Schlagwort-Archive: Datendiebstahl

VirusTotal unterstützt Trend Micro ELF Hash

Originalartikel von Fernando Merces

IoT Malware-Forscher kennen die Schwierigkeiten beim Wechsel von einem bestimmten Malware-Sample zu einem anderen. IoT-Malware-Samples sind schwierig zu handhaben und zu kategorisieren, da sie in der Regel für mehrere Architekturen kompiliert werden. Ausserdem mangelt es an Tools und Techniken zur Untersuchung dieser Art von Dateien. Um IoT- und Linux-Malware-Forscher generell bei der Untersuchung von Angriffen, die ELF-Dateien (Executable and Linkable Format) enthalten, zu unterstützen, gibt es seit April 2020 ELF Hash von Trend Micro (oder auch telfhash). Telfhash ist ein quelloffener Clustering-Algorithmus zur effizienten Cluster-Bildung von Linux IoT Malware-Samples. Einfach gesagt, handelt es sich um ein Konzept, ähnlich dem Import-Hashing (oder ImpHash) für ELF-Dateien. Doch gibt es einige entscheidende Unterschiede zwischen Telfhash und einem Simbol Table Hash. Jetzt hat VirusTotal die Unterstützung für telfhash angekündigt.

VirusTotal war schon immer ein wertvolles Tool für Bedrohungsforscher. Mit telfhash können die Nutzer der VirusTotal Intelligence-Plattform von einer ELF-Datei auf weitere kommen. Telfhash ist für die IoT-Forschung und mehr von Vorteil, denn dieser Clustering-Algorithmus kann auch für jede Linux-bezogene Malware-Untersuchung verwendet werden, wie z.B. die Analyse einiger Angriffe auf Docker-Container, Windows Subsystem für Linux (WSL), Cryptominer, Rootkits und viele andere. Besonders hilfreich kann er auch in Fällen sein, in denen Varianten von Malware zu plattformübergreifenden Bedrohungen werden.

Funktionsweise

Als Beispiel soll eine ausführbare 32-Bit-ELF-Datei dienen, die mit der IoT-Malware Mirai in Verbindung steht. Nachdem der Hash für die Suche verwendet wurde, findet der Nutzer den Telfhash-Wert im „Detail“-Teil des Suchergebnisses. Klickt er diesen Wert an, so kann er ELF-Dateien suchen, die dem telfhash entsprechen.

Bild 1. Ergebnisse der telfhash-Suche

Der „Behavior“-Tab liefert nützliche Informationen zu den gefundenen Samples. Das sind Daten wie kontaktierte IP-Adressen und C&C URLs, die für eine Untersuchung sehr wichtige Netzwerkindikatoren aufzeigen. Dieses Beispiel (weitere Details im Originalbeitrag) zeigt, wie ein Forscher von einem einzigen IoT-Malware Hash auf sieben andere kommen kann.

Bild 2. Der „Behavior“-Tab eines der gefundenen 64-Bit-Samples

Telfhash ist auch über die VirusTotal API erhältlich.

IoT Monitoring-Daten zu Threat Defense umwandeln

Originalartikel von Shimamura Makoto, Senior Security Specialist

Der Sicherheitsbericht zur Jahresmitte 2020 von Trend Micro weist im Vergleich zum zur zweiten Jahreshälfte 2019 eine Steigerung von 70 Prozent bei Angriffen auf Geräte und Router aus. Dazu gehören auch Attacken auf Internet-of-Things (IoT)-Systeme, die in ihrer Häufung beunruhigen. Die Sicherheitsforscher von Trend Micro überwachen die Trends bezüglich dieser Angriffe und untersuchten Mirai und Bashlite (aka Qbot), zwei berüchtigte IoT Botnet-Schädlingstypen. Interessant sind die Zahlen zu den C&C-Servern dieser Botnets, den IP-Adressen und C&C-Befehle. Auch sammelten die Forscher Daten über die bei der Verbreitung der Malware am häufigsten verwendeten Angriffsmethoden und untersuchten die Verteilung ihrer Varianten.

Zu diesem Zweck überwachten sie C&C-Server mit Verbindung zu Mirai und Bashlite. Die IP-Adressen und Ports der C&C-Server wurden durch die Analyse verwandter Malware-Beispiele sowohl aus internen Datenbanken als auch aus externen Open-Source-Informationen, wie z.B. Informationen aus Twitter-Posts, gewonnen.

Tausende aktiver C&C-Server zeigen Häufung von IoT-Angriffen

Mirai-VariantenBashlite-Varianten
Gesammelte C&C-Serverinformationen7.0305.010
C&C-Server, die eine Verbindung akzeptierten2.9511.746
C&C-Server, die mindestens einen DDoS-Befehl absetzten2.1071.715

Tabelle 1. Anzahl der C&C-Server

Die meisten C&C-Server waren inaktiv. Das bedeutet, als sie entdeckt wurden, akzeptierten sie keine Verbindungen. Doch ein Teil der Server (2.951 für Mirai und 1.746 für Bashlite) waren noch „lebendig“ oder aktiv und ein Teil davon gab auch Distributed Denial-of-Service (DDoS)-Befehle an ihre infizierten Clients aus.

Bild 1. Anzahl der C&C-Server, die eine Verbindung akzeptierten

Es ist offensichtlich, dass die Zahl der aktiven C&C-Server nach wie vor hoch ist, obwohl es Jahre her ist, dass diese Malware-Typen zum ersten Mal in der Öffentlichkeit auftauchten (Mirai um 2016 und Bashlite um 2014). Ausserdem fanden sich 573 gemeinsame IP-Adressen unter den C&C-Servern der beiden Malware-Familien, so dass es möglich ist, dass einige Cyberkriminelle sowohl Mirai als auch Bashlite als Werkzeuge verwenden. Möglicherweise wurde die gleiche IP-Adresse auch von einem anderen Cyberkriminellen wiederverwendet.

Hunderte Befehle zeigen die Botnet-Aktivität

Insgesamt fanden die Forscher 3.822 C&C-Server, die DDoS-Befehle ausgaben. Einer der Server, setzte eine ganze Lawine von 64.991 Befehlen ab.

Bild 2. DDoS-Befehle von den C&C-Servern

Neben den in der Grafik dargestellten Daten gab es auch 136 C&C-Server, die über 1.000 Befehle ausgaben. Eine relativ geringe Anzahl von Servern war aktiv, und es scheint, dass einige inaktive C&C-Server entweder nur zu Testzwecken eingesetzt wurden oder nicht gut funktionieren.

Mit Hilfe von WHOIS fanden die Forscher die Organisationen hinter den IP-Adressen von C&C-Servern. Die meisten C&C-Server basierten auf Hosting-Services, einige davon Bulletproof, die von Cyberkriminellen dazu genutzt werden, um C&C-Server zu betreiben, während sie selbst anonym bleiben. Quellcode von IoT-Malware ist im Untergrund erhältlich, und damit ist es für die Kriminellen einfach, Tools für die Angriffe zu erstellen.

Angriffsmethoden von Mirai

Die Mirai-Familien können auf verschiedene Architekturen wie ARM, x86, MIPS, SH4 und andere abzielen. Die Forscher entdeckten fünf Arten von Angriffsmethoden:

RankName der AngriffsmethodeErklärungC&C-Server mit Verbindung zu Samples
1CVE-2017-17215Command injection attack that targets Huawei HG532 router1423
2Password listingThe malware uses hard-coded credentials to log in to devices that have default or weak credentials.607
3CVE-2014-8361Command execution attack using UPnP SOAP vulnerability in Miniigd that targets devices developed with Realtek SDK520
4ThinkPHP 5.0.23/5.1.31 RCEAn attack that exploits remote code injection vulnerability in ThinkPHP 5.0.23/5.1.31422
5CVE-2018-10561CVE-2018-10562Authentication Bypass and Command Injection vulnerabilities in GPON routers173

C&C-Server in Verbindung mit den Mirai-Varianten

Mehrere Malware-Samples stammen von den gleichen Verteilungsservern. In diesem Fall sind die Inhalte der Samples bis auf ihre Zielarchitekturen nahezu identisch.

Bild 3. Verteilung von Mirai-Varianten über C&C-Server (nur Top Strings)

Es zeigte sich, dass die dargestellten 11 Varianten mit insgesamt 5.740 Servern in Verbindung standen. Die Strings, üblicherweise XOR-kodiert, zeigten sich über Sandbox-Analysen der Malware -Samples in Verbindung mit den Servern. (Achtung: Die meisten davon stammen nur aus Open Source-Quellen; daher stimmt die Summe der Zahlen nicht mit den Zahlen in Tabelle 1 überein.) Weitere Informationen bietet auch der Originalbeitrag.

Verwendung der IOC-Daten für besseren Schutz

Um Kunden vor Cyberbedrohungen zu schützen, verwendet Trend Micro die gesammelten Indicators of Compromise (IOCs) für die verschiedenen Systeme des Monitorings, um die Fähigkeit zur Erkennung von Bedrohungen zu verbessern. Die Sicherheitsforscher sammeln URLs für IoT-Malware-Downloads, fügen sie der Web-Reputationsdatenbank hinzu und kennzeichnen sie entsprechend. Dadurch wird verhindert, dass sich die Geräte der Anwender mit solchen bösartigen URLs verbinden. Darüber hinaus erstellen die Forscher proaktiv ein Erkennungsmuster, sobald sie bei der Überwachung ein neues Muster finden.

