Achtung Dynamit-Phishing: Gefährliche Trojaner-Welle legt ganze Firmen lahm

 

BSI, CERT-Bund und Cybercrime-Spezialisten der LKAs sehen eine akute Welle von Infektionen mit Emotet, die Millionenschäden anrichtet.

von Jürgen Schmidt / Heise Security

Eine Cybercrime-Gang legt derzeit in Deutschland ganze Firmen lahm. Die Schäden erreichen schon in einzelnen Fällen Millionenhöhe; der Gesamtumfang lässt sich noch nicht überblicken. Der Verursacher ist Emotet – ein Trojaner, der mit äußerst gut gemachten Phishing-Mails ins Haus kommt und dabei kaum von echten Mails zu unterscheiden ist.

Die Emotet-Mails mit Trojaner-Anhang stammen scheinbar von Kollegen, Geschäftspartnern oder Bekannten. CERT-Bund und Polizei-Behörden berichten von einer großen Zahl von Infektionen vor allem bei Unternehmen und Behörden; allein der Zentralen Ansprechstelle Cybercrime des LKA Niedersachsen liegen dutzende aktuelle Vorfälle bei Firmen vor.

Die Kriminellen haben sich offenbar Methoden und Techniken der staatlich geförderten Hacker-Gruppen ab geschaut: „Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden“ erklärt BSI-Präsident Arne Schönbohm die neuartige Qualität der Angriffe. Konkrete Vorbilder für die neuen Cybercrime-Aktivitäten sind Spear-Phishing und das sogenannte Lateral Movement nach einer Infektion.

Dynamit-Phishing

Beim Spear Phishing schicken die Angreifer sehr gut auf eine Zielperson zugeschnittene E-Mails, mit der Absicht, diese dazu zu verleiten, den Mail-Anhang zu öffnen. So dringen sie selbst in die gesicherten Netze von Regierungen und Rüstungskonzernen ein.

Emotet sammelt seit Monaten bei seinen Opfern Informationen darüber, wer in einer Firma mit wem kommuniziert. Darüber hinaus greifen die letzten Versionen auch den Inhalt der Mails ab. Damit lassen sich Phishing-Mails bauen, die nahezu perfekt an das normale Kommunikationsverhalten in einer Firma angepasst sind. Anders als beim Spear-Phishing werden die Mails jedoch nach wie vor automatisiert erstellt und in großer Zahl verschickt. Vielleicht sollte man angesichts Verbreitung und Wirkung also eher von „Dynamit-Phishing“ reden.

Angriff im Netz

Aktuelle Emotet-Mails enthalten eine Doc-Datei mit Makros. Deren Abarbeitung muss der Empfänger nach dem Öffnen in Microsoft Word erst gestatten – was offenbar immer wieder geschieht. Dann wird der Rechner über eingebettete PowerShell-Kommandos infiziert und weitere Schad-Software aus dem Internet nachgeladen.

Den erwähnten Schaden bis zum Lahmlegen der gesamten IT verursacht aber nicht die Erstinfektion. Vielmehr versucht sich Emotet nach dem Vorbild der APT-Hacker zunächst im Netz auszubreiten (Lateral Movement). Dazu nutzt es auf dem Rechner abgeerntete Zugangsdaten und auch einen Exploit, der aus den Geheimlabors der NSA stammt. Mit EternalBlue kaperten die US-Hacker mit Regierungsauftrag über Jahre hinweg ganze Firmennetze. Jetzt nutzen die Emotet-Gauner den Exploit und finden offenbar immer noch Opfer, die den von Microsoft bereitgestellten Patch nicht eingestellt haben.

Schutz

Um sich vor Emotet-Infektionen zu schützen, muss man auf eine Kombination von Awareness bei den Mitarbeitern und technischen Maßnahmen setzen. Ein Kernpunkt der Infektion ist die Ausführung von Makros, die für Doc-Dateien, die man per E-Mail erhält, nur selten wirklich erforderlich ist. Administratoren sollten dies etwa über Gruppenrichtlinien so weit wie möglich verbieten. In der frei verfügbaren Open-Source-Lösung LibreOffice funktionieren die Emotet-Makros übrigens nicht. Darüber hinaus sollte man Maßnahmen zur Stärkung des Sicherheitsniveaus im Firmennetz ergreifen, die die Ausbreitung verhindern oder zumindest einschränken. Das Einspielen aktueller Sicherheits-Updates ist die Grundvoraussetzung dafür. Das BSI gibt weitere konkrete Tipps zum Schutz vor Emotet für Bürger und im Rahmen der Allianz für Cybersicherheit auch für Administratoren von Firmennetzen. (ju)

 

7. IT-Sicherheitstag Mittelstand in Berlin und Brandenburg

„Die Fachkonferenz für Handwerk, Gewerbe und Verwaltung“

Digitalisierung der Wirtschaft ist zugleich ein IT-Sicherheit Thema.
Es reicht heute nicht aus, funktionierende Systeme zu bauen und zu betreiben. Vielmehr bedingen der Umgang mit Daten und ihr Schutz vor Missbrauch neue Konzepte, die die Informations- und Datensicherheit als notwendigen Bestandteil der digitalen Entwicklung betrachten.

