CYBER BEDROHUNGSLAGE FEBRUAR 2021 - Nathalie Mombelli Cyber Expert Consultant
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
CYBER
A R
BEDROHUNGSLAGE
PL
E M
E X
FEBRUAR 2021
B E
R O
Nathalie Mombelli
P
Cyber Expert Consultant
CTL | Februar 2021
INHALTSVERZEICHNIS
Monatliche Zusammenfassung
A R
PL
Beobachtete Trends im letzten Monat
E M
X
Thema des Monats
E E
Cyber Angriffe des Monats
OB
Tactics, Techniques & Procedures
PR
Gut zu wissen
CTL | Februar 2021 © Avectris AG | Folie 2
MONATLICHE ZUSAMMENFASSUNG 1/3
R
Zusammenfassung Empfohlene Massnahmen
A
Im Februar 2021 waren Intrusionen, Spams und Cryptojacking die • Multi-Faktor-Authentifizierung sollte für
L
Hauptbedrohungen. Der Cyber-Bedrohungsindex stieg um 10 %. Remote Zugriffe und SaaS-Dienste
implementiert werden
P
Nach dem "Compilation of Many Breaches"-Leak Mitte Februar
haben Account-Takeover-Angriffen durch fortgeschrittene Bots, • Prüfen Sie, ob Ihre Daten in der «Compilation
M
die Brute-Force und Credential Stuffing einsetzen, zugenommen. of Many Breaches» durchgesickert sind
E
Angreifer haben aktiv nach verwundbaren VMware-Servern • Falls zutreffend, patchen Sie anfällige ESXi-
X
gesucht, um eine kritische VMware vCenter-Schwachstelle für und vCenter-Server
Remotecodeausführung (CVE-2021-21972, Schweregrad 9.8)
E
• Vermeiden Sie die Exposition von VMware-
auszunutzen. VMware veröffentlichte diesen Monat ein Servern gegenüber dem Internet
E
Sicherheitsupdate und einen Workaround, sowie Updates für
B
weitere Sicherheitslücken in ESXi und vCenter.
O
Nutzer von Microsoft-E-Mail-Diensten sind Ziel einer neuen • Zwei-Faktor-Authentifizierung auf allen
Phishing-Kampagne. Diese Phishing-Attacken, von denen möglichen geschäftlichen und privaten
R
sich die eine als Online-Dokumentenfreigabe von FedEx Konten einsetzen
P
ausgibt und die andere vorgibt, Versanddetails von DHL • Verwenden Sie nicht dasselbe Passwort für
Express freizugeben, zielten darauf ab, die Anmeldedaten der mehrere Websites/Konten
Arbeits-E-Mail-Konten der Opfer zu erhalten. Diese Angriffe • Passwortverwaltungssoftware einsetzen
umgehen die nativen Microsoft-E-Mail-Sicherheitskontrollen. • Passwörter, die mit öffentlich zugänglichen
Informationen verknüpft sind, vermeiden
CTL | Februar 2021 © Avectris AG | Folie 3MONATLICHE ZUSAMMENFASSUNG 2/3
R
Zusammenfassung Empfohlene Massnahmen
A
Five Eyes haben einen Sicherheitshinweis • Vorübergehend Internetzugang zu und von Systemen, die
L
zu Cyber Angriffen herausgegeben, die auf die Software hosten, isolieren oder blockieren.
P
Organisationen abzielen, die die Accellion • Aktualisierung von Accellion FTA auf die Version
File Transfer Appliance nutzen. Weltweit FTA_9_12_432 oder höher.
M
wurden öffentliche Organisationen und • Untersuchung der Systeme auf bösartige Aktivitäten. Wenn
E
private Unternehmen (im Finanz, nötig, forensisches Disk-Image des Systems erstellen,
Gesundheitswesen, Telekommunikation,
X
Accellion-Benutzerkonten auf nicht autorisierte Änderungen
und Energie Sektor) angegriffen. Unter den überprüfen und Benutzerkennwörter zurücksetzen.
E
Opfern ist auch das Luftfahrtunternehmen
• Sicherheits-Token auf dem System zurücksetzen, inkl. "W1"-
E
Bombardier. Die Five Eyes Mitglieder
geben Indikatoren (IOCs) und Verschlüsselungs-Token, die durch SQL-Injection
B
Massnahmen zur Schadenminderung an. offengelegt werden könnten.
O
Microsoft beobachtete im vergangenen • Identifizierung / Behebung von Schwachstellen oder
R
Jahr einen dramatischen Anstieg von Fehlkonfigurationen in Web-Anwendungen und -Servern.
