ISPIN Security Radar #33/19

/Security Radar

"XaaS – Everything as a service: Anyone can be a hacker." Auch Cyberkriminelle wollen ein regelmässiges Einkommen. Durch Malware-as-a-Service können auch User, die nicht über entsprechende Programmier- oder tiefergehende IT-Kenntnisse verfügen, Schadsoftware erwerben und einsetzen. Und das Business boomt.

Auch in der letzten Woche gab es wieder eine Vielzahl von Schlagzeilen. So wurde in 50 Ländern alle Werke des Schweizer Industriekonzerns Omya von Hackern lahmgelegt. Dabei handelte es sich um eine neue unbekannte Variante einer nicht näher genannten Ransomware. Zudem gab Meier Tobler weitere Details zu den Auswirkungen der Cyberattacke vom Juli bekannt. Demzufolge rechnet das Unternehmen im Geschäftsjahr 2019 mit einer Umsatzeinbusse von 5 Mio. und Sonderkosten von 2 Mio. Bei der eingesetzten Ransomware habe es sich um die böswillige Variante von "Cobalt Strike" gehandelt. Weiter wurde eine brandgefährliche iOS-Schwachstelle per Software-Update versehentlich wieder geöffnet. Und die Europäische Zentralbank (EZB) hat nach einem Hackerangriff die Webseite «BIRD» vom Netz genommen. Es ist nicht auszuschliessen, dass bei dem Angriff E-Mail-Adressen und andere Kontaktdaten wie Namen und Titel gestohlen wurden. Zudem warnt das Bundeskriminalamt vor einer steigenden Cyberkriminalität, denn die Hacker bieten Ihre Lösungen vermehrt als Service an, so wie es in der legitimen Geschäftswelt mit Software-as-a-Service (SaaS) schon lange üblich ist. Moderne Malware wird wie jede andere Software entwickelt, gebaut und verkauft. So macht z.B. seit kurzem die neue Android Malware «Cerberus» das mobile e-Banking unsicher.

Businessmodell Malware as a Service

«Cerberus» ist ein neuer Banking-Trojaner, der potenziellen Hackern über MaaS (Malware as a Service) zur Miete angeboten wird. Der Preis für den Zugang dazu beträgt 2’000$ für 1 Monat, 7’000$ für 6 Monate, und 12’000$ für ein Jahr. Interessant ist zudem, dass die Malware in öffentlichen sozialen Netzwerken mit «offiziellen» Profilen und sogar Promotionen beworben wird. Die Malware wurde von Grund auf neu geschrieben und verwendet keine Komponenten, die von anderen Banking-Trojanern stammen. Das bedeutet, dass es sehr schwierig sein kann, sie durch aktuelle Sicherheitsmechanismen zu erkennen. Um der Entdeckung zu entgehen liest sie die Daten des Bewegungssensors aus und aktiviert sich erst, wenn er eine gewisse Anzahl an Schritten gemessen hat. Zur Tarnung gibt sich die Malware als Flash-Player-App aus. Nach der Installation löscht Cerberus seine Spuren wie das App-Icon und bittet die Opfer mit einer Eingabeaufforderung «Enable Flash Player Service» um die Privilegien wie Textnachrichten und Anrufe für den Dienst. Eine der ersten Aktionen, die danach ausgeführt wird, ist die Blockade des Google Play Protect-Dienstes, um eine Entdeckung und Entfernung durch die Security-App zu vermeiden und um zusätzliche Berechtigungen zu erhalten, um das infizierte Gerät mit seinem Botnetz zu registrieren und auf Befehle vom Controller der Malware zu warten. Wird Cerberus schliesslich aktiv, legt er sich als «Overlay» auf Banking-Apps, die der User nutzt. Forscher von Threat Fabric Research haben zurzeit Overlays für sieben französischen Banken-Apps, sieben US-Banken, einer japanischen Bank und weiteren 15 Nicht-Banken-Apps wie einem Phishing-Overlay für die Anmeldung bei einem Google-Konto und generischen Kreditkarten-Grabbern festgestellt. Meldet sich der User in diesem Fall an, werden die Login-Daten oder PINs an den Server des Angreifers geschickt. Diese Phishing-Methode lässt sich mit blossem Auge nicht erkennen. Cerberus kann eine Viezahl von Angriffen/Funktionen durchführen, ohne sie durch die Sicherheitssoftware zu erkennen, z.B. das Filtern von Kontaktlisten, das Senden von SMS-Nachrichten, das Öffnen einer URL in WebView, das Filtern von SMS-Nachrichten, das Weiterleiten von Anrufen an eine andere Nummer und vieles mehr.

Auch wenn Banking-Trojaner in aller Munde sind, Angriffe können jeden treffen, auch in Bereichen an die man nicht gleich denkt, wie z.B. über Gaming-Plattformen.

Sind Sie Zocker?

Falls Sie ein Zocker sind, dann ist Ihr Rechner möglicherweise stark gefährdet. Denn einerseits ist die Windows-Schwachstelle CVE-2015-7985, die bereits am 24. November 2015 mit einem Base-Score von 7,2 (Hoch) öffentlich wurde, wieder offen. Es wird vermutet wird, dass dies mit den Juli 2019 Updates für die Windows 10 Version 1903 zu tun haben könnte. Das Problem tritt bei der Installation des Stream-Clients unter Windows auf, da der Installationsordner mit schwache Berechtigungen eingerichtet wird. Jeder Benutzer erhält das Recht zum Lesen und Schreiben in diesen Ordner. Durch die schwachen Schreibrechte könnte ein Angreifer über ein lokales Benutzerkonto die Datei steam.exe im Installationsordner durch ein Schadprogramm ersetzt werden. Andererseits veröffentlichte Vasily Kravets im Juni eine «Privilege-Escalation-Lücke», durch die geübte Nutzer mittels einer überschaubaren Kommando-Abfolge jedes beliebige Programm starten kann. Die Schwachstelle dafür liegt im Gaming Steam Client-Service selbst, denn dieser ermöglicht den Zugriff auf Systemdienste, hebelt sämtliche Zugriffsbeschränkungen aus und kompromittiert so auch gut geschützte Systeme. Der Service kann von einem beliebigen Nutzer gestartet und gestoppt werden, arbeitet aber selbst mit Systemrechten. Die Sicherheitslücke erlaubt es Angreifern theoretisch, ein beliebiges Programm auf dem Rechner des Opfers auszuführen. Sobald der Dienst läuft, setzt er auf einer Reihe von Registry-Keys volle Zugriffsrechte. Ein böswilliger Benutzer kann nun einen dieser Schlüssel mit dem eines anderen Dienstes durch einen Symlink (symbolische Verknüpfung) verknüpfen, womit es ihm möglich wird, auch diesen Dienst/Anwendung mit Systemrechten zu starten oder zu stoppen. Valve hat inzwischen reagiert und eine neue Beta-Version von Steam veröffentlicht, in der laut Ankündigung die Sicherheitslücke geschlossen wurde.

Das es wirklich jeden treffen kann zeigt auch der Fall Kaspersky.

Datenleck in Security-Software

Das Security-Unternehmen Kaspersky verspricht mit seiner Antiviren-Software Sicherheit und Datenschutz. Die Ironie ist, dass durch ein Datenleck Dritte die Nutzer der Kaspersky-Software jahrelang beim Surfen ausspionieren konnten, wie eine Analysen des Fachmagazins «c't» ergab. Der Analyse zufolge schleust die Antiviren-Software, egal welchen Browser man verwendet, beim Aufrufen einer Webseite einen individuellen Code in den HTML-Code ein. Das Skript sei offenbar dafür zuständig, grüne Schutzschilde hinter Google-Suchtreffern einzublenden, wenn ein Link nach Einschätzung von Kaspersky sauber ist. Das Problem: In dem Codeschnipsel steckte auch eine ID, mit der jeder Webseitenbetreiber prima den Nutzer hätte tracken können. Selbst der Inkognito-Modus eines Browsers habe daran nichts geändert. Kaspersky bietet nun einen Patch an, bei dem immer noch ein Skript eingefügt wird, jedoch mit einer für alle Nutzer identischen ID. Wer ganz auf Nummer sicher gehen will, sollte die verantwortlichen Funktionen in den Einstellungen der Kaspersky-Software deaktivieren und so dem Programm untersagen, ein «Skript für die Interaktion mit Webseiten in den Datenverkehr» einzubinden.

Ein weiteres Beispiel kommt aus der Tourismus-Branche.

700'000 Daten von Kunden der Choice-Hotels veröffentlicht

Nicht immer liegt das Sicherheitsproblem bei einem selbst. Das Unternehmen nicht nur regelmässig seine eigenen Systeme überprüfen sollte, sondern auch die von seinen Dienstleistern, hat der Hotelriese Choice, zu dem Hotelmarken wie Hilton, Holiday Inn, Best Western, Hyatt oder Mariott gehören, vor kurzem gelernt. Choice hatte die Entwicklung eines neuen Tools in Auftrag gegeben. Der IT-Dienstleister hat es aber versäumt die Daten verantwortungsvoll zu verwalten. Gemäss Choice hat der Anbieter die betroffene MongoDB-Datenbank aus dem geschützten Serversystem der Hotelgruppe ohne Autorisierung kopiert und auf seinen Server übertragen, wo sie für einige Tage über das Internet abrufbar waren. Nach eigenen Angaben bestand die Datenbank zum Grossteil aus fiktiven Datensätzen enthielt aber ebenso Kontaktinformationen von 700'000 Gästen – einschliesslich Namen, Adressen, Telefonnummern und/oder E-Mail-Adressen. Die Entdeckung stammte von Bob Diachenko, einem Forscher, der einen Grossteil seiner Zeit damit verbringt, nach ungeschützten Datenbanken zu suchen. Bei der Untersuchung der Datenbank fand der Forscher auch eine Lösegeldforderung. Die Nachricht behauptete, dass 700’000 Datensätze gestohlen und anderweitig gesichert worden seien und verlangte von den Besitzern 0,4 Bitcoin (BTC), zum Zeitpunkt des Schreibens etwa 4.000 US-Dollar. Der Forscher glaubt, dass die Notiz durch ein automatisiertes Skript platziert wurde, und dass die Hacker beabsichtigt haben könnten, die Datenbank nach dem Kopieren der Daten zu löschen, was aus unbekannten Gründen, wahrscheinlich ein fehlerhaftes Skript, aber fehlschlug. Auch wenn die Datenbank  keinerlei Zahlungs-, Passwort- oder Reservierungsinformationen enthielt, kann der Diebstahl Auswirkungen auf die Kunden haben. Die gestohlenen Daten können beispielsweise in massgeschneiderten Phishing-Kampagnen per Mail oder SMS verwendet werden, um vertraulichere und wertvollere Informationen zu erhalten. Auch ein erhöhtes Mass an Spam, das in den Kundenpostfächern ankommt, ist möglich.

Angriffe werden von Menschen durchgeführt, sind unberechenbar und äusserst dynamisch. Fast täglich erscheinen neue Malware-Varianten, wie z.B bei HawkEye.

HawkEye Malware ändert die Keylogging-Technik

Forscher von Cyberbit Labs haben beobachtet, dass die HawkEye Malware-Varianten ihre Keylogging-Technik verändert haben. Bisher war die am weitesten verbreitete Keylogger-Technik, eine Prozedur über das SetWindowsHookExA API in die Message-Hook-Kette eines Fensters zu registrieren. Die neuen HawkEye-Varianten nutzen das RegisterRawInputDevices API, um sich für die Eingabe über die Tastatur zu registrieren. Diese Technik ist nicht neu. Sie wurde in Metasploit verwendet. Dies ist jedoch das erste Mal, dass sie bei der Verwendung in einer HawkEye Malwareprobe beobachtet wurde. Hawkeye Malware wird als Malware-as-a-Service verkauft. Im Laufe der Jahre wurde die Malware von Hawkeye aktualisiert und verbessert. Von Zeit zu Zeit werden ihm neue Fähigkeiten und Techniken hinzugefügt. Zu den wichtigsten Zielbranchen gehören Software und Technologie, Banken, Energie, Chemie und Automobil.

 

Sie möchten noch umfangreicher informiert werden? Der wöchentliche Threat Report von ISPIN liefert Ihnen kontinuierlich Bedrohungsinformationen und verschafft Ihnen damit Transparenz über Ihre aktuelle Sicherheitslage. Nehmen Sie mit uns Kontakt auf.

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter