HiS-Cybersecurity Digest April 2019 veröffentlicht

Top Thema

Heute schon emotet? Malware rüstet auf

Malware wird technisch immer besser. Die Musterschüler unter den Schädlingen bedienen sich einer ganzen Batterie von Tricks und Techniken, um ihre Verbreitung zu erhöhen, ihre Erkennung zu erschweren und den Nutzen für ihre Hirten zu erhöhen – in der Regel zum Schaden der Opfer. Emotet ist ein solches Exemplar und möglicherweise der gefährlichste aktuell verbreitete Virus. Er verwendet zahlreiche Tricks, um seine Erkennung zu verhindern und einer Analyse vorzubeugen. Zunächst ist er polymorph, das heißt, der Code wird bei jedem neuen Abruf leicht verändert, um Erkennung durch signaturbasierte Virenscanner zu erschweren. Darüber hinaus erkennt Emotet, wenn er in einer VM ausgeführt wird. In einer solchen Sandbox wartet der Schädling zunächst ab.

Updates erhält Emotet über C&C-Server im Hintergrund. So kann der sogenannte Bot-Herder die Malware aktualisieren und zusätzliche Schadfunktionen nachladen. Auf einem infizierten Rechner können auch gestohlene Daten gespeichert werden, etwa fremde Bankzugangsdaten, Benutzernamen und Kennwörter oder E-Mail-Adressen.

Verbreitet wird Emotet vor allem über Spam-E-Mails. Er nimmt sich das Adressbuch vor und verschickt sich selbst an die gesamte Kontaktliste – mit Ihrem legitimen Absender. Daneben probiert Emotet auch Kennwörter im lokalen Netz durch oder nutzt Schwachstellen wie EternalBlue oder DoublePulsar, vergleichbar mit WannaCry und NotPetya. Die gefährlichen Anhänge können als Rechnung getarnt sein, als Lieferankündigung oder Bewerbungsschreiben. Selbstverständlich kann Emotet Betreffzeilen und Dateinamen variieren, sodass statische Erkennungsroutinen oft hinterherhinken.

So weit, so gut/so schlimm. Diese Techniken sind bekannt und werden von vielen Schädlingen genutzt, wenn auch meist nicht so konsequent zusammengeführt wie bei Emotet.

Vor Kurzem hat Emotet eine neue Qualität erreicht, als die Betreiber den Virus anwiesen, nicht nur die gestohlenen E-Mail-Adressen zu missbrauchen, sondern auch E-Mail-Inhalte – wohlgemerkt, auf anderen Rechnern gestohlene; der eigene Rechner braucht dafür noch gar nicht kompromittiert zu sein. Emotet ist jetzt nämlich in der Lage, nahtlos an eine tatsächlich stattgefundene Konversation anzuknüpfen. Absender stimmt, Thema stimmt, meine eigene letzte Antwort ist zitiert – da muss der Anhang doch legitim sein? Obwohl hier noch nicht mal ein Funken künstlicher Intelligenz im Spiel ist, haben wir es gleich mit einer neuen Stufe der Bedrohung zu tun, denn die Erkennung der bösartigen Nachricht durch den Nutzer wird so ungleich schwerer.

Quasi als Nebenwirkung verursacht Emotet ein unangenehmes Datenschutzproblem: Da E-Mail-Inhalte mit personenbezogenen Daten entwendet werden, muss häufig aufwändig geprüft werden, was wohin geflossen ist und welche Betroffenen zu informieren sind.

Die Stadt Allentown im US-Bundesstaat Pennsylvania hat vor einem Jahr mit direkter Hilfe durch das Incident Response Team von Microsoft Gesamtkosten von mehr als einer Million US-Dollar getragen, um eine Emotet-Infektion zu beseitigen. Das dürfte erst der Anfang gewesen sein.

https://www.netzwelt.de/betrugswarnungen/161022-cert-warnt-emotet-malware-spaeht-mails.html

Neuigkeiten

Das goldenste Glied der Kette – Supply-Chain-Angriff auf ASUS
Attacken auf die Lieferkette sind gefürchtet und in Mode, können sie doch das wirtschaftliche Angreifen einer Vielzahl von Zielen ermöglichen, die einzeln wesentlich schwerer zu knacken wären. Einem Akteur ist es nun gelungen, eine Backdoor an besonders prominenter Stelle einfließen zu lassen: Die Update-Software des taiwanesischen Mainboard-Herstellers ASUS verteilte diese bereitwillig auf die Computer von Hunderttausenden Kunden. Scheinbar wurden jedoch nur 600 „High Value Target“-Systeme per MAC-Adresse selektiert und zielgerichtet durch die Angreifer kompromittiert.
https://motherboard.vice.com/en_us/article/pan9wn/hackers-hijacked-asus-software-updates-to-install-backdoors-on-thousands-of-computers

HISOLUTIONS

HiSolutions Academy – Schulungen und Seminare: Trainings für Ihre IT-Sicherheit
Mitarbeiter sind eine bedeutende Einflussgröße für die Verwirklichung der institutionellen Informationssicherheit. Daher ist die kontinuierliche Sensibilisierung und Schulung Ihrer Mitarbeiter einer der entscheidendsten Faktoren für den Erfolg Ihres Informationssicherheitsmanagements. Zur Erreichung Ihrer IT-Sicherheitsziele ist es notwendig, dass jeder Mitarbeiter sich seiner Rolle bewusst ist und bei auftretenden sicherheitskritischen Situationen unterstützend agieren kann.
Alle Trainings der HiSolutions Academy finden Sie unter: https://www.hisolutions.com/academy/


Realitätsverlust: Zu wenige Organisationen wissen um Cyberrisiko

Einer Online-Umfrage des BSI zufolge sind sich viele Firmen und Institutionen des Risikos von Cyberattacken nicht bewusst: Nur jeder zwölfte Befragte sieht dies als relevante Gefährdung. Dabei war 2018 jedes dritte teilnehmende Unternehmen Opfer eines Angriffs geworden. Großunternehmen traf es mit 43 % noch häufiger. Bei 87 % der Betroffenen kam es dabei zu Betriebsstörungen oder -ausfällen. Zwei Drittel mussten zudem in Aufklärung der Vorfälle und Wiederherstellung investieren, 22 % erlitten einen Reputationsschaden.
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Cyber-Sicherheitsumfrage-100419.html

Übrigens betreibt das BSI seit Neuestem auch einen YouTube-Kanal mit Tipps und Hinweisen für Anwender sowie Neuigkeiten.
https://www.youtube.com/channel/UC_VgLyJQsChxKfDJcdI-Tcg


Wolkenkuckucksphish: Wenn Algorithmen den Zugang zur Cloud versperren

In der Cloud sind häufig viele Dienste daran beteiligt, ein Angebot zu realisieren. Die resultierende Komplexität kann einem auf die Füße fallen, etwa, wenn Dienste sich gegenseitig plötzlich nicht mehr vertrauen. Kürzlich war über Firefox und Chrome der Zugriff auf die Microsoft Cloud Deutschland nicht mehr möglich, da die Seite als Phishing eingestuft worden war.
https://www.golem.de/news/microsoft-die-ganz-normale-lautlose-cloud-apokalypse-1903-140023.html 

Daneben kann es natürlich auch zu ganz normalen Ausfällen von Managed Security Services kommen, mit entsprechenden Folgen: entweder Verlust des Schutzes oder aber Verlust der Verfügbarkeit des Dienstes.
https://www.heise.de/newsticker/meldung/Microsofts-Virenwaechter-Defender-MSE-und-SCEP-fuer-mehrere-Stunden-ausgefallen-4340708.html 


Mehr Aluhüte für Aluhütte: Konzern muss manuell steuern

Dass ein guter Notfallplan wichtig ist, zeigt der Angriff auf den norwegischen Aluminiumkonzern Hydro. Der musste über Wochen seine Produktion manuell steuern. Trotz Machtvakuums aufgrund eines nicht besetzten CEO-Postens kam die Firma mit geschätzten 40 Millionen Euro Schaden noch glimpflich davon: Zwar konnte sich die Malware LockerGoga über das Active Directory sehr schnell ausbreiten, jedoch waren keine passgenauen gezielten Schadensroutinen programmiert, die etwa die Öfen dauerhaft hätten beschädigen können. Hydro war schon vorher durch das Bekanntwerden von Bauxitverschmutzungen in Brasilien 2018 unter Druck. Ob der aktuelle Angriff damit in Zusammenhang steht, ist ungewiss.
https://www.insurancejournal.com/news/international/2019/04/09/523246.htm


VAITstanz: Kritische Versicherungen

Nach den BAIT (Bankaufsichtliche Anforderungen an die IT) im Herbst hat die BaFin nun auch die VAIT (Versicherungsaufsichtliche Anforderungen an die IT) um ein Kritis-Modul ergänzt. Dieses gilt ausschließlich für Versicherungen, die als Kritische Infrastruktur (Kritis) gewertet werden.
Das Modul beschreibt, welche Anforderungen zu berücksichtigen sind, um den Nachweis gemäß § 8a Absatz 3 BSI-Gesetz auf Basis der VAIT zu erbringen. Inhaltliche Änderungen an den bestehenden acht Modulen wurden nicht vorgenommen.
https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2019/meldung_190320_Ueberarbeitung_VAIT.html


