Schlagwort-Archive: Angriff

Dateilose Netwalker Ransomware über Reflective Loading

Bedrohungsakteure finden permanent neue Wege, um ihre Malware an Verteidigungsmechanismen vorbei zu schleusen. So fanden die Sicherheitsforscher Angriffe der Netwalker Ransomware mit Malware, die nicht kompiliert sondern mit PowerShell verfasst ist und direkt im Hauptspeicher ausgeführt wird, ohne das tatsächliche Ransomware Binary auf Platte speichern zu müssen. Damit wird diese Variante zur dateilosen Bedrohung, die in der Lage ist, sich persistent in Systemen festzusetzen und ihre Entdeckung zu vermeiden, indem sie schon vorhandene Tools missbraucht, um die Angriffe zu starten.

Diese Art der Bedrohung setzt auf eine Technik namens Reflective (deutsch auch Reflexion oder Introspektion) Dynamic-Link Library (DLL) Injection, auch als Reflective DLL Loading bekannt. Die Technik ermöglicht das Einschleusen einer DLL aus dem Hauptspeicher statt von der Platte. Damit ist die Technik unsichtbarer als die übliche DLL Injection. Nicht nur die eigentliche DLL-Datei auf der Festplatte ist nicht erforderlich, sondern auch der Windows-Loader zum Einschleusen wird nicht gebraucht. Dadurch muss die DLL nicht als geladenes Modul eines Prozesses registriert werden und die Malware kann DLL-Load-Monitoring-Tools umgehen.

Trend Micros Sicherheitsforscher stellten schon früher fest, dass Cyberkriminelle diese Technik für die Installation der ColdLock-Ransomware einsetzten. Nun verwendete die gleiche Angriffsmethode die dateilose Ransomware Netwalker. Die technischen Einzelheiten zum Angriff liefert der Originalbeitrag.

Fazit und Empfehlungen

Reflective DLL Injection erschwert die Erkennung von Ransomware-Angriffen und auch deren Untersuchung durch Sicherheitsanalysten. Als dateilose Bedrohung steigt das Risiko von Ransomware-Angriffen noch weiter, weil die Malware persistent auf den Systemen bleibt und Verteidigungsmassnahmen umgehen kann.

Der Schutz vor kombinierten Bedrohungen, die mehrere Techniken einsetzen, erfordert eine mehrschichtiges Sicherheitskonzept, das Endpunkte effizient schützt, so etwa durch Sicherheitslösungen, die Verhaltensüberwachung und verhaltensbasierte Erkennung einsetzen.

Die folgenden Empfehlungen können dazu beitragen, Ransomware-Angriffe zu verhindern:

  • Regelmässiges Backup der kritischen Daten, um die Auswirkungen eines Ransomware-Angriffs zu minimieren.
  • Aufbringen der neuesten Software-Patches der Betriebssystem- und Drittanbieter.
  • Befolgen von Email- und Website-Sicherheitsrichtlinien.
  • Warnungen an IT-Sicherheitsteam senden, wenn Mitarbeiter verdächtige Emails und Dateien finden.
  • Einführen von Anwendungs-Whitelisting auf den Endpunkten, um unbekannte oder unerwünschte Apps zu blocken.
  • Regelmässige Schulungen für Mitarbeiter zu den Gefahren des Social Engineering.

Empfehlungen zum Schutz vor dateilosen Bedrohungen:

  • Sichere Nutzung von PowerShell mithilfe deren Logging-Fähigkeiten zur Überwachung verdächtigen Verhaltens.
  • Nutzen von PowerShell-Befehlen wie ConstrainedLanguageMode, um Systeme gegen bösartigen Code abzusichern.
  • Konfigurieren von Systemkomponenten und Deaktivieren der nicht genutzten und veralteten, um mögliche Eintrittspunkte zu blocken.
  • Keine Dateien aus unbekannten Quellen herunterladen oder ausführen.

Zudem sollten Unternehmen Sicherheitslösungen einsetzen, die Verhaltens-Monitoring bieten:

  • Trend Micro Apex One™ – setzt auf Verhaltensanalyse, die vor bösartigen Skripts, Einschleusen, Ransomware und Angriffen über den Browser oder aus der Memory schützen kann.
  • Trend Micro Worry-Free Services – Umfasst Verhaltensmonitoring, um Skript-basierte, dateilose Bedrohungen zu erkennen und Malware zu blocken, bevor sie ein System kompromittieren kann.

Node.js-Trojaner verbreitet sich mithilfe von Covid-19-Köder

Die Sicherheitsforscher von Trend Micro stiessen kürzlich auf einen von MalwareHunterTeam entdeckten Java Downloader, der offenbar in einer Phishing-Kampagne im Zusammenhang mit COVID-19 verbreitet wurde. Bei Ausführung der Datei wird eine neue, unbekannte Malware heruntergeladen, die in Node.js verfasst ist. Der Trojaner wurde „QNodeService“ benannt. Der Einsatz der Plattform Node.js ist ungewöhnlich für Autoren von Commodity-Schädlingen, denn sie ist in erster Linie für die Entwicklung von Webservern gedacht und somit potenziellen Opfermaschinen nicht vorinstalliert. Doch könnte gerade die Wahl dieser ungewöhnlichen Plattform dazu beigetragen haben, dass die Malware von Antivirus-Software nicht erkannt wurde.

Die Malware beinhaltet Funktionen für den Download/Upload sowie die Ausführung von Dateien, den Diebstahl von Login-Informationen aus Chrome sowie Firefox Browsern. Sie ist in der Lage, unter anderem Dateimanagement durchzuführen und zielt auf Windows-Systeme, wobei bestimmte Code-Teile darauf schließen lassen, dass sie künftig auch plattformübergreifend agieren wird. Die technischen Einzelheiten zum Angriffsablauf, dem Verhalten der Malware sowie Indicators of Compromise bietet der Originaleintrag.

