Archiv der Kategorie: Technologiestrategy

Angreifer nehmen Kommunikations-Apps wie Zoom, Slack oder Discord ins Visier

von Trend Micro

In dem Halbjahresbericht zur Sicherheit 2020 zeigt Trend Micro auf, wie während der Corona-Pandemie viele Unternehmen von physischen Büros auf virtuelle umgestiegen sind. Das wiederum führte zu einem Boom für Messaging- und Videokonferenzanwendungen als Kommunikationsmittel, allen voran Zoom, aber auch Slack oder Discord. Und wie nicht anders zu erwarten, gerieten die Anwendungen auch ins Visier der Cyberkriminellen.

In erster Linie hat Zoom alle Rekorde gebrochen und wird in Schulen, Unternehmen und von Einzelpersonen eingesetzt. Daher ist das Conferencing-System auch das interessanteste Ziel für die Kriminellen.

Die wohl bekannteste böswillige Aktivität im Zusammenhang mit Zoom ist das so genannte „Zoom-Bombing“, bei dem Witzbolde eine Besprechung zum Scheitern bringen und dann Störaktionen durchführen, wie z.B. das Versenden von Spam mit pornografischen Inhalten oder auch nur allgemeine Belästigung. Zoom-Bombing ist zwar ärgerlich, aber sicherheitstechnisch in der Regel harmlos. Andererseits gibt es Zoom-bezogene Angriffe mit echter Malware, die viel mehr Schaden anrichten kann. Die häufigste diesbezügliche Angriffstechnik besteht in der Verwendung von Zoom-Installationsprogrammen, die mit Malware gebündelt sind.

Manchmal setzen die Angreifer auf gefälschte Zoom-Installer, um Benutzer dazu zu verleiten, sie auf ihren Rechnern zu installieren. Die Sicherheitsforscher stiessen etwa im Mai auf einen solchen Fall, nachdem sie Samples von Malware-Dateien gefunden hatten, die als gefälschte Zoom-Installer getarnt waren. Für den Durchschnittsanwender dürfte es schwierig sein, die legitime Zoom-Anwendung von den gefälschten zu unterscheiden. Eine genauere Prüfung ergibt, dass bösartige Versionen deutlich größere Dateien aufweisen.

Bild 1. Vergleich der Dateigrösse von bösartigen Zoom-Kopien mit dem legitimen Installer

Eines der Malware-Samples (Trojan.Win32.ZAPIZ.A) ist eine Hintertür mit Funktionen für den Fernzugriff, sodass ein Angreifer Zugriff auf den infizierten Computer erlangen kann, um böswillige Aktionen durchzuführen, wie z. B. Stehlen von Informationen. Das andere Sample (Backdoor.Win32.DEVILSHADOW.THEAABO) verfügt über einen Installer, der aus einer Datei mit bösartigen Befehlen besteht. Interessanterweise haben beide kompromittierten Installer eine legitime Version von Zoom installiert, wahrscheinlich um Hinweise auf böswillige Aktivitäten vor dem Benutzer zu verbergen.

Des Weiteren gibt es böswillige Akteure, die legitime Installer mit Malware-Dateien gebündelt hatten. So entdecken die Forscher im April einen Angriff, bei dem echte Zoom-Installer zum Einsatz kamen, die mit dem RevCode WebMonitor RAT (Backdoor.Win32.REVCODE.THDBABO) bereitgestellt wurden. Diese Malware-Variante erlaubt es ihrem Betreiber, Remote-Befehle auszuführen, z.B. Dateien hinzuzufügen oder zu löschen, Tasteneingaben aufzuzeichnen und Informationen zu sammeln. Die gleiche Masche gibt es auch mit der ZAPIZ Malware (Trojan.Win32. ZAPIZ.A), die nach dem Herunterladen alle Remote Utilities löscht und Informationen stehlen kann, möglicherweise als Vorbereitung für weitere Angriffe.

Es fand sich auch ein E-Mail-Sample, wobei ein böswilliger Akteur versuchte, Geld von dem Opfer zu erpressen, indem er ihm mit der Veröffentlichung von belastendem Videomaterial drohte, das angeblich über eine gehackte Kamera erworben wurde.

Missbrauch von Discord und Slack

Doch gibt es auch Beweise für Angriffe auf andere Kommunikationsdienste wie Slack und Discord. Slack hat mittlerweile (seit 2019) mehr als zehn Millionen aktive Nutzer täglich. Kürzlich fanden die Sicherheitsforscher eine Ransomware-Variante (Ransom.Win32.CRYPREN.C), die auf den ersten Blick ziemlich gewöhnlich scheint. Sie verschlüsselt Dateien und versieht sie danach mit einer .encrypted-Extension.

Bild 2. Die Lösegeldforderung der Crypren Ransomware

Interessant ist, dass Crypren Slack Webhooks nutzt, um den Verschlüsselungsstatus der Opfer an den Command-and-Control (C&C)-Server zu melden— eine bis dato noch nie angetroffene Technik.

Derzeit schickt die Ransomware nur eine minimale Datenmenge zurück, nämlich Computer- und Benutzernamen, die Anzahl der infizierten Dateien und den Infektionszeitstempel – was darauf hindeutet, dass sich die Verwendung von Slack für die Meldung des Infektionsstatus möglicherweise noch in der Testphase befindet.

Discord ist eine weitere Kommunikationssoftware, die ähnliche Eigenschaften wie Slack besitzt (und in Gaming-Communities weit verbreitet ist). Die Sicherheitsforscher stiessen auf Samples, die zeigen, wie böswillige Akteure Discord als Teil einer Kampagne mit bösartigen Spam-Mails verwenden, die schliesslich mit einer AveMaria- oder AgentTesla-Malware-Infektion enden. Die E-Mails enthalten entweder Lieferankündigungen oder Rechnungen in einem DHL- oder TNT-Anhang.

Bild 3. Beispiel einer Spam Mail

Die E-Mails beinhalten eingebettete Links, sei es in den Bildern oder im Text, die auf eine Discord URL zeigen (hxxps://cdn[.]discordapp[.]com/attachments/{ChannelID}/{AttachmentID}/example[.]exe). Diese URLs werden zum Hosten von AveMaria und AgentTesla genutzt, die dann die Systeme der Nutzer infizieren, wenn diese auf die Executables klicken.

Die Verwendung legitimer Anwendungen wie Slack and Discord als Teil eines Angriffs haben einfache Gründe: Sie sind bekannt, weit verbreitet, kostenlos und bieten eine gewisse Form der Anonymität. Darüber hinaus müssen die Benutzer die Anwendungen nicht einmal installiert haben, um Dateien von ihnen herunterzuladen, was den Prozess rationalisiert und effizient macht. Ein weiterer möglicher Grund ist, dass sie als normale legitime Netzwerkkommunikation ausgegeben werden können. Ihre Beliebtheit bei Angreifern liegt zudem auch daran, dass die Wahrscheinlichkeit, dass Mitarbeiter und Endbenutzer diese Dienste nutzen, sehr hoch ist.

Schutz vor den Angriffen gegen die Kommunikations-Apps

Glücklicherweise ist die Verteidigung gegen diese Art von Angriffen relativ unkompliziert. Im Falle der Zoom-Installer besteht die Gemeinsamkeit zwischen den Angriffen darin, dass sie von anderen Orten als der offiziellen Zoom-Download-Seite heruntergeladen werden. Die einfachste Möglichkeit eine Infektion zu vermeiden besteht darin, Kommunikationsanwendungen (und alle Anwendungen im Allgemeinen) nur über offizielle Kanäle herunterzuladen. Dadurch wird sichergestellt, dass die Software frei von Manipulationen ist.

Benutzer sollten es auch vermeiden, auf Links zu klicken oder Anhänge von verdächtigen oder ungeprüften E-Mails herunterzuladen. Wenn Nutzer sich nicht sicher sind, wäre es eine gute Idee, sich bei dem angeblichen Absender zu vergewissern, ob er derjenige ist, der die E-Mail verschickt hat.

