Archiv der Kategorie: Maleware

Hacker-Infrastrukturen als Hosting-Angebot im Untergrund

Originalartikel von Vladimir Kropotov, Robert McArdle, and Fyodor Yarochkin, Trend Micro Research

Im cyberkriminellen Untergrund stellt die Hosting-Infrastruktur eines Kriminellen die Grundlage für sein gesamtes Geschäftsmodell dar. Sie beinhaltet Anonymisierungsdienste, um die Aktivitäten vertraulich zu halten, Command-and-Control (C&C)-Server für den Missbrauch der Rechner der Opfer und Diskussionsforen für die Kommunikation mit anderen Kriminellen. Kriminelle Anbieter liefern Dienste und Infrastrukturen, die andere Kriminelle für die Ausführung ihrer Angriffe benötigen. Ein solcher Hosting-Service kann die Bereitstellung von Hosting-Infrastrukturen, von Domain-Namen, Fast-Flux-Infrastrukturen, Traffic-Beschleunigern, virtuellen und dedizierten Servern und virtuellen privaten Netzwerken (VPNs) umfassen. Gehostete Infrastrukturen werden auch für das Versenden von Phishing-Emails, den Handel mit illegalen Waren in Online-Shops und das Hosten von Virtual Private Systems (VPS), von denen aus Angriffe gestartet werden können, eingesetzt.

Hosting Services im Untergrund

Plattformen im kriminellen Untergrund bieten eine breite Palette von Diensten für kriminelle Hacker. Dazu gehören Bulletproof Hosting und Proxies bis hin zu VPS und VPNs. Interessanterweise finden sich solche Dienste auch in Foren, die mit Online-Wetten, Online-Marketing und Suchmaschinenoptimierung (SEO) zu tun haben.

Es gibt darüber hinaus auch Chat-Gruppen auf Online-Messenger-Plattformen wie VK, Telegram und WhatsApp, die zur Werbung für die oben genannten Dienste genutzt werden. Die Anzeigen in Untergrundforen und sozialen Netzwerken hatten dieselben Kontaktinformationen wie die Verkäufer, stellten die Forscher fest. Dies widerlegt die bestehende Vorstellung, dass Kriminelle nur im Untergrund illegale Waren verkaufen. Sie bieten ihre Marktplätze auch im legalen Netz an.

Dies ist der aktuelle Status des Untergrundmarkts – gut etabliert mit Foren voller Angebote und Communities von Akteuren unterschiedlicher Reife. Die Untergrundmarktplätze haben sich weiterentwickelt und besitzen Strukturen, die die legitimer Geschäfte widerspiegeln. Die Anbieter haben detaillierte Geschäftsmodelle und Systeme entwickelt, die gängige Zahlungsmittel wie PayPal, Mastercard, Visa und Kryptowährungen akzeptieren.

Die Produktpalette im Untergrund ist vielfältig. Abgesehen von den diversen Angeboten von Kreditkarten-Dumps und Skimmern, gibt es Hacking-Dienste in dedizierten Shops, die dedizierte Server, SOCKS-Proxies, VPNs und Distributed Denial-of-Service (DDoS)-Schutz anbieten.

Bild 1. Online-Shop, der dedizierte Hosting-Server anbietet

Die Sicherheitsforscher fanden offizielle Wiederverkäufer von öffentlichen Hosting-Diensten, die in Untergrundforen werben. Diese Provider haben eine legitime Kundschaft und werben im Internet. Mehrere Reseller kümmern sich jedoch auch um Kriminelle im Untergrund, entweder mit oder ohne Wissen des Unternehmens.

Es gibt auch Akteure im Untergrund, die Referenzlinks von Hosting-Providern sharen und sogar Empfehlungsprämien von der Community kassierten. Hosts werden häufig von kriminellen Akteuren wegen ihrer Anonymität und ihrer Möglichkeiten des Missbrauchs diskutiert und beworben.

Bild 2. Werbung für kompromittierte Hosts in einem Untergrundforum

Social Media-Plattformen, die kriminelle Anbieter und Käufer ausnutzen

Wie jedes Unternehmen, das Waren und Dienstleistungen an potenzielle Abnehmer verkauft, werben auch kriminelle Händler. Verkäufer nutzen verschiedene Plattformen, um für ihre Produkte und Dienstleistungen zu werben: Chat-Kanäle, Hacking-Foren und Social Media-Posts.

So gab es beispielsweise einen Hosting-Service, der im sozialen Netzwerk VK als geeignet beworben wurde, um Brute-Force-Angriffe und Massen-Internet-Scans über Masscan, Nmap und ZMap durchzuführen.

Fazit

Ein gutes Wissen, den kriminellen Untergrund betreffend, ist von entscheidender Bedeutung, um Organisationen, der InfoSec-Community und den Strafverfolgungsbehörden dabei zu helfen, mit der Cyberkriminalität umzugehen und sie einzudämmen. Ein zweiter Teil zu der Forschung von Trend Micro stellt dar, wie Cyberkriminelle Infrastrukturkomponenten erwerben und einsetzen, so etwa kompromittierte Assets und dedizierte Hosting-Server.

Details zu der aktuellen Forschung umfasst das Whitepaper „The Hacker Infrastructure and Underground Hosting: An Overview of the Cybercriminal Market“. Es gibt Einblicke in die Funktionsweise einer Untergrundwirtschaft und die Grundlagen von krimineller Online-Infrastruktur.

Im Kreuzfeuer: Verteidigung der Geräte in der Schlacht der Botnets

Von Trend Micro

Botnets, diese Netzwerke aus infizierten Geräten (in Bots verwandelt), sind umso erfolgreicher in ihren Angriffen und bösartigen Aktivitäten, je höher die Zahl der Bots ist. Mit der Verbreitung des Internet of Things (IoT) ist eine neue Domäne entstanden, in der die Betreiber der Botnets um Bots kämpfen. Dieser so genannte „Wurmkrieg“ wird von den Benutzern unbemerkt geführt, und die können die Kontrolle über ihre Geräte verlieren, egal welcher Cyberkriminelle am Ende eine Schlacht gewinnt. Die Nutzer müssen die Techniken und Taktiken verstehen, die beim Aufbau von Botnets und der Umwandlung gängiger IoT-Geräte wie Router in Bots zum Einsatz kommen. Trend Micro hat einen Forschungsbericht „Worm War: The Botnet Battle for IoT Territory“ veröffentlicht, in dem die Welt der IoT-Botnets eingehend dargestellt wird.

Der Blog gibt eine Vorschau auf die Hauptfunktionen von Botnet-Malware anhand der drei Quellcodebasen von Botnets, die den Weg für viele Botnet-Malware-Varianten geebnet haben und die Grundlage für den anhaltenden Revierkampf bilden.

Kaiten

Kaiten, auch als Tsunami bekannt, ist die älteste der drei. Die Kommunikation mit den Command-and-Control (C&C)-Servern basiert auf dem IRC-Protokoll (Internet Relay Chat), wobei infizierte Geräte Befehle von einem IRC-Kanal empfangen. Das Skript von Kaiten ermöglicht es der Malware auch, auf mehreren Hardware-Architekturen zu arbeiten, und damit wird sie ein relativ vielseitiges Werkzeug für Cyberkriminelle. Darüber hinaus können neuere Varianten konkurrierende Malware ausschalten und somit ein Gerät vollständig in Beschlag nehmen.

Qbot

Die Malware ist auch als Bashlite, Gafgyt, Lizkebab oder Torlus bekannt und stellt eine relativ alte Familie dar. Dennoch ist sie für Botnet-Entwickler immer noch wichtig. Bemerkenswert im Zusammenhang mit Qbot ist die Tatsache, dass deren Quellcode aus nur ein paar Dateien besteht. Anfänger haben Schwierigkeiten in der Handhabung, deshalb gibt es in cyberkriminellen Foren viele Tutorials und Leitfäden dazu. Qbots Quellcode kann ebenso wie Kaiten mehrere Architekturen unterstützen, doch die Kommunikation mit den C&C-Servern basiert auf TCP und nicht IRC. Neuere Varianten können zudem auch rivalisierende Malware killen.

Mirai

Mirai ist die jüngste Malware unter den dreien. Dennoch ist sie sehr bekannt, weil die Familie zahlreiche Varianten hervorgebracht hat. Sie wurde darauf zugeschnitten, als Distributed Denial-of-Service (DDoS)-Tool angeboten zu werden. Nach Veröffentlichung des Quellcodes wurde Mirai zu einem Wendepunkt für IoT-Malware. Die Botnet-Malware machte sich schnell einen Namen durch den Angriff auf Dyn, einen DNS-Hosting-Provider (Domain Name System), der zur Beeinträchtigung weit verbreiteter Websites und Dienste führte.

Botnet-Kampftaktiken

Kaiten, Qbot und Mirai präsentieren die Fähigkeiten, mit denen Botnet-Malware um die Vorherrschaft über angeschlossene Geräte konkurrieren kann. Um ein Botnet zu entwickeln und seine Grösse aufrechtzuerhalten, müssen Botnet-Malware-Familien und -Varianten in der Lage sein, so viele Geräte wie möglich zu infizieren und gleichzeitig andere Angreifer fernzuhalten. Botnet-Malware kann nach anfälligen Geräten suchen und bekannte Taktiken wie Brute-Force anwenden, um die Kontrolle über ein Gerät zu erlangen. Um die Übernahme zu festigen, eliminiert Botnet-Malware konkurrierende Malware, die möglicherweise bereits auf dem Gerät vorhanden ist, sowie neue Schadsoftware, die darauf abzielen könnte, die Kontrolle über das Gerät zu stehlen.

Alle drei Bot-Quellcodebasen verfügen über diese Fähigkeiten. Und da sie quelloffen sind, ermöglichen sie es böswilligen Akteuren, die Bedrohungslandschaft weiterhin mit konkurrierenden Varianten zu bevölkern.

Bild. Zusammenfassung der drei wichtigsten IoT-Bot-Quellcodebasen

Verteidigung gegen IoT-Botnets

Über welch machtvolle Gerätearmeen Botnets verfügen können, zeigte der berüchtigte Mirai-Angriff 2016, der zum Absturz bekannter Websites führte (etwa Netflix, Twitter und Reddit) und auch den bekannten Sicherheitsblogs „Krebs on Security“ lahmlegte. In kleinerem Rahmen vereinnahmen Botnets IoT-Geräte und -Ressourcen einzelner Nutzer, die ihnen das Leben bequemer und ihre Arbeit leichter machen sollen. Diese Geräte haben an Bedeutung gewonnen, vor allem in einer Zeit, in der das Arbeiten von zu Hause aus zur neuen Norm für Organisationen geworden ist.

Die beste Verteidigungsstrategie gegen feindliche Botnets besteht darin, ihr Schlachtfeld einzugrenzen und Cyberkriminellen die Ressourcen zu verweigern, die ihre Botnets mächtig machen würden. Benutzer können ihren Teil dazu beitragen, indem sie dafür sorgen, dass ihre IoT-Geräte sicher sind. Sie können damit beginnen, diese Schritte zu befolgen:

  • Verwalten von Schwachstellen und Aufspielen der Patches so schnell wie möglich. Schwachstellen sind die wichtigste Art und Weise, wie Malware Geräte infiziert. Die Anwendung von Patches, sobald sie veröffentlicht werden, kann die Chancen für potenzielle Angriffe einschränken.
  • Anwenden sicherer Einstellung. Benutzer müssen sicherstellen, dass sie die sicherste Konfiguration für ihre Geräte verwenden, um die Möglichkeiten für eine Kompromittierung einzuschränken.
  • Starke, schwer zu erratende Passwörter aufsetzen. Botnet-Malware nutzt schwache und gängige Passwörter aus, um Geräte zu übernehmen. Benutzer können diese Taktik umgehen, indem sie Standardpasswörter ändern und starke Passwörter verwenden.

Weitere Einzelheiten zu den IoT-Botnets finden Sie im Whitepaper Worm War: The Botnet Battle for IoT Territory.

Ransomware-Report: Neue Techniken und besonders betroffene Branchen

Originalbeitrag von Monte De Jesus, Mohammed Malubay und Alyssa Christelle Ramos

In den letzten Monaten sind immer wieder neue Ransomware-Familien aufgetaucht und Techniken und auch Ziele haben sich verändert. Trend Micro hat eine dieser neuen Familien, Avaddon, untersucht. Des Weiteren nahmen die Sicherheitsforscher Techniken, die einige der Ransomware-Variante einsetzen, unter die Lupe sowie die von den Angriffen betroffenen Branchen.

Avaddon Ransomware

Die neue Ransomware Avaddon (Ransom.Win32.AVADDON.YJAF-A) wird durch einen Trojaner (Trojan.JS.AVADDON.YJAF-A) von bösartigen Sites heruntergeladen und auf dem System ausgeführt. Sie wird über Emails mit einem Anhang verbreitet, wobei die meisten einen Foto-bezogenen Betreff haben. Die Infektion erfolgt nach den bekannten Mustern.

Bild 1. Beispiel einer Email der Avaddon-Kampagne

Es werden Dateien in den folgenden Ordnern verschlüsselt:

  • Program Files\Microsoft\Exchange Server
  • Program Files (x86)\Microsoft\Exchange Server
  • Program Files\Microsoft SQL Server
  • Program Files (x86)\Microsoft SQL Server

Zudem fügt sie Prozesse hinzu, die Backups löschen, sodass es schwierig wird, das System wiederherzustellen:

  • wmic.exe SHADOWCOPY /nointeractive
  • wbadmin DELETE SYSTEMSTATEBACKUP
  • wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
  • bcdedit.exe /set {default} recoveryenabled No
  • bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
  • vssadmin.exe Delete Shadows /All /Quiet

Auch werden Prozesse und Services beendet, die zum Grossteil dem Scanning, Speichern oder Extraktion von Dateien dienen. Technische Einzelheiten zum Ablauf beinhaltet der Originalbeitrag.

Neue Techniken

In den letzten Monaten gab es auch Aktualisierungen der von einigen Ransomware-Varianten verwendeten Techniken. So etwa wird die Netwalker Ransomware nun dateilos über reflective Dynamic-Link Library (DLL) Injection (reflective DLL loading) ausgeführt. Bei dieser Technik wird die DLL aus dem Speicher und nicht von der Festplatte injiziert. Obwohl die Technik selbst nicht neu ist (sie wurde bereits früher zur Bereitstellung von ColdLock-Ransomware eingesetzt), ist ihre Verwendung durch Netwalker neu.

Eine weitere erwähnenswerte Entwicklung ist der Einsatz von virtuellen Maschinen bei Ragnar Locker, um der Erkennung durch Antiviren-Software zu entgehen. Laut Sophos wurde dieser Angriffsvektor noch nie zuvor mit einem Ransomware-Typus verwendet. Früher nutzte Ragnar Locker Managed Service Provider aus oder griff RDP-Verbindungen (Windows Remote Desktop Protocol) an.

Fertigung, Logistik und Energiesektor als Ziele

Ransomware-Varianten wählten als Ziel mehrere Firmen aus dem Bereich der Fertigung, Logistik und Energieversorgung. Eine Variante der Ekans Ransomware (Ransom.Win32.EKANS.D) wurde bei gezielten Angriffen gegen Fertigungsunternehmen eingesetzt. Wie von der Firma Dragos beobachtet, ist bei den industriellen Prozessen, die frühere Ekans-Angriffen beendeten, ein besonderes Mass an Vorsätzlichkeit zu erkennen, was sie zu einer Bedrohung macht, die Organisationen mit industriellen Kontrollsystemen (ICS) auf dem Radar haben sollten.

