Alle Beiträge von SOC

Hybride Kriegsführung im Cyberraum stellt uns vor neue Herausforderungen

Hybride Kriegsführung im Cyberraum stellt uns vor neue Herausforderungen

Hybride Kriegsführung im Cyberraum stellt uns vor neue Herausforderungen

Seit dem 24. Februar 2022 beobachten wir mit Sorge den von Russland begonnenen völkerrechtswidrigen Angriffskrieg gegen die Ukraine.  In diesem Zusammenhang wächst auch die Angst vor Cyberangriffen. Im folgenden Artikel möchten wir unsere Erkenntnisse darstellen, inwieweit dieser Krieg im Cyberraum geführt wird und welche Auswirkungen auf die Cyberbedrohungslage zu erwarten sind.

Doch zunächst zur Zeit vor dem Angriff auf die Ukraine: Bereits vor Beginn der russischen Invasion gab es eine Flut von Data Wiper- und Distributed-Denial-of-Service (DDoS)-Angriffen gegen ukrainische Regierungsbehörden sowie kritische Infrastrukturen und Nachrichtenagenturen. Die Data Wiper Malware zielte dabei darauf ab, große Datenmengen unbemerkt zu zerstören. Bei DDoS-Angriffen wurden Server mit illegitimen Anfragen überflutet, sodass Infrastrukturen überlastet wurden und abstürzten.

Laut Computer Emergency Response Team (CERT-UA) der Ukraine wurden Phishing-Kampagnen vonseiten weißrussischer, staatlich gesponserter Hacker beobachtet, die auf das ukrainische Militärpersonal und damit verbundene Personen abzielten. Im Fokus standen dabei die E-Mailkonten. „Nachdem das Konto kompromittiert wurde, erhalten die Angreifer über das IMAP-Protokoll Zugriff auf alle Nachrichten.“[1] Anschließend nutzten die Angreifer die im Adressbuch des Opfers gespeicherten Kontaktinformationen, um die Phishing-Nachrichten an andere Ziele zu verbreiten. (https://cert.gov.ua/articles) Somit nutzt Russland den Cyberspace ganz klar für hybride Kriegsführung. Dazu gehört offenbar nicht nur der Angriff auf kritische IT-Infrastrukturen, sondern auch die gezielte Verbreitung falscher Informationen durch Russland.

Auch Russland selbst ist Ziel von Angriffen: Russlands National Coordination Center for Computer Incidents (NCCCI) veröffentlichte Anfang März eine umfangreiche Liste mit 17.576 IPs und 166 Domains, die die russische Infrastruktur mit DDoS-Angriffen angreifen. Als Teil ihrer Empfehlungen zur Abwehr von DDoS-Angriffen fordert die Agentur (NCCCI) russische Organisationen auf, Netzwerkgeräte abzuschirmen, die Protokollierung zu aktivieren, Passwörter für wichtige Infrastrukturelemente zu ändern, automatische Software-Updates zu deaktivieren, Plugins von Drittanbietern auf Websites zu deaktivieren, Datensicherungen durchzusetzen und auf Phishing-Angriffe zu achten.

Der aktuelle Bodenkrieg wird also durch eine Flut von Cyberangriffen im digitalen Bereich ergänzt. Hacktivistengruppen und andere Bürgerwehrakteure unterstützen die beiden Länder dabei, Websites von Regierungen und kommerziellen Einrichtungen anzugreifen und Fundgruben personenbezogener Daten preiszugeben.

Die Auswirkungen des Krieges haben laut Reuters die ukrainische Regierung dazu veranlasst, eine freiwillige „IT-Armee“ von zivilen Hackern aus der ganzen Welt zu bilden, um an der Cyber-Front operative Aufgaben gegen Russland durchzuführen. Es wurde von dieser „IT-Armee“ eine neue Reihe von Zielen aufgestellt, darunter das belarussische Eisenbahnnetz, Russlands eigenes satellitengestütztes globales Navigationssystem GLONASS und Telekommunikationsbetreiber. (https://www.dw.com/en/russia-ukraine-conflict-what-role-do-cyberattacks-play/a-60945572)

Unterstützung bekommt die Ukraine auch von Anonymous, dem international organisierten Hacker-Kollektiv, das dem Kreml den digitalen Krieg erklärt hat. Zahlreiche Websites der russischen Regierung waren bis zum 26. Februar nicht zugänglich, was vermutlich Anonymous-Aktivisten verursacht haben. Auch die Website des russischen Regierungssenders RT, die in westlichen Ländern als Propagandainstrument des Kremls gilt, war von Cyberangriffen der Vergeltung betroffen. (thehackernews.com)

