9
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
Servus Kollegen und Mitstreiter,
da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins dabei waren, die meinten Ihre Systeme nicht wirklich zurück oder neu aufsetzen zu müssen und sich so scheinbar in Sicherheit wägen, wollte ich hier mal ein exemplarisches Beispiel aus "Igor Bogdanov's Blog" geben, welches zeigt wie ausgefeilt sich Malware selbst auch auf scheinbar sicheren Systemen verstecken kann und im Netzwerktraffic auf den ersten und zweiten Blick so gut wie nicht auffällt.
In diesem Beispiel konnte die C&C Malware auf den eingesetzten Gateways den SSL-Traffic mitlesen und so personenbezogene Daten im Klartext absaugen.
APT Encounters of the Third Kind (Achtung: Possible "North Korean" influence
)
Viel Spaß beim Lesen
.
Gruß @colinardo
da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins dabei waren, die meinten Ihre Systeme nicht wirklich zurück oder neu aufsetzen zu müssen und sich so scheinbar in Sicherheit wägen, wollte ich hier mal ein exemplarisches Beispiel aus "Igor Bogdanov's Blog" geben, welches zeigt wie ausgefeilt sich Malware selbst auch auf scheinbar sicheren Systemen verstecken kann und im Netzwerktraffic auf den ersten und zweiten Blick so gut wie nicht auffällt.
In diesem Beispiel konnte die C&C Malware auf den eingesetzten Gateways den SSL-Traffic mitlesen und so personenbezogene Daten im Klartext absaugen.
APT Encounters of the Third Kind (Achtung: Possible "North Korean" influence
)Viel Spaß beim Lesen
.Gruß @colinardo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 665789
Url: https://administrator.de/contentid/665789
Printed on: April 16, 2024 at 07:04 o'clock
9 Comments
Latest comment
@colinardo:
Sehr interessant, doch für mich weitenteils Bahnhof & Suaheli, und das nicht der englischen Sprache wegen.
Weil Du die Exchange-Admins ansprichst: Zu der Kategorie dürfte ich auch gehören, keinerlei tiefergehendes Wissen zu solcher Art von möglichen Angriffen vorhanden. Unseren Exchange hat ein Systemhaus aufgesetzt, von dem ich sehr viel halte, ich selbst kann das EAC bedienen, und in selten vorkommenden Fällen auch mal ein Exch.-PS-Skript absetzen. Monatliche Windows-Updates für den Server mache ich ebenfalls, und auch die Installation der Messaging Security und der CUs und ggf. ab und zu zwischendurch erscheinende Exchange-Updates. Und natürlich Backup. Ich sehe regelmäßig in die Protokolle der Messaging-Security und behalte den freien Speicher im Auge. Viel mehr ist es nicht, was ich selber tun kann.
Bin ich damit ein Exchange-Admin, der diese Bezeichnung verdient? So ein richtiger Exchange-Freak, der mit jedem Exchange-Bit per Du ist? Vermutlich nicht. Oder besser ganz sicher nicht.
Aber gestatte eine Frage: Als neulich die Exchange-Attacken stattfanden, habe ich eifrig beim BSI/LSI mitgelesen. Selbstredend habe ich sofort das kurz zuvor (die Attacken gab's aber schon früher) erschienene Sonderupdate installiert und danach die ganzen Prüfschritte, die wiederum vom BSI/LSI, aber auch von Microsoft beschrieben wurden, durchgeführt. Und auch ansonsten alles, was in den einschlägigen Gazetten, mitunter auch hier im Forum, empfohlen wurde. Die dabei entstandenen Logs habe ich dem Systemhaus zugesandt und erhielt zur Antwort, daß die Auswertung der Logs ergeben hat, daß wir vor Installation des Updates NICHT angegriffen wurden.
Hätte ich mir hier trotzdem - ohne bekannte Not - den zeitlichen und aufwandstechnischen Irrsinn antun sollen, die Installation komplett neu aufzusetzen (Windows-Server + Exchange-Server)? Wiege ich mich nur in scheinbarer Sicherheit?
