Schlagwort-Archive: Angriff

VirusTotal unterstützt Trend Micro ELF Hash

Originalartikel von Fernando Merces

IoT Malware-Forscher kennen die Schwierigkeiten beim Wechsel von einem bestimmten Malware-Sample zu einem anderen. IoT-Malware-Samples sind schwierig zu handhaben und zu kategorisieren, da sie in der Regel für mehrere Architekturen kompiliert werden. Ausserdem mangelt es an Tools und Techniken zur Untersuchung dieser Art von Dateien. Um IoT- und Linux-Malware-Forscher generell bei der Untersuchung von Angriffen, die ELF-Dateien (Executable and Linkable Format) enthalten, zu unterstützen, gibt es seit April 2020 ELF Hash von Trend Micro (oder auch telfhash). Telfhash ist ein quelloffener Clustering-Algorithmus zur effizienten Cluster-Bildung von Linux IoT Malware-Samples. Einfach gesagt, handelt es sich um ein Konzept, ähnlich dem Import-Hashing (oder ImpHash) für ELF-Dateien. Doch gibt es einige entscheidende Unterschiede zwischen Telfhash und einem Simbol Table Hash. Jetzt hat VirusTotal die Unterstützung für telfhash angekündigt.

VirusTotal war schon immer ein wertvolles Tool für Bedrohungsforscher. Mit telfhash können die Nutzer der VirusTotal Intelligence-Plattform von einer ELF-Datei auf weitere kommen. Telfhash ist für die IoT-Forschung und mehr von Vorteil, denn dieser Clustering-Algorithmus kann auch für jede Linux-bezogene Malware-Untersuchung verwendet werden, wie z.B. die Analyse einiger Angriffe auf Docker-Container, Windows Subsystem für Linux (WSL), Cryptominer, Rootkits und viele andere. Besonders hilfreich kann er auch in Fällen sein, in denen Varianten von Malware zu plattformübergreifenden Bedrohungen werden.

Funktionsweise

Als Beispiel soll eine ausführbare 32-Bit-ELF-Datei dienen, die mit der IoT-Malware Mirai in Verbindung steht. Nachdem der Hash für die Suche verwendet wurde, findet der Nutzer den Telfhash-Wert im „Detail“-Teil des Suchergebnisses. Klickt er diesen Wert an, so kann er ELF-Dateien suchen, die dem telfhash entsprechen.

Bild 1. Ergebnisse der telfhash-Suche

Der „Behavior“-Tab liefert nützliche Informationen zu den gefundenen Samples. Das sind Daten wie kontaktierte IP-Adressen und C&C URLs, die für eine Untersuchung sehr wichtige Netzwerkindikatoren aufzeigen. Dieses Beispiel (weitere Details im Originalbeitrag) zeigt, wie ein Forscher von einem einzigen IoT-Malware Hash auf sieben andere kommen kann.

Bild 2. Der „Behavior“-Tab eines der gefundenen 64-Bit-Samples

Telfhash ist auch über die VirusTotal API erhältlich.

Sichere und smarte Verbindungen: Schutz für IoT-Netzwerke im Remote Setup

Originalartikel von Trend Micro

Beim Absichern des Internet of Things (IoT) konzentrieren sich die meisten auf die „Dinge“ oder die im Markt verfügbaren Geräte. Auch wenn die vernetzten Geräte zweifelsohne Sicherheitsherausforderungen mit sich bringen, so ist der Schutz des Netzwerks in seiner Funktion der Bereitstellung einer sicheren IoT-Umgebung sehr wichtig. Während dieser Zeit der Work-from-Home (WFH)-Vereinbarungen ist ein erhöhter Bedarf an Netzwerken entstanden, da Fernbetrieb eine grössere Abhängigkeit vom IoT geschaffen hat. Statt sich auf die Sicherung einzelner Geräte zu konzentrieren, die ein Netzwerk kompromittieren können, sollten die Nutzer auch das Netzwerk absichern, um Bedrohungen über mehrere Geräte hinweg zu minimieren.

Schwachstellen in IoT-Geräten sind eine Tatsache, mit der Nutzer zurechtkommen müssen. Je mehr Geräte in einem Netzwerk sind, desto schwieriger wird es, sie im Auge zu behalten und Bedrohungen zu verhindern, die die Umgebung kompromittieren könnten. Um IoT-Geräte davor zu schützen, bei einem Angriff wie Distributed Denial of Service (DDoS) missbraucht zu werden, sollten Nutzer Best Practices befolgen.

Auch darf nicht vergessen werden, dass die Geräte der verschiedenen Hersteller ein unterschiedliches Sicherheitsniveau aufweisen und sich auch in ihrer Lebensdauer unterscheiden. Einige Geräte sind für Büros und Unternehmen konzipiert, während andere für Privathaushalte oder normale Verbraucher bestimmt sind. Beide Typen verfügen jedoch normalerweise nur über Sicherheitsmassnahmen, die auf ihre Verarbeitungsmöglichkeiten beschränkt sind.

Ein sicheres Netzwerk kann eine zusätzliche Sicherheitsschicht bieten, die alle angeschlossenen Geräte mit einschliesst. Netzwerksicherheit kann Bedrohungen minimieren und einen einheitlichen Rahmen bieten, aus dem heraus Sicherheitsmassnahmen für unterschiedliche IoT-Geräte umzusetzen sind.

Vorbereitung eines Netzwerks für IoT

In den meisten Fällen existieren die Netzwerke bereits, bevor sie mit IoT ausgestattet wurden. Deshalb ist eine Neubewertung der Netzwerksicherheit erforderlich auch bezüglich einer Einschätzung, inwieweit ein Netzwerk für die Integration von IoT-Geräten geeignet ist, und welche Schwachstellen noch beseitigt werden müssen.

Im Folgenden ein paar Überlegungen, bevor eine IoT-Umgebung in ein Setting eingefügt oder neu erstellt wird:

Upgrade des Netzwerks, um eine höhere Bandbreite zu erhalten: Kommen Endpunkte hinzu, nehmen diese Ressourcen in Anspruch, die ein Netzwerk möglicherweise nicht liefern kann. Können diese IoT-Geräte, die ständig Daten austauschen, nicht berücksichtigt werden, sind Verbindungsprobleme die Folge. Insbesondere Unternehmen sollten im Voraus planen, wie sie ihre Bandbreite am besten zuweisen, und dabei genau festlegen, welche Abteilungen wann mehr benötigen könnten.

Überprüfung bereits vorhandener Endpunkte im Netzwerk: Nutzer müssen auch die Sicherheit der Geräte überprüfen, die bereits Teil des Netzwerks sind, bevor IoT-Geräte hinzukommen. Endpunkte wie Computer oder Smartphones können ebenfalls Schwachpunkte sein, vor allem wenn diese Geräte relativ alt sind oder wesentliche Aktualisierungen nicht durchgeführt wurden. Sie sollten auch auf Kompatibilität mit neuen Geräten geprüft werden, die dem Netzwerk hinzugefügt werden.

Netzwerkrichtlinien auf dem neuesten Stand halten: Unternehmen müssen ihre Netzwerk-Policies aktualisieren. Mitarbeiter, die ständig im Netz sind, sollten sich stets der Auswirkungen bewusst sein, wenn dem Netzwerk weitere Endpunkte hinzugefügt werden. Aktualisierte Netzwerkrichtlinien müssen daher neue Sicherheitsanforderungen wie die Verwaltung der Benutzerberechtigungen, Regeln für „Bring-Your-Own-Devices“ (BYOD) und Richtlinien für WFH-Vereinbarungen enthalten.

IoT-Risiken mithilfe des Netzwerks stoppen

In der nächsten Phase geht es darum, nicht nur Netzwerke vor IoT-bezogenen Risiken zu schützen, sondern Sicherheit auf Netzwerkebene als Tool einzusetzen, um Bedrohungen einzudämmen und zu minimalisieren. Folgende Überlegungen können IoT-Risiken und -Bedrohungen effizient einschränken:

Einsatz von Sicherheit auf Netzwerkebene: Manche IoT-Geräte im Netzwerk kommunizieren mit externen Systemen und mit der öffentlichen Cloud, und die meisten kommunizieren mit anderen Geräten in demselben Netzwerk. Sollte eines dieser Geräte korrupte Signale übermitteln, wären Unternehmen, die keine Überwachung innerhalb des Netzwerks durchführen, nicht in der Lage, diese Geräte zu erkennen. Sicherheit auf Netzwerkebene, zusätzlich zur Perimeterverteidigung, kann solche Ereignisse verhindern helfen.

Erstellen von separaten Netzwerken: Eine weitere Möglichkeit, das Risiko von IoT-bezogenen Angriffen zu minimieren, besteht darin, ein separates, unabhängiges Netzwerk für IoT-Geräte und ein weiteres für Gastverbindungen zu schaffen. In WFH-Szenarien können Benutzer auch firmeneigene Geräte wie Laptops in ein separates Netzwerk stellen oder sie für andere Geräte zu Hause unauffindbar machen. Ein segmentiertes Netzwerk kann dabei helfen, Eindringlinge oder Infektionen, die von anfälligen Geräten ausgehen, zu isolieren. Sowohl im Unternehmen als auch zu Hause wäre ein separates Gastnetzwerk auch hilfreich, um weitere Cyberattacken und Malware zu verhindern.

