Autor: David Fuhr

Twitter: 0xdhf
News

Neue Ransomware „CovidLock“

Der Dienst DomainTools berichtet über eine Webseite, auf der eine „Corona-App“ heruntergeladen werden kann, die angeblich in Echtzeit den Coronavirus-Ausbruch trackt. Hinter dieser Android-App ist die neue Ransomware „CovidLock“ versteckt, welche als Screen-Lock-Angriff fungiert: Wenn das Handy einmal gesperrt ist, fordern die Angreifer innerhalb von 48 Stunden 100$ in Bitcoins. Sie drohen, andernfalls das Telefon komplett zu löschen und Inhalte aus Social-Media-Konten zu veröffentlichen.

https://www.domaintools.com/resources/blog/covidlock-mobile-coronavirus-tracking-app-coughs-up-ransomware

News

Altbekannte Malware im neuen Corona-Vehikel

Auch die altbekannten Malware-Familien Emotet und Nanocore RAT werden aktuell gezielt als Anhänge von E-Mails im Zusammenhang mit Corona versandt. Da Unternehmen aktuell auf die Krise reagieren müssen, werden allerorts viele, oft dringende E-Mails zu diesem Thema verschickt. Dies nutzen die Angreifer aus und hoffen so, mehr potenzielle Opfer mit ihrer Malware zu infizieren.

News

Lesetipp März 2020

Pfannkuchen gegen die Krise

Immer mehr InfoSec-Events versuchen, aus der Not eine Tugend zu machen und verlagern sich ins Virtuelle. Andere Konferenzen werden gleich als reine Remote-Geschöpfe neu aus dem Boden gestampft, so z. B. die Veranstaltung #PancakesCon, bei der immer die erste Hälfte der Vorträge ein Security-Thema, die zweite Hälfte jedoch eine Tätigkeit, ein Hobby oder einen Skill ohne Security-Bezug zum Thema hat.

https://tisiphone.net/2020/03/15/pancakescon-2020-quarantine-edition

Videomitschnitt Track 1: https://www.twitch.tv/stbernaughty/video/572752282

Corona

Der Mensch bleibt dem Menschen ein Wolf – Cyber in Zeiten von Corona

Wäre es nicht schön gewesen? Inmitten all der schlechten Nachrichten und Prognosen wenigstens den Trost zu haben, dass die Welt sich zusammenrauft und wir uns nicht zusätzlich mit Cyberangriffen und sonstigen IT-Vorfällen das fragile Leben schwer machen… Leider ein Traum. Zwar haben einige wenige Angreifergruppen versprochen, Gesundheitsinfrastruktur bis auf weiteres auszusparen – auch Black-Hat-Hacker brauchen immerhin im Zweifel Beatmungsgeräte. Insgesamt ist jedoch die Anzahl der Angriffe gestiegen – und nicht wenige Kampagnen nutzen gerade die Unsicherheit, das Chaos und den Stress aus, um ihren bekannten illegalen Geschäftsmodellen Auftrieb zu verleihen. Wir kämpfen nun also an zwei Fronten. Die große, wichtige: Corona. Das allein bindet alle unsere Ressourcen. Dazu gilt es aber, auch an der „Cyber-Front“ die Verfügbarkeit unserer kritischen Infrastrukturen sicherzustellen. Und das sind mehr (und andere), als wir das gemeinhin auf dem Schirm haben: Gesundheitsämter, Lieferdienste, Pflegeheime, Hersteller von Medizintechnik, Supermärkte, Logistikbranche, … 

Tun wir unseren Teil, um die Funktionsfähigkeit unserer Gesellschaft gerade auch in Zeiten des notwendigen Lockdown aufrechtzuerhalten. Die Security kann und muss ihren Teil hierzu beitragen.

News

Runter vom Gas: Ransomware stoppt Pipeline

Ransomware hat schon des Öfteren industrielle Anlagen lahmgelegt: Von Containerverladung bis zur Schokoladenproduktion: Überall, wo komplexe verbundene IT-Systeme im Einsatz sind, gab es bereits Opfer. Bisher weitgehend verschont geblieben sind die Automatisierungsbereiche von kritischen Infrastrukturen wie Wasser oder Energie. Nun hat es einen Gasbetreiber in den USA getroffen: Über Spearphishing in die Office-IT konnte der Angriff auf die – in der hehren Theorie stark absegmentierte – OT (Steuerungsstechnik) übergreifen, sodass eine Pipeline zwei Tage lang stillstand. Nicht betroffen waren angeblich die Steuerungsanlagen. Die Täter konnten wohl in diesem Fall (noch) keine Prozesse manipulieren.

https://www.spiegel.de/netzwelt/web/ransomware-zwingt-pipeline-betreiber-zu-zwangspause-a-07f7f69f-e251-4363-b93a-9528d02f828c

News

Schludrig, Euer Ehren! IT-GAU beim Kammergericht Berlin

Im Kammergericht Berlin ist der Albtraum aller Informationssicherheitsexperten wahr geworden. Eine völlig veraltete IT-Infrastruktur ohne ernst zu nehmendes Sicherheitskonzept (keine Netzwerksegmentierung, keine Filterung am Gateway, keine Proxy-Logdaten, lokale Administratoren, mangelnde AD-Logs) führte zunächst zu einem Trojaner-Incident und dann zum Vollausfall der IT – und das mit Ansage: Ein Auditbericht hatte eklatante Lücken zuvor dringend bemängelt. Inzwischen ist der Wiederanlauf mit völlig neuer Technik im Gang – der Reputationsschaden der verfassungsgemäß unabhängigen Justiz jedoch noch längst nicht behoben.

https://www.golem.de/news/gutachten-zu-emotet-datenabfluss-beim-berliner-kammergericht-2001-146294.html

News

Shitrix Happens Again: Hacker gingen bei Citrix ein und aus

Wie der auf Cyber-Scoops, also Enthüllungsgeschichten mit Bezug zum Thema Informationssicherheit, spezialisierte Journalist Brian Krebs berichtete, gingen Hacker fünf Monate lang in den Netzwerken des Anbieters von Applikationsvirtualisierung Citrix ein und aus. Zugang hatten sie über sogenanntes „Password Spraying“ erhalten. Das meint das Durchprobieren einer überschaubar großen Liste typischer Passwörter an einer großen Menge von Accounts, im Gegensatz zum Brute Forcing, welches in der Regel das Durchtesten einer sehr großen Menge von Credentials an einem oder ein paar wenigen Accounts umschreibt. Einmal drin, konnten die Angreifer sich lange Zeit weitgehend ungestört umsehen und potenziell bisher unbekannten weiteren Schaden anrichten. Citrix-Produkte werden von vielen Unternehmen häufig an kritischer Stelle für den Fernzugriff bzw. Zugriff auf Geschäftsanwendungen eingesetzt.

https://krebsonsecurity.com/2020/02/hackers-were-inside-citrix-for-five-months/

News

Damit der Kuber net is: Kubernetes-Security-Tools

K8s (Kubernetes) hat sich zum de facto-Standard bei der Orchestrierung von Containern entwickelt. Die Sicherheit derartiger Systeme ist jedoch noch nicht Allgemeinwissen. Nun wurden mit kube-scan und kccss zwei Tools für die Allgemeinheit bereitgestellt, die helfen, zumindest die automatisierbaren Aspekte der K8s-Sicherheit zu überprüfen.

https://techcrunch.com/2020/01/22/octarine-releases-open-source-security-scanning-tool-for-kubernetes

https://www.heise.de/developer/meldung/Containerisierung-KCCSS-bewertet-die-Risiken-fuer-Kubernetes-4644164.html

News

Signing Party verschoben: Microsoft verspricht und verschiebt LDAP Signing

Das Protokoll LDAP (Lightweight Directory Access Protocol) ist die Basis vieler kritischer Authentifizierungssysteme. So beruht unter anderem auch die Basis der Active Directory Services (ADS, oft einfach AD genannt) darauf. Bestimmte Angriffe auf die Authentifizierung lassen sich dadurch verhindern, dass Signaturen in LDAP eingeführt werden. In Windows ist dies bisher nicht der Fall.
Microsoft war mit der Ankündigung vorgeprescht, LDAP Signing ab März zum Standard zu machen – und ruderte kurze Zeit später wieder zurück. Wohl aufgrund des Aufschreis bestimmter Nutzergruppen, die um die Kompatibilität ihrer Legacy-Systeme fürchten, wurde das Sicherheitsfeature nun auf die zweite Jahreshälfte 2020 verschoben.
Der folgende Beitrag beschreibt, wie sich anhand der Event ID 2887 im Event Log der Domain Controller überprüfen lässt, ob die eigene Landschaft mit dem Change klarkommen würde. 

https://opensecurity.global/forums/topic/249-preventing-ldap-apocalypse-in-march-2020-ldap-signing-requirements/