zurück zur Übersicht

Low-Five: Top Hacks im Mai

Neue Tricks in altbekannten Angriffen (und umgekehrt)

In der Vergangenheit haben wir vor dem Sommer immer einen Anstieg der Angriffsaktivitäten beobachtet. Dieser Monat ist keine Ausnahme. Es gibt eine große Auswahl von neuen Tricks bei klassischen Angriffen. Parallel dazu sehen wir auch alte Tricks bei neuen Angriffen. Dazu geb es eine Hand voll gravierender Sicherheitslücken (mit eigenen Logos, toll), die Geschichte von Fancy Bear und dem FBI – dieser Monat war definitiv einer, an den wir uns Ende des Jahres erinnern werden.

1. Ransomware benutzt „Prozessdoppelgänger“

Prozess-Doppelgänger klingt zunächst recht ominös. Anfang Mai wurde eine Ransomware entdeckt, die diese Technik nutzt. Dabei wird eine dateilose Code-Injection durchgeführt, und zwar durch die Ausnutzung einer integrierten Windows-Funktion und einer nicht dokumentierten Implementierung des Windows Process Loader. So kann ein legitimes Programm im Speicher durch ein bösartiges ersetzt werden. Das Ergebnis ist, dass diese Malware die meisten modernen Antivirus-Lösungen und forensischen Tools umgehen könnte. Die Malware selbst ist eine SynAck-Variante, und es ist die erste, soweit wir wissen, die Prozess Doppelgänger nutzt. Der Angriff scheint auf bestimmte Länder zu zielen, indem es relativ plump die Liste der installierten Tastaturlayouts des Benutzers analysiert. Wenn Sie Layouts für die USA, Kuwait, Deutschland oder den Iran verwenden, sollten Sie aufpassen.

2. Efail: Vulnerability in PGP/S/MIME? Oder doch eher E-Mail Clients?

Am 14. Mai veröffentlichten Sicherheitsforscher „Efail“, einen Fehler, der eine kritische Schwachstelle in OpenPGP und S / MIME in Kombination mit den meisten E-Mail-Clients ausnutzt. OpenPGP wird für die End-to-End-E-Mail-Verschlüsselung verwendet, und Efail ermöglicht das Auslesen des Klartextes von verschlüsselten E-Mails. So viel ist sicher. Es wird etwas unübersichtlich, wenn eine hitzige Diskussion entsteht, wessen Schuld das ist und ob die Schwachstelle „richtig“ offenbart wurde. Die Forscher nutzten die Glaubwürdigkeit der EFF, um die Nachrichten schnell zu verbreiten. Was Einigen aufgestoßen ist, war die Investition in ein Logo und eine Website.

Außerdem war das OpenPGP-Team schon Monate vorher informiert worden, begnügten sich aber mit der Haltung „nicht unser Problem“, da ihrer Meinung nach die Fehler in den verwendeten E-Mail-Clients bestanden, nicht in der Verschlüsselung selbst. Das mag technisch gesehen auch stimmen, wie beispielsweise  Protonmail inzwischen zugegeben hat, aber das Du-bist-schuld-Spiel war eröffnet. Eine erste Lösung indess besteht darin, HTML-Rendering und Remote-Inhalte im Mail-Client der Wahl zu deaktivieren. Die Deaktivierung von PGP, wie von einigen vorgeschlagen, ist gleichbedeutend damit, dass eine Tür mit einem möglicherweise anfälligen Schloss komplett demontiert wird. Davor warnt nicht nur der gesunde Menschenverstand sondern auch SecureLink Expertin Carolin Thal in ihrer ausführlichen Analyse zu Efail.

Als Industrie sollten wir vielleicht ein bisschen an unserer Zusammenarbeit arbeiten. Die E-Mail an sich ist 47 Jahre alt und von Natur aus unsicher, PGP ist ein überaus umständlicher Add-On-Prozesses. Vielleicht sollten wir anfangen, an etwas grundsätzlich Besserem zu arbeiten.

3. VPNFilter

Während des größten Teils des Monats Mai blieb VPNFilter, ein IoT-Botnet, eine Bedrohung, aber am Ende hatte das FBI genug. Sie übernahmen die Kontrolle über das Botnetz, das über 500.000 Heimnetzwerkgeräte in 54 verschiedenen Ländern infiziert hatte. Die Malware verwendet einen mehrstufigen Ansatz, ist auf Zerstörung ausgerichtet und verfügt über einen Selbstzerstörungsknopf. Benannt nach dem Verzeichnis (/ var / run / vpnfilter) zielt die Malware hauptsächlich auf schlecht gesicherte, einfache Ziele: Geräte, die bekannte Sicherheitslücken aufweisen. Das FBI empfiehlt, den Internet-Router neu zu starten. Es wird die nicht persistente Malware eliminieren. Die Bedrohungsakteure hinter dem Botnet sind angeblich die mit Russland verbundenen Hacker der Gruppe APT28 (alias Fancy Bear). Die Gruppe steht auch im Verdacht, für den Angriff auf die Telekommunikation des Bundestags verantwortlich zu sein.

