Certified Security Operations Center GmbH

Nachweis von SzA – ein aktueller Stand

Für Betreiber von Energieversorgungsnetzen wurde mit dem IT-SiG 2.0 die Verpflichtung zum Aufbau und Nachweis von Systemen zur Angriffserkennung (SzA) eingeführt. Diese Pflichten wurden im § 11 Abs. 1e EnWG für den Einsatz von SzA und Abs. 1f für den Nachweis von SzA verankert. Für beides gilt als Stichtag der

Weiterlesen »

Bedrohung durch Interactsh Control Panel DNS: Hacker nutzen Entwicklertool als Angriffswerkzeug

Kürzlich beobachteten wir bei einem Kunden eine „Interactsh Control Panel DNS“-Anfrage von einem internen an das externe System mit der IP „46.101.25.250“, welche eine schlechte Reputation aufweist. Inhalt der Anfrage war die als schädlich bekannte Sub-Domain „caezcs32vtc000025v70gf8xscwyyyyyb.interact.sh“. Diese Umstände ließen auf einen unerwünschten Vorfall schließen. Entwicklertool wird zur Malware Mithilfe

Weiterlesen »

Aktualisierte Malware überlistet ESXiArgs Recovery Script

Aktuell ist eine neue Version einer Ransomware im Umlauf, die deutlich gefährlicher ist als bisher angenommen. Wie das IT-Portal heise online berichtet, nutzt diese neue Version eine Schwachstelle im ESXiArgs Recovery Script aus. Dieses Skript wird normalerweise verwendet, um virtuelle Maschinen auf VMware ESXi-Servern wiederherzustellen. Die Malware greift jedoch direkt

Weiterlesen »

EternalBlue-Exploit in Kunden-IT-Infrastruktur entdeckt

Kürzlich hat unsere Leitstelle bei einem unserer Kunden auf einem Client eine bekannte Schadsoftware entdeckt. Im Rahmen der Analyse fanden wir das „EternalBlue-Exploit“ Framework. Das Framework nutzt die Schwachstelle CVE-2017-0144  in der Windows-Implementierung des SMBv1-Protokolls in älteren Versionen von Microsoft-Betriebssystemen, das für den Datei- und Druckerzugriff in lokalen Netzwerken verwendet

Weiterlesen »

Citrix-Sicherheitslücke – bekannt, aber gefährlich

Die Citrix Sicherheitslücke CVE-2019-19781 ist bereits lange bekannt. Dennoch führt sie immer wieder zu Cyberangriffen. Da die erfolgreiche Ausnutzung dieser Lücke ein sehr ernstzunehmendes Risiko für die Datensicherheit darstellt und schnelle Maßnahmen erfordert, möchten wir heute wiederholt darauf eingehen, wie Angreifer vorgehen und wie Sie ihr Netzwerk vor möglichen Angriffen

Weiterlesen »

Man-in-the-Middle-Angriff – so können Sie sich schützen!

Als Man-in-the-Middle-Angriff wird ein Angriffsmuster bezeichnet, bei dem ein Angreifer versucht, die Kommunikation zwischen zwei Parteien abzufangen. Informationen können so mitgelesen oder manipuliert werden. Auch bei unseren Kunden stellen wir häufig solche Angriffsversuche fest. Daher möchten wir heute näher darauf eingehen, auf welche Weise Man-in-the-Middle-Angriffe durchgeführt werden und wie Sie

Weiterlesen »
error: