WatchGuard veröffentlicht Internet-Security-Report: Ohne mehrschichtiges Sicherheitskonzept besteht Gefahr
Ergebnisse des Security-Reports
Fortsetzung des Artikels von Teil 1
Die wichtigsten Ergebnissen des Berichts sind in den nachfolgenden Abschnitten beschrieben. Zuvor ein Hinweis von WatchGuard: Leser sollten keinen der bösartigen Links aufrufen, die in diesem Bericht genannt sind. Damit diese nicht automatisch anklickbar sind, befinden sich Klammern um die Punkte in der URL gesetzt (z.B. www[.]site[.]com).
Zero-Day-Malware machte im zweiten Quartal mehr als zwei Drittel aller registrierten Malware-Attacken aus. Der Anteil von Angriffen, gesendet über HTTPS-Verbindungen, lag bei 34 Prozent. Organisationen, die nicht in der Lage sind, diese verschlüsselten Datenübertragungen zu überprüfen, agieren somit bei einem guten Drittel der darüber eingehenden Bedrohungen praktisch im Blindflug. Vor allem das Volumen der HTTPS-verschlüsselten Malware stieg in dem Zusammenhang an. Es hat sich auch gezeigt, dass sich der Gesamtanteil der verschlüsselungsbasierten Gefahren verringert. Das deutet darauf hin, dass immer mehr Administratoren die HTTPS-Prüfung in ihren Firebox-Appliances aktivieren – trotzdem zeigen die 34 Prozent, dass es in diesem Bereich durchaus noch Luft nach oben gibt.
Das Scam-Script Trojan.Gnaeus hat sein Debüt an der Spitze der WatchGuard-Top-10-Malware-Liste für das zweite Quartal gegeben und war für fast jede fünfte Malware-Erkennung verantwortlich. Gnaeus-Malware ermöglicht es Angreifern, mit verschleiertem Code die Kontrolle über den Browser des Opfers zu übernehmen. Anschließend erfolgt eine gewaltsame Umleitung der eingegebenen Web-Adresse zu Domains, die unter der Kontrolle des Angreifers sind. Berühmtheit erlangte darüber hinaus ein weiterer Popup-ähnlicher JavaScript-Angriff: J.S. PopUnder. Hierbei erfolgt über ein verschleiertes Script der Scan der Systemeigenschaften eines Rechners und die Blockade von Debugging-Versuchen. Zum Schutz gegen diese Art von Bedrohungen sollten Unternehmen ihre Anwender daran hindern, Browser-Erweiterungen aus unbekannten Quellen zu installieren. Darüber hinaus ist wichtig, dass sowohl die Browser als auch die Anti-Malware-Engine stets auf dem aktuellen Patch-Stand sind und nur seriöse Adblocker zum Einsatz kommen.
XML-Trojan.Abracadabra ist ein Neuzugang in der Liste der Top 10 der Malware-Erkennungen von WatchGuard. Seit dem erstmaligen Auftauchen der Technik im April hat sie rapide an Popularität zugenommen. Bei Abracadabra handelt es sich um eine Malware-Variante, ausgeliefert als verschlüsselte Excel-Datei mit dem Standard-Passwort für Excel-Dokumente „VelvetSweatshop“. Nach dem Öffnen entschlüsselt Excel die Datei automatisch, ein VBA-Makro-Script innerhalb des Arbeitsblatts lädt eine Datei herunter und führt sie aus. Aufgrund der Verwendung eines Standardkennworts umgeht diese Malware viele grundlegende Antiviren-Lösungen, da Excel die Datei direkt verschlüsselt und dann entschlüsselt. Unternehmen sollten daher niemals Makros aus nicht vertrauenswürdigen Quellen zulassen und Cloud-basiertes Sandboxing einsetzen. Damit lässt sich das Verhalten potenziell gefährlicher Dateien sicher verifizieren, bevor sie eine Infektion verursachen.
