Archiv der Kategorie: Krypto-Mining

Trend Micro XDR-Lösungen entschärfen PwnKit-Lücke

Originalartikel von Sunil Bharti, Nitesh Surana, Threat Researchers

PolKit oder PolicyKit ist eine Komponente, die systemweite Richtlinien und Berechtigungen in Unix und Unix-ähnlichen Betriebssystemen  verwaltet und es nicht privilegierten Prozessen ermöglicht, mit privilegierten zu kommunizieren. PolKits pkexec wird in den meisten Linux-Distributionen mitgeliefert. Es ist ein Tool, das im Allgemeinen zur Ausführung von Befehlen mit erhöhten Rechten (Root-Berechtigungen) verwendet wird. Die Komponente ermöglicht es einem autorisierten Benutzer auch, Programme als ein anderer Nutzer (im Allgemeinen Root) auszuführen. Die Funktion ist gleichbedeutend mit „runas“ in Windows. Leider existiert seit über 12 Jahren in pkexec eine Lücke. Sicherheitsforscher veröffentlichten Memory Corruption Schwachstelle PwnKit. Sie erhielt die ID CVE-2021-4034 (mit 7,8 als hoch eingestuft) Die Lücke ermöglicht es einem Nutzer mit geringen Privilegien, seine Rechte bis zum Root-System des Hosts zu erweitern. Es wurden verschiedene Proofs of Concept in unterschiedlichen Sprachen (z. B. einige in C, Python, Bash und Go) erstellt. Akteure können Umgebungsvariablen in den Kontext des pkexec-Binaries einfügen. Dies ermöglicht eine Ausführung einer vom Angreifer kontrollierten Shared Library sowie das Ausführen von Code mit Root-Rechten. Sicherheitsteams wird empfohlen, dieses Problem so schnell wie möglich zu beheben oder vorübergehende Abhilfemaßnahmen zu ergreifen, während sie ihre jeweiligen Systeme aktualisieren. Wir zeigen, wie Trend Micro™ Vision One™ und Trend Micro™ Cloud One™ verwendet werden können, um den Missbrauch der Sicherheitslücke zu erkennen.

Trend Micro Cloud One™ – Workload Security

Mit der Plattform Trend Micro Cloud One – Workload Security können die folgenden Module für das Erkennen des Missbrauchs von CVE-2021-4034 eingesetzt werden:

  1. Activity Monitoring: Dieses Modul kann Prozess-, Datei- und Netzwerkaktivitäten auf Endpunkten erkennen, auf denen Workload Security läuft. In diesem Fall untersuchen wir die Prozess- und Datei-Aktivitäten, da es bei diesem Angriffsszenario keine Netzwerkkomponente gibt.
  2. Antimalware: bietet in Echtzeit Schutz vor Missbrauch der Schwachstelle und setzt dafür auf Verhaltensüberwachung.

Bild 1. Antimalware-Funktionen können den Missbrauch über einen Exploit erkennen

  1. Log Inspection: Das Modul kann die authentifizierungsbezogenen Ereignisse auf dem Host abgreifen. Bei der Ausführung des Proof of Concept ergeben sich Beobachtungen in /var/log/auth.log, aus denen wir verdächtige Aktivitäten in Bezug auf pkexec ableiten können. Die Regel 1002831 – Unix – Syslog Log Inspection kann potenziell die Ausnutzung von CVE-2021-4034 erkennen.

Trend Micro Vision One

Die Korrelation von Telemetriedaten und Erkennungen von Workload Security liefert einen ersten Sicherheitskontext, so dass Sicherheitsteams und Analysten die Bedrohungen, die CVE-2021-4034 missbrauchen könnten, verfolgen und überwachen können. Trend Micro Vision One bringt in Echtzeit mehr Details in die Wege und Ereignisse.

Observed Attack Techniques (OATs)

Diese beobachteten Angriffstechniken lassen sich aus einzelnen Ereignissen generieren und bieten zusätzlichen Sicherheitsmehrwert. Um die möglichen Missbrauchsversuche dieser Schwachstelle zu untersuchen, können wir nach diesen OAT-IDs in vielen anderen OAT-Triggern suchen, die verdächtige Aktivitäten auf dem buntu-Host anzeigen.

Die folgenden OAT IDs lassen sich bei der Suche nach Bedrohungen nutzen:

  • F2533 – Identified File Permission Change For CVE-2021-4034 Vulnerability Exploitation
  • F4875 – Identified Creation Of GCONV_PATH Directory For CVE-2021-4034 Vulnerability Exploitation
  • F4880 – Identified PkExec Run with Root Privileges
  • F4873 – Potential Exploitation of Polkit Vulnerability CVE-2021-4034
  • F4881 – Potential PwnKit CVE-2021-4034 Exploitation Traces Logged

Root Cause-Analyse (RCA)

Execution Profile ist eine Vision One-Funktion, die Diagramme für Sicherheitsteams erstellt. Sie lassen sich für Felder wie processCmd oder objectCmd aus den Such- oder Bedrohungsverfolgungs-Apps für Aktivitäten erweitern, die innerhalb eines bestimmten Zeitrahmens beobachtet wurden, wie z. B. die Erstellung von Prozessen sowie von Dateien und eingehende und ausgehende Netzwerkaktivitäten. Mithilfe der RCAs können die Ausführungsdetails und die Reihenfolge herausgefunden werden. Die Einzelheiten dazu hat der Originalbeitrag

Trend Micro Vision One Workbench App

Die App unterstützt Analysten dabei, die signifikanten korrelierten Ereignisse intelligent auf der Grundlage der Vorkommnisse in allen Workloads zu erkennen.

Bild 2. Zuordnung von gefährdeten Assets und potenziell betroffenen Arealen.

Die linke Seite des Diagramms zeigt die zusammengefasste Abfolge von Ereignissen. Auf der rechten Seite werden die verschiedenen als wichtig erachteten Bereiche angezeigt, die einen Sicherheitswert darstellen. Die App ermöglicht es den Sicherheitsteams, die kompromittierten Ressourcen zu sehen und diejenigen zu isolieren, die potenziell betroffen sein könnten, während die Patching-Prozeduren im Gange sind.

Fazit

B Basierend auf unseren Tests können Sicherheitsteams einen manuellen Workaround durchführen, indem sie nach den folgenden Zeichenfolgen in der Datei /var/log/auth.log suchen:

  1. „The value for the SHELL variable was not found the /etc/shells file“
  2. „The value for environment variable * contains suspicious content,“ wobei * alles Mögliche wie SHELL oder XAUTHORITY sein kann (in unserem Fall war es XAUTHORITY).

Pfadadministratoren können unterdessen die Schwachstelle vorübergehend entschärfen, indem sie die setuid-Berechtigung aus dem pkexec-Binary entfernen.

Die Wahrscheinlichkeit, dass Angreifer diese Sicherheitslücke missbrauchen und ausnutzen, ist hoch. In Anbetracht der zahlreichen Beweise, die seit deren Aufdeckung aufgetaucht sind, ist es nur eine Frage der Zeit, bis Angreifer einen Exploit dafür in ihre Kampagnen und ihr Angriffsarsenal aufnehmen. Alle großen Linux-Distributoren wie RedHat, Debian, Ubuntu, CentOS und Suse gelten als anfällig.

Diese Schwachstelle kann in jeder Umgebung ausgenutzt werden, in der Angreifer bereits Fuß gefasst haben, von Krypto-Mining über Malware-Infektionen bis hin zu Cyberspionage. Wie die Sicherheitsforscher erklärten, gilt sie als einfach anzugreifen, verschafft dem Angreifer Root-Rechte, kann für laterale Bewegungen genutzt werden und ist selbst dann auszunutzen, wenn der Polkit-Daemon selbst nicht läuft. Doch beim Einsatz dieser Techniken bleiben bei ihrer einfachsten Ausführung Aktivitätsspuren in den Protokollen. Sicherheitsteams wird empfohlen, die erforderlichen Patches so bald wie möglich zu installieren und alle geeigneten Lösungen zur Erkennung und Blockierung von Missbrauch zu aktivieren.

Weitere Details wie eine Übersicht über MITRE ATT&CK-Techniken beinhaltet der Originalbeitrag.

Betrugsschemata via QR-Codes

Originalartikel von Trend Micro

Die Welt hofft auf ein Ende der Covid-19-Pandemie, doch Gesundheitsexperten weisen darauf hin, dass das Virus nicht für immer verschwinden wird. Daher müssen die Menschen lernen, damit zu leben. Dazu gehören auch die durch die Pandemie eingeleiteten Veränderungen des digitalen Lebensstils zu beherrschen, etwa bargeldlose und kontaktlose Transaktionen. Viele Unternehmen haben auf diesen Bedarf mit dem Einsatz von QR-Codes (Quick Response) reagiert. Die Bequemlichkeit, die sie bieten, und die Allgegenwärtigkeit mobiler Geräte haben zweifellos in hohem Maße zur weiten Verbreitung dieser zweidimensionalen Strichcodes beigetragen. Ihre Beliebtheit hat jedoch auch einen fruchtbaren Boden für böswillige Akteure geschaffen, die sich für den Diebstahl von Assets nichtsahnende Menschen aussuchen, die nicht viel über die Sicherheit von QR-Codes wissen. Wie kann man sich also vor QR-Code-Betrug schützen?
Weiterlesen

NAS-Geräte im Visier von Cyberkriminellen

Originalartikel von Stephen Hilt, Fernando Merces, Threat Researchers

Die Bedrohungen für das Internet of Things (IoT) entwickeln sich weiter, denn Benutzer und Unternehmen sind zunehmend auf diese Geräte angewiesen, um eine kontinuierliche Konnektivität, den Zugriff auf Informationen und Daten sowie die Kontinuität von Arbeitsabläufen zu gewährleisten. Cyberkriminelle aktualisieren regelmäßig ihre bekannten Tools und Routinen. Sie nehmen Network-Attached-Storage-Geräte (NAS) in ihre Liste der Angriffsziele auf, wohl wissend, dass die Anwender auf diese Geräte zum Speichern und Sichern von Dateien angewiesen sind. Wichtiger noch: Sie wissen auch, dass diese Geräte wertvolle Informationen enthalten und nur über minimale Sicherheitsmaßnahmen verfügen. Wir haben die aktuelle Infrastruktur, die Umgebung und die Bedrohungen untersucht und halten Empfehlungen für die Verteidigung von Systemen gegen diese Bedrohungen für NAS-Geräte bereit.
Weiterlesen

Malware-Erkennung in Industrial Control Systems

Originalartikel von Ericka Pingol, Threat Researcher

Ransomware, Legacy-Malware, Coinminer und Conficker stellen weiterhin eine große Gefahr für industrielle Steuerungssysteme (ICS) dar. Wir haben uns mit den bekannten spezifischen Malware-Familien in ICS-Endpunkten befasst, um die ICS-Sicherheit zu validieren. Zum Abschluss der Untersuchung soll es um die Erkennung von Malware in den zehn am stärksten betroffenen Ländern gehen. Zudem unterstützen einige Best Practices die Sicherheitsstrategien für Unternehmens-ICS.
Weiterlesen

ICS-Endpunkte unter Beschuss

Originalartikel von Trend Micro Research

Die sich ständig verändernde Technologie hat es möglich gemacht, die Geschäftsprozesse auf der IT-Seite eines Unternehmens mit den physischen Prozessen auf der Operational Technology (OT)-Seite zu verknüpfen. Während diese Entwicklung die Transparenz, Geschwindigkeit und Effizienz verbessert hat, sind industrielle Kontrollsysteme (ICS) seit Jahren Bedrohungen im Bereich der IT-Netzwerke ausgesetzt. Unser Expertenteam hat sich eingehend mit den bekannten spezifischen Malware-Familien in ICS-Endpunkten befasst, um die ICS-Sicherheit zu validieren und eine globale Grundlage für die Untersuchung von Bedrohungen für diese Systeme zu schaffen. Auf diese Weise kann die Wahl der Malware identifiziert und die Motivation und das Qualifikationsniveau der Angreifer aufgedeckt sowie Erkenntnisse über das Ökosystem des betroffenen Netzwerks und die Cybersicherheitshygiene gewonnen werden.
Weiterlesen