Cybercrime-Trends 2018: Diese Gefahren bringt das neue Jahr

Cybercrime-Trends 2018: Diese Gefahren bringt das neue Jahr

Ein Blick in die Zukunft kann sich lohnen. Vor allem beim Thema Cyberkriminalität ist es von Vorteil, wenn Unternehmen bereits ungefähr wissen, was sie im Folgejahr so alles erwarten kann. Denn bisher zeichnete sich jedes Jahr ganz individuell durch unterschiedliche Bedrohungsszenarien aus.

 

Galt das Jahr 2016 zum Beispiel noch als die Hochzeit des Phishings, wie aus einem Artikel von heise online zu entnehmen ist, bescherte uns 2017 eine Trendwende und wurde besonders stark durch Ransomware-Angriffe wie WannaCry, Bad Rabbit und NotPetya geprägt. Worauf können wir uns also 2018 einstellen? Wagen wir einmal einen Ausblick.

 

Kryptowährungen im Visier

 

Eines lässt sich zumindest jetzt schon sagen: Auch im Jahr 2018 werden neuartige und komplexere Angriffsverfahren wieder andere Maßstäbe setzen als bisher. Die bereits jetzt stark zunehmenden Cryptojacking-Attacken könnten zum Beispiel prägend für das kommende Jahr sein. Beim Cryptojacking handelt es sich um eine Angriffsmethode, bei der Cyberkriminelle fremde Rechner kapern, um mit ihnen Kryptowährungen, meist Bitcoins, zu schürfen.

 

Dabei genügt es schon, auf eine der bisher mehr als 50.000 Websites zu surfen, die den Schadcode beinhalten . Auf ihnen ist ein Javascript-Schnipsel des Cryptomining-Dienstes „Coinhive“ eingebunden, der die Rechner automatisch dazu bringt, Kryptowährungen für die Hacker zu „schürfen“. Die Prozessorleistung betroffener Geräte wird dadurch derart beansprucht, dass diese kaum mehr für andere Tätigkeiten zu gebrauchen sind.

 

Aufgrund des anhaltend hohen Kurses von Kryptowährungen gilt es ebenso als wahrscheinlich, dass es auch in 2018 wieder neue Ransomware-Arten geben wird, die sich auf die Erpressung von Bitcoin und Co. spezialisieren. Im Fadenkreuz könnten hierbei insbesondere Smart-Devices wie Fernseher oder Handys mit Android-Betriebssystem sein, da diese für Hacker besonders leicht zu kapern sind.

 

 

Makros und Exploits sorgen weiterhin für Ärger

 

Die Angriffe mit schädlichen Skripten, die Internetkriminelle besonders gerne in Office-Dateien verstecken, werden uns wohl auch 2018 weiter begleiten.

 

Sie zielen darauf ab, beständig von unterschiedlichen Geräten aus mit kompromittierten Webseiten zu kommunizieren. Hierbei nutzen die Angreifer zum Beispiel PowerShell, um Command-and-Control-Aktivitäten auszuführen und so die gewünschte Wirkung zu erzielen.

 

Insbesondere warnt unser Security Lab allerdings vor Angriffen, bei denen Exploits zum Einsatz kommen. Im Gegensatz zu Makros benötigen diese weniger oder gar keine Benutzerinteraktionen um das System zu infizieren. Dafür werden häufig Schwachstellen in beliebter Software kurz nach ihrem Bekanntwerden ausgenutzt. Sind die Systeme der Opfer noch nicht geupdated, dann haben die Hacker leichtes Spiel.

 

 

Das „Internet der Dinge“ ist beliebt – auch bei Cyberkriminellen

 

Das „Internet der Dinge“ ist schon längst in aller Munde. Die Vernetzung von Gegenständen ist allerdings nicht nur bei technikbegeisterten Menschen beliebt. Zunehmend erfreuen sich auch Cyberkriminelle an ihr. Das liegt schlichtweg darin begründet, dass viele der drahtlos vernetzten Gegenstände sicherheitstechnisch nicht ganz auf dem neuesten Stand der Dinge sind.

 

Der ERP-Entwickler NaoLogic bezeichnet das “Internet of Things” auf Twitter deshalb schon scherzhaft als “Internet of Ransomware Things”.

 

 

Was unsicher konfigurierte IoT-Devices für eine hohe Angriffsfläche bieten, hat uns bereits das „Mirai-Botnetz“ eindrucksvoll gezeigt. Es kaperte millionenfach mit dem Internet verbundene Alltagsgegenstände wie Router, Überwachungskameras und sogar Toaster. Es folgten großflächige DDoS-Attacken, die sogar zeitweise zu Störungen bei Amazon, Netflix oder Twitter, also sehr populären Internet-Diensten, führten.

