Penetrationstests bringen viele Vorteile für Unternehmen

In der heutigen Zeit hängen die IT-Sicherheit und der Unternehmenserfolg sehr eng zusammen. Auch wenn Unternehmer sich sehr oft aus diversen Gründen in Sicherheit wiegen, die Realität sieht leider anders aus!

IT-Systeme sind in allen Branchen täglich vielen Gefahren ausgesetzt und sehr häufig haben Cyberkriminelle ein leichtes Spiel. Um diese Gefahren so weit wie möglich zu minimieren, können Unternehmen sogenannte Penetrationstests durchführen lassen. Bei Penetrationstests handelt es sich um die Überprüfung von IT-Systemen, kompletten Netzwerken, Onlineshops, Webseiten usw. hinsichtlich ihrer Sicherheit gegen externe Angriffe. Die von qualifizierten und zertifizierten Experten durchgeführten Tests sind im Prinzip sehr realitätsnahe Angriffe, die kontrolliert auf IT-Systeme durchgeführt werden. Ziel ist es Schwachstellen aufzudecken und sie zu protokollieren, um sie dann zu beseitigen.

Vorteile von Pentests auf einen Blick

Maßgeschneiderte Penetrationstests

Da Penetrationstests immer sehr genau an die vorliegenden Gegebenheiten angepasst werden können, bringen sie immer individuell unterschiedliche Vorgehensweisen mit sich. Dies ist ein wichtiger Faktor und somit ein entscheidender Vorteil für die wirkungsvolle Durchführung und dem Erhalt eines umfassenden Ergebnisses. Maßgeschneiderte Tests vor Ort und von außen für jedes Unternehmen führen zur höchstmöglichen Sicherheit.

Schutz vor Systemausfall

Schon eine einzige gezielt ausgeführte Attacke von außen oder innen kann zu einem kompletten Systemausfall führen. Penetrationstest können unterschiedlich Angriffsszenarien durchtesten, die sehr realitätsnah sind und so mögliche Schwachstellen aufdecken sowie auch Lösungsansätze aufzeigen.

Schutz vor Angriffen von außen

Über Sicherheitslücken in Anwendungen, Systemen oder Netzwerken können externe Angreifer Einbrüche einleiten. Eine große Herausforderung für die meisten IT-Sicherheitsteams sind heutzutage Angriffe auf Applikationsebene. Simulierte Testangriffe zeigen, auf welche Weise und wie schnell diese Angriffe erkannt und beseitig werden können. Mit den gewonnenen Erkenntnissen kann im realen Ernstfall auf bereits vorhandene Maßnahmen zurückgegriffen werden und so die Folgen des Angriffs minimieren.

Schutz von Angriffen von Innen

Oft wird die Gefahr von innen übersehen und völlig unterschätzt. Eine Schadsoftware wird über einen Datenträger oder eine Datei eingeschleust und verbreitet sich innerhalb des eigenen Systems. Mitarbeiter haben keine eingeschränkten Rechte, usw. Penetrationstests können auch hier Schwachstelen aufzeigen und IT-Systeme vor solchen Gefahren schützen.

Daten und Betriebsgeheimnisse sind geschützt

Durch einen erfolgreichen Hackerangriff besteht sofort die eminente Gefahr, dass wichtige Daten gestohlen und missbraucht oder gar vernichtet werden. Cyberspionage ist heute ein lukratives Geschäft für Kriminelle. Ein Penetrationstest findet offene Hintertüren und bringt die Schwächen der Datensicherung ans Licht.

Sicherheitsbedürfnis wird festgestellt

Die Angriffsmethoden der Hacker passen sich ständig an. Es ist wichtig den Status quo Ihres Unternehmens hinsichtlich der IT-Aktivitäten mithilfe eines Penetrationstests festzustellen, um damit das tatsächlich nötige Sicherheitsbedürfnis herauszufinden.
IT-Sicherheit ist immer aktuell

Ist das Sicherheitsbedürfnis durch die Ergebnisse des Penetrationstests einmal festgelegt, kann die IT-Sicherheit regelmäßig aktualisiert werden und die Abwehrmechanismen sind immer auf dem aktuellsten Stand.

Kostenersparnis

Jeder Unternehmer kann ansatzweise erahnen, was ihn ein kompletter Systemausfall oder Datenverlust durch einen erfolgreichen Angriff kosten wird. Nicht nur Nerven! Die Arbeitsunfähigkeit des Unternehmens führt zu einem zeitweiligen Betriebsausfall und einem nicht zu verachtenden Geschäftsverlust. Penetrationstests können Sie daher vor finanziellem Schaden schützen.

Auf Herz und Nieren geprüfte IT

IT-Systeme, Applikationen und Software werden in vielen Betrieben einmal installiert, selten überprüft und ab und an mal aktualisiert und in der Regel nie einer Sicherheitsüberprüfung unterzogen. Ein IT-Penetrationstest prüft auch hier.

Schutz der Kunden

Unternehmer haben eine Verantwortung gegenüber ihren Kunden. Eingeschleuste böswillige Software kann sich sehr schnell verbreitet. Aber auch in Onlineshops und Webseiten, die von Kunden und Interessenten besucht werden, kann sich Schadsoftware verstecken. Wie gut Ihre Kunden geschützt sind, wenn Sie mit ihnen in Kontakt treten, wird das Ergebnis eines Penetrationstests zeigen.

Schutz des Unternehmens

Penetrationstests sind maßgeblich daran beteiligt, Ihre eigenen Werte und die Ihrer Mitarbeiter, genauso wie die Ihrer Kunden zu schützen. Damit tragen solche Tests einen wichtigen Teil zum Erfolg und guten Ruf Ihres Unternehmens bei. Kundenvertrauen und gute Geschäfte sind heute die Basis für eine erfolgreiche Arbeit. Der Wettbewerbsvorteil liegt auf der Hand.

Regelmäßig durchgeführte Penetrationstests sind hinsichtlich des allgemein wachsenden Sicherheitsbedürfnisses ein wichtiges Werkzeug für die IT-Sicherheit in großen und kleinen Unternehmen.

Neue Einsatzmöglichkeiten für EternalBlue

Die Windows Sicherheitslücke EternalBlue macht weiter von sich Reden. Obwohl durch die Maßnahmen von Microsoft und auch einer mängelbehafteten Codierung der Ransomware das Schlimmste – eine rasche und weite Ausbreitung von WannaCry – verhindert werden konnte, ist das Kapitel EternalBlue offensichtlich noch lange nicht abgeschlossen. Es bleibt offensichtlich weiter nervenzehrend.

Sicherheitsforscher von FireEye haben kürzlich herausgefunden, dass der Windows-Fehler nun ausgenutzt wird, um andere Schadsoftware effektiver und noch verdeckter auszuliefern. Trojaner wie Backdoor.Nitol und Gh0st RAT werden damit seit Kurzem insbesondere in Singapur und Südasien erfolgreich verbreitet. Die Schwachstelle nutzt eine bestimmte Version des Windows SMB-Netzwerkprotokolls aus und verteilt darüber eine Hintertür, über die sich die Trojaner so einschleusen lassen. Insbesondere die Gh0st RAT Malware ist sehr gefährlich, da sie infizierte Windows-Geräte nicht nur ausspionieren, sondern auch komplett übernehmen kann. Davor zittert insbesondere die Luft- und Raumfahrtindustrie, aber auch Regierungsbehörden schon seit ein paar Jahren – durch die Mitwirkung von EternalBlue wird die Gefahrenlage nun noch einmal größer. Auch Backdoor.Nitol treibt seit Längerem ihr Unwesen. Dieser Trojaner nutzt eine Remotecode-Schwachstelle auf älteren Versionen des Internet Explorers mittels Verwendung eines ADODB.Stream ActiveX Objekts aus.

Im Prinzip liefert EternalBlue jetzt nicht mehr die Ransomware ab, sondern erst einmal ein Werkzeug, mit dem Befehle in eine VBScript-Datei geschrieben werden, die dann ausgeführt wird, um weitere bösartige Pakete auf einem anderen Server abzuholen. Damit nimmt alles Weitere seinen Lauf – die für die Einschleusung benötigte Hintertüre wird mithilfe einer der beiden Trojaner geschaffen. Die FireEye Experten schätzen die Bedrohungslage als ziemlich brisant ein, und befürchten, dass EternalBlue noch zur Überbringung weiterer bösartiger Pakete verwendet werden wird.

Ein paar Details zu der VBScript-Datei: Die Befehle werden in eine neue 1.vbs Datei reflektiert um später ausgeführt zu werden. Sie holen dann taskmgr.exe von dem anderen Server ab und erstellen damit das ActiveX Objekt ADODB.Stream. Das erlaubt das Lesen der Serverdatei und das Schreiben der Ergebnisse der Binärendaten in einem Stream, die abgespeichert und zur Überschreibung andere gleichnamiger binärer Daten verwendet werden. Über eine Befehlszeilenversion wird dann die VBS-Datei gelöscht und wenn die ausführbare Datei abgerufen und gespeichert wird, wird die Hintertür vom Speicherort aus aktiviert.

Sicherheitsexperten raten allen Anwendern ihre Systeme unbedingt zu schützen, da sie mit weiteren Nutzungsszenarien für EternalBlue rechnen. Entweder mittels Patch-Updates oder, wo nicht möglich, durch das Sperren von Netzwerk-Ports, dem Abschalten von unnötigen Diensten und der aufmerksamen Überwachung aller verdächtigen Aktivitäten. Dazu gehört vor allem auch die grundlegende Identifikation aller möglicherweise vorhandenen anfälligen Systeme.

Weitereführende Links:

http://www.zdnet.com/article/leaked-nsa-hacking-exploit-used-in-wannacry-ransomware-is-now-powering-trojan-malware/

https://www.scmagazine.com/eternalblue-used-in-wannacry-now-with-nitol-backdoor-and-gh0st-rat/article/666426/

https://threatpost.com/eternalblue-exploit-spreading-gh0st-rat-nitol/126052/

https://www.fireeye.com/blog/threat-research/2017/05/threat-actors-leverage-eternalblue-exploit-to-deliver-non-wannacry-payloads.html

Apple User in Deutschland mit raffinierter Malware überrumpelt

Apple Mac Nutzer schauen Windows Anwender oft recht mitleidig an, wenn Letztere einmal wieder mit Malware oder sonstigen Bugs zu kämpfen haben. Doch kürzlich hatten einige Nutzer von Apple Geräten in überwiegend deutschsprachigen Ländern ausnahmsweise auch mal nichts zu lachen. Sicherheitsexperten von Check Point hatten am 21. April ein ziemlich raffiniertes Malwarebündel OSX/Dok entdeckt. Raffiniert nicht nur deshalb, weil es sogar durch den von Google betriebenen Onlinedienst VirusTotal schlüpfen konnte, sondern auch, weil es die sich in ewiger Sicherheit wiegenden Apple-Nutzer ziemlich kalt erwischte. Zugegeben, die Macher hinter dem Malwarebündel mussten schon sehr tief in die Trickkiste greifen, um das hinzubekommen. Und, Apple-Nutzer mussten zudem auch tatkräftig mithelfen, damit sie sich ausführen konnte. Der Angriff betraf alle OSX-Versionen.

Die ganze Sache wurde mit einer Welle von Spam-E-Mails vom Absender Swiss Tax Office an deutschsprachige Apple Nutzer eingeleitet. Darin ging es um Ungereimtheiten im Zusammenhang mit Steuererklärungen. Im Anhang befand sich ein Dokument.zip, der sich beim Öffnen zu einer App mit dem Namen Truesteer.AppStore entpackt. Einmal ausgeführt kopiert sich die App an einen anderen Speicherort auf dem Gerät des Benutzers, entfernt die original App und zeigt sogleich eine Fehlermeldung an, die den Benutzer informiert, dass das Dokument defekt sei und nicht geöffnet werden konnte. Allerdings arbeitet die Malware im Hintergrund fleißig weiter. Wenn ein LoginItem mit dem Namen AppStore existiert, löscht die Malware es und fügt stattdessen sich selbst als LoginItem hinzu. Dieses wird dann bei jedem Systemneustart automatisch ausgeführt, bis es seine Aufgabe erfüllt hat, nämlich, das gesamte Malwarebündel zu installieren.

Außerdem sieht es aus wie ein unauffälliges Hintergrundprogramm.
Das Fenster mit der Fehlermeldung fordert den Anwender zwingend auf, ein Passwort einzugeben, um verfügbare OSX-Updates zu installieren. Wenn er der Aufforderung nicht nachkommt, steht sein Gerät still – nichts geht mehr. Wenn er der Aufforderung jedoch folgt, nimmt das Übel natürlich seinen Lauf und die Malware erhält die Admin-Rechte über sein Gerät, installiert einen Tor Klienten und das SOCAT Netzwerkdienstprogramm und auch noch eine PAC-Datei (Proxy AutoConfiguration) herunter und ändert dann die Netzwerkeinstellungen des Ziels, sodass der Verkehr durch einen vom Angreifer neu eingerichteten und kontrollierten Proxyserver und einer Localhost-URL geleitet wird.

Tatsächlich stellt die Malware aber einen lokalen Server auf und leitet diese localhost URL zu einem Dark Web Link weiter. Diese Installation ist nur deshalb möglich, da das Zertifikat nicht von Gatekeeper (Apple Schutzprogramm) erkannt wird und weil der Anwender nur App Installationen aus dem App Store zugestimmt hat. Die Malware fährt dann fort, ein neues Root-Zertifikat ins System zu installieren. Damit können die Angreifer den gesamten Datenverkehr mit einem Man-in-the-Middle-Angriff abfangen, mitlesen und manipulieren, auch solchen mit SSL-Schutz. Deshalb war übrigens auch der ganze Aufwand nötig. Außerdem täuscht es dem Nutzer beliebige Webseiten vor.

Bis jetzt ist den Experten noch nicht klar, wie viele Apple Nutzer hiervor betroffen sind. Auch ist noch unklar, wie die noch unbekannten Hacker die Finger an ein echtes, von Apple authentifiziertes Entwicklerzertifikat bekommen konnten. Die Experten von Check Point vermuten, dass sie es auf irgendeine Weise kapern konnten. Inzwischen sind alle bekannten Virenscanner aktualisiert worden und die Malware wird auch durch ein XProtect Update entsprechend erkannt.
Check Point Experten weisen darauf hin, dass „die Sicherheit von Systemen, egal ob Windows, Linux oder Android immer beim Nutzer selbst anfängt. Die Realität lässt heutzutage kein Raum für Selbstgefälligen zu. Anwender sollten immer auf der Hut sein, egal welches Betriebssystem oder welche Plattform sie verwenden.“

Threatpost.com, 01.05.2017: Apple Revokes Certificate Used By OSX/Dok Malware

Bleepingcomputer.com, 29.04.2017: New Dok Mac Malware Uses Nag Screens, Intercepts Encrypted Web Traffic