Archiv der Kategorie: Internet-Bedrohungen

Cyberkriminelle spielen um Gewinne aus verbrecherischen Aktivitäten

Originalbeitrag von Erin Johnson, Vladimir Kropotov und Fyodor Yarochkin

Im Halbjahresbericht zur Sicherheit 2020 zeigte Trend Micro auf, wie sich die COVID-19-Pandemie auf die Sicherheitsbranche auswirkt. Sie hat nicht nur die Art verändert, wie der Betrieb abläuft (und dementsprechend die Mitarbeiter agieren), sondern auch bestimmte kriminelle Aktivitäten gefördert, vor allem während der Zeit der Kontaktbeschränkungen. Einige dieser Tätigkeiten beziehen sich auf „Freizeitaktivitäten“, doch verbringen die Cyberkriminellen ihre Zeit anders als der Normalbürger, denn deren Beschäftigungen führen zu noch mehr Kriminalität. Das Untergrund-Monitoring der Sicherheitsforscher zeigte mehrere Arten der „Unterhaltung“, einschliesslich solcher, die Preise anbot, die aus dem kriminellen Betrieb stammen.

Cyberkriminelle scheinen mit dem Fortschreiten der Pandemie bestimmte Arten von Online-Wettbewerben zu bevorzugen. Dazu gehören:

  • Online Rap-Wettbewerbe
  • Pokerturniere
  • Gedichtwettbewerbe
  • Persönliche Sportturniere

Oberflächlich betrachtet erscheint dies alles wie ein unschuldiger Spass, an dem auch normale Menschen teilnehmen. Unter dem Deckmantel von Spass und Spiel jedoch verbirgt sich ein weitaus beunruhigenderes Szenario: Bei diesen scheinbar legitimen Aktivitäten werden kriminell erworbene Güter als Preise verliehen. Diese reichen von Kreditkarten-Dumps bis hin zu persönlich identifizierbaren Informationen (PII).

Viele dieser Preise werden mit arglistigen Mitteln erworben und können dazu verwendet werden, mehr Cyberkriminalität zu fördern. Beispielsweise werden PII häufig für Identitätsdiebstahl verwendet, während Kreditkarten-Dumps dazu dienen, Kreditkartenbetrug zu begehen.

Nicht nur die Preise sondern auch die Rechtmässigkeit einiger der Aktivitäten selbst sind fragwürdig. Beispielsweise sind Pokerturniere möglicherweise nicht legal, da Online-Poker in einigen Ländern verboten ist. Die Quarantänebeschränkungen während der Pandemie haben jedoch die Häufigkeit von Untergrund-Pokerturnieren erhöht. Einige Mitglieder eines Untergrundforums schlugen sogar vor, die Häufigkeit der Turniere von wöchentlich auf täglich zu erhöhen, da aufgrund der Covid-19-Restriktionen mehr freie Zeit zur Verfügung steht. Pokerturniere sind im Untergrund überaus populär geworden.

Insgesamt bot etwa die Hälfte der untersuchten kriminellen Online-Plattformen eine Art Covid-19-bezogenes Unterhaltungsprogramm an. Einige schienen ziemlich unschuldig, wie etwa ein Geschichtenwettbewerb mit Geldpreisen, während andere Belohnungen krimineller Natur anboten. Einige Untergrund-Pokerclubs gewähren aktiven Spielern zusätzliche Forenprivilegien, wie etwa Rabatte auf Treuhand-Serviceprovisionen für den Geldwechsel. So erhielten im Juni Teilnehmer einen 50-prozentigen Rabatt auf diese Dienste.

Auch Rap- oder Gedicht-Wettbewerbe haben an Beliebtheit zugenommen und wurden mit ähnlichen Preisen ausgestattet, etwa Teilnahmegebühren bei Pokertournieren.

Gestohlene Preise für die kriminellen Spiele

Die Aktivitäten selbst stellen im Allgemeinen kein Problem dar, doch die ausgelobten Preise für die Gewinner sind das kriminelle Element dabei. Sie werden üblicherweise von den Foren-Teilnehmern im Untergrund gestiftet und fördern Kriminalität.

Unter anderem gehören folgende Preise dazu:

  • Zugang zu Cloud-basierten Logdateien von gestohlenen Daten, einschliesslich PII und gestohlenen Kreditkarten.
  • Lizenzen für Linken Sphere, einen angepassten Browser, der gestohlene Anmeldedaten und Systemfingerabdrücke verwendet, um die Erkennung durch ein Anti-Betrugssystem zu vermeiden. Kriminelle verwenden diese normalerweise, um gestohlene Kreditkarten oder Zugangsdaten zu Zahlungssystemen zu vermarkten.
  • Eine VISA Gold Card (mit einer siebenmonatigen Garantie), die über gescannte, aus einer Leckage stammende IDs registriert ist.
  • Ein Skript zur Automatisierung der Erstellung von geklonten Websites und E-Shops. Untergrundakteure verwenden diese oft, um Benutzeranmeldeinformationen, PII, Kreditkarten, elektronische Geldbörsen und andere monetäre Werte zu sammeln, indem sie Benutzer dazu verleiten, sich anzumelden und auf einer geklonten Version einer Website einzukaufen.
  • Eine Lizenz für Software zur Verhinderung der Erkennung von Kreditkartenbetrug, zusammen mit 50 benutzerdefinierten Konfigurationen. Diese Software wird zusammen mit gestohlenen Zahlungsinformationen verwendet, um den rechtmäßigen Kreditkartenbesitzer nachzuahmen und gleichzeitig die Erkennung durch Anti-Betrugssysteme zu vermeiden.
  • Geldpreise, die ursprünglich aus kriminellen Aktivitäten stammen, sowie viele andere Preise.

Viele weitere Details zum Thema bietet der Originalbeitrag.

Fazit

Die Preise – und ihre Verwendung für weitere böswillige Aktivitäten – stellen eine Belastung für Einzelpersonen und Organisationen dar, die bereits unter der Pandemie leiden.

Die Mittel für den Lebensunterhalt und die Finanzen der Menschen als Aktivposten zu behandeln, der gegen Unterhaltung eingetauscht wird, ist zynisch, umso mehr unter den gegenwärtigen Umständen. Darüber hinaus sind die spezifischen (kriminalitätsfördernden) Software-Lizenzen, die als Preise angeboten werden, sehr wertvoll – vor allem auch für Cyberkriminelle. Die Anti-Betrugs-Erkennungssoftware Linken Sphere kostet etwa 100 US-Dollar pro Monat, bzw. 500 US-Dollar für ein sechsmonatiges Abonnement.

Diese Bedrohungen sind nicht neu – Kreditkartenbetrug, Identitätsdiebstahl und gestohlene Software gibt es schon seit Jahren. Doch kriminell erworbene Assets, die als Preise für die persönliche Unterhaltung verwendet werden, sind ein Phänomen, das die Mentalität dieser Kriminellen zeigt: Die gestohlenen Assets sind einfach Vermögenswerte, die vergeben, gehandelt oder verschenkt werden können. Für die Opfer ist es jedoch ganz anders, da ihr Lebensunterhalt wie gedruckte Scheine in einem soziopathischen Monopolspiel herumgereicht wird.

Die Mission von Trend Micro besteht darin, das Internet zu einem sichereren Ort zu machen, und wir werden weiterhin proaktiv die kriminellen Aktivitäten im Internet bekämpfen.

Security-Strategie – „Take back control”

von Richard Werner, Business Consultant

Ein abgedroschener Slogan aus der politischen Brexit-Kampagne als Titel einer Security-Strategie? Und mehr noch, er unterstellt dem Leser, die Kontrolle verloren zu haben! Leider stimmt er teilweise, denn in letzter Zeit fällt die Häufung der Schlagzeilen auf, die über Unternehmen, Behörden oder öffentliche Einrichtungen als Opfer von Cyber-Attacken berichten. Als Folge oder als Lehre daraus wird regelmässig eine „Umstrukturierung der IT Security“ gefordert. Die Betroffenen haben nachweislich die Kontrolle über Ihre IT Security zumindest für einen gewissen Zeitraum verloren. Haben sie also individuell etwas fundamental falsch gemacht, oder ist der schwerwiegende Ausbruch das offensichtliche Symptom einer schon längst verloren gegangenen Kontrolle?

Der Einsatz von IT in Unternehmen wird zu einem immer wichtigeren Grundpfeiler des Geschäftsmodells. Digitalisierung auf der einen und Mitarbeiter auf der anderen Seite treiben diese Entwicklung weiter voran. Die IT ist dabei oft historisch und vor allem lösungsorientiert gewachsen. In diesem somit vorhandenen Sammelsurium verschiedenster Technologien und Systeme ist die IT-Security mitgewachsen und in den meisten Umgebungen ebenso „vielfältig“. Analysten errechneten 2017, dass grössere Unternehmen im Schnitt Produkte von 80 verschiedenen Sicherheitsanbietern einsetzen. Die Steuerung dieser, zwangsläufig als Silo vorhandenen, also separaten, nicht integrierten Lösungen obliegt sehr oft den Fachabteilungen. Klassisch wird dabei beispielsweise zwischen Netzwerk, Endpoint und Rechenzentrum unterschieden.

Kontrollverlust

Den Kontrollverlust bemerken IT-Sicherheitsverantwortliche oft erst, wenn sie sich mit der Realität eines tatsächlichen Angriffs konfrontiert sehen. Dann allerdings werden die Lücken offenbar. Ist der Angriff kleiner und lokal begrenzt, wird häufig schlicht eine weitere Sicherheitstechnologie eingesetzt. Die dafür ausgegebene Summe steht im direkten Verhältnis zum erzeugten Schaden.

Ist es allerdings ein ernstzunehmender Angreifer, der bewusst Unternehmensnetze infiltriert mit dem Ziel, möglichst breitflächig Systeme zu übernehmen, werden die dramatischen Auswirkungen dieser Strategie richtig deutlich. In der öffentlichen Wahrnehmung sind diese Angriffe mit dem Schädling „Emotet“ verbunden, der seit Anfang 2019 für unrühmliche Schlagzeilen sorgt. Tatsächlich gab es ähnliche Angriffe schon früher, und sie sind weiterverbreitet als vielen bewusst ist. Der Grund, warum Emotet und seine Nachfolger für Schlagzeilen sorgen, ist die Tatsache, dass die Kriminellen hinter den Angriffen bewusst destruktiv auftreten und exorbitante Lösegeldsummen fordern.

Auswirkungen des Kontrollverlusts

Die Herausforderung, der sich betroffene Firmen dabei stellen müssen, ist die Frage, wieso es den Angreifern gelang trotz Security-Technologie in das Netzwerk einzudringen und sich darin auszubreiten. Das Vorgehen der böswilligen Akteure beruht zumeist auf den wohlbekannten „Social Engineering“-Techniken, also dem „Austricksen“ von Menschen und Sicherheitslücken. Die eingesetzte Sicherheitstechnologie erkennt Teile des Angriffs dabei regelmässig. Diese Teile werden auch in den entsprechenden Tools dargestellt und geloggt. Die „Kunst“ der Angreifer dabei besteht darin, in den jeweiligen Silos als unbedeutender Event zu erscheinen, denn so können sie sich oft monatelang in einem Netzwerk ausbreiten.

Es ist nicht nur die Erkennung des Angriffs, die Probleme bereitet. Ist dieser offenkundig, geht es darum, schnell und effizient Gegenmassnahmen zu ergreifen. Auch hier stellt sich die Vielzahl unterschiedlichster Sicherheitslösungen als kontraproduktiv heraus. Nicht zuletzt bedeutet auch die Verteilung der Aufgaben in verschiedenen Fachabteilungen, dass rein menschliche Hürden wie z.B. ungleiche Wissensstände überwunden werden müssen.

Diese Herausforderungen sorgen letztlich für einen enormen Aufwand und nicht selten auch für Frustration.

Kontrolle zurück erlangen

Was bedeutet nun „Take back control“? IT-Security ist zum Glück zumeist eine ziemlich langweilige Aufgabe, von der jeder hofft, dass sie nie spannend wird. Ein „brutaler“ Angriff erfolgt auch nicht täglich, weil die Security-Technologie wesentlich besser als Ihr Ruf ist. Fortschrittliche Lösungen sind darauf ausgerichtet, Auffälligkeiten zu erkennen und Ungewöhnliches zu entdecken. Um dies sinnvoll tun zu können, benötigen sie Informationen aus möglichst vielen Bereichen, die sie dann konsolidieren müssen. Geht es um eine übergreifende Konsolidierung, fällt der Silo-Gedanke weg, dem zufolge eine Abteilung die Security des eigenen Bereiches „mitmacht“. Diese Verantwortung wird zentralisiert, und in grösseren Unternehmen entstehen dabei z.B. Security Operation Center (kurz SOC).

Umbau der Sicherheit

Gerade Unternehmen, die jüngst einen Vorfall zu verkraften hatten, ändern ihre Security-Strategie grundlegend. Im Ernstfall eines Angriffs kommt es vor allem auf Schnelligkeit und Effizienz an. Eigene Teams werden dabei durch externe Spezialisten ergänzt. Ist eine Umgebung historisch gewachsen, wird es zunehmend schwieriger Spezialisten zu finden, die zumindest einen Grossteil der eingesetzten Sicherheitslösungen auf Expertenniveau bedienen können. Auch die Koordination mit unterschiedlichen Supportabteilungen der einzelnen Hersteller erweist sich als Herausforderung. Unternehmen, die diese Erfahrung machen mussten, ändern deshalb in der Regel ihre Strategie hin zu einem sogenannten XDR-Modell. Der grundlegende Gedanke dahinter ist es, die Analyse von Security Events zu automatisieren und mithilfe von künstlicher Intelligenz den Menschen zu entlasten. In einem solchen Modell wird die Anzahl der Hersteller minimiert und einer strategisch gesetzt.

XDR

Das Konzept XDR besagt, dass alle Informationen sowohl aus den Schutzmodulen als auch die „Detection“ (Erkennung) und „Response“ (Gegenmaßnahme) zentral gesteuert werden. Das „X“ wiederum steht für übergreifend (Cross) und bezeichnet die Zusammenführung verschiedener Technologien. Informationen werden durch die Systeme automatisch korreliert und für Menschen verwertbar dargestellt. Alternativ lassen sich auch Gegenmassnahmen automatisieren. Je mehr Tools eines strategischen Herstellers eingesetzt werden, desto genauer ist die Analyse und automatisierbarer sind die Gegenmaßnahmen. Aber nicht nur die Technik bietet Vorteile. In einer Notfallsituation minimiert das Anwenderunternehmen auch die Anzahl der zuständigen Kontakte und Supportstellen. Gleichzeitig ist auch für die eigenen Mitarbeiter die Bedienung zentralisierter Konsolen einfacher und überschaubarer. Abgesehen davon kann in der Regel durch Einsparungen bei z.B. Lizenzen, Schulungen und anderen Managementkosten neben einer verlässlichen IT-Security auch der ROSI (Return of Security Investment) verbessert werden.

Trend Micro-Lösungen

Trend Micro gehört mit nun über 30 Jahren Erfahrung zu den Pionieren der IT-Security und weiss, dass sich Sicherheit konstant weiter entwickeln muss. Der Anbieter gehört folgerichtig auch zu den ersten, die einen XDR Ansatz bieten.

Trend Micro™ XDR sammelt und korreliert detaillierte Aktivitätsdaten für mehrere Vektoren – E-Mail, Endpunkte, Server, Cloud-Workloads und Netzwerke. Dies ermöglicht ein Ausmass an Erkennung und Untersuchung, das mit SIEM oder individuellen Punktlösungen nur schwer oder gar nicht zu erzielen ist. Dies ermöglicht ein Ausmass an Erkennung und Untersuchung, das mit SIEM oder individuellen Punktlösungen nur schwer oder gar nicht zu erzielen ist. Kombinierter Kontext macht Ereignisse, die für sich betrachtet harmlos erscheinen, plötzlich zu wichtigen Indikatoren für Gefährdungen. So können Sie die Auswirkungen schnell eindämmen und den Schweregrad und Umfang minimieren.

XDR stellt einen SIEM-Konnektor für die Weiterleitung von Warnungen bereit. Die Korrelierung von Ereignissen aus Trend Micro Produkten führt zu weniger, jedoch zuverlässigeren Warnungen und reduziert den Sichtungsaufwand für Sicherheitsanalysten. Nach dem Klick auf eine SIEM-Warnung können Analysten auf die Untersuchungs-Workbench von XDR zugreifen, um weitere Daten zu erhalten, das Ereignis detaillierter zu analysieren und die notwendigen Massnahmen zu ergreifen.

Traditionelle Sicherheitsdenkweise kann die Cloud-basierte Transformation gefährden

Originalartikel von Gurmail Singh

Cloud Computing verändert Organisationen auf der ganzen Welt und macht sie wendiger, kosteneffizienter und reaktionsfähiger. Doch bleibt Sicherheit ein permanentes Hindernis. Dabei können veraltete Vorstellungen darüber, wie Sicherheit in der Cloud aussehen sollte, den falschen Eindruck erwecken, dass eine Migration von Natur aus risikoreicher sei als die Aufbewahrung von Daten On-Premise. De facto aber gibt es Cloud-fähige Lösungen, die eine ebenso sichere Umgebung wie herkömmliche Lösungen bieten, wenn nicht eine gar noch sichere.

Eine kürzlich von Trend Micro beauftragte Studie für CLOUDSEC Online zeigte etwa für Grossbritannien, dass nahezu die Hälfte (47%) der IT-Leiter ihre Sicherheitsstrategien nicht aktualisiert haben, um auch Cloud-Umgebungen mit einzubeziehen.

Diese Denkweise könnte ernste Probleme nach sich ziehen, weil traditionelle Sicherheitswerkzeuge nicht für die Cloud konzipiert sind. Und das bedeutet, dass ihr Einsatz in diesen Umgebungen gefährliche Sicherheitslücken und Leistungsengpässe verursachen kann. Zu den Herausforderungen gehören die folgenden:

Geteilte Verantwortlichkeiten: Beim Einsatz eines Sicherheitstools, das nicht für die Cloud konzipiert ist, wird der Kunde seinen Anteil der Cloud-Verantwortung nicht wahrnehmen.

Mehrschichtige Sicherheit: Für Unternehmen, die für jede Sicherheitsherausforderung ein anderes Tool verwenden, kann sich deren Management sehr komplex und damit schwierig gestalten – Fehlmanagement und mangelnde Akzeptanz sind die Folgen.

Sichtbarkeit: Ein Schlüsselmanko von traditionellen Tools ist die nicht vorhandene Fähigkeit, Einsichten über physische, virtuelle, Cloud-VM und Container-Umgebungen hinweg zu bieten.

Manuell: Traditionelle Tools sind klobig, nicht automatisiert und erfordern manuelle Eingriffe, was dazu führen kann, dass sich menschliche Fehler einschleichen.

Lizenzierung: Organisationen zahlen unter Umständen mehr als nötig, wenn sie nicht Cloud-Tools mit dynamischer Lizenzierung für Cloud-Nutzungsszenarien (PAYG, auf Stunden-, Monats- oder Jahresbasis je nach Anwendungsfall und Betriebsmodell oder Unternehmensverträge) wählen.

Fehlkonfiguration: Dies ist eine der grössten Gefahren für Cloud-Daten. Falsche Konfigurationen werden nicht erkannt, wenn ein Unternehmen nicht auf Cloud-fähige Sicherheit setzt.

DevSecOps: erfordert straffe Sicherheit, die über APIs in CI/CD-Pipelines eingebaut wird. Dabei könnten traditionelle Werkzeuge zu einem Hindernis für Innovation und schnelle Entwicklung werden.

Multi-Cloud: Diese Umgebungen erfordern die Fähigkeit, alle verschiedenen Sicherheitstools unter einen Hut zu bringen, sprich auf einer Konsole sichtbar, überwachbar und zentral zu kontrollieren.

Fähigkeiten: sind sehr gefragt in der Cybersicherheits-Branche. Leider bringen On-Premise Sicherheitswerkzeuge mehr Komplexität und die Notwendigkeit manueller Bedienung mit sich – das Gegenteil von dem, was Organisationen mit begrenzten internen Sicherheits-Skills heute benötigen.

Was nun?

Die Umfrage zeigte, dass der Mangel an Integration zwischen Sicherheitswerkzeugen für beide Umgebungen für ein Drittel (33 %) der Teilnehmer das grösste Problem in ihrer alltäglichen Arbeit darstellt und gleichzeitig auch das grösste Hindernis für den Einsatz von Cloud-Sicherheit (43 %).

Die Lösung ist eine Plattform, die umfassenden Schutz für physische, virtuelle Cloud- und Container-Umgebungen bietet, einschliesslich von Tools zur Erkennung wichtiger Konfigurationsfehler. Es bedeutet einen hohen Grad an Automatisierung, um die Einhaltung von Compliance zu erleichtern und die betriebliche Effizienz zu verbessern. Trend Micro Cloud One ist ein Beispiel einer solchen Lösung.

XDR: Analyse eines mehrstufigen Angriffs mit Ngrok

Originalbeitrag von Aprilyn Borja, Abraham Camba, Khristoffer Jocson, Ryan Maglaque, Gilbert Sison, Jay Yaneza

Einer der Hauptvorteile einer Endpoint Detection and Response (EDR)-Sicherheitslösung besteht darin, dass sie so genannten Blue Teams (Sicherheitsmitarbeiter, die für die Instandhaltung und Analyse der Verteidigungsmechanismen des Unternehmensnetzwerks zuständig sing) die benötigten Einsichten liefern, um einen Sicherheitsvorfall bereits frühzeitig zu erkennen und einzugrenzen. Die Innovationen in der Sicherheitstechnologie werden häufig von einer entsprechenden Entwicklung bei den Tools und Techniken begleitet, die böswillige Akteure einsetzen. Das Trend Micro ™ Managed XDR Team musste kürzlich einen Vorfall bei einem Kunden lösen, der gezeigt hat, wie ein böswilliger Akteur mit bestimmten Techniken in einem Angriff die Analyse des Ablaufs erschwerte.

Im Juli 2020 stiess das Team von Trend Micro über die Endpunktsicherheitslösung Trend Micro Apex One ™ auf das folgende verdächtige Ereignis in der Umgebung eines Kunden:

Process: c:\windows\system32\reg.exe CommandLine: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v <value> /t REG_SZ /d „\“c:\Windows\system32\<random name>\““ /f

Es war auffällig, dass erstens der Name des Wertes der erstellten Registry nach dem Muster eines bestimmten Sicherheitsanbieters gestaltet war. Zweitens gab es einen Fehler (oder vielleicht war es Absichtl) in der Schreibweise des Registry-Namens. Schliesslich gab es noch die zufällig benannte ausführbare Datei im Systemverzeichnis. Betrachtet man all dies im Zusammenhang, so liess der Alert die Alarmglocken schrillen.

Es zeigte sich, dass die ausführbare Datei einen Keylogger darstellte, der die Maus- und Tastenbewegungen an ein Gmail-Konto schickte. Das Team fand hartkodierte Informationen in der Binärdatei, die belegen, dass diese speziell für die Zielorganisation erstellt wurde. Darüber hinaus zeigte die Datei auch, dass die Angreifer bereits Informtionen über die Organisation hatten.

Die Durchsuchung der Records und Ereignisse über den Dateinamen des Keyloggers und Hash ergab folgende Erkenntnisse:

Datei-Events: Die Datei wurde entweder über Netzwerkfreigaben oder über den Einsatz eines Exploits den Kernel betreffend abgelegt.

Events mit Befehlszeilen-Parametern: Der Angreifer war in der Lage, einen Service zu erstellen, der eine Reihe von cmd.exe-Prozesse anstösst, um einen Persistenzmechanismus zu aufzubauen.

Registry-Daten: Es gab Einträge, die die Befehlszeilen-Parameter umfassten, die an reg.exe weiter gegeben wurden. Das erklärt auch die vielen cmd.exe-Prozesse.

Daraufhin drangen die Sicherheitsforscher tiefer vor und fanden heraus, dass es eine Komponente geben musste, die mit der Aussenwelt kommunizierte – eine Kopie von ngrok, einem Softwareprogramm, über das eine interne Maschine nach draussen sichtbar ist, indem der Verkehr über die ngrok-Website geroutet wird. Ist das Tool auf zwei Maschinen vorhanden, so sind diese beiden extern sichtbar. Trend Micro hat bereits beschrieben, wie ngrok für bösartige Zwecke missbraucht werden kann.

Die genaueren technischen Details zur Analyse liefert der Originalbeitrag.

Simulieren eines Angriffs

Um die Funktionsweise des Angriffs zu verstehen, simulierte das Team eine solche Attacke und installierten ngrok auf einer der Maschinen (Maschine A), die weder von aussen sichtbar noch zugänglich war.

Ngrok kann jeden offenen IP-Port innerhalb des internen Netzwerks, der für Maschine A (einschließlich sich selbst) zugänglich ist, im Internet exponieren. Im Beispiel exponierte ngrok eine weitere Maschine (Maschine B) 192.168.19.129:445 über den ngrok-Server. So konnte das Sicherheitsteam auf 192.168.19.129:445 über 2.tcp.ngrok.io:14139 zuzugreifen. Mithilfe des Smbexec-Dienstmoduls des Impacket Toolkits und der Anmeldedaten von Maschine B liessen sich von einer externen Maschine einfache Ping-Befehle an Maschine B senden.

Bild 1. Über eine externe Maschine lässt sich ein ping-Befehl an Maschine B senden.

Das daraus resultierende Verhalten war ähnlich dem in der Umgebung des Kunden, wo zufällig benannte Service-Einträge erstellt und dann gelöscht wurden. Die Befehle wurden ausgeführt, ohne dass eine Binärdatei auf dem Zielcomputer abgelegt werden musste.

Weil die Befehle als Dienst ausgeführt wurden, läuft er zudem mit erhöhten Privilegien. Da der Netzwerkverkehr über den ngrok-Dienst getunnelt wurde, war der Befehls- und Kontrollserver effektiv verborgen. Solange der Angreifer die von ngrok zugewiesene öffentliche Adresse kennt, kann er sich von überall und jederzeit mit dem kompromittierten Endpunkt verbinden.

Auch wenn nicht zu erwarten war, dass die Simulation die Aktionen des Angreifers vollständig wiedergeben würde, lieferte sie doch wertvolle Hinweise darauf, wie der Angriff möglicherweise abgelaufen war.

Im Falle der Simulation war es erforderlich, ngrok auf dem internen Rechner zu installieren, es bedurfte der Domäne und des Ports des ngrok-Servers sowie eines Administratorkontos. Es ist davon auszugehen, dass der Angreifer alle drei besass, und sie schienen lange genug präsent gewesen zu sein, um bestimmte Details über die Umgebung zu ermitteln. Sie waren auch in der Lage, ein hochprivilegiertes Konto zu kompromittieren. Insoweit passt die von dem Team durchgeführte Simulation zu den Angriffseigenschaften.

EDR als Antwort

Bild 2. Root Cause-Analyseablauf einer typischen Backdoor Shell

Shell.exe startet cmd.exe, das dann das Tool zur Ausführung des angegebenen Befehls startet. Das Bild zeigt auch, wie das von ihr installierte Tool – wie Toola.exe – gestartet wird. Diese Art von Diagramm ist unkompliziert und macht es leicht, verdächtige Objekte zu identifizieren und den grundlegenden Ablauf eines Angriffs zu bestimmen.

Bei diesem Vorfall beginnt die Ursachenanalyse mit services.exe und endet mit dem ausgeführten Werkzeug oder Befehl. Es gab keine Hinweise darauf, dass jemals ein mehrstufiges Tool verwendet wurde, das andere Tools ablegt, und aufgrund des Zugriffs, den die Angreifer in diesem Modell hatten, ist es sehr wahrscheinlich, dass sie kein solches Tool benötigten. Die Maschinen waren zugänglich, so dass die Angreifer jedes Werkzeug ausführen konnten, das sie brauchten, ohne sich clevere Mechanismen zur Installation der Binärdatei ausdenken zu müssen (wie z.B. das seitliche Verschieben von einer Maschine auf eine andere). Zum Beispiel legten die Angreifer die Keylogger-Datei über den Server-Message-Block (SMB) ab und gaben einen separaten Befehl aus, um seinen Persistenzmechanismus zu schaffen.

