Altbekannte Malware im neuen Corona-Vehikel

Auch die altbekannten Malware-Familien Emotet und Nanocore RAT werden aktuell gezielt als Anhänge von E-Mails im Zusammenhang mit Corona versandt. Da Unternehmen aktuell auf die Krise reagieren müssen, werden allerorts viele, oft dringende E-Mails zu diesem Thema verschickt. Dies nutzen die Angreifer aus und hoffen so, mehr potenzielle Opfer mit ihrer Malware zu infizieren.

Lesetipp März 2020

Pfannkuchen gegen die Krise Immer mehr InfoSec-Events versuchen, aus der Not eine Tugend zu machen und verlagern sich ins Virtuelle. Andere Konferenzen werden gleich als reine Remote-Geschöpfe neu aus dem Boden gestampft, so z. B. die Veranstaltung #PancakesCon, bei der immer die erste Hälfte der Vorträge ein Security-Thema, die zweite Hälfte jedoch eine Tätigkeit, ein Hobby oder einen Skill ohne Security-Bezug zum Thema hat. https://tisiphone.net/2020/03/15/pancakescon-2020-quarantine-edition Videomitschnitt Track 1: https://www.twitch.tv/stbernaughty/video/572752282

Der Mensch bleibt dem Menschen ein Wolf – Cyber in Zeiten von Corona

Wäre es nicht schön gewesen? Inmitten all der schlechten Nachrichten und Prognosen wenigstens den Trost zu haben, dass die Welt sich zusammenrauft und wir uns nicht zusätzlich mit Cyberangriffen und sonstigen IT-Vorfällen das fragile Leben schwer machen… Leider ein Traum. Zwar haben einige wenige Angreifergruppen versprochen, Gesundheitsinfrastruktur bis auf weiteres auszusparen – auch Black-Hat-Hacker brauchen immerhin im Zweifel Beatmungsgeräte. Insgesamt ist jedoch die Anzahl der Angriffe gestiegen – und nicht wenige Kampagnen nutzen gerade die Unsicherheit, das Chaos und den […]

Runter vom Gas: Ransomware stoppt Pipeline

Ransomware hat schon des Öfteren industrielle Anlagen lahmgelegt: Von Containerverladung bis zur Schokoladenproduktion: Überall, wo komplexe verbundene IT-Systeme im Einsatz sind, gab es bereits Opfer. Bisher weitgehend verschont geblieben sind die Automatisierungsbereiche von kritischen Infrastrukturen wie Wasser oder Energie. Nun hat es einen Gasbetreiber in den USA getroffen: Über Spearphishing in die Office-IT konnte der Angriff auf die – in der hehren Theorie stark absegmentierte – OT (Steuerungsstechnik) übergreifen, sodass eine Pipeline zwei Tage lang stillstand. Nicht betroffen waren angeblich […]

Schludrig, Euer Ehren! IT-GAU beim Kammergericht Berlin

Im Kammergericht Berlin ist der Albtraum aller Informationssicherheitsexperten wahr geworden. Eine völlig veraltete IT-Infrastruktur ohne ernst zu nehmendes Sicherheitskonzept (keine Netzwerksegmentierung, keine Filterung am Gateway, keine Proxy-Logdaten, lokale Administratoren, mangelnde AD-Logs) führte zunächst zu einem Trojaner-Incident und dann zum Vollausfall der IT – und das mit Ansage: Ein Auditbericht hatte eklatante Lücken zuvor dringend bemängelt. Inzwischen ist der Wiederanlauf mit völlig neuer Technik im Gang – der Reputationsschaden der verfassungsgemäß unabhängigen Justiz jedoch noch längst nicht behoben. https://www.golem.de/news/gutachten-zu-emotet-datenabfluss-beim-berliner-kammergericht-2001-146294.html

Shitrix Happens Again: Hacker gingen bei Citrix ein und aus

Wie der auf Cyber-Scoops, also Enthüllungsgeschichten mit Bezug zum Thema Informationssicherheit, spezialisierte Journalist Brian Krebs berichtete, gingen Hacker fünf Monate lang in den Netzwerken des Anbieters von Applikationsvirtualisierung Citrix ein und aus. Zugang hatten sie über sogenanntes „Password Spraying“ erhalten. Das meint das Durchprobieren einer überschaubar großen Liste typischer Passwörter an einer großen Menge von Accounts, im Gegensatz zum Brute Forcing, welches in der Regel das Durchtesten einer sehr großen Menge von Credentials an einem oder ein paar wenigen Accounts […]

CIS transformiert: CIS Benchmarks aktualisiert

Die Benchmarks des gemeinnützigen Center for Internet Security (CIS) haben sich zu Best Practices für die Härtung von Systemen aller Arten entwickelt. Über 100 Benchmarks von Docker bis Juniper helfen dabei, eine sichere Baseline zu setzen oder aber zu auditieren. Nun sind die Benchmarks gerade alle aktualisiert worden und können hier abgerufen werden: https://www.cisecurity.org/

Damit der Kuber net is: Kubernetes-Security-Tools

K8s (Kubernetes) hat sich zum de facto-Standard bei der Orchestrierung von Containern entwickelt. Die Sicherheit derartiger Systeme ist jedoch noch nicht Allgemeinwissen. Nun wurden mit kube-scan und kccss zwei Tools für die Allgemeinheit bereitgestellt, die helfen, zumindest die automatisierbaren Aspekte der K8s-Sicherheit zu überprüfen. https://techcrunch.com/2020/01/22/octarine-releases-open-source-security-scanning-tool-for-kubernetes https://www.heise.de/developer/meldung/Containerisierung-KCCSS-bewertet-die-Risiken-fuer-Kubernetes-4644164.html

Signing Party verschoben: Microsoft verspricht und verschiebt LDAP Signing

Das Protokoll LDAP (Lightweight Directory Access Protocol) ist die Basis vieler kritischer Authentifizierungssysteme. So beruht unter anderem auch die Basis der Active Directory Services (ADS, oft einfach AD genannt) darauf. Bestimmte Angriffe auf die Authentifizierung lassen sich dadurch verhindern, dass Signaturen in LDAP eingeführt werden. In Windows ist dies bisher nicht der Fall.Microsoft war mit der Ankündigung vorgeprescht, LDAP Signing ab März zum Standard zu machen – und ruderte kurze Zeit später wieder zurück. Wohl aufgrund des Aufschreis bestimmter Nutzergruppen, […]

40 nicht nett: „Private“ Schlüssel auf Fortinet Firewall

Der Firewallhersteller Fortinet hat auf seiner Appliance FortiSIEM, die für das Einsammeln und Auswerten von sicherheitsrelevanten Logdaten eingesetzt wird, einen für alle Geräte einheitlichen Schlüssel in der Firmware hardcodiert. Wer Zugang zu einem Gerät oder einem Firmware-Image hat, kann den Schlüssel extrahieren und sich damit auf allen Geräten dieser Serie anmelden – wenn auch nur mit eingeschränkten Berechtigungen. Diese reichen aber aus, um den Betrieb zu stören (Denial-of-Service) und gegebenenfalls weitere Angriffe zur Rechteerweiterung zu versuchen.  https://fortiguard.com/psirt/FG-IR-19-296