Viele Grüße
von
departure69
Sehr interessant, doch für mich weitenteils Bahnhof & Suaheli, und das nicht der englischen Sprache wegen.
Weil Du die Exchange-Admins ansprichst: Zu der Kategorie dürfte ich auch gehören, keinerlei tiefergehendes Wissen zu solcher Art von möglichen Angriffen vorhanden. Unseren Exchange hat ein Systemhaus aufgesetzt, von dem ich sehr viel halte, ich selbst kann das EAC bedienen, und in selten vorkommenden Fällen auch mal ein Exch.-PS-Skript absetzen. Monatliche Windows-Updates für den Server mache ich ebenfalls, und auch die Installation der Messaging Security und der CUs und ggf. ab und zu zwischendurch erscheinende Exchange-Updates. Und natürlich Backup. Ich sehe regelmäßig in die Protokolle der Messaging-Security und behalte den freien Speicher im Auge. Viel mehr ist es nicht, was ich selber tun kann.
Bin ich damit ein Exchange-Admin, der diese Bezeichnung verdient? So ein richtiger Exchange-Freak, der mit jedem Exchange-Bit per Du ist? Vermutlich nicht. Oder besser ganz sicher nicht.
Aber gestatte eine Frage: Als neulich die Exchange-Attacken stattfanden, habe ich eifrig beim BSI/LSI mitgelesen. Selbstredend habe ich sofort das kurz zuvor (die Attacken gab's aber schon früher) erschienene Sonderupdate installiert und danach die ganzen Prüfschritte, die wiederum vom BSI/LSI, aber auch von Microsoft beschrieben wurden, durchgeführt. Und auch ansonsten alles, was in den einschlägigen Gazetten, mitunter auch hier im Forum, empfohlen wurde. Die dabei entstandenen Logs habe ich dem Systemhaus zugesandt und erhielt zur Antwort, daß die Auswertung der Logs ergeben hat, daß wir vor Installation des Updates NICHT angegriffen wurden.
Hätte ich mir hier trotzdem - ohne bekannte Not - den zeitlichen und aufwandstechnischen Irrsinn antun sollen, die Installation komplett neu aufzusetzen (Windows-Server + Exchange-Server)? Wiege ich mich nur in scheinbarer Sicherheit?
Viele Grüße
von
departure69
1
Hallo,
Wir hatten die Frage hier im Forum schon diskutiert.
Da die Angriffe ja schon im Januar stattfanden, man vom Exchange zum AD und von dort überall hinkommt, hätte man eigentliche alle Exchange-Server weltweit und alle mit diesen verbundenen Server und PCs neu aufsetzen müssen.
Gehen wir beim Angreifer wirklich mal von Luther Stickell (Mission Impossible) aus.
Bloss weil man nichts finden kann heist das ja nicht, dass da nichts ist.
Eine Manipulation eines Chipsatzes der auf Mainboards eingesetzt wird, wäre für jeden verhängnisvoll.
Ja, aber auch vorher schon
So what? Keine IT mehr nutzen?
Zitat von @departure69:
Hätte ich mir hier trotzdem - ohne bekannte Not - den zeitlichen und aufwandstechnischen Irrsinn antun sollen, die Installation komplett neu aufzusetzen (Windows-Server + Exchange-Server)?
Hätte ich mir hier trotzdem - ohne bekannte Not - den zeitlichen und aufwandstechnischen Irrsinn antun sollen, die Installation komplett neu aufzusetzen (Windows-Server + Exchange-Server)?
Wir hatten die Frage hier im Forum schon diskutiert.
Da die Angriffe ja schon im Januar stattfanden, man vom Exchange zum AD und von dort überall hinkommt, hätte man eigentliche alle Exchange-Server weltweit und alle mit diesen verbundenen Server und PCs neu aufsetzen müssen.
Gehen wir beim Angreifer wirklich mal von Luther Stickell (Mission Impossible) aus.
Bloss weil man nichts finden kann heist das ja nicht, dass da nichts ist.
