„Docker Content Trust“: Sicherheit von Container Images mit Einschränkungen

Schreibe eine Antwort

Originalartikel von Brandon Niemczyk (Security Researcher

Eine der wichtigsten Sicherheitsfragen für eine Container-basierte Umgebung lautet: „Kann ich den Container Images trauen?“ Das bedeutet, als erstes müssen die Images auf ihre Korrektheit und die Echtheit der Quelle geprüft werden. Eine der Sicherheitsvorhersagen für 2020 von Trend Micro bezog sich auf die schädlichen Auswirkungen von bösartigen Container Images auf die Unternehmens-Pipeline. Es gab bereits Angriffe, die solche Images missbrauchten, so etwa für das Scannen nach angreifbaren Servern und Krypto-Mining. Für dieses Sicherheitsproblem liefert Docker eine Funktion namens „Content Trust“. Damit können Nutzer Images in einem Cluster oder Swarm zuverlässig bereitstellen und überprüfen, ob es sich tatsächlich um die von ihnen gewünschten Images handelt. Docker Content Trust (DCT) kann jedoch die Images nicht über den Swarm hinweg auf Veränderungen oder Ähnliches überwachen. Es geht ausschließlich um eine einmalige Überprüfung durch den Docker-Client, nicht durch den Server.
Weiterlesen

Cyberkriminelle spielen um Gewinne aus verbrecherischen Aktivitäten

Schreibe eine Antwort

Originalbeitrag von Erin Johnson, Vladimir Kropotov und Fyodor Yarochkin

Im Halbjahresbericht zur Sicherheit 2020 zeigte Trend Micro auf, wie sich die COVID-19-Pandemie auf die Sicherheitsbranche auswirkt. Sie hat nicht nur die Art verändert, wie der Betrieb abläuft (und dementsprechend die Mitarbeiter agieren), sondern auch bestimmte kriminelle Aktivitäten gefördert, vor allem während der Zeit der Kontaktbeschränkungen. Einige dieser Tätigkeiten beziehen sich auf „Freizeitaktivitäten“, doch verbringen die Cyberkriminellen ihre Zeit anders als der Normalbürger, denn deren Beschäftigungen führen zu noch mehr Kriminalität. Das Untergrund-Monitoring der Sicherheitsforscher zeigte mehrere Arten der „Unterhaltung“, einschließlich solcher, die Preise anbot, die aus dem kriminellen Betrieb stammen.
Weiterlesen

Sichere und smarte Verbindungen: Schutz für IoT-Netzwerke im Remote Setup

Schreibe eine Antwort

Originalartikel von Trend Micro

Beim Absichern des Internet of Things (IoT) konzentrieren sich die meisten auf die „Dinge“ oder die im Markt verfügbaren Geräte. Auch wenn die vernetzten Geräte zweifelsohne Sicherheitsherausforderungen mit sich bringen, so ist der Schutz des Netzwerks in seiner Funktion der Bereitstellung einer sicheren IoT-Umgebung sehr wichtig. Während dieser Zeit der Work-from-Home (WFH)-Vereinbarungen ist ein erhöhter Bedarf an Netzwerken entstanden, da Fernbetrieb eine größere Abhängigkeit vom IoT geschaffen hat. Statt sich auf die Sicherung einzelner Geräte zu konzentrieren, die ein Netzwerk kompromittieren können, sollten die Nutzer auch das Netzwerk absichern, um Bedrohungen über mehrere Geräte hinweg zu minimieren.
Weiterlesen

Der Security-RückKlick 2020 KW 42

Schreibe eine Antwort

von Trend Micro

Quelle: CartoonStock

Betrüger sind mit neuen Ideen unterwegs und auch die Schwachstelle Zerologon steht unter Beschuss. Lesen Sie auch wie neben Best Practices kontinuierliches Monitoring helfen kann, dessen Daten sich für die Verteidigung nutzen lassen …
Weiterlesen

VirusTotal unterstützt Trend Micro ELF Hash

Schreibe eine Antwort

Originalartikel von Fernando Merces

IoT Malware-Forscher kennen die Schwierigkeiten beim Wechsel von einem bestimmten Malware-Sample zu einem anderen. IoT-Malware-Samples sind schwierig zu handhaben und zu kategorisieren, da sie in der Regel für mehrere Architekturen kompiliert werden. Außerdem mangelt es an Tools und Techniken zur Untersuchung dieser Art von Dateien. Um IoT- und Linux-Malware-Forscher generell bei der Untersuchung von Angriffen, die ELF-Dateien (Executable and Linkable Format) enthalten, zu unterstützen, gibt es seit April 2020 ELF Hash von Trend Micro (oder auch telfhash). Telfhash ist ein quelloffener Clustering-Algorithmus zur effizienten Cluster-Bildung von Linux IoT Malware-Samples. Einfach gesagt, handelt es sich um ein Konzept, ähnlich dem Import-Hashing (oder ImpHash) für ELF-Dateien. Doch gibt es einige entscheidende Unterschiede zwischen Telfhash und einem Simbol Table Hash. Jetzt hat VirusTotal die Unterstützung für telfhash angekündigt.

VirusTotal war schon immer ein wertvolles Tool für Bedrohungsforscher. Mit telfhash können die Nutzer der VirusTotal Intelligence-Plattform von einer ELF-Datei auf weitere kommen. Telfhash ist für die IoT-Forschung und mehr von Vorteil, denn dieser Clustering-Algorithmus kann auch für jede Linux-bezogene Malware-Untersuchung verwendet werden, wie z.B. die Analyse einiger Angriffe auf Docker-Container, Windows Subsystem für Linux (WSL), Cryptominer, Rootkits und viele andere. Besonders hilfreich kann er auch in Fällen sein, in denen Varianten von Malware zu plattformübergreifenden Bedrohungen werden.

Funktionsweise

Als Beispiel soll eine ausführbare 32-Bit-ELF-Datei dienen, die mit der IoT-Malware Mirai in Verbindung steht. Nachdem der Hash für die Suche verwendet wurde, findet der Nutzer den Telfhash-Wert im „Detail“-Teil des Suchergebnisses. Klickt er diesen Wert an, so kann er ELF-Dateien suchen, die dem telfhash entsprechen.

Bild 1. Ergebnisse der telfhash-Suche

Der „Behavior“-Tab liefert nützliche Informationen zu den gefundenen Samples. Das sind Daten wie kontaktierte IP-Adressen und C&C URLs, die für eine Untersuchung sehr wichtige Netzwerkindikatoren aufzeigen. Dieses Beispiel (weitere Details im Originalbeitrag) zeigt, wie ein Forscher von einem einzigen IoT-Malware Hash auf sieben andere kommen kann.

Bild 2. Der „Behavior“-Tab eines der gefundenen 64-Bit-Samples

Telfhash ist auch über die VirusTotal API erhältlich.