Schlagwort-Archive: Datendiebstahl

„IT-Infrastruktur ist viel mehr als ein Unterbau“

Interview mit Rudolf Didszuhn, Senior Executive Global System Integrators and Advisors

IT als sichere Plattform für innovative Geschäftsprozesse ist das Gebot der Stunde. Das kann nur gelingen, wenn die verschiedenen Abteilungen ihre Kompetenzen bündeln und Silo-übergreifend denken. Rudolf Didszuhn verfügt über mehr als zwanzig Jahre Erfahrung im IT-Sektor, insbesondere im Aufbau internationaler Allianzen. Der ausgewiesene Experte für die Themen Cloud- und Applikationsstrategien, IT-Infrastruktur und Betriebskonzepte erklärt im Interview, wie eine erfolgreiche Zusammenarbeit zwischen Sicherheit mit IT-Infrastruktur und Geschäftsabläufen funktionieren kann.

  1. In Ihrem Webcast auf der IT Infrastructure & Operations 2020 sprachen Sie über „Wandel zu smarter Infrastruktur – Das Gold liegt im Prozess“. Was meinen Sie damit?

IT-Infrastruktur ist heutzutage meist mehr als nur die Basis der Wertschöpfung eines Unternehmens. Unterstützung allein reicht nicht mehr aus, sie muss die Wertschöpfung ermöglichen, damit eine Organisation eben das „Gold“ aus den Geschäftsprozessen schürfen kann. Dafür aber bedarf es einer modernen und innovativen Infrastruktur, die möglichst smart ausgestattet ist und Prozesse mit allen dafür benötigten Daten verwirklicht. Resilienz und Automatisierung sind dabei die Schlüsselfaktoren, die wir berücksichtigen sollten.

  1. Welches sind besonders kritische Bereiche einer solch smarten Infrastruktur?

Da wäre in erster Linie deren zumeist hohe Komplexität zu nennen, denn die einzelnen Bereiche müssen eng miteinander interagieren. Hinzu kommt die erforderliche Integration von operationaler Technologie (OT) mit der Informationstechnologie (IT). Das bedeutet, dass die IT mit Zulieferströmen und Produktion zusammengebracht wird. Investitionen sollen verringert werden, während Integrität und Verfügbarkeit der Daten zunehmen müssen. In einer solchen Umgebung ist digitales Diversity Management unabdingbar.

  1. Was bedeutet Diversity Management genau?

Dazu gehören verschiedene Aspekte, wie die Schaffung von Visibilität oder das Handling von Compliance. Gerade im Fall des Datenmanagements kann dies eine sehr komplexe Aufgabe sein. Zudem geht es um Datensicherheit und Bedrohungsschutz, sowie die sichere nahtlose Zusammenarbeit der Unternehmensanwendungen. Diversity Management kann nicht gelingen, wenn die Abteilungen für sich allein agieren. Leider hat sich gezeigt, dass die meisten Firmen in einzelnen Bedrohungsszenarien denken, gegen die sie sich schützen müssen. Und das funktioniert bereits seit Jahren nicht mehr, führt aber dazu, dass Organisationen auf Vorfälle nicht vorbereitet sind, also nicht angemessen und schnell reagieren können.

  1. Was sind aus Ihrer Sicht die besten Ansätze, um diese Herausforderungen zu meistern?

Die Antwort ist eindeutig: Kompetenzen bündeln und Silo-übergreifend denken. Cross Boundary Collaboration ist gefragt, damit alle Aspekte zentral zusammengefügt werden können. Neue Werkzeuge, beispielsweise die Cloud Plattformen, erfordern neue Anwendungsszenarien und Prozesse. Am Anfang muss das Risikomanagement stehen. Es gilt zu klären, welche Anwendungen und Prozesse vorhanden sind, wo die Daten liegen beziehungsweise ausgetauscht werden, welche Tools und Vorgehensweisen eingesetzt werden können – kurz gesagt, geht es darum festzustellen, wo die Organisation bezüglich der Sicherheit steht und welches Ziel sie erreichen will. Nur so lässt sich Innovation fördern.

  1. Wie kann Trend Micro Unternehmen dabei helfen, diese Herausforderungen zu meistern?

Wir können Unternehmen ein einheitliches Sicherheitsmanagement bieten, das das Diversity Management vom Standpunkt der Security unterstützt. Die 30-jährige Erfahrung in der Cybersecurity Forschung und unser daraus entstandenes globales Bedrohungsnetzwerk (Smart Protection Network) sind unser Fundament um zu wissen, wie wir die Unternehmensdaten und die Daten der Kunden auch morgen zu schützen zu haben. Unsere Lösungen lassen sich in fast jede Plattform integrieren und sind vollständig Cloud-agnostisch. Somit kann man das Trend Micro Sensornetzwerk auch in alle Unternehmensprozesse einbetten.

Zusätzlich können Sie den Vortrag „Wandel zu smarter Infrastruktur – Das Gold liegt im Prozess“ nochmals ansehen.

Fehlkonfigurationen: Das grösste Sorgenkind der Cloud-Sicherheit 2021

Originalartikel von Mark Nunnikhoven, VP Cloud Research

Die Cloud steckt voller neuer Möglichkeiten. So können Anwender etwa mit einem einzigen Befehl das Pendant eines ganzen Datacenters starten. Die Skalierung, um die Anforderungen von Millionen von Kunden zu erfüllen, kann vollständig automatisiert erfolgen. Erweiterte Machine Learning-Analysen sind so einfach wie ein API-Aufruf. Damit sind Teams in der Lage, Innovationen zu beschleunigen und sich fast ausschliesslich darauf zu konzentrieren, Geschäftswert zu generieren. Doch so einfach, wie es scheint, ist es nicht.

Es war zu erwarten, dass neben diesem Steigerungspotenzial auch die Sicherheitsherausforderungen zunehmen, die es bei On-Premises gibt, und Teams mit Zero-Days, Schwachstellenketten und Schatten-IT zu kämpfen haben würden. Doch stellt sich heraus, dass diese Probleme nicht ganz oben auf der Sorgenliste stehen.

Den grössten Kummer bereiten Fehler in Form von Service-Fehlkonfigurationen.

Geteilte Verantwortung

Viele Unternehmen denken, hinsichtlich der Cloud-Sicherheit sind die Cloud Service Provider selbst ein grosses Risiko. Doch gibt es keine Zahlen, die diese Annahme bestätigen. Alle vier grossen Service Provider Alibaba Cloud, AWS, Google Cloud und Microsoft Azure hatten in den letzten fünf Jahren zwei Sicherheitsverletzungen bei ihren Diensten … alle zusammen.

Dennoch sollte nicht vergessen werden, dass jeder dieser Service Provider im Laufe der Jahre mit einer Vielzahl an Sicherheitsschwachstellen fertig zu werden hatte. Die beiden oben erwähnten Sicherheitsvorfälle hatten eine Fehlkonfiguration als Ursache. Der erste stammt von März 2020 und betraf Google Cloud, der zweite passierte im Januar 2020 und traf Microsoft Azure. Weitere Einzelheiten dazu beinhaltet der Originalbeitrag.

Viele Cloud-Dienste sind einfach verwaltete Service-Angebote von gängigen kommerziellen oder Open-Source-Projekten. Diese Projekte hatten verschiedene Sicherheitsprobleme, mit denen sich die Anbieter auseinandersetzen mussten.

Der Vorteil der Cloud für Benutzer oder Builder liegt darin, dass alle operativen Arbeiten – und Sicherheit ist operative Arbeit – in jeder Cloud dem Shared Responsibility Model folgt. Darin gibt es sechs Bereiche, in denen betriebliche Arbeiten erforderlich sind. Abhängig von der genutzten Art des Service wechseln die Verantwortlichkeiten. Nutzt ein Unternehmen Instanzen oder virtuelle Maschinen, so ist es für das Betriebssystem, die darauf laufenden Anwendungen und die Daten verantwortlich. Im Fall eines vollständig gemanagten Service ist das Unternehmen für die Sicherheit der Daten, die in dem Service verarbeitet und vorgehalten werden, zuständig. Für alle Arten von Cloud-Services liegt die Verantwortung für die Dienstkonfiguration beim Unternehmen.

Trotz klarer Zuständigkeiten bieten die Provider eine Reihe von Funktionen, die Unternehmen bei der Erfüllung ihrer Aufgaben unterstützen und die Dienste an ihre Bedürfnisse anpassen.

