Archiv der Kategorie: Krypto-Mining

Supply Chain-Angriffe im Cloud Computing vermeiden

Originalartikel von Trend Micro

Sicherheit ist einer der wichtigen Aspekte, die Unternehmen berücksichtigen müssen, wenn sie auf Cloud-basierte Technologien setzen. Ganz oben auf der Liste der zu sichernden Ressourcen stehen Netzwerke, Endpunkte und Anwendungen. Um Betriebskosten zu optimieren, verlagern einige Organisationen ihre Backend-Infrastruktur in die Cloud oder betreiben ihre eigene firmeninterne private Cloud mit Cloud-basierten Lösungen. Doch wird dieser Ansatz vom Standpunkt der Architektur oder auch die Konfigurationen nicht korrekt durchgeführt, so kann das Backend Bedrohungen ausgesetzt werden und ein leichtes Ziel für Supply Chain-Angriffe darstellen. Die Folge sind der Verlust von Daten, Reputation und Vertrauen der Kunden.
Weiterlesen

VirusTotal unterstützt Trend Micro ELF Hash

Originalartikel von Fernando Merces

IoT Malware-Forscher kennen die Schwierigkeiten beim Wechsel von einem bestimmten Malware-Sample zu einem anderen. IoT-Malware-Samples sind schwierig zu handhaben und zu kategorisieren, da sie in der Regel für mehrere Architekturen kompiliert werden. Außerdem mangelt es an Tools und Techniken zur Untersuchung dieser Art von Dateien. Um IoT- und Linux-Malware-Forscher generell bei der Untersuchung von Angriffen, die ELF-Dateien (Executable and Linkable Format) enthalten, zu unterstützen, gibt es seit April 2020 ELF Hash von Trend Micro (oder auch telfhash). Telfhash ist ein quelloffener Clustering-Algorithmus zur effizienten Cluster-Bildung von Linux IoT Malware-Samples. Einfach gesagt, handelt es sich um ein Konzept, ähnlich dem Import-Hashing (oder ImpHash) für ELF-Dateien. Doch gibt es einige entscheidende Unterschiede zwischen Telfhash und einem Simbol Table Hash. Jetzt hat VirusTotal die Unterstützung für telfhash angekündigt.

VirusTotal war schon immer ein wertvolles Tool für Bedrohungsforscher. Mit telfhash können die Nutzer der VirusTotal Intelligence-Plattform von einer ELF-Datei auf weitere kommen. Telfhash ist für die IoT-Forschung und mehr von Vorteil, denn dieser Clustering-Algorithmus kann auch für jede Linux-bezogene Malware-Untersuchung verwendet werden, wie z.B. die Analyse einiger Angriffe auf Docker-Container, Windows Subsystem für Linux (WSL), Cryptominer, Rootkits und viele andere. Besonders hilfreich kann er auch in Fällen sein, in denen Varianten von Malware zu plattformübergreifenden Bedrohungen werden.

Funktionsweise

Als Beispiel soll eine ausführbare 32-Bit-ELF-Datei dienen, die mit der IoT-Malware Mirai in Verbindung steht. Nachdem der Hash für die Suche verwendet wurde, findet der Nutzer den Telfhash-Wert im „Detail“-Teil des Suchergebnisses. Klickt er diesen Wert an, so kann er ELF-Dateien suchen, die dem telfhash entsprechen.

Bild 1. Ergebnisse der telfhash-Suche

Der „Behavior“-Tab liefert nützliche Informationen zu den gefundenen Samples. Das sind Daten wie kontaktierte IP-Adressen und C&C URLs, die für eine Untersuchung sehr wichtige Netzwerkindikatoren aufzeigen. Dieses Beispiel (weitere Details im Originalbeitrag) zeigt, wie ein Forscher von einem einzigen IoT-Malware Hash auf sieben andere kommen kann.

Bild 2. Der „Behavior“-Tab eines der gefundenen 64-Bit-Samples

Telfhash ist auch über die VirusTotal API erhältlich.

 

Die Weiterentwicklung bösartiger Shell Skripts

Originalartikel von David Fiser, Alfredo Oliveira

Unix-Programmierer nutzen Shell Skripts generell als einfache Möglichkeit mehrere Linux-Befehle aus einer einzigen Datei heraus auszuführen. Viele tun dies als Teil einer gewöhnlichen betrieblichen Workload, bei der Dateien manipuliert, Programme ausgeführt werden und Text gedruckt wird.

Ein Shell-Interpreter steht in jeder Unix-Maschine zur Verfügung und ist daher auch für böswillige Akteure ein interessantes und dynamisches Werkzeug für ihre Zwecke. Trend Micro hat bereits über Payloads berichtet, die über Shell Skripts falsch konfigurierte Redis-Instanzen missbrauchen, Docker-APIs exponieren oder konkurrierende Kryptowährungs-Miner entfernen. Dieser Beitrag stellt dar, wie Cyberkriminelle Shell Skripts verändert haben und wie sie bei der Entwicklung von Malware-Payloads in bösartigen Routinen eingesetzt werden können.
Weiterlesen

Kampf der Linux Kryptowährungs-Miner um Ressourcen

Originalbeitrag von Alfredo Oliveira, David Fiser

Das Linux-Ökosystem steht in dem Ruf, sicherer und zuverlässiger als andere Betriebssysteme zu sein. Das erklärt möglicherweise auch, warum Google, die NASA und das US-Verteidigungsministerium Linux für ihre Online-Infrastrukturen und -Systeme nutzen. Leider ist die weite Verbreitung der Linux-Systeme auch für Cyberkriminelle sehr attraktiv. Mittlerweile wird ein rücksichtsloser Kampf um Rechenleistung zwischen den verschiedenen Kryptowährungs-Mining- Programmen, die auf Linux-Systeme abzielen, ausgetragen. Der Beitrag stellt die Angriffskette dar, einschließlich der Verschiebung der Eintrittspunkte unter anderem auf Docker-Umgebungen und Anwendungen mit offenen APIs.
Weiterlesen

Der Security-RückKlick 2020 KW 35

von Trend Micro

 

 

 

 

 

 

 

Quelle: CartoonStock

Halbjahresbericht von Trend Micro zeigt das Ausmaß der Corona-bezogenen Bedrohungen, CSS nimmt den ersten Platz bei Gefahren durch Schwachstellen ein, neue Lösung schützt Mobilfunknetze und gefährliche Lücke in Google Drive.
Weiterlesen