Empfehlungen

Bedrohungsakteure entwickeln ständig neuartige Methoden, um dafür zu sorgen, dass ihre Malware so lange wie möglich viele Systeme betrifft, z. B. durch die Verwendung von Umgebungen, die weniger für die Erstellung von Malware genutzt werden, durch die Aufrechterhaltung der Persistenz und durch plattformübergreifende Kompatibilität. Um sich gegen solche Malware zu schützen, können Benutzer etwa mit folgenden Sicherheitslösungen verhindern, dass sie durch mögliche Eintrittspunkte wie Email, Endpunkte und Netzwerk angegriffen werden:

  • Für Email bietet Trend Micro™ Email Security KI-gestützte Erkennung und Sandboxing-Fähigkeiten, um sowohl Malware als auch bösartige URLs zu blocken.
  • Für Endpunkte liefert Trend Micro Apex One Möglichkeiten zur automatisierten Bedrohungserkennung mit Hilfe von ML sowohl vor als auch während der Ausführung.
  • Für Netzwerke unterstützt Trend Micro TippingPoint Threat Protection System die Sicherheit durch die Inspektion und das Blocken von Netzwerkverkehr in Echtzeit, um das Eindringen von Bedrohungen zu verhindern.

Sicherheit bei Smart Manufacturing

In Zeiten von Industrie 4.0 setzen Unternehmen zunehmend auf intelligente Fertigungstechnologien (Smart Manufacturing). Dies bringt zahlreiche Vorteile mit sich, wie z.B. eine höhere Produktivität bei geringeren Kosten, aber damit gehen auch neue Angriffsvektoren einher, über die Bedrohungsakteure in intelligenten Fertigungsanlagen Fuss fassen oder sich lateral bewegen können. Im aktuellen Bericht „Attacks on Smart Manufacturing Systems: A Forward-looking Security Analysis“ analysiert das Trend Micro Forward-Looking Threat Research Team in Zusammenarbeit mit dem Politecnico di Milano (POLIMI) die Angriffsoberflächen für Industrie 4.0 sowie die Vielfalt spezifischer Angriffe auf heutige Roboter und die möglichen Folgen der Angriffe.

Smart Manufacturing beruht auf einer engen Integration zwischen IT- und Operational Technology (OT)-Systemen. Enterprise Resource Planning (ERP)-Software hat sich in Richtung Supply Chain Management (SCM) weiterentwickelt, das über Unternehmens- und Ländergrenzen hinweg alle Arten von Input sammelt und Endprodukte, Zahlungen und Funktionalität auf globaler Ebene liefert.

Supply Chain und Softwareentwicklung in Industrie 4.0

Jede Synergie erfüllt ein Geschäftsziel: Optimierung knapper Ressourcen über verschiedene Quellen hinweg; Minimierung der Herstellungs-, Liefer- und Lagerhaltungskosten über Regionen hinweg, Kontinuität des Betriebs durch Diversifizierung der Lieferanten oder Maximierung des Verkaufs über mehrere Lieferkanäle. Die Supply Chain beinhaltet nicht nur Rohmaterialien für die Fertigung, sondern auch Zulieferer von Komponenten, externe Mitarbeiter für nicht zum Kerngeschäft gehörende Funktionen, Open-Source-Software zur Optimierung der Entwicklungskosten und Subunternehmer für die Ausführung spezieller Konstruktions-, Montage-, Test- und Vertriebsaufgaben. Jedes Element der Supply Chain stellt eine Angriffsfläche dar.

Softwareentwicklung ist seit langem eine Teamleistung. Nicht nur die Designs müssen im gesamten Team klar sein, auch das Testen erfordert eine enge Zusammenarbeit zwischen Architekten, Designern, Entwicklern und der Produktion. Teams identifizieren Geschäftsanforderungen und stellen dann eine Lösung aus Komponenten zusammen, die aus öffentlich zugänglichen Bibliotheken stammen. Diese Bibliotheken können weitere Abhängigkeiten von Fremdcode unbekannter Herkunft enthalten. Vereinfachtes Testen hängt von der Qualität der gemeinsam genutzten Bibliotheken ab, aber gemeinsam genutzte Bibliotheksroutinen können nicht entdeckte (oder absichtlich versteckte) Fehler aufweisen, die erst in einer anfälligen Produktionsumgebung zum Vorschein kommen. Wer testet GitHub? Das Ausmass dieser Schwachstellen ist gewaltig.

Industrieroboter als Gefahr

Innerhalb des Herstellungsbetriebs legt die Verschmelzung von IT und OT zusätzliche Angriffsflächen frei. Industrieroboter liefern ein deutliches Beispiel. Diese Präzisionsmaschinen sind darauf programmiert, anspruchsvolle Aufgaben schnell und fehlerfrei auszuführen. Programmierbare Roboter können verschiedene Materialkonfigurationen ohne Unterbrechungen produzieren. Sie werden überall in der Fertigung, im Lager, in Distributionszentren, in der Landwirtschaft, im Bergbau und bald auch in Lieferfahrzeugen eingesetzt. Die Supply Chain ist automatisiert worden.

Die Protokolle, von denen Industrieroboter abhängen, gehen von der Annahme aus, dass die Umgebung isoliert ist, und ein Controller die Maschinen an einem Standort steuert. Da die Verbindung zwischen dem Controller und den gesteuerten Robotern fest verdrahtet war, war eine Identifizierung des Operators oder eine Überprüfung der Nachricht nicht erforderlich. Jedes Gerät ging davon aus, dass alle seine Verbindungen extern verifiziert wurden. Die Protokolle enthielten keine Sicherheits- oder Datenschutzkontrollen. Dann übernahm Industrie 4.0 die drahtlose Kommunikation.

Die Angriffe

Zu den möglichen Eintrittspunkten für einen Angriff auf ein Smart Manufacturing-System zählen Engineering Workstations (ein von Domänen-Usern gemeinsam genutztes System, das mit der Produktionshalle verbunden ist), kundenspezifische industrielle Internet-of-things (IIoT)-Geräte mit besserer Automatisierungsflexibilität als klassische Automatisierungshardware wie PLCs oder auch Manufacturing Execution System (MES)-Datenbanken mit kritischen Daten (die DB ist implizit für den Rest des Systems vertrauenswürdig).

