Malen ohne war einmal: Malware für Macs

Veröffentlicht Veröffentlicht in Malware

Es hat sich über die letzten Jahre langsam herumgesprochen: Auch für Apples macOS gibt es Schadsoftware. So kommt es nicht unerwartet, dass sich auch bei Mac-Malware steigende Softwarequalität durchsetzt. Ein Ransomware-Schädling namens EvilQuest verbreitet sich derzeit über Raubkopien und Software-Updates aus fragwürdigen Quellen. Eine kostengünstige Entsperrung der verschlüsselten Daten wird bereits für 50 US-Dollar in Bitcoin angeboten. Doch der Service Gedanke trügt: Die Ransomware ist nur ein Puzzleteil einer umfangreichen Supply-Chain.
Selbst wenn der Nutzer zahlt, endet damit nicht der Service der Schadsoftware-„Hersteller“, denn EvilQuest beherrscht auch die Suche nach Virenscannern und Tools zur Verwaltung von Kryptowährungen sowie die Installation eines Keyloggers und einer Fernsteuerung für den Angreifer (Reverse Shell). Zudem setzt sich die Malware tief im System fest und überträgt Nutzerdaten auf den Server des Angreifers.
Um derlei Risiken zu reduzieren, sollte man vertrauenswürdige Download-Quellen verwenden –sowohl bei der Installation als auch bei Updates – um die eigene Supply-Chain sauber zu halten. Denn auch wenn der macOS-interne Schutz XProtect die Malware inzwischen blockiert und gegen die mangelhafte Verschlüsselung ein Tool existiert, bleiben drei Fragen offen, die Nutzer aller Betriebssysteme vereint: Ist der Angreifer noch da? Wo sind meine persönlichen Daten? Habe ich ein aktuelles Offline-Backup meiner wichtigsten Daten?

https://www.heise.de/news/Neue-Mac-Ransomware-kursiert-in-illegalen-Kopien-4800485.html

https://www.heise.de/news/Mac-Malware-EvilQuest-ThiefQuest-Entschluesselungs-Tool-soll-helfen-4839435.html

BlueKeep of Death – Kommt der nächste Wurm?

Veröffentlicht Veröffentlicht in Malware

Aktuell werden wieder Wetten angenommen, wann wir mit der nächsten wirklich großen Infektionswelle rechnen können. „BlueKeep“ – so der umgangssprachliche Name für die Schwachstelle CVE-2019-0708 vom Typ „nicht authentifizierte Remote Code Execution“ unter Windows 7, Windows Server 2008 und Windows Server 2008 R2 – hat Microsoft bereits am 14. Mai gepatcht. Aber noch, das war nicht anders zu erwarten, sind viele Systeme weltweit verwundbar. In den letzten vier Wochen haben Angreifer nun mit der systematischen Ausnutzung begonnen. Bisher produzieren sie meist Abstürze (Blue Screen). Außerdem scheinen die Angriffe bislang noch größtenteils manuell, also per Clicki-Bunti-Oberfläche oder Metasploit-Modul, durchgeführt zu werden und sind dementsprechend langsam und an übliche Arbeitszeiten gebunden. Das könnte sich jedoch ändern, sobald stabilere Exploits entwickelt werden, welche automatisiert ausgeführt werden können.

Möglicherweise könnte dann der nächste große Wurm drohen, der ähnlich wie WannaCry innerhalb von Minuten Netzwerke auf der ganzen Welt befällt. Für BlueKeep kommen zwar nicht ganz so viele Ziele infrage – im Gegensatz zu WannaCry, welcher das verwundbare SMBv1-Protokoll auf einer großen Anzahl von Windows Server- und Clientsystemen ausnutzte, ist BlueKeep eine Lücke in den RDS (Remote Desktop Services), welche auf Clientbetriebssystemen standardmäßig deaktiviert sind. Allerdings stellen natürlich gerade die Server häufig Assets mit hohem Wert dar, zumal wenn sie intern mit vielen weiteren Systemen vernetzt sind. Die aktuellen Angriffe versuchen momentan nur, mittelmäßig schädliche Crypto-Miner unterzubringen. Aber auch das wird sich wohl ändern, sobald es sich von der Masse lohnt.

Das von den RDS verwendete RDP-Protokoll sollte niemals ungeschützt im Internet erreichbar sein. Scans des Internets, wie sie auch die Angreifer aktuell vornehmen, zeigen jedoch, dass dies an vielen Stellen trotzdem der Fall ist. Insbesondere bei Industrieanlagen wird RDP nicht selten zur Fernwartung eingesetzt.

Es mag sein, dass – anders als bei WannaCry – ein Wurm am Ende gar nicht notwendig ist. Vielleicht genügt es (aus Angreifersicht), mit einem stabilen Exploit das Internet zu scannen und alle verwundbaren Systeme direkt anzugreifen. Höchste Zeit also, nicht nur die Patches einzuspielen, sondern die eigene (RDP-)Exponierung im Internet zu überprüfen und zu reduzieren. Zumal mit DejaBlue im August schon die nächste RDP-Schwachstelle entdeckt wurde, die weitere, auch neuere Windows-Versionen betraf.

https://www.microsoft.com/security/blog/2019/11/07/the-new-cve-2019-0708-rdp-exploit-attacks-explained/