Schlagwort-Archive: Angriff

Infrastructure as Code: Sicherheitsrisiken kennen und vermeiden

Originalbeitrag von David Fiser (Cyber Threat Researcher)

Ständig steigende Anforderungen an IT-Infrastrukturen und die Zunahme von Continuous Integration and Continuous Deployment (CI/CD)-Pipelines haben den Bedarf an konsistenter und skalierbarer Automatisierung erhöht. Hier bietet sich Infrastruktur als Code (IaC) an. IaC liefert die Bereitstellung, Konfiguration und Verwaltung der Infrastruktur durch formatierte, maschinenlesbare Dateien. Anstelle der manuellen Einrichtung von Onpremise- und Cloud-Umgebungen können Administratoren und Architekten diese einfach mit IaC automatisieren. IaC arbeitet gut mit Infrastructure as a Service (IaaS) zusammen und besticht durch die schnellere und kostengünstigere Entwicklung und Bereitzustellung von skalierbaren Cloud-Implementierungen.

Das IaC-Konzept weist Ähnlichkeiten mit Programmierskripts auf (die ebenfalls IT-Prozesse automatisieren), doch verwendet IaC eine beschreibende Sprache für die Kodierung von anpassungsfähigeren Bereitstellungen und Implementierungen (d.h. die Software selbst ist für die Einleitung von Infrastrukturänderungen verantwortlich). IaC gilt als besonders wichtig für Cloud Computing und DevOps.

Es gibt zwei Arten von IaC-Werkzeugen: Orchestrierungswerkzeuge dienen der Bereitstellung, Organisation und Verwaltung von Infrastrukturkomponenten (z.B. CloudFormation und Terraform). Konfigurationsmanagement-Tools wiederum ermöglichen die Installation, Aktualisierung und Verwaltung laufender Software in Infrastrukturkomponenten (z. B. Ansible, Chef, Puppet und SaltStack). Diese Tools entheben Entwickler und Cloud-Architekten von manuellen, fehleranfälligen Aufgaben und vereinfachen die Konfiguration und Verwaltung.

Sicherheitsrisikobereiche in IaC-Implementierungen

Zu den Herausforderungen, die IaC mit sich bringt, zählen etwa ungepatchte Schwachstellen in einem IaC-Tool als Eintrittspunkt für Bedrohungen in die Kerninfrastruktur. Schwachstellen könnten es Angreifern ermöglichen, Verfahren zu umgehen, Code auf gehackten Servern auszuführen oder sogar Kryptowährungs-Miner einzusetzen. IaC-Templates mit Fehlkonfigurationen könnten auch sensible Daten offen legen oder Schlupflöcher für Angriffe öffnen.

Speicherung von sensiblen Daten

Das allgemeine IaC-Prinzip sieht vor, dass eine einzige Anwendung mehrere in den Konfigurationsdateien beschriebene Umgebungen verwalten kann, die als Code vorliegen und den Code (auch bösartig) auch innerhalb der Zielumgebungen ausführen. Eine IaC-Anwendung kann verschiedene Ansätze zur Beschreibung der Zielumgebung verwenden; das Gemeinsame ist die Konfiguration selbst, ihre Speicherung und insbesondere die geheimen Informationen, die für die Verbindung mit der verwalteten Infrastruktur erforderlich sind.

Die Speicherung von solchen Informationen ist wichtig, weil es um sensible Daten geht, wie etwa Anwendungs-Token für die Authentifizierung, Secure Shell (SSH)-Schlüssel und Passwörter. Die Speicherung dieser Daten in Storing Source Code Management (SCM)-Systemen (z.B. Git) oder Klartextdateien ist eine gefährliche – und aus Sicherheitssicht unverantwortliche – Praxis, da sie leicht zugänglich gemacht werden können. Beispielsweise könnten Bots, die öffentliche SCM-Sites durchforsten und nach sensiblen Informtionen suchen, diese schnell ausnutzen und die Infrastruktur gefährden (z.B. durch das Ausbringen von Kryptowährungs-Minern). Es empfiehlt sich daher, Vaults für die Speicherung von Geheimnissen zu verwenden und diese in den Konfigurationsdateien zu referenzieren.

Kommunikationskanal des Masters

Einige IaC-Konfigurationsmanagement-Tools (z. B. SaltStack) verwenden eine Master-Node-Architektur, bei der die Knoten von einem Master-Knoten aus verwaltet werden. Beim Zugriff auf eine verwaltete Infrastruktur von einem einzigen Punkt aus (d.h. von einem Master) ist es im Allgemeinen entscheidend, diesen einzelnen Punkt zu sichern, da er die gesamten Infrastruktur- oder Einsatzspezifikationen enthält und die Kompromittierung der Sicherheit die gesamte Infrastruktur gefährden würde.

Die Verwendung entsprechend vorbereiteter Umgebungen innerhalb der Cloud reduziert das Risiko von Kompromittierungen durch Fehlkonfigurationen und das Risiko, Infrastrukturen von Grund auf neu zu konfigurieren.

Bild 1. Ein Überblick über eine Master-Node-Architektur

Der Master muss über einen sicheren Kommunikationskanal verfügen, um mit den Knoten zu kommunizieren und sie steuern zu können. Es gibt zwei verschiedene Ansätze für das Management:

  • Installation eines benutzerdefinierten Agenten für das Management des Knotens, der bestimmte Aufgaben ausführt,
  • Einsatz allgemein verfügbarer Software und Kommunikationsprotokolle für das Management von Knoten (auch als „agentenlos“ bekannt), so etwa Bash-Skriptausführung via SSH-Protokoll.

Vom Standpunkt der Sicherheit stellt die Verwendung eines benutzerdefinierten Netzwerkprotokolls eine weitere Angriffsfläche dar. Möglicherweise rücken sogar mögliche Schwachstellen in den Vordergrund, wie im Fall von CVE-2020-11651 und CVE-2020-11652, Schwachstellen im Salt-Management-Framework von SaltStack, das in Rechenzentren und Cloud-Servern eingesetzt wird.

Bei Missbrauch von CVE-2020-11651 könnte ein nicht authentifizierter Nutzer aus der Ferne Code in der ganzen Infrastruktur ausführen. Die Path Traversal Vulnerability CVE-2020-11652 wiederum ermöglicht es Dritten, beliebige Dateien zu lesen. In beiden Fällen können Böswillige sich den Root-Schlüssel verschaffen und Zugang zum Master erlangen und damit zur gesamten Infrastruktur. Einzelheiten dazu liefert auch ein Trend Micro-Forschungsbeitrag.

Benutzerprivilegien

Benutzerprivilegien sind ein weiterer sicherheitsrelevanter Aspekt. Wird eine IaC-Anwendung zur Verwaltung der Anwendungsbereitstellung genutzt, ist es unwahrscheinlich, dass dafür Root-Rechte auf dem Zielrechner erforderlich sind. Das Prinzip der geringsten Privilegien sollte hier das Risiko einer Kompromittierung mindern.

Dasselbe Prinzip gilt auch für den Einsatz innerhalb öffentlicher Clouds wie Amazon Web Services (AWS). Wird ein Account oder eine Rolle nur für einen bestimmten Zweck zugewiesen (z.B. das Erstellen virtueller Maschinen), sollte diese mit eingeschränkten Fähigkeiten verwendet werden. Die Weitergabe von Zugangsdaten von Cloud-Providern mit Administrator-Zugriff für weniger privilegierte Aufgaben ist eine unsichere Praxis.

IaC-Templates

IaC-Templates sind für die agile Bereitstellung über Provisioning und die Verwaltung der Cloud-Infrastruktur wichtig. Es sind maschinenlesbare Definitionsdateien, mit deren Hilfe die Umgebungen aufgebaut werden, in denen Code aus externen Quellen bereitgestellt und ausgeführt wird. Sie sind jedoch nicht ohne Risiken. Diese Templates sind Teil von IaC-Prozessen und könnten unbeabsichtigt Betriebssystem- oder Container-Images aus nicht vertrauenswürdigen Quellen verwenden, die dann Bedrohungen wie Backdoors und Kryptowährungs-Miner Tür und Tor öffnen.

IaC-Vorlagen beinhalten möglicherweise auch Schwachstellen und unsichere Standardkonfigurationen, die zu einer Gefährdung von Daten führen. Betreiber sollten deshalb IaC-Vorlagen zu Beginn des Entwicklungsprozesses zunächst auf unsichere Konfigurationen und andere potenzielle Schwachstellen überprüfen. Regelmässiges Scannen mit Hilfe eines Cloud Security Posture Management Service hilft ebenfalls, Fehlkonfigurationen zu erkennen und zu beheben.