Dieser Wechsel zur drahtlosen Kommunikation, der die Kosten für die Kabelverlegung in der Fabrik einsparte, öffnete die Netzwerke für alle Arten von Angriffen. Die Bedrohungsakteure fälschen Befehle, modifizieren Spezifikationen, ändern oder unterdrücken Fehleralarme, modifizieren Ausgabestatistiken und schreiben Logs neu. Die Folgen können gewaltig und doch nahezu unbemerkt sein.

Sicherheitsempfehlungen

Unternehmen müssen konkrete Schritte unternehmen, um ihre Systeme zu schützen:

  • Auf Netzwerkebene sollte Deep Packet Inspection eingesetzt werden, die die wichtigen, relevanten OT-Protokolle unterstützt, um verdächtige Payloads zu entdecken.
  • Auf den Endpunkten sollten regelmässige Integritätsüberprüfungen stattfinden, um bei jeder modifizierten Softwarekomponente Alerts zu erhalten.
  • Für IIoT-Geräte sind Code-Signaturen erforderlich. Sie sollten sich jedoch nicht nur auf die endgültige Firmware beschränken, sondern auch alle anderen Abhängigkeiten einschliessen, um sie vor Bibliotheken Dritter zu schützen, die bösartige Funktionen verbergen könnten.
  • Die Risikoanalyse für Automatisierungssoftware sollte je nach Bedarf massgeschneidert werden. In Systemen, in denen z.B. kollaborative Roboter Seite an Seite mit Menschen arbeiten, sollte die Sicherheit auf der Firmware-Ebene implementiert werden.

Darüber hinaus ist es empfehlenswert, dass Unternehmen sich nicht nur vor aktuellen, sondern auch vor möglichen künftigen Bedrohungen schützen, indem sie das gleiche Level für die Sicherheitsvorkehrungen wählen, wie auch bei den sicheren Coding-Praktiken und Abwehrmassnahmen für Nicht-OT-Software wie mobile Anwendungen, Webanwendungen und Cloud-Umgebungen.

Massive Credential Phishing-Angriffe auf Home User

Der Wert eines Passworts liegt darin, einem User Zugang zu wichtigen Informationen und jeder Menge IT Diensten zu eröffnen. Jeder weiss das und natürlich auch Cyberkriminelle. Somit ist es wenig verwunderlich, dass der Diebstahl von Login-Daten, also „Credentials“, eines der Hauptthemen ist, mit denen sich die Akteure beschäftigen. Jetzt aber, wo die Zahl derer, die im Home Office arbeiten, sprunghaft gestiegen ist, haben die „Credential Phisher“ Hochkonjunktur. Nutzer können sich am besten dagegen wehren, wenn sie verstehen, wie ein solcher Angriff abläuft.

Bild 1. Top 10 Länder, in denen User mit Credential Phishing Angriffen mit Bezug auf Outlook oder Office 365 angegriffen wurden (Quelle Trend Micro)

Vorgehensweise

Der Erfolg eines Credential Phishing-Angriffs steht und fällt mit der Fertigkeit des Angreifers, sein Opfer davon zu überzeugen, ihm sein Passwort freiwillig zu übergeben, und – das ist wichtig – das Opfer darf nicht misstrauisch werden. Denn ein Passwort ist im Zweifel binnen Sekunden geändert. Ein Täter benötigt etwas, eine Seite oder ein Formular, wo User Passwörter eingeben können und ein Mittel, das keinen Argwohn weckt, wenn dies nicht sofort klappt.

Ein beliebtes Ziel sind deshalb vor allem Mail-Clients. Während der Mitarbeiter im Büro einfach nur Outlook öffnet, greift er speziell im Home Office auch mit Vorliebe auf die Webvarianten über den Browser zu und muss sich, um auf seinen Account zu kommen, entsprechend authentifizieren. Damit aber ist die erste Notwendigkeit erfüllt. Der Angreifer muss seinem Opfer lediglich eine Fake Web Client-Seite vorgeben – eine klassische Phishing Aufgabe.

Bild 2. Fake Microsoft Login-Seite

Die Sache hat allerdings einen Haken: Die „klassische“ Angriffs-Mail erhält ein Opfer nur bei aktivem Mail Client. Wie erreicht ein Angreifer also sein Opfer, denn niemand würde den wichtigen Link anklicken, um dann erneut seinen Mail Client aufzumachen …

Hier bedient sich der Angreifer eines „Workarounds“. Die Mail bewirbt offiziell die neueste und/oder interessanteste Nachricht eines News-Dienstes. Klickt der User den Link an, wird er auf genau diese Seite weitergeleitet und erhält dort auch die erwartete Information. Gleichzeitig wird allerdings eine zweite Seite geöffnet, die eigentliche Phishing-Seite mit einem Mail Client-Login und dem Hinweis, dass die aktuelle/letzte Session abgelaufen ist. Geht das Opfer nach einer Weile – die Nachricht zu lesen hat vermutlich Zeit gekostet – auf seinen Mail Client und gibt sein Passwort erneut ein, so erscheint die Nachricht, dass entweder Username oder Passwort falsch waren. Es erfolgt eine Umleitung zurück auf die Original Web Client-Seite. Nach erneuter Eingabe des Passworts erhält er auch seinen gewohnten Zugriff auf seine Mails. Die Episode ist bald vergessen. Timeouts von Webseiten sind jedem vertraut und jeder hat sich schon einmal bei der Passworteingabe vertippt.

Aktualität

Das genannte Beispiel gibt es in zahlreichen Facetten. Natürlich ist Office365 dabei aber auch andere Applikationen speziell Online Meeting Plattformen wie Zoom oder Webex stehen im Fokus. Die Methode selbst wurde ursprünglich von der politisch motivierten Gruppe Pawnstorm (APT28, Fancy Bear) genutzt, um Angriffe auf höchste politische Kreise zu launchen. So steht Pawnstorm für die Angriffe auf die Demokratische Partei (2016), den Bundestag (2015/17) sowie eine Reihe weiterer politischer Angriffe.

Symptome erkennen: Schutz für Geräte Netzwerke im Home Office

von Trend Micro

Manche Unternehmen hat der plötzliche Wechsel der Mitarbeiter zur Arbeit im Home Office unvorbereitet getroffen. Und die Folge davon sind nicht gesicherte Systeme, die im Unternehmen laufen, oder angreifbare Hardware in den Umgebungen der Mitarbeiter zu Hause. Cyberkriminelle versuchen, aus dieser Situation Profit zu schlagen. Doch Anwender und Unternehmen können sich dagegen schützen, wenn sie die Symptome eines Angriffs erkennen und Best Practices beachten.

