Schlagwort-Archive: Datendiebstahl

Pwn2Own Tokio im Herbst – diesmal live aus Toronto

Originalbeitrag von Brian Gorenc

Während der letzten Jahre fand die Herbstveranstaltung des Pwn2Own-Wettbewerbs immer im Rahmen der PacSec Applied Security Conference in Tokio statt. Da in diesem Jahr die Konferenz nur virtuell abgehalten wird, musste auch die ZDI einen Weg finden, die Pwn2Own wie schon im Frühjahr in den virtuellen Raum zu verschieben. Das Problem dabei bestand darin, dass sich die Herbstveranstaltung auf Geräte wie Mobiltelefone, Fernseher, smarte Lautsprecher und drahtlose Router konzentriert – also physische Geräte, deren Hacking virtuell schwierig ist. Dennoch gelang es den Mitarbeitern der ZDI, ein perfektes Setting für den Wettbewerb aufzustellen, sodass das Event vom 3. – 5. November live aus Toronto kommt und zwar gleichzeitig mit der virtuellen PacSec-Konferenz (1. – 6. November). Als Hacking-Ziele stehen 20 Geräte zur Verfügung und mehr als 500.000 US-Dollar als Preisgeld.

Wie schon bei der Frühjahrsveranstaltung des Pwn2Own ist die Remote-Teilnahme wieder möglich, wenn Teilnehmer Reiserestriktionen unterworfen sind, oder Sicherheitsgründe die Präsenz verhindern. Diese Teilnehmer müssen sich trotzdem bis zum 29. Oktober registrieren und ein ausführliches Whitepaper einreichen, in dem sie den kompletten Exploit-Ablauf erklären und Anleitungen für die Ausführung geben. Ein Mitarbeiter der ZDI wird den Exploit durchführen, der gefilmt wird und dem Teilnehmer sowie dem Anbieter zur Verfügung steht. Auf Wunsch arbeitet der ZDI-Mitarbeiter mit Remote-Teilnehmern zusammen, um den Hacking-Versuch in Echtzeit per Telefonanruf oder Videochat zu überwachen. Es gilt zu beachten, dass Änderungen an Exploits/Skripts/etc. nicht möglich sind, was die Gewinnchancen im Falle eines unerwarteten Ereignisses verringern könnte. Ansonsten läuft der Wettbewerb so ab, als ob er in Tokio stattfinden würde. Wer Fragen dazu hat, kann über zdi@trendmicro.com Kontakt aufnehmen.

Facebook kehrt als Partner für die diesjährige Veranstaltung zurück und bietet erneut Oculus Quest und Portal von Facebook-Geräten als Ziele an. Niemand hatte die Geräte während ihrer Eröffnungsshow ins Visier genommen, daher wird es interessant sein zu sehen, ob sich das diesmal ändert. Die Teilnahme von Anbietern bleibt eine Schlüsselkomponente für den Erfolg dieser Wettbewerbe. Wie auch bei den anderen Pwn2Own-Wettbewerben versucht Pwn2Own Tokyo (Live aus Toronto), diese verbraucherorientierten Geräte und ihre Betriebssysteme zu härten, indem Schwachstellen aufgedeckt werden, die dann den Herstellern zur Kenntnis gebracht werden. Wie immer ist es das Ziel, diese Fehler zu beheben, bevor sie aktiv ausgenutzt werden.

Zu den angebotenen Hacking-Zielen gehören unter anderem Mobiltelefone (Google Pixel 4, Samsung Galaxy S20, Apple iPhone 11, Huawei P40 sowie Xiaomi Mi 10), Wearables, drahtlose Router und Fernseher. In diesem Jahr sind Network Attached Storage (NAS)-Server hinzugekommen. Die komplette Liste der Geräte beinhaltet der Originalbeitrag. Der Wettbewerb wird wieder in verschiedenen Kategorien ausgetragen, und es wird auch wieder einen Master of Pwn geben. Alle Einzelheiten zum Pwn2Own Tokyo 2020 liefert die ZDI.

Das Rennen: Hase und Igel in der IT-Security

Von Richard Werner, Business Consultant bei Trend Micro

Quelle: Wikimedia Commons

Jeder kennt die alte Fabel von den Gebrüdern Grimm. Der Wettlauf zwischen Hase und Igel spielte sich angeblich in Buxtehude ab, in der auch obige schöne Skulptur steht, und die Realität in der IT-Security erinnert stark an diesen ungleichen, ja betrügerischen Wettlauf.

Alle Unternehmen haben bereits in Sicherheitsmassnahmen investiert, ihre Mitarbeiter trainiert und Prozesse optimiert. Dennoch gibt es immer wieder mehr oder weniger ernste Zwischenfälle. Die Lage wird auch dadurch erschwert, dass die IT selbst und mit ihr die Security ständig mit Neuerungen konfrontiert ist, wie z.B. Cloud-Computing und IoT (Internet of Things), oder es werden einfach nur Verfahren optimiert, beispielsweise mit Hilfe von künstlicher Intelligenz. Das bedeutet, alles ist ständig in Bewegung oder mit den Worten des BSI: „Informationssicherheit ist kein Zustand, der einmal erreicht wird und dann fortbesteht, sondern ein Prozess, der kontinuierlich angepasst werden muss.“

Die Gegner in diesem Rennen um IT-Sicherheit sind nicht so sehr andere Firmen sondern vielmehr Leute, sprich Hacker, Cyberkriminelle oder andere Betrüger, die Firmen/Sicherheitsanbieter dazu zwingen, immer schneller zu werden. Diese Personengruppe misst sich nicht im fairen Wettkampf sondern versucht, die Sicherheit der Systeme mit unlauteren Mittel zu verletzen.

Merke: Wir befinden uns in einem Rennen!

Rollenverteilung

Der Tenor der Fabel selbst ist so gesetzt, dass der Leser sich mit dem vermeintlich schwächeren „klugen“ Igel und nicht mit dem „dummen, arroganten“ Hasen identifiziert. Lässt man allerdings die Attribute weg, so ist es eine Erzählung über einen Hasen, der mit Hilfe von übelstem Betrug gehetzt wird und den Wettlauf deshalb nicht gewinnen kann. Diese Beschreibung trifft auch auf die IT Security, also die Verteidigung der IT zu. Alle Anstrengungen führen letztlich dazu, dass wir, die Hasen, bestenfalls nicht verlieren. Gewinnen können wir jedoch nie. Denn das Gegenüber spielt nie fair, und es sind Betrüger im wahrsten Sinne des Wortes.

Merke: Unsere Rolle ist die des Hasen!

Wege aus der Situation

Bei Betrachtung der Situation aus Sicht des Hasen fällt eines auf. Der Hase stellt sich nie die Frage, wie es sein kann, dass ihn der Igel immer wieder besiegt, ohne ihn je zu überholen. Weil der geneigte Leser die Fabel kennt, weiss er auch, was dem Hasen geholfen hätte. Und vielleicht lassen sich diese Ideen auf reale Situation projizieren.

