Schlagwort-Archive: Schadcode

Sechs Schritte zu stabiler Sicherheit für Container (Teil 1)

von Trend Micro

Container bieten Entwicklern große Vorteile, denn sie lösen das permanente Problem des effizienten Packaging einer Anwendung. Wenn ein Team eine Container-Strategie wählt, so kann es sicher sein, dass die Anwendung in jeder Umgebung reibungslos läuft, ob auf dem Laptop, On-Premise, im Datencenter oder in der Cloud. Doch wie bei jeder Technologie, haben auch Container-Umgebungen ihre Tücken. Diese entstehen infolge der Komplexität der Infrastruktur, die schwerwiegende Sicherheitsfolgen haben kann, wenn sie nicht angemessen berücksichtigt wird. Der Prozess der Sicherung von Containern sollte – ebenso wie andere Tests und Qualitätskontrollen auch – in den Entwicklungsprozess integriert und automatisiert werden, um die Anzahl der manuellen Berührungspunkte zu minimieren und ihn in die Wartung und den Betrieb der zugrunde liegenden Infrastruktur mit einzubeziehen. Trend Micro zeigt in dem zweiteiligen Blogeintrag, wie die einzelnen Bereiche mit entsprechender Sicherheit zu versehen sind.
Weiterlesen

Die Schattenseite der IT/OT-Konvergenz

Udo Schneider, Security Evangelist bei Trend Micro

Die digitale Transformation hat die Geschäftswelt fest im Griff. Vom Gesundheitswesen bis hin zum Finanzsektor gibt es wohl keinen CIO, der nicht damit beauftragt wäre, mittels neuer Technologien die Innovationsfähigkeit und Agilität seines Unternehmens zu steigern. Unglücklicherweise bringt die gesteigerte Konnektivität für viele dieser Unternehmen einen unangenehmen Nebeneffekt mit sich –ihre Anfälligkeit für Cyber-Risiken steigt an.

Eine kürzlich veröffentlichte Untersuchung von Trend Micro zeigt eine bedeutende Schwachstelle für die Sicherheit im industriellen Umfeld: Sicherheitslücken in Funkfernsteuerungen könnten für Millionen von industriellen Anlagen weltweit ein Angriffsrisiko darstellen. Das Ergebnis wären finanzielle Verluste und Imageschäden aufgrund von Erpressung, Sabotage oder Diebstahl.

Weiterlesen

Bösartige PowerPoint-Datei enthält Exploit und setzt Backdoor-Schädling ab

Originalartikel von Cris Pantanilla, Threat Response Engineer bei Trend Micro

Trend Micro hat ein bösartiges Microsoft PowerPoint-Dokument entdeckt, das als Dateianhang bestimmter E-Mail-Nachrichten verbreitet wird. Die Datei enthält eine eingebettete Flash-Datei, die einen Softwarefehler in bestimmten Flash Player-Versionen (CVE-2011-0611) missbraucht, um einen Hintertür-Schädling auf Anwendersystemen abzusetzen.

Eingebettete Flash-Datei

Abbildung 1: Eingebettete Flash-Datei in TROJ_PPDROP.EVL

Anwender, die das bösartige .PPT-Dokument öffnen, führen dadurch einen Shellcode innerhalb der Flash-Datei aus, der die Sicherheitslücke CVE-2011-0611 ausnützt und anschließend die bösartige Datei „Winword.tmp“ im Temporärverzeichnis ablegt. Gleichzeitig legt der Code eine nicht-bösartige PowerPoint-Präsentation mit dem Namen „Powerpoint.pps“ ab. Dadurch wird bei den Anwendern der Eindruck erweckt, bei der bösartigen Datei handle es sich schlicht um eine weitere unauffällige Präsentation. Die Trend Micro-Analyse hat jedoch ergeben, dass es sich bei „Winword.tmp“ um einen Hintertür-Schädling handelt. Dieser baut Verbindungen zu Webseiten im Internet auf, um mit den möglicherweise kriminellen Hintermännern zu kommunizieren. Außerdem ist der Schädling in der Lage, weitere Schadsoftware herunterzuladen sowie auszuführen und dadurch die infizierten Systeme weiteren, möglicherweise sogar gefährlicheren Bedrohungen wie zum Beispiel Spionagesoftware auszusetzen.

Trend Micro erkennt die bösartige PowerPoint-Datei als TROJ_PPDROP.EVL und den abgelegten Backdoor-Schädling als BKDR_SIMBOT.EVL. Anderweitige Berichte sowie Analysen von Trend Micro bestätigen, dass diese Art von Schadsoftware in der Vergangenheit für gezielte Angriffe genutzt wurde.

Entschlüsselter Binärcode

Abbildung 2: Entschlüsselung des eingebetteten Binärcodes in TROJ_PPDROP.EVL

Die neueren Bedrohungen beschränken sich nicht mehr auf schädliche Dateien, die sich als gewöhnliche Binärdateien wie zum Beispiel .EXE-Dateien in E-Mail-Anhängen verstecken. Diese speziell präparierten Dateien lassen sich vielmehr in allgemein verbreitete Dateien wie PDF, DOC, PPT oder XSL einbetten. In dem hier beschriebenen Fall bemerken die Anwender die Attacke nicht, da TROJ_PPDROP.EVL als Köder eine ungefährliche PowerPoint-Datei benutzt und anzeigt.

Auf Sicherheitslücken ist Verlass: Effektive Einfallstore für Infektionen

Der vorliegende Fall zeigt ferner, dass Cyberkriminelle bekannt gewordene Sicherheitslücken in beliebter Software wie Microsoft-Office-Anwendungen, Flash usw. zu ihrem Vorteil nutzen. In einem früheren Blogeintrag hat Trend Micro aufgedeckt, dass bekannte Softwarefehler älteren und neueren Datums wie CVE-2010-3333 oder CVE-2012-0158 weiterhin von den Angreifern für ihre Zwecke missbraucht werden. Die Tatsache, dass die meisten Anwender ihre Systeme nicht regelmäßig mit den neuesten Sicherheitsaktualisierungen absichern, erklärt, warum die Angreifer diese Fehler immer wieder ausnutzen.

Trend Micro schützt Anwender vor dieser Bedrohung mit dem Smart Protection Network™, das die entsprechenden E-Mail-Nachrichten sowie Webadressen blockt und TROJ_PPDROP.EVL sowie BKDR_SIMBOT.EVL entdeckt. In der heutigen Zeit, in der einfache Dokumente zu Informationsdiebstählen führen können, sollten Anwender besondere Vorsicht walten lassen, bevor sie Dateien aus E-Mail-Nachrichten herunterladen oder öffnen, insbesondere jene von unbekannten Absendern. Außerdem sollten Anwender stets die neuesten Sicherheitsaktualisierungen auf ihren Systemen einspielen.