Archiv der Kategorie: Allgemein

News und Aktuelles: IT-Blog rund um Cyber Security & IT-Sicherheit

Aktuelle News, brisante Neuerungen und Erkenntnisse aus dem Bereich IT-Sicherheit, Wissenswertes rund um Cyber Security: Darüber bloggt für Sie unser Autor Martin Graf. Mit der zunehmenden Digitalisierung und Vernetzung nehmen auch Schnelllebigkeit und Aktualisierungsbedarf stetig zu. Versäumte Updates und veraltete Software bieten Hackern und Cyberkriminellen eine willkommene Angriffsfläche. Die Folgen: Datenverschlüsselung oder -verlust, Geld- und Imageschaden. Ist Ihr Wissensstand jedoch aktuell, so ist es meist automatisch auch Ihre IT-Infrastruktur. Bleiben Sie daher informiert!

Trojaner „Emotet“ legt deutsche Firmen lahm

Trojaner „Emotet“ legt deutsche Firmen lahm

Aktuell rollt eine Welle der Infektionen über Deutschland, die teilweise ganze Firmen lahmlegt und Millionenschäden anrichtet. Die Rede ist vom Trojaner „Emotet“, der sich hinter professionell aufgemachten Phishing-Mails verbirgt, die kaum von echten Mails zu unterscheiden sind. So berichtet auch heise.de von der aktuellen Bedrohung.

Emotet sammelt bereits seit einigen Monaten Informationen über die Kommunikationsgewohnheiten der Opfer, greift Mailinhalte ab und nutzt diese Daten, um die sogenannten Phishing-Mails optimal auf die Zielpersonen zuzuschneiden. Aufgrund dieser automatisierten Vorgehensweise sprechen Experten im Fall des Trojaners von „Dynamit-Phishing“.

Die Mails enthalten Doc-Dateien mit Makros, um deren Ausführung das Opfer beim Öffnen gebeten wird. Erst hierdurch wird der Rechner über eingebettete PowerShell-Kommandos infiziert. Darüber hinaus wird weitere Schad-Software aus dem Internet nachgeladen. Durch diesen Vorgang kann die gesamte IT eines Unternehmens lahmgelegt werden.

Damit richtet sich Emotet nach dem Vorbild von APT-Hackern und breitet sich zunächst im Netz aus, was als Lateral Movement bezeichnet wird. Zunutze kommen dem Trojaner hier abgeerntete Zugangsdaten der infizierten Rechner und ein Exploit aus den Geheimlaboren der NSA, dem Eternal Blue.

Unsere CSOC-Mitarbeiter sind für den Trojaner sensibilisiert und haben aktuelle Vorgänge im Auge. Unternehmen, die sich dem CSOC bereits angeschlossen haben, können darauf vertrauen, dass derartige Phishing-Mails vom System abgefangen werden und der Trojaner Emotet ihr Unternehmen nicht bedroht. Bei Rückfragen können Sie uns selbstverständlich gerne ansprechen.

CSOC-Event der Woche KW48 – Aktive .EXE-Erkennung

KW48: CSOC-Event der Woche – Aktive .EXE-Erkennung

Durchschnittliche CSOC-Gesamtevents pro Tag:  25.630
Detektionshäufigkeit:      2357

Eventbeschreibung: Aktive .EXE-Erkennung / Kritikalität = mittel (5 / 10)

Die in dieser Woche vorgestellten Events treten auf, sobald der Download einer .exe-Datei detektiert wird. Dateien mit der Endung .exe sind ausführbare Dateien, welche unter anderen mithilfe der Betriebssysteme Windows oder DOS gestartet werden können. EXE-Dateien beinhalten in der Regel legitime Programme und Werkzeuge, die zweckübergreifend genutzt werden. So ist es auch möglich, Schadcode darin zu verbergen, welcher für den Benutzer der betroffenen Datei in den meisten Fällen selbst bei der Ausführung unbemerkt bleibt.

Die aktive .EXE Erkennung des CSOC löst ein Event aus, sobald eine Datenübertragung detektiert wird, die ein bestimmtes, sogenanntes „MagicByte“ mit dem Inhalt „MZ“ enthält. Mithilfe der „MagicBytes“ wird für Betriebssysteme kenntlich gemacht, um welchen Dateitypen es sich handelt und wie mit der Datei verfahren werden soll. Aufgrund von häufig aufkommenden schädlichen Downloads von EXE-Dateien wird jeder erkannte Download, der von den eingesetzten Sensoren detektiert wird, eingehend auf Herkunft und Inhalt untersucht. Wird eine schädliche Datei erkannt, so wird der betroffene Kunde umgehend informiert, um die jeweilige Datei zu isolieren.