  1. Die erste Option wäre gewesen, ein neues Ziel zu definieren. Der Grund, warum der Igel gewinnen konnte, lag darin, dass der Hase immer zwischen Start und Ziel hin und her lief und damit den Betrug erst ermöglichte. Hätte der Hase nur einmal auf einem anderen Ziel bestanden, wäre der Wettlauf vorbei gewesen. Analog dazu: Auf die Frage, welches die Aufgabe der IT-Security im Unternehmen ist, kommt zumeist die Antwort, „das Unternehmen schützen“. Dies ist das Ziel, dem wir hinterher laufen und bei dem uns der Igel regelmässig sein berühmtes „Ich bin schon da“ entgegenruft. Die Frage ist, ob sich dieses Ziel ändern lässt. Hier ein Vorschlag: Das Ziel wäre, einen erfolgreichen Angriff rechtzeitig zu erkennen. Damit ist er wohlgemerkt nicht verhindert worden. Aber das betroffene Unternehmen hat dann die Möglichkeit, Gegenmassnahmen zu ergreifen, um Schaden abzuwenden. In der IT-Security sind solche Massnahmen unter dem Schlagwort Detection & Response bekannt.
  2. Die zweite Option für den Hasen wäre gewesen, dem Igel einen Vorsprung zu geben. Ihm sozusagen bis zum Ziel hinterher zu laufen, um zu sehen, wie er vorgeht. In diesem Fall hätte der Hase den ganzen Betrug aufdecken und auch die Betrüger entlarven können. Zudem wäre es der Igel gewesen, der plötzlich seine Ressourcen hätte einsetzen müssen. Auch dieses Verfahren kennt die IT-Security. Hier kommen ebenfalls Technologien aus dem Bereich Detection & Response zum Einsatz, mit deren Hilfe ein Angreifer verfolgt werden kann. Die „Gejagten“ versuchen, die Ziele der Angreifer und damit auch Hintergründe zu erforschen, um ggf. auch rechtliche Schritte gegen den/die menschlichen Täter einzuleiten. Das Verfahren birgt allerdings auch jede Menge Risiken und sollte deswegen nur durch Spezialisten und in Zusammenarbeit mit Strafverfolgungsbehörden durchgeführt werden.

Merke: Nur eine geänderte Vorgehensweise ändert auch die Situation.

Umdenken in der IT-Security

Bezüglich der reinen Schutzfunktionen sind die Grenzen in einigermassen gepflegten IT-Umgebungen längst erreicht. Unabhängig davon, ob ein Unternehmen die Security Tools eines oder mehrerer Hersteller für seine Sicherheit einsetzt, lässt sich lediglich ein Schutzniveau unter 100% erreichen. Dabei funktionieren die allermeisten IT Security-Umgebungen wesentlich besser als ihr Ruf. Der Grund, warum es dennoch immer wieder zu erfolgreichen Angriffen kommt und diese in den letzten Jahren sogar zugenommen haben, liegt vor allem darin, dass auch die Igel – pardon Angreifer — aufgerüstet haben. Attacken wie die der Kategorie Emotet verwenden mehrfache fortschrittliche Methoden um ihre Opfer zu kriegen. Hinzu kommt, dass Angriffsmethoden häufig nicht mehr allein von „gewöhnlichen“ Cyberkriminellen erdacht werden, sondern staatliche Institutionen viel Geld investieren, um solche Konzepte zu entwickeln. So lässt sich auch die heutige Emotet-Welle technisch wie auch methodisch auf das Vorgehen der angeblich staatlichen Malware-Varianten Wannacry und NotPetya zurückführen, deren „Vorfahren“ ihrerseits aus dem Leak technischer Informationen der NSA durch eine ominöse Hackergruppe namens Shadow Broker entstammen.

Die Lehre

Die Wahrscheinlichkeit, trotz guter Gegenmassnahmen infiziert zu werden, ist deshalb hoch. Hier ist es dringend geraten, anders als der Hase in der Fabel, die eigenen Ziele zu überdenken. Niemand bestreitet, dass Schutz wichtig ist. Aber das umfassende Erkennen von erfolgreichen Angriffen sowie die Möglichkeit, koordinierte Gegenmassnahmen mit oder ohne Beobachtung des Gegners zu treffen, werden immer essentieller. Es ist deshalb zunehmend wichtiger, Schutzmassnahmen mit Detection & Response-Methoden zu ergänzen. Je umfangreicher Sensoren ein Netzwerk durchleuchten können, desto genauer erkennen sie Methodik und Verbreitung (Detection), und können dadurch umso effektiver gegen die Bedrohung agieren (Response).

Trend Micro bietet daher seinen Kunden XDR an, das neben Standardvorgehen wie „Endpoint Detection und Response“ (EDR) auch die fortschrittliche Koordination von Verteidigungswerkzeugen auf anderen Ebenen eines Unternehmensnetzwerks wie Email, Server oder Cloud-basierte Workloads anbietet. Zusätzlich stellt Trend Micro auch Spezialisten zur Verfügung, die bei der Beurteilung und Auswertung von Erkenntnissen unterstützen können.

Infrastructure as Code: Sicherheitsrisiken kennen und vermeiden

Originalbeitrag von David Fiser (Cyber Threat Researcher)

Ständig steigende Anforderungen an IT-Infrastrukturen und die Zunahme von Continuous Integration and Continuous Deployment (CI/CD)-Pipelines haben den Bedarf an konsistenter und skalierbarer Automatisierung erhöht. Hier bietet sich Infrastruktur als Code (IaC) an. IaC liefert die Bereitstellung, Konfiguration und Verwaltung der Infrastruktur durch formatierte, maschinenlesbare Dateien. Anstelle der manuellen Einrichtung von Onpremise- und Cloud-Umgebungen können Administratoren und Architekten diese einfach mit IaC automatisieren. IaC arbeitet gut mit Infrastructure as a Service (IaaS) zusammen und besticht durch die schnellere und kostengünstigere Entwicklung und Bereitzustellung von skalierbaren Cloud-Implementierungen.

Das IaC-Konzept weist Ähnlichkeiten mit Programmierskripts auf (die ebenfalls IT-Prozesse automatisieren), doch verwendet IaC eine beschreibende Sprache für die Kodierung von anpassungsfähigeren Bereitstellungen und Implementierungen (d.h. die Software selbst ist für die Einleitung von Infrastrukturänderungen verantwortlich). IaC gilt als besonders wichtig für Cloud Computing und DevOps.

Es gibt zwei Arten von IaC-Werkzeugen: Orchestrierungswerkzeuge dienen der Bereitstellung, Organisation und Verwaltung von Infrastrukturkomponenten (z.B. CloudFormation und Terraform). Konfigurationsmanagement-Tools wiederum ermöglichen die Installation, Aktualisierung und Verwaltung laufender Software in Infrastrukturkomponenten (z. B. Ansible, Chef, Puppet und SaltStack). Diese Tools entheben Entwickler und Cloud-Architekten von manuellen, fehleranfälligen Aufgaben und vereinfachen die Konfiguration und Verwaltung.

Sicherheitsrisikobereiche in IaC-Implementierungen

Zu den Herausforderungen, die IaC mit sich bringt, zählen etwa ungepatchte Schwachstellen in einem IaC-Tool als Eintrittspunkt für Bedrohungen in die Kerninfrastruktur. Schwachstellen könnten es Angreifern ermöglichen, Verfahren zu umgehen, Code auf gehackten Servern auszuführen oder sogar Kryptowährungs-Miner einzusetzen. IaC-Templates mit Fehlkonfigurationen könnten auch sensible Daten offen legen oder Schlupflöcher für Angriffe öffnen.

Speicherung von sensiblen Daten

Das allgemeine IaC-Prinzip sieht vor, dass eine einzige Anwendung mehrere in den Konfigurationsdateien beschriebene Umgebungen verwalten kann, die als Code vorliegen und den Code (auch bösartig) auch innerhalb der Zielumgebungen ausführen. Eine IaC-Anwendung kann verschiedene Ansätze zur Beschreibung der Zielumgebung verwenden; das Gemeinsame ist die Konfiguration selbst, ihre Speicherung und insbesondere die geheimen Informationen, die für die Verbindung mit der verwalteten Infrastruktur erforderlich sind.

Die Speicherung von solchen Informationen ist wichtig, weil es um sensible Daten geht, wie etwa Anwendungs-Token für die Authentifizierung, Secure Shell (SSH)-Schlüssel und Passwörter. Die Speicherung dieser Daten in Storing Source Code Management (SCM)-Systemen (z.B. Git) oder Klartextdateien ist eine gefährliche – und aus Sicherheitssicht unverantwortliche – Praxis, da sie leicht zugänglich gemacht werden können. Beispielsweise könnten Bots, die öffentliche SCM-Sites durchforsten und nach sensiblen Informtionen suchen, diese schnell ausnutzen und die Infrastruktur gefährden (z.B. durch das Ausbringen von Kryptowährungs-Minern). Es empfiehlt sich daher, Vaults für die Speicherung von Geheimnissen zu verwenden und diese in den Konfigurationsdateien zu referenzieren.

