Cyber-Erpressung per E-Mail – Vorsicht vor Fakes!

Cyber-Erpressung per E-Mail – Vorsicht vor Fakes!

Cyber-Erpressung per E-Mail – Vorsicht vor Fakes!

Der Einsatz von E-Mail mit erpresserischem Inhalt nimmt weiter zu. Auch das BKA geht in seinem aktuellen Lagebild für Cybercrime davon aus, dass der Einsatz von Ransomware und DDos-Angriffen verbunden mit erpresserischen Forderungen die Strafverfolgungsbehörden in Zukunft weiter erheblich beschäftigen wird.[1]

Diese Form der Cyberkriminalität macht auch vor unseren Kunden nicht Halt. Doch nicht immer verbirgt sich hinter einer Lösegeldforderung ein tatsächlicher Angriff. Von einem aktuellen Fall, der sich jedoch als Trojanisches Pferd entpuppte, möchten wir heute gerne berichten.

In diesem Fall informierte unser Kunde die Leitstelle des CSOC über eine als bedrohlich empfundene E-Mail. In dieser E-Mail informierten angebliche Cyberkriminelle darüber, dass sämtliche Daten in der Infrastruktur verschlüsselt wurden und diese erst nach Begleichung einer Lösegeldsumme in Form von Bitcoins wieder freigegeben werden würden.

Nach einer umfassenden Analyse der gesamten IT-Infrastruktur stellten unsere Experten fest, dass es sich bei dieser E-Mail um eine Fake-Lösegeldforderung handelte. Es hatte kein Zugriff auf die Systeme des Kunden stattgefunden. Die Header-Analyse der EML-Datei (EML ist ein Akronym für E-Mail) ergab, dass der Mailjet Java Wrapper zum Versand der E-Mail eingesetzt wurde. Mailjet ist eine E-Mail-Marketing-Plattform, die zum Newsletterversand verwendet wird. Die Marketing-Plattform war als Plugin in einem gehackten WordPress-Blog installiert. Die Untersuchung der IP des Absenders wies keine Auffälligkeiten auf, da ein legitimer Mailserver gehackt und für den Versand der E-Mail missbraucht wurde.

Unsere Handlungsempfehlungen:

Liegt eine wie oben beschriebene Mail vor, gilt grundsätzlich: Ruhe bewahren und prüfen, ob tatsächlich ein Zugriff von außen stattgefunden hat, bevor auf eine Lösegeldforderung eingegangen wird. Cyberkriminelle verfügen im Darknet über Datenbanken mit diversen E-Mail-Adressen. E-Mails mit Angriffsversuchen werden teilweise wahllos an diese E-Mail-Adressen versendet.

- Gehen Sie nicht auf Lösegeldforderungen ein und antworten Sie nicht auf erpresserische E-Mails. Damit würden Sie dem Absender bestätigen, dass Ihre E-Mail-Adresse tatsächlich existiert.

- Öffnen Sie keine Dateien oder Links, die an verdächtige E-Mails angehängt sind, da diese möglicherweise Malware enthalten.

- Verschieben Sie verdächtige E-Mails in Ihren Junk- oder Spam-Ordner oder löschen Sie diese dauerhaft.

- Ändern Sie Ihre Zugangsdaten regelmäßig und verwenden Sie unterschiedliche sowie komplexere Passwörter für verschiedene Konten und Anwendungen.

[1] Vgl. Bundeslagebild Cybercrime 2020, S. 38

Ausnutzung von Schwachstellen in Java Deserialisierung

Ausnutzung von Schwachstellen in Java Deserialisierung

Ausnutzung von Schwachstellen in Java Deserialisierung

Im Certified Security Operations Center (CSOC) wurde ein Angriffsversuch mit der Meldung ‚ET EXPLOIT Serialized Java Object Calling Common Collection Function‘ identifiziert. Die Angreifer zielten auf die Schwachstelle CVE-2017-12149 in der Java Deserialisierung ab, um sich einen Remote-Zugriff zu verschaffen.

Die Deserialisierung ist ein Vorgang, bei dem aus einer Byte-Folge erneut ein programmierbares Objekt erzeugt wird. In diesem Kontext handelte es sich um einen Java Deserialisierungsfehlertypen, der im Filter ‚ReadOnlyAccessFilter‘ der ‚HttpInvoker-Komponente‘ von JBoss der Versionen AS 5.x und AS 6.x existiert. Der Filter versucht, ohne Sicherheitsüberprüfung den Datenstrom von einem Client zu deserialisieren, was einem Angreifer die Ausführung von beliebigem Remote Code auf dem Server ermöglicht. Bei diesem Angriffsversuch wurde der POST-Befehl ‚POST /invoker/readonly HTTP/1.1\r\n‘ verwendet. Daraufhin folgten vom System des Kunden die Fehlermeldungen "301 Moved Permanently", "HTTP/1.1 501 Not Implemented" und "HTTP/1.1 302 Document Moved", womit die Verbindung unterbunden und anschließend mit Reset beendet wurde.

Leider ist solch ein Angriff für Cyberkriminelle recht einfach durchzuführen: Es muss lediglich eine ser-Datei mit Payload konstruiert und die Binärdatei mithilfe von curl an die invoker/readonly-Seite des Zielservers versendet werden. Im Anschluss kann der Angreifer den in der Payload angegebenen Befehl ausführen, um die Kontrolle über den Computer zu erlangen.

In diesem Fall wurde unser Kunde durch unser Blue-Team über die permanenten Angriffsversuche informiert, sodass die IP des Angreifers in der Firewall des Kunden gesperrt werden konnte, um schlimmeres zu verhindern. Die Erfolgswahrscheinlichkeit des Angriffs war in diesem Fall sehr hoch, da eine veraltete Version von JBoss verwendet wurde.

