Schlagwort-Archive: Angriff

VirusTotal unterstützt Trend Micro ELF Hash

Originalartikel von Fernando Merces

IoT Malware-Forscher kennen die Schwierigkeiten beim Wechsel von einem bestimmten Malware-Sample zu einem anderen. IoT-Malware-Samples sind schwierig zu handhaben und zu kategorisieren, da sie in der Regel für mehrere Architekturen kompiliert werden. Außerdem mangelt es an Tools und Techniken zur Untersuchung dieser Art von Dateien. Um IoT- und Linux-Malware-Forscher generell bei der Untersuchung von Angriffen, die ELF-Dateien (Executable and Linkable Format) enthalten, zu unterstützen, gibt es seit April 2020 ELF Hash von Trend Micro (oder auch telfhash). Telfhash ist ein quelloffener Clustering-Algorithmus zur effizienten Cluster-Bildung von Linux IoT Malware-Samples. Einfach gesagt, handelt es sich um ein Konzept, ähnlich dem Import-Hashing (oder ImpHash) für ELF-Dateien. Doch gibt es einige entscheidende Unterschiede zwischen Telfhash und einem Simbol Table Hash. Jetzt hat VirusTotal die Unterstützung für telfhash angekündigt.

VirusTotal war schon immer ein wertvolles Tool für Bedrohungsforscher. Mit telfhash können die Nutzer der VirusTotal Intelligence-Plattform von einer ELF-Datei auf weitere kommen. Telfhash ist für die IoT-Forschung und mehr von Vorteil, denn dieser Clustering-Algorithmus kann auch für jede Linux-bezogene Malware-Untersuchung verwendet werden, wie z.B. die Analyse einiger Angriffe auf Docker-Container, Windows Subsystem für Linux (WSL), Cryptominer, Rootkits und viele andere. Besonders hilfreich kann er auch in Fällen sein, in denen Varianten von Malware zu plattformübergreifenden Bedrohungen werden.

Funktionsweise

Als Beispiel soll eine ausführbare 32-Bit-ELF-Datei dienen, die mit der IoT-Malware Mirai in Verbindung steht. Nachdem der Hash für die Suche verwendet wurde, findet der Nutzer den Telfhash-Wert im „Detail“-Teil des Suchergebnisses. Klickt er diesen Wert an, so kann er ELF-Dateien suchen, die dem telfhash entsprechen.

Bild 1. Ergebnisse der telfhash-Suche

Der „Behavior“-Tab liefert nützliche Informationen zu den gefundenen Samples. Das sind Daten wie kontaktierte IP-Adressen und C&C URLs, die für eine Untersuchung sehr wichtige Netzwerkindikatoren aufzeigen. Dieses Beispiel (weitere Details im Originalbeitrag) zeigt, wie ein Forscher von einem einzigen IoT-Malware Hash auf sieben andere kommen kann.

Bild 2. Der „Behavior“-Tab eines der gefundenen 64-Bit-Samples

Telfhash ist auch über die VirusTotal API erhältlich.

 

IoT Monitoring-Daten zu Threat Defense umwandeln

Originalartikel von Shimamura Makoto, Senior Security Specialist

Der Sicherheitsbericht zur Jahresmitte 2020 von Trend Micro weist im Vergleich zum zur zweiten Jahreshälfte 2019 eine Steigerung von 70 Prozent bei Angriffen auf Geräte und Router aus. Dazu gehören auch Attacken auf Internet-of-Things (IoT)-Systeme, die in ihrer Häufung beunruhigen. Die Sicherheitsforscher von Trend Micro überwachen die Trends bezüglich dieser Angriffe und untersuchten Mirai und Bashlite (aka Qbot), zwei berüchtigte IoT Botnet-Schädlingstypen. Interessant sind die Zahlen zu den C&C-Servern dieser Botnets, den IP-Adressen und C&C-Befehle. Auch sammelten die Forscher Daten über die bei der Verbreitung der Malware am häufigsten verwendeten Angriffsmethoden und untersuchten die Verteilung ihrer Varianten.
Weiterlesen

Raffinierter BEC-Betrug trifft französische Unternehmen

Originalbeitrag von Cedric Pernet, Senior Threat Researcher

Die hochgradig anonyme und oft vertraulich ausgelegte Natur des Internets hat zu einer Verbreitung von Betrügereien geführt, die darauf abzielen, von Menschen und Organisationen Geld abzuschöpfen. Trend Micro hat diese Betrügereien im Laufe der Jahre verfolgt und gesehen, wie sie sich von einfachen Schemata zu ausgefeilten Kampagnen entwickelt haben. Eine der gefährlichsten Betrugsmaschen heutzutage ist Business Email Compromise (BEC). Dieser Trick hat Unternehmen 2019 1,7 Mrd. $ Verluste beschert. Trend Micro hat bereits häufig über BEC-Themen berichtet. Ziel dieses Beitrags nun ist es, anhand einer sehr raffinierten Kampagne, die mithilfe von Social Engineering eine Vielzahl von französischen Unternehmen ins Visier nahm, Anwendern nochmals die Gefahren ins Bewusstsein zu bringen.
Weiterlesen

Der Security-RückKlick 2020 KW 41

von Trend Micro

 

 

 

 

 

 

 

Quelle: CartoonStock

Die Schwachstelle Zerologon machte wieder Schlagzeilen, Trend Micro zeigt, wie virtuelles Patching hilft; weitere Analyse des cyberkriminellen Untergrunds — Akteure schützen ihre Foren gegen Angriffe und teurer Verstoß gegen die DSGVO.
Weiterlesen

Security-Strategie – „Take back control”

von Richard Werner, Business Consultant

 

 

 

 

 

in abgedroschener Slogan aus der politischen Brexit-Kampagne als Titel einer Security-Strategie? Und mehr noch, er unterstellt dem Leser, die Kontrolle verloren zu haben! Leider stimmt er teilweise, denn in letzter Zeit fällt die Häufung der Schlagzeilen auf, die über Unternehmen, Behörden oder öffentliche Einrichtungen als Opfer von Cyber-Attacken berichten. Als Folge oder als Lehre daraus wird regelmäßig eine „Umstrukturierung der IT Security“ gefordert. Die Betroffenen haben nachweislich die Kontrolle über Ihre IT Security zumindest für einen gewissen Zeitraum verloren. Haben sie also individuell etwas fundamental falsch gemacht, oder ist der schwerwiegende Ausbruch das offensichtliche Symptom einer schon längst verloren gegangenen Kontrolle?
Weiterlesen