Archiv der Kategorie: Sicherheitslücken

VirusTotal unterstützt Trend Micro ELF Hash

Originalartikel von Fernando Merces

IoT Malware-Forscher kennen die Schwierigkeiten beim Wechsel von einem bestimmten Malware-Sample zu einem anderen. IoT-Malware-Samples sind schwierig zu handhaben und zu kategorisieren, da sie in der Regel für mehrere Architekturen kompiliert werden. Ausserdem mangelt es an Tools und Techniken zur Untersuchung dieser Art von Dateien. Um IoT- und Linux-Malware-Forscher generell bei der Untersuchung von Angriffen, die ELF-Dateien (Executable and Linkable Format) enthalten, zu unterstützen, gibt es seit April 2020 ELF Hash von Trend Micro (oder auch telfhash). Telfhash ist ein quelloffener Clustering-Algorithmus zur effizienten Cluster-Bildung von Linux IoT Malware-Samples. Einfach gesagt, handelt es sich um ein Konzept, ähnlich dem Import-Hashing (oder ImpHash) für ELF-Dateien. Doch gibt es einige entscheidende Unterschiede zwischen Telfhash und einem Simbol Table Hash. Jetzt hat VirusTotal die Unterstützung für telfhash angekündigt.

VirusTotal war schon immer ein wertvolles Tool für Bedrohungsforscher. Mit telfhash können die Nutzer der VirusTotal Intelligence-Plattform von einer ELF-Datei auf weitere kommen. Telfhash ist für die IoT-Forschung und mehr von Vorteil, denn dieser Clustering-Algorithmus kann auch für jede Linux-bezogene Malware-Untersuchung verwendet werden, wie z.B. die Analyse einiger Angriffe auf Docker-Container, Windows Subsystem für Linux (WSL), Cryptominer, Rootkits und viele andere. Besonders hilfreich kann er auch in Fällen sein, in denen Varianten von Malware zu plattformübergreifenden Bedrohungen werden.

Funktionsweise

Als Beispiel soll eine ausführbare 32-Bit-ELF-Datei dienen, die mit der IoT-Malware Mirai in Verbindung steht. Nachdem der Hash für die Suche verwendet wurde, findet der Nutzer den Telfhash-Wert im „Detail“-Teil des Suchergebnisses. Klickt er diesen Wert an, so kann er ELF-Dateien suchen, die dem telfhash entsprechen.

Bild 1. Ergebnisse der telfhash-Suche

Der „Behavior“-Tab liefert nützliche Informationen zu den gefundenen Samples. Das sind Daten wie kontaktierte IP-Adressen und C&C URLs, die für eine Untersuchung sehr wichtige Netzwerkindikatoren aufzeigen. Dieses Beispiel (weitere Details im Originalbeitrag) zeigt, wie ein Forscher von einem einzigen IoT-Malware Hash auf sieben andere kommen kann.

Bild 2. Der „Behavior“-Tab eines der gefundenen 64-Bit-Samples

Telfhash ist auch über die VirusTotal API erhältlich.

IoT Monitoring-Daten zu Threat Defense umwandeln

Originalartikel von Shimamura Makoto, Senior Security Specialist

Der Sicherheitsbericht zur Jahresmitte 2020 von Trend Micro weist im Vergleich zum zur zweiten Jahreshälfte 2019 eine Steigerung von 70 Prozent bei Angriffen auf Geräte und Router aus. Dazu gehören auch Attacken auf Internet-of-Things (IoT)-Systeme, die in ihrer Häufung beunruhigen. Die Sicherheitsforscher von Trend Micro überwachen die Trends bezüglich dieser Angriffe und untersuchten Mirai und Bashlite (aka Qbot), zwei berüchtigte IoT Botnet-Schädlingstypen. Interessant sind die Zahlen zu den C&C-Servern dieser Botnets, den IP-Adressen und C&C-Befehle. Auch sammelten die Forscher Daten über die bei der Verbreitung der Malware am häufigsten verwendeten Angriffsmethoden und untersuchten die Verteilung ihrer Varianten.

Zu diesem Zweck überwachten sie C&C-Server mit Verbindung zu Mirai und Bashlite. Die IP-Adressen und Ports der C&C-Server wurden durch die Analyse verwandter Malware-Beispiele sowohl aus internen Datenbanken als auch aus externen Open-Source-Informationen, wie z.B. Informationen aus Twitter-Posts, gewonnen.

Tausende aktiver C&C-Server zeigen Häufung von IoT-Angriffen

Mirai-VariantenBashlite-Varianten
Gesammelte C&C-Serverinformationen7.0305.010
C&C-Server, die eine Verbindung akzeptierten2.9511.746
C&C-Server, die mindestens einen DDoS-Befehl absetzten2.1071.715

Tabelle 1. Anzahl der C&C-Server

Die meisten C&C-Server waren inaktiv. Das bedeutet, als sie entdeckt wurden, akzeptierten sie keine Verbindungen. Doch ein Teil der Server (2.951 für Mirai und 1.746 für Bashlite) waren noch „lebendig“ oder aktiv und ein Teil davon gab auch Distributed Denial-of-Service (DDoS)-Befehle an ihre infizierten Clients aus.

Bild 1. Anzahl der C&C-Server, die eine Verbindung akzeptierten

Es ist offensichtlich, dass die Zahl der aktiven C&C-Server nach wie vor hoch ist, obwohl es Jahre her ist, dass diese Malware-Typen zum ersten Mal in der Öffentlichkeit auftauchten (Mirai um 2016 und Bashlite um 2014). Ausserdem fanden sich 573 gemeinsame IP-Adressen unter den C&C-Servern der beiden Malware-Familien, so dass es möglich ist, dass einige Cyberkriminelle sowohl Mirai als auch Bashlite als Werkzeuge verwenden. Möglicherweise wurde die gleiche IP-Adresse auch von einem anderen Cyberkriminellen wiederverwendet.

Hunderte Befehle zeigen die Botnet-Aktivität

Insgesamt fanden die Forscher 3.822 C&C-Server, die DDoS-Befehle ausgaben. Einer der Server, setzte eine ganze Lawine von 64.991 Befehlen ab.

Bild 2. DDoS-Befehle von den C&C-Servern

Neben den in der Grafik dargestellten Daten gab es auch 136 C&C-Server, die über 1.000 Befehle ausgaben. Eine relativ geringe Anzahl von Servern war aktiv, und es scheint, dass einige inaktive C&C-Server entweder nur zu Testzwecken eingesetzt wurden oder nicht gut funktionieren.

Mit Hilfe von WHOIS fanden die Forscher die Organisationen hinter den IP-Adressen von C&C-Servern. Die meisten C&C-Server basierten auf Hosting-Services, einige davon Bulletproof, die von Cyberkriminellen dazu genutzt werden, um C&C-Server zu betreiben, während sie selbst anonym bleiben. Quellcode von IoT-Malware ist im Untergrund erhältlich, und damit ist es für die Kriminellen einfach, Tools für die Angriffe zu erstellen.

Angriffsmethoden von Mirai

Die Mirai-Familien können auf verschiedene Architekturen wie ARM, x86, MIPS, SH4 und andere abzielen. Die Forscher entdeckten fünf Arten von Angriffsmethoden:

RankName der AngriffsmethodeErklärungC&C-Server mit Verbindung zu Samples
1CVE-2017-17215Command injection attack that targets Huawei HG532 router1423
2Password listingThe malware uses hard-coded credentials to log in to devices that have default or weak credentials.607
3CVE-2014-8361Command execution attack using UPnP SOAP vulnerability in Miniigd that targets devices developed with Realtek SDK520
4ThinkPHP 5.0.23/5.1.31 RCEAn attack that exploits remote code injection vulnerability in ThinkPHP 5.0.23/5.1.31422
5CVE-2018-10561CVE-2018-10562Authentication Bypass and Command Injection vulnerabilities in GPON routers173

C&C-Server in Verbindung mit den Mirai-Varianten

Mehrere Malware-Samples stammen von den gleichen Verteilungsservern. In diesem Fall sind die Inhalte der Samples bis auf ihre Zielarchitekturen nahezu identisch.