Unsere Handlungsempfehlungen:

  • Installieren Sie die neueste Version von Java und insbesondere JBoss.
  • Entfernen Sie die ‚http-invoker.sar‘ Komponente, falls diese nicht verwendet wird.
  • Fügen Sie den folgenden Code in das security-constraint-Tag der web.xml Datei unter ‚http-invoker.sar‘ ein, um den Zugriff auf die http-invoker-Komponente zu sichern: <url-pattern>/*</url-pattern>

Erkennen und Abwehren von Unusual Network Connection via RunDLL32

Erkennen und Abwehren von Unusual Network Connection via RunDLL32

In unserem SOC wurde diese Woche eine „Unusual Network Connection via RunDLL32“ identifiziert. Eine anschließende Untersuchung ergab, dass bösartige DDL‘s (Dynamic Link Library) in Form von ungewöhnlichen Instanzen von einer EXE-Datei 'rundll32.exe' erstellt wurden. Diese DDL‘s stellten eine ausgehende Netzwerkverbindung zu einem bestimmten Command & Control-Server her. Die Datei „rundll32.exe“ befand sich in diesem Fall nicht wie üblich im Ordner „C:\Windows\System32“, sondern unter dem Pfad „C:\Windows\System“.

Eine weitere Analyse ergab, dass die Datei bei jedem Start von Windows im Taskmanager an oberster Stelle angezeigt wurde. Unter diesen Umständen, handelt es sich bei der „rundll32.exe“ um eine infizierte bzw. schadhafte Datei, in der sich diverse Malware und Trojaner verbergen und gravierende Folgen nach sich ziehen können: Trojaner stellen eine wesentliche Bedrohung für Systeme dar, da sie nicht nur die CPU eines infizierten Systems verlangsamen, was zu Überlastung des Rechners und eventuell zu vermehrten Abstürzen führen kann, sondern auch das Eintrittstor für weiteren Schadcode sein können.

Im vorliegenden Fall konnte ein Indiz für ausgehende Netzwerkverbindungen gefunden werden. Es wurde eine Verbindung zu einem externen Command & Control-Server aufgebaut. Die Verbindung wurde durch unser „Active Response“ umgehend beendet und der Kunde durch unser Blue-Team informiert, sodass Schäden in der Infrastruktur verhindert werden konnten.

Unsere Handlungsempfehlungen

  • Im Ernstfall sollte die Anwendung eines Antivirenscanners, der versucht, die Systemdateien wiederherzustellen Abhilfe schaffen.
  • Benutzern sollten nur jene Zugriffsrechte zugewiesen werden, die zur Erfüllung ihrer Aufgabe notwendig sind. Ein Mitarbeiter, der mit Geschäftsanwendungen arbeitet, benötigt beispielsweise keine Administrator-Rechte oder einen Zugriff auf Netzlaufwerke, den er zur Erfüllung seiner Aufgaben nicht oder nicht mehr benötigt.
  • Außerdem sollten regelmäßig Patches und Updates eingespielt werden. Ein zentrales Update- und Patchmanagement muss für das zeitnahe Einspielen der Updates und Patches sorgen. Es sollte Benutzern nicht gestattet werden, bei Benachrichtigungen des Adobe oder Java-Updaters wiederholt auf „später erinnern“ zu klicken.

 

Schwaches Passwort ermöglicht erfolgreichen Brute Force Angriff

Schwaches Passwort ermöglicht erfolgreichen Brute Force Angriff

Details des Vorfalls

Unser SOC zeigte kürzlich folgenden Vorfall bei einem unserer angeschlossenen Kunden an: Innerhalb von 53 Sekunden wurden insgesamt 43 fehlerhafte Anmeldeversuche am selben Host vorgenommen. 12 Minuten später konnte sich derselbe User mit der gleichen Source-IP erfolgreich am Host einloggen.  Nach einer umfassenden Analyse stellte sich heraus, dass ein Angreifer versucht hatte, sich durch die wiederholte Eingabe verschiedener Passwörter Zugang zu einem Benutzerkonto zu verschaffen. Dieser Angreifer hatte in kürzester Zeit automatisiert möglichst viele Zeichenkombinationen errechnet, um das Kennwort des Users zu erraten – und das mit Erfolg.

Diese Vorgehensweise ist bekannt als „Brute Force Attacke“. Da das in diesem Fall vom User gewählte Passwort sehr schwach und somit relativ leicht zu erraten war, konnte sich der Angreifer so nach wenigen Minuten unerlaubten Zugriff auf das Kunden-System verschaffen.  Unser Kunde wurde durch unser Blue-Team umgehend informiert, sodass dieser den betroffenen Client rechtzeitig neu aufsetzen konnte. Größere Schäden in der Infrastruktur des Kunden konnten somit verhindert werden.

Unsere Maßnahmenempfehlungen

  • Grundsätzlich gilt: Je länger das Passwort, desto besser. Ein gutes Passwort sollte mindestens acht Zeichen lang sein.
  • Damit das Passwort für Angreifer schwer zu berechnen ist, sollten bei der Passwortwahl neben Buchstaben, Zahlen und Sonderzeichen genutzt werden. Es empfiehlt sich beispielsweise, unterschiedliche Wörter aneinanderzureihen und durch Sonderzeichen oder Leerzeichen zu verbinden.
  • Zur Verwaltung von unterschiedlichen oder komplexen Passwörtern ist ein Passwortmanager ein nützliches Hilfsmittel.
  • Es sollte nach Möglichkeit eine Zwei-Faktor-Authentisierung genutzt werden, damit Angreifer nach erfolgreicher Errechnung des Passwortes auf eine weitere Hürde stoßen.