Archiv der Kategorie: Allgemein

News und Aktuelles: IT-Blog rund um Cyber Security & IT-Sicherheit

Aktuelle News, brisante Neuerungen und Erkenntnisse aus dem Bereich IT-Sicherheit, Wissenswertes rund um Cyber Security: Darüber bloggt für Sie unser Autor Martin Graf. Mit der zunehmenden Digitalisierung und Vernetzung nehmen auch Schnelllebigkeit und Aktualisierungsbedarf stetig zu. Versäumte Updates und veraltete Software bieten Hackern und Cyberkriminellen eine willkommene Angriffsfläche. Die Folgen: Datenverschlüsselung oder -verlust, Geld- und Imageschaden. Ist Ihr Wissensstand jedoch aktuell, so ist es meist automatisch auch Ihre IT-Infrastruktur. Bleiben Sie daher informiert!

Safer Internet Day 2019

Der Safer Internet Day 2019 (kurz SID) bietet ausreichend Anlass, seinen aktuellen Cybersecurity-Status auf den Prüfstand zu stellen. Allerdings braucht es heute keinen konkreten Anlass mehr, denn Cybercrime lauert überall und ist längst fester Bestandteil unseres Alltags geworden: Egal ob Unternehmen (kleine und mittelständische genauso wie Großunternehmen) oder Privatpersonen – wer seine Daten nicht schützt gerät schnell in das Visier der Hacker. Wer leichtsinnig im Netz agiert, z.B. unvorsichtig auf Links in Mails unbekannter Absender klickt, bei Verbindungen nicht auf Verschlüsselungen achtet etc. setzt seine Internetsicherheit aufs Spiel – und das kann teuer werden; etwa bei einem Schaden durch eine Ransomware, mit deren Hilfe Hacker Unternehmensdaten verschlüsseln und diese erst gegen ein beträchtliches Lösegeld wieder dekodieren.

Nutzen auch Sie den Safer Internet Day 2019 und machen Sie sich schlau, wie Sie Ihre Daten effektiv schützen können.

Weiterführende Links rund um den Safer Internet Day finden Sie hier:

https://www.bsi.bund.de/

https://www.datensicherheit.de/

https://www.bmjv.de/

https://www.klicksafe.de/

https://www.sueddeutsche.de/

War 2018 das Jahr der Cyberangriffe? Ein Rückblick aus dem CSOC

Emotet, Phishing und Co: Cyberangriffe 2018 im Rückblick

Das sagt unser IT-Sicherheits-Experte aus dem CSOC: Ulrich Zerlett im Interview

Tobias Vierneisel: Ulrich, das Jahr 2018 erscheint gefühlt als das Jahr der Cyberangriffe, oder kommt das einem nur so vor, weil in den Medien so viele Fälle hervorgehoben wurden?

Ulrich Zerlett: Ich persönlich würde das darauf zurückführen, dass wir uns immer mehr in Richtung Digitalisierung bewegen und sich dadurch auch die Berichterstattung in Verbindung mit dem Thema Cyberangriffe entwickelt. Das kann man definitiv als positiv betrachten, da dadurch die Sensibilisierung für das Thema Cyber Security angehoben wird – sowohl im gesellschaftlichen als auch im unternehmerischen Kontext.

Tobias Vierneisel: Ihr veröffentlicht wöchentlich das sogenannte Event der Woche und klärt technisch auf. Was genau steckt dahinter?

Ulrich Zerlett: Wir greifen aktuelle Themen auf oder eben entsprechende Angriffe, die wir in unserem CSOC identifizieren. Darin beschreiben wir zuerst kurz allgemein, worum es sich bei diesem Event bzw. Ereignis oder Vorfall im Detail handelt und was genau passiert. Zusätzlich geben wir eine technische Beschreibung, um weitere relevante Hintergrundinformationen bereitzustellen und besser erklären zu können, welche Art von Events unser CSOC erkennt.