 

Auch Branchen wie etwa der Medizin-Sektor machen mittlerweile vermehrt Gebrauch vom Internet der Dinge. Denn natürlich ist es praktisch, medizinische Geräte mit dem Internet zu verbinden, um so z.B. Krankenakten digitalisieren zu können. Allerdings sind die Gefahren, die hierdurch entstehen können, nicht zu unterschätzen.

 

 

Fazit: Die richtigen Vorkehrungen ersparen eine Menge Ärger

 

So bedrohlich die neuen Entwicklungen auch scheinen mögen: Unternehmen, die bereits ein ausgeklügeltes und erprobtes IT-Sicherheitskonzept nutzen, haben vergleichsweise wenig zu befürchten.

 

Der bloße Einsatz von Antiviren-Software hingegen, sorgt noch nicht für eine sichere IT-Infrastruktur. Im Gegenteil, der Gebrauch herkömmlicher Antiviren-Programme kann sogar negative Auswirkungen auf die IT-Sicherheit eines Unternehmens haben, wie wir bereits berichteten.

 

Tatsächlich kommt es auf viel mehr an: Funktionierende IT-Sicherheitskonzepte basieren insbesondere auf Prävention und dem Einsatz von wirkungsvollen IT-Sicherheitslösungen. Dabei spielen verstärkt cloud-basierte IT-Sicherheitslösungen wie die Services von Hornetsecurity eine Rolle. Sie schützen Sie sogar gegen die ausgeklügeltsten Cyberangriffe, damit selbst Ransomware und Co. ihr Unternehmen nicht aus der Bahn werfen können.

 

 

Auch interessant:

 

Sie möchten mehr darüber erfahren, wie wir mit Advanced Threat Protection selbst ausgeklügeltste Cyber-Attacken wie Ransomware, CEO-Fraud und Spear-Phishing abwehren? Dann schauen Sie sich doch unser neues Produktvideo an!

 

Unter die Lupe genommen: Die neueste Variation des Banking-Trojaners “Emotet”

Unter die Lupe genommen: Die neueste Variation des Banking-Trojaners “Emotet”

UPDATE: EMOTET WEIHNACHTSWELLE

 

Am 26.12. haben wir eine neue Welle an Emotet Phishingmails beobachtet, die ihre Opfer dazu animierte, auf einen Link zu klicken, um eine Weihnachtskarte zu erhalten. Statt der versprochenen Karte verbarg sich hinter dem Link jedoch ein weiteres gefährliches Dokument, das per VBA Makro Emotet herunterlädt. Die Angreifer nutzten die Festtage, um die Mails ihrer Campagne glaubwürdiger aussehen zu lassen.

 

Ein Screenshot der Betreffzeilen einiger Mails, die alle zur gleichen Emotet Malware führten, zeigt die Kreativität der Angreifer:

 

 

Zudem variierte auch die durchaus glaubwürdig erscheinende Nachricht mit dem Link. Wir haben die Namen in den Screenshots hinter der Grußfloskel entfernt, da Emotet häufig echte, dem Opfer bekannte Namen, verwendet:

 

 

 

 

 

 

 

Die gefährlichen Dokumente wurden von folgenden Servern heruntergeladen:

 

  • httX://family.mikemccully.com/Holidays-Card/
  • httX://slatersf.com/Your-Christmas-Card/

 
Wir freuen uns, unsere Kunden sicher durch die Feiertage gebracht zu haben! 🙂

 

+++

 

Die seit dem Jahr 2014 als Banking-Trojaner bekannt gewordene Malware “Emotet” tritt in immer wieder neuen Variationen auf. In der zweiten Hälfte dieses Jahres haben wir eine neue und zudem sehr aktive Angriffswelle beobachtet, die sich vorzugsweise über Links in Phishing-E-Mails verbreitet. In diesem Beitrag erklären wir den Angriffsvektor und Infektionsweg von “Emotet”, die Verbreitungsmethoden, Ziele und seine Anti-Analysetricks anhand eines statisch und dynamisch analysierten Samples.

 

Angriffsvektor Phishing-Mails

 

Wir konnten sehr einfache aber effizient gestaltete Phishing-Mails beobachten, die die Identität einer Person aus einem geleakten Adressbuch verwendeten. Mit diesen versenden die Angreifer einen Link, über den ein Officedokument heruntergeladen wird, an andere Personen des Adressbuches. Die Adressbücher wurden von anderen mit “Emotet” infizierten Rechnern gestohlen.

 

Laut eines Berichtes von Kaspersky Lab über die letzte große Welle 2015 ist “Emotet” modular aufgebaut und kann dadurch mit einem integrierten Downloader beliebigen Payload von einem  Command and Control (C&C ) Server auf das infizierte System nachladen. Zudem enthält der Trojaner ein Modul zum Stehlen der Adressbücher aus Microsoft Outlook des infizierten Rechners. Dieses Verhalten konnten wir auch bei der neuen “Emotet”-Variante beobachten.

