Schlagwort-Archive: Bot-Netze

Im Kreuzfeuer: Verteidigung der Geräte in der Schlacht der Botnets

Von Trend Micro

Botnets, diese Netzwerke aus infizierten Geräten (in Bots verwandelt), sind umso erfolgreicher in ihren Angriffen und bösartigen Aktivitäten, je höher die Zahl der Bots ist. Mit der Verbreitung des Internet of Things (IoT) ist eine neue Domäne entstanden, in der die Betreiber der Botnets um Bots kämpfen. Dieser so genannte „Wurmkrieg“ wird von den Benutzern unbemerkt geführt, und die können die Kontrolle über ihre Geräte verlieren, egal welcher Cyberkriminelle am Ende eine Schlacht gewinnt. Die Nutzer müssen die Techniken und Taktiken verstehen, die beim Aufbau von Botnets und der Umwandlung gängiger IoT-Geräte wie Router in Bots zum Einsatz kommen. Trend Micro hat einen Forschungsbericht „Worm War: The Botnet Battle for IoT Territory“ veröffentlicht, in dem die Welt der IoT-Botnets eingehend dargestellt wird.

Der Blog gibt eine Vorschau auf die Hauptfunktionen von Botnet-Malware anhand der drei Quellcodebasen von Botnets, die den Weg für viele Botnet-Malware-Varianten geebnet haben und die Grundlage für den anhaltenden Revierkampf bilden.

Kaiten

Kaiten, auch als Tsunami bekannt, ist die älteste der drei. Die Kommunikation mit den Command-and-Control (C&C)-Servern basiert auf dem IRC-Protokoll (Internet Relay Chat), wobei infizierte Geräte Befehle von einem IRC-Kanal empfangen. Das Skript von Kaiten ermöglicht es der Malware auch, auf mehreren Hardware-Architekturen zu arbeiten, und damit wird sie ein relativ vielseitiges Werkzeug für Cyberkriminelle. Darüber hinaus können neuere Varianten konkurrierende Malware ausschalten und somit ein Gerät vollständig in Beschlag nehmen.

Qbot

Die Malware ist auch als Bashlite, Gafgyt, Lizkebab oder Torlus bekannt und stellt eine relativ alte Familie dar. Dennoch ist sie für Botnet-Entwickler immer noch wichtig. Bemerkenswert im Zusammenhang mit Qbot ist die Tatsache, dass deren Quellcode aus nur ein paar Dateien besteht. Anfänger haben Schwierigkeiten in der Handhabung, deshalb gibt es in cyberkriminellen Foren viele Tutorials und Leitfäden dazu. Qbots Quellcode kann ebenso wie Kaiten mehrere Architekturen unterstützen, doch die Kommunikation mit den C&C-Servern basiert auf TCP und nicht IRC. Neuere Varianten können zudem auch rivalisierende Malware killen.

Mirai

Mirai ist die jüngste Malware unter den dreien. Dennoch ist sie sehr bekannt, weil die Familie zahlreiche Varianten hervorgebracht hat. Sie wurde darauf zugeschnitten, als Distributed Denial-of-Service (DDoS)-Tool angeboten zu werden. Nach Veröffentlichung des Quellcodes wurde Mirai zu einem Wendepunkt für IoT-Malware. Die Botnet-Malware machte sich schnell einen Namen durch den Angriff auf Dyn, einen DNS-Hosting-Provider (Domain Name System), der zur Beeinträchtigung weit verbreiteter Websites und Dienste führte.

Botnet-Kampftaktiken

Kaiten, Qbot und Mirai präsentieren die Fähigkeiten, mit denen Botnet-Malware um die Vorherrschaft über angeschlossene Geräte konkurrieren kann. Um ein Botnet zu entwickeln und seine Grösse aufrechtzuerhalten, müssen Botnet-Malware-Familien und -Varianten in der Lage sein, so viele Geräte wie möglich zu infizieren und gleichzeitig andere Angreifer fernzuhalten. Botnet-Malware kann nach anfälligen Geräten suchen und bekannte Taktiken wie Brute-Force anwenden, um die Kontrolle über ein Gerät zu erlangen. Um die Übernahme zu festigen, eliminiert Botnet-Malware konkurrierende Malware, die möglicherweise bereits auf dem Gerät vorhanden ist, sowie neue Schadsoftware, die darauf abzielen könnte, die Kontrolle über das Gerät zu stehlen.

Alle drei Bot-Quellcodebasen verfügen über diese Fähigkeiten. Und da sie quelloffen sind, ermöglichen sie es böswilligen Akteuren, die Bedrohungslandschaft weiterhin mit konkurrierenden Varianten zu bevölkern.

Bild. Zusammenfassung der drei wichtigsten IoT-Bot-Quellcodebasen

Verteidigung gegen IoT-Botnets

Über welch machtvolle Gerätearmeen Botnets verfügen können, zeigte der berüchtigte Mirai-Angriff 2016, der zum Absturz bekannter Websites führte (etwa Netflix, Twitter und Reddit) und auch den bekannten Sicherheitsblogs „Krebs on Security“ lahmlegte. In kleinerem Rahmen vereinnahmen Botnets IoT-Geräte und -Ressourcen einzelner Nutzer, die ihnen das Leben bequemer und ihre Arbeit leichter machen sollen. Diese Geräte haben an Bedeutung gewonnen, vor allem in einer Zeit, in der das Arbeiten von zu Hause aus zur neuen Norm für Organisationen geworden ist.

Die beste Verteidigungsstrategie gegen feindliche Botnets besteht darin, ihr Schlachtfeld einzugrenzen und Cyberkriminellen die Ressourcen zu verweigern, die ihre Botnets mächtig machen würden. Benutzer können ihren Teil dazu beitragen, indem sie dafür sorgen, dass ihre IoT-Geräte sicher sind. Sie können damit beginnen, diese Schritte zu befolgen:

  • Verwalten von Schwachstellen und Aufspielen der Patches so schnell wie möglich. Schwachstellen sind die wichtigste Art und Weise, wie Malware Geräte infiziert. Die Anwendung von Patches, sobald sie veröffentlicht werden, kann die Chancen für potenzielle Angriffe einschränken.
  • Anwenden sicherer Einstellung. Benutzer müssen sicherstellen, dass sie die sicherste Konfiguration für ihre Geräte verwenden, um die Möglichkeiten für eine Kompromittierung einzuschränken.
  • Starke, schwer zu erratende Passwörter aufsetzen. Botnet-Malware nutzt schwache und gängige Passwörter aus, um Geräte zu übernehmen. Benutzer können diese Taktik umgehen, indem sie Standardpasswörter ändern und starke Passwörter verwenden.

