{"id":193514,"date":"2017-08-28T01:02:30","date_gmt":"2017-08-27T23:02:30","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=193514"},"modified":"2023-05-02T12:49:54","modified_gmt":"2023-05-02T10:49:54","slug":"cyber-sicherheit-28-august-2017","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/08\/28\/cyber-sicherheit-28-august-2017\/","title":{"rendered":"Cyber-Sicherheit (28. August 2017)"},"content":{"rendered":"

Zum Wochenstart noch ein \u00dcberblick \u00fcber diverse Sicherheitsinformationen (Ransomware, Miner, Spionage etc.), die mir die Tage unter die Augen gekommen sind.<\/p>\n

<\/p>\n

SyncCrypt: Ransomware in JPG-Dateien<\/h2>\n

\"\"Bei der Verbreitung von Schadsoftware suchen die Kriminellen nach Wegen, den Schadcode so zu verstecken, dass Virenscanner diesen m\u00f6glichst nicht finden. Bleeping Computer berichtet hier<\/a> \u00fcber eine Ransomware SyncCrypt, die den Schadcode in einer JPEG-Datei versteckt. Entdeckt wurde dieser Ansatz von Emsisoft-Sicherheitsforschern in einer E-Mail, die ein WSF\u2013Script-Programm (WSF = Windows Scripting File) als Anhang enthielt. Das Script zieht sich die Schadfunktionen aus der JPEG-Datei und verschl\u00fcsselt dann die Dateien der Festplatte und weist die Erweiterung .KK zu. Ein deutschsprachiger Beitrag findet sich bei heise.de<\/a>.<\/p>\n

Neuer Crypto-Miner f\u00fcr Linux<\/h2>\n

Sicherheitsforscher von Dr.Web haben einen Crypto-Miner f\u00fcr Linux mit dem Namen Linux.BTCMine.26 entdeckt. Dieser bef\u00e4llt Linux-Systeme \u00fcber offene Telnet-Ports. Der Miner sch\u00fcrft Monero-Kryptogeld und zielt auf Linux-Systeme mit x86-64 und ARM-Architektur. Die Urheber haben Humor, bekennen sie sich doch als Fans des Sicherheitsforschers Brian Krebs, wie Bleeping Computer hier schreibt<\/a>.<\/p>\n

Crypto-Miner infiziert Windows per EternalBlue und WMI<\/h2>\n

Eigentlich sollte man meinen, dass die EternalBlue\u2013L\u00fccke unter Windows auf allen Systemen gepatcht ist. Bleeping Computer berichtet im Artikel Cryptocurrency Miner Infects Windows PCs via EternalBlue and WMI<\/a> \u00fcber einen Crypto-Miner. Dieser bef\u00e4llt Windows-Systeme \u00fcber die EternalBlue\u2013L\u00fccke und WMI.<\/h4>\n

Telnet-Anmeldedaten f\u00fcr Tausende IoT-Ger\u00e4te<\/h2>\n

IoT-Ger\u00e4te kommen als Sicherheitsrisiko nicht aus den Schlagzeilen. Sicherheitsforscher Ankit Anubhav<\/a> von New Sky Security hat auf Pastebin eine Liste mit Zugangsdaten f\u00fcr IoT-Ger\u00e4te gefunden. Die Liste ist seit dem 11. Juni 2017 online, wurde \u00fcber 22.000 Mal abgerufen und enth\u00e4lt 33.138 Zugangsdatens\u00e4tze (IP-Adresse, Name und Kennwort) f\u00fcr die Ger\u00e4te. Wie Bleeping Computer hier berichtet, funktionieren 1.775 dieser Zugangsdatens\u00e4tze.<\/p>\n

\"Telnet<\/a>
\n(Quelle: Bleeping Computer)<\/p>\n

H\u00e4ufig wurden die IoT-Ger\u00e4te mit den Anmeldedaten \"admin:admin\", \"root:root\" oder \u00e4hnlich aufgesetzt. Insgesamt 143 dieser Kombinationen werden vom Telnet-Scanner des Mirai-Botnet verwendet. Es ist davon auszugehen, dass dessen Basis an befallenen Maschinen sich auf diese Ger\u00e4te ausgeweitet hat. Erg\u00e4nzung: Ein deutschsprachiger Beitrag findet sich inzwischen hier<\/a>.<\/p>\n

Onavo: VPN & Data Manager spioniert f\u00fcr Facebook<\/h2>\n

Auch ganz nett: Onavo<\/a> ist eine VPN-App, die es f\u00fcr Android und iOS gibt. Diese soll eigentlich Privatsph\u00e4re durch virtuelle private Netzwerkverbindungen sicherstellen, wenn der Benutzer z.B. \u00fcber offenen WLANs online geht. Bereits am 13. August 2017 berichtete das Wallstreet Journal<\/a> (Paywall), dass diese L\u00f6sung f\u00fcr Android die vom Benutzer abgerufenen Webseiten und Apps auswertet und an Facebook weiterreicht. Deutschsprachige Artikel zum Thema finden sich bei Zeit Online<\/a> oder in diesem Blog<\/a>.<\/p>\n

Millionen RDP-Endpunkte online erreichbar<\/h2>\n

Ein Scan des Internets durch Sicherheitsforscher von Rapid7 hat ergeben, dass \u00fcber 11 Millionen Ger\u00e4te \u00fcber 3389 offene TCP Ports erreichbar sind. Davon sind mehr als 4,1 Millionen Ger\u00e4te per RDP ansprechbar. Beim letzten Scan waren es nur 9 Millionen Ger\u00e4te, also eine Steigerung. Die gute Nachricht: 83% der gesannten RDP-Endpunkte verwendeten eine sichere CredSSP-Authentifizierung. Der Mensch ist wohl immer noch die Schwachstelle bei der Absicherung von RDP-Zug\u00e4ngen. Details zur Untersuchung finden sich hier<\/a>.<\/p>\n

Neue Spora Ransomware-Kampagne<\/h2>\n

Das Deep Instinct Research-Team hat vorige Woche eine neue Kampagne der Spora Ransomware festgestellt. Die Ransomware wird als Word-Anhang \u00fcber Spam-Mails verbreitet. Das Word-Dokument enth\u00e4lt zwei Varianten an eingebetteten JavaScript-Dateien. Dem Nutzer wird zwar beim Doppelklick auf ein Bild in der Word-Datei eine Sicherheitswarnung gezeigt. Ignoriert er diese, installiert sich die Ransomware und wird nach einer Verz\u00f6gerung von 36 bis 48 Stunden aktiv. Details haben die Sicherheitsforscher in ihrem Blog-Beitrag<\/a> beschrieben.<\/p>\n

Neue Arena Crysis Ransomware-Variante<\/h2>\n

Michael Gillespie<\/a> von ID-Ransomware hat eine neue Variante der Arena Crysis Ransomware entdeckt, wie Bleeping Computer hier berichtet<\/a>. Diese h\u00e4ngt beim Verschl\u00fcsseln der Dateien die Erweiterung .arena an. Details sind dem verlinkten Artikel zu entnehmen.<\/p>\n

Risiko Cloud: Zwei Funde<\/h2>\n

Wer Daten in der Cloud lagert, kann diese auch gleich offen verteilen. Zu h\u00e4ufig haben wir in der Vergangenheit berichten m\u00fcssen, dass Daten unverschl\u00fcsselt und ungesch\u00fctzt auf irgendwelchen Cloud-Server lagen. Spontan fallen mir die beiden Berichte \u00fcber geleakte US-W\u00e4hlerdaten (200 Millionen<\/a>, Juni 2017, und 1,8 Millionen<\/a>) ein, die auf Amazon Web Service-Servern lagerten. Auch diese 3 Millionen Daten<\/a> von WWE-Fans waren \u00f6ffentlich abrufbar. Und als Firmenmitarbeiter kann es dich am Rande treffen, wenn beispielsweise deine pers\u00f6nlichen Daten f\u00fcr Dienstreisen auf einer gehackten Plattform eingetragen sind. Beim Sabre-Hack wurden z.B. auch Daten von Google-Mitarbeitern erbeutet<\/a>.<\/p>\n

Bei neowin.net gab es vor einigen Tagen den Artikel Putting data online is boosting identity theft levels<\/a>, der sich damit befasst, dass das Auslagern von Daten auf Online-Speicher das Risiko eines Identit\u00e4tsdiebstahls befeuert. Und von Microsoft gibt es einen Report, der belegt, dass es mehr Angriffe auf Cloud-Benutzerkonten gebe. Details sind bei heise im Artikel Microsoft-Report: Mehr Angriffe auf cloudbasierte Konten<\/a> nachlesbar.<\/p>\n

Deine Bank wei\u00df alles \u2013 Kontendatenauswertung<\/h2>\n

Letzter Infosplitter, der mir bereits seit l\u00e4ngerem unter die Augen gekommen ist. Wer bei einer Bank ein Konto hat, muss damit leben, dass die auch seine Kontenbewegungen analysiert. Bei Spiegel Online findet sich dieser Artikel<\/a>, der sich mit der Praxis der Kontenauswertung besch\u00e4ftigt. Intern wird bei der EU zwischen Banken und Regulierern gerungen, wie viele Daten FinTechs von Bankkunden abrufen d\u00fcrfen, um Dienstleistungen anzubieten. Die FinTechs wollen alle Daten (auch Kontenbewegungen), die Banken f\u00fcrchten um ihr Informationsmonopol. Hintergrund: Banken sollen eine \u00f6ffentlich zug\u00e4ngliche Schnittstelle zur Verf\u00fcgung stellen, die es u.a. Multibanking-Anbietern wie Outbank erm\u00f6glicht, Finanzdienstleistungen europaweit einzubinden (siehe diesen Artikel und diese Pressemitteilung<\/a> der EU-Kommission). Aber auch Banken m\u00fcssen Dienstleister st\u00e4rker durchleuchten, wie man in diesem Artikel aus 2016 erf\u00e4hrt. Und noch etwas: Ganz frische Erkenntnis \u2013 die Deutschen z\u00f6gern bei Geldanlagen im Internet, wie heise.de hier<\/a> berichtet \u2013 also ein schwieriges Pflaster f\u00fcr FinTechs.<\/p>\n

PS: Infos \u00fcber den automatischen Datenaustausch in Steuersachen findet sich auf dieser Seite der Bundesregierung.<\/p><\/blockquote>\n

Und das Allerletzte<\/h2>\n

Hier noch einige Links zu weiteren Sicherheitsthemen, falls jemandem langweilig ist.<\/p>\n