Eine Manipulation eines Chipsatzes der auf Mainboards eingesetzt wird, wäre für jeden verhängnisvoll.
Ja, aber auch vorher schon
So what? Keine IT mehr nutzen?
Servus @departure69
Es ist ja auch immer eine Abwägungssache.
Die Server wurden ja erst mal massenhaft infiziert um dann später zu schauen, lohnt sich das Target überhaupt um weitere Schritte einzuleiten. Da ist dann auch klar das eine 3 Mann Klitsche einer Autowerkstatt wohl eher ein weniger lukratives Ziel darstellt als bspw. ein mittelständiges Maschinenbau-Unternehmen.
Das Hacker nicht abertausende Server und Netzwerke in einem kurzen Zeitraum so detailliert scannen und beurteilen können ist auch klar, das braucht Zeit. Da wird es dann also auch diverse dieser Systeme geben auf denen man auch "nur" die bekannten Backdoors vorfindet, auch klar.
Wenn man sich dann aber nicht im klaren ist was es für den eigenen Betrieb bedeuten kann wenn sensible Daten abgegriffen werden und sich dann die Sonnenbrille aufsetzt und weg schaut dann ist das sehr wohl fahrlässig.
Ich hatte auch einige Systeme zu bereinigen und die Mehrzahl der Kunden denen ich dazu geraten habe die Systeme neu aufzusetzen haben diesen Rat auch befolgt, aber genau der Mittelständer der unserem Rat nicht gefolgt ist hat es dann letztendlich voll erwischt. Man kann nur von Glück sagen daß das Unternehmen keine Insolvenz anmelden musste, aber das jetzt bestimmt einige Mitarbeiter zum Arbeitsamt stiefeln müssen, und das in Pandemie-Zeiten, ist nicht besonders schön. Nur weil ein Vorgesetzter mal wieder nach Prinzip "Geiz ist Geil" auf Kosten der Mannschaft gehandelt hat.
Was ich damit einfach nur noch mal klar machen wollte ist, ein Admin hat eine nicht zu unterschätzende Verantwortung für ein Unternehmen und diese sollte er auch bestmöglich einsetzen.
Was ist schon sicher, wir vertrauen auf Code den ein Großkonzern mit x Milliarden Dollar Umsatz geschrieben hat, da sollte man ja eigentlich meinen das Code eine gewisse Sicherheit hat, aber wie man sieht ist niemand gegen menschliche Fehler gefeit, gerade in unserer schnelllebigen Zeit entstehen Projekte oftmals ohne zu die entsprechende Sorgfalt immer mit dem Ziel den max. Profit raus zu kitzeln.
Aber man kann das Risiko durch einfache Maßnahmen reduzieren auch wenn sie oftmals für uns mehr Arbeit bedeuten, aber dafür sind wir ja Admins aus Leidenschaft (hoffentlich 😉).
Wie sagt doch so manch einer
No risk no fun
Nur eins ist sicher, das wir alle irgendwann die Radieschen mal von unten sehen.
So weit mein Wort zum Donnerstag
@colinardo
Es ist ja auch immer eine Abwägungssache.
Die Server wurden ja erst mal massenhaft infiziert um dann später zu schauen, lohnt sich das Target überhaupt um weitere Schritte einzuleiten. Da ist dann auch klar das eine 3 Mann Klitsche einer Autowerkstatt wohl eher ein weniger lukratives Ziel darstellt als bspw. ein mittelständiges Maschinenbau-Unternehmen.
Das Hacker nicht abertausende Server und Netzwerke in einem kurzen Zeitraum so detailliert scannen und beurteilen können ist auch klar, das braucht Zeit. Da wird es dann also auch diverse dieser Systeme geben auf denen man auch "nur" die bekannten Backdoors vorfindet, auch klar.
Wenn man sich dann aber nicht im klaren ist was es für den eigenen Betrieb bedeuten kann wenn sensible Daten abgegriffen werden und sich dann die Sonnenbrille aufsetzt und weg schaut dann ist das sehr wohl fahrlässig.