Bild 3. Verteilung von Mirai-Varianten über C&C-Server (nur Top Strings)

Es zeigte sich, dass die dargestellten 11 Varianten mit insgesamt 5.740 Servern in Verbindung standen. Die Strings, üblicherweise XOR-kodiert, zeigten sich über Sandbox-Analysen der Malware -Samples in Verbindung mit den Servern. (Achtung: Die meisten davon stammen nur aus Open Source-Quellen; daher stimmt die Summe der Zahlen nicht mit den Zahlen in Tabelle 1 überein.) Weitere Informationen bietet auch der Originalbeitrag.

Verwendung der IOC-Daten für besseren Schutz

Um Kunden vor Cyberbedrohungen zu schützen, verwendet Trend Micro die gesammelten Indicators of Compromise (IOCs) für die verschiedenen Systeme des Monitorings, um die Fähigkeit zur Erkennung von Bedrohungen zu verbessern. Die Sicherheitsforscher sammeln URLs für IoT-Malware-Downloads, fügen sie der Web-Reputationsdatenbank hinzu und kennzeichnen sie entsprechend. Dadurch wird verhindert, dass sich die Geräte der Anwender mit solchen bösartigen URLs verbinden. Darüber hinaus erstellen die Forscher proaktiv ein Erkennungsmuster, sobald sie bei der Überwachung ein neues Muster finden.

Verteidigung von IoT-Systemen

Die meisten IoT-Malware-Programme nutzen die Schwachstellen von IoT-Geräten oder anfälligen Zugangsdaten zur Infektion aus. Um zu verhindern, dass sie durch IoT-Malware kompromittiert werden, wird Benutzern empfohlen, die folgenden Best Practices zu befolgen:

  • Keine Standard-Benutzernamen und -Passwörter verwenden: Nutzer sollten stattdessen sichere Passwörter einrichten, die nicht leicht erraten werden können. Dadurch sind Geräte weniger anfällig für Brute-Force-Angriffe oder Passwortlisten.
  • Regelmässig Software-Updates der Hersteller anwenden: Damit werden Schwachstellen behoben, die eine Infektion ermöglichen.
  • Geräte nicht ans Internet anschliessen, wenn es für ihre Funktion unnötig ist: Sie sollten lieber in ein internes Netzwerk unter einem Gateway-Router gestellt werden, um Angreifern den Zugriff darauf zu verwehren.

Folgende Trend Micro-Lösungen sind zum Schutz vor IoT-bezogenen Bedrohungen empfehlenswert:

Security-Strategie – „Take back control”

von Richard Werner, Business Consultant

Ein abgedroschener Slogan aus der politischen Brexit-Kampagne als Titel einer Security-Strategie? Und mehr noch, er unterstellt dem Leser, die Kontrolle verloren zu haben! Leider stimmt er teilweise, denn in letzter Zeit fällt die Häufung der Schlagzeilen auf, die über Unternehmen, Behörden oder öffentliche Einrichtungen als Opfer von Cyber-Attacken berichten. Als Folge oder als Lehre daraus wird regelmässig eine „Umstrukturierung der IT Security“ gefordert. Die Betroffenen haben nachweislich die Kontrolle über Ihre IT Security zumindest für einen gewissen Zeitraum verloren. Haben sie also individuell etwas fundamental falsch gemacht, oder ist der schwerwiegende Ausbruch das offensichtliche Symptom einer schon längst verloren gegangenen Kontrolle?

Der Einsatz von IT in Unternehmen wird zu einem immer wichtigeren Grundpfeiler des Geschäftsmodells. Digitalisierung auf der einen und Mitarbeiter auf der anderen Seite treiben diese Entwicklung weiter voran. Die IT ist dabei oft historisch und vor allem lösungsorientiert gewachsen. In diesem somit vorhandenen Sammelsurium verschiedenster Technologien und Systeme ist die IT-Security mitgewachsen und in den meisten Umgebungen ebenso „vielfältig“. Analysten errechneten 2017, dass grössere Unternehmen im Schnitt Produkte von 80 verschiedenen Sicherheitsanbietern einsetzen. Die Steuerung dieser, zwangsläufig als Silo vorhandenen, also separaten, nicht integrierten Lösungen obliegt sehr oft den Fachabteilungen. Klassisch wird dabei beispielsweise zwischen Netzwerk, Endpoint und Rechenzentrum unterschieden.

Kontrollverlust

Den Kontrollverlust bemerken IT-Sicherheitsverantwortliche oft erst, wenn sie sich mit der Realität eines tatsächlichen Angriffs konfrontiert sehen. Dann allerdings werden die Lücken offenbar. Ist der Angriff kleiner und lokal begrenzt, wird häufig schlicht eine weitere Sicherheitstechnologie eingesetzt. Die dafür ausgegebene Summe steht im direkten Verhältnis zum erzeugten Schaden.

Ist es allerdings ein ernstzunehmender Angreifer, der bewusst Unternehmensnetze infiltriert mit dem Ziel, möglichst breitflächig Systeme zu übernehmen, werden die dramatischen Auswirkungen dieser Strategie richtig deutlich. In der öffentlichen Wahrnehmung sind diese Angriffe mit dem Schädling „Emotet“ verbunden, der seit Anfang 2019 für unrühmliche Schlagzeilen sorgt. Tatsächlich gab es ähnliche Angriffe schon früher, und sie sind weiterverbreitet als vielen bewusst ist. Der Grund, warum Emotet und seine Nachfolger für Schlagzeilen sorgen, ist die Tatsache, dass die Kriminellen hinter den Angriffen bewusst destruktiv auftreten und exorbitante Lösegeldsummen fordern.

Auswirkungen des Kontrollverlusts

Die Herausforderung, der sich betroffene Firmen dabei stellen müssen, ist die Frage, wieso es den Angreifern gelang trotz Security-Technologie in das Netzwerk einzudringen und sich darin auszubreiten. Das Vorgehen der böswilligen Akteure beruht zumeist auf den wohlbekannten „Social Engineering“-Techniken, also dem „Austricksen“ von Menschen und Sicherheitslücken. Die eingesetzte Sicherheitstechnologie erkennt Teile des Angriffs dabei regelmässig. Diese Teile werden auch in den entsprechenden Tools dargestellt und geloggt. Die „Kunst“ der Angreifer dabei besteht darin, in den jeweiligen Silos als unbedeutender Event zu erscheinen, denn so können sie sich oft monatelang in einem Netzwerk ausbreiten.

Es ist nicht nur die Erkennung des Angriffs, die Probleme bereitet. Ist dieser offenkundig, geht es darum, schnell und effizient Gegenmassnahmen zu ergreifen. Auch hier stellt sich die Vielzahl unterschiedlichster Sicherheitslösungen als kontraproduktiv heraus. Nicht zuletzt bedeutet auch die Verteilung der Aufgaben in verschiedenen Fachabteilungen, dass rein menschliche Hürden wie z.B. ungleiche Wissensstände überwunden werden müssen.

Diese Herausforderungen sorgen letztlich für einen enormen Aufwand und nicht selten auch für Frustration.

Kontrolle zurück erlangen

Was bedeutet nun „Take back control“? IT-Security ist zum Glück zumeist eine ziemlich langweilige Aufgabe, von der jeder hofft, dass sie nie spannend wird. Ein „brutaler“ Angriff erfolgt auch nicht täglich, weil die Security-Technologie wesentlich besser als Ihr Ruf ist. Fortschrittliche Lösungen sind darauf ausgerichtet, Auffälligkeiten zu erkennen und Ungewöhnliches zu entdecken. Um dies sinnvoll tun zu können, benötigen sie Informationen aus möglichst vielen Bereichen, die sie dann konsolidieren müssen. Geht es um eine übergreifende Konsolidierung, fällt der Silo-Gedanke weg, dem zufolge eine Abteilung die Security des eigenen Bereiches „mitmacht“. Diese Verantwortung wird zentralisiert, und in grösseren Unternehmen entstehen dabei z.B. Security Operation Center (kurz SOC).

Umbau der Sicherheit

Gerade Unternehmen, die jüngst einen Vorfall zu verkraften hatten, ändern ihre Security-Strategie grundlegend. Im Ernstfall eines Angriffs kommt es vor allem auf Schnelligkeit und Effizienz an. Eigene Teams werden dabei durch externe Spezialisten ergänzt. Ist eine Umgebung historisch gewachsen, wird es zunehmend schwieriger Spezialisten zu finden, die zumindest einen Grossteil der eingesetzten Sicherheitslösungen auf Expertenniveau bedienen können. Auch die Koordination mit unterschiedlichen Supportabteilungen der einzelnen Hersteller erweist sich als Herausforderung. Unternehmen, die diese Erfahrung machen mussten, ändern deshalb in der Regel ihre Strategie hin zu einem sogenannten XDR-Modell. Der grundlegende Gedanke dahinter ist es, die Analyse von Security Events zu automatisieren und mithilfe von künstlicher Intelligenz den Menschen zu entlasten. In einem solchen Modell wird die Anzahl der Hersteller minimiert und einer strategisch gesetzt.

XDR

Das Konzept XDR besagt, dass alle Informationen sowohl aus den Schutzmodulen als auch die „Detection“ (Erkennung) und „Response“ (Gegenmaßnahme) zentral gesteuert werden. Das „X“ wiederum steht für übergreifend (Cross) und bezeichnet die Zusammenführung verschiedener Technologien. Informationen werden durch die Systeme automatisch korreliert und für Menschen verwertbar dargestellt. Alternativ lassen sich auch Gegenmassnahmen automatisieren. Je mehr Tools eines strategischen Herstellers eingesetzt werden, desto genauer ist die Analyse und automatisierbarer sind die Gegenmaßnahmen. Aber nicht nur die Technik bietet Vorteile. In einer Notfallsituation minimiert das Anwenderunternehmen auch die Anzahl der zuständigen Kontakte und Supportstellen. Gleichzeitig ist auch für die eigenen Mitarbeiter die Bedienung zentralisierter Konsolen einfacher und überschaubarer. Abgesehen davon kann in der Regel durch Einsparungen bei z.B. Lizenzen, Schulungen und anderen Managementkosten neben einer verlässlichen IT-Security auch der ROSI (Return of Security Investment) verbessert werden.

Trend Micro-Lösungen

Trend Micro gehört mit nun über 30 Jahren Erfahrung zu den Pionieren der IT-Security und weiss, dass sich Sicherheit konstant weiter entwickeln muss. Der Anbieter gehört folgerichtig auch zu den ersten, die einen XDR Ansatz bieten.

Trend Micro™ XDR sammelt und korreliert detaillierte Aktivitätsdaten für mehrere Vektoren – E-Mail, Endpunkte, Server, Cloud-Workloads und Netzwerke. Dies ermöglicht ein Ausmass an Erkennung und Untersuchung, das mit SIEM oder individuellen Punktlösungen nur schwer oder gar nicht zu erzielen ist. Dies ermöglicht ein Ausmass an Erkennung und Untersuchung, das mit SIEM oder individuellen Punktlösungen nur schwer oder gar nicht zu erzielen ist. Kombinierter Kontext macht Ereignisse, die für sich betrachtet harmlos erscheinen, plötzlich zu wichtigen Indikatoren für Gefährdungen. So können Sie die Auswirkungen schnell eindämmen und den Schweregrad und Umfang minimieren.

XDR stellt einen SIEM-Konnektor für die Weiterleitung von Warnungen bereit. Die Korrelierung von Ereignissen aus Trend Micro Produkten führt zu weniger, jedoch zuverlässigeren Warnungen und reduziert den Sichtungsaufwand für Sicherheitsanalysten. Nach dem Klick auf eine SIEM-Warnung können Analysten auf die Untersuchungs-Workbench von XDR zugreifen, um weitere Daten zu erhalten, das Ereignis detaillierter zu analysieren und die notwendigen Massnahmen zu ergreifen.

„Zerologon”und die Bedeutung von Virtual Patching

von Trend Micro

Die vor kurzem veröffentlichte CVE namens „Zerologon“ (CVE-2020-1472) schlägt hohe Wellen. Über Zerologon können Angreifer den Kryptographiealgorithmus im Netlogon Authentifizierungsprozess ausnutzen und die Identität eines beliebigen Computers annehmen, wenn dieser sich beim Domänen-Controller authentifiziert. Einfacher gesagt, erlaubt diese Sicherheitslücke im Netlogon Remote Protocol (MS-NRPC) Angreifern, ihre Anwendungen auf einem Gerät im Netzwerk auszuführen. Ein nicht authentifizierter böswilliger Akteur könnte MS-NRPC dazu nutzen, sich mit einem Domain Controller (DC) zu verbinden und einen administrativen Zugang zu erlangen.

Laut Dustin Childs von der Zero-Day-Initiative (ZDI) ist das Schlimmste daran, dass es „keinen vollständigen Fix gibt“. Dieser Patch ermöglicht es DCs, Geräte zu schützen, aber um diesen Fehler vollständig zu beheben, bedarf es eines zweiten Patch, der derzeit für Q1 2021 geplant ist, der einen sicheren Remote Procedure Call (RPC) mit Netlogon erzwingen soll.. Doch auch nach Anwendung dieses Patch müssen noch Änderungen am DC vorgenommen werden, so der ZDI-Experte. Microsoft hat Anleitungen veröffentlicht, die Administratoren bei der Auswahl der richtigen Einstellungen helfen sollen.

Eigentlich sollte man davon ausgehen können, dass ein vorhandener Patch das Problem einfach löst. Doch die Idee des „einfachen Patchens“ ist nicht so simpel wie sie klingt – siehe auch den Blogeintrag von Dustin Childs dazu. Die durchschnittliche Mean Time to Patch (MTTP) beträgt 60 bis 150 Tage. Diese CVE wurde Anfang August veröffentlicht, sodass die Implementierung des Patches zwischen Oktober 2020 und Januar 2021 zu erwarten ist. Das heisst, Unternehmen sind bis dahin zwei bis fünf Monate lang bekannten Bedrohungen ausgeliefert.

Es heisst, dass nach der Veröffentlichung von Patches für neue CVEs von Microsoft und Adobe an jedem ersten Dienstag eines Monats die Angreifer an die Arbeit gehen und Exploits schreiben, die die Fehler ausnutzen, bevor die Patches aufgespielt wurden.

Schutz für Unternehmen

Trend Micro kann diese Zeiten, bis ein Patch aufgespielt wurde, über virtuelles Patching überbrücken. Die Technik liefert einen zusätzlichen Sicherheits-Layer, um vor Schwachstellen zu schützen, bis ein offizieller Anbieter-Patch angewendet wurde. Wie schon die Bezeichnung vermuten lässt, funktioniert der Schutz wie ein Patch, der für die Sicherheit der Umgebung sorgt, sollte jemand versuchen, die Schwachstelle auszunutzen. Virtuelle Patches können zum wichtigen Sicherheitsnetz werden.

Trend Micro kann mit virtuellem Patching vor Zerologon und tausenden anderen Sicherheitslücken schützen. Dank der ZDI sind die TippingPoint-Kunden bereits 81 Tage bevor ein Patch veröffentlicht wird geschützt, denn sobald eine Sicherheitslücke der ZDI gemeldet wird, beginnt das Team an dem Schutz vor der Lücke zu arbeiten.