Nutzen der Sicherheitsfähigkeiten von Routern: Da Router in Netzwerken eine wichtige Rolle spielen, ist es auch wesentlich, die Sicherheitsmerkmale dieser Geräte zu kennen  und zu nutzen. Zum Beispiel haben viele Router eine eingebaute Funktion, um ein Gastnetzwerk zu erstellen, das andere Zugangsdaten als das Hauptnetzwerk verwendet.

Bessere Übersicht über das Netzwerk: Sichtbarkeit ist der Schlüssel zur Gewährleistung der Sicherheit des Netzwerks. Sogar in Unternehmensumgebungen können Gäste intelligente Geräte an das Unternehmensnetzwerk anschliessen, ohne dass Sicherheitsverantwortliche dies sofort bemerken. Unternehmen müssen in ihrem Netzwerk über die erforderlichen Tools verfügen, um diese Verbindungen zu überwachen. Darüber hinaus sind diese Tools nicht nur zur Ermittlung der Verbindungen erforderlich, die notwendig oder riskant sind, sondern auch, um Massnahmen in die Wege zu leiten, bevor Bedrohungen erkannt werden.

Monitoring auf verdächtige Verhaltensweisen: Netzwerk-Monitoring gehört dazu, um eine bessere Übersicht zu gewinnen. Neben guten Kenntnissen zu jedem Gerät erleichtert das Wissen über verdächtiges Verhalten das Erkennen von Geräteübernahmen oder Infektionen.

Entfernen anonymer Verbindungen: Jede Verbindung zum Netzwerk muss identifiziert oder benannt werden. Mithilfe einer entsprechenden Kennzeichnung der einzelnen Geräte lassen sich anonyme Verbindungen reduzieren oder entfernen. Dies hilft Benutzern und Integratoren, ihr Netzwerk besser zu überwachen und mögliche unerwünschte Verbindungen zu lokalisieren. Auch ist es viel einfacher, problematische Geräte zu identifizieren, die aus dem Netzwerk entfernt werden müssen.

Policies über das Netzwerk durchsetzen: Sicherheitslösungen, die Transparenz und Kontrolle über das Netzwerk bieten, helfen bei der Durchsetzung der Richtlinien, die vor der Integration von IoT-Geräten implementiert wurden. Mithilfe der Möglichkeiten des Netzwerks können anonyme Verbindungen oder solche, die gegen festgelegte Richtlinien verstossen, entfernt werden.

Geräte überlegt wählen: Obwohl Netzwerklösungen dazu beitragen können, Sicherheitslücken zu schliessen, die durch die uneinheitliche Sicherheit zahlreicher Geräte entstehen, sind sie nicht als singuläre Lösung gedacht. Daher sollten Anwender bei der Auswahl ihrer Geräte besonders kritisch sein. Zum Beispiel ist es ratsam, sich zu informieren und die verschiedenen Merkmale und Typen von Geräten zu berücksichtigen. Darüber hinaus sollten die gewählten Geräte immer auf dem neuesten Stand sein.

Die Rolle des Administrators der Dinge ernst nehmen: IT-Experten, die für die Netzwerksicherheit eines Unternehmens verantwortlich sind, haben bei der Sicherung von WFH-Setups nur eine begrenzte Kontrolle. Aus diesem Grund müssen die Benutzer oder „Administratoren of Things“ zu Hause sowohl die Pflichten ihrer Rolle kennen als auch wissen, wie wichtig diese Rolle ist, insbesondere in der gegenwärtigen Realität der längerfristigen WFH-Abmachungen.

Bild. IoT-Geräte können über verschiedene Fähigkeiten Verbindungen zum Büronetzwerk herstellen.

Sicherheitslösungen

Um eine mehrschichtige Verteidigung aufzubauen, können Anwender umfassende Lösungen einsetzen, wie etwa Trend Micro™ Security und Trend Micro™ Internet Security, die effiziente Mechanismen zum Schutz vor Bedrohungen für IoT-Geräte bieten und Malware auf Endpunktebene erkennen können. Vernetzte Geräte lassen sich auch über Lösungen schützen, wie Trend Micro™ Home Network Security und Trend Micro™ Home Network Security SDK, die den Internet-Verkehr zwischen dem Router und allen verbundenen Geräten prüfen können. Schliesslich kann die Trend Micro™ Deep Discovery™ Inspector-Netzwerk-Appliance alle Ports und Protokolle überwachen, um Unternehmen vor fortgeschrittenen Bedrohungen und gezielten Angriffen zu schützen.

IoT Monitoring-Daten zu Threat Defense umwandeln

Originalartikel von Shimamura Makoto, Senior Security Specialist

Der Sicherheitsbericht zur Jahresmitte 2020 von Trend Micro weist im Vergleich zum zur zweiten Jahreshälfte 2019 eine Steigerung von 70 Prozent bei Angriffen auf Geräte und Router aus. Dazu gehören auch Attacken auf Internet-of-Things (IoT)-Systeme, die in ihrer Häufung beunruhigen. Die Sicherheitsforscher von Trend Micro überwachen die Trends bezüglich dieser Angriffe und untersuchten Mirai und Bashlite (aka Qbot), zwei berüchtigte IoT Botnet-Schädlingstypen. Interessant sind die Zahlen zu den C&C-Servern dieser Botnets, den IP-Adressen und C&C-Befehle. Auch sammelten die Forscher Daten über die bei der Verbreitung der Malware am häufigsten verwendeten Angriffsmethoden und untersuchten die Verteilung ihrer Varianten.

Zu diesem Zweck überwachten sie C&C-Server mit Verbindung zu Mirai und Bashlite. Die IP-Adressen und Ports der C&C-Server wurden durch die Analyse verwandter Malware-Beispiele sowohl aus internen Datenbanken als auch aus externen Open-Source-Informationen, wie z.B. Informationen aus Twitter-Posts, gewonnen.

Tausende aktiver C&C-Server zeigen Häufung von IoT-Angriffen

Mirai-VariantenBashlite-Varianten
Gesammelte C&C-Serverinformationen7.0305.010
C&C-Server, die eine Verbindung akzeptierten2.9511.746
C&C-Server, die mindestens einen DDoS-Befehl absetzten2.1071.715

Tabelle 1. Anzahl der C&C-Server

Die meisten C&C-Server waren inaktiv. Das bedeutet, als sie entdeckt wurden, akzeptierten sie keine Verbindungen. Doch ein Teil der Server (2.951 für Mirai und 1.746 für Bashlite) waren noch „lebendig“ oder aktiv und ein Teil davon gab auch Distributed Denial-of-Service (DDoS)-Befehle an ihre infizierten Clients aus.

Bild 1. Anzahl der C&C-Server, die eine Verbindung akzeptierten

Es ist offensichtlich, dass die Zahl der aktiven C&C-Server nach wie vor hoch ist, obwohl es Jahre her ist, dass diese Malware-Typen zum ersten Mal in der Öffentlichkeit auftauchten (Mirai um 2016 und Bashlite um 2014). Ausserdem fanden sich 573 gemeinsame IP-Adressen unter den C&C-Servern der beiden Malware-Familien, so dass es möglich ist, dass einige Cyberkriminelle sowohl Mirai als auch Bashlite als Werkzeuge verwenden. Möglicherweise wurde die gleiche IP-Adresse auch von einem anderen Cyberkriminellen wiederverwendet.

Hunderte Befehle zeigen die Botnet-Aktivität

Insgesamt fanden die Forscher 3.822 C&C-Server, die DDoS-Befehle ausgaben. Einer der Server, setzte eine ganze Lawine von 64.991 Befehlen ab.

Bild 2. DDoS-Befehle von den C&C-Servern

Neben den in der Grafik dargestellten Daten gab es auch 136 C&C-Server, die über 1.000 Befehle ausgaben. Eine relativ geringe Anzahl von Servern war aktiv, und es scheint, dass einige inaktive C&C-Server entweder nur zu Testzwecken eingesetzt wurden oder nicht gut funktionieren.

Mit Hilfe von WHOIS fanden die Forscher die Organisationen hinter den IP-Adressen von C&C-Servern. Die meisten C&C-Server basierten auf Hosting-Services, einige davon Bulletproof, die von Cyberkriminellen dazu genutzt werden, um C&C-Server zu betreiben, während sie selbst anonym bleiben. Quellcode von IoT-Malware ist im Untergrund erhältlich, und damit ist es für die Kriminellen einfach, Tools für die Angriffe zu erstellen.

Angriffsmethoden von Mirai

Die Mirai-Familien können auf verschiedene Architekturen wie ARM, x86, MIPS, SH4 und andere abzielen. Die Forscher entdeckten fünf Arten von Angriffsmethoden:

RankName der AngriffsmethodeErklärungC&C-Server mit Verbindung zu Samples
1CVE-2017-17215Command injection attack that targets Huawei HG532 router1423
2Password listingThe malware uses hard-coded credentials to log in to devices that have default or weak credentials.607
3CVE-2014-8361Command execution attack using UPnP SOAP vulnerability in Miniigd that targets devices developed with Realtek SDK520
4ThinkPHP 5.0.23/5.1.31 RCEAn attack that exploits remote code injection vulnerability in ThinkPHP 5.0.23/5.1.31422
5CVE-2018-10561CVE-2018-10562Authentication Bypass and Command Injection vulnerabilities in GPON routers173

C&C-Server in Verbindung mit den Mirai-Varianten

Mehrere Malware-Samples stammen von den gleichen Verteilungsservern. In diesem Fall sind die Inhalte der Samples bis auf ihre Zielarchitekturen nahezu identisch.