 

Über den Link in der versendeten Phishing-Mail laden sich die Opfer eine Office-Datei mit einem bösartigen Makro herunter, welches sich beispielsweise als Rechnung tarnt. Öffnet der Benutzer die Datei, wird er durch einen Phishing-Trick dazu animiert, die Ausführung von Makros zu aktivieren.

 

Betrugsversuch durch gefälschte Officeanweisung

Fällt das Opfer auf den Trick rein und führt die in dem Screenshot gezeigten Anweisungen aus, wird das in dem Dokument enthaltene VBA-Makro gestartet, das einen PowerShell-Befehl ausgeführt, um “Emotet” herunterzuladen und auszuführen. Für die Angreifer hat das den Vorteil, dass sie jederzeit den heruntergeladenen Payload ändern oder die Server herunterfahren können. Diese zeitliche Komponente erschwert es, die Folgen einer Infektion vorherzusagen.

 

 

Analyse von Emotet

Wir haben das Malware-Sample, das für die Infektion und das Nachladen neuer Module verantwortlich ist, genauer analysiert. Das von uns analysierte Sample wurde über das Makro eines Office-Dokuments heruntergeladen und hat folgenden sha256-Hashwert, über das es eindeutig identifiziert werden kann: 9e40a7cc2a8d070dbcbb24fe37782ef70876f748bc9e8304d4391601ee4e6f57. Durch Reverse Engineering und dynamische Analysen konnten wir beobachten, dass “Emotet” vier Stadien durchläuft:

 

1. Stadium

 

In diesem Stadium sieht die Malware recht harmlos aus, denn sie importiert vergleichsweise wenige Funktionen. Zusammen mit Sektionen einer auffällig hohen Entropie ist das ein Zeichen dafür, dass die Binärdatei verpackte Inhalte enthält.

 

Die Libraries, die für die Ausführung des ersten Stadiums der Malware benötigt werden, werden geladen. Anschließend sammelt die Malware grundlegende Informationen über das System, so zum Beispiel Benutzernamen, Computernamen, Umgebungsvariable und den Windows-Pfad. Dieser Pfad wird mit dem String “\system32\calc.exe” zusammengefügt, sodass letzendlich “C:\Windows\system32\calc.exe” entsteht. Danach wird überprüft, ob dies eine ausführbare Datei ist, wie im nachfolgenden Screenshot auch in der dynamischen Analyse zu sehen ist. Auf diesem Weg versucht die Malware herauszufinden, ob sie sich in einer echten Windows-Umgebung befindet.

 

 

Am Ende des ersten Stadiums wird das zweite Stadium entschlüsselt, entpackt und ausgeführt.

2. Stadium

 

In diesem Stadium werden mitgelieferte Programmbibliotheken entpackt und benötigte Funktionen dynamisch nachgeladen, die im weiteren Verlauf indirekt aufgerufen werden. Im nachfolgenden Screenshot befindet sich im EAX Register (zu sehen in der Ecke rechts oben) ein Zeiger auf die Funktion VirtualAlloc der Bibliothek kernel32.dll. Im disassemblierten Binärcode ist an Adresse 00402122 der dazugehörige indirekte Call des Registers EAX zu sehen.

 

Diese Technik wird verwendet, um Analysen zu erschweren. Durch statische Analysen allein ist es schwer vorherzusagen, was sich im EAX Register befindet und somit nachzuvollziehen, welche Funktion dort aufgerufen wird. Erst eine dynamische Analyse lädt die richtigen Werte in die Register und zeigt die eigentliche Funktion.

 

Danach werden einige Techniken ausgeführt, um Sandbox-Analysen zu erschweren. Im nachfolgenden Screenshot ist zu sehen, wie der NetBIOS Computername des Systems durch einen indirekten Call der Funktion GetComputerNameExA abgefragt wird und dann durch einen weiteren indirekten Call der Funktion lstrcmp mit dem String “TEQUILABOOMBOOM” verglichen wird.

 

Dieser String ist sehr signifikant. In einem Blogbeitrag beschreibt Malwarebytes Labs, dass der String in dem Neutrino Botnet Builder Toolkit verwendet wird, um bekannte Sandboxen zu erkennen. In den Kommentaren wird erwähnt, dass sich diese Überprüfung auf die VirusTotal Sandbox bezieht. Dort wird allerdings der Benutzername und nicht der Computername mit dem String verglichen. Wir gehen davon aus, dass dies nur eine lustige Referenz ist, oder sich die Entwickler bei der Funktion schlicht vertippt haben. Es wäre jedenfalls eine interessante lokale Mitigationsstrategie, den Computernamen entsprechend abzuändern.

