Archiv der Kategorie: Mac OS

XCSSET Update: Browser Debug-Modus, inaktive Ransomware möglich

Originalartikel von Mac Threat Response, Mobile Research Team

Trend Micro hatte bereits über XCSSET berichtet und die ziemlich einzigartige Gefahr für Xcode-Entwickler aufgezeigt. Der Eintrag stellte zudem die Möglichkeiten dar, wie Kriminelle macOS-Schwachstellen missbrauchen, um den maximalen Gewinn aus infizierten Maschinen zu ziehen. Die Erforschung der Bedrohung geht weiter, und hier sollen einige Aspekte deren Verhalten zur Sprache kommen.

Die wichtigsten neuen Erkenntnisse zu der Bedrohung sind folgende:

  • XCSSET kann den Debug-Modus auch anderer Browser missbrauchen, ähnlich dem Verhalten in Safari;
  • Zudem beinhaltet die Bedrohung potenzielle Ransomware-Fähigkeiten, auch wenn diese nicht implementiert wurden.

Ein technisches Briefing enthält weitere Details.

Remote Debug-Modus für weitere Browser

Auch wenn sich XCSSET speziell auf Safari konzentriert, so beinhaltet die Malware andere Module, die auf weitere Browser zielen. Das Verhalten dahinter ist ähnlich – die Browser können im Debugging/Entwickler-Modus laufen, sodass die Browser gekapert und ein Universal Cross-Site Scripting (UXSS)-Angriff durchgeführt wird. Die folgenden Browser (neben Safari) sind betroffen:

  • Brave
  • Google Chrome
  • Microsoft Edge
  • Mozilla Firefox
  • Opera
  • Qihoo 360 Browser
  • Yandex Browser

Die beste Verteidigung gegen diesen Angriff wäre die Beschränkung des Zugriffs auf den Debugging-Modus, möglicherweise über eine Art von Passwortauthentifizierung. Als Alternative sollte der Benutzer eine Benachrichtigung erhalten, wenn sich ein Remote-Debugger mit dem Browser verbindet. Von den oben genannten Browsern tut dies insbesondere Firefox als Teil seiner Standardkonfiguration:

Bild 1. Firefox Debug-Anfrage

Inaktive Ransomware-Fähigkeiten

Im Zuge der Recherche fanden die Forscher zusätzliche Module, die XCSSET laden kann, unter anderem ein Ransomware-Modul. Die Experten halten es für inaktiv, weil die Zeile für die Ausführung der Verschlüsselung auskommentiert ist.

Der Grund des Angreifers dafür ist unklar. Basierend auf der Code-Analyse verschlüsselt das Modul alle Dateien auf dem Desktop, den Ordner „Dokumente“ und „Downloads“ (sofern sie unter 500 MB gross sind). Laut der Lösegeldforderung beträgt dieses 0,5 BTC oder etwa 5.700 US-Dollar.

Trend Micro-Lösungen

Zum Schutz der Systeme vor dieser Art von Bedrohung sollten Benutzer nur Anwendungen von offiziellen und legitimen Marktplätzen herunterladen. Auch hilft eine mehrschichtige Sicherheitslösung wie Trend Micro Maximum Security mit ihrem umfassenden Schutz für mehrere Geräte. Unternehmen können auch Trend Micro Smart Protection Suites mit XGen™-Sicherheit einsetzen.

Mac Malware infiziert Xcode-Projekte

Originalartikel von Mac Threat Response and Mobile Research Team

Die Sicherheitsforscher von Trend Micro entdeckten eine ungewöhnliche Infektion im Zusammenhang mit Xcode-Entwicklerprojekten. Weitere Untersuchungen ergaben, dass das Xcode-Projekt eines Entwicklers im Wesentlichen die Quell-Malware enthielt und zu einem Schlupfloch für bösartige Payloads führt. Die bemerkenswerteste Entdeckung waren zwei Zero-Day-Exploits: einer wird zum Diebstahl von Cookies über einen Fehler im Verhalten von Data Vaults verwendet, ein anderer zum Missbrauch der Entwicklerversion von Safari.

Dieses Szenario ist recht ungewöhnlich, denn hier wird bösartiger Code in lokale Xcode-Projekte eingeschleust, so dass dieser beim Aufbau des Projekts ausgeführt wird. Die Bedrohung eskaliert, denn die Forscher entdeckten betroffene Entwickler, die ihre Projekte auf GitHub freigaben. Dies führt zu einem Supply-Chain-artigen Angriff auf Nutzer, die in ihren eigenen Projekten auf diese Repositorys als Abhängigkeiten angewiesen sind. Die Forscher identifizierten diese Bedrohung auch in Quellen wie VirusTotal, was darauf hindeutet, dass es sich um eine weitläufigere Bedrohung handelt.

