Schlagwort-Archive: Bedrohung

VirusTotal unterstützt Trend Micro ELF Hash

Originalartikel von Fernando Merces

IoT Malware-Forscher kennen die Schwierigkeiten beim Wechsel von einem bestimmten Malware-Sample zu einem anderen. IoT-Malware-Samples sind schwierig zu handhaben und zu kategorisieren, da sie in der Regel für mehrere Architekturen kompiliert werden. Ausserdem mangelt es an Tools und Techniken zur Untersuchung dieser Art von Dateien. Um IoT- und Linux-Malware-Forscher generell bei der Untersuchung von Angriffen, die ELF-Dateien (Executable and Linkable Format) enthalten, zu unterstützen, gibt es seit April 2020 ELF Hash von Trend Micro (oder auch telfhash). Telfhash ist ein quelloffener Clustering-Algorithmus zur effizienten Cluster-Bildung von Linux IoT Malware-Samples. Einfach gesagt, handelt es sich um ein Konzept, ähnlich dem Import-Hashing (oder ImpHash) für ELF-Dateien. Doch gibt es einige entscheidende Unterschiede zwischen Telfhash und einem Simbol Table Hash. Jetzt hat VirusTotal die Unterstützung für telfhash angekündigt.

VirusTotal war schon immer ein wertvolles Tool für Bedrohungsforscher. Mit telfhash können die Nutzer der VirusTotal Intelligence-Plattform von einer ELF-Datei auf weitere kommen. Telfhash ist für die IoT-Forschung und mehr von Vorteil, denn dieser Clustering-Algorithmus kann auch für jede Linux-bezogene Malware-Untersuchung verwendet werden, wie z.B. die Analyse einiger Angriffe auf Docker-Container, Windows Subsystem für Linux (WSL), Cryptominer, Rootkits und viele andere. Besonders hilfreich kann er auch in Fällen sein, in denen Varianten von Malware zu plattformübergreifenden Bedrohungen werden.

Funktionsweise

Als Beispiel soll eine ausführbare 32-Bit-ELF-Datei dienen, die mit der IoT-Malware Mirai in Verbindung steht. Nachdem der Hash für die Suche verwendet wurde, findet der Nutzer den Telfhash-Wert im „Detail“-Teil des Suchergebnisses. Klickt er diesen Wert an, so kann er ELF-Dateien suchen, die dem telfhash entsprechen.

Bild 1. Ergebnisse der telfhash-Suche

Der „Behavior“-Tab liefert nützliche Informationen zu den gefundenen Samples. Das sind Daten wie kontaktierte IP-Adressen und C&C URLs, die für eine Untersuchung sehr wichtige Netzwerkindikatoren aufzeigen. Dieses Beispiel (weitere Details im Originalbeitrag) zeigt, wie ein Forscher von einem einzigen IoT-Malware Hash auf sieben andere kommen kann.

Bild 2. Der „Behavior“-Tab eines der gefundenen 64-Bit-Samples

Telfhash ist auch über die VirusTotal API erhältlich.

Sichere und smarte Verbindungen: Schutz für IoT-Netzwerke im Remote Setup

Originalartikel von Trend Micro

Beim Absichern des Internet of Things (IoT) konzentrieren sich die meisten auf die „Dinge“ oder die im Markt verfügbaren Geräte. Auch wenn die vernetzten Geräte zweifelsohne Sicherheitsherausforderungen mit sich bringen, so ist der Schutz des Netzwerks in seiner Funktion der Bereitstellung einer sicheren IoT-Umgebung sehr wichtig. Während dieser Zeit der Work-from-Home (WFH)-Vereinbarungen ist ein erhöhter Bedarf an Netzwerken entstanden, da Fernbetrieb eine grössere Abhängigkeit vom IoT geschaffen hat. Statt sich auf die Sicherung einzelner Geräte zu konzentrieren, die ein Netzwerk kompromittieren können, sollten die Nutzer auch das Netzwerk absichern, um Bedrohungen über mehrere Geräte hinweg zu minimieren.

Schwachstellen in IoT-Geräten sind eine Tatsache, mit der Nutzer zurechtkommen müssen. Je mehr Geräte in einem Netzwerk sind, desto schwieriger wird es, sie im Auge zu behalten und Bedrohungen zu verhindern, die die Umgebung kompromittieren könnten. Um IoT-Geräte davor zu schützen, bei einem Angriff wie Distributed Denial of Service (DDoS) missbraucht zu werden, sollten Nutzer Best Practices befolgen.

Auch darf nicht vergessen werden, dass die Geräte der verschiedenen Hersteller ein unterschiedliches Sicherheitsniveau aufweisen und sich auch in ihrer Lebensdauer unterscheiden. Einige Geräte sind für Büros und Unternehmen konzipiert, während andere für Privathaushalte oder normale Verbraucher bestimmt sind. Beide Typen verfügen jedoch normalerweise nur über Sicherheitsmassnahmen, die auf ihre Verarbeitungsmöglichkeiten beschränkt sind.

Ein sicheres Netzwerk kann eine zusätzliche Sicherheitsschicht bieten, die alle angeschlossenen Geräte mit einschliesst. Netzwerksicherheit kann Bedrohungen minimieren und einen einheitlichen Rahmen bieten, aus dem heraus Sicherheitsmassnahmen für unterschiedliche IoT-Geräte umzusetzen sind.

Vorbereitung eines Netzwerks für IoT

In den meisten Fällen existieren die Netzwerke bereits, bevor sie mit IoT ausgestattet wurden. Deshalb ist eine Neubewertung der Netzwerksicherheit erforderlich auch bezüglich einer Einschätzung, inwieweit ein Netzwerk für die Integration von IoT-Geräten geeignet ist, und welche Schwachstellen noch beseitigt werden müssen.

Im Folgenden ein paar Überlegungen, bevor eine IoT-Umgebung in ein Setting eingefügt oder neu erstellt wird:

Upgrade des Netzwerks, um eine höhere Bandbreite zu erhalten: Kommen Endpunkte hinzu, nehmen diese Ressourcen in Anspruch, die ein Netzwerk möglicherweise nicht liefern kann. Können diese IoT-Geräte, die ständig Daten austauschen, nicht berücksichtigt werden, sind Verbindungsprobleme die Folge. Insbesondere Unternehmen sollten im Voraus planen, wie sie ihre Bandbreite am besten zuweisen, und dabei genau festlegen, welche Abteilungen wann mehr benötigen könnten.

Überprüfung bereits vorhandener Endpunkte im Netzwerk: Nutzer müssen auch die Sicherheit der Geräte überprüfen, die bereits Teil des Netzwerks sind, bevor IoT-Geräte hinzukommen. Endpunkte wie Computer oder Smartphones können ebenfalls Schwachpunkte sein, vor allem wenn diese Geräte relativ alt sind oder wesentliche Aktualisierungen nicht durchgeführt wurden. Sie sollten auch auf Kompatibilität mit neuen Geräten geprüft werden, die dem Netzwerk hinzugefügt werden.

Netzwerkrichtlinien auf dem neuesten Stand halten: Unternehmen müssen ihre Netzwerk-Policies aktualisieren. Mitarbeiter, die ständig im Netz sind, sollten sich stets der Auswirkungen bewusst sein, wenn dem Netzwerk weitere Endpunkte hinzugefügt werden. Aktualisierte Netzwerkrichtlinien müssen daher neue Sicherheitsanforderungen wie die Verwaltung der Benutzerberechtigungen, Regeln für „Bring-Your-Own-Devices“ (BYOD) und Richtlinien für WFH-Vereinbarungen enthalten.

IoT-Risiken mithilfe des Netzwerks stoppen

In der nächsten Phase geht es darum, nicht nur Netzwerke vor IoT-bezogenen Risiken zu schützen, sondern Sicherheit auf Netzwerkebene als Tool einzusetzen, um Bedrohungen einzudämmen und zu minimalisieren. Folgende Überlegungen können IoT-Risiken und -Bedrohungen effizient einschränken:

Einsatz von Sicherheit auf Netzwerkebene: Manche IoT-Geräte im Netzwerk kommunizieren mit externen Systemen und mit der öffentlichen Cloud, und die meisten kommunizieren mit anderen Geräten in demselben Netzwerk. Sollte eines dieser Geräte korrupte Signale übermitteln, wären Unternehmen, die keine Überwachung innerhalb des Netzwerks durchführen, nicht in der Lage, diese Geräte zu erkennen. Sicherheit auf Netzwerkebene, zusätzlich zur Perimeterverteidigung, kann solche Ereignisse verhindern helfen.

Erstellen von separaten Netzwerken: Eine weitere Möglichkeit, das Risiko von IoT-bezogenen Angriffen zu minimieren, besteht darin, ein separates, unabhängiges Netzwerk für IoT-Geräte und ein weiteres für Gastverbindungen zu schaffen. In WFH-Szenarien können Benutzer auch firmeneigene Geräte wie Laptops in ein separates Netzwerk stellen oder sie für andere Geräte zu Hause unauffindbar machen. Ein segmentiertes Netzwerk kann dabei helfen, Eindringlinge oder Infektionen, die von anfälligen Geräten ausgehen, zu isolieren. Sowohl im Unternehmen als auch zu Hause wäre ein separates Gastnetzwerk auch hilfreich, um weitere Cyberattacken und Malware zu verhindern.

Nutzen der Sicherheitsfähigkeiten von Routern: Da Router in Netzwerken eine wichtige Rolle spielen, ist es auch wesentlich, die Sicherheitsmerkmale dieser Geräte zu kennen  und zu nutzen. Zum Beispiel haben viele Router eine eingebaute Funktion, um ein Gastnetzwerk zu erstellen, das andere Zugangsdaten als das Hauptnetzwerk verwendet.

Bessere Übersicht über das Netzwerk: Sichtbarkeit ist der Schlüssel zur Gewährleistung der Sicherheit des Netzwerks. Sogar in Unternehmensumgebungen können Gäste intelligente Geräte an das Unternehmensnetzwerk anschliessen, ohne dass Sicherheitsverantwortliche dies sofort bemerken. Unternehmen müssen in ihrem Netzwerk über die erforderlichen Tools verfügen, um diese Verbindungen zu überwachen. Darüber hinaus sind diese Tools nicht nur zur Ermittlung der Verbindungen erforderlich, die notwendig oder riskant sind, sondern auch, um Massnahmen in die Wege zu leiten, bevor Bedrohungen erkannt werden.