Tobias Vierneisel: Mittlerweile melden sich bei uns Opfer von Cyberattacken, die die Gefährdung nicht erkannt und noch keine Maßnahmen gegen Cyberangriffe vorgenommen haben. Welches Procedere folgt dann – abgesehen davon, dass ihr ihnen die Mitgliedschaft im CSOC Hub ans Herz legt?

Ulrich Zerlett: Gehen wir hier einmal von einem der häufigsten Fälle aus: der E-Mail bzw. der Phishing-E-Mail. Diese sehen mittlerweile täuschend echt aus. Das heißt, der Absender stimmt scheinbar, die Anrede und andere Komponenten wie eine Signatur optisch ebenfalls. Erkennen kann man die falsche E-Mail im besten Fall oft nur noch an der Anrede oder der Sprache, nämlich in Form von falschem Satzbau oder Fehlern.

Wird in einer Phishing-Mail auf einen enthaltenen Link geklickt oder der Anhang geöffnet, so wird Schadsoftware ausgeführt und der Angriff war erfolgreich. Hier prüfen wir im ersten Schritt, welcher Schaden genau entstanden ist. Wurde die Festplatte verschlüsselt oder wurde am Betriebssystem etwas geändert?

In den meisten Fällen holen wir das System zu uns, um im Detail alle Komponenten einsehen und prüfen zu können – eine Schadensanalyse direkt am System mit Auswertungs- und Analyse-Tools. So können wir genau nachvollziehen, was passiert ist. Je nach Fall kommen unterschiedliche Tools zum Einsatz. Wenn die Schadsoftware die Festplatte verschlüsselt hat, ist das leider einer der schlimmsten Fälle. Hier recherchieren wir nach einem passenden Tool, um die Festplatte wieder zu dekodieren.

Finden wir ein passendes Tool, extrahieren wir die Daten, um diese wieder herzustellen und empfehlen dann dem Kunden, das System frisch aufzusetzen. Sonst riskiert der Kunde, dass Schadsoftware in irgendeiner Form noch vorhanden ist. Die Daten werden natürlich vor dem Import zusätzlich mit einem Virenscanner gescannt. Der Idealfall ist natürlich, dass der Kunde eine gute Backupstrategie hat und der Aufwand der Entschlüsselung nicht benötigt wird. Gibt es kein passendes Tool, kann nur noch ein Backup Rettung bringen ...

Tobias Vierneisel: Das BSI sagt in einer Pressemeldung: “Emotet gilt als eine der gefährlichsten Bedrohungen durch Schadsoftware weltweit und verursacht auch durch das Nachladen weiterer Schadprogramme aktuell hohe Schäden auch in Deutschland.” Wie seht ihr das?

Ulrich Zerlet: Da müssen wir leider zustimmen. Emotet ist besonders gefährlich, da er so neu ist und auf neuen Strukturen basiert. Wenn man verstehen will, wie eine Antivirensoftware funktioniert, die man auf einem System installiert hat, dann ist es häufig so, dass diese auf Basis von entsprechenden sogenannten Signaturen arbeitet. Das Muster der Schadsoftware muss bekannt sein, damit der Virenscanner diese auch identifizieren kann. Aber eben dadurch, dass Emotet so neu ist und sich von seinem Code immer weiterentwickelt, ist es für die Hersteller extrem schwierig hinterher zu kommen; im Prinzip ein Katz‘ und Maus-Spiel.
Emotet verhält sich leider komplett anders. Dadurch passiert es relativ häufig, dass ein System befallen wird. Hinzu kommt, dass Emotet sich am Anfang im Hintergrund versteckt und Daten sammelt: E-Mail-Accounts, Bankdaten oder Logins. Er versucht das System komplett auszuspähen und überträgt die Daten dann an einen Server. Sobald genug Daten gesammelt wurden, geht Emotet in den Angriffsmodus über, öffnet den PC für jegliche Angriffe, sodass weitere Schadsoftware installiert werden kann und zum Beispiel die Verschlüsselung der Festplatte erfolgen kann.