Unternehmenssicherheit in Gefahr durch das neue flexible Arbeiten

von Trend Micro

COVID-19 hat die Welt in den letzten Monaten auf verschiedene Weise verändert, am deutlichsten jedoch ist der schnelle Wechsel zu Remote Working infolge der durch Regierungen verhängten Lockdown-Massnahmen zu beobachten gewesen. Trend Micro hat im Rahmen einer Umfrage die Gewohnheiten von Arbeitnehmern im Homeoffice während der Pandemie untersucht. Offiziellen Zahlen des Bitkom zufolge arbeitete infolge der Corona-Pandemie jeder zweite Berufstätige (49%) ganz oder zumindest teilweise im Homeoffice. Obwohl dies zur Unterstützung der Produktivität unter aussergewöhnlichen Umständen unerlässlich war, droht es auch, Organisationen neuen Cybersicherheitsrisiken auszusetzen.

Das Problem mit dem Smart Home

Für den Bericht „Head in the Clouds“ wurden mehr als 13.000 Remote-Mitarbeiter in 27 Ländern weltweit (davon 504 in Deutschland) befragt. Obwohl viele vorgeben, Cybersicherheit heute ernster zu nehmen, ist die Wahrheit etwas anders geartet. Eines der Hauptrisiken, laut Studienergebnissen, entsteht durch Smart Home-Systeme.

Smart Home-Geräte sind heutzutage allgegenwärtig – von Smart TVs und Home Sicherheitssysteme bis zu vernetzten Lautsprechern und Wasserkochern. Sie sind darauf zugeschnitten, den Alltag einfacher, sicherer und produktiver zu gestalten. Doch hat eine Studie der Postbank 2019 gezeigt, dass nahezu jeder Dritte deutsche Haushalt einen digitalen Sprachassistenten nutzt.

Diese Gadgets weisen bekanntermassen Schwachstellen auf, wie z.B. Firmware-Fehler und werkseitig voreingestellte Logins, die leicht zu knacken sind. Bot-Angriffe wie Mirai und seine Nachfolger haben diese Schwächen sehr erfolgreich ausgenutzt, insbesondere bei Produkten weniger bekannter Marken.

Doch über das blosse Kompromittieren und Einbinden eines anfälligen Geräts in ein Botnet hinaus gibt es potenziell noch ausgefeiltere Möglichkeiten für funktionierende Angriffe. Die Studienautoren fanden heraus, dass mehr als die Hälfte 62% der Remote-Mitarbeiter in Deutschland IoT-Geräte besitzen, die mit dem Home-Netzwerk verbunden sind, wobei 7% weniger bekannte Marken einsetzen. Diese Geräte könnten theoretisch gekapert werden, um einem Angreifer Zugang zu einem Heimnetzwerk zu verschaffen. Und dann ist es nur ein kurzer Weg bis ins Firmennetzwerk, über Laptops oder PCs, die ebenfalls miteinander vernetzt sein können.

Unternehmen unter Beschuss

Ein Angriff auf ein Unternehmen stellt für die Akteure nicht unbedingt eine einfache Aufgabe dar, doch wird sie erleichtert, wenn Laptops und andere Geräte mit Unternehmenszugriff schlecht gesichert sind. Zwei Fünftel (45%) der deutschen Studienteilnehmer erklärten, dass sie von persönlichen Geräten aus auf Unternehmensdaten zugreifen. Diese Geräte sind häufig weniger gut geschützt als die im Unternehmen: So erklärten 52% der Remote-Mitarbeiter kein aktives Passwort für ihr Geräte zu nutzen.

Des Weiteren greifen 65% der Remote-Mitarbeiter von ihrem Arbeits-Laptop auf das Heimnetzwerk zu. Diese sollten zwar sicherer sein, aber es gibt keine Garantie dafür, vor allem, wenn Manager sie schnell ausgeben, ohne dass die IT-Abteilung Zeit hat zu prüfen, ob AV vorinstalliert ist. Nicht alle IT-Sicherheitsfunktionen sind in der Lage, solche Geräte aus der Ferne zu verwalten. Eine kürzlich veröffentlichte Studie liefert beunruhigende Zahlen: 93% der Unternehmen weltweit haben derzeit Sicherheitsaufgaben verschoben, so etwa Patching während der Pandemie.

All dies geschieht zu einer Zeit, in der Cyberkriminelle es auf abgelenkte Remote-Mitarbeiter als potenziell schwaches Glied in der Cybersicherheitskette von Unternehmen abgesehen haben. Im Mai sah sich das National Cyber Security Centre (NCSC) gezwungen, ein Adisvory nicht nur bezüglich Phishing-Angriffen unter dem COVID-Thema, sondern auch für Angriffe auf Remote-Access-Infrastrukturen herauszugeben.

Was nun?

So vorhersehbar es auch klingt, die Antwort liegt in dem bewährten Trio aus Menschen, Verfahren und Technologie. Als erstes geht es um die Menschen, die ein verbessertes Awareness-Training erhalten müssen. Dieses sollte auf verschiedene Persönlichkeitstypen zugeschnitten sein, um die Wirksamkeit zu maximieren.

Als Nächstes sollten sich Unternehmen auf die Neugestaltung und Durchsetzung von Sicherheitsrichtlinien und -prozessen konzentrieren, um der neuen Realität der Heimarbeit Rechnung zu tragen und sicherzustellen, dass die Mitarbeiter sich an die Vorschriften halten. Sie müssen die Bedrohung, die von intelligenten Heimnetzwerken und persönlichen Geräten ausgeht, kennen und wissen, wie sie diese mindern können, z.B. durch Isolierung von IoT-Geräten in Gastnetzwerken.

Schliesslich sollten Organisationen sicherstellen, dass alle Endpunkte und Heimnetzwerke der Mitarbeiter angemessen geschützt sind. Cloud-basierte Tools können einen Grossteil der Arbeit leisten, um Kosten zu minimieren und den Verwaltungsaufwand für überlastete IT-Teams zu verringern.

Der Lebenszyklus eines kompromittierten (Cloud) Servers

Originalbeitrag von Bob McArdle

Trend Micro Research hat ein breit angelegtes Forschungsprojekt zum cyberkriminellen Hosting und zur Infrastruktur im Untergrund durchgeführt. Ein erster Report dazu beschäftigte sich mit dem Angebot von Hacker-Infrastrukturen im Untergrund. In dem aktuellen zweiten Teil geht es um den Lebenszyklus von kompromittierten Servern und den verschiedenen Phasen, um daraus Gewinn zu schlagen. Es gilt dabei zu beachten, dass es für Kriminelle keine Rolle spielt, ob der Server On-Premise oder in der Cloud betrieben wird.

Cloud- versus On-Premise-Server

Cyberkriminellen ist es gleichgültig, wo sich die Server befinden. Sie können den Speicherplatz und die Rechenressourcen ausnutzen oder Daten stehlen, egal auf welche Art von Server sie zugreifen. Alles, was am meisten exponiert ist, wird höchstwahrscheinlich missbraucht.

Mit fortschreitender digitalen Transformation und zunehmendem Arbeiten von zuhause werden Cloud-Server am wahrscheinlichsten Bedrohungen ausgesetzt. Leider sind viele IT-Teams in Unternehmen nicht darauf eingerichtet, für die Cloud denselben Schutz zu bieten wie für On-Premise-Server.

Die Forscher betonen, dass dieses Szenario nur für Cloud-Instanzen gilt, die die Speicher- oder Verarbeitungsleistung eines lokalen Servers replizieren. Container oder serverlose Funktionen fallen nicht der gleichen Art von Kompromittierung zum Opfer. Wenn der Angreifer das Cloud-Konto kompromittiert – im Gegensatz zu einer einzelnen laufenden Instanz – entsteht ein völlig anderer Angriffszyklus, da die Angreifer Rechenressourcen nach Belieben in Anspruch nehmen können. Obwohl dies möglich ist, liegt der Fokus der Erforschung nicht darauf.

Alarmsignale für einen Angriff

Viele IT- und Sicherheitsteams suchen möglicherweise nicht nach früheren Stadien des Missbrauchs. Bevor Server jedoch von Ransomware betroffen sind, gibt es andere Alarmsignale, die die Teams auf die Bedrohung aufmerksam machen könnten.

Wenn ein Server kompromittiert und für Kryptowährungs-Mining (auch als Kryptomining bekannt) verwendet wird, kann dies eine der grössten Alarmsignale für das Sicherheitsteam sein. Die Entdeckung von Cryptomining Malware, die auf irgendeinem Server läuft, sollte dazu führen, dass das Unternehmen unverzüglich Massnahmen ergreift und eine Reaktion auf den Vorfall (Incident Response) einleitet, um diesen Server zu sperren.

Dieser Indicator of Compromise (IOC) ist wichtig, denn obwohl Cryptomining-Malware im Vergleich zu anderen Malware-Typen häufig als weniger schwerwiegend angesehen wird, dient sie auch als Taktik zum Geld machen. Sie kann im Hintergrund laufen, während der Serverzugriff für weitere bösartige Aktivitäten verkauft wird. Beispielsweise könnte der Zugang für die Nutzung als Server für unterirdisches Hosting verkauft werden. Gleichzeitig könnten die Daten exfiltriert und als persönlich identifizierbare Informationen (PII) oder für Industriespionage verkauft werden, auch könnten sie für einen gezielten Ransomware-Angriff verscherbelt werden. Dieses Szenario nutzen zumindest einige Access-as-a-Service (AaaS)-Kriminelle als Teil ihres Geschäftsmodells.

Lebenszyklus eines Angriffs

Attacken auf kompromittierte Server folgen einem allgemeinen Muster:

  • Ursprüngliche Kompromittierung: In dieser Phase ist es klar, dass ein Krimineller den Server übernommen hat.
  • Asset-Kategorisierung: Dies ist die Phase der Bestandsaufnahme. Der Kriminelle nimmt seine Einschätzung anhand von Fragen vor, wie etwa: Welche Daten befinden sich auf diesem Server? Besteht die Möglichkeit einer lateralen Bewegung zu etwas Lukrativerem? Wer ist das Opfer?
  • Exfiltrierung sensibler Daten: Der Kriminelle stiehlt unter anderem Unternehmens-E-Mails, Client-Datenbanken und vertrauliche Dokumente. Dies kann jederzeit nach der Kategorisierungsphase passieren, wenn der Angreifer etwas Wertvolles entdeckt hat.
  • Kryptowährungs-Mining: Während der Angreifer einen Kunden für den Serverraum, einen Zielangriff oder andere Mittel zur Geldgewinnung sucht, wird Cryptomining eingesetzt, um im Verborgenen Geld zu verdienen.
  • Wiederverkauf oder Nutzung für gezielte Angriffe mit dem Ziel, mehr Geld zu verdienen: Abhängig davon, was der Kriminelle bei der Kategorisierung der Assets findet, könnte er seinen eigenen gezielten Ransomware-Angriff planen, den Serverzugang für Wirtschaftsspionage oder für weitere Zwecke verkaufen.

Der Lebenszyklus eines kompromittierten Servers bezüglich der Möglichkeiten Gewinn daraus zu ziehen

Häufig ist der Einsatz gezielter Ransomware die letzte Phase. In den meisten Fällen zeigt die Kategorisierung der Assets Daten auf, die zwar für das Unternehmen wertvoll sind, die sich jedoch nicht unbedingt für Spionage eignen.

Ein tiefgreifendes Verständnis der Server und des Netzwerks ermöglicht es Kriminellen hinter einem gezielten Ransomware-Angriff, das Unternehmen dort zu treffen, wo es am meisten schmerzt. Diese Kriminellen kennen den Datenbestand, wissen, wo sie sich befinden, ob es Backups der Daten gibt und vieles mehr. Mit einer so detaillierten Blaupause der Organisation können sie kritische Systeme abriegeln und ein höheres Lösegeld fordern. Das zeigt auch der Halbjahresbericht 2020 von Trend Micro.

Darüber hinaus hat zwar ein Ransomware-Angriff die sichtbare Dringlichkeit für die Abwehr, aber derselbe Angriff könnte auch darauf hinweisen, dass etwas weitaus Schwerwiegenderes wahrscheinlich bereits stattgefunden hat: der Diebstahl von Unternehmensdaten, und dies ist bei der Reaktionsplanung des Unternehmens zu berücksichtigen. Noch wichtiger ist, dass sobald ein IOC für Krypto-Währung gefunden wurde, das Unternehmen in der Lage ist, den Angreifer sofort zu stoppen, um später erhebliche Zeit und Kosten zu sparen.

Letztendlich ist die Sicherheit der Hybrid-Cloud von entscheidender Bedeutung, um diesen Lebenszyklus zu verhindern, unabhängig davon, wo die Daten eines Unternehmens gespeichert sind.

Trend Micro Halbjahresbericht 2020: Sicherheit in pandemischen Zeiten

von Trend Micro

Die Covid-19-Pandemie hat die Cybersicherheitslandschaft in der ersten Hälfte 2020 stark geprägt. Während sich die Menschen an neue Arbeits- und Schulumgebungen anpassten, mussten Unternehmen für ihre Mitarbeiter Setups für die Arbeit zu Hause (Work-from-Home, WFH) schaffen und dabei dafür sorgen, dass deren Systeme auch sicher sind. Böswillige Akteure machten sich die Situation zunutze, indem sie das Thema Covid-19 für ihre Angriffe nutzten. Gruppen von Bedrohungsakteuren setzten ihre Kampagnen fort und dehnten ihre Reichweite auf neue Ziele und Plattformen aus, während sich die Betreiber von Ransomware weiterhin auf gezielte Angriffe konzentrierten. Trend Micro gibt in einer Zusammenfassung zur Jahresmitte 2020 den Überblick über die Trends und Ereignisse der ersten Jahreshälfte.

Böswillige Akteure haben schon immer gesellschaftlich relevante Ereignisse zur Durchsetzung ihrer Pläne genutzt, und bei Covid-19 ist das nicht anders. Die Sicherheitsforscher fanden eine Vielzahl von Vorfällen, in denen Cyberkriminelle pandemiebezogene Köder für ihre bösartigen Aktivitäten einsetzten, von relativ harmlosen Betrugsmaschen bis hin zu destruktiven Kampagnen, die fortgeschrittene Malware verbreiteten.

Der abrupte Wechsel auf WFH-Setups stellte Unternehmen vor zahlreiche Herausforderungen. Abgesehen von der Notwendigkeit, den Mitarbeitern die für die Aufrechterhaltung des Betriebs benötigten Werkzeuge zur Verfügung zu stellen, hatten Unternehmen mit Fragen der Kommunikation, Konnektivität und sogar der Zuweisung von IT-Ressourcen zu kämpfen.

Bild 1. Zahl und Verbreitung von Covid-19-Bedrohungen in der ersten Hälfte 2020

Ransomware-Betreiber konzentrieren sich auf ausgewählte Ziele

Ransomware hat sich von seinen opportunistischen Wurzeln, zu denen nicht personalisierte Spam-Kampagnen gehörten, zu einem gezielteren Ansatz entwickelt, bei dem oft der Diebstahl von Credentials und andere komplexe Techniken eingesetzt werden, um das Zielsystem zu kompromittieren. Die Hauptopfer dabei sind Organisationen, die viel zu verlieren haben und in der Lage sind, hohe Lösegeldforderungen zu erfüllen. Darüber hinaus stellten die Forscher auch einen wachsenden Trend fest, bei dem Betreiber von Ransomware ihren Opfern mit der Veröffentlichung ihrer Daten drohen, falls das Lösegeld nicht bezahlt wird.

Bild 2. Halbjahresvergleich der Anzahl der entdeckten Ransomware-bezogenen Komponenten (Dateien, Emails und URLs)

Schwachstellen sind weiterhin ein relevantes Problem

Mit der Verlagerung hin zur Remote-Arbeit ist das Patching wichtiger denn je. In der ersten Jahreshälfte wurde eine grosse Anzahl veröffentlichter und gepatchter Schwachstellen gemeldet, darunter mehrere kritische Fehler, die bereits in der Praxis ausgenutzt wurden. Für die Unternehmen könnte dies zu einer zusätzlichen Arbeitsbelastung ihres IT-Personals führen, das diese Updates implementieren und darüber hinaus sicherstellen muss, dass die IT-Infrastruktur des Unternehmens unter den neuen Arbeitsumgebungen so nahtlos wie möglich funktioniert.

Zwischen Ende 2019 und Anfang 2020 wurden zwei verschiedene Gruppen von Schwachstellen entdeckt, die Industrial Internet of Things (IIoT)-Geräte betreffen. Solche Sicherheitslücken könnten einen erheblich schädlichen Einfluss auf betroffene Branchen und Organisationen haben und zu möglichen zukünftigen Regelungen für das IIoT im Allgemeinen führen.

Bild 3. Halbjahresvergleich der Anzahl der Schwachstellen, die das ZDI-Programm veröffentlicht hat

Mehrschichtige Sicherheit als Verteidigung vor heutigen vielfältigen Bedrohungen

Die Herausforderungen im Bereich der Cybersicherheit, denen viele Organisationen in der ersten Hälfte des Jahres 2020 ausgesetzt waren, beweisen, dass eine mehrschichtige Lösung, die eine Mischung aus Fähigkeiten zur Bedrohungsabwehr bieten kann, am besten für eine umfassende Sicherheitsimplementierung geeignet ist, die sowohl in Büro- als auch in Privatumgebungen funktioniert.

Weitere Einzelheiten liefert der Report:

Unsichere gRPC-Implementierungen können APIs gefährden

Originalartikel von David Fiser, Security Researcher

Unternehmen setzen immer häufiger Microservice-Architekturen für ihre Anwendungen ein, weil diese Dienste ein effizientes Infrastrukturmanagement ermöglichen, Updates und Verbesserungen können einfacher bereitgestellt und Anwendungen auf Wunsch skaliert werden. Im Zuge dieses Architekturwechsels entsteht auch die Notwendigkeit einer effizienten Kommunikation zwischen den Microservices. Diese kritische und komplexe Kommunikation zwischen Client- und Server-Anwendungen lässt sich mit gRPC, einem universellen Remote Procedure Call (RPC)-Framework, bewerkstelligen. Obwohl es noch recht neu ist (2015 von Google entwickelt), hat das Framework schnell an Popularität gewonnen. Doch können noch Sicherheitsfragen entstehen, wenn Entwickler gRPC in ihre Projekte aufnehmen. Und da gRPC APIs eine wichtige Rolle für die allgemeine Anwendungssicherheit spielen, liefert Trend Micro auch Empfehlungen für den Schutz von gRPC-Implementierungen.

gRPC kann für das Design neuer Protokolle verwendet werden, die Genauigkeit, Effizienz und Sprachunabhängigkeit erfordern, denn das Framework unterstützt mehrere Sprachen sowohl für Server als auch für Clients. Es handelt sich um ein Cloud Native Computing (CNCF)-Projekt und wird in grossen Unternehmen wie Netflix, dem Finanzdienstleister Square und der Platform-as-a-Service (PaaS) Docker eingesetzt.

gRPC lässt sich mit anderen RPC Frameworks wie SOAP und REST vergleichen. Obwohl RESTful-APIs weit verbreitet sind und typischerweise HTTP verwenden, um Informationen zwischen Anwendungen oder Diensten und dem JavaScript Object Notation (JSON)-Datenformat auszutauschen, haben gibt es Einschränkungen hinsichtlich Leistung und textbasierter Ausrichtung. Viele Unternehmen haben ihre APIs von REST auf gRPC migriert, um die Vorteile des Binärprotokolls von gRPC zu nutzen. gRPC verwendet standardmässig als darunterliegende Schicht HTTP/2, ein binärbasiertes Protokoll. HTTP/2 unterstützt mehrere Streams und Anfragen innerhalb einer TCP-Verbindung. Weitere Einzelheiten bietet der Originalbeitrag.

Bild 1. Arbeitsweise des gRPC Framework in einer Online Shopanwendung mit Produkt- und Bezahlservices, die über ein API interagieren

Mögliche Bedrohungen und Risiken für gRPC

Sicherheitslücken

gRPC unterstützt mehrere Programmiersprachen. Es gibt zwei Arten von Implementierungen, die innerhalb der unterstützten Sprachen verwendet werden: Implementierungen, die die Sprache selbst verwenden, und Wrapper um den von gRPC geschriebenen C-Code.  Diese Wrapper ermöglichen die Übersetzung von in verschiedenen unterstützten Sprachen geschriebenen Aufrufen in C-Aufrufe. Die Wahrscheinlichkeit, dass ein Entwickler eine Schwachstelle in das System einführt, ist hoch, da mehr Funktionen zusammen mit Memory-Managementfunktionen implementiert werden müssen. Auf der anderen Seite verringert die Verwendung von Sprachen wie Java oder Go, die bereits viele Funktionalitäten implementiert haben und sich auch um Fragen der Speicherverwaltung kümmern, die Wahrscheinlichkeit von potenziellen Fehlern. Insbesondere die Bedeutung der Auswahl geeigneter Sprachen könnte eine wichtige Rolle bei der Erhöhung der Sicherheit von Systemen spielen. Eine Übersicht im Originalbeitrag.

Unsichere Datenübertragungskanäle und Zugangsdaten dafür

Es ist sehr wahrscheinlich, dass bei einem Remote Procedure Call Daten zum Zielserver übertragen werden. Deshalb sollten Entwickler auf die Einrichtung sicherer Kanäle für die Datenübertragung achten. Dadurch werden nicht nur Datenlecks verhindert, sondern auch Man-in-the-Middle (MiTM)-Angriffe, über die Angreifer Servicedaten leaken könnten. Ein Data Leak kann Implementierungsdetails zum Service oder zur Infrastruktur öffentlich machen und somit weitere Angriffe ermöglichen oder zur Kompromittierung der Infrastruktur oder des Service führen.

Es liegt in der Verantwortung des Entwicklers, eine sichere Implementierung unter den verschiedenen Authentifizierungsmechanisem zu wählen. Das Kopieren und Einfügen von Patterns mit Schlüsselwörtern wie „InsecureChannelCredentials“ sollte vermieden werden. Eine Code-Suche auf Github.com nach dem Schlüsselwort „InsecureChannelCredentials“ und C++ (für gRPC üblich) gab über 11.000 Code-Ergebnisse. Wahrscheinlich sind diese vielen Suchvorgänge mit Demos und Beispielen verbunden. Dennoch gibt es immer noch einige Projekte, die diese verwenden.

Probleme bei der Procedure-Implementierung

Die grösste Schwachstellenfläche befindet sich innerhalb der Remote Procedure-Implementierung. Für nicht sehr erfahrene Entwickler empfiehlt es sich, Memory-sichere Sprachen zu verwenden, um Fehler in der Speicherverwaltung wie Buffer Overflows oder UaF-Fehler Used After Free) zu vermeiden, die zu einer Remote Code Execution führen. Doch durch diese Massnahme werden logische Fehler, die im Code auftauchen könnten, nicht vermieden. Dafür müssen Entwickler einen hohen Standard in Entwicklungsprozesse setzen, den Best Practices für sichere Softwareentwicklung folgen und proaktive Kontrollmechanismen installieren, gemäss den OWASP Top 10 Proactive Controls-Empfehlungen in den OWASP Secure Coding Practices.

Ein zentralisierter Authentifizierungsmechanismus für kritische Teile des Systems wird auch innerhalb isolierter Netzwerke oder privater Clouds dringend empfohlen. Im Fall von Fehlkonfigurationen kann die Ausnutzung von Schwachstellen innerhalb der Umgebung als Einstiegspunkt für einen unberechtigten Zugriff dienen, der den gRPC-Dienst erheblich beeinträchtigen könnte.

Die Fachleute raten auch davon ab, gRPC-Authentifizierungsdetails in Supply-Chain-Management-Systemen (SCM), insbesondere in öffentlich zugänglichen Systemen, hart zu codieren oder sie dort vorzuhalten. Sie sollten an einem sicheren Ort gespeichert und nur bei Bedarf abgerufen werden.

Denial-of-Service-Angriffe

gRPC lässt sich sowohl als „versteckter“ Messaging Service in einer isolierten Umgebung als auch als API-Ersatz in der Öffentlichkeit zugewandten REST API-Services einsetzen. Es gibt einen bereits bekannten und dennoch nicht gefixten Bug, der Service-Aufrufe ablehnt, bis der Service neu gestartet wird. Der Fehler wird angestossen, wenn eine höhere Zahl von Verbindungen in kurzer Zeit geöffnet werden. Weitere technische Details und Empfehlungen für einen Workaround bietet der Originalbeitrag.

Sicherheitsempfehlungen für gRPC

gRPC bietet einen umfassenden Leitfaden zu den unterstützten Authentifizierungsmechanismen, die mit dem Protokoll arbeiten, so etwa SSL/TLS mit und ohne Google Token-basierter Authentifizierung. Entwickler können auch ihr eigenes Authentifizierungssystem über das Credentials Plugin-API anschliessen.

Auch sollten Sicherheitslösungen zum Einsatz kommen, die Inhalte prüfen, sodass keine bösartige Payload das System über die Nachrichten, die vom Client auf den Server und umgekehrt gehen, infiltrieren kann. Die Lösungen müssen dafür sorgen, dass kritische Daten in Transit sicher sind, den Status eines Service im Auge behalten und Authentifizierung und Autorisierung durchsetzen.

Trend Micro-Lösungen

Die Service-Plattform Trend Micro Cloud One™ , die Trend Micro™ Hybrid Cloud Security unterstützt, ermöglicht es Entwicklern, Anwendungen auf ihre Art zu entwickeln und zu betreiben. Sie umfasst Mechanismen, die über vorhandene Infrastruktur, Tool-Ketten und Anforderungen hinweg arbeiten.

Application Security von Cloud One liefert diagnostische Einzelheiten zu Code-Schwachstellen sowie Schutz vor automatisierten Angriffen über Bedrohungen wie SQL Injection und RCE zur Laufzeit. Darüber hinaus gibt es eine vollständige Abdeckung und Berichterstattung über jede Angriffsinstanz sowie Einblicke in die Identität eines Angreifers und die Angriffsmethodik.

Cloud One bietet ausserdem die folgenden Cloud-Sicherheitstechnologien an:

Happy Birthday: 15 Jahre Zero Day Initiative (ZDI)

Originalbeitrag von Brian Gorenc

In diesem Jahr wird die ZDI 15 Jahre alt. Alles begann 2005, als 3Com ein neues Programm namens Zero Day Initiative ankündigte. Geplant war, Forscher, die bisher unbekannte Software-Schwachstellen („Zero-Day-Schwachstellen“) entdecken und sie verantwortungsbewusst offenlegen, finanziell zu belohnen. Die Informationen über die Schwachstelle sollten genutzt werden, um Kunden frühzeitig mithilfe von TippingPoint IPS (Intrusion Prevention System)-Filtern zu schützen, während die ZDI mit dem Hersteller des betroffenen Produkts zusammenarbeitete, um die Schwachstelle zu beheben. In dem Jahr veröffentlichte die ZDI gerade mal ein Advisory zu Symantec VERITAS NetBackup. Fünfzehn Jahre später sind es mehr als 7.500 Advisories, und die ZDI hat sich zum weltweit grössten herstellerunabhängigen Bug-Bounty-Programm entwickelt.

Von einer 15-jährigen Reise zu sprechen, ist eine Untertreibung. Es gab einige Höhen und Tiefen, aber das Programm ist stärker denn je und befindet sich auf Kurs zum bislang erfolgreichsten Jahr des Bestehens. Daher ist es der richtige Zeitpunkt, um einen Blick zurück auf einige der bemerkenswerteren Ereignisse zu werfen.

2005 – 2010

2006 kaufte die ZDI nur zwei Apple-Bugs, 2010 waren es bereits 52. Java-Bugs, insbesondere Sandbox Escapes waren zu der Zeit ebenfalls beliebt. Es fühlt sich etwas merkwürdig an, auf den Wechsel vom Kauf von Bugs in dem, was man einfach „Java“ nannte, solchen in „Sun Microsystems Java“ und schliesslich zu Bugs in „Oracle Java“ zurück zu blicken.

In dieser Zeitspanne fiel auch der erste Pwn2Own-Wettbewerb 2007. Damals galten Apple-Geräte als unüberwindbar. Doch scharfsinnige Sicherheitsforscher wussten es besser, und Dino Dai Zovi bewies dies und gewann ein MacBook sowie 10.000 $. Seither ist der Wettbewerb exponentiell gewachsen. Inzwischen gibt es drei verschiedene Wettbewerbe: Pwn2Own Vancouver, der sich auf Unternehmenssoftware konzentriert; Pwn2Own Tokio, der sich auf Verbrauchergeräte konzentriert und Pwn2Own Miami, der dieses Jahr mit Schwerpunkt auf ICS-SCADA-Produkte eingeführt wurde. Pwn2Own diente auch als „Coming-out“ für viele hochkarätige Forscher, die nach dem Gewinn des Wettbewerbs in verschiedenen prestigeträchtigen Teams und Projekten arbeiten.

2010 – 2015

Dies war eine Übergangszeit für das Programm, da 3Com zusammen mit ZDI von Hewlett-Packard gekauft und später als Teil von Hewlett Packard Enterprise abgespalten wurde. Die Kernprinzipien des Programms damals sind jedoch nach wie vor dieselben wie heute:

  • Fördern der verantwortungsvollen Offenlegung von Zero-Day-Schwachstellen gegenüber den betroffenen Anbietern.
  • Gerechte Anrechnung und Vergütung der teilnehmenden Forscher, einschliesslich jährlicher Boni für Forscher, die innerhalb des Programms besonders produktiv sind.
  • Produktanbieter in die Verantwortung nehmen, indem sie eine angemessene Frist für die Behebung gemeldeter Schwachstellen erhalten.
  • Schutz der Kunden und des Ökosystems.

Mittlerweile war das ZDI gross genug, um einen Einfluss auf das gesamte Ökosystem zu haben. Zu dieser Zeit entwickelte sich die Initiative zum weltgrössten herstellerunabhängigen Bug-Bounty-Programm — sie ist es heute immer noch. 2011 kam es zur ersten öffentlichen Zero-Day-Offenlegung, als ein Anbieter die Patch-Frist nicht einhielt. Im Laufe der Zeit trug die Verpflichtung der Hersteller zur Behebung von Schwachstellen dazu bei, ihre Reaktionszeit von mehr als 180 Tagen auf weniger als 120 zu senken. Obwohl die ZDI die Zeitspanne für die Offenlegung verkürzt hat, ist die Rate der Zero Day-Offenlegung relativ konstant geblieben.

Eine weitere grosse Veränderung war die Zunahme der Forschungsarbeit der vom ZDI-Programm beschäftigten Schwachstellenforscher. Infolge einer Vergrösserung des Teams konnten Mitglieder des ZDI auch ihre eigenen Bugs melden. Sie veröffentlichten zunehmend die Ergebnisse ihrer Arbeit und hielten immer häufiger Vorträge auf hochkarätigen Konferenzen wie Black Hat und DEFCON.

Die Vergrösserung half auch, einige Trends in der bösartigen Ausnutzung zu erkennen. Auch gab es einen Anstieg bei den Reports von Java-Bugs. Nachdem die Browser Click-to-Play implementierten, wurde die praktische Ausnutzung schwieriger. Es gab auch viele Bugs, die Use-After-Free (UAF)-Bedingungen im Internet Explorer missbrauchten, bis Microsoft ohne Aufhebens Isolated Heap und MemGC-Mechanismen einführte. ZDI-Forscher fanden dennoch eine Möglichkeit, diese Mechanismen auszuhebeln und erhielten dafür 125.000 $ von Microsoft. Interessanterweise beschloss Microsoft, nicht alle gemeldeten Bugs zu fixen, sodass ein Teil des Reports als öffentlich gemachter Zero Day endete. Die Forscher spendeten das Geld an verschiedene STEM (Science, Technology, Engineering, Mathematics)-Wohltätigkeitsvereine.

