Die MuddyWater-Kampagne wurde erstmals 2017 gesichtet, als die saudiarabische Regierung über Angriffe mit PowerShell-Skripts via Microsoft Office Word-Makros ins Visier geriet. Im März 2018 dann gab es eine weitere Kampagne, die Charakteristiken von MuddyWater aufwies. Im Mai nun fanden die Sicherheitsforscher ein neues Sample (W2KM_DLOADR.UHAOEEN) mit Bezug zu dieser Kampagne. Auch hier geht es um ein Microsoft Word-Dokument, das in ein bösartiges Makro eingebettet ist und PowerShell (PS)-Skripts ausführen kann, die zu einer Backdoor Payload führen. Einen bemerkenswerten Unterschied gibt es: Das neue Sample lädt nicht direkt die Visual Basic Script(VBS)- und PowerShell-Komponentendateien herunter, sondern codiert all diese Skripts im Dokument selbst. Die Skripts werden dann decodiert und abgelegt, um die Payload auszuführen. Weiterlesen →
Virtualisierung und Cloud sind ein Segen für Entwickler und Unternehmen, die Anwendungen erstellen. Virtuelle Infrastrukturen bieten kostengünstige, dynamische Möglichkeiten, Produkte und Services bereitzustellen oder eigene Anwendungen zu implementieren. Aber da Unternehmen und Entwickler sich bemühen, schneller mit den Terminen und der Nachfrage Schritt zu halten, hinkt die Sicherheit hinterher und zudem wird in den meisten Fällen daran gespart. Eine Umfrage des SANS-Instituts im Jahr 2017 ergab zum Beispiel, dass 15 Prozent der Unternehmen in den vergangenen zwei Jahren aufgrund von unsicheren Anwendungen Datenverlusten erlitten haben, und in 10 Prozent der Fälle würden überhaupt keine Sicherheitstests für die unternehmenskritischen Anwendungen durchgeführt.
Es ist kein Wunder, dass DevOps an Fahrt gewinnt, sowohl als Software-Engineering-Kultur als auch in Form von Werkzeugen als Zusammenführung für die Softwareentwicklung und Informationstechnologie (IT). Gartner schätzt, dass bis zum nächsten Jahr 70 Prozent der DevOps-bezogenen Initiativen die Sicherheit in die von ihnen verwendeten, erstellten oder eingesetzten Anwendungen integrieren und automatisieren werden.
Die Absicherung virtueller Umgebungen unterscheidet sich nicht von der der Anwendungen selbst. Hier sind einige Überlegungen und Best Practices, die Entwickler, IT-Betriebsmitarbeiter und Systemadministratoren bei der Sicherheit der Infrastrukturen, die die von ihnen genutzten Anwendungen unterstützen, berücksichtigen sollten.
Container und virtuelle Maschinen (VM) müssen stets gepatcht und aktualisiert werden
Sowohl Container als auch VMs bieten die Möglichkeit, Anwendungen mehrfach auszuführen oder innerhalb einer einzigen Plattform zu isolieren, unterscheiden sich jedoch in der Art und Weise, wie sie dies tun. Container virtualisieren ein Betriebssystem, um verschiedene Workloads in einer einzigen Betriebssysteminstanz auszuführen, während VMs Hardware virtualisieren, um Instanzen des Betriebssystems auszuführen.
So stellt jede Instanz der Anwendungen, die in Containern und VMs laufen, einen potenziellen Angriffsvektor dar, wenn sie angreifbar oder falsch konfiguriert ist. Eine Instanz, die mit unnötigen Ports im Container oder in der VM läuft, kann von Hackern dazu ausgenutzt werden, in den Anwendungsserver einzudringen.
Container-Images müssen ebenfalls auf Schwachstellen überprüft werden. Sie werden ständig zu einem Repository hinzugefügt, überschrieben und aufbereitet (wenn Open-Source) — Aktionen, die das Risiko von Sicherheitslücken erhöhen. Die Checkliste des SANS-Instituts für die Auditierung von Docker-basierten Containern ist ein guter Ausgangspunkt für die Bewertung von containerisierten Anwendungen und Host-Betriebssystemen.
Absichern von Anwendungen durch den Schutz des Hypervisors
Der Hypervisor managt die Art und Weise, wie Gastbetriebssysteme auf Ressourcen etwa die CPU, Hauptspeicher, Netzwerk und Speicher zugreifen. Er partitioniert die Ressourcen, um zu verhindern, dass die Instanzen in die jeweils anderen Ressourcen eindringen. Der Hypervisor ist die zugrundeliegende Infrastruktur für Anwendungen, die auf VMs laufen, und deshalb ist ihre Sicherheit von größter Bedeutung. Das U.S. National Institute of Standards and Technology (NIST) hat detaillierte Empfehlungen zur Sicherung des Hypervisors ausgegeben:
Deaktivieren Sie unbenutzte und unnötige virtuelle Hardware oder Dienste (z.B. Zwischenablage und Dateifreigabe), um die Angriffsfläche zu verringern.
Beobachten Sie den Hypervisor bzgl. ungewöhnlicher Aktivitäten.
Überwachen Sie aktiv den Datenverkehr zwischen VMs und aktivieren Sie explizit die Sichtbarkeit für diese.
Verfolgen Sie die Instanzen und schränken Sie die Erstellung von VMs und virtuellen Servern ein, um eine unkontrollierte Ausbreitung der Virtualisierung zu verhindern, bei der zu viele Instanzen zu einem ineffizienten Management von physischen und Software-Ressourcen führen.
Verwenden Sie sichere und verschlüsselte Kommunikationsprotokolle (z. B. Secure Sockets Layer), um Man-in-the-Middle-Angriffe zu verhindern oder Daten bei der Migration oder Speicherung von VM-Images zu schützen.
Authentifizieren Sie die im Server oder in der Bibliothek gespeicherten VM-Images und stellen Sie deren Integrität sicher.
Erkennen von Sicherheitslücken in Containern
Images sind die Blaupause von Containern, die sie zum Ausführen von Anwendungen nutzen. Ein anfälliges Image erzeugt einen durch Malware oder Hacker gefährdeten Container, wodurch die Anwendung selbst anfällig wird. Das Erkennen von Sicherheitslücken (z. B. unsicheren Codes) vor der Ausführung und deren Behebung vor der Planung des Images in einer Orchestrierungsumgebung spart erheblich Zeit und Aufwand bei der Nachbearbeitung von Builds und reduziert den Overhead und Unterbrechungen im Lebenszyklus der Anwendung:
Stellen Sie sicher, dass die Container-Images signiert, authentifiziert und aus einer vertrauenswürdigen Registry entnommen sind. Beim Scannen von Images sollte auch die Registry mit eingeschlossen werden, da die sie kompromittiert und ihre Images manipuliert werden können.
Schützen Sie den Daemon, beschränken Sie den Zugriff darauf oder verwenden Sie verschlüsselte Kommunikationsprotokolle, wenn er im Netzwerk sichtbar ist.
Setzen Sie das Prinzip der niedrigsten Privilegien durch. Im Gegensatz zu einem Hypervisor, der als zentraler Verwaltungspunkt fungiert, kann jeder Benutzer, Dienst oder jede Anwendung mit Zugriff auf das Root-Konto des Containers in andere Container gelangen, die sich den Kernel teilen.
Isolieren Sie Ressourcen, konfigurieren Sie Kontrollgruppen und Namensräume richtig, d.h. welche und wie viele Ressourcen ein Container verwenden darf.
Fügen Sie Sicherheit fest ein, um den Bedarf an zusätzlichen Builds weiter zu reduzieren; Docker hat zum Beispiel eine eigene Dokumentation über die eingebauten Sicherheitsmerkmale seiner Engine, die als Referenz dienen kann.
Security-by-Design
Es geht aber nicht nur um die Sicherheit von Containern und VMs. Unabhängig davon, ob sich die Workloads eines Unternehmens in der physischen, virtuellen oder Cloud-Infrastruktur (oder einer beliebigen Kombination davon) befinden, kann die Wartung und Sicherung dieser Infrastrukturen zur Herausforderung werden. Unabhängig davon, ob virtuelle Maschinen oder Container (oder beide gleichzeitig) zum Testen, Ausführen und Bereitstellen von Anwendungen genutzt werden, sollte Sicherheit keine Hürde darstellen. Die Integration von Sicherheit in die Infrastrukturen hinter den Anwendungen trägt nicht nur zur Abwehr von Bedrohungen bei, sondern reduziert auch die Geschäftsrisiken für Unternehmen.
Mit Hilfe von Machine Learning-Algorithmen gelang es den Sicherheitsforschern von Trend Micro, den massiven Zertifikatmissbrauch durch BrowseFox aufzudecken. BrowseFox, eine potenziell unerwünschte Anwendung (von Trend Micro als PUA_BROWSEFOX.SMC identifiziert), ist ein Marketing-Adware Plugin, das unerlaubt Popup-Werbung und Discount Deals einschleust. Die Software nutzt einen legitimen Prozess, könnte aber von Bedrohungsakteuren ausgenutzt werden, die die Werbeanzeigen korrumpieren, um Opfer auf bösartige Sites umzuleiten, wo sie unwissentlich Malware herunterladen. Bei der Analyse stellten die Forscher fest, dass BrowseFox einen großen Teil des firmeneigenen Datensatzes von 2 Millionen signierten Dateien ausmacht – Dateien, die auf ihre Gültigkeit und Integrität überprüft wurden. Weiterlesen →
Warnungen: Viele Mio. IoT-Geräte angreifbar wegen Problems in Z-Wave-Implementierung, hundert Tausende Home- und Office-Router gehackt, Malware in Android-Geräten vorinstalliert … Weiterlesen →
Den Sicherheitsforschern von Trend Micro fiel eine Serie von Testübermittlungen bei VirusTotal auf, die von derselben Gruppe von Schadsoftware-Entwicklern aus Moldawien zu kommen schienen, zumindest deuteten die Dateinamen und die Quelle der Übermittlungen darauf hin. Wahrscheinlich arbeiten sie an einer neuen Schadsoftware (JS_DLOADR und W2KM_DLOADR), die sich über Spam-Mail mit einem bösartigen Anhang verbreiten soll.
