Alle 14 Tage aktuelle News aus der IT-Szene   >   
GS1 und EDITEL als „OekoBusiness Wien“ ausgezeichnet 22. 03. 2023
Die Wiener Unternehmen wurden von Klimastadtrat Jürgen Czernohorszky für ihre Bemühungen rund um die Nachhaltigkeit ausgezeichnet.
Die nächste Generation des Datenmanagements 21. 03. 2023
Mit Datasphere präsentiert SAP eine neue Data-Fabric-Architektur, die Daten aus verschiedensten Quellen zusammenführen soll.
Voestalpine beauftragt PSI mit Software-Upgrade 20. 03. 2023
Der Stahlkonzern modernisiert sein Produktionsmanagementsystem PSImetals.
Wiedervermarktung gebrauchter IT spart Ressourcen 20. 03. 2023
Der IT-Refurbisher AfB bereitete vergangenes Jahr 63.750 Geräte wieder auf. Dadurch konnten Tausende Tonnen CO2 und Millionen Liter Wasser eingespart werden.
WatchGuard ThreatSync: Gefahrenlage ganzheitlich unter Kontrolle 15. 03. 2023
Mit ThreatSync bietet WatchGuard ab sofort eine umfassende XDR-Lösung als Teil seiner Unified Security Platform.
Smarte Kommunikationslösung für IoT 14. 03. 2023
Das Gateway ECU-1251 von Advantech schließt auch Legacy-Geräte ohne viel Programmieraufwand an das Internet der Dinge an.
macmon-Partnertag in der „alten Försterei“ 13. 03. 2023
Unter dem Motto „Teamplay & Fairplay“ lud der Anbieter für Netzwerksicherheit seine Partner in das Stadion des 1. FC Union Berlin.
Veeam verleiht ProPartner Awards 09. 03. 2023
Der Datensicherungsanbieter vergab Preise in sechs Kategorien an seine Partnerunternehmen.
HPE übernimmt Axis Security 03. 03. 2023
Hewlett Packard Enterprise integriert die Cloud-Plattform des israelischen Security-Anbieters in sein GreenLake- und Aruba-Produkte.
Joint Venture „Alpen Glasfaser“ startet noch im Frühjahr 02. 03. 2023
Meridiam und Magenta wollen bis 2030 eine Milliarde Euro in den Ausbau des österreichischen Glasfasernetzes investieren.
Österreichische Rechenzentren bündeln Kräfte 01. 03. 2023
Fünf Betreiber heimischer Rechenzentren hoben kürzlich den neuen Interessensverband Austrian Data Center Association aus der Taufe.
Datenmangel erschwert Nachhaltigkeitsprojekte 28. 02. 2023
Unternehmen in der DACH-Region verstärken ihre Anstrengungen zur Emissionsreduzierung, zugleich steigt die Bedeutung der IT für Nachhaltigkeitsinitiativen
SustainableIT.org: Standards für nachhaltige IT-Nutzung 27. 02. 2023
Die Metriken der gemeinnützigen Organisation unterstützen Firmen dabei, den Einfluss der IT auf die unternehmerische Nachhaltigkeit zu messen.
KI macht Event-Aufzeichnungen durchsuchbar 24. 02. 2023
Mit der Event-Lösung von Anyclip lassen sich Video-Mitschnitte wie eine Textdatei durchsuchen
Dürr-Softwarelösung macht Energieverbrauch in Industriebetrieben transparent 23. 02. 2023
DXQenergy.management ermöglicht Ressourceneinsparungen in der Produktion.
Evalanche: Von ChatGPT zum smarten Marketing-Automation-Feature 22. 02. 2023
Das neue Feature „KI-Writer“ der Marketing-Lösung Evalanche erstellt, korrigiert und erweitert bzw. kürzt Marketingtexte auf Knopfdruck.
Yext Chat: Kundenkommunikation mit GPT-3 Integration 21. 02. 2023
Die Konversations-KI chattet mit Kunden in natürlicher Sprache.
Igel stellt Lösung für Cloud-Arbeitsplatz vor 21. 02. 2023
Die Unified-End-User-Computing-Plattform Cosmos bietet sicheren Zugriff auf hybride Multi-Cloud-Arbeitsbereiche.
weiter
Sophos

Wirre Angriffe, aber mit System 05.10.2020

Augenscheinlich wirre Angriffsmethoden sollen Security-Mechanismen ins Leere laufen lassen: SophosLabs deckt neue Hackerstrategie auf.

Foto: Sophos Etwas leichter lässt sich das Vorgehen dieser Attacke in einem Schaubild nachvollziehen Den Spezialisten der SophosLabs ist eine neue Angriffsmethode ins Netz gegangen. Die beiden Security-Experten Fraser Howard und Andrew O'Donnell stießen bei ihrer Jagd nach neuen Bedrohungen auf eine ungewöhnliche Variante. Zusammengefasst beginnt die Angriffskette mit einer bösartigen E-Mail-Nachricht inklusive VB-Scripting-Code und endet mit der Platzierung eines Remote-Zugriff-Trojaners namens MoDi RAT. Bei ihren forensischen Untersuchen entdeckten die Spezialisten jedoch einige überraschende Aktionen in der verworrenen Angriffsfolge. Dazu gehörte beispielsweise der Start einer Visual Basic-Skriptdatei, die wiederum eine PowerShell aktiviert, um den Text der Befehle via Zwischenablage buchstäblich in das PowerShell-Fenster einzufügen, anstatt die Befehlszeichenfolge als Parameter zu übergeben. Das Ziel dahinter: Dateilose Angriffs-Skripts sollen in Verbindung mit der Zwischenablage einer Erkennung durch Security-Mechanismen entgehen. Genau das ist der Stoff, nach dem alle Security-Experten suchen, um die Schutzlösungen für derartige Angriffe vorzubereiten.

 "In unseren Untersuchungen haben wir einige interessante Telemetriedaten entdeckt, die darauf hindeuten, dass Cyberkriminelle versuchen, der Entdeckung zu entgehen. Dies ist ein genereller Trend, den wir insbesondere in diesem Jahr beobachten. Angreifer versuchen mit unterschiedlichen Methoden, ihre Chancen zu verbessern. Die jüngsten Telemetriedaten waren Anlass genug, tiefer zu forschen. Dabei haben wir einige interessante Tricks aufgedeckt – insbesondere die Verwendung von VBScript, um die bösartigen Befehle in den PowerShell-Prozess einzufügen. Dieses Vorgehen hatte mit hoher Sicherheit das Ziel, der Erkennung zu entgehen und außer Sichtweite der Sicherheitsteams zu bleiben", erklärt Fraser Howard, Threat Research Director bei Sophos.

 Attacke in wirren Schritten

Die gesamte Angriffskette klingt wirr und nicht unbedingt logisch. Aber mit genau derartigen Tricks versuchen die Cyberkriminellen eine Erkennung durch Security-Mechanismen zu unterbinden. Die einzelnen Schritte bleiben quasi unter dem Radar und erregen keine Aufmerksamkeit.

 Der Angriff beginnt mit dem Öffnen der Spam-E-Mail. Das angehängte Visual Basic-Skript stellt eine Verbindung zu einem entfernten Standort her, dem Einstiegspunkt in eine Reihe von HTTP 302-Umleitungen. Diese wiederum führen zu einem Zip-Archiv, das auf OneDrive-Cloud-Storage gehostet ist und eine kodierte VBS-Datei enthält.

In der nächsten Phase schreibt das erste VBScript eine zweite VBS-Datei in das Dateisystem und fügt drei neue Einträge mit binären Daten in die Windows-Registry, die als 8-stellige Binärzahlen ausgegeben werden. Anschließend wird der Systemdienst gestartet, um einen neuen geplanten Task zu erstellen. Dieser soll das VBS-Skript an einem zuvor definierten künftigen Zeitpunkt starten.

Wird dieser geplante Task ausgeführt, verwendet er wscript.exe, um den VBS zu starten. Der VBS-Code startet wiederum die PowerShell und führt einen Code aus, der Daten vom VBS entnimmt und in die Zwischenablage legt. Diese Daten beziehungsweise Befehle werden anschließend programmgesteuert mit dem Befehl VBS SendKeys in das PowerShell-Fenster eingefügt.

In den weiteren Schritten extrahiert PowerShell eine .NET-Decoder-Ausführungsdatei aus einem der Registry-Blobs (als Entreur bezeichnet), welche die VBE zuvor erstellt hatte, und lädt diese reflektiv, indem sie diese in einen Systemprozess injiziert. Anschließend extrahiert die ausführbare Decoderdatei den .NET-Injektor und die Nutzlast-Blobs (in der Registry mit inj bzw. Myfile bezeichnet) aus der Registry. Schlussendlich lädt der Injektor die Nutzlast (injiziert in die Host-Anwendung msbuild.exe).

Was kann man als Anwender und Unternehmen tun?

Es ist enorm wichtig, dass keine älteren Windows Betriebssysteme in der IT-Infrastruktur genutzt werden. Der Grund liegt im AMSI Framework von Microsoft. Dieses ist nur in neueren Versionen von Windows verfügbar (Windows 10, Windows Server 2016 und Windows Server 2019) und bietet die Grundlage, derartige Angriffe zu erkennen und abzuwehren. Cyberkriminelle wissen, dass noch älterer Systeme in Gebrauch sind und nutzen diese Sicherheitslücke intensiv aus.

it&t business medien OG
Tel.: +43/1/369 80 67-0
office@ittbusiness.at
Impressum
Datenschutz
Website by NIKOLL.AT