P
Web-Shell-Angriffen. Web-Shells • Korrekte Segmentierung des Perimeter-Netzwerks
ermöglichen es Angreifern, Befehle auf
• Aktivieren des Virenschutzes auf Webservern
Servern auszuführen, um Daten zu stehlen
oder den Server für andere Aktivitäten zu • Verwendung von Intrusion-Prävention-Geräten und einer
nutzen, während sie gleichzeitig Endpunktschutzlösung
Angreifern erlauben, in einer betroffenen • Konten mit lokalen oder Domänen-Admin-Rechten
Organisation zu bestehen. begrenzen © Avectris AG | Folie 4
CTL | Februar 2021MONATLICHE ZUSAMMENFASSUNG 3/3
R
Zusammenfassung Empfohlene Massnahmen
A
Phishing-Angriffe zielen zunehmend auf mobile Geräte • Mehrfaktor-Authentifizierung für den Zugriff
L
ab. 85 % der mobilen Phishing-Angriffe erfolgen auf Mitarbeiterkonten implementieren
P
ausserhalb von E-Mails. 17 % der Angriffe werden über • Überwachung der Netzwerke auf unbefugte
Messaging-Apps durchgeführt, 16 % über Social- Zugriffe oder Änderungen einsetzen
M
Networking-Apps, 11 % über Spiele. Mobile Phishing- • Sensibilisierung der Mitarbeiter über solche
E
Angriffe sind meist erfolgreicher als solche auf Desktops. Angriffe und Tipps, wie sie diese verhindern
Die eingeschränkte Benutzeroberfläche macht es
X
können geben (z.B. Betriebssystem des
einfacher, Menschen zu gefährlichen Aktionen zu
E
Geräts und die Apps aktuell halten, Nur Apps
verleiten. Ausserdem werden täglich neue mobile Apps aus vertrauenswürdigen Quellen installieren,
E
mit uneingeschränktem Zugriff zum Internet und lokalen
keine Login-Daten auf Seiten eingeben, die
B
Geräteinformationen veröffentlicht. Diese können wegen via einem Link in einer Email oder SMS
Programmierfehlern oder bösartigem Code unsicher sein.
O
geöffnet werden)
R
Forscher haben in mehreren TCP/IP-Stacks • Identifizierung der Geräte, auf denen ein
Schwachstellen entdeckt, bei denen ISNs (Initial anfälliger TCP/IP-Stack läuft
P
Sequence Numbers) fehlerhaft generiert werden, wodurch • Patchen der IoT/OT-Geräte, wenn möglich
TCP-Verbindungen eines Geräts für Angriffe offen sind. • Segmentierung des Netzwerks, um das
Dies war bei 9 von 11 analysierten Stacks der Fall. Nur lwIP Risiko zu minimieren
und Nanostack wurden nicht als verwundbar eingestuft.
Die meisten betroffenen Hersteller haben mittlerweile • Wenn Patchen nicht möglich ist, erwägen Sie
Patches oder Mitigations veröffentlicht. die Verwendung von IPsec
CTL | Februar 2021 © Avectris AG | Folie 5BEOBACHTETE TRENDS IM JANUAR 2021 (WELTWEIT)
Bedrohungstypen
Vergleich zu Vergleich zu kritisch
A R
Index der Gesamtbedrohung
L
Dezember 2020 Dezember 2019 hoch
(+ 10% im Vergleich zum letzten
P
mittel
Malware Monat)
tief
M
Intrusionen
Ransomware
XE In Europa waren die Hauptziele für Ransomware:
E
Spam
Phishing
B E
O
Web App Angriffe
Cryptojacking
IoT Malware
PR
CTL | Februar 2021 © Avectris AG | Folie 6THEMA DES MONATS 1/2
R
Interview mit einem Ransomware-Betreiber von LockBit
A
https://talos-intelligence-site.s3.amazonaws.com/production/document_files/files/000/095/481/original/010421_LockBit_Interview.pdf
L
Im September 2020 nahm Cisco Talos Kontakt zu einem Betreiber der Ransomware LockBit auf und befragte ihn über mehrere Wochen hinweg. Ihre
Erkenntnisse sind in einem Bericht zusammengefasst, der seltene, aus erster Hand stammende Einblicke in Ransomware-Aktivitäten gibt.
P
LockBit ist ein Franchise-/Partner-Programm. Partners müssen einen Auswahlprozess durchlaufen, um Teil des Programms zu werden. LockBit hat
eine Gewinnbeteiligungspflicht, die ein Partner für die ersten vier oder fünf Lösegelder erfüllen muss.
M
Die EU ist das lukrativste Gebiet, da die Europäer sehr besorgt über den Datenschutz und die EU GDPR sind. Daher sind die Opferorganisationen eher
E
bereit, Lösegeld zu zahlen, aus Angst vor rechtlichen Konsequenzen, wenn die Kompromittierung öffentlich bekannt wird.
X
Der Ransomware-Betreiber verwendet gängige Tools und Malware wie Masscan, Shodan, Cobalt Strike, Mimikatz und PowerShell sowie Tools zur
Informationsbeschaffung wie ZoomInfo, um mögliche Ziele zu recherchieren.
E
Das Dark Web bietet viele Informationen über potenzielle Ziele, die Ransomware-Betreibern helfen, den Wert ihres Ziels einzuschätzen. Die Quellen sind
E
entweder gestohlene Informationen aus früheren Angriffen oder von Insidern in der Zielorganisation, die diese Informationen direkt auf
B
Untergrundplattformen verkaufen.
Angreifer verschaffen sich einen operativen Vorteil durch White-Hat-Recherchen, die neue Schwachstellen aufdecken und die Zeitlücke zwischen der
O
Veröffentlichung einer Schwachstelle und dem darauf folgenden Patching ausnutzen. Der Erfolg ihrer Operationen ist auch darauf zurückzuführen,
dass sie agiler sind als Netzwerkadministratoren, indem sie sich über Sicherheitsneuigkeiten auf dem Laufenden halten, die in zukünftige Angriffe
R
einfliessen.
P
Um auf das Netzwerk des Opfers zuzugreifen, versuchen die Ransomware-Betreiber zunächst, Informationen über den Domain-Bereich des Opfers zu
erhalten, einschliesslich Details über das Autonome System, IP-Adressblöcke oder externe Zugangsgateways, die der Opferorganisation gehören.
Danach nutzen die Angreifer virtuelle private Server mit kugelsicheren Hosting-Providern und Rechenzentren, die sich in der Regel in Russland befinden
(da diese Provider in der Regel nicht auf Missbrauchsmeldungen reagieren), um den nach aussen gerichteten Domain-Bereich und IP-Block des
Netzwerks des Opfers zu scannen. Die Betreiber verwenden Scanner wie Masscan, Nmap und andere Add-ons wie RustScan, die die
Scangeschwindigkeit erhöhen.
CTL | Februar 2021 © Avectris AG | Folie 7THEMA DES MONATS 2/2
R
Nach der Identifizierung und Bestätigung verschiedener zugänglicher Dienste, wie z. B. RDP, besteht ein üblicher nächster Schritt darin, bereits
kompromittierte Konten zu verwenden, um sich bei der Opferorganisation anzumelden. Dies geschieht in der Regel durch die Suche nach den Daten
A
des Opfers im Dark Web und den Kauf dieser Daten, um zu versuchen, sich als Benutzer der Organisation anzumelden. Bei Erfolg erweitert der Betreiber
L
seine Privilegien, indem er eine bekannte Sicherheitslücke ausnutzt. Alle nützlichen Informationen über das Opfersystem werden gesammelt und mit
Open-Source-Tools wie winPEAS (Windows Privilege Escalation Awesome Scripts) und linPEAS ausgenutzt. Diese werden in erster Linie eingesetzt, um
P
Sicherheitsfunktionen zu deaktivieren, einschliesslich der Beschädigung oder Deaktivierung des Antivirentreibers und der Deaktivierung oder
Umgehung von Antivirenlösungen. Diese bösartigen Aktivitäten werden durch eine Reihe von C2-Befehlen initiiert.
M
Sobald die Persistenz im Netzwerk des Opfers hergestellt ist, werden eine Reihe von Folgeangriffen ausgeführt. Beispielsweise greifen die Angreifer
E
manchmal Link-Local Multicast Name Resolution (LLMNR) und NetBIOS Name Service (NBT-NS) an, um das gehashte Kennwort des Administrators zu
X
erhalten, das dann an die Cloud übertragen wird. Die Betreiber nutzen private Cloud-Dienste, die sie im Dark Web finden, um das Passwort zu knacken.
Manchmal werden bei diesem Vorgang auch Tools wie Google Colab und Colabcat (Tools, die das Schreiben und Ausführen von Python in einem Browser
E
ermöglichen) verwendet.
E
Gleichzeitig wird ein verschleierter Stager (mit dem Artifact Kit oder Shelter Pro) in den Arbeitsspeicher des Opferrechners abgelegt, so dass die Akteure
B
das Speichern von Informationen im Dateisystem vermeiden können. Danach werden Pentesting-Tools wie Cobalt Strike verwendet, um eine
Verbindung mit der Open-Source-Software C3 (Custom Command & Control) herzustellen (diese wird in der Regel von Red Teams verwendet).
O
Um den Stager mit der C2-Infrastruktur des Angreifers zu verbinden, werden mit Malleable C2 (im Fall von Cobalt Strike) verschiedene
R
Verschleierungsparameter eingesetzt, wie z. B. die Verschleierung des User-Agent-Feldes. Als Nächstes versuchen die Angreifer, mithilfe von
automatisierten Frameworks wie BloodHound (Open-Source-Tool für Pentester) so viele Informationen wie möglich über das Netzwerk zu sammeln.
P
Danach wird die Ransomware ausgeführt und die Betreiber warten darauf, dass die Opfer sie kontaktieren.
Während der befragte Ransomware-Betreiber in der Regel alleine arbeitet, kommuniziert er mit anderen Ransomware-Gruppen über Untergrundforen,
um Informationen über Taktiken, Malware-Entwicklung und finanziell ausgerichtete Vereinbarungen auszutauschen.
CTL | Februar 2021 © Avectris AG | Folie 8CYBER ANGRIFFE DES MONATS 1/3
R
• Angreifer suchen nach verwundbaren VMware-Servern – 25.02.2021
A
https://www.bleepingcomputer.com/news/security/attackers-scan-for-vulnerable-vmware-servers-after-poc-exploit-release/
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
L
Nachdem Sicherheitsforscher von Positive Technologies einen Proof-of-Concept (PoC)-Exploit-Code veröffentlicht haben, der auf eine
P
kritische VMware vCenter-Remotecode-Ausführungsschwachstelle (CVE-2021-21972) abzielt, haben Angreifer aktiv nach anfälligen
VMware-Servern im Internet gesucht. Die Scan-Aktivitäten wurden nur einen Tag, nachdem VMware die kritische Sicherheitslücke
M
gepatcht hatte, entdeckt.
Der Fehler wurde im Oktober 2020 privat an VMware gemeldet. VMware veröffentlichte am 26.02.2021 ein Sicherheitsupdate und stufte
E
die Schwachstelle mit einem Schweregrad von 9,8 von 10 ein. VMware stellte auch einen Workaround für Admins, die nicht sofort
X
aktualisieren können, zur Verfügung.
Eine erfolgreiche Ausnutzung dieses Fehlers ermöglicht es Angreifern, das gesamte Netzwerk einer Organisation zu übernehmen, da
E
VMware vCenter-Server zur Verwaltung von VMware-Lösungen, die in der gesamten IT-Umgebung eingesetzt werden, über eine einzige
E
Konsole verwendet werden. Ein böswilliger Akteur mit Netzwerkzugriff auf Port 443 kann dieses Problem ausnutzen, um Befehle mit
uneingeschränkten Rechten auf dem zugrunde liegenden Betriebssystem auszuführen, das vCenter Server hostet. Die VMware-
B
Schwachstellen wurden in der Vergangenheit für Ransomware-Angriffe auf Unternehmensnetzwerke ausgenutzt.
VMware hat weitere Updates für Sicherheitsschwachstellen in ESXi und vCenter veröffentlicht (CVE-2021-21973 und CVE-2021-21974).
O
• Five Eyes-Mitglieder warnen vor Accellion File Transfer Appliance Erpressungsangriffen – 24.02.2021
R
https://www.bleepingcomputer.com/news/security/five-eyes-members-warn-of-accellion-fta-extortion-attacks/
P
Vier Mitglieder von Five Eyes haben einen gemeinsamen Sicherheitshinweis zu laufenden Angriffen und Erpressungsversuchen
herausgegeben, die auf Organisationen abzielen, die die Accellion File Transfer Appliance (FTA) verwenden. Angreifer haben weltweit
Schwachstellen in der Accellion File Transfer Appliance ausgenutzt, um öffentliche Organisationen, sowie private Unternehmen im
Finanz, Telekommunikation, Gesundheit und Energie Sektor anzugreifen. Das Luftfahrtunternehmen Bombardier ist unter den Opfern.
Die Mitglieder der Allianz stellten Indikatoren für die Kompromittierung und Massnahmen zur Schadenminderung zur Verfügung und
warnten vor Angreifern, die die Opfer mit der Drohung erpressen, sensible Informationen, die von der Accellion-Appliance gestohlen
wurden, preiszugeben.
CTL | Februar 2021 © Avectris AG | Folie 9CYBER ANGRIFFE DES MONATS 2/3
R
• 10'000 Microsoft-Anwender im Visier von Phishing-Attacken mit FedEx und DHL als Thema – 23.02.2021
https://www.armorblox.com/blog/you-ve-got-a-phish-package-fedex-and-dhl-express-phishing-attacks/
A
Benutzer von Microsoft-E-Mail-Diensten werden von einem neuen Phishing-Betrug ins Visier genommen. Die beiden E-Mail-Attacken, von denen
L
sich eine als Online-Dokumentenfreigabe von FedEx ausgibt und die andere vorgibt, Versanddetails von DHL Express freizugeben, zielten darauf ab,
die Anmeldedaten der Arbeits-E-Mail-Konten der Opfer zu erlangen. Sie umgingen die nativen Microsoft E-Mail-Sicherheitskontrollen (Exchange
P
Online Protection und Windows Defender). Die Phishing-Seiten wurden auf kostenlosen Diensten wie Quip, Box und Google Firebase gehostet, um
Sicherheitstechnologien und Benutzer zu täuschen und die Links für legitim zu halten.
M
• Kia Motors America erleidet Ransomware-Angriff, 20 Millionen Dollar Lösegeld – 17.02.2021
E
https://www.bleepingcomputer.com/news/security/kia-motors-america-suffers-ransomware-attack-20-million-ransom/
X
Kia Motors America wurde Opfer eines Ransomware-Angriffs durch die DoppelPaymer-Gruppe. Kia Motors America litt unter einem landesweiten IT-
E
Ausfall, der ihre mobilen UVO-Link-Apps, Telefondienste, Zahlungssysteme, das Eigentümerportal und interne Websites, die von Händlern genutzt
werden, betroffen hat. Um das Datenleck zu verhindern und einen Entschlüsseler zu erhalten, fordert DoppelPaymer 404 Bitcoins, d.h. etwa 20
E
Millionen Dollar. Wenn das Lösegeld nicht innerhalb eines bestimmten Zeitrahmens gezahlt wird, erhöht sich der Betrag auf 600 Bitcoins ($ 30 Mio.).
B
DoppelPaymer ist dafür bekannt, unverschlüsselte Dateien zu stehlen, bevor sie Geräte verschlüsseln, und dann Teile davon auf ihrer Datenleckseite
zu veröffentlichen, um die Opfer weiter unter Druck zu setzen, damit sie zahlen.