 

Wie auch in den folgenden Screenshots der API-Calls zu sehen ist, werden weitere Anti-Sandbox-Checks durchgeführt. Sollte einer dieser Checks erfolgreich sein, beendet die Malware ihre Ausführung.

 

Überprüfung nach bekannten Namen:

 

 

Überprüfung, ob bekannte Sandbox-Dateien existieren:

 

 

Unter anderem werden folgende Checks ausgeführt, um einer Sandbox-Analyse zu entgehen:

 

  • Ist der Benutzername “Wilbert” und eine weitere Variable “SC” oder “CW”?
  • Ist der Benutzername “admin” und der Computername “SystemIT” und kann die Datei “C:\Symbols\aagmmc.pdb” gelesen werden?
  • Ist der Benutzername “admin” und der Computername “KLONE_X64-PC”?
  • Ist der Benutzername “John Doe” und eine weitere Variable “BEA-CHI”?
  • Ist der Benutzername “John” und existiert eine der Dateien “C:\take_screenshot.ps1” oder “C:\loaddll.exe”?
  • Existieren die Dateien “C:\email.htm” und “C:\123\email.doc”, sowie vielleicht “C:\123\email.docx”?
  • Existieren die Dateien “C:\a\foobar.bmp” und “C:\a\foobar.doc”, sowie vielleicht “C:\a\foobar.gif”?
  • Wurde die Malwaredatei mit den Namen “sample”, “mlwr_smpl” oder “artifact.exe” benannt?

Sind die Checks überstanden, wird das dritte Stadium der Malware entpackt und ausgeführt.

 

3. Stadium

 

In diesem Stadium überprüft die Malware mit der Mutex MC01935C3, ob sie schon auf dem System läuft.

 

Durch das Erstellen eines Registry-Eintrages wird Persistenz hergestellt, wobei wir ein unterschiedliches Verhalten auf verschiedenen Windows-Versionen beobachten konnten. Unter Windows XP 32bit läuft “Emotet” unter dem ursprünglichen Namen der ausführbaren Datei, zum Zeitpunkt der Ausführung, weiter.

Unter Windows 7 32bit und Windows 10 64bit löscht “Emotet” seine ursprüngliche Datei und kopiert sich zuvor an einen anderen Ort. Zudem werden folgende Registry-Einträge erstellt:

 

  • HKLM\SOFTWARE\Microsoft\Tracing\infoagent_RASAPI32
  • HKLM\SOFTWARE\Microsoft\Tracing\infoagent_RASMANCS

4. Stadium

 

“Emotet” läuft unter Windows 10 im Pfad C:\Users\username\AppData\Local\Microsoft\Windows\eventshedule.exe als Kopie von sich selbst und als Subprozess von explorer.exe weiter. Stellt die Malware fest, dass sie unter Beobachtung steht, löscht sie sich von diesem Ort und legt erneut eine Kopie von sich unter C:\Windows\SysWOW64\eventshedule.exe ab. Wird “Emotet” erneut unter Beobachtung gestellt, beendet sich der aktuelle Prozess und startet sich von der gleichen Lokation erneut.

 

Wir konnten unter allen Windows Versionen beobachten, dass “Emotet” unter dem Namen “Web DAV Client DLL” läuft. Der folgende Screenshot zeigt den Prozess unter Windows 7.

 

 

Die Malware beginnt anschließend, ihre C&C Server zu kontaktieren und neue Module nachzuladen. Wir haben Kontaktversuche zu den folgenden C&C Servern beobachtet:

 

  • http: //162.243.154.25:443/
  • http: //136.243.202.133:8080/
  • http: //66.234.234.36:8080/
  • http: //212.83.146.230:8080/
  • http: //209.126.105.250:8080/
  • http: //66.175.215.16:8080/
  • http: //178.254.33.12:8080/
  • http: //46.4.67.203:7080/
  • http: //147.135.209.118:443/

“Emotets” Cyber Kill Chain

 

Das Ziel von “Emotet” ist es, den Angreifern Geld zu verschaffen. Somit lässt sich die Malware unter der Kategorie “Crimeware” eingeordnen. Das theoretische Modell der “Pyramid of Pain” beschreibt, dass sich die von den Angreifern verwendeten Techniken und Taktiken am seltensten ändern. Dies ist auch bei “Emotet” im Vergleich zu den älteren Versionen zu beobachten. Auch wenn das Nachladen von neuen, unbekannten Modulen und immer wieder neuen Varianten dieser Malware eine Ungewissheit bezüglich der direkten Absichten mit sich bringt, ist davon auszugehen, dass sich die Zielsetzung, Geld zu beschaffen auch in zukünftigen Versionen der Malware nicht ändern wird.