Lehren ziehen, Best Practices anwenden

IaC gehört zu den wichtigsten DevOps-Praktiken für die agile Softwareentwicklung. Mit IaC wird die Infrastruktur innerhalb von Textdateien (Code) definiert. Fehlkonfigurationen stellen eines der grössten Sicherheitsprobleme in Cloud-Umgebungen dar.

Die folgenden Empfehlungen helfen beim Absichern von hybriden und öffentlichen Cloud-Umgebungen:

  • Durchsetzen des Prinzips der geringsten Privilegien. Account-Privilegien in Cloud-Services sollten eingeschränkt werden, vor allem wenn sie an öffentliche Cloud-Provider gebunden sind. Die Berechtigungen und der Zugang zu Tools sollten eingeschränkt werden, um zu verhindern, dass Angreifer in den Knoten Fuss fassen können. Auf diese Weise werden IaC-Konfigurationen sicher gespeichert und Datenverluste verhindert.
  • Einsatz von IaC Sicherheits-Plugins. Diese Plugins in integrierten Entwicklungsumgebungen können mögliche Probleme in IaC-Templates vor der Installation verhindern.
  • Update der Infrastruktursoftware auf die neueste Version. Sicherheits-Patches sollten immer sofort aufgespielt werden.
  • Nie ein zentrales System exponieren. Zentrale Server sollten nie im Internet exponiert sein, um so zu verhindern, dass eine mögliche Kompromittierung auf weitere Komponenten übergeht.
  • Haltung zur Sicherheit und Compliance verbessern.  Um den Schutz in der Pipeline zu gewährleisten, sollte Echtzeit-Sicherheit, die Fehlkonfigurationen bei Anbietern von Cloud-Diensten erkennt, eingesetzt werden. Lösungen, die über eine automatische Korrekturfunktion verfügen, können auch bei der Behebung von Ausfällen helfen.

Weitere Empfehlungen zur Sicherheit der IAC-Pipeline gibt es hier.

Cloud Sicherheitslösungen von Trend Micro

Trend Micros Lösung Hybrid Cloud Security unterstützt die DevOps Pipeline mit mehreren XGen Threat Defense-Techniken und kann physische, virtuelle und Cloud-Workloads zur Laufzeit schützen. Trend Micro™ Cloud One™ – Conformity ist ein Cloud Security and Compliance Posture Management Service, der automatisierte Sicherheits- und Compliance-Überprüfungen bietet, sowie Übersicht und einfaches Reporting.

Für Unternehmen, die Sicherheit als Software für Runtime-Workloads, Container-Images sowie Datei- und Objektspeicher suchen, können Deep Security™ und Deep Security Smart Check Workloads und Container-Images in jedem beliebigen Intervall in der Entwicklungs-Pipeline auf Malware und Schwachstellen überprüfen.

Weitere Informationen finden Interessierte im Originalbeitrag.

Kommentar von Trend Micro zum Cyberangriff auf Twitter

Von Richard Werner, Business Consultant bei Trend Micro

Mit einem hörbaren Paukenschlag gab Twitter gestern bekannt, dass Profile verschiedener Prominente gehackt wurden. Einen Tag danach und nachdem nun auch die Hintergründe der Tat deutlicher werden ist es an der Zeit, die Geschehnisse einzuordnen. Passend zu den Cyber-Halunken, die hier offensichtlich am Werk waren, orientieren wir uns dabei am Titel eines bekannten Spaghetti-Western: 

The Good: Unter den Prominenten deren Accounts übernommen wurden, sind einige hochrangige Politiker zu finden – unter anderem der gegenwärtige US-Präsidentschaftskandidat Joe Biden. Es ist unschwer zu erkennen, welch hoher politischer Zündstoff bis hin zu internationalen Spannungen ein Angriff auf solche „hochkarätigen“ Accounts haben könnte. Hätten die Angreifer politische Motive gehabt, könnte der Schaden ungleich grösser sein. Es ist deshalb fast schon als „gut“ zu bezeichnen, dass es sich hier lediglich um „gewöhnliche Cyberkriminelle“ handelte, die letztlich auf monetäre Gewinne aus waren.

The Bad: Die hier angewandte Methodik, Menschen auszutricksen ist nicht neu und auch nicht besonders originell. Immer wieder gibt es Versprechen, überwiesene Geldbeträge zu vervielfachen oder anderweitig riesige Gewinne zu erwirtschaften, wenn nur zunächst ein kleiner Betrag investiert würde. Sogenannte „Get Rich Quick“-Schemata helfen in der Regel jedoch nur den Erfindern. Alle anderen verlieren ihr Geld, weil es sich schlicht und ergreifend um Betrug handelt. Das Schlechte ist, dass dieser Vorfall eindringlich zeigt, wie einfach es Cyberkriminellen fallen kann, Gewinne zu machen. Dieser Scam war nur kurze Zeit aktiv und dennoch gelang es Berichten zu folge, mindestens 100 Personen zu finden, die bedenkenlos die nicht unbeträchtliche geforderte Summe von 1.000 US-Dollar „investierten“. Dadurch wird es Nachahmungstäter geben. Welche Wege diese nutzen werden, bleibt abzuwarten. Deshalb der wichtige Hinweis: Glauben Sie es grundsätzlich nicht, wenn Ihnen jemand über Online Medien verspricht Ihr Geld zu verdoppeln!

The Ugly: Bei der Rekonstruktion des Angriffs zeigt sich, dass auch dieser einem Schema folgt. Es handelt sich um einen sogenannten Supply-Chain-Angriff. Hierbei wird die Infrastruktur eines initialen Opfers (in diesem Fall Twitter) angegangen und soweit möglich übernommen. Das eigentliche Ziel der Hacker ist es in solchen Fällen jedoch, die Kunden des initialen Opfers zu erreichen. Besonders hinterhältig ist dabei: Für diese Kunden ist der Angriff oft kaum abzuwehren, weil er aus einer eigentlich vertrauenswürdigen Quelle stammt und oft technisch erst einmal gar nicht als Angriff identifiziert werden kann. Die Täter nehmen dafür einen relativ hohen Aufwand ein Kauf, um das erste Opfer zu infiltrieren. Laut Twitter schloss dies hier sogar einen Insider mit ein.

Dafür kann der Angriff auf die finalen Opfer dann weitestgehend automatisiert werden, um so auf eine Weise zu skalieren, die in den meisten anderen Angriffsmethoden nicht funktioniert. Im vorliegenden Fall konnten die Täter so innerhalb weniger Stunden bis zum Auffliegen der Tat Millionen Menschen mit Ihrer Botschaft erreichen – die Schadenssumme hätte also sogar noch um ein Vielfaches höher sein können. Auch für dieses Schema wird es weitere Nachahmer geben. Wie Trend Micro in seinen Sicherheitsvorhersagen für 2020 prophezeit hat, befinden sich Supply-Chain-Angriffe derzeit auf dem Vormarsch. Unternehmen tun gut daran, sich dieses Risiko bewusst zu machen. Bei Twitter ging es um bösartige Tweets und das „Get Rich Quick“-Schema. In anderen Fällen geht es um Ransomware und Sabotage. Seien Sie sich stets darüber im Klaren, dass solch medienwirksame Taten immer Nachahmer provozieren!   Richard Werner steht Ihnen zu diesem Thema auch jederzeit gerne für ein Gespräch zur Verfügung. Sprechen Sie uns dafür gerne an.

Russische Gruppe führt mehr als 200 BEC-Kampagnen

Eine russische Gruppe namens Cosmic Lynx hat mehr als 200 Business Email Compromise (BEC)-Kampagnen gegen hunderte multinationaler Unternehmen geführt, so das Sicherheitsunternehmen Agari. Die Kampagnen gab es seit 2019 in 40 Ländern, und die Kriminellen verlangten von ihren Opfern insgesamt 1,27 Millionen Dollar.

Wie viele andere Gruppen zielte auch Cosmic Lynx auf gehobene Führungskräfte in Positionen wie Geschäftsführer (28%), Vizepräsident (24%), General Manager (23%), CEO (8%), Finanzchef (7%), Präsident (7%) und andere (4%).