Kommunikationskanal des Masters

Einige IaC-Konfigurationsmanagement-Tools (z. B. SaltStack) verwenden eine Master-Node-Architektur, bei der die Knoten von einem Master-Knoten aus verwaltet werden. Beim Zugriff auf eine verwaltete Infrastruktur von einem einzigen Punkt aus (d.h. von einem Master) ist es im Allgemeinen entscheidend, diesen einzelnen Punkt zu sichern, da er die gesamten Infrastruktur- oder Einsatzspezifikationen enthält und die Kompromittierung der Sicherheit die gesamte Infrastruktur gefährden würde.

Die Verwendung entsprechend vorbereiteter Umgebungen innerhalb der Cloud reduziert das Risiko von Kompromittierungen durch Fehlkonfigurationen und das Risiko, Infrastrukturen von Grund auf neu zu konfigurieren.

Bild 1. Ein Überblick über eine Master-Node-Architektur

Der Master muss über einen sicheren Kommunikationskanal verfügen, um mit den Knoten zu kommunizieren und sie steuern zu können. Es gibt zwei verschiedene Ansätze für das Management:

  • Installation eines benutzerdefinierten Agenten für das Management des Knotens, der bestimmte Aufgaben ausführt,
  • Einsatz allgemein verfügbarer Software und Kommunikationsprotokolle für das Management von Knoten (auch als „agentenlos“ bekannt), so etwa Bash-Skriptausführung via SSH-Protokoll.

Vom Standpunkt der Sicherheit stellt die Verwendung eines benutzerdefinierten Netzwerkprotokolls eine weitere Angriffsfläche dar. Möglicherweise rücken sogar mögliche Schwachstellen in den Vordergrund, wie im Fall von CVE-2020-11651 und CVE-2020-11652, Schwachstellen im Salt-Management-Framework von SaltStack, das in Rechenzentren und Cloud-Servern eingesetzt wird.

Bei Missbrauch von CVE-2020-11651 könnte ein nicht authentifizierter Nutzer aus der Ferne Code in der ganzen Infrastruktur ausführen. Die Path Traversal Vulnerability CVE-2020-11652 wiederum ermöglicht es Dritten, beliebige Dateien zu lesen. In beiden Fällen können Böswillige sich den Root-Schlüssel verschaffen und Zugang zum Master erlangen und damit zur gesamten Infrastruktur. Einzelheiten dazu liefert auch ein Trend Micro-Forschungsbeitrag.

Benutzerprivilegien

Benutzerprivilegien sind ein weiterer sicherheitsrelevanter Aspekt. Wird eine IaC-Anwendung zur Verwaltung der Anwendungsbereitstellung genutzt, ist es unwahrscheinlich, dass dafür Root-Rechte auf dem Zielrechner erforderlich sind. Das Prinzip der geringsten Privilegien sollte hier das Risiko einer Kompromittierung mindern.

Dasselbe Prinzip gilt auch für den Einsatz innerhalb öffentlicher Clouds wie Amazon Web Services (AWS). Wird ein Account oder eine Rolle nur für einen bestimmten Zweck zugewiesen (z.B. das Erstellen virtueller Maschinen), sollte diese mit eingeschränkten Fähigkeiten verwendet werden. Die Weitergabe von Zugangsdaten von Cloud-Providern mit Administrator-Zugriff für weniger privilegierte Aufgaben ist eine unsichere Praxis.

IaC-Templates

IaC-Templates sind für die agile Bereitstellung über Provisioning und die Verwaltung der Cloud-Infrastruktur wichtig. Es sind maschinenlesbare Definitionsdateien, mit deren Hilfe die Umgebungen aufgebaut werden, in denen Code aus externen Quellen bereitgestellt und ausgeführt wird. Sie sind jedoch nicht ohne Risiken. Diese Templates sind Teil von IaC-Prozessen und könnten unbeabsichtigt Betriebssystem- oder Container-Images aus nicht vertrauenswürdigen Quellen verwenden, die dann Bedrohungen wie Backdoors und Kryptowährungs-Miner Tür und Tor öffnen.

IaC-Vorlagen beinhalten möglicherweise auch Schwachstellen und unsichere Standardkonfigurationen, die zu einer Gefährdung von Daten führen. Betreiber sollten deshalb IaC-Vorlagen zu Beginn des Entwicklungsprozesses zunächst auf unsichere Konfigurationen und andere potenzielle Schwachstellen überprüfen. Regelmässiges Scannen mit Hilfe eines Cloud Security Posture Management Service hilft ebenfalls, Fehlkonfigurationen zu erkennen und zu beheben.

Lehren ziehen, Best Practices anwenden

IaC gehört zu den wichtigsten DevOps-Praktiken für die agile Softwareentwicklung. Mit IaC wird die Infrastruktur innerhalb von Textdateien (Code) definiert. Fehlkonfigurationen stellen eines der grössten Sicherheitsprobleme in Cloud-Umgebungen dar.

Die folgenden Empfehlungen helfen beim Absichern von hybriden und öffentlichen Cloud-Umgebungen:

  • Durchsetzen des Prinzips der geringsten Privilegien. Account-Privilegien in Cloud-Services sollten eingeschränkt werden, vor allem wenn sie an öffentliche Cloud-Provider gebunden sind. Die Berechtigungen und der Zugang zu Tools sollten eingeschränkt werden, um zu verhindern, dass Angreifer in den Knoten Fuss fassen können. Auf diese Weise werden IaC-Konfigurationen sicher gespeichert und Datenverluste verhindert.
  • Einsatz von IaC Sicherheits-Plugins. Diese Plugins in integrierten Entwicklungsumgebungen können mögliche Probleme in IaC-Templates vor der Installation verhindern.
  • Update der Infrastruktursoftware auf die neueste Version. Sicherheits-Patches sollten immer sofort aufgespielt werden.
  • Nie ein zentrales System exponieren. Zentrale Server sollten nie im Internet exponiert sein, um so zu verhindern, dass eine mögliche Kompromittierung auf weitere Komponenten übergeht.
  • Haltung zur Sicherheit und Compliance verbessern.  Um den Schutz in der Pipeline zu gewährleisten, sollte Echtzeit-Sicherheit, die Fehlkonfigurationen bei Anbietern von Cloud-Diensten erkennt, eingesetzt werden. Lösungen, die über eine automatische Korrekturfunktion verfügen, können auch bei der Behebung von Ausfällen helfen.

Weitere Empfehlungen zur Sicherheit der IAC-Pipeline gibt es hier.

Cloud Sicherheitslösungen von Trend Micro

Trend Micros Lösung Hybrid Cloud Security unterstützt die DevOps Pipeline mit mehreren XGen Threat Defense-Techniken und kann physische, virtuelle und Cloud-Workloads zur Laufzeit schützen. Trend Micro™ Cloud One™ – Conformity ist ein Cloud Security and Compliance Posture Management Service, der automatisierte Sicherheits- und Compliance-Überprüfungen bietet, sowie Übersicht und einfaches Reporting.

Für Unternehmen, die Sicherheit als Software für Runtime-Workloads, Container-Images sowie Datei- und Objektspeicher suchen, können Deep Security™ und Deep Security Smart Check Workloads und Container-Images in jedem beliebigen Intervall in der Entwicklungs-Pipeline auf Malware und Schwachstellen überprüfen.

Weitere Informationen finden Interessierte im Originalbeitrag.