Weitere Einzelheiten zu den IoT-Botnets finden Sie im Whitepaper Worm War: The Botnet Battle for IoT Territory.

Botnet Malware-Varianten zielen auf exponierte Docker Server

Originalbeitrag von Augusto Remillano II, Patrick Noel Collado und Karen Ivy Titiwa

Kürzlich entdeckten die Sicherheitsforscher Varianten von zwei existierenden Linux Botnet Malware-Arten, die exponierte Docker-Server im Visier hatten: XORDDoS (Backdoor.Linux.XORDDOS.AE) und Kaiji DDoS (DDoS.Linux.KAIJI.A). Für beide Malware-Arten sind Docker-Server als Ziel neu. XORDDoS war dafür bekannt, Linux Hosts in Cloud-Systemen anzugreifen, und die erst vor kurzem entdeckte Kaiji-Malware griff IoT-Geräte an. Die Hintermänner nutzten normalerweise Botnets für Brute-Force-Attacken, nachdem sie nach offenen Secure Shell (SSH)- und Telnet-Ports gescannt hatten. Jetzt suchen sie auch nach Docker-Servern mit exponierten Ports (2375). Dies ist einer der beiden Ports, die das Docker API nutzt, und dient der nicht verschlüsselten und nicht authentifizierten Kommunikation.

Es besteht jedoch ein bemerkenswerter Unterschied zwischen den Angriffsmethoden der beiden Malware-Varianten. Während der XORDDoS-Angriff den Docker-Server infiltrierte, um alle auf ihm gehosteten Container zu infizieren, setzt der Kaiji-Angriff einen eigenen Container ein, in dem die DDoS-Malware liegt.

Diese Malware-Varianten begünstigen Distributed Denial of Service (DDoS), einen Angriffstyp, der darauf abzielt, ein Netzwerk, eine Website oder einen Dienst zu deaktivieren, zu unterbrechen oder herunterzufahren. Dazu werden mehrere Systeme verwendet, um das Zielsystem mit Datenverkehr zu überlasten, bis es für andere Benutzer unzugänglich wird.

Analyse der beiden Varianten

Die XORDDoS-Infektion begann damit, dass die Angreifer nach Hosts mit exponierten Docker-API-Port suchten (2375). Dann sandten sie einen Befehl, der die auf dem Docker-Server gehosteten Container auflistete. Danach führten die Angreifer eine Befehlsfolge für alle Container aus und infizierten sie alle mit der Malware.

Ähnlich wie bei der XORDDoS-Malware zielt Kaiji auch auf exponierte Docker-Server zur Verbreitung. Der Betreiber scannte auch das Internet nach Hosts mit dem exponierten Port 2375. Nachdem er ein Ziel gefunden hatte, pingt er den Docker-Server an, bevor er einen bösartigen ARM-Container einsetzt, der das Kaiji-Binary ausführt. Die technischen Einzelheiten zu den beiden Angriffen finden Interessierte im Originalbeitrag.

Schutz für Docker-Server

Es zeigt sich, dass die Bedrohungsakteure ihre Werke ständig um neue Fähigkeiten erweitern, so dass sie ihre Angriffe auf andere Eintrittspunkte ausrichten können. Da sie relativ bequem in der Cloud eingesetzt werden können, sind Docker-Server eine immer beliebtere Option für Unternehmen. Sie sind jedoch auch ein attraktiven Ziel für Cyberkriminelle, die ständig auf der Suche nach Systemen sind, die sie ausnutzen können.

Einige Empfehlungen für die Absicherung von Docker-Servern:

  • Absichern des Container Hosts: Dafür eignen sich Monitoring Tools und Host Container in einem auf Container zugeschnittenen Betriebssystem.
  • Absichern der Netzwerkumgebung. Dafür sollte ein Intrusion Prevention System (IPS) und Webfiltering zum Einsatz kommen, um Übersicht zu bieten und den internen sowie externen Verkehr beobachten zu können.
  • Absichern des Management-Stacks. Hier sollte die Container Registry überwacht und gesichert werden sowie die Kubernetes-Installation abgesperrt sein.
  • Absichern der Build Pipeline. Implementieren eines gründlichen und konsistenten Zugangskontrollschemas sowie starker Endpunktkontrollmechanismen.
  • Befolgen der empfohlenen Best Practices.
  • Einsatz von Sicherheits-Tools, um Container zu scannen und zu schützen.

Trend Micro™ Hybrid Cloud Security bietet automatisierte Sicherheit und Schutz für physische, virtuelle und Cloud Workloads. Die Lösung umfasst folgendes:

Schlagabtausch: der unvermeidliche Cyber-Rüstungswettlauf

von Richard Werner, Business Consultant

Eine treibende Kraft bestimmt die cyberkriminelle Wirtschaft und die Bedrohungslandschaft: Gut gegen Böse, oder besser gesagt, Gesetzeshüter, Forscher, Anbieter und Cybersicherheits-Experten auf der einen Seite und Cyberkriminelle auf der anderen. Dieses Katz-und-Maus-Spiel wird seit fast zwei Jahrzehnten ausgetragen, aber im Zuge der technologischen Innovationen und des gesellschaftlichen Wandels im Allgemeinen scheint es sich in den letzten Jahren beschleunigt zu haben. Nach einer neuen eingehenden Analyse der Cyberkriminalität im Untergrund der letzten Jahre gelangen die Sicherheitsforscher zu dem Schluss, dass die Massnahmen der Strafverfolgungsbehörden die Gegner im Untergrund in Unruhe versetzen. Im Gegenzug aber entwickeln die Kriminellen jedoch ihre Werkzeuge und Taktiken weiter, um eine neue Art von Angriffen zu Geld zu machen.