Bild 3. Verteilung von Mirai-Varianten über C&C-Server (nur Top Strings)

Es zeigte sich, dass die dargestellten 11 Varianten mit insgesamt 5.740 Servern in Verbindung standen. Die Strings, üblicherweise XOR-kodiert, zeigten sich über Sandbox-Analysen der Malware -Samples in Verbindung mit den Servern. (Achtung: Die meisten davon stammen nur aus Open Source-Quellen; daher stimmt die Summe der Zahlen nicht mit den Zahlen in Tabelle 1 überein.) Weitere Informationen bietet auch der Originalbeitrag.

Verwendung der IOC-Daten für besseren Schutz

Um Kunden vor Cyberbedrohungen zu schützen, verwendet Trend Micro die gesammelten Indicators of Compromise (IOCs) für die verschiedenen Systeme des Monitorings, um die Fähigkeit zur Erkennung von Bedrohungen zu verbessern. Die Sicherheitsforscher sammeln URLs für IoT-Malware-Downloads, fügen sie der Web-Reputationsdatenbank hinzu und kennzeichnen sie entsprechend. Dadurch wird verhindert, dass sich die Geräte der Anwender mit solchen bösartigen URLs verbinden. Darüber hinaus erstellen die Forscher proaktiv ein Erkennungsmuster, sobald sie bei der Überwachung ein neues Muster finden.

Verteidigung von IoT-Systemen

Die meisten IoT-Malware-Programme nutzen die Schwachstellen von IoT-Geräten oder anfälligen Zugangsdaten zur Infektion aus. Um zu verhindern, dass sie durch IoT-Malware kompromittiert werden, wird Benutzern empfohlen, die folgenden Best Practices zu befolgen:

  • Keine Standard-Benutzernamen und -Passwörter verwenden: Nutzer sollten stattdessen sichere Passwörter einrichten, die nicht leicht erraten werden können. Dadurch sind Geräte weniger anfällig für Brute-Force-Angriffe oder Passwortlisten.
  • Regelmässig Software-Updates der Hersteller anwenden: Damit werden Schwachstellen behoben, die eine Infektion ermöglichen.
  • Geräte nicht ans Internet anschliessen, wenn es für ihre Funktion unnötig ist: Sie sollten lieber in ein internes Netzwerk unter einem Gateway-Router gestellt werden, um Angreifern den Zugriff darauf zu verwehren.

Folgende Trend Micro-Lösungen sind zum Schutz vor IoT-bezogenen Bedrohungen empfehlenswert:

Raffinierter BEC-Betrug trifft französische Unternehmen

Originalbeitrag von Cedric Pernet, Senior Threat Researcher

Die hochgradig anonyme und oft vertraulich ausgelegte Natur des Internets hat zu einer Verbreitung von Betrügereien geführt, die darauf abzielen, von Menschen und Organisationen Geld abzuschöpfen. Trend Micro hat diese Betrügereien im Laufe der Jahre verfolgt und gesehen, wie sie sich von einfachen Schemata zu ausgefeilten Kampagnen entwickelt haben. Eine der gefährlichsten Betrugsmaschen heutzutage ist Business Email Compromise (BEC). Dieser Trick hat Unternehmen 2019 1,7 Mrd. $ Verluste beschert. Trend Micro hat bereits häufig über BEC-Themen berichtet. Ziel dieses Beitrags nun ist es, anhand einer sehr raffinierten Kampagne, die mithilfe von Social Engineering eine Vielzahl von französischen Unternehmen ins Visier nahm, Anwendern nochmals die Gefahren ins Bewusstsein zu bringen.

Bild 1.der Ablauf des BEC-Betrugs

Bei der Recherche verschiedener BEC-Attacken stiessen die Sicherheitsforscher auf einen Vorfall, bei dem böswillige Akteure sich als ein französisches Unternehmen in der Metallverarbeitungsindustrie ausgaben, das seine Dienstleistungen für viele verschiedene Unternehmen anbietet.

Die Täter registrierten am 27. Juli eine Domäne, die der legitimen Domäne des Unternehmens sehr ähnlich ist (wobei die gefälschte Domäne einen falsch geschriebenen Firmennamen hat) und benutzten sie, um E-Mails an ihre Ziele zu senden. Die betrügerische E-Mail, deren Absender sich als echter Mitarbeiter des Unternehmens ausgab, enthielt eine dringende Aufforderung an die Empfänger, die Bankverbindung des Unternehmens auf ein neues Konto bei einer italienischen Bank zu ändern. Die Mail umfasste zwei PDF-Anhänge mit einem Bestätigungsschreiben der durchgeführten Änderung und eine Datei mit den neuen Bankdaten.

Gleich nachdem die Forscher den Betrug bemerkt hatten, wandten sie sich an die Zielfirma (die sehr kooperativ war) und bemühten sich gemeinsam die Auswirkungen auf das Unternehmen zu verhindern. Darüber hinaus hatten sie eine Beschwerde eingereicht und sich an die italienische Bank gewandt, um den Betrugsversuch zu stoppen.

Nachforschungen

Eine Recherche auf der Unternehmens-Website zeigte, dass die Betrüger tatsächlich einen Mitarbeiter der Firma als vorgebliche Absender ausgesucht hatten, der jedoch nicht, wie in der Mail angegeben, in der Buchhaltung beschäftigt war sondern als Webmaster. Möglicherweise wählten sie aufgrund der Informationen, die sie vorher gefunden hatten, eine zufällige Person aus.

Die Betrüger machten interessanterweise einige Fehler:

  • Sie vergassen, den Zielnamen in der Kopfzeile des E-Mail-Inhalts zu ändern und gaben so den Namen eines anderen Ziels Preis. Ein aufmerksamer Mitarbeiter hätte dies möglicherweise als ungewöhnlich bemerken und misstrauisch werden können.
  • Zudem gab es eine weitere Version der PDF-Datei mit dem Konto, das für die Änderung der Bankverbindung verwendet wurde, jedoch nicht die Zielfirma als Konteninhaber auswies sondern eine Einzelperson, deren Namen vor allem in der Elfenbeinküste häufig vorkommt.

Die E-Mail-Adresse für die Registrierung der betrügerischen Domain wurde seit 2019 für die Registrierung mehrerer anderer Domains verwendet, die alle ähnliche Namen wie legitime französische Firmendomains aufweisen, aber auch hier zum Teil mit leichten Fehlern. Die verwendete E-Mail-Adresse schien nicht kompromittiert worden zu sein und wurde wahrscheinlich von den böswilligen Akteuren selbst erstellt.

Aus dieser Liste geht auch hervor, dass die Angreifer auf eine breite Palette von Branchen abzielen. Es konnte zwar nicht bestätigt werden, dass alle diese Domänen für BEC-Betrug genutzt wurden, aber mindestens einen weiteren Fall gab es, in dem die Betrüger eine Organisation aus der Gesundheitsbranche im Visier hatten.

Französische Steuerbehörde als Köder

In vielen BEC-Schemata infizieren die Täter die Rechner ihrer Ziele mit Malware, die es ihnen ermöglicht, E-Mails zu lesen – und damit Informationen zu sammeln. Sobald die Cyberkriminellen Zugang zu den Mailboxen ihrer Ziele haben, suchen sie nach Material über die Personen, die mit den Finanz- und Buchhaltungsabteilungen der Organisation zu tun haben. Darüber hinaus bemühen sich die Angreifer auch um Informationen über die Kunden und Partner des Unternehmens. Mit dieser Methode können sich BEC-Betrüger dann als Mitarbeiter ausgeben, um ein Opfer mittels Social Engineering für ihre Ziele einzuspannen.

Dies ist das übliche BEC-Vorgehen. Für diesen Fall gab es jedoch Beweise, dass die Cyberkriminellen zwar ebenfalls Malware verwendeten, diese letztlich aber gar nicht wirklich brauchten. Stattdessen nutzten sie eine alternative – und zugegebenermassen clevere – Methode, um selbst nach den Finanzdaten ihres Ziels zu fahnden.

Mit Hilfe der betroffenen Organisation konnten die Forscher herausfinden, wie die Cyberkriminellen vorgegangen waren: Sie stellten ihre E-Mails so dar, als stammten sie vom französischen Finanzamt, um Informationen über ihr Ziel zu sammeln. Etwas mehr als zwei Wochen vor der Registrierung der gefälschten Domain schickten die Angreifer eine E-Mail an das Unternehmen, die angeblich vom General Directorate of Public Finances (DGFiP) stammte und Steuernachfragen betraf. In einem PDF-Anhang forderte das vorgebliche Finanzamt Informationen für die Kunden des Unternehmens, Mitarbeiter und Finanzdaten, wobei das Schreiben sehr echt aussah und formuliert war. Lediglich ein aufmerksamer Blick auf die Adresse zeigte eine leichte Unstimmigkeit. Sobald die Betrüger die gewünschten Informationen hatten, konnten sie die nächste Phase des Angriffs starten. Weitere Einzelheiten beinhaltet der Originalbeitrag.

Breitgefächerte Ziele

Eine Suche nach ähnlichen E-Mails in den Systemen der Forscher erbrachte mindestens 73 verschiedene französische Unternehmen, die von diesen Cyberkriminellen anvisiert worden waren.

