CSOC-Event der Woche KW38: Bösartige E-Mails

KW38: CSOC-Event der Woche – Bösartige E-Mails

Durchschnittliche CSOC-Gesamtevents pro Tag:    35.225
Detektionshäufigkeit:      227

Eventbeschreibung Bösartige E-Mails  / Kritikalität = hoch (10 / 10)

In dieser Woche berichten wir über ein Event, das potenziell überall auftreten kann, wo mit E-Mails gearbeitet wird. Genauer gesagt geht es um die E-Mail-Anhänge, die gelegentlich als Spam in den Postfächern landen. Wir verzeichnen eine hohe Anzahl an verschickten Spam-Mails mit schädlichen Dateianhängen – Tendenz steigend.

Zu den schädlichen Dateianhängen zählt prinzipiell alles, was im Rahmen von Spam verschickt wird. Dies können zum Beispiel Word-Dokumente (.doc, .docx, .docm), PDF-Dateien, ausführbare Anwendungen (.exe, .msi) oder auch Bilddateien (.jpg, .png) sein. Im Zweifel kann es beim Öffnen der Datei bereits zu einer Infektion des Systems kommen. Wir raten dazu – insbesondere bei E-Mails mit Anhängen – diese vorab auf Plausibilität zu überprüfen. Von wem kommt die E-Mail? Erwarte ich die anhängende Rechnung?

Technische Darstellung: Bösartige E-Mails

Im Fall des von uns untersuchten Anhangs werden gleich mehrere schädliche Applikationen ausgeführt. Hat der Virenscanner hier nicht bereits Alarm geschlagen, prüft das Virus ob er sich in einer Testumgebung befindet – dazu zählen Entwicklungsumgebungen (Debugger) und virtuelle Maschinen. Ist dies nicht der Fall, werden zunächst eine PDF-Datei und eine .exe-Datei erzeugt, mit deren Hilfe http-Verbindungen aufgebaut werden, um weiteren Schadcode nachzuladen. Zusätzlich wird ein Keylogger gestartet und eine Verbindung zu einem C&C-Server aufgebaut.

CSOC-Event der Woche KW37: Veraltete Java-Version

KW37: CSOC-Event der Woche – Veraltete Java-Version

Durchschnittliche CSOC-Gesamtevents pro Tag:    42.947
Detektionshäufigkeit:      567

Eventbeschreibung Veraltete Java-Version / Kritikalität = hoch (7 / 10)

In dieser Woche berichten wir über ein Event, das auftritt, sobald eine veraltete Java-Version detektiert wird. In unserem Fall handelt es sich um eine ältere verwundbare Version. In veralteten Java-Versionen werden oftmals Sicherheitslücken entdeckt, die dem Angreifer das Einschleusen eines Schadcodes auf das Besucher-Gerät ermöglichen. Das gelingt ihm durch manipulierte Java-Applets auf Webseiten. Potenziell betroffen ist jeder Computer mit einer veralteten Java-Laufzeitumgebung, der entsprechende Seiten aufruft.

Java ist für die Funktion vieler Programme erforderlich. Dazu zählen unter anderen webbasierte Banking-Programme oder auch bis vor kurzem das sehr verbreitete Programm „Elster“, welches zur Erstellung von elektronischen Steuererklärungen verwendet wird. Die bei der Erstellung dieses Beitrags aktuelle Java-Version ist 10.0.2. Allerdings ist auch ein aktuelles Java kein Garant für Unverwundbarkeit, weil nach Erscheinen neuer Versionen generell sehr zeitnah neue Sicherheitslücken entdeckt werden. Abhilfe schafft lediglich eine Deinstallation oder die Deaktivierung des Java-Webbrowser-Plugins – und zwar immer dann, wenn dieses nicht benötigt wird.

Technische Darstellung: Veraltete Java-Version

Vulnerability in the Java SE, Java SE Embedded component of Oracle Java SE (subcomponent: JSSE). Supported versions that are affected are Java SE: 6u191, 7u181, 8u172 and 10.0.1; Java SE Embedded: 8u171. Difficult to exploit vulnerability allows unauthenticated attacker with network access via SSL/TLS to compromise Java SE, Java SE Embedded. Successful attacks of this vulnerability can result in unauthorized creation, deletion or modification access to critical data or all Java SE, Java SE Embedded accessible data. Note: This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security.

CSOC-Event der Woche KW36: Backdoor in FTP-Dienst

KW36: CSOC-Event der Woche - Backdoor in FTP-Dienst

Durchschnittliche CSOC-Gesamtevents pro Tag:     29.595
Detektionshäufigkeit CVE-2011-2523:      4

Eventbeschreibung CVE-2011-2523 / Kritikalität = hoch (10 / 10)

In dieser Woche berichten wir über ein Event, welches besonders in IT-Umgebungen mit nicht gepatchten Diensten beachtet werden sollte. In unserem Fall handelt es sich um eine Backdoor im FTP-Dienst VSFTPD 2.3.4.

Eine sogenannte Backdoor (auch Hintertür) bezeichnet einen Teil einer Software oder eine vom Entwickler eingebaute Funktion, die es ohne das Wissen des Anwenders ermöglicht, an der normalen Zugriffssicherung eines IT-Systems vorbei auf eben jenes zuzugreifen. Die aktuelle Version des Dienstes VSFTPD ist 3.0.3. Bei der aktuellen Version sind bislang keine Schwachstellen oder Anfälligkeiten für Exploits bekannt.

Technische Darstellung: CVE-2011-2523

In July 2011, it was discovered that vsftpd version 2.3.4 downloadable from the master site had been compromised.  Users logging into a compromised vsftpd-2.3.4 server may issue a ":)" smileyface as the username and gain a command shell on port 6200.  This was not an issue of a security hole in vsftpd, instead, someone had uploaded a different version of vsftpd which contained a backdoor. Since then, the site was moved to Google App Engine.

CSOC-Event der Woche KW35: Hohe Netzwerkscan-Aktivität

KW35: CSOC-Event der Woche – Hohe Netzwerkscan-Aktivität


Durchschnittliche CSOC-Gesamtevents pro Tag
:      26.428
Detektionshäufigkeit:   38.456

Eventbeschreibung Hohe Netzwerkscan-Aktivität / Kritikalität = mittel (6 / 10)

In dieser Woche berichten wir über Events, die wir in großer Anzahl und mit steigender Häufigkeit detektieren: Netzwerkscans.

Diese Scans werden häufig als erster Schritt der „aktiven Informationsbeschaffung“ genutzt, also der direkten Interaktion mit dem möglichen Zielsystem. Das Resultat eines Netzwerkscans soll potentielle Angriffsmöglichkeiten eines IT-Systems bzw. einer IP-Adresse offenbaren. Wichtig ist, dass diese Scans nicht zwangsläufig einen aktiven Angriffsversuch nach sich ziehen – dennoch können Sie einen ersten Hinweis auf schädliche Aktivität geben.

Die Aktivität von Netzwerkscannern im Internet nimmt stetig zu. Stellenweise existieren Suchmaschinen, welche die Ergebnisse erfolgter Scans öffentlich zur Verfügung stellen. Ein Beispiel hierfür ist die Webseite www.shodan.io. Dort kann einfach nach beliebigen, öffentlichen IP-Adresse gesucht werden um herauszufinden, was das „Internet“ bereits über die eigenen über das Internet erreichbaren IT-Systeme an Informationen gesammelt hat.

Technische Darstellung:

Netzwerkscans werden in der Regel auch als „Portscans“ bezeichnet. Ein klassischer Portscanner ist das Tool „nmap". Nmap bietet viele nützliche Funktionen, um offene TCP- und UDP-Ports zu erkennen und die gesammelten Informationen auszuwerten. So ist es beispielsweise möglich, die Version des eingesetzten Webservers oder gar das zugrunde liegende Betriebssystem zu erkennen. Diese Informationen können im weiteren Verlauf eines potentiellen Angriffsszenarios genutzt werden, um vorliegende Schwachstellen zu identifizieren und ggf. auszunutzen.