Ein befallenes System muss man aktuell auch auf jeden Fall komplett neu aufsetzen, da Emotet sich zu gut (und zwar an unterschiedlichen Stellen) versteckt, um ihn durch einen Scan zu finden.

Tobias Vierneisel: Was ist dein Fazit mit Blick auf die Events im CSOC und die Entwicklung im Bereich Cyber Security allgemein?

Ulrich Zerlett: Wir sind erst einmal sehr froh, dass wir in unserem CSOC einige der Fälle identifizieren können, indem wir den Datenverkehr überwachen. Wir können sehen, wenn entsprechende Verbindungen aufgebaut werden, die gefährlich sind. Dadurch können wir verhindern, dass weiterer Schaden entsteht. Wir können keine Angriffe verhindern aber dadurch, dass wir mit dem CSOC den Datenverkehr erfassen und scannen, können wir zeitnah und rechtzeitig unseren Kunden Rückmeldung geben, dass sich ein auffälliges System im Netzwerk befindet, das wir auch genau identifizieren können. Dieses System kann dann aus dem Netz genommen werden, um es anschließend zu analysieren.

Tobias Vierneisel: Vielen Dank Ulrich.

Cyber Security Experte Ulrich Zerlett

Ulrich Zerlett / Cyber Security Consultant & CSOC Security Scientist

Ulrich Zerlett ist Cyber Security Consultant und führt in diesem Zusammenhang Schwachstellenanalysen und Penetrationstests durch, analysiert Cyber-Angriffe und Events im CSOC und kümmert sich um betroffene Systeme und die Datenrettung bei Unternehmen.

KW5: CSOC-Event der Woche – SMB-Schwachstelle „EternalBlue“

KW5: CSOC-Event der Woche – EternalBlue-SMB Schwachstelle

Durchschnittliche CSOC-Gesamtevents pro Tag: 35.648
Detektionshäufigkeit:     1

Eventbeschreibung: SMB-Schwachstelle  / Kritikalität = hoch (8 / 10)

In dieser Woche berichten wir über eine SMB Schwachstelle, die mithilfe einiger Exploits ausgenutzt werden kann. Die beschriebene Schwachstelle wurde im März 2017 geschlossen, findet sich jedoch trotzdem häufig in Umgebungen mit Produktivsystemen vor.

Bei den Exploits „EternalBlue“, „EternalRomance“ sowie „EternalChampion“ handelt es sich um Exploits zum Missbrauch einer Sicherheitslücke in der SMB-Implementierung von Windows, welche mit dem Sicherheitsbulletin „MS17-010“ von Microsoft geschlossen wurde.
Ursprünglich wurde die Schwachstelle vom US-amerikanischen Geheimdienst NSA über einen Zeitraum von länger als 5 Jahren genutzt, um sich Zugang zu Systemen zu beschaffen. Kurz nach Bekanntgabe der Schwachstellen wurden die entsprechenden Exploits veröffentlicht.
In unserem Fall handelt es sich um einen Server, welcher bereits vorher entsprechend befallen war. Durch die Aufschaltung im CSOC konnte der auffällige Netzwerkverkehr erkannt werden: Detektiert werden konnte er, weil die Schadsoftware versuchte, sich auf weitere Systeme auszubreiten. Da die beschriebene Sicherheitslücke durch bereits veröffentlichte Windows Updates geschlossen wird, empfehlen wir dringend, immer die aktuellsten Sicherheitsupdates zu installieren.

Technische Beschreibung SMB Schwachstelle EternalBlue

Wie der AV-Hersteller Avira berichtet, finden sich allerdings nach wie vor mehr als 300.000 Rechner, die über ungepatchte Varianten der SMB1-Schnittstelle angreifbar sind. Die Dunkelziffer ist wahrscheinlich viel höher. Die verwundbaren Rechner werden immer wieder neu über die Lücke infiziert, obwohl Anti-Viren-Programme und auch die Trojaner immer wieder Schadcode entfernen. Da die zugrundeliegende Lücke allerdings ohne ein entsprechendes Windows-Update weiter klafft, stecken diese Geräte in einem nicht enden wollenden Infektionskreislauf fest.

