Indicators of Compromise: Cyberangriffe frühzeitig erkennen

15 Oct 2018

Indicators of Compromise (IoCs) – wörtlich übersetzt: Indikatoren einer Kompromittierung – unterstützen Sie bei der frühzeitigen Aufdeckung von...

Mehr >>

Indicators of Compromise (IoCs) – wörtlich übersetzt: Indikatoren einer Kompromittierung – unterstützen Sie bei der frühzeitigen Aufdeckung von unberechtigtem Zugriff auf Ihre IT-Systeme. Unternehmen sollten nicht warten, bis sich Cyberangriffe bemerkbar machen, sondern aktiv nach IoCs suchen.

Viele großangelegte Cyberangriffe werden teilautomatisiert und mithilfe von Schadsoftware durchgeführt, die von gängiger Sicherheitssoftware (Antivirenprogramm, NG-Firewalls, IDS/IPS) nicht erkannt wird. Angreifer können so Monate oder Jahre unerkannt in kompromittierten Firmennetzen agieren, was erschreckend häufig vorkommt. Einen besonders ernüchternder Fall habe ich in meiner Laufbahn als IT Security Consultant erlebt: Ein deutsches Rüstungsunternehmen wurde über mehrere Jahre ausgespäht, ohne dass irgendjemand Angreifer im System vermutet hätte. 

Wie können solche Angriffe erkannt werden? Verwenden Angreifer individuelle Malware, können Anomalien erkannt werden, wenn die Angreifer Fehler machen. Andernfalls ist eine Identifizierung nahezu unmöglich. Angriffe mit individueller Malware sind glücklicherweise sehr selten. Meistens wird Malware nicht für einen einzigen Fall entwickelt, sondern für mehrere Angriffe verwendet. Früher oder später fällt sie auf und wird schließlich analysiert. Dabei werden u. a. von der Malware verwendete Dateien, Speicherorte, Hashes, Call-Back-Adressen von C&C, Drop-Zone-Server in Form von IP-Adressen oder URLs, Registry-Einträge, Mutexes oder E-Mail-Absender identifiziert. Und genau das sind IoCs.

Bekanntgewordene IoCs, die für großangelegte und ungezielte Massenangriffe verwendet wurden, können in kompromittierten Systemen erkannt werden. Suchen Sie aktiv nach ihnen, damit Sie feststellen können, ob auch Ihr Firmennetzwerk angegriffen wird. 

Weniger >>

Vorsicht vor Videoanrufen über WhatsApp

12 Oct 2018

Die Sicherheitsexperten von Googles Project Zero sind bei ihrer unermüdlichen Suche nach Sicherheitslücken in beliebten Anwendungen erneut fündig...

Mehr >>

Die Sicherheitsexperten von Googles Project Zero sind bei ihrer unermüdlichen Suche nach Sicherheitslücken in beliebten Anwendungen erneut fündig geworden, diesmal beim beliebten Messenger-Dienst WhatsApp. Den Erkenntnissen des Teams rund um Natalie Silvanovich zufolge kann ein Videoanruf über die App ausreichen, um das angerufene Smartphone zu kapern. Wie unter Sicherheitsforschern üblich, nutzte die Forscherin den von ihr entdeckten Fehler in einem Beispiel-Exploit, um WhatsApp kontrolliert zum Absturz zu bringen. 

Das Problem: Die Speicherverwaltung des Video-Conferencings lässt sich durch ein übertragenes RTP-Paket so verwirren, dass ein Angreifer eigene Datenpakete hinzufügen kann. Noch scheint es zwar nicht so weit gekommen zu sein, aber man kann davon ausgehen, dass Kriminelle den Exploit problemlos weiterentwickeln können, um wirklich gefährliche Software über WhatsApp auf die Handys zu schleusen.

WhatsApp wurde bereits weit vor der öffentlichen Bekanntmachung der Sicherheitslücke über das Risiko informiert, damit das Unternehmen reagieren und die Lücke zu schließen konnte. Sowohl für iOS als auch für Android hat WhatsApp in der vergangenen Woche entsprechende Updates zur Verfügung gestellt. Nutzer des Messengers sollten nachprüfen, ob sie das Update bereits installiert und somit die Sicherheitslücke geschlossen haben. Die neueste Version trägt für iOS die Nummer 2.18.93, für Android 2.18.302. Welche Version auf dem eigenen Handy installiert ist, lässt sich für Android über die WhatsApp-Einstellungen unter „Hilfe“, „App-Info“ herausfinden, bei iOS steht die Versionsnummer in den Einstellungen unter „Hilfe“ im Header.

Das News-Portal Heise berichtet jedoch von Problemen mit dem Update. Einigen Android-Nutzern wurde offenbar die aktuellste Version noch nicht im Google Play Store zur Installation angeboten. Das kann vorkommen, wenn Updates nach und nach ausgerollt werden, um eine Überlastung der Server zu verhindern. In diesem Fall sollte man nicht versuchen, das Update über andere Quellen zu beziehen, sondern zu einem späteren Zeitpunkt prüfen, ob das Update verfügbar ist. In der Zwischenzeit reicht es, keine Videoanrufe unbekannter Anrufer anzunehmen.

Weniger >>

Weitere Beiträge anzeigen