Um diese Ziele zu täuschen, bedienen sich die Cyberkriminellen einer zweifachen Identitätstäuschung: Zuerst geben sie sich als der CEO des Unternehmens aus, dann als legitimer Anwalt einer in Großbritannien ansässigen Anwaltskanzlei. Zuerst schicken die Angreifer, die sich als CEO des Unternehmens ausgeben, eine Email an einen Mitarbeiter, in der sie auf die Notwendigkeit eines „externen Rechtsbeistands“ hinweisen. In der Email heisst es, dass es sich um eine zeitkritische Angelegenheit handele, um ein Gefühl der Dringlichkeit zu erzeugen. Antwortet der Mitarbeiter, wird er aufgefordert, sich per Mail mit einem angeblichen Anwalt auszutauschen und soll dann Geld an Konten überweisen, die vorgeblich mit der Anwaltskanzlei in Verbindung stehen, in Wirklichkeit aber von der Gruppe kontrollierte Scheinkonten sind. Die geforderten Summen belaufen sich auf 1,27 Millionen von US-Dollar.

Bei den meisten Angriffen werden kostenlose Mail-Konten und Domänen verwendet, die eine sichere Mail- und Netzwerkinfrastruktur nachahmen (z.B. Secure-Mail-Gateway, verschlüsselter SMTP-Transport, MX-Secure-Net). Die Gruppe registrierte auch einige ihrer Domänen bei einem Bulletproof Hosting- und einem anonymen Domänen-Provider.

Neben BEC wurde die Gruppe auch mit anderen bösartigen Aktivitäten wie die Verbreitung von Emotet, Trickbot und Click-Fraud-Malware in Verbindung gebracht. Sie sollen auch hinter einem Carding-Marktplatz und gefälschten Dokumenten-Websites stecken.

Die Verluste durch BEC betrugen 2019 1,7 Milliarden Dollar, berichtet das FBI.

Kampf gegen BEC

Die von Trend Micro™ Cloud App Security entdeckten BEC-Versuche stiegen von mehr als 100.000 in 2018 auf fast 400.000 in 2019, ein Mehr von 271%. Diese Spitzenwerte sind beachtlich, wenn man bedenkt, dass viele BEC-Kampagnen keine innovativen Taktiken anwenden müssen, um erfolgreich zu sein. Die Nachahmung von Schlüsselfiguren im Unternehmen, die Andeutung von Dringlichkeit und die Nutzung aktueller Ereignisse als Lockmittel (wie die Coronavirus-Pandemie) sind nur einige der bewährten Strategien, die von Cyberkriminellen eingesetzt werden, um ahnungslose Mitarbeiter zu täuschen. Durch die ständige Entwicklung neuer Techniken durch Cyberkriminelle, wie die Verwendung von Deepfakes, neuen Kanälen und verschiedenen Dateiformaten für Anhänge, wandelt sich BEC weiterhin zu einer noch ernsteren Bedrohung.

Um das Risiko finanzieller Verluste durch BEC-Betrug zu vermeiden, sollten Unternehmen ihre Mitarbeiter mit folgenden Best Practices vertraut machen:

  • Verifizieren von Anfragen für Geldüberweisungen durch Bestätigung der Richtigkeit des Absenders mit anderen Mitteln als Mail. Festlegen eines zweiten Freigabeprozesses ist auch empfehlenswert.
  • Untersuchen von Mails, um gefälschte Adressen zu erkennen. Einige Kampagnen verwenden Emails, die den echten Adressen bis auf einen geringfügigen Unterschied in einigen wenigen Zeichen sehr ähnlich sind.
  • Wissen über die jeweils neuesten Mail-Betrügereien hilft dabei, diese schneller zu erkennen.

Unterstützung beim Blockieren von BEC-Bedrohungen liefern auch Sicherheitslösungen, die auf künstliche Intelligenz und Machine Learning setzen.

  • Trend Micro Cloud App Security kann Microsoft Office 365- und andere Cloud-Services über Sandbox Malware-Analysen für BEC und andere fortgeschrittene Bedrohungen schützen.
  • Trend Micro™ Email Security analysiert Email Header und Inhalte mithilfe von fortschrittlichem maschinellem Lernen und ausgeklügelten Regeln, um BEC und andere Bedrohungen zu erkennen und zu stoppen.

Ransomware-Report: Neue Techniken und besonders betroffene Branchen

Originalbeitrag von Monte De Jesus, Mohammed Malubay und Alyssa Christelle Ramos

In den letzten Monaten sind immer wieder neue Ransomware-Familien aufgetaucht und Techniken und auch Ziele haben sich verändert. Trend Micro hat eine dieser neuen Familien, Avaddon, untersucht. Des Weiteren nahmen die Sicherheitsforscher Techniken, die einige der Ransomware-Variante einsetzen, unter die Lupe sowie die von den Angriffen betroffenen Branchen.

Avaddon Ransomware

Die neue Ransomware Avaddon (Ransom.Win32.AVADDON.YJAF-A) wird durch einen Trojaner (Trojan.JS.AVADDON.YJAF-A) von bösartigen Sites heruntergeladen und auf dem System ausgeführt. Sie wird über Emails mit einem Anhang verbreitet, wobei die meisten einen Foto-bezogenen Betreff haben. Die Infektion erfolgt nach den bekannten Mustern.

Bild 1. Beispiel einer Email der Avaddon-Kampagne

Es werden Dateien in den folgenden Ordnern verschlüsselt:

  • Program Files\Microsoft\Exchange Server
  • Program Files (x86)\Microsoft\Exchange Server
  • Program Files\Microsoft SQL Server
  • Program Files (x86)\Microsoft SQL Server

Zudem fügt sie Prozesse hinzu, die Backups löschen, sodass es schwierig wird, das System wiederherzustellen:

  • wmic.exe SHADOWCOPY /nointeractive
  • wbadmin DELETE SYSTEMSTATEBACKUP
  • wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
  • bcdedit.exe /set {default} recoveryenabled No
  • bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
  • vssadmin.exe Delete Shadows /All /Quiet

Auch werden Prozesse und Services beendet, die zum Grossteil dem Scanning, Speichern oder Extraktion von Dateien dienen. Technische Einzelheiten zum Ablauf beinhaltet der Originalbeitrag.

Neue Techniken

In den letzten Monaten gab es auch Aktualisierungen der von einigen Ransomware-Varianten verwendeten Techniken. So etwa wird die Netwalker Ransomware nun dateilos über reflective Dynamic-Link Library (DLL) Injection (reflective DLL loading) ausgeführt. Bei dieser Technik wird die DLL aus dem Speicher und nicht von der Festplatte injiziert. Obwohl die Technik selbst nicht neu ist (sie wurde bereits früher zur Bereitstellung von ColdLock-Ransomware eingesetzt), ist ihre Verwendung durch Netwalker neu.

Eine weitere erwähnenswerte Entwicklung ist der Einsatz von virtuellen Maschinen bei Ragnar Locker, um der Erkennung durch Antiviren-Software zu entgehen. Laut Sophos wurde dieser Angriffsvektor noch nie zuvor mit einem Ransomware-Typus verwendet. Früher nutzte Ragnar Locker Managed Service Provider aus oder griff RDP-Verbindungen (Windows Remote Desktop Protocol) an.

Fertigung, Logistik und Energiesektor als Ziele

Ransomware-Varianten wählten als Ziel mehrere Firmen aus dem Bereich der Fertigung, Logistik und Energieversorgung. Eine Variante der Ekans Ransomware (Ransom.Win32.EKANS.D) wurde bei gezielten Angriffen gegen Fertigungsunternehmen eingesetzt. Wie von der Firma Dragos beobachtet, ist bei den industriellen Prozessen, die frühere Ekans-Angriffen beendeten, ein besonderes Mass an Vorsätzlichkeit zu erkennen, was sie zu einer Bedrohung macht, die Organisationen mit industriellen Kontrollsystemen (ICS) auf dem Radar haben sollten.

Nefilim, eine Ransomware, die dem jüngsten Trend folgt, nicht nur Dateien zu verschlüsseln, sondern auch Daten zu stehlen, startete Angriffe auf Logistikunternehmen. Die Untersuchungen dieser Angriffe ergaben, dass der Datendiebstahl bereits Wochen oder sogar Monate vor dem Einsatz der Ransomware beginnt und dass bei den Angriffen mehrere (bösartige und nicht bösartige) Tools eingesetzt werden, um Prozesse aufzusetzen und sich durch das Netzwerk zu bewegen.

