:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheitsexperten entschlüsseln Malware-Steuerzentrale Flame: Analyse der Command and Control Server
Ein Team von Sicherheitsexperten konnte jetzt den Aufbau zweier Command and Control Server für den Flame Trojaner entschlüsseln und fanden dabei Hinweise auf drei bisher noch nicht entdeckte Schädlinge. Die Ergebnisse erlauben auch genaue Rückschlüsse auf die Entwickler.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Um die Supermalware Flame/Flamer ist es ruhig geworden, aber das technisch hochentwickelte Spionagetool gibt Sicherheitsexperten noch immer eine ganze Menge Rätsel auf. Der Superspion Flame wurde erstmals im Mai 2012 publik. Wir berichteten dazu bereits: Flame: Superwaffe im Cyberkrieg. Eine Gruppe aus Sicherheitsspezialisten des BSI, des ITU-IMPACT, der Kaspersky Labs und Symantec Labs haben nun einen umfassenden Bericht zu der Analyse zweier Command and Control Server veröffentlicht.
Die Serverstruktur
Bei den beschlagnahmten Servern handelte es sich um eine Debian Installation die in einer OpenVZVirtualisierung lief. Der Command and Control Server, im folgenden CC-Server genannt bestand aus den Programmiersprachen PHP, Python und bash. Zudem wurde eine MySQL Datenbank genutzt.
Die Nutzung von OpenVZ erschwerte die Analyse, da es so nicht möglich war den freien Festplattenbereich näher auf gelöschte Daten zu analysieren. Der Server konnte über HTTPS und den Ports 443 und 8080 erreicht werden. Die Grafische Oberfläche, die unter "newsforyou/CP/CP.php" zu finden war erstaunte die Spezialisten, denn Sie war sehr minimalistisch gestaltet. Dies weicht von dem bisherigen Bild bekannter Botnet Server ab, da dort die Betreiber sehr gerne aufwendige Photoshop Grafiken nutzen. Die Analysten fanden das Passwort zu dem Adminzugang als unsalted Hash in der Datenbank und ersetzten es um sich mit einem eigenen Passwort einloggen zu können.
Bei der Entwicklung wurde auf bei Botnetzen oft gesehene Begriffe wie bot,botnet,infection verzichtet und dafür eher allgemein vorkommende Begriffe gewählt. Man wollte eindeutig unentdeckt bleiben.
Ein weiterer technischer Unterschied zu bisher bekannten CC-Servern ist die Steuerung über Steuerungspakete in Form von "tar.gz"-Containern. Diese werden an den CC-Server übermittelt wo sie dann entpackt als ".ads" und ".news" Dateien in namensgleiche Verzeichnisse verschoben werden. Diese werden dann verarbeitet und resultieren in Befehlen die an die Clients weitergeleitet werden. Der Admin kann so alle infizierten oder einzelne Systeme mit updates versorgen. Zudem wurden die Befehle mit Prioritäten versehen wodurch eine Abfolge von Befehlen möglich ist.
Schaltzentrale für weitere Schädlinge
Bei der Analyse des Sourcecodes konnten vier Kommunikationsprotokolle gefunden werden, die sehr stark vermuten lassen, dass es vier verschiedene Schädlinge gibt die durch den CC-Server gesteuert werden können. Die Namen der Protokolle lauten: "OldProtocol, OldProtocolE, SignupProtocol, RedProtocol", wobei RedProtocol noch nicht aktiv implementiert war.
Dies lässt vermuten , dass ein weiterer Schädling sich in der Entwicklungsphase befindet. Die clients wurden intern unter den Namen "IP, SPE, SP und FL" geführt (Siehe Bild 3 in der Bildergalerie). FL konnte eindeutig als Flame identifiziert werden was die Analysten zu dem Schluss kommen lässt, dass es aktuell noch 3 unentdeckte Schädlinge gibt. Aufgrund des Quelltext und der Kommunikationsweise kann definitiv ausgeschlossen werden, dass der CC-Server im Stande wäre mit den Schädlingen Gauss und Stuxnet zu kommunizieren.
(ID:35734380)
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/99/d29988dd50efd129a7a1d996269f3217/0112938579.jpeg "Cyberkriminelle finden immer wieder neue Wege, um Malware auf die Systeme ihrer Opfer zu laden. Selbst bei deaktivierten Office-Makros gibt es inzwischen Hintertüren für Ransomware und Remote Access Trojaner. (Bild: Alexander Limbach - stock.adobe.com)")