Schlagwort-Archive: Datendiebstahl

Möglicherweise weitere MuddyWater-Kampagne

Originalartikel von Michael Villanueva und Martin Co, Threats Analysts

Die MuddyWater-Kampagne wurde erstmals 2017 gesichtet, als die saudiarabische Regierung über Angriffe mit PowerShell-Skripts via Microsoft Office Word-Makros ins Visier geriet. Im März 2018 dann gab es eine weitere Kampagne, die Charakteristiken von MuddyWater aufwies. Im Mai nun fanden die Sicherheitsforscher ein neues Sample (W2KM_DLOADR.UHAOEEN) mit Bezug zu dieser Kampagne. Auch hier geht es um ein Microsoft Word-Dokument, das in ein bösartiges Makro eingebettet ist und PowerShell (PS)-Skripts ausführen kann, die zu einer Backdoor Payload führen. Einen bemerkenswerten Unterschied gibt es: Das neue Sample lädt nicht direkt die Visual Basic Script(VBS)- und PowerShell-Komponentendateien herunter, sondern codiert all diese Skripts im Dokument selbst. Die Skripts werden dann decodiert und abgelegt, um die Payload auszuführen.
Weiterlesen

Security-by-Design: Eine Checklist für die Absicherung von virtuellen Maschinen und Containern

Originalartikel von Trend Micro

Virtualisierung und Cloud sind ein Segen für Entwickler und Unternehmen, die Anwendungen erstellen. Virtuelle Infrastrukturen bieten kostengünstige, dynamische Möglichkeiten, Produkte und Services bereitzustellen oder eigene Anwendungen zu implementieren. Aber da Unternehmen und Entwickler sich bemühen, schneller mit den Terminen und der Nachfrage Schritt zu halten, hinkt die Sicherheit hinterher und zudem wird in den meisten Fällen daran gespart. Eine Umfrage des SANS-Instituts im Jahr 2017 ergab zum Beispiel, dass 15 Prozent der Unternehmen in den vergangenen zwei Jahren aufgrund von unsicheren Anwendungen Datenverlusten erlitten haben, und in 10 Prozent der Fälle würden überhaupt keine Sicherheitstests für die unternehmenskritischen Anwendungen durchgeführt.

Es ist kein Wunder, dass DevOps an Fahrt gewinnt, sowohl als Software-Engineering-Kultur als auch in Form von Werkzeugen als Zusammenführung für die Softwareentwicklung und Informationstechnologie (IT). Gartner schätzt, dass bis zum nächsten Jahr 70 Prozent der DevOps-bezogenen Initiativen die Sicherheit in die von ihnen verwendeten, erstellten oder eingesetzten Anwendungen integrieren und automatisieren werden.

Die Absicherung virtueller Umgebungen unterscheidet sich nicht von der der Anwendungen selbst. Hier sind einige Überlegungen und Best Practices, die Entwickler, IT-Betriebsmitarbeiter und Systemadministratoren bei der Sicherheit der Infrastrukturen, die die von ihnen genutzten Anwendungen unterstützen, berücksichtigen sollten.

Container und virtuelle Maschinen (VM) müssen stets gepatcht und aktualisiert werden

Sowohl Container als auch VMs bieten die Möglichkeit, Anwendungen mehrfach auszuführen oder innerhalb einer einzigen Plattform zu isolieren, unterscheiden sich jedoch in der Art und Weise, wie sie dies tun. Container virtualisieren ein Betriebssystem, um verschiedene Workloads in einer einzigen Betriebssysteminstanz auszuführen, während VMs Hardware virtualisieren, um Instanzen des Betriebssystems auszuführen.

So stellt jede Instanz der Anwendungen, die in Containern und VMs laufen, einen potenziellen Angriffsvektor dar, wenn sie angreifbar oder falsch konfiguriert ist. Eine Instanz, die mit unnötigen Ports im Container oder in der VM läuft, kann von Hackern dazu ausgenutzt werden, in den Anwendungsserver einzudringen.

Container-Images müssen ebenfalls auf Schwachstellen überprüft werden. Sie werden ständig zu einem Repository hinzugefügt, überschrieben und aufbereitet (wenn Open-Source) — Aktionen, die das Risiko von Sicherheitslücken erhöhen. Die Checkliste des SANS-Instituts für die Auditierung von Docker-basierten Containern ist ein guter Ausgangspunkt für die Bewertung von containerisierten Anwendungen und Host-Betriebssystemen.

Absichern von Anwendungen durch den Schutz des Hypervisors

Der Hypervisor managt die Art und Weise, wie Gastbetriebssysteme auf Ressourcen etwa die CPU, Hauptspeicher, Netzwerk und Speicher zugreifen. Er partitioniert die Ressourcen, um zu verhindern, dass die Instanzen in die jeweils anderen Ressourcen eindringen. Der Hypervisor ist die zugrundeliegende Infrastruktur für Anwendungen, die auf VMs laufen, und deshalb ist ihre Sicherheit von größter Bedeutung. Das U.S. National Institute of Standards and Technology (NIST) hat detaillierte Empfehlungen zur Sicherung des Hypervisors ausgegeben:

  • Deaktivieren Sie unbenutzte und unnötige virtuelle Hardware oder Dienste (z.B. Zwischenablage und Dateifreigabe), um die Angriffsfläche zu verringern.
  • Beobachten Sie den Hypervisor bzgl. ungewöhnlicher Aktivitäten.
  • Überwachen Sie aktiv den Datenverkehr zwischen VMs und aktivieren Sie explizit die Sichtbarkeit für diese.
  • Verfolgen Sie die Instanzen und schränken Sie die Erstellung von VMs und virtuellen Servern ein, um eine unkontrollierte Ausbreitung der Virtualisierung zu verhindern, bei der zu viele Instanzen zu einem ineffizienten Management von physischen und Software-Ressourcen führen.
  • Verwenden Sie sichere und verschlüsselte Kommunikationsprotokolle (z. B. Secure Sockets Layer), um Man-in-the-Middle-Angriffe zu verhindern oder Daten bei der Migration oder Speicherung von VM-Images zu schützen.
  • Authentifizieren Sie die im Server oder in der Bibliothek gespeicherten VM-Images und stellen Sie deren Integrität sicher.

Erkennen von Sicherheitslücken in Containern

Images sind die Blaupause von Containern, die sie zum Ausführen von Anwendungen nutzen. Ein anfälliges Image erzeugt einen durch Malware oder Hacker gefährdeten Container, wodurch die Anwendung selbst anfällig wird. Das Erkennen von Sicherheitslücken (z. B. unsicheren Codes) vor der Ausführung und deren Behebung vor der Planung des Images in einer Orchestrierungsumgebung spart erheblich Zeit und Aufwand bei der Nachbearbeitung von Builds und reduziert den Overhead und Unterbrechungen im Lebenszyklus der Anwendung:

  • Stellen Sie sicher, dass die Container-Images signiert, authentifiziert und aus einer vertrauenswürdigen Registry entnommen sind. Beim Scannen von Images sollte auch die Registry mit eingeschlossen werden, da die sie kompromittiert und ihre Images manipuliert werden können.
  • Schützen Sie den Daemon, beschränken Sie den Zugriff darauf oder verwenden Sie verschlüsselte Kommunikationsprotokolle, wenn er im Netzwerk sichtbar ist.
  • Setzen Sie das Prinzip der niedrigsten Privilegien durch. Im Gegensatz zu einem Hypervisor, der als zentraler Verwaltungspunkt fungiert, kann jeder Benutzer, Dienst oder jede Anwendung mit Zugriff auf das Root-Konto des Containers in andere Container gelangen, die sich den Kernel teilen.
  • Isolieren Sie Ressourcen, konfigurieren Sie Kontrollgruppen und Namensräume richtig, d.h. welche und wie viele Ressourcen ein Container verwenden darf.
  • Fügen Sie Sicherheit fest ein, um den Bedarf an zusätzlichen Builds weiter zu reduzieren; Docker hat zum Beispiel eine eigene Dokumentation über die eingebauten Sicherheitsmerkmale seiner Engine, die als Referenz dienen kann.


Security-by-Design

Es geht aber nicht nur um die Sicherheit von Containern und VMs. Unabhängig davon, ob sich die Workloads eines Unternehmens in der physischen, virtuellen oder Cloud-Infrastruktur (oder einer beliebigen Kombination davon) befinden, kann die Wartung und Sicherung dieser Infrastrukturen zur Herausforderung werden. Unabhängig davon, ob virtuelle Maschinen oder Container (oder beide gleichzeitig) zum Testen, Ausführen und Bereitstellen von Anwendungen genutzt werden, sollte Sicherheit keine Hürde darstellen. Die Integration von Sicherheit in die Infrastrukturen hinter den Anwendungen trägt nicht nur zur Abwehr von Bedrohungen bei, sondern reduziert auch die Geschäftsrisiken für Unternehmen.

Der Security-RückKlick 2018 KW 24

von Trend Micro

 

 

 

 

 

 

 

Quelle: CartoonStock

Neuer Facebook-Zwischenfall, weltweite Verhaftungen von BEC-Hintermännern, und Monero ist die beliebteste Kryptowährung bei 5% illegaler Schürfung.
Weiterlesen

Der Security-RückKlick 2018 KW 23

von Trend Micro

 

 

 

 

 

 

Quelle: CartoonStock

Kryptowährungen könnten mehr Informationen zum Tracken liefern als herkömmliche Transaktionen, Mirai in verbesserter Auflage und Phisher nutzen Fussball-WM als Köder.
Weiterlesen

Aufkommende 5G-Technologie könnte IoT-Geräte über SIM-Karten kompromittieren

Originalbeitrag von Trend Micro Forward-Looking Threat Research Team

Bereits die aktuellen Mobilfunktechnologien wie 3G und 4G ermöglichen eine schnelle drahtlose Kommunikation. Aber die nächste Generation, 5G, wird noch schnellere Verbindungen und eine höhere Zuverlässigkeit möglich machen mit Geschwindigkeiten von mehreren Gbits pro Sekunde (Gbps) und durchschnittlichen Download-Raten von bis zu einem Gbps. Die Verbesserungen im Vergleich zu früheren Generationen werden zweifelsohne in Smartphones und anderen häufig eingesetzten Mobilgeräten am deutlichsten spürbar sein, doch wird auch das IoT von 5G profitieren, denn die Technologie kann sehr wohl die benötigte Infrastruktur bieten, um hohe Datenvolumina zu übertragen.
Weiterlesen