Eine sechs Jahre alte DoS-Schwachstelle (Denial-of-Service) in WordPress und Drupal tauchte im zweiten Quartal auf der WatchGuard-Liste der zehn volumenmäßig häufigsten Netzwerkangriffe auf. Diese Schwachstelle ist besonders schwerwiegend, da sie jede ungepatchte WordPress- und Drupal-Installation betrifft. Damit lassen sich DoS-Szenarien erzeugen, die von der zugrundeliegenden Hardware eine hohe CPU- und Speicherlast abverlangen. Trotz des hohen Volumens dieser Angriffe ließ sich der Fokus auf ein paar Dutzend Netzwerke in Deutschland eingrenzen. Da derartige DoS-Szenarien eine permanente Verbindung erfordern, haben die Angreifer ihre Ziele mit großer Wahrscheinlichkeit absichtlich ausgewählt.
WatchGuard nahm in der Liste der Top-Malware-Domains im zweiten Quartal zwei neue Ziele auf. An der Spitze stand die Website findresults[.]site, die einen C&C-Server für eine Dadobra-Trojaner-Variante verwendet. Dabei kommt eine verschleierte Datei samt zugehörigem Registry-Eintrag zum Einsatz. Dies stellt sicher, dass der Angriff beim Start des Windows-Systems erfolgt. Ein Benutzer meldete dem WatchGuard-Team zudem die Domäne Cioco-froll[.]com. Dahinter verbirgt sich ein C&C-Server, der die Asprox-Botnet-Variante unterstützt, welche oft in PDF-Dokumenten mitreist. Ein zugehöriger C&C-Beacon informiert den Angreifer, wenn der Übergriff erfolgreich war und einer Teilnahme am Botnetz nichts mehr im Wege steht. DNS-Firewalling kann Organisationen dabei helfen, diese Art von Bedrohungen unabhängig vom Anwendungsprotokoll zu erkennen und zu blockieren.
Weitere Informationen stehen unter zur Verfügung.
Seite 2 von 2
Faxploit: Check Point findet Schwachstellen in Faxprotokoll für umfangreiche Netzwerkangriffe
Dem Research-Team von Check Point Software Technologies Ltd. ist es durch die Ausnutzung von mehreren Schwachstellen in Faxgeräten gelungen, Malware-Angriffe zu starten. Betroffen sind über 10 Millionen Faxgeräte weltweit.
In den Beispielen nutzen die Forscher Multifunktionsgeräte mit integriertem Fax wie den HP OfficeJet Pro 6830 oder dem HP OfficeJet Pro 8720. Dabei waren die Geräte nur der Eintrittspunkt für Angriffe mit Schadsoftware. Nach Übernahme des Faxes konnten weitere Attacken auf vernetzte Systeme gestartet werden.
Check Point arbeitet mit mehreren Herstellern an einer Lösung, HP hat beispielsweise schon ein Update unter bereitgestellt. Weltweit gibt es über 45 Millionen Faxgeräte und gerade in Deutschland haben viele Unternehmen noch einen Anschluss. Jährlich werden global mehr als 17 Milliarden Faxe versendet.
Fast die Hälfte aller in Europa verkauften Laser-Drucker sind Multifunktionsgeräte mit integrierter Faxfunktion. “Viele Organisationen sind sich nicht bewusst, dass sie Faxgeräte im Netzwerk haben. Dabei sind diese häufig in Multifunktionsgeräten integriert,“ sagt Yaniv Balmas, Group Manager Malware Research bei Check Point. „Unsere Untersuchungen zeigen, wie Angreifer diesen vergessenen Angriffsvektor nutzen, um ganze Netzwerke zu übernehmen. Unternehmen müssen sich schützen. Dabei sollten sie unbedingt die neuesten Patches installieren und ihre Netzwerke segmentieren.“
Im Detail handelte es sich um gleich mehrere Exploits, bei denen Schadcode über ein manipuliertes Bild in den Speicher des Faxes geladen wird. Von dort kann sich die Malware dann an alle verbunden Geräte verteilen. Mögliche Szenarien sind Attacken mit Ransomware, Kryptominern oder Spyware.
Check Point hat die einzelnen Schritte der Exploit-Chain in einem Bericht dokumentiert. Erster Ansatzpunkt sind die Group 3 (G3) Faxprotokolle nach dem ITU T.30 Standard. Diese werden beispielsweise auch von Onlinefaxservices wie fax2email genutzt und machen diese ebenfalls potenziell angreifbar. Durch Reverse-Engineering der Firmware, Debugging von Prozessen und Anpassung von Schadsoftware demonstrieren die Forscher verschiedene Angriffsmöglichkeiten. Theoretisch ist das Einfallstor nicht auf Devices von HP limitiert, sondern kann auch auf Geräte anderer Anbieter angewendet werden.
Check Point rät Unternehmen, die Firmware ihrer Faxgeräte auf Updates zu prüfen und diese zu installieren, falls sie verfügbar sind. Außerdem macht es Sinn, das Fax in einem eigenen Netzwerksegment unterzubringen – ohne Zugriff auf wichtige Informationen und Server mit kritischen Daten.
Die Sicherheitslücken wurden von den Check Point-Forschern Yaniv Balmas und Eyal Itkin auf der DEF CON 26, der führenden Tagung für Sicherheit und Hacking, präsentiert. Für weiterführende Informationen zu diesen Erkenntnissen besuchen Sie bitte Check Points Unternehmensblog. Umfassende Details zu den von den Check Point-Forschern entdeckten Sicherheitslücken finden Sie in Check Points Research-Blog.
Kaspersky: Threat Heatmap visualisiert Bedrohungen
Kaspersky hat sein Threat-Intelligence-Portal um weitere kostenfreie Dienste erweitert, um Unternehmen eine schnelle Analyse von Bedrohungen zu ermöglichen.
Eine hinzugefügte Threat Heatmap visualisiere die Verteilung verschiedener Arten von Cyberangriffen und zeige die wichtigsten Bedrohungen für jede Region in Echtzeit an. Zudem hat man die Registerkarte Lookup aktualisiert. Sie biete nun weitere Daten für die Analyse von IP-Adressen, Domänen und URLs.
Das Portal soll Fachleuten die aktuellen Bedrohungsdaten bieten. Mit der Threat Heatmap können Sicherheitsanalysten schnell das Ausmaß und die Verteilung von Bedrohungen weltweit bewerten, etwa Ransomware, Exploits, Web-Bedrohungen, Spam oder Netzwerkangriffe, so Kaspersky. Für jeden Bedrohungstyp lasse sich dabei ein Zeitraum auswählen. Die Map visualisiere zudem die zehn Länder, die am häufigsten von schädlichen Objekten betroffen sind, sowie die zehn wichtigsten spezifischen Samples davon. Des Weiteren sollen sich damit die Bedrohungen darstellen lassen, die derzeit am aktivsten sind.
Die Suchfunktionen hat Kaspersky laut eigenen Angaben um zusätzliche Kategorien für die Analyse von IP-Adressen, Domänen und URLs erweitert, damit Fachleute mehr Details über verdächtige Kommunikationen erhalten. Für IP-Adressen gibt es die zwei Kategorien „Spam“ und „Compromised“. IP-Adressen mit dem Status „Spam“ sind diejenigen, die für den Versand von Spam-E-Mails verwendet wurden. IP-Adressen, Domains oder URLs in der Kategorie „Compromised“ sind in der Regel legitim, aber zum Zeitpunkt der Suchanfrage infiziert oder kompromittiert, so die weiteren Angaben. Dabei kann es sich um beliebte Webseiten handeln, in die beispielsweise ein Malware-Skript eingeschleust ist. Mit diesem Wissen sollen Sicherheitsanalysten überprüfen können, welche Person innerhalb ihrer Organisation die kompromittierte Website besucht hat, und die Daten für die Untersuchung von zukünftigen Sicherheitsvorfällen nutzen.
Die Erhöhung der Threat-Lookup-Quote für Restful API ermögliche es Cybersecurity-Analysten, die Analyse von Web-Adressen, Domänen, IP-Adressen und Hashes zu automatisieren. Durch die Integration der Bedrohungsdaten in ihr SIEM, SOAR, XDR oder ein anderes Sicherheitsmanagementsystem sollen sie ihre Untersuchungs- und Reaktionsprozesse beschleunigen können.
Zuerst erschienen auf lanline.de.
Please enable JavaScript to view the comments powered by Disqus.
