Alle Beiträge von SOC

Erkennen und Abwehren von Unusual Network Connection via RunDLL32

Erkennen und Abwehren von Unusual Network Connection via RunDLL32

In unserem SOC wurde diese Woche eine „Unusual Network Connection via RunDLL32“ identifiziert. Eine anschließende Untersuchung ergab, dass bösartige DDL‘s (Dynamic Link Library) in Form von ungewöhnlichen Instanzen von einer EXE-Datei 'rundll32.exe' erstellt wurden. Diese DDL‘s stellten eine ausgehende Netzwerkverbindung zu einem bestimmten Command & Control-Server her. Die Datei „rundll32.exe“ befand sich in diesem Fall nicht wie üblich im Ordner „C:\Windows\System32“, sondern unter dem Pfad „C:\Windows\System“.

Eine weitere Analyse ergab, dass die Datei bei jedem Start von Windows im Taskmanager an oberster Stelle angezeigt wurde. Unter diesen Umständen, handelt es sich bei der „rundll32.exe“ um eine infizierte bzw. schadhafte Datei, in der sich diverse Malware und Trojaner verbergen und gravierende Folgen nach sich ziehen können: Trojaner stellen eine wesentliche Bedrohung für Systeme dar, da sie nicht nur die CPU eines infizierten Systems verlangsamen, was zu Überlastung des Rechners und eventuell zu vermehrten Abstürzen führen kann, sondern auch das Eintrittstor für weiteren Schadcode sein können.

Im vorliegenden Fall konnte ein Indiz für ausgehende Netzwerkverbindungen gefunden werden. Es wurde eine Verbindung zu einem externen Command & Control-Server aufgebaut. Die Verbindung wurde durch unser „Active Response“ umgehend beendet und der Kunde durch unser Blue-Team informiert, sodass Schäden in der Infrastruktur verhindert werden konnten.

Unsere Handlungsempfehlungen

  • Im Ernstfall sollte die Anwendung eines Antivirenscanners, der versucht, die Systemdateien wiederherzustellen Abhilfe schaffen.
  • Benutzern sollten nur jene Zugriffsrechte zugewiesen werden, die zur Erfüllung ihrer Aufgabe notwendig sind. Ein Mitarbeiter, der mit Geschäftsanwendungen arbeitet, benötigt beispielsweise keine Administrator-Rechte oder einen Zugriff auf Netzlaufwerke, den er zur Erfüllung seiner Aufgaben nicht oder nicht mehr benötigt.
  • Außerdem sollten regelmäßig Patches und Updates eingespielt werden. Ein zentrales Update- und Patchmanagement muss für das zeitnahe Einspielen der Updates und Patches sorgen. Es sollte Benutzern nicht gestattet werden, bei Benachrichtigungen des Adobe oder Java-Updaters wiederholt auf „später erinnern“ zu klicken.

 

Schwaches Passwort ermöglicht erfolgreichen Brute Force Angriff

Details des Vorfalls

Unser SOC zeigte kürzlich folgenden Vorfall bei einem unserer angeschlossenen Kunden an: Innerhalb von 53 Sekunden wurden insgesamt 43 fehlerhafte Anmeldeversuche am selben Host vorgenommen. 12 Minuten später konnte sich derselbe User mit der gleichen Source-IP erfolgreich am Host einloggen.  Nach einer umfassenden Analyse stellte sich heraus, dass ein Angreifer versucht hatte, sich durch die wiederholte Eingabe verschiedener Passwörter Zugang zu einem Benutzerkonto zu verschaffen. Dieser Angreifer hatte in kürzester Zeit automatisiert möglichst viele Zeichenkombinationen errechnet, um das Kennwort des Users zu erraten – und das mit Erfolg.

