Suite geliefert, die eine Serverkomponente enthält, die auf diesem Managementserver installiert ist.

Bild. Das Setup für die Untersuchung der Sicherheit der Zugangskontrollgeräte.

Die Ergebnisse der Untersuchung zu Schwachpunkten in der Hardware sowie Sicherheit für den Netzwerkverkehr der einzelnen Gerätemodelle können Interessierte im Originalbeitrag nachlesen.

Best Practices und Vorsichtsmassnahmen

Sicherheitspraktiken, die für eine bestimmte Technologie gelten, lassen sich nur selten auf andere Medien übertragen. Dies wird deutlich, wenn man sich die Verwendung von HTTP für die API-Kommunikation ansieht. HTTP wurde in den 1990er Jahren für Desktop-Webbrowser eingeführt, und im Laufe der Jahre wurden die Sicherheitspraktiken verbessert: Unter anderem wurde das Protokoll gehärtet, es wurde sichergestellt, dass die Kommunikation verschlüsselt wird und dass Sitzungen nicht wieder verwendbar sind. Edge-Computing ist ein relativ neues Medium für eine relativ alte Technologie, und viele Hersteller von Edge-Geräten haben solche Sicherheitspraktiken noch nicht übernommen. Die Tests zeigen, wie sich ein kritisches Gerät wie eine Zugangskontrollkamera auf ein bewährtes Protokoll wie HTTP verlässt, aber die eingesetzten Systeme lassen bestimmte sicherheitsrelevante Punkte ausser Acht.

Um die Risiken zu mindern, die mit dem Einsatz dieser Geräte verbunden sind, sollten Unternehmensanwender die folgenden Richtlinien zur sicheren Bereitstellung befolgen:

  • Überprüfen der Sicherheit der Geräte selbst und Durchführung einer Risikoanalyse für jede Edge-basierte Installation.
  • Management der Schwachpunkte der Hardware, wie sichtbare Geräteinformationen und zugängliche Ports.
  • Isolieren der Edge-Geräte und ihre Server im Netzwerkraum . Sie sollten für externe Parteien unzugänglich sein.
  • Einsatz von netzwerkbasierte IP-Filterung – z. B. über Firewalls oder Zugriffskontrolllisten -, um die Kommunikation nur von zugelassenen Netzwerk-Endpunkten aus zuzulassen.

Die vollständige Darstellung der Sicherheitsprobleme sowie der Massnahmen entnehmen Sie dem Whitepaper „Identified and Authorized: Sneaking Past Edge-Based Access Control Devices“.

Unternehmenssicherheit in Gefahr durch das neue flexible Arbeiten

von Trend Micro

COVID-19 hat die Welt in den letzten Monaten auf verschiedene Weise verändert, am deutlichsten jedoch ist der schnelle Wechsel zu Remote Working infolge der durch Regierungen verhängten Lockdown-Massnahmen zu beobachten gewesen. Trend Micro hat im Rahmen einer Umfrage die Gewohnheiten von Arbeitnehmern im Homeoffice während der Pandemie untersucht. Offiziellen Zahlen des Bitkom zufolge arbeitete infolge der Corona-Pandemie jeder zweite Berufstätige (49%) ganz oder zumindest teilweise im Homeoffice. Obwohl dies zur Unterstützung der Produktivität unter aussergewöhnlichen Umständen unerlässlich war, droht es auch, Organisationen neuen Cybersicherheitsrisiken auszusetzen.

Das Problem mit dem Smart Home

Für den Bericht „Head in the Clouds“ wurden mehr als 13.000 Remote-Mitarbeiter in 27 Ländern weltweit (davon 504 in Deutschland) befragt. Obwohl viele vorgeben, Cybersicherheit heute ernster zu nehmen, ist die Wahrheit etwas anders geartet. Eines der Hauptrisiken, laut Studienergebnissen, entsteht durch Smart Home-Systeme.

Smart Home-Geräte sind heutzutage allgegenwärtig – von Smart TVs und Home Sicherheitssysteme bis zu vernetzten Lautsprechern und Wasserkochern. Sie sind darauf zugeschnitten, den Alltag einfacher, sicherer und produktiver zu gestalten. Doch hat eine Studie der Postbank 2019 gezeigt, dass nahezu jeder Dritte deutsche Haushalt einen digitalen Sprachassistenten nutzt.

Diese Gadgets weisen bekanntermassen Schwachstellen auf, wie z.B. Firmware-Fehler und werkseitig voreingestellte Logins, die leicht zu knacken sind. Bot-Angriffe wie Mirai und seine Nachfolger haben diese Schwächen sehr erfolgreich ausgenutzt, insbesondere bei Produkten weniger bekannter Marken.

Doch über das blosse Kompromittieren und Einbinden eines anfälligen Geräts in ein Botnet hinaus gibt es potenziell noch ausgefeiltere Möglichkeiten für funktionierende Angriffe. Die Studienautoren fanden heraus, dass mehr als die Hälfte 62% der Remote-Mitarbeiter in Deutschland IoT-Geräte besitzen, die mit dem Home-Netzwerk verbunden sind, wobei 7% weniger bekannte Marken einsetzen. Diese Geräte könnten theoretisch gekapert werden, um einem Angreifer Zugang zu einem Heimnetzwerk zu verschaffen. Und dann ist es nur ein kurzer Weg bis ins Firmennetzwerk, über Laptops oder PCs, die ebenfalls miteinander vernetzt sein können.

Unternehmen unter Beschuss

Ein Angriff auf ein Unternehmen stellt für die Akteure nicht unbedingt eine einfache Aufgabe dar, doch wird sie erleichtert, wenn Laptops und andere Geräte mit Unternehmenszugriff schlecht gesichert sind. Zwei Fünftel (45%) der deutschen Studienteilnehmer erklärten, dass sie von persönlichen Geräten aus auf Unternehmensdaten zugreifen. Diese Geräte sind häufig weniger gut geschützt als die im Unternehmen: So erklärten 52% der Remote-Mitarbeiter kein aktives Passwort für ihr Geräte zu nutzen.

Des Weiteren greifen 65% der Remote-Mitarbeiter von ihrem Arbeits-Laptop auf das Heimnetzwerk zu. Diese sollten zwar sicherer sein, aber es gibt keine Garantie dafür, vor allem, wenn Manager sie schnell ausgeben, ohne dass die IT-Abteilung Zeit hat zu prüfen, ob AV vorinstalliert ist. Nicht alle IT-Sicherheitsfunktionen sind in der Lage, solche Geräte aus der Ferne zu verwalten. Eine kürzlich veröffentlichte Studie liefert beunruhigende Zahlen: 93% der Unternehmen weltweit haben derzeit Sicherheitsaufgaben verschoben, so etwa Patching während der Pandemie.

All dies geschieht zu einer Zeit, in der Cyberkriminelle es auf abgelenkte Remote-Mitarbeiter als potenziell schwaches Glied in der Cybersicherheitskette von Unternehmen abgesehen haben. Im Mai sah sich das National Cyber Security Centre (NCSC) gezwungen, ein Adisvory nicht nur bezüglich Phishing-Angriffen unter dem COVID-Thema, sondern auch für Angriffe auf Remote-Access-Infrastrukturen herauszugeben.

Was nun?

So vorhersehbar es auch klingt, die Antwort liegt in dem bewährten Trio aus Menschen, Verfahren und Technologie. Als erstes geht es um die Menschen, die ein verbessertes Awareness-Training erhalten müssen. Dieses sollte auf verschiedene Persönlichkeitstypen zugeschnitten sein, um die Wirksamkeit zu maximieren.