 

Mit voranschreitender Analyse fügen sich die Puzzleteile zu einem großen Ganzen zusammen. In dem nachfolgenden Diagramm haben wir abschließend die einzelnen Angriffsschritte von “Emotet” im Modell der Cyber Kill Chain dargestellt.

 

Hornetsecurity Sandbox

Schlussendlich haben wir noch einen Screenshot des “Emotet”-Samples aus der Sandbox-Analyse von Hornetsecurity, die es eindeutig (mit der höchstmöglichen Punktzahl) als bösartig identifiziert:

 

 

Schutz vor Malware mit Advanced Threat Protection

Die Malware „Emotet“ ist nur eine von vielen Möglichkeiten, Ihnen oder Ihrem Unternehmen finanzielle Schäden zuzufügen. Auch der Verlust von wichtigen Daten kann Ihnen durch Malware, Viren und Ransomware bevorstehen. Advanced Threat Protection ist ein intelligenter Spamfilter, der gefährliche E-Mail-Inhalte frühzeitig erkennt. Im Gegensatz zu normalen Spamfiltern kann Advanced Threat Protection bereits Gefahren erkennen, die dem Spamfilter noch nicht bekannt sind. Erfahren Sie mehr über Advanced Threat Protection.

Versteckte Sicherheitslücke in Microsoft Office kein Problem für Hornetsecurity

Versteckte Sicherheitslücke in Microsoft Office kein Problem für Hornetsecurity

Vor kurzem entdeckten Forscher die Sicherheitslücke CVE-2017-11882 in Microsoft Office. Microsoft handelte entsprechend schnell und schloss die Schwachstelle mit einem Sicherheitsupdate. Durch die Veröffentlichung des Exploits wurden nun jedoch Angreifer auf die Lücke aufmerksam und versuchen nun, diese auf noch nicht gepatchten Systemen auszunutzen.

 

Von der Sicherheitslücke sind alle Office Versionen betroffen. Der Exploit im Equation Editor von Microsoft, einer alten Version des Formeleditors, nutzt einen Pufferüberlauf, der es dem Angreifer ermöglicht, beliebigen Code auf dem System des Benutzers auszuführen. Dadurch ist es beispielsweise möglich, eine Schadsoftware aus dem Internet herunterzuladen und auszuführen.

 

Schwachstelle besteht seit 17 Jahren

 

Der Equation Editor wurde 2000 kompiliert und seitdem nicht generalüberholt. Dadurch entspricht er nicht den aktuellen Sicherheitsvorkehrungen und macht die Ausnutzung von Pufferüberläufen erst möglich. Auch wenn der Formeleditor in Office 2007 ersetzt wurde, wurde er noch mitgeliefert, um die Abwärtskompatibilität zu älteren Dokumenten zu gewährleisten, bei denen das 17 Jahre alte Programm zum Anzeigen und Bearbeiten von mathematischen Formeln dient.

 

Öffnet ein User ein Dokument, das den Exploit nutzt, ist keine weitere Interaktion mehr notwendig, um den Schadcode auszuführen. Nur die geschützte Ansicht, die Sandbox der Office-Programme, verhindert noch die Ausführung.

 

Hornetsecurity erkennt Exploit in Dokumenten

 

Seitdem die Sicherheitslücke bekannt geworden ist, versuchen Angreifer vermehrt, schädliche Office-Dokumente zu verteilen, die den Exploit verwenden. Hornetsecurity hat die Filter entsprechend angepasst, sodass diese Dokumente direkt erkannt und gefiltert werden, bevor sie im E-Mail-Postfach landen. Dennoch raten wir dazu, das Sicherheitsupdate möglichst bald durchzuführen.

Angriff des Verschlüsselungstrojaners Bad Rabbit

Angriff des Verschlüsselungstrojaners Bad Rabbit

Seit der letzten Welle von Ransomware-Attacken durch NotPetya ist etwas Zeit vergangen. Doch jetzt taucht eine neue Form auf und richtet große Schäden an. Besonders in Russland und Osteuropa hat der Kryptotrojaner zugeschlagen und mehrere Unternehmen infiziert. Aber auch in Deutschland wurde er bereits gesichtet.

Bad Rabbit, benannt nach der Seite im Darknet, auf der Betroffene Ihre Zahlung tätigen sollen, verschlüsselt Daten und verlangt eine Gebühr von 0.05 Bitcoins um sie wieder freizugeben. Nach dem aktuellen Kurs der Kryptowährung sind das rund 240 Euro.