Die Bedeutung von Visibilität für die Cloud Security

von Trend Micro

85% der Unternehmen weltweit nutzen die Cloud, um dort Riesenmengen an Informationen vorzuhalten, und das Modell hat seine Vorteile gerade in diesem Jahr der Pandemie bewiesen. 87% IT-Entscheidungsträger weltweit führten den raschen Wechsel in die Cloud auf die unvorhergesehene globale Gesundheitskrise zurück, ein Schritt, der sich als hilfreich für die wirtschaftliche Widerstandsfähigkeit erweist. Dank der Cloud sind Unternehmen und Organisationen in der Lage, den Grossteil ihrer Mitarbeiter von zu Hause aus arbeiten zu lassen, und es ist davon auszugehen, dass auch nach der Pandemie die Zahl der im Home Office verbleibenden Mitarbeiter (die sich im Vergleich zu vor der Pandemie bereits vervierfacht hat) weiterhin höher ist als in den vergangenen Jahren. Bereits heute rüsten sich die Organisationen für eine „Cloud-first“-Welt. Banken und Finanzinstitutionen streben nun sogar an, bis 2025 vollständig Cloud-basiert zu werden.

Angesichts der beträchtlichen Anzahl von Menschen, die remote arbeiten und aus verschiedenen Teilen der Welt auf die Cloud zugreifen, ist das Problem der Transparenz in der Cybersicherheit von Unternehmen jedoch offensichtlicher geworden. Wie können Unternehmen der Visibilität in einer „Cloud-first“-Welt Priorität einräumen?

Bedrohungen und Sicherheitsrisiken nach der Migration in die Cloud

Neben den Vorteilen der besseren Konnektivität, Produktivität und Effizienz bietet die Cloud weitere Möglichkeiten wie die Datenspeicherung, die Analyse grosser Datenmengen, die Entwicklung von Anwendungen und Software sowie Video- und Audio-Streaming-Funktionalitäten – die alle gesichert werden müssen. Unternehmen sollten sich beim Cloud-Betrieb über die Herausforderungen und Risiken bezüglich der Sichtbarkeit/Transparenz im KIaren sein.

Eine dieser Herausforderungen, die sich auf die Sichtbarkeit auswirkt, ist die Vielfalt der eingesetzten Rechenressourcen — unterschiedliche Cloud-Anbieter, Konten und Dienste zusätzlich zu den lokalen Rechenzentren. Tatsächlich haben vier von fünf Unternehmen zwei oder mehr Infrastructure-as-a-Service (IaaS)- oder Platform-as-a-Service (PaaS)-Provider.

In einer Umfrage 2019 gaben mehr als 51% der Befragten zu, separate Identity and Access Management (IAM)-Schnittstellen für ihre Cloud- und On-Premise-Umgebungen einzusetzen. Eine Übersicht ist hier unmöglich, sodass sich nicht autorisierte Personen Zugang zu kritischen oder sensiblen Informationen verschaffen können.

Zuviele Cloud-Provider im Einsatz

86% der Unternehmen nutzen mehr als 11 verschiedene SaaS-Provider, einschliesslich Cloud-basierter Apps wie Gmail oder Microsoft 365. Dies mag zwar Vorteile für die Produktivität und Effizienz bedeuten, doch entsteht auch ein komplexes Geflecht von Cloud-getriebenen Services, das die Übersicht darüber erschwert. Hinzu kommt, dass laut Netskope-Daten aus dem Jahr 2018 nahezu 93% der in Unternehmen eingesetzten Cloud-Anwendungen nicht dafür geeignet sind, also den Standards (mit Parametern für Datensicherheit, Zugangskontrolle und Vertraulichkeit) in der Cloud Security Alliance Cloud Controls Matrix nicht entsprechen.

Das Vorhandensein vieler ungesicherter Dienste (Schatten-IT) ist ein weiteres Sicherheitsrisiko, das die Übersicht beeinträchtigt. 2019 nutzten laut einem Bericht des Softwareunternehmens Igloo 50% der Mitarbeiter für ihre arbeitsbezogenen Aufgaben vom Arbeitgeber nicht genehmigte Apps und Infrastrukturen.

Bild. Potenzielle Risiken in Cloud-Umgebungen

Entwickler können neue Server bereitstellen, ohne sich um die Probleme kümmern zu müssen, die normalerweise mit der Bereitstellung in einer Vor-Ort-Umgebung verbunden sind, wie z.B. Provisioning und Budgetierung. Auf der anderen Seite wissen die Sicherheitsteams möglicherweise auch nicht um alle entstandenen virtuellen Umgebungen und wenden somit auch nicht alle erforderlichen Schutzmassnahmen darauf an. Um möglichst schnell sicherzustellen, dass die Dienste nahtlos miteinander kommunizieren, könnten diese schnell einsetzbaren Virtual Private Clouds (VPCs), virtuellen Netzwerke und Container mit nur geringen oder gar keinen Sicherheitsvorkehrungen konfiguriert worden sein.

Open Source als Risiko

Aufgrund der sicherheitstechnisch laxen Konfigurationen und schlechten Coding-Praktiken, könnten APIs, die kritische Daten beinhalten, böswilligen Akteuren zugänglich werden. Diese sind dann in der Lage, aus der Ferne Code auszuführen und Distributed Denial of Service (DDoS)-Angriffe zu starten. Exponierte Container lassen Krypto-Mining zu – so wie kürzlich die Angriffe mit Malware für sowohl Linux-Systeme und exponierte Docker-Umgebungen gezeigt haben.

Die Entwicklung von Cloud-nativen Anwendungen könnte auch zu einer Zunahme der Nutzung und infolgedessen Abhängigkeit von Bibliotheken Dritter führen. Entwickler greifen auch häufig auf quelloffenen Code, Bibliotheken, Komponenten und Software zurück. Leider haben diese häufig Schwachstellen. Untersuchungen von Snyk ergaben, dass Schwachstellen in Open-Source-Komponenten in den letzten drei Jahren zugenommen haben. Die Ausnutzung dieser Sicherheitslücken könnte zu Compliance- und Sicherheitsproblemen führen.

Der zweite Teil des Beitrags zeigt, wie in einer „Cloud-first“-Welt die Visibilität über die Cloud-Ressourcen zu bewerkstelligen ist.

Open-Source-Software für gezielte Angriffe „aufrüsten“

Originalartikel von Abraham Camba, Bren Matthew Ebriega, Gilbert Sison, Bedrohungsanalysten

Trojanisierte quelloffene Software lässt sich nur schwer entdecken. Sie versteckt sich hinter der Fassade legitimer, nicht bösartiger Software und ist deshalb für gezielte Angriffe besonders nützlich. Eine genauere Untersuchung kann jedoch verdächtiges Verhalten aufdecken, das ihre böswilligen Absichten entlarvt. Die Sicherheitsforscher von Trend Micro zeigten anhand der Analyse des Missbrauchs der legitimen Anwendung Notepad++, wie leicht die trojanisierte Version mit der unverdächtigen legalen verwechselt werden kann, vor allem von Mitarbeitern, deren technisches Wissen begrenzt ist.

Bei der Analyse eines Sicherheitsvorfalls fanden die Forscher eine Datei namens notepad.exe. Notepad ist eine bekannte legitime Anwendung. Malware-Autoren jedoch tarnen bösartige Dateien, indem sie den Namen von legitimer Software wie notepad.exe verwenden, um der Erkennung zu entgehen.

Bild 1. Telemetriedaten zeigen die verdächtige notepad.exe-Datei

Die notepad.exe-Datei wurde über das Windows NT Operating System Kernel Executable (ntoskrnl.exe) abgelegt, und eine Root Cause Analyse brachte zutage, dass die bösartige Datei verdächtige Aktionen über den Aufruf verschiedener Tools ausführte (Liste der Tools im Originalbeitrag). Die Verbindung zu diesen Prozessen und ihren Funktionen lässt darauf schliessen, dass die Datei ein typischer Backdoor ist, der die Befehle von einem böswilligen Remote-User erhält. In der Auflistung der Dateimerkmale von notepad.exe fiel auf, dass Notepad++ erwähnt wurde, eine quelloffene Software, die als Source-Code-Editor verwendet wurde:

Bild 2. Merkmale von Notepad.exe

Auch sind einige der Details zur Datei verdächtig. Beispielsweise werden Notepad++-Dateien üblicherweise als „notepad++.exe“ und nicht als „notepad.exe“ bezeichnet. Die Version v7.8.6, im April veröffentlicht, ist alt, denn die neueste im November veröffentlichte Version ist v7.9.1. Das Aussehen und die Funktionsweise der Benutzerschnittstelle der Datei ist gleich der einer typischen legitimen Notepad++-Datei. Doch beim Verhalten fällt auf, dass das Beispiel etwas tut, was ein nicht bösartiger Notepad++ nicht tun würde: Es sucht nach einer Datei namens config.dat, die sich im Ordner c:\windows\debug befindet. Dieses Verhalten ist bemerkenswert, da die besagte Datei in der Analyse des Codes des Beispiels auftaucht.

Die gesamte Code-Analyse können Interessierte im Originalbeitrag nachlesen.

Fazit

Bedrohungsakteure können nach offenem Quellcode weit verbreiteter Software suchen und diesen durch Hinzufügen von bösartigem Code trojanisieren, der Funktionen wie das Laden einer verschlüsselten Blob-Datei ausführen kann. Das bedeutet also, dass der größte Teil des Binärcodes in der „neuen“ Datei nicht bösartig ist. Der bösartige Code lädt einfach eine Datei oder eine Aktivität, die nicht allzu verdächtig erscheint. Außerdem haben verschlüsselte Blob-Dateien keine Dateiheader. Diese erschweren es Anti-Malware-Lösungen, die sich nur auf eine einzige Schutzebene konzentrieren, einschliesslich KI/ML-basierter, die trojanisierten Versionen zu erkennen. Um diese Art von Bedrohungen zu blockieren, wären Lösungen hilfreich, die Sichtbarkeit über mehrere Ebenen hinweg gewährleisten, da Sicherheitsteams die Lösungen nutzen können, um Daten und Verhalten innerhalb der Umgebung zu korrelieren.

Empfehlungen

Um diese Art der Bedrohungen zu vermeiden, sollten Nutzer Dateien, Anwendungen und Software (wie etwa Open Source) ausschliesslich aus vertrauenswürdigen Quellen herunterladen. Beispielsweise können Notepad++-Nutzer wichtige Dateien von der offiziellen Website herunterladen.

Unternehmen können eine Liste der genehmigten Download-Sites erstellen und an ihre Mitarbeiter verteilen. Als weitere Sicherheitsmassnahme könnte auch die Genehmigung von IT-Teams eingeholt werden, bevor Mitarbeiter Software auf Bürogeräten installieren dürfen. Für Sicherheits- und IT-Teams wird ausserdem dringend empfohlen,  heruntergeladene Binärdateien mit Prüfsummen zu validieren, da gute Open-Source-Projekte die Prüfsummen ihrer offiziell veröffentlichten Binärdateien vorhalten.

Zudem kann eine Sicherheitslösung wie Trend Micro™ XDR Daten über Endpunkte, E-Mails, Cloud-Workloads und Netzwerke hinweg sammeln und korrelieren, und damit einen besseren Kontext schaffen, sodass Untersuchungen an einem Ort durchgeführt werden können. Dies wiederum ermöglicht es den Teams, fortgeschrittene und gezielte Bedrohungen früher zu erkennen.

Künstliche Intelligenz in den Händen von Cyberkriminellen

Von Trend Micro

Im Jahr 2020 nutzten bereits 37% der Unternehmen und Organisation in irgendeiner Form Künstliche Intelligenz (KI) in ihren Systemen und Prozessen. KI) macht sich noch nie dagewesene Datenmengen zunutze und hat in allen Anwendungsbereichen Potenzial. Sie verspricht die Bewältigung einer Reihe komplexer globaler Herausforderungen. Maschinelles Lernen (ML), ein Teilbereich der KI, soll Computersysteme in die Lage versetzen, aus Daten zu „lernen“ — d.h. die Leistung bei einer bestimmten Aufgabe nach und nach zu verbessern, ohne dass explizite Anweisungen von Menschen erforderlich sind.

Zwar bringen KI- und ML-Algorithmen enorme Vorteile, doch gibt es auch eine Kehrseite der Medaille, denn sie sind ebenso für eine Reihe von digitalen, physischen und politischen Bedrohungen und Formen der Cyberkriminalität verantwortlich. In einem gemeinsamen Forschungsprojekt haben Trend Micro, das Interregionale Forschungsinstitut der Vereinten Nationen für Kriminalität und Justiz (UNICRI) sowie Europol verschiedene bösartige Szenarien untersucht, in denen heute und möglicherweise auch in Zukunft KI und ML eingesetzt werden. Des Weiteren befassten sich die Partner mit den möglichen Gegenmassnahmen und Empfehlungen zur Minderung von Risiken, Bedrohungen und Angriffen, die von KI und ML ausgehen.

So können Kriminelle zum Beispiel KI einsetzen, um ihre Angriffe zu erleichtern und zu verbessern, um in kürzerer Zeit höhere Profite zu erzielen, neue Opfer auszubeuten und innovativere kriminelle Geschäftsmodelle zu entwickeln und gleichzeitig die Risiken zu verringern, erwischt zu werden.

Darüber hinaus wird KI, wenn es auch -as-a-Service sich zunehmend verbreitet die Eintrittshürden für kriminelle Taten senken, weil damit die für den Einsatz von KI erforderlichen Fähigkeiten und technischen Kenntnisse grossenteils wegfallen.

Missbrauch von ML und KI heute

Der Einsatz von KI für höhere Effektivität von Malware steckt noch in den Kinderschuhen. Die Forschung wird immer noch akademisch vorangetrieben, und Angriffe sind meist theoretischer Natur und werden von Sicherheitsforschern als Machbarkeitsnachweis konzipiert. Dennoch unternehmen böswillige Akteure bereits Schritte in Richtung KI-gestützte oder KI-verstärkte Cyberangriffstechniken. Diese sollten weiterhin unter Beobachtung stehen, um sie zu stoppen und sich so früh wie möglich auf zukünftige Angriffe vorzubereiten, bevor die neuartigen Angriffe zunehmen.

Noch können Malware-Entwickler KI im Verborgenen nutzen, ohne von Forschern und Analysten entdeckt zu werden. Infolgedessen ist es nur möglich, nach sichtbaren Anzeichen zu suchen, die von KI-Malware-Aktivitäten erwartet werden können. Ein Typus von Malware-bezogenem KI-Exploit bedient sich KI-basierter Techniken, die darauf abzielen, die Wirksamkeit „traditioneller“ Cyberattacken zu verbessern. So gab es Vorführungen, wie eine Mail-Nachricht Spam-Filter umgehen kann, indem sie generative Grammatik zur Erzeugung eines großen Datensatzes von E-Mail-Texten mit hoher semantischer Qualität nutzen. Diese Texte werden dann zum Verwirren des Antispams verwendet. System und passen sich an verschiedene Spam-Filter an, um Inhalte zu identifizieren, die durch die Spam-Filter nicht mehr erkannt werden.

Eine der heute beliebtesten und sichtbarsten bösartigen Anwendungen von KI ist die „Deepfake“-Technologie, bei der KI-Techniken eingesetzt werden, um Audio- und visuelle Inhalte so zu gestalten oder zu manipulieren, dass sie authentisch erscheinen. Andere nennenswerte Beispiele sind Tools, die das reale Nutzerverhalten bei Diensten wie Spotify nachahmen können, um zu verhindern, dass gestohlene Konten gelöscht werden.

KI kann auch dazu missbraucht werden, um CAPTCHA-Sicherheitssysteme zu auszuschalten, die häufig auf Websites verwendet werden, um schädliche Aktivitäten zu verhindern. XEvil 4.0, ein Werkzeug, das neuronale Netzwerke zur Lösung von CAPTCHAs verwendet, wird in russischen Untergrundforen beworben und kann an Benutzer vermietet werden.

Künftiger Missbrauch von ML und KI

Zusätzlich zur schrittweisen Integration von KI-Techniken zur Verbesserung des Umfangs und der Grössenordnung ihrer Cyberangriffe können Kriminelle KI sowohl als Angriffsvektor als auch als Angriffsfläche ausnutzen. Dank des service-basierten kriminellen Geschäftsmodells könnten die Entwicklung und der Vertrieb von KI-fähigen Toolkits in Untergrundmärkten weniger technologisch versierten Kriminellen erweiterte Möglichkeiten bieten.

Angriffe auf derzeitige KI-Engines sind denkbar, um die Entscheidungsfindung der KI-Engine zu beeinflussen. Dies betrifft insbesondere Schutzsysteme, wie Betrugserkennung, AV-Systeme oder Gesichtserkennung. Der Angreifer könnte die Engine oder die Datensätze korrumpieren, so dass ihre „Erkennungen“ nicht mehr vertrauenswürdig sind

Eine der künftigen Möglichkeiten von ML in den Händen Cyberkrimineller wäre der Missbrauch von ML-geleitete Bilderkennungstraining in selbst fahrenden Fahrzeugen. In einer von einer Sicherheitsfirma durchgeführten Untersuchung wurde ein kleines Stück schwarzes Klebeband auf einem Schild mit einer Geschwindigkeitsbegrenzung von 35 Meilen pro Stunde so angebracht, dass das Bilderkennungsmodell „35“ mit „85“ verwechselte.

KI-betriebene Gesichtserkennungsdrohnen, die ein Gramm Sprengstoff mit sich führen, werden derzeit entwickelt. Diese Drohnen sind speziell für Bombenangriffe auf Mikroziele oder Einzelpersonen gedacht. Sie werden in der Regel auch über das Mobilfunknetz betrieben und sind so konstruiert, dass sie wie Insekten oder kleine Vögel aussehen. Es ist davon auszugehen, dass diese Technologie in naher Zukunft von Kriminellen genutzt werden wird.

Empfehlungen

Ziel dieser Forschung ist es, Verantwortlichen die Auswirkungen von ML- und KI-aktivierten bösartigen Aktivitäten, Angriffen, Bedrohungen und Risiken vor Augen zu führen. Zudem kann die enge Zusammenarbeit zwischen der Industrie und der akademischen Welt dazu beitragen, das Bewusstsein für die potentielle Nutzung und den potentiellen Missbrauch der KI durch Kriminelle zu schärfen und einen Wissensfundus dazu zu entwickeln. Das Wissen über die Fähigkeiten, Szenarien und Angriffsvektoren mit ML und KI ist der Schlüssel zur Verbesserung der Abwehrbereitschaft, zur Erhöhung der Widerstandsfähigkeit und zur Gewährleistung der positiven Nutzung dieser Technologien.

Cloud of Logs: Kriminelle nutzen die Cloud für ihre Prozesse

Originalartikel von Robert McArdle, Director Threat Research

Es wird viel Wirbel um die Cloud gemacht, und dies ist auch gerechtfertigt. Schliesslich lassen sich mithilfe des Konzepts Ressourcen optimieren, Zeit sparen, die Automatisierung erhöhen und einen Teil der Sicherheitsverantwortung abgeben. Aber auch Cyberkriminelle nutzen die Cloud: Gestohlene Zugangsinformationen und Infos über Nutzer werden in der Cloud vorgehalten und auf Abonnement- oder Einmalbasis vermietet. Trend Micro hat diesen Trend ausführlich untersucht. In einem Sample-Datenset von 1.000 Logs konnten die Sicherheitsforscher 67.712 URLs für kompromittierte Konten identifizieren. Der Zugang zu diesen so genannten „Cloud of Logs“ lässt sich über eine monatliche Gebühr von 350 – 1000 $ erwerben. Die Logs umfassen unter Umständen Millionen E-Mails und Passwörter für beliebte Sites wie Google, Amazon, Twitter, Facebook und PayPal.

Gestohlene Zugangsdaten führen zu kompromittierten Unternehmen, und die Cloud macht diesen Prozess effektiver denn je. Es geht nicht um Kriminelle, die die Cloud-Infrastruktur von Firmen angreifen, sondern darum, dass sie die Cloud-Technologie dafür verwenden, ihre Abläufe zu verbessern und zu erweitern.

Die Wiederverwendung von Zugangsdaten ist ein weit verbreitetes Problem in vielen Unternehmen. Deshalb ist es wichtig, die persönlichen Daten der Mitarbeiter bei einer Risikobewertung des Unternehmens ebenfalls zu berücksichtigen.

Neuer Markt für Cyberkriminalität entsteht

Der Diebstahl von Anmeldedaten hat in den letzten Jahren zugenommen, da Angreifer massenhaft Anmeldedaten und damit verbundene E-Mail-Adressen oder Domänennamen erbeuten. Dies ist eine der grundlegendsten und seit langem bestehenden Bedrohungen für Unternehmen weltweit.

Doch nutzt eine grosse Mehrheit der heutigen Angriffe immer noch die grundlegendsten Sicherheitsschwächen aus: die Wiederverwendung von Passwörtern als eine der häufigsten. So könnte zum Beispiel ein Mitarbeiter ein Passwort für sein persönliches Konto auch als Passwort für seine Unternehmensdomäne wiederverwenden. Und die Anmeldedaten für dieses persönliche Account können in diesen Cloud-basierten Logs landen, um von anderen Kriminellen für einen neuen Cyberangriff wiederverwendet zu werden. Allein in sechs der identifizierten Cloud-Logs fanden die Forscher insgesamt 5 TB Logs, also Millionen kompromittierter persönlicher Nutzerdaten.

Im Allgemeinen sieht ein „traditioneller“ Verlauf von Cyberverbrechen über den Diebstahl von Zugangsdaten folgendermassen aus:

  • Eine kriminelle Gruppe kompromittiert ihre Opfer mit verschiedenen Mitteln und setzt Malware zum Informationsdiebstahl ein, um an die Account-Daten der Opfer (Verbraucher und Unternehmen) zu gelangen. Aufgrund der Wiederverwendung von Passwörtern kann jedes kompromittierte persönliche Konto das Unternehmen in Gefahr bringen.
  • Die Kriminellen lagern diese Accounts an einen zentralen Ort aus, einen Server, den sie kontrollieren.
  • Angesichts des Datenvolumens ist eine manuelle Verarbeitung unmöglich – daher starten sie einige einfache Suchläufe über die Daten, um die erfolgversprechenden Konten und Daten (Kreditkarten, E-Mail, Netflix usw.) zu finden. Für jede dieser zielgerichteten Suchen sieht die Gruppe die Listen manuell durch, um herauszufinden, welche dieser Accounts einen effektiveren Zugriff auf ein hochwertiges Ziel ermöglicht. Das ist zeitaufwändig, wenn man Zehntausende Logs und ein Team von vielleicht einem halben Dutzend Personen zur Verfügung hat, die auch noch andere Rollen in der Gruppe haben – der Prozess kann also Tage bis Wochen dauern.
  • Die nicht genutzten Konten werden gebündelt und auf Untergrundmarktplätzen zum Verkauf angeboten. Dies sind die „Filetstücke“, die sich immer gut verkaufen und die leicht zu verarbeiten sind – aber es lässt sich viel mehr daraus machen. Die Zeit, bis zum Verkauf beträgt nicht mehr als ein paar Wochen, da die Daten mit der Zeit „abgestanden“ sind.
  • Der Rest der Daten wird weitgehend verworfen – obwohl sie für den passenden Käufer von Wert sein könnten.
  • Dann erfolgen die Einbrüche bei neuen Opfern, und der Zyklus geht weiter.