Bild 2. Die Verteilung der von diesem BEC-Betrug anvisierten Unternehmen nach Branchen

Die am meisten ins Visier genommene Branche in dieser BEC-Kampagne ist die verarbeitende Industrie, insbesondere Fertigungsunternehmen, die High-Tech-Produkte und -Materialien herstellen. Zahlreiche der anvisierten Unternehmen arbeiten mit vielen verschiedenen Dienstleistungsanbietern und Partnern zusammen, so dass Anträge auf Änderungen der Bankverbindungen weniger verdächtig erscheinen. Es ist sehr wahrscheinlich, dass der Betrug weiter verbreitet ist, als dies aus den vorliegenden Daten hervorgeht.

Zusätzlich zur Kontaktaufnahme und Zusammenarbeit mit der ersten untersuchten Organisation, wurden auch die anderen Zielpersonen informiert.

Verteidigung gegen BEC-Angriffe

Unternehmen sind gut beraten, ihre Mitarbeiter bezüglich der Funktionsweise von BEC-Betrug und ähnlichen Bedrohungen zu schulen. Diese Tricks erfordern keine besonderen technischen Fähigkeiten. Sie benötigen lediglich ein einziges kompromittiertes Konto und Services, die im cyberkriminellen Untergrund leicht erhältlich sind. Daher sind folgende Best Practices von grossem Nutzen:

  • Alle E-Mails eingehend prüfen. Besondere Vorsicht ist bei unregelmässig ankommenden E-Mails angebracht, die von hochrangigen Führungskräften verschickt werden, insbesondere bei solchen, die ungewöhnlich dringlich scheinen. E-Mails, in denen es um Forderungen nach Geld geht, sollte immer geprüft werden, ob es sich um ungewöhnliche Anfragen handelt.
  • Das Bewusstsein der Mitarbeiter schärfen. Mitarbeiter müssen geschult werden, Unternehmensrichtlinien überprüft und gute Sicherheitsgewohnheiten aufgebaut werden.
  • Verifizieren aller Änderungen des Zahlungsziels von Lieferanten, indem eine zweite Unterschrift eines Firmenmitarbeiters gefordert wird.
  • Mit Kundengewohnheiten auf dem Laufenden sein, einschliesslich der Details und Gründe für Zahlungen.
  • Anfragen immer verifizieren. Bestätigen der Anfragen für Geldtransfers mit Hilfe der telefonischen Verifizierung als Teil der Zweifaktor-Authentifizierung (2FA). Dabei sollten bekannte, vertraute Nummern und nicht die in den E-Mail-Anfragen angegebenen Details genutzt werden.
  • Unverzügliche Meldung eines jeden Vorfalls an die Strafverfolgungsbehörden oder bei der Beschwerdestelle für Internet-Kriminalität (IC3).

Trend Micro-Lösungen

Die E-Mail- sowie Endpoint-Sicherheitsfähigkeiten der Trend Micro User Protection– und Network Defense-Lösungen können Mail-Nachrichten blocken, die in BEC-Angriffen verwendet werden, und erkennen auch fortgeschrittene Malware. Die InterScan Messaging Security Virtual Appliance als Teil der User Protection-Lösungen bietet Schutz vor Angriffen, die Social Engineering-Taktiken verwenden, wie etwa BEC.

Security-Strategie – „Take back control”

von Richard Werner, Business Consultant

Ein abgedroschener Slogan aus der politischen Brexit-Kampagne als Titel einer Security-Strategie? Und mehr noch, er unterstellt dem Leser, die Kontrolle verloren zu haben! Leider stimmt er teilweise, denn in letzter Zeit fällt die Häufung der Schlagzeilen auf, die über Unternehmen, Behörden oder öffentliche Einrichtungen als Opfer von Cyber-Attacken berichten. Als Folge oder als Lehre daraus wird regelmässig eine „Umstrukturierung der IT Security“ gefordert. Die Betroffenen haben nachweislich die Kontrolle über Ihre IT Security zumindest für einen gewissen Zeitraum verloren. Haben sie also individuell etwas fundamental falsch gemacht, oder ist der schwerwiegende Ausbruch das offensichtliche Symptom einer schon längst verloren gegangenen Kontrolle?

Der Einsatz von IT in Unternehmen wird zu einem immer wichtigeren Grundpfeiler des Geschäftsmodells. Digitalisierung auf der einen und Mitarbeiter auf der anderen Seite treiben diese Entwicklung weiter voran. Die IT ist dabei oft historisch und vor allem lösungsorientiert gewachsen. In diesem somit vorhandenen Sammelsurium verschiedenster Technologien und Systeme ist die IT-Security mitgewachsen und in den meisten Umgebungen ebenso „vielfältig“. Analysten errechneten 2017, dass grössere Unternehmen im Schnitt Produkte von 80 verschiedenen Sicherheitsanbietern einsetzen. Die Steuerung dieser, zwangsläufig als Silo vorhandenen, also separaten, nicht integrierten Lösungen obliegt sehr oft den Fachabteilungen. Klassisch wird dabei beispielsweise zwischen Netzwerk, Endpoint und Rechenzentrum unterschieden.

Kontrollverlust

Den Kontrollverlust bemerken IT-Sicherheitsverantwortliche oft erst, wenn sie sich mit der Realität eines tatsächlichen Angriffs konfrontiert sehen. Dann allerdings werden die Lücken offenbar. Ist der Angriff kleiner und lokal begrenzt, wird häufig schlicht eine weitere Sicherheitstechnologie eingesetzt. Die dafür ausgegebene Summe steht im direkten Verhältnis zum erzeugten Schaden.

Ist es allerdings ein ernstzunehmender Angreifer, der bewusst Unternehmensnetze infiltriert mit dem Ziel, möglichst breitflächig Systeme zu übernehmen, werden die dramatischen Auswirkungen dieser Strategie richtig deutlich. In der öffentlichen Wahrnehmung sind diese Angriffe mit dem Schädling „Emotet“ verbunden, der seit Anfang 2019 für unrühmliche Schlagzeilen sorgt. Tatsächlich gab es ähnliche Angriffe schon früher, und sie sind weiterverbreitet als vielen bewusst ist. Der Grund, warum Emotet und seine Nachfolger für Schlagzeilen sorgen, ist die Tatsache, dass die Kriminellen hinter den Angriffen bewusst destruktiv auftreten und exorbitante Lösegeldsummen fordern.

Auswirkungen des Kontrollverlusts

Die Herausforderung, der sich betroffene Firmen dabei stellen müssen, ist die Frage, wieso es den Angreifern gelang trotz Security-Technologie in das Netzwerk einzudringen und sich darin auszubreiten. Das Vorgehen der böswilligen Akteure beruht zumeist auf den wohlbekannten „Social Engineering“-Techniken, also dem „Austricksen“ von Menschen und Sicherheitslücken. Die eingesetzte Sicherheitstechnologie erkennt Teile des Angriffs dabei regelmässig. Diese Teile werden auch in den entsprechenden Tools dargestellt und geloggt. Die „Kunst“ der Angreifer dabei besteht darin, in den jeweiligen Silos als unbedeutender Event zu erscheinen, denn so können sie sich oft monatelang in einem Netzwerk ausbreiten.

Es ist nicht nur die Erkennung des Angriffs, die Probleme bereitet. Ist dieser offenkundig, geht es darum, schnell und effizient Gegenmassnahmen zu ergreifen. Auch hier stellt sich die Vielzahl unterschiedlichster Sicherheitslösungen als kontraproduktiv heraus. Nicht zuletzt bedeutet auch die Verteilung der Aufgaben in verschiedenen Fachabteilungen, dass rein menschliche Hürden wie z.B. ungleiche Wissensstände überwunden werden müssen.

Diese Herausforderungen sorgen letztlich für einen enormen Aufwand und nicht selten auch für Frustration.

Kontrolle zurück erlangen

Was bedeutet nun „Take back control“? IT-Security ist zum Glück zumeist eine ziemlich langweilige Aufgabe, von der jeder hofft, dass sie nie spannend wird. Ein „brutaler“ Angriff erfolgt auch nicht täglich, weil die Security-Technologie wesentlich besser als Ihr Ruf ist. Fortschrittliche Lösungen sind darauf ausgerichtet, Auffälligkeiten zu erkennen und Ungewöhnliches zu entdecken. Um dies sinnvoll tun zu können, benötigen sie Informationen aus möglichst vielen Bereichen, die sie dann konsolidieren müssen. Geht es um eine übergreifende Konsolidierung, fällt der Silo-Gedanke weg, dem zufolge eine Abteilung die Security des eigenen Bereiches „mitmacht“. Diese Verantwortung wird zentralisiert, und in grösseren Unternehmen entstehen dabei z.B. Security Operation Center (kurz SOC).

Umbau der Sicherheit

Gerade Unternehmen, die jüngst einen Vorfall zu verkraften hatten, ändern ihre Security-Strategie grundlegend. Im Ernstfall eines Angriffs kommt es vor allem auf Schnelligkeit und Effizienz an. Eigene Teams werden dabei durch externe Spezialisten ergänzt. Ist eine Umgebung historisch gewachsen, wird es zunehmend schwieriger Spezialisten zu finden, die zumindest einen Grossteil der eingesetzten Sicherheitslösungen auf Expertenniveau bedienen können. Auch die Koordination mit unterschiedlichen Supportabteilungen der einzelnen Hersteller erweist sich als Herausforderung. Unternehmen, die diese Erfahrung machen mussten, ändern deshalb in der Regel ihre Strategie hin zu einem sogenannten XDR-Modell. Der grundlegende Gedanke dahinter ist es, die Analyse von Security Events zu automatisieren und mithilfe von künstlicher Intelligenz den Menschen zu entlasten. In einem solchen Modell wird die Anzahl der Hersteller minimiert und einer strategisch gesetzt.

XDR

Das Konzept XDR besagt, dass alle Informationen sowohl aus den Schutzmodulen als auch die „Detection“ (Erkennung) und „Response“ (Gegenmaßnahme) zentral gesteuert werden. Das „X“ wiederum steht für übergreifend (Cross) und bezeichnet die Zusammenführung verschiedener Technologien. Informationen werden durch die Systeme automatisch korreliert und für Menschen verwertbar dargestellt. Alternativ lassen sich auch Gegenmassnahmen automatisieren. Je mehr Tools eines strategischen Herstellers eingesetzt werden, desto genauer ist die Analyse und automatisierbarer sind die Gegenmaßnahmen. Aber nicht nur die Technik bietet Vorteile. In einer Notfallsituation minimiert das Anwenderunternehmen auch die Anzahl der zuständigen Kontakte und Supportstellen. Gleichzeitig ist auch für die eigenen Mitarbeiter die Bedienung zentralisierter Konsolen einfacher und überschaubarer. Abgesehen davon kann in der Regel durch Einsparungen bei z.B. Lizenzen, Schulungen und anderen Managementkosten neben einer verlässlichen IT-Security auch der ROSI (Return of Security Investment) verbessert werden.

Trend Micro-Lösungen

Trend Micro gehört mit nun über 30 Jahren Erfahrung zu den Pionieren der IT-Security und weiss, dass sich Sicherheit konstant weiter entwickeln muss. Der Anbieter gehört folgerichtig auch zu den ersten, die einen XDR Ansatz bieten.

Trend Micro™ XDR sammelt und korreliert detaillierte Aktivitätsdaten für mehrere Vektoren – E-Mail, Endpunkte, Server, Cloud-Workloads und Netzwerke. Dies ermöglicht ein Ausmass an Erkennung und Untersuchung, das mit SIEM oder individuellen Punktlösungen nur schwer oder gar nicht zu erzielen ist. Dies ermöglicht ein Ausmass an Erkennung und Untersuchung, das mit SIEM oder individuellen Punktlösungen nur schwer oder gar nicht zu erzielen ist. Kombinierter Kontext macht Ereignisse, die für sich betrachtet harmlos erscheinen, plötzlich zu wichtigen Indikatoren für Gefährdungen. So können Sie die Auswirkungen schnell eindämmen und den Schweregrad und Umfang minimieren.

XDR stellt einen SIEM-Konnektor für die Weiterleitung von Warnungen bereit. Die Korrelierung von Ereignissen aus Trend Micro Produkten führt zu weniger, jedoch zuverlässigeren Warnungen und reduziert den Sichtungsaufwand für Sicherheitsanalysten. Nach dem Klick auf eine SIEM-Warnung können Analysten auf die Untersuchungs-Workbench von XDR zugreifen, um weitere Daten zu erhalten, das Ereignis detaillierter zu analysieren und die notwendigen Massnahmen zu ergreifen.

Kriminelle Methoden: Das Bulletproof Hosting-Geschäft

Originalartikel von Vladimir Kropotov, Robert McArdle und Fyodor Yarochkin, Trend Micro Research

Viele cyberkriminelle Aktionen zeigen ein gewisses Mass an Organisation, Planung und irgendeine Form der Grundlage, die den technischen Scharfsinn des Einzelnen oder der Gruppe dahinter widerspiegelt. Zum Modus Operandi eines Cyberkriminellen gehört die Nutzung der Untergrundinfrastruktur. In der Reihe „Underground Hosting“ haben die Autoren dargelegt, wie cyberkriminelle Waren in den Marktplätzen verkauft und welche Arten von Dienstleistungen angeboten werden. Dieser letzte Teil der Reihe widmet sich den Methoden, die Kriminelle anwenden, um ihre Güter zu sichern und im Geschäft zu überleben.

Da Infrastruktur-anbietende Plattformen sehr unterschiedlich sind, ist es schwierig, bösartige Quellen aufzudecken.

Das Whitepaper „The Hacker Infrastructure and Underground Hosting: Cybercrime Modi Operandi and OpSec“ beleuchtet das Ökosystem des Bulletproof Hostings aus Sicht der Kriminellen und zeigt deren „Überlebensstrategien“ sowie die Hauptschwächen, die Forschern und den Strafverfolgungsbehörden bei ihrer Arbeit helfen können.

Kriminelle Verkäufer nutzen zum Schutz ihrer Geschäfte unterschiedliche Mechanismen. Die Angebote bei diesen „Geschäften“ sind häufig auf die jeweiligen Wünsche und Forderungen der Kriminellen abgestimmt. Bulletproof-Hosting (BPH)-Services, auch als missbrauchsresistente Dienste bekannt, und in einigen Fällen auch Offshore-Hosting, umfassen in der Regel kompromittierte Assets und Infrastrukturen mit einem hohen Mass an Widerstandsfähigkeit gegen Missbrauch. Die Provider bieten ihren Kunden oft Unterstützung an, indem sie frühzeitige Benachrichtigungen über Missbrauchsanfragen austauschen und sogar Server automatisch in einen anderen IP-Raum verschieben.

Ein Bulletproof Host setzt verschiedene Methoden ein, um die unter seinen Fittichen operierenden Verbrechen aufrechtzuerhalten und Schutz vor den Strafverfolgungsbehörden zu bieten. Die BPH-Dienste tendieren dazu, Ressourcen strategisch global zu verteilen und dabei lokale Vorschriften und geografische Besonderheiten zu berücksichtigen. Eine Darstellung der Merkmale von Bulletproof-Hosting Providern liefert der Originalbeitrag.

Das Hosting auf kompromittierten Assets ist die billigste Variante, mit dem Vorbehalt, dass die Hosts nicht lange überleben. Hosting-Anbieter, die über ihre Rechenzentren und Infrastruktur verfügen, sind für Systeme rentabler, die eine langfristige Verfügbarkeit erfordern.

IP-Adressen, die ein Untergrundforum zwischen Januar und April 2020 genutzt hat

Die Überlebensfähigkeit der Hosts hängt von der Anpassungsfähigkeit der Betreiber ab. Wenn das Geschäft eingestellt wird, können als Reaktion auf Missbrauchsanfragen neue Briefkastenfirmen gegründet werden. Ein Upstream-Provider könnte IP-Bereiche einfach in neue Unternehmen übertragen. Einige Provider verlagern sogar ihren Virtual Private Server (VPS), um es den Strafverfolgungsbehörden zu erschweren, Systeme zu beschlagnahmen. In Verbindung mit Front-End-Reverse-Proxies gewährleisten Hosts auch eine Hochverfügbarkeit der Dienste. Zum Beispiel kann ein Host für einen bestimmten Zeitraum kontinuierlich von einem Standort aus agieren, bevor er aktiv zwischen verschiedenen Ländern hin- und herwechselt.

Die von Kriminellen bevorzugten Standorte nach Ländern, Aktivitäten (auf der Basis des Hosting-Feedbacks von Untergrundakteuren)

Achtung: [Y]es: Untergrund-Akteure erwähnen diesen Standort; [N]o: Untergrund-Akteure raten aktiv von der Nutzung diesem Standort ab; [M]aybe: Untergrund-Akteure erwähnen gelegentlich diesen Standort mit Einschränkungen, etwa die Zielregion

Aufgrund der vielen standortabhängigen Unterschiede bei Beschränkungen und Dienstleistungen kombinieren kriminelle Verkäufer Vorteile, um ihr Geschäftsmodell zu optimieren. Viele der BPH-Anzeigen beschreiben nicht nur die Art des Hostings, sondern auch das Land, in dem sich die Ausrüstung physisch befindet.

Die BPH-Anbieter scheinen auch gut über die regionalen Rechtsvorschriften informiert zu sein und darüber, wie die Strafverfolgungsbehörden reagieren und international zusammenarbeiten. Es ist üblich, dass die Betreiber die Anzahl nützlicher Log-Dateien minimieren und von anonymen Quellen wie Tor-Netzwerken auf das System zugreifen.

Auch gibt es die Möglichkeit, genauso wie in der legalen Welt, im Markt vorhandene Hosting Provider zu vergleichen. Unter anderem fanden die Forscher eine Site, auf der mehr als 1.000 Hostings miteinander verglichen wurden, und zwar nach verschiedenen Fähigkeiten, Kategorien sowie Kundenbeurteilungen.

Kriminelle Ansätze zur Vermeidung von DDoS –Angriffen und Forum Scraping

Untergrundforen sind häufige Ziel von Distributed Denial of Service (DDoS)-Angriffen durch verärgerte Forumsmitglieder und Konkurrenten. Eine Ausfallzeit kann den Ruf eines Forums erheblich beeinträchtigen und folglich dazu führen, dass Mitglieder zu Foren von Konkurrenten wechseln. Der Schutz vor DDoS-Angriffen hingegen erhöht den Ruf eines Forums als stabile Plattform.

Ein über einen DDoS-Schutzservice gesichertes Forum

Forumsbetreiber setzen auch verschiedene Mechanismen gegen automatisiertes Scraping ihrer Inhalte ein. Sicherheitsforscher und Strafverfolgungsbehörden setzten auf Scraping, um die Aktivitäten der Akteure im Untergrund zu analysieren. Einige Foren ermöglichen temporären oder nicht autorisierten Nutzern den Zugriff auf lediglich zehn Seiten innerhalb von 24 Stunden.

Wie legitime Websites verwenden auch kriminelle Foren Captcha-Systeme, um ihre Seiten vor automatischem Scraping und Besuchen durch Suchmaschinen und Bots zu schützen. Einige Underground-Akteure haben sie sich jedoch kreative Ersatzlösungen für Captcha ausgedacht. Sites stellen in der Regel zufällige Fragen zu verschiedenen Anwendungsbereichen – einige davon erfordern Kenntnisse über den kulturellen Hintergrund des Zielpublikums des Forums.

Beispiele der Fragen, die statt Captcha genutzt werden

Der Screenshot zeigt ein Beispiel für ein solches System, das mit einer Kategorie von Fragen zum Allgemeinwissen beginnt, bevor es zu einer Frage geht, die Nicht-Muttersprachler, die sich auf maschinelle Übersetzung verlassen, überfordern könnte.

„Zerologon”und die Bedeutung von Virtual Patching

von Trend Micro

Die vor kurzem veröffentlichte CVE namens „Zerologon“ (CVE-2020-1472) schlägt hohe Wellen. Über Zerologon können Angreifer den Kryptographiealgorithmus im Netlogon Authentifizierungsprozess ausnutzen und die Identität eines beliebigen Computers annehmen, wenn dieser sich beim Domänen-Controller authentifiziert. Einfacher gesagt, erlaubt diese Sicherheitslücke im Netlogon Remote Protocol (MS-NRPC) Angreifern, ihre Anwendungen auf einem Gerät im Netzwerk auszuführen. Ein nicht authentifizierter böswilliger Akteur könnte MS-NRPC dazu nutzen, sich mit einem Domain Controller (DC) zu verbinden und einen administrativen Zugang zu erlangen.

Laut Dustin Childs von der Zero-Day-Initiative (ZDI) ist das Schlimmste daran, dass es „keinen vollständigen Fix gibt“. Dieser Patch ermöglicht es DCs, Geräte zu schützen, aber um diesen Fehler vollständig zu beheben, bedarf es eines zweiten Patch, der derzeit für Q1 2021 geplant ist, der einen sicheren Remote Procedure Call (RPC) mit Netlogon erzwingen soll.. Doch auch nach Anwendung dieses Patch müssen noch Änderungen am DC vorgenommen werden, so der ZDI-Experte. Microsoft hat Anleitungen veröffentlicht, die Administratoren bei der Auswahl der richtigen Einstellungen helfen sollen.

Eigentlich sollte man davon ausgehen können, dass ein vorhandener Patch das Problem einfach löst. Doch die Idee des „einfachen Patchens“ ist nicht so simpel wie sie klingt – siehe auch den Blogeintrag von Dustin Childs dazu. Die durchschnittliche Mean Time to Patch (MTTP) beträgt 60 bis 150 Tage. Diese CVE wurde Anfang August veröffentlicht, sodass die Implementierung des Patches zwischen Oktober 2020 und Januar 2021 zu erwarten ist. Das heisst, Unternehmen sind bis dahin zwei bis fünf Monate lang bekannten Bedrohungen ausgeliefert.

Es heisst, dass nach der Veröffentlichung von Patches für neue CVEs von Microsoft und Adobe an jedem ersten Dienstag eines Monats die Angreifer an die Arbeit gehen und Exploits schreiben, die die Fehler ausnutzen, bevor die Patches aufgespielt wurden.

Schutz für Unternehmen

Trend Micro kann diese Zeiten, bis ein Patch aufgespielt wurde, über virtuelles Patching überbrücken. Die Technik liefert einen zusätzlichen Sicherheits-Layer, um vor Schwachstellen zu schützen, bis ein offizieller Anbieter-Patch angewendet wurde. Wie schon die Bezeichnung vermuten lässt, funktioniert der Schutz wie ein Patch, der für die Sicherheit der Umgebung sorgt, sollte jemand versuchen, die Schwachstelle auszunutzen. Virtuelle Patches können zum wichtigen Sicherheitsnetz werden.

Trend Micro kann mit virtuellem Patching vor Zerologon und tausenden anderen Sicherheitslücken schützen. Dank der ZDI sind die TippingPoint-Kunden bereits 81 Tage bevor ein Patch veröffentlicht wird geschützt, denn sobald eine Sicherheitslücke der ZDI gemeldet wird, beginnt das Team an dem Schutz vor der Lücke zu arbeiten.

Traditionelle Sicherheitsdenkweise kann die Cloud-basierte Transformation gefährden

Originalartikel von Gurmail Singh

Cloud Computing verändert Organisationen auf der ganzen Welt und macht sie wendiger, kosteneffizienter und reaktionsfähiger. Doch bleibt Sicherheit ein permanentes Hindernis. Dabei können veraltete Vorstellungen darüber, wie Sicherheit in der Cloud aussehen sollte, den falschen Eindruck erwecken, dass eine Migration von Natur aus risikoreicher sei als die Aufbewahrung von Daten On-Premise. De facto aber gibt es Cloud-fähige Lösungen, die eine ebenso sichere Umgebung wie herkömmliche Lösungen bieten, wenn nicht eine gar noch sichere.

Eine kürzlich von Trend Micro beauftragte Studie für CLOUDSEC Online zeigte etwa für Grossbritannien, dass nahezu die Hälfte (47%) der IT-Leiter ihre Sicherheitsstrategien nicht aktualisiert haben, um auch Cloud-Umgebungen mit einzubeziehen.

Diese Denkweise könnte ernste Probleme nach sich ziehen, weil traditionelle Sicherheitswerkzeuge nicht für die Cloud konzipiert sind. Und das bedeutet, dass ihr Einsatz in diesen Umgebungen gefährliche Sicherheitslücken und Leistungsengpässe verursachen kann. Zu den Herausforderungen gehören die folgenden:

Geteilte Verantwortlichkeiten: Beim Einsatz eines Sicherheitstools, das nicht für die Cloud konzipiert ist, wird der Kunde seinen Anteil der Cloud-Verantwortung nicht wahrnehmen.

Mehrschichtige Sicherheit: Für Unternehmen, die für jede Sicherheitsherausforderung ein anderes Tool verwenden, kann sich deren Management sehr komplex und damit schwierig gestalten – Fehlmanagement und mangelnde Akzeptanz sind die Folgen.

Sichtbarkeit: Ein Schlüsselmanko von traditionellen Tools ist die nicht vorhandene Fähigkeit, Einsichten über physische, virtuelle, Cloud-VM und Container-Umgebungen hinweg zu bieten.

Manuell: Traditionelle Tools sind klobig, nicht automatisiert und erfordern manuelle Eingriffe, was dazu führen kann, dass sich menschliche Fehler einschleichen.

Lizenzierung: Organisationen zahlen unter Umständen mehr als nötig, wenn sie nicht Cloud-Tools mit dynamischer Lizenzierung für Cloud-Nutzungsszenarien (PAYG, auf Stunden-, Monats- oder Jahresbasis je nach Anwendungsfall und Betriebsmodell oder Unternehmensverträge) wählen.

Fehlkonfiguration: Dies ist eine der grössten Gefahren für Cloud-Daten. Falsche Konfigurationen werden nicht erkannt, wenn ein Unternehmen nicht auf Cloud-fähige Sicherheit setzt.

DevSecOps: erfordert straffe Sicherheit, die über APIs in CI/CD-Pipelines eingebaut wird. Dabei könnten traditionelle Werkzeuge zu einem Hindernis für Innovation und schnelle Entwicklung werden.

Multi-Cloud: Diese Umgebungen erfordern die Fähigkeit, alle verschiedenen Sicherheitstools unter einen Hut zu bringen, sprich auf einer Konsole sichtbar, überwachbar und zentral zu kontrollieren.

Fähigkeiten: sind sehr gefragt in der Cybersicherheits-Branche. Leider bringen On-Premise Sicherheitswerkzeuge mehr Komplexität und die Notwendigkeit manueller Bedienung mit sich – das Gegenteil von dem, was Organisationen mit begrenzten internen Sicherheits-Skills heute benötigen.

Was nun?

Die Umfrage zeigte, dass der Mangel an Integration zwischen Sicherheitswerkzeugen für beide Umgebungen für ein Drittel (33 %) der Teilnehmer das grösste Problem in ihrer alltäglichen Arbeit darstellt und gleichzeitig auch das grösste Hindernis für den Einsatz von Cloud-Sicherheit (43 %).

Die Lösung ist eine Plattform, die umfassenden Schutz für physische, virtuelle Cloud- und Container-Umgebungen bietet, einschliesslich von Tools zur Erkennung wichtiger Konfigurationsfehler. Es bedeutet einen hohen Grad an Automatisierung, um die Einhaltung von Compliance zu erleichtern und die betriebliche Effizienz zu verbessern. Trend Micro Cloud One ist ein Beispiel einer solchen Lösung.

Bekämpfung von Bedrohungen wie Ryuk mittels Trend Micro XDR

von Trend Micro

Bedrohungen, die mehrere Ebenen der Infrastruktur einer Firma treffen, sind heutzutage weit verbreitet. Unternehmen setzen für deren Erkennung und Reaktion darauf häufig Sicherheitstools ein, die sich lediglich auf einzelne Bereiche und nicht auf das gesamte System konzentrieren. Einige Unternehmen haben auch Security Information and Event Management (SIEM)-Tools im Einsatz, um die verschiedenen Bedrohungen zu aggregieren. SIEM-Lösungen sind zwar effektiv, doch ist deren Betrieb oft teuer. Darüber hinaus erfordern sie häufig das Sichten grosser Datenmengen für Korrelation und Analyse durch die Security Operation Center (SOCs). Andere Sicherheitslösungen wiederum verfügen zwar über leistungsstarke Erkennungs- und Reaktionsfähigkeiten, doch fehlt ihnen die Telemetrie, die für den Blick über den Tellerrand erforderlich ist. Der Beitrag stellt anhand eines realen Beispiels dar, mit welcher Art der Bedrohungen SOCs fertig werden müssen und welche Art der Sicherheitslösung für das Handling dieser Bedrohungen benötigt wird.

Ryuk: eine heutige Bedrohung

Ryuk gehört zu den auffallendsten Ransomware-Familien der letzten Zeit. Sie verkörpert möglicherweise am besten das neue Paradigma der Ransomware-Angriffe, bei denen böswillige Akteure Qualität vor schiere Quantität stellen.

Oberflächlich betrachtet unterscheidet sich Ryuk kaum von anderen Ransomware-Familien der Vergangenheit. Sie verschlüsselt weiterhin wichtige Dateien, Dokumente und andere sensitive Daten. Doch einen auffallenden Unterschied zu anderen gibt es: Während andere Ransomware wahllos Opfer mit einer wie mit einer Schrotflinte angeht, zielen die Cyberkriminellen mit Ryuk auf ganz bestimmte Unternehmen, von denen sie ein viel höheres Lösegeld verlangen. Da die Akteure häufig hinter äusserst sensiblen Informationen etwa in der Finanzbranche und dem Militär her sind, bleibt den Opferorganisationen oft nichts anderes übrig, als die beträchtliche Lösegeldsumme zu zahlen.

2019 untersuchten Trend MicroManaged XDR and Incident Response-Teams einen Vorfall eines Kunden, der mit Ryuk-Ransomware infiziert war. Diese Infektion umfasste mehrere Ebenen der Kompromittierung, darunter mehrere Endpunkte und das Netzwerk des Unternehmens. In diesem Fall bestand Ryuks Routine aus E-Mails als Infektionsvektor, um zum Endpunkt zu gelangen. Von dort aus verbreitete sie sich auf den Rest des Netzwerks.

Die Infektion begann mit einer bösartigen Spam-Mail, die an einen Mitarbeiter der Organisation geschickt wurde mit einen bösartigen Anhang – ein Downloader für TrickBot -, der sich innerhalb des Netzwerks auf zwei Wegen verbreiten kann: entweder durch den berüchtigten EternalBlue-Exploit (der auch bei den WannaCry-Angriffen von 2017 verwendet wurde) oder durch gestohlene Zugangsdaten.

Im Fall des besagten Kunden nutzte TrickBot nach dem Download ins System angreifbare Router aus und verwendete sie als Command-and-Control (C&C)-Server zum Austausch von Anleitungen. Zudem legte TrickBot Ryuk als Payload ab.

Die TrickBot-Module weisen auch Fähigkeiten für den Informationsdiebstahl auf, so dass die Malware in jeder Opfer-Organisation deren Dateien verschlüsseln und ihre Informationen stehlen  kann. Und das führt zu Schäden, die weit über das hinausgehen, was normale Ransomware-Familien anrichten können.

Hier war Trend Micro Managed XDR in der Lage, die kompromittierten Rechner und die Angriffskette zu identifizieren, indem Daten aus verschiedenen Quellen gesammelt wurden, um so ein klareres Bild davon zu erhalten, womit die Organisation es zu tun hatte.

Trend Micro XDR: auf fortgeschrittene Bedrohungen zugeschnitten

Trend Micro XDR ist darauf ausgerichtet, alle Bedrohungen wie Ryuk mithilfe von Machine Learning und Analytics für die Korrelation verschiedener Vorfälle über mehrere Ebenen hinweg zu bekämpfen. Die XDR-Lösung gibt es entweder als Plattform oder als Managed Service über Trend Micro Managed XDR, die sich den gesamten Wissens- und Erfahrungsschatz der Sicherheitsexperten von Trend Micro zunutze macht, um rund um die Uhr Alarme zu überwachen und Prioritäten zu setzen sowie Recherchen und Suchen nach Bedrohungen durchzuführen.

Die Lösung unterstützt Unternehmen dabei, Strategien zur Erkennung und Reaktion auf Bedrohungen zu implementieren. Die Herausforderungen für Unternehmen bestehen unter anderem in folgenden Punkten:

  • Teure und oft miteinander unvereinbare Sicherheitswerkzeuge, die für die Datenaggregation und -analyse benötigt werden. Ein traditionelles SOC-Setup verwendet mehrere Softwarepakete mit unterschiedlichen Methoden zur Speicherung und Indizierung von Daten – die sich auf verschiedene Teile des Systems konzentrieren. Der Silo-Charakter dieser Tools führt dazu, dass Sicherheitsanalytiker Daten manuell korrelieren müssen, was eine zusätzliche Belastung für ihren Arbeitsablauf darstellt.
  • Endpoint Detection and Response (EDR)-Lösungen, die nicht über die gesamte Telemetrie-Palette verfügen, um den ganzen Umfang eines Angriffs zu erkennen.
  • Die zu lange Zeitspanne, die für Fragen von hoher Priorität aufgewendet wird. Das bedeutet, dass die Stärkung und Verbesserung der Sicherheitsprozesse und der Systeminfrastruktur in den Hintergrund treten.

Durch den Einsatz von maschinellem Lernen, fachkundiger Sicherheitsanalyse und Erkennungsregeln für die Korrelation und Priorisierung von Warnmeldungen kann Trend Micro XDR das SOC einer Organisation dabei unterstützen, den Zeitaufwand für die Überprüfung und Recherche zu verringern und dadurch schnellere Erkennungs- und Reaktionsmöglichkeiten zu schaffen. Es nutzt die von jedem Vektor gesammelten Telemetriedaten, um Sicherheitsanalysten einen vollständigen Einblick in laufende Angriffe zu ermöglichen und gleichzeitig die XDR-Analyse-Engine für eine schnellere und effektivere Reaktionsstrategie bei künftigen Angriffen zu verbessern.

Trend Micro XDR nutzt einen facettenreichen Ansatz, der auf mehreren Ebenen des Systems arbeitet:

E-Mails

Trend Micro Cloud App Security kann den E-Mail Layer schützen durch den Einsatz von maschinellem Lernen für Webreputation und dynamische Analysen. Die Lösung kann verdächtige Inhalte nicht nur im Text sondern auch im Anhang erkennen. Sie bietet Sandbox-Analysen und Exploit-Erkennung für Dokumente.

Endpunkte

Trend Micro Apex One bietet fortschrittliche, automatisierte Erkennung und Abwehr zum Schutz der Endpunkte vor Bedrohungen wie Ransomware und dateilose Malware. Darüber hinaus kann es die von einem Angriff betroffenen Endpunkte mit Hilfe von anpassbaren Untersuchungs- und Überwachungsfunktionen auf Abruf identifizieren.

Netzwerk

Trend Micro Deep Discovery Email Inspector kann das Unternehmensnetzwerk überwachen, einschliesslich allen physischen, virtuellen Verkehrs. Die Lösung liefert mithilfe spezialisierter Erkennungs-Engines und anpassbarer Sandbox-Analyse vollständige Einsichten in alle Aspekte von fortgeschrittenen Bedrohungen.

Cloud

Trend Micro Cloud One – Workload Security schützt Cloud Workloads, Servers und Container vor Bedrohungen in kritischen Anwendungen, Betriebssystemen und Plattformen wie Docker und Kubernetes. Zu den eingesetzten Techniken gehören virtuelles Patching und maschinelles Lernen.

Die Infografik zeigt anhand des Ryuk-Beispiels, wie Trend Micro XDR jede Ebene eines Unternehmens schützt:

XDR: Analyse eines mehrstufigen Angriffs mit Ngrok

Originalbeitrag von Aprilyn Borja, Abraham Camba, Khristoffer Jocson, Ryan Maglaque, Gilbert Sison, Jay Yaneza

Einer der Hauptvorteile einer Endpoint Detection and Response (EDR)-Sicherheitslösung besteht darin, dass sie so genannten Blue Teams (Sicherheitsmitarbeiter, die für die Instandhaltung und Analyse der Verteidigungsmechanismen des Unternehmensnetzwerks zuständig sing) die benötigten Einsichten liefern, um einen Sicherheitsvorfall bereits frühzeitig zu erkennen und einzugrenzen. Die Innovationen in der Sicherheitstechnologie werden häufig von einer entsprechenden Entwicklung bei den Tools und Techniken begleitet, die böswillige Akteure einsetzen. Das Trend Micro ™ Managed XDR Team musste kürzlich einen Vorfall bei einem Kunden lösen, der gezeigt hat, wie ein böswilliger Akteur mit bestimmten Techniken in einem Angriff die Analyse des Ablaufs erschwerte.

Im Juli 2020 stiess das Team von Trend Micro über die Endpunktsicherheitslösung Trend Micro Apex One ™ auf das folgende verdächtige Ereignis in der Umgebung eines Kunden:

Process: c:\windows\system32\reg.exe CommandLine: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v <value> /t REG_SZ /d „\“c:\Windows\system32\<random name>\““ /f

Es war auffällig, dass erstens der Name des Wertes der erstellten Registry nach dem Muster eines bestimmten Sicherheitsanbieters gestaltet war. Zweitens gab es einen Fehler (oder vielleicht war es Absichtl) in der Schreibweise des Registry-Namens. Schliesslich gab es noch die zufällig benannte ausführbare Datei im Systemverzeichnis. Betrachtet man all dies im Zusammenhang, so liess der Alert die Alarmglocken schrillen.

Es zeigte sich, dass die ausführbare Datei einen Keylogger darstellte, der die Maus- und Tastenbewegungen an ein Gmail-Konto schickte. Das Team fand hartkodierte Informationen in der Binärdatei, die belegen, dass diese speziell für die Zielorganisation erstellt wurde. Darüber hinaus zeigte die Datei auch, dass die Angreifer bereits Informtionen über die Organisation hatten.

Die Durchsuchung der Records und Ereignisse über den Dateinamen des Keyloggers und Hash ergab folgende Erkenntnisse:

Datei-Events: Die Datei wurde entweder über Netzwerkfreigaben oder über den Einsatz eines Exploits den Kernel betreffend abgelegt.

Events mit Befehlszeilen-Parametern: Der Angreifer war in der Lage, einen Service zu erstellen, der eine Reihe von cmd.exe-Prozesse anstösst, um einen Persistenzmechanismus zu aufzubauen.

Registry-Daten: Es gab Einträge, die die Befehlszeilen-Parameter umfassten, die an reg.exe weiter gegeben wurden. Das erklärt auch die vielen cmd.exe-Prozesse.

Daraufhin drangen die Sicherheitsforscher tiefer vor und fanden heraus, dass es eine Komponente geben musste, die mit der Aussenwelt kommunizierte – eine Kopie von ngrok, einem Softwareprogramm, über das eine interne Maschine nach draussen sichtbar ist, indem der Verkehr über die ngrok-Website geroutet wird. Ist das Tool auf zwei Maschinen vorhanden, so sind diese beiden extern sichtbar. Trend Micro hat bereits beschrieben, wie ngrok für bösartige Zwecke missbraucht werden kann.

Die genaueren technischen Details zur Analyse liefert der Originalbeitrag.

Simulieren eines Angriffs

Um die Funktionsweise des Angriffs zu verstehen, simulierte das Team eine solche Attacke und installierten ngrok auf einer der Maschinen (Maschine A), die weder von aussen sichtbar noch zugänglich war.

Ngrok kann jeden offenen IP-Port innerhalb des internen Netzwerks, der für Maschine A (einschließlich sich selbst) zugänglich ist, im Internet exponieren. Im Beispiel exponierte ngrok eine weitere Maschine (Maschine B) 192.168.19.129:445 über den ngrok-Server. So konnte das Sicherheitsteam auf 192.168.19.129:445 über 2.tcp.ngrok.io:14139 zuzugreifen. Mithilfe des Smbexec-Dienstmoduls des Impacket Toolkits und der Anmeldedaten von Maschine B liessen sich von einer externen Maschine einfache Ping-Befehle an Maschine B senden.

Bild 1. Über eine externe Maschine lässt sich ein ping-Befehl an Maschine B senden.

Das daraus resultierende Verhalten war ähnlich dem in der Umgebung des Kunden, wo zufällig benannte Service-Einträge erstellt und dann gelöscht wurden. Die Befehle wurden ausgeführt, ohne dass eine Binärdatei auf dem Zielcomputer abgelegt werden musste.

Weil die Befehle als Dienst ausgeführt wurden, läuft er zudem mit erhöhten Privilegien. Da der Netzwerkverkehr über den ngrok-Dienst getunnelt wurde, war der Befehls- und Kontrollserver effektiv verborgen. Solange der Angreifer die von ngrok zugewiesene öffentliche Adresse kennt, kann er sich von überall und jederzeit mit dem kompromittierten Endpunkt verbinden.

Auch wenn nicht zu erwarten war, dass die Simulation die Aktionen des Angreifers vollständig wiedergeben würde, lieferte sie doch wertvolle Hinweise darauf, wie der Angriff möglicherweise abgelaufen war.

Im Falle der Simulation war es erforderlich, ngrok auf dem internen Rechner zu installieren, es bedurfte der Domäne und des Ports des ngrok-Servers sowie eines Administratorkontos. Es ist davon auszugehen, dass der Angreifer alle drei besass, und sie schienen lange genug präsent gewesen zu sein, um bestimmte Details über die Umgebung zu ermitteln. Sie waren auch in der Lage, ein hochprivilegiertes Konto zu kompromittieren. Insoweit passt die von dem Team durchgeführte Simulation zu den Angriffseigenschaften.

EDR als Antwort

Bild 2. Root Cause-Analyseablauf einer typischen Backdoor Shell

Shell.exe startet cmd.exe, das dann das Tool zur Ausführung des angegebenen Befehls startet. Das Bild zeigt auch, wie das von ihr installierte Tool – wie Toola.exe – gestartet wird. Diese Art von Diagramm ist unkompliziert und macht es leicht, verdächtige Objekte zu identifizieren und den grundlegenden Ablauf eines Angriffs zu bestimmen.

Bei diesem Vorfall beginnt die Ursachenanalyse mit services.exe und endet mit dem ausgeführten Werkzeug oder Befehl. Es gab keine Hinweise darauf, dass jemals ein mehrstufiges Tool verwendet wurde, das andere Tools ablegt, und aufgrund des Zugriffs, den die Angreifer in diesem Modell hatten, ist es sehr wahrscheinlich, dass sie kein solches Tool benötigten. Die Maschinen waren zugänglich, so dass die Angreifer jedes Werkzeug ausführen konnten, das sie brauchten, ohne sich clevere Mechanismen zur Installation der Binärdatei ausdenken zu müssen (wie z.B. das seitliche Verschieben von einer Maschine auf eine andere). Zum Beispiel legten die Angreifer die Keylogger-Datei über den Server-Message-Block (SMB) ab und gaben einen separaten Befehl aus, um seinen Persistenzmechanismus zu schaffen.

Aussagekräftige Root Cause-Analyseabläufe sind schwer zu bekommen, weil alles mit services.exe beginnt (oder einem anderen Windows-Prozess, wenn eine Datei abgelegt wird), wobei jeweils ein Befehl bzw. ein Werkzeug ausgeführt wird. Der resultierende Ablauf ähnelt eher einem „Baum“ mit services.exe in der Mitte, wobei jeder Zweig einen Befehl darstellt, der über services.exe ausgeführt wird.

Die Analyse zeigt, dass die bei dem Angriff verwendete Technik für die Sicherheitsforscher sehr hinderlich dabei ist, die Abfolge der Ereignisse über ein kurzes Diagramm zusammenzusetzen. Bestimmte Funktionen von EDR sind jedoch für den Umgang mit Vorfällen wie diesem ausgelegt.

Abhilfe durch verdächtige Events

Verdächtige Ereignisse sind wirksame Auslöser für eine EDR-Lösung, und die Fähigkeit, mithilfe derselben Lösung Abhilfe zu schaffen, ist ideal für Sicherheitsteams. Bei diesem Vorfall nutzte Trend Micro Managed XDR die Apex One-Funktionen, um die Bedrohung mit derselben Software-Suite sowohl zu untersuchen als auch zu entschärfen.

Untersuchung über Log Events

Konventionelle Incident Response-Methoden erfordern oftmals den Einsatz eines Tools, um Beweise von einem verdächtigen Host zu erhalten. Bei dieser Untersuchung wurde alles durch die Auswertung der vom EDR protokollierten Ereignisse durchgeführt. Für die Untersuchung war keine Speicher- oder Disk-Image-Erfassung erforderlich, was bedeutet, dass die von EDR gesammelten Daten ausreichten, um festzustellen, wie ähnliche Angriffe funktionieren. Die chronologische Reihenfolge der Befehle wurde den Zeitstempeln der Ereignisse entnommen. Selbst ohne das selbsterklärende Diagramm, das EDR erstellt, ist es immer noch möglich, festzustellen, wie der Angriff stattgefunden hat.

Neue Alerts

EDR ermöglicht die mühelose Erstellung von Warnmeldungen, um eine Untersuchung auszulösen. In diesem Fall können neue Alerts immer dann erstellt werden, wenn services.exe cmd.exe startet und wenn %comspec% in einen Autostart-Registry-Eintrag geschrieben wird. Das kann für künftige Threat-Verfolgungsfähigkeiten für Blue Teams hilfreich sein.

Trend Micro-Lösungen

The Trend Micro XDR schützt E-Mails, Endpunkte, Server, Cloud-basierte Workloads und Netzwerke mithilfe funktionsstarker KI- und Sicherheits-Analytics, um Daten zu korrelieren. Die Lösung liefert ein optimiertes Set Alerts über eine einzige Konsole. Damit können Unternehmen schnell Bedrohungen erkennen und deren Auswirkungen zeitnah eindämmen.

Trend Micro Managed XDR bietet kenntnisreiches Bedrohungs-Monitoring, Korrelation und Analysen durch erfahrene Cybersicherheitsexperten, und das im Rahmen eines 24/7-Service, über den Kunden Erkennung, Analyse und Response aus einer einzigen Quelle erhalten.