CSOC-Event der Woche KW46 – DDoS-Reflection-Angriff

KW46: CSOC-Event der Woche – DDoS-Reflection-Angriff

Durchschnittliche CSOC-Gesamtevents pro Tag:  14.941
Detektionshäufigkeit:      255

Eventbeschreibung: DDoS-Reflection-Angriff / Kritikalität = mittel (6 / 10)

Das Event dieser Woche tritt auf, wenn ein NTP-Dienst für DDoS-Angriffe missbraucht wird. NTP, das Network Time Protocol, wird verwendet, um die Synchronisation von Systemzeiten zu gewährleisten. Für diesen Dienst stehen im Netz viele öffentliche Server zur Verfügung, die bei einer nicht restriktiven Konfiguration nach einem Status abgefragt werden können. Der Status, welcher mithilfe des „monlist“-Befehls abgerufen wird, kann bis zu 600 Einträge enthalten, welche unter anderem aus Informationen wie der IP-Adressen zuletzt anfragender Systeme bestehen.
Der DDoS-Reflection-Angriff basiert auf einer Manipulation der Anfrage mit dem „monlist“-Befehl, indem die IP-Adresse des anfragenden Systems mithilfe von IP-Spoofing durch die IP-Adresse des Zielsystems ausgetauscht wird.

Der antwortende Zeitserver sendet in einem solchen Fall die Antwort an die hinterlegte Zieladresse und überflutet das Ziel bei multipler Anfrage mit den letzten Einträgen. Der Angriff ist mithilfe eines einzelnen Hosts ausführbar, da die benötigte Bandbreite zum Senden einer Anfrage verschwindend gering ist, die erhaltene Antwort mit zahlreichen Einträgen jedoch enorm größer ausfällt. Der einzige Weg, den Missbrauch zu unterbinden, besteht in der Aktualisierung des Dienstes – mindestens auf die Version 4.2.7p26. Durch dieses Update wird die „monlist“-Funktionalität entfernt.

Technische Beschreibung:

Bei einem Reflection-Angriff wird das Opfersystem nicht direkt angegriffen. Stattdessen spielt der Angreifer „über Bande“ (reflection). Dazu sendet er eine Anfrage mit gefälschter Absenderadresse an ein Zielsystem (Bande). Als Absenderadresse wählt er dabei die Adresse des Systems, das er angreifen möchte (Opfersystem). Die Antwort auf die Anfrage des Angreifers erhält dann aufgrund der gefälschten Adresse nicht der Angreifer, sondern das Opfersystem.

CSOC-Event der Woche KW45 – XXE-Angriffe: Die Bedrohung in XML-Dokumenten

KW45: CSOC-Event der Woche – XXE-Angriffe: Die Bedrohung in XML-Dokumenten

Durchschnittliche CSOC-Gesamtevents pro Tag:  24.602
Detektionshäufigkeit:      224

Eventbeschreibung: XXE-Angriffe – Die Bedrohung in XML-Dokumenten / Kritikalität = mittelschwer (6 / 10)

In dieser Woche berichten wir über Angriffe, die es 2017 erstmals in die Liste der OWASP TOP 10 aktueller Webapplikations-Schwachstellen geschafft hat. Der Sammelbegriff für die Angriffe lautet: XML External Entities (XXE).

Dieser Angriff kann durch speziell erzeugte XML-Dokumente getätigt werden, welche dann von einer nicht ausreichend sicher konfigurierten XML-Schnittstelle entgegengenommen und verarbeitet werden. XML-Dokumente dienen dem hierarchisch strukturierten Speichern von Daten im Textformat. Dabei können, ähnlich wie in HTML, im Kopf der XML-Datei Vorgaben zur Struktur des Dokuments gemacht werden. Unter anderem kann im Kopf der XML-Datei auf externe Entitäten referenziert werden, die anschließend im weiteren XML-Dokument aufgerufen werden. Als eine mögliche externe Entität könnte beispielsweise eine lokale Systemdatei mit Passwörtern dienen. Wird der Aufruf von der XML-Schnittstelle korrekt und ohne Widersprüche verarbeitet, können die Inhalte der lokalen Systemdatei nun möglicherweise angezeigt werden. Zu den möglichen Folgen einer erfolgreichen XXE-Attacke zählen Zugriffe auf sensible Informationen, Remote-Code-Ausführung und der gezielte Ausfall von IT-Systemen (Denial-of-Service).