Die Bug-Bounty-Landschaft normalisierte sich und weitete sich aus. Anbieter wie Microsoft und Google starteten ihre eigenen Bounty-Programme. Es entstanden Bug-Bounty-Plattformen, die es Firmen wie Starbucks und Uber ermöglichten, selbst Belohnungen anzubieten. Die Idee der Crowdsourcing-Forschung wurde zum Mainstream. Nicht jedes Programm war erfolgreich, da einige Anbieter plötzlich erkannten, dass das Angebot von Geld für Bug-Reports dazu führt, dass man Bug-Reports erhält. Dadurch hatten einige Unternehmen Mühe, nach dem Start ihres Programms  zu reagieren. Es war definitiv eine Zeit des Wachstums und des Lernens in der gesamten Branche.

2010 erlebte Pwn2Own den ersten erfolgreichen Mobilgerät-Angriff, durchgeführt von Ralf-Philipp Weinmann und Vincenzo Iozzo gegen Apple iPhone 3GS. Anbieter begannen umfangreiche Patches kurz vor dem Wettbewerb zu veröffentlichen. Da die Regeln für alle Angriffe die „neueste Version“ vorschreiben, wurden die Teilnehmer oft kurz vor dem Wettbewerb „aus-gepatcht“. Das bedeutete auch, dass die ZDI sich beeilen musste, um die Ziele mit den neuesten Patches auf den neuesten Stand zu bringen. I2012 kam ein zweiter Wettbewerb – Mobile Pwn2Own – hinzu, der sich auf Telefone und Tablets konzentrierte

2015 – bis heute

2015 kaufte Trend Micro das HP TippingPoint IPS zusammen mit dem ZDI-Programm. Dies eröffnete der ZDI neue Möglichkeiten, da die durch das ZDI-Programm gewonnenen Erkenntnisse über Schwachstellen nun nicht nur der Verbesserung des TippingPoint IPS zugute kamen, sondern auch für andere Produkte innerhalb der Sicherheitslösungen von Trend Micro genutzt werden konnten. Die Zusammenarbeit des ZDI mit Trend Micro führte auch zu einem massiven Anstieg des Interesses an Schwachstellen in den Trend Micro-Produkten selbst. Die Trend Micro-Produktteams scheuten nicht davor zurück, die von unabhängigen ZDI-Forschern eingereichten Fehler zu beheben, und ein gezieltes Targeted Initiative Program nur für ausgewählte Trend Micro-Produkte entstand.

Vor 2015 gab es nur selten eine Adobe Reader-Bug-Meldung ausserhalb von Pwn2Own. In dem Jahr aber waren es mehr als 100. Viele dieser Berichte stammten von ZDI-Forschern. Insgesamt machen interne Funde etwa 20% aller Fälle pro Jahr aus. Auch Deserialisierungs-Bugs und ICS/SCADA-Schwachstellen nahmen stark zu. Home-Router entwickelten sich zu einem beliebten Ziel, da sie massenhaft kompromittiert werden können, um in Botnets und DDoS-Angriffen verwendet zu werden. Infolgedessen passte sich die ZDI an und begann, hardwarebezogene Reports zu akzeptieren, insbesondere solche, die sich auf IoT-Geräte beziehen.

Die Einführung des Wassenaar-Arrangements brachte einige Herausforderungen mit sich – insbesondere beim Kauf von Bug Reports aus den Mitgliedsländern.

2016 wurde beim Pwn2Own die Kategorie Virtualisierung eingeführt. Zum 10. Geburtstag des Wettbewerbs 2017 konnte die ZDI während der drei Tage 51 Zero-Days erwerben. 2019 ging die ZDI eine Partnerschaft mit Tesla ein, sodass Forscher das Infotainment-System des Autos zum Ziel machen könnten. ZDI-Forscher zeigten auch ihren eigenen Einbruch ins Infotainment-System. Auch die Teilnehmer haben sich im Laufe der Jahre verändert. Anfangs nahmen hauptsächlich einzelne Forscher und nur wenige Teams teil. Später waren es in der Mehrheit Teams, die von ihren Arbeitgebern gesponsert wurden.  In den letzten paar Jahren ist dieser Trend wieder rückläufig.

2018 erreichte die ZDI ihren Höchststand von 1.450 veröffentlichten Advisories, und dieses Jahr werden noch mehr. Tatsächlich ist die ZDI seit 13 Jahren als weltweit führende Organisation für Schwachstellenforschung anerkannt. Laut Omdia war das ZDI 2019 für mehr als die Hälfte aller gemessenen Offenlegungen von Schwachstellen verantwortlich, das ist mehr als jeder andere Anbieter.

CLOUDSEC Online: Neue Quelle für fachkundige Inhalte zur Cloud-Sicherheit

Originalartikel von Bharat Mistry

Für Informations-Sicherheitsfachleute bedeutet der radikale Wechsel der letzten Monate in den Unternehmen hin zur Arbeit im Homeoffice eine sehr einschneidende Änderung. Auch traf sie die Absage von Branchentreffen und Veranstaltungen, die dringend benötigte Netzwerk- und Weiterbildungsmöglichkeiten bieten, besonders hart. Deshalb will die CLOUDSEC Online einen Ersatz bieten, ein neues interaktives Zentrum, das von Trend Micro und Partnern betrieben wird, und eine sehr wertvolle Ressource für Cybersicherheits- und IT-Fachleute sein kann.

Eine vor kurzem von der Zertifizierungsorganisation (ISC)² durchgeführte Branchenumfrage ergab, dass fast die Hälfte (47%) der Sicherheitsfachleute irgendwann von einigen oder allen ihren üblichen Aufgaben freigestellt wurden, um dringendere Anforderungen wie z.B. Remote-Arbeit zu unterstützen. Weitere 15% der Unternehmen scheinen nicht über adäquate Ressourcen zu verfügen, während ein Drittel (34%) vorerst nur mit „ausreichenden“ Mitteln ausgestattet ist. In einer anderen kürzlich durchgeführten Umfrage, diesmal von der Branchenorganisation ISACA, gab nur etwa die Hälfte (59%) an, dass ihr IT-Sicherheitsteam zu Hause über die richtigen Werkzeuge und Ressourcen verfügt, um die Arbeit effektiv zu erledigen.

Warum die CLOUDSEC Online?

Die CLOUDSEC-Konferenz von Trend Micro bietet Branchenfachleuten seit fünf Jahren Zugang zu spannenden Präsentationen von weltweit führenden Experten aus dem gesamten Spektrum der Cybersicherheit. Kurze, aufschlussreiche Keynotes aus dem akademischen Bereich, von Strafverfolgungsbehörden, Non-Profit-Organisationen, CISOs von Unternehmen und Trend Micros eigenen Experten bieten Einblicke in aktuelle Trends bei Bedrohungen und reale Fallstudien von Branchenexperten – das alles an einem einzigen Tag.

Die virtuelle CLOUDSEC soll es Branchenexperten aus ganz Europa ermöglichen, miteinander in Verbindung zu treten und eine Reihe von Ressourcen zur Verfügung zu haben, die eine Cloud-Sicherheitsstrategie in einer Zeit extremer Herausforderungen unterstützen.

Des Weiteren gibt es dort E-Books, Whitepapers, Infografiken, Webinare, Video-Interviews, Lösungsleitfäden, Erfolgsgeschichten von Partnern und vieles mehr. Sie bieten eine breite Palette von Informationen, die von einem besseren Verständnis dateiloser Bedrohungen über Herausforderungen in der hybriden Cloud und nahtlose DevOps-Sicherheit bis hin zur Bekämpfung von Fehlkonfigurationen in der Cloud reichen.

Anmeldungen sind hier möglich.