Schlagwort-Archive: Kryptowährungs-Miner

Zoom Installer bringt ein RAT mit

Originalartikel von Raphael Centeno, Mc Justine De Guzman und Augusto Remillano II

Online-Kommunikationssysteme haben sich in diesen Zeiten der Pandemie als sehr nützlich erwiesen. Leider stellen das auch Cyberkriminelle fest, und die Angriffe auf die verschiedenen Messaging-Apps, einschließlich Zoom, nehmen stetig zu. Die Sicherheitsforscher von Trend Micro entdeckten im April einen Angriff, der Zoom Installer nutzt, um einen Krypto-Miner zu verbreiten. Kürzlich gab es einen ähnlichen Angriff, der jedoch eine andere Schadsoftware ablegt: RevCode WebMonitor RAT (Backdoor.Win32.REVCODE.THDBABO). Achtung: Die Installer sind zwar legitim, doch die mit Malware gebündelten Programme kommen nicht aus offiziellen Quellen der Zoom-Anwendung, wie z. B. dem Zoom-eigenen Download-Center oder aus legitimen App-Stores wie Apple App Store und Google Play Store, sondern aus bösartigen Quellen.

Viele Malware-Varianten stellen sich als legitime Anwendung dar, um ihre böswilligen Absichten zu verbergen. Zoom ist nicht die einzige Anwendung, die für diese Art von Bedrohung eingesetzt wird. In diesem speziellen Fall haben Cyberkriminelle möglicherweise die legitimen Installationsprogramme mit Zugabe von WebMonitor RAT neu verpackt und diese Installer auf bösartigen Websites veröffentlicht.

Die Kompromittierung beginnt damit, dass der Nutzer die bösartige Datei ZoomIntsaller.exe aus bösartigen Quellen herunterlädt. ZoomInstaller.exe ist die Datei, die die Kombination aus einem nicht bösartigen Zoom-Installationsprogramm und RevCode WebMonitor RAT enthält. ZoomInstaller.exe legt dann eine Kopie seiner selbst namens Zoom.exe ab und öffnet den Prozess notepad.exe, um Zoom.exe auszuführen. Technische Einzelheiten zum Angriffsablauf enthält der Originalbeitrag.

Die Schadsoftware bricht ab, wenn sie in den folgenden virtuellen Umgebungen ausgeführt wird: kernel-basierte virtuelle Maschine, Microsoft Hypervisor, Parallels Hypervisor, VirtualBox, VMware und Xen Virtual Machine Manager. Auch wenn der Schädling eine Datei ähnlich der folgenden – Malware, Sample, Sandbox – findet, bricht er die eigene Ausführung ab. Da das System eine legitime Zoom-Version (4.6) heruntergeladen hat, wird der Nutzer nicht misstrauisch, obwohl sein System zu diesem Zeitpunkt bereits kompromittiert ist.

Erste Beobachtungen des Samples zeigten ein Fareit-ähnliches Verhalten. Bei näherer Betrachtung stellt sich jedoch heraus, dass es sich tatsächlich um RevCode WebMonitor RAT handelt, mit dem bestimmte Gruppen Berichten zufolge bereits Mitte 2017 in Hacking-Foren hausieren gingen. Das RAT (Remote Access Tool) erlaubt es Bedrohungsakteuren, die Kontrolle über kompromittierte Geräte zu erlangen und diese per Keylogging, Webcam-Streaming oder Screen-Captures auszuspionieren.

Empfehlungen

Videokonferenz-Apps lassen sich mit Hilfe folgender Best Practices schützen:

  • Installer nur aus offiziellen Quellen herunterladen, z.B. aus den eigenen Download-Zentren der Apps. Inoffizielle Download-Sites werden höchstwahrscheinlich von Cyberkriminellen eingerichtet, um ahnungslose Benutzer anzulocken.
  • Sichern der Videokonferenz-Apps. Dazu gehören u. a. die Vergabe von Passwörtern für Meetings, die Geheimhaltung von Meeting-Informationen, die Nutzung von Warteräumen und die Konfiguration von Host-Controls.
  • Stets die aktuelle Version der Apps verwenden. Damit werden mögliche Schwachstellen, die Angreifer ausnutzen können, geschlossen. Für Zoom ist es bald die Version 5.0.

Zusätzlich dazu ist es ratsam, eine Sicherheitslösung zu installieren, wie etwa die folgenden:

  • Trend Micro Apex One™ – bietet fortschrittliche automatisierte Detection & Response für eine wachsende Vielfalt an Bedrohungen.
  • Trend Micro XDR – setzt künstliche Intelligenz und Analytics ein für die Daten, die Trend Micro-Lösungen in Unternehmen sammeln, um eine schnellere und genauere Erkennung zu erreichen.

Auch empfiehlt sich ein mehrschichtiger Schutzansatz, um proaktiv bekannte und neue Bedrohungen an allen möglichen Eintrittspunkten zu erkennen und zu blockieren.

Ungesicherte Redis-Instanzen werden für Remote Code Execution missbraucht

Originalartikel von David Fiser und Jaromir Horejsi, Threat Researcher

Die Sicherheitsforscher von Trend Micro hatten kürzlich mehr als 8.000 ungesicherte Redis-Instanzen (weit verbreiteter Open-Source In-Memory-Schlüsselwert-Datenstrukturspeicher) entdeckt, die in verschiedenen Teilen der Welt betrieben werden, sogar welche in öffentlichen Clouds. Cyberkriminelle können diese Instanzen für Remote Code Execution (RCE) missbrauchen. Die bösartigen Dateien wandeln sie in Kryptowährungs-Mining Bots um und können auch weitere angreifbare Instanzen über ihre „wurmartigen“ Verbreitungsfunktionen infizieren.

Redis war den Entwicklern zufolge ursprünglich allein auf den Einsatz in vertrauenswürdigen Umgebungen ausgerichtet und beinhaltet seit der Version 4.0 eine Protected Mode-Konfiguration. Der Speicher soll gerade auf die neue Version Redis 6.0 upgedatet werden. Diese bringt neue Sicherheitsfähigkeiten mit, wie etwa Access-Control Lists (ACLs).

Momentan jedoch sind Redis-Instanzen ohne TLS-Verschlüsselung (Transport Layer Security) oder Passwortschutz anfällig für Angriffe, wobei Cyberkriminellen über 200 Befehle zur Verfügung stehen, sobald sie in die Umgebung eindringen. Gegenwärtig ist bei Redis die Authentifizierung nicht standardmäßig eingestellt. Und selbst wenn ein Passwort gesetzt ist, ist es wichtig, sich vor Augen zu halten, dass das Passwort stark genug sein sollte, um gegen Brute-Force-Angriffe resistent zu sein.

Die Sicherheitsforscher setzten mögliche Szenarien in einem Honeypot ein, um Angreifer anzulocken und überwachen zu können. Dabei geht es um den Missbrauch des config-Befehls oder der slaveof-Fähigkeit. Die Forscher konnten auch einige bemerkenswerte Malware-Samples sammeln, die in exponierten Redis-Instanzen über eine der oben genannten Methoden verbreitet wurden: einen plattformübergreifenden Shell-basierten Wurm, der Kryptowährungs-Miner installiert, oder Kinsing-Malware, die sowohl Scanning- als auch Backdoor-Fähigkeiten besitzt. Die technischen Einzelheiten dazu liefert der Originalbeitrag.

Fazit und Sicherheitsempfehlungen

Insbesondere im Umfeld der DevOps, sollten angemessene Sicherheitsmaßnahmen vorhanden sein. Dass exponierte Redis-Instanzen für Kryptowährungs-Mining eingesetzt werden können, ist möglicherweise nicht die einzige Art des Missbrauchs, da die Fähigkeit, Code auszuführen, sozusagen der „heilige Gral“ eines Angreifers ist.

Entwickler können die Umgebung über folgende Best Practices besser schützen:

  • Beim Betrieb von Software auf dem Server ist sicherzustellen, dass sie nicht unter root läuft. Auch beim Einsatz von Containern müssen Nutzer Best Practices befolgen und das Prinzip der Mindestprivilegien anwenden.
  • Die Software immer auf aktuellem Stand halten und starke Passwörter wählen. Keine Verbindung zum Internet ohne geeignete Sicherheitsmaßnahmen.
  • Die Überprüfung von Redis Logs zeigt gerade stattfindende Angriffe.

Cloud-Sicherheitslösungen von Trend Micro

Die Trend Micro Hybrid Cloud Security bietet in einer Lösung die Breite, Tiefe und Innovation, die für den Schutz der Cloud erforderlich sind und zusätzlich die benötigte Übersicht über führende Umgebungen wie Amazon Web ServicesMicrosoft AzureGoogle Cloud und Docker. Zu der Funktionalität zählen automatisierte Installation und Inbetriebnahme, breite API-Integration sowie Sicherheitstechnologie für betriebliche Effizienz und Compliance-Anforderungen.

Die Trend Micro Cloud One SaaS-Plattform Sicherheit für die Cloud-Infrastruktur in Echtzeit – mit optimalem Schutz und Unterstützung der Compliance für Workloads, Anwendungen, Container, serverlose Dateispeichersysteme und Netzwerke sowie die Übersicht über die hybriden Cloud-Umgebungen im Unternehmen. Deep Security und Deep Security Smart Check unterstützen Unternehmen durch das Scannen von Container-Images vor und während der Laufzeit.

Cloud One schließt auch Cloud One – Conformity mit ein. Die Lösung liefert automatische Kontrollmechanismen für AWS ElasticCache (einer In-Memory Datenspeicher-Technologie für Redis). Sie stellt sicher, dass Redis nicht über den Default Port läuft und bietet auch Datenverschlüsselugn in Transit und At-Rest.