Aussagekräftige Root Cause-Analyseabläufe sind schwer zu bekommen, weil alles mit services.exe beginnt (oder einem anderen Windows-Prozess, wenn eine Datei abgelegt wird), wobei jeweils ein Befehl bzw. ein Werkzeug ausgeführt wird. Der resultierende Ablauf ähnelt eher einem „Baum“ mit services.exe in der Mitte, wobei jeder Zweig einen Befehl darstellt, der über services.exe ausgeführt wird.

Die Analyse zeigt, dass die bei dem Angriff verwendete Technik für die Sicherheitsforscher sehr hinderlich dabei ist, die Abfolge der Ereignisse über ein kurzes Diagramm zusammenzusetzen. Bestimmte Funktionen von EDR sind jedoch für den Umgang mit Vorfällen wie diesem ausgelegt.

Abhilfe durch verdächtige Events

Verdächtige Ereignisse sind wirksame Auslöser für eine EDR-Lösung, und die Fähigkeit, mithilfe derselben Lösung Abhilfe zu schaffen, ist ideal für Sicherheitsteams. Bei diesem Vorfall nutzte Trend Micro Managed XDR die Apex One-Funktionen, um die Bedrohung mit derselben Software-Suite sowohl zu untersuchen als auch zu entschärfen.

Untersuchung über Log Events

Konventionelle Incident Response-Methoden erfordern oftmals den Einsatz eines Tools, um Beweise von einem verdächtigen Host zu erhalten. Bei dieser Untersuchung wurde alles durch die Auswertung der vom EDR protokollierten Ereignisse durchgeführt. Für die Untersuchung war keine Speicher- oder Disk-Image-Erfassung erforderlich, was bedeutet, dass die von EDR gesammelten Daten ausreichten, um festzustellen, wie ähnliche Angriffe funktionieren. Die chronologische Reihenfolge der Befehle wurde den Zeitstempeln der Ereignisse entnommen. Selbst ohne das selbsterklärende Diagramm, das EDR erstellt, ist es immer noch möglich, festzustellen, wie der Angriff stattgefunden hat.

Neue Alerts

EDR ermöglicht die mühelose Erstellung von Warnmeldungen, um eine Untersuchung auszulösen. In diesem Fall können neue Alerts immer dann erstellt werden, wenn services.exe cmd.exe startet und wenn %comspec% in einen Autostart-Registry-Eintrag geschrieben wird. Das kann für künftige Threat-Verfolgungsfähigkeiten für Blue Teams hilfreich sein.

Trend Micro-Lösungen

The Trend Micro XDR schützt E-Mails, Endpunkte, Server, Cloud-basierte Workloads und Netzwerke mithilfe funktionsstarker KI- und Sicherheits-Analytics, um Daten zu korrelieren. Die Lösung liefert ein optimiertes Set Alerts über eine einzige Konsole. Damit können Unternehmen schnell Bedrohungen erkennen und deren Auswirkungen zeitnah eindämmen.

Trend Micro Managed XDR bietet kenntnisreiches Bedrohungs-Monitoring, Korrelation und Analysen durch erfahrene Cybersicherheitsexperten, und das im Rahmen eines 24/7-Service, über den Kunden Erkennung, Analyse und Response aus einer einzigen Quelle erhalten.

Das Problem mit kontaktlosen Sicherheitslösungen

von Trend Micro Research

Zugangskontrollgeräte, die Gesichtserkennung verwenden, sind zu einem kritischen Teil der Sicherheitsinfrastruktur von Unternehmen geworden. Unternehmen setzen diese Geräte zunehmend ein, um den Zutritt zu gesicherten Räumlichkeiten zu kontrollieren. Die Sicherheitsforscher von Trend Micro haben die Sicherheitsvorkehrungen bestimmter Gerätemodelle untersucht und inhärente Schwächen entdeckt, die die Unternehmen, die diese Geräte einsetzen, ernsthaft gefährden könnten. Sie testeten vier verschiedene Geräte und setzten sie sowohl Cyber- als auch physischen Angriffen aus. Dabei stellten sie fest, dass sie die vorhandenen Sicherheitsmassnahmen umgehen konnten. In einem Fall waren sie sogar in der Lage, Türen zu öffnen, indem sie nur ein statisches Bild des Gesichts einer Person verwendeten.

Zugangskontrollgeräte am Edge des Netzwerks

Diese Zugangskontrollgeräte sind ein Beispiel für ein neues Computing-Paradigma namens Edge-Computing. Die Architektur ist darauf ausgerichtet, Rechenknoten näher an die Sensoren und Aktuatoren an den Rändern (Edge) des Netzwerks zu bringen. Aufgrund ihrer Eigenschaften der geringen Latenz, der Datenlokalisierung und des reduzierten Bandbreitenverbrauchs wird Edge Computing in kritischen Anwendungen wie Flottensteuerung, intelligenter Landwirtschaft und Gebäudeautomatisierung eingesetzt.

Die Verlagerung des Grossteils der Rechenaufgaben auf das Edge-Computing birgt jedoch neue Risiken. Edge-Knoten sind häufig vor Ort exponiert und erhöhen die Wahrscheinlichkeit von Manipulationen und damit das Risiko des Zugriffs auf das restliche Unternehmensnetzwerk. Dieses System erhöht auch die Wahrscheinlichkeit des Diebstahls und der Kompromittierung der in den Geräten gespeicherten Daten.

Auswirkungen auf Unternehmen

Im Rahmen der Erforschung entdeckten die Trend Micro-Experten einige Schwachpunkte in Edge-basierten Zugangskontrollgeräten, die eng mit der neuen Gerätearchitektur zusammenhängen. Diese Sicherheitslücken könnten dazu führen, dass bösartige Akteure verschiedene Aktionen ausführen, wie etwa folgende:

  • Durchbrechen der physischen Sicherheit eines Gebäudes: Sie könnten nicht autorisierte Nutzer hinzufügen und die Rolle des Geräteadministrators übernehmen.
  • Exfiltrieren von kritischen Unternehmensdaten: Damit können Angreifer Türen zu privaten Bereichen öffnen und Anwendungen auf das Gerät installieren.

Massnahmen gegen das Eindringen

Das Whitepaper „Identified and Authorized: Sneaking Past Edge-Based Access Control Devices“ stellt einige Leitlinien vor, die Anbieter dabei unterstützen, sicherere Geräte herzustellen, einschliesslich der Möglichkeit verschlüsselter Kommunikation, Härten der Geräte und der Ausgabe regelmässiger Sicherheits-Updates. Auch liefert das Whitepaper Hilfestellungen für Unternehmensanwender, um die Risiken durch angreifbare Geräte zu mindern, so etwa physische Absicherung der Geräte, Sichern der Kommunikation und Einsatz von Netzwerküberwachungslösungen.

Weitere Einzelheiten dazu, wie Hacker Edge-basierte Zugangskontrollgeräte angreifen können sowie Massnahmen zur Risikominimierung gibt es unter http://bit.ly/edgedevicesecurity.

Durchgängiges Deep Learning für Cybersicherheit

Originalartikel von Spark Tsao, Data Scientist

Die Branche der Cybersicherheit ist eine der vielen Bereiche, die ganz erheblich von KI profitiert haben. Effizient eingesetzt verbessert die künstliche Intelligenz die Fähigkeiten von Cybersicherheitslösungen, ein breites Spektrum der Bedrohungen zu erkennen, einschliesslich brandneuer oder nicht klassifizierter Gefahren. Der Prozess der effizienten Nutzung der KI umfasst unter anderem in der Regel modernste Modelle, eine iterative Methode zur Verbesserung der Genauigkeit des Modells und genau gekennzeichnete Daten.

In vielen Cybersicherheitsunternehmen, die KI einsetzen, werden die genannten Anforderungen – insbesondere der Prozess der genauen Kennzeichnung von Daten – durch Bedrohungsexperten unterstützt. Diese kümmern sich neben anderen manuellen Aufgaben oder Prozessen, die handgefertigte Eingaben produzieren, um die Vorverarbeitung der Daten und die Extraktion sowie Entwicklung der Funktionalität. Im Wesentlichen ermöglichen diese von Experten handgefertigten Eingaben eine eindeutigere Ausführung von Modellen, da die zugrunde liegende Struktur der Daten somit genau dargestellt werden kann, wodurch die Fähigkeiten zur Erkennung von Bedrohungen verbessert werden.

Das Aufkommen neuer Methoden zur Erkennung von Bedrohungen mit Hilfe der KI stellt jedoch den Bedarf an handwerklichem Input von Experten in Frage. Insbesondere beinhalten diese Methoden durchgehende, Deep Learning-Lösungen, die von einigen als der nächste grosse Meilenstein in der Malware-Erkennung angepriesen werden. In solchen Lösungen werden die von Expertenerarbeiteten Eingaben durch solche ersetzt, die von automatisierten Prozessen bereitgestellt werden. Während dies in einigen Industriezweigen, die KI für verschiedene Zwecke einsetzen, wohl immer mehr akzeptiert wird, wirft das Fehlen handwerklicher Eingaben von Experten die Frage auf, ob handwerkliche Eingaben von Experten bei der Entwicklung einer effizienten KI-gestützten Cybersicherheitslösung noch relevant sind oder nicht.

Ein Ansatz untersuchte Malware-Binärdateien, die als Graustufenbilder dargestellt wurden, was die textuellen und strukturellen Ähnlichkeiten und Unterschiede entweder zwischen Binärdateien derselben und anderer Malware-Familien oder zwischen Malware und gutartiger Software aufzeigte. Dadurch wird das manuelle Feature-Engineering vermieden, was Zeit spart und den Arbeitsaufwand für Cybersicherheitsunternehmen verringert. Ein weiterer Ansatz umfasst einen Prozess, bei dem die Engine mit Rohdaten gefüttert wird, die aus Byte-Rohwerten bestehen, und Output erzeugt, der die Klassifizierung einer bösartigen oder gutartigen Datei anzeigt.

Informieren Sie sich eingehender über die Entwicklungen im durchgängigen Deep Learning für Cybersicherheit und über die derzeitige und künftige Effizienz.

Happy Birthday: 15 Jahre Zero Day Initiative (ZDI)

Originalbeitrag von Brian Gorenc

In diesem Jahr wird die ZDI 15 Jahre alt. Alles begann 2005, als 3Com ein neues Programm namens Zero Day Initiative ankündigte. Geplant war, Forscher, die bisher unbekannte Software-Schwachstellen („Zero-Day-Schwachstellen“) entdecken und sie verantwortungsbewusst offenlegen, finanziell zu belohnen. Die Informationen über die Schwachstelle sollten genutzt werden, um Kunden frühzeitig mithilfe von TippingPoint IPS (Intrusion Prevention System)-Filtern zu schützen, während die ZDI mit dem Hersteller des betroffenen Produkts zusammenarbeitete, um die Schwachstelle zu beheben. In dem Jahr veröffentlichte die ZDI gerade mal ein Advisory zu Symantec VERITAS NetBackup. Fünfzehn Jahre später sind es mehr als 7.500 Advisories, und die ZDI hat sich zum weltweit grössten herstellerunabhängigen Bug-Bounty-Programm entwickelt.

Von einer 15-jährigen Reise zu sprechen, ist eine Untertreibung. Es gab einige Höhen und Tiefen, aber das Programm ist stärker denn je und befindet sich auf Kurs zum bislang erfolgreichsten Jahr des Bestehens. Daher ist es der richtige Zeitpunkt, um einen Blick zurück auf einige der bemerkenswerteren Ereignisse zu werfen.

2005 – 2010

2006 kaufte die ZDI nur zwei Apple-Bugs, 2010 waren es bereits 52. Java-Bugs, insbesondere Sandbox Escapes waren zu der Zeit ebenfalls beliebt. Es fühlt sich etwas merkwürdig an, auf den Wechsel vom Kauf von Bugs in dem, was man einfach „Java“ nannte, solchen in „Sun Microsystems Java“ und schliesslich zu Bugs in „Oracle Java“ zurück zu blicken.

In dieser Zeitspanne fiel auch der erste Pwn2Own-Wettbewerb 2007. Damals galten Apple-Geräte als unüberwindbar. Doch scharfsinnige Sicherheitsforscher wussten es besser, und Dino Dai Zovi bewies dies und gewann ein MacBook sowie 10.000 $. Seither ist der Wettbewerb exponentiell gewachsen. Inzwischen gibt es drei verschiedene Wettbewerbe: Pwn2Own Vancouver, der sich auf Unternehmenssoftware konzentriert; Pwn2Own Tokio, der sich auf Verbrauchergeräte konzentriert und Pwn2Own Miami, der dieses Jahr mit Schwerpunkt auf ICS-SCADA-Produkte eingeführt wurde. Pwn2Own diente auch als „Coming-out“ für viele hochkarätige Forscher, die nach dem Gewinn des Wettbewerbs in verschiedenen prestigeträchtigen Teams und Projekten arbeiten.

2010 – 2015

Dies war eine Übergangszeit für das Programm, da 3Com zusammen mit ZDI von Hewlett-Packard gekauft und später als Teil von Hewlett Packard Enterprise abgespalten wurde. Die Kernprinzipien des Programms damals sind jedoch nach wie vor dieselben wie heute:

  • Fördern der verantwortungsvollen Offenlegung von Zero-Day-Schwachstellen gegenüber den betroffenen Anbietern.
  • Gerechte Anrechnung und Vergütung der teilnehmenden Forscher, einschliesslich jährlicher Boni für Forscher, die innerhalb des Programms besonders produktiv sind.
  • Produktanbieter in die Verantwortung nehmen, indem sie eine angemessene Frist für die Behebung gemeldeter Schwachstellen erhalten.
  • Schutz der Kunden und des Ökosystems.

Mittlerweile war das ZDI gross genug, um einen Einfluss auf das gesamte Ökosystem zu haben. Zu dieser Zeit entwickelte sich die Initiative zum weltgrössten herstellerunabhängigen Bug-Bounty-Programm — sie ist es heute immer noch. 2011 kam es zur ersten öffentlichen Zero-Day-Offenlegung, als ein Anbieter die Patch-Frist nicht einhielt. Im Laufe der Zeit trug die Verpflichtung der Hersteller zur Behebung von Schwachstellen dazu bei, ihre Reaktionszeit von mehr als 180 Tagen auf weniger als 120 zu senken. Obwohl die ZDI die Zeitspanne für die Offenlegung verkürzt hat, ist die Rate der Zero Day-Offenlegung relativ konstant geblieben.

Eine weitere grosse Veränderung war die Zunahme der Forschungsarbeit der vom ZDI-Programm beschäftigten Schwachstellenforscher. Infolge einer Vergrösserung des Teams konnten Mitglieder des ZDI auch ihre eigenen Bugs melden. Sie veröffentlichten zunehmend die Ergebnisse ihrer Arbeit und hielten immer häufiger Vorträge auf hochkarätigen Konferenzen wie Black Hat und DEFCON.

Die Vergrösserung half auch, einige Trends in der bösartigen Ausnutzung zu erkennen. Auch gab es einen Anstieg bei den Reports von Java-Bugs. Nachdem die Browser Click-to-Play implementierten, wurde die praktische Ausnutzung schwieriger. Es gab auch viele Bugs, die Use-After-Free (UAF)-Bedingungen im Internet Explorer missbrauchten, bis Microsoft ohne Aufhebens Isolated Heap und MemGC-Mechanismen einführte. ZDI-Forscher fanden dennoch eine Möglichkeit, diese Mechanismen auszuhebeln und erhielten dafür 125.000 $ von Microsoft. Interessanterweise beschloss Microsoft, nicht alle gemeldeten Bugs zu fixen, sodass ein Teil des Reports als öffentlich gemachter Zero Day endete. Die Forscher spendeten das Geld an verschiedene STEM (Science, Technology, Engineering, Mathematics)-Wohltätigkeitsvereine.

Die Bug-Bounty-Landschaft normalisierte sich und weitete sich aus. Anbieter wie Microsoft und Google starteten ihre eigenen Bounty-Programme. Es entstanden Bug-Bounty-Plattformen, die es Firmen wie Starbucks und Uber ermöglichten, selbst Belohnungen anzubieten. Die Idee der Crowdsourcing-Forschung wurde zum Mainstream. Nicht jedes Programm war erfolgreich, da einige Anbieter plötzlich erkannten, dass das Angebot von Geld für Bug-Reports dazu führt, dass man Bug-Reports erhält. Dadurch hatten einige Unternehmen Mühe, nach dem Start ihres Programms  zu reagieren. Es war definitiv eine Zeit des Wachstums und des Lernens in der gesamten Branche.

2010 erlebte Pwn2Own den ersten erfolgreichen Mobilgerät-Angriff, durchgeführt von Ralf-Philipp Weinmann und Vincenzo Iozzo gegen Apple iPhone 3GS. Anbieter begannen umfangreiche Patches kurz vor dem Wettbewerb zu veröffentlichen. Da die Regeln für alle Angriffe die „neueste Version“ vorschreiben, wurden die Teilnehmer oft kurz vor dem Wettbewerb „aus-gepatcht“. Das bedeutete auch, dass die ZDI sich beeilen musste, um die Ziele mit den neuesten Patches auf den neuesten Stand zu bringen. I2012 kam ein zweiter Wettbewerb – Mobile Pwn2Own – hinzu, der sich auf Telefone und Tablets konzentrierte

2015 – bis heute

2015 kaufte Trend Micro das HP TippingPoint IPS zusammen mit dem ZDI-Programm. Dies eröffnete der ZDI neue Möglichkeiten, da die durch das ZDI-Programm gewonnenen Erkenntnisse über Schwachstellen nun nicht nur der Verbesserung des TippingPoint IPS zugute kamen, sondern auch für andere Produkte innerhalb der Sicherheitslösungen von Trend Micro genutzt werden konnten. Die Zusammenarbeit des ZDI mit Trend Micro führte auch zu einem massiven Anstieg des Interesses an Schwachstellen in den Trend Micro-Produkten selbst. Die Trend Micro-Produktteams scheuten nicht davor zurück, die von unabhängigen ZDI-Forschern eingereichten Fehler zu beheben, und ein gezieltes Targeted Initiative Program nur für ausgewählte Trend Micro-Produkte entstand.