Verteidigung von IoT-Systemen

Die meisten IoT-Malware-Programme nutzen die Schwachstellen von IoT-Geräten oder anfälligen Zugangsdaten zur Infektion aus. Um zu verhindern, dass sie durch IoT-Malware kompromittiert werden, wird Benutzern empfohlen, die folgenden Best Practices zu befolgen:

  • Keine Standard-Benutzernamen und -Passwörter verwenden: Nutzer sollten stattdessen sichere Passwörter einrichten, die nicht leicht erraten werden können. Dadurch sind Geräte weniger anfällig für Brute-Force-Angriffe oder Passwortlisten.
  • Regelmässig Software-Updates der Hersteller anwenden: Damit werden Schwachstellen behoben, die eine Infektion ermöglichen.
  • Geräte nicht ans Internet anschliessen, wenn es für ihre Funktion unnötig ist: Sie sollten lieber in ein internes Netzwerk unter einem Gateway-Router gestellt werden, um Angreifern den Zugriff darauf zu verwehren.

Folgende Trend Micro-Lösungen sind zum Schutz vor IoT-bezogenen Bedrohungen empfehlenswert:

Kriminelle Methoden: Das Bulletproof Hosting-Geschäft

Originalartikel von Vladimir Kropotov, Robert McArdle und Fyodor Yarochkin, Trend Micro Research

Viele cyberkriminelle Aktionen zeigen ein gewisses Mass an Organisation, Planung und irgendeine Form der Grundlage, die den technischen Scharfsinn des Einzelnen oder der Gruppe dahinter widerspiegelt. Zum Modus Operandi eines Cyberkriminellen gehört die Nutzung der Untergrundinfrastruktur. In der Reihe „Underground Hosting“ haben die Autoren dargelegt, wie cyberkriminelle Waren in den Marktplätzen verkauft und welche Arten von Dienstleistungen angeboten werden. Dieser letzte Teil der Reihe widmet sich den Methoden, die Kriminelle anwenden, um ihre Güter zu sichern und im Geschäft zu überleben.

Da Infrastruktur-anbietende Plattformen sehr unterschiedlich sind, ist es schwierig, bösartige Quellen aufzudecken.

Das Whitepaper „The Hacker Infrastructure and Underground Hosting: Cybercrime Modi Operandi and OpSec“ beleuchtet das Ökosystem des Bulletproof Hostings aus Sicht der Kriminellen und zeigt deren „Überlebensstrategien“ sowie die Hauptschwächen, die Forschern und den Strafverfolgungsbehörden bei ihrer Arbeit helfen können.

Kriminelle Verkäufer nutzen zum Schutz ihrer Geschäfte unterschiedliche Mechanismen. Die Angebote bei diesen „Geschäften“ sind häufig auf die jeweiligen Wünsche und Forderungen der Kriminellen abgestimmt. Bulletproof-Hosting (BPH)-Services, auch als missbrauchsresistente Dienste bekannt, und in einigen Fällen auch Offshore-Hosting, umfassen in der Regel kompromittierte Assets und Infrastrukturen mit einem hohen Mass an Widerstandsfähigkeit gegen Missbrauch. Die Provider bieten ihren Kunden oft Unterstützung an, indem sie frühzeitige Benachrichtigungen über Missbrauchsanfragen austauschen und sogar Server automatisch in einen anderen IP-Raum verschieben.

Ein Bulletproof Host setzt verschiedene Methoden ein, um die unter seinen Fittichen operierenden Verbrechen aufrechtzuerhalten und Schutz vor den Strafverfolgungsbehörden zu bieten. Die BPH-Dienste tendieren dazu, Ressourcen strategisch global zu verteilen und dabei lokale Vorschriften und geografische Besonderheiten zu berücksichtigen. Eine Darstellung der Merkmale von Bulletproof-Hosting Providern liefert der Originalbeitrag.

Das Hosting auf kompromittierten Assets ist die billigste Variante, mit dem Vorbehalt, dass die Hosts nicht lange überleben. Hosting-Anbieter, die über ihre Rechenzentren und Infrastruktur verfügen, sind für Systeme rentabler, die eine langfristige Verfügbarkeit erfordern.

IP-Adressen, die ein Untergrundforum zwischen Januar und April 2020 genutzt hat

Die Überlebensfähigkeit der Hosts hängt von der Anpassungsfähigkeit der Betreiber ab. Wenn das Geschäft eingestellt wird, können als Reaktion auf Missbrauchsanfragen neue Briefkastenfirmen gegründet werden. Ein Upstream-Provider könnte IP-Bereiche einfach in neue Unternehmen übertragen. Einige Provider verlagern sogar ihren Virtual Private Server (VPS), um es den Strafverfolgungsbehörden zu erschweren, Systeme zu beschlagnahmen. In Verbindung mit Front-End-Reverse-Proxies gewährleisten Hosts auch eine Hochverfügbarkeit der Dienste. Zum Beispiel kann ein Host für einen bestimmten Zeitraum kontinuierlich von einem Standort aus agieren, bevor er aktiv zwischen verschiedenen Ländern hin- und herwechselt.

Die von Kriminellen bevorzugten Standorte nach Ländern, Aktivitäten (auf der Basis des Hosting-Feedbacks von Untergrundakteuren)

Achtung: [Y]es: Untergrund-Akteure erwähnen diesen Standort; [N]o: Untergrund-Akteure raten aktiv von der Nutzung diesem Standort ab; [M]aybe: Untergrund-Akteure erwähnen gelegentlich diesen Standort mit Einschränkungen, etwa die Zielregion

Aufgrund der vielen standortabhängigen Unterschiede bei Beschränkungen und Dienstleistungen kombinieren kriminelle Verkäufer Vorteile, um ihr Geschäftsmodell zu optimieren. Viele der BPH-Anzeigen beschreiben nicht nur die Art des Hostings, sondern auch das Land, in dem sich die Ausrüstung physisch befindet.

Die BPH-Anbieter scheinen auch gut über die regionalen Rechtsvorschriften informiert zu sein und darüber, wie die Strafverfolgungsbehörden reagieren und international zusammenarbeiten. Es ist üblich, dass die Betreiber die Anzahl nützlicher Log-Dateien minimieren und von anonymen Quellen wie Tor-Netzwerken auf das System zugreifen.

Auch gibt es die Möglichkeit, genauso wie in der legalen Welt, im Markt vorhandene Hosting Provider zu vergleichen. Unter anderem fanden die Forscher eine Site, auf der mehr als 1.000 Hostings miteinander verglichen wurden, und zwar nach verschiedenen Fähigkeiten, Kategorien sowie Kundenbeurteilungen.

Kriminelle Ansätze zur Vermeidung von DDoS –Angriffen und Forum Scraping

Untergrundforen sind häufige Ziel von Distributed Denial of Service (DDoS)-Angriffen durch verärgerte Forumsmitglieder und Konkurrenten. Eine Ausfallzeit kann den Ruf eines Forums erheblich beeinträchtigen und folglich dazu führen, dass Mitglieder zu Foren von Konkurrenten wechseln. Der Schutz vor DDoS-Angriffen hingegen erhöht den Ruf eines Forums als stabile Plattform.

Ein über einen DDoS-Schutzservice gesichertes Forum

Forumsbetreiber setzen auch verschiedene Mechanismen gegen automatisiertes Scraping ihrer Inhalte ein. Sicherheitsforscher und Strafverfolgungsbehörden setzten auf Scraping, um die Aktivitäten der Akteure im Untergrund zu analysieren. Einige Foren ermöglichen temporären oder nicht autorisierten Nutzern den Zugriff auf lediglich zehn Seiten innerhalb von 24 Stunden.

Wie legitime Websites verwenden auch kriminelle Foren Captcha-Systeme, um ihre Seiten vor automatischem Scraping und Besuchen durch Suchmaschinen und Bots zu schützen. Einige Underground-Akteure haben sie sich jedoch kreative Ersatzlösungen für Captcha ausgedacht. Sites stellen in der Regel zufällige Fragen zu verschiedenen Anwendungsbereichen – einige davon erfordern Kenntnisse über den kulturellen Hintergrund des Zielpublikums des Forums.

Beispiele der Fragen, die statt Captcha genutzt werden

Der Screenshot zeigt ein Beispiel für ein solches System, das mit einer Kategorie von Fragen zum Allgemeinwissen beginnt, bevor es zu einer Frage geht, die Nicht-Muttersprachler, die sich auf maschinelle Übersetzung verlassen, überfordern könnte.

Traditionelle Sicherheitsdenkweise kann die Cloud-basierte Transformation gefährden

Originalartikel von Gurmail Singh

Cloud Computing verändert Organisationen auf der ganzen Welt und macht sie wendiger, kosteneffizienter und reaktionsfähiger. Doch bleibt Sicherheit ein permanentes Hindernis. Dabei können veraltete Vorstellungen darüber, wie Sicherheit in der Cloud aussehen sollte, den falschen Eindruck erwecken, dass eine Migration von Natur aus risikoreicher sei als die Aufbewahrung von Daten On-Premise. De facto aber gibt es Cloud-fähige Lösungen, die eine ebenso sichere Umgebung wie herkömmliche Lösungen bieten, wenn nicht eine gar noch sichere.

Eine kürzlich von Trend Micro beauftragte Studie für CLOUDSEC Online zeigte etwa für Grossbritannien, dass nahezu die Hälfte (47%) der IT-Leiter ihre Sicherheitsstrategien nicht aktualisiert haben, um auch Cloud-Umgebungen mit einzubeziehen.

Diese Denkweise könnte ernste Probleme nach sich ziehen, weil traditionelle Sicherheitswerkzeuge nicht für die Cloud konzipiert sind. Und das bedeutet, dass ihr Einsatz in diesen Umgebungen gefährliche Sicherheitslücken und Leistungsengpässe verursachen kann. Zu den Herausforderungen gehören die folgenden:

Geteilte Verantwortlichkeiten: Beim Einsatz eines Sicherheitstools, das nicht für die Cloud konzipiert ist, wird der Kunde seinen Anteil der Cloud-Verantwortung nicht wahrnehmen.

Mehrschichtige Sicherheit: Für Unternehmen, die für jede Sicherheitsherausforderung ein anderes Tool verwenden, kann sich deren Management sehr komplex und damit schwierig gestalten – Fehlmanagement und mangelnde Akzeptanz sind die Folgen.

Sichtbarkeit: Ein Schlüsselmanko von traditionellen Tools ist die nicht vorhandene Fähigkeit, Einsichten über physische, virtuelle, Cloud-VM und Container-Umgebungen hinweg zu bieten.

Manuell: Traditionelle Tools sind klobig, nicht automatisiert und erfordern manuelle Eingriffe, was dazu führen kann, dass sich menschliche Fehler einschleichen.

Lizenzierung: Organisationen zahlen unter Umständen mehr als nötig, wenn sie nicht Cloud-Tools mit dynamischer Lizenzierung für Cloud-Nutzungsszenarien (PAYG, auf Stunden-, Monats- oder Jahresbasis je nach Anwendungsfall und Betriebsmodell oder Unternehmensverträge) wählen.

Fehlkonfiguration: Dies ist eine der grössten Gefahren für Cloud-Daten. Falsche Konfigurationen werden nicht erkannt, wenn ein Unternehmen nicht auf Cloud-fähige Sicherheit setzt.

DevSecOps: erfordert straffe Sicherheit, die über APIs in CI/CD-Pipelines eingebaut wird. Dabei könnten traditionelle Werkzeuge zu einem Hindernis für Innovation und schnelle Entwicklung werden.

Multi-Cloud: Diese Umgebungen erfordern die Fähigkeit, alle verschiedenen Sicherheitstools unter einen Hut zu bringen, sprich auf einer Konsole sichtbar, überwachbar und zentral zu kontrollieren.

Fähigkeiten: sind sehr gefragt in der Cybersicherheits-Branche. Leider bringen On-Premise Sicherheitswerkzeuge mehr Komplexität und die Notwendigkeit manueller Bedienung mit sich – das Gegenteil von dem, was Organisationen mit begrenzten internen Sicherheits-Skills heute benötigen.

Was nun?

Die Umfrage zeigte, dass der Mangel an Integration zwischen Sicherheitswerkzeugen für beide Umgebungen für ein Drittel (33 %) der Teilnehmer das grösste Problem in ihrer alltäglichen Arbeit darstellt und gleichzeitig auch das grösste Hindernis für den Einsatz von Cloud-Sicherheit (43 %).

Die Lösung ist eine Plattform, die umfassenden Schutz für physische, virtuelle Cloud- und Container-Umgebungen bietet, einschliesslich von Tools zur Erkennung wichtiger Konfigurationsfehler. Es bedeutet einen hohen Grad an Automatisierung, um die Einhaltung von Compliance zu erleichtern und die betriebliche Effizienz zu verbessern. Trend Micro Cloud One ist ein Beispiel einer solchen Lösung.

Bekämpfung von Bedrohungen wie Ryuk mittels Trend Micro XDR

von Trend Micro

Bedrohungen, die mehrere Ebenen der Infrastruktur einer Firma treffen, sind heutzutage weit verbreitet. Unternehmen setzen für deren Erkennung und Reaktion darauf häufig Sicherheitstools ein, die sich lediglich auf einzelne Bereiche und nicht auf das gesamte System konzentrieren. Einige Unternehmen haben auch Security Information and Event Management (SIEM)-Tools im Einsatz, um die verschiedenen Bedrohungen zu aggregieren. SIEM-Lösungen sind zwar effektiv, doch ist deren Betrieb oft teuer. Darüber hinaus erfordern sie häufig das Sichten grosser Datenmengen für Korrelation und Analyse durch die Security Operation Center (SOCs). Andere Sicherheitslösungen wiederum verfügen zwar über leistungsstarke Erkennungs- und Reaktionsfähigkeiten, doch fehlt ihnen die Telemetrie, die für den Blick über den Tellerrand erforderlich ist. Der Beitrag stellt anhand eines realen Beispiels dar, mit welcher Art der Bedrohungen SOCs fertig werden müssen und welche Art der Sicherheitslösung für das Handling dieser Bedrohungen benötigt wird.

Ryuk: eine heutige Bedrohung

Ryuk gehört zu den auffallendsten Ransomware-Familien der letzten Zeit. Sie verkörpert möglicherweise am besten das neue Paradigma der Ransomware-Angriffe, bei denen böswillige Akteure Qualität vor schiere Quantität stellen.

Oberflächlich betrachtet unterscheidet sich Ryuk kaum von anderen Ransomware-Familien der Vergangenheit. Sie verschlüsselt weiterhin wichtige Dateien, Dokumente und andere sensitive Daten. Doch einen auffallenden Unterschied zu anderen gibt es: Während andere Ransomware wahllos Opfer mit einer wie mit einer Schrotflinte angeht, zielen die Cyberkriminellen mit Ryuk auf ganz bestimmte Unternehmen, von denen sie ein viel höheres Lösegeld verlangen. Da die Akteure häufig hinter äusserst sensiblen Informationen etwa in der Finanzbranche und dem Militär her sind, bleibt den Opferorganisationen oft nichts anderes übrig, als die beträchtliche Lösegeldsumme zu zahlen.

2019 untersuchten Trend MicroManaged XDR and Incident Response-Teams einen Vorfall eines Kunden, der mit Ryuk-Ransomware infiziert war. Diese Infektion umfasste mehrere Ebenen der Kompromittierung, darunter mehrere Endpunkte und das Netzwerk des Unternehmens. In diesem Fall bestand Ryuks Routine aus E-Mails als Infektionsvektor, um zum Endpunkt zu gelangen. Von dort aus verbreitete sie sich auf den Rest des Netzwerks.

Die Infektion begann mit einer bösartigen Spam-Mail, die an einen Mitarbeiter der Organisation geschickt wurde mit einen bösartigen Anhang – ein Downloader für TrickBot -, der sich innerhalb des Netzwerks auf zwei Wegen verbreiten kann: entweder durch den berüchtigten EternalBlue-Exploit (der auch bei den WannaCry-Angriffen von 2017 verwendet wurde) oder durch gestohlene Zugangsdaten.

Im Fall des besagten Kunden nutzte TrickBot nach dem Download ins System angreifbare Router aus und verwendete sie als Command-and-Control (C&C)-Server zum Austausch von Anleitungen. Zudem legte TrickBot Ryuk als Payload ab.

Die TrickBot-Module weisen auch Fähigkeiten für den Informationsdiebstahl auf, so dass die Malware in jeder Opfer-Organisation deren Dateien verschlüsseln und ihre Informationen stehlen  kann. Und das führt zu Schäden, die weit über das hinausgehen, was normale Ransomware-Familien anrichten können.

Hier war Trend Micro Managed XDR in der Lage, die kompromittierten Rechner und die Angriffskette zu identifizieren, indem Daten aus verschiedenen Quellen gesammelt wurden, um so ein klareres Bild davon zu erhalten, womit die Organisation es zu tun hatte.

Trend Micro XDR: auf fortgeschrittene Bedrohungen zugeschnitten

Trend Micro XDR ist darauf ausgerichtet, alle Bedrohungen wie Ryuk mithilfe von Machine Learning und Analytics für die Korrelation verschiedener Vorfälle über mehrere Ebenen hinweg zu bekämpfen. Die XDR-Lösung gibt es entweder als Plattform oder als Managed Service über Trend Micro Managed XDR, die sich den gesamten Wissens- und Erfahrungsschatz der Sicherheitsexperten von Trend Micro zunutze macht, um rund um die Uhr Alarme zu überwachen und Prioritäten zu setzen sowie Recherchen und Suchen nach Bedrohungen durchzuführen.