Trend Micro stellt im Vergleich zu Dezember 2019 einen signifikanten Anstieg bei Angriffen auf Remote-Systeme und vernetzte Geräte fest.

Bild 1. Eingehende Infektionen und Angriffsversuche auf Geräte von Dezember 2019 bis März 2020, Daten aus dem  Smart Home Network (SHN) von Trend Micro

Cyberkriminelle bedienten sich bekannter Techniken und griffen über die üblichen Eintrittspunkte an, um in die Heimnetzwerke und Geräte der Benutzer einzudringen. Die Akteure weiteten ihre Aktivitäten mit den bekannten Taktiken und Methoden merklich aus, vom Ausnutzen der häufig noch vorhandenen Standardpasswörter, bis zum wiederholten Missbrauch ungepatchter Schwachstellen und den Scans nach offenen Ports und Diensten sowie der Installation von Backdoors.

Bild 2. Vergleich der wichtigsten Methoden für das Eindringen in Systeme, Dezember 2019 bis März 2020

Mit Fortschreiten der Pandemie und der steigenden Zahl von Mitarbeitern, die Home-Netzwerke für ihre Arbeit nutzten, nahmen auch die bösartigen Routinen zu, die auf Nutzer abzielten, und diese mit Coronavirus-bezogenen Nachrichten köderten. Und auch wenn nicht alle Einbrüche, bösartigen Routinen und Angriffe erkennbare Anzeichen aufweisen, gibt es verräterische Symptome, die von nicht-technischen Mitarbeitern überprüft werden können, um festzustellen, ob ihre Geräte gehackt oder mit Malware infiziert wurden. Einige bösartige Routinen weisen keine offensichtlichen Anzeichen einer Infektion oder eines Eindringens auf, und einige Symptome werden erst nach bestimmten Benutzeraktionen sichtbar.

Details, wie Sie Ihre Geräte schützen können, finden Sie in unserer Infografik. Bitte klicken zum Vergrößern

Wie können Geräte kompromittiert werden?

Cyberkriminelle ändern oder verbessern ständig ihre Techniken, um eine steigende Zahl von mobilen und intelligenten Geräten infizieren und angreifen zu können. Deshalb sollten Nutzer die folgenden Taktiken kennen und bestimmte Aktionen vermeiden:

  • Herunterladen von Apps, Software und/oder Medien aus Drittanbieter-Marktplätzen oder -Websites. Diese Apps könnten bösartige Komponenten enthalten, sich als bekannte Apps ausgeben oder Funktionen beinhalten, die nichts mit ihrem angeblichen Zweck zu tun haben.
  • Internetverbindungen über öffentliche WLAN-Netzwerke. Bedrohungsakteure können sich in diese Netzwerke dazuschalten und Informationen daraus stehlen. Auch könnten die verfügbaren Verbindungen gefälschte Hotspots sein, die Daten von den damit verbundenen Geräten kapern.
  • Anklicken von Phishing- und/oder SMShing-Links. Bedrohungsakteure verwenden in Emails oder Textnachrichten eingebettete bösartige URLs, um Gerätezugriff zu erlangen, Bank- oder persönliche Daten zu stehlen oder Malware zu verbreiten.
  • Zugriff auf bösartige und/oder infizierte Websites oder Apps. Bösartige Websites können dazu verwendet werden, Geräte zu infizieren, die absichtlich oder unabsichtlich auf diese Seiten zugreifen. Cyberkriminelle können Malware und weitere bösartige Befehle einschleusen oder eine Schicht über die legitime Seite legen, die sich als legitime Seiten ausgibt, um Besucher umzuleiten oder zu infizieren.
  • Jailbreaking. Dieses Vorgehen beinhaltet die absichtliche Aufhebung von Software- und Telekommunikationsbeschränkungen, um die eingebetteten exklusiven Funktionen des Geräts außer Kraft zu setzen, und bietet somit Ansatzpunkte, die böswillige Akteure ausnutzen können, wenn der Benutzer ins Internet geht.
  • Ungepatchte System- und/oder Medienschwachstellen. Sicherheitslücken im Betriebssystem, in der Hardware und in Anwendungen können Türen öffnen, die von Cyberkriminellen missbraucht werden.
  • Einsetzen von standardmäßigen Zugangsdaten. Standard-Benutzernamen und -Passwörter in Routern und Geräten, die von Herstellern und Netzwerk Service Providern vergeben werden, sind in der Regel für alle ihre Abonnenten ähnlich oder gleich. Cyberkriminelle können auf eine gemeinsame Liste zurückgreifen, um bei Angriffen auf diese Geräte zuzugreifen.
  • Gezielte Angriffe. Hochrangige Personen in bestimmten Branchen sind begehrte Ziele. Ihre jeweiligen Geräte können dazu verwendet werden, ihre Bewegungen zu verfolgen und an hochwertige Kontakte sowie vertrauliche Informationen heranzukommen.

Die praktisch über Nacht eingerichteten Remote-Arbeitsumgebungen könnten die derzeitige Infrastruktur überfordern, aber jedes Unternehmen sollte sie als die neue Norm betrachten. Diese neuen Business-Continuity-Verfahren haben zu einer verstärkten Nutzung von persönlichen Arbeitsgeräten geführt, die mit Heimnetzwerken verbunden sind, und dies führt unter Umständen zu Problemen mit den möglicherweise geringeren Sicherheitsmaßnahmen zu Hause im Vergleich zum Arbeitsplatz. Daher müssen vorläufige Lösungen, die sich auf die Leistungserbringung konzentrieren, in langfristige und nachhaltige Geschäftslösungen geändert werden. Mehr denn je müssen die Benutzer den Datenzugriff zwischen ihrem Zuhause und dem Büro sichern.

Trend Micro überwacht auch weiterhin alle Angriffe und bösartigen Routinen bezüglich COVID-19, die Unternehmen oder Geräte kompromittieren können. Empfehlenswert ist auch ein vielschichtiger Schutz für alle Fronten, der Nutzer zudem daran hindert auf bösartige Domänen zuzugreifen. Die Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können Malware und bösartige Domänen erkennen und blocken.

Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der Schutz wird ständig aktualisiert, um das System sowohl vor alten als auch neuen Angriffen schützen zu können. Trend Micro™ InterScan™ Messaging Security bietet umfassenden Schutz, der ankommende Bedrohungen und nach außen gehende Daten stoppt, sowie Spam und andere Email-Bedrohungen blockiert.

Nutzer können auch den umfassenden Schutz von Lösungen wie Trend Micro™ Security und Trend Micro™ Internet Security nutzen. Diese Systeme bieten einen effizienten Schutz vor Bedrohungen für IoT-Geräte, indem sie Malware an den Endpunkten erkennen. Schließlich lassen sich vernetzte Geräte über Sicherheitssoftware schützen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN), die den Internetverkehr zwischen dem Router und allen damit verbundenen Geräten prüfen. Die Trend Micro™ Deep Discovery™ Inspector Netzwerk-Appliance kann alle Ports und Netzwerkprotokolle überwachen und Unternehmen vor gezielten Angriffen schützen.

Weitere Informationen und Empfehlungen zum Corona-bedingten Arbeiten von zu Hause finden Sie hier.

Zoom Installer bringt ein RAT mit

Originalartikel von Raphael Centeno, Mc Justine De Guzman und Augusto Remillano II

Online-Kommunikationssysteme haben sich in diesen Zeiten der Pandemie als sehr nützlich erwiesen. Leider stellen das auch Cyberkriminelle fest, und die Angriffe auf die verschiedenen Messaging-Apps, einschließlich Zoom, nehmen stetig zu. Die Sicherheitsforscher von Trend Micro entdeckten im April einen Angriff, der Zoom Installer nutzt, um einen Krypto-Miner zu verbreiten. Kürzlich gab es einen ähnlichen Angriff, der jedoch eine andere Schadsoftware ablegt: RevCode WebMonitor RAT (Backdoor.Win32.REVCODE.THDBABO). Achtung: Die Installer sind zwar legitim, doch die mit Malware gebündelten Programme kommen nicht aus offiziellen Quellen der Zoom-Anwendung, wie z. B. dem Zoom-eigenen Download-Center oder aus legitimen App-Stores wie Apple App Store und Google Play Store, sondern aus bösartigen Quellen.

Viele Malware-Varianten stellen sich als legitime Anwendung dar, um ihre böswilligen Absichten zu verbergen. Zoom ist nicht die einzige Anwendung, die für diese Art von Bedrohung eingesetzt wird. In diesem speziellen Fall haben Cyberkriminelle möglicherweise die legitimen Installationsprogramme mit Zugabe von WebMonitor RAT neu verpackt und diese Installer auf bösartigen Websites veröffentlicht.

Die Kompromittierung beginnt damit, dass der Nutzer die bösartige Datei ZoomIntsaller.exe aus bösartigen Quellen herunterlädt. ZoomInstaller.exe ist die Datei, die die Kombination aus einem nicht bösartigen Zoom-Installationsprogramm und RevCode WebMonitor RAT enthält. ZoomInstaller.exe legt dann eine Kopie seiner selbst namens Zoom.exe ab und öffnet den Prozess notepad.exe, um Zoom.exe auszuführen. Technische Einzelheiten zum Angriffsablauf enthält der Originalbeitrag.

Die Schadsoftware bricht ab, wenn sie in den folgenden virtuellen Umgebungen ausgeführt wird: kernel-basierte virtuelle Maschine, Microsoft Hypervisor, Parallels Hypervisor, VirtualBox, VMware und Xen Virtual Machine Manager. Auch wenn der Schädling eine Datei ähnlich der folgenden – Malware, Sample, Sandbox – findet, bricht er die eigene Ausführung ab. Da das System eine legitime Zoom-Version (4.6) heruntergeladen hat, wird der Nutzer nicht misstrauisch, obwohl sein System zu diesem Zeitpunkt bereits kompromittiert ist.

Erste Beobachtungen des Samples zeigten ein Fareit-ähnliches Verhalten. Bei näherer Betrachtung stellt sich jedoch heraus, dass es sich tatsächlich um RevCode WebMonitor RAT handelt, mit dem bestimmte Gruppen Berichten zufolge bereits Mitte 2017 in Hacking-Foren hausieren gingen. Das RAT (Remote Access Tool) erlaubt es Bedrohungsakteuren, die Kontrolle über kompromittierte Geräte zu erlangen und diese per Keylogging, Webcam-Streaming oder Screen-Captures auszuspionieren.

Empfehlungen

Videokonferenz-Apps lassen sich mit Hilfe folgender Best Practices schützen:

  • Installer nur aus offiziellen Quellen herunterladen, z.B. aus den eigenen Download-Zentren der Apps. Inoffizielle Download-Sites werden höchstwahrscheinlich von Cyberkriminellen eingerichtet, um ahnungslose Benutzer anzulocken.
  • Sichern der Videokonferenz-Apps. Dazu gehören u. a. die Vergabe von Passwörtern für Meetings, die Geheimhaltung von Meeting-Informationen, die Nutzung von Warteräumen und die Konfiguration von Host-Controls.
  • Stets die aktuelle Version der Apps verwenden. Damit werden mögliche Schwachstellen, die Angreifer ausnutzen können, geschlossen. Für Zoom ist es bald die Version 5.0.

Zusätzlich dazu ist es ratsam, eine Sicherheitslösung zu installieren, wie etwa die folgenden:

  • Trend Micro Apex One™ – bietet fortschrittliche automatisierte Detection & Response für eine wachsende Vielfalt an Bedrohungen.
  • Trend Micro XDR – setzt künstliche Intelligenz und Analytics ein für die Daten, die Trend Micro-Lösungen in Unternehmen sammeln, um eine schnellere und genauere Erkennung zu erreichen.

Auch empfiehlt sich ein mehrschichtiger Schutzansatz, um proaktiv bekannte und neue Bedrohungen an allen möglichen Eintrittspunkten zu erkennen und zu blockieren.