Kopfüber ins Kaninchenloch

Die Verbreitung des Kryptotrojaners geschieht hauptsächlich über kompromittierte Nachrichtenseiten. Durch diesen Watering-Hole-Angriff können die Angreifer gezielte Attacken auf bestimmte Benutzergruppen und Unternehmen ausüben. Gehen Benutzer auf eine infizierte Webseite wird automatisch ein Drive-by-Download angestoßen, der ein gefälschtes Adobe Flash-Update herunterlädt. Wird diese Datei ausgeführt, ist Bad Rabbit im System und die Daten sind nach dem erzwungenen Neustart verschlüsselt.

 

 

Bad Rabbit Trojaner

Zahlungsseite im TOR-Netzwerk

 

Zum Vergrößern auf die Abbildung klicken

 

 

Wie schon WannaCry und NotPetya, kann sich Bad Rabbit im Netzwerk verbreiten. Dafür verwendet die Malware aber nicht den EternalBlue Exploit, um Schwachstellen in der Version 1.0 des SMB-Protokolls auszunutzen, sondern infiziert andere Rechner über Windows Management Instrumentation (WMI). Um der Verteilung im lokalen Netzwerk vorzubeugen, ist es ratsam WMI auszuschalten, wenn es nicht gebraucht wird.

Hornetsecurity erkennt die Malware und schützt mit URL-Rewriting

Mit der URL-Rewriting-Engine der Advanced Threat Protection von Hornetsecurity wird Bad Rabbit auf kompromittierten Seiten erkannt und blockiert. So können Sie weiterhin verlinkte News-Seiten aus Ihren E-Mails aufrufen und sind vor einem Angriff sicher. Sollte sich die Ransomware doch noch über E-Mails weiterverbreiten, sind unsere Systeme vorbereitet und erkennen den Angriff sofort.

 

Unsere Empfehlungen

Um auf der sicheren Seite zu sein, ist es wichtig, regelmäßige Backups der Daten zu machen und keine unbekannten Dateien herunterzuladen oder auszuführen. Besonders Aktualisierungen von Adobe Flash sollten nur direkt vom Hersteller bezogen werden.

 

Im Falle einer Infizierung raten wir davon ab eine Zahlung an die Erpresser zu tätigen, denn ob sie den notwendigen Schlüssel herausgeben, um die Daten wieder nutzbar zu machen, ist nicht sicher.

WPA2-Lücke sorgt für zu viel Aufregung

WPA2-Lücke sorgt für zu viel Aufregung

Nachdem Mathy Vanhoef, ein Sicherheitsforscher der Universität Löwen, die Sicherheitslücke KRACK in der WPA2-Verschlüsselung öffentlich gemacht hat, erklärte das Bundesamt für Sicherheit und Informationstechnik (BSI) rasch die Übertragung sensibler Daten über WLAN-Netze am Montag als unsicher. Durch die Sicherheitslücke können Angreifer einen „Man-In-The-Middle“-Angriff auf WPA2-gesicherte Netzwerke durchführen und so gegebenenfalls Daten mitlesen und manipulieren. Dennoch: Wesentliche neue Bedrohungen ergeben sich für Internet-Nutzer nicht. Insbesondere, da schon vor dem Bekanntwerden der KRACK-Attacke Sicherheitsupdates veröffentlicht wurden, lässt sich die Vermutung anstellen, dass diese Lücke schon seit längerem vorhanden war und ausgenutzt wurde.

 

 

Auf die weitere Verschlüsselung kommt es an

 

Auch in öffentlichen Netzwerken ist es möglich, sensible Daten zu übermitteln – dabei ist es jedoch wichtig, auf die Verschlüsselung der Datenübertragung mittels TLS/SSL zu achten. Sie wird von so gut wie allen Websites verwendet, auf denen ein Transfer von gefährdeten Informationen stattfindet. Im Browser selbst ist die gesicherte Übertragung mit einem voranstehenden https und einem grünen Schloss gekennzeichnet. Dies war bereits vor der KRACK-Attacke der Fall.

 

Generell gilt: Nachrichten mit potentiell sensiblen Inhalten sollten immer verschlüsselt werden. Dazu ist im besten Fall eine Ende-zu-Ende-Verschlüsselung wie SMIME oder PGP zu verwenden.

 

 

Updates können die Lücke schließen

 

Die Hersteller unterschiedlicher Betriebssysteme und Geräte haben schon vorgesorgt und die Lücke mit einem Sicherheitsupdate geschlossen. Das Sicherheitsrisiko besteht vor allem für Geräte, auf denen Linux oder Android läuft und die keine Möglichkeit mehr haben, auf neuere Versionen upzudaten.

 

Die KRACK-Attacke zeigt erneut, wie wichtig die Verschlüsselung sensibler Daten ist. Zudem ist absolut wesentlich, dass Online-Banking, Shopping oder der Versand von sicherheitsrelevanten Nachrichten nicht nur mit einer Verschlüsselungsmethode abgesichert werden sollten.