Die Lösung unterstützt Unternehmen dabei, Strategien zur Erkennung und Reaktion auf Bedrohungen zu implementieren. Die Herausforderungen für Unternehmen bestehen unter anderem in folgenden Punkten:

  • Teure und oft miteinander unvereinbare Sicherheitswerkzeuge, die für die Datenaggregation und -analyse benötigt werden. Ein traditionelles SOC-Setup verwendet mehrere Softwarepakete mit unterschiedlichen Methoden zur Speicherung und Indizierung von Daten – die sich auf verschiedene Teile des Systems konzentrieren. Der Silo-Charakter dieser Tools führt dazu, dass Sicherheitsanalytiker Daten manuell korrelieren müssen, was eine zusätzliche Belastung für ihren Arbeitsablauf darstellt.
  • Endpoint Detection and Response (EDR)-Lösungen, die nicht über die gesamte Telemetrie-Palette verfügen, um den ganzen Umfang eines Angriffs zu erkennen.
  • Die zu lange Zeitspanne, die für Fragen von hoher Priorität aufgewendet wird. Das bedeutet, dass die Stärkung und Verbesserung der Sicherheitsprozesse und der Systeminfrastruktur in den Hintergrund treten.

Durch den Einsatz von maschinellem Lernen, fachkundiger Sicherheitsanalyse und Erkennungsregeln für die Korrelation und Priorisierung von Warnmeldungen kann Trend Micro XDR das SOC einer Organisation dabei unterstützen, den Zeitaufwand für die Überprüfung und Recherche zu verringern und dadurch schnellere Erkennungs- und Reaktionsmöglichkeiten zu schaffen. Es nutzt die von jedem Vektor gesammelten Telemetriedaten, um Sicherheitsanalysten einen vollständigen Einblick in laufende Angriffe zu ermöglichen und gleichzeitig die XDR-Analyse-Engine für eine schnellere und effektivere Reaktionsstrategie bei künftigen Angriffen zu verbessern.

Trend Micro XDR nutzt einen facettenreichen Ansatz, der auf mehreren Ebenen des Systems arbeitet:

E-Mails

Trend Micro Cloud App Security kann den E-Mail Layer schützen durch den Einsatz von maschinellem Lernen für Webreputation und dynamische Analysen. Die Lösung kann verdächtige Inhalte nicht nur im Text sondern auch im Anhang erkennen. Sie bietet Sandbox-Analysen und Exploit-Erkennung für Dokumente.

Endpunkte

Trend Micro Apex One bietet fortschrittliche, automatisierte Erkennung und Abwehr zum Schutz der Endpunkte vor Bedrohungen wie Ransomware und dateilose Malware. Darüber hinaus kann es die von einem Angriff betroffenen Endpunkte mit Hilfe von anpassbaren Untersuchungs- und Überwachungsfunktionen auf Abruf identifizieren.

Netzwerk

Trend Micro Deep Discovery Email Inspector kann das Unternehmensnetzwerk überwachen, einschliesslich allen physischen, virtuellen Verkehrs. Die Lösung liefert mithilfe spezialisierter Erkennungs-Engines und anpassbarer Sandbox-Analyse vollständige Einsichten in alle Aspekte von fortgeschrittenen Bedrohungen.

Cloud

Trend Micro Cloud One – Workload Security schützt Cloud Workloads, Servers und Container vor Bedrohungen in kritischen Anwendungen, Betriebssystemen und Plattformen wie Docker und Kubernetes. Zu den eingesetzten Techniken gehören virtuelles Patching und maschinelles Lernen.

Die Infografik zeigt anhand des Ryuk-Beispiels, wie Trend Micro XDR jede Ebene eines Unternehmens schützt:

Die Weiterentwicklung bösartiger Shell Skripts

Originalartikel von David Fiser, Alfredo Oliveira

Unix-Programmierer nutzen Shell Skripts generell als einfache Möglichkeit mehrere Linux-Befehle aus einer einzigen Datei heraus auszuführen. Viele tun dies als Teil einer gewöhnlichen betrieblichen Workload, bei der Dateien manipuliert, Programme ausgeführt werden und Text gedruckt wird.

Ein Shell-Interpreter steht in jeder Unix-Maschine zur Verfügung und ist daher auch für böswillige Akteure ein interessantes und dynamisches Werkzeug für ihre Zwecke. Trend Micro hat bereits über Payloads berichtet, die über Shell Skripts falsch konfigurierte Redis-Instanzen missbrauchen, Docker-APIs exponieren oder konkurrierende Kryptowährungs-Miner entfernen. Dieser Beitrag stellt dar, wie Cyberkriminelle Shell Skripts verändert haben und wie sie bei der Entwicklung von Malware-Payloads in bösartigen Routinen eingesetzt werden können.

Änderungen an den Befehls- und Programmiertechniken

Die Technik des Missbrauchs von Befehlszeilen-Interpreter ist nicht neu und kommt in der kriminellen Praxis häufig vor. Doch beobachten die Sicherheitsforscher immer weitere Änderungen an den Skritps. Früher waren Shell Skripts eine relativ klare Kombination einfacher Befehle mit klaren Links, die direkt in die Payload eingefügt waren. Doch mit der Weiterentwicklung der Bedrohungen nutzen die Akteure fortgeschrittene Befehls- und Programmiertechniken.

Einfache Text-Links werden durch Base64-kodierten Text ersetzt, wobei es sich bei einigen Code-Teilen um heruntergeladene oder kodierte Payloads handelt. Damit sollen die direkten Payload-Links versteckt, Sicherheitsregeln für die Identifizierung umgangen und die Analyse erschwert werden. Der kodierte Text wird mithilfe von Base64 dekodiert und an einen Bash Shell-Interpreter weitergegeben, der das Skript ausführt.

Bild. Teil der dekodierten Payload

Wurden früher die Befehle unabhängig von dem auf dem Server laufenden Zieldienst ausgeführt, so ist das Skript mittlerweile in der Lage zu prüfen, ob der Dienst läuft oder nicht, und einen Teil der CPU-Zeit für seine Payloads abzuzweigen. Es kann zusammen mit neueren Versionen ausgeführt werden, die ebenfalls mit Base64 kodiert sind, und ist auch in der Lage, Variablen für bestimmte Links ersetzen.

Die Sicherheitsforscher stellten auch eine Änderung bei der Nutzung von Pastebin zum Speichern von Skript-Teilen fest, so etwa bei der URL. Weitere technische Einzelheiten beinhaltet der Originalbeitrag.

Fazit

Böswillige Akteure verbessern und optimieren unablässig ihre Routinen und Techniken, wie z.B. die Fähigkeit, Payloads zu verschleiern und weiterzugeben. Um ihre Gewinne zu maximieren und den verbesserten Erkennungs- und Eindämmungstechnologien zu entgehen, setzen Cyberkriminelle auch bereits für andere Betriebssysteme dokumentierte und entdeckte Techniken ein oder kombinieren sie mit neuen. Während einige der Techniken bereits in zuvor beobachteten Malware-Routinen oder Umgebungen eingesetzt wurden, sind diese für Shell Skripts und Malware-Familien ziemlich neu.

Es ist noch recht früh, um zu erklären, dass diese Techniken ausgefeiltere Linux-Verschleierungen bedeuten. Diese Entwicklung der Shell Skripts, um sie zur Auslieferung von Payloads zu verwenden, sollte zu mehr Vorsicht führen. Darüber hinaus können Forscher davon ausgehen, dass Klartext weniger verbreitet sein wird; sie werden für eine vollständige Analyse mehrere Schichten gleichzeitig entschlüsseln müssen.

Trend Micro-Lösungen

Trend Micro-Lösungen mit XGen™ Security, wie ServerProtect for Linux und Trend Micro Network Defense können zugehörige bösartige Dateien und URLs erkennen und somit die Systeme der Nutzer schützen. Trend Micro Smart Protection Suites und Trend Micro Worry-Free™ Business Security setzen auf Fähigkeiten zur Verhaltensüberwachung und können so zusätzlich gegen diese Arten von Bedrohung schützen.

Aufkommende Ransomware-Techniken für gezielte Angriffe

Originalartikel von Trend Micro

Wie Trend Micro im Halbjahresbericht 2020 darlegt, sagen die Zahlen zur Lösegeldforderung auf den ersten Blick nicht mehr viel aus. Zwar ist die Zahl der Infektionen, der Offenlegungen von Unternehmen und der Ransomware-Familien zurückgegangen, doch der geschätzte Geldbetrag, der für den Zugriff auf die verschlüsselte Daten ausgegeben wurde, ist stetig gestiegen. Cyberkriminelle greifen Institutionen und Unternehmen an, für die der Zugriff auf ihre Daten und die Wiederherstellung ihre Systeme sehr wichtig ist. Deshalb können die Kriminellen exorbitante Lösegeldforderungen stellen.

Bild 1. Die Gesamtzahl der Ransomware-Familien ist von 2012 bis 2020 zurückgegangen (oben). Das zeigen die monatlichen Erkennungszahlen für neue Ransomware-Familien im ersten Halbjahr 2020 (unten).

Die Bedrohungsakteure zielen nicht mehr auf einzelne Benutzer und Maschinen ab, um zufällige Ransomware-Infektionen auszulösen. Deshalb fehlt es in der Öffentlichkeit an Aktualisierungen und Mundpropaganda über deren Verbreitung. Betroffene Unternehmen und Behörden versuchen, Stillschweigen über die Angelegenheit zu bewahren, bis sie intern gelöst ist. Die Öffentlichkeit wird erst dann auf diese Vorfälle aufmerksam gemacht, wenn Nachforschungen angestellt oder wenn Vorfälle schliesslich gemeldet werden. Doch diese Verlautbarungen geben nur wenige Einzelheiten (wenn überhaupt) darüber, wie die Organisationen zu Opfern wurden oder ob dabei Lösegeld gezahlt wurde. Leider bietet die Bezahlung von Cyberkriminellen keine Garantie dafür, dass die Dateien wieder zugänglich werden oder dafür, dass es in Zukunft keine weiteren Angriffe geben kann.

Arten der Ransomware

Wie bereits erwähnt, gibt ein Vergleich der Erkennungszahlen mit denen von 2019 ein nur unvollständiges Bild des Geschehens. Eine Analyse der Techniken und Routinen der früher und derzeit installierten Ransomware macht deutlich, dass die Cyberkriminellen mittlerweile ihre Aufmerksamkeit auf bestimmte Ziele und grössere Geldsummen lenken, die sie von ihren Opfern erpressen können. Diese Ziele sind häufig in Branchen oder Organisationen mit kritischen öffentlichen Geschäftsvorgängen und Infrastrukturen zu finden.

Bedrohungsakteure können immer noch willkürlich Spam-E-Mails an ein Verzeichnis von E-Mail-Adressen senden, um mindestens ein Opfer anzulocken. Doch die jüngsten Angriffe sind gezielter, und die Opfer wurden vorher ausgekundschaftet, um einen grösstmöglichen Gewinn zu erzielen. Im Laufe der Jahre haben die Forscher drei verschiedene Arten von Ransomware beobachtet mit verschiedenen Routinen für das Eindringen in die Systeme der Opfer.

Wurm-basierte oder Legacy Ransomware

Wurm-basierte Ransomware verbreitet sich ähnlich den Würmern über replizierte Kopien ihrer selbst durch Systeme. Legacy Ransomware nutzt den eingestellten Support für Betriebssysteme aus. Sie setzen auf Schwachstellen als Einstiegspunkte und beeinträchtigen andere Systeme im Netzwerk auch ohne menschliche Interaktion. Einige dieser Bedrohungsvektoren lassen sich verhindern, wenn von den Herstellern veröffentlichte Patches aufgespielt oder die virtuellen Patches von Sicherheitsanbietern heruntergeladen werden, wenn der Support für ein Betriebssystem endet.

Ransomware-Routinen, die Zero-Day-Schwachstellen ausnutzen, können jedoch den grössten Schaden in Systemen anrichten. Ein Beispiel dafür ist WannaCry, das 2017 eingeführt wurde, Monate nachdem die Gruppe Cyberkrimineller Shadow Brokers mehrere Hacker-Tools veröffentlichte, darunter EternalBlue. Die Ransomware verbreitete sich rasch in Unternehmen auf der ganzen Welt und hielt Systeme als Geiseln und deren Betrieb im Stillstand, bis Forscher den Kill Switch in der Kodierung der Routine fanden.

Gängige Ransomware

Diese Art von Ransomware wird über Spam verbreitet. Cyberkriminelle kennen die Opfer nicht und senden die infizierten E-Mails einfach an eine Liste von Adressen, die sie gesammelt, gestohlen oder gekauft haben. Sie setzen Social Engineering-Techniken ein, um die Opfer zu täuschen, so dass diese die E-Mail oder den bösartigen Anhang öffnen und so ihre Systeme mit Lösegeldern infizieren.

Bei den meisten dieser Routinen verschlüsselt die Malware fast alle Arten von Dateien, die sich in einem System befinden können, wie z. B. Mediendateien, Dokumente, ausführbare Dateien und Anwendungen. Zu diesen Routinen gehört vermutlich auch eine Datei oder eine ausführbare Datei, in der die Höhe des Lösegeldes angegeben ist, sowie Support-Anweisungen, wie die Opfer Kryptowährungen erwerben können, um ihre Dateien wiederherzustellen. Dennoch gibt es keine Garantie dafür, dass ihnen der Entschlüsselungsschlüssel zugesandt wird oder dass ihre Dateien nach Zahlung des Lösegelds wiederhergestellt werden.

20162017201820192020 1H
LOCKY82,805WCRY321,814WCRY616,399WCRY416,215WCRY109,838
KOVTER50,390CERBER40,493GANDCRAB14,623LOCKY7,917LOCKEY6,967
NEMUCOD46,276LOCKY29,436LOCKY10,346CERBER5,556CERBER2,360
CERBER40,788CRYSIS10,573CERBER8,786GANDCRAB4,050CRYSIS1,100
CRYPTESLA26,172SPORA8,044CRYSIS2,897RYUK3,544SODINOKIBI727

Tabelle 1. Top fünf Ransomware-Familien von 2016 bis zum ersten Halbjahr 2020 (Daten aus dem Smart Protection Network, SPN)

Lesen Sie die Historie dieser Familien im Originalartikel.

Solch gängige Ransomware ist mittlerweile ein geringeres Problem für Unternehmen. Viele heute verfügbare Sicherheitssysteme und auch veröffentlichte Patches umfassen Mechanismen, die über verhaltensbasierte und Dateiüberwachungs-Technologien die Malware erkennen.

Gezielte oder auf Einbrüchen basierte Ransomware

Gezielte oder auf einem Einbruch basierte Ransomware beinhaltet die Techniken in Routinen, die in den letzten Jahren eingesetzt wurden. Diese Art von Ransomware dringt in ein System mittels z.B. gestohlener RDPs ein, über nicht gepatchte Schwachstellen und schlecht gesicherte Anwendungen. Von Untergrund-Websites können Cyberkriminelle Zugangsdaten wie RDP-Benutzernamen und Passwörter erwerben. Sie können auch Social-Engineering-Techniken einsetzen, um die benötigten Zugangsdaten zu phishen, oder die Zielcomputer mit Malware wie InfoStealer infizieren, um die Bedrohungsvektoren zu finden, die sie missbrauchen können.

Cyberkriminelle nutzen die genannten Zugangsdaten auch, um in die Systeme eines Unternehmens einzubrechen. Manchmal wird dies mit einer Eskalation der Privilegien, Tools oder Methoden kombiniert, die die installierte Sicherheit ausschalten. Im Fall des Vorhandenseins von technologisch fortschrittlicheren Systeme, wie z.B. Verhaltens-/Dateierkennung, ist Living Off the Land Binaries and Scripts (LOLBAS) eine Möglichkeit, der Erkennung beim Ausführen von Ransomware zu entgehen.

Auch hier fügen die Kriminellen Anleitungen in die Lösegeldforderung mit ein, wie das Opfer Bitcoins erwerben kann. Da die Erpresser ihre Ziele kennen, ist die Forderung häufig höher als bei den gängigen Ransomware-Angriffen. Sie setzen darauf, dass die Unternehmen ihre Dateien bzw. Systeme sofort wieder nutzen müssen. Cyberkriminelle können auch Fristen setzen, damit die Sicherheitsteams die Infektion vor Ablauf der Zeit unmöglich allein beheben können und deswegen das Opferunternehmen gezwungen ist zu zahlen. Mittlerweile drohen einige Cyberkriminelle ihren Opfern auch, die verschlüsselten Dateien zu veröffentlichen oder  die gestohlenen Informationen im Untergrund zu verkaufen, sollte das Lösegeld nicht rechtzeitig bezahlt werden.

Bei dieser Art der Ransomware-Angriffe werden nicht alle Dateien verschlüsselt, sondern eher bestimmte Dateitypen oder Anwendungen, die für den Alltagsgeschäftsbetrieb unerlässlich sind, so etwa Systemdateien und ausführbare Dateien. Auch hier gibt es keine Garantie, dass die Dateien wieder verwendbar sind, wenn das Opfer zahlt. Auch besteht die Gefahr, dass die Kriminellen weitere Arten von Malware installieren, die nicht auffindbar ist und für weitere Angriffe genutzt wird.

Zu den Zielen gehören auch mittelständische Betriebe wie Krankenhäuser, die als einträglich angesehen werden, weil ihre Sicherheitssysteme weniger fortschrittlich sein könnten und sie dennoch über genügend Ressourcen verfügen, um das Lösegeld zu bezahlen.

Im Jahr 2016 begannen Crysis und Dharma als gängige Arten von Ransomware. Die Techniken beider Routinen änderten sich jedoch schnell, um höher bezahlte potenzielle Opfer durch den Einsatz anderer Software und gestohlener RDPs anzugreifen. Dharma zeigte, wie vielseitig Ransomware sein kann, denn die Malware passte ihre Routinen an und nutzte andere legitime Software, um die Überwachung und Aufmerksamkeit umzulenken. Crysis wiederum nahm Unternehmen ins Visier und erlangte selbst nach der Entfernung der Malware wieder Zugang,  indem sie andere angeschlossene Geräte wie Drucker und Router für spätere Angriffe infizierte. Sie wurde als RaaS im Untergrund angeboten und war damit auch weiteren Hackern leicht zugänglich.

Charakteristiken neuer Techniken und Ziele

Diese Ransomware-Techniken des Eindringens in Systeme gezielter Opfern sind nicht neu. Unternehmen und Institutionen mit kritischer Infrastruktur gelten als hochwertige Ziele Da zudem im Untergrund mehr gestohlene Daten wie RDP-Zugangsdaten angeboten werden, können sich riskante Online-Gewohnheiten (wie das Recycling von Benutzernamen und Passwörtern) nicht nur für einzelne Benutzer, sondern auch für ein ganzes Unternehmen als schädlich erweisen.

Bild 2. Die wichtigsten Zielbranchen auf der Grundlage der Ransomware-Erkennung für 1H 2020 (Daten aus dem Trend Micro Smart Protection Network)

Die Ransomware-Routinen sind nun in der Lage, mit fortgeschrittenen Verschleierungstechniken ihre Erkennung zu vermeiden. Auch können sie über die Beschränkung auf nur wenige und bestimmte Dateitypen manche Sicherheitssysteme umgehen, vor allem solche ohne Monitoring von Dateien und Verhalten. So erlauben es die Routinen der Ransomware  Ryuk, das Netzwerk zu infizieren und dann durch laterale Bewegung nach Systemen zu suchen, die den grössten Gewinn versprechen.

Ransomware-Trends

Die Sicherheitsforscher gehen davon aus, dass die eingesetzten Routinen bezüglich ihrer Installation und Verschleierungstechniken komplexer werden und noch mehr Unternehmen und Behörden ins Visier nehmen.

Ebenso werden auch weiterhin mehr Regierungsbehörden und Grossunternehmen mit ihren Assets und nach aussen gerichteten Systeme zum Ziel werden. Von Websites, Anwendungen, E-Mails, Dateien und zentralisierten Kontrollsystemen bis hin zu firmeneigenen Geschäfts- und vertraulichen Sicherheitsinformationen könnten Kunden und Mitarbeiter gleichermassen gefährdet sein.

Auch das Industrial Internet of Things (IIoT) und Industrial Control Systems (ICS) könnten profitable Ziele darstellen. Produktionslinien und Lieferketten dienen als Ziele und Bedrohungsvektoren, und Störungen in diesen automatisierten Sektoren könnten sich nicht nur für das Unternehmen, sondern auch für die Wirtschaft und den Ruf eines Landes als katastrophal erweisen.

Fazit

Es gibt einige Best Practices, die Einzelpersonen, Unternehmen und Institutionen zu ihrem Schutz beachten sollten:

  • Gute Passwort-Strategie verwenden: Keine Benutzernamen und Passwörter für die Online-Konten und –Geräte wiederverwenden sowie die Standard-Anmeldedaten für alle Geräte ändern.
  • Netzwerksegmentierung einführen: Unternehmen sollten das Prinzip der geringsten Privilegien umsetzen und den Zugriff auf wichtige Daten und Systemverwaltungswerkzeuge einschränken.
  • Überprüfen der RDP-Servereinstellungen: Sie müssen regelmässig überwacht und aktualisiert werden. Empfehlenswert ist auch der Einsatz eines Brute-Force-Schutzsystems für RDP-Server sowie die stetige Aktualisierung der Anzahl der Benutzer und Konten mit RDP-Zugriff. Benutzer mit RDP-Zugriff müssen komplizierte und sichere Passwörter verwenden, die regelmässig geändert werden.
  • Überwachen der nach aussen gerichteten Server: IT-Teams sollten gewährleisten, dass die Patch-Zeitpläne eingehalten werden. Bei Implementierungsschwierigkeiten sind virtuelle Patching-Lösungen ein bewährtes Schutzmittel.
  • Aufbewahren der Sicherheitskopien von wichtigen Informationen: Mit der 3-2-1-Methode werden drei Sicherungskopien in mindestens zwei verschiedenen Formaten aufbewahrt, von denen eine separat und ausserhalb des Standorts lagert.
  • Ungeprüfte und verdächtige E-Mails und eingebettete Links nicht öffnen: Ist der Absender unbekannt, und sind die Nachricht und ihre Anhänge nicht verifiziert, so sollte die Nachricht gelöscht und/oder melden die E-Mail sofort an das Sicherheitsteam gemeldet werden.
  • Konsequentes Patchen und Aktualisieren der Systeme, Netzwerke, Software, Geräte, Server und Anwendungen: Sobald die Hersteller Patches oder Updates veröffentlichen, sollten diese angewendet werden, um zu verhindern, dass Schwachstellen offen bleiben, die von Bedrohungsakteuren ausgenutzt werden können.
  • Auf keine Lösegeldforderungen eingehen: Die Bezahlung ermutigt Cyberkriminellen nur, ihre Aktivitäten fortzusetzen. Es gibt auch keine Garantie dafür, dass verschlüsselte Daten abgerufen oder nicht gestohlen werden oder dass es nicht zu anderen späteren Angriffen kommt.

Trend Micro-Lösungen

Ein mehrschichtiger Ansatz kann Ransomware davon abhalten, Netzwerke und Systeme zu erreichen. Unternehmen sollten ihre gesamte IT-Infrastruktur vor Malware und Einbrüchen schützen. Mittelständler können den Schutz von Trend Micro™ Worry-Free™ Services Advanced, und für Heimanwender bietet Trend Micro Internet Security funktionsreichen Schutz für bis zu zehn Geräten. Trend Micro Ransomware File Decryptor Tool kann Dateien entschlüsseln, die von bestimmten Ransomware-Varianten verschlüsselt wurden.

Unternehmenssicherheit in Gefahr durch das neue flexible Arbeiten

von Trend Micro

COVID-19 hat die Welt in den letzten Monaten auf verschiedene Weise verändert, am deutlichsten jedoch ist der schnelle Wechsel zu Remote Working infolge der durch Regierungen verhängten Lockdown-Massnahmen zu beobachten gewesen. Trend Micro hat im Rahmen einer Umfrage die Gewohnheiten von Arbeitnehmern im Homeoffice während der Pandemie untersucht. Offiziellen Zahlen des Bitkom zufolge arbeitete infolge der Corona-Pandemie jeder zweite Berufstätige (49%) ganz oder zumindest teilweise im Homeoffice. Obwohl dies zur Unterstützung der Produktivität unter aussergewöhnlichen Umständen unerlässlich war, droht es auch, Organisationen neuen Cybersicherheitsrisiken auszusetzen.

Das Problem mit dem Smart Home

Für den Bericht „Head in the Clouds“ wurden mehr als 13.000 Remote-Mitarbeiter in 27 Ländern weltweit (davon 504 in Deutschland) befragt. Obwohl viele vorgeben, Cybersicherheit heute ernster zu nehmen, ist die Wahrheit etwas anders geartet. Eines der Hauptrisiken, laut Studienergebnissen, entsteht durch Smart Home-Systeme.

Smart Home-Geräte sind heutzutage allgegenwärtig – von Smart TVs und Home Sicherheitssysteme bis zu vernetzten Lautsprechern und Wasserkochern. Sie sind darauf zugeschnitten, den Alltag einfacher, sicherer und produktiver zu gestalten. Doch hat eine Studie der Postbank 2019 gezeigt, dass nahezu jeder Dritte deutsche Haushalt einen digitalen Sprachassistenten nutzt.

Diese Gadgets weisen bekanntermassen Schwachstellen auf, wie z.B. Firmware-Fehler und werkseitig voreingestellte Logins, die leicht zu knacken sind. Bot-Angriffe wie Mirai und seine Nachfolger haben diese Schwächen sehr erfolgreich ausgenutzt, insbesondere bei Produkten weniger bekannter Marken.

Doch über das blosse Kompromittieren und Einbinden eines anfälligen Geräts in ein Botnet hinaus gibt es potenziell noch ausgefeiltere Möglichkeiten für funktionierende Angriffe. Die Studienautoren fanden heraus, dass mehr als die Hälfte 62% der Remote-Mitarbeiter in Deutschland IoT-Geräte besitzen, die mit dem Home-Netzwerk verbunden sind, wobei 7% weniger bekannte Marken einsetzen. Diese Geräte könnten theoretisch gekapert werden, um einem Angreifer Zugang zu einem Heimnetzwerk zu verschaffen. Und dann ist es nur ein kurzer Weg bis ins Firmennetzwerk, über Laptops oder PCs, die ebenfalls miteinander vernetzt sein können.

Unternehmen unter Beschuss

Ein Angriff auf ein Unternehmen stellt für die Akteure nicht unbedingt eine einfache Aufgabe dar, doch wird sie erleichtert, wenn Laptops und andere Geräte mit Unternehmenszugriff schlecht gesichert sind. Zwei Fünftel (45%) der deutschen Studienteilnehmer erklärten, dass sie von persönlichen Geräten aus auf Unternehmensdaten zugreifen. Diese Geräte sind häufig weniger gut geschützt als die im Unternehmen: So erklärten 52% der Remote-Mitarbeiter kein aktives Passwort für ihr Geräte zu nutzen.

Des Weiteren greifen 65% der Remote-Mitarbeiter von ihrem Arbeits-Laptop auf das Heimnetzwerk zu. Diese sollten zwar sicherer sein, aber es gibt keine Garantie dafür, vor allem, wenn Manager sie schnell ausgeben, ohne dass die IT-Abteilung Zeit hat zu prüfen, ob AV vorinstalliert ist. Nicht alle IT-Sicherheitsfunktionen sind in der Lage, solche Geräte aus der Ferne zu verwalten. Eine kürzlich veröffentlichte Studie liefert beunruhigende Zahlen: 93% der Unternehmen weltweit haben derzeit Sicherheitsaufgaben verschoben, so etwa Patching während der Pandemie.

All dies geschieht zu einer Zeit, in der Cyberkriminelle es auf abgelenkte Remote-Mitarbeiter als potenziell schwaches Glied in der Cybersicherheitskette von Unternehmen abgesehen haben. Im Mai sah sich das National Cyber Security Centre (NCSC) gezwungen, ein Adisvory nicht nur bezüglich Phishing-Angriffen unter dem COVID-Thema, sondern auch für Angriffe auf Remote-Access-Infrastrukturen herauszugeben.

Was nun?

So vorhersehbar es auch klingt, die Antwort liegt in dem bewährten Trio aus Menschen, Verfahren und Technologie. Als erstes geht es um die Menschen, die ein verbessertes Awareness-Training erhalten müssen. Dieses sollte auf verschiedene Persönlichkeitstypen zugeschnitten sein, um die Wirksamkeit zu maximieren.

Als Nächstes sollten sich Unternehmen auf die Neugestaltung und Durchsetzung von Sicherheitsrichtlinien und -prozessen konzentrieren, um der neuen Realität der Heimarbeit Rechnung zu tragen und sicherzustellen, dass die Mitarbeiter sich an die Vorschriften halten. Sie müssen die Bedrohung, die von intelligenten Heimnetzwerken und persönlichen Geräten ausgeht, kennen und wissen, wie sie diese mindern können, z.B. durch Isolierung von IoT-Geräten in Gastnetzwerken.

Schliesslich sollten Organisationen sicherstellen, dass alle Endpunkte und Heimnetzwerke der Mitarbeiter angemessen geschützt sind. Cloud-basierte Tools können einen Grossteil der Arbeit leisten, um Kosten zu minimieren und den Verwaltungsaufwand für überlastete IT-Teams zu verringern.

Der Lebenszyklus eines kompromittierten (Cloud) Servers

Originalbeitrag von Bob McArdle

Trend Micro Research hat ein breit angelegtes Forschungsprojekt zum cyberkriminellen Hosting und zur Infrastruktur im Untergrund durchgeführt. Ein erster Report dazu beschäftigte sich mit dem Angebot von Hacker-Infrastrukturen im Untergrund. In dem aktuellen zweiten Teil geht es um den Lebenszyklus von kompromittierten Servern und den verschiedenen Phasen, um daraus Gewinn zu schlagen. Es gilt dabei zu beachten, dass es für Kriminelle keine Rolle spielt, ob der Server On-Premise oder in der Cloud betrieben wird.

Cloud- versus On-Premise-Server

Cyberkriminellen ist es gleichgültig, wo sich die Server befinden. Sie können den Speicherplatz und die Rechenressourcen ausnutzen oder Daten stehlen, egal auf welche Art von Server sie zugreifen. Alles, was am meisten exponiert ist, wird höchstwahrscheinlich missbraucht.

Mit fortschreitender digitalen Transformation und zunehmendem Arbeiten von zuhause werden Cloud-Server am wahrscheinlichsten Bedrohungen ausgesetzt. Leider sind viele IT-Teams in Unternehmen nicht darauf eingerichtet, für die Cloud denselben Schutz zu bieten wie für On-Premise-Server.

Die Forscher betonen, dass dieses Szenario nur für Cloud-Instanzen gilt, die die Speicher- oder Verarbeitungsleistung eines lokalen Servers replizieren. Container oder serverlose Funktionen fallen nicht der gleichen Art von Kompromittierung zum Opfer. Wenn der Angreifer das Cloud-Konto kompromittiert – im Gegensatz zu einer einzelnen laufenden Instanz – entsteht ein völlig anderer Angriffszyklus, da die Angreifer Rechenressourcen nach Belieben in Anspruch nehmen können. Obwohl dies möglich ist, liegt der Fokus der Erforschung nicht darauf.

Alarmsignale für einen Angriff

Viele IT- und Sicherheitsteams suchen möglicherweise nicht nach früheren Stadien des Missbrauchs. Bevor Server jedoch von Ransomware betroffen sind, gibt es andere Alarmsignale, die die Teams auf die Bedrohung aufmerksam machen könnten.

Wenn ein Server kompromittiert und für Kryptowährungs-Mining (auch als Kryptomining bekannt) verwendet wird, kann dies eine der grössten Alarmsignale für das Sicherheitsteam sein. Die Entdeckung von Cryptomining Malware, die auf irgendeinem Server läuft, sollte dazu führen, dass das Unternehmen unverzüglich Massnahmen ergreift und eine Reaktion auf den Vorfall (Incident Response) einleitet, um diesen Server zu sperren.

Dieser Indicator of Compromise (IOC) ist wichtig, denn obwohl Cryptomining-Malware im Vergleich zu anderen Malware-Typen häufig als weniger schwerwiegend angesehen wird, dient sie auch als Taktik zum Geld machen. Sie kann im Hintergrund laufen, während der Serverzugriff für weitere bösartige Aktivitäten verkauft wird. Beispielsweise könnte der Zugang für die Nutzung als Server für unterirdisches Hosting verkauft werden. Gleichzeitig könnten die Daten exfiltriert und als persönlich identifizierbare Informationen (PII) oder für Industriespionage verkauft werden, auch könnten sie für einen gezielten Ransomware-Angriff verscherbelt werden. Dieses Szenario nutzen zumindest einige Access-as-a-Service (AaaS)-Kriminelle als Teil ihres Geschäftsmodells.

Lebenszyklus eines Angriffs

Attacken auf kompromittierte Server folgen einem allgemeinen Muster:

  • Ursprüngliche Kompromittierung: In dieser Phase ist es klar, dass ein Krimineller den Server übernommen hat.
  • Asset-Kategorisierung: Dies ist die Phase der Bestandsaufnahme. Der Kriminelle nimmt seine Einschätzung anhand von Fragen vor, wie etwa: Welche Daten befinden sich auf diesem Server? Besteht die Möglichkeit einer lateralen Bewegung zu etwas Lukrativerem? Wer ist das Opfer?
  • Exfiltrierung sensibler Daten: Der Kriminelle stiehlt unter anderem Unternehmens-E-Mails, Client-Datenbanken und vertrauliche Dokumente. Dies kann jederzeit nach der Kategorisierungsphase passieren, wenn der Angreifer etwas Wertvolles entdeckt hat.
  • Kryptowährungs-Mining: Während der Angreifer einen Kunden für den Serverraum, einen Zielangriff oder andere Mittel zur Geldgewinnung sucht, wird Cryptomining eingesetzt, um im Verborgenen Geld zu verdienen.
  • Wiederverkauf oder Nutzung für gezielte Angriffe mit dem Ziel, mehr Geld zu verdienen: Abhängig davon, was der Kriminelle bei der Kategorisierung der Assets findet, könnte er seinen eigenen gezielten Ransomware-Angriff planen, den Serverzugang für Wirtschaftsspionage oder für weitere Zwecke verkaufen.

Der Lebenszyklus eines kompromittierten Servers bezüglich der Möglichkeiten Gewinn daraus zu ziehen

Häufig ist der Einsatz gezielter Ransomware die letzte Phase. In den meisten Fällen zeigt die Kategorisierung der Assets Daten auf, die zwar für das Unternehmen wertvoll sind, die sich jedoch nicht unbedingt für Spionage eignen.

Ein tiefgreifendes Verständnis der Server und des Netzwerks ermöglicht es Kriminellen hinter einem gezielten Ransomware-Angriff, das Unternehmen dort zu treffen, wo es am meisten schmerzt. Diese Kriminellen kennen den Datenbestand, wissen, wo sie sich befinden, ob es Backups der Daten gibt und vieles mehr. Mit einer so detaillierten Blaupause der Organisation können sie kritische Systeme abriegeln und ein höheres Lösegeld fordern. Das zeigt auch der Halbjahresbericht 2020 von Trend Micro.

Darüber hinaus hat zwar ein Ransomware-Angriff die sichtbare Dringlichkeit für die Abwehr, aber derselbe Angriff könnte auch darauf hinweisen, dass etwas weitaus Schwerwiegenderes wahrscheinlich bereits stattgefunden hat: der Diebstahl von Unternehmensdaten, und dies ist bei der Reaktionsplanung des Unternehmens zu berücksichtigen. Noch wichtiger ist, dass sobald ein IOC für Krypto-Währung gefunden wurde, das Unternehmen in der Lage ist, den Angreifer sofort zu stoppen, um später erhebliche Zeit und Kosten zu sparen.

Letztendlich ist die Sicherheit der Hybrid-Cloud von entscheidender Bedeutung, um diesen Lebenszyklus zu verhindern, unabhängig davon, wo die Daten eines Unternehmens gespeichert sind.

Grundlagen der Sicherheit für Kubernetes Cluster

Originalbeitrag von Magno Logan, Trend Micro Research

Obwohl Kubernetes noch nicht sehr lange verfügbar ist, steht die Plattform bereits auf Platz drei bei den bei Entwicklern beliebtesten Produkten. Umso wichtiger ist das Wissen darum, wie die Sicherheit von Kubernetes, und in diesem Fall von Clustern, gewährleistet werden kann. Ein früherer Beitrag beinhaltete bereits einen Überblick über die Sicherheit für die 4 Cs (Cloud, Cluster, Container and Code) in Cloud-nativen Systemen. Jetzt geht es um die Darstellung der Massnahmen für die Sicherheit des Master-Knoten, API-Servers, etcd und für Netzwerk-Policies.

Betreibt ein Unternehmen seine Cluster als Managed Services wie etwa Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (Amazon EKS) oder Google Kubernetes Engine (GKE), so muss der Cloud-Anbieter die Kontrolle über die Sicherheit übernehmen. Dennoch ist ein besseres Verständnis der verfügbaren Sicherheitsoptionen hilfreich, um sicherzustellen, dass der Cloud-Anbieter die empfohlenen Best Practices befolgt. Betreibt eine Organisation ihre eigenen Control Planes, ist das tiefgreifende Wissen zur Sicherheit noch wichtiger.

Das Control Plane

Das Kubernetes Control Plane fungiert als Hauptknoten im Cluster und verwaltet die Worker Nodes. Damit geht es um das Gehirn, das dieses komplexe System in einem guten Zustand und am Laufen hält.

Bild 1. Skizze eines Kubernetes Clusters und dessen Komponenten (Quelle: Kubernetes.io)

Die Abbildung zeigt, dass die Hauptkomponenten für den Cluster im Control Plane sitzen und dass die gesamte Kommunikation über den kube API-Server (kube-apiserver) läuft, der letztendlich ein REST API ist, das alle Management- und Betriebsfunktionen definiert und kontrolliert. Böswillige Akteure bemühen sich um Zugriff auf den kube-apiserver und das Control Plane. Sobald diese kompromittiert sind, können sie den gesamten Cluster kompromittieren, indem sie die Pods (in denen die Container platziert sind) manipulieren, neue aufsetzen, bereits laufende bearbeiten oder sogar ganz entfernen.

Eine der grundlegenden Massnahmen zur Sicherung des Control Plane ist die Integritätsüberwachung der kritischen Kubernetes-Dateien. Auf diese Weise kommt sofort über jede Änderung der Konfiguration eine Benachrichtigung. Aus Sicht der Kubernetes-Sicherheit sind kritische Dateien diejenigen, die den gesamten Cluster beeinträchtigen können, wenn sie kompromittiert werden. Eine Liste der wichtigsten Dateien und Verzeichnisse, die das Team ständig überwachen muss, zusammen mit den empfohlenen Ownership- und Berechtigungsebenen sind in der neuesten CIS Kubernetes Benchmark v1.5.1 detailliert aufgeführt. Bei den meisten dieser Werte handelt es sich um die Standardwerte der Kubernetes-Installation. Eine Tabelle ist im Originalbeitrag aufgeführt.

Der API Server

Den API-Server der Öffentlichkeit zugänglich zu machen, ist ein kritischer Fehler, den immer noch viele machen, und es ist der häufigste Einstiegspunkt für Angreifer, die darüber den Cluster übernehmen können. Viele Angreifer und Bots suchen im Internet ständig nach offen zugänglichen Kubernetes-API-Servern.

Der einfachste Test, um festzustellen, ob der Server im Internet zugänglich ist, besteht darin, den API-Server von einer externen IP aus zu treffen. Hier hilft eine curl-Anfrage oder https://my-control-plane-ip:6443/api. Gibt es eine Antwort auf die Anfrage, so ist das API öffentlich erreichbar. In einem solchen Fall gibt es mehrere Möglichkeiten einen Fix aufzubringen, je nachdem wie der Zugriff auf das API erfolgt. Die beste und sicherste Option ist die folgende:

Entwickler sollten das Cluster API nur über das interne Netzwerk (oder Unternehmens-VPN) erreichen können. Dies lässt sich leicht erreichen, indem die entsprechenden Regeln für die Firewall oder Sicherheitsgruppen (im Fall von AWS) festgelegt werden. Hier muss allerdings darauf geachtet werden, dass in einer Notfallsituation, in der der Cluster-Administrator keinen sofortigen Zugriff auf den Firmen-Laptop oder ein VPN hat, der Zugriff auf den Cluster durch eine sichere Auflistung der IP des Cluster-Administrators gewährleistet ist, vorzugsweise auf den spezifischen API-Port.

Der Zugang auf den Cluster auf GKE lässt sich auch über die Einstellungen des Master Authorized Networks einschränken. Damit entsteht eine weitere Schutzebene für den Fall, dass jemand die Firewall-Regeln manipulieren kann. Der folgende Befehl tut dies:

gcloud container clusters create –enable-master-authorized-networks –master-authorized-networks=CIDR

Des Weiteren kann der Admin prüfen, ob der kube-apiserver die empfohlenen Sicherheitseinstellungen aufweist:

ps -ef | grep kube-apiserver

Weitere Informationen dazu umfasst der Originalbeitrag.

RBAC-Autorisierung

Mit RBAC lässt sich festlegen, wer worauf in dem Cluster zugreifen kann. Die Aktivierung der Autorisierung für RBAC im Cluster wird dringend empfohlen, insbesondere für die Produktion. Zudem kann allen Benutzern der Zugriff auf den Kube-System-Namensraum untersagt werden, wo sich alle Pods des Control Planes befinden.

Das RBAC-Autorisierungsmodul ist in den neuesten Versionen standardmässig aktiviert. Es müssen lediglich die geeigneten Rollen festgelegt und diese bestimmten Nutzern zugewiesen werden. Doch können böswillige Nutzer RBAC deaktivieren. Dies lässt sich mit demselben Befehl überprüfen, der für den Check der Kube API Serverkonfigurationen genutzt wird:

ps -ef | grep kube-apiserver

Beim Einsatz der RBAC-Autorisierung lassen sich vier Arten von API-Objekten nutzen:

  • Role: enthält Regeln, die einen Berechtigungssatz innerhalb eines Namensraums repräsentieren.
  • RoleBinding: vergibt Berechtigungen einer Role an einen oder mehrere Nutzer.
  • ClusterRole: enthält Regeln, die einen Berechtigungssatz auf Cluster-Ebene repräsentieren.
  • ClusterRoleBinding: vergibt Berechtigungen für Nutzer auf ClusterRole-Ebene.

Bild 2. Bezug der Nutzer zu Roles über RoleBindings beziehungsweise von ClusterRoles zu ClusterRoleBindings

Weitere technische Einzelheiten beinhaltet der Originalbeitrag sowie die offizielle Dokumentation.

etcd

etcd ist der Hauptspeicherort für Daten im Cluster. Alle Clusterobjekte werden hier vorgehalten. Er ist hierarchisch aufgebaut und standardisiert, daher nutzen Kubernetes-Installationen etcd für das Speichern von REST API Objekten sowie für Installationskonfigurationen. Wird etcd exponiert, so könnten kritische Daten verloren gehen. Leider kommen Fehlkonfigurationen häufig vor, wie 2.600 exponierte etcd-Services auf Shodan in diesem Jahr zeigen.

Wie bei jedem Datenspeichersystem sollten die gleichen Sicherheitsprinzipien auf etcd angewandt werden. Sowohl die Verschlüsselung im Transit als auch At-Rest sollte vorhanden sein. Derzeitige Kubernetes Standardinstallationen beinhalten bereits die geeigneten Schlüssel und Zertifikate sowie TLS-Verschlüsselung (siehe CIS Kubernetes Benchmark).

Gelingt es einem Angreifer auf irgendeine Weise, den API-Server zu umgehen und Objekte direkt in etcd zu manipulieren, so wäre es, als hätte er vollen Zugriff auf den gesamten Cluster. Er könnte Pods erstellen, Geheimnisse lesen und sensible Daten wie Anmeldeinformationen einsehen. Um dies zu verhindern, müsste nicht nur die Verschlüsselung während der Übertragung aktiviert sein, sondern auch die Verschlüsselung im Ruhezustand (At-Rest).

Das Netzwerk

Standardmässig können alle Pods in einem Cluster mit jedem anderen Pod auf demselben Cluster kommunizieren, einschliesslich Pods aus verschiedenen Namensräumen, und dies schliesst den Hauptnamensraum des Kube-Systems ein, in dem das Control Plane untergebracht ist. So legt es die Netzwerk-Policy fest, die bei der Kubernetes-Installation konfiguriert wird.

Eine Netzwerk-Policy definiert, wie Gruppen von Pods miteinander und mit anderen Netzwerkendpunkten kommunizieren. NetworkPolicy-API-Ressourcen verwenden Labels, um Pods auszuwählen und Regeln zu definieren, die angeben, welche Art von Datenverkehr für die ausgewählten Pods zulässig ist. Diese Richtlinien können helfen, den Zugriff zwischen Pods oder Namespaces einzuschränken. Der gesamte Zugriff kann über Labels in YAML-Dateien konfiguriert werden, so dass z.B. der Zugriff von Pods auf andere Pods im Namensraum des kube-Systems blockiert werden kann.

Hinweis: Es bedarf einer Netzwerklösung oder eines Container Network Interface (CNI), das das NetworkPolicy-Objekt unterstützt. Andernfalls hat dies keine Auswirkungen auf den Cluster.

Für alle aufgeführten Punkte gibt der Originalbeitrag weitere technische Informationen, und auch eine Kubernetes Security Liste auf GitHub bietet Blogs, Artikel, Tools und Videos zum Thema. In einem weiteren Beitrag werden sich die Autoren mit dem Schutz von Worker Nodes, Kubelet sowie den Pods befassen.