Alle Beiträge von Martin Graf

KW1: CSOC-Event der Woche – Zero-Width Space Phishing Attack

KW1: CSOC-Event der Woche – Zero-Width Space Phishing Attack

Durchschnittliche CSOC-Gesamtevents pro Tag:  29.735
Detektionshäufigkeit:      15

Eventbeschreibung: Zero-Width Space Phishing Attack / Kritikalität = hoch (7 / 10)

Das Event dieser Woche tritt auf, sobald eine Maßnahme zur Umgehung von Office 365 Sicherheitsfeatures detektiert wird.

Um Usern von Office 365 Schutz vor Phishing-Links zu bieten, verwendet Microsoft eine Technik, welche Links in eingehenden E-Mails zunächst prüft, bevor der User zum Ziel weitergeleitet wird. Hierbei wird ein erkannter Link durch eine Microsoft-eigene „secure URL“ ausgetauscht. Aktiviert der Empfänger diesen Link, durchläuft die Zieladresse zunächst eine Prüfung durch Microsofts Sicherheitsscanner, um das Ziel auf verdächtige Inhalte zu überprüfen.

Handelt es sich um bösartige Inhalte wird der Empfänger gewarnt. Weist der Sicherheitsscan hingegen keine Treffer auf, wird der Empfänger zum jeweiligen Ziel weitergeleitet.

Cyberkriminelle haben nun eine Technik entdeckt, die es ermöglicht, diesen Sicherheitsmechanismus von Microsofts Office 365 zu umgehen. Hierfür wird ein sogenannter ZWSP, ein Zero-Width Space, genutzt. Der Zero-Width Space stellt im HTML-Code eine nicht sichtbare Leerstelle dar. Der Angreifer bearbeitet den bösartigen Link wie folgt:

Statt „http://ichbineinvirus.de“ lautet der bearbeitete Link im HTML-Code der E-Mail „http://ichbineinvirus.‌de“ wobei „‌“ in HTML den ZWSP darstellt.

Microsofts Methode zur Erkennung von Weblinks wird durch das Einfügen der scheinbaren Leerstelle ausgehebelt. Die verwendeten Algorithmen sind durch die Leerstelle nicht in der Lage, die Syntax eines Links zu erkennen und werden somit nicht aktiviert.
Moderne Webbrowser jedoch erkennen den Link und verarbeiten diesen korrekt, was dem User in den meisten Fällen zum Verhängnis wird.

Technische Beschreibung Zero-Width Space Phishing Attack

The issue, cloud security firm Avanan says, resided in the use of zero-width spaces (ZWSPs) in the middle of malicious URLs within the RAW HTML of the emails. This method breaks the URLs, thus preventing Microsoft’s systems from recognizing them and also preventing Safe Links from successfully protecting users.

CSOC-Event der Woche KW49 – Spyware User Agent

KW49: CSOC-Event der Woche – Spyware User Agent

Durchschnittliche CSOC-Gesamtevents pro Tag:  32.389
Detektionshäufigkeit:      1674

Eventbeschreibung: Spyware User Agent / Kritikalität = mittel (6 / 10)

In dieser Woche berichten wir über Events, die auftreten, sobald ein mit Spyware in Verbindung stehender User Agent detektiert wird.

User Agents werden genutzt, um Servern mitzuteilen, mithilfe welcher Anwendung der Zugriff erfolgt (Beispiele für User Agents sind Webbrowser, E-Mail-Programme, Newsreader und IRC-Clients). Diese Information ist notwendig, um entsprechende, für das abrufende Gerät angepasste Inhalte abzurufen. So wird eine Website, die mithilfe eines Mobilgeräts dargestellt wird, kompakt gehalten, um zu garantieren, dass die Inhalte anschaulich bleiben (KW43).

Das SOC erkennt aktive User Agents, welche bereits in Verbindung mit Spyware gebracht werden konnten. Im Fall der Erkennung eines entsprechenden User Agents, wird ein Event ausgelöst, welches Informationen zum User Agent und der dazugehörigen Verbindung enthält. Im Falle von Spyware, welche Informationen auf einem befallenen System sammelt und diese anschließend an den Angreifer sendet, ist es so möglich, aktive Spyware zu detektieren und weitere Verbindungen zu unterbinden.