Im Kreuzfeuer: Verteidigung der Geräte in der Schlacht der Botnets

Von Trend Micro

Botnets, diese Netzwerke aus infizierten Geräten (in Bots verwandelt), sind umso erfolgreicher in ihren Angriffen und bösartigen Aktivitäten, je höher die Zahl der Bots ist. Mit der Verbreitung des Internet of Things (IoT) ist eine neue Domäne entstanden, in der die Betreiber der Botnets um Bots kämpfen. Dieser so genannte „Wurmkrieg“ wird von den Benutzern unbemerkt geführt, und die können die Kontrolle über ihre Geräte verlieren, egal welcher Cyberkriminelle am Ende eine Schlacht gewinnt. Die Nutzer müssen die Techniken und Taktiken verstehen, die beim Aufbau von Botnets und der Umwandlung gängiger IoT-Geräte wie Router in Bots zum Einsatz kommen. Trend Micro hat einen Forschungsbericht „Worm War: The Botnet Battle for IoT Territory“ veröffentlicht, in dem die Welt der IoT-Botnets eingehend dargestellt wird.

Der Blog gibt eine Vorschau auf die Hauptfunktionen von Botnet-Malware anhand der drei Quellcodebasen von Botnets, die den Weg für viele Botnet-Malware-Varianten geebnet haben und die Grundlage für den anhaltenden Revierkampf bilden.

Kaiten

Kaiten, auch als Tsunami bekannt, ist die älteste der drei. Die Kommunikation mit den Command-and-Control (C&C)-Servern basiert auf dem IRC-Protokoll (Internet Relay Chat), wobei infizierte Geräte Befehle von einem IRC-Kanal empfangen. Das Skript von Kaiten ermöglicht es der Malware auch, auf mehreren Hardware-Architekturen zu arbeiten, und damit wird sie ein relativ vielseitiges Werkzeug für Cyberkriminelle. Darüber hinaus können neuere Varianten konkurrierende Malware ausschalten und somit ein Gerät vollständig in Beschlag nehmen.

Qbot

Die Malware ist auch als Bashlite, Gafgyt, Lizkebab oder Torlus bekannt und stellt eine relativ alte Familie dar. Dennoch ist sie für Botnet-Entwickler immer noch wichtig. Bemerkenswert im Zusammenhang mit Qbot ist die Tatsache, dass deren Quellcode aus nur ein paar Dateien besteht. Anfänger haben Schwierigkeiten in der Handhabung, deshalb gibt es in cyberkriminellen Foren viele Tutorials und Leitfäden dazu. Qbots Quellcode kann ebenso wie Kaiten mehrere Architekturen unterstützen, doch die Kommunikation mit den C&C-Servern basiert auf TCP und nicht IRC. Neuere Varianten können zudem auch rivalisierende Malware killen.

Mirai

Mirai ist die jüngste Malware unter den dreien. Dennoch ist sie sehr bekannt, weil die Familie zahlreiche Varianten hervorgebracht hat. Sie wurde darauf zugeschnitten, als Distributed Denial-of-Service (DDoS)-Tool angeboten zu werden. Nach Veröffentlichung des Quellcodes wurde Mirai zu einem Wendepunkt für IoT-Malware. Die Botnet-Malware machte sich schnell einen Namen durch den Angriff auf Dyn, einen DNS-Hosting-Provider (Domain Name System), der zur Beeinträchtigung weit verbreiteter Websites und Dienste führte.

Botnet-Kampftaktiken

Kaiten, Qbot und Mirai präsentieren die Fähigkeiten, mit denen Botnet-Malware um die Vorherrschaft über angeschlossene Geräte konkurrieren kann. Um ein Botnet zu entwickeln und seine Grösse aufrechtzuerhalten, müssen Botnet-Malware-Familien und -Varianten in der Lage sein, so viele Geräte wie möglich zu infizieren und gleichzeitig andere Angreifer fernzuhalten. Botnet-Malware kann nach anfälligen Geräten suchen und bekannte Taktiken wie Brute-Force anwenden, um die Kontrolle über ein Gerät zu erlangen. Um die Übernahme zu festigen, eliminiert Botnet-Malware konkurrierende Malware, die möglicherweise bereits auf dem Gerät vorhanden ist, sowie neue Schadsoftware, die darauf abzielen könnte, die Kontrolle über das Gerät zu stehlen.

Alle drei Bot-Quellcodebasen verfügen über diese Fähigkeiten. Und da sie quelloffen sind, ermöglichen sie es böswilligen Akteuren, die Bedrohungslandschaft weiterhin mit konkurrierenden Varianten zu bevölkern.

Bild. Zusammenfassung der drei wichtigsten IoT-Bot-Quellcodebasen

Verteidigung gegen IoT-Botnets

Über welch machtvolle Gerätearmeen Botnets verfügen können, zeigte der berüchtigte Mirai-Angriff 2016, der zum Absturz bekannter Websites führte (etwa Netflix, Twitter und Reddit) und auch den bekannten Sicherheitsblogs „Krebs on Security“ lahmlegte. In kleinerem Rahmen vereinnahmen Botnets IoT-Geräte und -Ressourcen einzelner Nutzer, die ihnen das Leben bequemer und ihre Arbeit leichter machen sollen. Diese Geräte haben an Bedeutung gewonnen, vor allem in einer Zeit, in der das Arbeiten von zu Hause aus zur neuen Norm für Organisationen geworden ist.

Die beste Verteidigungsstrategie gegen feindliche Botnets besteht darin, ihr Schlachtfeld einzugrenzen und Cyberkriminellen die Ressourcen zu verweigern, die ihre Botnets mächtig machen würden. Benutzer können ihren Teil dazu beitragen, indem sie dafür sorgen, dass ihre IoT-Geräte sicher sind. Sie können damit beginnen, diese Schritte zu befolgen:

  • Verwalten von Schwachstellen und Aufspielen der Patches so schnell wie möglich. Schwachstellen sind die wichtigste Art und Weise, wie Malware Geräte infiziert. Die Anwendung von Patches, sobald sie veröffentlicht werden, kann die Chancen für potenzielle Angriffe einschränken.
  • Anwenden sicherer Einstellung. Benutzer müssen sicherstellen, dass sie die sicherste Konfiguration für ihre Geräte verwenden, um die Möglichkeiten für eine Kompromittierung einzuschränken.
  • Starke, schwer zu erratende Passwörter aufsetzen. Botnet-Malware nutzt schwache und gängige Passwörter aus, um Geräte zu übernehmen. Benutzer können diese Taktik umgehen, indem sie Standardpasswörter ändern und starke Passwörter verwenden.

Weitere Einzelheiten zu den IoT-Botnets finden Sie im Whitepaper Worm War: The Botnet Battle for IoT Territory.

Ransomware-Report: Neue Techniken und besonders betroffene Branchen

Originalbeitrag von Monte De Jesus, Mohammed Malubay und Alyssa Christelle Ramos

In den letzten Monaten sind immer wieder neue Ransomware-Familien aufgetaucht und Techniken und auch Ziele haben sich verändert. Trend Micro hat eine dieser neuen Familien, Avaddon, untersucht. Des Weiteren nahmen die Sicherheitsforscher Techniken, die einige der Ransomware-Variante einsetzen, unter die Lupe sowie die von den Angriffen betroffenen Branchen.

Avaddon Ransomware

Die neue Ransomware Avaddon (Ransom.Win32.AVADDON.YJAF-A) wird durch einen Trojaner (Trojan.JS.AVADDON.YJAF-A) von bösartigen Sites heruntergeladen und auf dem System ausgeführt. Sie wird über Emails mit einem Anhang verbreitet, wobei die meisten einen Foto-bezogenen Betreff haben. Die Infektion erfolgt nach den bekannten Mustern.

Bild 1. Beispiel einer Email der Avaddon-Kampagne

Es werden Dateien in den folgenden Ordnern verschlüsselt:

  • Program Files\Microsoft\Exchange Server
  • Program Files (x86)\Microsoft\Exchange Server
  • Program Files\Microsoft SQL Server
  • Program Files (x86)\Microsoft SQL Server

Zudem fügt sie Prozesse hinzu, die Backups löschen, sodass es schwierig wird, das System wiederherzustellen:

  • wmic.exe SHADOWCOPY /nointeractive
  • wbadmin DELETE SYSTEMSTATEBACKUP
  • wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest
  • bcdedit.exe /set {default} recoveryenabled No
  • bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
  • vssadmin.exe Delete Shadows /All /Quiet

Auch werden Prozesse und Services beendet, die zum Grossteil dem Scanning, Speichern oder Extraktion von Dateien dienen. Technische Einzelheiten zum Ablauf beinhaltet der Originalbeitrag.

Neue Techniken

In den letzten Monaten gab es auch Aktualisierungen der von einigen Ransomware-Varianten verwendeten Techniken. So etwa wird die Netwalker Ransomware nun dateilos über reflective Dynamic-Link Library (DLL) Injection (reflective DLL loading) ausgeführt. Bei dieser Technik wird die DLL aus dem Speicher und nicht von der Festplatte injiziert. Obwohl die Technik selbst nicht neu ist (sie wurde bereits früher zur Bereitstellung von ColdLock-Ransomware eingesetzt), ist ihre Verwendung durch Netwalker neu.

Eine weitere erwähnenswerte Entwicklung ist der Einsatz von virtuellen Maschinen bei Ragnar Locker, um der Erkennung durch Antiviren-Software zu entgehen. Laut Sophos wurde dieser Angriffsvektor noch nie zuvor mit einem Ransomware-Typus verwendet. Früher nutzte Ragnar Locker Managed Service Provider aus oder griff RDP-Verbindungen (Windows Remote Desktop Protocol) an.

Fertigung, Logistik und Energiesektor als Ziele

Ransomware-Varianten wählten als Ziel mehrere Firmen aus dem Bereich der Fertigung, Logistik und Energieversorgung. Eine Variante der Ekans Ransomware (Ransom.Win32.EKANS.D) wurde bei gezielten Angriffen gegen Fertigungsunternehmen eingesetzt. Wie von der Firma Dragos beobachtet, ist bei den industriellen Prozessen, die frühere Ekans-Angriffen beendeten, ein besonderes Mass an Vorsätzlichkeit zu erkennen, was sie zu einer Bedrohung macht, die Organisationen mit industriellen Kontrollsystemen (ICS) auf dem Radar haben sollten.

Nefilim, eine Ransomware, die dem jüngsten Trend folgt, nicht nur Dateien zu verschlüsseln, sondern auch Daten zu stehlen, startete Angriffe auf Logistikunternehmen. Die Untersuchungen dieser Angriffe ergaben, dass der Datendiebstahl bereits Wochen oder sogar Monate vor dem Einsatz der Ransomware beginnt und dass bei den Angriffen mehrere (bösartige und nicht bösartige) Tools eingesetzt werden, um Prozesse aufzusetzen und sich durch das Netzwerk zu bewegen.

In ähnlicher Weise veröffentlichten die Betreiber hinter Sodinokibi auf einer Tor-Webseite 1.280 Dateien, angeblich mit Reisepassdaten und anderen Dokumenten von Mitarbeitern eines Elektrodienstleisters. Wenige Wochen zuvor hatte der Ransomware-Angriff das Unternehmen getroffen und den Betrieb unterbrochen.

ColdLock wiederum konzentrierte die Angriffe eher auf eine Region als auf eine Branche, und zwar war die Ransomware vor allem in Taiwan aktiv.

Ransomware-Zahlen für Mai

Im Mai wurde WannaCry mit 15.496 Erkennungen zur führenden Ransomware-Familie. Die Tatsache, dass WannaCry „den ersten Platz verteidigen konnte“, ist auf seine Wurmkomponente und die Beharrlichkeit seiner Betreiber zurückzuführen, die versuchen, die Malware regelmässig zu verbreiten. Daher ist davon auszugehen, dass WannaCry weiterhin eine so hohe Anzahl von Erkennungen aufweisen wird, bis entweder eine neue, massive Ransomware auftaucht oder die Quellen für WannaCry gefunden und entfernt werden. Die nächsten Plätze belegen Locky mit 1.532 und Cerber mit 392 Erkennungen. Diese drei vorderen Plätze sind seit Januar fest belegt, und waren auch im letzten Jahr Top.

Bild 2. Ransomware-Familien mit den meisten Erkennungen (Mai 2020)

Gleichzeitig waren die am meisten betroffenen Branchen Behörden (1.870), die Fertigung (1.599) sowie das Gesundheitswesen (1.217).

Bild 3. Top-Branchen bezüglich von Ransomware-Erkennungszahlen (Mai 2020)

Die meisten Angriffe erlitten Unternehmen mit mehr als 18.000 Erkennungen. Angriffe auf Verbraucher gab es mehr als 4.000, und 1.000 Erkennungen wurden bei mittleren und kleinen Unternehmen gezählt.

Bild 4. Ransomware-Erkennungen nach Segmenten (Mai 2020)

Im Mai wurden vier neue Ransomware-Familien entdeckt. Eine davon ist BlueCheeser (Ransom.MSIL.BLUECHEESER.A), eine Schadsoftware, die verschlüsselten Dateien die Endung .himr anhängt und 400$ Lösegeld verlangt.

Eine weitere ist CoronaLock (Ransom.Win32.CORONALOCK.A), auch als CovidWorldCry bekannt. Sie wird über Coronavirus-bezogenen Spam verbreitet und gibt verschlüsselten Dateien die Endung .corona.lock. Die dritte, PonyFinal (Ransom.Java.PONYFINAL.A), ist eine Java-basierte Malware, die Microsoft-Systeme angreift. GonnaCry (Ransom.Linux.GONNACRY.A) schliesslich zielt auf Linux-Systeme. Die Zahl der gefundenen Familien ist im Vergleich zum April zurückgegangen.

Bild 5. Zahl der neuen Ransomware-Familien (Januar bis Mai 2020)

Starke Verteidigung gegen Ransomware

Betriebsunterbrechungen, Datenverlust und die Veröffentlichung vertraulicher Unternehmensdaten sind einige der Gefahren, die ein Unternehmen durch einen Ransomware-Angriff betreffen können. Es gibt jedoch nach wie vor Wege, sich vor diesen Angriffen zu schützen.

Es folgen einige Best Practices, mit deren Hilfe Anwender ihre Systeme vor Ransomware schützen können:

  • Backup der Dateien nach der 3-2-1 -Regel. Dies bedeutet, regelmässige drei Backups in zwei unterschiedlichen Formaten zu erstellen, wobei eine Kopie Off-Site vorgehalten wird.
  • Regelmässiges Patchen und Aktualisieren von Anwendungen und Software. Dadurch wird sichergestellt, dass Schwachstellen behoben werden. Bei Zero-Day-Schwachstellen virtuelles Patching einsetzen.
  • Sandbox Analyse nutzen. Dadurch können bösartige Dateien in einer isolierten Umgebung ausgeführt werden, sodass diese Dateien überwacht werden, ohne das System zu gefährden.
  • Aktivieren von fortschrittlichen Erkennungsfunktionen wie maschinelles Lernen oder Technologien für die Verhaltensüberwachung.

Auch helfen mehrschichtige Sicherheitslösungen wie etwa Trend Micro™ XDR for Users. Damit können die Bedrohungen früh erkannt werden, bevor sie Endpunkte und andere Schichten des Systems kompromittieren. Trend Micro Apex One™ unterstützt umsetzbare Einsichten und zentrale Transparenz im gesamten Netzwerk. Trend Micro Deep Discovery™ Email Inspector schliesslich kann bösartige Email-Anhänge blockieren und analysieren.

Bösartige Chrome Extensions und Domänen führen zum Datendiebstahl

Google Chrome Extensions und Communigal Communication Ltd. (Galcomm)-Domänen sind in einer Kampagne ausgenutzt worden, die darauf abzielt, Aktivitäten und Daten der Nutzer zu tracken. Awake Security hatte in den letzten drei Monaten 111 bösartige oder gefälschte Chrome Extensions gefunden, die Galcomm-Domänen als Command-&-Control (C&C)-Infrastruktur einsetzen. Es gab mindestens 32 Millionen Downloads dieser bösartigen Extensions. Die Kampagne nutzte nahezu 15.160 auf Galcomm registrierte Domänen, um Malware und Browser-gestützte Überwachungs-Tools zu hosten. Das sind nahezu 60% der bei diesem Registrar erreichbaren Domänen. Galcomm versichert, darin nicht verwickelt zu sein. Die Angriffe vermieden erfolgreich die Entdeckung durch Sandboxen, Endpoint-Sicherheitslösungen, Domain-Reputationsdienste und andere. Betroffen waren die Finanzbranche, Öl und Gas, Medien, Einzelhandel, Bildung und Behörden.

Trend Micro berichtete bereits über diese Chrome Extensions als Teil des Ökosystems dieser Kampagne. Die Sicherheitsforscher fanden auch bösartige Extensions, die Firefox-Nutzer im Visier hatten. Der Bericht hob hervor, dass einige Code von entfernten Servern laden können, sowie dass Calcomm möglicherweise einen Bezug zum Angriff habe. Awake Security veröffentlichte zudem eine ausführliche Liste mit den verwendeten App IDs. Weitere Einzelheiten beinhaltet der Originalbeitrag.

Empfehlungen

Bösartige Extensions werden immer bedrohlicher. Im Laufe der Zeit kommen weitere Verschleierungstechniken hinzu, wie die Umgehung traditioneller Sicherheitsmechanismen und das Laden von Code von entfernten Servern. Neben der Konzentration auf die Erkennung sollten Organisationen die von diesen Bedrohungen angewandten Taktiken, Techniken und Verfahren langfristig überwachen, um ein besseres Verständnis ihres Verhaltens zu erhalten und Erkenntnisse darüber zu gewinnen, wie Eintrittspunkte gegen sie verteidigt werden können.

Trend Micro XDR kann ein System schützen, indem Daten aus Emails, Enpoints, Servern, Cloud Workloads und Netzwerken gesammelt und korreliert werden. Dabei kommt KI und Sicherheitsanalysen zum Einsatz, die nicht nur eine frühe Erkennung ermöglichen, sondern auch tiefgehende Einsichten in die Quelle und das Verhalten dieser Angriffe bieten.

Trend Micro™ Managed XDR-Service liefert fachmännisches Monitoring und Analysen durch die erfahrenen Managed Detection and Response-Analysten. Die Experten können ein vollständiges Bild des Angriffs und seiner Ausbreitung im Unternehmen erstellen und so einen klaren Überblick über Ursache und Auswirkungen einer Bedrohung geben.

Zero Day Initiative: Harte Arbeit für eine sichere vernetzte Welt

Originalartikel von Jay Coley

Die Zero Day Initiative (ZDI) von Trend Micro steht seit 15 Jahren für die koordinierte Veröffentlichung von Schwachstellen und betreibt das weltweit umfassendste herstellerunabhängige Bug-Bounty-Programm. Ein Grossteil dieser Arbeit findet hinter den Kulissen statt, ohne viel Aufsehen zu erregen. Es ist eine sehr wichtige Arbeit, weil sie zur Sicherung der vernetzten Welt beiträgt und gleichzeitig einen frühzeitigen Schutz für Trend Micro/TippingPoint-Kunden bietet. Ein Beispiel dafür sind die zwei vom ZDI entdeckten Sicherheitslücken, die Microsoft in dieser Woche ausser der Reihe geschlossen hat.

Die beiden Schwachstellen wurden von Abdul-Aziz Hariri vom ZDI entdeckt und betreffen die Art und Weise, wie die Microsoft Windows Codecs Library mit Objekten im Speicher umgeht. Bei Ausnutzung der CVE-2020-1425-Lücke könnte ein Angreifer an Informationen herankommen, mit deren Hilfe er ein System weiter kompromittieren kann. CVE-2020-1457 wiederum eröffnet einem Angreifer die Möglichkeit, beliebigen Code auszuführen.

Es kommt nur selten vor, dass Microsoft still und unbemerkt Patches bei seinen Kunden installiert, doch dies schmälert die harte Arbeit der ZDI-Forscher keineswegs. Tatsächlich war das ZDI mit 38% der veröffentlichen Lücken im vergangenen Jahr die Nummer eins der externen Lieferanten von Schwachstellen an Microsoft.

Warum ZDI?

Die Arbeit des ZDI ist deshalb so wichtig, weil sich die Initiative für eine verantwortungsvolle Offenlegung einsetzt. Ohne Programme dieser Art würde sich der Grau- und Schwarzmarkthandel mit Schwachstellen ausbreiten, was zu weniger sicheren Produkten und letztendlich zu exponierteren Kunden führen würde.

Schwachstellen-Exploits sind heute eine wichtige Voraussetzung für viele Cyberangriffe. Durch die Mobilisierung der Forschungsgemeinschaft und die Schaffung von Anreizen zur verantwortungsvollen Offenlegung kann das ZDI dazu beitragen, die digitale Welt sicherer zu machen. Nicht nur das, damit können auch Kunden von Trend Micro und TippingPoint frühzeitig geschützt werden. In diesem Fall waren die Kunden über drei Monate lang sicher, bevor Anbieter-Patches verfügbar waren.

Incident Response Playbook: Schnell und gezielt reagieren ist entscheidend

von Trend Micro

Um heutzutage wettbewerbsfähig zu sein, müssen Unternehmen mit den neuesten technologischen Trends Schritt halten. Ohne die parallele Entwicklung einer Sicherheitsinfrastruktur und einem klaren Prozess für eine Reaktion auf Angriffe könnten diese Technologien jedoch zum fatalen Vektor für Cyber-Bedrohungen werden. Im Falle eines Cyberangriffs kann ein starker Incident Response-Plan ein Unternehmen mit nur minimalem Schaden wieder zum Laufen bringen. Ein gutes Playbook stellt eine große Hilfe beim Aufsetzen des Incident Response-Ablaufs dar.

Laut einer von IBM und Ponemon durchgeführten Studie kostet ein Datendiebstahl das betroffene Unternehmen durchschnittlich 3,92 Millionen Dollar. Diese Kosten können variieren, je nachdem, wie schnell ein Unternehmen einen Datendiebstahl entdeckt und darauf reagiert.

Der 2020 Data Breach Investigations Report von Verizon kam zu dem Ergebnis, dass die meisten Datenschutzverletzungen im Jahr 2019 zwar nur Tage oder weniger dauerten, doch immerhin ein Viertel der Fälle zog sich über Monate oder länger hin. Die Eindämmung wiederum brauchte im Durchschnitt etwa gleich lang.

Insgesamt zeigen die Zahlen im Bericht im Vergleich zu den Vorjahren eine Verbesserung bei der Aufdeckung von Dateneinbrüchen und der Reaktion darauf. Der Bericht weist aber auch darauf hin, dass diese Verbesserung darauf zurückzuführen sein könnte, dass mehr von Managed Security Service Providern (MSSPs) entdeckte Verletzungen in ihre Untersuchungen einbezogen wurden.

Organisationen sollten natürlich danach streben, die Einbrüche zu verhindern. Gleichzeitig ist die Vorbereitung auf solche Vorfälle und die Erstellung von Abläufen zur Verkürzung der Dauer eines Dateneinbruchs jedoch ein wesentlicher und realistischer Ansatz für den Umgang mit aktuellen Bedrohungen.

