Mit unserem SOCaaS Anforderungen des BSI erfüllen

Mit unserem SOCaaS Anforderungen des BSI erfüllen

Mit unserem SOCaaS Anforderungen des BSI erfüllen

Ab Mai 2023 sind KRITIS-Unternehmen zur Implementierung und aktiven Nutzung von Systemen zur Angriffserkennung (SzA) verpflichtet. Um den Unternehmen Hinweise zur Erfüllung dieser Vorgabe zu geben, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 13.06.2022 einen Community Draft für eine neue Orientierungshilfe zu deren Einsatz veröffentlicht.

Viele unserer KRITIS-Kunden und Interessenten haben uns in den vergangenen Wochen gefragt, was Sie nun konkret tun müssen und welche Möglichkeiten unser SOCaaS (SOC as a Service) bietet. Im folgenden Beitrag möchten wir daher einen kurzen Überblick über die wichtigsten Anforderungen des BSI geben und wie unser SOCaaS diese erfüllt und Sie unterstützen kann:

Anforderungen des BSI

In der Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (SzA) werden „KANN“, „SOLLTE“ und „MUSS“ Kriterien für KRITIS-Betreiber beschrieben.

Nach eingehender Prüfung der Vorgaben können wir bestätigen, dass unser SOCaaS diese Anforderungen erfüllt und wir gemeinsam mit unseren Kunden einen Reifegrad von 4-5 (Maximalwert) erreichen können. Zur Verdeutlichung der Anforderungen, zeigen wir Ihnen hier einige kurze Beispiele auf:

Planung:

„Zur Bestimmung der Abdeckung KANN (und es wird empfohlen) eine standardisierte Methode angewendet werden (z. B. MITRE ATT&CK).“[1]

Die Methodik der MITRE ATT&CK ist die Grundlage unserer rund 4.000 Basis Use Cases, die wir in unserem SOCaaS integriert haben.

Detektion:

„Alle Protokolldaten MÜSSEN möglichst kontinuierlich überwacht und ausgewertet werden.“[2]

Die Grundlage unseres SOCaaS ist ein SIEM (Security Information and Eventmanagement), welches die Log-Daten aller angeschlossenen Quellen kontinuierlich überwacht und mit den implementierten UseCases automatisiert auswertet.

Reaktion:

„Die zur Angriffserkennung eingesetzten Systeme SOLLTEN automatisiert Maßnahmen zur Vermeidung und Beseitigung von angriffsbedingten Störungen ergreifen können, sofern das zu Grunde liegende SRE eindeutig qualifizierbar ist.“[3]

Diese Anforderung wird durch unsere EDR/XDR-Funktionalität (EDR – endpoint detection and response), (XDR - extended detection and response) erfüllt.
Mit dieser Funktionalität können automatisiert, oder angestoßen durch die 24/7 Leitstelle, Aktionen auf dem Endgerät oder in der Infrastruktur ausgelöst werden.
Beispielsweise könnte ein System isoliert (EDR) oder infrastrukturweit IP- bzw.  Internetadressen geblockt werden (XDR).

Haben Sie weitere Fragen zu Orientierungshilfe des BSI oder zu unserem SOCaaS? – Dann sprechen Sie uns gerne an! Wir beleuchten gemeinsam mit Ihnen Ihre kontextbezogenen Begebenheiten und Anforderungen und stellen Ihnen gerne unseren Service vor.

[1] Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung inklusive Formulare für den Nachweis zu § 8a (1a) BSIG und § 11 (1d) ENWG

[2] Ebd., S. 10.

[3] Ebd., S. 12

Matanbuchus-Malware-Kampagne breitet sich aus

Matanbuchus-Malware-Kampagne breitet sich aus

Matanbuchus-Malware-Kampagne breitet sich aus

Die Experten der Certified Security Operations Center GmbH haben beobachtet, dass sich eine Malware-as-a-Service (Maas) mit dem Namen Matanbuchus aktuell rasant über Phishing-Kampagnen verbreitet.

Matanbuchus ist wie ein typischer Malware-Loader konzipiert, vergleichbar mit z. B. BazarLoader, Bumblebee oder Colibri. Matanbuchus lädt unbemerkt ausführbare Dateien von Command-and-Control-Servern (C&C) auf infizierte Systeme herunter, führt sie aus und legt das Cobalt Strike Post-Exploitation-Framework auf kompromittierten Rechnern ab.