Trend Micro™ Deep Security™ und Vulnerability Protection schützt Anwender über folgende Regeln:

  • 1010231 – Redis Cron Remote Code Execution Vulnerability
  • 1009967 – Redis Unauthenticated Code Execution Vulnerability

Prognose 2020: Die Risiken durch Supply Chain-Angriffe werden vorherrschen

Es ist kein Geheimnis, dass der Erfolg moderner Unternehmen zu einem guten Teil von ihren Lieferketten abhängt. Ein durchschnittliches Unternehmen unterhält möglicherweise hunderte unterschiedliche Partnerschaften – von solchen mit professionellen Service-Organisationen bis zu Software Providern und Transportunternehmen. Doch diese Partner können ein zusätzliches Risiko für das Unternehmen bedeuten, vor allem im Cyberbereich. In den aktuellen Vorhersagen für 2020 hebt Trend Micro einige der Schlüsselbereiche hervor, die für Organisationen gefährlich werden können. Dazu gehören die Partnerschaften mit Cloud- und Managed Service Providern (MSP), neue DevOps-Abhängigkeiten und Risiken für die Supply Chain im Zusammenhang mit den involvierten mobilen Mitarbeitern.

Ein neuer Aspekt eines bestehenden Risikos

Cyber-Supply Chain-Risiken per se sind nicht neu. Die berüchtigten NotPetya Ransomware-Angriffe von 2017 beispielsweise starteten über die Software Supply Chain, während Operation Cloud Hopper eine Angriffskampagne darstellte, die globale Unternehmen über deren MSPs attackierte.

Das Risiko infolge der Bedrohung kommt zu einem großen Teil durch die Veränderungen der Arbeitsweise im Unternehmen. Die digitale Transformation wird von vielen als ein wesentlicher Treiber für das Unternehmenswachstum gesehen, der es den Unternehmen ermöglicht, flexibel auf sich ändernde Marktanforderungen zu reagieren. In der Praxis bedeutet dies, dass Cloud und DevOps in den IT-Abteilungen des kommenden Jahrzehnts zunehmend im Mittelpunkt stehen.

Mehr Agilität, mehr Risiko?

Wie alle Veränderungen bringen auch diese neuen Risiken, die beachtet werden wollen. Denn die zunehmende Abhängigkeit von Cloud-Drittanbietern weckt bei Angreifern das Interesse für in diesen Konten gespeicherte Daten. Zu ihren Angriffsvektoren gehören etwa Code Injection, Missbrauch von Deserialisierungs-Bugs, Cross-Site Scripting und SQL Injection. Auch werden sie von Lücken profitieren, die durch die Fehlkonfiguration der Konten entstehen und durch die Daten im öffentlichen Internet exponiert werden.

Darüber hinaus werden Cyberkriminelle die Tatsache ausnutzen, dass DevOps-Teams sich auf Drittanbieter-Code in Container-Komponenten und Bibliotheken verlassen. Angreifer werden Microservices- und serverlose Umgebungen kompromittieren. Mit zunehmender Verbreitung dieser Architekturen werden sich auch Angriffe auf diese Architekturen häufen.

Service Provider werden ebenfalls ein steigendes Risiko darstellen, denn sie ermöglichen Angreifern einen viel höheren ROI, weil sie über einen einzigen Anbieter Zugang zu mehreren Kunden erhalten. Solche Bedrohungen gefährden Unternehmens- und Kundendaten und stellen sogar ein Risiko für Smart Factories und andere Umgebungen dar.

Schließlich kommt die Gefahr in der Supply Chain 2020 auch noch aus einer ganz anderen Richtung. Remote und Heimarbeit wird für viele Mitarbeiter zum Alltag, und Hacker werden diese Umgebungen als bequemen Startpunkt für das Eindringen in Unternehmensnetzwerke nutzen. Diese Mitarbeiter müssen als Teil ganzheitlicher Risikomanagement-Strategien für Unternehmen betrachtet werden, unabhängig davon, ob sie sich über nicht gesicherte öffentliche WLAN-Hotspots oder zu Hause anmelden oder ob Fehler im Smart Home Lücken offenlassen.

Empfehlungen für mehr Sicherheit

Auf CISOs kommen durch den rapiden technologischen Wandel harte Zeiten zu. Dabei ist es entscheidend wichtig, Teams mit den geeigneten Tools und Strategien auszustatten, um den Risiken durch Drittanbieter und anderen Bedrohungen zu begegnen. Die Sicherheitsforscher geben folgende Empfehlungen aus:

  • Verbesserung der Sorgfaltspflicht von Cloud-Anbietern und anderen Service Providern,
  • Durchführung regelmäßiger Schwachstellen- und Risikobewertungen auch für die Software von Drittparteien.
  • Investitionen in Sicherheitstools zur Überprüfung auf Schwachstellen und Malware in Komponenten von Drittanbietern
  • Einsatz von Cloud Security Posture Management (CSPM)-Tools, um das Risiko von Fehlkonfigurationen zu minimieren.
  • Überprüfen der Sicherheitsrichtlinien für Home- und Remote-Mitarbeiter.