Dadurch ergeben sich für Unternehmen weiterhin große Herausforderungen bei der Herstellung Ihrer eigenen Sicherheit für die Daten und Informationen. Unternehmen benötigen aber ein digitales Ökosystem, in dem sie sicher agieren können. Der Gesetzgeber hat dafür in der letzten Legislaturperiode neue Regelungen geschaffen, die erst nach und nach in der Umsetzung ankommen. Somit bleibt noch viel zu tun, um in der Wirtschaft insgesamt das Sicherheitsniveau zu heben und die Unternehmen für künftige Herausforderungen der Digitalisierung zu wappnen.

Überblick zur aktuellen Bedrohungslage
Wer die aktuelle Bedrohungslage kennt, kann sich besser vor Cyberangriffen schützen. Durch die langjährige Partnerschaft zu den Cyber-Competence-Center der Landeskriminalämter in Berlin und Brandenburg erhalten die Teilnehmer Einblicke in aktuelle Angriffszenarien und bekommen praxistaugliche Hinweise für den vorbeugenden Schutz der Computer und Internettechnik.

Einblicke in sichere IT-Technik
Die soft- und hardwarebasierter Produkte und Anwendungen müssen vertrauenswürdig funktionieren. Bereits bei der Planung und Entwicklung solcher IT-Systeme reicht es nicht mehr aus, dass sie irgendwie funktionieren und keiner diese versteht. Deshalb zeigen regionale Anbieter und Know-how Träger, welche Lösungen sinnvoll sind.

Hinweise zur Organisation von IT-Sicherheit
Die Geschäftsführungen der Unternehmen müssen die Daten- und Informationssicherheit als strategisches Thema mitdenken und zum Bestandteil einer guten Unternehmensführung werden lassen. Dazu zählen technische und organisatorische Maßnahmen sowie Investitionen in die Schulung und Weiterbildung der eigenen Beschäftigten. Das Thema IT-Sicherheit sollte heute zur Digitalkompetenz jedes Mitarbeiters vom AZUBi bis zum Geschäftsführer gehören. Die Teilnehmer erfahren, welche Awarenessmaßnahmen wirklich ankommen.

Termin und Ort:
Donnerstag, den 13. September 2018, 10:00 bis 17:00 Uhr
Technische Hochschule Wildau – Halle 17
15745 Wildau | Hochschulring 1

Mehr Informationen unter: http://www.it-sicherheitstag-mittelstand.de/

Malware-Angriffe auf Smartphones – die unterschätzte Gefahr

https://www.heise.de/security/solutions/telekom/malware-angriffe-auf-smartphones-die-unterschaetzte-gefahr/?source=nat_teas

Mobile Malware wird zu einer immer größeren Bedrohung. Jeden Tag werden 24.000 bösartige mobile Apps blockiert, allein 2017 wurden 27.000 neue Varianten von Schadsoftware registriert. Viele Smartphone-Nutzer wiegen sich jedoch noch immer in Sicherheit und setzen sich unnötigen Risiken aus. Dabei kann man mit einigen einfachen Verhaltensregeln und der richtigen Kombination von Schutzmaßnahmen Smartphones wirkungsvoll vor mobiler Malware schützen.

Die meisten Anwender sind sich der Gefahren beim Surfen auf PC oder Notebook bewusst und schützen sich dagegen. Nach Angaben des Branchenverbandes Bitkom haben rund 80 Prozent aller privaten Nutzer ein Antivirenprogramm installiert, mehr als zwei Drittel verwenden eine Firewall.
Mit mobilen Endgeräten gehen jedoch viele noch zu sorglos um. Obwohl acht von zehn Deutschen ein Smartphone besitzen, installieren nach einer Studie der Deutschen Telekom nur 53 Prozent eine Antivirensoftware, und lediglich 19 Prozent haben laut einer Umfrage von Kaspersky Lab die volle Kontrolle darüber, welche Zugriffsrechte sie Apps erteilt haben.
Das ist fahrlässig, denn mobile Endgeräte sind längst zum Angriffsziel für Cyber-Kriminelle geworden. Laut dem Sicherheitsexperten Symantec stieg die Zahl neu entdeckter Mobile-Malware-Varianten von 2016 auf 2017 um 54 Prozent. Die Zahl der Angriffe auf Smartphones und Tablets hat in Deutschland nach Berechnungen von Kaspersky Lab seit 2014 um 240 Prozent zugenommen.
Welche Typen von Mobile Malware es gibt
Angreifer versuchen mit unterschiedlichen Methoden an die Daten und das Geld ihrer Opfer zu gelangen. Folgende Klassen von Smartphone-Schadprogrammen lassen sich unterscheiden:
• Adware / Spyware: Im Google Play Store und im iTunes Store gibt es eine Vielzahl kostenloser Programme, die über eingeblendete Werbung finanziert werden. In der Regel sind diese Apps harmlos, und die Werbebanner stören kaum. Manche Apps sind jedoch mit sogenannter Adware verseucht, die ununterbrochen Pop-ups einblendet und Push-Mitteilungen sendet, die Browser-Einstellungen verändert oder ungefragt App-Symbole auf dem Startbildschirm ablegt. Manche Schadprogramme gehen noch einen Schritt weiter und senden unerlaubt Nutzerdaten wie Telefonnummern, E-Mail-Adressen oder die Browser-Chronik an den Server des App-Anbieters. Sie werden auch als Spyware bezeichnet.
• Banking-Trojaner: Smartphones können die Sicherheit von Transaktionen im Online-Banking erheblich steigern. Wenn eine Überweisung auf dem PC erstellt und dann über einen per SMS oder App erhaltenen Code auf dem mobilen Endgerät autorisiert wird, haben Hacker nur schlechte Chancen, den Vorgang zu fälschen. Banking-Trojaner versuchen, dieses Sicherheitskonzept zu unterlaufen, indem sie Banking-Apps oder die Benutzeroberflächen von Zahlungsdienstleistern wie PayPal fälschen. Die eingegebenen Daten landen dann nicht bei der Bank oder dem Dienstleister, sondern bei Kriminellen, die die Zahlungen auf eigene Konten umleiten.
• Ransomware: Diese Schadprogramme werden auch als Erpressungstrojaner bezeichnet. Sie sperren das befallene Gerät oder verschlüsseln die Inhalte. Der Anwender erhält nur gegen Zahlung eines „Lösegelds“ wieder Zugriff auf sein Smartphone und dessen Inhalte.
• Cryptominer: Kryptowährungen wie Bitcoin, Ethereum oder Monero erfreuen sich zunehmender Beliebtheit. Sie beruhen auf dem Blockchain-Verfahren, bei dem an eine bestehende Kette von Transaktionen kontinuierlich Daten angehängt werden, um neue „Münzen“ zu erzeugen. Die dafür notwendigen Berechnungen sind sehr aufwendig, sie benötigen viel Zeit und Rechenleistung. Cryptominer missbrauchen hierfür die Smartphones unvorsichtiger Nutzer. In der Folge steigt die Prozessorauslastung, das Gerät wird heiß, und die Batterielaufzeit sinkt dramatisch.
• Dialer / Premium-SMS-Versender: Schädlinge dieses Typs bauen Verbindungen zu kostenpflichtigen Hotlines oder teuren Kurznachrichtendiensten auf. Um unbemerkt zu bleiben, werden sie nur aktiv, wenn sich das Smartphone im Ruhezustand befindet und der Bildschirm dunkel ist.
• Mobile Phishing / Pharming: Über manipulierte Apps, E-Mails, Chat- oder Kurznachrichten versuchen Betrüger, Smartphone-Nutzer auf gefälschte Webseiten oder Eingabeaufforderungen zu locken und dort Passwörter, Banking-TANs, Kreditkartennummern und andere persönliche Informationen einzugeben. Mit diesem Wissen heben die Kriminellen dann Geld ab oder übernehmen sogar komplett die Identität des Angegriffenen.
Wie Mobile Malware auf das Smartphone kommt
Die meisten Anwender infizieren ihr Gerät selbst mit den Schädlingen, indem sie Apps aus dubiosen Quellen laden statt aus den offiziellen Stores von Google und Apple. Aber auch wer nur den Google Play Store oder den iTunes Store nutzt, ist vor Schadsoftware nicht sicher. Immer wieder gelingt es Kriminellen, infizierte Apps in die beiden Plattformen zu schleusen. Ein weiterer Infektionsweg sind Sicherheitslücken im Browser. Sie erlauben es, über präparierte Webseiten manipulierte Software auf das Gerät zu laden. Schließlich werden vor allem preiswerte Smartphones aus Fernost oft schon mit vorinstallierter Malware ausgeliefert. So enthalten nach einer Analyse des Sicherheitsspezialisten Dr. Web mindestens 40 mobile Endgeräte bereits ab Werk den Trojaner Android.Triada.231. Er nistet sich in eine Systemkomponente ein und kann so unbemerkt vom Nutzer Software laden und ausführen.
Warum iPhone-Besitzer nicht sicher sind
Viele Nutzer von Apple-Geräten wägen sich in trügerischer Sicherheit. Es stimmt zwar, dass der überwiegende Teil aller bekannten Malware für Android-Betriebssysteme entwickelt wurde, dennoch gibt es immer wieder Attacken auf iPhone-Nutzer. Mehrfach gelangten manipulierte Apps in den offiziellen iTunes Store, und Sicherheitslücken im Browser Safari ermöglichen es Kriminellen, Zugriff auf sensible Daten zu erhalten. Besonders gefährdet sind iPhone-Nutzer, die mithilfe eines sogenannten Jailbreaks die Sicherheitsmechanismen des Betriebssystems ausgeschaltet haben, um Apps außerhalb des offiziellen Apple-Stores laden zu können.
Wenn WLAN zur Sicherheitsfalle wird
Nicht nur der gedankenlose Download dubioser Apps ist gefährlich, auch das sorglose Surfen im WLAN kann zu Sicherheitsproblemen führen. Vor allem freie Netze, die ohne Passwort und Verschlüsselung genutzt werden können, sind problematisch. Hier können Dritte den kompletten Netzverkehr mitlesen und unter Umständen sensible Daten abfangen.
Welche Vorsichtsmaßnahmen Smartphone-Nutzer einhalten sollten
Folgende Maßnahmen reduzieren die Gefahr, Opfer einer Malware-Attacke zu werden:
• Laden Sie Apps nur aus den offiziellen Stores der Anbieter. Seien Sie vorsichtig bei neuen Angeboten, die noch keine oder wenige Nutzerbewertungen haben. Lesen Sie sich Bewertungen vor dem Download durch.
• Überprüfen Sie, welche Rechte sich die App einräumt. Seien Sie misstrauisch, wenn zwischen Funktion und angefordertem Zugang kein logischer Zusammenhang besteht, etwa wenn eine Kamera-App auf das Mikrofon des Smartphones oder auf Ihr Adressbuch zugreifen möchte.
• Halten Sie Betriebssystem und Browser immer auf dem neuesten Stand. Installieren Sie vor allem Sicherheits-Updates so schnell wie möglich.
• Meiden Sie WLAN-Angebote, deren Betreiber Sie nicht kennen. Nutzen Sie nach Möglichkeit die offiziellen Hotspots der Provider oder seriöse Angebote von Hotels und anderen Anbietern. Verschlüsseln Sie den kompletten Netzverkehr, indem Sie ein Virtual Private Networks (VPN) einrichten. Installieren Sie Apps, die gezielt vor den Gefahren in WLANs schützen.
Warum netzseitiger Schutz besser ist
Für Android und iOS gibt es eine Vielzahl von Antiviren-Apps und anderen Schutzprogrammen. Sie sind auf jeden Fall eine sinnvolle Ergänzung der beschriebenen Vorsichtsmaßnahmen, doch sie haben auch Nachteile: Viele sind sehr leistungshungrig und verlangsamen das Smartphone spürbar, vor allem wenn dieses über einen relativ schwachen Prozessor und wenig Arbeitsspeicher verfügt. Schließlich müssen diese Apps auch immer auf dem aktuellen Stand gehalten werden – ein zusätzlicher Aufwand. Wesentlich effektiver und einfacher ist es, wenn Ihr Netzbetreiber den Malware-Schutz bereits in sein Netz eingebaut hat. In diesem Fall gelangen die Schädlinge erst gar nicht auf Ihr mobiles Endgerät, und auch beim Surfen auf kompromittierten Webseiten sind Sie effektiv geschützt.
Fazit
Smartphones spielen im Leben vieler Menschen eine wesentliche Rolle. Sie enthalten wertvolle Daten und werden für sensible Aufgaben wie Banküberweisungen oder andere Finanztransaktionen genutzt. Viele Anwender vergessen jedoch, dass es sich bei den mobilen Endgeräten um – wenn auch sehr kleine – Computer handelt, die genauso angreifbar sind wie PCs oder Notebooks und die daher ebenso wie diese abgesichert werden müssen. Neben einigen Verhaltensregeln hilft dabei am besten ein kombinierter Schutz aus einem Abwehrschirm im Netz des Providers, der Ihr Smartphone effektiv gegen Gefahren aus dem Mobilfunknetz abschottet und Sicherheitslücken in Webbrowsern neutralisiert, sowie einer App, die beim Surfen im WLAN für Sicherheit sorgt. So ist Ihr Smartphone rundum geschützt, ohne dass Sie Kompromisse bei Bedienkomfort oder Leistung eingehen müssen.

6. IT-Sicherheitstag Mittelstand 2017

Der 6. IT-Sicherheitstag Mittelstand am 14.09.2017 gibt einen detaillierten Überblick zur aktuellen Bedrohungslage und macht deutlich, wie häufig und „verschlungen“ Angriffswellen auf jede Firma hereinbrechen können. Neben den klassischen Versorgern für Energie, Wasser und Kommunikation sind Branchen wie Transport, Finanzen, Gesundheit und Ernährungswirtschaft inzwischen Ziel der massiven Angriffe. Aber jeder kann Teil einer kritischen Infrastruktur […]

WannaCry & Co.: So schützen Sie sich

15.05.2017 18:05 Uhr Gerald Himmelein aus:

https://www.heise.de/security/meldung/WannaCry-Co-So-schuetzen-Sie-sich-3714596.html

Nach WannaCry ist vor dem nächsten Erpressungstrojaner. Was Gefährdete jetzt tun sollten, wie Sie sich vor Nachahmern schützen können und welche Optionen bleiben, wenn der Verschlüsselungstrojaner schon zugeschlagen hat.

Nur weil von der Urfassung von WannaCry keine akute Gefahr mehr ausgeht, dürfen sich Windows-Nutzer nicht einfach zurücklehnen. Noch am Wochenende wurden neue Versionen des Erpressungstrojaners gesichtet, die sich nach Aufbau einer Netzverbindung nicht mehr automatisch schlafen legen.

Es begann am Abend des 12. Mai 2017 mit Schreckensmeldungen aus Großbritannien: Der Krypto-Trojaner WannaCry verbreitete sich weltweit, legte hunderttausende nicht gepatchter oder veralteter Rechner lahm und richtete immensen Schaden an.

Wer noch Rechner mit Windows 8.0 oder gar Windows XP einsetzt, der darf sie auf keinen Fall ans Netz lassen – auch nicht ins lokale Netzwerk. Erster Schritt sollte sein, den Sicherheits-Patch von Microsoft über einen USB-Stick offline einzuspielen. In einem LAN mit anderen potenziell verseuchten Rechnern sollten Sie als nächstes alle Schotten dicht machen, indem Sie mit Firewall-Regeln grundsätzlich alle eingehende Verbindungen blockieren.

Es ist zu befürchten, dass andere Erpresser durch WannaCry auf den Geschmack kommen und ihre Trojaner ebenfalls „wurmifizieren“. Dabei setzen sie womöglich auf weitere Sicherheitslücken. Deshalb reicht es auch nicht, die von WannaCry zur Weiterverbreitung verwendeten Ports (445/139 sowie 3389) zu sperren.

Die Sicherheits-Basics

Halten Sie Ihr System auf dem aktuellen Stand, indem Sie stets alle Sicherheits-Updates umgehend einspielen. Im Zweifelsfall sollten Sie in den Windows-Update-Einstellungen nachsehen, ob womöglich ein Neustart für die Update-Installation ansteht.

Stellen Sie sicher, dass Ihr Virenschutz auf dem aktuellen Stand ist. Zwar fallen auch Virenscanner gelegentlich durch Sicherheitslücken auf, aber ein Verzicht auf Virenschutz ist auch keine Lösung. Der von Microsoft bereitgestellte Windows Defender ist hier das Minimum.

Backups bleiben weiterhin alternativlos. Dabei sollten Sie darauf achten, diese Daten auf einem externen Speichermedium zu sichern. Hängt das Medium zum Zeitpunkt des Trojanerbefalls am Rechner, verschlüsselt die Malware es gleich mit. Deshalb muss es nach der Sicherung umgehend abgemeldet und ausgeschaltet werden. Die wichtigsten Daten sollten auf einen USB-Stick passen, größere Datenmengen sichern Sie auf eine externe Festplatte.

Hygienemaßnahmen

Öffnen Sie keine verdächtigen Dateianhänge. Selbst wenn die Mails von Ihnen bekannten Adressen stammen, bietet das keine Sicherheitsgarantie – womöglich ist der Absender gefälscht oder dessen Rechner wurde kompromittiert. Oft stecken Trojaner in angeblichen Rechnungen.

Achten Sie darauf, dass Microsoft Office keine Makros ausführt. Benutzen Sie zum Betrachten von PDFs am besten einen PDF-Reader, der keine Skripte ausführt – Sumatra PDF ist eine zwar spartanische, aber sichere Alternative.

Starten Sie keine ausführbaren Dateien, die Ihnen nicht hundertprozentig vertrauenswürdig erscheinen. Überprüfen Sie deren Status sicherheitshalber mit einem Online-Scanner wie VirusTotal.

Lassen Sie keine Unbekannten „zu Wartungszwecken“ aus der Ferne auf Ihren Rechner zugreifen. Microsoft ruft keine Anwender aus heiterem Himmel an, um sie vor einem Malware-Befall zu warnen.

Mehr zum Thema auf:

https://www.heise.de/security/meldung/WannaCry-Co-So-schuetzen-Sie-sich-3714596.html

Dateilose Infektion: Einbruch ohne Spuren

Posted 13. Februar 2017 / Autor: Dennis Schirrmacher  www.heise.de/security

Sicherheitsforscher warnen, dass vermutlich die Carbanak-Gang einen neuen Trick verwendet, der viele Schutz- und Analyse-Programme ins Leere laufen lässt. Sie brechen in Computer und Netze ein, ohne dass dabei verdächtige Dateien auf der Platte landen.

Dem Sicherheitsteam einer Bank fielen Anomalien in ihrem Netzwerk auf, doch die Computer sind offensichtlich nicht mit einem klassischen Trojaner infiziert. Unter Mithilfe von Kaspersky machten sie sich auf die Suche nach dem Ursprung und diagnostizierten eine dateilose Infektion diverser Windows-Computer.

Normalerweise hinterlässt der Einbruch in ein Netz Spuren in Form von Trojaner-Dateien auf dem PC; häufig finden sich auch Tools, die etwa zum Abgreifen von Daten oder die Kommunikation genutzt wurden. Nicht so in diesen Fällen. Die Untersuchung der Festplatten förderte keine verdächtigen Dateien zu Tage. Erst bei einer Analyse von Registry und Arbeitsspeicher wurden die Forensiker fündig.

Schadcode im RAM

Konkret spürten Kasperskys Experten etwa eine Meterpreter-Payload im RAM auf, die wohl ein Metasploit-Exploit einer nicht näher beschriebenen Sicherheitslücke dort platzierte. Diese Payload startete die Powershell, die dann über WinAPI-Aufrufe Speicher reservierte und diesen mit Tools wie Meterpreter und Mimikatz bestückte. Darüber hinaus nutzten die Angreifer unter anderem die Administrations-Tools sc und netsh.

Antiviren-Software und auch viele Forensik-Tools setzen primär auf die Analyse von Dateien; sie haben es demzufolge in solchen Fällen schwer, da sie ins Leere greifen. Dass sich Schadcode nicht in einer Datei, sondern in der Windows-Registry versteckt, ist kein Hexenwerk – so etwas gab es bereits 2014. Doch jetzt kommt die dateilose Infektion offenbar im großen Stil bei gezielten Einbrüchen in Firmennetze zum Einsatz.

Weltweite Angriffe

Solche Übergriffe hat es Kaspersky zufolge in über 40 Ländern gegeben; bei über 100 Firmen entdeckte man bereits derartige Powershell-Skripte in der Registry – auch heute seien die Angreifer noch aktiv. Sie sollen es vor allem auf die Finanz- und Telekommunikationsbranche sowie Regierungsorganisationen abgesehen haben.

Aktuell verdächtigt Kaspersky die Hacker-Gruppen GCMAN und Carbanak. Carbanak sorgte Anfang 2015 für Aufsehen, als bekannt wurde, dass die Gruppe weltweit 1 Milliarde US-Dollar von Banken erbeutet hat. Dabei sollen sie die Arbeitsweise von Bankangestellten imitiert haben und blieben so lange unentdeckt.

IT-Sicherheitsgesetz: Was es für den Mittelstand bedeutet

 

Posted 16. Dezember 2016 / Autor: Vaclav Demling  www.mittelstand-die-macher.de

Ganz so neu ist es nicht mehr, das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme„. Doch viele Unternehmen schieben die Beschäftigung mit dem IT-Sicherheitsgesetz (IT-SiG) auf die lange Bank. Gerade Mittelständler scheuen die Auseinandersetzung mit der Regelung. Obwohl sie davon häufiger betroffen sind als vermutet – wenn auch nur indirekt. Zeit also, sich das IT-Sicherheitsgesetz mal genauer anzusehen.

Die am 25. Juli 2015 in Kraft getretene Vorschrift zielt auf Unternehmen, deren Arbeit für das Gemeinwesen und die öffentliche Sicherheit unabdingbar sind. Dabei handelt es sich um so genannte Kritische Infrastrukturen (kurz KRITIS). Dazu gehören die Branchen:

  • Energie
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen

An die 500.000-er-Regel denken

Neben dem Branchenkriterium gibt es auch ein Größenkriterium, das gerne als 500.000-er-Regel bezeichnet wird. Diese besagt, dass alle Unternehmen unter das IT-Sicherheitsgesetz fallen, die mehr als 500.000 Kunden bedienen oder von deren Versorgungsleistung mindestens 500.000 Personen abhängig sind. Diese Schwelle erreichen in manchen Fällen auch Mittelständler.

Gänzlich ausgenommen vom IT-Sicherheitsgesetz sind Kleinstunternehmer, die weniger als zehn Mitarbeiter beschäftigen. Und auch wenn Sie unter zwei Millionen Euro Jahresumsatz erwirtschaften, können Sie sich zurücklehnen. Alle anderen sollten sich mit dem IT-Sicherheitsgesetz auseinandersetzen. Mehr als die genannte Ausschlussdefinition gibt es nämlich nicht.

Was fordert das IT-Sicherheitsgesetz?

Der Gesetzgeber hat im Gesetz einige Pflichten für Betreiber kritischer Infrastrukturen vorgesehen. Gleichzeitig wurden die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) ausgeweitet.

  • KRITIS-Betreiber müssen ihre IT-Systeme nach dem aktuellen Stand der Technik absichern und mindestens alle zwei Jahre überprüfen lassen.
  • Schwerwiegende IT-Sicherheitsvorfälle bei KRITIS-Unternehmen sind dem BSI zu melden.
  • Telekommunikationsunternehmen haben ihre Kunden zu warnen, wenn ein Anschluss für Angriffe benutzt wird sowie bei der Beseitigung von Störungen zu beraten.
  • Betreiber von Webseiten, etwa Online-Shops, müssen Kundendaten und IT-Systeme besser schützen.

Die Vorgaben für KRITIS, die betroffene Unternehmen zu erfüllen haben, benötigen finanzielle und zeitliche Ressourcen. Branchenspezifische Details regeln Rechtsverordnungen. Solche Verordnungen hat das Bundesministerium des Innern (BMI) bereits für die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung erlassen. Den zweiten Teil der KRITIS-Verordnung für die Branchen Finanzen, Transport und Verkehr sowie Gesundheit wird das BMI voraussichtlich Anfang 2017 veröffentlichen.

KRITIS-Unternehmen haben nach dem Inkrafttreten von branchenspezifischen Verordnungen zwei Jahre Zeit, angemessene organisatorische und technische Sicherheitsmaßnahmen zu ergreifen. Das ist etwa durch ein Informationssicherheits-Managementsystem (ISMS) nach der internationalen Norm ISO 27001 möglich. Ein entsprechendes Zertifikat belegt, dass das ISMS auch tatsächlich funktioniert.

Verpflichtungen werden durchgereicht

Die 500.000-er-Regel könnte viele Unternehmen zur Untätigkeit verleiten. Allerdings wäre das ein großer Irrtum. Denn auch wenn Sie als kleinerer Mittelständler nicht direkt vom IT-Sicherheitsgesetz betroffen sein sollten, kann das Thema früher oder später auf Ihrem Tisch landen. Großunternehmen werden ihre Zulieferer zwingen, die strengeren Standards ebenfalls einzuhalten.

Direkt vom Gesetz betroffene mittelständische Unternehmen sowie indirekt betroffene Zulieferer und Dienstleister sollten möglichst schnell die eigenen IT-Sicherheitsvorkehrungen und die entsprechende Dokumentation überprüfen. Beziehen Sie Ihre Partner ein, kommunizieren Sie Ihre Nachweise und Zertifikate. Schaffen Sie Vertrauen.

Prüfen Sie zudem, inwieweit Sie Ihre Produkte und Dienstleistungen im Sinne des IT-Sicherheitsgesetzes anpassen müssen und welche finanziellen Mittel und zeitlichen Ressourcen Sie dafür benötigen. Planen Sie eine entsprechende Vorlaufzeit ein. Wenn Sie erst 2018 mit Maßnahmen anfangen, könnte es zu spät sein. Sie sollten die zweijährige Übergangsfrist nicht bis zum letzten Tag ausnutzen.

Wenden Sie sich an Experten

Die Folgen des IT-Sicherheitsgesetzes und der zugehörigen Verordnungen werden sich früher oder später auch auf den Mittelstand in seiner Funktion als Zulieferer und Dienstleister auswirken. Bei der Umsetzung, der für Sie relevanten Verordnung, sind Sie aber nicht völlig auf sich gestellt. Sie können und sollten die Beratung des BSI in Anspruch nehmen.

Weiterführende Links:

Readers of popular websites targeted by stealthy Stegano exploit kit hiding in pixels of malicious ads

By ESET Research posted 6 Dec 2016 – 12:00PM

exploit kit

 

Millions of readers who visited popular news websites have been targeted by a series of malicious ads redirecting to an exploit kit exploiting several Flash vulnerabilities. Since at least the beginning of October, users might have encountered ads promoting applications calling themselves “Browser Defence” and “Broxu” using banners similar to the ones below:

Stegano 2-y0vbp

These advertisement banners were stored on a remote domain with the URL hxxps://browser-defence.com and hxxps://broxu.com.

Without requiring any user interaction, the initial script reports information about the victim’s machine to the attacker’s remote server. Based on server-side logic, the target is then served either a clean image or its almost imperceptibly modified malicious evil twin.

The malicious version of the graphic has a script encoded in its alpha channel, which defines the transparency of each pixel. Since the modification is minor, the final picture’s color tone is only slightly different to that of the clean version:

Stegano Stegano

Using the known Internet Explorer vulnerability CVE-2016-0162, the encoded script attempts to verify that it is not being run in a monitored environment such as a malware analyst’s machine.

”If the script does not detect any signs of monitoring, it redirects to the Stegano exploit kit’s landing page, via the TinyURL service. The landing page loads a Flash file that is able to exploit three different vulnerabilities (CVE-2015-8651, CVE-2016-1019, CVE-2016-4117), depending on the version of Flash found on the victim’s system.

5-tgssh

Upon successful exploitation, the executed shell code collects information on installed security products and performs – as paranoid as the cybercriminals behind this attack – yet another check to verify that it is not being monitored. If results are favorable, it will attempt to download the encrypted payload from the same server again, disguised as a gif image.

The payload is then decrypted and launched via regsvr32.exe or rundll32.exe. Payloads detected so far include backdoors, banking trojans, spyware, file stealers and various trojan downloaders.

Technical analysis of the Stegano exploit kit

An earlier variant of this stealthy exploit pack has been hiding in plain sight since at least late 2014, when we spotted it targeting Dutch customers. In spring 2015 the attackers focused on the Czech Republic and now they have shifted their focus onto Canada, Britain, Australia, Spain and Italy.

In the earlier campaigns, in an effort to masquerade as an advertisement, the exploit kit was using domain names starting with “ads*.” and URI names containing watch.flv, media.flv, delivery.flv, player.flv, or mediaplayer.flv.

In the current campaign, they have improved their tactics significantly. It appears that the exploit pack’s targeting of specific countries is a result of the advertising networks the attackers were able to abuse.

We can say that even some of the other major exploit kits, like Angler and Neutrino, are outclassed by the Stegano kit in terms of referrals – ‘the websites onto which they managed to get the malicious banners installed. We have observed major domains, including news websites visited by millions of people every day, acting as “referrers” hosting these advertisements.

Upon hitting the advertising slot, the browser will display an ordinary-looking banner to the observer. There is, however, a lot more to it than advertising.

The steganography advertisement

In the vast majority of the cases, the advertisement was promoting a product called “Browser Defence” and it has been only recently when we started to detect banners promoting the software “Broxu”. However, for the sake of simplicity, and since the campaigns are practically identical (apart from the banner and its hosting domain, of course), only the “Browser Defence” campaign is analyzed below.

The advertisement was located at the browser-defence.com domain with a URI structure similar to the following (note the https):

hxxps://browser-defence.com/ads/s/index.html?w=160&h=600

6-pik7k

The index.html loads countly.min.js and feeds the initial parameters to the script. This countly, however, is not the stock library of the open source mobile & web analytics platform you would download from github. It is a heavily modified and obfuscated version, with some parts deleted and interlaced with custom code. This custom code is responsible for an initial environment check. Information about the environment is reported back to the server as XOR-encrypted parameters of the 1x1gif file, as captured in the image above.

The following information about the environment is sent:

systemLocale^screenResolution^GMT offset^Date^userAgent^pixelRatio

After that, the script will request the advertising banner. The server will reply with either a clean or a malicious version, most likely also depending on the previous environment check.

The script will then attempt to load the banner and read the RGBA structure. If a malicious version of the image was received, it will decode some Javascript and variables from the alpha channel

The steganography is implemented in the following way: Two consecutive alpha values represent the tens and ones of a character code, encoded as a difference from 255 (the full alpha). Moreover, in order to make the change more difficult to spot by naked eye, the difference is minimized using an offset of 32.

For instance, if the first few alpha bytes contained the values 239, 253, 237, 243, 239, 237, 241, 239, 237, 245, 239, 247, 239, 235, 239 and 237, they would decode to the word “function”. In this example, the first two alpha values 239, 253 would give us an ‘f’:

screen-shot-2016-12-06-at-09-59-34

A closer look at one of the clean banners and one with the Stegano code shows only a subtle difference.