Diese Vorgehensweise ist bekannt als „Brute Force Attacke“. Da das in diesem Fall vom User gewählte Passwort sehr schwach und somit relativ leicht zu erraten war, konnte sich der Angreifer so nach wenigen Minuten unerlaubten Zugriff auf das Kunden-System verschaffen.  Unser Kunde wurde durch unser Blue-Team umgehend informiert, sodass dieser den betroffenen Client rechtzeitig neu aufsetzen konnte. Größere Schäden in der Infrastruktur des Kunden konnten somit verhindert werden.

Unsere Maßnahmenempfehlungen

  • Grundsätzlich gilt: Je länger das Passwort, desto besser. Ein gutes Passwort sollte mindestens acht Zeichen lang sein.
  • Damit das Passwort für Angreifer schwer zu berechnen ist, sollten bei der Passwortwahl neben Buchstaben, Zahlen und Sonderzeichen genutzt werden. Es empfiehlt sich beispielsweise, unterschiedliche Wörter aneinanderzureihen und durch Sonderzeichen oder Leerzeichen zu verbinden.
  • Zur Verwaltung von unterschiedlichen oder komplexen Passwörtern ist ein Passwortmanager ein nützliches Hilfsmittel.
  • Es sollte nach Möglichkeit eine Zwei-Faktor-Authentisierung genutzt werden, damit Angreifer nach erfolgreicher Errechnung des Passwortes auf eine weitere Hürde stoßen.

 

Hackerangriff auf ein Warenwirtschaftssystem der Lebensmittelindustrie vereitelt

Hackerangriff auf ein Warenwirtschaftssystem der Lebensmittelindustrie vereitelt

Hackerangriff auf ein Warenwirtschaftssystem der Lebensmittelindustrie vereitelt

In letzter Zeit häufen sich in der Presse die Schlagzeilen zu Hackerangriffen aus dem Ernährungssektor. Auch wir konnten bei einem Kunden aus der Lebensmittelindustrie einen Cyberangriff auf ein Warenwirtschaftssystem vereiteln. Diesen Fall möchten wir hier näher beschreiben.

Kürzlich erreichten unsere Leitstelle die Kundenevents „Tor Activity to the Internet“ und „SMTP to the Internet“, die auf eine ungewöhnliche Tor-Aktivität und schadhafte E-Mails hindeuten. Eine anschließende tiefgreifende Analyse im „SIEM“ ergab, dass das veraltete Warenwirtschaftssystem des Kunden durch Cyberkriminelle attackiert wurde.

Zu diesem Zeitpunkt konnten Lieferanten des betroffenen Unternehmens über eine „SSL 3.0“ verschlüsselte Schnittstelle auf das Warenwirtschaftssystem zugreifen. Diese veraltete „SSL Version“ nutzten die Angreifer als Einfallstor und konnten so eine E-Mail-Adresse eines Mitarbeiters aus den Stammdaten erspähen, um ihm im Anschluss eine E-Mail mit schadhaftem Anhang zu senden. Beim Öffnen des Anhangs wurde schließlich ein Skript nachgeladen und ausgeführt, um eine Tor-Verbindung aufzubauen. An dieser Stelle konnten wir unseren Kunden über den Angriffsversuch informieren, bevor dieser zum Abschluss gebracht werden konnte.

Ohne die Meldung des Kundensensors wäre im Anschluss eine Malware heruntergeladen und über „cmd.exe“ zur Ausführung gebracht worden. Die erfolgreiche Ausführung und Verbreitung dieser Malware hätte nicht nur einen unerlaubten Zugriff auf das Warenwirtschaftssystem, sondern auch auf das gesamte Kundennetzwerk zur Folge gehabt. Engpässe der Warenverfügbarkeit und im schlimmsten Fall leerstehende Regale sowie Verdienstausfälle wären mögliche Konsequenzen gewesen. Durch die frühzeitige Meldung unseres Kundensensors konnten jedoch größere Schäden verhindert werden.