Forscht man weiter findet man heraus, dassGeräte zahlreicher Hersteller betroffen sind, und dazu geraten wird, das Gerät auf Werkseinstellungen zurückzusetzen – oder gleich ganz wegzuwerfen und ein Neues zu kaufen. Aber der eigentliche Haken an der Sache ist, dass die Malware nach Modbus-Verkehr sucht, der von SPS in ICS- und SCADA-Umgebungen verwendet wird. Einmal mehr zeigt sich der Trend, dass staatliche Akteure an der Störung von ICS-Umgebungen Interesse haben. Wenn kritische Infrastruktur keine billigen Consumer-Produkte verwendet, gibt es kein Problem, oder? ¯ \ _ (ツ) _ / ¯

4. Alte Bekannte, die keiner mehr sehen will: Ransomware & Banktrojaner

Wie wir gesehen haben, ist Ransomware immer noch unter uns. Wissen die Bösen nicht, dass das Kryptojacken ein viel einfacheres und weniger riskantes Geschäft ist? Tatsächlich gibt es eine neue Dharma-Variante namens Bip Dharma. Forscher hatten einen Entschlüsseler für die frühere Version erstellt, die bei der neuen leider nicht funktioniert. Um Ihre Dateien zurück zu bekommen, sollen Opfer eine E-Mail an eine bestimmte E-Mail-Adresse schicken. Dies ist nicht der opferfreundlichste Prozess. Offenbar haben Kriminelle heutzutage weniger Zeit sich um die Userexperience iher Opfer zu kümmern. Das ist auch gut so, denn wir würden ohnehin davon abraten zu zahlen. Beißen Sie in den sauren Apfel und starten Sie Ihren Wiederherstellungsprozess.

Ein neuer Trojaner „BackSwap“ fügt dem klassischen Ansatz, Geld von Banken zu stehlen, eine Innovation hinzu: Dieses Mal handelt es sich nicht um klassische Webinjections (das Einbringen und Manipulieren von Browserinhalten), sondern um das Simulieren von Tastaturdrücken, um die Entwicklerkonsole und Javascript zu Manipulieren. Die Angriffe zielen zum Zeitpunkt des Schreibens auf Polen, aber es ist erwähnenswert, dass Kriminelle immer noch in ihre alten Tricks investieren.

5. Das FBI veröffentlicht den IC3 report für 2017

Keine Bedrohung, ganz im Gegenteil, aber ein guter Überblick darüber, wie Internetkriminalität sich im Jahr 2017 entwickelt hat. Wir haben einen separaten Blogeintrag zu den Zahlen geplant. Das vrweg genommene Fazit ist, dass sich die Top-Attacken nicht viel verändert haben und die kriminelle Cash Cow nicht Ransomware sondern CEO-Betrug ist.

Bonus: Twitter rät 330 Millionen Usern dazu, ihre Passwörter zu ändern.

Ein Bug veranlasste Twitter für eine Weile, Passwörter im Klartext zu speichern. Sie haben das sogar selbst herausgefunden und inzwischen korrigiert. Aus einem „Höchstmaß von Vorsicht“ rät Twitter dennoch jedem Benutzer, das Passwort zu ändern. Es gibt durchaus einen deutlichen Unterschied zwischen „330 Millionen durchgesickerten Passwörtern“ und „aus Vorsicht, weil wir nicht hundertprozentig sicher sein können, ändern Sie Ihr Passwort“. Also keine Panik. Vor allem, weil Sie sich der Sicherheit bewusst sind, und daher 2-Faktor-Authentifizierung verwenden für den Login auf Ihrem Twitter-Konto verwenden, oder? Und mit 2FA ist Ihr Passwort, das Sie in einem Passwort-Manager speichern und das natürlich einzigartig ist, sowieso nicht mehr der entscheidende Faktor, oder?

Danke an Diana Selck für den CDC-Überblick, der eine große Inspiration für diesen Beitrag war.

Beachten Sie bitte auch unseren Threatbuster-Podcast, in dem Eward die Low-Five mit Experten aus der Security-Branche diskutiert. Sie finden die bisher erschienen Podcasts auf der Threatbuster Seite!

 

 


Links:

https://thehackernews.com/2017/12/malware-process-doppelganging.html

https://www.bleepingcomputer.com/news/security/synack-ransomware-uses-process-doppelg-nging-technique/

https://efail.de/

https://twitter.com/EFF

https://protonmail.com/blog/pgp-vulnerability-efail/

https://www.theregister.co.uk/2018/05/28/fbi_vpnfilter_hunt/

https://blog.talosintelligence.com/2018/05/VPNFilter.html

https://blog.talosintelligence.com/2018/06/vpnfilter-update.html

https://www.bleepingcomputer.com/news/security/backswap-banking-trojan-uses-never-before-seen-techniques/

https://securelink.net/resources/trending/criminal-movers-and-shakers-according-to-the-fbis-ic3/

https://www.theverge.com/2018/5/3/17316684/twitter-password-bug-security-flaw-exposed-change-now

https://securelink.net/resources/trending/1-4-billion-passwords-discovered-should-you-care/

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer