Penetrationstests bringen viele Vorteile für Unternehmen

In der heutigen Zeit hängen die IT-Sicherheit und der Unternehmenserfolg sehr eng zusammen. Auch wenn Unternehmer sich sehr oft aus diversen Gründen in Sicherheit wiegen, die Realität sieht leider anders aus!

IT-Systeme sind in allen Branchen täglich vielen Gefahren ausgesetzt und sehr häufig haben Cyberkriminelle ein leichtes Spiel. Um diese Gefahren so weit wie möglich zu minimieren, können Unternehmen sogenannte Penetrationstests durchführen lassen. Bei Penetrationstests handelt es sich um die Überprüfung von IT-Systemen, kompletten Netzwerken, Onlineshops, Webseiten usw. hinsichtlich ihrer Sicherheit gegen externe Angriffe. Die von qualifizierten und zertifizierten Experten durchgeführten Tests sind im Prinzip sehr realitätsnahe Angriffe, die kontrolliert auf IT-Systeme durchgeführt werden. Ziel ist es Schwachstellen aufzudecken und sie zu protokollieren, um sie dann zu beseitigen.

Vorteile von Pentests auf einen Blick

Maßgeschneiderte Penetrationstests

Da Penetrationstests immer sehr genau an die vorliegenden Gegebenheiten angepasst werden können, bringen sie immer individuell unterschiedliche Vorgehensweisen mit sich. Dies ist ein wichtiger Faktor und somit ein entscheidender Vorteil für die wirkungsvolle Durchführung und dem Erhalt eines umfassenden Ergebnisses. Maßgeschneiderte Tests vor Ort und von außen für jedes Unternehmen führen zur höchstmöglichen Sicherheit.

Schutz vor Systemausfall

Schon eine einzige gezielt ausgeführte Attacke von außen oder innen kann zu einem kompletten Systemausfall führen. Penetrationstest können unterschiedlich Angriffsszenarien durchtesten, die sehr realitätsnah sind und so mögliche Schwachstellen aufdecken sowie auch Lösungsansätze aufzeigen.

Schutz vor Angriffen von außen

Über Sicherheitslücken in Anwendungen, Systemen oder Netzwerken können externe Angreifer Einbrüche einleiten. Eine große Herausforderung für die meisten IT-Sicherheitsteams sind heutzutage Angriffe auf Applikationsebene. Simulierte Testangriffe zeigen, auf welche Weise und wie schnell diese Angriffe erkannt und beseitig werden können. Mit den gewonnenen Erkenntnissen kann im realen Ernstfall auf bereits vorhandene Maßnahmen zurückgegriffen werden und so die Folgen des Angriffs minimieren.

Schutz von Angriffen von Innen

Oft wird die Gefahr von innen übersehen und völlig unterschätzt. Eine Schadsoftware wird über einen Datenträger oder eine Datei eingeschleust und verbreitet sich innerhalb des eigenen Systems. Mitarbeiter haben keine eingeschränkten Rechte, usw. Penetrationstests können auch hier Schwachstelen aufzeigen und IT-Systeme vor solchen Gefahren schützen.

Daten und Betriebsgeheimnisse sind geschützt

Durch einen erfolgreichen Hackerangriff besteht sofort die eminente Gefahr, dass wichtige Daten gestohlen und missbraucht oder gar vernichtet werden. Cyberspionage ist heute ein lukratives Geschäft für Kriminelle. Ein Penetrationstest findet offene Hintertüren und bringt die Schwächen der Datensicherung ans Licht.

Sicherheitsbedürfnis wird festgestellt

Die Angriffsmethoden der Hacker passen sich ständig an. Es ist wichtig den Status quo Ihres Unternehmens hinsichtlich der IT-Aktivitäten mithilfe eines Penetrationstests festzustellen, um damit das tatsächlich nötige Sicherheitsbedürfnis herauszufinden.
IT-Sicherheit ist immer aktuell

Ist das Sicherheitsbedürfnis durch die Ergebnisse des Penetrationstests einmal festgelegt, kann die IT-Sicherheit regelmäßig aktualisiert werden und die Abwehrmechanismen sind immer auf dem aktuellsten Stand.

Kostenersparnis

Jeder Unternehmer kann ansatzweise erahnen, was ihn ein kompletter Systemausfall oder Datenverlust durch einen erfolgreichen Angriff kosten wird. Nicht nur Nerven! Die Arbeitsunfähigkeit des Unternehmens führt zu einem zeitweiligen Betriebsausfall und einem nicht zu verachtenden Geschäftsverlust. Penetrationstests können Sie daher vor finanziellem Schaden schützen.

Auf Herz und Nieren geprüfte IT

IT-Systeme, Applikationen und Software werden in vielen Betrieben einmal installiert, selten überprüft und ab und an mal aktualisiert und in der Regel nie einer Sicherheitsüberprüfung unterzogen. Ein IT-Penetrationstest prüft auch hier.

Schutz der Kunden

Unternehmer haben eine Verantwortung gegenüber ihren Kunden. Eingeschleuste böswillige Software kann sich sehr schnell verbreitet. Aber auch in Onlineshops und Webseiten, die von Kunden und Interessenten besucht werden, kann sich Schadsoftware verstecken. Wie gut Ihre Kunden geschützt sind, wenn Sie mit ihnen in Kontakt treten, wird das Ergebnis eines Penetrationstests zeigen.

Schutz des Unternehmens

Penetrationstests sind maßgeblich daran beteiligt, Ihre eigenen Werte und die Ihrer Mitarbeiter, genauso wie die Ihrer Kunden zu schützen. Damit tragen solche Tests einen wichtigen Teil zum Erfolg und guten Ruf Ihres Unternehmens bei. Kundenvertrauen und gute Geschäfte sind heute die Basis für eine erfolgreiche Arbeit. Der Wettbewerbsvorteil liegt auf der Hand.

Regelmäßig durchgeführte Penetrationstests sind hinsichtlich des allgemein wachsenden Sicherheitsbedürfnisses ein wichtiges Werkzeug für die IT-Sicherheit in großen und kleinen Unternehmen.

Noch mehr WordPress Plug-ins mit Backdoors aufgetaucht

Kurz vor dem Jahresende 2017 wurde gemeldet, dass einige ältere durch WordPress weiterverkaufte Plug-ins nun samt Backdoors wieder unter den Plug-in-Angeboten zu finden sind. Offenbar ist es zurzeit gängige Praxis, dass die neuen Eigentümer den Plug-in Code verändern und für eigene Zwecke missbrauchen.

Es war seinerzeit tatsächlich dringend erforderlich, dass das hausinterne Sicherheitsteam von WordPress hier einschritt und folgende Plug-ins aufgrund Sicherheitsbedenken aus dem WordPress Plug-in-Sortiment entfernte: „Duplicate Page and Post“, „No Follow All External Links“ und auch „WP No External Links“. Genau diese nicht so beliebten Plug-ins, waren von WordPress kurze Zeit vorher weiterverkauft worden.

Einige Zeit danach kam ans Licht, dass der in den 3 Plug-ins eingebettete Code dem Backdoorcode ähnelte, den Experten schon einmal im CAPTCHA-Plugin entdeckt hatten. Die IT-Sicherheitsexperten von WordPress sind daher der Ansicht, dass sie von dem gleichen Programmierer erstellt wurden. Untermauert würde diese Annahme weil festgestellt wurde, dass der Backdoorcode vom ersten und dritten Plug-in zwei unterschiedliche Domains auf dergleichen IP-Adresse aufrief. Das Unternehmen Orb Online kaufte diese zwei Plug-ins und verwendete dazu auch ziemlich gleich gehaltene Kaufgesuche. Ungeachtet dessen, dass dieser Code bei sämtlichen dieser Plug-ins ähnlich verändert war, wurden sie jeweils durch neu angemeldete WordPress.org-User erworben. Alle diese Plug-ins kamen dazu noch mit der gleichen Backdoor zum Übermitteln von SEO-Spam in Webseiten, welche das CAPTCHA-Plug-in ebenfalls genutzt hatten.
Der Brite Mason Soiza wendet offenbar stets die gleiche Vorgehensweise an: Alte und unbeliebte Plug-ins aufkaufen und manipulieren und dabei genau wissend, dass diese Plug-ins oft viele Jahre lang in älteren WordPress-Seiten genutzt werden.
Sicherheitsexperten empfehlen das WordFence Plug-in zu installieren und zu nutzen. WordFence ist in der Lage, bösartige Plug-ins zu erkennen und darüber zu warnen. Usern wird empfohlen, frisch gekaufte Plug-ins zuallererst auf ihre Sicherheit hin zu analysieren, bevor sie installiert werden. Den Experten ist bekannt, dass das keine einfache Aufgabe ist, da die WordPress-Website bekanntlich recht kompliziert ist. WordFence sei deswegen ein ausgezeichnetes Tool für diese Maßnahme.

Sicherheitsexperten sind sich einig, dass Anwender nicht davon ausgehen sollten, dass ein Programm selbstverständlich sicher ist, da es aus einer Open Source Sammlung stammt. Einen gewissen Schutz gegen manipulierte Backdoors geben Plug-ins mit großen Nutzeranzahlen. Durch die Masse der Nutzer, könne bösartiger Code eher entdeckt werden.

Artikel von bleepingcomputer.com: Three More WordPress Plugins Found Hiding a Backdoor

Auch interessant: WordPress schlägt sich mit manipulierten Plug-ins herum

WordPress schlägt sich mit manipulierten Plug-ins herum

WordPress ist beliebt bei vielen Anwendern, die auch auf die große Auswahl funktioneller Plug-ins für diese Webanwendung zurückgreifen. Solche Plug-ins gibt es sowohl von WordPress und auch von einer Reihe anderer Anbieter, manchmal gratis, manchmal gegen Gebühr. Kurz vor Weihnachten 2017 sind dem WordPress Sicherheits-Plug-in WordFence allerdings einige Ungereimtheiten aufgefallen. Weitere Untersuchungen brachten eine Backdoor im CAPTCHA-Plug-in zutage. Man fragte sich, wie dieses über 300.000 Mal installierte Anti-Spam-Plug-in missbraucht werden konnte.

Angefangen hat alles im letzten September. Damals war dieses kostenfreie CAPTCHA-Plug-in, entwickelt vom Plug-in-Programmierer BestWebSoft, weiterverkauft worden an Simplywordpress. Simplywordpress nahm sich drei Monate Zeit, um das CAPTCHA-Plug-in umzuprogrammieren und dann aktualisiert als Version 4.3.7 ins Netz zu stellen. Kurze Zeit später gab es Probleme mit den Markenrechten des Plug-ins und WordPress löschte es aus der Auswahl auf derWordPress.org Website. Simplywordpress verwendete unerlaubterweise immer noch den WordPress Markennamen und das Firmenbranding. Zu diesem Zeitpunkt war den WordPress-Sicherheitsexperten die Backdoor im Code des Plug-ins noch gar nicht aufgefallen. Interessanterweise fiel dies erst auf, als das CAPTCHA-Plug-in von WordFence Security automatisch entfernt wurde aus dem Angebot. Möglich war das durch die von WordFence hinterlegte Regel, wo nach entfernte Plug-ins mit hohen Nutzerzahlen einer routinemäßigen Sicherheitsprüfung unterzogen werden. Und so entdeckte das WordFence Security dann die Backdoor und warnte die Sicherheitsabteilung von WordPress. Die arbeitete daraufhin mit Hochdruck an einer Aktualisierung einer Vorversion (4.4.5), dieses CAPTCHA-Plug-ins. Danach installierte sich diese gesäuberte Version sogleich selbstständig und reparierte in etwa 100.000 infizierte Plug-ins in WordPress-Blogs. Zusätzlich wurde die Version 4.3.7 von der Auswahl gelöscht und die reparierte offizielle Version 4.4.5 zur Verfügung gestellt. Als letzte wichtige Maßnahme sperrte man Simplywordpress von dem Veröffentlichen von Updates aus. Auch WordFence hat aufgerüstet: Neue Regeln für die Firewall der App blockieren sowohl das CAPTCHA -Plug-in sowie auch fünf andere Plug-ins vom selben Anbieter. Außerdem kann kein Update dieses Anbieters mehr online gehen, ohne vorher durch WordPress geprüft worden zu sein.

Sinn und Zweck der CAPTCHA-Backdoor

Der im Plug-in versteckte manipulierte Code war gar nicht so gefährlich, wie es zunächst den Anschein hatte. Er sollte nur dafür sorgen, dass das Plug-in hinter den Kulissen Backlinks zu diversen gewerblichen Internetauftritten und Spam-Domains setzt. Damit sollte das Googleranking der Seiten erhöht werden. Zu den Webseitenbetreibern gehören ein gewisser Mason Soiza, Inhaber einer SEO-Firma, sowie eine gewisse Stacy Wellington.

Auf er Domain von simplywordpress.net waren die Wordfence-Sicherheitsexperten fündig geworden. Soiza ist kein Unbekannter und hat Verbindungen zu Simply WordPress. Er wurde schon einmal dabei erwischt, Backdoors in beliebte Display Widgets integriert zu haben. Dem Anschein nach ist er ein Aufkäufer insbesondere von WordPress-Plug-ins in die er jeweils Backdoor-Code einprogrammiert.

Ein automatischer Downloader in dem veränderten Plug-in sollte ein gezipptes File von https://simplywordpress.net/captcha/captcha_pro_update.php herunterladen. So übertrug sich die Backdoor auf ihr Ziel. Die Backdoor hatte dann die Aufgabe eine Sitzung herzustellen mithilfe der User-ID 1, die Cookies zur Authentifizierung festzulegen und sich abschließend selbst zu löschen.

Es wurden noch diverse andere Update-Pakete auf der Domain von simplywordpress gefunden, allesamt für weitere WordPress-Plug-ins, darunter: Social Exchange, Covert me Popup, Smart Recaptcha, Human Captcha und Death To Comments.

Plugin-Backdoors zurzeit recht populär

Auch vBulletin Solutions, das eine sehr beliebte und viel genutzte Internetforenplattform betreibt war betroffen. Das Unternehmen veröffentlichte ebenfalls dringende Patches als Notfallmaßnahmen. Folgende Patches wurden bereitgestellt von vBulletin Solutions: vBulletin 5.3.4 Patch Level 1, vBulletin 5.3.3 Patch Level 1 bzw. vBulletin 5.3.2 Patch Level 2. Eine der Sicherheitslücken ermöglichte unauthentifizierten Angreifern, irgendwelche Files innerhalb eines vBulletin-Programmes zu entfernen. Eine andere Sicherheitslücke lies zu, dass jede Art von Code auf windowsbasierten Web-Servern ausgeführt werden konnte. Leider konnten die genannten Patches nur mit einiger Verspätung veröffentlich werden. Daher bestand eine hier Zeit lang Zero-Day-Zustand.

Sogar bekanntere Firmen wie Sony Pictures, Zynga, Valve Corporation, Electronic Arts und selbst die NASA machen von vBulletin Gebrauch. Auch hier sind einige Versuche bekannt, die Sicherheitslücken bei vBulletin ausgenutzt haben. Ziel dabei war, größere Communityforen und auch das Ubuntuforums.org zu kompromittieren.

Häufig eingesetzte Softwareanwendungen, die nach ihrem Weiterverkauf mit böser Absicht manipuliert werden, sind offenbar bekannte Probleme in diesem Sektor. Sicherheitsexperten sagen, bei Browsererweiterungen gäbe es ähnliche Probleme. Es sei daher machbar, sämtliche gebräuchliche SDKs, Bibliotheken sowie andere Drittanbietern-Komponenten auch böswillig zu manipulieren.

Artikel von theregister.co.uk, 20.12.2017: WordPress captcha plugin on 300,000 sites had a sneaky backdoor

Artikel von bleepingcomputer.com, 19.12.2017: Backdoor Found in WordPress Plugin With More Than 300,000 Installations

 

Neue Einsatzmöglichkeiten für EternalBlue

Die Windows Sicherheitslücke EternalBlue macht weiter von sich Reden. Obwohl durch die Maßnahmen von Microsoft und auch einer mängelbehafteten Codierung der Ransomware das Schlimmste – eine rasche und weite Ausbreitung von WannaCry – verhindert werden konnte, ist das Kapitel EternalBlue offensichtlich noch lange nicht abgeschlossen. Es bleibt offensichtlich weiter nervenzehrend.

Sicherheitsforscher von FireEye haben kürzlich herausgefunden, dass der Windows-Fehler nun ausgenutzt wird, um andere Schadsoftware effektiver und noch verdeckter auszuliefern. Trojaner wie Backdoor.Nitol und Gh0st RAT werden damit seit Kurzem insbesondere in Singapur und Südasien erfolgreich verbreitet. Die Schwachstelle nutzt eine bestimmte Version des Windows SMB-Netzwerkprotokolls aus und verteilt darüber eine Hintertür, über die sich die Trojaner so einschleusen lassen. Insbesondere die Gh0st RAT Malware ist sehr gefährlich, da sie infizierte Windows-Geräte nicht nur ausspionieren, sondern auch komplett übernehmen kann. Davor zittert insbesondere die Luft- und Raumfahrtindustrie, aber auch Regierungsbehörden schon seit ein paar Jahren – durch die Mitwirkung von EternalBlue wird die Gefahrenlage nun noch einmal größer. Auch Backdoor.Nitol treibt seit Längerem ihr Unwesen. Dieser Trojaner nutzt eine Remotecode-Schwachstelle auf älteren Versionen des Internet Explorers mittels Verwendung eines ADODB.Stream ActiveX Objekts aus.

Im Prinzip liefert EternalBlue jetzt nicht mehr die Ransomware ab, sondern erst einmal ein Werkzeug, mit dem Befehle in eine VBScript-Datei geschrieben werden, die dann ausgeführt wird, um weitere bösartige Pakete auf einem anderen Server abzuholen. Damit nimmt alles Weitere seinen Lauf – die für die Einschleusung benötigte Hintertüre wird mithilfe einer der beiden Trojaner geschaffen. Die FireEye Experten schätzen die Bedrohungslage als ziemlich brisant ein, und befürchten, dass EternalBlue noch zur Überbringung weiterer bösartiger Pakete verwendet werden wird.

Ein paar Details zu der VBScript-Datei: Die Befehle werden in eine neue 1.vbs Datei reflektiert um später ausgeführt zu werden. Sie holen dann taskmgr.exe von dem anderen Server ab und erstellen damit das ActiveX Objekt ADODB.Stream. Das erlaubt das Lesen der Serverdatei und das Schreiben der Ergebnisse der Binärendaten in einem Stream, die abgespeichert und zur Überschreibung andere gleichnamiger binärer Daten verwendet werden. Über eine Befehlszeilenversion wird dann die VBS-Datei gelöscht und wenn die ausführbare Datei abgerufen und gespeichert wird, wird die Hintertür vom Speicherort aus aktiviert.

Sicherheitsexperten raten allen Anwendern ihre Systeme unbedingt zu schützen, da sie mit weiteren Nutzungsszenarien für EternalBlue rechnen. Entweder mittels Patch-Updates oder, wo nicht möglich, durch das Sperren von Netzwerk-Ports, dem Abschalten von unnötigen Diensten und der aufmerksamen Überwachung aller verdächtigen Aktivitäten. Dazu gehört vor allem auch die grundlegende Identifikation aller möglicherweise vorhandenen anfälligen Systeme.

Weitereführende Links:

http://www.zdnet.com/article/leaked-nsa-hacking-exploit-used-in-wannacry-ransomware-is-now-powering-trojan-malware/

https://www.scmagazine.com/eternalblue-used-in-wannacry-now-with-nitol-backdoor-and-gh0st-rat/article/666426/

https://threatpost.com/eternalblue-exploit-spreading-gh0st-rat-nitol/126052/

https://www.fireeye.com/blog/threat-research/2017/05/threat-actors-leverage-eternalblue-exploit-to-deliver-non-wannacry-payloads.html

Apple User in Deutschland mit raffinierter Malware überrumpelt

Apple Mac Nutzer schauen Windows Anwender oft recht mitleidig an, wenn Letztere einmal wieder mit Malware oder sonstigen Bugs zu kämpfen haben. Doch kürzlich hatten einige Nutzer von Apple Geräten in überwiegend deutschsprachigen Ländern ausnahmsweise auch mal nichts zu lachen. Sicherheitsexperten von Check Point hatten am 21. April ein ziemlich raffiniertes Malwarebündel OSX/Dok entdeckt. Raffiniert nicht nur deshalb, weil es sogar durch den von Google betriebenen Onlinedienst VirusTotal schlüpfen konnte, sondern auch, weil es die sich in ewiger Sicherheit wiegenden Apple-Nutzer ziemlich kalt erwischte. Zugegeben, die Macher hinter dem Malwarebündel mussten schon sehr tief in die Trickkiste greifen, um das hinzubekommen. Und, Apple-Nutzer mussten zudem auch tatkräftig mithelfen, damit sie sich ausführen konnte. Der Angriff betraf alle OSX-Versionen.

Die ganze Sache wurde mit einer Welle von Spam-E-Mails vom Absender Swiss Tax Office an deutschsprachige Apple Nutzer eingeleitet. Darin ging es um Ungereimtheiten im Zusammenhang mit Steuererklärungen. Im Anhang befand sich ein Dokument.zip, der sich beim Öffnen zu einer App mit dem Namen Truesteer.AppStore entpackt. Einmal ausgeführt kopiert sich die App an einen anderen Speicherort auf dem Gerät des Benutzers, entfernt die original App und zeigt sogleich eine Fehlermeldung an, die den Benutzer informiert, dass das Dokument defekt sei und nicht geöffnet werden konnte. Allerdings arbeitet die Malware im Hintergrund fleißig weiter. Wenn ein LoginItem mit dem Namen AppStore existiert, löscht die Malware es und fügt stattdessen sich selbst als LoginItem hinzu. Dieses wird dann bei jedem Systemneustart automatisch ausgeführt, bis es seine Aufgabe erfüllt hat, nämlich, das gesamte Malwarebündel zu installieren.

Außerdem sieht es aus wie ein unauffälliges Hintergrundprogramm.
Das Fenster mit der Fehlermeldung fordert den Anwender zwingend auf, ein Passwort einzugeben, um verfügbare OSX-Updates zu installieren. Wenn er der Aufforderung nicht nachkommt, steht sein Gerät still – nichts geht mehr. Wenn er der Aufforderung jedoch folgt, nimmt das Übel natürlich seinen Lauf und die Malware erhält die Admin-Rechte über sein Gerät, installiert einen Tor Klienten und das SOCAT Netzwerkdienstprogramm und auch noch eine PAC-Datei (Proxy AutoConfiguration) herunter und ändert dann die Netzwerkeinstellungen des Ziels, sodass der Verkehr durch einen vom Angreifer neu eingerichteten und kontrollierten Proxyserver und einer Localhost-URL geleitet wird.

Tatsächlich stellt die Malware aber einen lokalen Server auf und leitet diese localhost URL zu einem Dark Web Link weiter. Diese Installation ist nur deshalb möglich, da das Zertifikat nicht von Gatekeeper (Apple Schutzprogramm) erkannt wird und weil der Anwender nur App Installationen aus dem App Store zugestimmt hat. Die Malware fährt dann fort, ein neues Root-Zertifikat ins System zu installieren. Damit können die Angreifer den gesamten Datenverkehr mit einem Man-in-the-Middle-Angriff abfangen, mitlesen und manipulieren, auch solchen mit SSL-Schutz. Deshalb war übrigens auch der ganze Aufwand nötig. Außerdem täuscht es dem Nutzer beliebige Webseiten vor.

Bis jetzt ist den Experten noch nicht klar, wie viele Apple Nutzer hiervor betroffen sind. Auch ist noch unklar, wie die noch unbekannten Hacker die Finger an ein echtes, von Apple authentifiziertes Entwicklerzertifikat bekommen konnten. Die Experten von Check Point vermuten, dass sie es auf irgendeine Weise kapern konnten. Inzwischen sind alle bekannten Virenscanner aktualisiert worden und die Malware wird auch durch ein XProtect Update entsprechend erkannt.
Check Point Experten weisen darauf hin, dass „die Sicherheit von Systemen, egal ob Windows, Linux oder Android immer beim Nutzer selbst anfängt. Die Realität lässt heutzutage kein Raum für Selbstgefälligen zu. Anwender sollten immer auf der Hut sein, egal welches Betriebssystem oder welche Plattform sie verwenden.“

Threatpost.com, 01.05.2017: Apple Revokes Certificate Used By OSX/Dok Malware

Bleepingcomputer.com, 29.04.2017: New Dok Mac Malware Uses Nag Screens, Intercepts Encrypted Web Traffic