Der neue Ablauf beginnt wie der erste, doch gibt es einige Verbesserungen und Zusätze:

  • Die Gruppe transferiert die Logs nun kurz auf einen zentralen Server und nimmt Kürzungen vor, lädt den Rest dann aber sofort in eine „Cloud of Logs“ hoch. Die Rentabilität der „Cloud of Logs“ und das planbare monatliche Gebührenmodell (das für Streaming-Dienste so gut funktioniert) bedeuten, dass es in ihrem Interesse ist, dies als Haupteinnahmequelle zu betrachten. Dadurch verkürzt sich die Zeit von der ersten Kompromittierung bis zum Verkauf von ein paar Wochen auf Tage oder Stunden.
  • Statt einer Gruppe wird es so viele Gruppen geben, die die Daten durchsuchen, wie die Cloud of Logs-Plattform es erlaubt.
  • Als Ergebnis werden nicht nur mehr Accounts als früher zu Geld gemacht, sondern auch die Zeitspanne vom ursprünglichen Datendiebstahl bis zur Wiederverwendung gegen Unternehmen verkürzt sich von ein paar Wochen auf Tage oder gar Stunden.
  • Da die meisten Verstösse nicht sofort entdeckt werden, hat zum Zeitpunkt der Erkennung häufig bereits eine andere Gruppe von Angreifern den ersten Einbruch für den Zugang zum Netzwerk genutzt, um sich dort auf einem Unternehmensserver einzunisten, oder um Ziele für einen Angriff über Social Engineering, BEC-Betrug oder Ransomware zu finden.

Unabhängig vom Endziel nutzen Kriminelle Cloud-Ressourcen, um schneller zu werden und ihre Angriffe weiter zu streuen.

Neue Rollen in cyberkriminellen Gangs

Kriminelle Unternehmen werden Data-Mining-Spezialisten benötigen, um den grösstmöglichen Ertrag aus jedem Terabyte gestohlener Daten zu erzielen. Diese Rolle in der cyberkriminellen Organisation wird nicht darin bestehen, Zugangsdaten zu stehlen oder zu vermarkten, sondern diese Person wird die Daten nach ihrer Bedeutung trennen. Ein idealer Kandidat in diesem neuen Cloud-gesteuerten Geschäftsmodell wird maschinelles Lernen nutzen, um effizient jeden Datentyp zu identifizieren und den für verschiedene Käufer attraktiven zu bündeln. Datenanalysten und Experten für maschinelles Lernen sowie Cloud-Architekten sind in der Geschäftswelt sehr gefragt, und Cyberkriminelle schätzen deren Wissen genauso.

Folgen für die Verteidigungsstrategie von Unternehmen

Das kriminelle Potenzial der gestohlenen Daten wird in vollem Umfang genutzt, da die Informationen unter verschiedenen Cyberkriminellen verteilt werden, die auf verschiedene Verbrechen spezialisiert sind. Zudem nutzen sie Cloud-Technologien genau wie Unternehmen, um agiler zu agieren.

Für die Verteidigungsstrategie eines Unternehmens ist die Zeitspanne vom Diebstahl einer Information bis zu ihrer Verwendung in einem Angriff viel kürzer. Das bedeutet, Organisationen haben jetzt viel weniger Zeit, um den Vorfall des Diebstahls von Anmeldeinformationen zu erkennen und darauf zu reagieren.

Organisationen müssen die Grundlage ihrer Sicherheitshaltung stärken, um Verstösse schnell zu erkennen. Auch die Schulung von Mitarbeitern bezüglich der Basis der Cybersicherheit und wie ihre Sorgfalt zum Schutz des Unternehmens beitragen kann ist wichtig. .

Den vollständigen Bericht über diesen neuen Markt finden Interessierte hier.

Neue Tricks der mobilen Joker-Malware: Github verbirgt die Payload

Originalartikel von Zhengyu Dong, Mobile Threats Analyst

Die Sicherheitsforscher von Trend Micro entdeckten kürzlich eine neue Version der persistenten mobilen Malware Joker. Das Sample in Google Play nutzte Github-Seiten und -Repositories, um der Entdeckung zu entgehen. Joker ist für eine ganze Reihe bösartiger Aktivitäten verantwortlich, angefangen vom ungewünschten Anmelden von Nutzern bei Bezahldiensten und Kompromittieren von SMS-Nachrichten bis zum Diebstahl von Kontakten.

Joker sucht seit seiner Entdeckung 2017 immer wieder mobile Nutzer heim. Im Januar 2020 entfernte Google 1700 infizierte Anwendungen aus dem Play Store. Und im September fand der Sicherheitsanbieter Zscaler 17 Samples, die in den Store hochgeladen worden waren.

Die Autoren der Malware haben ständig kleine Änderungen vorgenommen, um Schlupflöcher in Googles Verteidigung zu finden. Zu den früher ausprobierten Techniken gehört Verschlüsselung, um Strings vor den Analyse-Engines zu verstecken sowie „Versionierung“, das heisst das Hochladen einer sauberen Version der App, um dann bösartigen Code über Updates hinzuzufügen. Die neueste Technik nutzt Gibhub-Seiten und -Repositories, um der Entdeckung zu entgehen.

Die analysierte App verspricht Hintergrundmuster in HD- und 4K-Qualität. Sie wurde über tausendmal heruntergeladen, und Google hat sie mittlerweile aus dem Play Store entfernt.

Bild. Wallpaper-App, die die Joker-Malware ablegt.

Es ist die Version, die als neue Technik Github missbraucht, um die bösartige Payload zu speichern, im Gegensatz zu früher, als die Payload über eingefügten Code ausgeliefert wurde. Die Github-Seiten und –Repositories in Verbindung zur Malware sind alle abgeschaltet worden.

Eine ausführliche technische Analyse der neuen Joker-Version und des Infektionsablaufs liefert der Originalbeitrag.

XDR: Detection and Response über alle Ebenen zahlt sich aus

von Trend Micro

Mittlerweile ist klar: Angriffe vollständig zu verhindern, geht nicht. Umso wichtiger ist es, den Schwerpunkt der Verteidigung auf die effektive Erkennung und schnelle Reaktion auf Bedrohungen zu legen. Sicherheitsteams eröffnen sich mit dem Einsatz solch quellenübergreifender Sicherheitsmechanismen (bekannt als XDR) neue Möglichkeiten in ihrem täglichen Kampf um die Sicherheit der IT. Zudem können IT-Abteilungen mithilfe von XDR erhebliche Ressourcen sparen. Das bestätigt eine neue Untersuchung des Analystenhauses ESG.

Von den durch ESG befragten 500 IT- und IT-Sicherheitsverantwortlichen gaben rund 85 Prozent zu, dass die Erkennung von Cyberbedrohungen sowie die Reaktion darauf in den letzten zwei Jahren schwieriger geworden ist.

Bild 1. Die Mehrheit der Befragten ist der Meinung, dass Threat Detection and Response immer komplexer wird.

Die Gründe dafür liegen laut Studie in der immer anspruchsvoller werdenden Bedrohungslandschaft, der zunehmenden Komplexität der Sicherheitslösungen und dem Mangel an qualifizierten IT-Sicherheitsexperten.

Bild 2. Die drei grössten Defizite bei Threat Detection and Response-Tools: False Positives, fehlendes Know-How und Mängel bei der Automatisierung.

Der Einsatz einer XDR-Lösung zur automatischen Zusammenführung von Bedrohungsdaten aus unterschiedlichen Quellen kann genau diese Probleme lösen. Aufbauend auf den Erkenntnissen aus der Endpoint Detection und Reaktion (EDR) analysiert XDR die Sicherheits-Telemetriedaten über Endpoint-, Netzwerk-, E-Mail- und Cloud-Sicherheitskontrollen hinweg, und ermöglicht damit einen besseren Einblick in fortgeschrittene, komplexe Angriffe.

Bei heutigen Cyberangriffen entscheidet die Schnelligkeit der Erkennung und Reaktion darauf. Nur so können gesetzliche Meldepflichten (beispielsweise gemäss EU-Datenschutzgrundverordnung) eingehalten und Folgeschäden verhindert werden. 65 Prozent der befragten Unternehmen, die eine XDR-Lösung einsetzen, erkennen Datenschutzverletzungen innerhalb weniger Tage oder schneller. Firmen, die keine solchen Systeme einsetzen, brauchen hingegen zu 70 Prozent mindestens eine Woche dafür.

Bild 3. XDR-Nutzer gelingt es deutlich schneller, ihre Systeme nach einem Angriff  wiederherzustellen

Auch nach der Erkennung eines Angriffs bringt eine automatisierte Lösung deutliche Zeitgewinne: 83 Prozent der XDR-Nutzer können betroffene Systeme innerhalb von Stunden wiederherstellen. Bei den anderen Unternehmen gelingt dies nur 66 Prozent.

Fazit

Aus den Antworten der Studienteilnehmer geht hervor, dass ihre Unternehmen dank der intelligenten Nutzung von Daten aus mehreren vernetzten Sicherheitslösungen Bedrohungen schneller erkennen können und weniger durch Fehlalarme belastet werden. So sind 88 Prozent der Unternehmen, die eine solche Lösung einsetzen, „zuversichtlich“ oder „sehr zuversichtlich“, dass ihre Fähigkeiten zur Erkennung und Reaktion auf Bedrohungen in den nächsten zwölf bis 24 Monaten mit der erforderlichen Geschwindigkeit funktionieren, um mit den Bedrohungen Schritt zu halten. Auch den Fachkräftemangel kann XDR teilweise ausgleichen: Auf die Frage, wie viele Vollzeitäquivalente erforderlich wären, um ihre automatisierten Systeme zu ersetzen, gaben diese Unternehmen im Durchschnitt acht an.

„Organisationen, die Daten über mehrere Sicherheitskontrollen hinweg aggregieren, korrelieren und analysieren, erleiden weniger erfolgreiche Angriffe, haben eine bessere allgemeine Sicherheitsaufstellung und leben mit weniger täglichem Stress für ihre Teams.“, so fasst Dave Gruber, Senior Analyst bei ESG, die Ergebnisse zusammen.

Für die Studie „The XDR Payoff: Better Security Posture, September 2020“ befragte die Enterprise Strategy Group (ESG) im Juni 500 IT- und IT-Sicherheitsverantwortliche aus Unternehmen mit mindestens 500 Mitarbeitern. Die vollständige Studie steht zum kostenlosen Download zur Verfügung.

Trend Micro-Lösung

Trend Micro XDR erfasst und korreliert automatisch Daten auf verschiedenen Sicherheitsebenen – E-Mail, Endpunkt, Server, Cloud-Workloads und Netzwerk – und bietet damit eine breitere Perspektive und einen besseren Kontext dafür, Bedrohungen zu suchen, zu erkennen und einzudämmen. Bedrohungen werden früher erkannt. Sicherheitsanalysten können sie in kürzerer Zeit untersuchen und auf sie reagieren. Trend Micro XDR wurde kürzlich von Forrester als führend in der Erkennung und Reaktion für Unternehmen bezeichnet (1) und erreichte die höchste anfängliche Erkennungsrate im MITRE ATT&CK Framework.

Die Lösung steht auch als Managed Service (MDR) zur Verfügung, um häufig überlastete unternehmenseigene Teams durch Sicherheitsexperten von Trend Micro zu unterstützen. MDR bietet vollständige Bedrohungsanalysen, Threat Hunting, Reaktionspläne und Empfehlungen zur Beseitigung von Bedrohungen rund um die Uhr.

„XDR eröffnet durch die korrelierte Analyse über bisherige Silos hinweg ein neues Kapitel in der Security. Überlastete Security-Teams können damit ihre Reaktion auf Bedrohungen optimieren“, erklärt auch Richard Werner, Business Consultant bei Trend Micro. „Diese Lösung bietet Unternehmen klare Mehrwerte und hilft dabei, ihre drängendsten Security-Probleme zu lösen.“

Mehr als Extended Support: virtuelles Patching entscheidend für die Sicherheit von Windows Servern

Originalartikel von Mohamed Inshaff

Kürzlich gab die US National Security Agency (NSA) ein seltenes Security Advisory heraus, in dem die Behörde Unternehmen dringend aufforderte, eine Reihe kritischer Schwachstellen zu patchen. Die Top 25-Liste enthielt Softwarefehler, die am häufigsten von staatlich unterstützten chinesischen Hackern missbraucht wurden. Fast alle CVEs waren 2020 veröffentlicht worden. Das zeigt erneut, dass viele Organisationen ihre Systeme immer noch nicht zeitnah patchen, obwohl das Ergebnis staatlich gesponserter Sicherheitsvorfälle zur Katastrophe führen kann. Abhilfe kann hier virtuelles Patching schaffen.

In der Liste der NSA sind auch Fehler aus den Jahren 2015, 2017 und 2018 aufgeführt. Sie betreffen sehr unterschiedliche Systeme wie Oracle WebLogic Server, Adobe ColdFusion und Pulse Secure VPNs. Doch eines der am häufigsten genannten Produkte ist der Microsoft Windows Server. Unter den fünf kritischen CVEs in der NSA-Liste sticht die Sicherheitslücke namens Zerologon hervor. Es handelt sich um einen kritischen Elevation of Privilege-Fehler, der Windows 2008 und neuere Versionen betrifft und für den bereits im August ein Patch zur Verfügung stand. Angreifer könnten über die Lücke aus der Ferne die Kontrolle über eine Domäne übernehmen und damit ein gesamtes Netzwerk beschädigen.

Cyberkriminelle hatten schnell Exploits dafür entwickelt und diese in Angriffen eingesetzt, indem sie Zerologon mit VPN Exploits und Commodity Tools verbanden, um Ransomware und andere Payloads schnell abzulegen.

Das Problem beim Patchen

Die Gründe dafür, dass Organisationen häufig nicht umgehend patchen, sind vielfältig. Viele setzen möglicherweise ältere Betriebssysteme ein, die sie aufgrund von Kompatibilitätsproblemen mit unternehmenskritischen Anwendungen nicht aktualisieren. Andere können sich möglicherweise die Ausfallzeit nicht leisten, um Patches vor deren Aufspielen zu testen. Einige Firmen sind schlichtweg überfordert von der schieren Anzahl der Patches, die sie über mehrere Systeme hinweg anwenden und priorisieren müssen.

Andere wählen möglicherweise Extended Support-Optionen von Anbietern wie Microsoft, die versprechen, Sicherheits-Updates zu erheblichen Mehrkosten auch nach dem offiziellen End-of-Life-Datum zur Verfügung zu stellen. Trend Micros Nachforschungen haben jedoch ergeben, dass Organisationen selbst mit diesen umfangreichen Support-Paketen immer noch einigen Bedrohungen ausgesetzt sein können.

Wie wirkt Virtual Patching

Um potenziellen Bedrohungen zu begegnen und auch um Compliance-Anforderungen wie Cyber Essentials Plus, PCI DSS usw. in einem nicht mehr unterstützten System wie Windows Server 2008 zu erfüllen, sind zusätzlich zu Antimalware weitere Sicherheitsmechanismen erforderlich, um netzwerkgebundene Angriffe und verdächtige Aktivitäten zu erkennen und vor ihnen zu schützen. Die Lösung von Trend Micro ist virtuelles Patching: ein mehrschichtiger Schutz gegen bekannte und unbekannte Schwachstellen.

Die Host-basierten Intrusion Detection and Prevention (IDS/IPS)-Fähigkeiten von Deep Security und Cloud One – Workload Security können kritische Server vor Netzwerkangriffsvektoren schützen. Die Lösungen können auch die Integrität von Systemdateien, Registry-Einstellungen und anderen kritischen Anwendungsdateien überwachen, um nicht geplante oder verdächtige Änderungen anzuzeigen.

Mit einen einzigen modularen Agenten können die Server automatisch auf Schwachstellen sowohl im Betriebssystem als auch in Unternehmensanwendungen gescannt werden und die nicht gepatchten Server ohne Reboot schützen.

Virtual Patching bedeutet eine zusätzliche Schutzschicht, mit der Organisationen

  • Zeit erkaufen, bis der Hersteller-Patch aufgespielt ist,
  • Unnötige Ausfallzeiten verhindern,
  • Vorschriften einhalten können und
  • Schutz erhalten, auch über die erweiterten Support-Programme der Anbieter hinaus.

Kürzlich analysierte Trend Micro Windows Server 2008 R2, dessen Support im Januar 2020 eingestellt wurde. Seither hat Trend Micro nahezu 200 IPS-Regeln (also virtuelle Patches) in Deep Security veröffentlicht, von denen sich 67 auf Betriebssystemfehler bezogen. Unternehmen mit Extended Support für das Produkt wurden 23 virtuelle Patches empfohlen, 14 davon waren kritisch.

Supply Chain-Angriffe im Cloud Computing vermeiden

Originalartikel von Trend Micro

Sicherheit ist einer der wichtigen Aspekte, die Unternehmen berücksichtigen müssen, wenn sie auf Cloud-basierte Technologien setzen. Ganz oben auf der Liste der zu sichernden Ressourcen stehen Netzwerke, Endpunkte und Anwendungen. Um Betriebskosten zu optimieren, verlagern einige Organisationen ihre Backend-Infrastruktur in die Cloud oder betreiben ihre eigene firmeninterne private Cloud mit Cloud-basierten Lösungen. Doch wird dieser Ansatz vom Standpunkt der Architektur oder auch die Konfigurationen nicht korrekt durchgeführt, so kann das Backend Bedrohungen ausgesetzt werden und ein leichtes Ziel für Supply Chain-Angriffe darstellen. Die Folge sind der Verlust von Daten, Reputation und Vertrauen der Kunden.

In dem Whitepaper „Supply Chain Attacks in the Age of Cloud Computing: Risks, Mitigations, and the Importance of Securing Back Ends“ liefern die Sicherheitsforscher von Trend Micro einen Überblick über verschiedene Sicherheitsrisiken und Techniken zur Minimierung der Gefahren für DevOps.

Die Analysen beziehen sich auf konkrete Beispiele wie Jenkins (quelloffener Integrationsserver für Softwarekomponenten), Docker Container, Kubernetes (Orchestrierungs-Tool) und Cloud-basierten integrierten Entwicklungsumgebungen (IDE) wie AWS Cloud9 und Visual Studio Codespaces.

Authentifizierung und Access Control Lists (ACL)

Wird keine Authentifizierung aufgesetzt oder rollenbasierte Sicherheit mit ACL nicht angewendet, hat jeder, der in das System gelangen kann, Administratorzugriff. Diese Risiken werden anhand von Jenkins als Beispiel aufgezeigt.

Jenkins

Standardkonfigurationen in Backend-Systemen stellen selbst bei Anwendung der Authentifizierung ein erhebliches Sicherheitsrisiko dar. Jenkins Primary ist standardmässig in der Lage, Build-Aufgaben durchzuführen und erlaubt es Nutzern mit geringeren Privilegien, die Jenkins-Instanz vollständig zu übernehmen, einschliesslich der vertraulichen Daten, Job-Konfiguration und Source Code. Es ist kein Authentifizierungs- oder Access Control Lists (ACLs)-Modell vorhanden. Wird die Matrix-basierte Sicherheit von Jenkins angewendet, erhalten Nutzer irrtümlich den Eindruck, mit einer sicheren Konfiguration zu arbeiten. Um die Ausführung von Jobs auf dem Primary zu deaktivieren, könnte das Plug-In Authorize Project zusammen mit der Einstellung Shell executable in /bin/false auf der Seite „Configure System“ verwendet werden.

Des Weiteren sollten Entwicklerteams die Nutzung von Community Pug-Ins überdenken. Den Sicherheits-Advisories von Jenkins zufolge stehen die meisten Sicherheitslücken in der Plattform in Zusammenhang mit Plug-Ins, wobei es sich bei den meisten um die unsichere Speicherung von vertraulichen Daten sowie Sandbox-basierte Ausbruchmöglichkeiten handelt.

Einsatz von Docker Containern

Die Verwendung von Containern ist inzwischen sehr beliebt, da sie entweder Software bieten, die sofort einsatzbereit ist oder nur einer minimalen Konfiguration bedarf. Containerisierung hilft also bei schnellen Implementierungen und sorgt für eine stabile Umgebung.

Docker ist die bei Entwicklerteams am weitesten verbreitete Container Engine. Sie wird bei der Anwendungserstellung, beim Testen, Packaging sowie bei der Bereitstellung eingesetzt. Doch seit dem Siegeszug dieser Technologie fanden die Sicherheitsforscher viele Container Images auf Docker Hub, die bösartig waren oder für verschiedene Angriffe missbraucht wurden. Allein im Jahr 2020 wurden zahlreiche bösartige Container Images für Kryptowährungs-Mining genutzt. Diese Vorfälle unterstreichen die Empfehlung, nur offizielle Docker Images zu verwenden, um potenzielle Sicherheitsrisiken zu minimieren und Bedrohungen zu verhindern.

Bild 1. Infektionsablauf in einem Docker Image

Exponierte Docker-APIs erleichtern es zudem Angreifern, die Server zu nutzen, um Krypto-Miner zu installieren. Privilegierte Docker Container und exponierte Daemon-Ports könnten ebenfalls zu Angriffsflächen werden.

Kubernetes

Kubernetes ist ein Orchestrierungs-Tool zur für die skalierbare Bereitstellung und Verwaltung von Containern. Kubernetes-Dienste werden von vielen Cloud-Anbietern wie Microsoft Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (EKS) und Google Kubernetes Engine (GKE) angeboten. Solche Managed Services tragen dazu bei, das Risiko grösserer Fehlkonfigurationsprobleme zu verringern. Da dies jedoch für einige Umgebungen keine Option darstellt, können beim On-Premise Betrieb von Kubernetes-Clustern Risiken im Zusammenhang mit Fehlkonfigurationen auftreten.

Bild 2. Skizze eines Kubernetes Clusters und dessen Komponenten (Quelle: Kubernetes.io)

Die API spielt eine wichtige Rolle für die Kubernetes-Sicherheit. Kann eine Anwendung, die innerhalb eines Clusters eingesetzt wird, mit dem API-Server interferieren, muss dies als Sicherheitsrisiko betrachtet werden. Daher sollte die API nur den Geräten zur Verfügung gestellt werden, die sie benötigen, eine Massnahme, die durch die Implementierung einer rollenbasierten Zugriffskontrolle und durch die Gewährleistung des Prinzips der geringsten Privilegien erreicht werden kann.

In einem falsch konfigurierten Szenario kann eine einzige anfällige Anwendung als Einstiegspunkt für den gesamten Cluster dienen. Benutzer sollten sicherstellen, dass nur der kube-api-server-Zugriff auf den etcd (ein verteilter Schlüsselwert-Speicher für kritische Daten) hat, da sonst unbeabsichtigte Datenlecks oder unbefugte Änderungen auftreten könnten. Zudem sollte ein Pod (eine grundlegende Bereitstellungseinheit innerhalb eines Kubernetes-Clusters) mit weniger Privilegien betrieben werden, um eine Kompromittierung von Knoten oder des gesamten Clusters zu vermeiden.

Online IDEs

Die Online Cloud-Entwicklungsumgebungen stellen eine interessante Alternative zu den Desktop-Systemen dar.

Cloud IDEs bringen alle Fähigkeiten und Tools zusammen, die ein Softwareentwickler benötigt. Zu den beliebtesten IDEs gehören AWS Cloud9 und Microsofts Visual Studio Codespaces. Visual Studio Codespaces ist eine komplette Anwendung in einer vernetzten Umgebung, während AWS Cloud9 nur Backend Services auf einer verlinkten Maschine bietet, und zusätzlich Frontend Services innerhalb der AWS Cloud.

Die interne Backend-Implementierung variiert je nach Cloud-IDE-Anbieter, aber alle bieten eine Terminal-Schnittstelle zur Umgebung des Benutzers. In den meisten Fällen haben die Benutzer die volle Kontrolle über die Umgebung und sind gleichzeitig für die Gewährleistung einer sicheren Konfiguration verantwortlich. Fehlkonfigurationen können auftreten, wenn Ports für eine erweiterte Nutzung von Anwendungen exponiert werden, sollte der Cloud Provider Timeouts einsetzen, die das verlinkte Gerät bei längerer Inaktivität abschalten.

Im Gegensatz dazu stehen für Visual Studio Codespaces eine Reihe von Erweiterungen zur Verfügung. Diese eignen sich jedoch auch als potenzielle Angriffsfläche. Beispielsweise kann eine in mit einem Backdoor versehene Erweiterung zu einer Systemkompromittierung führen aufgrund fehlender Berechtigungsprüfungen während der Installation oder Nutzung. Um solche Risiken zu mindern, sollten Entwicklungsteams nur vertrauenswürdige Plug-Ins oder Erweiterungen installieren und ihre Umgebungen auf die neueste Version aktualisieren.

Auch sind die Fälle von bösartigen Browser Plug-Ins bekannt, und ihre Funktionalität lässt sich auf Online IDE-Entwicklung erweitern. Ein Proof-of-Concept hat gezeigt, wie ein Angreifer darüber Code stehlen kann. Auch ist bekannt, dass Banking-Trojaner Browser-Funktionen nutzen, um Zugangsdaten von Nutzern zu stehlen. Eine Alternative dazu könnte Code stehlen oder auf Tokens für die IDE zugreifen.

Empfehlungen

Mit zunehmender Komplexität der im Backend verwendeten Software steigt das Risiko von Fehlkonfigurationen. Deshalb sollten Entwicklerteams sich immer dessen bewusst sein, dass es keine sichere Umgebung gibt. Folgende Best Practices können die Backend-Sicherheit verbessern helfen:

  • Umsetzung des Prinzips der Mindestprivilegien: Beschränken der Kontoprivilegien in Cloud-Diensten, vor allem wenn diese an öffentliche Cloud-Anbieter gebunden sind. Darüber hinaus sollten die Berechtigungen und der Zugriff auf Tools limitiert sein, um zu verhindern, dass Angreifer in der Computerumgebung Fuss fassen.
  • Admin-Konten nicht für alltägliche Aufgaben nutzen: Der Admin sollte nur für Continuous Integration and Continuous Deployment (CI/CD)-Tools eingesetzt werden.
  • Checks durchführen auf veraltete oder angreifbare Bibliotheken im Code: Tools wie der OWASP Dependency-Check und Lösungen etwa von Snyk liefern kostenlose Drittanbieter-Überprüfung für quelloffene Projekte.
  • Compliance zu Industriestandards: So können etwa Kubernetes-Anwender die CIS Kubernetes Benchmark vom Center for Internet Security (CIS) checken, um kritische Dateien und Verzeichnisse zu monitoren. Container-Nutzer können das Gleiche mithilfe des Application Container Security Guide vom National Institute of Standards and Technology (NIST) erreichen.

Cloud-Sicherheitslösungen

Cloud-spezifische Sicherheitslösungen wie die Trend Micro™ Hybrid Cloud Security können zum Schutz von Cloud-nativen Systemen und ihren verschiedenen Schichten beitragen. Die Software bietet schlanke, automatisierte Sicherheit für die DevOps Pipeline mit mehreren XGenTM Threat Defense-Techniken. Unterstützt wird sie von Trend Micro Cloud One™ , einer Sicherheitsdienste-Plattform für Cloud-Entwickler. Sie bietet automatisierten Schutz für die CI/CD-Pipeline und Anwendungen. Sie trägt auch dazu bei, Sicherheitsprobleme früher zu erkennen und zu lösen und die Lieferzeit für die DevOps-Teams zu verkürzen. Die Plattform umfasst:

Der vollständige Report „Supply Chain Attacks in the Age of Cloud Computing: Risks, Mitigations, and the Importance of Securing Back Ends“ steht Interessierten zur Verfügung.

Zukunftsszenarien im Faktencheck

Originalbeitrag von Rik Ferguson, VP Security Research

Im Jahr 2012 durfte Trend Micro an einem sehr spannenden Forschungsprojekt teilnehmen, das unter der Schirmherrschaft der International Cyber Security Protection Alliance (ICSPA) durchgeführt wurde, und an dem der Autor zusammen mit Experten des European Cyber Crime Centre (EC3) von Europol unter der Leitung von Dr. Victoria Baines mitarbeitete.

Ziel des Projekts war es, ein Whitepaper zu erstellen, in dem die technologischen Fortschritte der kommenden acht Jahre vorgestellt werden, die gesellschaftlichen und verhaltensbedingten Veränderungen, die sie nach sich ziehen, sowie natürlich die sich daraus möglicherweise ergebenden Vergehen. Aufbauend auf einer Basissynthese aus damals aktuellen Technologien, Bedrohungen und Einjahres-Vorhersagen wurden die komplexen Zusammenhänge und Auswirkungen der aufkommenden Technologien in Szenarien für Regierungen, Unternehmen und Bürger herausgearbeitet. Das Projekt betrachtete eine kurz- bis mittelfristige Zukunft, in der technologische Entwicklungen sowohl neue Möglichkeiten als auch neue Bedrohungen schaffen.

Bereits nach dem ersten Entwurf des Whitepapers wussten wir, dass wir etwas tun mussten, um es einem breiteren Publikum als sonst üblich zugänglich zu machen. Um wirklich die Sicherheit einer künftigen Welt voranzubringen, ist es unerlässlich, das Interesse nicht nur der Unternehmen von morgen, sondern auch der Verbraucher und der Gesetzgeber zu wecken.

Deshalb gab Trend Micro eine Web-Serie von neun fünfminütigen Episoden in Auftrag, die in der im Dokument beschriebenen Welt spielt, und die von uns mitgestaltet wurde. Dieser Blade-Runner-ähnliche Krimi versuchte nicht nur, die im Whitepaper „Project 2020: Scenarios for the Future of Cybercrime“ gemachten Vorhersagen zu konkretisieren und zum Leben zu erwecken, sondern auch, kritisch die Inhalte einem viel breiteren Publikum zugänglich zu machen als es das ursprüngliche akademische Dokument konnte. Der Berichterstattung in den Massenmedien wie USA Today nach zu urteilen, war das Projekt seinerzeit ein Erfolg. Auch wurde es für verschiedene Preise nominiert und gewann sogar Gold bei mehreren grossen Medienfestivals, darunter die Shorty Awards und das World Media Festival.

2020 nun sollten wir die Gelegenheit nutzen, das Projekt anhand einer Reihe von Erfolgsfaktoren objektiv zu überprüfen. Was haben wir in Bezug auf technologische Entwicklungen und Auswirkungen auf die Cybersicherheit „richtig“ gemacht, und was haben wir verpasst?

https://youtube.com/watch?v=ykWgWsGW4aM%3Ffeature%3Doembed

Interessierte finden weitere Informationen auf der 2020 Website. Dort lässt sich die Web-Serie ansehen und nicht nur das ursprüngliche Whitepaper herunterladen, sondern auch eine gründliche Analyse „The Benefit of Foresight Project 2020 in Review“. Die Site gibt auch einen Vorgeschmack auf das, was vielleicht als Nächstes kommt!