Vor 2015 gab es nur selten eine Adobe Reader-Bug-Meldung ausserhalb von Pwn2Own. In dem Jahr aber waren es mehr als 100. Viele dieser Berichte stammten von ZDI-Forschern. Insgesamt machen interne Funde etwa 20% aller Fälle pro Jahr aus. Auch Deserialisierungs-Bugs und ICS/SCADA-Schwachstellen nahmen stark zu. Home-Router entwickelten sich zu einem beliebten Ziel, da sie massenhaft kompromittiert werden können, um in Botnets und DDoS-Angriffen verwendet zu werden. Infolgedessen passte sich die ZDI an und begann, hardwarebezogene Reports zu akzeptieren, insbesondere solche, die sich auf IoT-Geräte beziehen.

Die Einführung des Wassenaar-Arrangements brachte einige Herausforderungen mit sich – insbesondere beim Kauf von Bug Reports aus den Mitgliedsländern.

2016 wurde beim Pwn2Own die Kategorie Virtualisierung eingeführt. Zum 10. Geburtstag des Wettbewerbs 2017 konnte die ZDI während der drei Tage 51 Zero-Days erwerben. 2019 ging die ZDI eine Partnerschaft mit Tesla ein, sodass Forscher das Infotainment-System des Autos zum Ziel machen könnten. ZDI-Forscher zeigten auch ihren eigenen Einbruch ins Infotainment-System. Auch die Teilnehmer haben sich im Laufe der Jahre verändert. Anfangs nahmen hauptsächlich einzelne Forscher und nur wenige Teams teil. Später waren es in der Mehrheit Teams, die von ihren Arbeitgebern gesponsert wurden.  In den letzten paar Jahren ist dieser Trend wieder rückläufig.

2018 erreichte die ZDI ihren Höchststand von 1.450 veröffentlichten Advisories, und dieses Jahr werden noch mehr. Tatsächlich ist die ZDI seit 13 Jahren als weltweit führende Organisation für Schwachstellenforschung anerkannt. Laut Omdia war das ZDI 2019 für mehr als die Hälfte aller gemessenen Offenlegungen von Schwachstellen verantwortlich, das ist mehr als jeder andere Anbieter.

Risiken und Massnahmen für die Anwendungssicherheit

Von Trend Micro

Anwendungen spielen heute eine integrale Rolle, und viele Unternehmen und Benutzer sind auf eine breite Palette von Anwendungen für Arbeit, Bildung, Unterhaltung, Einzelhandel und andere Zwecke angewiesen. Daher spielen Entwicklungsteams eine Schlüsselrolle, um sicherzustellen, dass Anwendungen den Benutzern eine hohe Benutzerfreundlichkeit und Leistung sowie Sicherheit vor Bedrohungsakteuren bieten, die immer auf der Suche nach Schwachstellen, Verwundbarkeiten, Fehlkonfigurationen und anderen Sicherheitslücken sind, die sie zur Durchführung böswilliger Aktivitäten missbrauchen können. Die Sicherheitsrisiken sind sogar noch ausgeprägter geworden, da die Unternehmen Anwendungen schnell auf den Markt bringen müssen, um ihre geschäftlichen und Umsatz generierenden Prozesse aufrechtzuerhalten.

Die schwerwiegenden Risiken, die von unsicheren Anwendungen ausgehen, verdeutlichen die Notwendigkeit der Anwendungssicherheit in der Design-, Entwicklungs- und Bereitstellung-Phase. Deswegen ist es nötig, die Sicherheitsrisiken und -bedrohungen zu erörtern, denen Anwendungen ausgesetzt sein könnten, sowie die Möglichkeiten für Organisationen angemessene Cybersicherheitsschutzmassnahmen in ihre DevOps-Pipeline zu integrieren.

Sicherheitsrisiken für Anwendungen

Die zunehmende Komplexität der Anwendungen und ihre Abhängigkeit von Drittbibliotheken machen sie u.a. anfällig für Sicherheitsbedrohungen. Ein Forrester-Bericht von 2020 stellt fest, dass die Mehrzahl der externen Angriffe durch Ausnutzung einer Software-Schwachstelle oder einer Web-Anwendung erfolgt. Der Bericht nennt Open-Source-Software als ein Hauptproblem für die Sicherheit von Anwendungen und verweist auf den 50%igen Anstieg von Open-Source-Sicherheitslücken seit dem letzten Jahr.

Auch die zunehmende Verbreitung von Containern und die erforderlichen APIs bringen zusätzliche Risiken. Ein 2020 Snyk Report stellt fest, dass neun von zehn der Top-10 offiziellen Container-Images mehr als 50 Schwachstellen umfassen. Ein F5 Report von 2019 fand heraus, dass API-Einbrüche entweder bedingt durch grosse Plattformen zustande kommen, die viele Drittanbieter-Integrationen enthalten, oder durch mobile Applikationen und infolge der Fehlkonfigurationen der Anwendungen.

Die Open Web Application Security Project (OWASP) Foundation stellt eine umfassende Liste der Risiken für Webanwendungen und APIs zur Verfügung. Es ist wichtig, dass sich die Entwickler der häufigsten Anwendungssicherheitsrisiken bewusst sind – in der Regel durch unsicheren Code entstanden – damit sie die Bereiche überprüfen können, die sie in jeder Phase der Entwicklungspipeline abdecken müssen. Dies sind die häufigsten Risiken für Anwendungen:

  • Einsatz von Komponenten mit bekannten Schwachstellen. Entwickler verwenden Komponenten wie Bibliotheken, Frameworks und andere Softwaremodule in ihren Anwendungen, um redundante Arbeit zu vermeiden und die benötigte Funktionalität bereitzustellen. Bedrohungsakteure wiederum suchen nach bekannten Schwachstellen in diesen Komponenten, um die Abwehr von Anwendungen zu untergraben und verschiedene Angriffe durchzuführen.
  • Daten-Lecks und Exponierung. Webanwendungen und APIs mit nur ungenügendem Schutz für sensible Daten könnten Bedrohungsakteuren böswillige Aktivitäten ermöglichen, wie Daten- oder Identitätsdiebstahl und Kreditkartenbetrug.
  • Schwache Zugangskontrolle zum Backend. Schwache Backend-Zugangskontrollen sind das Ergebnis unsachgemäss durchgesetzter Einschränkungen der für authentifizierte Benutzer erlaubten Aktionen. Bedrohungsakteure können diese Schwachstellen ausnutzen, um auf nicht autorisierte Funktionen zuzugreifen. Dazu gehören der Zugriff auf andere Benutzerkonten, die Anzeige sensibler Dateien, die Änderung anderer Benutzerdaten und die Änderung von Zugriffsrechten..
  • Injection. SQL, NoSQL, OS und LDAP sind für Einschleusungstaktiken anfällig, die für Angriffe missbraucht werden können, wenn nicht vertrauenswürdige Daten über eine Formulareingabe oder andere Datenübertragungsmethoden an einen Code-Interpreter gesendet werden. Bedrohungsakteure können „feindliche“ Daten verwenden, um den Interpreter dazu zu bringen, bösartige Befehle auszuführen oder nicht autorisierten Datenzugriff zu ermöglichen.
  • Sicherheitsfehlkonfiguration. Dies ist die häufigste Sorge hinsichtlich der Sicherheit von Webanwendungen. Diesbezügliche Probleme treten aufgrund unsicherer Standardkonfigurationen, falsch konfigurierter HTTP-Header, unvollständiger oder Ad-hoc-Konfigurationen, Open-Cloud-Speicher und zu wortreicher Fehlermeldungen auf, die sensible Informationen enthalten. Betriebssysteme, Bibliotheken, Frameworks und Anwendungen sollten aber auch rechtzeitig gepatcht werden.
  • Nicht korrekte Authentifizierung und Autorisierung. Wenn Anwendungsfunktionen hinsichtlich Authentifizierung und Session-Management nicht korrekt implementiert sind, können Bedrohungsakteure diese missbrauchen, um Passwörter und Schlüssel oder Session-Token zu kompromittieren. Sie können auch Benutzer- oder Administratorkonten kapern, über die ein ganzes System kompromittiert werden könnte.
  • Cross-Site Scripting XSS. Angreifer können XSS-Fehler dazu missbrauchen, Skripts in einem Browser auszuführen und Benutzer-Sessions zu kapern, Websites zu entstellen oder den Benutzer auf bösartige Websites umzuleiten. XSS-Fehler treten auf, wenn eine Anwendung nicht vertrauenswürdige Daten in eine neue Webseite einfügt ohne ordnungsgemäße Validierung. Sie können auch zustande kommen, wenn eine Anwendung eine bestehende Webseite mit vom Benutzer bereitgestellten Daten über ein HTML- oder JavaScript-erzeugendes Browser-API aktualisiert.
  • Unichere Deserialisierung. Dieser Fehler, d.h. die unsachgemässe Rückkonvertierung serialisierter Daten in Objekte, die von der Anwendung verwendet werden können, führt häufig zu Remote Code Execution (RCE). Dadurch können Bedrohungsakteure auch Replay-, Injection- und Privilegieneskalations-Angriffe durchführen.
  • Unzureichendes Logging und Monitoring. Beides unterstützt Angreifer dabei, Daten zu ändern, zu extrahieren oder zu vernichten sowie weitere Systeme zu attackieren, Persistenz aufrecht zu erhalten und weitere Systeme ins Visier zu nehmen.

Integration adäquater Sicherheitsebenen in die DevOps-Pipeline

Entwickler, die in traditionellen Entwicklungsteams arbeiten, tendieren dazu, Sicherheit erst im Nachhinein zu bedenken, weil sie sich zu sehr auf die Erstellung von Anwendungen und die Einhaltung von Terminen konzentrieren. Herkömmliche Prozesse führen zu unzureichender Sicherheit und Kommunikationslücken zwischen Entwicklungs- und Sicherheitsteams. Die Behebung von Schwachstellen, die in der Implementierungsphase aufgedeckt werden, kann zudem mehr als sechsmal so teuer sein wie die der in der Entwurfsphase festgestellten, so eine Untersuchung von IBM.

Entwicklungsteams sollten deshalb adäquate Cybersecurity Layer integrieren, die unter anderem Container, Source Code und Abhängigkeiten analysieren. Vor allem die folgenden Aufgaben sind wichtig:

  • Container Scanning. Container-Technologie bringt bei allen Vorteilen auch eine Vielfalt an potenziellen Risiken und Gefahren mit. Werkzeuge zur Analyse von Container-Images können Entwicklungsteams dabei helfen, in allen Phasen des Software-Entwicklungslebenszyklus (SDLC) nach bekannten Schwachstellen, geheimen Schlüsseln, Compliance-Checklisten und Malware-Varianten zu suchen. Solche Tools können Einsichten in die Sicherheitsbelange innerhalb des Containers liefern, bevor diese in die Produktionsumgebung übertragen werden. Um die Risiken weiter zu minimieren, sollte auch der Einsatz von nicht verifizierbarer Software von Drittanbietern reduziert werden, um sicherzustellen, dass keine Schadsoftware in die Container-Umgebung eindringt.
  • Analyse der Software-Zusammensetzung. Code-Blöcke, die möglicherweise von ausserhalb der Organisation stammen und im Allgemeinen während der statischen Analysephase nicht überprüft wurden, sind häufig in die DevOps-Umgebung integriert und werden dort ausgeführt. Mit Tools wie OWASP Dependency-Check lässt sich nach veralteten oder angreifbaren Bibliotheken im Code suchen. Snyk liefert ebenfalls kostenlose Drittanbieter-Verifizierung für quelloffene Projekte.
  • Statisches Application Security Testing (SAST). Auch als Security Code Review oder Code Auditing bekannt, unterstützt SAST Entwickler dabei, in einer frühen Phase Schwachstellen und andere Sicherheitsprobleme im Anwendungscode zu finden.
  • Dynamic Application Security Testing (DAST). DAST, auch Black-Box-Tests genannt, kann Sicherheitslücken und Schwachstellen in Anwendungen finden, und zwar durch den Einsatz von Fault Injection-Techniken wie SQL Injection, Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF). DAST-Lösungen können dazu beitragen, die Belastbarkeit von Anwendungen, Containern und Clustern zu testen, wenn sie bösartigen Techniken ausgesetzt sind.
  • Interactive Application Security Testing (IAST). IAST führt Laufzeittests für Webanwendungen durch, um Sicherheitslücken zu erkennen. Bereiche, die SAST und DAST möglicherweise nicht abdecken können, lassen sich durch IAST bearbeiten, da dieses Testen Elemente beider Ansätze kombiniert und dadurch mehr Code abdecken, genauere Ergebnisse liefern und eine breitere Palette von Sicherheitsregeln überprüfen kann. Die IAST-Lösungen führen ihre gesamte Analyse in der Anwendung in Echtzeit und überall in den folgenden Bereichen durch: Entwicklungsprozess IDE, QA, kontinuierliche integrierte Umgebung oder sogar in der Produktion.

Best Practices

Im Folgenden sind einige Best Practices über die gewährleistet werden kann, dass Anwendungen sicher entwickelt werden.

  • Anwenden des Prinzips der Least Privilege (PLOP). Diese Richtlinie begrenzt die Zugriffsrechte für Benutzer auf die Berechtigungen, die für die Erfüllung ihrer Aufgaben erforderlich sind, wodurch das Risiko des Kontomissbrauchs oder der Entführung von Konten und der Preisgabe sensibler Daten verringert wird.
  • Anwenden automatisierten Testens.  Die Zahl der Software-Schwachstellen hat sich seit 2017 erhöht. Deshalb ist automatisiertes Testen bereits früh im Entwicklungsprozess sehr wichtig, weil damit Fehler oder Lücken gefunden werden, solange sie noch einfach zu beheben sind.
  • Regelmässiges Scannen nach Schwachstellen. Entwickler verwenden häufig externe Bibliotheken oder Packages aus Open-Source-Projekten, wenn sie Software entwickeln. Diese Bibliotheken aber enthalten bekannte Schwachstellen. Um diese so früh wie möglich zu erkennen und  zu beheben, sollten sie regelmässig gescannt werden.
  • Einsatz von Runtime Application Self-Protection (RASP)-Lösungen. Diese Lösungen überwachen den Verkehr der Anwendungen, Container und serverlosen Architekturen, um Angriffe in Echtzeit zu erkennen. Der Einsatz von RASP-Lösungen ermöglicht das Abfangen aller Arten von Datenverkehr, einschliesslich solchen, der auf böswilliges Verhalten hinweist, wie SQL-Injection, Cross-Site-Scripting (XSS), Schwachstellen, Bots und andere Angriffe auf Webanwendungen.
  • Schulungen für funktionsübergreifende Teams bezüglich einer DevSecOps-Kultur. Die DevSecOps-Kultur sollte innerhalb der Organisationen gefördert werden. Dies kann durch die Bildung funktionsübergreifender Teams erreicht werden, die sich auf die Schulung von Entwicklern auf dem Gebiet der Sicherheitsdisziplin sowie auf die Schulung von Sicherheitsexperten zum Software-Entwicklungsprozess spezialisieren. Dadurch können Sicherheitsteams Programmiersprachen besser verstehen und mehr darüber erfahren, wie APIs zur Automatisierung einfacher Prozesse eingesetzt werden können. Solche Fertigkeiten reduzieren zudem letztlich ihre Arbeitsbelastung.
  • Einbeziehen der Anwendungssicherheit in die Datenschutz-Compliance-Strategie. Anwendungssicherheit ist Teil der allgemeinen Bestrebungen einer Organisation, Datenschutzbestimmungen und IT-Standards einzuhalten. Unternehmen können eine effiziente Compliance-Strategie anwenden, die dem „Privacy by Design“-Ansatz folgt. Beispielsweise schliesst eine  adäquate Compliance-Strategie für die Europäische Datenschutz-Grundverordnung (DSGVO) die Durchführung von Vertraulichkeits- und Sicherheitsüberprüfungen mit ein, über die Implementierung von Identitäts- und Authentifizierungs-Massnahmen sowie geeignete Zugangskontrollen, Datenschutz über PLOP und Verschlüsselung u.a.

Regelmässiges Scannen und der Einsatz von fortschrittlichen Sicherheits-Tools, um Malware, Schwachstellen und andere Bedrohungen zu erkennen, ist von entscheidender Bedeutung. Ebenso müssen Unternehmen Richtlinien einführen, die eine strenge Sicherheitskultur ermöglichen.

Trend Micro-Lösungen

Die Service-Plattform Trend Micro Cloud One™ , die Trend Micro™ Hybrid Cloud Security unterstützt, ermöglicht es Entwicklern, Anwendungen auf ihre Art zu entwickeln und zu betreiben. Sie umfasst Mechanismen, die über vorhandene Infrastruktur, Tool-Ketten und Anforderungen hinweg arbeiten.

Application Security von Cloud One liefert diagnostische Einzelheiten zu Code-Schwachstellen sowie Schutz vor automatisierten Angriffen über Bedrohungen wie SQL Injection und RCE zur Laufzeit. Darüber hinaus gibt es eine vollständige Abdeckung und Berichterstattung über jede Angriffsinstanz sowie Einblicke in die Identität eines Angreifers und die Angriffsmethodik.

Cloud One bietet ausserdem die folgenden Cloud-Sicherheitstechnologien an:

Bösartige Chrome Extensions und Domänen führen zum Datendiebstahl

Google Chrome Extensions und Communigal Communication Ltd. (Galcomm)-Domänen sind in einer Kampagne ausgenutzt worden, die darauf abzielt, Aktivitäten und Daten der Nutzer zu tracken. Awake Security hatte in den letzten drei Monaten 111 bösartige oder gefälschte Chrome Extensions gefunden, die Galcomm-Domänen als Command-&-Control (C&C)-Infrastruktur einsetzen. Es gab mindestens 32 Millionen Downloads dieser bösartigen Extensions. Die Kampagne nutzte nahezu 15.160 auf Galcomm registrierte Domänen, um Malware und Browser-gestützte Überwachungs-Tools zu hosten. Das sind nahezu 60% der bei diesem Registrar erreichbaren Domänen. Galcomm versichert, darin nicht verwickelt zu sein. Die Angriffe vermieden erfolgreich die Entdeckung durch Sandboxen, Endpoint-Sicherheitslösungen, Domain-Reputationsdienste und andere. Betroffen waren die Finanzbranche, Öl und Gas, Medien, Einzelhandel, Bildung und Behörden.

Trend Micro berichtete bereits über diese Chrome Extensions als Teil des Ökosystems dieser Kampagne. Die Sicherheitsforscher fanden auch bösartige Extensions, die Firefox-Nutzer im Visier hatten. Der Bericht hob hervor, dass einige Code von entfernten Servern laden können, sowie dass Calcomm möglicherweise einen Bezug zum Angriff habe. Awake Security veröffentlichte zudem eine ausführliche Liste mit den verwendeten App IDs. Weitere Einzelheiten beinhaltet der Originalbeitrag.