KW4: CSOC-Event der Woche – Gefälschte vCard Dateien

KW4: CSOC-Event der Woche  - Gefälschte vCard Dateien

In dieser Woche berichten wir über die „elektronische Visitenkarte“ und wie sie manipuliert werden kann, um Schadcode auf ein System einzuschleusen.

vCards sind Dateien, welche Kontaktdaten jeglicher Art enthalten können. Ein User kann die Inhalte einer vCard per Mausklick zu seinen bestehenden Kontakten z.B. in einer E-Mail Software hinzufügen. Dateien des Typs .vcf lassen sich mithilfe eines Texteditors öffnen und beliebig bearbeiten. Diese Möglichkeit eröffnet einem potenziellen Angreifer einen Angriffsvektor, welcher durch seinen aktuell noch niedrigen Bekanntheitsgrad, oft nicht als solcher erkannt wird.

Die Bearbeitung durch einen Texteditor ermöglicht den Austausch eines möglicherweise enthaltenen Links zu einer Website, gegen einen Aufruf zur Ausführung einer anbei liegenden Datei. Diese kann Schadcode in jeglicher Form enthalten, welcher ohne einen für den User sichtbaren Hinweis und mit seinen aktuellen Rechten ausgeführt wird.

Zwar ist bei dieser Angriffsmethode eine Interaktion des vermeintlichen Opfers notwendig, jedoch werden .vcf-Dateien nur selten als mögliche Bedrohung anerkannt und stellen somit ein erhöhtes Risiko dar. Wir empfehlen daher stets, den Empfang einer vCard auf Plausibilität zu prüfen. Sollten sich dabei Unklarheiten ergeben, ist es ratsam, den Absender zu kontaktieren und zu klären, ob die empfangene vCard tatsächlich vom vermeintlichen Absender stammt.

Technische Beschreibung gefälschter vCard Dateien:

A zero-day vulnerability has been discovered and reported in the Microsoft's Windows operating system that, under a certain scenario, could allow a remote attacker to execute arbitrary code on Windows machine.

KW3: CSOC-Event der Woche – Ende der öffentlichen Updates für Java SE 8

KW3: CSOC-Event der Woche – Ende der öffentlichen Updates für Java SE 8

In dieser Woche berichten wir über das bevorstehende Ende der öffentlichen Java Updates für kommerzielle Nutzer, zunächst für Java SE 8.

Seit dem 15. Januar 2019 hat Oracle die Versorgung von Java SE 8 Installationen mit Updates eingestellt, die ohne eine kommerzielle Lizenz betrieben werden. Aufgrund des geänderten Lizenzmodells von Oracle empfehlen wir Unternehmen, nun eine Übersicht der genutzten und zukünftig lizenzpflichtigen Anwendungen zu erstellen, um das Risiko unerwarteter Softwarekosten zu vermeiden.

Zur leichteren Suche nach Installationen kann der „Java Usage Tracker“ genutzt werden: Das Tool ist im Installationspaket der kostenlosen Komponenten enthalten, kann jedoch nur mit einer kommerziellen Lizenz verwendet werden. Identifiziert werden unter anderem Java Versionen, Anwendungsnamen, der Typ der Anwendung (Applet, Befehlszeile etc.) und der Installationsort.

Alternativ zur Lizenzierung der bestehenden Java Installationen bietet sich auch die Option, auf OpenJDK umzusteigen. Bei OpenJDK handelt es sich um eine kostenfreie Implementierung der Java Platform Standard Edition.

Technische Beschreibung:

Java SE 8 is going through the End of Public Updates process for legacy releases.  Oracle will continue to provide free public updates and auto updates of Java SE 8, until at least the end of December 2020 for Personal Users, and January 2019 for Commercial Users.