In ähnlicher Weise veröffentlichten die Betreiber hinter Sodinokibi auf einer Tor-Webseite 1.280 Dateien, angeblich mit Reisepassdaten und anderen Dokumenten von Mitarbeitern eines Elektrodienstleisters. Wenige Wochen zuvor hatte der Ransomware-Angriff das Unternehmen getroffen und den Betrieb unterbrochen.

ColdLock wiederum konzentrierte die Angriffe eher auf eine Region als auf eine Branche, und zwar war die Ransomware vor allem in Taiwan aktiv.

Ransomware-Zahlen für Mai

Im Mai wurde WannaCry mit 15.496 Erkennungen zur führenden Ransomware-Familie. Die Tatsache, dass WannaCry „den ersten Platz verteidigen konnte“, ist auf seine Wurmkomponente und die Beharrlichkeit seiner Betreiber zurückzuführen, die versuchen, die Malware regelmässig zu verbreiten. Daher ist davon auszugehen, dass WannaCry weiterhin eine so hohe Anzahl von Erkennungen aufweisen wird, bis entweder eine neue, massive Ransomware auftaucht oder die Quellen für WannaCry gefunden und entfernt werden. Die nächsten Plätze belegen Locky mit 1.532 und Cerber mit 392 Erkennungen. Diese drei vorderen Plätze sind seit Januar fest belegt, und waren auch im letzten Jahr Top.

Bild 2. Ransomware-Familien mit den meisten Erkennungen (Mai 2020)

Gleichzeitig waren die am meisten betroffenen Branchen Behörden (1.870), die Fertigung (1.599) sowie das Gesundheitswesen (1.217).

Bild 3. Top-Branchen bezüglich von Ransomware-Erkennungszahlen (Mai 2020)

Die meisten Angriffe erlitten Unternehmen mit mehr als 18.000 Erkennungen. Angriffe auf Verbraucher gab es mehr als 4.000, und 1.000 Erkennungen wurden bei mittleren und kleinen Unternehmen gezählt.

Bild 4. Ransomware-Erkennungen nach Segmenten (Mai 2020)

Im Mai wurden vier neue Ransomware-Familien entdeckt. Eine davon ist BlueCheeser (Ransom.MSIL.BLUECHEESER.A), eine Schadsoftware, die verschlüsselten Dateien die Endung .himr anhängt und 400$ Lösegeld verlangt.

Eine weitere ist CoronaLock (Ransom.Win32.CORONALOCK.A), auch als CovidWorldCry bekannt. Sie wird über Coronavirus-bezogenen Spam verbreitet und gibt verschlüsselten Dateien die Endung .corona.lock. Die dritte, PonyFinal (Ransom.Java.PONYFINAL.A), ist eine Java-basierte Malware, die Microsoft-Systeme angreift. GonnaCry (Ransom.Linux.GONNACRY.A) schliesslich zielt auf Linux-Systeme. Die Zahl der gefundenen Familien ist im Vergleich zum April zurückgegangen.

Bild 5. Zahl der neuen Ransomware-Familien (Januar bis Mai 2020)

Starke Verteidigung gegen Ransomware

Betriebsunterbrechungen, Datenverlust und die Veröffentlichung vertraulicher Unternehmensdaten sind einige der Gefahren, die ein Unternehmen durch einen Ransomware-Angriff betreffen können. Es gibt jedoch nach wie vor Wege, sich vor diesen Angriffen zu schützen.

Es folgen einige Best Practices, mit deren Hilfe Anwender ihre Systeme vor Ransomware schützen können:

  • Backup der Dateien nach der 3-2-1 -Regel. Dies bedeutet, regelmässige drei Backups in zwei unterschiedlichen Formaten zu erstellen, wobei eine Kopie Off-Site vorgehalten wird.
  • Regelmässiges Patchen und Aktualisieren von Anwendungen und Software. Dadurch wird sichergestellt, dass Schwachstellen behoben werden. Bei Zero-Day-Schwachstellen virtuelles Patching einsetzen.
  • Sandbox Analyse nutzen. Dadurch können bösartige Dateien in einer isolierten Umgebung ausgeführt werden, sodass diese Dateien überwacht werden, ohne das System zu gefährden.
  • Aktivieren von fortschrittlichen Erkennungsfunktionen wie maschinelles Lernen oder Technologien für die Verhaltensüberwachung.

Auch helfen mehrschichtige Sicherheitslösungen wie etwa Trend Micro™ XDR for Users. Damit können die Bedrohungen früh erkannt werden, bevor sie Endpunkte und andere Schichten des Systems kompromittieren. Trend Micro Apex One™ unterstützt umsetzbare Einsichten und zentrale Transparenz im gesamten Netzwerk. Trend Micro Deep Discovery™ Email Inspector schliesslich kann bösartige Email-Anhänge blockieren und analysieren.

Bösartige Chrome Extensions und Domänen führen zum Datendiebstahl

Google Chrome Extensions und Communigal Communication Ltd. (Galcomm)-Domänen sind in einer Kampagne ausgenutzt worden, die darauf abzielt, Aktivitäten und Daten der Nutzer zu tracken. Awake Security hatte in den letzten drei Monaten 111 bösartige oder gefälschte Chrome Extensions gefunden, die Galcomm-Domänen als Command-&-Control (C&C)-Infrastruktur einsetzen. Es gab mindestens 32 Millionen Downloads dieser bösartigen Extensions. Die Kampagne nutzte nahezu 15.160 auf Galcomm registrierte Domänen, um Malware und Browser-gestützte Überwachungs-Tools zu hosten. Das sind nahezu 60% der bei diesem Registrar erreichbaren Domänen. Galcomm versichert, darin nicht verwickelt zu sein. Die Angriffe vermieden erfolgreich die Entdeckung durch Sandboxen, Endpoint-Sicherheitslösungen, Domain-Reputationsdienste und andere. Betroffen waren die Finanzbranche, Öl und Gas, Medien, Einzelhandel, Bildung und Behörden.

Trend Micro berichtete bereits über diese Chrome Extensions als Teil des Ökosystems dieser Kampagne. Die Sicherheitsforscher fanden auch bösartige Extensions, die Firefox-Nutzer im Visier hatten. Der Bericht hob hervor, dass einige Code von entfernten Servern laden können, sowie dass Calcomm möglicherweise einen Bezug zum Angriff habe. Awake Security veröffentlichte zudem eine ausführliche Liste mit den verwendeten App IDs. Weitere Einzelheiten beinhaltet der Originalbeitrag.

Empfehlungen

Bösartige Extensions werden immer bedrohlicher. Im Laufe der Zeit kommen weitere Verschleierungstechniken hinzu, wie die Umgehung traditioneller Sicherheitsmechanismen und das Laden von Code von entfernten Servern. Neben der Konzentration auf die Erkennung sollten Organisationen die von diesen Bedrohungen angewandten Taktiken, Techniken und Verfahren langfristig überwachen, um ein besseres Verständnis ihres Verhaltens zu erhalten und Erkenntnisse darüber zu gewinnen, wie Eintrittspunkte gegen sie verteidigt werden können.

Trend Micro XDR kann ein System schützen, indem Daten aus Emails, Enpoints, Servern, Cloud Workloads und Netzwerken gesammelt und korreliert werden. Dabei kommt KI und Sicherheitsanalysen zum Einsatz, die nicht nur eine frühe Erkennung ermöglichen, sondern auch tiefgehende Einsichten in die Quelle und das Verhalten dieser Angriffe bieten.

Trend Micro™ Managed XDR-Service liefert fachmännisches Monitoring und Analysen durch die erfahrenen Managed Detection and Response-Analysten. Die Experten können ein vollständiges Bild des Angriffs und seiner Ausbreitung im Unternehmen erstellen und so einen klaren Überblick über Ursache und Auswirkungen einer Bedrohung geben.

ISO/SAE 21434: Cyberbedrohungen für vernetzte Autos ausbremsen

Originalartikel von William Malik, CISA VP Infrastructure Strategies

Vernetzte Fahrzeuge sind die Zukunft. Weltweit soll ihre Zahl von 2018 bis 2022 um 270% zulegen, und in ein paar Jahren geschätzte 125 Millionen erreichen. Diese Fahrzeuge ähneln zunehmend eher Hochleistungscomputern mit Rädern als herkömmlichen Autos und beinhalten Fähigkeiten wie Internetzugang, applikationsbasiertes Remote Monitoring und Verwaltung, fortschrittliche Fahrerunterstützung und autonome Fahrfähigkeiten. Dadurch sind sie aber auch dem Diebstahl sensibler Daten und der Fernmanipulation ausgesetzt, was zu ernsthaften physischen Sicherheitsproblemen führen könnte. Ein neuer Forschungsbericht von Trend Micro stellt dar, was die Branchenbeteiligten tun müssen, damit die Cybersecurity-Lücke für das gesamte Automotive-Ökosystem geschlossen wird. Ein neuer Standard liefert Leitlinien für die Cybersicherheit.

