Die Aussichten für Reseller: Heiter bis wolkig

Die Aussichten für Reseller: Heiter bis wolkig

Die Herausforderungen sind groß, aber lohnend für Systemhäuser, die jetzt auf cloudbasierte Dienstleistungen setzen.

 

Dass Cloud Computing ein Randthema ist, das erst langsame Fortschritte macht, ist immer noch eine Vorstellung mancher Unternehmensleiter. Dabei ist die Technologie aus der Wolke längst schon viel weiter – sie ist bereits fest etabliert in den meisten Firmen. Und der Markt wächst weiter: Laut den Marktforschern von ISG wächst der deutsche Markt für Public Cloud Services bis 2020 um jährlich 26 Prozent. Dies bekommen auch immer mehr Systemhäuser zu spüren, allen voran die, welche bislang auf traditionelle Dienstleistungen setzen. Ein Umdenken wird daher immer dringlicher, um mit diesen Marktverschiebungen Schritt halten zu können.

 

Viele Reseller sind dabei auch auf einem guten Weg – sie erweitern ihr Portfolio um Managed Services wie etwa den Spamfilter Service oder Advanced Threat Protection von Hornetsecurity. Zudem ist auch eine Konsolidierung auf dem Channelmarkt zu beobachten, wie der Aufkauf von Exabyters durch Telcat zeigt. Beide sind übrigens Hornetsecurity-Partner! Dieser Zusammenschluss steht sinnbildlich für die Zukunft des IT-Channels, der sich nach neuen Betätigungsfeldern und Angeboten umschauen muss. Erstaunlich und gleichzeitig bezeichnend an dieser konkreten Kooperation sind die Zahlen, mit denen Telcat plant: Sie übernimmt die 30 Mitarbeiter von Exabyters und plant alleine für den Managed-Service-Bereich in den kommenden Jahren mit 150 Mitarbeitern.

 

Kosten, Zeit und Aufwand einsparen mit Cloud Services

 

Und dafür gibt es gute Gründe: Durch Cloud-Services können Unternehmen ihre Hard- und Software drastisch reduzieren, was neben Platz- und Geldersparnis auch eine deutliche Reduzierung des Zeitaufwands für Administatoren und IT-Leiter bedeutet. Diese können sich dadurch auf ihre Kernkompetenzen und -projekte konzentrieren und gleichzeitig ihre Abteilung wesentlich agiler gestalten, da sie die ausgelagerten Aufgaben einfacher skalieren können. Bedenken gegenüber Clouddiensten, wonach Datenschutz und Kontrollverlust Ausschlusskriterien sind, werden durch vertragliche Absicherungen und eine ständig steigende Professionalisierung von Seiten der Anbieter ständig weiter minimiert.

 

Bringen Cloud Services Unternehmen wesentliche Vorteile und sind sie in der Regel einfach implementierbar, bedeuten sie für Systemhäuser bei der Umstellung ihres Portfolios massive Einschnitte in die Organisation, Logistik und Abläufe. Da ist zunächst einmal die Umstellung von klassischen Verträgen mit Jahres- oder sogar Mehrjahreslaufzeiten auf monatliche Kontrakte. Damit einhergehend ändert sich natürlich auch der Einnahmefluss weg von großen Einmalzahlungen hin zu kleineren monatlichen Beträgen. Ist die Umstellung hierauf jedoch geschafft, bringt diese auch Vorteile durch einen kontinuierlichen Fluss an Einnahmen.

 

Umstellungen können hart, aber lohnend sein

 

Darüber hinaus muss sich auch der Servicegedanke in Systemhäusern weiterentwickeln. Kunden erwarten bei cloudbasierten Dienstleistungen eine andere Servicequalität. Diese äußert sich dahingehend, dass die Qualität der Dienste sehr hoch sein soll und im Idealfall eine ständige Erreichbarkeit und Verfügbarkeit gegeben ist – sowohl auf technischer als auch auf vertrieblicher Seite. Hierfür müssen Rechenzentrumskapazitäten ausgebaut oder sogar erst noch geschaffen werden, Mitarbeiter neu geschult und gegebenenfalls ein Schichtbetriebssystem eingerichtet werden. Viele Herausforderungen, die ein hohes Maß an Planung, Durchsetzungsvermögen und auch Kapitaleinsatz erfordern.

 

Doch die Mühen können sich lohnen: Auf bestehenden Technologien zu verharren und sein eigenes Systemhaus nicht fit für die Zukunft zu machen, hat sich nur selten gelohnt, auch wenn es in Zukunft gewisse Nischen gibt, die Reseller auch weiterhin bedienen können. Die Cloud und mit ihr die Disruption der bislang vorherrschenden Technologien ist nicht aufzuhalten. Dies sollten die Verantwortlichen im Channel nicht falsch einschätzen, sonst ergeht es ihnen wie Wilhelm dem Zweiten, dem folgendes Zitat nachgesagt wird: „Ich glaube an das Pferd. Das Automobil ist eine vorübergehende Erscheinung.

NanoCore – Kreative Verbreitung eines alten Bekannten

NanoCore – Kreative Verbreitung eines alten Bekannten

 

Es müssen nicht immer neu entwickelte Schadcodes sein, die Angreifer verwenden. Oftmals nutzen sie auch erprobte Malware für ihre Zwecke, wenn es für sie passend erscheint. Ungleich wichtiger in einem solchen Fall ist es dann natürlich, den Verbreitungsweg so zu wählen, dass sich die Schadsoftware unbemerkt beim Opfer platzieren lässt. Wir haben uns ein solches Vorgehen einmal etwas genauer am Beispiel NanoCore angeschaut.

 

NanoCore ist ein Remote Access Trojaner, der seit 2013 in verschiedenen Versionen als  vergleichsweise günstiges Fertigprodukt zu erwerben ist. Remote Access Trojaner sind eine sehr gefährliche Malwareart, die es Angreifern erlaubt, infizierte Systeme komplett aus der Ferne zu steuern und zu überwachen. 2015 wurde die Vollversion von NanoCore mit allen Plugins gecracked und ist seitdem in Untergrundforen kostenlos erhältlich.

 

Der Entwickler von NanoCore wurde letztes Jahr festgenommen und in einem spannenden Verfahren zu 3 Jahren Haft verurteilt. Von besonderer Bedeutung ist der Fall vor allem deshalb, da erstmals ein Entwickler eines Dual-Use-Tools verurteilt wurde, der das Tool nicht “für den Eigenbedarf” zum Hacken verwendet hat. Entscheidend für die Verurteilung war, dass der Entwickler die Software in Hackerforen angeboten hatte und wusste, dass manche seiner Kunden das Tool für illegale Zwecke einsetzen würden.

 

NanoCore ist noch immer nicht aus der Mode gekommen und treibt weiterhin sein Unwesen. Da das Tool jedoch sehr gut analysiert ist und daher leicht von Antivirenprodukten aufgespürt werden kann, müssen die Angreifer oft kreativ werden, um den Trojaner auszuliefern. Hierfür denken sie sich ausgefeilte Verschleierungsmethoden aus.

 

In der vergangenen Woche konnten wir einen Cyberangriff mit NanoCore beobachten, in dem auf kreative Art und Weise verschiedene Techniken kombiniert wurden, um den Remote Access Trojaner auszuliefern und zu installieren. Hierfür verwendeten die Angreifer eine Kombination aus Phishing, einem selbstextrahierenden Winrar-Archiv sowie dem legitim nutzbaren Administrationswerkzeug AutoIT.

 

Auslieferung per Phishingmail

 

Die initiale Phishingmail gaukelt dem Empfänger ein besonderes Geschäftsangebot vor, das in einem mitgelieferten PDF namens “inquiry.pdf” im Anhang stehen soll. Durch die Verwendung vollständiger Kontaktinformationen soll die Mail überzeugender wirken. Da diese Informationen häufig echt sind, haben wir sie im nachfolgenden Screenshot ausgeschwärzt.

 

Beispiel Phishing Mail

Beispiel für eine Phishing Mail

 

Das anhängende Phishing-PDF sieht aus wie ein Link zu Dropbox, beinhaltet aber eine URL, über die eine Archivdatei aus einer anderen Quelle heruntergeladen wird.

 

Fake Dropbox-Seite zu Malware-Link

Fake Dropbox-Seite zu Malware-Link

 

In diesem “inquiry.zip” ZIP-Archiv befindet sich die Datei “inquiry.scr”. Die Dateiendung “scr” ist nur eine Alternative zu “exe” und wurde früher für ausführbare PE-Dateien verwendet, die Bildschirmschoner installieren. In diesem Fall handelt es sich um ein selbstextrahierendes Winrar-Archiv, das als Malwaredropper missbraucht wird.

 

Verwendung eines selbstextrahierenden Archives

 

Die in der Datei enthaltenen Strings zeigen, dass es sich bei der scr-Datei um ein selbstextrahierendes Winrar-Archiv handelt. Signifikante Strings sind beispielsweise:

 

  • Software\WinRAR SFX
  • winrarsfxmappingfile.tmp
  • WinRAR self-extracting archive

 

Das Archiv ließ sich manuell nicht fehlerfrei extrahieren. Erst eine Ausführung der Datei zeigt den unbeschädigten Inhalt des Archives, bestehend aus:

 

  • 42 zufällig benannten Dateien mit unterschiedlicher Endung, die nur um die 500 Byte groß sind und ASCII Daten enthalten
  • Das legitime Administrationstool AutoIT, umbenannt als “mta.exe”
  • Eine ASCII Datei “qoa.docx”, die 951K groß ist und die Konfiguration für AutoIT enthält
  • Eine ASCII Datei “stt=dsr”, die 3MB groß ist und ein obfuskiertes Script in der AutoIT-eigenen VBA-ähnlichen Scriptsprache enthält

 

Im August 2015 berichtete TALOS über einen ähnlichen Angriff , der die Kombination eines selbstextrahierenden Archives mit AutoIT verwendendete, um NanoCore auszuliefern. Der Angriff hat weitere Ähnlichkeiten zu der von uns beobachteten Attacke, was eine Verbindung zwischen den Vorfällen vermuten lassen. So stoppt beispielsweise der Angriff für 20 Sekunden, wenn ein laufender Avast Prozess detektiert wird. 2015 wurde jedoch ein Officemakro in der Phishingmail verwendet, während in dem hier untersuchten Fall ein PDF zum Einsatz kam. Auch bei den ausgelieferten Payloads gibt es Unterschiede, wie beispielsweise die Auslieferung weiterer Malware in dem 2015 von Talos untersuchten Angriff.

 

Angreifer missbrauchen Automatisierungstool AutoIT

 

AutoIT ist ein legales Werkzeug, das zur Automatisierung von Administrationsaufgaben verwendet wird. Es stellt hierfür eine eigene Scriptsprache bereit, die an VBA angelehnt ist. Das Tool ist frei erhältlich und wurde leider schon öfter von Kriminellen zur Installation von Malware verwendet, so dass es manchmal fälschlicherweise als gefährlich eingestuft wird.

 

Das AutoIT-Script in der Datei “stt=dsr” aus dem ZIP-Archiv hat eine AntiAV-Technik eingebaut, die die Ausführung schlafen legt, falls der Prozess “avastui.exe” auf dem System läuft. Es liest aus der “qoa.docx” Konfigurationsdatei verschiedene Werte aus der Sektion “Setting” aus. Danach wird eine zufällig benannte Datei erstellt, in die einer der ausgelesenen Strings geschrieben wird. Diese Datei ist ebenfalls ein obfuskiertes AutoIT-Script, 272K groß, und heißt in unserem Fall “DIENU”. In dieser Datei wird der String “Settings File Name” mit dem Namen der Konfigurationsdatei “qoa.docx” überschrieben. Anschließend setzt das Script die Attribute aller extrahierten Dateien auf “hidden” und “read only”, um sie möglichst unscheinbar werden zu lassen. AutoIT wird gestartet und das erstellte “DIENU”-Script, das “qoa.docx” als Konfigurationsdatei verwendet, wird AutoIT übergeben.

 

Intelligente Systemprüfung vor Installation von NanoCore

 

Das “DIENU”-Script nimmt einige Änderungen am System vor, so zum Beispiel das Ändern der Systemkonfiguration und von Registryeinträgen. Es versucht herauszufinden, ob es in einer VMware oder Virtualbox Sandbox läuft – falls dies der Fall ist, bricht das Script ab, um einer möglichen Analyse zu entgehen. Im weiteren Verlauf wird der Remote Access Trojaner installiert, indem Schadcode in den Prozessspeicher von “RegSvcs.exe” injiziert wird – ein .NET Tool, das zur Installation von Services gedacht ist. Diese Technik wird gerne verwendet, um Malware in legitimen Programmen zu verstecken.

 

Funktionsablauf des NanoCore-Angriffes

Funktionsablauf des NanoCore-Angriffes

 

Flexibilität von NanoCore durch modularen Aufbau

 

NanoCore ist modular aufgebaut. Die jeweiligen Plugins, die sich unabhängig voneinander ein- und ausschalten lassen, hat DigiTrust in einem Artikel ausführlich beschrieben. Bei diesem Angriff wurden zwei Plugins verwendet: Das Client Plugin in Version 1.2.0.0 und das Surveillance Plugin mit der Produktversionsnummer 1.0.1.7.

 

Die Plugins wurden als Bibliotheksdateien “ClientPlugin.dll” und “SurveillanceExClientPlugin.dll” für .NET geschrieben und mit dem Tool “Eazfuscator.NET 3.3” verschleiert. Um Analysen mit einem Debugger zu erschweren, sind die Methoden mit den Attributen “DebuggerHiddenAttribute” und “DebuggerNonUserCode” versehen. Hierdurch wird ein Debugging dieser Methoden und das Setzen von Breakpoints verboten.

 

Client-Plugin

 

Das Client-Plugin ist der Grundbaustein, der sich um die Kommunikation mit dem Command-and-Control-Server und die Verwaltung der gesammelten Informationen in einer Key/Value-Sammlung kümmert. Die Informationen lassen sich optional komprimiert per Pipe an den C2-Server senden. Der Client hat des Weiteren Optionen, um Einstellungen zu ändern, Plugins und sich selber zu deinstallieren und den Hostcomputer zu steuern, also diesen zum Beispiel herunterzufahren, neu zu starten, oder Sicherheitsmechanismen zu deaktivieren.

 

Surveillance-Plugin

 

Das Surveillance-Plugin bringt allerlei Features für die Überwachung des Opfers mit. So kann der Angreifer Passwörter, Logs und DNS Records sammeln. Der Hostcomputer ist per Remote-Desktop steuerbar, und es können Mitschnitte von Tasteneingaben, dem Mikrofon oder der Webcam aufgenommen werden.

 

Das Surveillance Plugin kann vier Kommandos empfangen:

 

  1. Password: SendTools, EmailClient, InternetBrowser
  2. Logging: (KeyboardLogging, ApplicationLogging, DNSLogging, GetLogs, DeleteLogs, ExportLogs, ViewLogs)
  3. Keyboard: Write, Download, LogToServer
  4. Dns: GetRecords

 

Im Großen und Ganzen zeigt sich ein umfangreicher Werkzeugkasten, um den infizierten Rechner aus der Ferne komplett zu steuern und zu überwachen.

 

Kein Durchkommen dank Hornetsecurity ATP

 

So ausgefeilt die Verschleierungsmethoden dieses NanoCore-Angriffes auch sind, die wahre Absicht des Tools wird durch die Verhaltensanalysen der Hornetsecurity ATP Sandbox erkannt. Diese erkennt sowohl das Entpacken der Dateien, das Erstellen der neuen Dateien, die Prozessinjektion der NanoCore DLLs in einen legitimen Prozess, die Modifikation der Registyeinträge als auch die Netzwerkkommunikation.

 

Analysetätigkeiten von Hornetsecurity ATP

Analysetätigkeiten von Hornetsecurity ATP

 

Indicators of Compromise

 

Die folgenden Dateien mit ihren sha256-Hashwerten wurden in dem Angriff verwendet. Da AutoIT eine legitime Software ist, führen wir das Tool hier nicht mit auf.

 

  • inquiry.pdf** 9c5d693e7c86f8f0c05af495d95a9d6f998ec93bec5c6f8d560d54f8a945f866
  • inquiry.zip** e0d88bab6749297eb1c03ec1e86bb0d9b7e53d10de8c05dcde032e5f040d03a2
  • inquiry.scr** 4a71602852c7a1a2b3c3c9690af9a96b57c622b459e4fff4f34d43c698b034b8
  • DIENU** 5612ac210a8df891f9ed07c5a472beb0d78f1f714f9f37e31320ec1edbc41d9c
  • SurveillanceExClientPlugin.dll** 01e3b18bd63981decb384f558f0321346c3334bb6e6f97c31c6c95c4ab2fe354
  • ClientPlugin.dll** 61e9d5c0727665e9ef3f328141397be47c65ed11ab621c644b5bbf1d67138403
  • qoa.docx** f36603bf7558384d57a9f53dfcd1e727bd6f56d4a664671f06fd5ca1383413d0
  • stt=dsr** 6236beb6702dd8396339fdad8c4539d7e177733a0f7cff1ded06f060895feac1

 

Domain, von der das zip-Archiv heruntergeladen wurde: htXp://ibeitou.com/inquiry.zip

 

Zu hoch DDoSiert für die eigene Abwehr

Zu hoch DDoSiert für die eigene Abwehr

Wenn Denial-of-Service-Attacken Organisationen lahmlegen

 

Immer wieder sind Meldungen zu lesen, die eine DDoS-Attacke als Grund für den Ausfall einer Unternehmenswebseite anführen. Hierbei handelt es sich um eine Angriffsform, die über gekaperte Systeme bewusst generierte Datenfluten erzeugt, die Unternehmen lahmlegt. Auch E-Mail-Server sind nicht selten von einer DDoS-Attacke betroffen.

 

Diese Angriffe führen dazu, dass Webseiten sowie einzelne Services über einen bestimmten Zeitraum hinweg nicht mehr erreichbar sind. Das kann von wenigen Minuten über mehrere Stunden bis hin zu einem tagelangen Ausfall reichen. Downtime – ein Albtraum für jedes Unternehmen.

 

Dabei können DDoS-Attacken nicht mehr nur die IT-Infrastrukturen großer, international agierender Konzerne treffen, die in der Regel über ein ausgereiftes Sicherheitskonzept verfügen, sondern durchaus auch kleine Unternehmen. Ebenfalls Ziel der Angriffe sind öffentliche Einrichtungen, Verwaltungen und Behörden.
 
Die Gründe hierfür sind vielfältig: Sie können der puren Lust auf „Zerstörung“ geschuldet sein, aber auch die gezielte Schädigung von Konkurrenten oder fremden Regierungen kann ein Antriebsmotiv sein. Selbst Hass und Rache sind oftmals nicht auszuschließen. Aus diesem Grund ist der Rückgriff auf ein zuverlässiges IT-Sicherheitskonzept unumgänglich.

 

DDoS-Attacke: Digitaler Vandalismus schädigt Reputation

 

Jede Sekunde, in der beispielsweise ein Mailserver oder bestimmte Webseiten-Services nicht erreichbar sind, kostet ein Unternehmen Geld. Dies gilt vor allem für Unternehmen, die primär ihre Geschäfte im Internet abwickeln und dort ihre Produkte oder Services anbieten. Gleiches gilt für Geschäftsbereiche, in denen der Support für die Kunden über E-Mail abläuft.
 
Die Kosten beziehen sich jedoch nicht nur auf die entgangenen Einnahmen während der Ausfallzeit. Die schnelle Ergreifung von Abwehrmaßnahmen und eventuelle Zuhilfenahme externe Experten kann ebenfalls zum Kostentreiber werden. Die Schädigung der Reputation des Unternehmens ist zudem ein weiteres Problem.

 

Ein Unternehmen, in welches der Kunde kein Vertrauen hat, wird langfristig gesehen über keine solide Geschäftsbasis verfügen. Aus diesem Grund ist es natürlich allgemein nachvollziehbar, dass knapp 50 Prozent aller betroffenen Unternehmen bei Auftreten eines Cyberangriffs Stillschweigen bewahren. Zu groß ist die Angst, in der Öffentlichkeit einen Imageverlust hinnehmen zu müssen.

 

Diese Art der Schadensbegrenzung funktioniert vielleicht bei einfachen Formen der Cyber-Kriminalität, bei einer DDoS-Attacke sowie weitaus komplexeren Angriffsformen jedoch nicht. Diese Formen stören nämlich nicht nur die Tätigkeiten und Abläufe des Geschäftsbereichs, sondern dringen auch häufig nach außen durch. Kunden nehmen diese Störung wahr, da auch sie unmittelbar davon betroffen sind. Die Sicherstellung einer funktionierenden E-Mail-Kommunikation muss daher stets oberstes Ziel sein.

 

Zuverlässige IT-Sicherheitskonzepte als Lösung

 

Unternehmen sollten daher gegen DDoS-Attacken und jede andere Art von Cyberangriffen gewappnet sein. Sicherheitslösungen wie der Hornetsecurity Spamfilter sind in der Lage, eine DDoS-Attacke auf einen Mailserver rechtzeitig zu erkennen und zuverlässig abzuwehren.
 
Für komplexere Angriffsformen wie Erpressungstrojaner oder Identitätsdiebstahl sind zudem Advanced Threat Protection empfehlenswert. Hierbei handelt es sich um eine Sicherheitslösung, die Ransomware, Blended- und Targeted Attacks sowie digitale Spionage zuverlässig erkennen und verhindern kann. Dafür sorgen schon allein die speziellen Analyse-Engines von Advanced Threat Protection (ATP).

Business E-Mail Compromise

Wie können sich Unternehmen von einer DDoS-Attacke schützen?

 

Doch zurück zu DDoS-Attacken: Um diese zu verhindern, sollten Unternehmen und Behörden bereits im Vorfeld bestimmte Sicherheitsmaßnahmen befolgen. Was zu tun ist, um sich vor einer DDoS-Attacke effektiv zu schützen:

 

1. Die Brisanz einer DDoS-Attacke

 
Im Prinzip kann jede Organisation zum Ziel eines solchen Angriffs werden. Letztlich muss sich jede Firma und jede Veraltung selbst immer die Frage stellen: „Welche Auswirkungen hätte der Ausfall des Mailservers für mich?“. Denn die Brisanz einer DDoS-Attacke kann sich etwa im Unternehmensumfeld unterschiedlich stark ausprägen.
 
Die Downtime wird für einen Händler, der im Internet sein Warenshop betreibt, deutlich schwerwiegender sein als bei einem lokal ansässigen Handwerksbetrieb. Im Ergebnis ändert das allerdings wenig. Beide möchten letztlich den Kommunikationsweg mit den Kunden über E-Mail aufrechterhalten. Ein Sicherheitskonzept ist daher unumgänglich.

 

2. IT-Risikomanagement

 
Wichtig ist ebenfalls, dass bereits im Vorfeld im Fall einer DDoS-Attacke konkrete Handlungsabläufe im Unternehmen implementiert sind. Im Fall eines Cyberangriffs sollte stets ein Ansprechpartner greifbar sein. Dies kann ein IT-Sicherheitsbeauftragter im Unternehmen selbst oder externer Mitarbeiter eines IT-Dienstleisters sein, der entsprechende Security Services anbietet und sich um das IT-Security-Management kümmert.

 

3. Reaktion auf Erpressungen

 
Ähnlich wie bei Ransomware kann auch eine erfolgreiche DDoS-Attacke als beliebte Angriffsform mit einer Geldforderung verbunden sein. Für Cyberkriminelle handelt es sich um ein lukratives Geschäftsmodell. Dies gilt vor allem deshalb, da die betroffenen Unternehmen häufig auf die Forderungen der Täter eingehen, um vermeintlich schwerwiegendere Folgen abzuwenden.
 
Das BSI rät jedoch dazu, sich nicht erpressbar zu machen und die Zahlung entsprechender Summen abzulehnen. Stattdessen sollten Betroffene polizeiliche Schritte einleiten und sich durch professionelle IT-Sicherheitsexperten unterstützen lassen.

 

4. Implementierung von Abwehrmaßnahmen

 
Die wichtigste Maßnahme zur Vermeidung einer DDoS-Attacke ist, diese erst gar nicht zuzulassen und somit den Kommunikationsweg E-Mail offen und stabil zu halten Hierzu ist eine kompetente IT-Security-Lösung unabdingbar – im Idealfall eine cloudbasierte. Der Grund hierfür liegt darin, dass diese Anbieter über eine wesentlich leistungsstärkere Infrastruktur verfügen und auch große Angriffe problemlos parieren können. Zudem müssen sich Kunden nicht um die Installation und Wartung der Hard- und Software kümmern.

 

Weiterführende Informationen:

 

  1. Hornetsecurity ATP
  2. Hornetsecurity Spamfilter 
  3. BSI – Verhalten bei Cyberangriffen
Aktuelle Phishingwelle: Valyria Downloader lädt Spyware nach

Aktuelle Phishingwelle: Valyria Downloader lädt Spyware nach

Seit dem Ende des letzten Jahres beobachten wir eine Welle an Phishing-Mails, die den Downloader Valyria enthalten. Valyria ist ein Office-Dokument, in dem ein VBA Makro enthalten ist, das verschiedene Arten von Spyware nachlädt.

 

Zunächst wird das Opfer durch Phishing-Attacken dazu animiert, die Makrofunktion von Microsoft Office zu aktivieren. Dabei nutzten die Angreifer die in den folgenden Screenshots abgebildeten Methoden.

 

 

Wird das Makro ausgeführt, lädt es eine Visual Basic, Delphi, oder C# Spyware nach, die im Anschluss damit beginnt, Informationen auf dem System zu sammeln und an ihren Command-and-Control-Server zu verschicken.

 

Während der Valyria-Downloader sehr genau zu identifizieren ist, gestaltet sich die klare Identifikation der nachgeladenen Malware als wesentlich schwieriger. Dies liegt wahrscheinlich an einer hohen Konfigurierbarkeit der Tools, die die Cyberkriminellen verwendet haben. Signaturen schlugen auf verschiedene Varianten der Spyware Agent Tesla, LokiBot und Kryptik, sowie des Androm Backdoors an.
 
Die Verhaltensanalyse der nachgeladenen Schadprogramme zeigt, dass sie alle eines gemeinsam haben: Sie sammeln fleißig Informationen wie Passwörter, Informationen aus Browsern, Credentials und Verbindungsdaten von FTP- und E-Mail-Clients, Instant-Messenger-Nachrichten, allgemeine Tastatureingaben sowie Screenshots auf dem System des Opfers.

 

Die Verhaltensanalyse der ATP-Sandbox erkennt Valyria und das Verhalten der nachgeladenen Spyware von Beginn der Kampagne zuverlässig. Aufgrund der Menge der aufgetretenen E-Mails dieser Art haben wir weitere Filterregeln entwickelt, die unsere Kunden vor den verschiedenen Varianten der Malware schützen.

 

Hier ein Auszug aus dem ATP-Report von einer der Spyware-Samples:

 

Hornetsecurity ATP-Report zu Valyria

Spectre und Meltdown ändern Bedrohungslage für Hornetsecurity nur unwesentlich

Spectre und Meltdown ändern Bedrohungslage für Hornetsecurity nur unwesentlich

SaaS-Anbieter nur marginal betroffen

 

Mit Spectre und Meltdown sind derzeit zwei Bedrohungen für die IT-Infrastruktur von Unternehmen und Endanwendern in aller Munde. Zwar bestehen diese Sicherheitslücken schon seit längerem, nun jedoch wurden sie einer breiten Öffentlichkeit bekannt. Insbesondere bei Unternehmen ist die Unruhe und Sorge in der Folge groß, dass neben der eigenen Hardware auch die von IT Service Providern wie Hornetsecurity von der Schwachstelle betroffen sein könnten.

 

Vor allem bei Software-as-a-Service (SaaS)-Anbietern ist die Gefahr, dass diese Sicherheitslücke ins Gewicht fällt, jedoch überraschend gering. Der Grund: Bei SaaS Angeboten bestimmt der Anbieter direkt, welche Programme installiert werden und ob diese aus vertrauenswürdigen Quellen stammen. Fremdsoftware, über die Spectre und Meltdown zur Ausführung kommen könnten, gelangen überhaupt nicht erst auf die IT-Infrastruktur von Hornetsecurity.

 

 

Patchen für höchstmögliche Sicherheit

 

Um höchstmögliche Sicherheit gewährleisten zu können, patcht Hornetsecurity auch planmäßig seine Systeme. Zuvor werden die Verbesserungen umfassend auf dedizierten Testsystemen erprobt, um das Risiko plötzlicher Verhaltensänderung zu verringern. Nach erfolgreichem Testabschluss verteilen die zuständigen Hornetsecurity-Mitarbeiter die Patches stufenweise auf allen Systemen in der gesamten Cloud.

Dieses Best-Practice-Vorgehen wendet Hornetsecurity generell bei Updates und Patches an, um ungewollte Nebenwirkungen schon im Test zu erkennen. Mit einem Performanceverlust, wie im Zusammenhang mit dem Einspielen der Patches berichtet wird, ist für unsere Kunden übrigens aufgrund des Kapazitätsmanagements der Hornetsecurity Cloud nicht zu rechnen.

 

Mit der Bekanntmachung der Hardwaresicherheitslücken Spectre und Meltdown richtete sich der Fokus auf zwei große Schwachstellen in der Computerarchitektur und hierbei direkt auf die Hardware. Diese erst kürzlich entdeckten Sicherheitslücken, die die große Mehrzahl von Prozessoren betreffen, bestehen schon, seit es Speculative Execution und Out-of-Order Excecution gibt. Bei Intel-Prozessoren besteht diese Lücke sogar schon seit 1995.

 

 

Prozessorspeicher als potenzieller Datenlieferant

 

Beide Exploits nutzen Schwachstellen in modernen Prozessoren aus und ermöglichen es bösartigen Programmen, Daten aus dem geschützten Speicher anderer Prozesse auszulesen. Da es sich um Sicherheitslücken in der Hardwarearchitektur handelt, sind davon alle Betriebssysteme betroffen.

Somit sind auch virtuelle Maschinen (VM), mobile Endgeräte und Cloud-Lösungen angreifbar. Beide Angriffe sind nicht trivial auszuführen, sondern erfordern hohe Kenntnisse und ein sehr fundiertes Wissen. Doch was unterscheidet die Angriffsszenarios im Detail?

 

Meltdown

 

 

Der Exploit der Sicherheitslücke CVE-2017-5754 wird Meltdown genannt. Er beschreibt ein Szenario, bei dem der Angreifer Zugriff auf den Kernelspeicher fremder Prozesse bekommt und diese auslesen kann, indem Meltdown auf den Speicher des Betriebssystems zugreift. Dies wird durch eine Sicherheitslücke in der Out-of-Order Execution bewerkstelligt.

Durch das Umsortieren von Prozessen liest der Prozessor vorläufig den Inhalt einer Speicherzelle aus und verarbeitet diese weiter, obwohl der aufrufende Prozess für diesen Speicherabschnitt eigentlich keine Rechte hat. In diesen Speicherzellen können auch sensible Daten liegen. Meltdown kann nur auf Prozessoren mit Out-of-Order Excecution ausgeführt werden, weshalb bei diesem Exploit nur Intel-Prozessoren betroffen sind.

 

 

Spectre

 

Der Exploit Spectre besteht aus den zwei Sicherheitslücken CVE-2017-5715 und CVE-2017-5753. Sie nutzen die sogenannte spekulative Ausführung von Prozessen aus, bei der Prozessoren bei Nichtauslastung vorausschauend mögliche Befehle ausführen. So laden sie während dieser Zeit zum Beispiel Bereiche des Speichers in den Cache, um so einen Geschwindigkeitsgewinn bei der tatsächlichen Ausführung zu bekommen.

Mit Spectre kann ein Schadprogramm auf diesen Teil des Caches zugreifen und sensible Daten auslesen, sofern diese in den eingelesenen Speicherzellen liegen. Im Gegensatz zu Meltdown haben Angreifer hierbei jedoch keinen Zugriff auf den Speicher des Betriebssystems, was Spectre jedoch nicht ungefährlicher macht.

 

Von diesem Angriffsszenario sind fast alle modernen Prozessoren betroffen – dazu zählen auch ARM-Chips, die häufig in mobilen Endgeräten verbaut werden.

Gefährliche Amazon Phishing-E-Mails sorgen für Ärger

Gefährliche Amazon Phishing-E-Mails sorgen für Ärger

Seriös und wenig verdächtig – so gelangen die sich seit einigen Monaten im Umlauf befindlichen Phishing-E-Mails, die angeblich von Amazon stammen sollen, in die Postfächer vieler Nutzer. Der Grund dafür: sie erwecken keineswegs den Anschein, dass es sich hierbei um eine dreiste Betrugsmasche handelt – ganz im Gegenteil. Die E-Mails kopieren das Design einer echten Amazon-E-Mail so gut, dass es für den Endnutzer quasi kaum zu unterscheiden ist. Zudem benutzen die Cyberkriminellen in diesen Phishing-E-Mails eine personalisierte Anrede, die der Glaubwürdigkeit der E-Mail zusätzlich Gewicht verleiht.

 

 

Beispiel einer Amazon Phishing E-Mail

Beispiel einer solchen Amazon Phishing-E-Mail (Zum Vergrößern klicken).

Bei einer auf diese Weise personalisierten Phishing-E-Mail spricht man von einer so genannten „Spear-Phishing-Attacke“. Diese gezielten Angriffe sind speziell auf eine einzelne Person oder auf eine Personengruppe ausgerichtet. Das Verhalten und die persönlichen Daten der Zielpersonen wurden dabei im Vorfeld intensiv ausgespäht, um die Spear-Phishing-E-Mail im Nachhinein so gut es geht zu personalisieren. Erkennbar sind die Betrugs-E-Mails faktisch nur anhand der Absenderadresse mit der sie versandt wurden. Diese können bei der Fälschung z.B. wie folgt lauten:

 

 

Genauere Informationen zu möglichen Absenderadressen, Aufbau der E-Mails und Inhalt finden Sie hier.

 

Was möchten die Angreifer erreichen?

 

Das Opfer wird in der E-Mail mit Verweis auf das Bundesdatenschutzgesetz dazu aufgefordert seine Daten zu verifizieren. Dazu wird es mit Klick auf einen Link auf eine gefälschte Webseite weitergeleitet, die von der echten Amazon-Seite kaum zu unterscheiden ist. Beim genaueren Hinsehen stimmt lediglich die verwendete URL nicht mit der von Amazon überein.

 

Auf dieser Seite soll der Betroffene dann Daten von sich preisgeben, um diese angeblich zu verifizieren. Die Hacker drohen ansonsten damit, wie im oberen Beispiel ersichtlich, den Zugang zum Account zu sperren. Hierbei handelt es sich natürlich um eine leere Behauptung. Wer der Aufforderung andersherum allerdings Folge leistet, der übermittelt seine Daten auf direktem Weg an die Betrüger. Diese nutzen sie dann im Anschluss, um auf Kosten des Betroffenen einzukaufen oder sie für andere kriminelle Machenschaften zu missbrauchen.

 

 

Erkennt Hornetsecurity Advanced Threat Protection die Fake-E-Mails?

 

Advanced Threat Protection von Hornetsecurity ist in der Lage die neuen Amazon-Phishing-Mails sowie auch andere Targeted Attacks zu erkennen. Anhand eines ganzen Bündels an Sicherheitsmechanismen, darunter Fraud Attempt Analysis, Identity Spooning Recognition und Intention Recognition können Bedrohungen dieser Art gezielt ausgefiltert werden. Ein Verlust von sensiblen Daten kann somit ausgeschlossen werden und Amazon Phishing-E-Mails gelangen gar nicht erst in die Postfächer der Mitarbeiter eines Unternehmens.