Es gibt zahlreiche Belege dafür, dass Fehlkonfigurationen das grösste Problem bei der Cloud-Sicherheit sind. Sicherheitsforscher, -anbieter oder Branchenorganisationen stimmen in den Ergebnissen überein:

65% — 70%  aller Sicherheitsprobleme in der Cloud starten mit einer Fehlkonfiguration. 45% der Organisationen glauben, dass Vertraulichkeits- und Sicherheitsherausforderungen ein Hindernis für die Migration in die Cloud darstellen. Das ist schade, denn wird das Shared Responsibility Model richtig verstanden, so ist es einfacher, eine robuste Sicherheitsposition aufrechtzuerhalten. Organisationen sollten darauf drängen, schneller in die Cloud zu wechseln, um ihre Sicherheit zu verbessern.

Tempo des Wandels

Fehlkonfigurationen sind nichts anderes als Fehler. Manchmal sind diese Fehler ein Versehen, ein anderes Mal eine falsche Wahl, die aus mangelndem Sicherheitsbewusstsein getroffen wurde. Alles hängt mit den Fähigkeiten zusammen, die die Cloud zugänglich macht und zu einer entsprechenden Steigerung des Innovationstempos geführt hat.

Mit der Zeit werden die Teams schneller und können Innovationen mit einer geringen Fehlerquote erreichen. Tatsächlich sind 43 % der Teams, die eine DevOps-Philosophie eingeführt haben, in der Lage, mindestens einmal pro Woche Code bereitzustellen und dabei eine Fehlerquote von unter 15 % beizubehalten.

Und wenn doch einmal ein Fehler auftritt, können sie ihn innerhalb eines Tages beheben. Noch beeindruckender ist, dass 46 % dieser Teams in der Lage sind, die Probleme innerhalb einer Stunde zu beheben. Leider ist auch bekannt, dass Cyberkriminelle weniger als einen Tag brauchen, und jede Lücke kann ausreichen, damit sie in den Unternehmenssystemen Fuss fassen und einen Vorfall verursachen.

Die anderen 57 % der Teams, von denen die meisten grosse Unternehmen sind, haben oft das Gefühl, dass ihr mangelndes Tempo Schutz bietet. Ein vorsichtiges Vorgehen in der Cloud ermöglicht ihnen eine massvollere Herangehensweise und reduziert ihre Fehlerquote. Das mag zwar stimmen, aber um sie herum findet dennoch ein Wandel statt. Die Cloud-Service-Provider selbst bewegen sich in einem rasanten Tempo.

Im Jahr 2020 haben die vier grossen Hyperscale-Anbieter über 5.000 neue Funktionen für ihre Dienste veröffentlicht.

https://www.trendmicro.com/content/dam/trendmicro/global/en/research/21/a/the-top-worry-in-cloud-security-for-2021/04-the-worry-in-cloud-security-for-2021.jpg

Für Single-Cloud-Anwender bedeutet das fast zwei neue Funktionen pro Tag … Minimum. Für die wachsende Zahl von Multi-Cloud-Benutzern nimmt das Tempo der Veränderungen noch zu.

Selbst wenn sich Ihr Team also langsam bewegt, verschiebt sich der Boden unter ihm schnell.

Ziel der Cybersicherheit

Das Ziel der Cybersicherheit ist eigentlich ziemlich einfach: Sicherstellen, dass das, was gebaut wurde, wie angedacht funktioniert und nur so.

In einer traditionellen On-Premises-Umgebung besteht dieser Standardansatz aus einem starken Perimeter und einer weitreichenden Sichtbarkeit über das gesamte Unternehmen hinweg. In der Cloud funktioniert das nicht. Das Tempo der Veränderungen ist zu schnell, sowohl intern als auch beim Provider. Kleinere Teams bauen mehr und mehr auf. Oft agieren diese Teams von vornherein ausserhalb der zentralen CIO-Infrastruktur.

Dies macht es erforderlich, dass die Sicherheit wie ein weiterer Aspekt eines guten Gebäudes behandelt wird. Sie kann nicht wie eine eigenständige Aktivität gehandhabt werden. Das klingt nach einer monumentalen Aufgabe, ist es aber nicht. Hier erweisen sich Sicherheitskontrollmechanismen als sehr wertvoll.

Geht es um Sicherheitskontrollmechanismen, so spricht man meistens darüber, was sie stoppen. Die Verwendung eines Intrusion Prevention Systems kann Würmer und andere Arten von Netzwerkangriffen stoppen. Anti-Malware-Schutzmassnahmen können Ransomware, Cryptominers und andere bösartige Verhaltensweisen stoppen, usw. Das ist hervorragend und funktioniert gut mit den Sicherheitsteams.

Builder jedoch haben eine andere Perspektive. Im richtigen Kontext ist es einfach zu zeigen, wie Sicherheitskontrollmechanismen ihnen helfen können, besser zu bauen. Das Posture Management stellt sicher, dass die Einstellungen erhalten bleiben, unabhängig davon, wie oft ein Team im Laufe der Woche Deployments durchführt. Netzwerkkontrollen stellen sicher, dass nur gültiger Datenverkehr den Code erreicht. Die Container-Zugangskontrolle stellt sicher, dass der richtige Container zur richtigen Zeit bereitgestellt wird.

Sicherheitskontrollmechanismen tun so viel mehr, als nur zu verhindern, dass etwas passiert. Sie geben Antworten auf kritische Fragen, die sich Entwickler immer öfter stellen. Zwei Kernfragen sind es:

  1. Was kann dieser Code sonst noch tun? (Sehr wenig dank der Sicherheitskontrollmechanismen)
  2. Bist Du Dir sicher? (Ja, ich setze die Mechanismen  ein, um sicherzugehen)

Wenn sie gut entwickelt und intelligent eingesetzt werden, helfen Sicherheitskontrollmechanismen den Teams, Lösungen zu liefern, die zuverlässiger, einfacher zu beobachten und verlässlicher sind.

Sicherheit hilft, besser zu bauen.

Gefahr durch die DoppelPaymer Ransomware

Originalbeitrag von Trend Micro Research

Im Dezember 2020 gab das FBI eine Warnung bezüglich DoppelPaymer heraus. Es handelt sich um eine Ransomware-Familie, die 2019 zum ersten Mal mit Angriffen auf Unternehmen in kritischen Branchen auffiel. Ihre Aktivitäten setzten sich auch 2020 fort, einschliesslich einer Reihe von Vorfällen in der zweiten Jahreshälfte, die die Geschäftsabläufe der Opfer empfindlich störten. Was macht diese Ransomware aus?

Dem FBI zufolge greift DoppelPaymer in erster Linie Unternehmen im Gesundheitswesen, Rettungsdienste und im Bildungswesen an. Die Ransomware war besonders aktiv im September und legte beispielweise die Kommunikation und den allgemeinen Betrieb in der Uniklinik Düsseldorf lahm.

Es wird angenommen, dass DoppelPaymer auf der BitPaymer Ransomware (die 2017 zuerst gesichtet wurde) beruht, weil es Ähnlichkeiten im Code, bei den Lösegeldforderungen und Zahlungsportalen gibt. Neben einigen anderen Unterschieden fällt auch auf, dass die Verschlüsselungsgeschwindigkeit von DoppelPaymer durch den Einsatz von Threaded Dateiverschlüsselung verbessert wurde.

DoppelPaymer benötigt korrekte Befehlszeilenparameter, bevor die Schadsoftware ihre bösartigen Routinen ausführt. Die Samples zeigen unterschiedliche Parameter. Diese Technik wird möglicherweise von den Angreifern verwendet, um eine Entdeckung durch Sandbox-Analysen zu vermeiden und um Sicherheitsforscher daran zu hindern, die Samples zu untersuchen. Der vielleicht außergewöhnlichste Aspekt der Schadsoftware ist die Verwendung eines Tools namens ProcessHacker, mit dem die Ransomware Dienste und Prozesse beendet, um Zugriffsverletzungen während der Verschlüsselung zu verhindern.

Wie bei vielen modernen Ransomware-Familien sind die Lösegeldforderungen von DoppelPaymer für die Entschlüsselung von Dateien mit 25.000 Dollar bis 1,2 Millionen Dollar beträchtlich. Darüber hinaus betreiben die Hintermänner seit Februar 2020 eine Data Leak-Seite und drohen den Opfern  mit der Veröffentlichung ihrer gestohlenen Dateien als Teil der Erpressung.

Die Routine der Ransomware

Bild. DoppelPaymers Infektionsroutine

DoppelPaymer nutzt eine ziemlich ausgefeilte Routine, die mit einer Infiltrierung des Netzwerks über bösartige Spam Mails startet. Sie beinhaltet Spear Phishing Links oder Anhänge, über die die Opfer geködert werden sollen, bösartigen Code auszuführen. Der wiederum lädt weitere Malware mit fortgeschrittenen Fähigkeiten (etwa Emotet) ins betroffene System. Emotet kommuniziert anschliessend mit seinem Command-and-Control (C&C)-Server, installiert verschiedene Module und lädt weitere Malware herunter, die er ausführt.

Bei der DoppelPaymer-Kampagne wurde der C&C-Server zum Herunterladen und Ausführen der Dridex-Malware-Familie verwendet, die wiederum entweder DoppelPaymer direkt oder Tools wie PowerShell Empire, Cobalt Strike, PsExec und Mimikatz herunterlädt. Jedes dieser Tools wird für verschiedene Aktivitäten verwendet, z. B. zum Stehlen von Anmeldeinformationen, zur lateralen Bewegung innerhalb des Netzwerks und zum Ausführen verschiedener Befehle, wie Deaktivieren von Sicherheitssoftware.

Wenn Dridex in das System eindringt, führen die Angreifer die Ransomware nicht sofort aus, sondern die Schadsoftware versucht, sich lateral im Netzwerk des betroffenen Systems zu bewegen, um ein wertvolles Ziel zu finden, von dem sie wichtige Informationen stehlen kann. Erst wenn dieses Ziel gefunden ist, führt Dridex seine endgültige Payload, DoppelPaymer, aus. Diese verschlüsselt die im Netzwerk gefundenen Dateien, sowie feste und Wechsellaufwerke im betroffenen System.

Schliesslich ändert die Ransomware die Benutzerkennwörter, bevor sie einen Systemneustart in den abgesicherten Modus erzwingt, um zu verhindern, dass der Benutzer das System verlässt. Dann ändert sie den Hinweistext, der erscheint, bevor Windows zum Anmeldebildschirm übergeht. Der neue Hinweistext enthält nun die Lösegeldforderung, die Benutzer davor warnt, das System zurückzusetzen oder herunterzufahren sowie die verschlüsselten Dateien zu löschen, umzubenennen oder zu verschieben. Der Hinweis enthält auch die Drohung, die sensiblen Daten der Öffentlichkeit zugänglich zu machen, sollte das geforderte Lösegeld nicht bezahlt werden.

Empfehlungen zum Schutz vor DoppelPaymer

Unternehmen können sich vor Ransomware wie DoppelPaymer schützen, wenn sie die Security Best Practices befolgen:

  • Nicht Öffnen von ungeprüften E-Mails und kein Anklicken von in der Mail eingebetteten Links oder Anhänge
  • Regelmässiges Backup wichtiger Dateien nach der 3-2-1-Regel: Drei Kopien in zwei unterschiedlichen Dateiformaten, Ablage eines der Backups an einem separaten physischen Standort.
  • Sowohl Software als auch Anwendungen mit den neuesten Patches aktualisieren, und das so schnell wie möglich.
  • Sicherstellen, dass Backups geschützt und abgekoppelt vom Netzwerk sind.
  • Auditieren der Nutzerkonten in regelmässigen Abständen – vor allem diejenigen Konten, die öffentlich zugänglich sind, wie etwa Remote Monitoring und Management.
  • Monitoring des ankommenden und abgehenden Netzwerkverkehrs, mit Alerts bei Datenexfiltrierung.
  • Implementieren von Zweifaktor-Authentifizierung.
  • Einsetzen des Prinzips der geringsten Privilegien für Dateien, Verzeichnisse und Netzwerkfreigaben.

Der Originalbeitrag enthält auch die Indicators of Compromise (IOCs).

Digitale Transformation nimmt zu, Sicherheit wird weniger

von Trend Micro

Die digitale Transformation hat während des letzten Jahres Fahrt aufgenommen, das ist Tatsache. Die Unternehmensberatung McKinsey stellt fest, dass Unternehmen, die ihre digitale Strategie auf „Ein- bis Dreijahres-Phasen“ eingerichtet hatten, nun auf Schritte in nur Tagen oder Wochen übergehen. Trend Micro wollte herausfinden, ob die Beschleunigung der Migration in die Cloud auch mit dem erforderlichen Sicherheitsbewusstsein einhergeht. Das Ergebnis einer diesbezüglichen Umfrage ist ernüchternd: 84 Prozent der Schweizer Unternehmen haben zwar ihre Cloud-Migration intensiviert, doch fast keines versteht dabei seine Verantwortung für die Sicherheit.

Im Auftrag von Trend Micro befragte Sapio Research im Oktober 2020 insgesamt 2565 Entscheidungsträger in 28 Ländern (davon 70 in der Schweiz) aus verschiedenen Branchen und von Unternehmen aller Grössenordnungen mit Schwerpunkt auf Grossunternehmen.

84% der Schweizer Befragten (88% weltweit) bestätigten, dass ihr Unternehmen die Geschwindigkeit der IT-Modernisierung während des letzten Jahres erhöht hat – verständlich, angesichts des enormen Wandels zu Remote-Arbeitsumgebungen, der Notwendigkeit, Geschäftsprozesse zu verschlanken und neue, innovative Möglichkeiten für die Kundenkommunikation zu finden. Dabei scheinen die befragten Unternehmen in der Schweiz durchaus zuversichtlich zu sein, was die Cybersicherheit in der Cloud angeht:

  • 44 Prozent geben an, dass die Beschleunigung der Cloud-Migration ihren Fokus auf Security-Best-Practices verstärkt hat (51 Prozent weltweit).
  • 76 Prozent sind überzeugt, dass sie die Sicherheit ihrer Remote-Arbeitsumgebung vollständig oder grösstenteils unter Kontrolle haben (87 Prozent weltweit).
  • 72 Prozent glauben, dass sie vollständig oder grösstenteils die Kontrolle über die Sicherheit ihres zukünftigen hybriden Arbeitsplatzes haben werden (83 Prozent weltweit).

Gefährliche Zuversicht

Andererseits scheint bei den Unternehmen grosse Verwirrung darüber zu herrschen, wie effektiv die Cloud-Sicherheitsstrategie ist. Fast die Hälfte der Befragten (53% in Deutschland und 45% weltweit) geben zu, die Sicherheit als ein „sehr signifikantes“ oder „signifikantes“ Hindernis für die Cloud-Einführung zu sehen. Die drei grössten alltäglichen Probleme beim Schutz von Cloud Workloads sind das Festlegen konsistenter Richtlinien (43 Prozent), Herausforderungen beim Ausrollen (31 Prozent), und eine fehlende Integration mit On-Premise-Sicherheitslösungen (30 Prozent).

Bei der Migration zu Cloud-basierten Sicherheitstools werden Datenschutz (54 Prozent), begrenztes Budget (37 Prozent) und Compliance (34 Prozent) von ihnen als die drei wesentlichen Hindernisse wahrgenommen.

Die Umfrage zeigt auch, dass es immer noch einige Missverständnisse rund um das Shared Responsibility Model gibt. Dieses beschreibt, für welche Bereiche der Sicherheit der Cloud Service Provider zuständig ist, und wo der Kunde übernehmen muss. Da beunruhigt die Überzeugung von 91 Prozent (92 Prozent weltweit) der Befragten, die einerseits angaben, das Modell zu verstehen und sich ihrer Verantwortung für die Sicherheit in der Cloud bewusst zu sein. Andererseits doch glauben fast alle (97 Prozent in der Schweiz und weltweit), dass ihr Cloud-Service-Provider (CSP) einen ausreichenden Schutz für ihre Daten bietet.

Tatsächlich aber ist es der Kunde, der Verantwortung für den Schutz seiner Daten und Anwendungen in der Cloud übernehmen muss. Die Cloud Security Alliance erklärt: „Indem Sie die Kontrolle über Informationen und Daten behalten, bestimmen Sie selbst, wie und wann Ihre Daten verwendet werden. Ihr Provider hat keinerlei Einblick in Ihre Daten, und der gesamte Datenzugriff wird von Ihnen by-Design kontrolliert.“

Vielleicht liegt es an diesem Missverständnis, dass weltweit nur 55 Prozent zusätzliche Tools von Drittanbietern verwenden, um ihre Cloud-Umgebungen zu sichern. Dies deutet darauf hin, dass es erhebliche Abdeckungslücken geben könnte.

Eine Strategie festlegen

Wie können Unternehmen also einen sicheren Weg einschlagen und die Vorteile der Cloud nutzen, ohne das Cyber-Risiko zu erhöhen? Der richtige Anbieter kann eine wichtige Rolle spielen: Er kann das Patchen automatisieren und Richtlinien an jede VM, jeden Container und jeden Endpunkt weitergeben, um die Sicherheit und Compliance zu optimieren. Virtuelle Patching-Funktionen können auch dazu beitragen, eine der grössten operativen Herausforderungen von IT-Leitern in Bezug auf die Sicherheit von Workloads zu bewältigen – das Abschirmen anfälliger Systeme vor bekannten und unbekannten Bedrohungen, bis ein offizieller Patch bereitgestellt werden kann.

Zu den Sicherheitslösungen für Cloud-Umgebungen, die von den befragten Unternehmen in der Schweiz als am wichtigsten eingestuft wurden, gehören Tools für Netzwerkschutz (31 Prozent), Cloud Security Posture Management (21 Prozent) und Cloud Access Security Broker (CASB, 20 Prozent).

Mehrwert für XDR durch Partnerschaften

Originalbeitrag von Trend Micro

Trend Micro schützt seine Kunden seit über drei Jahrzehnten vor Cyber-Bedrohungen. Die langjährige Erfahrung hat aber auch gezeigt, dass keine IT-Umgebung völlig homogen ist. Ob durch Zufall, Übernahmen oder aufgrund des Designs müssen Technologieverantwortliche in der Regel eine gemischte Umgebung aus mehreren Legacy- und Next-Gen-Produkten verschiedener Anbieter verwalten. Im Sicherheitsbereich kann dies zur Entstehung von Silos und Abdeckungslücken führen, wenn diese individuellen Lösungen nicht richtig zusammenarbeiten. Um einen maximalen Wert für Kunden und deren Sicherheitslage liefern zu können, arbeitet Trend Micro mit Partnern zusammen, wo immer dies möglich ist. So gibt es etwa eine solche Zusammenarbeit mit Unternehmen wie Fortinet über eine offene Integration deren Security Orchestration, Automation and Response (SOAR)-Plattform mit Trend Micro XDR.

Erweiterte Detection-and-Response (XDR) stellt laut Gartner den stärksten Trend 2020 in der Sicherheit und der Risikominimierung dar. Der Grund dafür ist, dass die Entdeckung und Reaktion auf Bedrohungen immer schwieriger wird, weil sowohl die Zahl als auch die Raffiniertheit der Angriffe steigt, wobei gleichzeitig die Angriffsfläche in den Unternehmen grösser wird. Einem ESG Report zufolge wenden die Sicherheitsteams von mehr als einem Drittel der Unternehmen die meiste Zeit für Notfälle auf, statt sich um Strategie oder Verbesserungen an den Prozessen zu kümmern.

Trend Micro XDR erweitert die Bedrohungserkennung und -bekämpfung (Detection and Response) über den Endpunkt hinaus, indem Daten über E-Mails, Endpunkte, Server, Clouds, Netzwerke und die Trend Micro-eigenen Bedrohungsdaten miteinander korreliert werden, um weniger, aber aussagekräftigere Alarme zu erzeugen.

Partner erweitern Funktionalität von XDR

Doch ist auch bekannt, dass Kunden neben XDR zum Beispiel auch SIEM- und SOAR-Plattformen betreiben wollen. Diese können für die Mitarbeiter des Security Operations Center (SOC) eine wertvolle Arbeit leisten, indem sie Bedrohungsdaten aus verschiedenen Quellen abrufen und korrelieren und eine Reaktion automatisieren.

Deshalb besteht die XDR Strategie darin, sich über eine einfache API in diese Lösungen von ausgewählten Partnern zu integrieren. Ein solcher Partner ist Fortinet, dessen FortiSOAR-Angebot darauf ausgelegt ist, die Fähigkeit der Kunden zur Erkennung und Reaktion auf Bedrohungen zu verbessern.

Die neue offene Integration für Trend Micro ApexOne mit Fortinets Lösung ermöglicht die Koordination proaktiver Massnahmen und automatisierter Reaktionen über eine einfache API, die über automatisierte Playbooks schnelle Reaktionsmöglichkeiten bietet. Mithilfe von Playbooks können Operation-Teams automatisierte Vorgänge, wie das Erstellen einer Live-Untersuchung, das Ausführen von Aktionen auf Sicherheitsendpunkten und Listen von verwalteten Endpunkt-Sicherheitsagenten, problemlos durchführen.

Der offene Ansatz beider Unternehmen machte es einfach, einen Konnektor zwischen den Produkten zu erstellen, der in Kürze weltweit zugänglich gemacht werden wird. Trend Micro XDR erstellt auf Basis seiner nativen Telemetrie priorisierte Alarme und sendet diese an die SIEM/SOAR-Plattformen der Kunden, wo sie bei Bedarf Daten aus anderen Quellen integrieren können, um eine Bedrohungsreaktion zu optimieren.

Diese Integration ist nur der Anfang der gemeinsamen Partnerschaft und wird bald um weitere Funktionen in Trend Micro XDR erweitert, die über den Endpunkt hinausgehen und für mehr Transparenz und Sicherheit sorgen.

MITRE ATT&CK als Hilfe bei Identifizierung eines APT-Angriffs

Originalartikel von Lenart Bermejo, Threat Engineer, Gilbert Sison, Cyber Threat Hunting Technical Lead und Buddy Tancio, Incident Response Analyst

Sicherheitsteams und Forscher sind auf öffentlich dokumentierte Analysen von Tools, Routinen und Verhaltensweisen angewiesen, um sich über die neuesten Erkenntnisse in der Cybersicherheitslandschaft zu informieren. Öffentliche Informationen dienen als Referenz für die bekannten Taktiken, Techniken und Prozeduren (TTPs), um Abwehrmassnahmen gegen Advanced Persistent Threats (APTs) zu installieren und Angriffe zu verhindern. Theoretisches Wissen über die Abwehr eines Angriffs unterscheidet sich jedoch erheblich von der Erfahrung aus erster Hand. Das Fallbeispiel eines Unternehmens soll dies aufzeigen.

Die veröffentlichten Routinen, Tools und Verhaltensweisen können sich für jedes anvisierte Unternehmen oder jede Branche bei der Angriffsausführung durch die kriminellen Gruppen unterscheiden. Angesichts des Aufwands und der Ressourcen, die in die Erforschung und die Mittel zum Eindringen fließen, werden die Bedrohungsakteure sicherstellen, dass sie jedes Mal andere Methoden einsetzen, bei der Erkundung verborgen bleiben, verdeckt Befehle senden und Informationen empfangen, ihren Datenverkehr verschleiern und so lange wie möglich weitere Geräte infizieren. Hier kommen Forscher, Analysten und technologische Lösungen ins Spiel.

Die Sicherheitsforscher von Trend Micro wurden vom Sicherheitsteam eines Unternehmens zu Hilfe gerufen, nachdem das Team verdächtigen Command-and-Control (C&C)-Verkehrsaustausch von einem der Server aus entdeckt hatte. Diesen Verkehr galt es zu untersuchen und zu analysieren. Die Experten erhielten Zugang zu einer begrenzten Anzahl von Maschinen und Daten, um Rückmeldungen und Ereignis-Logs zu untersuchen, einschließlich Festplatten- und Speicher-Images. Ohne eine Endpoint Detection and Response (EDR)- oder eine Cross-Layered Detection and Response (XDR)-Lösung gab es jedoch keine Möglichkeit, alle Samples und Tools zu sammeln, die wahrscheinlich unentdeckt in der Umgebung des unzugänglichen Systems liefen. Dieser Mangel hinderte die Ermittlungs- und Sicherheitsteams daran, eine vollständige Abbildung zu erstellen und Angriffe zuzuordnen.

Umfang und erste Analyse des Angriffs

Eine erste Analyse der Logs ergab insgesamt 62 infizierte Maschinen: 10 Server, 13 Rechner mit Binärdateien, die zum File Scraping und zur Datenexfiltration fähig waren, 22 Rechner mit Backdoor-Shells und weitere Rechner, auf denen andere Tools und normale Anwendungen liefen, die zum Laden bösartiger Binärdateien missbraucht wurden.

Bild 1. Erste Untersuchung der Routine auf Basis der gesammelten und analysierten vorläufigen Daten

Die Backdoor ermöglicht es dem Angreifer, Befehle über cmd.exe auszuführen. Ausserdem wurden Tools wie Mimikatz verwendet, um Benutzerkonten zu übernehmen. Mithilfe von Netzwerk-Scanner-Tools suchten sie andere zu infizierende Computer und banden sie in ein bösartiges Netzwerk ein, über das die Backdoor weitere Tools aus der Ferne ablegen konnte. Um die per Fernzugriff platzierte Binärdatei auszuführen, erstellten sie entweder einen zeitgesteuerten Task oder verwendeten den Befehl wmic process create. In mehreren Fällen wurden Kopien der Backdoor abgelegt, und auch die Tools variierten.

Die Angreifer hatten es vor allem auf Dateien wie PDFs und Microsoft Office abgesehen. Ausserdem ist es wahrscheinlich, dass diese Angriffe schon seit einigen Jahren liefen, das lassen die Zeitstempel der Binärdateien und die Verbreitung der Infektion vermuten. Die Forscher verglichen die gefundenen Routinen und Tools mit MITRE ATT&CK und stellten fest, dass die gesichteten Techniken sowohl mit APT32 als auch mit APT3 übereinstimmen, mit Ausnahme einiger unterschiedlicher Techniken, die nicht zugeordnet werden konnten.

Analysen und Zuordnung

Mit Blick auf die Variationen der Techniken analysierten die Forscher die Tools und Beziehungs-Cluster, die die Routinen verwendeten und mit denen sie sich mit den fünf Endpunktzielen mit der grössten Anzahl an Installationen verbanden. Sie fanden sechs Arten von Datenexfiltrations-Tools, sechs Backdoors und fünf verschiedene Tools, die für unterschiedliche Zwecke eingesetzt wurden. Viele dieser Tools nutzten die unternehmensinternen Systeme und Software, wie z. B. das Dokumentenmanagementsystem mit einer MySQL-Backend-Datenbank. Ausserdem fanden sie sechs Beziehungs-Cluster, die die Tools mit den bösartigen Routinen verbanden, sowie vier Einbruchs-Sets, die mit früher dokumentierten Kampagnen von APT-Gruppen und Untergruppen übereinstimmten. Diese Tools und Beziehungen sind im Whitepaper „Finding APTX: Attributing Attacks via MITRE TTPs“ im Detail beschrieben.

Die Gruppen, denen die Forscher den Angriff zuschreiben, verwenden unterschiedliche Toolsets und haben starke Verbindungen zu anderen Gruppen, die bereits von anderen Forschern beschrieben worden sind. Auch die Schreibstile sind sehr unterschiedlich. Das zeigt sich daran, wie dicht gepackt oder „aufschlussreich“ die Tools sind. Auch sind die Redundanzen in den Datenexfiltrations-Prozessen der einzelnen Angriffssets nicht verwunderlich, wenn man bedenkt, dass das Ziel kontinuierlicher Informationsdiebstahl, Datenaktualisierungen und eine verlängerte verborgene Präsenz im System sind.

Fazit

Opferorganisationen sind glücklicherweise in der einzigartigen Lage, die Indicators of Compromise (IOCs) festzustellen, die sie als Referenz verwenden können. Dank der heute verfügbaren technischen Lösungen (z. B. EDR und XDR) könnten undefinierte Logs fehlende Zusammenhänge identifizieren und nachweisen, die zur Erstellung eines vollständigen Abbilds des Eindringens erforderlich sind.

Diese Lösungen könnten den Zeitaufwand für die Identifizierung und Rekonstruktion der Ereignisse, wie den Angriffsablauf, reduzieren. Dennoch spielt die Kooperation von Sicherheits- und Untersuchungsteams eine entscheidende Rolle bei der Identifizierung, Verhinderung und Entschärfung von Bedrohungen, oder bei der Zuordnung zu den verantwortlichen Gruppen.

Die gesamte technische Analyse ist Inhalt des Whitepapers „Finding APTX: Attributing Attacks via Mitre TTPs“.

Backdoors zeigen sich erst, wenn sie genutzt werden

Originalartikel von Greg Young

Wenn Regierungen oder Geheimdienste vorschlagen, ein Telefon, ein Kryptographie-Tool oder ein Produkt mit einer Backdoor auszustatten, sind sich alle Teams darüber einig, dass dies eine sehr schlechte Idee ist. Sicherheitslücken oder Schwachstellen in Produkten sind schwer zu finden. Bei Exploits fällt es leichter, sobald man die Schwachstellen kennt. Aber eine absichtliche Backdoor, ob vom Hersteller oder vom Einschleuser installiert, ist vielleicht die am schwierigsten zu identifizierende Malware.

Eine Backdoor ist eine Schwachstelle und ein Exploit in einem und es bedarf keiner Malware. Zur Klarstellung: Backdoor bedeutet in diesem Zusammenhang, dass sie sich in einem legitimen Produkt-Release befindet und nicht als eine nachträgliche Auslagerung in der Supply Chain. Das mit einer Backdoor versehene System verfügt über ein legitimes Zertifikat und wird alle Hash-, Grössen- und Validierungsprüfungen bestehen. Im Gegensatz zu einer Schwachstelle ist die Backdoor mit allen von seinen Entwicklern gewünschten Sicherheits- und Verschleierungsmassnahmen ausgestattet, wodurch sie für Bedrohungsforscher nahezu nicht aufzuspüren ist. Und jeder Kunde dieses Produkts hat diese Backdoor, und die kann genutzt werden. Wenn der Backdoor-Code also effektiv unauffindbar ist, können sie dann überhaupt entdeckt werden?

Ja, allerdings nicht im inaktiven Zustand (d. h. bevor irgendwelche Aktionen ausgeführt werden). Sobald die Backdoor genutzt wird, kann selbst die bestens getarnte Backdoor entdeckt werden, wenn auch nicht ohne weiteres. Traditionelles Pattern Matching für Exploits hilft nicht weiter, es sei denn, die Backdoor verteilt intern bereits bekannte Malware. Auch auf Schwachstellen basierende IPS-Signaturen erkennen sie in den frühen Stadien nicht. Sie können zwar Verhaltensänderungen entdecken, sobald die Backdoor genutzt wird, haben es aber leichter, wenn klare Indicators of Compromise (IOCs) verteilt werden.

Mit den IOCs sind rückwirkende Suchläufe möglich. Dies kann eine frühe Überprüfung des Ausmasses der Kompromittierung darstellen. Ein Problem dabei wäre, dass häufig Infrastruktursoftware auf der „Safe“-Liste steht oder als „bekannt gut“ gekennzeichnet ist, was bedeutet, dass viele der primären Sicherheitsvorkehrungen angewiesen sind, das mit einer Backdoor versehene System zu ignorieren.

Kritischer Zeitraum zwischen erster Backdoor-Nutzung und ausgestellten IOCs

Doch was passiert, bevor diese IOCs allgemein bekannt sind? Digitale Anhaltspunkte für einen Angriff gibt es schon, bevor die IOCs verfügbar sind, aber kein einzelner Indikator ist ausreichend, um eine Bedrohung zu identifizieren.

Änderungen in den Kommunikationsmustern wären ein solcher Indikator, aber diese sind sehr unauffällig. Viele Systemmanagement- und Backup-Softwaresysteme kommunizieren absichtlich mit einer Vielzahl von Ressourcen. Doch man kann davon ausgehen, dass die Häufigkeit oder die Art dieser Kommunikation möglicherweise anders ausfällt. Grössere Pakete, Austauschvorgänge, die nicht der Norm entsprechen, und wiederholte externe Kommunikation, z. B. mit Command-and-Control-Servern, sind zusätzliche Indikatoren.

XDR-Produkte sind speziell darauf zugeschnitten, Logs der Sicherheits-Events und andere Event-Daten in einem sogenannten Data Lake vorzuhalten, um nach verdächtigen Mustern suchen zu können. Wo diese Muster nicht so ausgeprägt sind, hat ein Threat-Hunter im SOC zumindest Daten für die Analyse zur Verfügung, die aus vielen Quellen gesammelt wurden.  XDR ist besser ist als EDR allein, weil XDR alle EDR-Daten plus Telemetrie und Daten aus Quellen wie E-Mail, Netzwerkgeräten, DNS und anderen sammelt.

Dieser Data Lake mit Telemetriedaten bietet auch einen zusätzlichen Nutzen, indem er rückblickend betrachtet das Ausmass des Angriffs erkennen lässt. Dazu wird der Verlauf der Interaktionen untersucht, die darauf hinweisen könnten, dass unerwarteter Code ausgeführt wurde oder eine Datenexfiltration wahrscheinlich war. Diese Ereignisse können mit Telemetrie und XDR aufgespürt werden.

Blick nach vorn

Ein weiterer Vorteil ist die Dauer der Datenspeicherung. Jetzt sollten alle SOC-Teams dies überprüfen – die Ereignisse der letzten Woche könnten eine Mahnung sein, dass die Angreifer bei den fortschrittlichsten Attacken nicht dieselben Methoden verwenden werden.

XDR ist ein grossartiges neues Instrument bei der Jagd auf fortgeschrittene Angriffe und bei der Bestimmung und Begrenzung des Umfangs dieser Angriffe. Auch für den fortschrittlichsten Angriff – ein durch ein Backdoor manipuliertes legitimes Produkt – stellt sich heraus, dass es auch hier Hilfe gibt.

Pawn Storm: Einfachheit als Strategie

Originalbeitrag von Feike Hacquebord, Lord Alfred Remorin

Bei der Entdeckung eines einfachen Remote Access-Trojaner (RAT) im Netzwerk, denkt man nicht gleich einen Advanced Persistent Threat (APT)-Akteur als Angreifer. Brute-Force-Angriffe auf Services wie E-Mail, Microsoft Autodiscover, SMB, LDAP und SQL im Internet sind zudem mittlerweile so häufig, dass sie Hintergrundrauschen durchgehen, das man ignorieren kann. 2020 setzte die berüchtigte APT-Gruppe Pawn Storm genau diese nicht sehr komplizierten Angriffsmethoden so häufig ein, dass ihre Attacken im allgemeinen Rauschen untergehen konnten.

2020 verbreitete Pawn Storm einfache Google Drive- und IMAP-RATs, um ihre üblichen Ziele anzugreifen, so etwa Aussenministerien, Botschaften, die Verteidigungsindustrie und Militäreinrichtungen. Die RATs wurden auch an ein breite Ziele verschiedener Branchen auf der ganzen Welt geschickt. Die Gruppe führte darüber hinaus ausgedehnte Brute-Force-Angriffe durch, um Anmeldeinformationen zu stehlen, z. B. die von E-Mail-Konten von Unternehmen. Dies belegen die Netzwerkproben, die Trend Micro Pawn Storm zuschreibt, und auch die Art und Weise, in der die Akteure kompromittierte E-Mail-Konten für das Versenden von Spear Phishing-Mails missbrauchten. Pawn Storm hat sogar kompromittierte militärische und regierungsnahe E-Mail-Adressen in seiner IMAP-RAT-Malware fest codiert, um mit den Computern der Opfer zu kommunizieren. Kürzlich erklärten norwegische Behörden, Pawn Storm habe das norwegische Parlament gehackt.

Inkrementelle Verbesserungen bei nachfolgenden Versionen der Malware deuten auf eine Lernkurve des Malware-Autors hin, die eher für einen unerfahrenen Akteur als für einen erfahrenen Täter typisch ist. Anfänglich waren die RATs so einfach, dass sie nicht einmal internationale Tastaturen berücksichtigten. Das bedeutet, dass es für den Angreifer schwierig gewesen sein dürfte, die Festplatten der Opfer mit Dateien und Ordnern zu erfassen, die internationale Zeichen enthalten. Dieser Fehler wurde schnell korrigiert, zeigt aber die relative Unerfahrenheit dieses speziellen Pawn Storm-Betreibers. Spätere Versionen der RAT-Malware begannen Verschlüsselung zu verwenden. Die einzige Neben-Payload, die die Forscher fanden, war ein einfacher Keylogger, der gestohlene Informationen lokal auf den Rechnern der Opfer speichert.

Es wäre schwierig, diese Malware Sample Pawn Storm zuzuschreiben. Und ein typischer Netzwerkadmin hätte den Ursprung dieser Art von Malware bei keinem APT-Akteur vermutet. Dennoch konnten die Sicherheitsforscher aufgrund des Langzeit-Monitorings diese Samples sicher Pawn Storm Aktivitäten zuordnen.

Kürzliche Pawn Storm-Aktivitäten

Kompromittierung von Nutzerkonten im Mittleren Osten

Trend Micro hat die Aktivitäten von Pawn Storm genau und konsequent überwacht und im März 2020 die neuesten Forschungsergebnisse zu der Gruppe veröffentlicht. Das Paper zeigt auf, dass Pawn Storm kompromittierte Konten – vor allem im Mittleren Osten – massiv missbraucht, um Spear Phishing-Mails zu versenden. Anfang Dezember nutzte die Gruppe beispielsweise einen VPN-Dienst, um sich mit einem kompromittierten Cloud-Server zu verbinden, und verwendete dann den Server für die Verbindung mit einem kommerziellen E-Mail-Provider für Unternehmen. Die Gruppe meldete sich dann bei einem kompromittierten E-Mail-Konto einer Hühnerfarm im Oman an und verschickte anschließend Credential Phishing-Spam an hochrangige Ziele auf der ganzen Welt. Dies zeigt, dass Pawn Storm sorgfältig darauf bedacht ist, seine Spuren über mehrere Ebenen hinweg zu verwischen.

Seit August 2020 verwenden sie diese Mail-Adressen nicht nur für das Verschicken von Spear Phishing-Mails sondern auch als Kommunikationsweg mit kompromittierten Systemen in IMAP RATs.

Brute Force-Angriffe

Die Sicherheitsforscher gehen davon aus, dass Pawn Storm viele Mailkonten über Brute Force-Angriffe auf Services wie E-Mail, Microsoft Autodiscover, SMB, LDAP und SQL im Internet kompromittiert. So scannte Pawn Storm im Mai 2020 weltweit IP-Adressen, darunter auch solche aus der Verteidigungsindustrie in Europa, auf den TCP-Ports 445 und 1433, wahrscheinlich um angreifbare SMB- und SQL-Server zu finden oder Anmeldeinformationen mit Brute-Force zu sammeln. Im August 2020 schickte Pawn Storm ausserdem UDP-Tests an LDAP-Server auf der ganzen Welt von einer ihrer dedizierten IP-Adressen.

Pawn Storm versucht häufig, diese Brute-Force-Versuche zu verschleiern, indem sie den Angriffsverkehr über Tor- und VPN-Server leiten. Dies reicht jedoch nicht immer aus, um die Aktivitäten zu verbergen. In einem Microsoft-Artikel über das Brute-Forcing von Office365-Anmeldeinformationen über Tor schrieb Microsoft die Aktivitäten Strontium zu, ein anderer Name für Pawn Storm. Trend Micro schrieb Anfang 2020 über ähnliche Angriffe, die 2019 begannen und eindeutig Pawn Storm zuzuordnen waren, weil die Sicherheitsforscher das umfangreiche Sondieren von Microsoft Autodiscover-Servern auf der ganzen Welt mit hochgradig zuverlässigen Indikatoren für die traditionelleren Angriffsmethoden der Gruppe (Spear-Phishing und Credential-Phishing) in Beziehung setzen konnten.

An technischen Einzelheiten Interessierte finden im Originalbeitrag die Analyse anhand eines Beispielfalls.

Trend Micro-Lösungen

Für das extensive Monitoring empfiehlt sich Trend MicroTM XDR, auch weil die Überwachung über alle vernetzten Ebenen von E-Mail, Endpoints, Cloud Workload und Netzwerke hinweg durchgeführt wird. Die Lösung wird von fortschrittlicher KI und Sicherheitsanalysen für die Datenkorrelation unterstützt. Somit ermöglicht XDR die Entdeckung und Reaktion auf einen Angriff bereits zu einem frühen Zeitpunkt.

Mit Trend Micro Managed XDR erhalten Kunden einen 24/7-Service, der die Fähigkeiten erfahrener Managed Detection and Response-Analysten für die fachkundige Überwachung, Korrelation und Analyse von Bedrohungen nutzt.

Indicators of Compromise sowie die relevanten IP-Adressen listet ebenfalls der Originalbeitrag auf.

Sicherheit beim Einsatz der Cloud-Collaboration-Software Slack

Originalartikel von Erin Johnson, Threat Researcher

Mitarbeiter der derzeitigen dezentralen Belegschaft haben neue Bedürfnisse, um ihre Arbeit effektiv zu erledigen. Dazu gehört auch eine Möglichkeit, in einem Konferenzraum zusammenzuarbeiten oder über die Kabinenwand hinweg zu kommunizieren. Die von Salesforce kürzlich übernommene Cloud-Collaboration-Software Slack ist für viele Teams zum integralen Bestandteil ihrer täglichen Interaktion und Arbeit geworden. Dem Unternehmen zufolge hat der Dienst mehr als 12 Millionen aktive Nutzer täglich und wird von 65 der Fortune 100-Firmen eingesetzt. Nach dem Abschluss der Übernahme und der vollständigen Integration durch Salesforce dürfte sich in Slack noch einiges ändern, aber das wird wohl noch eine ganze Weile dauern. Doch gibt es eine Menge Unternehmensdaten und potenziell vertrauliche Informationen, die über die Plattform ausgetauscht werden, und um deren Sicherheit sich Anwender auf jeden Fall Gedanken machen müssen.

Slack hat bereits wichtige Schritte unternommen, um die allgemeine Sicherheit der Plattform zu verbessern. Dazu gehören Updates, die einige der Ursachen für vergangene Sicherheitsverletzungen und Lecks behoben haben. Zwei grosse Änderungen, die die allgemeine Sicherheit der Plattform verbessern, sind:

  • Identitäts- und Gerätemanagement
  • Verschlüsselung für Daten „At Rest“ und „In Transit“

Administratoren können nun Zugriffs-Logs verwenden, um sicherzustellen, dass sich keine böswilligen Benutzer in ihrem Arbeitsbereich aufhalten. Dies eignet sich auch, um das normale Benutzerverhalten für einen Arbeitsbereich zu überprüfen. Die Single-Sign-On-Integration wiederum hilft zu gewährleisten, dass nur Personen mit bewilligten Geräten auf den Arbeitsbereich zugreifen können. SSO verhindert auch, dass ehemalige Mitarbeiter auf Daten zugreifen, nachdem sie das Unternehmen verlassen haben.

Verschlüsselung, in letzter Zeit ein heisses Thema bei allen Kommunikationsplattformen, ist ebenfalls hinzugekommen, und zwar für alle Daten im Ruhezustand (At Rest) und bei der Übertragung (In Transit). Zudem existiert eine Option, um die Verschlüsselung mit Slack Enterprise Key Management (EKM) zu verschärfen. EKM nutzt das AWS Key Management System (KMS), um Administratoren die volle Kontrolle über den Datenzugriff innerhalb eines Arbeitsbereichs zu geben. Sie können den Zugriff auf verschlüsselte Nachrichten, Dateien und sogar den Suchverlauf auf granularer Ebene mit eigenen Schlüsseln gewähren oder entziehen, ohne Auswirkungen auf die Benutzerfreundlichkeit oder Ausfallzeiten.

Derzeit gibt es Slack für Windows und Mac in der Version 4.11.1, und alle Anwender sollten zumindest die Version 4.4.0 aus dem März 2020 einsetzen. Eine Auflistung der wichtigsten Sicherheits-Updates und der Daten ihrer Einführung enthält der Originalbeitrag. Nahezu jede monatliche Aktualisierung beinhaltete ein sicherheitsrelevantes Update.

Fragen zur Sicherheit und dem Schutz von Slack-Arbeitsbereichen

Die Fragen enthalten die Hauptanliegen, die ein Unternehmen bezüglich der Sicherheit beim Einsatz von Slack lösen müssen.

  • Was wird mit dem Arbeitsbereich verbunden?

Ein Hauptanliegen bezieht sich auf Apps. Die Konnektivität in Slack ist ein zweischneidiges Schwert, denn auf der Plattform kann jede Ressource über eine App integriert werden, und jeder kann eine App für das App-Verzeichnis oder seinen eigenen Arbeitsbereich schreiben. Doch unterzieht Slack die Apps einem Sicherheitsüberprüfungsprozess, bevor sie öffentlich zugänglich gemacht werden. Dennoch wird es immer Fehler geben, und unsichere Apps werden unweigerlich durch den Prüfprozess schlüpfen.

Positiv zu werten ist, dass Slack-Apps und Bots nun ähnlich funktionieren und die Kontrolle durch Admins einschliessen. Damit haben Admins eine grössere Einflussmöglichkeit darauf, was zu einem Arbeitsbereich hinzugefügt werden kann, und sie können auch das Hinzufügen von Benutzern einschränken. Damit haben sie auch die Kontrolle darüber, auf welche Apps zugegriffen werden kann — früher ein Sicherheitsproblem.

Um das Risiko zu mindern, sollten jedoch Anwender wie bei jeder mobilen App prüfen, wer die App im Verzeichnis veröffentlicht hat. Soll Slack um eine O365-Integration erweitert werden, und es findet sich eine App, die nicht von Microsoft erstellt wurde, ist es möglicherweise nicht die geeignete App. Unabhängig vom Entwickler sollte auch geprüft werden, welche Berechtigungen die App fordert. Die Analyse durch Trend Micro zeigte, dass Slack-Apps mit sehr weit gefassten Berechtigungen arbeiten — das geht sogar so weit, dass ein universeller Lese- und Schreibzugriff gewährt wird, der als Benutzer fungiert. Anwender müssen deshalb entscheiden, ob dies ein akzeptables Risiko für ihr Unternehmen darstellt.

  • Wie greifen Nutzer auf die Arbeitsbereiche zu, und wie interagieren sie dort?

Phishing kann bei Slack viele Formen annehmen. Ein Angreifer kann Anmeldedaten „phishen“, um direkten Zugriff auf einen Slack-Arbeitsbereich zu erhalten. Mit etwas Open-Source-Intelligence(OSINT) im Vorfeld könnte ein Bedrohungsakteur herausfinden, wer der Administrator für einen Arbeitsbereich oder für ein Enterprise Grid-Konto ist, und damit bei einem Phishing-Versuch den höchsten Zugriff erlangen.

Die einfachste Methode, um die Plattform zu missbrauchen, besteht darin, Zugang zu Nutzer-Anmeldeinformationen zu erhalten. Credentials können auch gekauft oder wiederverwendet werden, doch verspricht Phishing den grössten Erfolg.

Erfolgreiche Phishing-Angriffe können sich auch indirekt auf Slack-Benutzer auswirken. Wird beispielsweise eine mit Malware infizierte Datei versehentlich auf Slack hochgeladen, so kann sie jeden infizieren, der die Datei herunterlädt und öffnet. Das Gleiche gilt für eine bösartige URL oder einen Benutzer, der ein Gewinnspiel oder ein Formular zum Ausfüllen weitergibt, ohne zu wissen, dass es sich um einen Betrug handelt. Social Engineering ist eine sehr effiziente Technik, um sich bei allen möglichen Angriffen einen Systemzugang zu verschaffen. Daher hilft die Schulung von Mitarbeitern, das Verständnis der Technik von Phishing-Versuchen zu verbessern. Multifaktor-Authentifizierung (MFA) und Single-Sign-On-Integration können ebenfalls die Wirksamkeit von Phishing-Versuchen einschränken.

  • Welche Informationen werden ausgetauscht?

Werden kritische oder geheime Geschäftsinformationen (Kundendaten, Entwickler, die Code teilen, Mitarbeiterdaten usw.) über Slack geteilt? Wenn ein Angreifer Zugriff auf einen Arbeitsbereich erhält, sind diese Daten gefährdet. Mit Admin-Zugangsdaten könnte ein Angreifer alle Nachrichten und Dateien in einem Arbeitsbereich einsehen – je nach Admin-Einstellungen sogar in privaten Channels.

Eine weitere Frage ist, ob Slack-Informationen nach aussen weitergegeben werden. Dies geschieht vor allem in Form von Webhooks und API-Schlüsseln, die sich in Hülle und Fülle auf GitHub finden. AT&T Alien Labs hat einen Proof of Concept veröffentlicht, der zeigt, wie ein Angreifer Webhooks missbrauchen könnte.

Entwickler müssen sich über die Risiken bei der Veröffentlichung von Passwörtern, Schlüsseln und Webhooks in ihrem Code bewusst sein. Unternehmen sollten auch nach diesen Geheimnissen scannen, falls sie versehentlich in einem öffentlichen Code-Repository geleakt wurden. Dies ist ein gutes Beispiel dafür, wie Slack EKM nützlich sein kann. Eine tiefere, granulare Kontrolle über den Zugriff auf sensible Informationen ermöglicht es Admins dafür zu sorgen, dass sensible Inhalte, die in Slack geteilt werden, vertraulich und geschützt sind.

Wie bei jedem AWS-Service wurde auch bei KMS auf Sicherheit geachtet, aber es können Einstellungen und Konfigurationen geändert werden, die die Sicherheit gefährden. Die Sicherheitsforscher haben auch Tausende von KMS-Schlüsseln gefunden, die in GitHub und sogar in Shodan veröffentlicht wurden.

Trend Micro Cloud One – Conformity stellt sicher, dass AWS Services sicher aufgesetzt und verwaltet werden. Die Lösung umfasst 11 Checks für AWS KMS, um eine Warnung auszugeben, sollte es ein Problem mit dem Setup oder eine falsche Verwendung eines Schlüssels geben.

Banking-Trojaner Gootkit unter der Lupe

Originalbeitrag von Marc Lanzendorfer, Threat Analyst

Seit Oktober2020 beobachteten die Bedrohungsforscher von Trend Micro im deutschsprachigen Raum mehr Angriffe des Banking-Trojaners Gootkit. Nutzer infizieren sich durch „Zufall“, indem sie über Google-Suchergebnisse eine kompromittierte Webseite aufrufen, eine Datei herunterladen und ausführen. Dieser traditionelle Banking-Trojaner schneidet Zugriffe auf Webseiten mit und ermöglicht es somit Angreifern Nutzerdaten zu stehlen. War dies früher auf Banking-Webseiten beschränkt, so kann Gootkit nunmehr Nutzerdaten von anderen Webseiten – z.B. Mailkonten, Webportale etc. – abgreifen. Er läuft häufig im Hintergrund ohne das Wissen des Nutzers, und dadurch besteht die Gefahr, dass diese Daten über sehr lange Zeit unbemerkt gestohlen werden. In den letzten Monaten wurde Gootkit jedoch auch in Zusammenhang mit Ransomware identifiziert, die neben Verschlüsselung auch Daten exfiltriert. Kommt das Opfer der Lösegeldforderung nicht nach, können interne, geheime oder private Daten veröffentlicht werden. Die Forscher von Trend Micro haben diese Entwicklung untersucht und herausgefunden, dass der Gootkit Loader mittlerweile zu raffinierten Verhaltensweisen fähig ist, etwa sich heimlich auf ein betroffenes System zu laden und die Analyse und Entdeckung zu erschweren.

Diese Fähigkeit wurde aktuell genutzt, um eine DLL-Datei einzusetzen. Gootkit wurde in der Vergangenheit sowohl mit Cobalt Strike als auch mit anderen Ransomware-Angriffen in Verbindung gebracht. Einige der aktuellen Betroffenen wurden später Opfer von SunCrypt-Ransomware-Angriffen. Es ist jedoch unklar, ob dies auf den Gootkit-Bedrohungsakteur zurückzuführen ist, oder ob der Zugang an andere Bedrohungsakteure verkauft wurde.

Infektionsvektor: bösartige Suchergebnisse

Wie bereits erwähnt, geschieht die Infektion mit Gootkit in einem bestimmten Prozess: Der Anwender sucht über Google nach Software oder gar Dokumentenvorlagen. Der Nutzer vertraut in der Regel den Google-Suchergebnissen, bösartige Links werden als solche nicht immer erkannt.

Bild 1. Bösartige Ergebnisse der Suchmaschine

Folgt nun ein Nutzer einem solchen Link zu einer kompromittierten Webseite, etwa einem Forum, die genau die Software oder Dokumentenvorlage als Link anbietet, die er sucht, so lädt er die gesuchte Datei herunter, entpackt sie und führt die Schadsoftware aus.

Bild 2. Bösartige Webseite

Die bösartige Seite soll wie ein legitimes Forum aussehen mit einem Link zu einer für die Suchmaschinenanfrage relevanten Datei. Dieser spezielle Link ist jedoch raffinierter, als er aussieht. Der Versuch, dieselbe Datei von derselben URL vom selben Host/Maschine erneut herunterzuladen, schlägt fehl. Dies gelingt jedoch von einem anderen Host, aber die heruntergeladene Datei hat einen anderen Hash als die Originaldatei. Dies deutet darauf hin, dass der Server diese Datei bei Bedarf generiert, und zwar für jeden Download-Versuch einmalig.

Die heruntergeladenen Dateien tragen immer den Namen der Google Suche – z.B. aldi_postident_coupon.zip., wenn beispielsweise ein Nutzer nach Aldi Postident Coupon sucht. Damit soll der Eindruck erweckt werden, dass es sich wirklich um ein Dokument handelt, nach dem der Nutzer sucht. Die „Installation“ der Schadsoftware ist für den Nutzer nicht sichtbar und passiert im Hintergrund. Eine ausführliche tiefgehende technische Analyse der Angriffe und einer heruntergeladenen Datei beinhaltet der Originalbeitrag.

Überblick über Gootkit

Der Trojaner Gootkit ist seit mindestens 2014 bekannt und ist in der Lage, Web-Browsing zu überwachen und aufzunehmen. Er tut dies über Keylogger, Bildschirmfotos und gar Videos. Diese Daten werden dann auf die C&C Server der Angreifer extrahiert. Der Schädling nimmt jedoch nicht alles auf, sondern nur bestimmte Webseiten (Bank, Portale, Mail) werden hier überwacht. Auch kann er weitere Module über C&C-Befehle nachladen, welche eine weitgehendere Kompromittierung des kompletten Netzwerk erlauben. Somit ist es nunmehr auch möglich, Ransomware (z.B. rEvil) direkt über den Gootkit-Loader (der initiale Infektionsvektor) herunterzuladen.

Schutz vor der Bedrohung

Der beste Schutz vor dieser Art der Bedrohung ist das vorsichtige Browsing-Verhalten. Nutzer sollten nicht jedem Link bei Google-Suchen blind vertrauen, denn viele dieser Webseiten haben nichts mit den gesuchten Begriffen zu tun. So sollten z.B. Teppichreinigungsfirmen in der Regel keine Druckertreiber anbieten. Folgt der Anwender einem Link, so sollte er unbedingt die Webseite (URL) prüfen, so etwa vor Software-Downloads immer die Herstellerseite aufrufen.

Auch muss sichergestellt sein, dass eine angemessene Schutzlösung vor Schadsoftware auf dem Rechner installiert ist, und diese sollte wichtige Fähigkeiten mitbringen wie Verhaltensüberwachung, vorausschauende KI und Schutz vor bösartigen Webseiten. Ein aktiver Schutz vor Ransomware ist ebenfalls zu empfehlen. Falls möglich, kann die Registry des Windows-PC überwacht werden, um frühzeitig über Veränderungen informiert zu werden. Sollte ein Rechner mit Gootkit infiziert sein, ist es dringend anzuraten, sämtliche Passwörter (Windows, Domäne sowie alle Online-Nutzerkonten) zu ändern. Online-Nutzerkonten sollten des Weiteren auf unberechtigten Zugriff überwacht werden.

Trend Micro-Lösungen

Mit der geeigneten Lösung sind Anwender vor dieser und ähnlichen anderen Bedrohungen geschützt. Deep Discovery Analyzer kann mithilfe der Sandbox-Technologie die Schadsoftware erkennen und auch alle aktiven Verbindungen von Gootkit als „Malicious SSL Connections“ klassifizieren. Apex One bietet Schutz vor Schadsoftware während deren erster Ausführung mit Hilfe der Kombination aus Verhaltensüberwachung, XGen (künstliche Intelligenz) und der Echtzeitsuche.