Schlagwort-Archive: ngriff

Open-Source-Software für gezielte Angriffe „aufrüsten“

Originalartikel von Abraham Camba, Bren Matthew Ebriega, Gilbert Sison, Bedrohungsanalysten

Trojanisierte quelloffene Software lässt sich nur schwer entdecken. Sie versteckt sich hinter der Fassade legitimer, nicht bösartiger Software und ist deshalb für gezielte Angriffe besonders nützlich. Eine genauere Untersuchung kann jedoch verdächtiges Verhalten aufdecken, das ihre böswilligen Absichten entlarvt. Die Sicherheitsforscher von Trend Micro zeigten anhand der Analyse des Missbrauchs der legitimen Anwendung Notepad++, wie leicht die trojanisierte Version mit der unverdächtigen legalen verwechselt werden kann, vor allem von Mitarbeitern, deren technisches Wissen begrenzt ist.

Bei der Analyse eines Sicherheitsvorfalls fanden die Forscher eine Datei namens notepad.exe. Notepad ist eine bekannte legitime Anwendung. Malware-Autoren jedoch tarnen bösartige Dateien, indem sie den Namen von legitimer Software wie notepad.exe verwenden, um der Erkennung zu entgehen.

Bild 1. Telemetriedaten zeigen die verdächtige notepad.exe-Datei

Die notepad.exe-Datei wurde über das Windows NT Operating System Kernel Executable (ntoskrnl.exe) abgelegt, und eine Root Cause Analyse brachte zutage, dass die bösartige Datei verdächtige Aktionen über den Aufruf verschiedener Tools ausführte (Liste der Tools im Originalbeitrag). Die Verbindung zu diesen Prozessen und ihren Funktionen lässt darauf schliessen, dass die Datei ein typischer Backdoor ist, der die Befehle von einem böswilligen Remote-User erhält. In der Auflistung der Dateimerkmale von notepad.exe fiel auf, dass Notepad++ erwähnt wurde, eine quelloffene Software, die als Source-Code-Editor verwendet wurde:

Bild 2. Merkmale von Notepad.exe

Auch sind einige der Details zur Datei verdächtig. Beispielsweise werden Notepad++-Dateien üblicherweise als „notepad++.exe“ und nicht als „notepad.exe“ bezeichnet. Die Version v7.8.6, im April veröffentlicht, ist alt, denn die neueste im November veröffentlichte Version ist v7.9.1. Das Aussehen und die Funktionsweise der Benutzerschnittstelle der Datei ist gleich der einer typischen legitimen Notepad++-Datei. Doch beim Verhalten fällt auf, dass das Beispiel etwas tut, was ein nicht bösartiger Notepad++ nicht tun würde: Es sucht nach einer Datei namens config.dat, die sich im Ordner c:\windows\debug befindet. Dieses Verhalten ist bemerkenswert, da die besagte Datei in der Analyse des Codes des Beispiels auftaucht.

Die gesamte Code-Analyse können Interessierte im Originalbeitrag nachlesen.

Fazit

Bedrohungsakteure können nach offenem Quellcode weit verbreiteter Software suchen und diesen durch Hinzufügen von bösartigem Code trojanisieren, der Funktionen wie das Laden einer verschlüsselten Blob-Datei ausführen kann. Das bedeutet also, dass der größte Teil des Binärcodes in der „neuen“ Datei nicht bösartig ist. Der bösartige Code lädt einfach eine Datei oder eine Aktivität, die nicht allzu verdächtig erscheint. Außerdem haben verschlüsselte Blob-Dateien keine Dateiheader. Diese erschweren es Anti-Malware-Lösungen, die sich nur auf eine einzige Schutzebene konzentrieren, einschliesslich KI/ML-basierter, die trojanisierten Versionen zu erkennen. Um diese Art von Bedrohungen zu blockieren, wären Lösungen hilfreich, die Sichtbarkeit über mehrere Ebenen hinweg gewährleisten, da Sicherheitsteams die Lösungen nutzen können, um Daten und Verhalten innerhalb der Umgebung zu korrelieren.