Als Nächstes sollten sich Unternehmen auf die Neugestaltung und Durchsetzung von Sicherheitsrichtlinien und -prozessen konzentrieren, um der neuen Realität der Heimarbeit Rechnung zu tragen und sicherzustellen, dass die Mitarbeiter sich an die Vorschriften halten. Sie müssen die Bedrohung, die von intelligenten Heimnetzwerken und persönlichen Geräten ausgeht, kennen und wissen, wie sie diese mindern können, z.B. durch Isolierung von IoT-Geräten in Gastnetzwerken.

Schliesslich sollten Organisationen sicherstellen, dass alle Endpunkte und Heimnetzwerke der Mitarbeiter angemessen geschützt sind. Cloud-basierte Tools können einen Grossteil der Arbeit leisten, um Kosten zu minimieren und den Verwaltungsaufwand für überlastete IT-Teams zu verringern.

XCSSET Update: Browser Debug-Modus, inaktive Ransomware möglich

Originalartikel von Mac Threat Response, Mobile Research Team

Trend Micro hatte bereits über XCSSET berichtet und die ziemlich einzigartige Gefahr für Xcode-Entwickler aufgezeigt. Der Eintrag stellte zudem die Möglichkeiten dar, wie Kriminelle macOS-Schwachstellen missbrauchen, um den maximalen Gewinn aus infizierten Maschinen zu ziehen. Die Erforschung der Bedrohung geht weiter, und hier sollen einige Aspekte deren Verhalten zur Sprache kommen.

Die wichtigsten neuen Erkenntnisse zu der Bedrohung sind folgende:

  • XCSSET kann den Debug-Modus auch anderer Browser missbrauchen, ähnlich dem Verhalten in Safari;
  • Zudem beinhaltet die Bedrohung potenzielle Ransomware-Fähigkeiten, auch wenn diese nicht implementiert wurden.

Ein technisches Briefing enthält weitere Details.

Remote Debug-Modus für weitere Browser

Auch wenn sich XCSSET speziell auf Safari konzentriert, so beinhaltet die Malware andere Module, die auf weitere Browser zielen. Das Verhalten dahinter ist ähnlich – die Browser können im Debugging/Entwickler-Modus laufen, sodass die Browser gekapert und ein Universal Cross-Site Scripting (UXSS)-Angriff durchgeführt wird. Die folgenden Browser (neben Safari) sind betroffen:

  • Brave
  • Google Chrome
  • Microsoft Edge
  • Mozilla Firefox
  • Opera
  • Qihoo 360 Browser
  • Yandex Browser

Die beste Verteidigung gegen diesen Angriff wäre die Beschränkung des Zugriffs auf den Debugging-Modus, möglicherweise über eine Art von Passwortauthentifizierung. Als Alternative sollte der Benutzer eine Benachrichtigung erhalten, wenn sich ein Remote-Debugger mit dem Browser verbindet. Von den oben genannten Browsern tut dies insbesondere Firefox als Teil seiner Standardkonfiguration:

Bild 1. Firefox Debug-Anfrage

Inaktive Ransomware-Fähigkeiten

Im Zuge der Recherche fanden die Forscher zusätzliche Module, die XCSSET laden kann, unter anderem ein Ransomware-Modul. Die Experten halten es für inaktiv, weil die Zeile für die Ausführung der Verschlüsselung auskommentiert ist.

Der Grund des Angreifers dafür ist unklar. Basierend auf der Code-Analyse verschlüsselt das Modul alle Dateien auf dem Desktop, den Ordner „Dokumente“ und „Downloads“ (sofern sie unter 500 MB gross sind). Laut der Lösegeldforderung beträgt dieses 0,5 BTC oder etwa 5.700 US-Dollar.

Trend Micro-Lösungen

Zum Schutz der Systeme vor dieser Art von Bedrohung sollten Benutzer nur Anwendungen von offiziellen und legitimen Marktplätzen herunterladen. Auch hilft eine mehrschichtige Sicherheitslösung wie Trend Micro Maximum Security mit ihrem umfassenden Schutz für mehrere Geräte. Unternehmen können auch Trend Micro Smart Protection Suites mit XGen™-Sicherheit einsetzen.