Die Malware, die seit Februar 2021 auf diversen russischsprachigen Cybercrime-Foren zum Preis von 2.500 US-Dollar angeboten wird, ist mit der Fähigkeit ausgestattet, EXE- und DLL-Dateien eigenständig im Speicher zu starten und beliebige PowerShell-Befehle auszuführen. Zudem besitzt sie die Fähigkeit, schtasks.exe zum Hinzufügen oder Ändern von Aufgabenplänen zu nutzen.

Die Spam-E-Mails, die Matanbuchus verbreiten, enthalten einen ZIP-Dateianhang mit einer HTML-Datei, die beim Öffnen den in der Datei eingebetteten Base64-Inhalt entschlüsselt und eine weitere ZIP-Datei auf dem System ablegt. Die Archivdatei wiederum enthält eine MSI-Installationsdatei, die bei der Ausführung eine gefälschte Fehlermeldung anzeigt, während sie unbemerkt eine DLL-Datei ("main.dll") bereitstellt und dieselbe Bibliothek von einem Remote-Server ("telemetrysystemcollection[.]com") als Ausweichoption herunterlädt. Die Hauptfunktion der abgelegten DLL-Dateien ('main.dll') besteht darin, als Downloader zu fungieren und die eigentliche Matanbuchus-DLL vom C&C-Server herunterzuladen.

Es sind bereits mehrere Organisationen, darunter eine große Universität und eine Highschool in den Vereinigten Staaten sowie ein High-Tech-Unternehmen in Belgien von Matanbuchus betroffen. Handeln Sie jetzt und schützen Sie sich!

Unsere Handlungsempfehlungen:

- Vermeiden Sie das Herunterladen von Dateien von unbekannten Websites.

- Verwenden Sie auf Ihren angeschlossenen Geräten, einschließlich PC, Laptop und Mobiltelefon, ein renommiertes Antiviren- und Internetsicherheitspaket.

- Öffnen Sie keine Links und E-Mail-Anhänge, ohne deren Authentizität zu überprüfen.

- Klären Sie Ihre Mitarbeiter darüber auf, wie sie sich vor Bedrohungen wie Phishing oder nicht vertrauenswürdigen URLs schützen können.

- Überwachen Sie den Beacon auf Netzwerkebene, um die Datenexfiltration durch Malware oder Hacker zu verhindern.

-Aktivieren Sie eine Lösung zur Verhinderung von Datenverlusten (DLP) auf den Systemen Ihrer Mitarbeiter.

Quellen:

https://unit42.paloaltonetworks.com/matanbuchus-malware-as-a-service/

https://blog.cyble.com/2022/06/23/matanbuchus-loader-resurfaces/

 

Neue Phishing-Methode umgeht Zwei-Faktor-Authentifizierung

Neue Phishing-Methode umgeht Zwei-Faktor-Authentifizierung

Neue Phishing-Methode umgeht Zwei-Faktor-Authentifizierung

Angesichts der großen Zahl von Datenschutzverletzungen, Trojaner-Angriffen mit Fernzugriff und Phishing-Kampagnen sind gestohlene Anmeldedaten inzwischen keine Seltenheit mehr. Durch die zunehmende Verwendung von Multi-Faktor-Authentifizierung (MFA) ist es für Angreifer jedoch schwieriger geworden, gestohlene Anmeldedaten zu verwenden, es sei denn, die Bedrohungsakteure haben ebenfalls Zugriff auf die MFA-Passwörter oder Sicherheitsschlüssel des Angriffsziels. Dies hat sich nun mit einer neuen, raffinierten Phishing-Technik geändert.

Diese neue Technik trägt den Namen „WebView2-Cookie-Stealer“ und nutzt Microsoft Edge WebView2-Anwendungen, um die Authentifizierungs-Cookies der Opfer zu stehlen, sodass die Multi-Faktor-Authentifizierung bei der Anmeldung umgangen werden kann.