Download

Moderne Automobile leisten weit mehr, als nur ihre Insassen von A nach B zu transportieren. Sie sind vollgepackt mit Rechenleistung, Sensoren, Infotainment-Systemen und Konnektivität, um das Fahrerlebnis, die Verkehrssicherheit, die Fahrzeugwartung und vieles mehr zu verbessern. Unter anderem verfügen sie über Systeme, die eine Verbindung zu anderen Fahrzeugen, mobilen Geräten, Verkehrsinfrastrukturen und Cloud-Systemen für verschiedene Zwecke herstellen, wie Sicherheitsüberwachung des Verkehrs und Fußgänger, Remote Monitoring und Verwaltung der Fahrzeuge oder Notfall-Benachrichtigungssysteme. All dies schafft eine Komplexität, die wiederum zu neuen Cyber-Sicherheitslücken führt.

Zum Beispiel gibt es heute in vielen modernen Fahrzeugen mehr als 100 Motorsteuergeräte (Engine Control Units, ECUs), vollgepackt mit Software, die alles vom Motor über die Aufhängung bis hin zu den Bremsen kontrolliert. Kapert ein Angreifer die Ausführung eines beliebigen Steuergeräts, könnte er sich lateral auf ein beliebiges Ziel im Fahrzeug zubewegen und damit möglicherweise aus der Ferne lebensbedrohliche Unfälle verursachen.

Der Bericht zeigt die drei grundlegenden Probleme auf, die die Sicherheit von vernetzten Autos zur Herausforderung werden lässt:

  • Schwachstellen: Die Branche arbeitet mit einem stark gegliederten Supply Chain-System. Wenn eine Schwachstelle in einer Komponente entdeckt wird, müssen alle beteiligten Ebenen einen Fix veröffentlichen, bis er den Originalausrüstungshersteller (OEM) erreicht. Diese Fehlerbehebungen müssen auch auf Interoperabilität geprüft werden, was bedeutet, dass die Firmware aller Steuergeräte aktualisiert werden müsste. Dies führt nicht nur zu Verzögerungen bei der Bereitstellung von Updates, sondern ein Software-Update für ein Fahrzeug kann auch bis zu 20 Stunden dauern.
  • Protokolle: Einige der Protokolle, die für ECU-Verbindungen verwendet werden, sind nicht für Cybersicherheitsfunktionen ausgelegt. Beispielsweise sind die Datenübertragungen nicht verschlüsselt, und Sender und Empfänger sind nicht authentifiziert.
  • Unsichere Produkte und Dienstleistungen auf dem Sekundärmarkt: Internet of Vehicles (IoV)-Geräte, die in Autos installiert sind, wie z.B. Bluetooth- oder Wi-Fi-fähige Multimediageräte, sind einfach erhältlich. Die meisten dieser Geräte laufen jedoch mit ungesicherter oder veralteter Firmware, sodass Angreifer die nicht gepatchten Systeme zum Eindringen ausnutzen und sich lateral bewegen können, um bösartigen Code an die Systeme des Fahrzeugs zu senden.
    Darüber hinaus können einige inoffizielle Werkstätten die ECU modifizieren, um die Motorleistung zu erhöhen. Die Manipulation der Software – trotz der vorhandenen Industriestandardverfahren zum Schutz der Diagnosesoftware – kann eine Reihe von Schwachstellen während und nach der Änderung der Codes entstehen lassen.

Diese Schwachstellen wurden bereits vor Jahren in Forschungsarbeiten aufgezeigt, doch nun da die Zahl der vernetzten Fahrzeuge zunimmt, zeichnen sich nun Angriffe aus der realen Welt ab. Die Angriffsszenarien zielen auf alles, von Benutzeranwendungen über Netzwerkprotokolle bis hin zum CAN-Bus, der On-Board-Software und mehr.

Standards als Abhilfe

Intelligente Transportsysteme (ITS) erfordern eine Abstimmung zwischen den Herstellern, um in der realen Welt eine Chance auf Erfolg zu haben. Kein grosser Autohersteller, multimodaler Anbieter oder MaaS-Anbieter (Mobility as a Service) wird es riskieren, in eine Lösung eines einzigen Anbieters zu investieren. Erfolgreiche ITS erfordern interoperable Komponenten, insbesondere für das Management von Fragen der Cybersicherheit.

Hier setzt ein neuer Standard an. ISO/SAE 21434 Road vehicles – Cybersecurity engineering ist ein langes und detailliertes Dokument zur Verbesserung der automobilen Cybersicherheit und Risikominderung in der gesamten Supply Chain – vom Fahrzeugdesign und -Engineering bis hin zur Stilllegung.

Als langjähriger Mitstreiter in der Automobilindustrie begrüsst Trend Micro den neuen Standard als eine Möglichkeit, Security-by-Design in einem Bereich zu verbessern, der zunehmend von Angreifern unter die Lupe genommen wird. Tatsächlich haben acht der zehn weltweit führenden Automobilunternehmen Lösungen von Trend Micro für ihre Unternehmens-IT übernommen.

Um ISO/SAE 21434 zu folgen und die vernetzten Autos zu schützen, benötigen Organisationen eine umfassende Visibilität und Kontrolle über das gesamte vernetzte Auto-Ökosystem, einschliesslich Fahrzeug-, Netzwerk- und Backend-Systeme. Unernehmen sollten auch die Schaffung eines Vehicle Security Operations Center (VSOC) in Erwägung ziehen, um die aus allen drei Bereichen eingehenden Benachrichtigungen zu verwalten und einen Überblick über das gesamte Ökosystem aus der Vogelperspektive zu erhalten.

Empfehlungen

In jedem dieser Schlüsselbereiche sollten die folgenden Fähigkeiten in Betracht gezogen werden:

Fahrzeug: Erkennung fahrzeuginterner Schwachstellen und deren mögliche Ausnutzung, einschliesslich der Schwachstellen in kritischen Geräten, die das fahrzeuginterne Netzwerk mit externen Netzwerken verbinden, z.B. fahrzeuginterne Infotainment-Systeme (IVI) und telematische Steuereinheiten (TCUs).

Netzwerk: Anwendung von Netzwerksicherheitsrichtlinien, Überwachung des Datenverkehrs, um Bedrohungen zu erkennen und zu verhindern, einschliesslich Verbindungen zwischen Fahrzeug- und Backend-Cloud und Datenzentren.

Backend: Sichern der Rechenzentren, Cloud und Container vor bekannten und unbekannten Bedrohungen und Bugs, ohne die Leistung zu beeinträchtigen.

Fahrzeug-SOC: Schnelle und effektive Massnahmen ergreifen durch Korrelation der am Endpunkt, Netzwerk und Backend erkannten Bedrohungen mit individuellen Benachrichtigungen von jedem einzelnen Punkt, so dass umfassende Elemente aus der Vogelperspektive betrachtet werden können.

In unsicheren Zeiten für die Branche zahlt es sich aus, allen möglichen Änderungen in den lokalen Gesetzen, die durch die neue ISO/SAE-Norm kommen könnten, einen Schritt voraus zu sein.

Incident Response Playbook: Schnell und gezielt reagieren ist entscheidend

von Trend Micro

Um heutzutage wettbewerbsfähig zu sein, müssen Unternehmen mit den neuesten technologischen Trends Schritt halten. Ohne die parallele Entwicklung einer Sicherheitsinfrastruktur und einem klaren Prozess für eine Reaktion auf Angriffe könnten diese Technologien jedoch zum fatalen Vektor für Cyber-Bedrohungen werden. Im Falle eines Cyberangriffs kann ein starker Incident Response-Plan ein Unternehmen mit nur minimalem Schaden wieder zum Laufen bringen. Ein gutes Playbook stellt eine große Hilfe beim Aufsetzen des Incident Response-Ablaufs dar.

Laut einer von IBM und Ponemon durchgeführten Studie kostet ein Datendiebstahl das betroffene Unternehmen durchschnittlich 3,92 Millionen Dollar. Diese Kosten können variieren, je nachdem, wie schnell ein Unternehmen einen Datendiebstahl entdeckt und darauf reagiert.

Der 2020 Data Breach Investigations Report von Verizon kam zu dem Ergebnis, dass die meisten Datenschutzverletzungen im Jahr 2019 zwar nur Tage oder weniger dauerten, doch immerhin ein Viertel der Fälle zog sich über Monate oder länger hin. Die Eindämmung wiederum brauchte im Durchschnitt etwa gleich lang.

Insgesamt zeigen die Zahlen im Bericht im Vergleich zu den Vorjahren eine Verbesserung bei der Aufdeckung von Dateneinbrüchen und der Reaktion darauf. Der Bericht weist aber auch darauf hin, dass diese Verbesserung darauf zurückzuführen sein könnte, dass mehr von Managed Security Service Providern (MSSPs) entdeckte Verletzungen in ihre Untersuchungen einbezogen wurden.

Organisationen sollten natürlich danach streben, die Einbrüche zu verhindern. Gleichzeitig ist die Vorbereitung auf solche Vorfälle und die Erstellung von Abläufen zur Verkürzung der Dauer eines Dateneinbruchs jedoch ein wesentlicher und realistischer Ansatz für den Umgang mit aktuellen Bedrohungen.

Vorbereitung auf die Bedrohungen

Das Wissen darüber, womit ein Unternehmen zu rechnen hat, ist der erste Schritt bei der Vorbereitung und die Reaktion auf potenzielle Cyberangriffe. In der Vergangenheit waren die Bedrohungen viel einfacher gestrickt und weitgehend durch die von ihnen ausgenutzten Technologien definiert. Doch nun, da Unternehmen auf fortschrittlichere Netzwerk- und Dateninfrastrukturen zurückgreifen, ist die Angriffsfläche grösser, und die Auswirkungen der Bedrohungen haben sich verstärkt.

Der Sicherheitsbericht für 2019 von Trend Micro weist auf die Komplexität und Persistenz der heutigen Bedrohungen hin. Ransomware-Angriffe zielen immer häufiger auf hochkarätige Ziele, wobei die Kriminellen weniger neue Familien entwickeln. 2019 gab es mit 95 neuen Ransomware-Familien weniger als die Hälfte im Vergleich zu 2018 (222). Auch Phishing-bezogene Aktivitäten nahmen ab.

2019 gab es eine Reihe Aufsehen erregender Angriffe auf E-Commerce Sites wie Magecart Group 12 und FIN6, wobei tausende Online-Shops infiziert wurden, um Zahlungsinformationen der Kunden zu stehlen.

Bild 1: Angriffskampagne auf E-Commerce Site Magecart Group 12 und FIN6

Obige Bedrohungen verdeutlichen die Sicherheitslücken in den heute verwendeten Technologien. Sie zeigen auch, wie Trends und Schwächen von Branchen, Geräten oder Plattformen die Bedrohungslandschaft prägen. Organisationen haben eine Vielzahl von Grundlagen abzudecken, wenn sie neue Anwendungen und Software einführen, die Abläufe verbessern und Innovationen vorantreiben sollen. Neben der Kenntnis der aktuellen Bedrohungen sollten die Mitarbeiter auch alle von ihrer Organisation verwendeten Technologien genau verstehen lernen.

Während ein vielschichtiger Schutz bei der Erkennung und Verhinderung von Cyberattacken helfen kann, sollten alle Mitarbeiter, die für die Wartung der Unternehmensinfrastruktur zuständig sind, auch über Kenntnisse darüber verfügen, wie sie auf einen Einbruch und einen aktiven Angriff reagieren sollen.

Incident Response

Bedrohungen, die die Verteidigungslinien von Unternehmen angreifen, erfordern eine effektive Strategie zur Reaktion auf Vorfälle (Incident Response). Es ist der Prozess oder der Plan, den Organisationen als Leitfaden für die Handhabung und Eindämmung von Verstössen oder Cyberangriffen verwenden.

Das Ziel von Incident Response besteht darin, das Unternehmen nach einem Angriff wieder zum Laufen zu bringen. Dazu gehört die Identifizierung und Qualifizierung der Bedrohung, die ihre Verteidigungsmechanismen überwunden hat. Ein Störfall impliziert auch, dass die Präventionsmechanismen der Organisation versagt haben und verstärkt werden müssen.

Ein charakteristisches Merkmal von Incident Response ist, dass die Reaktion erfolgreich sein kann, ohne den Bedrohungsakteur hinter dem Angriff identifizieren zu müssen. Incident Response erfolgt „live“ oder während eines laufenden Angriffs mit der Absicht, diesen zu stoppen. Im Gegensatz dazu erfolgt etwa Computer-Forensik im Nachhinein und kann in die Tiefe gehen, weil die Bedrohung zurückgegangen ist.

Es gibt zwei weithin als Standard akzeptierte Incident Response Frameworks: NIST (National Institute of Standards and Technology) und SANS (SysAdmin, Audit, Network, and Security). Sie sind einander sehr ähnlich und decken eine breite Basis ab, von der Vorbereitung auf einen Angriff bis zum Sicherstellen, dass sich der Vorfall nicht wiederholt.

SANS

NIST

Bild 2: Incident Response-Schritte bei SANS und NIST

Der zweite Teil beschreibt ein Playbook mit den einzelnen konkreten Schritten, die ein Unternehmen beim Aufsetzen von Incident Response gehen muss.

Ähnliche Artikel:

  1. Trend Micro als „Leader“ für Cross-Layer Detection and Response
  2. Der Security-RückKlick 2020 KW 14
  3. Sicherheit von 5G-Konnektivität im Unternehmen
  4. Malware in Smart Factories: Die wichtigsten Bedrohungen für Produktionsumgebungen
  5. Verbindungen zwischen Einzelangriffen erkennen — und darauf reagieren

Botnet Malware-Varianten zielen auf exponierte Docker Server

Originalbeitrag von Augusto Remillano II, Patrick Noel Collado und Karen Ivy Titiwa

Kürzlich entdeckten die Sicherheitsforscher Varianten von zwei existierenden Linux Botnet Malware-Arten, die exponierte Docker-Server im Visier hatten: XORDDoS (Backdoor.Linux.XORDDOS.AE) und Kaiji DDoS (DDoS.Linux.KAIJI.A). Für beide Malware-Arten sind Docker-Server als Ziel neu. XORDDoS war dafür bekannt, Linux Hosts in Cloud-Systemen anzugreifen, und die erst vor kurzem entdeckte Kaiji-Malware griff IoT-Geräte an. Die Hintermänner nutzten normalerweise Botnets für Brute-Force-Attacken, nachdem sie nach offenen Secure Shell (SSH)- und Telnet-Ports gescannt hatten. Jetzt suchen sie auch nach Docker-Servern mit exponierten Ports (2375). Dies ist einer der beiden Ports, die das Docker API nutzt, und dient der nicht verschlüsselten und nicht authentifizierten Kommunikation.

Es besteht jedoch ein bemerkenswerter Unterschied zwischen den Angriffsmethoden der beiden Malware-Varianten. Während der XORDDoS-Angriff den Docker-Server infiltrierte, um alle auf ihm gehosteten Container zu infizieren, setzt der Kaiji-Angriff einen eigenen Container ein, in dem die DDoS-Malware liegt.

Diese Malware-Varianten begünstigen Distributed Denial of Service (DDoS), einen Angriffstyp, der darauf abzielt, ein Netzwerk, eine Website oder einen Dienst zu deaktivieren, zu unterbrechen oder herunterzufahren. Dazu werden mehrere Systeme verwendet, um das Zielsystem mit Datenverkehr zu überlasten, bis es für andere Benutzer unzugänglich wird.

Analyse der beiden Varianten

Die XORDDoS-Infektion begann damit, dass die Angreifer nach Hosts mit exponierten Docker-API-Port suchten (2375). Dann sandten sie einen Befehl, der die auf dem Docker-Server gehosteten Container auflistete. Danach führten die Angreifer eine Befehlsfolge für alle Container aus und infizierten sie alle mit der Malware.

Ähnlich wie bei der XORDDoS-Malware zielt Kaiji auch auf exponierte Docker-Server zur Verbreitung. Der Betreiber scannte auch das Internet nach Hosts mit dem exponierten Port 2375. Nachdem er ein Ziel gefunden hatte, pingt er den Docker-Server an, bevor er einen bösartigen ARM-Container einsetzt, der das Kaiji-Binary ausführt. Die technischen Einzelheiten zu den beiden Angriffen finden Interessierte im Originalbeitrag.

Schutz für Docker-Server

Es zeigt sich, dass die Bedrohungsakteure ihre Werke ständig um neue Fähigkeiten erweitern, so dass sie ihre Angriffe auf andere Eintrittspunkte ausrichten können. Da sie relativ bequem in der Cloud eingesetzt werden können, sind Docker-Server eine immer beliebtere Option für Unternehmen. Sie sind jedoch auch ein attraktiven Ziel für Cyberkriminelle, die ständig auf der Suche nach Systemen sind, die sie ausnutzen können.

Einige Empfehlungen für die Absicherung von Docker-Servern:

  • Absichern des Container Hosts: Dafür eignen sich Monitoring Tools und Host Container in einem auf Container zugeschnittenen Betriebssystem.
  • Absichern der Netzwerkumgebung. Dafür sollte ein Intrusion Prevention System (IPS) und Webfiltering zum Einsatz kommen, um Übersicht zu bieten und den internen sowie externen Verkehr beobachten zu können.
  • Absichern des Management-Stacks. Hier sollte die Container Registry überwacht und gesichert werden sowie die Kubernetes-Installation abgesperrt sein.
  • Absichern der Build Pipeline. Implementieren eines gründlichen und konsistenten Zugangskontrollschemas sowie starker Endpunktkontrollmechanismen.
  • Befolgen der empfohlenen Best Practices.
  • Einsatz von Sicherheits-Tools, um Container zu scannen und zu schützen.

Trend Micro™ Hybrid Cloud Security bietet automatisierte Sicherheit und Schutz für physische, virtuelle und Cloud Workloads. Die Lösung umfasst folgendes:

Ripple20-Schwachstellen gefährden Millionen von IoT-Geräten

Die israelische Sicherheitsfirma JSOF hat Informationen zu einer Reihe von Schwachstellen veröffentlicht, die sie Ripple20 nennt. Diese Schwachstellen haben das Potenzial, Millionen von Internet of Things (IoT)-Geräten in vielen verschiedenen Branchen zu schädigen. Wichtige Systeme in der Gesundheits-, Öl- und Gasindustrie, im Transportwesen, in der Energiewirtschaft und im verarbeitenden Gewerbe können von diesen Fehlern betroffen sein. Eine Liste bestimmter Hersteller mit anfälligen Geräten ist in dem technischen Bericht von JSOF zu finden.

Die Schwachstellen stammen von einer Software, die von der amerikanischen Firma Treck Inc. entwickelt und Ende der neunziger Jahre auf den Markt gebracht wurde. Die Software beinhaltet einen leichtgewichtigen TCP/IP-Stack und ermöglicht es Unternehmen, ihre Geräte oder Software über TCP/IP-Verbindungen mit dem Internet zu verbinden.

Angesichts der Tatsache, dass diese Software bereits seit vielen Jahren verfügbar und im Einsatz ist und Unternehmen aller Grössenordnungen immer mehr Geräte online bringen, ist es nicht verwunderlich, dass die Auswirkungen von Ripple20 so breit gestreut sind. Die betroffenen Firmen reichen von Ein-Personen- bis hin zu multinationalen Fortune-500-Unternehmen.

IoT- und industrielle Internet of Things (IIoT)-Geräte benötigen leichtgewichtige Netzwerkkomponenten, um Rechenleistung zu sparen. Aber Probleme mit Netzwerk-Kommunikationssoftware von Drittanbietern belasten die Landschaft seit Jahren. Im Jahr 2018 gefährdeten 13 Fehler im FreeRTOS-TCP/IP-Stack die IoT-Geräte in Privathaushalten und in kritischen Infrastrukturen, und 2019 wurden medizinische Geräte und Krankenhausnetzwerke durch eine Reihe von elf Schwachstellen namens Urgent/11 bedroht. Die Schwachstellen befanden sich im IPnet, einer Softwarekomponente eines Drittanbieters, die die Netzwerkkommunikation unterstützt. Ein Angreifer könnte diese Schwachstellen potenziell nutzen, um die Kontrolle über medizinische Geräte aus der Ferne zu übernehmen oder deren Funktionsfähigkeit zu behindern.

Die Schwachstellen

Die in der Software gefundenen Schwachstellen zeichnen sich durch die Breite ihrer Auswirkungen aus – die Software hat sich über die ganze Welt verbreitet und wurde direkt und indirekt von vielen verschiedenen Herstellern verwendet.

Konkret handelt es sich bei Ripple20 um eine Gruppe von 19 Fehlern, die bei erfolgreicher Ausnutzung einem Angreifer erlauben würden, willkürlich Code auf anfälligen Geräten auszuführen, mit denen er sich verbinden kann. Hacker können über lokale Netzwerke oder über das Internet auf anfällige Geräte zugreifen und die vollständige Kontrolle über diese Geräte übernehmen – ein kritisches Problem, wenn es sich dabei auch um solche in Stromnetzen, Produktionsstätten und Krankenhäusern handelt.

Einer dieser Bugs ist eine Schwachstelle im DNS-Protokoll, die von einem erfahrenen Hacker dazu benutzt werden kann, Geräte anzugreifen, die nicht mit dem Internet verbunden sind. JSOF hat weitere mögliche Angriffe skizziert, unter anderem die Nutzung angreifbarer Geräte, um andere Geräte in einem Netzwerk ins Visier zu nehmen oder um im Netzwerk verborgen zu bleiben, und die Verbreitung eines Angriffs, um die Kontrolle über alle betroffenen Geräte im Netzwerk gleichzeitig zu übernehmen. Treck hat ein Sicherheits-Update zur Behebung dieser Schwachstellen veröffentlicht.

Die Cybersecurity and Infrastructure Security Agency (CISA) hat fünf dieser Schwachstellen mit über acht bewertet, wobei zwei davon eine zehn erhielten (die höchste mögliche Bewertung). Sie empfehlen Benutzern auch, „Abwehrmassnahmen“ gegen diese Schwachstellen zu ergreifen – Installation der Updates von Treck, Minimierung der Exponierung des Netzwerks, Einsatz von Firewalls, Verwendung virtueller privater Netzwerke und interner DNS-Server.

Eindämmung und Lösungen

Entdeckung ist der erste Schritt zur Vermeidung von Angriffen, die diese Schwachstellen missbrauchen. In einigen Fällen sind sich die Eigentümer von Assets möglicherweise nicht bewusst, dass diese Schwachstellen in ihrer Umgebung existieren. Produkte wie EdgeIPSTM und EdgeFireTM können beim Entdecken von Ripple20-Schwachstellen unterstützen, indem sie den Netzwerkverkehr scannen.

Es gibt auch einige andere Taktiken, die bei der Eindämmung von Ripple20 helfen können:

  • Netzwerksegmentierung: Eine angemessene interne Segmentierung und Mikrosegmentierung sollte in der OT-Netzwerkumgebung durchgeführt werden. Verantwortliche können EdgeFireTM für die interne Segmentierung durch kommunikationsgesteuerte NAT- und ICS-Protokolle verwenden. EdgeIPSTM kann eine tiefgreifende Mikrosegmentierung durchführen.
  • Netzwerk-Policy für die Kontrolle: Ohne eine angemessene Lösung kann das Prinzip des Null-Vertrauens nicht erreicht werden. EdgeFireTM und EdgeIPSTM bieten Netzwerkzugriffs-Whitelists für M2M-Kommunikation über IP-Adressen, ICS-Protokolle und Befehle.
  • Vorbeugung: Bei Gefahren mit hohem Potenzial aktualisieren EdgeIPSTM und EdgeFireTM den 6/30-Regelsatz, um Schwachstellen zu verhindern.

Der Originalbeitrag beinhaltet auch die Indicators of Compromise und eine Auflistung der Ripple20-Schwachstellen.

PowerShell-basierte Malware und Angriffe aufspüren, erkennen und vereiteln

Während herkömmliche Malware und Angriffe auf eigens erstellte ausführbare Dateien angewiesen sind, liegt dateilose Malware im Speicher, um herkömmlichen Scannern und Erkennungsmethoden zu entgehen. PowerShell, ein legitimes Verwaltungstool für Systemadministratoren bietet eine ideale Tarnung für Bedrohungsakteure, bei der Erstellung von Payloads, die stark von einer tiefen Windows-Integration abhängen. Trend Micro hat mehrere Berichte über dieses Methoden veröffentlicht, dessen Verbreitung durch Telemetriedaten weiter validiert wurde.