Empfehlungen

Um diese Art der Bedrohungen zu vermeiden, sollten Nutzer Dateien, Anwendungen und Software (wie etwa Open Source) ausschliesslich aus vertrauenswürdigen Quellen herunterladen. Beispielsweise können Notepad++-Nutzer wichtige Dateien von der offiziellen Website herunterladen.

Unternehmen können eine Liste der genehmigten Download-Sites erstellen und an ihre Mitarbeiter verteilen. Als weitere Sicherheitsmassnahme könnte auch die Genehmigung von IT-Teams eingeholt werden, bevor Mitarbeiter Software auf Bürogeräten installieren dürfen. Für Sicherheits- und IT-Teams wird ausserdem dringend empfohlen,  heruntergeladene Binärdateien mit Prüfsummen zu validieren, da gute Open-Source-Projekte die Prüfsummen ihrer offiziell veröffentlichten Binärdateien vorhalten.

Zudem kann eine Sicherheitslösung wie Trend Micro™ XDR Daten über Endpunkte, E-Mails, Cloud-Workloads und Netzwerke hinweg sammeln und korrelieren, und damit einen besseren Kontext schaffen, sodass Untersuchungen an einem Ort durchgeführt werden können. Dies wiederum ermöglicht es den Teams, fortgeschrittene und gezielte Bedrohungen früher zu erkennen.

Wie dateilose Angriffe funktionieren und Persistenz in Systemen herstellen

Um mit den besseren Sicherheitsmassnahmen Schritt zu halten, entwickeln cyberkriminelle Akteure immer bessere Techniken, mit deren Hilfe sie der Entdeckung entgehen können. Eine der erfolgreichsten Umgehungstechniken sind dateilose Angriffe, die keine bösartige Software erfordern, um in ein System einzudringen. Anstatt sich auf ausführbare Dateien zu verlassen, missbrauchen diese Bedrohungen Tools, die sich bereits im System befinden, um die Angriffe zu initiieren.

Im Sicherheitsbericht für 2019 stellt Trend Micro fest, dass dateilose Bedrohungen immer häufiger werden. Durch die Nachverfolgung nicht dateibasierter Indikatoren und mittels Technologien wie Endpoint Detection-and-Response hat der Anbieter im vergangenen Jahr mehr als 1,4 Millionen dateilose Sicherheitsvorkommnisse blockiert. Dieser Trend war zu erwarten angesichts der Möglichkeiten der Verschleierung und Persistenz, die dateilose Bedrohungen einem Angreifer bieten.

Funktionsweise von dateilosen Angriffen

Der Begriff „dateilos“ legt nahe, dass die Bedrohung oder Technik keine Datei im Hauptspeicher einer Maschine benötigt. Dateilose Funktionalität kann an der Ausführung, am Informationsdiebstahl oder an der Persistenz beteiligt sein. Ein Angriffsablauf muss nicht zwangsläufig wirklich “ dateilos“ erfolgen, es können auch lediglich einige Teile in irgendeiner Form dateilose Techniken benötigen.

Dateilose Bedrohungen hinterlassen nach ihrer Ausführung keine Spuren, so dass es schwierig ist, sie zu erkennen und zu entfernen. Diese Techniken ermöglichen es Angreifern, auf das System zuzugreifen, um dann dort bösartige Aktivitäten auszuführen. Durch die Manipulation von Exploits, legitimen Tools, Makros und Skripts können Angreifer Systeme kompromittieren, Privilegien erhöhen oder sich lateral im Netzwerk bewegen.

Dateilose Angriffe vermeiden sehr effizient ihre Entdeckung durch herkömmliche Sicherheitssoftware, denn die sucht nach Dateien auf der Festplatte eines Rechners, um dann zu beurteilen, ob sie bösartig sind. Diese Art der Bedrohungen sind nicht sichtbar, da sie im Hauptspeicher eines Systems ausgeführt werden können, sich in der Registry befinden oder häufig in Whitelists aufgeführte Tools wie PowerShell, Windows Management Instrumentation (WMI) und PsExec missbrauchen können.

Viele dateilose Bedrohungen missbrauchen das Task-Automatisierungs- und Konfigurationsmanagement-Framework PowerShell, das in vielen Windows-Betriebssystemen integriert ist. Das Microsoft-Framework greift auf Anwendungsprogrammierschnittstellen (APIs) zu, die wichtige System- und Anwendungsfunktionen ausführen. Für Angreifer ist es attraktiv, weil es ihnen ermöglicht, Payloads zu verteilen und bösartige Befehle dateilos auszuführen.

WMI ist eine weitere bekannte Windows-Anwendung, die zur Ausführung von Systemaufgaben für Endpunkte verwendet wird, und ist deshalb ideal geeignet für die Durchführung von Angriffen. Die Hintermänner missbrauchen WMI für die Ausführung von Code, laterale Bewegung und Persistenz; WMI-Repositorys können auch dazu verwendet werden, bösartige Skripts zu speichern, die in regelmäßigen Intervallen aufgerufen werden können. Unternehmensnetzwerke nutzen PowerShell und WMI in der Regel für die Automatisierung von Systemverwaltungsaufgaben. Angreifer machen sich diese Tools häufig zunutze, da sie zur Umgehung signaturbasierter Erkennungssysteme, zur Aufrechterhaltung der Persistenz, zur Exfiltrierung von Daten und für weitere böswillige Zwecke eingesetzt werden können.

Dateilose Angriffe sind nicht neu, doch gehören sie immer häufiger zum Arsenal vieler Angreifer. Eine Zusammenfassung zum Thema bietet die Infografik:

Schutz vor dateilosen Bedrohungen

Die Vielfalt der dateilosen Techniken ermöglicht persistente Angriffe, die die Integrität der Geschäftsinfrastruktur eines Unternehmens beeinträchtigen können. Trotz des Fehlens einer eigenständigen binären oder ausführbaren Datei können Anwender dateilose Bedrohungen verhindern.

Die Bekämpfung dateiloser Angriffe erfordert einen vielschichtigen und tiefgreifenden Schutzansatz, der nicht von traditionellen, dateibasierten Gegenmassnahmen zur Eindämmung von Bedrohungen abhängig ist.

  • Unternehmen sollten Systeme sichern, ungenutzte oder unwichtige Anwendungen deinstallieren und den Netzwerkverkehr überwachen.
  • Durch den Einsatz von Mechanismen zur Verhaltensüberwachung können ungewöhnliche Änderungen an Software und Anwendungen wie PowerShell und WMI nachverfolgt werden.
  • Benutzerdefinierte Sandbox- und Intrusion Detection und Prevention-Systeme können auch dazu beitragen, verdächtigen Datenverkehr wie C&C-Kommunikation oder Datenexfiltrierung zu verhindern.

Darüber hinaus bietet die Trend Micro XDR-Lösung Layer-übergreifende Detection and Response über Emails, Endpunkte, Server, Cloud Workloads und Netzwerke hinweg. Sie nutzt starke KI-Fähigkeiten und Sicherheits-Analytics, um eine breite Vielfalt von Bedrohungen wie dateilose Angriffe zu erkennen, zu untersuchen und darauf zu reagieren.

Trend Micro™ Apex One™ nutzt eine Vielzahl an Fähigkeiten der Bedrohungserkennung wie etwa Verhaltensanalyse, die vor bösartigen Skripts, Einschleusen, Ransomware und Memory- sowie Browser-Angriffen mit Bezug zu dateilosen Bedrohungen schützen. Apex One Endpoint Sensor bietet kontextbezogene Endpunkterecherche und Response (EDR), die Vorfälle überwacht und schnell untersucht, welche Prozesse und Events bösartige Aktivitäten anstoßen.

Trend Micro Deep Discovery beinhaltet einen Layer für Email-Inspektion, der Unternehmen schützen kann, indem er bösartige Anhänge und URLs erkennt. Deep Discovery kann Remote Skripts auch dann entdecken, wenn sie nicht auf einen physischen Endpunkt heruntergeladen werden.