Monitoring auf verdächtige Verhaltensweisen: Netzwerk-Monitoring gehört dazu, um eine bessere Übersicht zu gewinnen. Neben guten Kenntnissen zu jedem Gerät erleichtert das Wissen über verdächtiges Verhalten das Erkennen von Geräteübernahmen oder Infektionen.

Entfernen anonymer Verbindungen: Jede Verbindung zum Netzwerk muss identifiziert oder benannt werden. Mithilfe einer entsprechenden Kennzeichnung der einzelnen Geräte lassen sich anonyme Verbindungen reduzieren oder entfernen. Dies hilft Benutzern und Integratoren, ihr Netzwerk besser zu überwachen und mögliche unerwünschte Verbindungen zu lokalisieren. Auch ist es viel einfacher, problematische Geräte zu identifizieren, die aus dem Netzwerk entfernt werden müssen.

Policies über das Netzwerk durchsetzen: Sicherheitslösungen, die Transparenz und Kontrolle über das Netzwerk bieten, helfen bei der Durchsetzung der Richtlinien, die vor der Integration von IoT-Geräten implementiert wurden. Mithilfe der Möglichkeiten des Netzwerks können anonyme Verbindungen oder solche, die gegen festgelegte Richtlinien verstossen, entfernt werden.

Geräte überlegt wählen: Obwohl Netzwerklösungen dazu beitragen können, Sicherheitslücken zu schliessen, die durch die uneinheitliche Sicherheit zahlreicher Geräte entstehen, sind sie nicht als singuläre Lösung gedacht. Daher sollten Anwender bei der Auswahl ihrer Geräte besonders kritisch sein. Zum Beispiel ist es ratsam, sich zu informieren und die verschiedenen Merkmale und Typen von Geräten zu berücksichtigen. Darüber hinaus sollten die gewählten Geräte immer auf dem neuesten Stand sein.

Die Rolle des Administrators der Dinge ernst nehmen: IT-Experten, die für die Netzwerksicherheit eines Unternehmens verantwortlich sind, haben bei der Sicherung von WFH-Setups nur eine begrenzte Kontrolle. Aus diesem Grund müssen die Benutzer oder „Administratoren of Things“ zu Hause sowohl die Pflichten ihrer Rolle kennen als auch wissen, wie wichtig diese Rolle ist, insbesondere in der gegenwärtigen Realität der längerfristigen WFH-Abmachungen.

Bild. IoT-Geräte können über verschiedene Fähigkeiten Verbindungen zum Büronetzwerk herstellen.

Sicherheitslösungen

Um eine mehrschichtige Verteidigung aufzubauen, können Anwender umfassende Lösungen einsetzen, wie etwa Trend Micro™ Security und Trend Micro™ Internet Security, die effiziente Mechanismen zum Schutz vor Bedrohungen für IoT-Geräte bieten und Malware auf Endpunktebene erkennen können. Vernetzte Geräte lassen sich auch über Lösungen schützen, wie Trend Micro™ Home Network Security und Trend Micro™ Home Network Security SDK, die den Internet-Verkehr zwischen dem Router und allen verbundenen Geräten prüfen können. Schliesslich kann die Trend Micro™ Deep Discovery™ Inspector-Netzwerk-Appliance alle Ports und Protokolle überwachen, um Unternehmen vor fortgeschrittenen Bedrohungen und gezielten Angriffen zu schützen.

IoT Monitoring-Daten zu Threat Defense umwandeln

Originalartikel von Shimamura Makoto, Senior Security Specialist

Der Sicherheitsbericht zur Jahresmitte 2020 von Trend Micro weist im Vergleich zum zur zweiten Jahreshälfte 2019 eine Steigerung von 70 Prozent bei Angriffen auf Geräte und Router aus. Dazu gehören auch Attacken auf Internet-of-Things (IoT)-Systeme, die in ihrer Häufung beunruhigen. Die Sicherheitsforscher von Trend Micro überwachen die Trends bezüglich dieser Angriffe und untersuchten Mirai und Bashlite (aka Qbot), zwei berüchtigte IoT Botnet-Schädlingstypen. Interessant sind die Zahlen zu den C&C-Servern dieser Botnets, den IP-Adressen und C&C-Befehle. Auch sammelten die Forscher Daten über die bei der Verbreitung der Malware am häufigsten verwendeten Angriffsmethoden und untersuchten die Verteilung ihrer Varianten.

Zu diesem Zweck überwachten sie C&C-Server mit Verbindung zu Mirai und Bashlite. Die IP-Adressen und Ports der C&C-Server wurden durch die Analyse verwandter Malware-Beispiele sowohl aus internen Datenbanken als auch aus externen Open-Source-Informationen, wie z.B. Informationen aus Twitter-Posts, gewonnen.

Tausende aktiver C&C-Server zeigen Häufung von IoT-Angriffen

Mirai-VariantenBashlite-Varianten
Gesammelte C&C-Serverinformationen7.0305.010
C&C-Server, die eine Verbindung akzeptierten2.9511.746
C&C-Server, die mindestens einen DDoS-Befehl absetzten2.1071.715

Tabelle 1. Anzahl der C&C-Server

Die meisten C&C-Server waren inaktiv. Das bedeutet, als sie entdeckt wurden, akzeptierten sie keine Verbindungen. Doch ein Teil der Server (2.951 für Mirai und 1.746 für Bashlite) waren noch „lebendig“ oder aktiv und ein Teil davon gab auch Distributed Denial-of-Service (DDoS)-Befehle an ihre infizierten Clients aus.

Bild 1. Anzahl der C&C-Server, die eine Verbindung akzeptierten

Es ist offensichtlich, dass die Zahl der aktiven C&C-Server nach wie vor hoch ist, obwohl es Jahre her ist, dass diese Malware-Typen zum ersten Mal in der Öffentlichkeit auftauchten (Mirai um 2016 und Bashlite um 2014). Ausserdem fanden sich 573 gemeinsame IP-Adressen unter den C&C-Servern der beiden Malware-Familien, so dass es möglich ist, dass einige Cyberkriminelle sowohl Mirai als auch Bashlite als Werkzeuge verwenden. Möglicherweise wurde die gleiche IP-Adresse auch von einem anderen Cyberkriminellen wiederverwendet.

Hunderte Befehle zeigen die Botnet-Aktivität

Insgesamt fanden die Forscher 3.822 C&C-Server, die DDoS-Befehle ausgaben. Einer der Server, setzte eine ganze Lawine von 64.991 Befehlen ab.

Bild 2. DDoS-Befehle von den C&C-Servern

Neben den in der Grafik dargestellten Daten gab es auch 136 C&C-Server, die über 1.000 Befehle ausgaben. Eine relativ geringe Anzahl von Servern war aktiv, und es scheint, dass einige inaktive C&C-Server entweder nur zu Testzwecken eingesetzt wurden oder nicht gut funktionieren.

Mit Hilfe von WHOIS fanden die Forscher die Organisationen hinter den IP-Adressen von C&C-Servern. Die meisten C&C-Server basierten auf Hosting-Services, einige davon Bulletproof, die von Cyberkriminellen dazu genutzt werden, um C&C-Server zu betreiben, während sie selbst anonym bleiben. Quellcode von IoT-Malware ist im Untergrund erhältlich, und damit ist es für die Kriminellen einfach, Tools für die Angriffe zu erstellen.

Angriffsmethoden von Mirai

Die Mirai-Familien können auf verschiedene Architekturen wie ARM, x86, MIPS, SH4 und andere abzielen. Die Forscher entdeckten fünf Arten von Angriffsmethoden:

RankName der AngriffsmethodeErklärungC&C-Server mit Verbindung zu Samples
1CVE-2017-17215Command injection attack that targets Huawei HG532 router1423
2Password listingThe malware uses hard-coded credentials to log in to devices that have default or weak credentials.607
3CVE-2014-8361Command execution attack using UPnP SOAP vulnerability in Miniigd that targets devices developed with Realtek SDK520
4ThinkPHP 5.0.23/5.1.31 RCEAn attack that exploits remote code injection vulnerability in ThinkPHP 5.0.23/5.1.31422
5CVE-2018-10561CVE-2018-10562Authentication Bypass and Command Injection vulnerabilities in GPON routers173

C&C-Server in Verbindung mit den Mirai-Varianten

Mehrere Malware-Samples stammen von den gleichen Verteilungsservern. In diesem Fall sind die Inhalte der Samples bis auf ihre Zielarchitekturen nahezu identisch.

Bild 3. Verteilung von Mirai-Varianten über C&C-Server (nur Top Strings)

Es zeigte sich, dass die dargestellten 11 Varianten mit insgesamt 5.740 Servern in Verbindung standen. Die Strings, üblicherweise XOR-kodiert, zeigten sich über Sandbox-Analysen der Malware -Samples in Verbindung mit den Servern. (Achtung: Die meisten davon stammen nur aus Open Source-Quellen; daher stimmt die Summe der Zahlen nicht mit den Zahlen in Tabelle 1 überein.) Weitere Informationen bietet auch der Originalbeitrag.

Verwendung der IOC-Daten für besseren Schutz

Um Kunden vor Cyberbedrohungen zu schützen, verwendet Trend Micro die gesammelten Indicators of Compromise (IOCs) für die verschiedenen Systeme des Monitorings, um die Fähigkeit zur Erkennung von Bedrohungen zu verbessern. Die Sicherheitsforscher sammeln URLs für IoT-Malware-Downloads, fügen sie der Web-Reputationsdatenbank hinzu und kennzeichnen sie entsprechend. Dadurch wird verhindert, dass sich die Geräte der Anwender mit solchen bösartigen URLs verbinden. Darüber hinaus erstellen die Forscher proaktiv ein Erkennungsmuster, sobald sie bei der Überwachung ein neues Muster finden.

Verteidigung von IoT-Systemen

Die meisten IoT-Malware-Programme nutzen die Schwachstellen von IoT-Geräten oder anfälligen Zugangsdaten zur Infektion aus. Um zu verhindern, dass sie durch IoT-Malware kompromittiert werden, wird Benutzern empfohlen, die folgenden Best Practices zu befolgen:

  • Keine Standard-Benutzernamen und -Passwörter verwenden: Nutzer sollten stattdessen sichere Passwörter einrichten, die nicht leicht erraten werden können. Dadurch sind Geräte weniger anfällig für Brute-Force-Angriffe oder Passwortlisten.
  • Regelmässig Software-Updates der Hersteller anwenden: Damit werden Schwachstellen behoben, die eine Infektion ermöglichen.
  • Geräte nicht ans Internet anschliessen, wenn es für ihre Funktion unnötig ist: Sie sollten lieber in ein internes Netzwerk unter einem Gateway-Router gestellt werden, um Angreifern den Zugriff darauf zu verwehren.

Folgende Trend Micro-Lösungen sind zum Schutz vor IoT-bezogenen Bedrohungen empfehlenswert:

Raffinierter BEC-Betrug trifft französische Unternehmen

Originalbeitrag von Cedric Pernet, Senior Threat Researcher

Die hochgradig anonyme und oft vertraulich ausgelegte Natur des Internets hat zu einer Verbreitung von Betrügereien geführt, die darauf abzielen, von Menschen und Organisationen Geld abzuschöpfen. Trend Micro hat diese Betrügereien im Laufe der Jahre verfolgt und gesehen, wie sie sich von einfachen Schemata zu ausgefeilten Kampagnen entwickelt haben. Eine der gefährlichsten Betrugsmaschen heutzutage ist Business Email Compromise (BEC). Dieser Trick hat Unternehmen 2019 1,7 Mrd. $ Verluste beschert. Trend Micro hat bereits häufig über BEC-Themen berichtet. Ziel dieses Beitrags nun ist es, anhand einer sehr raffinierten Kampagne, die mithilfe von Social Engineering eine Vielzahl von französischen Unternehmen ins Visier nahm, Anwendern nochmals die Gefahren ins Bewusstsein zu bringen.

Bild 1.der Ablauf des BEC-Betrugs

Bei der Recherche verschiedener BEC-Attacken stiessen die Sicherheitsforscher auf einen Vorfall, bei dem böswillige Akteure sich als ein französisches Unternehmen in der Metallverarbeitungsindustrie ausgaben, das seine Dienstleistungen für viele verschiedene Unternehmen anbietet.

Die Täter registrierten am 27. Juli eine Domäne, die der legitimen Domäne des Unternehmens sehr ähnlich ist (wobei die gefälschte Domäne einen falsch geschriebenen Firmennamen hat) und benutzten sie, um E-Mails an ihre Ziele zu senden. Die betrügerische E-Mail, deren Absender sich als echter Mitarbeiter des Unternehmens ausgab, enthielt eine dringende Aufforderung an die Empfänger, die Bankverbindung des Unternehmens auf ein neues Konto bei einer italienischen Bank zu ändern. Die Mail umfasste zwei PDF-Anhänge mit einem Bestätigungsschreiben der durchgeführten Änderung und eine Datei mit den neuen Bankdaten.

Gleich nachdem die Forscher den Betrug bemerkt hatten, wandten sie sich an die Zielfirma (die sehr kooperativ war) und bemühten sich gemeinsam die Auswirkungen auf das Unternehmen zu verhindern. Darüber hinaus hatten sie eine Beschwerde eingereicht und sich an die italienische Bank gewandt, um den Betrugsversuch zu stoppen.

Nachforschungen

Eine Recherche auf der Unternehmens-Website zeigte, dass die Betrüger tatsächlich einen Mitarbeiter der Firma als vorgebliche Absender ausgesucht hatten, der jedoch nicht, wie in der Mail angegeben, in der Buchhaltung beschäftigt war sondern als Webmaster. Möglicherweise wählten sie aufgrund der Informationen, die sie vorher gefunden hatten, eine zufällige Person aus.

Die Betrüger machten interessanterweise einige Fehler:

  • Sie vergassen, den Zielnamen in der Kopfzeile des E-Mail-Inhalts zu ändern und gaben so den Namen eines anderen Ziels Preis. Ein aufmerksamer Mitarbeiter hätte dies möglicherweise als ungewöhnlich bemerken und misstrauisch werden können.
  • Zudem gab es eine weitere Version der PDF-Datei mit dem Konto, das für die Änderung der Bankverbindung verwendet wurde, jedoch nicht die Zielfirma als Konteninhaber auswies sondern eine Einzelperson, deren Namen vor allem in der Elfenbeinküste häufig vorkommt.

Die E-Mail-Adresse für die Registrierung der betrügerischen Domain wurde seit 2019 für die Registrierung mehrerer anderer Domains verwendet, die alle ähnliche Namen wie legitime französische Firmendomains aufweisen, aber auch hier zum Teil mit leichten Fehlern. Die verwendete E-Mail-Adresse schien nicht kompromittiert worden zu sein und wurde wahrscheinlich von den böswilligen Akteuren selbst erstellt.

Aus dieser Liste geht auch hervor, dass die Angreifer auf eine breite Palette von Branchen abzielen. Es konnte zwar nicht bestätigt werden, dass alle diese Domänen für BEC-Betrug genutzt wurden, aber mindestens einen weiteren Fall gab es, in dem die Betrüger eine Organisation aus der Gesundheitsbranche im Visier hatten.

Französische Steuerbehörde als Köder

In vielen BEC-Schemata infizieren die Täter die Rechner ihrer Ziele mit Malware, die es ihnen ermöglicht, E-Mails zu lesen – und damit Informationen zu sammeln. Sobald die Cyberkriminellen Zugang zu den Mailboxen ihrer Ziele haben, suchen sie nach Material über die Personen, die mit den Finanz- und Buchhaltungsabteilungen der Organisation zu tun haben. Darüber hinaus bemühen sich die Angreifer auch um Informationen über die Kunden und Partner des Unternehmens. Mit dieser Methode können sich BEC-Betrüger dann als Mitarbeiter ausgeben, um ein Opfer mittels Social Engineering für ihre Ziele einzuspannen.

Dies ist das übliche BEC-Vorgehen. Für diesen Fall gab es jedoch Beweise, dass die Cyberkriminellen zwar ebenfalls Malware verwendeten, diese letztlich aber gar nicht wirklich brauchten. Stattdessen nutzten sie eine alternative – und zugegebenermassen clevere – Methode, um selbst nach den Finanzdaten ihres Ziels zu fahnden.

Mit Hilfe der betroffenen Organisation konnten die Forscher herausfinden, wie die Cyberkriminellen vorgegangen waren: Sie stellten ihre E-Mails so dar, als stammten sie vom französischen Finanzamt, um Informationen über ihr Ziel zu sammeln. Etwas mehr als zwei Wochen vor der Registrierung der gefälschten Domain schickten die Angreifer eine E-Mail an das Unternehmen, die angeblich vom General Directorate of Public Finances (DGFiP) stammte und Steuernachfragen betraf. In einem PDF-Anhang forderte das vorgebliche Finanzamt Informationen für die Kunden des Unternehmens, Mitarbeiter und Finanzdaten, wobei das Schreiben sehr echt aussah und formuliert war. Lediglich ein aufmerksamer Blick auf die Adresse zeigte eine leichte Unstimmigkeit. Sobald die Betrüger die gewünschten Informationen hatten, konnten sie die nächste Phase des Angriffs starten. Weitere Einzelheiten beinhaltet der Originalbeitrag.

Breitgefächerte Ziele

Eine Suche nach ähnlichen E-Mails in den Systemen der Forscher erbrachte mindestens 73 verschiedene französische Unternehmen, die von diesen Cyberkriminellen anvisiert worden waren.

Bild 2. Die Verteilung der von diesem BEC-Betrug anvisierten Unternehmen nach Branchen

Die am meisten ins Visier genommene Branche in dieser BEC-Kampagne ist die verarbeitende Industrie, insbesondere Fertigungsunternehmen, die High-Tech-Produkte und -Materialien herstellen. Zahlreiche der anvisierten Unternehmen arbeiten mit vielen verschiedenen Dienstleistungsanbietern und Partnern zusammen, so dass Anträge auf Änderungen der Bankverbindungen weniger verdächtig erscheinen. Es ist sehr wahrscheinlich, dass der Betrug weiter verbreitet ist, als dies aus den vorliegenden Daten hervorgeht.

Zusätzlich zur Kontaktaufnahme und Zusammenarbeit mit der ersten untersuchten Organisation, wurden auch die anderen Zielpersonen informiert.

Verteidigung gegen BEC-Angriffe

Unternehmen sind gut beraten, ihre Mitarbeiter bezüglich der Funktionsweise von BEC-Betrug und ähnlichen Bedrohungen zu schulen. Diese Tricks erfordern keine besonderen technischen Fähigkeiten. Sie benötigen lediglich ein einziges kompromittiertes Konto und Services, die im cyberkriminellen Untergrund leicht erhältlich sind. Daher sind folgende Best Practices von grossem Nutzen:

  • Alle E-Mails eingehend prüfen. Besondere Vorsicht ist bei unregelmässig ankommenden E-Mails angebracht, die von hochrangigen Führungskräften verschickt werden, insbesondere bei solchen, die ungewöhnlich dringlich scheinen. E-Mails, in denen es um Forderungen nach Geld geht, sollte immer geprüft werden, ob es sich um ungewöhnliche Anfragen handelt.
  • Das Bewusstsein der Mitarbeiter schärfen. Mitarbeiter müssen geschult werden, Unternehmensrichtlinien überprüft und gute Sicherheitsgewohnheiten aufgebaut werden.
  • Verifizieren aller Änderungen des Zahlungsziels von Lieferanten, indem eine zweite Unterschrift eines Firmenmitarbeiters gefordert wird.
  • Mit Kundengewohnheiten auf dem Laufenden sein, einschliesslich der Details und Gründe für Zahlungen.
  • Anfragen immer verifizieren. Bestätigen der Anfragen für Geldtransfers mit Hilfe der telefonischen Verifizierung als Teil der Zweifaktor-Authentifizierung (2FA). Dabei sollten bekannte, vertraute Nummern und nicht die in den E-Mail-Anfragen angegebenen Details genutzt werden.
  • Unverzügliche Meldung eines jeden Vorfalls an die Strafverfolgungsbehörden oder bei der Beschwerdestelle für Internet-Kriminalität (IC3).

Trend Micro-Lösungen

Die E-Mail- sowie Endpoint-Sicherheitsfähigkeiten der Trend Micro User Protection– und Network Defense-Lösungen können Mail-Nachrichten blocken, die in BEC-Angriffen verwendet werden, und erkennen auch fortgeschrittene Malware. Die InterScan Messaging Security Virtual Appliance als Teil der User Protection-Lösungen bietet Schutz vor Angriffen, die Social Engineering-Taktiken verwenden, wie etwa BEC.

Security-Strategie – „Take back control”

von Richard Werner, Business Consultant

Ein abgedroschener Slogan aus der politischen Brexit-Kampagne als Titel einer Security-Strategie? Und mehr noch, er unterstellt dem Leser, die Kontrolle verloren zu haben! Leider stimmt er teilweise, denn in letzter Zeit fällt die Häufung der Schlagzeilen auf, die über Unternehmen, Behörden oder öffentliche Einrichtungen als Opfer von Cyber-Attacken berichten. Als Folge oder als Lehre daraus wird regelmässig eine „Umstrukturierung der IT Security“ gefordert. Die Betroffenen haben nachweislich die Kontrolle über Ihre IT Security zumindest für einen gewissen Zeitraum verloren. Haben sie also individuell etwas fundamental falsch gemacht, oder ist der schwerwiegende Ausbruch das offensichtliche Symptom einer schon längst verloren gegangenen Kontrolle?

Der Einsatz von IT in Unternehmen wird zu einem immer wichtigeren Grundpfeiler des Geschäftsmodells. Digitalisierung auf der einen und Mitarbeiter auf der anderen Seite treiben diese Entwicklung weiter voran. Die IT ist dabei oft historisch und vor allem lösungsorientiert gewachsen. In diesem somit vorhandenen Sammelsurium verschiedenster Technologien und Systeme ist die IT-Security mitgewachsen und in den meisten Umgebungen ebenso „vielfältig“. Analysten errechneten 2017, dass grössere Unternehmen im Schnitt Produkte von 80 verschiedenen Sicherheitsanbietern einsetzen. Die Steuerung dieser, zwangsläufig als Silo vorhandenen, also separaten, nicht integrierten Lösungen obliegt sehr oft den Fachabteilungen. Klassisch wird dabei beispielsweise zwischen Netzwerk, Endpoint und Rechenzentrum unterschieden.

Kontrollverlust

Den Kontrollverlust bemerken IT-Sicherheitsverantwortliche oft erst, wenn sie sich mit der Realität eines tatsächlichen Angriffs konfrontiert sehen. Dann allerdings werden die Lücken offenbar. Ist der Angriff kleiner und lokal begrenzt, wird häufig schlicht eine weitere Sicherheitstechnologie eingesetzt. Die dafür ausgegebene Summe steht im direkten Verhältnis zum erzeugten Schaden.

Ist es allerdings ein ernstzunehmender Angreifer, der bewusst Unternehmensnetze infiltriert mit dem Ziel, möglichst breitflächig Systeme zu übernehmen, werden die dramatischen Auswirkungen dieser Strategie richtig deutlich. In der öffentlichen Wahrnehmung sind diese Angriffe mit dem Schädling „Emotet“ verbunden, der seit Anfang 2019 für unrühmliche Schlagzeilen sorgt. Tatsächlich gab es ähnliche Angriffe schon früher, und sie sind weiterverbreitet als vielen bewusst ist. Der Grund, warum Emotet und seine Nachfolger für Schlagzeilen sorgen, ist die Tatsache, dass die Kriminellen hinter den Angriffen bewusst destruktiv auftreten und exorbitante Lösegeldsummen fordern.

Auswirkungen des Kontrollverlusts

Die Herausforderung, der sich betroffene Firmen dabei stellen müssen, ist die Frage, wieso es den Angreifern gelang trotz Security-Technologie in das Netzwerk einzudringen und sich darin auszubreiten. Das Vorgehen der böswilligen Akteure beruht zumeist auf den wohlbekannten „Social Engineering“-Techniken, also dem „Austricksen“ von Menschen und Sicherheitslücken. Die eingesetzte Sicherheitstechnologie erkennt Teile des Angriffs dabei regelmässig. Diese Teile werden auch in den entsprechenden Tools dargestellt und geloggt. Die „Kunst“ der Angreifer dabei besteht darin, in den jeweiligen Silos als unbedeutender Event zu erscheinen, denn so können sie sich oft monatelang in einem Netzwerk ausbreiten.

Es ist nicht nur die Erkennung des Angriffs, die Probleme bereitet. Ist dieser offenkundig, geht es darum, schnell und effizient Gegenmassnahmen zu ergreifen. Auch hier stellt sich die Vielzahl unterschiedlichster Sicherheitslösungen als kontraproduktiv heraus. Nicht zuletzt bedeutet auch die Verteilung der Aufgaben in verschiedenen Fachabteilungen, dass rein menschliche Hürden wie z.B. ungleiche Wissensstände überwunden werden müssen.

Diese Herausforderungen sorgen letztlich für einen enormen Aufwand und nicht selten auch für Frustration.

Kontrolle zurück erlangen

Was bedeutet nun „Take back control“? IT-Security ist zum Glück zumeist eine ziemlich langweilige Aufgabe, von der jeder hofft, dass sie nie spannend wird. Ein „brutaler“ Angriff erfolgt auch nicht täglich, weil die Security-Technologie wesentlich besser als Ihr Ruf ist. Fortschrittliche Lösungen sind darauf ausgerichtet, Auffälligkeiten zu erkennen und Ungewöhnliches zu entdecken. Um dies sinnvoll tun zu können, benötigen sie Informationen aus möglichst vielen Bereichen, die sie dann konsolidieren müssen. Geht es um eine übergreifende Konsolidierung, fällt der Silo-Gedanke weg, dem zufolge eine Abteilung die Security des eigenen Bereiches „mitmacht“. Diese Verantwortung wird zentralisiert, und in grösseren Unternehmen entstehen dabei z.B. Security Operation Center (kurz SOC).

Umbau der Sicherheit

Gerade Unternehmen, die jüngst einen Vorfall zu verkraften hatten, ändern ihre Security-Strategie grundlegend. Im Ernstfall eines Angriffs kommt es vor allem auf Schnelligkeit und Effizienz an. Eigene Teams werden dabei durch externe Spezialisten ergänzt. Ist eine Umgebung historisch gewachsen, wird es zunehmend schwieriger Spezialisten zu finden, die zumindest einen Grossteil der eingesetzten Sicherheitslösungen auf Expertenniveau bedienen können. Auch die Koordination mit unterschiedlichen Supportabteilungen der einzelnen Hersteller erweist sich als Herausforderung. Unternehmen, die diese Erfahrung machen mussten, ändern deshalb in der Regel ihre Strategie hin zu einem sogenannten XDR-Modell. Der grundlegende Gedanke dahinter ist es, die Analyse von Security Events zu automatisieren und mithilfe von künstlicher Intelligenz den Menschen zu entlasten. In einem solchen Modell wird die Anzahl der Hersteller minimiert und einer strategisch gesetzt.

XDR

Das Konzept XDR besagt, dass alle Informationen sowohl aus den Schutzmodulen als auch die „Detection“ (Erkennung) und „Response“ (Gegenmaßnahme) zentral gesteuert werden. Das „X“ wiederum steht für übergreifend (Cross) und bezeichnet die Zusammenführung verschiedener Technologien. Informationen werden durch die Systeme automatisch korreliert und für Menschen verwertbar dargestellt. Alternativ lassen sich auch Gegenmassnahmen automatisieren. Je mehr Tools eines strategischen Herstellers eingesetzt werden, desto genauer ist die Analyse und automatisierbarer sind die Gegenmaßnahmen. Aber nicht nur die Technik bietet Vorteile. In einer Notfallsituation minimiert das Anwenderunternehmen auch die Anzahl der zuständigen Kontakte und Supportstellen. Gleichzeitig ist auch für die eigenen Mitarbeiter die Bedienung zentralisierter Konsolen einfacher und überschaubarer. Abgesehen davon kann in der Regel durch Einsparungen bei z.B. Lizenzen, Schulungen und anderen Managementkosten neben einer verlässlichen IT-Security auch der ROSI (Return of Security Investment) verbessert werden.

Trend Micro-Lösungen

Trend Micro gehört mit nun über 30 Jahren Erfahrung zu den Pionieren der IT-Security und weiss, dass sich Sicherheit konstant weiter entwickeln muss. Der Anbieter gehört folgerichtig auch zu den ersten, die einen XDR Ansatz bieten.

Trend Micro™ XDR sammelt und korreliert detaillierte Aktivitätsdaten für mehrere Vektoren – E-Mail, Endpunkte, Server, Cloud-Workloads und Netzwerke. Dies ermöglicht ein Ausmass an Erkennung und Untersuchung, das mit SIEM oder individuellen Punktlösungen nur schwer oder gar nicht zu erzielen ist. Dies ermöglicht ein Ausmass an Erkennung und Untersuchung, das mit SIEM oder individuellen Punktlösungen nur schwer oder gar nicht zu erzielen ist. Kombinierter Kontext macht Ereignisse, die für sich betrachtet harmlos erscheinen, plötzlich zu wichtigen Indikatoren für Gefährdungen. So können Sie die Auswirkungen schnell eindämmen und den Schweregrad und Umfang minimieren.

XDR stellt einen SIEM-Konnektor für die Weiterleitung von Warnungen bereit. Die Korrelierung von Ereignissen aus Trend Micro Produkten führt zu weniger, jedoch zuverlässigeren Warnungen und reduziert den Sichtungsaufwand für Sicherheitsanalysten. Nach dem Klick auf eine SIEM-Warnung können Analysten auf die Untersuchungs-Workbench von XDR zugreifen, um weitere Daten zu erhalten, das Ereignis detaillierter zu analysieren und die notwendigen Massnahmen zu ergreifen.

Traditionelle Sicherheitsdenkweise kann die Cloud-basierte Transformation gefährden

Originalartikel von Gurmail Singh

Cloud Computing verändert Organisationen auf der ganzen Welt und macht sie wendiger, kosteneffizienter und reaktionsfähiger. Doch bleibt Sicherheit ein permanentes Hindernis. Dabei können veraltete Vorstellungen darüber, wie Sicherheit in der Cloud aussehen sollte, den falschen Eindruck erwecken, dass eine Migration von Natur aus risikoreicher sei als die Aufbewahrung von Daten On-Premise. De facto aber gibt es Cloud-fähige Lösungen, die eine ebenso sichere Umgebung wie herkömmliche Lösungen bieten, wenn nicht eine gar noch sichere.

Eine kürzlich von Trend Micro beauftragte Studie für CLOUDSEC Online zeigte etwa für Grossbritannien, dass nahezu die Hälfte (47%) der IT-Leiter ihre Sicherheitsstrategien nicht aktualisiert haben, um auch Cloud-Umgebungen mit einzubeziehen.

Diese Denkweise könnte ernste Probleme nach sich ziehen, weil traditionelle Sicherheitswerkzeuge nicht für die Cloud konzipiert sind. Und das bedeutet, dass ihr Einsatz in diesen Umgebungen gefährliche Sicherheitslücken und Leistungsengpässe verursachen kann. Zu den Herausforderungen gehören die folgenden:

Geteilte Verantwortlichkeiten: Beim Einsatz eines Sicherheitstools, das nicht für die Cloud konzipiert ist, wird der Kunde seinen Anteil der Cloud-Verantwortung nicht wahrnehmen.

Mehrschichtige Sicherheit: Für Unternehmen, die für jede Sicherheitsherausforderung ein anderes Tool verwenden, kann sich deren Management sehr komplex und damit schwierig gestalten – Fehlmanagement und mangelnde Akzeptanz sind die Folgen.

Sichtbarkeit: Ein Schlüsselmanko von traditionellen Tools ist die nicht vorhandene Fähigkeit, Einsichten über physische, virtuelle, Cloud-VM und Container-Umgebungen hinweg zu bieten.

Manuell: Traditionelle Tools sind klobig, nicht automatisiert und erfordern manuelle Eingriffe, was dazu führen kann, dass sich menschliche Fehler einschleichen.

Lizenzierung: Organisationen zahlen unter Umständen mehr als nötig, wenn sie nicht Cloud-Tools mit dynamischer Lizenzierung für Cloud-Nutzungsszenarien (PAYG, auf Stunden-, Monats- oder Jahresbasis je nach Anwendungsfall und Betriebsmodell oder Unternehmensverträge) wählen.

Fehlkonfiguration: Dies ist eine der grössten Gefahren für Cloud-Daten. Falsche Konfigurationen werden nicht erkannt, wenn ein Unternehmen nicht auf Cloud-fähige Sicherheit setzt.

DevSecOps: erfordert straffe Sicherheit, die über APIs in CI/CD-Pipelines eingebaut wird. Dabei könnten traditionelle Werkzeuge zu einem Hindernis für Innovation und schnelle Entwicklung werden.

Multi-Cloud: Diese Umgebungen erfordern die Fähigkeit, alle verschiedenen Sicherheitstools unter einen Hut zu bringen, sprich auf einer Konsole sichtbar, überwachbar und zentral zu kontrollieren.

Fähigkeiten: sind sehr gefragt in der Cybersicherheits-Branche. Leider bringen On-Premise Sicherheitswerkzeuge mehr Komplexität und die Notwendigkeit manueller Bedienung mit sich – das Gegenteil von dem, was Organisationen mit begrenzten internen Sicherheits-Skills heute benötigen.

Was nun?

Die Umfrage zeigte, dass der Mangel an Integration zwischen Sicherheitswerkzeugen für beide Umgebungen für ein Drittel (33 %) der Teilnehmer das grösste Problem in ihrer alltäglichen Arbeit darstellt und gleichzeitig auch das grösste Hindernis für den Einsatz von Cloud-Sicherheit (43 %).

Die Lösung ist eine Plattform, die umfassenden Schutz für physische, virtuelle Cloud- und Container-Umgebungen bietet, einschliesslich von Tools zur Erkennung wichtiger Konfigurationsfehler. Es bedeutet einen hohen Grad an Automatisierung, um die Einhaltung von Compliance zu erleichtern und die betriebliche Effizienz zu verbessern. Trend Micro Cloud One ist ein Beispiel einer solchen Lösung.

XDR: Analyse eines mehrstufigen Angriffs mit Ngrok

Originalbeitrag von Aprilyn Borja, Abraham Camba, Khristoffer Jocson, Ryan Maglaque, Gilbert Sison, Jay Yaneza

Einer der Hauptvorteile einer Endpoint Detection and Response (EDR)-Sicherheitslösung besteht darin, dass sie so genannten Blue Teams (Sicherheitsmitarbeiter, die für die Instandhaltung und Analyse der Verteidigungsmechanismen des Unternehmensnetzwerks zuständig sing) die benötigten Einsichten liefern, um einen Sicherheitsvorfall bereits frühzeitig zu erkennen und einzugrenzen. Die Innovationen in der Sicherheitstechnologie werden häufig von einer entsprechenden Entwicklung bei den Tools und Techniken begleitet, die böswillige Akteure einsetzen. Das Trend Micro ™ Managed XDR Team musste kürzlich einen Vorfall bei einem Kunden lösen, der gezeigt hat, wie ein böswilliger Akteur mit bestimmten Techniken in einem Angriff die Analyse des Ablaufs erschwerte.

Im Juli 2020 stiess das Team von Trend Micro über die Endpunktsicherheitslösung Trend Micro Apex One ™ auf das folgende verdächtige Ereignis in der Umgebung eines Kunden:

Process: c:\windows\system32\reg.exe CommandLine: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v <value> /t REG_SZ /d „\“c:\Windows\system32\<random name>\““ /f

Es war auffällig, dass erstens der Name des Wertes der erstellten Registry nach dem Muster eines bestimmten Sicherheitsanbieters gestaltet war. Zweitens gab es einen Fehler (oder vielleicht war es Absichtl) in der Schreibweise des Registry-Namens. Schliesslich gab es noch die zufällig benannte ausführbare Datei im Systemverzeichnis. Betrachtet man all dies im Zusammenhang, so liess der Alert die Alarmglocken schrillen.

Es zeigte sich, dass die ausführbare Datei einen Keylogger darstellte, der die Maus- und Tastenbewegungen an ein Gmail-Konto schickte. Das Team fand hartkodierte Informationen in der Binärdatei, die belegen, dass diese speziell für die Zielorganisation erstellt wurde. Darüber hinaus zeigte die Datei auch, dass die Angreifer bereits Informtionen über die Organisation hatten.

Die Durchsuchung der Records und Ereignisse über den Dateinamen des Keyloggers und Hash ergab folgende Erkenntnisse:

Datei-Events: Die Datei wurde entweder über Netzwerkfreigaben oder über den Einsatz eines Exploits den Kernel betreffend abgelegt.

Events mit Befehlszeilen-Parametern: Der Angreifer war in der Lage, einen Service zu erstellen, der eine Reihe von cmd.exe-Prozesse anstösst, um einen Persistenzmechanismus zu aufzubauen.

Registry-Daten: Es gab Einträge, die die Befehlszeilen-Parameter umfassten, die an reg.exe weiter gegeben wurden. Das erklärt auch die vielen cmd.exe-Prozesse.

Daraufhin drangen die Sicherheitsforscher tiefer vor und fanden heraus, dass es eine Komponente geben musste, die mit der Aussenwelt kommunizierte – eine Kopie von ngrok, einem Softwareprogramm, über das eine interne Maschine nach draussen sichtbar ist, indem der Verkehr über die ngrok-Website geroutet wird. Ist das Tool auf zwei Maschinen vorhanden, so sind diese beiden extern sichtbar. Trend Micro hat bereits beschrieben, wie ngrok für bösartige Zwecke missbraucht werden kann.

Die genaueren technischen Details zur Analyse liefert der Originalbeitrag.

Simulieren eines Angriffs

Um die Funktionsweise des Angriffs zu verstehen, simulierte das Team eine solche Attacke und installierten ngrok auf einer der Maschinen (Maschine A), die weder von aussen sichtbar noch zugänglich war.

Ngrok kann jeden offenen IP-Port innerhalb des internen Netzwerks, der für Maschine A (einschließlich sich selbst) zugänglich ist, im Internet exponieren. Im Beispiel exponierte ngrok eine weitere Maschine (Maschine B) 192.168.19.129:445 über den ngrok-Server. So konnte das Sicherheitsteam auf 192.168.19.129:445 über 2.tcp.ngrok.io:14139 zuzugreifen. Mithilfe des Smbexec-Dienstmoduls des Impacket Toolkits und der Anmeldedaten von Maschine B liessen sich von einer externen Maschine einfache Ping-Befehle an Maschine B senden.

Bild 1. Über eine externe Maschine lässt sich ein ping-Befehl an Maschine B senden.

Das daraus resultierende Verhalten war ähnlich dem in der Umgebung des Kunden, wo zufällig benannte Service-Einträge erstellt und dann gelöscht wurden. Die Befehle wurden ausgeführt, ohne dass eine Binärdatei auf dem Zielcomputer abgelegt werden musste.

Weil die Befehle als Dienst ausgeführt wurden, läuft er zudem mit erhöhten Privilegien. Da der Netzwerkverkehr über den ngrok-Dienst getunnelt wurde, war der Befehls- und Kontrollserver effektiv verborgen. Solange der Angreifer die von ngrok zugewiesene öffentliche Adresse kennt, kann er sich von überall und jederzeit mit dem kompromittierten Endpunkt verbinden.

Auch wenn nicht zu erwarten war, dass die Simulation die Aktionen des Angreifers vollständig wiedergeben würde, lieferte sie doch wertvolle Hinweise darauf, wie der Angriff möglicherweise abgelaufen war.

Im Falle der Simulation war es erforderlich, ngrok auf dem internen Rechner zu installieren, es bedurfte der Domäne und des Ports des ngrok-Servers sowie eines Administratorkontos. Es ist davon auszugehen, dass der Angreifer alle drei besass, und sie schienen lange genug präsent gewesen zu sein, um bestimmte Details über die Umgebung zu ermitteln. Sie waren auch in der Lage, ein hochprivilegiertes Konto zu kompromittieren. Insoweit passt die von dem Team durchgeführte Simulation zu den Angriffseigenschaften.

EDR als Antwort

Bild 2. Root Cause-Analyseablauf einer typischen Backdoor Shell

Shell.exe startet cmd.exe, das dann das Tool zur Ausführung des angegebenen Befehls startet. Das Bild zeigt auch, wie das von ihr installierte Tool – wie Toola.exe – gestartet wird. Diese Art von Diagramm ist unkompliziert und macht es leicht, verdächtige Objekte zu identifizieren und den grundlegenden Ablauf eines Angriffs zu bestimmen.

Bei diesem Vorfall beginnt die Ursachenanalyse mit services.exe und endet mit dem ausgeführten Werkzeug oder Befehl. Es gab keine Hinweise darauf, dass jemals ein mehrstufiges Tool verwendet wurde, das andere Tools ablegt, und aufgrund des Zugriffs, den die Angreifer in diesem Modell hatten, ist es sehr wahrscheinlich, dass sie kein solches Tool benötigten. Die Maschinen waren zugänglich, so dass die Angreifer jedes Werkzeug ausführen konnten, das sie brauchten, ohne sich clevere Mechanismen zur Installation der Binärdatei ausdenken zu müssen (wie z.B. das seitliche Verschieben von einer Maschine auf eine andere). Zum Beispiel legten die Angreifer die Keylogger-Datei über den Server-Message-Block (SMB) ab und gaben einen separaten Befehl aus, um seinen Persistenzmechanismus zu schaffen.

Aussagekräftige Root Cause-Analyseabläufe sind schwer zu bekommen, weil alles mit services.exe beginnt (oder einem anderen Windows-Prozess, wenn eine Datei abgelegt wird), wobei jeweils ein Befehl bzw. ein Werkzeug ausgeführt wird. Der resultierende Ablauf ähnelt eher einem „Baum“ mit services.exe in der Mitte, wobei jeder Zweig einen Befehl darstellt, der über services.exe ausgeführt wird.

Die Analyse zeigt, dass die bei dem Angriff verwendete Technik für die Sicherheitsforscher sehr hinderlich dabei ist, die Abfolge der Ereignisse über ein kurzes Diagramm zusammenzusetzen. Bestimmte Funktionen von EDR sind jedoch für den Umgang mit Vorfällen wie diesem ausgelegt.

Abhilfe durch verdächtige Events

Verdächtige Ereignisse sind wirksame Auslöser für eine EDR-Lösung, und die Fähigkeit, mithilfe derselben Lösung Abhilfe zu schaffen, ist ideal für Sicherheitsteams. Bei diesem Vorfall nutzte Trend Micro Managed XDR die Apex One-Funktionen, um die Bedrohung mit derselben Software-Suite sowohl zu untersuchen als auch zu entschärfen.

Untersuchung über Log Events

Konventionelle Incident Response-Methoden erfordern oftmals den Einsatz eines Tools, um Beweise von einem verdächtigen Host zu erhalten. Bei dieser Untersuchung wurde alles durch die Auswertung der vom EDR protokollierten Ereignisse durchgeführt. Für die Untersuchung war keine Speicher- oder Disk-Image-Erfassung erforderlich, was bedeutet, dass die von EDR gesammelten Daten ausreichten, um festzustellen, wie ähnliche Angriffe funktionieren. Die chronologische Reihenfolge der Befehle wurde den Zeitstempeln der Ereignisse entnommen. Selbst ohne das selbsterklärende Diagramm, das EDR erstellt, ist es immer noch möglich, festzustellen, wie der Angriff stattgefunden hat.

Neue Alerts

EDR ermöglicht die mühelose Erstellung von Warnmeldungen, um eine Untersuchung auszulösen. In diesem Fall können neue Alerts immer dann erstellt werden, wenn services.exe cmd.exe startet und wenn %comspec% in einen Autostart-Registry-Eintrag geschrieben wird. Das kann für künftige Threat-Verfolgungsfähigkeiten für Blue Teams hilfreich sein.

Trend Micro-Lösungen

The Trend Micro XDR schützt E-Mails, Endpunkte, Server, Cloud-basierte Workloads und Netzwerke mithilfe funktionsstarker KI- und Sicherheits-Analytics, um Daten zu korrelieren. Die Lösung liefert ein optimiertes Set Alerts über eine einzige Konsole. Damit können Unternehmen schnell Bedrohungen erkennen und deren Auswirkungen zeitnah eindämmen.

Trend Micro Managed XDR bietet kenntnisreiches Bedrohungs-Monitoring, Korrelation und Analysen durch erfahrene Cybersicherheitsexperten, und das im Rahmen eines 24/7-Service, über den Kunden Erkennung, Analyse und Response aus einer einzigen Quelle erhalten.

Die Weiterentwicklung bösartiger Shell Skripts

Originalartikel von David Fiser, Alfredo Oliveira

Unix-Programmierer nutzen Shell Skripts generell als einfache Möglichkeit mehrere Linux-Befehle aus einer einzigen Datei heraus auszuführen. Viele tun dies als Teil einer gewöhnlichen betrieblichen Workload, bei der Dateien manipuliert, Programme ausgeführt werden und Text gedruckt wird.

Ein Shell-Interpreter steht in jeder Unix-Maschine zur Verfügung und ist daher auch für böswillige Akteure ein interessantes und dynamisches Werkzeug für ihre Zwecke. Trend Micro hat bereits über Payloads berichtet, die über Shell Skripts falsch konfigurierte Redis-Instanzen missbrauchen, Docker-APIs exponieren oder konkurrierende Kryptowährungs-Miner entfernen. Dieser Beitrag stellt dar, wie Cyberkriminelle Shell Skripts verändert haben und wie sie bei der Entwicklung von Malware-Payloads in bösartigen Routinen eingesetzt werden können.

Änderungen an den Befehls- und Programmiertechniken

Die Technik des Missbrauchs von Befehlszeilen-Interpreter ist nicht neu und kommt in der kriminellen Praxis häufig vor. Doch beobachten die Sicherheitsforscher immer weitere Änderungen an den Skritps. Früher waren Shell Skripts eine relativ klare Kombination einfacher Befehle mit klaren Links, die direkt in die Payload eingefügt waren. Doch mit der Weiterentwicklung der Bedrohungen nutzen die Akteure fortgeschrittene Befehls- und Programmiertechniken.

Einfache Text-Links werden durch Base64-kodierten Text ersetzt, wobei es sich bei einigen Code-Teilen um heruntergeladene oder kodierte Payloads handelt. Damit sollen die direkten Payload-Links versteckt, Sicherheitsregeln für die Identifizierung umgangen und die Analyse erschwert werden. Der kodierte Text wird mithilfe von Base64 dekodiert und an einen Bash Shell-Interpreter weitergegeben, der das Skript ausführt.

Bild. Teil der dekodierten Payload

Wurden früher die Befehle unabhängig von dem auf dem Server laufenden Zieldienst ausgeführt, so ist das Skript mittlerweile in der Lage zu prüfen, ob der Dienst läuft oder nicht, und einen Teil der CPU-Zeit für seine Payloads abzuzweigen. Es kann zusammen mit neueren Versionen ausgeführt werden, die ebenfalls mit Base64 kodiert sind, und ist auch in der Lage, Variablen für bestimmte Links ersetzen.

Die Sicherheitsforscher stellten auch eine Änderung bei der Nutzung von Pastebin zum Speichern von Skript-Teilen fest, so etwa bei der URL. Weitere technische Einzelheiten beinhaltet der Originalbeitrag.

Fazit

Böswillige Akteure verbessern und optimieren unablässig ihre Routinen und Techniken, wie z.B. die Fähigkeit, Payloads zu verschleiern und weiterzugeben. Um ihre Gewinne zu maximieren und den verbesserten Erkennungs- und Eindämmungstechnologien zu entgehen, setzen Cyberkriminelle auch bereits für andere Betriebssysteme dokumentierte und entdeckte Techniken ein oder kombinieren sie mit neuen. Während einige der Techniken bereits in zuvor beobachteten Malware-Routinen oder Umgebungen eingesetzt wurden, sind diese für Shell Skripts und Malware-Familien ziemlich neu.

Es ist noch recht früh, um zu erklären, dass diese Techniken ausgefeiltere Linux-Verschleierungen bedeuten. Diese Entwicklung der Shell Skripts, um sie zur Auslieferung von Payloads zu verwenden, sollte zu mehr Vorsicht führen. Darüber hinaus können Forscher davon ausgehen, dass Klartext weniger verbreitet sein wird; sie werden für eine vollständige Analyse mehrere Schichten gleichzeitig entschlüsseln müssen.

Trend Micro-Lösungen

Trend Micro-Lösungen mit XGen™ Security, wie ServerProtect for Linux und Trend Micro Network Defense können zugehörige bösartige Dateien und URLs erkennen und somit die Systeme der Nutzer schützen. Trend Micro Smart Protection Suites und Trend Micro Worry-Free™ Business Security setzen auf Fähigkeiten zur Verhaltensüberwachung und können so zusätzlich gegen diese Arten von Bedrohung schützen.

Aufkommende Ransomware-Techniken für gezielte Angriffe

Originalartikel von Trend Micro

Wie Trend Micro im Halbjahresbericht 2020 darlegt, sagen die Zahlen zur Lösegeldforderung auf den ersten Blick nicht mehr viel aus. Zwar ist die Zahl der Infektionen, der Offenlegungen von Unternehmen und der Ransomware-Familien zurückgegangen, doch der geschätzte Geldbetrag, der für den Zugriff auf die verschlüsselte Daten ausgegeben wurde, ist stetig gestiegen. Cyberkriminelle greifen Institutionen und Unternehmen an, für die der Zugriff auf ihre Daten und die Wiederherstellung ihre Systeme sehr wichtig ist. Deshalb können die Kriminellen exorbitante Lösegeldforderungen stellen.

Bild 1. Die Gesamtzahl der Ransomware-Familien ist von 2012 bis 2020 zurückgegangen (oben). Das zeigen die monatlichen Erkennungszahlen für neue Ransomware-Familien im ersten Halbjahr 2020 (unten).

Die Bedrohungsakteure zielen nicht mehr auf einzelne Benutzer und Maschinen ab, um zufällige Ransomware-Infektionen auszulösen. Deshalb fehlt es in der Öffentlichkeit an Aktualisierungen und Mundpropaganda über deren Verbreitung. Betroffene Unternehmen und Behörden versuchen, Stillschweigen über die Angelegenheit zu bewahren, bis sie intern gelöst ist. Die Öffentlichkeit wird erst dann auf diese Vorfälle aufmerksam gemacht, wenn Nachforschungen angestellt oder wenn Vorfälle schliesslich gemeldet werden. Doch diese Verlautbarungen geben nur wenige Einzelheiten (wenn überhaupt) darüber, wie die Organisationen zu Opfern wurden oder ob dabei Lösegeld gezahlt wurde. Leider bietet die Bezahlung von Cyberkriminellen keine Garantie dafür, dass die Dateien wieder zugänglich werden oder dafür, dass es in Zukunft keine weiteren Angriffe geben kann.

Arten der Ransomware

Wie bereits erwähnt, gibt ein Vergleich der Erkennungszahlen mit denen von 2019 ein nur unvollständiges Bild des Geschehens. Eine Analyse der Techniken und Routinen der früher und derzeit installierten Ransomware macht deutlich, dass die Cyberkriminellen mittlerweile ihre Aufmerksamkeit auf bestimmte Ziele und grössere Geldsummen lenken, die sie von ihren Opfern erpressen können. Diese Ziele sind häufig in Branchen oder Organisationen mit kritischen öffentlichen Geschäftsvorgängen und Infrastrukturen zu finden.

Bedrohungsakteure können immer noch willkürlich Spam-E-Mails an ein Verzeichnis von E-Mail-Adressen senden, um mindestens ein Opfer anzulocken. Doch die jüngsten Angriffe sind gezielter, und die Opfer wurden vorher ausgekundschaftet, um einen grösstmöglichen Gewinn zu erzielen. Im Laufe der Jahre haben die Forscher drei verschiedene Arten von Ransomware beobachtet mit verschiedenen Routinen für das Eindringen in die Systeme der Opfer.

Wurm-basierte oder Legacy Ransomware

Wurm-basierte Ransomware verbreitet sich ähnlich den Würmern über replizierte Kopien ihrer selbst durch Systeme. Legacy Ransomware nutzt den eingestellten Support für Betriebssysteme aus. Sie setzen auf Schwachstellen als Einstiegspunkte und beeinträchtigen andere Systeme im Netzwerk auch ohne menschliche Interaktion. Einige dieser Bedrohungsvektoren lassen sich verhindern, wenn von den Herstellern veröffentlichte Patches aufgespielt oder die virtuellen Patches von Sicherheitsanbietern heruntergeladen werden, wenn der Support für ein Betriebssystem endet.

Ransomware-Routinen, die Zero-Day-Schwachstellen ausnutzen, können jedoch den grössten Schaden in Systemen anrichten. Ein Beispiel dafür ist WannaCry, das 2017 eingeführt wurde, Monate nachdem die Gruppe Cyberkrimineller Shadow Brokers mehrere Hacker-Tools veröffentlichte, darunter EternalBlue. Die Ransomware verbreitete sich rasch in Unternehmen auf der ganzen Welt und hielt Systeme als Geiseln und deren Betrieb im Stillstand, bis Forscher den Kill Switch in der Kodierung der Routine fanden.

Gängige Ransomware

Diese Art von Ransomware wird über Spam verbreitet. Cyberkriminelle kennen die Opfer nicht und senden die infizierten E-Mails einfach an eine Liste von Adressen, die sie gesammelt, gestohlen oder gekauft haben. Sie setzen Social Engineering-Techniken ein, um die Opfer zu täuschen, so dass diese die E-Mail oder den bösartigen Anhang öffnen und so ihre Systeme mit Lösegeldern infizieren.

Bei den meisten dieser Routinen verschlüsselt die Malware fast alle Arten von Dateien, die sich in einem System befinden können, wie z. B. Mediendateien, Dokumente, ausführbare Dateien und Anwendungen. Zu diesen Routinen gehört vermutlich auch eine Datei oder eine ausführbare Datei, in der die Höhe des Lösegeldes angegeben ist, sowie Support-Anweisungen, wie die Opfer Kryptowährungen erwerben können, um ihre Dateien wiederherzustellen. Dennoch gibt es keine Garantie dafür, dass ihnen der Entschlüsselungsschlüssel zugesandt wird oder dass ihre Dateien nach Zahlung des Lösegelds wiederhergestellt werden.

20162017201820192020 1H
LOCKY82,805WCRY321,814WCRY616,399WCRY416,215WCRY109,838
KOVTER50,390CERBER40,493GANDCRAB14,623LOCKY7,917LOCKEY6,967
NEMUCOD46,276LOCKY29,436LOCKY10,346CERBER5,556CERBER2,360
CERBER40,788CRYSIS10,573CERBER8,786GANDCRAB4,050CRYSIS1,100
CRYPTESLA26,172SPORA8,044CRYSIS2,897RYUK3,544SODINOKIBI727

Tabelle 1. Top fünf Ransomware-Familien von 2016 bis zum ersten Halbjahr 2020 (Daten aus dem Smart Protection Network, SPN)

Lesen Sie die Historie dieser Familien im Originalartikel.

Solch gängige Ransomware ist mittlerweile ein geringeres Problem für Unternehmen. Viele heute verfügbare Sicherheitssysteme und auch veröffentlichte Patches umfassen Mechanismen, die über verhaltensbasierte und Dateiüberwachungs-Technologien die Malware erkennen.

Gezielte oder auf Einbrüchen basierte Ransomware

Gezielte oder auf einem Einbruch basierte Ransomware beinhaltet die Techniken in Routinen, die in den letzten Jahren eingesetzt wurden. Diese Art von Ransomware dringt in ein System mittels z.B. gestohlener RDPs ein, über nicht gepatchte Schwachstellen und schlecht gesicherte Anwendungen. Von Untergrund-Websites können Cyberkriminelle Zugangsdaten wie RDP-Benutzernamen und Passwörter erwerben. Sie können auch Social-Engineering-Techniken einsetzen, um die benötigten Zugangsdaten zu phishen, oder die Zielcomputer mit Malware wie InfoStealer infizieren, um die Bedrohungsvektoren zu finden, die sie missbrauchen können.

Cyberkriminelle nutzen die genannten Zugangsdaten auch, um in die Systeme eines Unternehmens einzubrechen. Manchmal wird dies mit einer Eskalation der Privilegien, Tools oder Methoden kombiniert, die die installierte Sicherheit ausschalten. Im Fall des Vorhandenseins von technologisch fortschrittlicheren Systeme, wie z.B. Verhaltens-/Dateierkennung, ist Living Off the Land Binaries and Scripts (LOLBAS) eine Möglichkeit, der Erkennung beim Ausführen von Ransomware zu entgehen.

Auch hier fügen die Kriminellen Anleitungen in die Lösegeldforderung mit ein, wie das Opfer Bitcoins erwerben kann. Da die Erpresser ihre Ziele kennen, ist die Forderung häufig höher als bei den gängigen Ransomware-Angriffen. Sie setzen darauf, dass die Unternehmen ihre Dateien bzw. Systeme sofort wieder nutzen müssen. Cyberkriminelle können auch Fristen setzen, damit die Sicherheitsteams die Infektion vor Ablauf der Zeit unmöglich allein beheben können und deswegen das Opferunternehmen gezwungen ist zu zahlen. Mittlerweile drohen einige Cyberkriminelle ihren Opfern auch, die verschlüsselten Dateien zu veröffentlichen oder  die gestohlenen Informationen im Untergrund zu verkaufen, sollte das Lösegeld nicht rechtzeitig bezahlt werden.

Bei dieser Art der Ransomware-Angriffe werden nicht alle Dateien verschlüsselt, sondern eher bestimmte Dateitypen oder Anwendungen, die für den Alltagsgeschäftsbetrieb unerlässlich sind, so etwa Systemdateien und ausführbare Dateien. Auch hier gibt es keine Garantie, dass die Dateien wieder verwendbar sind, wenn das Opfer zahlt. Auch besteht die Gefahr, dass die Kriminellen weitere Arten von Malware installieren, die nicht auffindbar ist und für weitere Angriffe genutzt wird.

Zu den Zielen gehören auch mittelständische Betriebe wie Krankenhäuser, die als einträglich angesehen werden, weil ihre Sicherheitssysteme weniger fortschrittlich sein könnten und sie dennoch über genügend Ressourcen verfügen, um das Lösegeld zu bezahlen.

Im Jahr 2016 begannen Crysis und Dharma als gängige Arten von Ransomware. Die Techniken beider Routinen änderten sich jedoch schnell, um höher bezahlte potenzielle Opfer durch den Einsatz anderer Software und gestohlener RDPs anzugreifen. Dharma zeigte, wie vielseitig Ransomware sein kann, denn die Malware passte ihre Routinen an und nutzte andere legitime Software, um die Überwachung und Aufmerksamkeit umzulenken. Crysis wiederum nahm Unternehmen ins Visier und erlangte selbst nach der Entfernung der Malware wieder Zugang,  indem sie andere angeschlossene Geräte wie Drucker und Router für spätere Angriffe infizierte. Sie wurde als RaaS im Untergrund angeboten und war damit auch weiteren Hackern leicht zugänglich.

Charakteristiken neuer Techniken und Ziele

Diese Ransomware-Techniken des Eindringens in Systeme gezielter Opfern sind nicht neu. Unternehmen und Institutionen mit kritischer Infrastruktur gelten als hochwertige Ziele Da zudem im Untergrund mehr gestohlene Daten wie RDP-Zugangsdaten angeboten werden, können sich riskante Online-Gewohnheiten (wie das Recycling von Benutzernamen und Passwörtern) nicht nur für einzelne Benutzer, sondern auch für ein ganzes Unternehmen als schädlich erweisen.

Bild 2. Die wichtigsten Zielbranchen auf der Grundlage der Ransomware-Erkennung für 1H 2020 (Daten aus dem Trend Micro Smart Protection Network)

Die Ransomware-Routinen sind nun in der Lage, mit fortgeschrittenen Verschleierungstechniken ihre Erkennung zu vermeiden. Auch können sie über die Beschränkung auf nur wenige und bestimmte Dateitypen manche Sicherheitssysteme umgehen, vor allem solche ohne Monitoring von Dateien und Verhalten. So erlauben es die Routinen der Ransomware  Ryuk, das Netzwerk zu infizieren und dann durch laterale Bewegung nach Systemen zu suchen, die den grössten Gewinn versprechen.

Ransomware-Trends

Die Sicherheitsforscher gehen davon aus, dass die eingesetzten Routinen bezüglich ihrer Installation und Verschleierungstechniken komplexer werden und noch mehr Unternehmen und Behörden ins Visier nehmen.

Ebenso werden auch weiterhin mehr Regierungsbehörden und Grossunternehmen mit ihren Assets und nach aussen gerichteten Systeme zum Ziel werden. Von Websites, Anwendungen, E-Mails, Dateien und zentralisierten Kontrollsystemen bis hin zu firmeneigenen Geschäfts- und vertraulichen Sicherheitsinformationen könnten Kunden und Mitarbeiter gleichermassen gefährdet sein.

Auch das Industrial Internet of Things (IIoT) und Industrial Control Systems (ICS) könnten profitable Ziele darstellen. Produktionslinien und Lieferketten dienen als Ziele und Bedrohungsvektoren, und Störungen in diesen automatisierten Sektoren könnten sich nicht nur für das Unternehmen, sondern auch für die Wirtschaft und den Ruf eines Landes als katastrophal erweisen.

Fazit

Es gibt einige Best Practices, die Einzelpersonen, Unternehmen und Institutionen zu ihrem Schutz beachten sollten:

  • Gute Passwort-Strategie verwenden: Keine Benutzernamen und Passwörter für die Online-Konten und –Geräte wiederverwenden sowie die Standard-Anmeldedaten für alle Geräte ändern.
  • Netzwerksegmentierung einführen: Unternehmen sollten das Prinzip der geringsten Privilegien umsetzen und den Zugriff auf wichtige Daten und Systemverwaltungswerkzeuge einschränken.
  • Überprüfen der RDP-Servereinstellungen: Sie müssen regelmässig überwacht und aktualisiert werden. Empfehlenswert ist auch der Einsatz eines Brute-Force-Schutzsystems für RDP-Server sowie die stetige Aktualisierung der Anzahl der Benutzer und Konten mit RDP-Zugriff. Benutzer mit RDP-Zugriff müssen komplizierte und sichere Passwörter verwenden, die regelmässig geändert werden.
  • Überwachen der nach aussen gerichteten Server: IT-Teams sollten gewährleisten, dass die Patch-Zeitpläne eingehalten werden. Bei Implementierungsschwierigkeiten sind virtuelle Patching-Lösungen ein bewährtes Schutzmittel.
  • Aufbewahren der Sicherheitskopien von wichtigen Informationen: Mit der 3-2-1-Methode werden drei Sicherungskopien in mindestens zwei verschiedenen Formaten aufbewahrt, von denen eine separat und ausserhalb des Standorts lagert.
  • Ungeprüfte und verdächtige E-Mails und eingebettete Links nicht öffnen: Ist der Absender unbekannt, und sind die Nachricht und ihre Anhänge nicht verifiziert, so sollte die Nachricht gelöscht und/oder melden die E-Mail sofort an das Sicherheitsteam gemeldet werden.
  • Konsequentes Patchen und Aktualisieren der Systeme, Netzwerke, Software, Geräte, Server und Anwendungen: Sobald die Hersteller Patches oder Updates veröffentlichen, sollten diese angewendet werden, um zu verhindern, dass Schwachstellen offen bleiben, die von Bedrohungsakteuren ausgenutzt werden können.
  • Auf keine Lösegeldforderungen eingehen: Die Bezahlung ermutigt Cyberkriminellen nur, ihre Aktivitäten fortzusetzen. Es gibt auch keine Garantie dafür, dass verschlüsselte Daten abgerufen oder nicht gestohlen werden oder dass es nicht zu anderen späteren Angriffen kommt.

Trend Micro-Lösungen

Ein mehrschichtiger Ansatz kann Ransomware davon abhalten, Netzwerke und Systeme zu erreichen. Unternehmen sollten ihre gesamte IT-Infrastruktur vor Malware und Einbrüchen schützen. Mittelständler können den Schutz von Trend Micro™ Worry-Free™ Services Advanced, und für Heimanwender bietet Trend Micro Internet Security funktionsreichen Schutz für bis zu zehn Geräten. Trend Micro Ransomware File Decryptor Tool kann Dateien entschlüsseln, die von bestimmten Ransomware-Varianten verschlüsselt wurden.

Unternehmenssicherheit in Gefahr durch das neue flexible Arbeiten

von Trend Micro

COVID-19 hat die Welt in den letzten Monaten auf verschiedene Weise verändert, am deutlichsten jedoch ist der schnelle Wechsel zu Remote Working infolge der durch Regierungen verhängten Lockdown-Massnahmen zu beobachten gewesen. Trend Micro hat im Rahmen einer Umfrage die Gewohnheiten von Arbeitnehmern im Homeoffice während der Pandemie untersucht. Offiziellen Zahlen des Bitkom zufolge arbeitete infolge der Corona-Pandemie jeder zweite Berufstätige (49%) ganz oder zumindest teilweise im Homeoffice. Obwohl dies zur Unterstützung der Produktivität unter aussergewöhnlichen Umständen unerlässlich war, droht es auch, Organisationen neuen Cybersicherheitsrisiken auszusetzen.

Das Problem mit dem Smart Home

Für den Bericht „Head in the Clouds“ wurden mehr als 13.000 Remote-Mitarbeiter in 27 Ländern weltweit (davon 504 in Deutschland) befragt. Obwohl viele vorgeben, Cybersicherheit heute ernster zu nehmen, ist die Wahrheit etwas anders geartet. Eines der Hauptrisiken, laut Studienergebnissen, entsteht durch Smart Home-Systeme.

Smart Home-Geräte sind heutzutage allgegenwärtig – von Smart TVs und Home Sicherheitssysteme bis zu vernetzten Lautsprechern und Wasserkochern. Sie sind darauf zugeschnitten, den Alltag einfacher, sicherer und produktiver zu gestalten. Doch hat eine Studie der Postbank 2019 gezeigt, dass nahezu jeder Dritte deutsche Haushalt einen digitalen Sprachassistenten nutzt.

Diese Gadgets weisen bekanntermassen Schwachstellen auf, wie z.B. Firmware-Fehler und werkseitig voreingestellte Logins, die leicht zu knacken sind. Bot-Angriffe wie Mirai und seine Nachfolger haben diese Schwächen sehr erfolgreich ausgenutzt, insbesondere bei Produkten weniger bekannter Marken.

Doch über das blosse Kompromittieren und Einbinden eines anfälligen Geräts in ein Botnet hinaus gibt es potenziell noch ausgefeiltere Möglichkeiten für funktionierende Angriffe. Die Studienautoren fanden heraus, dass mehr als die Hälfte 62% der Remote-Mitarbeiter in Deutschland IoT-Geräte besitzen, die mit dem Home-Netzwerk verbunden sind, wobei 7% weniger bekannte Marken einsetzen. Diese Geräte könnten theoretisch gekapert werden, um einem Angreifer Zugang zu einem Heimnetzwerk zu verschaffen. Und dann ist es nur ein kurzer Weg bis ins Firmennetzwerk, über Laptops oder PCs, die ebenfalls miteinander vernetzt sein können.

Unternehmen unter Beschuss

Ein Angriff auf ein Unternehmen stellt für die Akteure nicht unbedingt eine einfache Aufgabe dar, doch wird sie erleichtert, wenn Laptops und andere Geräte mit Unternehmenszugriff schlecht gesichert sind. Zwei Fünftel (45%) der deutschen Studienteilnehmer erklärten, dass sie von persönlichen Geräten aus auf Unternehmensdaten zugreifen. Diese Geräte sind häufig weniger gut geschützt als die im Unternehmen: So erklärten 52% der Remote-Mitarbeiter kein aktives Passwort für ihr Geräte zu nutzen.

Des Weiteren greifen 65% der Remote-Mitarbeiter von ihrem Arbeits-Laptop auf das Heimnetzwerk zu. Diese sollten zwar sicherer sein, aber es gibt keine Garantie dafür, vor allem, wenn Manager sie schnell ausgeben, ohne dass die IT-Abteilung Zeit hat zu prüfen, ob AV vorinstalliert ist. Nicht alle IT-Sicherheitsfunktionen sind in der Lage, solche Geräte aus der Ferne zu verwalten. Eine kürzlich veröffentlichte Studie liefert beunruhigende Zahlen: 93% der Unternehmen weltweit haben derzeit Sicherheitsaufgaben verschoben, so etwa Patching während der Pandemie.

All dies geschieht zu einer Zeit, in der Cyberkriminelle es auf abgelenkte Remote-Mitarbeiter als potenziell schwaches Glied in der Cybersicherheitskette von Unternehmen abgesehen haben. Im Mai sah sich das National Cyber Security Centre (NCSC) gezwungen, ein Adisvory nicht nur bezüglich Phishing-Angriffen unter dem COVID-Thema, sondern auch für Angriffe auf Remote-Access-Infrastrukturen herauszugeben.

Was nun?

So vorhersehbar es auch klingt, die Antwort liegt in dem bewährten Trio aus Menschen, Verfahren und Technologie. Als erstes geht es um die Menschen, die ein verbessertes Awareness-Training erhalten müssen. Dieses sollte auf verschiedene Persönlichkeitstypen zugeschnitten sein, um die Wirksamkeit zu maximieren.

Als Nächstes sollten sich Unternehmen auf die Neugestaltung und Durchsetzung von Sicherheitsrichtlinien und -prozessen konzentrieren, um der neuen Realität der Heimarbeit Rechnung zu tragen und sicherzustellen, dass die Mitarbeiter sich an die Vorschriften halten. Sie müssen die Bedrohung, die von intelligenten Heimnetzwerken und persönlichen Geräten ausgeht, kennen und wissen, wie sie diese mindern können, z.B. durch Isolierung von IoT-Geräten in Gastnetzwerken.

Schliesslich sollten Organisationen sicherstellen, dass alle Endpunkte und Heimnetzwerke der Mitarbeiter angemessen geschützt sind. Cloud-basierte Tools können einen Grossteil der Arbeit leisten, um Kosten zu minimieren und den Verwaltungsaufwand für überlastete IT-Teams zu verringern.