Die guten Nachrichten zuerst: Die neue Analyse des kriminellen Untergrunds ergab, dass die Schliessung von Dark-Web-Marktplätzen durch die Polizei in den letzten Jahren definitiv Wirkung zeigt. Die Zerschlagung grosser Websites wie AlphaBay, Evolution und Hansa hat bei den Online-Händlern zu Unsicherheit und Paranoia geführt. Obwohl viele Sites noch immer in Betrieb sind, so z.B. Nulled, Joker’s Stash und Hackforums, gibt es keinen einzigen dominanten Anbieter mehr in der Spur der Silk Road. Darüber hinaus klagen die Nutzer über anhaltende Anmeldeprobleme und DDoS-Angriffe, die vermutlich das Werk von Strafverfolgungsbehörden sind.

Als Gesamteffekt dieser Bemühungen der Polizeibehörden hat sich Misstrauen in das Dark Web eingeschlichen. Händler sind nicht nur vor Betrügereien der Administratoren auf der Hut, sondern befürchten auch, dass die Polizei diese Seiten bereits infiltriert haben könnte. Es ist ermutigend zu sehen, dass die viele harte Arbeit und die jahrelange Zusammenarbeit zwischen Polizei und Unternehmen des privaten Sektors wie etwa Trend Micro Wirkung zeigt.

Die Kriminellen schlagen zurück

Cyberkriminelle sind jedoch bekanntermassen einfallsreich und agil. Als Reaktion auf diese Untergrabung des Vertrauens Online entstand eine neue Website namens DarkNet Trust, wo sich der Ruf von Anbietern verifizieren lässt, indem Profile auf verschiedenen Untergrundseiten durchsucht und Benutzernamen und PGP-Fingerabdrücke überprüft werden können. Des Weiteren stellte Joker’s Stash auf Blockchain-DNS um, um der polizeilichen Überwachung zu entgehen, und der P2P-Markt OpenBazaar wirbt mit einer Android- und iOS-App, die es den Benutzern erlaubt, privat zu chatten. Viele Cyberkriminelle nutzen inzwischen den vor allem bei Gamern beliebten Instant Messaging-Dienst Discord, um anonym zu kommunizieren, und viele Dark-Foren und -Marktplätze haben sogar ihre eigenen Discord-Server aufgebaut. Andere benutzen die legitime E-Commerce-Plattform Shoppy.gg, um ihre Waren zu verkaufen.

Cyberkriminelle sind wie eh und je anpassungsfähig und zielen auf Organisationen, die dank veränderter Arbeitsweisen neuen Bedrohungen ausgesetzt sind. Das aufgrund der COVID-bezogenen Beschränkungen weit verbreitete Home Office hat dazu geführt, dass viele Mitarbeiter Rechner benutzen, die nicht so gut geschützt sind wie ihre Pendants im Unternehmen. Zudem sind Nutzer zu Hause stärker abgelenkt, und IT-Sicherheitsteams haben Mühe, all diese neuen Endpunkte zu ermitteln und zu patchen, insbesondere da VPNs mit hoher Belastung zu kämpfen haben.

Es ist damit zu rechnen, dass es weiterhin Betrügereien mit staatlichen Konjunkturfonds geben wird und dass ein breites Interesse an neuen Informationen über das Virus besteht. VPN-Malware und insbesondere DDoS-Dienste werden in der Untergrundwirtschaft ebenfalls stark nachgefragt werden, und immer mehr Angebote von Botnets bestehend aus kompromittierten Heimnetzwerken als Service tauchen auf. Die Sicherheitsforscher gehen auch von der Zunahme gezielter Angriffe aus, die über potenziell ungesicherte Heimcomputer in Unternehmensnetzwerke einzudringen versuchen. Diese Bedrohungen stellen eine Art umgekehrtes BYOD-Szenario dar: Statt dass Nutzer ihre Geräte in den Unternehmensbereich mitbringen, wird das Unternehmensnetzwerk jetzt mit dem Heimnetzwerk zusammengeführt.

Weiterentwicklung der Tools

Wie sieht also die Zeit nach COVID-19 aus? Es ist interessant festzustellen, dass in den letzten fünf Jahren in vielen Bereichen die Preise erheblich gesunken sind: So ist beispielsweise der Preis für Kryptographie-Services von etwa 1000 $/Monat im Jahr 2015 auf heute nur noch 20 $ gesunken. In anderen Bereichen bleiben die Preise jedoch stabil und in einigen steigen sie gar. Fortnite Logins können heute im Durchschnitt für etwa 1.000 $ verkauft werden. Man kann davon ausgehen, dass relativ neue Entwicklungen wie IoT-Botnets und Cyber-Propaganda-Services den kriminellen Verkäufern auch in den kommenden Jahren viel Geld einbringen werden.

Im Moment machen Cyberkriminelle auch hohe Profite mit dem Verkauf von „Access-as-a-Service“. Dies hat sich von Angeboten im Zusammenhang mit dem Remote-Desktop-Protokoll (RDP) zum Verkauf von Zugang zu gehackten Geräten und Unternehmensnetzwerken entwickelt. Ein Bedrohungsakteur verscherbelte Zugriff auf eine US-Versicherungsgesellschaft für 1.999 $ und zu einer europäischen Softwarefirma für 2.999 $.

Der potenziell grösste Wachstumsbereich in der cyberkriminellen Wirtschaft liegt jedoch langfristig in der KI. Künstliche Intelligenz wird bereits in Bot-Services wie Luckybot eingesetzt, die behaupten, Würfel-Wurfmuster auf Glücksspiel-Websites vorhersagen und komplexe Roblox CAPTCHAs lösen zu können. Es wird auch ein potenziell lukrativer Markt für Sextorsions-Angriffe auf der Basis von Deep Fakes entstehen.

Fazit

Die gute Nachricht ist, dass gleichzeitig auch Sicherheitshersteller wie Trend Micro Neuerungen einführen, um nicht nur laufende Angriffe besser aufzudecken, sondern auch Wege zu finden, wie man die Hintermänner aufspüren und ausschalten kann. Es besteht kaum eine Chance, dass dieses Wettrüsten jemals enden wird, aber zumindest haben die letzten Jahre gezeigt, dass wir etwas bewirken und es den Bösewichten schwerer machen können, schnelles Geld zu verdienen.

Den gesamten Bericht finden Interessierte hier.

Smart doch angreifbar: Schwachstellen bei IoT-Geräten

Die Vielfalt der Funktionen von smarten Geräten bietet grossen Nutzen für Umgebungen zu Hause, in Unternehmen und im öffentlichen Bereich, doch gleichzeitig sind auch die Sicherheitsrisiken hoch, die sich durch Schwachstellen und Lücken darin ergeben. Angreifbare smarte Geräte setzen die Netzwerke Angriffen aus. IoT-Geräte sind vor allem deshalb gefährdet, weil ihnen die notwendige eingebaute Sicherheit fehlt, um Bedrohungen abzuwehren. Abgesehen von technischen Aspekten tragen aber auch die Nutzer zur Anfälligkeit der Geräte für Bedrohungen bei.

Einige der Gründe, warum diese smarten Geräte angreifbar sind:

  • Begrenzte rechnerische Fähigkeiten und Hardware-Beschränkungen: Die Geräte verfügen über spezifische Funktionen, die nur begrenzte Rechenfähigkeiten erfordern, so dass wenig Raum für robuste Sicherheitsmechanismen und Schutz der Daten bleibt.
  • Heterogene Übertragungstechnologie: Geräte verwenden häufig viele unterschiedliche Übertragungstechniken. Dadurch ist es schwierig, Standard-Schutzmethoden und -Protokolle festzulegen.
  • Angreifbare Komponenten der Geräte: Anfällige Basiskomponenten haben Auswirkungen auf Millionen eingesetzter smarter Geräte.
  • Nutzer mit mangelndem Sicherheitsbewusstsein: Infolge eines mangelhaften Sicherheitsdenken bei den Nutzern können vernetzte Geräte Schwachstellen und Lücken für Angreifer ausgesetzt werden.

Schwachstellen in Geräten ermöglichen es Cyberkriminellen, sie als Ausgangsbasis für ihre Angriffe zu nutzen. Dies hebt nochmals hervor, wie wichtig es ist, Sicherheit bereits in der Entwurfsphase mit einzubinden.

Auswirkungen der Sicherheitslücken auf Nutzer

Die Untersuchung von grösseren Angriffen auf IoT-Geräte zeigt, wie diese sich auf Nutzer auswirken können. Bedrohungsakteure können angreifbare Geräte für laterale Bewegungen nutzen, um so ihre Wunschziele zu erreichen. Auch lassen sich Sicherheitslücken dazu nutzen, um Geräte selbst ins Visier zu nehmen und sie für grössere Kampagnen zu missbrauchen oder um Malware ins Netzwerk zu bringen.

IoT Botnets zeigen die Auswirkungen von Geräte-Schwachstellen und wie Cyberkriminelle diese ausnutzen. 2016 geriet Mirai, eine der bekanntesten Arten von IoT-Botnet-Malware, in die Schlagzeilen, als das Botnet, bestehend aus Tausenden von kompromittierten IoT-Haushaltsgeräten, in einer Distributed Denial of Service (DDoS)-Kampagne namhafte Websites lahmlegte. Aus geschäftlicher Sicht lassen IoT-Geräte die Unterscheidung zwischen der notwendigen Sicherheit in Unternehmen und Privathaushalten weiter schwinden, insbesondere in Home Office-Szenarien. Die Einbindung von IoT-Geräten im Haushalt kann auch neue Einstiegspunkte in Umgebungen mit möglicherweise schwacher Sicherheit eröffnen und Mitarbeiter Malware und Angriffen aussetzen, über die Angreifer ins Unternehmensnetzwerk gelangen können. Dies ist ein wichtiger Aspekt bei der Entscheidung für die Implementierung von Bring Your Own Device (BYOD)– und Home Office-Szenarien.

Angreifer können IoT-Geräte mit bekannten Schwächen ebenso für das Eindringen in interne Netzwerke nutzen. Die Bedrohungen reichen von DNS Rebinding-Attacken, um aus internen Netzwerken Informationen zu sammeln und zu exfiltrieren, bis zu neuen Angriffen über Seitenkanäle wie Infrarotlaser für Attacken auf vernetzte Geräte.

Beispiele für Sicherheitslücken in IoT-Geräten

Es hat bereits viele Fälle gegeben, die die Auswirkungen von IoT-Schwachstellen vor Augen führen, einige davon in der Praxis andere im Rahmen eines Forschungsprojekts. Die Nonprofit-Organisation Open Web Application Security Project (OWASP) veröffentlicht jedes Jahr eine Liste der Top IoT-Schwachstellen. Zu den am weitesten verbreiteten Lücken gehören die folgenden:

  • Schwache, leicht zu erratende oder fest codierte Passwörter: Typischerweise nutzen dies neue Malware-Varianten aus. Beispielsweise fanden die Sicherheitsforscher von Trend Micro eine Mirai-Variante namens Mukashi, die CVE-2020-9054 missbrauchte und Brute Force-Angriffe mit Standard-Anmeldedaten, um sich in Zyxel NAS-Produkte einzuwählen.
  • Unsichere Ökosystem-Schnittstellen: Die Erforschung von komplexen IoT-Umgebungen zeigte exponierte Automatisierungsplattformen, die die Funktionen mehrerer Geräte verketten. Der exponierte Automatisierungsserver enthielt wichtige Informationen wie Geostandort des Haushalts und fest codierte Passwörter.
  • Unsichere Netzwerkdienste: Ein Forschungsprojekt von Trend Micro aus dem Jahr 2017 widmete sich der Sicherheit von Sonos smarten Lautsprechern. Die Studie zeigte, wie einfach offene Ports das Gerät für jedermann im Internet zugänglich machen.

Nutzer sollten diese allgemein vorhandenen Schwachstellen ernst nehmen und die nötigen Vorsichtsmassnahmen gegen Exploits treffen. Weitere Einzelheiten zu IoT-bezogenen Angriffen sowie Sicherheitsempfehlungen umfasst die IoT-Ressource-Seite von Trend Micro.

Verantwortlichkeiten bei Sicherheit von IoT-Geräten

Das Potential unvorhersehbarer kaskadenartiger Auswirkungen von Schwachstellen und mangelnder Sicherheit im IoT beeinflusst in hohem Masse die allgemeine Sicherheit des Internets. Die Gewährleistung der Sicherheit dieser Geräte liegt in der gemeinsamen Verantwortung aller Beteiligten.

Die Hersteller müssen bekannte Schwachstellen in Nachfolgeprodukten beheben, Patches für bestehende Produkte bereitstellen und das Ende des Supports für ältere Produkte melden. Hersteller von IoT-Geräten müssen zudem die Sicherheit bereits in der Entwurfsphase berücksichtigen und dann Penetrationstests durchführen, um sicherzustellen, dass es keine unvorhergesehenen Lücken in einem System und Gerät in der Produktion gibt. Und Unternehmen sollten auch über ein System verfügen, über das sie Schwachstellen-Reports von Dritten zu ihren eingesetzten Produkten empfangen können.

Die Benutzer müssen mehr Wissen über die Sicherheitsrisiken beim Anschluss dieser Geräte und über ihre Aufgabe bei der Sicherung dieser Geräte erlangen. Die Risiken lassen sich unter anderem durch die Änderung der Standardpasswörter, die Aktualisierung der Firmware und die Wahl sicherer Einstellungen mindern.

Eine vollständige und mehrschichtige Verteidigung erhalten Anwender mit Hilfe von Lösungen wie Trend Micro™ Security und Trend Micro™ Internet Security, die effiziente Sicherheitsfunktionen gegen Bedrohungen IoT-Geräte bieten, denn sie können Malware auf den Endpunkten erkennen. Vernetzte Geräte lassen sich über Lösungen schützen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN), die den Internet-Verkehr zwischen Router und allen vernetzten Geräten überprüfen können. Die Netzwerk-Appliance Trend Micro™ Deep Discovery™ Inspector bietet Monitoring aller Ports und Netzwerkprotokolle auf fortgeschrittene Bedrohungen und kann somit Unternehmen vor gezielten Angriffen schützen.

Ungesicherte Redis-Instanzen werden für Remote Code Execution missbraucht

Originalartikel von David Fiser und Jaromir Horejsi, Threat Researcher

Die Sicherheitsforscher von Trend Micro hatten kürzlich mehr als 8.000 ungesicherte Redis-Instanzen (weit verbreiteter Open-Source In-Memory-Schlüsselwert-Datenstrukturspeicher) entdeckt, die in verschiedenen Teilen der Welt betrieben werden, sogar welche in öffentlichen Clouds. Cyberkriminelle können diese Instanzen für Remote Code Execution (RCE) missbrauchen. Die bösartigen Dateien wandeln sie in Kryptowährungs-Mining Bots um und können auch weitere angreifbare Instanzen über ihre „wurmartigen“ Verbreitungsfunktionen infizieren.

Redis war den Entwicklern zufolge ursprünglich allein auf den Einsatz in vertrauenswürdigen Umgebungen ausgerichtet und beinhaltet seit der Version 4.0 eine Protected Mode-Konfiguration. Der Speicher soll gerade auf die neue Version Redis 6.0 upgedatet werden. Diese bringt neue Sicherheitsfähigkeiten mit, wie etwa Access-Control Lists (ACLs).

Momentan jedoch sind Redis-Instanzen ohne TLS-Verschlüsselung (Transport Layer Security) oder Passwortschutz anfällig für Angriffe, wobei Cyberkriminellen über 200 Befehle zur Verfügung stehen, sobald sie in die Umgebung eindringen. Gegenwärtig ist bei Redis die Authentifizierung nicht standardmäßig eingestellt. Und selbst wenn ein Passwort gesetzt ist, ist es wichtig, sich vor Augen zu halten, dass das Passwort stark genug sein sollte, um gegen Brute-Force-Angriffe resistent zu sein.

Die Sicherheitsforscher setzten mögliche Szenarien in einem Honeypot ein, um Angreifer anzulocken und überwachen zu können. Dabei geht es um den Missbrauch des config-Befehls oder der slaveof-Fähigkeit. Die Forscher konnten auch einige bemerkenswerte Malware-Samples sammeln, die in exponierten Redis-Instanzen über eine der oben genannten Methoden verbreitet wurden: einen plattformübergreifenden Shell-basierten Wurm, der Kryptowährungs-Miner installiert, oder Kinsing-Malware, die sowohl Scanning- als auch Backdoor-Fähigkeiten besitzt. Die technischen Einzelheiten dazu liefert der Originalbeitrag.

Fazit und Sicherheitsempfehlungen

Insbesondere im Umfeld der DevOps, sollten angemessene Sicherheitsmaßnahmen vorhanden sein. Dass exponierte Redis-Instanzen für Kryptowährungs-Mining eingesetzt werden können, ist möglicherweise nicht die einzige Art des Missbrauchs, da die Fähigkeit, Code auszuführen, sozusagen der „heilige Gral“ eines Angreifers ist.

Entwickler können die Umgebung über folgende Best Practices besser schützen:

  • Beim Betrieb von Software auf dem Server ist sicherzustellen, dass sie nicht unter root läuft. Auch beim Einsatz von Containern müssen Nutzer Best Practices befolgen und das Prinzip der Mindestprivilegien anwenden.
  • Die Software immer auf aktuellem Stand halten und starke Passwörter wählen. Keine Verbindung zum Internet ohne geeignete Sicherheitsmaßnahmen.
  • Die Überprüfung von Redis Logs zeigt gerade stattfindende Angriffe.

Cloud-Sicherheitslösungen von Trend Micro

Die Trend Micro Hybrid Cloud Security bietet in einer Lösung die Breite, Tiefe und Innovation, die für den Schutz der Cloud erforderlich sind und zusätzlich die benötigte Übersicht über führende Umgebungen wie Amazon Web ServicesMicrosoft AzureGoogle Cloud und Docker. Zu der Funktionalität zählen automatisierte Installation und Inbetriebnahme, breite API-Integration sowie Sicherheitstechnologie für betriebliche Effizienz und Compliance-Anforderungen.

Die Trend Micro Cloud One SaaS-Plattform Sicherheit für die Cloud-Infrastruktur in Echtzeit – mit optimalem Schutz und Unterstützung der Compliance für Workloads, Anwendungen, Container, serverlose Dateispeichersysteme und Netzwerke sowie die Übersicht über die hybriden Cloud-Umgebungen im Unternehmen. Deep Security und Deep Security Smart Check unterstützen Unternehmen durch das Scannen von Container-Images vor und während der Laufzeit.

Cloud One schließt auch Cloud One – Conformity mit ein. Die Lösung liefert automatische Kontrollmechanismen für AWS ElasticCache (einer In-Memory Datenspeicher-Technologie für Redis). Sie stellt sicher, dass Redis nicht über den Default Port läuft und bietet auch Datenverschlüsselugn in Transit und At-Rest.

Trend Micro™ Deep Security™ und Vulnerability Protection schützt Anwender über folgende Regeln:

  • 1010231 – Redis Cron Remote Code Execution Vulnerability
  • 1009967 – Redis Unauthenticated Code Execution Vulnerability

Eine Reise durch die IoT-Bedrohungslandschaft

Die offensichtlichen Vorteile von Internet of Things (IoT)-Geräten für Unternehmen und Verbraucher sowie deren Erschwinglichkeit haben dazu geführt, dass ihre Beliebtheit stark steigt. Viele sind für Plug-and-Play ausgelegt, vollständig kompatibel mit anderen Maschinen und lassen sich leicht von gängigen Anwendungen aus verwalten. Doch mit der zunehmenden Integration des IoT in Unternehmen und Privathaushalte vergrößert sich auch die damit zusammenhängende Bedrohungslandschaft. Trend Micro gibt einen Überblick über die wichtigsten Bedrohungen und Schwachstellen für IoT-Geräte am Rand oder innerhalb des Netzwerks und in der Cloud. Der Beitrag liefert auch Einblicke in den cyberkriminellen Untergrund.

Geräte am Rand des Netzwerks

Die Interaktion mit IoT-Geräten ist nicht mehr zu vermeiden. Abgesehen von Smartphones und Laptops statten Unternehmen ihre Büros mit Geräten aus, die die Sicherheit und Effizienz fördern, von intelligenten Leuchten bis hin zu Sicherheitskameras und vernetzten Druckern. Viele Devices halten auch Einzug in Wohnräume, so etwa vernetzte Kühlschränke bis hin zu intelligenten Thermostaten. Mit zunehmender Abhängigkeit von diesen Geräten muss deren Absicherung von höchster Bedeutung sein. Ein erster Schritt dahin besteht darin, ein Bewusstsein für mögliche Schwachstellen und Bedrohungen zu schaffen.

Home-Umgebungen

Smart Home-Geräte sind bekanntermaßen anfällig und Hacker nutzen dies natürlich aus. Wenn immer komplexere IoT-Umgebungen entstehen, so können Angreifer die Devices als Tor zum Netzwerk eines Nutzers missbrauchen. Dazu gehören smarte Glühbirnen, Schlösser, Fernseher und vieles mehr. Die Vernetzung öffnet Wohnungen für Eindringlinge, Informationsdiebstahl und das Ausspionieren.

Unternehmensumgebungen

Unternehmen sind sich der Bedrohungen für Laptops, Tablets oder Smartphones, mit denen ihre Mitarbeiter arbeiten, bewusst und haben Sicherheitsteams, die für den Schutz der Endpunkte im Netzwerk und des Netzes selbst zuständig sind. Doch bringen die Mitarbeiter auch eigene IoT-Geräte mit, die sie mit dem Unternehmensnetzwerk verbinden. Unternehmen müssen sich also auch mit Risiken und Bedrohungen auseinandersetzen – von gezielten Angriffen bis hin zu Hacking und Datenverstößen.

Bild 1. Persönliche IoT-Geräte in BYOD-Umgebungen stellen ein ernstes Risiko dar

Angreifer suchen ein exponiertes IoT-Gerät aus, das sie dann dafür benutzen, um auf das damit verbundene System zuzugreifen und so einen gezielten Angriffe zu starten. Selbst einfache Online-Recherchen können ihnen genügend Informationen liefern, um Schwachstellen im System eines Unternehmens zu finden und Schäden am Netzwerk und an den Vermögenswerten des Ziels zu verursachen.

Nicht gepatchte Geräte stellen häufig ein Risiko dar, weil Angreifer bekannte Schwachstellen ausnutzen können, um einzudringen und sich dann privilegierten Zugriff auf Unternehmensnetzwerke zu verschaffen. Es kann zu Dateneinbrüchen oder zu exponierten Daten kommen, Manipulation anderer Assets, Zugriff auf Server und Systeme, Einschleusen von Malware oder gar zur physischen Unterbrechung des Betriebs.

Hacker könnten auch angreifbare Geräte in ein Botnet integrieren. Botnets stellen ein großes Problem dar: Daten aus dem Trend Micro™ Smart Home Network von 2018 bis 2019 zeigen einen Anstieg von 180% bei Brute Force-Anmeldeversuchen. Diese Arten von Angriffen stehen  mit Botnets in Verbindung, da Cyberkriminelle diese Taktik nutzen, um mit einer Vielzahl aufeinanderfolgender Versuche ein Passwort zu erraten.

Netzwerke

Cyberkriminelle, die ein Unternehmenssystem kompromittieren, den Betrieb unterbrechen, Informationen stehlen oder auf vertrauliche Daten zugreifen wollen, nehmen typischerweise mit öffentlichen Netzwerken verbundene IoT-Geräte ins Visier. Darum ist es für die Sicherheit entscheidend, häufig verwendete Funktionalität und typische Devices in Unternehmen und zu Hause zu schützen.