Mr. KRACK Strikes Back: Designschwächen in WPA3 

Mathy Vanhoef hat wieder zugeschlagen. Der Sicherheitsforscher, der 2017 dem WLAN-Sicherheitsstandard WPA2 mit „KRACK“ (Key Reinstallation Attacks) einen schweren Schlag zufügte, hat sich nun den designierten Nachfolger WPA3 vorgeknöpft. Sein Urteil klingt zunächst vernichtend: "In light of our presented attacks, we believe that WPA3 does not meet the standards of a modern security protocol".
Trotzdem sieht er WPA3 immerhin noch als eine leichte Verbesserung gegenüber WPA2 an. Mit einem offenen Standardentwicklungsprozess wäre seiner Aussage zufolge allerdings noch deutlich mehr an Sicherheitsgewinn möglich gewesen.
https://papers.mathyvanhoef.com/dragonblood.pdf 


Endlich End-of-Life: Die X Leben des Windows XP

Nach 17 Jahren endete das Leben der letzten noch unterstützten Variante von Windows XP (englisch End-of-Life, EOL). Der sogenannte „Extended Support“ für Windows Embedded POSReady 2009 lief am 9. April 2019 aus. Damit ist Windows XP die mit Abstand langlebigste Windowsversion aller Zeiten – und wird dies vermutlich auch bleiben. Windows XP Home und Professional SP3 werden bereits seit 2014 nicht mehr mit Sicherheitsupdates versorgt, sind aber in bestimmten Anwendungsfeldern wie der Industrie immer noch gelegentlich anzutreffen.
https://www.techrepublic.com/article/windows-xp-dies-final-death-as-embedded-posready-2009-reaches-end-of-life/


GPS Y2K: Rollover Beethoven

Erinnern Sie sich an das gefürchtete Y2K-Problem? Nach zugegebenermaßen langer, am Ende aber trotzdem panischer Vorbereitung hatte es am 1.1.2000 doch nur wenige Organisationen ereilt. Nun ist ein weiterer, deutlich weniger beachteter „Rollover“ – also Überlauf eines Zählers, einer Uhr, die wieder von Null losläuft – für fast alle gut gegangen. Ganz Gallien? Nein! Eine von unbeugsamen Amerikanern bevölkerte Millionenstadt hat es verschlafen, sich auf den „GPS Rollover“ im satellitenbasierten Global Positioning System ausreichend vorzubereiten. Am 6. April um 19:59 Ortszeit fiel das New York City Wireless Network aus, und mit ihm die automatische Sammlung und Analyse von Autokennzeichen. Außerdem konnten die Verkehrsbehörde ihre Ampeln nicht mehr programmieren und das Kanalisations- und Grünamt nicht mehr mit Außenstellen kommunizieren. Zudem mussten in China etliche Flugzeuge vom Typ Boeing 777 und 787 am Boden bleiben. Auch ein KLM-Flug per Boeing 777 von Amsterdam nach Bogota wurde abgesagt. Zu allem Überfluss durften über 50 Wetterballone in Australien nicht starten.
https://www.nytimes.com/2019/04/10/nyregion/nyc-gps-wireless.html

-------------------------------------------------------------- 

LESETIPPS

Geschichte eines Bankraubs

Geschichten lassen sich häufig erst mit etwas zeitlichem Abstand als solche erzählen. So der bedeutende Hack des Interbank-Payment-Systems SPEI der mexikanischen Banken von 2018. Die Details zu kennen ist wichtig, um ähnliche Angriffe auf vergleichbare Strukturen in Europa und anderswo verhindern zu können.
https://www.wired.com/story/mexico-bank-hack/ 

Alternativ als Video in Form eines Vortrags von Josu Loza: www.rsaconference.com/videos/phantom-menace-episode-i-the-attack-that-undressed-the-mexican-banks-in-18


Soft Where Defined Network?

Die Security von SDN (Software Defined Networking) ist immer noch wenig untersucht, obwohl die (häufig implizite) Nutzung aufgrund der Cloudangebote explosionsartig zunimmt.
Folgendes technische Paper versucht sich an einer systematischen Sicherheitsanalyse, was bei SDN alles schiefgehen kann:
http://users.sec.t-labs.tu-berlin.de/~hashkash/papers/sosr18.pdf


Weniger Rhinozeros, mehr Chamäleon

Manche Texte spalten ihre Leserschaft. Folgendes Feature über neueste israelische Ideen zur Security lässt manchen die Haare zu Berge stehen, während andere hier spannende Anregungen finden zu Themen wie Prävention, Camouflage oder wahren Air Gaps.
https://www.bbc.com/news/business-47724438

--------------------------------------------------------------- 

Der nächste HiS-Cybersecurity Digest erscheint Mitte Mai 2019  – jetzt abonnieren!

Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate:
Übersicht aller bisher erschienenen HiS-Cybersecurity Digests.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: