{"id":250802,"date":"2021-03-07T10:49:00","date_gmt":"2021-03-07T09:49:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=250802"},"modified":"2021-03-12T16:01:45","modified_gmt":"2021-03-12T15:01:45","slug":"it-sicherheit-alles-kaputt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/07\/it-sicherheit-alles-kaputt\/","title":{"rendered":"IT-Sicherheit: Alles kaputt?"},"content":{"rendered":"

Erleben wir aktuell eine Z\u00e4sur der IT-Sicherheit? In den letzten Jahren wurde deutlich, dass das Thema IT-Sicherheit einer Medusa gleicht: Eine Schwachstelle wird geschlossen oder ein Hacker eingebuchtet – und gleich tauchen neue Bedrohungen auf. Hat mich bewogen, mal einen kleine Rundblick zusammen zu stellen.<\/p>\n

<\/p>\n

Aufh\u00e4nger: Eine \u00dcberblicksmeldung von Varonis<\/h2>\n

\"\"Varonis ist ein Sicherheitsanbieter, der auch eine Datensicherheits-Plattform (DSP) anbietet. Diese will Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivit\u00e4ten, Telemetrie und Nutzerverhalten erkennen. So sollen Datensicherheitsverst\u00f6\u00dfe verhindert oder begrenzt werden, indem sie sensible, regulierte und veraltete Daten sperrt und einen sicheren Zustand der Systeme durch effiziente Automatisierung bewahrt . Ist die Eigenaussage der Firma. In meinem Postfach d\u00fcmpelt seit Anfang M\u00e4rz 2021 eine Info, dass deren neuer Threat Trends Report des Forensik-Teams ver\u00f6ffentlicht worden sei. Dieser zeigt die aktuellen Bedrohungen f\u00fcr Unternehmen und Organisationen weltweit. Die Ergebnisse und Beobachtungen basieren dabei auf durchgef\u00fchrten Vorfallsreaktionen, forensischen Untersuchungen und Reverse Engineering von Malware-Proben und zeigen eine gro\u00dfe Bandbreite an Techniken und Zielen auf: So verdreifachten sich im Vergleich zum Ende des Jahres 2020 Cloud-Angriffe von 9 auf gegenw\u00e4rtig 29 Prozent. Hier ein kleiner Abriss.<\/p>\n

EvilQuest: MacOS-Ransomware in der Entwicklung<\/h3>\n

EvilQuest (auch bekannt als ThiefQuest und Mac.Ransom.K) ist die dritte Ransomware-Variante f\u00fcr macOS-Ger\u00e4te, die in freier Wildbahn gefunden wurde. Im Gegensatz zu den meisten Ransomware-Varianten verwendet sie eine symmetrische Verschl\u00fcsselung, bei der der gleiche Schl\u00fcssel sowohl f\u00fcr das Ver- als auch das Entschl\u00fcsseln verwendet wird. Die Ransomware enth\u00e4lt auch eine Funktion zur Datenexfiltration, bei der drei externe Python-Skripte verwendet werden, die HTTP-Post-Anfragen senden k\u00f6nnen. Sie sucht zudem nach SSH-Schl\u00fcsseln und vorhandenen Zertifikaten.<\/p>\n

Das Varonis-Forensik-Team fand deutliche Hinweise, dass sich die Ransomware noch in der Entwicklung befindet und noch nicht in ihrer endg\u00fcltigen Form vorliegt. So ist beispielsweise die Entschl\u00fcsselungsfunktionalit\u00e4t noch nicht vollst\u00e4ndig implementiert. Entsprechend d\u00fcrfte die Gefahr f\u00fcr MacOS-Nutzer in Zukunft weiter steigen.<\/p>\n

Agent Tesla: Shopping-Erlebnis Malware-as-a-Service<\/h3>\n

Die Spyware Agent Tesla wurde bereits 2014 erstmals beobachtet und wird als Malware-as-a-Service vertrieben: Cyberkriminelle k\u00f6nnen bequem auf der \u201eoffiziellen\" Website eine Abonnementlizenz f\u00fcr die Schadsoftware erwerben. Die Seite ist \u00fcberaus nutzerfreundlich gestaltet und erinnert bewusst an legitime Seiten. Bislang wurde Agent Tesla meist \u00fcber Phishing-E-Mails verbreitet, um Daten von den kompromittierten Ger\u00e4ten zu stehlen. Neuere Versionen der Malware zielen auf gespeicherte Anmeldedaten ab und konzentrieren sich auf Passw\u00f6rter f\u00fcr VPN- und E-Mail-Dienste. Hintergrund hierf\u00fcr d\u00fcrfte die weite Verbreitung von Homeoffice-Arbeitspl\u00e4tzen in der j\u00fcngsten Zeit sein.<\/p>\n

Die neue Version missbraucht auch scheinbar legitime und vertrauensw\u00fcrdige Dienste wie Telegram als Plattformen zur Datenexfiltrierung, um traditionelle netzwerkbasierte Erkennungen zu umgehen.<\/p>\n

Drovorub: Fancy Bear zielt jetzt auch auf Linux<\/h3>\n

Im August 2020 warnten FBI und NSA erstmals vor der Linux-Malware Drovorub, die offensichtlich von der staatlich unterst\u00fctzten Hacker-Gruppe Fancy Bear (oft auch als APT28 oder Sofacy bezeichnet) entwickelt wurde. Die Varonis-Forensiker konnten sie nun in der freien Wildbahn nachweisen. Das hochentwickelte Post-Exploitation-Tool kombiniert drei verschiedene Dienstprogramme: ein Rootkit f\u00fcr den Betriebssystemkern, eine Portweiterleitungs- und Datei\u00fcbertragungskomponente sowie ein C2-Kommunikationsdienstprogramm. Die Software ist darauf ausgelegt, eigene Prozesse, Dateien und Netzwerk-Aktivit\u00e4ten vor allen anderen Prozessen auf dem System geschickt zu verstecken und kann entsprechend nur sehr schwer erkannt werden.<\/p>\n

StrongPity: Gezielte Angriffe am Wasserloch<\/h3>\n

Nachdem die 2012 erstmals gesichtete Malware StrongPity zuletzt im November 2020 entdeckt wurde, tauchte sie Anfang des Jahres erneut auf. Hinter ihr steckt die t\u00fcrkische Promethium-Gruppe, die gezielt Finanz- und Industrieunternehmen sowie Bildungseinrichtungen in Europa angreift. Die Schadsoftware wird \u00fcber den sogenannten Wasserloch-Ansatz verbreitet. Hier werden Webseiten, die von Mitarbeitern der ins Visier genommenen Unternehmen h\u00e4ufig aufgesucht werden (\u201eWasserl\u00f6cher\"), gezielt mit Malware infiziert.<\/p>\n

Wurde die Malware auf diesem Weg installiert, sucht sie gezielt nach bestimmten, vorher festgelegten Daten (etwa basierend auf Datei-Endungen). Die gefundenen Dateien werden dann in eine ZIP-Datei komprimiert, die dann verschl\u00fcsselt, in mehrere Teile aufgeteilt und als versteckt markiert wird. Diese aufgeteilten Dateien werden dann \u00fcber Web-POST-Anfragen an den C2-Server des Angreifers gesendet. Auf diese Weise wird eine Erkennung oft umgangen, da POST-Anfragen mit kleinen Nutzlasten in den meisten Unternehmen als normale Aktivit\u00e4ten gelten. Zuletzt werden die gesendeten Pakete von der Festplatte des Opfers gel\u00f6scht.<\/p>\n

Die h\u00e4ufigsten Angriffsvektoren im Januar<\/h3>\n

Mit 29 Prozent der untersuchten Vorf\u00e4lle stellen Insider-Bedrohungen gemeinsam mit Cloud-Angriffen die gr\u00f6\u00dfte Herausforderung f\u00fcr Sicherheitsverantwortliche dar. Malware, Brute-Force-Attacken und gezielte Angriffe (APTs) teilen sich mit jeweils 14 Prozent den dritten Platz.<\/p>\n

\"Angriffs-Vektoren\"
\nAngriffs-Vektoren, Quelle: Varonis<\/p>\n

Wenn die Brille blind ist<\/h2>\n

Der obige Report mag wohl begr\u00fcndet sein – alleine, ich habe Zweifel, ob der wirklich weiter f\u00fchrt. Wenn die Brille blind ist, siehst Du schlicht nix. Meine Beobachtung vermittelt mir das Gef\u00fchl, dass die gesamte IT-Sicherheit ziemlich kaputt ist. Wir sehen immer nur die Spitze des Eisbergs, die aber das \"kalte Grausen zeigt\":<\/p>\n