Im Regelfall werden viele schädliche EXE-Dateien von Antivirensoftware erkannt und zuverlässig isoliert. Häufig kommt es allerdings vor, dass auch hier unbekannte Dateien, für die noch keine Signatur existiert, aktiv werden.

Technische Beschreibung:

When assessing an application, one may run into files that have strange or unknown extensions or files not readily consumed by applications associated with those extensions. In these cases it can be helpful to look for tell-tale file format signatures and inferring how the application is using them based on these signatures, as well as how these formats may be abused to provoke undefined behavior within the application. To identify these common file format signatures one typically only need look as far as the first few bytes of the file in question.

CSOC-Event der Woche KW47 – OpenVAS-Scans

KW47: CSOC-Event der Woche – OpenVAS-Scans

Durchschnittliche CSOC-Gesamtevents pro Tag:  36.007
Detektionshäufigkeit:      3678

Eventbeschreibung: OpenVAS-Scans / Kritikalität = mittel (5 / 10)

In dieser Woche berichten wir über eine Reihe von Events, die auftreten, sobald eine IP-Adresse zum Ziel eines sogenannten OpenVAS-Scans wird.

OpenVAS, das Open Vulnerability Assessment System, ist ein Framework, welches Dienste und Werkzeuge zum Scanning eigener Netze oder einzelner IP-Adressen zur Verfügung stellt.

Dieses umfangreiche Framework wird leider – wie viele andere Hacking-Tools auch – missbraucht, um Schwachstellenscans gegen öffentlich erreichbare IT-Systeme durchzuführen. Die in unserem Fall auftretenden Events sind charakteristisch für einen OpenVAS-Scan. Beim Ausführen des Scans wird die Ziel-IP zunächst mit verschiedenen Methoden auf SQL-Injection gescannt. Sollten entsprechende SQL-Dienste detektiert werden, prüft OpenVAS die Verwundbarkeit der Dienste. Ist der Prozess abgeschlossen, werden weitere Schwachstellen wie etwa Cross Site Scripting und Local File Inclusion überprüft. Auch wird im Zuge des Scans auf Pfade von bekannten Wegdiensten geprüft; ebenso darauf, ob diese eventuell empfindliche Daten wie beispielsweise Backups enthalten. Weiterhin erstreckt sich der Scan auf die Überprüfung von Standard-Zugangsdaten auf Routern, Webdiensten und weiteren öffentlich zugänglichen Diensten.

Der OpenVAS-Scan ist in der Regel nicht vermeidbar. Jedoch ist der Angriff mithilfe dieses Werkzeugs nicht zu vernachlässigen, da Standard-Zugangsdaten und Konfigurationen sehr leicht entdeckt und ausgenutzt werden könnten. Die einzige Methode, weiteren OpenVAS-Scans zu entgehen, ist die aktive Sperrung der Quell-IPs. Wir empfehlen IT-Administratoren aufgrund des Scan-Umfangs stets die eigenen Konfigurationen zu prüfen. Standardeinstellungen sollten überdacht werden. Bei extern veröffentlichten Diensten und Geräten gilt es, Hardware ohne bekannte Sicherheitslücken zu verwenden. Zudem ist immer auf sichere Zugangsdaten zu achten.

Technische Beschreibung:

Das Open Vulnerability Assessment System (OpenVAS) ist ein Framework aus mehreren Diensten und Werkzeugen. Der Kern dieses service-orientierten, SSL-gesicherten Systems bildet der OpenVAS Scanner. Der Scanner führt in sehr effizienter Weise die Network Vulnerability Tests (NVTs), also den Inhalt des OpenVAS NVT Feeds aus. Dieser Kern der Scan-Engine wird durch den OpenVAS Manager kontrolliert und gesteuert.

CSOC-Event der Woche KW46 – DDoS-Reflection-Angriff

KW46: CSOC-Event der Woche – DDoS-Reflection-Angriff

Durchschnittliche CSOC-Gesamtevents pro Tag:  14.941
Detektionshäufigkeit:      255

Eventbeschreibung: DDoS-Reflection-Angriff / Kritikalität = mittel (6 / 10)

Das Event dieser Woche tritt auf, wenn ein NTP-Dienst für DDoS-Angriffe missbraucht wird. NTP, das Network Time Protocol, wird verwendet, um die Synchronisation von Systemzeiten zu gewährleisten. Für diesen Dienst stehen im Netz viele öffentliche Server zur Verfügung, die bei einer nicht restriktiven Konfiguration nach einem Status abgefragt werden können. Der Status, welcher mithilfe des „monlist“-Befehls abgerufen wird, kann bis zu 600 Einträge enthalten, welche unter anderem aus Informationen wie der IP-Adressen zuletzt anfragender Systeme bestehen.
Der DDoS-Reflection-Angriff basiert auf einer Manipulation der Anfrage mit dem „monlist“-Befehl, indem die IP-Adresse des anfragenden Systems mithilfe von IP-Spoofing durch die IP-Adresse des Zielsystems ausgetauscht wird.

Der antwortende Zeitserver sendet in einem solchen Fall die Antwort an die hinterlegte Zieladresse und überflutet das Ziel bei multipler Anfrage mit den letzten Einträgen. Der Angriff ist mithilfe eines einzelnen Hosts ausführbar, da die benötigte Bandbreite zum Senden einer Anfrage verschwindend gering ist, die erhaltene Antwort mit zahlreichen Einträgen jedoch enorm größer ausfällt. Der einzige Weg, den Missbrauch zu unterbinden, besteht in der Aktualisierung des Dienstes – mindestens auf die Version 4.2.7p26. Durch dieses Update wird die „monlist“-Funktionalität entfernt.

Technische Beschreibung:

Bei einem Reflection-Angriff wird das Opfersystem nicht direkt angegriffen. Stattdessen spielt der Angreifer „über Bande“ (reflection). Dazu sendet er eine Anfrage mit gefälschter Absenderadresse an ein Zielsystem (Bande). Als Absenderadresse wählt er dabei die Adresse des Systems, das er angreifen möchte (Opfersystem). Die Antwort auf die Anfrage des Angreifers erhält dann aufgrund der gefälschten Adresse nicht der Angreifer, sondern das Opfersystem.

CSOC-Event der Woche KW45 – XXE-Angriffe: Die Bedrohung in XML-Dokumenten

KW45: CSOC-Event der Woche – XXE-Angriffe: Die Bedrohung in XML-Dokumenten

Durchschnittliche CSOC-Gesamtevents pro Tag:  24.602
Detektionshäufigkeit:      224

Eventbeschreibung: XXE-Angriffe – Die Bedrohung in XML-Dokumenten / Kritikalität = mittelschwer (6 / 10)

In dieser Woche berichten wir über Angriffe, die es 2017 erstmals in die Liste der OWASP TOP 10 aktueller Webapplikations-Schwachstellen geschafft hat. Der Sammelbegriff für die Angriffe lautet: XML External Entities (XXE).

Dieser Angriff kann durch speziell erzeugte XML-Dokumente getätigt werden, welche dann von einer nicht ausreichend sicher konfigurierten XML-Schnittstelle entgegengenommen und verarbeitet werden. XML-Dokumente dienen dem hierarchisch strukturierten Speichern von Daten im Textformat. Dabei können, ähnlich wie in HTML, im Kopf der XML-Datei Vorgaben zur Struktur des Dokuments gemacht werden. Unter anderem kann im Kopf der XML-Datei auf externe Entitäten referenziert werden, die anschließend im weiteren XML-Dokument aufgerufen werden. Als eine mögliche externe Entität könnte beispielsweise eine lokale Systemdatei mit Passwörtern dienen. Wird der Aufruf von der XML-Schnittstelle korrekt und ohne Widersprüche verarbeitet, können die Inhalte der lokalen Systemdatei nun möglicherweise angezeigt werden. Zu den möglichen Folgen einer erfolgreichen XXE-Attacke zählen Zugriffe auf sensible Informationen, Remote-Code-Ausführung und der gezielte Ausfall von IT-Systemen (Denial-of-Service).

Technische Beschreibung:

Als Beispiel stellen wir ein manipuliertes XML-Dokument vor, dass bei fehlerhaftem XML-Parser die lokale Passwortdatei eines Linux-Systems am Bildschirm ausgeben könnte:

csoc_screenshot_xml cyber security operations center csoc managed soc

Weitere Code-Beispiele für XXE-Angriffe, und wie man sich vor diesen schützen kann, finden Sie unter dem hinterlegten Link der technischen Beschreibung.