Technische Beschreibung

https://www.bitdefender.de/site/view/spyware.html

Laut einer Studie des IT- und Telekommunikationsverbandes Bitkom räumten 2012 rund 16 Prozent der Web-Nutzer in Deutschland ein, dass sie bereits einmal Opfer von Ausspähversuchen mittels Spyware waren und ihnen Zugangsdaten für Online-Services, Auktionsplattformen oder Banken abhandenkamen. Insgesamt wurden 2012 die Account-Daten von mehr als 8,5 Millionen deutschen Web-Nutzern ausgespäht.

Trojaner „Emotet“ legt deutsche Firmen lahm

Trojaner „Emotet“ legt deutsche Firmen lahm

Aktuell rollt eine Welle der Infektionen über Deutschland, die teilweise ganze Firmen lahmlegt und Millionenschäden anrichtet. Die Rede ist vom Trojaner „Emotet“, der sich hinter professionell aufgemachten Phishing-Mails verbirgt, die kaum von echten Mails zu unterscheiden sind. So berichtet auch heise.de von der aktuellen Bedrohung.

Emotet sammelt bereits seit einigen Monaten Informationen über die Kommunikationsgewohnheiten der Opfer, greift Mailinhalte ab und nutzt diese Daten, um die sogenannten Phishing-Mails optimal auf die Zielpersonen zuzuschneiden. Aufgrund dieser automatisierten Vorgehensweise sprechen Experten im Fall des Trojaners von „Dynamit-Phishing“.

Die Mails enthalten Doc-Dateien mit Makros, um deren Ausführung das Opfer beim Öffnen gebeten wird. Erst hierdurch wird der Rechner über eingebettete PowerShell-Kommandos infiziert. Darüber hinaus wird weitere Schad-Software aus dem Internet nachgeladen. Durch diesen Vorgang kann die gesamte IT eines Unternehmens lahmgelegt werden.

Damit richtet sich Emotet nach dem Vorbild von APT-Hackern und breitet sich zunächst im Netz aus, was als Lateral Movement bezeichnet wird. Zunutze kommen dem Trojaner hier abgeerntete Zugangsdaten der infizierten Rechner und ein Exploit aus den Geheimlaboren der NSA, dem Eternal Blue.

Unsere CSOC-Mitarbeiter sind für den Trojaner sensibilisiert und haben aktuelle Vorgänge im Auge. Unternehmen, die sich dem CSOC bereits angeschlossen haben, können darauf vertrauen, dass derartige Phishing-Mails vom System abgefangen werden und der Trojaner Emotet ihr Unternehmen nicht bedroht. Bei Rückfragen können Sie uns selbstverständlich gerne ansprechen.

CSOC-Event der Woche KW48 – Aktive .EXE-Erkennung

KW48: CSOC-Event der Woche – Aktive .EXE-Erkennung

Durchschnittliche CSOC-Gesamtevents pro Tag:  25.630
Detektionshäufigkeit:      2357

Eventbeschreibung: Aktive .EXE-Erkennung / Kritikalität = mittel (5 / 10)

Die in dieser Woche vorgestellten Events treten auf, sobald der Download einer .exe-Datei detektiert wird. Dateien mit der Endung .exe sind ausführbare Dateien, welche unter anderen mithilfe der Betriebssysteme Windows oder DOS gestartet werden können. EXE-Dateien beinhalten in der Regel legitime Programme und Werkzeuge, die zweckübergreifend genutzt werden. So ist es auch möglich, Schadcode darin zu verbergen, welcher für den Benutzer der betroffenen Datei in den meisten Fällen selbst bei der Ausführung unbemerkt bleibt.

