Schlagwort-Archive: Schadsoftware

Phishing-Technik setzt auf legitim aussehende Domänen

Originalartikel von Paul Miguel Babon

Die E-Mail-Bedrohungen nehmen weiterhin zu, und zugleich steigt auch die Zahl der Phishing URLs. Damit haben sich leider die Warnungen von Trend Micro zur Jahresmitte 2020 auch für die zweite Hälfte bestätigt. Kürzlich entdeckten die Sicherheitsforscher eine Phishing-Technik, die eine Kombination aus Phishing-Mail und betrügerischen Seiten nutzt. Die Kombination beinhaltet eine genaue URL, nämlich die Phishing-Seite, und deren Domäne, eine Scam-Website.

Der Prozess startet mit einer Phishing-Mail:

Bild 1. Die eingesetzte Phishing E-Mail

Ein Klick auf „Release All/Block All“ führt den Nutzer auf eine völlig andere Website, die in keiner Beziehung zur E-Mail steht und ein gefälschtes Login-Fenster für ein Mail-System zeigt. Dies ist zwar eine übliche Taktik bei Phishing, doch den Unterschied macht aus, dass die Domäne selbst zugänglich ist und eine Unternehmensseite darstellt.

Bild 2. Die wiseinvestors[.]pro-Unternehmensseite

Mithilfe folgender Faktoren konnten die Sicherheitsforscher erkennen, dass es sich um eine gefälschte Firma handelt:

  • Domänenname. Der Domänenname „WiseInvestors“ unterscheidet sich von dem Markennamen der Firma auf dem Bildschirm, der „Pearl“ lautet. Der Grund: Pearl ist ein WordPress Theme und kein legitimer Service.
  • Ungewöhnliche TLD (Top Level Domain). Die Verwendung von .pro ist unüblich für eine TLD. Anders als .com, .net oder .ph sind nicht übliche TLDs normalerweise billig zu haben, und daher für Cyberkriminelle attraktiv.
  • Template-Text. Reste von Template-Text, ähnlich dem „Lorem Ipsum“-Wortblock, sind auf der Website noch vorhanden (siehe Bild 3).
  • Domänenregistrierung. Laut „whois“ ist die Domäne weniger als ein Jahr alt, was dem Alter der meisten bösartigen Domänen entspricht.

Bild 3. Der Text der Website wirkt unfertig

Bild 4. Whois-Daten zu wiseinvestors[.]pro

Cyberkriminelle können mit dieser Phishing-Technik eine Erkennung in Echtzeit vermeiden, da die Domain weiter untersucht werden muss, was Anti-Spam und Funktionen gängiger Sicherheitssoftware zum Blockieren bösartiger URLs übersehen können. Selbst wenn die Phishing-Mail vereitelt wird, bleibt die Phishing-Domain unentdeckt, sodass Cyberkriminelle weitere Phishing-URLs erstellen können, die auf dieser Domain gehostet werden. Es gab in den vergangenen Monaten auch weitere Beispiele dieser kombinierten Phishing-/Scam-Technik, so etwa folgende:

Bild 5. Gefälschte Benachrichtigung über das E-Mail-Konto-Passwort dient als Phishing-Mail. Wenn das Opfer auf „Passwort behalten“ klickt, wird es auf eine andere Seite umgeleitet.

Empfehlungen

Nutzer können solche Angriffe vermeiden, indem sie ein paar Best Practices befolgen, bevor sie auf einen Link in einer E-Mail klicken:

  • Überprüfen Sie den Inhalt der E-Mail genau. Untersuchen Sie, ob die Informationen, wie z. B. die E-Mail-Adresse, der Nachrichtentext oder die Links, wirklich konsistent sind.
  • Wenn Sie auf den Link aus einer E-Mail klicken, prüfen Sie die Website. Auch wenn sie scheinbar nicht bösartige Inhalte auf ihrer Startseite anzeigt, bedeutet das nicht, dass die Website nicht bösartig ist. Verräterische Zeichen sind Template-Texte innerhalb der Website.
  • Wenn Sie etwas auf Ihrem Arbeitscomputer finden, alarmieren Sie sofort Ihre Sicherheits- und IT-Abteilung, damit diese weitere Untersuchungen vornehmen kann.

Befolgen Unternehmen die folgenden Security Best Practices können sie ähnliche erfolgreiche Phishing-Kampagnen verhindern:

Ein mehrschichtiger Security-Ansatz empfiehlt sich zum Schutz aller möglicher Bedrohungseintrittspunkte. Lösungen wie Trend Micro™ Email Security, die fortschrittliches Machine Learning und dynamische Sandbox-Analysen verwenden, können dazu beitragen, E-Mail-Bedrohungen zu stoppen.

Mehrwert für XDR durch Partnerschaften

Originalbeitrag von Trend Micro

Trend Micro schützt seine Kunden seit über drei Jahrzehnten vor Cyber-Bedrohungen. Die langjährige Erfahrung hat aber auch gezeigt, dass keine IT-Umgebung völlig homogen ist. Ob durch Zufall, Übernahmen oder aufgrund des Designs müssen Technologieverantwortliche in der Regel eine gemischte Umgebung aus mehreren Legacy- und Next-Gen-Produkten verschiedener Anbieter verwalten. Im Sicherheitsbereich kann dies zur Entstehung von Silos und Abdeckungslücken führen, wenn diese individuellen Lösungen nicht richtig zusammenarbeiten. Um einen maximalen Wert für Kunden und deren Sicherheitslage liefern zu können, arbeitet Trend Micro mit Partnern zusammen, wo immer dies möglich ist. So gibt es etwa eine solche Zusammenarbeit mit Unternehmen wie Fortinet über eine offene Integration deren Security Orchestration, Automation and Response (SOAR)-Plattform mit Trend Micro XDR.

Erweiterte Detection-and-Response (XDR) stellt laut Gartner den stärksten Trend 2020 in der Sicherheit und der Risikominimierung dar. Der Grund dafür ist, dass die Entdeckung und Reaktion auf Bedrohungen immer schwieriger wird, weil sowohl die Zahl als auch die Raffiniertheit der Angriffe steigt, wobei gleichzeitig die Angriffsfläche in den Unternehmen grösser wird. Einem ESG Report zufolge wenden die Sicherheitsteams von mehr als einem Drittel der Unternehmen die meiste Zeit für Notfälle auf, statt sich um Strategie oder Verbesserungen an den Prozessen zu kümmern.

Trend Micro XDR erweitert die Bedrohungserkennung und -bekämpfung (Detection and Response) über den Endpunkt hinaus, indem Daten über E-Mails, Endpunkte, Server, Clouds, Netzwerke und die Trend Micro-eigenen Bedrohungsdaten miteinander korreliert werden, um weniger, aber aussagekräftigere Alarme zu erzeugen.

Partner erweitern Funktionalität von XDR

Doch ist auch bekannt, dass Kunden neben XDR zum Beispiel auch SIEM- und SOAR-Plattformen betreiben wollen. Diese können für die Mitarbeiter des Security Operations Center (SOC) eine wertvolle Arbeit leisten, indem sie Bedrohungsdaten aus verschiedenen Quellen abrufen und korrelieren und eine Reaktion automatisieren.

Deshalb besteht die XDR Strategie darin, sich über eine einfache API in diese Lösungen von ausgewählten Partnern zu integrieren. Ein solcher Partner ist Fortinet, dessen FortiSOAR-Angebot darauf ausgelegt ist, die Fähigkeit der Kunden zur Erkennung und Reaktion auf Bedrohungen zu verbessern.

Die neue offene Integration für Trend Micro ApexOne mit Fortinets Lösung ermöglicht die Koordination proaktiver Massnahmen und automatisierter Reaktionen über eine einfache API, die über automatisierte Playbooks schnelle Reaktionsmöglichkeiten bietet. Mithilfe von Playbooks können Operation-Teams automatisierte Vorgänge, wie das Erstellen einer Live-Untersuchung, das Ausführen von Aktionen auf Sicherheitsendpunkten und Listen von verwalteten Endpunkt-Sicherheitsagenten, problemlos durchführen.

Der offene Ansatz beider Unternehmen machte es einfach, einen Konnektor zwischen den Produkten zu erstellen, der in Kürze weltweit zugänglich gemacht werden wird. Trend Micro XDR erstellt auf Basis seiner nativen Telemetrie priorisierte Alarme und sendet diese an die SIEM/SOAR-Plattformen der Kunden, wo sie bei Bedarf Daten aus anderen Quellen integrieren können, um eine Bedrohungsreaktion zu optimieren.

Diese Integration ist nur der Anfang der gemeinsamen Partnerschaft und wird bald um weitere Funktionen in Trend Micro XDR erweitert, die über den Endpunkt hinausgehen und für mehr Transparenz und Sicherheit sorgen.

MITRE ATT&CK als Hilfe bei Identifizierung eines APT-Angriffs

Originalartikel von Lenart Bermejo, Threat Engineer, Gilbert Sison, Cyber Threat Hunting Technical Lead und Buddy Tancio, Incident Response Analyst

Sicherheitsteams und Forscher sind auf öffentlich dokumentierte Analysen von Tools, Routinen und Verhaltensweisen angewiesen, um sich über die neuesten Erkenntnisse in der Cybersicherheitslandschaft zu informieren. Öffentliche Informationen dienen als Referenz für die bekannten Taktiken, Techniken und Prozeduren (TTPs), um Abwehrmassnahmen gegen Advanced Persistent Threats (APTs) zu installieren und Angriffe zu verhindern. Theoretisches Wissen über die Abwehr eines Angriffs unterscheidet sich jedoch erheblich von der Erfahrung aus erster Hand. Das Fallbeispiel eines Unternehmens soll dies aufzeigen.

Die veröffentlichten Routinen, Tools und Verhaltensweisen können sich für jedes anvisierte Unternehmen oder jede Branche bei der Angriffsausführung durch die kriminellen Gruppen unterscheiden. Angesichts des Aufwands und der Ressourcen, die in die Erforschung und die Mittel zum Eindringen fließen, werden die Bedrohungsakteure sicherstellen, dass sie jedes Mal andere Methoden einsetzen, bei der Erkundung verborgen bleiben, verdeckt Befehle senden und Informationen empfangen, ihren Datenverkehr verschleiern und so lange wie möglich weitere Geräte infizieren. Hier kommen Forscher, Analysten und technologische Lösungen ins Spiel.

Die Sicherheitsforscher von Trend Micro wurden vom Sicherheitsteam eines Unternehmens zu Hilfe gerufen, nachdem das Team verdächtigen Command-and-Control (C&C)-Verkehrsaustausch von einem der Server aus entdeckt hatte. Diesen Verkehr galt es zu untersuchen und zu analysieren. Die Experten erhielten Zugang zu einer begrenzten Anzahl von Maschinen und Daten, um Rückmeldungen und Ereignis-Logs zu untersuchen, einschließlich Festplatten- und Speicher-Images. Ohne eine Endpoint Detection and Response (EDR)- oder eine Cross-Layered Detection and Response (XDR)-Lösung gab es jedoch keine Möglichkeit, alle Samples und Tools zu sammeln, die wahrscheinlich unentdeckt in der Umgebung des unzugänglichen Systems liefen. Dieser Mangel hinderte die Ermittlungs- und Sicherheitsteams daran, eine vollständige Abbildung zu erstellen und Angriffe zuzuordnen.

Umfang und erste Analyse des Angriffs

Eine erste Analyse der Logs ergab insgesamt 62 infizierte Maschinen: 10 Server, 13 Rechner mit Binärdateien, die zum File Scraping und zur Datenexfiltration fähig waren, 22 Rechner mit Backdoor-Shells und weitere Rechner, auf denen andere Tools und normale Anwendungen liefen, die zum Laden bösartiger Binärdateien missbraucht wurden.

Bild 1. Erste Untersuchung der Routine auf Basis der gesammelten und analysierten vorläufigen Daten

Die Backdoor ermöglicht es dem Angreifer, Befehle über cmd.exe auszuführen. Ausserdem wurden Tools wie Mimikatz verwendet, um Benutzerkonten zu übernehmen. Mithilfe von Netzwerk-Scanner-Tools suchten sie andere zu infizierende Computer und banden sie in ein bösartiges Netzwerk ein, über das die Backdoor weitere Tools aus der Ferne ablegen konnte. Um die per Fernzugriff platzierte Binärdatei auszuführen, erstellten sie entweder einen zeitgesteuerten Task oder verwendeten den Befehl wmic process create. In mehreren Fällen wurden Kopien der Backdoor abgelegt, und auch die Tools variierten.

Die Angreifer hatten es vor allem auf Dateien wie PDFs und Microsoft Office abgesehen. Ausserdem ist es wahrscheinlich, dass diese Angriffe schon seit einigen Jahren liefen, das lassen die Zeitstempel der Binärdateien und die Verbreitung der Infektion vermuten. Die Forscher verglichen die gefundenen Routinen und Tools mit MITRE ATT&CK und stellten fest, dass die gesichteten Techniken sowohl mit APT32 als auch mit APT3 übereinstimmen, mit Ausnahme einiger unterschiedlicher Techniken, die nicht zugeordnet werden konnten.

Analysen und Zuordnung

Mit Blick auf die Variationen der Techniken analysierten die Forscher die Tools und Beziehungs-Cluster, die die Routinen verwendeten und mit denen sie sich mit den fünf Endpunktzielen mit der grössten Anzahl an Installationen verbanden. Sie fanden sechs Arten von Datenexfiltrations-Tools, sechs Backdoors und fünf verschiedene Tools, die für unterschiedliche Zwecke eingesetzt wurden. Viele dieser Tools nutzten die unternehmensinternen Systeme und Software, wie z. B. das Dokumentenmanagementsystem mit einer MySQL-Backend-Datenbank. Ausserdem fanden sie sechs Beziehungs-Cluster, die die Tools mit den bösartigen Routinen verbanden, sowie vier Einbruchs-Sets, die mit früher dokumentierten Kampagnen von APT-Gruppen und Untergruppen übereinstimmten. Diese Tools und Beziehungen sind im Whitepaper „Finding APTX: Attributing Attacks via MITRE TTPs“ im Detail beschrieben.

Die Gruppen, denen die Forscher den Angriff zuschreiben, verwenden unterschiedliche Toolsets und haben starke Verbindungen zu anderen Gruppen, die bereits von anderen Forschern beschrieben worden sind. Auch die Schreibstile sind sehr unterschiedlich. Das zeigt sich daran, wie dicht gepackt oder „aufschlussreich“ die Tools sind. Auch sind die Redundanzen in den Datenexfiltrations-Prozessen der einzelnen Angriffssets nicht verwunderlich, wenn man bedenkt, dass das Ziel kontinuierlicher Informationsdiebstahl, Datenaktualisierungen und eine verlängerte verborgene Präsenz im System sind.

Fazit

Opferorganisationen sind glücklicherweise in der einzigartigen Lage, die Indicators of Compromise (IOCs) festzustellen, die sie als Referenz verwenden können. Dank der heute verfügbaren technischen Lösungen (z. B. EDR und XDR) könnten undefinierte Logs fehlende Zusammenhänge identifizieren und nachweisen, die zur Erstellung eines vollständigen Abbilds des Eindringens erforderlich sind.

Diese Lösungen könnten den Zeitaufwand für die Identifizierung und Rekonstruktion der Ereignisse, wie den Angriffsablauf, reduzieren. Dennoch spielt die Kooperation von Sicherheits- und Untersuchungsteams eine entscheidende Rolle bei der Identifizierung, Verhinderung und Entschärfung von Bedrohungen, oder bei der Zuordnung zu den verantwortlichen Gruppen.

Die gesamte technische Analyse ist Inhalt des Whitepapers „Finding APTX: Attributing Attacks via Mitre TTPs“.

Backdoors zeigen sich erst, wenn sie genutzt werden

Originalartikel von Greg Young

Wenn Regierungen oder Geheimdienste vorschlagen, ein Telefon, ein Kryptographie-Tool oder ein Produkt mit einer Backdoor auszustatten, sind sich alle Teams darüber einig, dass dies eine sehr schlechte Idee ist. Sicherheitslücken oder Schwachstellen in Produkten sind schwer zu finden. Bei Exploits fällt es leichter, sobald man die Schwachstellen kennt. Aber eine absichtliche Backdoor, ob vom Hersteller oder vom Einschleuser installiert, ist vielleicht die am schwierigsten zu identifizierende Malware.

Eine Backdoor ist eine Schwachstelle und ein Exploit in einem und es bedarf keiner Malware. Zur Klarstellung: Backdoor bedeutet in diesem Zusammenhang, dass sie sich in einem legitimen Produkt-Release befindet und nicht als eine nachträgliche Auslagerung in der Supply Chain. Das mit einer Backdoor versehene System verfügt über ein legitimes Zertifikat und wird alle Hash-, Grössen- und Validierungsprüfungen bestehen. Im Gegensatz zu einer Schwachstelle ist die Backdoor mit allen von seinen Entwicklern gewünschten Sicherheits- und Verschleierungsmassnahmen ausgestattet, wodurch sie für Bedrohungsforscher nahezu nicht aufzuspüren ist. Und jeder Kunde dieses Produkts hat diese Backdoor, und die kann genutzt werden. Wenn der Backdoor-Code also effektiv unauffindbar ist, können sie dann überhaupt entdeckt werden?

Ja, allerdings nicht im inaktiven Zustand (d. h. bevor irgendwelche Aktionen ausgeführt werden). Sobald die Backdoor genutzt wird, kann selbst die bestens getarnte Backdoor entdeckt werden, wenn auch nicht ohne weiteres. Traditionelles Pattern Matching für Exploits hilft nicht weiter, es sei denn, die Backdoor verteilt intern bereits bekannte Malware. Auch auf Schwachstellen basierende IPS-Signaturen erkennen sie in den frühen Stadien nicht. Sie können zwar Verhaltensänderungen entdecken, sobald die Backdoor genutzt wird, haben es aber leichter, wenn klare Indicators of Compromise (IOCs) verteilt werden.

Mit den IOCs sind rückwirkende Suchläufe möglich. Dies kann eine frühe Überprüfung des Ausmasses der Kompromittierung darstellen. Ein Problem dabei wäre, dass häufig Infrastruktursoftware auf der „Safe“-Liste steht oder als „bekannt gut“ gekennzeichnet ist, was bedeutet, dass viele der primären Sicherheitsvorkehrungen angewiesen sind, das mit einer Backdoor versehene System zu ignorieren.

Kritischer Zeitraum zwischen erster Backdoor-Nutzung und ausgestellten IOCs

Doch was passiert, bevor diese IOCs allgemein bekannt sind? Digitale Anhaltspunkte für einen Angriff gibt es schon, bevor die IOCs verfügbar sind, aber kein einzelner Indikator ist ausreichend, um eine Bedrohung zu identifizieren.

Änderungen in den Kommunikationsmustern wären ein solcher Indikator, aber diese sind sehr unauffällig. Viele Systemmanagement- und Backup-Softwaresysteme kommunizieren absichtlich mit einer Vielzahl von Ressourcen. Doch man kann davon ausgehen, dass die Häufigkeit oder die Art dieser Kommunikation möglicherweise anders ausfällt. Grössere Pakete, Austauschvorgänge, die nicht der Norm entsprechen, und wiederholte externe Kommunikation, z. B. mit Command-and-Control-Servern, sind zusätzliche Indikatoren.

XDR-Produkte sind speziell darauf zugeschnitten, Logs der Sicherheits-Events und andere Event-Daten in einem sogenannten Data Lake vorzuhalten, um nach verdächtigen Mustern suchen zu können. Wo diese Muster nicht so ausgeprägt sind, hat ein Threat-Hunter im SOC zumindest Daten für die Analyse zur Verfügung, die aus vielen Quellen gesammelt wurden.  XDR ist besser ist als EDR allein, weil XDR alle EDR-Daten plus Telemetrie und Daten aus Quellen wie E-Mail, Netzwerkgeräten, DNS und anderen sammelt.

Dieser Data Lake mit Telemetriedaten bietet auch einen zusätzlichen Nutzen, indem er rückblickend betrachtet das Ausmass des Angriffs erkennen lässt. Dazu wird der Verlauf der Interaktionen untersucht, die darauf hinweisen könnten, dass unerwarteter Code ausgeführt wurde oder eine Datenexfiltration wahrscheinlich war. Diese Ereignisse können mit Telemetrie und XDR aufgespürt werden.

Blick nach vorn

Ein weiterer Vorteil ist die Dauer der Datenspeicherung. Jetzt sollten alle SOC-Teams dies überprüfen – die Ereignisse der letzten Woche könnten eine Mahnung sein, dass die Angreifer bei den fortschrittlichsten Attacken nicht dieselben Methoden verwenden werden.

XDR ist ein grossartiges neues Instrument bei der Jagd auf fortgeschrittene Angriffe und bei der Bestimmung und Begrenzung des Umfangs dieser Angriffe. Auch für den fortschrittlichsten Angriff – ein durch ein Backdoor manipuliertes legitimes Produkt – stellt sich heraus, dass es auch hier Hilfe gibt.

Pawn Storm: Einfachheit als Strategie

Originalbeitrag von Feike Hacquebord, Lord Alfred Remorin

Bei der Entdeckung eines einfachen Remote Access-Trojaner (RAT) im Netzwerk, denkt man nicht gleich einen Advanced Persistent Threat (APT)-Akteur als Angreifer. Brute-Force-Angriffe auf Services wie E-Mail, Microsoft Autodiscover, SMB, LDAP und SQL im Internet sind zudem mittlerweile so häufig, dass sie Hintergrundrauschen durchgehen, das man ignorieren kann. 2020 setzte die berüchtigte APT-Gruppe Pawn Storm genau diese nicht sehr komplizierten Angriffsmethoden so häufig ein, dass ihre Attacken im allgemeinen Rauschen untergehen konnten.

2020 verbreitete Pawn Storm einfache Google Drive- und IMAP-RATs, um ihre üblichen Ziele anzugreifen, so etwa Aussenministerien, Botschaften, die Verteidigungsindustrie und Militäreinrichtungen. Die RATs wurden auch an ein breite Ziele verschiedener Branchen auf der ganzen Welt geschickt. Die Gruppe führte darüber hinaus ausgedehnte Brute-Force-Angriffe durch, um Anmeldeinformationen zu stehlen, z. B. die von E-Mail-Konten von Unternehmen. Dies belegen die Netzwerkproben, die Trend Micro Pawn Storm zuschreibt, und auch die Art und Weise, in der die Akteure kompromittierte E-Mail-Konten für das Versenden von Spear Phishing-Mails missbrauchten. Pawn Storm hat sogar kompromittierte militärische und regierungsnahe E-Mail-Adressen in seiner IMAP-RAT-Malware fest codiert, um mit den Computern der Opfer zu kommunizieren. Kürzlich erklärten norwegische Behörden, Pawn Storm habe das norwegische Parlament gehackt.

Inkrementelle Verbesserungen bei nachfolgenden Versionen der Malware deuten auf eine Lernkurve des Malware-Autors hin, die eher für einen unerfahrenen Akteur als für einen erfahrenen Täter typisch ist. Anfänglich waren die RATs so einfach, dass sie nicht einmal internationale Tastaturen berücksichtigten. Das bedeutet, dass es für den Angreifer schwierig gewesen sein dürfte, die Festplatten der Opfer mit Dateien und Ordnern zu erfassen, die internationale Zeichen enthalten. Dieser Fehler wurde schnell korrigiert, zeigt aber die relative Unerfahrenheit dieses speziellen Pawn Storm-Betreibers. Spätere Versionen der RAT-Malware begannen Verschlüsselung zu verwenden. Die einzige Neben-Payload, die die Forscher fanden, war ein einfacher Keylogger, der gestohlene Informationen lokal auf den Rechnern der Opfer speichert.

Es wäre schwierig, diese Malware Sample Pawn Storm zuzuschreiben. Und ein typischer Netzwerkadmin hätte den Ursprung dieser Art von Malware bei keinem APT-Akteur vermutet. Dennoch konnten die Sicherheitsforscher aufgrund des Langzeit-Monitorings diese Samples sicher Pawn Storm Aktivitäten zuordnen.

Kürzliche Pawn Storm-Aktivitäten

Kompromittierung von Nutzerkonten im Mittleren Osten

Trend Micro hat die Aktivitäten von Pawn Storm genau und konsequent überwacht und im März 2020 die neuesten Forschungsergebnisse zu der Gruppe veröffentlicht. Das Paper zeigt auf, dass Pawn Storm kompromittierte Konten – vor allem im Mittleren Osten – massiv missbraucht, um Spear Phishing-Mails zu versenden. Anfang Dezember nutzte die Gruppe beispielsweise einen VPN-Dienst, um sich mit einem kompromittierten Cloud-Server zu verbinden, und verwendete dann den Server für die Verbindung mit einem kommerziellen E-Mail-Provider für Unternehmen. Die Gruppe meldete sich dann bei einem kompromittierten E-Mail-Konto einer Hühnerfarm im Oman an und verschickte anschließend Credential Phishing-Spam an hochrangige Ziele auf der ganzen Welt. Dies zeigt, dass Pawn Storm sorgfältig darauf bedacht ist, seine Spuren über mehrere Ebenen hinweg zu verwischen.

Seit August 2020 verwenden sie diese Mail-Adressen nicht nur für das Verschicken von Spear Phishing-Mails sondern auch als Kommunikationsweg mit kompromittierten Systemen in IMAP RATs.

Brute Force-Angriffe

Die Sicherheitsforscher gehen davon aus, dass Pawn Storm viele Mailkonten über Brute Force-Angriffe auf Services wie E-Mail, Microsoft Autodiscover, SMB, LDAP und SQL im Internet kompromittiert. So scannte Pawn Storm im Mai 2020 weltweit IP-Adressen, darunter auch solche aus der Verteidigungsindustrie in Europa, auf den TCP-Ports 445 und 1433, wahrscheinlich um angreifbare SMB- und SQL-Server zu finden oder Anmeldeinformationen mit Brute-Force zu sammeln. Im August 2020 schickte Pawn Storm ausserdem UDP-Tests an LDAP-Server auf der ganzen Welt von einer ihrer dedizierten IP-Adressen.

Pawn Storm versucht häufig, diese Brute-Force-Versuche zu verschleiern, indem sie den Angriffsverkehr über Tor- und VPN-Server leiten. Dies reicht jedoch nicht immer aus, um die Aktivitäten zu verbergen. In einem Microsoft-Artikel über das Brute-Forcing von Office365-Anmeldeinformationen über Tor schrieb Microsoft die Aktivitäten Strontium zu, ein anderer Name für Pawn Storm. Trend Micro schrieb Anfang 2020 über ähnliche Angriffe, die 2019 begannen und eindeutig Pawn Storm zuzuordnen waren, weil die Sicherheitsforscher das umfangreiche Sondieren von Microsoft Autodiscover-Servern auf der ganzen Welt mit hochgradig zuverlässigen Indikatoren für die traditionelleren Angriffsmethoden der Gruppe (Spear-Phishing und Credential-Phishing) in Beziehung setzen konnten.

An technischen Einzelheiten Interessierte finden im Originalbeitrag die Analyse anhand eines Beispielfalls.

Trend Micro-Lösungen

Für das extensive Monitoring empfiehlt sich Trend MicroTM XDR, auch weil die Überwachung über alle vernetzten Ebenen von E-Mail, Endpoints, Cloud Workload und Netzwerke hinweg durchgeführt wird. Die Lösung wird von fortschrittlicher KI und Sicherheitsanalysen für die Datenkorrelation unterstützt. Somit ermöglicht XDR die Entdeckung und Reaktion auf einen Angriff bereits zu einem frühen Zeitpunkt.

Mit Trend Micro Managed XDR erhalten Kunden einen 24/7-Service, der die Fähigkeiten erfahrener Managed Detection and Response-Analysten für die fachkundige Überwachung, Korrelation und Analyse von Bedrohungen nutzt.

Indicators of Compromise sowie die relevanten IP-Adressen listet ebenfalls der Originalbeitrag auf.

Sicherheit beim Einsatz der Cloud-Collaboration-Software Slack

Originalartikel von Erin Johnson, Threat Researcher

Mitarbeiter der derzeitigen dezentralen Belegschaft haben neue Bedürfnisse, um ihre Arbeit effektiv zu erledigen. Dazu gehört auch eine Möglichkeit, in einem Konferenzraum zusammenzuarbeiten oder über die Kabinenwand hinweg zu kommunizieren. Die von Salesforce kürzlich übernommene Cloud-Collaboration-Software Slack ist für viele Teams zum integralen Bestandteil ihrer täglichen Interaktion und Arbeit geworden. Dem Unternehmen zufolge hat der Dienst mehr als 12 Millionen aktive Nutzer täglich und wird von 65 der Fortune 100-Firmen eingesetzt. Nach dem Abschluss der Übernahme und der vollständigen Integration durch Salesforce dürfte sich in Slack noch einiges ändern, aber das wird wohl noch eine ganze Weile dauern. Doch gibt es eine Menge Unternehmensdaten und potenziell vertrauliche Informationen, die über die Plattform ausgetauscht werden, und um deren Sicherheit sich Anwender auf jeden Fall Gedanken machen müssen.

Slack hat bereits wichtige Schritte unternommen, um die allgemeine Sicherheit der Plattform zu verbessern. Dazu gehören Updates, die einige der Ursachen für vergangene Sicherheitsverletzungen und Lecks behoben haben. Zwei grosse Änderungen, die die allgemeine Sicherheit der Plattform verbessern, sind:

  • Identitäts- und Gerätemanagement
  • Verschlüsselung für Daten „At Rest“ und „In Transit“

Administratoren können nun Zugriffs-Logs verwenden, um sicherzustellen, dass sich keine böswilligen Benutzer in ihrem Arbeitsbereich aufhalten. Dies eignet sich auch, um das normale Benutzerverhalten für einen Arbeitsbereich zu überprüfen. Die Single-Sign-On-Integration wiederum hilft zu gewährleisten, dass nur Personen mit bewilligten Geräten auf den Arbeitsbereich zugreifen können. SSO verhindert auch, dass ehemalige Mitarbeiter auf Daten zugreifen, nachdem sie das Unternehmen verlassen haben.

Verschlüsselung, in letzter Zeit ein heisses Thema bei allen Kommunikationsplattformen, ist ebenfalls hinzugekommen, und zwar für alle Daten im Ruhezustand (At Rest) und bei der Übertragung (In Transit). Zudem existiert eine Option, um die Verschlüsselung mit Slack Enterprise Key Management (EKM) zu verschärfen. EKM nutzt das AWS Key Management System (KMS), um Administratoren die volle Kontrolle über den Datenzugriff innerhalb eines Arbeitsbereichs zu geben. Sie können den Zugriff auf verschlüsselte Nachrichten, Dateien und sogar den Suchverlauf auf granularer Ebene mit eigenen Schlüsseln gewähren oder entziehen, ohne Auswirkungen auf die Benutzerfreundlichkeit oder Ausfallzeiten.

Derzeit gibt es Slack für Windows und Mac in der Version 4.11.1, und alle Anwender sollten zumindest die Version 4.4.0 aus dem März 2020 einsetzen. Eine Auflistung der wichtigsten Sicherheits-Updates und der Daten ihrer Einführung enthält der Originalbeitrag. Nahezu jede monatliche Aktualisierung beinhaltete ein sicherheitsrelevantes Update.

Fragen zur Sicherheit und dem Schutz von Slack-Arbeitsbereichen

Die Fragen enthalten die Hauptanliegen, die ein Unternehmen bezüglich der Sicherheit beim Einsatz von Slack lösen müssen.

  • Was wird mit dem Arbeitsbereich verbunden?

Ein Hauptanliegen bezieht sich auf Apps. Die Konnektivität in Slack ist ein zweischneidiges Schwert, denn auf der Plattform kann jede Ressource über eine App integriert werden, und jeder kann eine App für das App-Verzeichnis oder seinen eigenen Arbeitsbereich schreiben. Doch unterzieht Slack die Apps einem Sicherheitsüberprüfungsprozess, bevor sie öffentlich zugänglich gemacht werden. Dennoch wird es immer Fehler geben, und unsichere Apps werden unweigerlich durch den Prüfprozess schlüpfen.

Positiv zu werten ist, dass Slack-Apps und Bots nun ähnlich funktionieren und die Kontrolle durch Admins einschliessen. Damit haben Admins eine grössere Einflussmöglichkeit darauf, was zu einem Arbeitsbereich hinzugefügt werden kann, und sie können auch das Hinzufügen von Benutzern einschränken. Damit haben sie auch die Kontrolle darüber, auf welche Apps zugegriffen werden kann — früher ein Sicherheitsproblem.

Um das Risiko zu mindern, sollten jedoch Anwender wie bei jeder mobilen App prüfen, wer die App im Verzeichnis veröffentlicht hat. Soll Slack um eine O365-Integration erweitert werden, und es findet sich eine App, die nicht von Microsoft erstellt wurde, ist es möglicherweise nicht die geeignete App. Unabhängig vom Entwickler sollte auch geprüft werden, welche Berechtigungen die App fordert. Die Analyse durch Trend Micro zeigte, dass Slack-Apps mit sehr weit gefassten Berechtigungen arbeiten — das geht sogar so weit, dass ein universeller Lese- und Schreibzugriff gewährt wird, der als Benutzer fungiert. Anwender müssen deshalb entscheiden, ob dies ein akzeptables Risiko für ihr Unternehmen darstellt.

  • Wie greifen Nutzer auf die Arbeitsbereiche zu, und wie interagieren sie dort?

Phishing kann bei Slack viele Formen annehmen. Ein Angreifer kann Anmeldedaten „phishen“, um direkten Zugriff auf einen Slack-Arbeitsbereich zu erhalten. Mit etwas Open-Source-Intelligence(OSINT) im Vorfeld könnte ein Bedrohungsakteur herausfinden, wer der Administrator für einen Arbeitsbereich oder für ein Enterprise Grid-Konto ist, und damit bei einem Phishing-Versuch den höchsten Zugriff erlangen.

Die einfachste Methode, um die Plattform zu missbrauchen, besteht darin, Zugang zu Nutzer-Anmeldeinformationen zu erhalten. Credentials können auch gekauft oder wiederverwendet werden, doch verspricht Phishing den grössten Erfolg.

Erfolgreiche Phishing-Angriffe können sich auch indirekt auf Slack-Benutzer auswirken. Wird beispielsweise eine mit Malware infizierte Datei versehentlich auf Slack hochgeladen, so kann sie jeden infizieren, der die Datei herunterlädt und öffnet. Das Gleiche gilt für eine bösartige URL oder einen Benutzer, der ein Gewinnspiel oder ein Formular zum Ausfüllen weitergibt, ohne zu wissen, dass es sich um einen Betrug handelt. Social Engineering ist eine sehr effiziente Technik, um sich bei allen möglichen Angriffen einen Systemzugang zu verschaffen. Daher hilft die Schulung von Mitarbeitern, das Verständnis der Technik von Phishing-Versuchen zu verbessern. Multifaktor-Authentifizierung (MFA) und Single-Sign-On-Integration können ebenfalls die Wirksamkeit von Phishing-Versuchen einschränken.

  • Welche Informationen werden ausgetauscht?

Werden kritische oder geheime Geschäftsinformationen (Kundendaten, Entwickler, die Code teilen, Mitarbeiterdaten usw.) über Slack geteilt? Wenn ein Angreifer Zugriff auf einen Arbeitsbereich erhält, sind diese Daten gefährdet. Mit Admin-Zugangsdaten könnte ein Angreifer alle Nachrichten und Dateien in einem Arbeitsbereich einsehen – je nach Admin-Einstellungen sogar in privaten Channels.

Eine weitere Frage ist, ob Slack-Informationen nach aussen weitergegeben werden. Dies geschieht vor allem in Form von Webhooks und API-Schlüsseln, die sich in Hülle und Fülle auf GitHub finden. AT&T Alien Labs hat einen Proof of Concept veröffentlicht, der zeigt, wie ein Angreifer Webhooks missbrauchen könnte.

Entwickler müssen sich über die Risiken bei der Veröffentlichung von Passwörtern, Schlüsseln und Webhooks in ihrem Code bewusst sein. Unternehmen sollten auch nach diesen Geheimnissen scannen, falls sie versehentlich in einem öffentlichen Code-Repository geleakt wurden. Dies ist ein gutes Beispiel dafür, wie Slack EKM nützlich sein kann. Eine tiefere, granulare Kontrolle über den Zugriff auf sensible Informationen ermöglicht es Admins dafür zu sorgen, dass sensible Inhalte, die in Slack geteilt werden, vertraulich und geschützt sind.

Wie bei jedem AWS-Service wurde auch bei KMS auf Sicherheit geachtet, aber es können Einstellungen und Konfigurationen geändert werden, die die Sicherheit gefährden. Die Sicherheitsforscher haben auch Tausende von KMS-Schlüsseln gefunden, die in GitHub und sogar in Shodan veröffentlicht wurden.

Trend Micro Cloud One – Conformity stellt sicher, dass AWS Services sicher aufgesetzt und verwaltet werden. Die Lösung umfasst 11 Checks für AWS KMS, um eine Warnung auszugeben, sollte es ein Problem mit dem Setup oder eine falsche Verwendung eines Schlüssels geben.

Ein Leitfaden für die Sicherheit von IoT-Clouds

Originalbeitrag von Trend Micro

Das Internet of Things (IoT) zeichnet sich dadurch aus, dass es die Notwendigkeit menschlicher Interaktion für die Ausführung einer Vielzahl von Funktionen minimiert, und passt damit perfekt in eine Welt der Remote Setups und sozialen Distanz. Doch erst dank Cloud Computings können Unternehmen das IoT reibungslos und in grossem Umfang einsetzen. Die Integration von IoT und Cloud Computing – die sich vor allem in der Fülle von Cloud-Diensten zeigt, die das IoT unterstützen und als IoT-Cloud bekannt sind – stellt eine neue Dimension für die Art und Weise dar, wie ganze Industriezweige betrieben werden. Es ist daher wichtig, bei der Konvergenz der beiden Technologien die jeweiligen Sicherheitsrisiken und die Auswirkungen dieser Risiken nicht ausser Acht zu lassen.

In Bezug auf die Sicherheit der IoT-Cloud-Konvergenz ist es grundlegend zu verstehen, wie das IoT und Cloud Computing zusammen arbeiten. Das IoT an sich nutzt eine vielfältige Auswahl an Geräten, die zu den Anforderungen verschiedener Branchen oder Umgebungen passen. Beim Cloud Computing hingegen werden Daten, Anwendungen oder Dienste über das Internet – also in der Cloud – gespeichert und abgerufen, anstatt auf physischen Servern oder Mainframes. Die Cloud unterstützt IoT-Umgebungen, indem sie deren immanente Einschränkungen, z. B. bezüglich ihrer Verarbeitungs- und Speicherkapazitäten, fast vollständig aufhebt. Das IoT hingegen verbindet die Cloud mit physischen Geräten.

Bild 1. Beispiel einer Cloud-basierten IoT-Infrastruktur

Zu den Vorteilen der IoT-Cloud-Zusammenführung zählen folgende:

  • Ferngesteuerter Betrieb und Interoperabilität: IoT-Geräte verfügen in der Regel nicht über Ressourcen für Interoperabilität. Die Integration mit der Cloud, die ohnehin interoperabel ist, ermöglicht es Support-Technikern und Geräteadministratoren, Remote-Aufgaben (wie das Sammeln von Daten über ihre Anlagen, die Durchführung von Wartungsarbeiten und das Einstellen von Konfigurationen) auf IoT-Geräten im Feld durchzuführen — eine entscheidende Anforderung in der heutigen Zeit.
  • Unbeschränkter Datenspeicher: Das IoT verarbeitet Unmengen an unstrukturierten Daten, die von verschiedenen Sensoren stammen. Die Cloud ist bekannt für ihre nahezu unbegrenzte Speicherkapazität. Kombiniert man beides, eröffnet sich mehr Raum für die Aggregation und Analyse von Daten.
  • Unbeschränkte Verarbeitungsmöglichkeiten: IoT-Geräte und -Apps haben begrenzte Verarbeitungsmöglichkeiten, die oft gerade ausreichen, um ihre spezifischen Funktionen auszuführen. Die Verarbeitung vieler Daten erfolgt auf einem separaten Knoten. Durch die Integration mit der Cloud erschliessen sich deren unbegrenzte virtuelle Verarbeitungsmöglichkeiten, einschliesslich der Nutzung von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) für datengesteuerte Entscheidungen und Verbesserungen.
  • Zusätzliche Sicherheitsmassnahmen: Die Cloud bietet Funktionen, die einige der Sicherheitslücken im IoT beseitigen. Beispiele dafür sind Verbesserung von Authentifizierungsmechanismen und die Überprüfung der Geräteidentität.

Sicherheitsherausforderungen

In gewisser Weise erhöht die IoT-Cloud-Konvergenz die Dringlichkeit der Sicherheitsrisiken, da IoT-bezogene Schwachstellen kompliziertere Probleme im Cloud-Ökosystem verursachen können und umgekehrt. Zu den Herausforderungen, die Unternehmen bei der Schaffung sicherer IoT-Cloud-Umgebungen meistern müssen, gehören folgende:

  • Risiken entstehen durch die zentralisierte Eintrittsstelle in kritische Infrastrukturen. Die Integration des IoT mit der Cloud reduziert die Angriffsfläche erheblich, indem der gesamte ein- und ausgehende Datenverkehr durch das API-Gateway in der Cloud geleitet wird. Eine High-End-Firewall ist notwendig, um den Datenfluss durch dieses Gateway zu schützen. Doch das wirft ein altes Sicherheitsanliegen auf, nämlich die Frage, ob die Firewall eine ausreichende Verteidigung darstellt. Während ein einziger Zugang die Angriffsfläche minimiert, lenkt er die Aufmerksamkeit potenzieller Angreifer auf ein einziges Ziel. Findet ein böswilliger Akteur die richtige Gelegenheit, könnte dieser Zugang gewissermassen sein eigener „Tunnel“ in die Infrastruktur werden.
  • Unsichere Kommunikation und unsicherer Datenfluss zwischen dem Edge und der Cloud: Wenn die Endpunkte oder die Cloud über nur unzureichende Sicherheitsfunktionen wie Authentifizierung und Verschlüsselung verfügen, könnte dies für die Zugriffskontrollen und die Integrität der Daten, die zwischen diesen beiden Punkten ausgetauscht werden, gefährlich werden.
  • Fragen der Vertraulichkeit und Autorisierung: Unternehmen müssen bedenken, inwieweit IoT-Geräte und Sensoren sensible Daten sammeln, die in einem Cloud-basierten Ökosystem an einen Ort übertragen werden, der interoperabel ist und im Falle der öffentlichen Cloud auch anderen Benutzern und Kunden dient. Firmen sollten den Lagerungsort ihrer Daten mit ihren jeweiligen Cloud-Service-Providern besprechen.
  • Schwache Implementierung des IoT: Ein IoT-Ökosystem, in dem Sicherheitsmassnahmen (wie das Ändern von Standardpasswörtern, die Anwendung von Netzwerksegmentierung und die physische Sicherung von Geräten) nicht adäquat implementiert sind, überträgt seine Schwächen wahrscheinlich auch auf die Integration mit der Cloud. Um auf die Cloud zuzugreifen, benötigen IoT-Komponenten beispielsweise einen Schlüssel, um das API-Gateway zu passieren. In IoT-Implementierungen sollten Endgeräte diesen Schlüssel nicht im Klartext und die Shared-Access-Signatur (SAS), die einen eingeschränkten Zugriff auf die Cloud erlaubt, nicht ohne Timeout speichern.
  • Cloud-Fehlkonfigurationen und andere Schwachstellen: Eines der häufigsten Probleme beim Cloud Computing sind Fehlkonfigurationen. Sie bieten böswilligen Akteuren die Möglichkeit, Angriffe wie z. B. die Exfiltrierung von Daten durchzuführen. Diese und ähnliche Sicherheitslücken in der Cloud könnten schwerwiegende Folgen für das IoT-Ökosystem nach sich ziehen.

Bild 2. Die häufigsten Risiken für IoT-Cloud-Umgebungen, die zu Gefahren für Web-Anwendungen führen (Open Web Application Security Project, OWASP)

Viele dieser Fragen werden in einer Publikation der European Network and Information Security Agency (ENISA) erörtert.

Sichere IoT-Cloud-Zusammenführung

Die sichere Implementierung der IoT-Cloud vermindert bereits einige der damit einhergehenden Risiken. Unternehmen können auch zusätzliche Technologien einsetzen und Schritte unternehmen, um sicherzustellen, dass ihr gesamtes Ökosystem sicher ist, von der Cloud bis zu den IoT-Endpunkten:

  • Überwachen und Sichern des Datenflusses bereits in einem frühen Prozessstadium. Der Datenfluss von IoT-Endpunkten zur Cloud muss von Anfang an gesichert sein. Unternehmen benötigen Überwachungs- und Filter-Tools am Edge, damit die Daten schon früh in der Verarbeitung überwacht werden. Dies bietet reichlich Gelegenheit, verdächtige Aktivitäten zu erkennen, Anomalien zu bestimmen und sicherzustellen, dass alle verbundenen Geräte identifiziert werden.
  • Einsetzen von Cloud-basierten Lösungen, um die Sicherheit näher ans Edge zu bringen. Unternehmen müssen ihre Edge-Geräte sowohl vor physischen Bedrohungen als auch vor Cyberangriffen schützen. Angesichts der Beschränkungen des Edge-Computings können Cloud-basierte Lösungen zusätzliche Sicherheits- und Verarbeitungsfunktionen bieten. Fog Computing, eine Infrastruktur, die sich zwischen dem Edge und der Cloud befindet, ist eine Empfehlung, die einige Cloud-Ressourcen näher an das Edge bringt.
  • Regelmässige Schwachstellenüberprüfungen durchführen. Regelmässige Schwachstellentests erlauben das Aufspüren von Fehlern. Unternehmen können entscheiden, ob sie Schwachstellentests für das gesamte Ökosystem oder nur für eine bestimmte Komponente durchführen, solange dies regelmässig geschieht.
  • Kontinuierliche Updates und Patches sicherstellen. Updates und Patches sind der Schlüssel, um die Ausnutzung von IoT-Schwachstellen zu verhindern. Unternehmen können die Vorteile der Cloud nutzen, um Software-Updates effizient und sicher zu verteilen.
  • Sichere Passwörter sowohl für IoT-Geräte als auch für die damit verbundenen Cloud Services. Da Passwörter nach wie vor die Hauptmethode zur Authentifizierung sind, sollten Unternehmen strenge Passwortrichtlinien haben.
  • Aufstellen eines klaren, effektiven und detaillieren Plans für die Zugangskontrolle. Dieser Plan muss die gesamte Umgebung mit einbeziehen, von der Cloud bis zu den Edge-Geräten. Alle Nutzer, Gruppen oder Rollen müssen für die detaillierten Authentifizierungs- und Autorisierungsrichtlinien im Ökosystem festgelegt werden. Dabei sollte das Prinzip der Mindestprivilegien angewendet werden.
  • Best Practices für die Code- oder Anwendungssicherheit befolgen. Code oder Anwendungen spielen eine wesentliche Rolle in IoT-Cloud-Ökosystemen, da sie Unternehmen eine vereinfachte Kontrolle und Remote-Nutzbarkeit bieten. Organisationen sollten sich daher um diese Aspekte ihrer Ökosysteme kümmern, indem sie Best Practices wie die Durchführung statischer und dynamischer Anwendungsanalysen anwenden.
  • Anwenden des Modells der geteilten Verantwortlichkeiten. Unternehmen sollten auf das Modell der geteilten Verantwortung vertrauen, das von ihren Cloud-Service-Anbietern verwendet wird.  Dieses legt fest, welche operativen Bereiche Unternehmen selbst absichern müssen, etwa die Konfiguration von Cloud-Diensten. Unternehmen können auch Cloud-spezifische Sicherheitslösungen einsetzen, um ihre Cloud-nativen Systeme zu schützen.

Unternehmen können auch das V-Model als Referenz heranziehen. Es ist ein wohlbekannter Leitfaden für Softwareentwicklung, vor allem hinsichtlich der letzten beiden Punkte. Das Modell wurde zur Beschreibung der Softwareentwicklung in Publikationen zur Absicherung der industriellen Automatisierung (ISO/IEC 62443) und der Automobilindustrie (ISO 21434 und ISO 26262) verwendet, und das zeigt seine Anwendbarkeit auf das IoT.

Zusätzliche Einsichten von Shin Li

Der Cyber Risk Index 2020 mit globaler Ausrichtung

Originalartikel von Jon Clay

Der vor drei Jahren von Trend Micro zusammen mit dem unabhängigen Ponemon-Institut ins Leben gerufene  Cyber Risk Index (CRI) hat eine neue globale Version erhalten. In diesem Jahr sind Europa und der asiatisch-pazifische Raum in die Befragung mit aufgenommen worden, so dass der Risikoindex nun eine weltweite Sicht auf die Cyber-Risiken bietet, mit denen Unternehmen fertig werden müssen.

Für den CRI werden IT-Manager aus Unternehmen aller Grössen befragt, um das Risiko-Level für die Organisationen bestimmen zu können. Es geht um zwei Bereiche:

  1. die Fähigkeit der Unternehmen, sich auf gegen sie gerichtete Angriffe vorzubereiten (Cyber Preparedness Index) und
  2. die aktuelle Einschätzung der Bedrohungen, die auf sie abzielen (Cyber Threat Index)

Diese beiden Indices werden eingesetzt, um das gesamte Cyber-Risiko für ein Unternehmen zu errechnen. Basis ist eine Skala von -10 bis +10, wobei negative Werte ein höheres Risiko-Level bedeuten.

Der weltweite CRI

Der aktuelle weltweite Cyber Risk Index steht bei -0.41, und das bedeutet ein erhöhtes Risiko-Level.

Von den drei Hauptregionen weisen die USA im Vergleich zu Europa und dem asiatisch-pazifischen Raum das höchste Risiko-Level auf. Ein genauerer Blick auf die Details zeigt, dass die Cyber-Vorsorge in den USA am niedrigsten ist, was dazu geführt hat, dass der CRI insgesamt am höchsten ist. Überraschenderweise war der Cyber-Bedrohungsindex (Cyber Threat Index) in allen drei Regionen in etwa gleich hoch.

Dies heisst im Kern, dass Unternehmen in den USA Berichten zufolge am wenigsten darauf vorbereitet waren, Cyber-Bedrohungen wirksam zu stoppen oder darauf zu reagieren. Da Unternehmen in allen drei Regionen offenbar in gleichem Masse mit Bedrohungen konfrontiert sind, hatten die USA damit den höchsten CRI-Wert insgesamt.

Die Details der Ergebnisse

Die Ergebnisse zeigen auch die Bereiche, die in allen Regionen die grössten Sorgen bereiten:

  1. Angesichts der globalen Covid-19-Pandemie scheinen viele Organisationen der Meinung gewesen zu sein, dass ihre Abwehrbereitschaft ein zentrales Anliegen sei. Die folgenden vier Bereiche geben den Befragten zufolge am meisten Anlass zur Sorge: Organisatorische Fehlausrichtung und Komplexität, unachtsame Insider, Cloud Computing-Infrastruktur und -Provider sowie Mangel an qualifizierten Mitarbeitern.
  2. Viele Unternehmen haben in diesem Jahr aufgrund der Pandemie Cloud Computing schneller eingeführt. Dies ist zwar eine hilfreiche Reaktion, um unter den gegenwärtigen Umständen in der Lage zu sein weiter zu arbeiten, kann jedoch zu grösseren Beeinträchtigungen führen, da neue Technologien und Fähigkeiten erlernt werden müssen. Die Antworten oben weisen auf diese Herausforderung hin.
  3. Die Befragten gaben an, nicht ausreichend vorbereitet zu sein, um die meisten Cyberangriffe verhindern und eindämmen zu können, und zudem überhaupt nicht in der Lage zu sein, Zero-Day-Angriffe zu erkennen. Dies stellte einen Schlüsselbereich der Abwehrbereitschaft dar, der den Index auf ein erhöhtes Risikoniveau brachte.
  4. Die Antworten auf die Frage nach den Angriffen in den vergangenen 12 Monaten und den künftigen in den nächsten 12 Monaten verheissen nichts Gutes für 2021. Weltweit waren in den vergangenen 12 Monaten 76% der Studienteilnehmer von einem oder mehr erfolgreichen Angriffen betroffen und 23% von sieben oder mehr erfolgreichen Angriffen. Darüber hinaus sagen 83%, dass sie es für ziemlich bis sehr wahrscheinlich halten, in den nächsten 12 Monaten einen erfolgreichen Angriff zu erleiden. Auch dies scheint darauf hinzudeuten, dass die Unternehmen nicht ausreichend vorbereitet sind, um sich gegen neue Angriffe zu verteidigen.

Der CRI soll Unternehmen dabei unterstützen zu verstehen, wo ihre höchsten Risiken liegen, sowie Bereiche zu identifizieren, wo sie ihre Abwehrfähigkeiten verbessern können. Was die Angreifer in Zukunft tun werden, lässt sich nicht ändern, doch kann der Cyber Threat Index dabei helfen zu verstehen, ob Angreifer aggressiver vorgehen werden.

Beispielsweise haben die Sicherheitsforscher den CRI nun bereits dreimal für die USA erstellt, und er blieb konsistent, 5.22 für 2018, 5.5 für 2019 und 5.22 für 2020. Das bedeutet, dass die Bereiche, die den CRI von einem negativen zu einem positiven (weniger Risiko) Ergebnis bringen können, bei der Abwehrbereitschaft liegen.

In den folgenden Bereichen der Abwehrbereitschaft muss noch die meiste Arbeit geleistet werden, um die grössten Risiken anzugehen:

  • Gewährleisten, dass der Leiter der IT-Sicherheit (CISO) über ausreichende Autorität und Ressourcen verfügt, um eine starke Sicherheitshaltung herzustellen;
  • Verbesserung der Fähigkeit des Unternehmens, den physischen Verwahrungsort von geschäftskritischen Datenbeständen und Anwendungen zu kennen;
  • Verbesserungen bei organisatorischen Fehlausrichtungen und in der Komplexität der Sicherheitsinfrastruktur;
  • Mitarbeiter in Bezug auf Cyber-Bedrohungen schulen und sicherstellen, dass sie Cyber-Sicherheit als einen notwendigen Teil ihrer Arbeit betrachten;
  • Cloud-Computing-Infrastruktur einführen und mit den Providern zusammenarbeiten, um sie zu sichern. Schulen der Mitarbeiter, die mit der Einführung dieser neuen Technologien betraut sind, damit sie diese sicher implementieren können
  • Verbessern der Fähigkeit, neue Angriffe zu erkennen und darauf zu reagieren, und Bereitstellen einer stärker vernetzten Infrastruktur zur Gefahrenabwehr, die die Anzahl der Sicherheitslösungen begrenzt und Transparenz über den gesamten Angriffslebenszyklus hinweg ermöglicht.

Der CRI ist ein kontinuierliches Projekt, das jedes Jahr aktualisiert wird, um die Trends der Abwehrbereitschaft von Angriffen aufzuzeigen. Interessierte können auch die Webseite nutzen, um den CRI im Vergleich zu den aktuellen Ergebnissen für ihr Unternehmen zu prüfen:  www.trendmicro.com/cyberrisk.

Zudem gibt es die grafische Zusammenfassung des CRI.

Sicherheit 2021: Im Zeichen der gewandelten Arbeitsabläufe

Originalartikel von Trend Micro Research

Das Jahresende rückt näher und Unternehmen müssen ihren Fokus für 2021 auf Strategien in den wichtigen Bereichen legen. Als Reaktion auf die Covid-19-Pandemie waren Organisationen genötigt, ihre Betriebs- und Sicherheitsprozesse zu überdenken — von Geschäftsfunktionen und Cloud-Migrationen bis hin zur Unterstützung der Telearbeit. Diese aktuellen Gefahren zusammen mit den konstanten Sicherheitsrisiken, haben die Firmen im Jahr 2020 nicht nur vor Herausforderungen gestellt, sondern auch Fragen hinsichtlich ihrer Störungsanfälligkeit aufgeworfen. Trend Micro hat die Trends und Vorhersagen für 2021 aufgestellt, die Sicherheitsfachleute und Entscheidungsträger bei ihren Überlegungen im Auge behalten sollten.

Home Offices als kriminelles Drehkreuz

Im Zuge der zur Normalität gewordenen Arbeit im Home Office werden die Häuser auf absehbare Zeit zu Büros umfunktioniert. Immer mehr Mitarbeiter nutzen Geräte (einige sogar persönliche), um auf vertrauliche Daten in Heim- und Firmennetzwerken zuzugreifen. Das stellt für jede Organisation ein erhebliches Risiko dar, denn ohne einen gesicherten Zugang und robuste Sicherheitswerkzeuge, die die verteilte Angriffsfläche schützen, können sich Bedrohungsakteure leicht in Netzwerke einhacken und von einem Rechner zum anderen springen, bis sie ein geeignetes Ziel finden.

2020 wurde durch den Wechsel zu verteilter Arbeit auch der Einsatz von Geräten und Software neu gewichtet. Cyberkriminelle folgen den Nutzern und machen sich bei ihren Angriffen die Situation der User und ihr Verhalten zunutze. Sie sind immer auf der Suche nach Sicherheitslücken und nutzen die Schwachstellen, mangelnde Vorbereitung oder die mangelhafte Unterstützung der Sicherheit von Remote-Mitarbeitern gnadenlos aus.

Router werden Hauptziele der Remote-Angriffe sein. Cyberkriminelle können gehackte Router als neuen Service anbieten und damit Zugriff auf lukrative Netzwerke verkaufen. Die Sicherheitsforscher gehen davon aus, dass es auch möglich ist, dieselben Methoden auf konvergierte IT/OT-Netzwerke anzuwenden.

Der Umgang mit wertvollen Unternehmensbeständen wird 2021 ebenfalls eine Herausforderung darstellen, da die Organisationen Einbruchsversuche und Malware-Infektionen abwehren und alle sensiblen Informationen sichern müssen. Virtuelle private Netzwerke (VPNs) lassen sichere Verbindungen mit Arbeitsplätzen zu, doch wenn sie veraltet sind (oder ungepatchte Schwachstellen aufweisen, die Remote-Angriffe auslösen könnten), erweisen sie sich als ineffizient und für viele Unternehmen als schwaches Glied. Ohne detaillierte Sicherheitsrichtlinien und Incident Response-Pläne für die Reaktion auf Vorfälle können Angreifer Remote-Mitarbeiter als ideale Einstiegspunkte in die Ökosysteme von Unternehmen ins Visier nehmen.

Covid-19 als Köder für bösartige Kampagnen

Cyberkriminelle haben die durch die Pandemie verursachten Probleme schnell für ihre Angriffe genutzt, unter anderem für Phishing und Ransomware. Sie setzen dabei auf Social Engineering-Taktiken, um Spam, Business Email Compromise (BEC), Malware und bösartige Domänen zu verbreiten.

Bedrohungen werden auch weiterhin versuchen, in den Zielsystemen Fuss zu fassen. Und es gibt keinen Mangel an Bedrohungen, die Cyberkriminelle in Verbindung mit Covid-19 dafür einsetzen können. Sie werden ihr Augenmerk auch auf Tests, Behandlungen und Impfstoffe richten und die mit dem Corona-Virus verbundenen Ängste durch Fehlinformationen ausnutzen. Organisationen des Gesundheitswesens und auch Pharmaunternehmen, die Impfstoffe entwickeln, werden ebenfalls weiter unter Druck gesetzt werden. Bedrohungsakteure können Patientendaten gefährden, Malware-Angriffe starten oder medizinische Spionage erleichtern.

Digitale Transformation kann zum zweischneidigen Schwert werden

Die durch die Pandemie verursachten Geschäftsstörungen haben viele Unternehmen dazu angespornt, ihre Programme zur digitalen Transformation zu beschleunigen. Aus technologischer Sicht kommt dies der Lösung derzeitiger Bedürfnisse, welche cloudbasierte Software erfüllen kann, entgegen. Viele haben die Konnektivität unter den Mitarbeitern vorangebracht, setzen auf KI-fähige Anwendungen für die Unternehmensproduktivität und eine verstärkte Nutzung der Cloud, um agiler zu werden und besser skalieren zu können.

Doch diejenigen, die hastig von On-Premise-Umgebungen abgekommen sind, ohne entsprechende Sicherheitslösungen für die neuen Umgebungen zu haben, werden in Schwierigkeiten geraten. Der verstärkte Trend in Cloud-Umgebungen und -Tools für die Zusammenarbeit wird für Angreifer sehr attraktiv. Und Forscher aber auch Bedrohungsakteure werden sich auf Schwachstellen hinsichtlich der Technologien für das Remote-Arbeiten konzentrieren. Die „Cloud of Logs“, die Unternehmen anlegen und speichern, wird auch eine zentrale Rolle für professionelle Cyberkriminelle spielen. Sie werden dort wertvolle Daten suchen und nutzen, um erste Zugangspunkte zu Netzwerken zu finden.

Die sich abzeichnenden Wechsel in der Bedrohungslandschaft sollten Organisationen nicht davon abhalten, neue Technologien zu implementieren und sich der aktuellen Realität zu stellen. Bedrohungsakteure werden versuchen, die Situation auszunutzen, unabhängig von der aktuellen Landschaft. Mit geeigneten Sicherheitsstrategien und -lösungen können Organisationen alle Vorteile der digitalen Transformation nutzen, ohne sich selbst einem erheblichen Risiko auszusetzen.

Den ganzen Bericht mit den Prognosen zu den wichtigsten Sicherheitstrends finden Interessierte hier: „Turning the Tide: Trend Micro Security Predictions for 2021

Sicherheit für IoT Apps

von Trend Micro

Das Internet of Things (IoT) mit den vernetzten Geräten und den Apps, die Nutzer, Geräte und das Internet verbinden, hat die Art verändert, wie Arbeit, Weiterbildung und persönliche Freizeit gehandhabt werden. Und die häufigere Arbeit aus dem Home Office geht mit einer grösseren Abhängigkeit von IoT-Umgebungen daher. Persönliche und berufliche Netzwerke, Geräte und Einrichtungen sind heute mehr denn je miteinander verflochten, ebenso auch die Menge der sensiblen Informationen, die über die Anwendungen zur Steuerung und Verwaltung dieser Geräte ausgetauscht werden. Heimnetzwerke und -geräte bieten im Vergleich zu Büros zumeist nicht die gleiche mehrschichtige Sicherheit und stellen gleichzeitig zusätzliche Eintrittspunkte dar, die die Sicherheit von Benutzern und Organisationen gefährden und ihre Daten Bedrohungen aussetzen. Unternehmen und Verbraucher müssen genauer hinsehen und mehr Fragen stellen, um zu lernen, wie diese Geräte und Anwendungen für sie arbeiten. Dazu gehören auch Fragen, wie wohin ihre Daten gehen, wie sie verwendet, geschützt und wo sie gespeichert werden.

Alle IoT-Geräte verfügen über Aktuatoren, die als Sensoren dienen und es ihnen ermöglichen, Daten zu senden und zu empfangen und diese in messbare Aktionen zu übersetzen, die den Benutzereingaben, den Daten und der Programmierung folgen. Diese Geräte verfügen auch über betriebssystembasierte Firmware mit entsprechenden betriebssystembasierten Installationsprozeduren für Anwendungen. Auch können sie über WLAN Daten über den Router ins Internet übertragen. Schliesslich gibt es eine Schnittstelle, um mit dem Gerät zu interagieren, die meist in Form einer App erfolgt.

Diese Komponenten konnten leider immer wieder von Kriminellen erfolgreich angegriffen werden. Cyberkriminelle finden neue Angriffsmöglichkeiten, wie z.B. Schwachstellen bei Geräten und Apps, Fehlkonfigurationen bei der Speicherung, den Datenverkehr und Schwächen in der Programmierung.

Bild. Die erweiterte Angriffsfläche von IoT-Geräten (Open Web Application Security Project (OWASP)

Hier sind einige der Angriffsvektoren und Risiken für IoT-Anwendungen:

  • Schwachstellen. Sicherheitslücken in Apps können dazu führen, dass Angreifer und Malware sie etwa als Einstiegspunkte für Distributed-Denial-of-Service (DDoS)-Angriffe, Spoofing und Privilegien-Eskalation nutzen.
  • Unsichere Kommunikationskanäle. Kommunikationskanäle, die die Geräte zur Datenübertragung verwenden, müssen mit einem der vielen verfügbaren Protokolle verschlüsselt werden, wie z.B. Transport Layer Security (TLS) oder Hypertext Transfer Protocol Secure (HTTPS). Unabhängig davon, ob sich die Daten im „At Rest“-Zustand oder im „Transit“ befinden, ermöglichen diese Kanäle den Datenaustausch und die Kommunikation zur und von der App. Bleiben diese Kanäle unverschlüsselt, können sie für den Zugriff auf vermeintlich vertrauliche Daten missbraucht werden.
  • Bösartige Application Programming Interfaces (APIs). Einige Entwickler sind auf APIs von Drittanbietern angewiesen, um weitere Funktionen und Bibliotheken in ihre jeweiligen Apps einzubinden. Leider können angreifbare und böswillige APIs und Bibliotheken von Drittanbietern laut früheren Berichten legitime Anwendungen beeinträchtigen und infizieren und dadurch möglicherweise irreversible Schäden an Geräten und Benutzerdaten verursachen. Diese bösartigen Apps dienen auch als Eintrittspunkte für weitere Angriffe in das System, wie z.B. Injection- oder Man-in-the-Middle-Angriffe (MiTM).
  • Falsch konfigurierte Sicherheitseinstellungen. Falsch konfigurierte Einstellungen für Cloud-gehostete Anwendungen machen unbefugten Akteuren den Zugriff auf Daten möglich. Die Ursachen hierfür reichen von nicht geänderten Standardkonfigurationen, offenem Speicher bis zu Fehlermeldungen, die sensible Daten enthalten, und andere. Darüber hinaus denken einige Verantwortliche nicht daran, dass trotz erfolgreicher Implementierung von Anwendungen alle Komponenten (wie z.B. alle Betriebssysteme, Bibliotheken, Frameworks und andere), die an der Entwicklung von Anwendungen beteiligt sind, regelmässig aktualisiert und gepatcht werden müssen.
  • Veraltete Betriebssysteme und App-Versionen. Veraltete Betriebssysteme und App-Versionen dienen unter Umständen als Einfallspunkte für Angreifer. Manche Apps auf Geräten könnten noch auf der Betriebssystemversion laufen, die zur Zeit der Entstehung aktuell war, oder noch schlimmer, die schon beim Verkauf der App veraltet war. Einige Hersteller geben auch nicht so oft wie nötig Aktualisierungen heraus, noch veröffentlichen sie aktualisierte Versionen.
  • Schwache und wieder verwendete Passwörter. Diese Praktik begünstigt ebenfalls Einbrüche in die Nutzerkonten und IoT-Geräteplattformen und führt möglicherweise zu einem weiterführenden Angriff über verschiedene Plattformen hinweg. In den meisten Fällen stellen Gerätehersteller ähnliche Standardzugangsdaten für verschiedene Geräte zur Verfügung, und Benutzer, die die Standardeinstellungen auf ihren jeweiligen Geräten belassen, sind angreifbar.

Diese Eintrittspunkte für Bedrohungen betreffen alle Phasen im Lebenszyklus einer App und alle beteiligten Parteien, von den Geräteherstellern und ihrer jeweiligen Supply Chains bis hin zu den Anwendungsentwicklern und Nutzern. Abgesehen von den erforderlichen technischen Reparaturmassnahmen können Bedrohungen den Ruf und die Finanzen einer Organisation erheblich beeinträchtigen.

Schutz vor den Bedrohungen

Mit dem zunehmenden Einsatz von Geräten  gerät die Sicherheit zu einer kollektiven Verantwortung. Von jedem Benutzer eines vernetzten Geräts wird erwartet, dass er zum „Administrator der Dinge“ wird, also seine eigenen Geräte und Daten verwaltet. Hier sind einige Massnahmen, die Organisationen und Benutzer ergreifen können, um diese Risiken zu mindern:

  • Apps lediglich von legitimen Plattformen herunterladen. Nicht offizielle Drittanbieter von Apps könnten gefährlich sein. Es ist bekannt, dass Bedrohungsakteure gefälschte oder bösartige Versionen von legitimen Anwendungen erstellen, um sensible Informationen wie Online-Kontoinformationen und Gerätedaten zu stehlen.
  • Überprüfen und Einschränken von App-Berechtigungen. Es ist wichtig, die Berechtigungen, die die Apps fordern, zu prüfen, bevor sie auf das eigene Handy, Tablet oder den Computer herunterladen werden. Vorsicht bei Anwendungen, die übermässig viele Berechtigungen fordern, da diese möglicherweise versuchen, mehr als die bekannten Funktionen auszuführen oder darauf zuzugreifen.
  • Das IoT-Gerät sollte sorgfältig ausgewählt werden. Immer mehr Hersteller implementieren „Security by Design“ in ihre Geräte, um dem zunehmenden Sicherheitsbewusstsein der Nutzer Rechnung zu tragen und die gesetzlichen Vorschriften in verschiedenen Ländern einzuhalten. Organisationen können auch spezifische Produkte und Marken wählen, die der Sicherheit der Daten ihrer Kunden und Partner sowie der Sicherheit der Supply Chain Vorrang einräumen.
  • Das Betriebssystem von Anwendungen und Geräten regelmässig aktualisieren. Anerkannte Entwickler und Betriebssystemfirmen veröffentlichen regelmässig Updates, um Sicherheit und Funktionalität zu verbessern. Diese Updates sollten sofort nach ihrer Verfügbarkeit heruntergeladen werden, um potenzielle Sicherheitslücken zu schliessen.
  • Abbildung und Identifizierung der an das Netzwerk angeschlossenen Geräte. Identifizieren und Überwachen der Geräte, die regelmässig an das Heim- und Büronetzwerk angeschlossen sind, ist eine wichtige Massnahme. Auf diese Weise können Administratoren den regelmässigen Datenverkehr und die Konten, die das Netzwerk nutzen dürfen, verfolgen sowie unregelmässigen Datenverkehr durch bösartige Routinen im Hintergrund erkennen. Da nicht alle Geräte direkt unter der Kontrolle der Firma stehen, sollten Nutzer bei Bedarf zusätzliche Vorsichtsmassnahmen ergreifen (z. B. Installation oder Aktivierung der Kindersicherung) und die empfohlene Netzwerkfilterung und Standortblockierung verwenden, wann immer dies möglich ist.
  • Sichern der Kommunikationsprotokolle und Kanäle. Die Geräte müssen miteinander kommunizieren, um ihre jeweiligen Online-Funktionen ausführen zu können. Diese Kommunikationskanäle sollten u.a. mit kryptographischen Protokollen wie Transport Layer Security (TLS) und HTTPS gesichert werden, um eine Kompromittierung weitgehend zu vermeiden.
  • Ändern aller standardmässigen Anmeldeinformationen der Geräte. Gerätehersteller und Internet Service Provider (ISP) stellen Standard-Anmeldeinformationen für die von ihnen angebotenen Geräte zur Verfügung. Anwender müssen ihre Benutzernamen und Passwörter ändern und die Geräteeinstellungen anpassen.
  • Passwörter sicher handhaben und Mehrfaktor-Authentifizierung (MFA) einführen. Nicht dieselben Passwörter für mehrere Online-Konten wiederverwenden und alle MFA-Funktionen auf Websites und Plattformen aktivieren, die dies erlauben, um eine zusätzliche Sicherheitsebene für die Daten zu schaffen.

Wegen des schnellen Entwicklungstempos gibt es keine Standards, die Programmierer, Hersteller oder Benutzer zur Verifizierung heranziehen können. Einige Länder ändern dies gerade durch die allmähliche Integration von Gesetzen und Frameworks, um die Cybersicherheit und Widerstandsfähigkeit von IoT-Geräten zu verbessern. Die Regulierungsbehörden versuchen, mit dem Fortschritt des IoT Schritt zu halten, doch sollten Unternehmen und Entwickler „Security First“ und „Security by Design“ beachten — von der Konzeption, über die Vermarktung und bis zur Einführung von Geräten und Produkten.