Trojaner „BIFROSE“ befällt jetzt auch UNIX-Systeme

Die neueste Waffe im Arsenal der Cyberspione hinter der Operation "Shrouded Crossbow" befällt jetzt nicht nur Windows, sondern auch Unix- und Unix-ähnliche Systeme. [...]

Haben Sicherheitsexperten in Behörden und Unternehmen den Verdacht, Opfer eines gezielten Angriffs zu sein, müssen sie schnell reagieren. Die folgenden, ebenfalls von Trend Mirco zusammengestellten „Sieben Punkte für die Suche nach Anzeichen eines gezielten Angriffs“ können dabei helfen, erste Gegenmaßnahmen einzuleiten:

Suche nach eingefügten DNS Records

Angreifer manipuliren häufig DNS Records, um sicherzustellen, dass die Verbindungen zu ihren C&C-Servern nicht blockiert werden. Administratoren sollten nach folgenden Anzeichen für eingefügte DNS Records suchen:

  • Unbekannte Domänen, die in IPs wie 127.0.0.1, 127.0.0.2, 255.255.255.254, 255.255.255.255, 0.0.0.0 und 1.1.1.1 „geparkt“ sind. Diese IPs werden typischerweise von Angreifern als Platzhalter für noch nicht genutzte C&Cs eingesetzt.
  • Unbekannte Domänen, die erst kürzlich, etwa vor drei Tagen, registriert wurden. Lässt sich mit whois prüfen.
  • Domänen, die aus zufälligen Zeichen zu bestehen scheinen (z.B. aeeqvsfmtstjztqwlrqknoffmozu.com oder zxcmpfwqwgqnbldzhdqsrqt.com)
  • Domänen, die bekannte Sites zu imitieren scheinen (z.B. microsoft-dot .com oder goooogle.com)

Audit-Konten für fehlgeschlagene/irreguläre Anmeldungen

Sobald ein Angreifer sich in einem Netzwerk festgesetzt hat und die Kommunikation mit seinem C&C steht, beginnt er in vielen Fällen mit lateralen Bewegungen durchs Netz. Er sucht das Active Directory, den Mail- oder Dateiserver und greift über einen Exploit und eine Server-Sicherheitslücke darauf zu. Wenn Administratoren ihre wichtigen Server gegen Sicherheitslücken gepatcht und gesichert haben, so versucht der Kriminelle, Admin-Konten mit Gewalt zu knacken. Deshalb ist der Login Record die beste Referenz für jeden diesbezüglichen Versuch. Die Suche nach fehlgeschlagenen aber auch erfolgreichen Logins zu verdächtigen Zeiten zeigt die Versuche eines Angreifers, sich innerhalb des Netzes lateral zu bewegen.

Warnungen aus den Sicherheitslösungen

Manchmal kennzeichnen Sicherheitslösungen scheinbar harmlose Tools als verdächtig. Nutzer ignorieren die Warnungen, denn die Datei ist entweder bekannt oder scheint harmlos. Doch immer wieder kommt es vor, dass die Warnungen tatsächlich auf einen Angreifer im Netzwerk hinweisen. Die Kriminellen könnten entweder schlecht aufgesetzte Hacker-Tools verwenden oder manchmal solche wie PsExec und andere aus der Sysinternals Suite, um damit Diagnosen im System oder Netzwerk durchzuführen. Manche Sicherheitslösungen kennzeichnen diese Tools als verdächtig, wenn sie nicht auf dem Computer des Nutzers vorinstalliert sind. Der IT-Admin muss nachfragen, warum der Nutzer das entsprechende Tool einsetzt. Falls kein guter Grund vorliegt, könnte es ein Angreifer sein.

Suche nach merkwürdigen großen Dateien

Admins müssen unbekannte große Dateien in einem System prüfen, da sie Daten enthalten können, die aus dem Netzwerk gestohlen wurden. Angreifer speichern diese Dateien vor der Exfiltrierung häufig in den Systemen ihrer Opfer und verstecken sie hinter normal aussehenden Dateinamen und Dateitypen.

Audit von Netzwerk-Logs auf von der Norm abweichende Verbindungen

Es ist wichtig, die Netzwerk-Monitoring-Logs zu auditieren, um Abweichungen in den Verbindungen zu entdecken. Dafür müssten Admins das Netzwerk und die Aktivitäten darin zu jeder Zeit genau kennen. Nur wenn der Normalzustand des Netzwerks bekannt ist, lassen sich Abweichungen davon erkennen.

Abweichende Protokolle

Im Zusammenhang mit abweichenden Verbindungen sollten auch die dabei genutzten Protokolle geprüft werden, vor allem diejenigen, die von innen nach draußen gehen. Häufig nutzen die Angreifer ein Protokoll, das in dem entsprechenden Netzwerk erlaubt ist. Das heißt, Verbindungen müssen auch dann inspiziert werden, wenn sie normale Protokolle nutzen.

Beispielsweise haben Angreifer https (port 443) für die Verbindung nach draußen genutzt, doch bei der Prüfung des Inhalts wurde festgestellt, dass nur http-Datena darin enthalten waren. Admins denken nicht daran, https-Verbindungen zu prüfen, da sie davon ausgehen, dass diese immer verschlüsselt sind.

Erhöhte E-Mail-Aktivität

IT-Admins können Mail-Logs prüfen, um zu sehen, ob es merkwürdige Spitzen für einzelne Nutzer gab. Diese müssen weiter erforscht werden, weil der Nutzer sich unter Umständen in einem gezielten Spear-Phishing-Angriff befindet. Ein Angreifer, der seine Hausaufgaben gemacht hat, könnte darüber Bescheid wissen, dass ein Mitarbeiter ein wichtiges Meeting haben wird und ihm bereits drei Monate vorher Spear-Phishing-Mails schicken. (pi/rnf)


Mehr Artikel

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*