Bedeutung für deutsche Unternehmen

Doch was bedeutet das für deutsche Unternehmen? - Durch die Teilnahme an Sanktionen gegen Russland könnte auch Deutschland zunehmend Ziel von Hackerangriffen werden, so SPD-Innenministerin Nancy Faeser. Man habe „die Schutzmaßnahmen zur Abwehr etwaiger Cyberattacken hochgefahren und relevante Stellen sensibilisiert.“ (https://www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2022/02/ukraine.html)

Auch die deutsche Rosneft-Tochtergesellschaft, Russlands größter Ölproduzent, ist nicht von Hackern im Zusammenhang mit dem Ukraine-Konflikt verschont geblieben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte, dass die Rosneft Deutschland GmbH am Wochenende im Rahmen seiner KRITIS-Meldepflichten einen IT-Sicherheitsvorfall meldete. Die Hackergruppe Anonymous hat die Verantwortung für den Cyberangriff auf die deutsche Niederlassung des russischen Energiekonzerns übernommen, der nach eigenen Angaben großen Schaden angerichtet hat. Angeblich wurden 20 Terabyte Daten abgegriffen und die Inhalte auf dutzenden Geräte gelöscht. Die Hacker hinter diesem Angriff, die sich Teil des Anonymous-Kollektivs sehen, stammen scheinbar aus Deutschland. Damit könnte Russland diesen Hackerangriff als Kriegsakt interpretieren und deutsche Unternehmen stärker ins Visier nehmen.

Das BSI warnt zudem gemäß § 7 BSI-Gesetz vor dem Einsatz von Antiviren-Schutzsoftware des russischen Herstellers Kaspersky. Das BSI empfiehlt, Anwendungen aus dem Virenschutz-Software-Portfolio von Kaspersky durch alternative Produkte zu ersetzen. Hintergrund: Ein russischer IT-Hersteller könnte von der russischen Regierung gezwungen werden, selbst offensive Operationen durchzuführen und Zielsysteme gegen seinen Willen anzugreifen. Eine weitere Gefahr besteht darin, selbst als Opfer einer Cyber-Operation ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht zu werden. (Weitere Informationen unter: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/220315_Kaspersky-Warnung.html)

Somit könnten auch wir in Deutschland in Zukunft mit großen Cyber-Angriffswellen konfrontiert werden, da im Cyberraum die Grenzen nicht eindeutig zu erkennen sind. Daher beobachten wir in unserer Leitstelle die aktuellen Geschehnisse mit erhöhter Wachsamkeit und bereiten uns auf den Ernstfall vor.

Deutsche Unternehmen gelten in Sachen Cybersicherheit als verletzlich, wie mehrere Angriffe im vergangenen Jahr gezeigt haben: Der IT-Branchenverband Bitkom schätzt den jährlichen Gesamtschaden durch digitalen Diebstahl, Erpressung und Sabotage auf 223 Milliarden Euro. Experten kritisieren, dass immer noch sehr wenig in die Cybersicherheit investiert wird[2]

Vor allem unseren Kunden aus dem Bereich der kritischen Infrastrukturen bereiten die aktuellen Entwicklungen Sorge. Sie befürchten demnächst selbst Angriffen zum Opfer fallen zu könnten. Auch wir haben darum in unserer Leitstelle die Schutzmaßnahmen erhöht und auf unseren Kunden-Sensoren neue Sicherheitsmechanismen und Use-Cases ausgerollt, die Traffic zu Systemen von bestimmten IP-Bereichen, die in Verbindung mit den aktuellen Cyberattacken aus Russland stehen, detektieren.

Unsere Handlungsempfehlungen:

- Software-Updates auffahren

- Mitarbeiter sensibilisieren z. B. durch Awareness Schulungen

- IT-Administratoren optimal unterstützen

- Systeme härten

- Multi-Faktor-Authentifizierung aktivieren

- Funktionale Backups erstellen und auch offline ablegen

- Notfallpläne üben

- Alle aktuellen Hinweise der deutschen Sicherheitsbehörden eng verfolgen.

-Es wird empfohlen, Antiviren-Schutzsoftware von deutschen Herstellern zu verwenden.

 

 

[1] Facebook-Seite der CERT-UA. 25. Februar um 12:09:

https://www.facebook.com/UACERT/posts/312939130865352

[2] https://www.bitkom.org/Presse/Presseinformation/Angriffsziel-deutsche-Wirtschaft-mehr-als-220-Milliarden-Euro-Schaden-pro-Jahr

Certified Security Operations Center GmbH veröffentlicht Cybersicherheits-Report 2021

Certified Security Operations Center GmbH veröffentlicht Cybersicherheits-Report 2021

Certified Security Operations Center GmbH veröffentlicht Cybersicherheits-Report 2021

Der Cybersicherheits-Report zeigt relevante Angriffsszenarien des vergangenen Jahres auf und bietet Expertentipps für eine sichere IT-Infrastruktur im Firmenumfeld.

Bornheim, März 2022. Im Jahr 2021 stieg die Zahl der Hackerangriffe sowie deren Qualität und die damit verbundenen, teils schwerwiegenden, Folgen für betroffene Unternehmen auf ein Rekordniveau an. Im Vergleich zum Vorjahr konnte ein quantitativer Anstieg von 33 Prozent verzeichnet werden, wie dem kürzlich durch die Certified Security Operations Center GmbH veröffentlichten Cybersicherheits-Report 2021 zu entnehmen ist. Dieser umfassende Report bietet Interessierten einen detaillierten Einblick in die vielfältigen und teils neuartigen Angriffsmethoden, indem er auf ausgewählte, besonders relevante Angriffsszenarien des vergangenen Jahres eingeht und Unternehmen jeweils präzise Handlungsempfehlungen für jedes Szenario an die Hand gibt. „Cyberkriminelle werden immer kreativer. Indem wir die unterschiedlichen Möglichkeiten der Angreifer zeigen, in ein System einzudringen, möchten wir ein Bewusstsein für die Dringlichkeit eines ganzheitlichen IT-Sicherheitskonzepts in Unternehmen schaffen“, so Stefan Möller, Geschäftsführer der Certified Security Operations Center GmbH. „Es handelt sich hier nicht um konstruierte Fallbeispiele, sondern ausschließlich um reale Vorfälle, an denen wir beispielhaft aufzeigen möchten, wie auf einen solchen Angriff reagiert werden sollte und welche Folgen für Unternehmen entstehen können.“

Dabei zielt der Cybersicherheits-Report 2021 nicht darauf ab, möglichst spektakuläre Fälle darzustellen, sondern die weite Range der Angriffsszenarien zu demonstrieren. Um dies zu unterstreichen und um als Leser das Ausmaß der Angriffe besser einschätzen zu können, beurteilen die Experten der Certified Security Operations Center GmbH den Schweregrad (Impact) eines jeden Falls auf einer Skala von 1.0–10.0. So finden sich neben der zu Jahresende detektierten Java-Sicherheitslücke „Log4Shell“ und den Angriffen der chinesischen Hackergruppe Hafnium, beides mit dem maximalen Impact von 1.0 bewertet, auch Methoden wie CryptoJacking oder Domain-Spoofing, welche einen niedrigen Impact vorweisen, aber dennoch im vergangenen Jahr auf dem Vormarsch waren.

Aus vergangenen Vorfällen für die Zukunft lernen

Um Unternehmen neben einer detaillierten Übersicht der Ereignisse aus 2021 einen weiteren Mehrwert zu bieten, beinhaltet der Cybersicherheits-Report zusätzlich einen Blick in die Zukunft. Die Security-Experten geben dabei eine kompetente Einschätzung der weiteren Entwicklung der Cybersicherheitslage und geben Tipps für eine sichere Infrastruktur in den kommenden Jahren. Joerg Lammerich, Geschäftsführer der Certified Security Operations Center GmbH erklärt: „Da sich die Angreifer und ihre Methoden rasant weiterentwickeln, heißt es für uns, Schritt zu halten und den Blick nach vorn zu richten. Unser Security Operations Center (SOC) wird, auch mithilfe des Feedbacks unserer Kunden, stetig verbessert und auf dem neuesten Stand gehalten, um auch in Zukunft möglichst viele Angriffe zu erkennen und gravierende Folgen zu vermeiden. Gemeinsam mit den Unternehmen vorzusorgen ist eines unserer wichtigsten Ziele und genau hierfür möchten wir in diesem Report praktische Tipps geben.“

Den Cybersicherheits-Report 2021 ist ab sofort erhältlich unter: https://www.csoc.de/cybersicherheitsreport-2021/

 

 

Hacker nutzen Windows Update-Dienst für Malware-Verbreitung

Hacker nutzen Windows Update-Dienst für Malware-Verbreitung

Hacker nutzen Windows Update-Dienst für Malware-Verbreitung

Die berüchtigte Lazarus-Gruppe mit Sitz in Nordkorea, die bei MITRE ATT&CK als APT38 bekannt ist, führt aktuell eine neue Kampagne durch, um den Windows Update-Dienst zur Ausführung bösartiger Payload zu nutzen. Dies ist eine Erweiterung des Arsenals an LotL-Techniken (living-off-the-land), die die APT-Gruppe zur Erreichung ihrer Ziele einsetzt.

Im Rahmen des jüngsten Spear-Phishing-Angriffs, der am 18. Januar 2022 von https://de.malwarebytes.com/ entdeckt wurde, gab sich die Lazarus-Gruppe als das US-Sicherheits- und Raumfahrtunternehmen Lockheed Martin aus und benutzte zwei mit Code geladene Dokumente (Lockheed_Martin_JobOpportunities.docx und Salary_Lockheed_Martin_job_opportunities_confidential.doc) mit berufsbezogenem Kontext als Köder.

Beim Öffnen der Datei mit Microsoft Word wird ein in das Dokument eingebettetes Makro ausgeführt, das Base64-decodierten Shellcode ausführt und eine Reihe von Malware-Komponenten in den explorer.exe-Prozess injiziert. Der nächste Schritt besteht darin, die Datei zu laden.

In der zweiten Phase verwendet eine der geladenen Binärdateien, "drops_lnk.dll", den Windows Update-Client ("wuauclt.exe") - der als defensive Umgehungstechnik verwendet wird, um bösartige Aktivitäten mit legitimer Windows-Software zu vermischen - um einen Befehl zum Laden eines zweiten Moduls namens "wuaueng.dll" im Windows/System32-Verzeichnis auszuführen.

Mit dieser Technik kann ein Angreifer die Sicherheitserkennungsmechanismen umgehen und schadhafte DLLs oder Code über den Windows Update-Client ausführen.

"wuaueng.dll" wird verwendet, um eine Verbindung zu einem Command-and-Control-Server (C2) herzustellen. Dabei handelt sich um ein GitHub-Repository, das als PNG-Bilddateien getarnte bösartige Module hostet.

Unser Blue-Team erkennt solche Angriffsszenarien über die eingestelle Sysmon-Regel ‚Suspicious Process - explorer.exe‘ frühzeitig und kommuniziert diese unverzüglich an die betroffenen Kunden.

Quelle: https://thehackernews.com/

Unsere Maßnahmenempfehlungen

- Öffnen Sie keine Dateien oder Links, die an verdächtige E-Mails angehängt sind, da diese möglicherweise Malware enthalten.

- Rufen Sie dubiose Links oder gekürzte URLs nicht auf und prüfen Sie im Zweifelsfall mithilfe der Google-Suchmaschine bzw. anhand der Beschreibung auf der Ergebnisseite, ob die Website seriös ist.

- Verschieben Sie verdächtige E-Mails in Ihren Junk- oder Spam-Ordner oder löschen Sie diese dauerhaft.

- Die Ausführung von Makros sollte grundsätzlich nur mit festgelegten digitalen Signaturen erlaubt werden.

- Bieten Sie Mitarbeiter:innen regelmäßige Security Awareness Schulungen an, um sie im Umgang mit E-Mails zu sensibilisieren.

-Stellen Sie sicher, dass Betriebssystem-, Software- und Firmware-Patches installiert sind.

Trojaner Uwamson bewegt sich monatelang unentdeckt im Netzwerk

Trojaner Uwamson bewegt sich monatelang unentdeckt im Netzwerk

Bei einem unserer Kunden entdeckten wir kürzlich über die Regel ‚Windows Defender Threat Detection Disabled_2‘, dass der Windows Defender an einem Rechner deaktiviert wurde. Wir informierten den Kunden umgehend über diesen Vorfall und empfahlen, den betroffenen Rechner auf Malware zu scannen. Daraufhin wurde der Windows Defender erneut im Betrieb genommen. Der Scan löste in unserer Leitstelle den Alarm ‚Antimalware platform detected potentially unwanted software‘ aus. User Blueteam analysierte umgehend den Vorfall und stieß dabei auf den Übeltäter: Trojaner Uwamson.

„Win32/Uwamson.A!ml“ ist ein besonders aggressiver Trojaner, der den Browser mit Adware, Spyware und Redirect-Viren infiltriert, um diesen zu kapern und die Online-Aktivitäten des Users zu überwachen. Sobald Win32/Uwamson.A!ml ein System infiltriert hat, kommen bestehende Verteidigungsmechanismen zum Erliegen, da der Trojaner Exploits nutzt, um große Mengen an Viren auf dem System einzuschleusen. Unter anderem übernimmt der Redirect-Virus den Webbrowser und leitet den User zu einer verdächtigen Domain um.

Die Hacker hinter diesem Angriff überwachen die Online-Aktivitäten, um vertrauliche Informationen wie z. B. Bank-Anmeldedaten zu sammeln, die für kommerzielle Zwecke verwendet werden können. Darüber hinaus beeinträchtigen diese Viren die Leistung des Systems und verursachen viele Probleme wie ständiges Abstürzen des Systems. Win32/Uwamson.A!ml öffnet sogar eine weitere Möglichkeit für Cyberkriminelle: Durch das Ändern von Registrierungsdaten und Sicherheitseinstellungen können sie sich einen unerlaubten Fernzugriff verschaffen, wodurch alle Dateien auf den betroffenen Geräten in Gefahr geraten.

Doch wie kam der Trojaner in das Unternehmensnetzwerk? - In unserem Fall hatte ein Mitarbeiter einen ungewöhnlichen Link geöffnet und die ZIP-Datei ‚FRST1501.zip‘ heruntergeladen. Der Rechner wurde vom Netzwerk entfernt und neu aufgesetzt, sodass sich dieser Trojaner nicht weiterverbreiten konnte.

Quelle: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Uwamson&ThreatID=2147734168

Unsere Handlungsempfehlungen:

- Verwenden Sie den Windows Defender (http://windows.microsoft.com/en-us/windows/using-defender#1TC=windows-10) für Windows 10 und Windows 8.1, oder Microsoft Security Essentials (http://www.microsoft.com/security_essentials) für Windows 7 und Windows Vista, um diese Bedrohung zu erkennen und zu entfernen.

- Die Verwendung des Microsoft Sicherheitsscanners wird ebenfalls empfohlen: http://www.microsoft.com/security/scanner/

- Im Falle einer Infizierung eines Systems wird empfohlen, das betroffene System vom Netzwerk zu trennen und neu aufzusetzen.

-Bieten Sie Ihren Mitarbeitern Awareness-Schulungen an, um sie im Umgang mit E-Mails und dubiosen Links zu sensibilisieren.

Schwachstelle im Internet Communication Manager (ICM) von SAP-Produkten entdeckt

Schwachstelle im Internet Communication Manager (ICM) von SAP-Produkten entdeckt

Am 8. Februar 2022 wurde eine Schwachstelle im Internet Communication Manager (ICM) von diversen SAP-Produkten bekannt, die als CVE-2022-22536 registriert und mit einem CVSSv3-Score von 10 bewertet wurde.

SAP NetWeaver Application Server ABAP, SAP NetWeaver Application Server Java, ABAP Platform, SAP Content Server 7.53 und SAP Web Dispatcher sind für diese Schwachstelle anfällig, die Request Smuggling und Request Concatenation ermöglicht.

Besonders kritisch: Ein Angreifer kann ohne dass eine Authentifizierung erforderlich ist, eine modifizierte HTTP- oder HTTPS-Anfrage an ein anfälliges System senden. Dies ermöglicht dem Angreifer, Funktionen im Namen des Opfers auszuführen oder zwischengeschaltete Web-Caches zu infizieren.

Ein erfolgreicher Angriff könnte zu einer vollständigen Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit eines Systems bzw. zu einer vollständigen Systemübernahme führen.

Quellen: https://www.cvedetails.com/cve/CVE-2022-22536/

https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+February+2022

Unsere Handlungsempfehlungen:

- Auf dem SAP-Blog (https://blogs.sap.com/2022/02/11/remediation-of-cve-2022-22536-request-smuggling-and-request-concatenation-in-sap-netweaver-sap-content-server-and-sap-web-dispatcher/) finden Sie eine Übersicht an Empfehlungen zur Behebung dieser Schwachstelle für folgende betroffene Szenarien:

  • ABAP-Systeme oder SAP Content Server hinter SAP Web Dispatcher
  • ABAP-Systeme mit integriertem SAP Web Dispatcher
  • JAVA-Systeme hinter SAP Web Dispatcher
  • ABAP- oder JAVA-Systemsysteme oder SAP Content Server hinter Load Balancer / Reverse Proxy anderer Anbieter

- Die von SAP bereitgestellten Patches sollten zeitnah angewendet werden.

-Es existiert ein Python-Skript, mit dem überprüft werden kann, ob ein SAP-System von CVE-2022-22536 betroffen ist (https://pythonawesome.com/vulnerability-assessment-for-cve-2022-22536/)