Schlagwort-Archive: Virtualisierung

Lektion im Patching: Der Aufstieg der SAMSAM Crypto-Ransomware

Originalbeitrag von Trend Micro

Die wichtige Rolle des Patch-Managements zeigt sich immer dann, wenn Angreifer Sicherheitslücken als Eintrittspunkte in die Zielsysteme und –netzwerke missbrauchen. Der Fall der berüchtigten SAMSAM Crypto-Ransomware verdeutlicht dies. Die Schadsoftware verbreitet sich nicht über bösartige URLs oder Spam, sondern nutzt Sicherheitslücken in nicht aktualisierten Servern.
Weiterlesen

„Crisis“ für virtuelle Maschinen

Originalartikel von Christopher Daniel So, Threat Response Engineer  und Warren Wu, Director, Product Group Management Datacenter Business Unit

Die Sicherheitsspezialisten von Trend Micro sind auf Angriffe des Schädlings Crisis/MORCUT auf virtuelle Maschinen in VMware-Umgebungen gestoßen. Ende Juli war der Backdoor-Schädling schon einmal aktiv gewesen, doch da hatte er sich Mac OSX-Systeme als Ziel ausgewählt. Dieses Mal jedoch fanden die Experten Crisis/MORCUT in mobilen Windows-Umgebungen und interessanterweise auf virtuellen Festplatten.

Der Schädling infiziert so genannte Type 2 Hypervisor-Umgebungen. Hierbei wird der Hypervisor über ein Standard-Betriebssystem (Windows/Linux) installiert und hostet mehrere virtuelle Maschinen. Die Malware kompromittiert zuerst das Host-Betriebssystem, sucht nach VMDK-Dateien und instanziiert dann wahrscheinlich die VM, die er mit derselben Infektion wie den Host kompromittiert.

Wie der Schädling in die Systeme kommt, ist noch nicht ganz geklärt. Den Anfang scheint jedoch ein Download eines schädlichen Java-Applets (JAVA_AGENT.NTW) gemacht zu haben. Das Applet ist mit zwei Dateien verbunden: mac – der Hintertür-Schädling OSX_MORCUT.A und win – ein Wurm WORM_MORCUT.A. Die win-Datei wird in einem Windows-Betriebssystem ausgeführt und legt dann einige Komponenten ab (Einzelheiten gibt es hier).

Eine erste Analyse ergab, dass WORM_MORCUT.A sich über USB-Geräte und VMware virtuelle Festplatten verbreiten kann. Der Wurm nutzt die Komponente TROJ_MORCUT.A des Gerätetreibers, um sich auf virtuellen Festplatten einzuhängen. Diese Fähigkeit lässt den Schluss zu, der Schädling verbreite sich aggressiv, doch es gibt derzeit nicht ganz 100 Infektionen mit WORM_MORCUT.A und TROJ_MORCUT.A.

Eine Infektion für Type 2 Hypervisor-Szenarien kann über aktuelle Antimalware-Lösungen wie Trend Micro Deep Security oder Trend Micro OfficeScan verhindert werden. Damit sind die virtuellen Maschinen sicher. Des weiteren sollte der Zugang zu VMDK eingeschränkt werden. Zwar richten sich die Angriffe von Crisis nur auf gehostete Hypervisor nicht auf das Datacenter, dennoch ist eine solche Maßnahme grundsätzlich wichtig. Jeder, der auf die VMDK-Dateien in einem Dateisystem zugreifen kann, hat die Möglichkeit, viel Schaden auf den virtuellen Festplatten und VMs anzurichten.

Amazons Verschlüsselungsfunktion greift zu kurz: Verwaltung muss in die Hände des Benutzers

Originalartikel Udo Schneider, Solution Architect

Quelle: flickr

Viele Medien bekundeten ihre Zustimmung für die Ankündigung von AWS‘ (Amazon Webservices) Verschlüsselungsfunktion für S3 (Simple Storage Services). Dabei werden Daten in den S3 Buckets optional verschlüsselt abgelegt. Die Daten werden mittels SSE (Server Side Encryption) auf Seiten des Servers verschlüsselt. Hierbei übernimmt Amazon die gesamte Schlüsselverwaltung automatisch. Der Nutzer braucht nur noch beim Hochladen der Daten zu entscheiden, ob sie verschlüsselt abgelegt werden sollen.

Verschlüsselung ist sicherlich sinnvoll, denn bei einem unberechtigten Zugriff auf die (physikalischen) Platten, auf denen die S3 Daten liegen, kann niemand die Daten verwenden. Doch schützt diese Funktion nicht vor dem Entwenden der Daten, sofern sie über dafür gedachte Kanäle passieren (e.g. Zugriff via https). Da die Ver-/Entschlüsselung transparent auf dem Server passiert, kann jeder, der die Rechte oder Zugangsdaten (berechtigter- oder unberechtigterweise) besitzt, diese Daten von S3 /ent/schlüsselt herunterladen.

Deshalb geht Trend Micro mit Secure Cloud einen anderen Weg und fügt weitere Security-Mechanismen für Kontrolle des Benutzers hinzu.

  • Trennung von Schlüsselverwaltung und Ressourcen: Die Schlüsselverwaltung ist getrennt von den verschlüsselten Ressourcen. Ein potenzieller Angreifer kann also mit den Daten allein nichts anfangen — Er benötigt (unberechtigen) Zugriff auf zwei disjunkte Systeme.
  • Schlüsselverwaltung/-generierung befindet sich unter Kontrolle des Nutzers: Gibt dieser die Keys nicht frei, so können die Daten nicht entschlüsselt werden.
  •  Richtlinienbasierte Identitäts- und Integritätsüberprüfung: S3 ist ein reiner Storage Dienst. SecureCloud geht weiter und adressiert (u.a.) auch Amazon EC2/EBS (Elastic Block Store). In diesem Kontext gilt es, nicht nur Daten zu schützen, sondern auch Instanzen/VMs, die auf diese zugreifen. SecureCloud kann also auch die Identität (etwa Lokation/Rechenzentrum) und Integrität (Welche Netzwerkdienste sind konfiguriert?) mit in die Entscheidung, ob Schlüssel bereitgestellt werden, einbeziehen.

Im Gegensatz zu S3 SSE geht das Trend Micro-Produkt viel weiter und bezieht deutlich mehr Risiken ein. Dies soll aber nicht heißen, dass S3 SSE nichts taugt. Jedes Feature, dass die Sicherheit erhöht, verbessert die Gesamtsicherheit des Systems. Zumal in diesem Fall die zusätzliche Verschlüsselung „nichts kostet“ – weder preislich noch in Form von User Ressourcen.

 

Trend Micros Future Threat Report 2010

Originalartikel von Elizabeth Bookman (Marketing Manager – Threats bei Trend Micro)

Trend Micro hat seinen jährlichen Future Threat Report 2010 veröffentlicht, der die künftige Bedrohungslandschaft aufzeigt:

Trend Micro 2010 Future Threat Report

Virtualisierung, Cloud Computing und sich ändernde Internetstrukturen bieten Cyberkriminellen neue Möglichkeiten:

Infolge der weiteren Verbreitung von Cloud Computing und der Virtualisierungstechnologie in den Unternehmen gehen wir davon aus, dass die Cyberkriminellen neue Methoden finden werden, um ihre Profite zu vergrößern. Im November 2009 machte der US-Anbieter Danger.com Schlagzeilen, als es zu Problemen in seinem Cloud-basierten Rechenzentrum kam, in deren Folge die persönlichen Daten vieler Sidekick-Kunden unwiederbringlich verloren gingen. Der Vorfall demonstriert Schwachstellen des Cloud Computing, die  Trend Micro geht davon aus, dass Cyberkriminelle dabei entweder die Anbindung zur Cloud anvisieren oder aber das Cloud-Datenzentrum selbst Cyberkriminelle auszunutzen versuchen werden.

Sich ändernde Internetstrukturen bieten Cyberkriminellen neue Möglichkeiten:

Das Internetprotokoll der nächsten Generation, Internet Protocol v.6 (IPv6), das von der Internet Engineering Task Force vorgestellt wurde, befindet sich noch in der Experimentalphase, das seit nunmehr 20 Jahren bestehende Protokoll IPv4 abzulösen. Nicht nur Anwender fangen an, sich mit IPv6 auseinanderzusetzen, auch Cyberkriminelle sind aktiv. Man kann erwarten, dass erste Proof-of-Concept-Elemente in IPv6 im kommenden neuen Jahr sichtbar werden. Mögliche Zugänge für einen Missbrauch beinhalten Covert Channels oder Command & Control.

Domain-Namen werden zunehmen internationalisiert und die Einführung regionaler Top-Level-Domains (Russisch, Chinesisch und arabische Schriftzeichen) wird neue Möglichkeiten kreieren, altbekannte Phishing-Attacken über ähnlich aussehende Domains aufleben zu lassen – mit der Nutzung kyrillischer Schriftzeichen anstelle von lateinischen Buchstaben. Trend Micro sagt voraus, dass es zu Reputationsproblemen und zu Missbrauch kommen wird, der für Sicherheitsanbieter eine große Herausforderung bedeutet.

Social Media und soziale Netzwerke bleiben im Fadenkreuz der Cyberkriminellen, die darüber versuchen, in den „Kreis der Vertrauten“ der Nutzer einzudringen:

Soziale Netzwerke sind aus Sicht der Kriminellen mittlerweile einträgliche Schauplätze, um an persönliche Informationen heranzukommen. Die Qualität und Quantität der dort veröffentlichten Daten der Benutzerprofile und die Möglichkeit, Interaktionen nachzuverfolgen, laden Cyberkriminelle geradezu ein, die Identität des Nutzers zu stehlen und für weitere Social Engineering-Angriffe zu missbrauchen. 2010 wird sich die Situation zuspitzen, so wird erwartet, dass vor allem bekannte Persönlichkeiten das Opfer manipulierter Profilseiten und gestohlener Bankdaten werden.

Globale Attacken werden aussterben,lokalisierte, gezielte Angriffe mehr werden:

Die Bedrohungslandschaft hat sich verändert. Attacken auf globaler Ebene, wie bei Slammer und CodeRed der Fall, gehören der Vergangenheit an. Nicht einmal der von den Medien begleitete Conficker-Vorfall im Jahr 2008 und Anfang 2009 war ein globaler Angriff im eigentlichen Sinn. Vielmehr handelte es sich dabei um einen besonders sorgfältig vorbereiteten und dirigierten Angriff. Künftig wird erwartet, dass die Zahl und die Raffinesse lokalisierter und gezielter Angriffe steigen wird.

Trend Micros weitere Vorhersagen für 2010:

  • So lange das Geld lockt, blüht das Cybercrime-Geschäft.
  • Windows 7 wird die Bedrohungslandschaft beeinflussen, denn in der Standardkonfiguration ist das Betriebssystem weniger sicher als Vista.
  • Risikomindernde Maßnahmen funktionieren immer weniger, selbst im Fall von alternativen Browsern und Betriebssystemen.
  • Malware verändert ihre Form oft innerhalb weniger Stunden.
  • Drive-By-Infektionen sind die Norm; der einmalige Besuch einer Website genügt um sich zu infizieren!
  • Es entstehen neue Angriffsvektoren für virtualisierte und Cloud-Computing Umgebungen.
  • Botnetze können nicht mehr gestoppt werden. Sie sind da, um zu bleiben.

Wer haftet für den Schaden, wenn Daten in der Cloud missbraucht werden?

Original Artikel von Todd Thiemann (Senior Director, Data Protection, Trend Micro)

Es ist immer wieder erstaunlich zu hören, dass allgemein IaaS-Provider (Infrastructure-as-a-Service) irrtümlicherweise für diejenigen gehalten werden, die die Sicherheit in der öffentlichen Cloud gewährleisten. Sie sorgen sicherlich für eine ordentliche Grundsicherheit (physische Sicherheit, Perimeter-Firewalls, Load Balancing und möglicherweise Intrusion Detection bzw. Prevention). Manche IaaS-Anbieter streben danach, sich durch bessere Sicherheit von der Konkurrenz abzusetzen, doch die meisten konzentrieren sich auf eine aggressive Preispolitik und werben mit der Flexibilität, die das Konzept verspricht im Vergleich zu Onpremise-Datencenter.

Auch wenn IaaS-Anbieter versuchen, eine sichere Umgebung zu liefern, so liegt die Verantwortung für die Sicherheit bei den Unternehmen, die den Dienst nutzen. Diese Tatsache stellt übrigens Amazon Web Services in den Kundenvereinbarungen klar fest und weist jegliche Garantie für die Sicherheit der Inhalte in der eigenen Cloud von sich. Dies ist keine Ausnahme. Alle IaaS-Provider schließen die Gewährleistung der Sicherheit, die über die physische Security, des Sicherheitspersonals sowie Basis-Perimetersicherheit der genutzten Computerumgebung hinaus geht aus. Der Grund dafür liegt wahrscheinlich darin, dass die meisten IaaS-Anbieter (75 Prozent laut IDC) in den USA ansässig sind, wo Klagen an der Tagesordnung sind.

Bis dato ist noch kein IaaS-bezogener Datenmissbrauch bekannt geworden. Distributed Denial of Service (DDoS)  und verlorene Daten gab es, doch keinen Missbrauch von kritischen Informationen. Doch angesichts der bestechenden wirtschaftlichen und technischen Vorteile, die Anwender von Applikationen in der Cloud erwarten, kommen immer mehr geschäftskritische Daten in die Cloud, und ist es nur eine Frage der Zeit bis zum ersten Missbrauchsvorfall. Zwar können Unternehmen die Verantwortung für die Sicherheit abgeben, indem sie auf den Security-Maßnahmen des IaaS-Anbieters vertrauen oder einem Managed Security Service Provider (MSSP), doch wenn etwas schief geht, wird der Besitzer der Daten dafür zur Verantwortung gezogen.

Wie lassen sich die Risiken minimieren, wenn es um Anwendungen in der Cloud geht, die kritische Informationen beinhalten? Die Anwendungsentwickler werden wohl zu einem Deployment in der Cloud raten mit dem Zusatz, „sicher, solange Sie die folgenden Schritte unternehmen …“. Zu diesen Schritten gehört auch der Schutz der einzelnen Hosts innerhalb des IaaS-Perimeters mithilfe von Host-basierter Technik, die etwa Deep Packet Inspection für IDP/IPS und Firewalls umfasst, sowie Integritäts-Checking der Dateien und Log-Analysen. Ein für all diese Zwecke ideales Tool ist das neue, auf zahlreiche Cloud-Sicherheits- und Compliance-Fragen zugeschnittene Trend Micro Deep Security.