Nefilim, eine Ransomware, die dem jüngsten Trend folgt, nicht nur Dateien zu verschlüsseln, sondern auch Daten zu stehlen, startete Angriffe auf Logistikunternehmen. Die Untersuchungen dieser Angriffe ergaben, dass der Datendiebstahl bereits Wochen oder sogar Monate vor dem Einsatz der Ransomware beginnt und dass bei den Angriffen mehrere (bösartige und nicht bösartige) Tools eingesetzt werden, um Prozesse aufzusetzen und sich durch das Netzwerk zu bewegen.

In ähnlicher Weise veröffentlichten die Betreiber hinter Sodinokibi auf einer Tor-Webseite 1.280 Dateien, angeblich mit Reisepassdaten und anderen Dokumenten von Mitarbeitern eines Elektrodienstleisters. Wenige Wochen zuvor hatte der Ransomware-Angriff das Unternehmen getroffen und den Betrieb unterbrochen.

ColdLock wiederum konzentrierte die Angriffe eher auf eine Region als auf eine Branche, und zwar war die Ransomware vor allem in Taiwan aktiv.

Ransomware-Zahlen für Mai

Im Mai wurde WannaCry mit 15.496 Erkennungen zur führenden Ransomware-Familie. Die Tatsache, dass WannaCry „den ersten Platz verteidigen konnte“, ist auf seine Wurmkomponente und die Beharrlichkeit seiner Betreiber zurückzuführen, die versuchen, die Malware regelmässig zu verbreiten. Daher ist davon auszugehen, dass WannaCry weiterhin eine so hohe Anzahl von Erkennungen aufweisen wird, bis entweder eine neue, massive Ransomware auftaucht oder die Quellen für WannaCry gefunden und entfernt werden. Die nächsten Plätze belegen Locky mit 1.532 und Cerber mit 392 Erkennungen. Diese drei vorderen Plätze sind seit Januar fest belegt, und waren auch im letzten Jahr Top.

Bild 2. Ransomware-Familien mit den meisten Erkennungen (Mai 2020)

Gleichzeitig waren die am meisten betroffenen Branchen Behörden (1.870), die Fertigung (1.599) sowie das Gesundheitswesen (1.217).

Bild 3. Top-Branchen bezüglich von Ransomware-Erkennungszahlen (Mai 2020)

Die meisten Angriffe erlitten Unternehmen mit mehr als 18.000 Erkennungen. Angriffe auf Verbraucher gab es mehr als 4.000, und 1.000 Erkennungen wurden bei mittleren und kleinen Unternehmen gezählt.

Bild 4. Ransomware-Erkennungen nach Segmenten (Mai 2020)

Im Mai wurden vier neue Ransomware-Familien entdeckt. Eine davon ist BlueCheeser (Ransom.MSIL.BLUECHEESER.A), eine Schadsoftware, die verschlüsselten Dateien die Endung .himr anhängt und 400$ Lösegeld verlangt.

Eine weitere ist CoronaLock (Ransom.Win32.CORONALOCK.A), auch als CovidWorldCry bekannt. Sie wird über Coronavirus-bezogenen Spam verbreitet und gibt verschlüsselten Dateien die Endung .corona.lock. Die dritte, PonyFinal (Ransom.Java.PONYFINAL.A), ist eine Java-basierte Malware, die Microsoft-Systeme angreift. GonnaCry (Ransom.Linux.GONNACRY.A) schliesslich zielt auf Linux-Systeme. Die Zahl der gefundenen Familien ist im Vergleich zum April zurückgegangen.

Bild 5. Zahl der neuen Ransomware-Familien (Januar bis Mai 2020)

Starke Verteidigung gegen Ransomware

Betriebsunterbrechungen, Datenverlust und die Veröffentlichung vertraulicher Unternehmensdaten sind einige der Gefahren, die ein Unternehmen durch einen Ransomware-Angriff betreffen können. Es gibt jedoch nach wie vor Wege, sich vor diesen Angriffen zu schützen.

Es folgen einige Best Practices, mit deren Hilfe Anwender ihre Systeme vor Ransomware schützen können:

  • Backup der Dateien nach der 3-2-1 -Regel. Dies bedeutet, regelmässige drei Backups in zwei unterschiedlichen Formaten zu erstellen, wobei eine Kopie Off-Site vorgehalten wird.
  • Regelmässiges Patchen und Aktualisieren von Anwendungen und Software. Dadurch wird sichergestellt, dass Schwachstellen behoben werden. Bei Zero-Day-Schwachstellen virtuelles Patching einsetzen.
  • Sandbox Analyse nutzen. Dadurch können bösartige Dateien in einer isolierten Umgebung ausgeführt werden, sodass diese Dateien überwacht werden, ohne das System zu gefährden.
  • Aktivieren von fortschrittlichen Erkennungsfunktionen wie maschinelles Lernen oder Technologien für die Verhaltensüberwachung.

Auch helfen mehrschichtige Sicherheitslösungen wie etwa Trend Micro™ XDR for Users. Damit können die Bedrohungen früh erkannt werden, bevor sie Endpunkte und andere Schichten des Systems kompromittieren. Trend Micro Apex One™ unterstützt umsetzbare Einsichten und zentrale Transparenz im gesamten Netzwerk. Trend Micro Deep Discovery™ Email Inspector schliesslich kann bösartige Email-Anhänge blockieren und analysieren.

Bösartige Chrome Extensions und Domänen führen zum Datendiebstahl

Google Chrome Extensions und Communigal Communication Ltd. (Galcomm)-Domänen sind in einer Kampagne ausgenutzt worden, die darauf abzielt, Aktivitäten und Daten der Nutzer zu tracken. Awake Security hatte in den letzten drei Monaten 111 bösartige oder gefälschte Chrome Extensions gefunden, die Galcomm-Domänen als Command-&-Control (C&C)-Infrastruktur einsetzen. Es gab mindestens 32 Millionen Downloads dieser bösartigen Extensions. Die Kampagne nutzte nahezu 15.160 auf Galcomm registrierte Domänen, um Malware und Browser-gestützte Überwachungs-Tools zu hosten. Das sind nahezu 60% der bei diesem Registrar erreichbaren Domänen. Galcomm versichert, darin nicht verwickelt zu sein. Die Angriffe vermieden erfolgreich die Entdeckung durch Sandboxen, Endpoint-Sicherheitslösungen, Domain-Reputationsdienste und andere. Betroffen waren die Finanzbranche, Öl und Gas, Medien, Einzelhandel, Bildung und Behörden.

Trend Micro berichtete bereits über diese Chrome Extensions als Teil des Ökosystems dieser Kampagne. Die Sicherheitsforscher fanden auch bösartige Extensions, die Firefox-Nutzer im Visier hatten. Der Bericht hob hervor, dass einige Code von entfernten Servern laden können, sowie dass Calcomm möglicherweise einen Bezug zum Angriff habe. Awake Security veröffentlichte zudem eine ausführliche Liste mit den verwendeten App IDs. Weitere Einzelheiten beinhaltet der Originalbeitrag.

Empfehlungen

Bösartige Extensions werden immer bedrohlicher. Im Laufe der Zeit kommen weitere Verschleierungstechniken hinzu, wie die Umgehung traditioneller Sicherheitsmechanismen und das Laden von Code von entfernten Servern. Neben der Konzentration auf die Erkennung sollten Organisationen die von diesen Bedrohungen angewandten Taktiken, Techniken und Verfahren langfristig überwachen, um ein besseres Verständnis ihres Verhaltens zu erhalten und Erkenntnisse darüber zu gewinnen, wie Eintrittspunkte gegen sie verteidigt werden können.

Trend Micro XDR kann ein System schützen, indem Daten aus Emails, Enpoints, Servern, Cloud Workloads und Netzwerken gesammelt und korreliert werden. Dabei kommt KI und Sicherheitsanalysen zum Einsatz, die nicht nur eine frühe Erkennung ermöglichen, sondern auch tiefgehende Einsichten in die Quelle und das Verhalten dieser Angriffe bieten.

Trend Micro™ Managed XDR-Service liefert fachmännisches Monitoring und Analysen durch die erfahrenen Managed Detection and Response-Analysten. Die Experten können ein vollständiges Bild des Angriffs und seiner Ausbreitung im Unternehmen erstellen und so einen klaren Überblick über Ursache und Auswirkungen einer Bedrohung geben.

ISO/SAE 21434: Cyberbedrohungen für vernetzte Autos ausbremsen

Originalartikel von William Malik, CISA VP Infrastructure Strategies

Vernetzte Fahrzeuge sind die Zukunft. Weltweit soll ihre Zahl von 2018 bis 2022 um 270% zulegen, und in ein paar Jahren geschätzte 125 Millionen erreichen. Diese Fahrzeuge ähneln zunehmend eher Hochleistungscomputern mit Rädern als herkömmlichen Autos und beinhalten Fähigkeiten wie Internetzugang, applikationsbasiertes Remote Monitoring und Verwaltung, fortschrittliche Fahrerunterstützung und autonome Fahrfähigkeiten. Dadurch sind sie aber auch dem Diebstahl sensibler Daten und der Fernmanipulation ausgesetzt, was zu ernsthaften physischen Sicherheitsproblemen führen könnte. Ein neuer Forschungsbericht von Trend Micro stellt dar, was die Branchenbeteiligten tun müssen, damit die Cybersecurity-Lücke für das gesamte Automotive-Ökosystem geschlossen wird. Ein neuer Standard liefert Leitlinien für die Cybersicherheit.

Download

Moderne Automobile leisten weit mehr, als nur ihre Insassen von A nach B zu transportieren. Sie sind vollgepackt mit Rechenleistung, Sensoren, Infotainment-Systemen und Konnektivität, um das Fahrerlebnis, die Verkehrssicherheit, die Fahrzeugwartung und vieles mehr zu verbessern. Unter anderem verfügen sie über Systeme, die eine Verbindung zu anderen Fahrzeugen, mobilen Geräten, Verkehrsinfrastrukturen und Cloud-Systemen für verschiedene Zwecke herstellen, wie Sicherheitsüberwachung des Verkehrs und Fußgänger, Remote Monitoring und Verwaltung der Fahrzeuge oder Notfall-Benachrichtigungssysteme. All dies schafft eine Komplexität, die wiederum zu neuen Cyber-Sicherheitslücken führt.

Zum Beispiel gibt es heute in vielen modernen Fahrzeugen mehr als 100 Motorsteuergeräte (Engine Control Units, ECUs), vollgepackt mit Software, die alles vom Motor über die Aufhängung bis hin zu den Bremsen kontrolliert. Kapert ein Angreifer die Ausführung eines beliebigen Steuergeräts, könnte er sich lateral auf ein beliebiges Ziel im Fahrzeug zubewegen und damit möglicherweise aus der Ferne lebensbedrohliche Unfälle verursachen.

Der Bericht zeigt die drei grundlegenden Probleme auf, die die Sicherheit von vernetzten Autos zur Herausforderung werden lässt:

  • Schwachstellen: Die Branche arbeitet mit einem stark gegliederten Supply Chain-System. Wenn eine Schwachstelle in einer Komponente entdeckt wird, müssen alle beteiligten Ebenen einen Fix veröffentlichen, bis er den Originalausrüstungshersteller (OEM) erreicht. Diese Fehlerbehebungen müssen auch auf Interoperabilität geprüft werden, was bedeutet, dass die Firmware aller Steuergeräte aktualisiert werden müsste. Dies führt nicht nur zu Verzögerungen bei der Bereitstellung von Updates, sondern ein Software-Update für ein Fahrzeug kann auch bis zu 20 Stunden dauern.
  • Protokolle: Einige der Protokolle, die für ECU-Verbindungen verwendet werden, sind nicht für Cybersicherheitsfunktionen ausgelegt. Beispielsweise sind die Datenübertragungen nicht verschlüsselt, und Sender und Empfänger sind nicht authentifiziert.
  • Unsichere Produkte und Dienstleistungen auf dem Sekundärmarkt: Internet of Vehicles (IoV)-Geräte, die in Autos installiert sind, wie z.B. Bluetooth- oder Wi-Fi-fähige Multimediageräte, sind einfach erhältlich. Die meisten dieser Geräte laufen jedoch mit ungesicherter oder veralteter Firmware, sodass Angreifer die nicht gepatchten Systeme zum Eindringen ausnutzen und sich lateral bewegen können, um bösartigen Code an die Systeme des Fahrzeugs zu senden.
    Darüber hinaus können einige inoffizielle Werkstätten die ECU modifizieren, um die Motorleistung zu erhöhen. Die Manipulation der Software – trotz der vorhandenen Industriestandardverfahren zum Schutz der Diagnosesoftware – kann eine Reihe von Schwachstellen während und nach der Änderung der Codes entstehen lassen.

Diese Schwachstellen wurden bereits vor Jahren in Forschungsarbeiten aufgezeigt, doch nun da die Zahl der vernetzten Fahrzeuge zunimmt, zeichnen sich nun Angriffe aus der realen Welt ab. Die Angriffsszenarien zielen auf alles, von Benutzeranwendungen über Netzwerkprotokolle bis hin zum CAN-Bus, der On-Board-Software und mehr.

Standards als Abhilfe

Intelligente Transportsysteme (ITS) erfordern eine Abstimmung zwischen den Herstellern, um in der realen Welt eine Chance auf Erfolg zu haben. Kein grosser Autohersteller, multimodaler Anbieter oder MaaS-Anbieter (Mobility as a Service) wird es riskieren, in eine Lösung eines einzigen Anbieters zu investieren. Erfolgreiche ITS erfordern interoperable Komponenten, insbesondere für das Management von Fragen der Cybersicherheit.

Hier setzt ein neuer Standard an. ISO/SAE 21434 Road vehicles – Cybersecurity engineering ist ein langes und detailliertes Dokument zur Verbesserung der automobilen Cybersicherheit und Risikominderung in der gesamten Supply Chain – vom Fahrzeugdesign und -Engineering bis hin zur Stilllegung.

Als langjähriger Mitstreiter in der Automobilindustrie begrüsst Trend Micro den neuen Standard als eine Möglichkeit, Security-by-Design in einem Bereich zu verbessern, der zunehmend von Angreifern unter die Lupe genommen wird. Tatsächlich haben acht der zehn weltweit führenden Automobilunternehmen Lösungen von Trend Micro für ihre Unternehmens-IT übernommen.

Um ISO/SAE 21434 zu folgen und die vernetzten Autos zu schützen, benötigen Organisationen eine umfassende Visibilität und Kontrolle über das gesamte vernetzte Auto-Ökosystem, einschliesslich Fahrzeug-, Netzwerk- und Backend-Systeme. Unernehmen sollten auch die Schaffung eines Vehicle Security Operations Center (VSOC) in Erwägung ziehen, um die aus allen drei Bereichen eingehenden Benachrichtigungen zu verwalten und einen Überblick über das gesamte Ökosystem aus der Vogelperspektive zu erhalten.

Empfehlungen

In jedem dieser Schlüsselbereiche sollten die folgenden Fähigkeiten in Betracht gezogen werden:

Fahrzeug: Erkennung fahrzeuginterner Schwachstellen und deren mögliche Ausnutzung, einschliesslich der Schwachstellen in kritischen Geräten, die das fahrzeuginterne Netzwerk mit externen Netzwerken verbinden, z.B. fahrzeuginterne Infotainment-Systeme (IVI) und telematische Steuereinheiten (TCUs).

Netzwerk: Anwendung von Netzwerksicherheitsrichtlinien, Überwachung des Datenverkehrs, um Bedrohungen zu erkennen und zu verhindern, einschliesslich Verbindungen zwischen Fahrzeug- und Backend-Cloud und Datenzentren.

Backend: Sichern der Rechenzentren, Cloud und Container vor bekannten und unbekannten Bedrohungen und Bugs, ohne die Leistung zu beeinträchtigen.

Fahrzeug-SOC: Schnelle und effektive Massnahmen ergreifen durch Korrelation der am Endpunkt, Netzwerk und Backend erkannten Bedrohungen mit individuellen Benachrichtigungen von jedem einzelnen Punkt, so dass umfassende Elemente aus der Vogelperspektive betrachtet werden können.

In unsicheren Zeiten für die Branche zahlt es sich aus, allen möglichen Änderungen in den lokalen Gesetzen, die durch die neue ISO/SAE-Norm kommen könnten, einen Schritt voraus zu sein.

Zero Day Initiative: Harte Arbeit für eine sichere vernetzte Welt

Originalartikel von Jay Coley

Die Zero Day Initiative (ZDI) von Trend Micro steht seit 15 Jahren für die koordinierte Veröffentlichung von Schwachstellen und betreibt das weltweit umfassendste herstellerunabhängige Bug-Bounty-Programm. Ein Grossteil dieser Arbeit findet hinter den Kulissen statt, ohne viel Aufsehen zu erregen. Es ist eine sehr wichtige Arbeit, weil sie zur Sicherung der vernetzten Welt beiträgt und gleichzeitig einen frühzeitigen Schutz für Trend Micro/TippingPoint-Kunden bietet. Ein Beispiel dafür sind die zwei vom ZDI entdeckten Sicherheitslücken, die Microsoft in dieser Woche ausser der Reihe geschlossen hat.

Die beiden Schwachstellen wurden von Abdul-Aziz Hariri vom ZDI entdeckt und betreffen die Art und Weise, wie die Microsoft Windows Codecs Library mit Objekten im Speicher umgeht. Bei Ausnutzung der CVE-2020-1425-Lücke könnte ein Angreifer an Informationen herankommen, mit deren Hilfe er ein System weiter kompromittieren kann. CVE-2020-1457 wiederum eröffnet einem Angreifer die Möglichkeit, beliebigen Code auszuführen.

Es kommt nur selten vor, dass Microsoft still und unbemerkt Patches bei seinen Kunden installiert, doch dies schmälert die harte Arbeit der ZDI-Forscher keineswegs. Tatsächlich war das ZDI mit 38% der veröffentlichen Lücken im vergangenen Jahr die Nummer eins der externen Lieferanten von Schwachstellen an Microsoft.

Warum ZDI?

Die Arbeit des ZDI ist deshalb so wichtig, weil sich die Initiative für eine verantwortungsvolle Offenlegung einsetzt. Ohne Programme dieser Art würde sich der Grau- und Schwarzmarkthandel mit Schwachstellen ausbreiten, was zu weniger sicheren Produkten und letztendlich zu exponierteren Kunden führen würde.

Schwachstellen-Exploits sind heute eine wichtige Voraussetzung für viele Cyberangriffe. Durch die Mobilisierung der Forschungsgemeinschaft und die Schaffung von Anreizen zur verantwortungsvollen Offenlegung kann das ZDI dazu beitragen, die digitale Welt sicherer zu machen. Nicht nur das, damit können auch Kunden von Trend Micro und TippingPoint frühzeitig geschützt werden. In diesem Fall waren die Kunden über drei Monate lang sicher, bevor Anbieter-Patches verfügbar waren.

Botnet Malware-Varianten zielen auf exponierte Docker Server

Originalbeitrag von Augusto Remillano II, Patrick Noel Collado und Karen Ivy Titiwa

Kürzlich entdeckten die Sicherheitsforscher Varianten von zwei existierenden Linux Botnet Malware-Arten, die exponierte Docker-Server im Visier hatten: XORDDoS (Backdoor.Linux.XORDDOS.AE) und Kaiji DDoS (DDoS.Linux.KAIJI.A). Für beide Malware-Arten sind Docker-Server als Ziel neu. XORDDoS war dafür bekannt, Linux Hosts in Cloud-Systemen anzugreifen, und die erst vor kurzem entdeckte Kaiji-Malware griff IoT-Geräte an. Die Hintermänner nutzten normalerweise Botnets für Brute-Force-Attacken, nachdem sie nach offenen Secure Shell (SSH)- und Telnet-Ports gescannt hatten. Jetzt suchen sie auch nach Docker-Servern mit exponierten Ports (2375). Dies ist einer der beiden Ports, die das Docker API nutzt, und dient der nicht verschlüsselten und nicht authentifizierten Kommunikation.

Es besteht jedoch ein bemerkenswerter Unterschied zwischen den Angriffsmethoden der beiden Malware-Varianten. Während der XORDDoS-Angriff den Docker-Server infiltrierte, um alle auf ihm gehosteten Container zu infizieren, setzt der Kaiji-Angriff einen eigenen Container ein, in dem die DDoS-Malware liegt.

Diese Malware-Varianten begünstigen Distributed Denial of Service (DDoS), einen Angriffstyp, der darauf abzielt, ein Netzwerk, eine Website oder einen Dienst zu deaktivieren, zu unterbrechen oder herunterzufahren. Dazu werden mehrere Systeme verwendet, um das Zielsystem mit Datenverkehr zu überlasten, bis es für andere Benutzer unzugänglich wird.

Analyse der beiden Varianten

Die XORDDoS-Infektion begann damit, dass die Angreifer nach Hosts mit exponierten Docker-API-Port suchten (2375). Dann sandten sie einen Befehl, der die auf dem Docker-Server gehosteten Container auflistete. Danach führten die Angreifer eine Befehlsfolge für alle Container aus und infizierten sie alle mit der Malware.

Ähnlich wie bei der XORDDoS-Malware zielt Kaiji auch auf exponierte Docker-Server zur Verbreitung. Der Betreiber scannte auch das Internet nach Hosts mit dem exponierten Port 2375. Nachdem er ein Ziel gefunden hatte, pingt er den Docker-Server an, bevor er einen bösartigen ARM-Container einsetzt, der das Kaiji-Binary ausführt. Die technischen Einzelheiten zu den beiden Angriffen finden Interessierte im Originalbeitrag.

Schutz für Docker-Server

Es zeigt sich, dass die Bedrohungsakteure ihre Werke ständig um neue Fähigkeiten erweitern, so dass sie ihre Angriffe auf andere Eintrittspunkte ausrichten können. Da sie relativ bequem in der Cloud eingesetzt werden können, sind Docker-Server eine immer beliebtere Option für Unternehmen. Sie sind jedoch auch ein attraktiven Ziel für Cyberkriminelle, die ständig auf der Suche nach Systemen sind, die sie ausnutzen können.

Einige Empfehlungen für die Absicherung von Docker-Servern:

  • Absichern des Container Hosts: Dafür eignen sich Monitoring Tools und Host Container in einem auf Container zugeschnittenen Betriebssystem.
  • Absichern der Netzwerkumgebung. Dafür sollte ein Intrusion Prevention System (IPS) und Webfiltering zum Einsatz kommen, um Übersicht zu bieten und den internen sowie externen Verkehr beobachten zu können.
  • Absichern des Management-Stacks. Hier sollte die Container Registry überwacht und gesichert werden sowie die Kubernetes-Installation abgesperrt sein.
  • Absichern der Build Pipeline. Implementieren eines gründlichen und konsistenten Zugangskontrollschemas sowie starker Endpunktkontrollmechanismen.
  • Befolgen der empfohlenen Best Practices.
  • Einsatz von Sicherheits-Tools, um Container zu scannen und zu schützen.

Trend Micro™ Hybrid Cloud Security bietet automatisierte Sicherheit und Schutz für physische, virtuelle und Cloud Workloads. Die Lösung umfasst folgendes:

Ripple20-Schwachstellen gefährden Millionen von IoT-Geräten

Die israelische Sicherheitsfirma JSOF hat Informationen zu einer Reihe von Schwachstellen veröffentlicht, die sie Ripple20 nennt. Diese Schwachstellen haben das Potenzial, Millionen von Internet of Things (IoT)-Geräten in vielen verschiedenen Branchen zu schädigen. Wichtige Systeme in der Gesundheits-, Öl- und Gasindustrie, im Transportwesen, in der Energiewirtschaft und im verarbeitenden Gewerbe können von diesen Fehlern betroffen sein. Eine Liste bestimmter Hersteller mit anfälligen Geräten ist in dem technischen Bericht von JSOF zu finden.

Die Schwachstellen stammen von einer Software, die von der amerikanischen Firma Treck Inc. entwickelt und Ende der neunziger Jahre auf den Markt gebracht wurde. Die Software beinhaltet einen leichtgewichtigen TCP/IP-Stack und ermöglicht es Unternehmen, ihre Geräte oder Software über TCP/IP-Verbindungen mit dem Internet zu verbinden.

Angesichts der Tatsache, dass diese Software bereits seit vielen Jahren verfügbar und im Einsatz ist und Unternehmen aller Grössenordnungen immer mehr Geräte online bringen, ist es nicht verwunderlich, dass die Auswirkungen von Ripple20 so breit gestreut sind. Die betroffenen Firmen reichen von Ein-Personen- bis hin zu multinationalen Fortune-500-Unternehmen.

IoT- und industrielle Internet of Things (IIoT)-Geräte benötigen leichtgewichtige Netzwerkkomponenten, um Rechenleistung zu sparen. Aber Probleme mit Netzwerk-Kommunikationssoftware von Drittanbietern belasten die Landschaft seit Jahren. Im Jahr 2018 gefährdeten 13 Fehler im FreeRTOS-TCP/IP-Stack die IoT-Geräte in Privathaushalten und in kritischen Infrastrukturen, und 2019 wurden medizinische Geräte und Krankenhausnetzwerke durch eine Reihe von elf Schwachstellen namens Urgent/11 bedroht. Die Schwachstellen befanden sich im IPnet, einer Softwarekomponente eines Drittanbieters, die die Netzwerkkommunikation unterstützt. Ein Angreifer könnte diese Schwachstellen potenziell nutzen, um die Kontrolle über medizinische Geräte aus der Ferne zu übernehmen oder deren Funktionsfähigkeit zu behindern.

Die Schwachstellen

Die in der Software gefundenen Schwachstellen zeichnen sich durch die Breite ihrer Auswirkungen aus – die Software hat sich über die ganze Welt verbreitet und wurde direkt und indirekt von vielen verschiedenen Herstellern verwendet.

Konkret handelt es sich bei Ripple20 um eine Gruppe von 19 Fehlern, die bei erfolgreicher Ausnutzung einem Angreifer erlauben würden, willkürlich Code auf anfälligen Geräten auszuführen, mit denen er sich verbinden kann. Hacker können über lokale Netzwerke oder über das Internet auf anfällige Geräte zugreifen und die vollständige Kontrolle über diese Geräte übernehmen – ein kritisches Problem, wenn es sich dabei auch um solche in Stromnetzen, Produktionsstätten und Krankenhäusern handelt.

Einer dieser Bugs ist eine Schwachstelle im DNS-Protokoll, die von einem erfahrenen Hacker dazu benutzt werden kann, Geräte anzugreifen, die nicht mit dem Internet verbunden sind. JSOF hat weitere mögliche Angriffe skizziert, unter anderem die Nutzung angreifbarer Geräte, um andere Geräte in einem Netzwerk ins Visier zu nehmen oder um im Netzwerk verborgen zu bleiben, und die Verbreitung eines Angriffs, um die Kontrolle über alle betroffenen Geräte im Netzwerk gleichzeitig zu übernehmen. Treck hat ein Sicherheits-Update zur Behebung dieser Schwachstellen veröffentlicht.

Die Cybersecurity and Infrastructure Security Agency (CISA) hat fünf dieser Schwachstellen mit über acht bewertet, wobei zwei davon eine zehn erhielten (die höchste mögliche Bewertung). Sie empfehlen Benutzern auch, „Abwehrmassnahmen“ gegen diese Schwachstellen zu ergreifen – Installation der Updates von Treck, Minimierung der Exponierung des Netzwerks, Einsatz von Firewalls, Verwendung virtueller privater Netzwerke und interner DNS-Server.

Eindämmung und Lösungen

Entdeckung ist der erste Schritt zur Vermeidung von Angriffen, die diese Schwachstellen missbrauchen. In einigen Fällen sind sich die Eigentümer von Assets möglicherweise nicht bewusst, dass diese Schwachstellen in ihrer Umgebung existieren. Produkte wie EdgeIPSTM und EdgeFireTM können beim Entdecken von Ripple20-Schwachstellen unterstützen, indem sie den Netzwerkverkehr scannen.

Es gibt auch einige andere Taktiken, die bei der Eindämmung von Ripple20 helfen können:

  • Netzwerksegmentierung: Eine angemessene interne Segmentierung und Mikrosegmentierung sollte in der OT-Netzwerkumgebung durchgeführt werden. Verantwortliche können EdgeFireTM für die interne Segmentierung durch kommunikationsgesteuerte NAT- und ICS-Protokolle verwenden. EdgeIPSTM kann eine tiefgreifende Mikrosegmentierung durchführen.
  • Netzwerk-Policy für die Kontrolle: Ohne eine angemessene Lösung kann das Prinzip des Null-Vertrauens nicht erreicht werden. EdgeFireTM und EdgeIPSTM bieten Netzwerkzugriffs-Whitelists für M2M-Kommunikation über IP-Adressen, ICS-Protokolle und Befehle.
  • Vorbeugung: Bei Gefahren mit hohem Potenzial aktualisieren EdgeIPSTM und EdgeFireTM den 6/30-Regelsatz, um Schwachstellen zu verhindern.

Der Originalbeitrag beinhaltet auch die Indicators of Compromise und eine Auflistung der Ripple20-Schwachstellen.

PowerShell-basierte Malware und Angriffe aufspüren, erkennen und vereiteln

Während herkömmliche Malware und Angriffe auf eigens erstellte ausführbare Dateien angewiesen sind, liegt dateilose Malware im Speicher, um herkömmlichen Scannern und Erkennungsmethoden zu entgehen. PowerShell, ein legitimes Verwaltungstool für Systemadministratoren bietet eine ideale Tarnung für Bedrohungsakteure, bei der Erstellung von Payloads, die stark von einer tiefen Windows-Integration abhängen. Trend Micro hat mehrere Berichte über dieses Methoden veröffentlicht, dessen Verbreitung durch Telemetriedaten weiter validiert wurde.

PowerShell ist eine Skripting-Sprache und eine Befehlszeilen-Shell auf Basis von .NET-Klassen. Sie unterstützt Systemadmins dabei, Aufgaben im Management von Betriebssystemen zu automatisieren. PowerShell ermöglicht einen einfacheren und schnelleren Zugriff auf das Betriebssystem, sodass Administratoren sowohl lokal als auch aus der Ferne Managementaufgaben für ein System wahrnehmen können.

PowerShell als effizienter Angriffsvektor

Mit Viren infizierte Dateien und bösartige Trojaner sind etablierte Malware-Typen, und die Entwickler verfügen über verschiedene defensive Erkennungs- und Abwehrtechniken, um sich dagegen zu wehren. Browser überprüfen heruntergeladene Dateien, Anwendungen benötigen vor der Installation genehmigte Berechtigungen, und Sicherheitssoftware kann Dateien scannen, um sie auf bekannte Signaturen zu überprüfen. Sogar Malware, die über Microsoft Office-Makros kommt, wird durch Standardeinstellungen blockiert, die eine automatische Ausführung nicht mehr zulassen.

Angreifer können dateilose Malware verwenden, um diese Schutzmechanismen zu umgehen, indem sie Payloads in laufende Anwendungen einschleusen oder Skripting einsetzen. PowerShell ist ein idealer Kanal für die Durchführung dieser Angriffe, da die Shell weit verbreitet ist und über das .NET-Framework auf alle Teile eines Hosts zugreifen kann. Darüber hinaus ist es einfach, Skripts zu entwickeln für die Übermittlung von Payloads, und weil PowerShell eine vertrauenswürdige Anwendung ist, kann sie fast immer Skripts ungehindert ausführen.

Bekannte Angriffe und Infektionen mithilfe von PowerShell

Die Ressourcen für die Verwendung und den Missbrauch von PowerShell sind online einfach verfügbar, so dass böswillige Akteure mit mehr oder weniger raffinierten Methoden darauf zurückgreifen. Seit den ersten Berichten 2014 haben Cyberkriminelle verschiedene Kampagnen durchgeführt und dabei zur Infektion der Systeme Techniken des Social Engineering eingesetzt. Sie kombinierten PowerShell mit anderen Exploits oder replizierten offenbar andere Routinen.

Eine der berüchtigten Kompromittierungen über PowerShell stand im Zusammenhang mit der Veröffentlichung interner Emails des US-Demokratischen Nationalkomitees durch die mutmasslich russische Gruppe Pawn Storm im Jahr 2016. Der Equifax-Diebstahl 2017 zeigte deutlich das Ausmass des Schadens, den böswillige Akteure verursachen können, wenn sie PowerShell für den Missbrauch einer nicht gepatchten Schwachstelle nutzen. 2018 verschickte eine weitere Cyberspionagegruppe APT33 Spear Phishing-Mails an Ziele in der Luftfahrt- und Ölindustrie. Die Anhänge führten einen PowerShell-Befehl aus, der Malware herunterlud und Persistenz im Netzwerk des Opfers herstellte.

Eindämmung und Best Practices

Administratoren können lernen, Aktivitäten zu verfolgen, die enttarnten Events und Payloads zu finden, sie zu überwachen und sich mit ihrem Verhalten vertraut zu machen. PowerShell bietet viele Möglichkeiten zur Aktivitätsprotokollierung. Diese Funktionen lassen sich auch dafür nutzen, den Missbrauch dieses Tools zu erkennen, sich dagegen zu wappnen und die Wirkung zu entschärfen. Diese Protokollierungsfunktionen werden über die Active Directory Group Policy für eine unternehmensweite Implementierung aktiviert. Einzelheiten zu der Handhabung der Funktionen finden Interessierte im Originalbeitrag.

Bei Einbrüchen im Zusammenhang mit PowerShell bedarf es einer hohen Anzahl von Ereignissen, um den für die Analyse von Sicherheitsvorfällen erforderlichen Detaillierungsgrad zu erreichen. In einigen Fällen kann ein einzelner PowerShell-Befehl (Cmdlet) über 30 Events erzeugen. Ein Angriff kann grössere Befehle mit Skriptblöcken und Ausführungen beinhalten, die Ereignisse erzeugen, die jeden Sicherheitsanalysten überfordern können.

Bild 1. Beispiel eines PowerShell-Ereignisprotokolls

Das Log Inspection-Modul in Trend Micro™ Deep Security™ kann verschiedene Betriebssystem- und Anwendungs-Logs über die verschiedenen Hosts und Anwendungen im Netzwerk sammeln, analysieren und anreichern. Es ermöglicht die Korrelation zwischen ihnen, um bei der Aufdeckung von Problemen zu helfen. Auch gibt es von Trend Micro die Rule 1010002 – Microsoft PowerShell Command Execution, die der Analyse aller PowerShell-Ereignisse gewidmet ist.

Bedrohungsakteure versuchen auch immer wieder, PowerShell-Befehle zu verschleiern, indem sie sie codieren. Diese lassen sich jedoch aus den generierten Event decodieren, und die PowerShell Log Inspection-Regel entdeckt und charakterisiert das Event entsprechend.

MITRE ATT&CK

Das MITRE ATT&CK-Framework stellt ein unschätzbares Tool für Cybersicherheitsforscher dar. Durch die umfangreiche Datensammlung und Forschung dient das Framework als Verifizierungsmassnahme zur Bewertung von Techniken, die von den böswilligen Gruppen eingesetzt werden, sowie zur Verfolgung der dokumentierten Entwicklungen der Gruppen. PowerShell-Events, die von Deep Security generiert werden, helfen bei der Angriffsanalyse, indem sie eine Klassifizierung gemäss den entsprechenden ATT&CK-Techniken, die durch das Framework definiert sind, zugewiesen bekommen. Die Trend Micro PowerShell-Regel wurde anhand der MITRE 2019 APT 29 Evaluation geprüft und deckt eine grosse Anzahl der Kriterien ab.

Bild 2. Angebotene MITRE ATT&CK Techniken

Fazit

Die Bequemlichkeit, die das PowerShell-Framework bietet, erleichtert zwar die Aufgaben der Systemadministratoren, bietet aber Cyberkriminellen eine grosse Angriffsfläche. Der Missbrauch legitimer Tools und Funktionen wie PowerShell ist nicht neu, aber er wird sich als cyberkriminelle Taktik in Kombination mit anderen Techniken weiter entwickeln. Dateilose Bedrohungen über PowerShell sind zwar nicht so sichtbar wie herkömmliche Malware und Angriffe, aber sie lassen sich verhindern. Zu allen Themen liefert der Originalbeitrag weitere Einzelheiten sowie Anleitungen für Systemadministratoren.

Auch „traditionelle“ Best Practices, wie etwa Updaten und Patchen von Systemen, helfen gegen diese Angriffe. Aber die sich weiter entwickelnden Sicherheitstechnologien, die eine generationsübergreifende und vernetzte Verteidigung einsetzen, sowie die Entwicklung einer Kultur der Sicherheit und des Sicherheitsbewusstseins bei den Anwendern ermöglichen es IT-Managern und Administratoren, sich dagegen zu verteidigen.

Trend Micro-Lösungen

Trend Micro™ Deep Security™ kann Systeme und Nutzer vor Malware und Angriffen über PowerShell schützen. Die Lösung bietet Netzwerk- und Systemsicherheit, und in Kombination mit Vulnerability Protection kann die Lösung Nutzersysteme vor einer Vielfalt aufkommender Bedrohungen, die Schwachstellen missbrauchen, schützen.

Smart Protection Suites beinhaltet einige Fähigkeiten wie High-Fidelity Machine Learning und Webreputations-Services, die die Auswirkung von persistenten, dateilosen Bedrohungen minimieren. Trend Micro Apex One™ nutzt eine Vielfalt von Erkennungstechniken sowie Verhaltensanalyse, um gegen bösartige Skripts, Einschleusen, Ransomware, Memory- und Browser-Angriffe zu schützen.

Zusätzlich bietet Apex One Endpoint Sensor kontextspezifische Endpunkt-Erkennung und Reaktion (EDR), die Ereignisse überwacht und Prozesse oder Ereignisse mit böswilligen Aktivitäten schnell untersucht. Trend Micro Deep Discovery umfasst einen Email Inspection-Layer, der bösartige Anhänge und URLs erkennen kann. Die Lösung entdeckt Remote-Skripts, auch wenn diese nicht auf den physischen Endpunkt heruntergeladen werden.

Schlagabtausch: der unvermeidliche Cyber-Rüstungswettlauf

von Richard Werner, Business Consultant

Eine treibende Kraft bestimmt die cyberkriminelle Wirtschaft und die Bedrohungslandschaft: Gut gegen Böse, oder besser gesagt, Gesetzeshüter, Forscher, Anbieter und Cybersicherheits-Experten auf der einen Seite und Cyberkriminelle auf der anderen. Dieses Katz-und-Maus-Spiel wird seit fast zwei Jahrzehnten ausgetragen, aber im Zuge der technologischen Innovationen und des gesellschaftlichen Wandels im Allgemeinen scheint es sich in den letzten Jahren beschleunigt zu haben. Nach einer neuen eingehenden Analyse der Cyberkriminalität im Untergrund der letzten Jahre gelangen die Sicherheitsforscher zu dem Schluss, dass die Massnahmen der Strafverfolgungsbehörden die Gegner im Untergrund in Unruhe versetzen. Im Gegenzug aber entwickeln die Kriminellen jedoch ihre Werkzeuge und Taktiken weiter, um eine neue Art von Angriffen zu Geld zu machen.

Die guten Nachrichten zuerst: Die neue Analyse des kriminellen Untergrunds ergab, dass die Schliessung von Dark-Web-Marktplätzen durch die Polizei in den letzten Jahren definitiv Wirkung zeigt. Die Zerschlagung grosser Websites wie AlphaBay, Evolution und Hansa hat bei den Online-Händlern zu Unsicherheit und Paranoia geführt. Obwohl viele Sites noch immer in Betrieb sind, so z.B. Nulled, Joker’s Stash und Hackforums, gibt es keinen einzigen dominanten Anbieter mehr in der Spur der Silk Road. Darüber hinaus klagen die Nutzer über anhaltende Anmeldeprobleme und DDoS-Angriffe, die vermutlich das Werk von Strafverfolgungsbehörden sind.

Als Gesamteffekt dieser Bemühungen der Polizeibehörden hat sich Misstrauen in das Dark Web eingeschlichen. Händler sind nicht nur vor Betrügereien der Administratoren auf der Hut, sondern befürchten auch, dass die Polizei diese Seiten bereits infiltriert haben könnte. Es ist ermutigend zu sehen, dass die viele harte Arbeit und die jahrelange Zusammenarbeit zwischen Polizei und Unternehmen des privaten Sektors wie etwa Trend Micro Wirkung zeigt.

Die Kriminellen schlagen zurück

Cyberkriminelle sind jedoch bekanntermassen einfallsreich und agil. Als Reaktion auf diese Untergrabung des Vertrauens Online entstand eine neue Website namens DarkNet Trust, wo sich der Ruf von Anbietern verifizieren lässt, indem Profile auf verschiedenen Untergrundseiten durchsucht und Benutzernamen und PGP-Fingerabdrücke überprüft werden können. Des Weiteren stellte Joker’s Stash auf Blockchain-DNS um, um der polizeilichen Überwachung zu entgehen, und der P2P-Markt OpenBazaar wirbt mit einer Android- und iOS-App, die es den Benutzern erlaubt, privat zu chatten. Viele Cyberkriminelle nutzen inzwischen den vor allem bei Gamern beliebten Instant Messaging-Dienst Discord, um anonym zu kommunizieren, und viele Dark-Foren und -Marktplätze haben sogar ihre eigenen Discord-Server aufgebaut. Andere benutzen die legitime E-Commerce-Plattform Shoppy.gg, um ihre Waren zu verkaufen.

Cyberkriminelle sind wie eh und je anpassungsfähig und zielen auf Organisationen, die dank veränderter Arbeitsweisen neuen Bedrohungen ausgesetzt sind. Das aufgrund der COVID-bezogenen Beschränkungen weit verbreitete Home Office hat dazu geführt, dass viele Mitarbeiter Rechner benutzen, die nicht so gut geschützt sind wie ihre Pendants im Unternehmen. Zudem sind Nutzer zu Hause stärker abgelenkt, und IT-Sicherheitsteams haben Mühe, all diese neuen Endpunkte zu ermitteln und zu patchen, insbesondere da VPNs mit hoher Belastung zu kämpfen haben.

Es ist damit zu rechnen, dass es weiterhin Betrügereien mit staatlichen Konjunkturfonds geben wird und dass ein breites Interesse an neuen Informationen über das Virus besteht. VPN-Malware und insbesondere DDoS-Dienste werden in der Untergrundwirtschaft ebenfalls stark nachgefragt werden, und immer mehr Angebote von Botnets bestehend aus kompromittierten Heimnetzwerken als Service tauchen auf. Die Sicherheitsforscher gehen auch von der Zunahme gezielter Angriffe aus, die über potenziell ungesicherte Heimcomputer in Unternehmensnetzwerke einzudringen versuchen. Diese Bedrohungen stellen eine Art umgekehrtes BYOD-Szenario dar: Statt dass Nutzer ihre Geräte in den Unternehmensbereich mitbringen, wird das Unternehmensnetzwerk jetzt mit dem Heimnetzwerk zusammengeführt.

Weiterentwicklung der Tools

Wie sieht also die Zeit nach COVID-19 aus? Es ist interessant festzustellen, dass in den letzten fünf Jahren in vielen Bereichen die Preise erheblich gesunken sind: So ist beispielsweise der Preis für Kryptographie-Services von etwa 1000 $/Monat im Jahr 2015 auf heute nur noch 20 $ gesunken. In anderen Bereichen bleiben die Preise jedoch stabil und in einigen steigen sie gar. Fortnite Logins können heute im Durchschnitt für etwa 1.000 $ verkauft werden. Man kann davon ausgehen, dass relativ neue Entwicklungen wie IoT-Botnets und Cyber-Propaganda-Services den kriminellen Verkäufern auch in den kommenden Jahren viel Geld einbringen werden.

Im Moment machen Cyberkriminelle auch hohe Profite mit dem Verkauf von „Access-as-a-Service“. Dies hat sich von Angeboten im Zusammenhang mit dem Remote-Desktop-Protokoll (RDP) zum Verkauf von Zugang zu gehackten Geräten und Unternehmensnetzwerken entwickelt. Ein Bedrohungsakteur verscherbelte Zugriff auf eine US-Versicherungsgesellschaft für 1.999 $ und zu einer europäischen Softwarefirma für 2.999 $.

Der potenziell grösste Wachstumsbereich in der cyberkriminellen Wirtschaft liegt jedoch langfristig in der KI. Künstliche Intelligenz wird bereits in Bot-Services wie Luckybot eingesetzt, die behaupten, Würfel-Wurfmuster auf Glücksspiel-Websites vorhersagen und komplexe Roblox CAPTCHAs lösen zu können. Es wird auch ein potenziell lukrativer Markt für Sextorsions-Angriffe auf der Basis von Deep Fakes entstehen.

Fazit

Die gute Nachricht ist, dass gleichzeitig auch Sicherheitshersteller wie Trend Micro Neuerungen einführen, um nicht nur laufende Angriffe besser aufzudecken, sondern auch Wege zu finden, wie man die Hintermänner aufspüren und ausschalten kann. Es besteht kaum eine Chance, dass dieses Wettrüsten jemals enden wird, aber zumindest haben die letzten Jahre gezeigt, dass wir etwas bewirken und es den Bösewichten schwerer machen können, schnelles Geld zu verdienen.

Den gesamten Bericht finden Interessierte hier.