Vorbereitung auf die Bedrohungen

Das Wissen darüber, womit ein Unternehmen zu rechnen hat, ist der erste Schritt bei der Vorbereitung und die Reaktion auf potenzielle Cyberangriffe. In der Vergangenheit waren die Bedrohungen viel einfacher gestrickt und weitgehend durch die von ihnen ausgenutzten Technologien definiert. Doch nun, da Unternehmen auf fortschrittlichere Netzwerk- und Dateninfrastrukturen zurückgreifen, ist die Angriffsfläche grösser, und die Auswirkungen der Bedrohungen haben sich verstärkt.

Der Sicherheitsbericht für 2019 von Trend Micro weist auf die Komplexität und Persistenz der heutigen Bedrohungen hin. Ransomware-Angriffe zielen immer häufiger auf hochkarätige Ziele, wobei die Kriminellen weniger neue Familien entwickeln. 2019 gab es mit 95 neuen Ransomware-Familien weniger als die Hälfte im Vergleich zu 2018 (222). Auch Phishing-bezogene Aktivitäten nahmen ab.

2019 gab es eine Reihe Aufsehen erregender Angriffe auf E-Commerce Sites wie Magecart Group 12 und FIN6, wobei tausende Online-Shops infiziert wurden, um Zahlungsinformationen der Kunden zu stehlen.

Bild 1: Angriffskampagne auf E-Commerce Site Magecart Group 12 und FIN6

Obige Bedrohungen verdeutlichen die Sicherheitslücken in den heute verwendeten Technologien. Sie zeigen auch, wie Trends und Schwächen von Branchen, Geräten oder Plattformen die Bedrohungslandschaft prägen. Organisationen haben eine Vielzahl von Grundlagen abzudecken, wenn sie neue Anwendungen und Software einführen, die Abläufe verbessern und Innovationen vorantreiben sollen. Neben der Kenntnis der aktuellen Bedrohungen sollten die Mitarbeiter auch alle von ihrer Organisation verwendeten Technologien genau verstehen lernen.

Während ein vielschichtiger Schutz bei der Erkennung und Verhinderung von Cyberattacken helfen kann, sollten alle Mitarbeiter, die für die Wartung der Unternehmensinfrastruktur zuständig sind, auch über Kenntnisse darüber verfügen, wie sie auf einen Einbruch und einen aktiven Angriff reagieren sollen.

Incident Response

Bedrohungen, die die Verteidigungslinien von Unternehmen angreifen, erfordern eine effektive Strategie zur Reaktion auf Vorfälle (Incident Response). Es ist der Prozess oder der Plan, den Organisationen als Leitfaden für die Handhabung und Eindämmung von Verstössen oder Cyberangriffen verwenden.

Das Ziel von Incident Response besteht darin, das Unternehmen nach einem Angriff wieder zum Laufen zu bringen. Dazu gehört die Identifizierung und Qualifizierung der Bedrohung, die ihre Verteidigungsmechanismen überwunden hat. Ein Störfall impliziert auch, dass die Präventionsmechanismen der Organisation versagt haben und verstärkt werden müssen.

Ein charakteristisches Merkmal von Incident Response ist, dass die Reaktion erfolgreich sein kann, ohne den Bedrohungsakteur hinter dem Angriff identifizieren zu müssen. Incident Response erfolgt „live“ oder während eines laufenden Angriffs mit der Absicht, diesen zu stoppen. Im Gegensatz dazu erfolgt etwa Computer-Forensik im Nachhinein und kann in die Tiefe gehen, weil die Bedrohung zurückgegangen ist.

Es gibt zwei weithin als Standard akzeptierte Incident Response Frameworks: NIST (National Institute of Standards and Technology) und SANS (SysAdmin, Audit, Network, and Security). Sie sind einander sehr ähnlich und decken eine breite Basis ab, von der Vorbereitung auf einen Angriff bis zum Sicherstellen, dass sich der Vorfall nicht wiederholt.

SANS

NIST

Bild 2: Incident Response-Schritte bei SANS und NIST

Der zweite Teil beschreibt ein Playbook mit den einzelnen konkreten Schritten, die ein Unternehmen beim Aufsetzen von Incident Response gehen muss.

Ähnliche Artikel:

  1. Trend Micro als „Leader“ für Cross-Layer Detection and Response
  2. Der Security-RückKlick 2020 KW 14
  3. Sicherheit von 5G-Konnektivität im Unternehmen
  4. Malware in Smart Factories: Die wichtigsten Bedrohungen für Produktionsumgebungen
  5. Verbindungen zwischen Einzelangriffen erkennen — und darauf reagieren

Sicherheit für die digitale Transformation – Suite vs. Punktlösungen

Originalartikel von William Malik, CISA VP Infrastructure Strategies

Die digitale Transformation hat durch die Corona-Pandemie an Schwung gewonnen. Die jeweiligen Projekte sind wichtiger denn je, um mehr Effizienz zu erlangen, Kosten sparen zu können und die Geschäftsagilität zu erhöhen. Sicherheit bleibt aber für viele Organisationen ein großer Stolperstein, weshalb es von entscheidender Bedeutung ist, neue Sichtweisen darüber zu gewinnen, wie der Schutz von Anfang an in Pläne eingearbeitet werden sollte. Wo sind die Sichtbarkeits- und Kontrolllücken beim Schutz hybrider Cloud-Workloads? Hat Kompetenzmangel Fehler in der Cloud-Konfiguration wahrscheinlicher gemacht? Und wie sieht Cloud-Sicherheit aus, wenn Unternehmen in eine neue Normalität eintreten? In von Unsicherheit geprägten Zeiten haben die Experten Antworten gegeben, die CISOs benötigen, um besser informierte strategische Entscheidungen treffen zu können. Trend Micros virtuelle Veranstaltung „Perspectives“ wartete mit hochkarätigen Vorträgen auf, unter anderem von Trend Micro CEO Eva Chen, VP of Security Research, Rik Ferguson, AWS Principal Security Architect, Merritt Baer oder IDC VP, Frank Dickson.

Sehr aufschlussreich waren zudem die Antworten, die von den mehr als 5000 weltweiten Teilnehmern zu zwei Schlüsselfragen zur eigenen Strategie und der digitalen Transformation kamen.

Erstens: Wie sieht Ihre aktuelle Strategie für die Absicherung der Cloud aus?

33% der Befragten verlassen sich komplett auf die nativen Sicherheitsfähigkeiten der Cloud-Plattform (AWS, Azure, Google…), 13% ergänzen die Sicherheit mit auf bestimmte Bereiche (Schutz für Workloads und Container …) ausgerichteten Produkten, und 54% vertrauen auf eine Sicherheitsplattform mit mehrfachen Fähigkeiten, um die Komplexität zu verringern.

Diese Ergebnisse bestätigen die Feststellung von IDC-Analyst Frank Dickson, wonach die meisten Cloud-Kunden mit einer Suite, die eine Reihe von Sicherheitsfunktionen für mehrere Cloud-Umgebungen bietet, besser aufgestellt sind. Für die 15 bis 20 Prozent der Unternehmen, die sich auf nur einen Cloud-Anbieter verlassen, kann der Kauf einer Sicherheitslösung von diesem Hersteller eine ausreichende Abdeckung bieten. Die Suche nach Punktlösungen (die auch Best-of-Breed-Produkte sein können) führt zu zusätzlicher Komplexität über mehrere Cloud-Plattformen hinweg und kann Probleme überdecken, Cybersicherheitsanalysten und Geschäftsanwender irritieren, die Kosten erhöhen und die Effizienz. Die umfassende Suite-Strategie ergänzt den hybriden Multi-Cloud-Ansatz der meisten Organisationen.

Zweitens: Wie setzen Sie sichere digitale Transformation in der Cloud um (Multiple Choice)?

Die Antworten machen deutlich, dass Cloud-Benutzer für viele verfügbare Lösungen zur Verbesserung der Cloud-Sicherheit offen sind. Das Anwendungsmuster folgt den traditionellen Bereitstellungsmodellen für Sicherheit Onpremise. Die am häufigsten angeführte Lösung, Network Security/Cloud-IPS, zeigt, dass Kommunikation mit allem in der Cloud ein vertrauenswürdiges Netzwerk erfordert. Dies ist eine sehr vertraute Praxis, die in Onpremise-Umgebungen bis zur Einführung von Firewalls in den frühen 1990er Jahren von Anbietern wie CheckPoint zurückreicht und durch akademische Forschung unterstützt wird.

Die Häufigkeit der Gefährdung von Daten durch falsch konfigurierte Cloud-Instanzen ist sicherlich ausschlaggebend für das Cloud Security Posture Management. Und dies wird durch die einfache Bereitstellung von Tools wie Cloud One Conformity unterstützt. Die Neuartigkeit von Containern in der Produktionsumgebung erklärt den relativ geringen Einsatz von Container-Sicherheit heute. Doch müssen Unternehmen keine Vielzahl von Einzelprodukten zur Lösung eines Problems in einer Umgebung einsetzen und verwalten. Der Suite-Ansatz vereinfacht die heutige Realität und positioniert die Organisation für die Herausforderungen von morgen.

Die Vorträge können unter Perspectives auch im Nachhinein abgerufen werden.

Ähnliche Artikel:

  1. Einheitliche, automatisierte Sicherheit für die Hybrid Cloud
  2. Sicherheit für die 4 Cs von Cloud-nativen Systemen: Cloud, Cluster, Container und Code, Teil 2
  3. Sicherheit für die Cloud-vernetzte Welt im Jahr 2020
  4. IDC erkennt Trend Micro als Marktführer beim Schutz von SDC-Workloads an
  5. Cloud-Sicherheit: Schlüsselkonzepte, Bedrohungen und Lösungen

Ripple20-Schwachstellen gefährden Millionen von IoT-Geräten

Die israelische Sicherheitsfirma JSOF hat Informationen zu einer Reihe von Schwachstellen veröffentlicht, die sie Ripple20 nennt. Diese Schwachstellen haben das Potenzial, Millionen von Internet of Things (IoT)-Geräten in vielen verschiedenen Branchen zu schädigen. Wichtige Systeme in der Gesundheits-, Öl- und Gasindustrie, im Transportwesen, in der Energiewirtschaft und im verarbeitenden Gewerbe können von diesen Fehlern betroffen sein. Eine Liste bestimmter Hersteller mit anfälligen Geräten ist in dem technischen Bericht von JSOF zu finden.

Die Schwachstellen stammen von einer Software, die von der amerikanischen Firma Treck Inc. entwickelt und Ende der neunziger Jahre auf den Markt gebracht wurde. Die Software beinhaltet einen leichtgewichtigen TCP/IP-Stack und ermöglicht es Unternehmen, ihre Geräte oder Software über TCP/IP-Verbindungen mit dem Internet zu verbinden.

Angesichts der Tatsache, dass diese Software bereits seit vielen Jahren verfügbar und im Einsatz ist und Unternehmen aller Grössenordnungen immer mehr Geräte online bringen, ist es nicht verwunderlich, dass die Auswirkungen von Ripple20 so breit gestreut sind. Die betroffenen Firmen reichen von Ein-Personen- bis hin zu multinationalen Fortune-500-Unternehmen.

IoT- und industrielle Internet of Things (IIoT)-Geräte benötigen leichtgewichtige Netzwerkkomponenten, um Rechenleistung zu sparen. Aber Probleme mit Netzwerk-Kommunikationssoftware von Drittanbietern belasten die Landschaft seit Jahren. Im Jahr 2018 gefährdeten 13 Fehler im FreeRTOS-TCP/IP-Stack die IoT-Geräte in Privathaushalten und in kritischen Infrastrukturen, und 2019 wurden medizinische Geräte und Krankenhausnetzwerke durch eine Reihe von elf Schwachstellen namens Urgent/11 bedroht. Die Schwachstellen befanden sich im IPnet, einer Softwarekomponente eines Drittanbieters, die die Netzwerkkommunikation unterstützt. Ein Angreifer könnte diese Schwachstellen potenziell nutzen, um die Kontrolle über medizinische Geräte aus der Ferne zu übernehmen oder deren Funktionsfähigkeit zu behindern.

Die Schwachstellen

Die in der Software gefundenen Schwachstellen zeichnen sich durch die Breite ihrer Auswirkungen aus – die Software hat sich über die ganze Welt verbreitet und wurde direkt und indirekt von vielen verschiedenen Herstellern verwendet.

Konkret handelt es sich bei Ripple20 um eine Gruppe von 19 Fehlern, die bei erfolgreicher Ausnutzung einem Angreifer erlauben würden, willkürlich Code auf anfälligen Geräten auszuführen, mit denen er sich verbinden kann. Hacker können über lokale Netzwerke oder über das Internet auf anfällige Geräte zugreifen und die vollständige Kontrolle über diese Geräte übernehmen – ein kritisches Problem, wenn es sich dabei auch um solche in Stromnetzen, Produktionsstätten und Krankenhäusern handelt.

Einer dieser Bugs ist eine Schwachstelle im DNS-Protokoll, die von einem erfahrenen Hacker dazu benutzt werden kann, Geräte anzugreifen, die nicht mit dem Internet verbunden sind. JSOF hat weitere mögliche Angriffe skizziert, unter anderem die Nutzung angreifbarer Geräte, um andere Geräte in einem Netzwerk ins Visier zu nehmen oder um im Netzwerk verborgen zu bleiben, und die Verbreitung eines Angriffs, um die Kontrolle über alle betroffenen Geräte im Netzwerk gleichzeitig zu übernehmen. Treck hat ein Sicherheits-Update zur Behebung dieser Schwachstellen veröffentlicht.

Die Cybersecurity and Infrastructure Security Agency (CISA) hat fünf dieser Schwachstellen mit über acht bewertet, wobei zwei davon eine zehn erhielten (die höchste mögliche Bewertung). Sie empfehlen Benutzern auch, „Abwehrmassnahmen“ gegen diese Schwachstellen zu ergreifen – Installation der Updates von Treck, Minimierung der Exponierung des Netzwerks, Einsatz von Firewalls, Verwendung virtueller privater Netzwerke und interner DNS-Server.

Eindämmung und Lösungen

Entdeckung ist der erste Schritt zur Vermeidung von Angriffen, die diese Schwachstellen missbrauchen. In einigen Fällen sind sich die Eigentümer von Assets möglicherweise nicht bewusst, dass diese Schwachstellen in ihrer Umgebung existieren. Produkte wie EdgeIPSTM und EdgeFireTM können beim Entdecken von Ripple20-Schwachstellen unterstützen, indem sie den Netzwerkverkehr scannen.

Es gibt auch einige andere Taktiken, die bei der Eindämmung von Ripple20 helfen können:

  • Netzwerksegmentierung: Eine angemessene interne Segmentierung und Mikrosegmentierung sollte in der OT-Netzwerkumgebung durchgeführt werden. Verantwortliche können EdgeFireTM für die interne Segmentierung durch kommunikationsgesteuerte NAT- und ICS-Protokolle verwenden. EdgeIPSTM kann eine tiefgreifende Mikrosegmentierung durchführen.
  • Netzwerk-Policy für die Kontrolle: Ohne eine angemessene Lösung kann das Prinzip des Null-Vertrauens nicht erreicht werden. EdgeFireTM und EdgeIPSTM bieten Netzwerkzugriffs-Whitelists für M2M-Kommunikation über IP-Adressen, ICS-Protokolle und Befehle.
  • Vorbeugung: Bei Gefahren mit hohem Potenzial aktualisieren EdgeIPSTM und EdgeFireTM den 6/30-Regelsatz, um Schwachstellen zu verhindern.

Der Originalbeitrag beinhaltet auch die Indicators of Compromise und eine Auflistung der Ripple20-Schwachstellen.