Empfehlungen

Bösartige Extensions werden immer bedrohlicher. Im Laufe der Zeit kommen weitere Verschleierungstechniken hinzu, wie die Umgehung traditioneller Sicherheitsmechanismen und das Laden von Code von entfernten Servern. Neben der Konzentration auf die Erkennung sollten Organisationen die von diesen Bedrohungen angewandten Taktiken, Techniken und Verfahren langfristig überwachen, um ein besseres Verständnis ihres Verhaltens zu erhalten und Erkenntnisse darüber zu gewinnen, wie Eintrittspunkte gegen sie verteidigt werden können.

Trend Micro XDR kann ein System schützen, indem Daten aus Emails, Enpoints, Servern, Cloud Workloads und Netzwerken gesammelt und korreliert werden. Dabei kommt KI und Sicherheitsanalysen zum Einsatz, die nicht nur eine frühe Erkennung ermöglichen, sondern auch tiefgehende Einsichten in die Quelle und das Verhalten dieser Angriffe bieten.

Trend Micro™ Managed XDR-Service liefert fachmännisches Monitoring und Analysen durch die erfahrenen Managed Detection and Response-Analysten. Die Experten können ein vollständiges Bild des Angriffs und seiner Ausbreitung im Unternehmen erstellen und so einen klaren Überblick über Ursache und Auswirkungen einer Bedrohung geben.

Smart doch angreifbar: Schwachstellen bei IoT-Geräten

Die Vielfalt der Funktionen von smarten Geräten bietet grossen Nutzen für Umgebungen zu Hause, in Unternehmen und im öffentlichen Bereich, doch gleichzeitig sind auch die Sicherheitsrisiken hoch, die sich durch Schwachstellen und Lücken darin ergeben. Angreifbare smarte Geräte setzen die Netzwerke Angriffen aus. IoT-Geräte sind vor allem deshalb gefährdet, weil ihnen die notwendige eingebaute Sicherheit fehlt, um Bedrohungen abzuwehren. Abgesehen von technischen Aspekten tragen aber auch die Nutzer zur Anfälligkeit der Geräte für Bedrohungen bei.

Einige der Gründe, warum diese smarten Geräte angreifbar sind:

  • Begrenzte rechnerische Fähigkeiten und Hardware-Beschränkungen: Die Geräte verfügen über spezifische Funktionen, die nur begrenzte Rechenfähigkeiten erfordern, so dass wenig Raum für robuste Sicherheitsmechanismen und Schutz der Daten bleibt.
  • Heterogene Übertragungstechnologie: Geräte verwenden häufig viele unterschiedliche Übertragungstechniken. Dadurch ist es schwierig, Standard-Schutzmethoden und -Protokolle festzulegen.
  • Angreifbare Komponenten der Geräte: Anfällige Basiskomponenten haben Auswirkungen auf Millionen eingesetzter smarter Geräte.
  • Nutzer mit mangelndem Sicherheitsbewusstsein: Infolge eines mangelhaften Sicherheitsdenken bei den Nutzern können vernetzte Geräte Schwachstellen und Lücken für Angreifer ausgesetzt werden.

Schwachstellen in Geräten ermöglichen es Cyberkriminellen, sie als Ausgangsbasis für ihre Angriffe zu nutzen. Dies hebt nochmals hervor, wie wichtig es ist, Sicherheit bereits in der Entwurfsphase mit einzubinden.

Auswirkungen der Sicherheitslücken auf Nutzer

Die Untersuchung von grösseren Angriffen auf IoT-Geräte zeigt, wie diese sich auf Nutzer auswirken können. Bedrohungsakteure können angreifbare Geräte für laterale Bewegungen nutzen, um so ihre Wunschziele zu erreichen. Auch lassen sich Sicherheitslücken dazu nutzen, um Geräte selbst ins Visier zu nehmen und sie für grössere Kampagnen zu missbrauchen oder um Malware ins Netzwerk zu bringen.

IoT Botnets zeigen die Auswirkungen von Geräte-Schwachstellen und wie Cyberkriminelle diese ausnutzen. 2016 geriet Mirai, eine der bekanntesten Arten von IoT-Botnet-Malware, in die Schlagzeilen, als das Botnet, bestehend aus Tausenden von kompromittierten IoT-Haushaltsgeräten, in einer Distributed Denial of Service (DDoS)-Kampagne namhafte Websites lahmlegte. Aus geschäftlicher Sicht lassen IoT-Geräte die Unterscheidung zwischen der notwendigen Sicherheit in Unternehmen und Privathaushalten weiter schwinden, insbesondere in Home Office-Szenarien. Die Einbindung von IoT-Geräten im Haushalt kann auch neue Einstiegspunkte in Umgebungen mit möglicherweise schwacher Sicherheit eröffnen und Mitarbeiter Malware und Angriffen aussetzen, über die Angreifer ins Unternehmensnetzwerk gelangen können. Dies ist ein wichtiger Aspekt bei der Entscheidung für die Implementierung von Bring Your Own Device (BYOD)– und Home Office-Szenarien.

Angreifer können IoT-Geräte mit bekannten Schwächen ebenso für das Eindringen in interne Netzwerke nutzen. Die Bedrohungen reichen von DNS Rebinding-Attacken, um aus internen Netzwerken Informationen zu sammeln und zu exfiltrieren, bis zu neuen Angriffen über Seitenkanäle wie Infrarotlaser für Attacken auf vernetzte Geräte.

Beispiele für Sicherheitslücken in IoT-Geräten

Es hat bereits viele Fälle gegeben, die die Auswirkungen von IoT-Schwachstellen vor Augen führen, einige davon in der Praxis andere im Rahmen eines Forschungsprojekts. Die Nonprofit-Organisation Open Web Application Security Project (OWASP) veröffentlicht jedes Jahr eine Liste der Top IoT-Schwachstellen. Zu den am weitesten verbreiteten Lücken gehören die folgenden:

  • Schwache, leicht zu erratende oder fest codierte Passwörter: Typischerweise nutzen dies neue Malware-Varianten aus. Beispielsweise fanden die Sicherheitsforscher von Trend Micro eine Mirai-Variante namens Mukashi, die CVE-2020-9054 missbrauchte und Brute Force-Angriffe mit Standard-Anmeldedaten, um sich in Zyxel NAS-Produkte einzuwählen.
  • Unsichere Ökosystem-Schnittstellen: Die Erforschung von komplexen IoT-Umgebungen zeigte exponierte Automatisierungsplattformen, die die Funktionen mehrerer Geräte verketten. Der exponierte Automatisierungsserver enthielt wichtige Informationen wie Geostandort des Haushalts und fest codierte Passwörter.
  • Unsichere Netzwerkdienste: Ein Forschungsprojekt von Trend Micro aus dem Jahr 2017 widmete sich der Sicherheit von Sonos smarten Lautsprechern. Die Studie zeigte, wie einfach offene Ports das Gerät für jedermann im Internet zugänglich machen.

Nutzer sollten diese allgemein vorhandenen Schwachstellen ernst nehmen und die nötigen Vorsichtsmassnahmen gegen Exploits treffen. Weitere Einzelheiten zu IoT-bezogenen Angriffen sowie Sicherheitsempfehlungen umfasst die IoT-Ressource-Seite von Trend Micro.

Verantwortlichkeiten bei Sicherheit von IoT-Geräten

Das Potential unvorhersehbarer kaskadenartiger Auswirkungen von Schwachstellen und mangelnder Sicherheit im IoT beeinflusst in hohem Masse die allgemeine Sicherheit des Internets. Die Gewährleistung der Sicherheit dieser Geräte liegt in der gemeinsamen Verantwortung aller Beteiligten.

Die Hersteller müssen bekannte Schwachstellen in Nachfolgeprodukten beheben, Patches für bestehende Produkte bereitstellen und das Ende des Supports für ältere Produkte melden. Hersteller von IoT-Geräten müssen zudem die Sicherheit bereits in der Entwurfsphase berücksichtigen und dann Penetrationstests durchführen, um sicherzustellen, dass es keine unvorhergesehenen Lücken in einem System und Gerät in der Produktion gibt. Und Unternehmen sollten auch über ein System verfügen, über das sie Schwachstellen-Reports von Dritten zu ihren eingesetzten Produkten empfangen können.

Die Benutzer müssen mehr Wissen über die Sicherheitsrisiken beim Anschluss dieser Geräte und über ihre Aufgabe bei der Sicherung dieser Geräte erlangen. Die Risiken lassen sich unter anderem durch die Änderung der Standardpasswörter, die Aktualisierung der Firmware und die Wahl sicherer Einstellungen mindern.

Eine vollständige und mehrschichtige Verteidigung erhalten Anwender mit Hilfe von Lösungen wie Trend Micro™ Security und Trend Micro™ Internet Security, die effiziente Sicherheitsfunktionen gegen Bedrohungen IoT-Geräte bieten, denn sie können Malware auf den Endpunkten erkennen. Vernetzte Geräte lassen sich über Lösungen schützen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN), die den Internet-Verkehr zwischen Router und allen vernetzten Geräten überprüfen können. Die Netzwerk-Appliance Trend Micro™ Deep Discovery™ Inspector bietet Monitoring aller Ports und Netzwerkprotokolle auf fortgeschrittene Bedrohungen und kann somit Unternehmen vor gezielten Angriffen schützen.