  • Network Attached Storage (NAS). Diese Geräte waren schon immer angreifbar und damit beliebtes Ziel für Hacker. Die Ausnutzung bestimmter Schwachstellen ermöglicht es Angreifern, die Authentifizierung zu umgehen, Code auf dem Gerät auszuführen und Nutzerdaten herunterzuladen oder zu manipulieren. Sie werden auch von Ransomware oder anderer Schadsoftware angegriffen, um DDoS-Attacken zu starten oder Krypto-Mining auszuführen.
  • Universal Plug-and-Play (UPnP). Viele IoT-Geräte, wie Kameras, Spielekonsolen und Router umfassen ein Universal Plug-and-Play (UPnP)-Feature, über das die vernetzten Geräte kommunizieren, Daten austauschen oder Funktionen koordinieren. Nutzen Hacker nun Lücken in den UPnP-Funktionen aus, so können sie Maschinen kompromittieren oder gar die Kontrolle darüber übernehmen. Router und andere können zu Proxys umgewandelt werden, um die Herkunft von Botnets zu verschleiern, für DDoS-Angriffe (Distributed Denial of Service) eingesetzt oder gar zum Versenden von Spam genutzt werden.
  • Internet Protocol (IP). IP-Geräte lassen sich einfach installieren, sie skalieren gut und bieten Analytics. Leider sind sie auch für Sicherheitslücken anfällig. Sie werden mit den Standardeinstellungen und -anmeldedaten genutzt, sodass Hacker ein leichtes Spiel haben. Viele Malware-Autoren erstellen Schadsoftware für IP-Devices, so etwa TheMoon (eine der ältesten Familien dieser Gruppe) und Persirai.
  • Unsichere ältere Technologie. Häufig ist es ältere Technologie, die in einem Netzwerk oder in vernetzten Systemen eingesetzt wird, die Unternehmen einem bestimmten Risiko aussetzt. So beinhaltete die Faxploit-Sicherheitslücke Stack Overflow-Fehler in der Implementierung des Fax-Protokolls in bestimmten Druckern. Mit einer speziellen Faxnummer konnte ein Angreifer das Netzwerk und die damit verbundenen Systeme kapern, Geräte mit Malware infizieren oder Daten stehlen.

Bild 2. Typischer Angriffsablauf im Zusammenhang mit IP-Kameras

Cloud-Lösungen

Organisationen und sogar gewöhnliche Benutzer verwenden mittlerweile Cloud Computing und Cloud-basierte IoT-Lösungen für eine einfachere Geräteverwaltung und Datenspeicherung. Damit ergeben sich mehrere potenzielle Angriffsvektoren:

  • API-Gateways fungieren als Türöffner zur Cloud und begrenzen den Verkehr von IoT-Geräten. Und aufgrund der Art und Weise, wie sie genutzt werden, könnten falsch konfigurierte Gateways Geräte oder Dienste zu Sicherheitsbelastungen machen. Bedrohungsakteure können die Gateways für böswillige Aktivitäten wie das Fälschen einer Befehlssequenz nutzen, indem sie die Logik zwischen den APIs ändern und dadurch mehr Schwachstellen in den Prozess einbringen. Weitere mögliche Aktivitäten sind Benutzer-Spoofing, Man-in-the-Middle (MiTM)-Angriffe und Replays von Sitzungen.
  • Entwickler passen die Regeln und Richtlinien für IoT-Geräte, die mit Cloud-Servern verbunden sind, für das Identitäts- und Zugriffsmanagement (IAM) an. Fehlkonfigurationen innerhalb von Authentifizierungsrollen, Richtlinien oder zugewiesenen Schlüsseln beispielsweise können schwerwiegende Probleme verursachen. Hacker wären in der Lage, den Datenverkehr und den Zugriff zu kontrollieren, den Server zu beschädigen, komplexere Angriffe durchzuführen, den Cloud-Service zu kontrollieren oder einen Gast oder einen legitimen Gerätebenutzer zu fälschen.
  • Auch Fehlkonfigurationen in anderen Geräten, Cloud-Gateways und Infrastrukturen weisen Schwächen in der Sicherheit des Datenverkehrs oder des Pfades auf und setzen das Gerät oder den Cloud-Server Angriffen aus.

Cyberkrimineller Untergrund

Die Recherche zu cyberkriminellen Undergrundforen und Sites zeigt das steigende Interesse am Hacking von IoT-Geräten. Es gibt dort viele Angebote für entsprechende Services und sogar Anleitungen für den Missbrauch von Schwachstellen und das Hacken von Devices. Die angebotenen Dienste reichten vom Zugriff auf kompromittierte Geräte und die Nutzung von Botnets bis hin zu DDoS-Diensten und privaten IoT-basierten VPNs. Die Offerten gibt es in englischen Foren und Diskussionen, sowie auf russischen, portugiesischen, arabischen und spanischen Sites.

Weitere Forschungsergebnisse zu IoT-Bedrohungen finden Sie unter:

The IoT Attack Surface: Threats and Security Solutions

IoT Devices in the Workplace: Security Risks and Threats to BYOD Environments

From Homes to the Office: Revisiting Network Security in the Age of the IoT

DDoS-Angriffe und IoT Exploits: Momentum-Botnet mit neuer Aktivität

Die Sicherheitsforscher von Trend Micro stellten kürzlich eine erhöhte Malware-Aktivität auf Linux-Geräten fest. Die weitere Analyse von entnommenen Malware-Samples zeigte, dass die Aktionen im Zusammenhang mit einem Botnet namens Momentum standen. Die Forscher entdeckten neue Details zu den Tools und Techniken, die das Botnet derzeit für die Kompromittierung von Geräten und für Distributed Denial-of-Service (DDoS)-Angriffe nutzt.

Momentum zielt auf Linux-Plattformen mit unterschiedlichen CPU-Architekturen wie ARM, MIPS, Intel, Motorola 68020 und andere. Der Hauptzweck dieser Malware ist es, eine Hintertür zu öffnen und Befehle für verschiedene Arten von DoS-Angriffen anzunehmen. Die vom Momentum-Botnet verteilten Backdoors sind Mirai-, Kaiten- und Bashlite-Varianten. Darüber hinaus verbreitet sich Momentum auch durch das Ausnutzen mehrerer Schwachstellen in unterschiedlichen Routern und Webservices, um Shell-Skripts herunterzuladen und auf den anvisierten Geräten auszuführen. Die technischen Einzelheiten zur Vorgehensweise und Fähigkeiten von Momentum sowie deren Payloads liefert der Orginalbeitrag.

Sicherheitsempfehlungen und Lösungen

Es ist bekannt, dass smarte, vernetzte Geräte aufgrund der eingeschränkten Sicherheits- und Schutzoptionen leichter angreifbar sind. Deshalb sollten Nutzer Vorsorge treffen und vor allem Router aber auch andere Geräte sichern.

Trend Micro Smart Home Network liefert eine embedded Netzwerksicherheitslösung, die alle Geräte schützen kann, die mit einem Heimnetzwerk verbunden sind. Die Deep Packet Inspection (DPI)-Technologie von Trend Micro bietet Quality of Service (iQoS), Kindersicherung, Netzwerksicherheit und vieles mehr.

Trend Micro™ Deep Discovery™ kann über spezielle Engines, anpassbare Sandboxen und nahtlose Korrelierung Angriffe mit Exploits oder ähnlichen Bedrohungen erkennen, analysieren und proaktiv darauf reagieren. Unterstützt werden die Lösungen durch Trend Micro XGen™ Security mit einer generationsübergreifenden Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern.

Das Aufkommen der IoT-Zombies und die Gefahr von Botnets

Originalartikel von Trend Micro

Beim Cyber-Angriff auf die Server DNS-Anbieters Dyn Ende letzten Jahres waren einige bekannte Websites von Unternehmen wie etwa Twitter und Netflix betroffen. Der Übeltäter: Ein Botnet auf Basis des Internet of Things (IoT), das über eine Schadsoftware namens Mirai erzeugt wurde. Es stellt sich die Frage, was man tun kann gegen bösartige Programme wie Mirai und andere, die den ihren Profit aus der wachsenden Zahl von vernetzten Geräten ziehen wollen.

Der Autor von All About Circuits, Robin Mitchell, nannte diese Art der Cyberkriminalität ein „Zombie“-Botnet. Mithilfe des Mirai-Programms konnten böswillige Akteure ein Netzwerk aus Zombie-Geräten von etwa 100.000 verbundenen Objekten erstellen. Dies war möglich, weil die IoT-Geräte über nicht genügend effiziente Sicherheitsprotokolle verfügten, um der Infiltrierung zu entkommen. Auch nutzten diese Objekte wahrscheinlich immer noch ihre Default-Passwörter, die ihnen während der Fertigung gegeben wurden.

Die Analysten des Marktforschungsinstituts Gartner prognostizieren für 2020 20,8 Milliarden verbundene Objekte im IoT, von Thermostaten und Lichtschaltern im smarten Haus bis zu Drohnen, verbundenen Teekannen oder anderen Dingen des Alltags. Haben all diese dieselben Sicherheitslücken wie die vom Dyn-Hack betroffenen, so kann dies katastrophale Auswirkungen haben.

Der Quellcode von Mirai wurde im September 2016 veröffentlicht, und dies hatte ein „Wettrüsten“ zur Folge, denn die Hacker entwickelten neue Varianten der Malware, um auf unsichere IoT-Geräte zuzugreifen.

Einige Botnets sind relativ harmlos. Beispiel dafür ist ein kürzlich entdecktes Netzwerk von gefälschten Twitter-Konten. Darüber wurden zwar nur willkürliche Passagen aus Star Wars verbreitet, doch könnte es eine wertvolle Quelle für die Erforschung von Twitter-Bots sein, so Juan Echeverria von der University College of London, der das Botnet entdeckt hatte. Das Beispiel zeigt auch, wie schwierig es ist, Botnets aufzuspüren, und gibt darüber hinaus einen Vorgeschmack auf die Herausforderungen, die auf Unternehmen zukommen könnten, wenn sie ihre Netzwerke vor Zombie-Geräten schützen müssen.

Wie kann der Schutz aussehen?

Eine der Optionen sind höhere Investitionen in Cyber-Sicherheitsmaßnahmen, um Unternehmensnetzwerke vor Einbrüchen über Malware wie Mirai zu schützen. Gartner schätzt, dass bis 2018 die Ausgaben für IoT-Sicherheit auf 547 Millionen $ steigen werden.

Wenn es um die Sicherheit geht, rücken auch die IoT-Gerätehersteller weiter in den Vordergrund – sie müssen bessere Passwörter für ihre verbundenen Geräte liefern und im Allgemeinen mehr auf die Sicherheitsrisiken achten, die ihre Produkte in sich tragen. Die Sicherheitsforscher von Trend Micro betonen, dass sowohl die Verbraucher als auch die Regulierungsbehörden mehr Druck auf die Hersteller ausüben müssen, damit diese ihre Sicherheitspraktiken verbessern – oder sie werden damit leben müssen, dass sich ihre Produkte nicht verkaufen lassen.

Heimrouter stellen einen weiteren Schlüsselaspekt in der Botnet-Diskussion dar. Den Sicherheitsforschern zufolge ist es von grundlegender Bedeutung diese Geräte gut abzusichern, da sie der Türsteher für alle neuen smarten Heimtechniken sind. Gelingt es Hackern, sie in Zombies zu verwandeln, haben sie die Kontrolle über das smarte Haus.

„Der Einsatz von Basisabriegelung auf dem Gateway reicht nicht aus.”, so die Trend Micro-Forscher Kevin Y. Huang, Fernando Mercês und Lion Gu. „Angreifer werden immer Wege finden, um die Türen aufzubrechen, die Geräte zu infizieren und sie unter ihre Kontrolle zu bringen.“

Cybersecurity Software, Zweifaktor-Authentifizierung und das Wissen um bessere Passwörter sind wichtige Aspekte im Schutz der Netzwerke vor Botnets. Und so lange bis die Hersteller der Geräte ihre Sicherheitspraktiken nicht verbessern, liegt es bei den Cyber-Sicherheitsanbietern und der Öffentlichkeit darüber aufzuklären, dass Heimrouter gesichert und die drahtlosen Verbindungen verschlüsselt sein müssen.

Weiterführende Artikel:

  1. SIMDA: Ausschalten eines Botnets
  2. 2017, das Jahr in dem IoT-Bedrohungen zur Normalität werden
  3. Der Security-RückKlick KW 48
  4. Nach dem Takedown des Pushdo-Botnetzes geht Spam-Aufkommen zurück
  5. Mirai erweitert die Verteilung mit einem neuen Trojaner