PowerShell ist eine Skripting-Sprache und eine Befehlszeilen-Shell auf Basis von .NET-Klassen. Sie unterstützt Systemadmins dabei, Aufgaben im Management von Betriebssystemen zu automatisieren. PowerShell ermöglicht einen einfacheren und schnelleren Zugriff auf das Betriebssystem, sodass Administratoren sowohl lokal als auch aus der Ferne Managementaufgaben für ein System wahrnehmen können.

PowerShell als effizienter Angriffsvektor

Mit Viren infizierte Dateien und bösartige Trojaner sind etablierte Malware-Typen, und die Entwickler verfügen über verschiedene defensive Erkennungs- und Abwehrtechniken, um sich dagegen zu wehren. Browser überprüfen heruntergeladene Dateien, Anwendungen benötigen vor der Installation genehmigte Berechtigungen, und Sicherheitssoftware kann Dateien scannen, um sie auf bekannte Signaturen zu überprüfen. Sogar Malware, die über Microsoft Office-Makros kommt, wird durch Standardeinstellungen blockiert, die eine automatische Ausführung nicht mehr zulassen.

Angreifer können dateilose Malware verwenden, um diese Schutzmechanismen zu umgehen, indem sie Payloads in laufende Anwendungen einschleusen oder Skripting einsetzen. PowerShell ist ein idealer Kanal für die Durchführung dieser Angriffe, da die Shell weit verbreitet ist und über das .NET-Framework auf alle Teile eines Hosts zugreifen kann. Darüber hinaus ist es einfach, Skripts zu entwickeln für die Übermittlung von Payloads, und weil PowerShell eine vertrauenswürdige Anwendung ist, kann sie fast immer Skripts ungehindert ausführen.

Bekannte Angriffe und Infektionen mithilfe von PowerShell

Die Ressourcen für die Verwendung und den Missbrauch von PowerShell sind online einfach verfügbar, so dass böswillige Akteure mit mehr oder weniger raffinierten Methoden darauf zurückgreifen. Seit den ersten Berichten 2014 haben Cyberkriminelle verschiedene Kampagnen durchgeführt und dabei zur Infektion der Systeme Techniken des Social Engineering eingesetzt. Sie kombinierten PowerShell mit anderen Exploits oder replizierten offenbar andere Routinen.

Eine der berüchtigten Kompromittierungen über PowerShell stand im Zusammenhang mit der Veröffentlichung interner Emails des US-Demokratischen Nationalkomitees durch die mutmasslich russische Gruppe Pawn Storm im Jahr 2016. Der Equifax-Diebstahl 2017 zeigte deutlich das Ausmass des Schadens, den böswillige Akteure verursachen können, wenn sie PowerShell für den Missbrauch einer nicht gepatchten Schwachstelle nutzen. 2018 verschickte eine weitere Cyberspionagegruppe APT33 Spear Phishing-Mails an Ziele in der Luftfahrt- und Ölindustrie. Die Anhänge führten einen PowerShell-Befehl aus, der Malware herunterlud und Persistenz im Netzwerk des Opfers herstellte.

Eindämmung und Best Practices

Administratoren können lernen, Aktivitäten zu verfolgen, die enttarnten Events und Payloads zu finden, sie zu überwachen und sich mit ihrem Verhalten vertraut zu machen. PowerShell bietet viele Möglichkeiten zur Aktivitätsprotokollierung. Diese Funktionen lassen sich auch dafür nutzen, den Missbrauch dieses Tools zu erkennen, sich dagegen zu wappnen und die Wirkung zu entschärfen. Diese Protokollierungsfunktionen werden über die Active Directory Group Policy für eine unternehmensweite Implementierung aktiviert. Einzelheiten zu der Handhabung der Funktionen finden Interessierte im Originalbeitrag.

Bei Einbrüchen im Zusammenhang mit PowerShell bedarf es einer hohen Anzahl von Ereignissen, um den für die Analyse von Sicherheitsvorfällen erforderlichen Detaillierungsgrad zu erreichen. In einigen Fällen kann ein einzelner PowerShell-Befehl (Cmdlet) über 30 Events erzeugen. Ein Angriff kann grössere Befehle mit Skriptblöcken und Ausführungen beinhalten, die Ereignisse erzeugen, die jeden Sicherheitsanalysten überfordern können.

Bild 1. Beispiel eines PowerShell-Ereignisprotokolls

Das Log Inspection-Modul in Trend Micro™ Deep Security™ kann verschiedene Betriebssystem- und Anwendungs-Logs über die verschiedenen Hosts und Anwendungen im Netzwerk sammeln, analysieren und anreichern. Es ermöglicht die Korrelation zwischen ihnen, um bei der Aufdeckung von Problemen zu helfen. Auch gibt es von Trend Micro die Rule 1010002 – Microsoft PowerShell Command Execution, die der Analyse aller PowerShell-Ereignisse gewidmet ist.

Bedrohungsakteure versuchen auch immer wieder, PowerShell-Befehle zu verschleiern, indem sie sie codieren. Diese lassen sich jedoch aus den generierten Event decodieren, und die PowerShell Log Inspection-Regel entdeckt und charakterisiert das Event entsprechend.

MITRE ATT&CK

Das MITRE ATT&CK-Framework stellt ein unschätzbares Tool für Cybersicherheitsforscher dar. Durch die umfangreiche Datensammlung und Forschung dient das Framework als Verifizierungsmassnahme zur Bewertung von Techniken, die von den böswilligen Gruppen eingesetzt werden, sowie zur Verfolgung der dokumentierten Entwicklungen der Gruppen. PowerShell-Events, die von Deep Security generiert werden, helfen bei der Angriffsanalyse, indem sie eine Klassifizierung gemäss den entsprechenden ATT&CK-Techniken, die durch das Framework definiert sind, zugewiesen bekommen. Die Trend Micro PowerShell-Regel wurde anhand der MITRE 2019 APT 29 Evaluation geprüft und deckt eine grosse Anzahl der Kriterien ab.

Bild 2. Angebotene MITRE ATT&CK Techniken

Fazit

Die Bequemlichkeit, die das PowerShell-Framework bietet, erleichtert zwar die Aufgaben der Systemadministratoren, bietet aber Cyberkriminellen eine grosse Angriffsfläche. Der Missbrauch legitimer Tools und Funktionen wie PowerShell ist nicht neu, aber er wird sich als cyberkriminelle Taktik in Kombination mit anderen Techniken weiter entwickeln. Dateilose Bedrohungen über PowerShell sind zwar nicht so sichtbar wie herkömmliche Malware und Angriffe, aber sie lassen sich verhindern. Zu allen Themen liefert der Originalbeitrag weitere Einzelheiten sowie Anleitungen für Systemadministratoren.

Auch „traditionelle“ Best Practices, wie etwa Updaten und Patchen von Systemen, helfen gegen diese Angriffe. Aber die sich weiter entwickelnden Sicherheitstechnologien, die eine generationsübergreifende und vernetzte Verteidigung einsetzen, sowie die Entwicklung einer Kultur der Sicherheit und des Sicherheitsbewusstseins bei den Anwendern ermöglichen es IT-Managern und Administratoren, sich dagegen zu verteidigen.

Trend Micro-Lösungen

Trend Micro™ Deep Security™ kann Systeme und Nutzer vor Malware und Angriffen über PowerShell schützen. Die Lösung bietet Netzwerk- und Systemsicherheit, und in Kombination mit Vulnerability Protection kann die Lösung Nutzersysteme vor einer Vielfalt aufkommender Bedrohungen, die Schwachstellen missbrauchen, schützen.

Smart Protection Suites beinhaltet einige Fähigkeiten wie High-Fidelity Machine Learning und Webreputations-Services, die die Auswirkung von persistenten, dateilosen Bedrohungen minimieren. Trend Micro Apex One™ nutzt eine Vielfalt von Erkennungstechniken sowie Verhaltensanalyse, um gegen bösartige Skripts, Einschleusen, Ransomware, Memory- und Browser-Angriffe zu schützen.

Zusätzlich bietet Apex One Endpoint Sensor kontextspezifische Endpunkt-Erkennung und Reaktion (EDR), die Ereignisse überwacht und Prozesse oder Ereignisse mit böswilligen Aktivitäten schnell untersucht. Trend Micro Deep Discovery umfasst einen Email Inspection-Layer, der bösartige Anhänge und URLs erkennen kann. Die Lösung entdeckt Remote-Skripts, auch wenn diese nicht auf den physischen Endpunkt heruntergeladen werden.