CSOC-Event der Woche KW43: Verdächtige User Agents

KW43: CSOC-Event der Woche – Verdächtige User Agents

Durchschnittliche CSOC-Gesamtevents pro Tag:    24.783
Detektionshäufigkeit:      6.383

Eventbeschreibung: Verdächtige User Agents / Kritikalität = niedrig (3 / 10)

In dieser Woche berichten wir über ein Event welches auftritt, sobald ein verdächtiger User Agent detektiert wird.

User Agents werden genutzt, um Servern mitzuteilen, mithilfe welcher Anwendung der Zugriff erfolgt (Beispiele für User Agents sind Webbrowser, E-Mail-Programme, Newsreader und IRC-Clients). Diese Information ist notwendig, um entsprechende, für das abrufende Gerät angepasste Inhalte abzurufen. So wird eine Website, die mithilfe eines Mobilgeräts dargestellt wird, kompakt gehalten, um zu garantieren, dass die Inhalte anschaulich bleiben.
Um Daten im passenden Format für das jeweilige Endgerät darzustellen, haben alle Anwendungen einen User Agent, der an den entsprechenden Server übertragen wird. Bei diesem Vorgang erkennt das SOC entsprechend verdächtige User Agents, welche bekannten oder bedrohlichen Anwendungen zugeordnet werden können.

In unserem Fall handelt es sich um einen Scan mit dem Open Source Schwachstellenscanner OpenVAS, der aufgrund seines User Agents eindeutig identifiziert werden konnte.

Technische Beschreibung:

The User-Agent request header contains a characteristic string that allows the network protocol peers to identify the application type, operating system, software vendor or software version of the requesting software user agent.
https://developers.whatismybrowser.com/useragents/explore/

CSOC-Event der Woche KW42: Vorbeugung von Phishing-Attacken

KW42: CSOC-Event der Woche – CSOC Domain Monitoring zur Vorbeugung von Phishing-Attacken

Durchschnittliche CSOC-Gesamtevents pro Tag:    63.169
Detektionshäufigkeit:      4

Eventbeschreibung: Erkennung neu registrierter Domains / Kritikalität = hoch (8 / 10)

Das Event dieser Woche tritt auf, sobald das im CSOC eingesetzte Domain Monitoring die Registrierung einer neuen Domain erkennt. Es wird von einer eigens entwickelten Lösung zur Erkennung neu registrierter Domains ausgelöst.
Der Auftritt eines Unternehmens oder eines Produkts im Internet, etwa in Form einer Webseite oder einer E-Mail Adresse, die eindeutig dem eigenen Unternehmen zugeordnet werden kann, erfordert zunächst eine Domain. Die Domain bietet Internetnutzern in dem Sinne eine Gedächtnishilfe bzw. dient dem schnellen Aufrufen einer Präsenz.

Um folglich tägliche News abzurufen oder andere Aktivitäten durchzuführen muss anstatt einer IP-Adresse lediglich die Domain des bevorzugten Berichterstatters aufgerufen werden ( zum Beispiel www.csoc.de). Ein Weg, den wir ggf. heute mehrmals pro Stunde durchführen. Noch einfacher ist der Weg über Favoriten im Browser.
Angreifer können sich diesen Aspekt zu Nutze machen. Als Beispiel könnte ein Angreifer die Domains csoc.com oder cs0c.de registrieren. Der Unterschied fällt kaum auf. Im Vergleich zu der offiziellen CSOC-Domain - www.csoc.de - würden die neu erkannten, potentiell schädlichen Domains www.csoc.com und www.cs0c.de im Internetbrowser wie folgt erscheinen:

Vorschau URL CSOC Cyber Security Operations Center Köln Bonn

(Offizielle CSOC-Domain)

Vorschau falsche Domain URL CSOC Cyber Security Operations Center Köln Bonn

(Der Buchstabe „o“ in CSOC wurde durch die Zahl „0“ ersetzt)

Vorschau falsche Domain 2 URL CSOC Cyber Security Operations Center Köln Bonn

(csoc wurde unter einer anderen Top-Level-Domain registriert: .com anstelle von .de)

Domains, wie sie für Webauftritte und E-Mails verwendet werden, können generell für Phishing-Versuche missbraucht werden. Da die durch das CSOC neu erkannten Domains durch Analysten proaktiv auf schädliche Inhalte hin geprüft werden, kann das Risiko des Missbrauchs der eigenen Domäne bereits deutlich gesenkt werden. Bestenfalls sind jedoch auch die Anwender geschult zu erkennen, wie z.B. die korrekte Domain des vermeintlichen E-Mail-Absenders aussehen sollte.

CSOC-Event der Woche KW41: Angriffe auf SSL- und TLS-Verschlüsselungen

KW41: CSOC-Event der Woche – Angriffe auf SSL- und TLS-Verschlüsselungen

Durchschnittliche CSOC-Gesamtevents pro Tag:    57.857
Detektionshäufigkeit:      7.861  

Eventbeschreibung Angriffe auf SSL- und TLS-Verschlüsselungen / Kritikalität = hoch (8 / 10)

Auch das Event, das wir diese Woche vorstellen, tritt zunehmend häufiger auf. Genauer gesagt handelt es sich um eine Gruppe von Events, die rund um verschlüsseltes Browsen (HTTPS) auftreten und das zugrunde liegende SSL / TLS-Protokoll betreffen. Dass die Verbindung zu der Webseite, auf der Sie sich gerade befinden, verschlüsselt ist, erkennen Sie an dem grünen Schloss vor der Adresse der Webseite:

https sichere Website CSOC SOC Cyber Security Operations Center

Bei der Bewegung durch das Internet kann eine verschlüsselte Verbindung zu einer Webseite keine absolute Vertraulichkeit garantieren. Denn hier ist es wichtig, welche Version des SSL / TLS-Protokolls zur Verschlüsselung auf der besuchten Webseite zum Einsatz kommt.