Ich hatte auch einige Systeme zu bereinigen und die Mehrzahl der Kunden denen ich dazu geraten habe die Systeme neu aufzusetzen haben diesen Rat auch befolgt, aber genau der Mittelständer der unserem Rat nicht gefolgt ist hat es dann letztendlich voll erwischt. Man kann nur von Glück sagen daß das Unternehmen keine Insolvenz anmelden musste, aber das jetzt bestimmt einige Mitarbeiter zum Arbeitsamt stiefeln müssen, und das in Pandemie-Zeiten, ist nicht besonders schön. Nur weil ein Vorgesetzter mal wieder nach Prinzip "Geiz ist Geil" auf Kosten der Mannschaft gehandelt hat.
Was ich damit einfach nur noch mal klar machen wollte ist, ein Admin hat eine nicht zu unterschätzende Verantwortung für ein Unternehmen und diese sollte er auch bestmöglich einsetzen.
Wiege ich mich nur in scheinbarer Sicherheit?
Tja das ist die Frage aller Fragen.Was ist schon sicher, wir vertrauen auf Code den ein Großkonzern mit x Milliarden Dollar Umsatz geschrieben hat, da sollte man ja eigentlich meinen das Code eine gewisse Sicherheit hat, aber wie man sieht ist niemand gegen menschliche Fehler gefeit, gerade in unserer schnelllebigen Zeit entstehen Projekte oftmals ohne zu die entsprechende Sorgfalt immer mit dem Ziel den max. Profit raus zu kitzeln.
Aber man kann das Risiko durch einfache Maßnahmen reduzieren auch wenn sie oftmals für uns mehr Arbeit bedeuten, aber dafür sind wir ja Admins aus Leidenschaft (hoffentlich 😉).
Wie sagt doch so manch einer
No risk no fun
Nur eins ist sicher, das wir alle irgendwann die Radieschen mal von unten sehen.
So weit mein Wort zum Donnerstag
@colinardo
3
Hallo,
Das zum Einen. Zum Anderen verhält es sich so, dass die administrative Kultur unter Windows schlichtweg eine andere ist als unter Linux.
Die grundlegende Vorgehensweise "Ich klicke solange, bis es funktioniert und dann rühre ich es nicht mehr an" ist dort schlichtweg dem Umstand geschuldet, dass Windows "Closed Source" ist und somit niemand nachvollziehen kann, was diese Software genau macht.
Ich bin ehrlich: Kein Mitleid! In meiner Vorstellung flüchten sich immer mehr in die Abhängigkeit der Cloud und werden zukünftig "so richtig ausgenommen". Ich persönlich lerne gleichzeitig, wie wenig man eigentlich zum Leben braucht und nehme immer weniger Dienstleistungen in Anspruch. Mal gucken, wer länger durchhält
Gruß,
Jörg
Zitat von @StefanKittel:
Da die Angriffe ja schon im Januar stattfanden, man vom Exchange zum AD und von dort überall hinkommt, hätte man eigentliche alle Exchange-Server weltweit und alle mit diesen verbundenen Server und PCs neu aufsetzen müssen.
Da die Angriffe ja schon im Januar stattfanden, man vom Exchange zum AD und von dort überall hinkommt, hätte man eigentliche alle Exchange-Server weltweit und alle mit diesen verbundenen Server und PCs neu aufsetzen müssen.
Das zum Einen. Zum Anderen verhält es sich so, dass die administrative Kultur unter Windows schlichtweg eine andere ist als unter Linux.
Die grundlegende Vorgehensweise "Ich klicke solange, bis es funktioniert und dann rühre ich es nicht mehr an" ist dort schlichtweg dem Umstand geschuldet, dass Windows "Closed Source" ist und somit niemand nachvollziehen kann, was diese Software genau macht.
Ich bin ehrlich: Kein Mitleid! In meiner Vorstellung flüchten sich immer mehr in die Abhängigkeit der Cloud und werden zukünftig "so richtig ausgenommen". Ich persönlich lerne gleichzeitig, wie wenig man eigentlich zum Leben braucht und nehme immer weniger Dienstleistungen in Anspruch. Mal gucken, wer länger durchhält
Gruß,
Jörg
Moin,
sehr interessanter Beitrag, erinnert mich an meine Jugend, als ich noch in Binärcode für forensische Zwecke herumgewühlt habe. Leider hat sich meine Tätigkeit inzwischen ganz anders entwickelt.
Interessant auch die Aussagen des Kunden:
Erinnert mit an das alte Gebet an den heiligen Sankt Florian.
Aber nach dem Lesen sieh das aus wie ein sehr spezialisierter und gezielter Angriff in dessen "Genuß" nicht allzuviele Leute kommen dürften, was allerdings kein grund ist, sich in falscher Sicherheit zu wiegen.
Alles in allem eine schöne Freitagslektüre.
lks
sehr interessanter Beitrag, erinnert mich an meine Jugend, als ich noch in Binärcode für forensische Zwecke herumgewühlt habe. Leider hat sich meine Tätigkeit inzwischen ganz anders entwickelt.
Interessant auch die Aussagen des Kunden:
After getting all the forensics the client insisted on reconnecting his systems to the web, they were "losing money".
"I don't care who else they are attacking. I just want them off my lawn!"
Erinnert mit an das alte Gebet an den heiligen Sankt Florian.
Aber nach dem Lesen sieh das aus wie ein sehr spezialisierter und gezielter Angriff in dessen "Genuß" nicht allzuviele Leute kommen dürften, was allerdings kein grund ist, sich in falscher Sicherheit zu wiegen.
Alles in allem eine schöne Freitagslektüre.
lks
Zitat von @117471:
Hallo,
Die grundlegende Vorgehensweise "Ich klicke solange, bis es funktioniert und dann rühre ich es nicht mehr an" ist dort schlichtweg dem Umstand geschuldet, dass Windows "Closed Source" ist und somit niemand nachvollziehen kann, was diese Software genau macht.
Hallo,
Die grundlegende Vorgehensweise "Ich klicke solange, bis es funktioniert und dann rühre ich es nicht mehr an" ist dort schlichtweg dem Umstand geschuldet, dass Windows "Closed Source" ist und somit niemand nachvollziehen kann, was diese Software genau macht.
Diese These halte ich für sehr gewagt und letztlich auch für nicht haltbar. Weder muss man unter Windows solange klicken bis es funktioniert, noch ist der durchschnittliche Linuxadmin ein so versierter Programmierer das er mal eben den Sourcecode des Linuxkernel und seiner genutzten Applikationen bewerten kann.
/Thomas
Moin,
ich denke, das dies der heutigen Informationsverfügbarkeit geschuldet.
"Früher" wuste nur Fachpersonal was die Fehler 1511 und 1515 bedeuten.
Also wenn Du auf Schulungen war wo so etwas besprochen wurde oder Du ein dickes Buch hattest und darin stundenlange gelesen hast.
Heute nimmt man eine Suchmaschiene und eine Videoplattform und hat nach 2 Minuten detailierte Anleitungen für komplexe Vorgänge.
Aber meist nur die Anleitung ohne Hintergrundinformationen warum und wieso.
Bedingt durch diese Informationsfülle überschätzen sich viele, ich vermutlich auch.
Aber viele Arbeitgeber von IT-Systemhäuser weisen Azubis im 2. Lehrjahr nicht mehr wie früher Geräte reinigen und PCs installieren sondern Exchange Cluster einrichten zu und gebgen dafür nur ein paar Tipps und Links zu Anleitungen.
Stefan
ich denke, das dies der heutigen Informationsverfügbarkeit geschuldet.
"Früher" wuste nur Fachpersonal was die Fehler 1511 und 1515 bedeuten.
Also wenn Du auf Schulungen war wo so etwas besprochen wurde oder Du ein dickes Buch hattest und darin stundenlange gelesen hast.
Heute nimmt man eine Suchmaschiene und eine Videoplattform und hat nach 2 Minuten detailierte Anleitungen für komplexe Vorgänge.
Aber meist nur die Anleitung ohne Hintergrundinformationen warum und wieso.
