Trellix-Logo
Einführungsvideo zu Trellix
Einführung zu Trellix

Eine lebendige Sicherheitsplattform, die ständig lernt und sich ständig optimiert.

Gartner Magic Quadrant für Endgeräteschutz-Plattformen
Gartner Magic Quadrant für Endgerätelösungen

Laden Sie den Magic Quadrant-Bericht herunter, der 19 Anbieter basierend auf ihrer Durchführungskompetenz und der Vollständigkeit ihres Lösungsansatzes beurteilt.

Gartner-Marktleitfaden zu XDR
Gartner®-Bericht: Marktleitfaden zu XDR

Laut Gartner ist "XDR eine neue Technologie, die bessere Funktionen für Bedrohungsschutz, Erkennung und Reaktion bietet".

Der Threats-Report, Sommer 2022
Neuester Bericht

Unser Threats-Report für den Sommer 2022 informiert über die Entwicklungen in der russischen Cyber-Kriminalität, Untersuchungen zu Angriffen auf medizinische Geräte und Zugangskontrollsysteme sowie über neueste E-Mail-Sicherheitstrends.

Kritische Fehler in häufig eingesetztem Zugangskontrollsystem für Gebäude
Kritische Fehler in häufig eingesetztem Zugangskontrollsystem für Gebäude

Auf der Hardwear.io 2022 haben die Forscher von Trellix 8 Zero-Day-Schwachstellen in den HID Global Mercury-Zugangskontrollen aufgedeckt, wodurch sie Türen per Fernzugriff entsperren und wieder sperren, Benutzerkonten ändern und konfigurieren sowie die Erkennung durch Verwaltungs-Software unterwandern konnten.

Trellix-CEO
Unser CEO zu Living Security

Bryan Palma, CEO von Trellix, erklärt den dringenden Bedarf nach ständig lernender Sicherheit.

Einführungsvideo zu Trellix
Einführung zu Trellix

Eine lebendige Sicherheitsplattform, die ständig lernt und sich ständig optimiert.

Advanced Threat Research-Report von Trellix: Januar 2022

Einblicke in Log4j, Ransomware im 3. Quartal 2021, Angriffsmuster und Techniken (APT) sowie die häufigsten angegriffenen Branchen

Im ersten Threats-Report unseres neuen Unternehmens geht es um das Log4j-Problem, das nicht nur die Schlagzeilen beherrschte, sondern auch die Entwickler von Verteidigungsstrategien und die Sicherheitsteams in Unternehmen vorrangig beschäftigte.


Brief unseres Chief Scientist

Willkommen zu unserem neuen Threats-Report und unserem neuen Unternehmen.

Zu Beginn dieses neuen Jahres müssen wir eine Bedrohungslandschaft konstatieren, die uns Ende 2021 noch einmal alles abverlangte. Im ersten Threats-Report unseres neuen Unternehmens geht es um das Problem, das nicht nur die Schlagzeilen beherrschte, sondern auch die Entwickler von Verteidigungsstrategien und die Sicherheitsteams in Unternehmen vorrangig beschäftigte. Und wir blicken zurück auf das 3. und 4. Quartal 2021. Zuerst möchten wir jedoch unsere vielfältigen Ressourcen vorstellen, die Ihnen im Kampf gegen Log4j zur Verfügung stehen.

Je mehr Details zur Log4j-Bedrohung bekannt werden, desto wichtiger ist es, auf unsere Forschung und aktualisierten Hilferessourcen hinzuweisen. Neben dem Produktstatus überwachen wir ständig alle aktiven Kampagnen, die diese Schwachstelle nutzen, und informieren detailliert über den Umfang des Schutzes vor den neuen Schadensroutinen.

Als Details zur Log4j-Schwachstelle bekannt wurden, haben wir schnell mit netzwerkbasierten Signaturen und einem Bericht über die Schwachstelle reagiert. In der Folge haben wir zügig weitere Ressourcen bereitgestellt, die in diesem Report beschrieben werden.

Weitere Informationen zu aktuellen Log4j-Bedrohungsaktivitäten und anderen kursierenden Bedrohungen finden Sie in unserem wertvollen Threat-Dashboard.

In unserem Blog zu Trellix-Bedrohungsforschungen stellen wir Ihnen darüber hinaus unsere neuesten Bedrohungsinformationen, Videos und Links zum Sicherheitsbulletin zur Verfügung.