Technische Beschreibung:

Als Beispiel stellen wir ein manipuliertes XML-Dokument vor, dass bei fehlerhaftem XML-Parser die lokale Passwortdatei eines Linux-Systems am Bildschirm ausgeben könnte:

csoc_screenshot_xml cyber security operations center csoc managed soc

Weitere Code-Beispiele für XXE-Angriffe, und wie man sich vor diesen schützen kann, finden Sie unter dem hinterlegten Link der technischen Beschreibung.

Cyber-Sicherheit im Mittelstand / KMU

Cyber-Sicherheit im Mittelstand

Interview mit dem IT-Security-Experten Joerg Lammerich zum Thema Cyber-Sicherheit im Mittelstand

Tobias Vierneisel: Joerg, die jüngste Hacking-Meldung kommt aus Rheinland-Pfalz. Hier wurde berichtet, dass ein mittelständisches Unternehmen, in diesem Fall ein Planungsbüro, Opfer eines Cyberangriffs wurde. Es heißt außerdem, dass die Angreifer die Kontrolle über alle Rechner übernommen haben und für die Freigabe des Systeme 111.000 Euro in Bitcoins verlangen. Dass der Mittelstand immer mehr ins Visier der Angreifer gerät, ist mittlerweile bekannt und wurde mehrfach in den Fachmedien ausführlich thematisiert. Wie reagierst du als Experte, wenn du solche Meldungen siehst?

Joerg Lammerich: In erster Linie nicht überrascht. Hackerangriffe zählen zum Alltag. Mich interessiert dann immer, welchen Weg die Angreifer im Einzelfall gewählt haben, um Zugriffe zu erhalten. Dazu muss man sagen, dass im vergangenen Jahr gut die Hälfte aller deutschen Unternehmen Opfer von Cyberangriffen wurden. Die Auswirkungen solcher Cyberangriffe sind für alle Unternehmen gleichsam kritisch zu bewerten. Datendiebstahl, finanzielle Schäden und Reputationsverluste können allerdings gerade für kleine und mittelständische Unternehmen schnell existenzbedrohend werden. Und wenn man bedenkt, dass in Deutschland kleine und mittelständische Unternehmen rund 98 Prozent aller Unternehmen ausmachen und man als Analyst dann die Schwachstellen sieht, bewertet man Vorfälle, wie den eben genannten, anders. Denn leider ist der Fall oft einfach: Die IT-Verantwortlichen kennen die Problematik, stoßen jedoch häufig auf Ablehnung bei der Geschäftsleitung. Wir aber sagen: Cybersicherheit ist Chefsache, denn dieser trägt die Verantwortung bei einem erfolgreichen Angriff. Dessen sind sich viele nicht bewusst.

Tobias Vierneisel: Großunternehmen und Konzerne sind eher in der Lage einen Angriff zeitnah zu detektieren und die erforderlichen Maßnahmen einzuleiten – so heißt es in den Fachmedien. Im KMU-Umfeld ist das aus den verschiedensten Gründen anscheinend nicht der Fall.

Joerg Lammerich: Das stimmt leider. Die zur Verfügung stehenden Ressourcen im IT-Bereich dienen in erster Linie der Aufrechterhaltung aller Office- und Produktionssysteme. Das Thema IT-Sicherheit hat aufgrund seiner Komplexität und Schnelllebigkeit im Tagesgeschäft eines mittelständischen Unternehmens hingegen nur wenig Platz. Um hier eine solide Plattform zu schaffen, müssen Mitarbeiter entsprechend regelmäßig geschult werden und es muss zeitlich der passende Rahmen geschaffen werden.
Da diese Anforderungen aus Budgetgründen und Personalmangel in den meisten Fällen aber nicht erfüllt werden können, sind Cyberangriffe auf kleine und mittelständische Unternehmen oft erfolgreich und die negativen Auswirkungen um ein Vielfaches größer als bei Großunternehmen und Konzernen.

Basierend auf diesem Wissen agieren Cyberkriminelle vorwiegend nach dem „low hanging fruit“-Prinzip. Die Chancen eines erfolgreichen Angriffes sind im KMU-Bereich wesentlich höher und erfordern weniger Ressourcen auf der Angreifer-Seite.

Tobias Vierneisel: Wie können sich aus deiner Sicht kleine und mittelständische Unternehmen vor Cyberangriffen besser schützen?

Joerg Lammerich: In erster Linie muss bei der Unternehmensleitung das Verständnis erzeugt werden, dass sie für die IT-Sicherheit verantwortlich sind und dass die eigene IT-Abteilung den Herausforderungen aus oben genannten Gründen nicht gewachsen ist. Erst dann kann ein Projekt zur Verbesserung der IT-Sicherheit mit einer guten Aussicht auf Erfolg gestartet werden.

Tobias Vierneisel: Die dhpg und synalis beraten Kunden gezielt gemeinsam. Wie geht ihr für gewöhnlich vor?

Joerg Lammerich: Zu Beginn eines Projektes sollte man gemeinsam ein ganzheitliches IT-Sicherheitskonzept erstellen, das auf die Bedürfnisse des Unternehmens zugeschnitten ist. Hier stehen pragmatischen Lösungsansätze im Vordergrund, die das Unternehmen weder finanziell noch personell überfordern dürfen. Ganz nach dem Prinzip „Jedes Konzept ist nur so gut wie die spätere Umsetzung!“ Die Maßnahmen zur Erstellung eines solchen Sicherheitskonzeptes, die wir dabei in den Fokus rücken, sind:

  • Zum einen die Identifizierung der zehn wichtigsten Unternehmenswerte bzw. Assets, also Personal, Produkte, Verfahren, Patente, Infrastrukturen, Dokumente und so weiter.
  • Zum anderen die Identifikation von Schwachstellen und Bedrohungen und natürlich die damit verbundene Bewertung der Risiken, wenn diese Assets manipuliert werden oder nicht mehr zur Verfügung stehen.

Im Folgeschritt legen wir die Maßnahmen zur Minimierung der Risiken fest, sowohl organisatorisch als auch technisch.
Zusammen mit dem Kunden überwachen wir dann die Wirksamkeit der Maßnahmen. Dieses Vorgehen wird in verschiedenen Standards zur Verbesserung der Informationssicherheit beschrieben; zum Beispiel ISO/IEC27001, dem BSI-Grundschutz, VdS 3473, ISIS12 und so weiter.

Tobias Vierneisel: Sind kleine und mittelständische Unternehmen nicht schnell überfordert mit dem Thema Cyber Sicherheit und vor allem mit den möglichen Kosten?

Joerg Lammerich: Viele sind mit der Interpretation und Implementierung eines sogenannten Informationssicherheitsmanagementsystems (ISMS) sowohl finanziell als auch personell überfordert. Aus diesem Grund wurde das Förderprogramm „MITTELSTAND INNOVATIV!“ (https://www.ptj.de/innovationsgutscheine) ins Leben gerufen. KMU haben hier die Möglichkeit, bis zu 80% der entstehenden Kosten erstattet zu bekommen. Aber auch die Umsetzung der Maßnahmen sind ein weiteres Problem. Gerade im technischen Bereich stehen kleine und mittelständische Unternehmen dann wieder vor dem Budget- und Personalproblem. Hier stellt sich dann die Frage, welche technische Maßnahmen notwendig und welche sinnvoll sind.
Als „technisch notwendig“ werden Maßnahmen für den Basisschutz der IT-Infrastruktur betrachtet. Also:

  • die sichere Authentifizierung, zum Beispiel durch Passwörter, Token, 2-Faktor-Authentifizierung, etc.,
  • der sichere mobile Zugang zum Unternehmensnetzwerk,
  • der Schutz vor Schadsoftware auf allen Systemen unter anderem durch Virenscanner oder Endpoint-Lösungen,
  • der Einsatz einer Firewall mit überschaubaren und geprüften Regeln,
  • die Verschlüsselung von wichtigen Daten seien es personenbezogene Daten oder Entwicklungsdaten,
  • und die regelmäßige Durchführung von IT-Sicherheits-Tests, also Penetrationstests, mindestens 1 x pro Jahr und bei Änderungen an der IT-Infrastruktur.

Zu den „technisch sinnvollen“ Maßnahmen zählt z.B. die Anbindung an das speziell für KMU entwickelte CSOC (Cyber Security Operations Center) zur Überwachung der Infrastruktur auf mögliche Cyberangriffe.

Tobias Vierneisel: Das heißt, Virenschutz, Firewall und Passwörter reichen nicht aus, um sich vor Cyberangriffen zu schützen?

Joerg Lammerich: Richtig. Fachlich sprechen wir hier von Basisschutz. Dieser ist allerdings mit der steigenden Anzahl und Komplexität der täglichen Angriffsszenarien oftmals überfordert und biete so nur bedingten Schutz. Wie bereits im Vorfeld beschrieben, sind kleine und mittelständische Unternehmen überwiegend nicht in der Lage, die installierten Basis-Schutzsysteme zeitnah auszuwerten bzw. zu überwachen. Genau hier kommt das CSOC (Cyber Security Operations Center) ins Spiel. Als Ergänzung zum Basis-Schutz überwacht das CSOC die IT-Infrastruktur und schlägt Alarm, sobald verdächtige Aktivitäten festgestellt werden. Das Besondere am CSOC ist, dass es eine Vielzahl von Unternehmen überwacht. Verstärkt aufkommende Angriffsszenarien können so an alle aufgeschalteten Unternehmen übermittelt werden.

Tobias Vierneisel: Betrachtet man nun die gestellten Forderungen an die IT-Sicherheit im KMU-Umfeld, sind die Herausforderungen doch nicht so „eckig und kantig“ wie man zu Beginn geglaubt hat, richtig?

Joerg Lammerich: Absolut. Viele der beschriebenen Maßnahmen werden so oder so ähnlich bereits heute zu 80% umgesetzt. Die verbleibenden 20% der nicht umgesetzten Maßnahmen lassen jedoch eine Lücke im Sicherheitskonzept klaffen. Und diese bieten Cyberkriminellen offene Türen für erfolgreiche Angriffsszenarien. Genau hier müssen Maßnahmen umgesetzt werden, um Risiken zu minimieren und ausreichend Schutz zu gewähren. Ich sage immer: 20% der Fläche eines Küchensiebs sind Löcher. Wasser können Sie damit aber nicht transportieren, obwohl 80% der Fläche dicht sind!

Tobias Vierneisel: Vielen Dank Joerg.

Cyber Security Experte Joerg Lammerich SOC Cyber Security Operations Center

Joerg Lammerich / Certified OSSTMM 3.0 Professional Security Tester

Joerg Lammerich ist Cybersicherheitsexperte und ISO27001 Information Security Tester. In diesem Zusammenhang verantwortet er die Durchführung von Schwachstellenanalysen und Penetrationstests, die Analyse von Cyber-Angriffen sowie die Sicherung von Beweisdaten nach einem IT-Sicherheitsvorfall und die Einrichtung von Cyber Security Operation Centers (CSOC) für Unternehmen.

CSOC-Event der Woche KW44 – Gefährliche DNS-Requests ins TOR-Netzwerk

KW44: CSOC-Event der Woche – Gefährliche DNS-Requests ins TOR-Netzwerk

Durchschnittliche CSOC-Gesamtevents pro Tag:  27.496
Detektionshäufigkeit:      1

Eventbeschreibung: Gefährliche DNS-Requests ins TOR-Netzwerk / Kritikalität = mittelschwer (7 / 10)

Das Event dieser Woche steht in Zusammenhang mit einem aktuellen Cyber-Angriff. Erkannt wurde eine DNS-Anfrage für eine URL, die nur über das TOR-Netzwerk aufgerufen werden kann. Mithilfe des TOR-Netzwerks lässt sich bei korrekter Anwendung ein hoher Grad an Anonymisierung im Internet realisieren. Mit dem TOR-Browser wird das reguläre Surfen im Internet weiterhin ermöglicht, zusätzlich lassen sich allerdings auch Webseiten und Dienste nutzen, die von gängigen Suchmaschinen nicht indiziert werden können.

Bei der in der DNS-Anfrage erkannten URL handelte es sich um eine mit der Endung .onion versehene URL, die nicht indiziert wird und auch nicht über reguläre Internetbrowser aufgerufen werden kann. Bei den Inhalten, die über .onion-Webseiten aufgerufen werden können, kann es sich mit großer Wahrscheinlichkeit um Inhalte handeln, die dem Bereich „Dark-Net“ zuzuordnen sind. Dies ist ein Bereich im nicht-öffentlichen Internet, in dem u.a. illegale Marktplätze für Drogen-, Waffen- und Menschenhandel gefunden werden können.

Am 02.11.2018 berichtete heise.de  über einen Cyber-Angriff auf ein Bauunternehmen, in dessen Rahmen u.a. Dokumente und Baupläne von Atomkraftwerken und Gefängnissen gestohlen wurden. Der in der DNS-Anfrage erkannte Link verweist auf eine .onion-Webseite, auf welcher die gestohlenen Daten des Bauunternehmens ohne Authentifizierung eingesehen werden können.

Technische Beschreibung:

Im Rahmen der technischen Beschreibung möchten wir auf einen Artikel bezüglich der Vor- und Nachteile beim Einsatz des TOR-Browsers verweisen, denn die Nutzung des TOR-Netzwerks bedingt keiner illegalen Aktivität – im Fokus steht die Anonymisierung des Anwenders, unabhängig von dessen Motivation