[datensicherheit.de, 03.03.2019] Zscaler, Inc. veröffentlicht die Ergebnisse seines halbjährlichen Cloud Security Insight Threat Report für das Jahr 2019. Der Bericht enthält eine Analyse der SSL/TLS-basierten Bedrohungen, die in der Zscaler Cloud von Juli bis Dezember 2018 im verschlüsselten Datenverkehr aufgespürt hat. Der Bericht der Sicherheitsforscher des ZscalerTM ThreatLabZ befasst sich mit einer Vielzahl von Angriffen, die über SSL ausgeführt und blockiert wurden, einschließlich Phishing-Angriffen, Botnets, Browser-Exploits und bösartigen Inhalten.

Standardprotokoll SSL

Da SSL zunehmend zum Standardprotokoll wird, verwenden Cyber-Kriminelle immer häufiger eine Verschlüsselung, um ihre Angriffe zu verschleiern und damit im Verborgenen zu starten. Begünstigt wird dieses Vorgehen der Angreifer durch die Tatsache, dass die bisher nur schwer zu beschaffenden SSL-Zertifikate heute kostenlos zur Verfügung stehen. Während des Untersuchungszeitraums blockierte Zscaler 1,7 Milliarden im SSL-Verkehr versteckte Bedrohungen, was durchschnittlich 283 Millionen geblockten Advanced Threats pro Monat entspricht.

Die hauptsächlichen Ergebnisse der Studie:

• Phishing: Im Durchschnitt blockierte die ZscalerTM Cloud-Plattform im Jahr 2018 rund 2,7 Millionen Phishing-Angriffe über verschlüsselte Kanäle pro Monat. Dies entspricht einer Steigerung von mehr als 400 Prozent gegenüber den 2017 blockierten, SSL-basierten Phishing-Angriffen.
• Bösartige Inhalte: 2018 wurden jeden Monat durchschnittlich 32 Millionen Botnet-Rückrufversuche durch die Cloud-Plattform blockiert.
• Browser-Exploits: Die Cloud-Plattform blockierte 2018 durchschnittlich 240.000 Versuche von Browser-Exploits pro Monat.
• Neu registrierte Domains: Fast 32 Prozent der neu registrierten Domains, die von der Cloud-Plattform blockiert wurden, verwendeten SSL-Verschlüsselung.

„Mit den immer größer werdenden Bedenken hinsichtlich des Datenschutzes hat sich ein massiver Trend hin zu standardmäßiger Verschlüsselung von Internet-Inhalten ergeben. Was gut für den Datenschutz ist stellt aber eine Herausforderung für die IT-Sicherheit dar. Das Entschlüsseln, Überprüfen und erneute Verschlüsseln des Datenverkehrs ist nicht trivial und führt zu erheblichen Leistungseinbußen bei herkömmlichen Sicherheits-Appliances. Die meisten Unternehmen sind nicht gerüstet, um verschlüsselten Datenverkehr im großen Stil zu überprüfen“, sagt Amit Sinha, Executive Vice President of Engineering and Cloud Operations und Chief Technology Officer von Zscaler. „Da heutzutage ein großer Anteil von Malware hinter SSL-Verschlüsselung transportiert wird und bereits mehr als 80 Prozent des Internet-Datenverkehrs verschlüsselt ist, sind Unternehmen blind gegenüber solchen Angriffen. Die ZscalerTM Cloud-Plattform ermöglicht eine leistungsfähige ‚Man-in-the-Middle’-SSL-Inspektion im großen Stil, sodass sie den SSL-Verkehr ohne Latenz- und Kapazitätsbeschränkungen überprüfen kann und den Kunden Schutz vor der wachsenden Zahl von Bedrohungen bietet, die sich hinter der Verschlüsselung verstecken.“

„Einer der bemerkenswertesten SSL-Malware-Trends, den wir 2018 gesehen haben, war die Zunahme von JavaScript Skimmer-basierten Angriffen. Diese Attacken beginnen damit, dass E-Commerce-Sites kompromittiert und mit bösartigem, verschleierten JavaScript versehen werden. Das Script wiederum versucht, Einkäufe und Transaktionen anzuzapfen“, so Deepen Desai, Vice President of Security Research von Zscaler: „Durch die Zunahme von JavaScript Skimmer-basierten Angriffen können Kriminelle ihre schädlichen Aktivitäten innerhalb der schützenden SSL-Umgebung durchführen, ohne dass die meisten E-Commerce-Websites davon etwas mitbekommen.“

Sicherheitsplattform mit mehr als 60 Milliarden Transaktionen pro Tag

Zscaler verarbeitet in seiner  Sicherheitsplattform in der Cloud nach eigenen Angaben im Durchschnitt mehr als 60 Milliarden Transaktionen pro Tag. Fast 80 Prozent des Datenverkehrs ist verschlüsselt und die Zscaler Cloud blockiert durchschnittlich 9,5 Millionen SSL-basierte Advanced Threats pro Tag.

Weitere Informationen zum Thema:

Zscaler
Zscaler Cloud Security Insights report

datensicherheit.de, 02.03.2019
Rapid7 veröffentlicht Cybersecurity-Bericht für das vierte Quartal 2018

datensicherheit.de, 01.03.2019
Securitas veröffentlicht Jahrbuch der Unternehmenssicherheit

datensicherheit.de, 21.02.2019
Cyberkriminalität: Druck auf Cloud-Anbieter nimmt zu

[datensicherheit.de, 30.07.2018] Auf Office-Dokumenten basierende Cyberangriffe sind seit über einem Jahrzehnt ein gängiger Angriffsvektor. In letzter Zeit treten sie jedoch häufiger auf und werden zudem komplexer, wie Palo Alto Networks heute meldet. Dieser Anstieg kann darauf zurückzuführen sein, dass die Verwendung von Browser-Exploits aufgrund der von den Browserentwicklern vorgenommenen Sicherheitsmaßnahmen schwieriger wird. Die Angreifer machen sich zunutze, dass viele Menschen fast jedes Office-Dokument öffnen, sogar solche aus einer nicht vertrauenswürdigen Quelle. Cyberangreifer setzen daher häufig auf diese Dateien, um ein System zu kompromittieren.

Know-how zur Abwehr notwendig

Entscheidend ist es daher, dass Unternehmen wissen, wie sie sich gegen diese gängigen Techniken verteidigen können. Unit 42, die Anti-Malware-Abteilung von Palo Alto Networks, zeigt fünf verschiedene Möglichkeiten auf, wie Office-Dokumente unterwandert und missbraucht werden können, um einen Windows-Endpunkt anzugreifen und zu kompromittieren.

1. Makros
   Makros sind der einfachste Weg für einen Angreifer, um Office-Dokumente zu „bewaffnen“. Office-Anwendungen haben eine eingebaute Script-Engine, die VBA-Scripts (Visual Basic for Applications) ausführen kann. Diese Scripts können sofort beim Öffnen des Dokuments ausgeführt werden, ohne dass ein Benutzer eingreifen muss (vorausgesetzt, Makros sind aktiviert) und bösartigen Code auf dem System ausführen. Wenn keine Makros aktiviert sind, erscheint ein Popup-Fenster, in dem der Benutzer aufgefordert wird, dieses anzuklicken. Dies ist einer von mehreren Sicherheitsmechanismen, die von Microsoft hinzugefügt wurden, um das Sicherheitsrisiko von Makros zu minimieren. Microsoft hat auch eine andere Dateierweiterung (.docm statt.docx für neue Dokumente mit Makros) eingeführt.
   Trotz dieser Maßnahmen entscheiden sich die Benutzer oftmals immer noch dafür, diese Dateien zu öffnen und ihren Inhalt zu aktivieren. Deshalb können Makros weiterhin ein gängiger Angriffsvektor sein, sowohl bei einfacheren, großflächigen Ransomware-Angriffen wie Emotet als auch bei komplexen Angriffen wie der Sofacy-Kampagne
2. Eingebettete Flash-Dateien
   Zusätzlich zu den integrierten Funktionen, wie Makros, können in Office-Dokumente auch externe Objekten, wie z.B. Adobe Flash-Dateien, eingebettet werden. So kann jede Schwachstelle, die die Software aufweist, auch ausgenutzt werden kann, indem sie in den Adobe Flash-Inhalt im Office-Dokument eingebettet wird. Ein Beispiel für einen solchen Angriffsvektor ist CVE-2018-4878, eine Zero-Day-Bedrohung im Adobe Flash Player, durch das Einbetten von bösartigen SWF-Dateien in Excel-Dokumente. Bei solchen Angriffen enthält das schadhafte Excel-Dokument eingebettete Adobe Flash-Inhalte, die die Flash-Schwachstelle auslösen und eingebetteten Shellcode ausführen können.
3. Microsoft Equation Editor
   Ähnlich wie beim Einbetten von Adobe Flash-Dateien in ein Office-Dokument lassen sich auch Gleichungen in Dokumente einbetten, die von Microsoft Equation Editor, ein Programm zum einfachen Schreiben mathematischer Gleichungen, analysiert werden. Die Schwachstellen können durch den Einsatz von bösartigen Office-Dokumenten ausgenutzt werden. Ein aktuelles Beispiel ist CVE-2017-11882, das den Weg zu anderen Exploits wie CVE-2018-0802 ebnete, die Fehler im Equation Editor ausnutzen. Wenn Benutzer ein Office-Dokument öffnen, können Angreifer den Schadcode dann ferngesteuert ausführen.
   Da der Microsoft Equation Editor als eigener Prozess (eqnedt32.exe) ausgeführt wird, sind Microsoft Office-spezifische Schutzfunktionen wie EMET und Windows Defender Exploit Guard standardmäßig nicht wirksam, da sie nur Microsoft Office-Prozesse (wie winword.exe) schützen.
4. OLE-Objekte & HTA-Handler
   OLE-Objekte & HTA-Handler sind Mechanismen, die von Office-Dokumenten verwendet werden, um Verweise auf andere Dokumente in ihren Inhalt aufzunehmen. Sie können verwendet werden, um einen Endpunkt wie folgt zu kompromittieren:
   • Ein Microsoft-Word-Dokument wird mit einem OLE2-eingebetteten Link-Objekt eingebettet.
   • Sobald das Dokument geöffnet ist, sendet der Word-Prozess (winword.exe) eine HTTP-Anfrage an einen Remote-Server, um eine HTA-Datei mit einem bösartigen Script abzurufen.
   • Winword.exe sucht dann den Datei-Handler für application/hta über ein COM-Objekt, wodurch die Microsoft HTA-Anwendung (mshta.exe) das schädliche Skript lädt und ausführt.