Natürlich ist Log4j nicht die einzige Bedrohung für die Sicherheit Ihres Unternehmens. Deshalb wirft dieser Report auch ein Schlaglicht auf das Gefahren- und Störpotenzial von Ransomware und anderen beobachteten Bedrohungen und Angriffen.

Viel Glück im neuen Jahr 2022 und herzlich willkommen bei unserem neuen Unternehmen.


Log4j: Der allwissende Speicher

Es ist leider schon fast Tradition und auch 2021 wurde mit Log4j pünktlich zu den Weihnachtsfeiertagen eine neue Schwachstelle bekannt gegeben, die eine stark genutzte Log4j-Bibliothek betrifft. Sie wird in der Cyber-Sicherheit als schwerwiegendste Schwachstelle der letzten Jahrzehnte beschrieben und hat Trellix sowie die gesamte Cyber-Sicherheitsbranche im 4. Quartal 2021 auf den Plan gerufen. Die Log4j-Schwachstelle hat potenziell schwerste Auswirkungen auf alle Produkte, in deren Anwendungen und Websites die Log4j-Bibliothek integriert ist. Dazu gehören z. B. Produkte und Dienste des Apple iCloud-, Steam-, Samsung Cloud-Speichers u. v. m.

Unser Team hat Log4j seit ihrer Entdeckung aufmerksam verfolgt. Für Kunden, die die Network Security Platform (NSP) nutzen, haben wir die Netzwerksignatur KB95088 veröffentlicht. Sie erkennt Versuche, CVE-2021-44228 über LDAP auszunutzen. Die Signatur kann auf weitere Protokolle oder Dienste ausgedehnt werden. Zudem können weitere Signaturen zur Verbesserung des Schutzumfangs veröffentlicht werden.

Log4j-Zeitleiste

Hier eine kurze Zeitleiste zu Log4j und unserer Forschung:

  • 9. Dezember: Die Log4j-Schwachstelle (CVE-2021-44228) wird auf Twitter und mit einem PoC auf Github für die Apache-Log4j-Protokollierungsbibliothek öffentlich gemacht. Apache wurde ursprünglich am 24. November über den Programmfehler informiert.
  • 10. Dezember: Steve Povolny und Douglas McKee posten einen Log4j-Blog mit einem Überblick über unsere ersten Erkenntnisse. Mit dem von uns reproduzierten und bestätigten PoC wollten wir zunächst bestimmen, wie einfach die Schwachstelle ausgenutzt werden kann. Dabei kamen der öffentliche Docker-Container, eine Client-Server-Architektur mit LDAP und RMI sowie marshalsec zum Einsatz, um die Log4j-Version 2.14.1 auszunutzen.
  • 14. Dezember: Die Log4j-Schwachstelle (CVE-2021-44228) wird auf Twitter und mit einem PoC auf Github für die Apache-Log4j-Protokollierungsbibliothek öffentlich gemacht. Apache wurde ursprünglich am 24. November über den Programmfehler informiert.
  • 18. Dezember: Die neue Denial of Service-Schwachstelle (DoS) CVE-2021-45105 wird entdeckt. Sie betrifft die Log4j-Versionen 2.0-alpha1 bis 2.16.0.

Informationen über unsere neuesten Erkenntnisse zur Abwehr von Log4j-Angriffen erhalten Sie in unserem Blog zu Bedrohungsforschungen und im Threats-Dashboard. Unser Team sammelt und analysiert Informationen aus mehreren offenen und geschlossenen Quellen, bevor es seine Berichte veröffentlicht.

Log4j-Angriff

Unser Team hat den Ablauf eines allgemeinen webbasierten Log4j-Angriffs schnell untersucht und beschrieben:

Log4j-Angriffsverlauf

Flowchart showing Log4j Flow of execution.
  • Schritt 1: Ein Angreifer sendet eine speziell programmierte Zeichenfolge an den Web-Server, der die anfällige Anwendung hostet. Diese Zeichenfolge kann nach unseren Erkenntnissen so verschleiert werden, dass sie netzwerkbasierte Signaturen umgeht.
  • Schritt 2: Die Anwendung entschleiert diese Zeichenfolge, um sie in den Speicher zu laden. Ist dies geschehen, initiiert die Anwendung eine LDAP-Verbindung, um die Adresse für den Standort der schädlichen Klasse anzufordern.
  • Schritt 3: Der vom Angreifer kontrollierte LDAP-Server sendet daraufhin die HTTP-URL-Adresse des entsprechenden Hosts als Standort der schädlichen Klassendatei.
  • Schritt 4: Die anfällige Anwendung initiiert den Download der schädlichen Klassendatei.
  • Schritt 5: Die anfällige Anwendung lädt die schädliche Klassendatei aus Schritt 4 und führt sie aus.