Auch ein weiteres Feature gibt zukünftig mehr Sicherheit: Die aufgebaute Tor-Verbindung kann ab sofort mithilfe unserer „Active Reponse“ unterbrochen werden. Eine „Active Response“ ist ein vorkonfiguriertes Skript, das ausgeführt wird, wenn ein bestimmter Alarm, eine Alarmstufe oder eine Regelgruppe ausgelöst wurde. Damit kann eine Aktion nach einer bestimmten Zeitspanne rückgängig gemacht oder eine einmalige Aktion konfiguriert werden. Mithilfe von „Active Response“ können wir zeitnah auf Events reagieren und schnell Gegenmaßnahmen ergreifen.

Unsere Handlungsempfehlungen

  • Sämtliche Systeme sollten regelmäßig aktualisiert und Sicherheitsupdates eingespielt werden. Dies gilt nicht nur für die Anwendung selbst, sondern auch für alle begleitenden Programme, wie die Firewall und das Betriebssystem, auf dem das ERP-System läuft.
  • Es sollte immer die aktuellste Verschlüsselungstechnologie verwendet werden. SSL 3.0 ist inzwischen veraltet und die Weiterentwicklung erfolgte unter der Bezeichnung TLS. Die aktuellen Versionen sind TLS 1.2 und seit 2018 TLS 1.3.
  • Bieten Sie sämtlichen Mitarbeitern regelmäßige Security Awareness Schulungen an, um sie für das Thema IT-Sicherheit zu sensibilisieren.
  • Der Zugriff auf ein System sollte nur den Benutzern gestattet werden, die diesen benötigen. Die Vergabe von präventiven und überwachenden Rechtevorgaben z. B. Zutrittskontrollen erhöhen die Sicherheit.

 

Gefälschte Outlook-Termineinladungen – oft der Grund für einen erfolgreichen Angriff

Gefälschte Outlook-Termineinladungen – oft der Grund für einen erfolgreichen Angriff

Gefälschte Outlook-Termineinladungen – oft der Grund für einen erfolgreichen Angriff

  • In letzter Zeit vermehrt gefälschte Einladung über MS-Outlook
  • Wie gehen die Angreifer vor?
  • Wie kann ich einen Angriff gezielt abwehren?

Im Rahmen der kontinuierlichen Analysen des Certified Security Operations Center (CSOC) werden vermehrt gefälschte Termineinladungen über das Microsoft-Programm „Outlook“ gesichtet. Dabei geben sich die Angreifer als Geschäftspartner, Freunde oder Kollegen des Benutzers aus. Vorher muss der Angreifer sich bereits einen Zugang zu deren Postfächern verschafft haben.

Hintergrund eines solchen Angriffes ist es, dass ein Angreifer als Datensammler agiert, um die Identität des Benutzers zu stehlen. Geht das Angriffsopfer auf den Angriff ein, indem es z.B. auf einen Link klickt oder eine Datei herunterlädt, war der Angreifer erfolgreich. In Folge dessen kann der Angreifer die Kontrolle über das System oder das E-Mail-Konto erhalten und z.B. einen Angriff auf Online-Konten durchführen. Das Ziel dieser Phishing-Technik ist es, letztendlich sensible Daten wie Kreditkartendaten, Geburtsdaten und Adressen zu stehlen. Diese Daten werden dann verkauft oder direkt verwendet, um im Namen des Opfers Konten zu leeren oder Waren zu erwerben. In den meisten Fällen fallen diese E-Mails von Cyberkriminellen oft durch ungewöhnliche Absenderadressen oder Tippfehler auf.

Unsere Handlungsempfehlung:

Personen, die von solch einem Angriff betroffen sind, sollten sowohl die verdächtigte E-Mail als auch die gefälschte Outlook-Termineinladung löschen. Dabei sollte jedoch nicht wie gewohnt auf „Einladung ablehnen“ geklickt werden.

Achtung: Beim Löschen des Kalender-Eintrags wird der User gefragt, ob der Organisator darüber informiert werden soll. Es ist wichtig, dies durch Anklicken auf "Nein" zu verhindern, da der Angreifer ansonsten Kenntnis davon erhält, dass die E-Mail-Adresse des Users aktiv genutzt wird.