O
• Mehr als 100 Finanzdienstleister von DDoS-Erpressungsangriffen betroffen – 09.02.2021
R
https://www.fsisac.com/newsroom/globalleaders und https://www.fsisac.com/intel-brief
FS-ISAC, die globale Community für den Austausch von Cyber-Intelligenz, die sich auf Finanzdienstleistungen konzentriert, gab bekannt, dass im
P
vergangenen Jahr mehr als 100 Finanzdienstleistungsunternehmen Ziel einer Welle von Distributed Denial of Service (DDoS)-Erpressungsangriffen
waren, die von demselben Bedrohungsakteur durchgeführt wurden. Die Kriminellen schickten Erpresserbriefe, in denen sie drohten, die Websites
und digitalen Dienste der Unternehmen zu stören. Der Bedrohungsakteur bewegte sich in Europa, Nordamerika, Lateinamerika und im asiatisch-
pazifischen Raum und traf innerhalb weniger Wochen Dutzende von Institutionen.
Das FS-ISAC hat das Global Leaders Award-Programm ins Leben gerufen. Diese Initiative zielt darauf ab, die Profile von Mitgliedern in der
Finanzdienstleistungs-Community zu schärfen, die aktiv Cyber-Intelligenz und Best Practices über Grenzen hinweg austauschen.
CTL | Februar 2021 © Avectris AG | Folie 10CYBER ANGRIFFE DES MONATS 3/3
R
• Sicherheitsfirma Stormshield erlitt Datenschutzverletzung und Diebstahl von Quellcode – 04.02.2021
A
https://www.zdnet.com/article/security-firm-stormshield-discloses-data-breach-theft-of-source-code/
L
Das französische Cybersicherheitsunternehmen Stormshield, ein wichtiger Anbieter von Sicherheitsdienstleistungen und
P
Netzwerksicherheitsgeräten für die französische Regierung, teilte mit, dass sich ein Bedrohungsakteur Zugriff zu einem seiner
Kundensupport-Portale verschafft und Informationen über einige seiner Kunden gestohlen hat.
M
Das Unternehmen berichtet ausserdem, dass es den Angreifern gelungen ist, Teile des Quellcodes für die Stormshield Network Security
E
(SNS) Firewall zu stehlen, ein Produkt, das für den Einsatz in sensiblen französischen Regierungsnetzwerken zertifiziert ist, als Teil des
Eindringens.
X
Das Unternehmen hat die französischen Behörden benachrichtigt, alle Kontopasswörter zurückgesetzt und die Sicherheit seines
E
Support-Portals verstärkt. Das Unternehmen hat auch die Sicherheit seines Stormshield Institute-Portals erhöht, über das Kunden auf
E
Schulungskurse zugreifen können.
B
• Grösste Sammlung von E-Mails und Passwörtern auf einem Hacking-Forum geleakt – 07.02.2021
O
https://securityaffairs.co/wordpress/114329/data-breach/comb-breach-3-2b-credentials.html
R
Es wird als der grösste Datenleck aller Zeiten bezeichnet. Die «Compilation of Many Breaches» (COMB) wurde auf einem beliebten
Hacking-Forum geleakt. Die Sammlung aggregiert Daten aus vergangenen Lecks, wie Netflix, LinkedIn, Exploit.in, Bitcoin und enthält
P
mehr als 3,2 Milliarden einzigartige Paare von Klartext-E-Mails und Passwörtern.
Experten haben hochgerechnet, dass COMB die Daten von fast 70% der weltweiten Internetnutzer enthalten würde (wenn jeder
Datensatz eine einzigartige Person wäre). Aus diesem Grund wird Anwendern empfohlen, sofort zu prüfen, ob ihre Daten in dem Leck
enthalten sind. Sie können auf der CyberNews-Website überprüfen, ob Ihre Daten geleakt wurden.
CTL | Februar 2021 © Avectris AG | Folie 11TACTICS, TECHNIQUES AND PROCEDURES 1/2
R
• Botnet nutzt Blockchain zur Verschleierung von Backup Command & Control Informationen – 24.02.2021
A
https://blogs.akamai.com/sitr/2021/02/bitcoins-blockchains-and-botnets.html
L
Forscher bei Akamai beobachteten kürzlich eine Technik, die von den Betreibern einer lang laufenden Cryptocurrency-Mining-Botnet-Kampagne
genutzt wird, bei der Bitcoin-Blockchain-Transaktionen ausgenutzt werden, um Backup Command-and-Control (C2)-Serveradressen zu verstecken.
P
Der Angriff beginnt mit der Ausnutzung von Schwachstellen für die Remotecodeausführung, die Software wie Hadoop Yarn und Elasticsearch
betreffen (z. B. CVE-2015-1427 und CVE-2019-9082).
M
• BazarBackdoor-Malware von TrickBot ist jetzt in Nim kodiert, um Antiviren zu umgehen – 11.02.2021
E
https://www.bleepingcomputer.com/news/security/trickbots-bazarbackdoor-malware-is-now-coded-in-nim-to-evade-antivirus/
X
Die getarnte BazarBackdoor-Malware von TrickBot wurde in der Programmiersprache Nim umgeschrieben, um wahrscheinlich der Erkennung durch
Sicherheitssoftware zu entgehen. Sobald ein Computer infiziert ist, wird BazarBackdoor verwendet, um den Bedrohungsakteuren Fernzugriff auf den
E
Computer zu ermöglichen, damit sie sich seitlich in einem Netzwerk ausbreiten können.
E
Nim ist nicht die einzige ungewöhnliche Sprache, die in letzter Zeit zur Erstellung von Malware verwendet wird. Golang ist zu einer weiteren
bevorzugten Sprache für einige Malware-Familien geworden, darunter die RobbinHood-Ransomware, und es wurde beobachtet, dass die neue
B
Vovalex-Ransomware in der Programmiersprache D geschrieben wurde. Dieser neue Trend ist vor allem darauf zurückzuführen, dass viele
Antivirenprodukte unkonventionelle Binärdateien nicht verarbeiten und charakterisieren können.
O
• Hacker verlangen nur 1.500 Dollar für den Zugriff auf durchbrochene Firmennetzwerke – 11.02.2021
R
https://www.bleepingcomputer.com/news/security/hackers-ask-only-1-500-for-access-to-breached-company-networks/
P
Nach Angaben des Threat Intelligence-Unternehmens Kela wurden in öffentlichen Unterhaltungen in drei Untergrundforen über 240 Angebote zum
Verkauf erster Netzwerkzugriffe gemacht. Ein Viertel davon kam ohne Preisschild, ein klares Indiz für Transaktionen, die in privaten Gesprächen
abgewickelt werden.
Für $1'500-$2'000 kann ein Käufer den Domain-Admin eines mittelgrossen Unternehmens mit ein paar hundert Mitarbeitern erhalten. Der
Durchschnittspreis im vierten Quartal lag jedoch bei $6'684. Kürzlich beobachtete Kela, dass Makler eine Reihe von Zugängen in einem Thread
anbieten und potenzielle Käufer auffordern, sie privat zu kontaktieren, um die gesamte Liste zu erhalten. Was die angebotenen Zugriffe betrifft, so
stehen an der Spitze der Liste Remote Desktop (RDP), VPN-basierte, Remote Code Execution Exploits und Citrix-Produkte.
CTL | Februar 2021 © Avectris AG | Folie 12TACTICS, TECHNIQUES AND PROCEDURES 2/2
R
• Web-Shell-Angriffe nehmen weiter zu – 11.02.2021
https://www.microsoft.com/security/blog/2021/02/11/web-shell-attacks-continue-to-rise/
A
Die neuesten Daten von Microsoft 365 Defender zeigen, dass Web-Shell-Angriffe zugenommen haben. Sie haben sich innerhalb eines Jahres sogar
L
fast verdoppelt. Dieser Anstieg kann darauf zurückgeführt werden, wie einfach und effektiv sie für Angreifer sein können.
Eine Web-Shell ist ein Stück Schadcode, das in typischen Programmiersprachen für die Webentwicklung (z. B. ASP, PHP, JSP) geschrieben wurde und
P
von Angreifern auf Webservern implantiert wird, um Remote-Zugriff und Codeausführung auf Serverfunktionen zu ermöglichen. Angreifer nutzen dafür
Schwachstellen in Webanwendungen aus. Um sie aufzuspüren, scannen sie das Internet (z.B. dank öffentlichen Scan-Schnittstellen wie shodan.io),
M
um Server zu finden, die verwundbar sind. Einmal installiert, ermöglichen Web-Shells Angreifern, Befehle auf Servern auszuführen, um Daten zu
stehlen oder den Server für andere Aktivitäten wie den Diebstahl von Anmeldeinformationen, laterale Bewegungen, die Bereitstellung zusätzlicher
E
Payloads zu nutzen, während sie gleichzeitig Angreifern erlauben, in einer betroffenen Organisation zu bestehen. Wenn sie unentdeckt bleiben, bieten
Web-Shells Angreifern eine Möglichkeit, weiterhin Daten aus den Netzwerken, auf die sie Zugriff haben, zu sammeln und zu monetarisieren.
X
• Android-Geräte im Matryosh-Botnet gefangen – 09.02.2021
E
https://blog.malwarebytes.com/malwarebytes-news/2021/02/android-devices-caught-in-matryosh-botnet/
Forscher haben ein neues Botnet entdeckt, das das Mirai-Framework wiederverwendet, um anfällige Android-Geräte in DDoS-Angriffe zu ziehen. Das
E
Botnet wird Matryosh (wie die russischen Schachtelpuppen) genannt, weil der verwendete Verschlüsselungsalgorithmus und der Prozess zur
Erlangung von Command & Control in Schichten verschachtelt sind. Matryosh verbreitet sich über die Android Debug Bridge (ADB), eine Diagnose- und
B
Debugging-Schnittstelle, die Port 5555 verwendet. Da ADB keine Authentifizierung erfordert, kann sich jeder mit einem Gerät verbinden, auf dem ADB
läuft, um Befehle auszuführen. Kurz gesagt, wenn ADB aktiviert ist, kann sich jeder aus der Ferne als Root mit dem Gerät verbinden.
O
Android-Benutzer sollten die "Entwickleroptionen" ihrer Android-Geräte deaktivieren. Firmen sollten ihre internen und externen Netzwerke nach Port
5555 scannen, um zu sehen, ob irgendwelche Geräte auf diesem Port lauschen, was ein Hinweis darauf sein könnte, dass die Geräte offen sind, um
R
ADB-Befehle zu empfangen.
P
• Mobile Phishing-Angriffe sind auf dem Vormarsch – 26.01.2021
https://cybernews.com/editorial/mobile-phishing-attacks-are-scary-and-on-the-rise-85-are-outside-of-email/
Phishing-Angriffe zielen zunehmend auf mobile Geräte ab. 85 % der mobilen Phishing-Angriffe erfolgen ausserhalb von E-Mails. 17 % der Angriffe
werden über Messaging-Apps durchgeführt, 16 % über Social-Networking-Apps, 11 % über Spiele. Mobile Phishing-Angriffe sind in der Regel
erfolgreicher als solche auf Desktops, da die eingeschränkte Benutzeroberfläche es leichter macht, Menschen zu gefährlichen Aktionen zu verleiten,
und es auf einem mobilen Gerät schwer ist, die tatsächliche URL zu überprüfen. Ausserdem werden täglich neue mobile Apps mit uneingeschränktem
Zugriff auf das Internet und lokale Geräteinformationen (wie Mikrofone, Kontakte, Kameras und GPS-Standorte) veröffentlicht. Diese können wegen
Programmierfehlern oder bösartigem Code unsicher sein.
CTL | Februar 2021 © Avectris AG | Folie 13GUT ZU WISSEN 1/2
R
• Mozilla Firefox 86 führt vollständigen Cookie-Schutz ein – 23.02.2021
https://blog.mozilla.org/security/2021/02/23/total-cookie-protection/
A
Das neueste Update von Firefox enthält «Total Cookie Protection». Diese Funktionalität schränkt die Fähigkeit von Dritten, die Bewegungen von
L
Benutzern im Web mit eingebetteten Elementen wie Skripten oder Iframes zu überwachen, ein. Somit können Tracking-Cookies den Benutzern nicht
mehr über mehrere Internetseiten hinweg folgen.
P
• Microsoft veröffentlicht Azure Firewall Premium in der öffentlichen Vorschau - 16.02.2021
https://www.bleepingcomputer.com/news/security/microsoft-releases-azure-firewall-premium-in-public-preview/
M
Azure Firewall ist wartungsfrei und bietet Kunden Schutz für ihre Azure Virtual Network-Ressourcen sowie uneingeschränkte Cloud-Skalierbarkeit
E
und nahtlose Bereitstellung. Die öffentliche Vorschau von Azure Firewall Premium fügt neue Funktionen hinzu, die in hochsensiblen und regulierten
Umgebungen benötigt werden. Alle neuen Funktionen werden ausschliesslich über Firewall-Richtlinien konfigurierbar sein. Dazu gehören u. a. TLS-
X
Inspektion, IDPS, URL-Filterung und Web-Kategorien.
• Google Chrome und Microsoft Edge erhalten Intel CET-Sicherheitsfunktion – 14.02.2021
E
https://sensorstechforum.com/de/intel-cet-feature-chrome-edge/
E
Microsoft Edge und Google Chrome werden bald die Intel CET-Sicherheitsfunktion unterstützen. Intels Control-flow Enforcement Technology (CET) ist
eine Hardware-Sicherheitsfunktion, die 2020 zu Intels CPUs der 11. Generation hinzugefügt wurde. Diese Funktion soll Programme vor Return
B
Oriented Programming (ROP)- und Jump Oriented Programming (JOP)-Angriffen schützen, die den normalen Ablauf einer Anwendung so verändern,
dass stattdessen der Schadcode eines Angreifers ausgeführt wird. Dazu gehören Angriffe, die die Sandbox eines Browsers umgehen oder Remote-
O
Code-Ausführung beim Besuch von Websites durchführen. Die von Intel bereitgestellte CET-Funktion blockiert diese Versuche, indem Ausnahmen
aktiviert werden, wenn der natürliche Fluss geändert wird.
R
• Intel behebt Sicherheitslücken in Windows- und Linux-Grafiktreibern – 11.02.2021
P
https://www.bleepingcomputer.com/news/security/intel-fixes-vulnerabilities-in-windows-linux-graphics-drivers/
Intel hat in den Februar-Patches 57 Sicherheitslücken behoben, darunter auch sehr schwerwiegende Schwachstellen in Intel-Grafiktreibern. Die
Grafiktreiber-Schwachstellen betreffen mehrere Intel-Prozessorgenerationen bis zur 10. Generation und wirken sich auf mehrere Windows- und
Linux-Treiberversionen aus. Die Sicherheitslücke mit dem höchsten Schweregrad (8.8/10) wird als CVE-2020-0544 geführt und ermöglicht
authentifizierten Angreifern die Eskalation von Privilegien über lokalen Zugriff. Microsoft hat ausserdem Intel-Microcode-Updates für Windows 10
20H2, 2004, 1909 und ältere Versionen veröffentlicht, um Probleme zu beheben, die aktuelle und frühere Windows 10-Versionen betreffen. Es ist
wichtig zu erwähnen, dass ähnliche Updates in der Vergangenheit aufgrund der Art und Weise, wie die Probleme gemildert wurden, zu
Systemabstürzen und Leistungsproblemen auf älteren CPUs geführt haben.
CTL | Februar 2021 © Avectris AG | Folie 14GUT ZU WISSEN 2/2
R
• Schwachstellen bei der ISN-Generierung beeinträchtigen TCP/IP-Stacks – 10.02.2021
A
https://www.forescout.com/company/blog/numberjack-forescout-research-labs-finds-nine-isn-generation-vulnerabilities-affecting-tcpip-stacks/
L
Forescout-Forscher haben in mehreren TCP/IP-Stacks Schwachstellen entdeckt, bei denen ISNs (Initial Sequence Numbers) nicht korrekt generiert
werden, wodurch TCP-Verbindungen eines Geräts für Angriffe offen sind. Um sicherzustellen, dass jede TCP-Verbindung zwischen zwei Geräten
P
eindeutig ist, müssen die ISNs zufällig generiert werden. Dies war bei 9 von 11 analysierten Stacks (uIP, FNET, picoTCP, Nut/Net, lwIP, cycloneTCP,
uC/TCP-IP, MPLAB Net, TI-NDKTCPIP, Nanostack und Nucleus NET) nicht der Fall. Nur lwIP und Nanostack wurden als nicht verwundbar eingestuft.
M
Die 9 betroffenen Hersteller wurden im Oktober 2020 informiert und die meisten von ihnen haben Patches oder Empfehlungen herausgegeben.
E
• Microsoft startet Phase 2 der Behebung der Netlogon Remote Code Execution Schwachstelle – 09.02.2021
X
https://support.microsoft.com/en-us/topic/how-to-manage-the-changes-in-netlogon-secure-channel-connections-associated-with-cve-2020-
E
1472-f7e8cc17-0309-1d6a-304e-5ba73cd1a11e
E
https://www.windowspro.de/news/netlogon-domaenen-controller-verweigern-verbindung-zu-unsicheren-geraeten/04704.html
Microsoft hat die Einführung eines permanenten Phase-2-Fixes für die Sicherheitslücke "Netlogon elevation of privilege" (CVE-2020-
B
1472) angekündigt, die im vergangenen August gepatcht wurde.
O
Windows-Domänencontroller werden in den Enforcement-Modus versetzt und blockieren anfällige Verbindungen von nicht konformen
R
Geräten. Mit anderen Worten: Windows- und Nicht-Windows-Geräte verwenden jetzt den sicheren Remote Procedure Call (RPC) mit dem
sicheren Netlogon-Kanal. Geräte können das Konto auch explizit zulassen, indem sie eine Ausnahme für jedes nicht konforme Gerät
P
hinzufügen.
• Vergleich von Secure Messaging-Apps – 26.01.2021 & 14.02.2021
https://www.securemessagingapps.com/ & https://protonmail.com/blog/whatsapp-alternatives/
Zwei unabhängige Experten haben Messaging-Apps unter Berücksichtigung wesentlicher Sicherheits- und Datenschutzaspekte
verglichen. Die empfehlenswertesten Anwendungen sind Threema (Schweizer Lösung), Signal und Element.
CTL | Februar 2021 © Avectris AG | Folie 15ANHÄNGE
A R
PL
E M
E X
B E
R O
P
CTL | Februar 2021 © Avectris AG | Folie 16MALWARE & ANGREIFBARE SYSTEME - SCHWEIZ
A R
PL
E M
E X
B E
R O
P
Diese Statistiken stammen aus einer Datenbank mit infizierten Diese Statistiken stammen aus einer Datenbank, die Systeme
Systemen in der Schweiz, die in den letzten 48h aktiv waren. in der Schweiz enthält, die potenziell für DDoS-Verstärkungs-
Diese Datenbank wird von verschiedenen Quellen gespeist, und Reflection-Attacken missbraucht werden können oder
meist von DNS-Sinkholes, die von verschiedenen anderweitig auf Protokollebene stark verwundbar sind.
Organisationen betrieben werden und mit denen sich infizierte
Clients verbinden.
CTL | Februar 2021 Quelle: https://www.govcert.ch/statistics/malware/ - 03.03.21 © Avectris AG | Folie 17TOP 10 RANSOMWARE & NETZWERK ANGRIFFE - SCHWEIZ
R
Top 10 Ransomware (letzter Monat)
L A
M P
XE
E E
Top 10 Netzwerk Angriffe gem. Intrusion Detection Scans (letzter Monat)
OB
P R
CTL | Februar 2021 Quelle: https://cybermap.kaspersky.com/stats © Avectris AG | Folie 18TOP 10 INFIZIERTE MAILS & SCHWACHSTELLEN - SCHWEIZ
R
Top 10 Infizierte Mails (letzter Monat)
LA
M P
XE
E
Top 10 Schwachstellen (letzter Monat)
E
OB
P R
CTL | Februar 2021 Quelle: https://cybermap.kaspersky.com/stats © Avectris AG | Folie 19Sie können auch lesen