ATR-Schutzmaßnahmen von Trellix für Log4j

Für den Schutz einer Umgebung vor Angriffen wie Log4j können die Sicherheitsverantwortlichen zu einer mehrschichtigen Strategie aus Netzwerksicherheit in Kombination mit gezielten Endgerätespeicher-Scans greifen, um den Verlauf des Angriffs auf anfällige Systeme über Netzwerkvektoren effektiv zu erkennen und abzuwehren. Unsere ENS-Expertenregeln und individuellen Scan-Reaktionen sollen Sicherheitsverantwortliche in die Lage versetzen, mit präzisen Gegenmaßnahmen auf diese aufkommenden Bedrohungen zu reagieren.

Darüber hinaus steht auf CISA.gov ein Log4j-Scanner bereit, mit dem Unternehmen potenziell anfällige Web-Dienste identifizieren können, die von den Log4j-Schwachstellen betroffen sind.


Ransomware

Im 3. Quartal 2021 sind einige prominente Ransomware-Gruppen, untergetaucht, wieder aufgetaucht, haben sich neu erfunden oder sogar eine Umfirmierung versucht. Ungeachtet dessen stellen sie nach wie vor eine relevante, verbreitete, beliebte und potenziell verheerende Bedrohung für immer mehr Sektoren dar.

Auch wenn Ransomware-Aktivitäten im 2. Quartal 2021 verurteilt und aus zahlreichen Cybercrime-Foren verbannt wurden, hat unser Team in verschiedenen Foren Aktivitäten derselben Bedrohungsakteure unter anderer Identität beobachtet.

Trellix hilft bei Ransomware-Festnahmen und Beschlagnahmung von Lösegeldern

Im Dezember 2021, lieferte Trellix dem FBI und Europol Erkenntnisse zur Festnahme von REvil-Partnern und die Beschlagnahmung von 2 Millionen US-Dollar aus Lösegeldern.

Zu den erwähnenswerten Ransomware-Trends und -Kampagnen im 3. Quartal 2021 gehörten:

  • BlackMatter wurde Ende Juli 2021 entdeckt. Diese Ransomware-Bedrohung begann mit einer starken Welle von Angriffen, die New Cooperative, ein Unternehmen aus der landwirtschaftlichen Lieferkette in den USA, mit der Offenlegung vertraulicher Geschäftsdaten drohten. New Cooperative berichtete, dass Funktionen in der Lieferkettenverwaltung sowie Zeitpläne in der Tierfütterung gesperrt wurden, und schätzte, dass 40 Prozent der Getreideproduktion in den USA beeinträchtigt sein könnten. BlackMatter behauptete zwar, die besten Teile anderer Malware-Varianten wie GandCrab, LockBit und DarkSide zu nutzen, allerdings zweifeln wir stark an, dass die Kampagne von einer neuen Entwicklergruppe durchgeführt wird. Dafür überschneidet sich die BlackMatter-Malware einfach zu stark mit der DarkSide-Malware, die mit dem Colonial Pipeline-Angriff verbunden war.
  • Wir haben unsere Auffassung mitgeteilt, dass die Groove Gang als früherer Partner oder als Untergruppe mit der Babuk-Gruppe verbunden ist.
  • REvil/Sodinokibi hat sich zur erfolgreichen Infizierung von mehr als 1 Million Benutzern durch einen Ransomware-Angriff auf Kaseya VSA, einen Anbieter von Software für verwaltete Services, bekannt. Die vermeldete Lösegeldforderung von REvil in Höhe von 70 Millionen US-Dollar war der höchste bisher öffentlich bekannt gewordene Lösegeldbetrag. Zu den Ergebnissen des Angriffs gehörte die erzwungene mehrtägige Schließung von hunderten Supermarkt-Filialen.
  • LockBit 2.0 tauchte im Juli 2021 auf und nannte am Ende mehr als 200 Opfer auf seiner Data-Leak-Site.

Staatliche Maßnahmen gegen Ransomware-Bedrohungen

Im 3. Quartal hat die US-Regierung mit der Website StopRansomware.gov eine proaktive Kampagne zur Begrenzung von Ransomware-Angriffen gestartet. In diesem Rahmen setzt sie Belohnungen in Höhe von bis zu 10 Millionen US-Dollar für Informationen aus, die zur Identifizierung oder Aufspürung staatlich unterstützter Bedrohungsakteure führen, die an Cyber-Aktivitäten gegen kritische US-Infrastruktur beteiligt waren.

Weitere Informationen dazu, wie diese Ransomware und neue Kampagnen die Unternehmen in den kommenden Monaten bedrohen könnten, finden Sie in unseren Trellix-Bedrohungsprognosen für 2022.

Ransomware-Forschung von Trellix

Um Unternehmen bei der Analyse und Abwehr von Ransomware-Angriffen in der Bedrohungslandschaft zu unterstützen, präsentiert unser Team seine Forschung und Ergebnisse in Bezug auf die Verbreitung vieler verschiedener Ransomware-Bedrohungen, einschließlich Familien, Techniken, Ländern, Sektoren und Vektoren.

Erkennungen von Ransomware-Familien

Sodinokibi
DarkSide
Egregor
Cuba
Ryuk
Conti
Lockbit
Maze
Phobos
RagnarLocker

Sodinokibi (41 %) war im 3. Quartal 2021 die am weitesten verbreitete erkannte Ransomware-Familie, gefolgt von DarkSide (14 %) und Egregor (13 %).

Weiter zum Abschnitt über Ransomware-Kundenländern, Kundensektoren und MITRE ATT&CK-Techniken.

Angriffsmuster/Techniken (APT)

Das Team verfolgt und überwacht APT-Kampagnen und die damit verbundenen Indikatoren und Techniken. Die Forschungsergebnisse unseres Teams geben Aufschluss über die APT-Bedrohungsakteure, Tools, Kundenländer, Kundensektoren und MITRE ATT&CK-Techniken im 3. Quartal 2021.

APT-Bedrohungsakteure

APT41
APT29
TA505
UNC2452
MuddyWater
Garmaredon Group
APT34
Bronze Butler
Winnti Group
Mustang Panda

APT41 (24 %) und APT29 (22 %) waren die am weitesten verbreiteten APT-Bedrohungsakteure im 3. Quartal 2021 und für fast die Hälfte der überwachten APT-Aktivitäten verantwortlich.

APT-Tools

Das Team hat Kompromittierungsindikatoren für die verfolgten APT-Kampagnen und die folgenden damit verbundenen Tools identifiziert. Bekanntermaßen nutzen APT-Gruppen gängige Systemdienstprogramme, um Sicherheitskontrollen zu umgehen und ihre Operationen durchzuführen:

Cobalt Strike
Mimikatz
Net.exe
PsExec
ipconfig
Systeminfo
Tasklist
PlugX
China Chopper
Living off the Land
njRAT

Cobalt Strike (34 %) war das am weitesten verbreitete APT-Tool im 3. Quartal 2021 gefolgt von Mimikatz (27 %), Net.exe (26 %) und PsExec (20 %). Das von staatlichen Akteuren missbrauchte Cobalt Strike-Angriffspaket wurde in über einem Drittel der APT-Aktivitäten erkannt.

Weiter zum Abschnitt über APT-Kundenländer, Kundensektoren und MITRE ATT&CK-Techniken.

Advanced Threat Research

Unser Team hat Bedrohungskategorien im 3. Quartal 2021 verfolgt. Die Forschung gibt Aufschluss über die prozentuale Verteilung beim Typ der verwendeten ATR-Malware sowie bei den Kundenländern, Kundensektoren, in Angriffen verwendeten MITRE ATT&CK-Techniken und Branchensektoren.

ATR-Toolbedrohungen

Sodinokibi
DarkSide
Egregor
Cuba
Ryuk
Conti
Lockbit
Maze
Phobos
RagnarLocker

Formbook (36 %), Remcos RAT (24 %) und LokiBot (19 %) waren für fast 80 % der Erkennungen bei den ATR-Toolbedrohungen im 3. Quartal 2021 verantwortlich.

Weiter zum Abschnitt über ATR-Kundenländer, Kundensektoren und MITRE ATT&CK-Techniken.


Bedrohungen gegen Länder, Kontinente, Branchen und eingesetzte Vektoren

Länder und Kontinente: 3. Quartal 2021

Bei Ländern und Kontinenten wurden im 3. Quartal 2021 folgende erhebliche Zunahmen öffentlich gemeldeter Zwischenfälle verzeichnet:

  • Nordamerika verzeichnete die meisten Zwischenfälle unter den Kontinenten, sah aber eine Abnahme um 12 % vom 2. Quartal zum 3. Quartal 2021.
  • Die USA registrierten die meisten gemeldeten Zwischenfälle im 3. Quartal 2021. Im Vergleich zum 2. Quartal verringerte sich ihre Zahl jedoch um 9 %.
  • Frankreich verzeichnete den stärksten Anstieg (400 %) bei den im 3. Quartal 2021 gemeldeten Zwischenfällen.
  • Russland registrierte im 3. Quartal 2021 den größten Rückgang (-79 %) bei den Zwischenfällen im Vergleich zum 2. Quartal 2021.

Angegriffene Branchen: 3. Quartal 2021

Bei den Branchen wurden im 3. Quartal 2021 folgende erhebliche Zunahmen öffentlich gemeldeter Zwischenfälle verzeichnet:

  • Mehrere Branchen (28 %) wurden besonders häufig angegriffen, gefolgt vom Gesundheitswesen (17 %) und dem öffentlichen Sektor (15 %).
  • Zu den Sektoren, die deutliche Zunahmen vom 2. Quartal zum 3. Quartal 2021 verzeichneten, gehören der Finanz-/Versicherungssektor (21 %) und das Gesundheitswesen (7 %).

Angriffsvektoren: 3. Quartal 2021

Bei den Vektoren wurden im 3. Quartal 2021 folgende erwähnenswerte Zwischenfälle öffentlich gemeldet:

  • Malware war im 3. Quartal 2021 die am häufigsten gemeldete Angriffstechnik. Die gemeldeten Malware-Zwischenfälle nahmen jedoch im Vergleich zum 2. Quartal 2021 um 24 % ab.
  • Zu den Sektoren mit Steigerungen vom 2. Quartal zum 3. Quartal 2021 gehören verteilte Denial of Service-Angriffe (112 %) und gezielte Angriffe (55 %).

Living off the Land

Cyber-Kriminelle greifen zu Living off the Land-Techniken (LotL), die seriöse Software und Funktionen in einem System nutzen, um schädliche Aktionen an diesem System durchzuführen. In Bezug auf die Ereignisse im 3. Quartal hat Trellix einen Trend bei den Tools ausgemacht, die von Angreifern verwendet werden, die unentdeckt bleiben wollen. Obwohl staatlich unterstützte Bedrohungsgruppen und größere kriminelle Bedrohungsgruppen durchaus über die erforderlichen Ressourcen verfügen, um Tools intern zu entwickeln, nutzen sie oft lieber bereits vorhandene Binärdateien und administrativ installierte Software in einem Zielsystem, um bestimmte Angriffsphasen zu implementieren.

Um native Binärdateien oder administrativ verwendete Software für die Aufklärung eines prominenten Ziels zu identifizieren, können Angreifer Informationen zu den verwendeten Technologien aus Stellenanzeigen, Kundenreferenzen, mit denen die Hersteller werben, oder von Insider-Komplizen sammeln.

Native Binärdateien der Betriebssysteme Anmerkungen

PowerShell (41,53 %)

T1059.001

PowerShell wird oft genutzt, um Skripte und PowerShell-Befehle auszuführen.

Windows Command Shell (CMD) (40,40 %)

T1059.003

Die Windows-Befehlszeile ist das primäre CLI-Dienstprogramm für Windows. Es wird oft genutzt, um Dateien und Befehle in einem alternativen Datenstrom auszuführen.

Rundll32 (16,96 %)

T1218.011, T1564.004

Rundll32 kann genutzt werden, um lokale DLL-Dateien, DLL-Dateien aus einer Freigabe, DLL-Dateien aus dem Internet und alternativen Datenströmen auszuführen.

WMIC (12,87 %)

T1218, 1564.004

WMIC ist eine Befehlszeilenschnittstelle für WMI und kann von Angreifern genutzt werden, um Befehle oder Schaddaten lokal, in alternativen Datenströmen oder auf einem Remote-System auszuführen.

Excel (12,30 %)

T1105

Auf vielen Systemen findet sich nicht nativ installierte Tabellenkalkulationssoftware. Wenn Angreifer Anhänge mit schädlichen Codes oder Skripten senden, die von Benutzern ausgeführt werden, können Schaddaten von einem Remote-Standort geladen werden.

Schtasks (11,70 %)

T1053.005

Ein Angreifer kann Tasks planen, die die Persistenz erhalten, weitere Malware ausführen oder automatisierte Tasks durchführen.

Regsvr32 (10,53 %)

T1218.010

Mit Regsvr32 können Angreifer DLL-Dateien registrieren, schädlichen Code ausführen und Anwendungs-Whitelists umgehen.

MSHTA (8,78 %)

T1218.005

Mit MSHTA können Angreifer JavaScript-, JScript- und VBScript-Dateien ausführen, die in HTA-Dateien lokal und in alternativen Datenströmen versteckt oder von einem Remote-Standort geladen werden können.

Certutil (4,68 %)

T1105, 1564.004, T1027

Dieses Windows-Befehlsdienstprogramm wird verwendet, um Zertifizierungsstelleninformationen zu erhalten und Zertifizierungsdienste zu konfigurieren. Alternativ können Angreifer mit certutil Remote-Tools und Remote-Inhalte erfassen, Dateien kodieren und dekodieren sowie auf alternative Datenströme zugreifen.

Net.exe (4,68 %)

T1087 und Subtechniken

Dieses Windows-Befehlszeilendienstprogramm ermöglicht einem Angreifer Aufklärungsaktionen wie das Identifizieren von Benutzer-, Netzwerk- und Dienstfunktionen auf dem Rechner eines Opfers.

Reg.exe (4,10 %)

1003.002, 1564.004

Mit Reg.exe können Angreifer Registrierungswerte hinzufügen, ändern, löschen und exportieren, die in alternativen Datenströmen gespeichert werden können. Darüber hinaus kann reg.exe verwendet werden, um Anmeldedaten aus einer SAM-Datei herunterzuladen.

Verwaltungs-Tools Anmerkungen

Remote-Dienste (15,21 %)

T1021.001, T1021.004, T1021.005

AnyDesk
ConnectWise Control
RDP
UltraVNC
PuTTY
WinSCP

Remote-Dienst-Tools in Windows und in Drittanbieter-Software können von Angreifern genutzt werden, um sich zusammen mit gültigen Konten Remote-Zugriff auf einen Rechner oder eine Infrastruktur zu verschaffen, Eintrittstools zu übertragen und Malware auszuführen sowie Daten zu exfiltrieren.

Archivdienstprogramme (4,68 %)

T1560.001

7-Zip
WinRAR
WinZip

Angreifer können mit Archivdienstprogrammen gesammelte Daten komprimieren, um ihre Exfiltrierung vorzubereiten, sowie normale und ausführbare Dateien dekomprimieren.

PsExec (4,68 %)

T1569.002

PsExec ist ein Tool, mit dem Befehle und Programme auf einem Remote-System ausgeführt werden.

BITSAdmin (2,93 %)

T1105, T1218, T1564.004

BiTSAdmin wird oft genutzt, um die Persistenz aufrechtzuerhalten, Artefakte zu bereinigen und weitere Aktionen aufzurufen, sobald ein festgelegtes Kriterium erfüllt ist.

fodhelper.exe (1,17 %)

T1548.002

Fodhelper.exe ist ein Windows-Dienstprogramm, mit dem Angreifer schädliche Dateien mit erhöhten Privilegien auf dem Rechner eines Opfers ausführen können.

ADFind (0,59 %)

T1016, T1018, T1069 und Subtechniken, T1087 und Subtechniken, T1482

Mit diesem Befehlszeilen-Dienstprogramm können Angreifer Active Directory-Informationen wie vertrauenswürdige Domänen, Berechtigungsgruppen, Remote-Systeme und Konfigurationen ausspionieren.


Bug-Report

Ungeziefer auf der Windschutzscheibe

(Douglas McKee, Principal Engineer und Senior Security Researcher, und andere Blogger verfolgen und analysieren Schwachstellen im monatlichen Bug-Report.)

Während die Welt Ende 2021 gefühlt mit Tempo 200 durch die Zeit raste, landete viel "Ungeziefer" auf unserer sprichwörtlichen Windschutzscheibe. Ein Teil davon ließ sich zwar problemlos abwaschen, manche hinterließen jedoch bleibende Flecken. Das Team verfolgt und bewertet dieses Ungeziefer, die neuen Schwachstellen, nach ihrer Veröffentlichung im Monatsrhythmus und berichtet, welche nach unserem "Gefühl" die wichtigsten werden könnten. Richtig – wir liefern keinen CVSS-Score und kein OWASP-Ranking, sondern analysieren auf der Basis jahrelanger Erfahrungen. Wir nutzen also unser gutes, altes Bauchgefühl.

Eine kurze Reflexion

Beim Blick auf unsere meistgemeldeten Bugs der letzten Monate heben sich einige vom Rest ab. Apache hatte ein hartes Jahr, in dem sein Webserver (CVE-2021-41773) und die Log4j-Komponente (CVE-2021-44228) von wirkungsvollen Bugs betroffen waren. Auch Palo Alto verdient eine besondere Erwähnung wegen eines Bugs, der in ihrem GlobalProtect VPN (CVE-2021-3064) gefunden wurde und eine einzigartige Wirkung während der weltweiten Pandemie entfaltete. An dieser Stelle wollen wir jedoch kurz innehalten und für einen Moment ehrlich sein. Das Prädikat "Wirkungsvoll" wird der Log4j-Schwachstelle von Apache nicht gerecht, denn sie war 2021 mit großem Abstand der größte Bug und hat darüber hinaus das Potenzial, diesen Titel auch in den nächsten Jahren zu verteidigen. Wenn Sie fernab jeder Zivilisation leben und noch nicht davon gehört haben, empfehle ich Ihnen dringend die Lektüre unseres Bug-Reports vom Dezember. Vergessen Sie nicht, sich jeden Monat über die neuesten und wichtigsten Schwachstellen zu informieren.

Warum sind diese Bugs so gefährlich? Einfach gesagt, können sie remote und ohne Authentifizierung für Tools am Perimeter Ihres Netzwerks ausgenutzt werden. Diese Bugs können der erste Eintrittspunkt in ein Netzwerk sein, ohne dass Angreifer "nach ihren Zielen phishen" müssen, und zusätzlich das Tor für einen größeren Angriff öffnen.

Wenn Ihr CISO gern russisches Roulette spielt und sagt, dass er nur ein Produkt patchen kann, empfehlen wir Ihnen, sich unbedingt für die Log4j-Schwachstelle zu entscheiden, weil dies einfach ist und sie von vielen böswilligen Akteuren aktiv ausgenutzt wurde. Obwohl die Palo Alto VPN-Schwachstelle schwerwiegend ist und VPNs seit 2020 immer öfter ausgenutzt werden, rangiert sie noch hinter Log4j und den anderen Apache-Schwachstellen, weil sie eine ältere Version der VPN-Software betrifft und bei Angriffen bisher nicht aktiv ausgenutzt wurde.

Termiten

Bestimmtes Ungeziefer, z. B. Termiten, kann durch das Raster fallen, aber trotzdem eine verheerende Wirkung entfalten.

Ein Microsoft Windows Installer Service-Bug namens CVE-2021-41379, mit dem lokale Rechte erweitert werden konnten, war im November so ein sprichwörtlicher Termit. Microsoft hat mitgeteilt, dass der Bug lokalen Zugriff erfordert, und ihn angeblich mit einem offiziellen Patch korrigiert. Diese Strategie ging jedoch nach hinten los, als der Patch nicht wie erwartet funktionierte.

Nachdem der Patch fehlgeschlagen und ein öffentlich verfügbarer PoC verfügbar war, nutzten böswillige Akteure dies sofort für ihre Zwecke, wie in Insights beschrieben. Zusätzliche Brisanz erfährt das Problem, weil unser Team Versionen dieses Exploits für Angriffe gesehen hat, die im Dark Web verkauft werden.


Forschung zu weiteren Daten und Forschung aus dem 3. Quartal 2021

Ransomware: Kundenländer

USA
Türkei
Deutschland
Israel
Schweiz
Mexiko
Großbritannien
Südafrika
Belgien
Indien

Im 3. Quartal 2021 machten Kunden in den Vereinigten Staaten mehr als ein Drittel aller Ransomware-Erkennungen aus.

Ransomware: Kundensektoren

Bank-/Finanzsektor
Versorgungsunternehmen
Einzelhandel
Bildungswesen
Behörden
Industrie
Outsourcing und Hosting
Bauwesen
Versicherungswesen
Großhandel

Der Bank-/Finanzsektor (22 %), die Versorgungsunternehmen (20 %) und der Einzelhandel (16 %) machten im 3. Quartal 2021 fast 60 % aller bei Kunden erkannten Ransomware-Fälle aus.

Ransomware: MITRE ATT&CK-Techniken

Data Entry
File and Directory Discovery
Obfuscated Files or Information
Inhibit System Recovery
Process Injection
Service Stop
System Information Discovery
PowerShell
Modify Registry
Valid Accounts

Dateneingaben (2,6 %), Datei- und Verzeichniserkennungen (2,5 %) und verschleierte Dateien oder Informationen (2,4 %) führten die Liste der von Ransomware genutzten MITRE ATT&CK-Techniken an, die im 3. Quartal 2021 erkannt wurden.

APT: Kundenländer

Türkei
USA
Israel
Deutschland
Mexiko
Schweiz
Großbritannien
Kanada
Brasilien
Indien

Kundenerkennungen von Angriffsmustern/Techniken in der Türkei machten 17 % aller Erkennungen im 3. Quartal 2021 aus, gefolgt von den Vereinigten Staaten (15 %) und Israel (12 %).

APT: Kundensektoren

Bank-/Finanzsektor
Versorgungsunternehmen
Einzelhandel
Behörden
Prozessfertigung
Outsourcing
Versicherungswesen
Transportwesen
Industrie
Technologie

Die meisten APT-Erkennungen im 3. Quartal 2021 gab es im Bank-/Finanzsektor (37 %), gefolgt von Versorgungsunternehmen (17 %), Einzelhandel (16 %) und Behörden (11 %).

APT: MITRE ATT&CK-Techniken

Spearphishing Attachment
Obfuscated Files or Information
PowerShell
Rundll32
Scheduled Task
System Information Discovery
Spearphishing Link
Windows Management Instrumentation
Web Protocols
Registry Run Keys

Spearphishing-Anhänge (16,8 %), verschleierte Dateien oder Informationen (16,7 %) und PowerShell (16 %) waren die am weitesten verbreiteten im 3. Quartal 2021 erkannten APT MITRE ATT&CK-Techniken.

ATR: Kundenländer

Deutschland
USA
China
Singapur
Türkei
Indien
Italien
Großbritannien
Israel
Kroatien

Mehr als die Hälfte aller im 3. Quartal 2021 erkannten ATR-Toolbedrohungen entfielen auf Deutschland (32 %) und die Vereinigten Staaten (28 %).

ATR: Kundensektoren

Bank-/Finanzsektor
Technologie
Transportwesen
Behörden
Outsourcing
Großhandel
Versicherungswesen
Sonstige
Industrie
Versorgungsunternehmen

Die weitaus meisten Erkennungen (45 %) entfielen im 3. Quartal 2021 auf den Bank-/Finanzsektor.

ATR: MITRE ATT&CK-Techniken

Obfuscated Files or Information
Modify Registry
Process Hollowing
Screen Capture
Credentials from Web Browsers
Spearphishing Attachment
Keylogging
Man in the Browser
Query Registry
Input Capture

5 % aller Erkennungen im 3. Quartal 2021 entfielen auf verschleierte Dateien oder Informationen.


Ressourcen

Mit unseren Team-Ressourcen können Sie die neuesten Bedrohungen und Forschungen verfolgen:

Bedrohungszentrum: Die aktuell schwerwiegendsten Bedrohungen wurden von unserem Team erkannt.

Twitter:

PDF herunterladen Archive anzeigen