HiSolutions Research

Angriffe im Jahresrückblick

Das Frühjahr ist auch immer die Zeit für Jahresrückblicke. Natürlich sind sie beschränkt auf den jeweiligen Wirkungsbereich und daher streng genommen nicht repräsentativ, aber sie ermöglichen doch, Trends und Gemeinsamkeiten zu erkennen.

Die Kollegen vom DFIR-Report (Digital Forensics and Incident Response) sammeln Artefakte und Berichte von realen Angriffen und haben vor kurzem ihre Sicht auf das Jahr 2022 zusammengefasst. Analog zu unseren Erfahrungen liegen die meisten Vorfälle im Bereich Ransomware. 69 % der Fälle ließen sich auf Phishing als initialen Zugriff zurückführen. Um sich dann von dem ersten System mit meist geringen Rechten weiter vorzuarbeiten, bedarf es weiterer Zugangsdaten. In den meisten Fällen (44 %) wurden sie aus dem LSASS-Speicher geholt. Wem das nichts sagt, der hat vermutlich schon von dem typischen Tool hierfür gehört: mimikatz. Das Auslesen im Browser gespeicherter Passwörter teilt sich bereits den zweiten Platz mit zwei weiteren Speicherauslese-Techniken. Für die Bewegung im Netz werden meist Standardprotokolle wie RDP und SMB genutzt (beide jeweils in 41 % der Fälle) – die nötigen Zugangsdaten sind dann ja bekannt. Spannend wird es bei den Tools, die zur späteren Steuerung hinterlassen werden (Command & Control, C2). Platzhirsch Cobalt Strike führt mit 29 %, direkt mit 8 % gefolgt von AnyDesk – einer ganz normalen Fernzugrifflösung.

Im Report sind noch mehr Zahlen und vor allem viel mehr technische Details sowie Beispiele enthalten: https://thedfirreport.com/2023/03/06/2022-year-in-review/

HiSolutions Research

Signing In the Rain: Von Decryption und Signing Oracles – Covert-Content-Angriffe auf E-Mail

Aktuelle Forschung unserer Kollegin Heike Knobbe zeigt, dass viele gängige E-Mail-Clients heute immer noch anfällig sind für die vor wenigen Jahren entdeckten Angriffe Decryption Oracle und Signing Oracle. Der Blog-Post beschreibt die Attacken und gibt Hinweise für notwendige Gegenmaßnahmen.

https://research.hisolutions.com/2021/01/von-decryption-und-signing-oracles-covert-content-angriffe-auf-e-mail/

HiSolutions Research

Sommerolympiade der Security Gateways: Angreifer nutzen bekannte Schwachstellen

F5, Cisco, Palo Alto, Citrix, Pulse Secure: Die Produkte mehrerer großer Anbieter sind dieses Jahr von hochbewerteten Schwachstellen betroffen, sodass sich Administratoren die Zeit für nötige Sicherheitsupdates nehmen sollten. Dies bekräftigen nun Ransomware-Angreifer und zielen auf ungepatchte Systeme mit diesen Schwachstellen, was großes Potenzial für weitreichende Kompromittierungen umfangreicher IT Umgebungen birgt.

https://arstechnica.com/information-technology/2020/07/hackers-actively-exploit-high-severity-networking-vulnerabilities/

HiSolutions Research

Durchlässige Didaktik: 40 GB Hacker-Trainingsmaterial geleakt

Es ist noch kein Meister vom Himmel gefallen: Eine Gruppe von Sicherheitsforschern von IBM konnte einen umfangreichen Einblick in die Trainingsmaterialen für mutmaßliche staatliche Hacker aus dem Iran gewinnen.

https://www.heise.de/news/Leak-IBM-Forscher-finden-40-GByte-an-Hacker-Trainingsmaterial-4847330.html

https://securityintelligence.com/posts/new-research-exposes-iranian-threat-group-operations

https://www.ibm.com/downloads/cas/OAJ4VZNJ

HiSolutions Research

Hackers gonna (be) hack(ed): Vault-7-Leaks dank mangelhafter Absicherung

Da die Prioritäten der CIA stark auf der Offensive lagen, vernachlässigte sie gerade im Cyberspace in den 2010er Jahren die Defensive, was 2016 zu einer umfangreichen Veröffentlichung von Tools und Taktiken auf Wikileaks führte. Bekannt geworden war dadurch eine Vielfalt an Möglichkeiten und Werkzeuge des US-Auslandsgeheimdienstes, IT-Systeme aller Arten zu kompromittieren. Vielfältig dürften auch die bis zu 34 Terabyte an kopierten Daten sein, die bei der Kompromittierung unbemerkt abgeflossen sind. Besonders peinlich: Der Datenabfluss hätte ohne die Veröffentlichung unbemerkt bleiben können, wie ein kürzlich veröffentlichter Untersuchungsbericht zeigt.

https://www.washingtonpost.com/national-security/elite-cia-unit-that-developed-hacking-tools-failed-to-secure-its-own-systems-allowing-massive-leak-an-internal-report-found/2020/06/15/502e3456-ae9d-11ea-8f56-63f38c990077_story.html

https://www.heise.de/news/Vault-7-CIA-sicherte-eigene-Systeme-unzureichend-bis-zu-34-Terabyte-entwendet-4785716.html

HiSolutions Research

Denial of Denial of Service – Naifu geschnappt

Nach Auskunft von BKA, Staatsanwaltschaft Itzehoe und Landeskriminalamt Schleswig-Holstein ist es gelungen, nicht nur einen verdächtigen Hacker „naifu“ ausfindig zu machen, sondern gleich zwei junge Männer (16 und 20). Wegen großangelegter DDoS-Attacken u. a. auf die DKB droht ihnen nun ein Verfahren wegen des Verdachts der Computersabotage in besonders schweren Fällen und versuchter Erpressung.

https://www.presseportal.de/blaulicht/pm/7/4625910

HiSolutions Research

Eines Morgens erwachte ich und fand den Eindringling vor – Minarette spielen „Bella Ciao“

Unbekannte Hacker haben Lautsprechersysteme mehrerer Moscheen in der türkischen Stadt Izmir gehackt und von den Minaretten anstelle des Rufes der Muezzins das weltbekannte italienische Partisanenlied „Bella Ciao“ ertönen lassen. Der türkische Staat versucht dies als Gotteslästerung zu verfolgen und geht auch gegen eine Verbreitung von Aufnahmen der Aktion im Internet vor.

https://www.sueddeutsche.de/panorama/tuerkei-bella-ciao-moschee-izmir-1.4914330

HiSolutions Research

Die Grenzen der Geduld: Kriminelles Callcenter gehackt

Ein Sicherheitsforscher hat zu „robusten“ Maßnahmen gegriffen und sich in die Prozesse krimineller digitaler Machenschaften gehackt. Durch die Übernahme von Systemen in einem Callcenter der Verbrecher konnte er u. a. 70.000 Anrufmitschnitte und Livebilder der Videoüberwachung erbeuten. Die Aufnahmen wurden in einer Dokumentation der BBC und auf YouTube veröffentlicht.

https://www.golem.de/news/callcenter-sicherheitsexperte-hackt-microsoft-betrueger-2003-147058.html

HiSolutions Research

Rechte Hacker: Neonazis jagen Bill Gates

Rechtsextreme Aktivisten sind an eine Liste mit mehr als 20.000 Zugangsdaten u. a. der WHO und der Gates Foundation, die sich für die Bewältigung der Corona-Krise engagiert, gelangt. Angeblich wollen sie diese Informationen einsetzen, um die „Corona-Pandemie in eine Waffe zu verwandeln“. Verschwörungstheoretiker, Rechtsradikale und von ausländischen Diensten gesteuerte Troll-Armeen nutzen häufig Krisen aus, um Falschinformationen zu verbreiten, Unsicherheit und Dissens zu sähen und so ihre Agenda voranzutreiben.

https://www.businessinsider.com/neo-nazis-alleged-email-addresses-who-gates-foundation-nih-leak-2020-4

Auch bei der umstrittenen Gesichtserkennungsapp Clearview AI, die vor allem an Strafverfolgungsbehörden vermarktet wird und über eine der größten Gesichtsdatenbanken der Welt verfügt, wurden kürzlich Verbindungen zu Neonazigruppen enthüllt. Diese könnten ein Interesse daran haben, die Technik von Clearview im „Heimatschutz“ flächendeckend einzusetzen. Ein weiteres verbindendes Element ist einer der ersten Investoren von Clearview, der Tech-Unternehmer und Milliardär Peter Thiel. Seine Firma Palantir versorgt die US-Grenzschutzbehörde ICE bereits mit Big Data Tools. 

https://www.huffpost.com/entry/clearview-ai-facial-recognition-alt-right_n_5e7d028bc5b6cb08a92a5c48