CSOC-Event der Woche KW49 – Spyware User Agent

KW49: CSOC-Event der Woche – Spyware User Agent

Durchschnittliche CSOC-Gesamtevents pro Tag:  32.389
Detektionshäufigkeit:      1674

Eventbeschreibung: Spyware User Agent / Kritikalität = mittel (6 / 10)

In dieser Woche berichten wir über Events, die auftreten, sobald ein mit Spyware in Verbindung stehender User Agent detektiert wird.

User Agents werden genutzt, um Servern mitzuteilen, mithilfe welcher Anwendung der Zugriff erfolgt (Beispiele für User Agents sind Webbrowser, E-Mail-Programme, Newsreader und IRC-Clients). Diese Information ist notwendig, um entsprechende, für das abrufende Gerät angepasste Inhalte abzurufen. So wird eine Website, die mithilfe eines Mobilgeräts dargestellt wird, kompakt gehalten, um zu garantieren, dass die Inhalte anschaulich bleiben (KW43).

Das SOC erkennt aktive User Agents, welche bereits in Verbindung mit Spyware gebracht werden konnten. Im Fall der Erkennung eines entsprechenden User Agents, wird ein Event ausgelöst, welches Informationen zum User Agent und der dazugehörigen Verbindung enthält. Im Falle von Spyware, welche Informationen auf einem befallenen System sammelt und diese anschließend an den Angreifer sendet, ist es so möglich, aktive Spyware zu detektieren und weitere Verbindungen zu unterbinden.

Technische Beschreibung

https://www.bitdefender.de/site/view/spyware.html

Laut einer Studie des IT- und Telekommunikationsverbandes Bitkom räumten 2012 rund 16 Prozent der Web-Nutzer in Deutschland ein, dass sie bereits einmal Opfer von Ausspähversuchen mittels Spyware waren und ihnen Zugangsdaten für Online-Services, Auktionsplattformen oder Banken abhandenkamen. Insgesamt wurden 2012 die Account-Daten von mehr als 8,5 Millionen deutschen Web-Nutzern ausgespäht.

Trojaner „Emotet“ legt deutsche Firmen lahm

Trojaner „Emotet“ legt deutsche Firmen lahm

Aktuell rollt eine Welle der Infektionen über Deutschland, die teilweise ganze Firmen lahmlegt und Millionenschäden anrichtet. Die Rede ist vom Trojaner „Emotet“, der sich hinter professionell aufgemachten Phishing-Mails verbirgt, die kaum von echten Mails zu unterscheiden sind. So berichtet auch heise.de von der aktuellen Bedrohung.

Emotet sammelt bereits seit einigen Monaten Informationen über die Kommunikationsgewohnheiten der Opfer, greift Mailinhalte ab und nutzt diese Daten, um die sogenannten Phishing-Mails optimal auf die Zielpersonen zuzuschneiden. Aufgrund dieser automatisierten Vorgehensweise sprechen Experten im Fall des Trojaners von „Dynamit-Phishing“.

Die Mails enthalten Doc-Dateien mit Makros, um deren Ausführung das Opfer beim Öffnen gebeten wird. Erst hierdurch wird der Rechner über eingebettete PowerShell-Kommandos infiziert. Darüber hinaus wird weitere Schad-Software aus dem Internet nachgeladen. Durch diesen Vorgang kann die gesamte IT eines Unternehmens lahmgelegt werden.

Damit richtet sich Emotet nach dem Vorbild von APT-Hackern und breitet sich zunächst im Netz aus, was als Lateral Movement bezeichnet wird. Zunutze kommen dem Trojaner hier abgeerntete Zugangsdaten der infizierten Rechner und ein Exploit aus den Geheimlaboren der NSA, dem Eternal Blue.

Unsere CSOC-Mitarbeiter sind für den Trojaner sensibilisiert und haben aktuelle Vorgänge im Auge. Unternehmen, die sich dem CSOC bereits angeschlossen haben, können darauf vertrauen, dass derartige Phishing-Mails vom System abgefangen werden und der Trojaner Emotet ihr Unternehmen nicht bedroht. Bei Rückfragen können Sie uns selbstverständlich gerne ansprechen.

CSOC-Event der Woche KW48 – Aktive .EXE-Erkennung

KW48: CSOC-Event der Woche – Aktive .EXE-Erkennung

Durchschnittliche CSOC-Gesamtevents pro Tag:  25.630
Detektionshäufigkeit:      2357

Eventbeschreibung: Aktive .EXE-Erkennung / Kritikalität = mittel (5 / 10)

Die in dieser Woche vorgestellten Events treten auf, sobald der Download einer .exe-Datei detektiert wird. Dateien mit der Endung .exe sind ausführbare Dateien, welche unter anderen mithilfe der Betriebssysteme Windows oder DOS gestartet werden können. EXE-Dateien beinhalten in der Regel legitime Programme und Werkzeuge, die zweckübergreifend genutzt werden. So ist es auch möglich, Schadcode darin zu verbergen, welcher für den Benutzer der betroffenen Datei in den meisten Fällen selbst bei der Ausführung unbemerkt bleibt.

Die aktive .EXE Erkennung des CSOC löst ein Event aus, sobald eine Datenübertragung detektiert wird, die ein bestimmtes, sogenanntes „MagicByte“ mit dem Inhalt „MZ“ enthält. Mithilfe der „MagicBytes“ wird für Betriebssysteme kenntlich gemacht, um welchen Dateitypen es sich handelt und wie mit der Datei verfahren werden soll. Aufgrund von häufig aufkommenden schädlichen Downloads von EXE-Dateien wird jeder erkannte Download, der von den eingesetzten Sensoren detektiert wird, eingehend auf Herkunft und Inhalt untersucht. Wird eine schädliche Datei erkannt, so wird der betroffene Kunde umgehend informiert, um die jeweilige Datei zu isolieren.

Im Regelfall werden viele schädliche EXE-Dateien von Antivirensoftware erkannt und zuverlässig isoliert. Häufig kommt es allerdings vor, dass auch hier unbekannte Dateien, für die noch keine Signatur existiert, aktiv werden.

Technische Beschreibung:

When assessing an application, one may run into files that have strange or unknown extensions or files not readily consumed by applications associated with those extensions. In these cases it can be helpful to look for tell-tale file format signatures and inferring how the application is using them based on these signatures, as well as how these formats may be abused to provoke undefined behavior within the application. To identify these common file format signatures one typically only need look as far as the first few bytes of the file in question.

CSOC-Event der Woche KW47 – OpenVAS-Scans

KW47: CSOC-Event der Woche – OpenVAS-Scans

Durchschnittliche CSOC-Gesamtevents pro Tag:  36.007
Detektionshäufigkeit:      3678

Eventbeschreibung: OpenVAS-Scans / Kritikalität = mittel (5 / 10)

In dieser Woche berichten wir über eine Reihe von Events, die auftreten, sobald eine IP-Adresse zum Ziel eines sogenannten OpenVAS-Scans wird.

OpenVAS, das Open Vulnerability Assessment System, ist ein Framework, welches Dienste und Werkzeuge zum Scanning eigener Netze oder einzelner IP-Adressen zur Verfügung stellt.

Dieses umfangreiche Framework wird leider – wie viele andere Hacking-Tools auch – missbraucht, um Schwachstellenscans gegen öffentlich erreichbare IT-Systeme durchzuführen. Die in unserem Fall auftretenden Events sind charakteristisch für einen OpenVAS-Scan. Beim Ausführen des Scans wird die Ziel-IP zunächst mit verschiedenen Methoden auf SQL-Injection gescannt. Sollten entsprechende SQL-Dienste detektiert werden, prüft OpenVAS die Verwundbarkeit der Dienste. Ist der Prozess abgeschlossen, werden weitere Schwachstellen wie etwa Cross Site Scripting und Local File Inclusion überprüft. Auch wird im Zuge des Scans auf Pfade von bekannten Wegdiensten geprüft; ebenso darauf, ob diese eventuell empfindliche Daten wie beispielsweise Backups enthalten. Weiterhin erstreckt sich der Scan auf die Überprüfung von Standard-Zugangsdaten auf Routern, Webdiensten und weiteren öffentlich zugänglichen Diensten.

Der OpenVAS-Scan ist in der Regel nicht vermeidbar. Jedoch ist der Angriff mithilfe dieses Werkzeugs nicht zu vernachlässigen, da Standard-Zugangsdaten und Konfigurationen sehr leicht entdeckt und ausgenutzt werden könnten. Die einzige Methode, weiteren OpenVAS-Scans zu entgehen, ist die aktive Sperrung der Quell-IPs. Wir empfehlen IT-Administratoren aufgrund des Scan-Umfangs stets die eigenen Konfigurationen zu prüfen. Standardeinstellungen sollten überdacht werden. Bei extern veröffentlichten Diensten und Geräten gilt es, Hardware ohne bekannte Sicherheitslücken zu verwenden. Zudem ist immer auf sichere Zugangsdaten zu achten.

Technische Beschreibung:

Das Open Vulnerability Assessment System (OpenVAS) ist ein Framework aus mehreren Diensten und Werkzeugen. Der Kern dieses service-orientierten, SSL-gesicherten Systems bildet der OpenVAS Scanner. Der Scanner führt in sehr effizienter Weise die Network Vulnerability Tests (NVTs), also den Inhalt des OpenVAS NVT Feeds aus. Dieser Kern der Scan-Engine wird durch den OpenVAS Manager kontrolliert und gesteuert.