   Diese Funktionalität wurde bei der Ausnutzung von CVE-2017-0199, ene Schwachstelle in der Microsoft Office/WordPad Remote Code Execution (RCE), die von Microsoft im September 2017 gepatcht wurde, in mehreren Kampagnen wie dieser OilRig-Kampagne eingesetzt.
   Eine logische Sicherheitslücke, bekannt als as CVE-2018-8174, ermöglicht es Angreifern, beliebigen HTML/JavaScript/VBScript auszuführen. Dieser Fehler kann verwendet werden, um andere Schwachstellen, wie eine UAF-Schwachstelle in der VBScript-Engine, auszunutzen, um beliebige Codeausführung im Kontext der Word-Anwendung (winword.exe) und die Kontrolle über das System zu ermöglichen.

5. Prävention
   Multi-Methoden-Endpunktschutz, der nicht signaturbasiert ist, bietet verschiedene Methoden der Malware- und Exploit-Prävention zum Schutz vor diesen Bedrohungen:
   • Makro-Überprüfung: Intelligenter Endpunktschutz untersucht jedes Office-Dokument auf die Existenz bösartiger Makros, indem es sowohl die WildFire-Bedrohungsanalyse-Cloud als auch lokale, auf maschinellem Lernen basierende Funktionen nutzt und verhindert, dass bösartige Dateien überhaupt vom Benutzer geöffnet werden.
   • Exploit-Prävention: Mit den umfassenden Exploit-Präventionsfunktionen wird verhindert, dass bösartiger Shellcode auf dem angegriffenen Endpunkt erfolgreich ausgeführt wird.
   • Multi-Methoden-Endpunkschutz überwacht standardmäßig Office-Anwendungen und stellt sicher, dass legitime, integrierte Prozesse nicht für bösartige Abläufe genutzt werden.

Weitere Informationen zumThema:

datensicherheit.de, 24.07.2018
Pentester finden gravierende IT-Sicherheitsschwachstellen in Unternehmen

datensicherheit.de, 11.07.2018
USB-Laufwerke: Palo Alto Networks warnt vor eingeschleustem Trojaner

datensicherheit.de, 06.12.2017
Studie von Palo Alto Networks: IT-Manager im Gesundheitswesen setzen auf Cyber-Sicherheit

datensicherheit.de, 08.11.2017
EU-DSGVO: Palo Alto Networks untersuchte Kommunikationsprobleme in Unternehmen