Interessierte können die die Ergebnisse zur Untersuchung der Bedrohung hier nachlesen und auch einen technischen Bericht mit allen Einzelheiten des Angriffs.

Trend Micro-Sicherheitslösungen

Um Systeme vor dieser Art der Bedrohung zu schützen, sollten Nutzer Apps nur aus offiziellen und legitimen Marktplätzen herunterladen. Eine mehrschichtige Lösung wie Trend Micro Home Security for Mac bietet ebenfalls Schutz für mehrere Geräte. Des Weiteren können Unternehmen auf die Vorteile der Smart Protection Suites zurückgreifen. Sie Lösung setzt auf XGen™-Sicherheit mit High-Fidelity Machine Learning in einer Mischung verschiedener Schutztechniken, um Sicherheitslücken über alle Aktivitäten und Endpunkte hinweg zu schliessen.

Umfassend geschützt im Home Office

von Martin Rösler, Trend Micro Research

Um ihre Mitarbeiter vor einer möglichen Ansteckung mit dem neuartigen Coronavirus zu schützen, ermöglichen immer mehr Unternehmen das Arbeiten von zu Hause aus – oder ordnen dies sogar an. Als Folge meldet sich eine Vielzahl von Mitarbeitern nun remote an Unternehmensnetzwerken und Cloud-basierten Anwendungen an, und damit vergrößert sich gerade für Unternehmen, die eine solche Regelung erstmalig einführen, auch die Angriffsoberfläche für Cyber-Attacken. Trend Micro warnte bereits in seinen Sicherheitsvorhersagen für das Jahr 2019 vor der wachsenden Gefahr durch Home-Office-Modelle. Damit der Schutz vor biologischen Gefahren nicht durch erhöhte Anfälligkeit für digitale Bedrohungen erkauft wird, sollten Unternehmen eine Reihe von Vorsichtsmaßnahmen ergreifen.

Checkliste für Unternehmen

  • Aufsetzen einer Zweifaktor-Authentifizierung: Viele Websites und Services implementieren Zweifaktor-Authentifizierung (2FA). Unternehmen müssen sicherstellen, dass sich die Sicherheit von Logins nicht allein auf Passwörter beschränkt, sondern beispielsweise auch mobilen Authentifizierungs-Apps oder Biometrie genutzt werden.
  • Vorkonfigurierte Home-Office-Szenarien: Organisationen müssen ihre Sicherheitsstrategie überprüfen und klare Richtlinien für das Arbeiten von zu Hause aufsetzen. Es sollte Intrusion Prevention und ein Schutz vor Datendiebstahl vorhanden sein, am besten über IT-bewilligte Laptops.
  • Regelmäßiges Backup der Daten: Das Backup sollte der 3-2-1-Regel folgen: d.h. mindestens drei Kopien der Daten in zwei unterschiedlichen Speicherformaten, wobei mindestens eine Kopie Off-Site liegen muss (etwa auf externen SSD- oder HD-Laufwerken).
  • Ausreichend VPN-Lizenzen bereitstellen: Die Zunahme mobiler Mitarbeiter erfordert auch mehr Lizenzen für VPNs sowie ausreichend Netzwerk-Bandbreite für den Zugang.
  • Nutzung von VPNs limitieren: Arbeitgeber müssen den Zugang zu VPNs regeln und periodische Neuanmeldung erforderlich machen, etwa alle 12 Stunden oder jeden Tag.

Sicherheitsteams können sich bezüglich Unternehmensrichtlinien auch über den Guide des SANS Institutes informieren.

Checkliste für Mitarbeiter

Nicht nur das Unternehmen allein trägt die Verantwortung für das sichere Arbeiten von zu Hause. Auch die Mitarbeiter müssen einige Regeln beachten:

  • Nutzen eines Unternehmens-Laptops, wenn möglich: Den eigenen persönlichen Laptop für das Home Office zu nutzen, kann gefährlich sein, weil dieser unter Umständen weniger Sicherheitsmechanismen umfasst als die Firmen-Hardware. Den Unternehmens-Laptop sollte wiederum ausschließlich der Mitarbeiter nutzen, kein anderes Familienmitglied darf darauf zugreifen können. Muss ein Mitarbeiter dennoch den eigenen, persönlichen Computer für sein Home Office einsetzen, ist das Installieren einer vom Arbeitgeber gelieferten Sicherheitslösung unabdingbar. Auch alle vom Unternehmen geforderten Schutzmaßnahmen müssen getroffen werden.
  • Verwenden von VPNs, die das Unternehmen zur Verfügung stellt: Das bedeutet im Umkehrschluss das Vermeiden von kostenlosen, öffentlichen WLANs. Mobile Mitarbeiter sollten die dedizierten Unternehmens-VPN-Server für Netzwerkverbindungen von zu Hause nutzen — doch lediglich vom Arbeits-Laptop aus. Dennoch, Vorsicht vor Phishing-Angriffen, die VPN-bezogene Kontozugangsdaten stehlen wollen.
  • Netzwerke aufteilen: „Home Worker“ müssen ein Gast-Netzwerk nutzen, um den Unternehmens-Laptop oder -Desktop zu isolieren. Ist ein Router oder Switch mit Virtual Local Area Network (VLAN)-Funktionalität vorhanden, sollte dieses aktiviert werden und ein VLAN lediglich für die Office-Arbeit zugeteilt sein.
  • Backup-Lösung auch zu Hause einsetzen: Backup-Optionen mit Hardware wie USB-Laufwerke sind sehr nützlich, wenn etwas schiefläuft (Verbindungsverlust oder Server-Absturz). macOS-Nutzer können Time Machine für Backups aktivieren.
  • Vorsicht vor Online-Betrug: Kriminelle nutzen die aktuelle Situation und die Angst vor COVID-19 weidlich für ihre betrügerischen Aktivitäten Die Angriffe kommen über Email, bösartige Domänen, gefälschte Apps oder soziale Medien. Nutzer sollten auf verräterische Anzeichen von Phishing-Betrug achten: unbekannter Absender, eklatante Grammatikfehler, nicht übereinstimmende URLs und seltsam anmutende Geschichten. Keine identifizierbaren Informationen wie persönliche Daten und Bankkontoinformationen angeben! Stattdessen sollte das Unternehmen sofort benachrichtigt werden, wenn jemand solche Versuche feststellt.

Basissicherheit für das Netzwerk zu Hause

  • Sichern des Gateways: Der Router ist das Gateway zu allen mit dem Internet verbundenen Geräten im Home-Netzwerk. Angreifer sind dafür bekannt, dass sie Heimrouter mit Standard-Anmeldeinformationen kompromittieren. Wichtig! das Passwort für den Router regelmäßig ändern, da es möglicherweise vorher mit anderen Benutzern geteilt wurde. Empfohlen werden Passwörter, die nicht anfällig für „Wörterbuch“-Angriffe sind, d.h. solche mit mehr als 12 Zeichen und einer Mischung aus Buchstaben, Zahlen und Sonderzeichen. Ebenso ist es wichtig, die Firmware des Routers immer auf die neueste Version zu aktualisieren. Router, die von Internetdienstanbietern (ISPs) kommen, verfügen in der Regel über automatische Aktualisierungen, doch zusätzliche Sorgfalt lässt sich über die Web-Konsole des Routers üben, die über seine IP-Adresse zugänglich ist.
  • Nutzerkonten auf dem Router auf zwei reduzieren: Ein Superuser-Konto sollte lediglich für Setup und Konfiguration (lokales Konto statt remote) dienen, und ein persönliches Konto erlaubt die Verwaltung des Routers (lokales Konto statt remote). Technisch Versierte könnten auch einen Port Scan auf der IP-Adresse des Routers durchführen, oder falls dies nicht möglich ist, die eigene IP-Adresse auf Shodan überprüfen. Viele Router erlauben auch das automatische Hinzufügen neuer Geräte, allerdings sollte diese Funktion deaktiviert und unbekannte angeschlossene Geräte aus der Router-Konfiguration entfernt werden. Als Zusatzsicherheit lässt sich auch eine Backup-Internetverbindung über einen Router in Betracht ziehen, der LTE unterstützt, für den Fall, dass die normale ISP-Leitung ausfällt. Die Tethering- oder persönliche Hotspot-Funktion des Smartphones kann ebenfalls als Verbindungssicherung dienen.
  • Fortgeschrittene Nutzer können mit einem Proxy arbeiten: Gibt es im Home Office einen Raspberry Pi- oder einen alten Linux-Rechner, so ließe sich dieser als PI-„Enklave“ nutzen, um die Geräte vor Adware oder sonstigen unerwünschten Inhalten zu schützen. Alternativ ließen sich Network-Attached Storage (NAS)-Systeme konfigurieren, um solche Inhalte fernzuhalten.
  • Software immer auf aktuellem Stand halten: Jegliche Software im Betrieb muss durch regelmäßige Updates und Patches auf dem aktuellen Stand gehalten werden, um die Gefahr einer Malware-Infizierung möglichst gering zu halten.

Weitere Empfehlungen für die Sicherheit bei virtuellen Meetings gibt Udo Schneider, Security Evangelist in „Best Practices: Virtuelle Meetings ohne unerwünschte Teilnehmer“.