Schlagwort-Archive: Bedrohung

„Docker Content Trust“: Sicherheit von Container Images mit Einschränkungen

Originalartikel von Brandon Niemczyk (Security Researcher

Eine der wichtigsten Sicherheitsfragen für eine Container-basierte Umgebung lautet: „Kann ich den Container Images trauen?“ Das bedeutet, als erstes müssen die Images auf ihre Korrektheit und die Echtheit der Quelle geprüft werden. Eine der Sicherheitsvorhersagen für 2020 von Trend Micro bezog sich auf die schädlichen Auswirkungen von bösartigen Container Images auf die Unternehmens-Pipeline. Es gab bereits Angriffe, die solche Images missbrauchten, so etwa für das Scannen nach angreifbaren Servern und Krypto-Mining. Für dieses Sicherheitsproblem liefert Docker eine Funktion namens „Content Trust“. Damit können Nutzer Images in einem Cluster oder Swarm zuverlässig bereitstellen und überprüfen, ob es sich tatsächlich um die von ihnen gewünschten Images handelt. Docker Content Trust (DCT) kann jedoch die Images nicht über den Swarm hinweg auf Veränderungen oder Ähnliches überwachen. Es geht ausschließlich um eine einmalige Überprüfung durch den Docker-Client, nicht durch den Server.
Weiterlesen

Sichere und smarte Verbindungen: Schutz für IoT-Netzwerke im Remote Setup

Originalartikel von Trend Micro

Beim Absichern des Internet of Things (IoT) konzentrieren sich die meisten auf die „Dinge“ oder die im Markt verfügbaren Geräte. Auch wenn die vernetzten Geräte zweifelsohne Sicherheitsherausforderungen mit sich bringen, so ist der Schutz des Netzwerks in seiner Funktion der Bereitstellung einer sicheren IoT-Umgebung sehr wichtig. Während dieser Zeit der Work-from-Home (WFH)-Vereinbarungen ist ein erhöhter Bedarf an Netzwerken entstanden, da Fernbetrieb eine größere Abhängigkeit vom IoT geschaffen hat. Statt sich auf die Sicherung einzelner Geräte zu konzentrieren, die ein Netzwerk kompromittieren können, sollten die Nutzer auch das Netzwerk absichern, um Bedrohungen über mehrere Geräte hinweg zu minimieren.
Weiterlesen

Der Security-RückKlick 2020 KW 42

von Trend Micro

Quelle: CartoonStock

Betrüger sind mit neuen Ideen unterwegs und auch die Schwachstelle Zerologon steht unter Beschuss. Lesen Sie auch wie neben Best Practices kontinuierliches Monitoring helfen kann, dessen Daten sich für die Verteidigung nutzen lassen …
Weiterlesen

VirusTotal unterstützt Trend Micro ELF Hash

Originalartikel von Fernando Merces

IoT Malware-Forscher kennen die Schwierigkeiten beim Wechsel von einem bestimmten Malware-Sample zu einem anderen. IoT-Malware-Samples sind schwierig zu handhaben und zu kategorisieren, da sie in der Regel für mehrere Architekturen kompiliert werden. Außerdem mangelt es an Tools und Techniken zur Untersuchung dieser Art von Dateien. Um IoT- und Linux-Malware-Forscher generell bei der Untersuchung von Angriffen, die ELF-Dateien (Executable and Linkable Format) enthalten, zu unterstützen, gibt es seit April 2020 ELF Hash von Trend Micro (oder auch telfhash). Telfhash ist ein quelloffener Clustering-Algorithmus zur effizienten Cluster-Bildung von Linux IoT Malware-Samples. Einfach gesagt, handelt es sich um ein Konzept, ähnlich dem Import-Hashing (oder ImpHash) für ELF-Dateien. Doch gibt es einige entscheidende Unterschiede zwischen Telfhash und einem Simbol Table Hash. Jetzt hat VirusTotal die Unterstützung für telfhash angekündigt.

VirusTotal war schon immer ein wertvolles Tool für Bedrohungsforscher. Mit telfhash können die Nutzer der VirusTotal Intelligence-Plattform von einer ELF-Datei auf weitere kommen. Telfhash ist für die IoT-Forschung und mehr von Vorteil, denn dieser Clustering-Algorithmus kann auch für jede Linux-bezogene Malware-Untersuchung verwendet werden, wie z.B. die Analyse einiger Angriffe auf Docker-Container, Windows Subsystem für Linux (WSL), Cryptominer, Rootkits und viele andere. Besonders hilfreich kann er auch in Fällen sein, in denen Varianten von Malware zu plattformübergreifenden Bedrohungen werden.

Funktionsweise

Als Beispiel soll eine ausführbare 32-Bit-ELF-Datei dienen, die mit der IoT-Malware Mirai in Verbindung steht. Nachdem der Hash für die Suche verwendet wurde, findet der Nutzer den Telfhash-Wert im „Detail“-Teil des Suchergebnisses. Klickt er diesen Wert an, so kann er ELF-Dateien suchen, die dem telfhash entsprechen.

Bild 1. Ergebnisse der telfhash-Suche

Der „Behavior“-Tab liefert nützliche Informationen zu den gefundenen Samples. Das sind Daten wie kontaktierte IP-Adressen und C&C URLs, die für eine Untersuchung sehr wichtige Netzwerkindikatoren aufzeigen. Dieses Beispiel (weitere Details im Originalbeitrag) zeigt, wie ein Forscher von einem einzigen IoT-Malware Hash auf sieben andere kommen kann.

Bild 2. Der „Behavior“-Tab eines der gefundenen 64-Bit-Samples

Telfhash ist auch über die VirusTotal API erhältlich.

 

IoT Monitoring-Daten zu Threat Defense umwandeln

Originalartikel von Shimamura Makoto, Senior Security Specialist

Der Sicherheitsbericht zur Jahresmitte 2020 von Trend Micro weist im Vergleich zum zur zweiten Jahreshälfte 2019 eine Steigerung von 70 Prozent bei Angriffen auf Geräte und Router aus. Dazu gehören auch Attacken auf Internet-of-Things (IoT)-Systeme, die in ihrer Häufung beunruhigen. Die Sicherheitsforscher von Trend Micro überwachen die Trends bezüglich dieser Angriffe und untersuchten Mirai und Bashlite (aka Qbot), zwei berüchtigte IoT Botnet-Schädlingstypen. Interessant sind die Zahlen zu den C&C-Servern dieser Botnets, den IP-Adressen und C&C-Befehle. Auch sammelten die Forscher Daten über die bei der Verbreitung der Malware am häufigsten verwendeten Angriffsmethoden und untersuchten die Verteilung ihrer Varianten.
Weiterlesen