Aktuell: Coronavirus-Ransomware überschreibt MBR

Von Trend Micro

Cyberkriminelle nutzen die Coronakrise in verschiedenen bösartigen Kampagnen. Das Virus wird als Köder in Email Spam, für BEC, Malware, Ransomware und in bösartigen Domänen eingesetzt. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, die ständig weltweit Samples zu solchen Corona-bezogenen Aktivitäten sammeln. Der Beitrag beschreibt Angriffskampagnen, zeigt Schutzmaßnahmen auf und wird immer wieder aktualisiert! Im Rahmen einer neuen Ransomware-Kampagne wird der Master Boot Record (MBR) des Systems des Opfers überschrieben.

Update 24. April

Die Sicherheitsforscher von Trend Micro Research analysierten kürzlich eine Coronavirus-bezogene Malware, die den Master Boot Record (MBR) des Systems des Opfers überschreibt und damit das Hochfahren des Computers verhindert. Eine tschechische Cybersicherheitsagentur NUKIB hatte die Schadsoftware in einem öffentlichen Report beschrieben. Die Malware-Datei enthält „Coronavirus Installer“ in der Beschreibung.

Bild 1. Bildschirmsperre der Malware

Wird die Schadsoftware ausgeführt, so fährt sie automatisch die Maschine wieder hoch und zeigt dann das im Bild dargestellte Fenster, das nicht geschlossen werden kann. Klickt der Nutzer auf „Help“, so erscheint die Nachricht, der Task Manager startet nicht. Auch der Button „Remove Virus“ lässt sich nicht bedienen. Schließlich erzeugt der Schädling ein verstecktes Verzeichnis namens „COVID-19“, das einige weitere Module umfasst. Wird das System per Hand neu gestartet, so wird eine weitere Binärdatei ausgeführt, und es erscheint der folgende Bildschirm.

Bild 2. Grauer Bildschirm nach einem manuellen Neustart

Die Malware sichert den ursprünglichen MBR und zeigt den Text „Created by Angel Castillo. Your Computer Has Been Trashed“ an. Auch hinterlässt der Angreifer Kontaktinformationen für den Instant Messaging-Dienst Discord und suggeriert damit, dass das Opfer mit dem Hacker kommunizieren muss, um eine Lösung zu finden. Üblicherweise liefert Ransomware Opfern die erforderlichen Informationen für die Überweisung des Lösegelds, einschließlich Betrag und Kryptowährungs-Wallet. Doch in letzter Zeit nutzen viele Malware-Akteure Discord für die Anleitungen für das Opfer.

Viele Angreifer löschen einfach den MBR zu Beginn des Prozesses, auch wenn dies eine ziemlich komplizierte Methode ist. Die Datei „Update.vbs“, die das sekundäre Modul ablegt, gibt einen Hinweis darauf, warum sein Verfasser den Prozess auf diese Weise gestaltet hat. Diese VBS-Datei zeigt ein Nachrichtenfeld an, das darauf hinweist, dass der Benutzer eine Internetverbindung benötigt (wird wahrscheinlich zwei Minuten nach Erscheinen des grauen Bildschirms angezeigt).

Wahrscheinlich wurden weitere Schritte hinzugefügt, um den Benutzer dazu zu bringen, sich mit dem Internet zu verbinden, möglicherweise weil das Opfer online sein muss, damit der MBR überschrieben werden kann. Der MBR wurde beim manuellen Neustart nicht überschrieben, als er in einer geschlossenen Offline-Umgebung getestet wurde.

Trend Micro Research analysierte auch eine Coronavirus-bezogene bösartige HTA-Datei, die möglicherweise von der SideWinder APT-Gruppe stammt. Einzelheiten dazu umfasst der Originalbeitrag.

Malware-Arten, die COVID-19 missbrauchen

COVID-19 im kriminellen Untergrund

Schutz vor diesen Bedrohungen

Zusätzliche Informationen und Hilfsangebote von Trend Micro in der Corona-Krise finden Sie hier.

Gamaredon APT-Guppe setzt auf Covid-19 als Köder

Originalbeitrag von Hiroyuki Kakara and Erina Maruyama

Die Advanced Persistent Threat (APT)-Gruppe Gamaredon ist seit 2013 aktiv und war bislang generell für Angriffe auf ukrainische Regierungsinstitutionen bekannt. Doch kürzlich fanden die Sicherheitsforscher von Trend Micro Mails mit einem Anhang, der die Taktik von Gamaredon nutzte, dabei das Thema Coronavirus als Köder einsetzte, um die Opfer dazu zu verleiten, den Anhang zu öffnen. Die Kampagnen hatten europäische und andere Nutzer zum Ziel.

Bild. Infektionsablauf in der Gamaredon-Kampagne

Im Fall der von Trend Micro entdeckten Mail, startet beim Öffnen des Dokuments im Anhang der Download eines Templates für ein Dokument, das den bösartigen Makro-Code enthält, der wiederum ein VBScript (VBS) ausführt. Zudem gab es einen Mechanismus zum Entschlüsseln, Ausführen und Herunterladen einer zusätzlichen Payload vom C&C-Server. Der C&C-Server war jedoch nicht zugänglich, so dass die Forscher keine zusätzlichen Payloads erhalten konnten.

Alle Angriffe wurden über gezielte Emails durchgeführt (MITRE ATT&CK Framework ID T1193), wobei einer gar den Betreff „Coronavirus (2019-nCoV)“ hatte. Technische Einzelheiten zu den Angriffen umfasst der Originalbeitrag.

Fazit

Gamaredon ist nur eine von vielen Gruppen, die in ihren Angriffen auf COVID-19 als Köder zurückgreift. Informieren Sie sich über weitere Kampagnen, die die Pandemie missbrauchen.

Nutzer können sich vor ähnlichen APT-Angriffen mit folgenden Best Practices schützen:

  • Überprüfen des Mail-Absenders, -Betreffs sowie der Nachricht auf verdächtige Anzeichen, bevor ein Anhang geöffnet oder heruntergeladen wird. Besondere Sorgfalt ist bei Mails geboten, die nicht angefordert wurden und/oder unbekannte Absender haben.
  • Prüfen der Datei-Extension im Anhang, um sicherzugehen, dass es das gewollte Format ist.
  • Keine Makros für Office-Dateien aktivieren. Dies gilt vor allem für Emails, die das fordern.
  • Vorsicht vor gefälschten Domänen, die in E-Mails eingebettet sind. Leichte Änderungen an einer gängigen URL können ein Indikator für bösartige Inhalte sein.