Um teils schwerwiegende Angriffe auf die Vertraulichkeit zu vermeiden, ist daher die Verwendung des SSL-Protokolls in Version 1, 2 und 3 auf eigenen Webseiten auszuschließen. Hier sollte der Nachfolger des Protokolls – TLS – verwendet werden. Gemäß des Standards PCI DSS ist ab 30.06.2018 das TLS-Protokoll in Version 1.1, 1.2 oder 1.3 zu verwenden, obwohl streng zu einer Verwendung ab TLS 1.2 aufwärts geraten wird. Mithilfe von https://www.ssllabs.com/ssltest/index.html können Sie schnell und einfach selbst herausfinden, welche Versionen von SSL und TLS auf Ihren Webseiten zur Verfügung stehen.

Technische Darstellung

Im Rahmen der technischen Darstellung möchten wir auf Artikel hinweisen, welche mögliche Angriffsszenarien bei Verwendung des SSL-Protokolls abbilden und darüber aufklären, warum die Verwendung von TLS ab Version 1.2 empfohlen wird:

POODLE-Attacke

DROWN-Attacke

ROBOT-Attacke

FREAK-Attacke

Warum TLS >= 1.2?

Neue Ausgabe des BSI-Magazins erschienen

Neue Ausgabe des BSI-Magazins erschienen & "Die Lage der IT-Sicherheit in Deutschland 2018"

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Ausgabe des BSI-Magazins veröffentlicht. Neben Vergleichszahlen hinsichtlich kursierender Schadprogramme 2018 zu 2017 finden sich darin aktuelle Informationen und Tipps rund um die Cyber Security. Einen besonderen Schwerpunkt bilden dabei die E-Mail-Sicherheit und Kryptografie.

Zusätzlich wurde die Lager der IT-Sicherheit in Deutschland für 2018 veröffentlicht. Ein Bericht, der u.a. aktuelle Gefährdungen von Wirtschaft und Gesellschaft, Angriffsmethoden und Angriffsziele vorstellt aber auch das Thema Cyber Security in Deutschland thematisiert.

Download BSI-Bericht Lage der IT-Sicherheit in Deutschland 2018

*Pflichtfeld

CSOC-Event der Woche KW40: Verwundbare Routerfirmware

KW40: CSOC-Event der Woche – Verwundbare Routerfirmware

Durchschnittliche CSOC-Gesamtevents pro Tag:    57.735
Detektionshäufigkeit:      874

Eventbeschreibung Verwundbare Routerfirmware & Standard-Zugangsdaten / Kritikalität = hoch (8 / 10)

In dieser Woche berichten wir über ein Event, welches mit steigender Häufigkeit ausgelöst wird. In unserem Fall geht es um einen Angriff auf mobile Router der Firma Microhard Systems, der jedoch mit geringfügigen Abweichungen an vielen weiteren Routern anwendbar ist.

Router respektive Modems sind erforderlich, um über die Leitungen der Provider eine Internetverbindung aufbauen zu können. Im Regelfall erhalten Kunden ein Gerät von ihrem Anbieter, welches mit Standard-Zugangsdaten versehen ist. Diese Zugangsdaten zum Webinterface des Routers sind notwendig, um Konfigurationen und auch Sicherheitseinstellungen vornehmen zu können.

Unser Event wird durch einen Exploit ausgelöst, der versucht, eine Konfigurationsdatei aus dem Speicher des Microhard Systems Routers auszulesen und die darin befindlichen DNS-Einträge zu manipulieren. Hierbei werden die Standard-Zugangsdaten verwendet. Diese Zugangsdaten sind bei einigen verwundbaren Firmware-Versionen  einprogrammiert und ermöglichen auch bei Änderung des Standard-Passworts den Zugriff. Wurde die Firmware nicht aktualisiert, wird besagte Konfigurationsdatei verändert und ermöglicht dem Angreifer, seine Ziele auf manipulierte Webseiten weiterzuleiten, welche z.B. die Login-Bereiche von sozialen Netzwerken nachstellen. Ein solches Szenario ist nur eine der Möglichkeiten, die Angreifern mit Zugang zu einem Router offenstehen. Wir empfehlen daher bei der Ersteinrichtung des Routers stets die aktuellste verfügbare Firmware zu installieren und auch bei unbetroffenen Routern ein sicheres Passwort zu vergeben.

Technische Darstellung: Verwundbare Routerfirmware & Standard-Zugangsdaten

A malicious document embeds the same Flash object twice in an ActiveX control for an unknown reason, although this is likely an operational mistake. The Flash files work in the same manner as the last known attack using this tool: the embedded Flash decompresses a second Flash object that handles the communication with the exploit delivery server. The only difference is that this second Flash object is no longer stored encrypted. There are other signs that this campaign was devised hastily: for example, the actors did not change the decryption algorithm constants as they have in the past. These particular constants were already used in a late December 2016 campaign. Each document uses a different domain for victim exploitation, while the communication protocol with the server stayed the same as well.