:quality(80)/images.vogel.de/vogelonline/bdb/1788500/1788597/original.jpg "Der Security-Insider Deep Dive ist ein technisch tiefgehender Blick auf eine Security-Lösung; von Technikern für Techniker!")
:quality(80)/images.vogel.de/vogelonline/bdb/1788100/1788173/original.jpg "Ein zusätzlicher „Cyber Vault“, der neben der regulären Backup-Umgebung die wichtigsten Daten und Anwendungen in einer abgeschotteten Umgebung vorhält, schützt Unternehmen vor Hackern.")
:quality(80)/images.vogel.de/vogelonline/bdb/1788600/1788622/original.jpg "Cyberkriminelle werden 2021 ihre Angriffe auf Heimnetzwerke weiter verfeinern, um nicht nur private, sondern auch Unternehmensdaten zu stehlen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1788100/1788166/original.jpg "Cyberkriminelle imitieren gerne die Webseiten und Dienste vertrauter Anbieter, um von den Opfern eingegebene Daten zu stehlen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1787500/1787532/original.jpg "Krankenhäuser müssen verhindern, dass Cyberkriminelle Patientendaten und Betriebsinformationen stehlen. Das ist gerade in der gegenwärtigen Pandemie enorm wichtig.")
:quality(80)/images.vogel.de/vogelonline/bdb/1782800/1782826/original.jpg "(Ex-)Hacker Schraml gibt konkrete Tipps für KMU und den IT-Nachwuchs.")
:quality(80)/images.vogel.de/vogelonline/bdb/1785500/1785543/original.jpg "Die Energieversorgung ist ein zentraler Bereich kritischer Infrastrukturen, der sich im Fall von Ausfällen oder Störungen extrem und unmittelbar auf Staat, Wirtschaft und Gesellschaft auswirkt.")
:quality(80)/images.vogel.de/vogelonline/bdb/1784000/1784001/original.jpg "Die höchste Priorität hat in der OT die Verfügbarkeit der Produktion. Danach müssen sich auch die Sicherheitsmaßnahmen richten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1787500/1787546/original.jpg "Unbefugten Datenzugriff verhindern: Pure Storage FlashArray unterstützt jetzt EncryptReduce.")
:quality(80)/images.vogel.de/vogelonline/bdb/1784100/1784130/original.jpg "Die StackRox-Funktionen sollen künftig die Kubernetes-eigenen Kontrollen und Management-Funktionen unter Red Hat OpenShift erweitern.")
:quality(80)/images.vogel.de/vogelonline/bdb/1786400/1786447/original.jpg "Die Nutzung von Cloud-Collaboration-Plattformen hat sich seit beginn der Corona-Pandemie in vielen Bereichen zum Standard entwickelt. Für Unternehmen ergeben sich zwar große Vorteile, aber auch einige neue Risiken.")
:quality(80)/images.vogel.de/vogelonline/bdb/1788100/1788146/original.jpg "Wie E-Mails wirklich sicher werden, ein Interview von Oliver Schonschek, Insider Research, mit Marco Rossi von Trustwave.")
:quality(80)/images.vogel.de/vogelonline/bdb/1783900/1783991/original.jpg "Eine auf Ethical Hacking ausgelegte Sicherheitsstrategie hilft dabei, Schwachstellen im Code ausfindig zu machen und nachhaltig zu beheben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1783900/1783999/original.jpg "Die Sicherheit fällt 2021 verstärkt in den Verantwortungsbereich der Entwickler, meint GitLab.")
:quality(80)/images.vogel.de/vogelonline/bdb/1782900/1782979/original.jpg "Cloud-Dienste erweisen sich zunehmend als praktische Kollaborations-Werkzeuge, doch ihre Nutzung ist mit erheblichen Sicherheitsrisiken verbunden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1787400/1787492/original.jpg "„Kürzere Laufzeiten für Website-Zertifikate führen nicht zu mehr Sicherheit bei der Online-Kommunikation“ sagt PKI-Experte Enrico Entschew.")
:quality(80)/images.vogel.de/vogelonline/bdb/1783900/1783983/original.jpg "Ein Beispiel für die Zusammenarbeit von Dienstanbieter und Kunde ist das Aufzeigen von Zugriffen auf Amazon S3 Buckets durch den AWS Identity and Access Management (IAM) Access Analyzer.")
:quality(80)/images.vogel.de/vogelonline/bdb/1782500/1782543/original.jpg "Auch 2021 freuen wir uns besonders über Fragen und Themenvorschläge unserer Leser.")
:quality(80)/images.vogel.de/vogelonline/bdb/1782500/1782554/original.jpg "Die Zero-Touch-Funktion von Airlock 2FA macht das Arbeiten genauso einfach, wie einen traditionellen Login mit Benutzernamen und Passwort aber deutlich sicherer.")
:quality(80)/images.vogel.de/vogelonline/bdb/1774100/1774110/original.jpg "SIEM-Lösungen geben Unternehmen den dringend benötigten Überblick über die ihre aktuelle Bedrohungslage - oft sogar in Echtzeit!")
:quality(80)/images.vogel.de/vogelonline/bdb/1774000/1774099/original.jpg "Der Schutz von Benutzer- und Zugangsdaten ist für Unternehmen extrem wichtig, denn fast alle Datendiebstähle geschehen durch den Mißbrauch von Zugangsdaten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1773700/1773780/original.jpg "Unternehmen müssen Security Awareness als Sicherheitsgewinn und fortlaufende Komponente ihrer Security-Strategie sehen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1787100/1787170/original.jpg "Mareike Vogt, Fachexpertin Datenschutz der TÜV SÜD Sec-IT, warnt vor Nachlässigkeit beim Schutz von Kundendaten und erklärt, wie man 2021 die größten Stolpersteine vermeidet.")
:quality(80)/images.vogel.de/vogelonline/bdb/1785100/1785145/original.jpg "Unter LOLBAS (Living Off The Land Binaries And Scripts) versteht man die missbräuchliche Nutzung vorhandener Programme für schädliche Aktionen. Das LOLBAS-Projekt sammelt Informationen über solche Angriffe.")
:quality(80)/images.vogel.de/vogelonline/bdb/1783900/1783971/original.jpg "Immer mehr Netzwerkadministratoren lassen sich von SD-WAN-Lösungen überzeugen – doch für einen erfolgreichen Einsatz der Technik ist die detaillierte Kenntnis über das eigene Unternehmen entscheidend.")
:quality(80)/images.vogel.de/vogelonline/bdb/1785100/1785132/original.jpg "Kismet ist ein passiver WLAN-Sniffer - ein Tool zum Mitschneiden drahtlosen Datenverkehrs.")
MultiPlug Malware Anatomie eines Scamware-Netzwerks
Bei der Analyse von Daten aus seiner Cloud-Sandbox hat Zscaler kürzlich ein großes MultiPlug-Netzwerk entdeckt. Aufmerksam geworden ist die Internet Security Company auf das MultiPlug-Netzwerk wegen eines Verhaltensmusters, bei dem Zertifikate mittels Code unterzeichnet werden. Auch die Größe seiner Hosting-Infrastruktur war verdächtig.
Firma zum Thema
(Bild: Zscaler)
Bei MultiPlug handelt es sich um eine verbreitete Scamware-Familie, die Nutzer dazu verleitet, eine erste Binärdatei herunterzuladen und zu installieren. Diese holt dann eine Vielzahl an zusätzlichen Spyware-Paketen nach. Nutzer werden mittels manipulierter Suchergebnisse (Search Poisoning) dazu gebracht, die Scamware zu installieren. Als Köder dienen geknackte und legitime Software, Raubkopien von Musik und Filmen sowie andere Dokumente und Daten, die der Anwender möglicherweise sucht.
Sobald der Köder geschluckt ist und die Datei ausgeführt wird, sieht der Nutzer einen von mehreren typisch-aussehenden Installationsassistenten. Es verspricht genau das zu liefern, wonach der Nutzer ursprünglich gesucht hat. Egal ob er den Fehler bemerkt oder nicht: Das Installationsprogramm bezieht weiterhin mehrfach verschlüsselte Dateien von einem dezentralen Webserver. Die Installation dieser Payloads wird selbst dann weiter ausgeführt, wenn der Nutzer “Abbruch”, “Nein” oder “Schließen” drückt. Während des Prozesses fängt die Scamware zudem Systeminformationen ab und sendet sie an die dezentralen Webserver.
:quality(80)/images.vogel.de/vogelonline/bdb/905300/905359/original.jpg "Der Installer gibt vor, Downloads zu beschleunigen.")
:quality(80)/images.vogel.de/vogelonline/bdb/905300/905360/original.jpg "Daten werden als über HTTP POST an dezentrale Server gesendet.")
:quality(80)/images.vogel.de/vogelonline/bdb/905300/905361/original.jpg "‘compfix’ als Service installiert.")
:quality(80)/images.vogel.de/vogelonline/bdb/905300/905362/original.jpg "Modifizierte Chrome DLLS mit ungültigen Zertifikaten.")
(Bild: Zscaler)
Neben den bereits genannten, harmlos klingenden Schadroutinen nimmt die Scamware einige Änderungen in der Browser-Konfiguration des Nutzers vor. Falls Chrome installiert ist, werden zwei DLLs in das Installationsverzeichnis von Chrome gelegt, die modifiziert und als leicht veraltete Versionen von ‘chrome.dll’ erscheinen. Chrome und Internet Explorer erhalten zudem Browser-Erweiterungen, die das Nutzerverhalten ausspähen und Werbung liefern. Als Zusatz können die IE Add-Ons nicht ohne Zustimmung des Administrators deinstalliert werden.
Abgesehen von einigen zusätzlichen Layern zur Verschleierung gegenüber vorherigen Versionen sind die technischen Aspekte dieser Malware eher gewöhnlich. Allerdings machen die Größe der Hosting-Infrastruktur und das Verhaltensmuster, eingesetzte Zertifikate mittels Code zu unterzeichnen, diese Kampagne so interessant. Zscaler hat 33 einzigartige Zertifikate entdeckt, die alle von derselben Certificate Authority, nämlich Certum/Unizeto Technologies, erstellt wurden. (Anmerkung: Zscaler hat auch andere Adware-Kampagnen identifiziert, die Certum-Zertifikate nutzen. Sie scheinen mit der hier beschriebenen nicht in Zusammenhang zu stehen.)
(Bild: Zscaler)
Angesichts der Struktur dieser MultiPlug-Kampagne liegt der Schluss nahe, dass die Organisation dahinter bösere Absichten hat als herkömmliche Adware-/Scamware-Initiatoren. Allerdings könnte dies auch nur ein Weg sein, um den ROI für die große Infrastruktur zu maximieren, die sie betreiben. Unabhängig von ihren Absichten sollten Unternehmen skeptisch gegenüber Adware sein, auch wenn sie noch so harmlos wirkt. Sie ist nämlich unter Umständen in der Lage, Systeme und Netzwerke auszuspähen, sich auf infizierten Hosts hartnäckig einzunisten, beliebige Schadcodes zu laden sowie die Kontrolle über das System, seinen Anwendungen und seinen Daten zu übernehmen.
* Ed Miles ist Security Researcher in den ThreatLabZ von Zscaler
(ID:43541732)
:quality(80)/images.vogel.de/vogelonline/bdb/1638700/1638743/original.jpg "Mit Hyper-V lassen sich spezielle virtuelle Maschinen, sogenannte Shielded-VMs, durch einen internen Serverdienst überwachen und schützen")
:quality(80)/images.vogel.de/vogelonline/bdb/1733700/1733712/original.jpg "In diesemVideo-Tipp zeigen wir, wie Microsoft Always On VPN funktioniert, welche Vorteile es gegenüber DirectAccess hat und wie man die nötige Zertifikat-Infrastruktur konfiguriert.")