Die aktive .EXE Erkennung des CSOC löst ein Event aus, sobald eine Datenübertragung detektiert wird, die ein bestimmtes, sogenanntes „MagicByte“ mit dem Inhalt „MZ“ enthält. Mithilfe der „MagicBytes“ wird für Betriebssysteme kenntlich gemacht, um welchen Dateitypen es sich handelt und wie mit der Datei verfahren werden soll. Aufgrund von häufig aufkommenden schädlichen Downloads von EXE-Dateien wird jeder erkannte Download, der von den eingesetzten Sensoren detektiert wird, eingehend auf Herkunft und Inhalt untersucht. Wird eine schädliche Datei erkannt, so wird der betroffene Kunde umgehend informiert, um die jeweilige Datei zu isolieren.

Im Regelfall werden viele schädliche EXE-Dateien von Antivirensoftware erkannt und zuverlässig isoliert. Häufig kommt es allerdings vor, dass auch hier unbekannte Dateien, für die noch keine Signatur existiert, aktiv werden.

Technische Beschreibung:

When assessing an application, one may run into files that have strange or unknown extensions or files not readily consumed by applications associated with those extensions. In these cases it can be helpful to look for tell-tale file format signatures and inferring how the application is using them based on these signatures, as well as how these formats may be abused to provoke undefined behavior within the application. To identify these common file format signatures one typically only need look as far as the first few bytes of the file in question.

CSOC-Event der Woche KW47 – OpenVAS-Scans

KW47: CSOC-Event der Woche – OpenVAS-Scans

Durchschnittliche CSOC-Gesamtevents pro Tag:  36.007
Detektionshäufigkeit:      3678

Eventbeschreibung: OpenVAS-Scans / Kritikalität = mittel (5 / 10)

In dieser Woche berichten wir über eine Reihe von Events, die auftreten, sobald eine IP-Adresse zum Ziel eines sogenannten OpenVAS-Scans wird.

OpenVAS, das Open Vulnerability Assessment System, ist ein Framework, welches Dienste und Werkzeuge zum Scanning eigener Netze oder einzelner IP-Adressen zur Verfügung stellt.

Dieses umfangreiche Framework wird leider – wie viele andere Hacking-Tools auch – missbraucht, um Schwachstellenscans gegen öffentlich erreichbare IT-Systeme durchzuführen. Die in unserem Fall auftretenden Events sind charakteristisch für einen OpenVAS-Scan. Beim Ausführen des Scans wird die Ziel-IP zunächst mit verschiedenen Methoden auf SQL-Injection gescannt. Sollten entsprechende SQL-Dienste detektiert werden, prüft OpenVAS die Verwundbarkeit der Dienste. Ist der Prozess abgeschlossen, werden weitere Schwachstellen wie etwa Cross Site Scripting und Local File Inclusion überprüft. Auch wird im Zuge des Scans auf Pfade von bekannten Wegdiensten geprüft; ebenso darauf, ob diese eventuell empfindliche Daten wie beispielsweise Backups enthalten. Weiterhin erstreckt sich der Scan auf die Überprüfung von Standard-Zugangsdaten auf Routern, Webdiensten und weiteren öffentlich zugänglichen Diensten.

Der OpenVAS-Scan ist in der Regel nicht vermeidbar. Jedoch ist der Angriff mithilfe dieses Werkzeugs nicht zu vernachlässigen, da Standard-Zugangsdaten und Konfigurationen sehr leicht entdeckt und ausgenutzt werden könnten. Die einzige Methode, weiteren OpenVAS-Scans zu entgehen, ist die aktive Sperrung der Quell-IPs. Wir empfehlen IT-Administratoren aufgrund des Scan-Umfangs stets die eigenen Konfigurationen zu prüfen. Standardeinstellungen sollten überdacht werden. Bei extern veröffentlichten Diensten und Geräten gilt es, Hardware ohne bekannte Sicherheitslücken zu verwenden. Zudem ist immer auf sichere Zugangsdaten zu achten.

Technische Beschreibung:

Das Open Vulnerability Assessment System (OpenVAS) ist ein Framework aus mehreren Diensten und Werkzeugen. Der Kern dieses service-orientierten, SSL-gesicherten Systems bildet der OpenVAS Scanner. Der Scanner führt in sehr effizienter Weise die Network Vulnerability Tests (NVTs), also den Inhalt des OpenVAS NVT Feeds aus. Dieser Kern der Scan-Engine wird durch den OpenVAS Manager kontrolliert und gesteuert.