Die neuartige Angriffstechnik verwendet eine ausführbare WebView2-Datei, die durch einen Benutzer ausgeführt wird und ein echtes Microsoft-Anmeldeformular einer legitimen Website innerhalb der Anwendung öffnet. Das Anmeldeformular enthält keine verdächtigen Elemente wie Tippfehler oder seltsame Domainnamen, sodass der Benutzer keinen Verdacht schöpft.

Diese Vorgehensweise ermöglicht es einem Angreifer, direkt auf Cookies zuzugreifen und JavaScript in eine von einer Anwendung geladene Webseite einzufügen, um Tastatureingaben zu protokollieren und Authentifizierungs-Cookies zu stehlen. Alle gestohlenen Cookies samt Anmeldedaten werden nach der Anmeldung des Benutzers vom Remote-Server an den Hacker gesendet. Darüber hinaus ist es möglich, mit der WebView2-Anwendung Cookies von einem bestehenden Chrome-Benutzerprofil aus dem Ordner ‚C:\Users\\AppData\Local\Google\Chrome\User Data‘ zu stehlen, indem einfach das bestehende Chromium-Profil kopiert wird.

Unsere Handlungsempfehlungen:

- Vermeiden Sie das Herunterladen von Dateien aus unbekannten Quellen, einschließlich Websites, E-Mails oder URLs in Nachrichten – auch von vertrauenswürdigen Kontakten. Fragen Sie im Zweifel telefonisch nach.

- Rufen Sie die entsprechenden Seiten selbst im Browser auf, wenn Sie sich dort anmelden wollen.

- Öffnen Sie keine verdächtigen Links, insbesondere, wenn Sie den Absender nicht kennen.

- Öffnen Sie keine unbekannten Anhänge, egal ob es sich um Dokumente oder ausführbare Dateien handelt.

-Vermeiden Sie die Eingabe Ihrer Anmeldeinformationen in nicht vertrauenswürdige oder unbekannte Anwendungen.

Quellen:

https://mrd0x.com/attacking-with-webview2-applications/

https://www.bleepingcomputer.com/news/security/clever-phishing-method-bypasses-mfa-using-microsoft-webview2-apps/

 

 

 

Unterschätzte Schwachstelle in OpenSSL-Bibliothek entdeckt

Unterschätzte Schwachstelle in OpenSSL-Bibliothek entdeckt

Unterschätzte Schwachstelle in OpenSSL-Bibliothek entdeckt

Wir raten unseren Kunden in den meisten Fällen dazu, Updates schnellstmöglich einzuspielen. Manchmal ist dies jedoch nicht der Fall, wie in einem aktuellen Beispiel, was wir Ihnen heute gerne vorstellen möchten:

Auf der neuesten Version der OpenSSL-Bibliothek vom 21.06 (Version 3.0.4) wurde kürzlich eine Schwachstelle identifiziert.  Innerhalb ausgewählter Systeme ist die neue Version anfällig für eine Remote Memory Corruption. Dieses Problem tritt  bei  x64-Systemen mit dem AVX-512-Befehlssatz auf. OpenSSL 1.1.1 sowie die OpenSSL-Forks, BoringSSL und LibreSSL sind nicht betroffen.

OpenSSL ist eine beliebte Kryptografie-Bibliothek, die eine Open-Source-Implementierung des TLS-Protokolls (Transport Layer Security) bietet. Advanced Vector Extensions (AVX) sind Erweiterungen der x86-Befehlssatzarchitektur für Mikroprozessoren von Intel und AMD.

Experten diskutieren aktuell darüber, ob es sich tatsächlich um eine Schwachstelle handelt oder eher um einen kritischen Fehler, der die Version 3.0.4 auf AVX-512-fähigen Maschinen unbrauchbar macht, da keine Beweise dafür vorliegen, dass sie ausgenutzt werden könnte. Angesichts der Schwere des Problems ist es aus unserer Sicht jedoch notwendig, die Version 3.0.5 so schnell wie möglich zu veröffentlichen.

Unsere Handlungsempfehlung:

Vermeiden Sie, wenn möglich, die Installation der OpenSSL Version 3.0.4 oder installieren Sie den veröffentlichten Fix.

Quelle:

https://guidovranken.com/2022/06/27/notes-on-openssl-remote-memory-corruption/

https://github.com/openssl/openssl/pull/18626/commits/71ad6a8da3e39bd4caf5c6c767287ddd9bce8bae