Bedingt durch diese Informationsfülle überschätzen sich viele, ich vermutlich auch.
Aber viele Arbeitgeber von IT-Systemhäuser weisen Azubis im 2. Lehrjahr nicht mehr wie früher Geräte reinigen und PCs installieren sondern Exchange Cluster einrichten zu und gebgen dafür nur ein paar Tipps und Links zu Anleitungen.
Stefan
Nicht nur das, es ist ja gerade im Projektgeschäft eine Frage des Preises ob ich alle Best Practices in Bezug auf Sicherheit verfolge oder nur das notwendigste umsetze um nich in Haftung genommen zu werden. Sicherheit kostet (Zeit und/oder Geld) und macht das Leben des Admins unbequem.
/Thomas
Hallo,
Vielleicht hängt es auch davon ab, mit was für Aufträgen man konfrontiert wird. Ich bin schon häufiger mit Systemen konfrontiert worden, wo ich als fünfter, sechster oder einmal auch als fünfzehnter IT-Dienstleister das Ergebnis derartiger "Administratoren" bewundern durfte und habe auch schon Strafanzeigen und Zivilverfahren (Schadensersatz) begleitet.
Aber, in einem Punkt gebe ich Dir Recht. Den "Ich guck' mir einfach mal jede Option in der GUI an und klicke alles an, was mir persönlich richtig erscheint ohne die Hintergründe zu kennen" Admin gibt es auch noch, den habe ich ausgeblendet.
Aber "eigentlich" ist es auch gut so. Gerade bei derartigen Kunden kann man stundenlohntechnisch "ein richtiges Fass aufmachen", zahlen tut ja letztendlich der Vorgänger, der 's versaut hat (oder dessen Betriebshaftpflicht - wenn er denn eine hat). Zwei bis drei Aufträge pro Jahr reichen
Gruß,
Jörg
P.S.: Die Linux-Admins, die ich kenne, sind durchaus in der Lage, Sourcecodes des Linux-Kernels uns der genutzten Applikationen zu bewerten und deren Integrität zu prüfen. Du nicht?
Zitat von @Th0mKa:
Diese These halte ich für sehr gewagt und letztlich auch für nicht haltbar. Weder muss man unter Windows solange klicken bis es funktioniert, noch ist der durchschnittliche Linuxadmin ein so versierter Programmierer das er mal eben den Sourcecode des Linuxkernel und seiner genutzten Applikationen bewerten kann.
Diese These halte ich für sehr gewagt und letztlich auch für nicht haltbar. Weder muss man unter Windows solange klicken bis es funktioniert, noch ist der durchschnittliche Linuxadmin ein so versierter Programmierer das er mal eben den Sourcecode des Linuxkernel und seiner genutzten Applikationen bewerten kann.
Vielleicht hängt es auch davon ab, mit was für Aufträgen man konfrontiert wird. Ich bin schon häufiger mit Systemen konfrontiert worden, wo ich als fünfter, sechster oder einmal auch als fünfzehnter IT-Dienstleister das Ergebnis derartiger "Administratoren" bewundern durfte und habe auch schon Strafanzeigen und Zivilverfahren (Schadensersatz) begleitet.
Aber, in einem Punkt gebe ich Dir Recht. Den "Ich guck' mir einfach mal jede Option in der GUI an und klicke alles an, was mir persönlich richtig erscheint ohne die Hintergründe zu kennen" Admin gibt es auch noch, den habe ich ausgeblendet.
Aber "eigentlich" ist es auch gut so. Gerade bei derartigen Kunden kann man stundenlohntechnisch "ein richtiges Fass aufmachen", zahlen tut ja letztendlich der Vorgänger, der 's versaut hat (oder dessen Betriebshaftpflicht - wenn er denn eine hat). Zwei bis drei Aufträge pro Jahr reichen
Gruß,
Jörg
P.S.: Die Linux-Admins, die ich kenne, sind durchaus in der Lage, Sourcecodes des Linux-Kernels uns der genutzten Applikationen zu bewerten und deren Integrität zu prüfen. Du nicht?