Um zu verhindern, dass Einladungen automatisch im Kalender hinzugefügt werden, sollten die Outlook-Einstellungen geändert werden. Damit der Schutz vor Kalender-Spam weiterhin gewährleistet ist, kann über den Menü-Punkt "Datei / Optionen / E-Mail / Verlauf" das Kontrollkästchen "Besprechungsanfragen und automatisierte Abstimmungsantworten" deaktiviert werden.

Karo Ransomware als Folge eines erfolgreichen Social-Engineering-Angriffs

  • Darstellung eines realen Vorfalls

  • Tipps für vorbeugende Maßnahmen

Bei einem unserer Kunden haben wir kürzlich eine Karo Ransomware Attacke festgestellt, die durch einen erfolgreichen Social-Engineering-Angriff verursacht wurde. Gerne möchten wir Ihnen den untersuchten Vorfall schildern und Ihnen praktische Tipps für vorbeugende Maßnahmen mit an die Hand geben.

Details der Analyse

Im Rahmen der Netzwerküberwachung im Certified Security Operations Center (CSOC) wurde kürzlich ein Event mit der Meldung „Tor Activity to the Internet“ untersucht. Die Analyse unseres Teams ergab, dass bei einem unserer angeschlossenen Kunden über den für Tor-Verbindungen bekannte Port 9001 mehrere Verbindungen zu einem System mit einer IP aufgebaut wurden, welche als Tor-Knoten fungierte und eine schlechte Reputation aufwies.

Durch Auswertung der vorliegenden PCAP-Datei wurde festgestellt, dass mehrere Tor-Domänen anvisiert wurden. Außerdem ergab die Analyse der übertragenen Paketdaten der weiteren Meldung „SMTP to the Internet“, dass ein User durch Social Engineering Techniken überlistet wurde, eine täuschend echt aussehende E-Mail mit schadhaftem Anhang zu öffnen. Das anschließend geöffnete Dokument enthielt einen VBA-Skript (Visual Basic for Applications), der mehrere verdächtige Javascript Strings nachgeladen und zur Ausführung gebracht hatte. Die Strings ermöglichten damit die Ausspähung des Zielsystems nach Daten wie Benutzernamen sowie Computernamen, um anhand dieser Daten Prozessinformationen abzurufen und in das System einzudringen.

Anschließend wurden mehrere Tor-Domänen kontaktiert, um die Malware 'Microsoft.vshub.32.exe' herunterzuladen und auszuführen. Um eine Ping-Anfrage zu initiieren bzw. um über Google Chrome eine Verbindung zu mehreren Command and Control (C2) Servern herzustellen, startete die im System ausgebreitete Malware die ‚cmd.exe‘. Die Untersuchung der Strings hat schließlich ergeben, dass es sich bei genutzten Angriffsmethode um die Karo Ransomware Attacke handelt. Ein erfolgreicher Abschluss dieser Attacke hat oftmals die Verschlüsselung von Daten und eine Lösegeldforderung zur Folge.

In diesem beschriebenen Fall konnte die Attacke rechtzeitig abgewehrt werden. Unser Kunde wurde durch unser Blue-Team umgehend informiert, sodass entsprechende Maßnahmen eingeleitet werden konnten. Größere Schäden in der Infrastruktur des Kunden konnten so verhindert werden.

Unsere Maßnahmenempfehlungen

  • Bieten Sie Mitarbeitern regelmäßige Security Awareness Schulungen an, um Sie im Umgang mit E-Mails zu sensibilisieren.
  • Führen Sie regelmäßig Datenbackups Ihrer Daten vom Netzwerk auf getrennten Speichermedien durch.
  • Deaktivieren Sie Dateien, die in den Ordnern "Local AppData" oder "AppData" ausgeführt werden.
  • Die Ausführung von Makros sollte grundsätzlich nur mit festgelegten digitalen Signaturen erlaubt werden.
  • Automatisches Ausführen von Javascript bei Doppelklick sollte verhindert werden.