Zusätzlich können Unternehmen einen mehrschichtigen Sicherheitsansatz wählen:

  • Trend Micro Smart Protection Suites und Worry-Free™ Business Security kann vor ähnlichen Bedrohungen schützen, weil die Lösungen bösartige Dateien und Spam-Nachrichten erkennen und alle damit zusammenhängenden bösartigen URLs blockieren. Trend Micro Deep Discovery Email Inspector™ kann bösartige Anhänge und URLs erkennen.
  • Trend Micro Hosted Email Security ist eine wartungsfreie cloudbasierte Lösung, die permanent aktuellen Schutz bietet und Spam, Malware, Spear-Phishing und komplexe, zielgerichtete Angriffe stoppt, bevor sie das Unternehmensnetzwerk erreichen. Hosted Email Security schützt Microsoft Exchange, Microsoft Office 365, Google Apps sowie viele weitere gehostete und lokale Email-Lösungen. Email-Verschlüsselung ist in der Basisversion bereits enthalten.
  • Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern.
  • Trend MicroTMXDR unterstützt den Schutz von vernetzten Emails, Endpunkten, Servern, cloudbasierten Workloads und Netzwerken. Leistungsfähige KI und Sicherheitsanalysen von Experten korrelieren Daten aus Kundenumgebungen mit den globalen Bedrohungsinformationen von Trend Micro. Daraus entstehen weniger und präzisere Warnungen.

Zusätzliche Informationen und Hilfsangebote von Trend Micro in der Corona-Krise finden Sie hier.

Ungesicherte Redis-Instanzen werden für Remote Code Execution missbraucht

Originalartikel von David Fiser und Jaromir Horejsi, Threat Researcher

Die Sicherheitsforscher von Trend Micro hatten kürzlich mehr als 8.000 ungesicherte Redis-Instanzen (weit verbreiteter Open-Source In-Memory-Schlüsselwert-Datenstrukturspeicher) entdeckt, die in verschiedenen Teilen der Welt betrieben werden, sogar welche in öffentlichen Clouds. Cyberkriminelle können diese Instanzen für Remote Code Execution (RCE) missbrauchen. Die bösartigen Dateien wandeln sie in Kryptowährungs-Mining Bots um und können auch weitere angreifbare Instanzen über ihre „wurmartigen“ Verbreitungsfunktionen infizieren.

Redis war den Entwicklern zufolge ursprünglich allein auf den Einsatz in vertrauenswürdigen Umgebungen ausgerichtet und beinhaltet seit der Version 4.0 eine Protected Mode-Konfiguration. Der Speicher soll gerade auf die neue Version Redis 6.0 upgedatet werden. Diese bringt neue Sicherheitsfähigkeiten mit, wie etwa Access-Control Lists (ACLs).

Momentan jedoch sind Redis-Instanzen ohne TLS-Verschlüsselung (Transport Layer Security) oder Passwortschutz anfällig für Angriffe, wobei Cyberkriminellen über 200 Befehle zur Verfügung stehen, sobald sie in die Umgebung eindringen. Gegenwärtig ist bei Redis die Authentifizierung nicht standardmäßig eingestellt. Und selbst wenn ein Passwort gesetzt ist, ist es wichtig, sich vor Augen zu halten, dass das Passwort stark genug sein sollte, um gegen Brute-Force-Angriffe resistent zu sein.

Die Sicherheitsforscher setzten mögliche Szenarien in einem Honeypot ein, um Angreifer anzulocken und überwachen zu können. Dabei geht es um den Missbrauch des config-Befehls oder der slaveof-Fähigkeit. Die Forscher konnten auch einige bemerkenswerte Malware-Samples sammeln, die in exponierten Redis-Instanzen über eine der oben genannten Methoden verbreitet wurden: einen plattformübergreifenden Shell-basierten Wurm, der Kryptowährungs-Miner installiert, oder Kinsing-Malware, die sowohl Scanning- als auch Backdoor-Fähigkeiten besitzt. Die technischen Einzelheiten dazu liefert der Originalbeitrag.

Fazit und Sicherheitsempfehlungen

Insbesondere im Umfeld der DevOps, sollten angemessene Sicherheitsmaßnahmen vorhanden sein. Dass exponierte Redis-Instanzen für Kryptowährungs-Mining eingesetzt werden können, ist möglicherweise nicht die einzige Art des Missbrauchs, da die Fähigkeit, Code auszuführen, sozusagen der „heilige Gral“ eines Angreifers ist.

Entwickler können die Umgebung über folgende Best Practices besser schützen:

  • Beim Betrieb von Software auf dem Server ist sicherzustellen, dass sie nicht unter root läuft. Auch beim Einsatz von Containern müssen Nutzer Best Practices befolgen und das Prinzip der Mindestprivilegien anwenden.
  • Die Software immer auf aktuellem Stand halten und starke Passwörter wählen. Keine Verbindung zum Internet ohne geeignete Sicherheitsmaßnahmen.
  • Die Überprüfung von Redis Logs zeigt gerade stattfindende Angriffe.

Cloud-Sicherheitslösungen von Trend Micro

Die Trend Micro Hybrid Cloud Security bietet in einer Lösung die Breite, Tiefe und Innovation, die für den Schutz der Cloud erforderlich sind und zusätzlich die benötigte Übersicht über führende Umgebungen wie Amazon Web ServicesMicrosoft AzureGoogle Cloud und Docker. Zu der Funktionalität zählen automatisierte Installation und Inbetriebnahme, breite API-Integration sowie Sicherheitstechnologie für betriebliche Effizienz und Compliance-Anforderungen.

Die Trend Micro Cloud One SaaS-Plattform Sicherheit für die Cloud-Infrastruktur in Echtzeit – mit optimalem Schutz und Unterstützung der Compliance für Workloads, Anwendungen, Container, serverlose Dateispeichersysteme und Netzwerke sowie die Übersicht über die hybriden Cloud-Umgebungen im Unternehmen. Deep Security und Deep Security Smart Check unterstützen Unternehmen durch das Scannen von Container-Images vor und während der Laufzeit.

Cloud One schließt auch Cloud One – Conformity mit ein. Die Lösung liefert automatische Kontrollmechanismen für AWS ElasticCache (einer In-Memory Datenspeicher-Technologie für Redis). Sie stellt sicher, dass Redis nicht über den Default Port läuft und bietet auch Datenverschlüsselugn in Transit und At-Rest.

Trend Micro™ Deep Security™ und Vulnerability Protection schützt Anwender über folgende Regeln:

  • 1010231 – Redis Cron Remote Code Execution Vulnerability
  • 1009967 – Redis Unauthenticated Code Execution Vulnerability

Aktuell: Netflix-Betrugsmasche in Zeiten des Coronavirus

Von Trend Micro

Cyberkriminelle nutzen die Coronakrise in verschiedenen bösartigen Kampagnen. Das Virus wird als Köder in Email Spam, für BEC, Malware, Ransomware und in bösartigen Domänen eingesetzt. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, die ständig weltweit Samples zu solchen Corona-bezogenen Aktivitäten sammeln. Der Beitrag beschreibt Angriffskampagnen, zeigt Schutzmaßnahmen auf und wird immer wieder aktualisiert! Trend Micro Research untersuchte eine neue Betrugsmasche und Phishing-Taktik, die über den Facebook Messenger ausgeführt wird.

Es geht um Nachrichten, die ein kostenloses zweimonatiges Netflix Premium-Abo versprechen:

Bild 1. Schnappschuss der betrügerischen SMS

Eine Short URL (hxxps://bit[.]ly/34phlJE) wird über Facebook Messenger geschickt und leitet die nichtsahnenden Opfer auf zwei mögliche Seiten um.

Erstes Szenario

Ist der Nutzer bereits in sein Facebook-Konto eingeloggt, wird er einfach weiter auf eine gefälschte Netflix-Seite umgeleitet:

Bild 2. Betrügerische Netflix-Seite

Die Seite greift die Facebook-Anmeldeinfos des Opfers ab und erzeugt ein aktives Abo für eine App namens „NeTflix“ in Facebook. Die App ist lediglich ein Hinweis darauf, dass der Nutzer bereits kompromittiert ist. Klickt ein bereits abonnierter Nutzer abermals auf den bösartigen Link, so wird er auf eine zweite Seite umgeleitet (siehe zweites Szenario).

Zweites Szenario

Nutzer, die nicht in ihrem Facebook-Konto angemeldet sind, werden auf die Facebook-Anmeldeseite umgeleitet und nach Angabe ihrer Login-Infos an die betrügerische Seite aus dem ersten Szenario weiter geleitet.

Klickt der Nutzer den „Not now“-Button an, wird er zur gefälschten Netflix-Seite geleitet. Hier findet er ein gefälschtes Netflix-Angebot und eine Umfrage mit Fragen zu COVID-19 und den eigenen Sauberkeitsgepflogenheiten. Die Betrüger nutzten kostenlose, neu erstellte Domänen, die keinen Bezug zu Netflix haben.

Bild 3. Betrügerisches Netflix-Angebot

Zuletzt wird der Nutzer aufgefordert, die Umfrage mit zwanzig Freunden oder fünf Gruppen zu teilen oder diese aufzufordern, die Umfrage ebenfalls auszufüllen, bevor er fortfahren kann und das gefälschte kostenlose Netflix-Abo erhält.

Unabhängig davon, ob Benutzer am Ende der Umfrage auf ‚Senden‘ oder ‚Weiter‘ klicken, werden sie auf dieselbe Seite weitergeleitet – eine Facebook-Freigabeaufforderung. In diesem nächsten Schritt werden die Opfer erneut angehalten, bösartige Links über „Teilen“ für Facebook-Kontakte zu verbreiten. Danach soll sich der Nutzer bei Facebook anmelden. Nach der Anmeldung werden sie zu einem automatisch generierten Beitrag weitergeleitet. Wenn Sie auf „Post“ klicken, wird ein Status über den bösartigen Link auf der Facebook-Seite des Nutzers gepostet.

Trend Micro hat die folgenden URLs als bösartig erkannt und sie bereits blockiert:

  • hxxp://bit[.]ly/3ec3SsW — flixx.xyz
  • hxxp://bit[.]ly/2x0fzlU — smoothdrive.xyz
  • hxxp://bit[.]ly/39ZIS5F — flixa.xyz

Empfehlungen

Diese Art von Angriffen lassen sich vermeiden:

  • Keine Links oder geteilte Dateien aus unbekannten Quellen anklicken.
  • Prüfen, ob die geteilte Information aus einer legitimen Quelle stammt.
  • Prüfen der URLs oder Websites, die nach persönlichen Informationen fragen.
  • Keine persönlichen Informationen oder Anmeldedaten an nicht verifizierte Sites geben.

Einzelheiten zu den Bedrohungsarten sowie zu früheren bösartigen Kampagnen liefern die entsprechenden Blogeinträge. Darüber hinaus sind dies die aktuellen Zahlen zu COVID-19 bezogenen Bedrohungen im ersten Quartal 2019.

Schutz vor diesen Bedrohungen

Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können die Malware und damit zusammenhängende Domänen erkennen und blockieren. Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der von der Lösung gebotene Schutz wird kontinuierlich aktualisiert, um sicherzustellen, dass das System sowohl vor alten als auch neuen Angriffen gefeit ist. Trend Micro™ InterScan™ Messaging Security liefert umfassenden Schutz, der nach innen gerichtete Bedrohungen stoppt und nach außen gehende Daten sichert. Die Lösung blockiert Spam und andere Email-Bedrohungen. Ein mehrschichtiger Sicherheitsansatz ist darüber hinaus empfehlenswert, um alle Fronten zu schützen und Benutzer am Zugriff auf bösartige Domänen, die Malware liefern könnten, zu hindern.

Zusätzliche Informationen und Hilfsangebote von Trend Micro in der Corona-Krise finden Sie hier.