Verschlüsselte Verbindungen – ja oder nein?

Verschlüsselte Verbindungen – ja oder nein?

Sicherheit wird mittlerweile von allen Seiten gefordert. Sei es die Sicherheit im eigenen Land, zuhause oder in der täglichen Kommunikation über das Internet. Fühlen wir uns sicher, können wir getrost weiterleben. Geht es um die tägliche Kommunikation über das Internet, erklingt immer wieder das Stichwort „Verschlüsselung“. Bietet Verschlüsselung tatsächlich Schutz vor neugierigen Langfingern oder vermittelt sie uns lediglich ein Gefühl von Sicherheit und stellt für Cyberkriminelle vielleicht sogar eine verborgene Hintertür dar?

Verschlüsselung einfach erklärt

Die Verschlüsselung von Internetverbindungen scheint längst in der Masse angekommen zu sein: Laut Google sind bereits 80 Prozent aller Webseiten geschützt. Auch viele Messaging-Dienste bauen inzwischen auf verschlüsselte Kommunikation. Doch wie werden Datenströme überhaupt verschlüsselt?

 

Einfach erklärt: Vielfach taucht bei diesem Thema der Begriff SSL/TLS-Verschlüsselung auf. Was damit gemeint ist, ist Laien nicht unbedingt klar. Hierbei handelt es sich um eine Transportverschlüsselung. Das bedeutet, dass die Daten selbst nicht verschlüsselt werden, aber durch einen verschlüsselten Kanal wandern. Die miteinander kommunizierenden Server einigen sich vor der Nachrichtenübermittlung auf einen Verschlüsselungsstandard, die sogenannte Cipher Suite. Berücksichtigung findet dabei immer der beiderseitig höchste Verschlüsselungsstandard für die Aushandlung. Ziel ist es, dass nur diese beiden Server untereinander Daten austauschen können.

 
Ob eine Webseite eine solche Transportverschlüsselung anbietet, ist seit der Einführung des sicheren Hypertext-Übertragungsprotokolls leicht zu erkennen: Befindet sich an der Spitze der URL ein „https:“, handelt es sich um eine verschlüsselte Webseite. Weitere Indikatoren sind ein Schloss und die grüne Markierung. Meldet sich zum Beispiel ein Nutzer wie auf dem dargestellten Bild auf einer Webseite an, werden die eingegebenen Daten über einen verschlüsselten Kanal zu dem Zielserver weitergeleitet, welcher die Richtigkeit bzw. die Identität des Nutzers bestätigt.

 

Quelle: Amazon.de

Quelle: Amazon.de

 

SSL und TLS – was ist was?

TLS ist der Nachfolger von SSLv3. Die leicht verbesserte Version TLS 1.1 setzte sich jedoch kaum am Markt durch. Die deutlich relevantere Version 1.2, die Hornetsecurity bereits seit Jahren unterstützt, bietet unter anderem mit Perfect Forward Secrecy (PFS) und den entsprechenden Cipher Suites (Ellyptic Curve, Diffie Hellmann) bei entsprechender sicherer Serverkonfiguration einen entscheidenden Security-Mehrwert. Bei Hornetsecurity ist sogar eine Einschränkung der TLS-Kommunikation auf Secure Cipher Suites sowie Trusted Certs möglich, um das Sicherheitsniveau noch einmal zu steigern.

 

TLS in der Version 1.3 ist derzeit als Working Draft unter https://tools.ietf.org/html/draft-ietf-tls-tls13-11 einsehbar. Voraussichtlich wird diese Version starke Änderungen und Optimierungen in den kryptographischen Hashfunktionen sowie dem Handshaking-Protokoll beinhalten. Es ist aus Security-Sicht wünschenswert, dass die Verbreitung von TLS 1.3 nach finaler Verabschiedung schneller vonstattengehen wird als bei dem seit 2008 vorliegenden TLS 1.2.

 

Die Hintertür für Schädlinge?

Über TLS/SSL verschlüsselte Datenströme sind also nicht über Dritte einsehbar, was ja erst einmal Sinn und Zweck ist. Die Kehrseite der Medaille ist jedoch, dass sich auf diese Weise Schadcode unbemerkt übertragen lässt, da eine Analyse auf Malware per se nicht vorgesehen ist.

 

Um dem entgegen zu wirken, besteht die Möglichkeit des sogenannten SSL-Scannings. Hierbei wird die Verbindung unterbrochen und ein gefälschtes Server-Zertifikat, mit dem sich der Ziel-Server gegenüber dem Server des Nutzers authentifiziert, eingeschleust. Vergleichbar ist dieses Vorgehen mit einer Man-in-the-Middle-Attacke. Das Problem dieser Methode ist daher, dass Dritte den unverschlüsselten Inhalt auslesen können. Damit der Browser dies nicht als Attacke wahrnimmt, ist es nötig, das Stammzertifikat des zur Laufzeit generierten Zertifikats für die angeforderte Seite im Trust Store des Browsers einmalig einzubinden. Dies wird gerade in großen Unternehmen per Softwareverteilung automatisiert durchgeführt. Beim SSL Scanning oder „https aufbrechen“ besteht möglicherweise ein Konflikt zwischen Datensicherheit und Datenschutz. Beabsichtigen Firmen die Nutzung des SSL-Scannings, sollten sie sich daher im Voraus rechtlich absichern.

 
Vielfach nutzen Unternehmen diese Methode der Analyse verschlüsselter Verbindungen nicht. Einerseits aus Gründen des Datenschutzes, andererseits ist der dafür bisher betriebene Rechenaufwand zu hoch und sehr kostenintensiv. Jedoch konnte der angeführte Overhead (Rechenaufwand), der durch Ver- und Entschlüsselung der Daten sowie Aushandlung der Verbindungsparameter für TLS anfällt, in den letzten Jahren durch gezielte Hard- und Softwaremaßnahmen drastisch reduziert werden.

 

Lag dieser ursprünglich einmal bei bis zu 20 Prozent, so liegt er heutzutage bei entsprechender Konfiguration etwa auf einem niedrigen einstelligen Prozentbereich beispielsweise in der CPU-Mehrbelastung.

 

Hardwareseitig sind leistungsstärkere und durch entsprechende Rechenoperationseinheiten (z. B. für AES) ergänzte CPUs gerade im Serverbereich inzwischen Standard, so dass viele Entschlüsselungsoperationen parallel und performant abgearbeitet werden können.

 

Viele weltweit verbreitete Software-Bibliotheken haben inzwischen eine enorme Beschleunigung bei der Entschlüsselung und Reduktion von Netzwerklatenz implementiert, die bei entsprechender Serverkonfiguration den Overhead merklich reduzieren können.

 

Die im Webfilter von Hornetsecurity verwendete Webseiten-Kategorisierung stellt eine sichere Alternative für die Analyse durch SSL-Scanning dar. Dabei wird bewusst auf das Aufbrechen des verschlüsselten Kanals verzichtet, da aufgrund der feingranularen Klassifikation der Webseiten das Risiko durch entsprechende Policies minimiert werden kann. Alle Webseiten werden in Kategorien eingeteilt. Als Basis gelten die Inhalte, die sich auf der Webseite befinden und für den Nutzer zugänglich sind. Durch die Zuweisung einer Webseite in eine Kategorie erhält sie eine Art Bewertung. Diese Bewertung gibt darüber Aufschluss, ob es sich um eine unbedenkliche Seite handelt oder nicht. Auf Basis dieser Bewertung und den vorkonfigurierten Policies blockiert der Webfilter-Dienst die angefragte Seite entweder und der Benutzer erhält eine Warnseite oder sie wird ausgeliefert und angezeigt.

 

Mit Hilfe der Kategorien und weiteren Features lassen sich Compliance-Richtlinien des Unternehmens umsetzen, sowohl auf Nutzer- als auch auf Gruppen- oder Unternehmensebene.  So können Administratoren bestimmte Inhalte sperren oder die Nutzung sozialer Netzwerke nur in der Mittagspause erlauben. Optional bietet Hornetsecurity seinen Kunden als Ergänzung seines umfassenden Webfilterservice zusätzlich SSL-Scanning.  Dies kann der IT-Administrator selbst aktivieren.

 

Fazit

Verschlüsselung ist prinzipiell positiv und empfehlenswert. Doch der Sicherheitsaspekt sollte dabei nicht außer Acht gelassen werden, denn verschlüsselte Verbindungen garantieren nicht automatisch auch einen Schutz vor Malware. Verschlüsselung stellt erst dann eine Gefahr für Unternehmen dar, wenn dieser Aspekt kaum bis gar keine Beachtung findet.

 
Daher ist es ratsam, immer wieder einen Blick hinter die verschlüsselte Verbindung zu werfen und ein wasserdichtes Sicherheitskonzept zu entwickeln.
Möglichkeiten für die Absicherung von Webtraffic auch unter Verwendung verschlüsselter Verbindungen bietet die Kategorisierung des Webfilters, ergänzend kann auf Wunsch die Methode des „https aufbrechen“ genutzt werden. Beides bietet Hornetsecurity an. SSL-Scanning setzen die meisten Kunden eher selten ein, da die bereits beschriebene feingranulare Kategorisierung einen deutlichen Mehrwert bringt.

 

Neugierig geworden? Weiterführende Informationen: