Meldung

Hochkarätige Malware von der Stange

Malware-Kampagnen, die mit der Fähigkeit ausgestattet sind, Hintertüren auszunutzen, werden im Internet als Service angeboten, warnen Sicherheitsforscher von Venafi. Mehrere hochkarätige Hacker-Kampagnen integrieren den Missbrauch von SSH-Maschinenidentitäten in ihre Angriffe.
Verdeckte SSH-Zugänge sind bei fortgeschrittenen Angriffen beliebt.
Damit könne jeder Angreifer mit Zugang zum Dark Web Zugang zu denselben Techniken erhalten, die 2016 Teile des ukrainischen Stromnetzes lahmgelegt hätten. Malware könne auf gängige SSH-Maschinenidentitäten abzielen, die für den Zugriff auf und die Automatisierung von Windows, Linux und MacOS im Unternehmen und in der Cloud verwendet würden. Diese Banden könnten ihre Opfer potenziell weiter monetarisieren, indem sie diese SSH-Hintertüren an hochkarätige oder hochwertige Maschinen im Untergrund an nationalstaatlich organisierte Advanced Persistent Threat (APT)-Gruppen verkaufen.

SSH ist ein Netzwerkprotokoll, das eine sichere Verbindung zwischen zwei Rechnern herstellt und Datenkommunikation und die Ausführung von Fernbefehlen ermöglicht. SSH-Maschinenidentitäten, auch als SSH-Schlüssel bekannt, werden zur Absicherung von Fernzugriffen und zur Automatisierung von Prozessen verwendet, zum Beispiel zur Steuerung von Arbeitslasten in Cloud-Computing-Umgebungen, VPN-Verbindungen und angeschlossenen IoT-Geräten, wodurch ein privilegierter Zugriff auf die wichtigsten Systeme von Organisationen, einschließlich Server und Datenbanken, ermöglicht wird.

Dies mache sie für Angreifer äußerst wertvoll. Ein einziger SSH-Schlüssel könne verwendet werden, um unentdeckten Root-Zugriff auf kritische Systeme und Daten zu erhalten, sodass ein Angreifer alles tun kann, von der Umgehung von Sicherheitskontrollen bis hin zur Injektion betrügerischer Daten, der Umgehung von Verschlüsselungssoftware oder der Installation von hartnäckiger Malware.

Falscher SSH-Schlüssel als Hintertür

Die Sicherheitsforscher von Venafi [1] analysierten Proben mehrerer hochkarätiger Malware-Kampagnen, um zu erkennen, wo SSH-Funktionen eingesetzt werden. In den meisten Fällen fügte die Malware den SSH-Schlüssel des Angreifers einer Liste autorisierter Schlüsseldateien auf dem Rechner des Opfers hinzu, was bedeutet, dass der Rechner dem Schlüssel vertrauen würde, so dass der Angreifer auf ihm bestehen bleiben könnte. In anderen Fällen sei die Malware in der Lage gewesen, eine schwache SSH-Authentifizierung zu erzwingen und sich Zugang zum Ziel, zu Zugangsdaten und Host-Informationen zu verschaffen, um sich seitlich über das Netzwerk zu bewegen und weitere Rechner zu infizieren. Einige Beispiele für erfolgreiche Malware-Kampagnen, bei denen die SSH-Maschinenidentitäten ab 2019 genutzt wurden:

  • TrickBot: Ursprünglich ein Banking-Trojaner, der 2016 erstmals auftauchte, wurde TrickBot zu einer flexiblen, universellen, modulbasierten Crimeware-Lösung, die sich im Laufe der Jahre auf Unternehmensumgebungen verlagert hat. TrickBot wird Cyberkriminellen als Dienst für verschiedene Zwecke angeboten, und seine Module sind auf die Bedürfnisse einer bestimmten kriminellen Aktivität ausgerichtet. Es umfasst viele Funktionen, von der Erstellung von Netzwerkprofilen, der Sammlung von Massendaten und der Einbindung von seitlich durchlaufenden Exploits. Im letzten Jahr hat TrickBot die Möglichkeit hinzugefügt, Berechtigungsnachweise sowohl für PuTTY (SSH-Client für Microsoft) als auch für OpenSSH zu erfassen. Zusätzlich zu den Berechtigungsnachweisen ist die Malware so konzipiert, dass sie nach Informationen über den Hostnamen und den Benutzernamen sucht, um sich seitlich (lateral) zu bewegen.
  • KryptoSink: Diese Kryptomining-Kampagne nutzt eine fünf Jahre alte Schwachstelle (CVE-2014-3120) in Elasticsearch-Systemen auf Windows- und Linux-Plattformen aus, um die XMR-Kryptowährung abzubauen. CryptoSink erzeugt eine Hintertür zum Zielserver, indem der öffentliche Schlüssel des Angreifers der autorisierten Schlüsseldatei auf dem Rechner des Opfers hinzugefügt wird.
  • Linux-Wurm: Dieser Wurm zielt auf anfällige Exim-Mail-Server auf Unix-Link-Systemen, um Monero-Kryptowährungs-Miner zu liefern. Der Wurm erstellt eine Hintertür zum Server, indem er seinen eigenen öffentlichen SSH-Schlüssel hinzufügt und den SSH-Server aktiviert, falls dieser deaktiviert ist.
  • Skidmap: Hierbei handelt es sich um ein Kernel-Modus-Rootkit, das durch Hinzufügen des öffentlichen SSH-Schlüssels des Angreifers zu der autorisierten Schlüsseldatei Zugriff auf eine Hintertür zu einem Zielrechner erhält. Skidmap nutzt Ausnutzungen, Fehlkonfigurationen oder die Exposition gegenüber dem Internet, um Root- oder administrativen Zugriff auf das System zu erhalten und Kryptomining-Malware abzuwerfen.

"SSH-Schlüssel können in den falschen Händen mächtige Waffen sein!, kommentiert Yana Blachman, Spezialistin für Bedrohungsinformationen bei Venafi. "Aber bis vor kurzem hatten nur die ausgeklügelten, gut finanzierten Hacker-Gruppen diese Art von Fähigkeiten. Jetzt sehen wir einen 'Trickle-Down'-Effekt, bei dem die SSH-Fähigkeiten immer mehr zum Allgemeingut werden. Was diese 'Kommodifizierung' so beunruhigend macht, ist die Tatsache, dass ein Angreifer, wenn er in der Lage ist, ein potenziell interessantes Ziel auszuspähen, diesen Zugang monetarisieren und über spezielle Kanäle an ausgeklügelte und gesponserte Angreifer verkaufen kann, zum Beispiel Bedrohungen durch den Nationalstaat zum Zwecke der Cyberspionage oder der Cyberkriegsführung. Wir haben dies bei der TrickBot-Cyberkriminalität-Bande gesehen, die einen 'Bot-as-a-Service' zusammen mit einem vollständigen Werkzeugsatz an die von Nordkorea gesponserte Gruppe Lazarus sowohl zur Monetarisierung als auch zur Cyberspionage verkauft hat."

Schutzmaßnahmen für Unternehmen

Die beste Verteidigung gegen SSH-Missbrauch bestehe für Unternehmen darin, sicherzustellen, dass sie vollständige Transparenz und Informationen über jeden autorisierten SSH-Schlüssel im Unternehmen und in der Cloud haben. Wie diese Forschung zeige, missbrauchten Angreifer nicht nur bestehende Maschinenidentitäten, sondern könnten auch ihre eigenen bösartigen SSH-Maschinenidentitäten in Zielumgebungen einfügen; es seien also nicht nur die bekannten Schlüssel, sondern alle Schlüssel, die entdeckt und analysiert werden müssten.

Unternehmen würden jedoch regelmäßig die Bedeutung des Schutzes von Maschinenidentitäten für SSH-Schlüssel übersehen. SSH-Schlüssel seien selten Teil der IT-Sicherheitsstrategien von Organisationen. Und da sie nie abliefen, hätten viele Organisationen keine Möglichkeit, zu erfahren, welche SSH-Schlüssel für eine bestimmte Aktion oder Aufgabe verwendet würden. Tatsächlich zeigten jüngste Untersuchungen, dass nur zehn Prozent der Unternehmen glaubten, dass sie über eine vollständige und genaue Information über alle SSH-Maschinenidentitäten verfügten, was das Risiko erhöhe, dass SSH-Schlüssel missbraucht oder gestohlen würden.

"SSH-Schlüssel können die Fähigkeit von Angreifern, Schaden anzurichten, dramatisch erhöhen, sodass jede Malware, die es ihnen ermöglicht, SSH-Fähigkeiten zu nutzen, ein echtes Problem für Unternehmen sein sollte", fügt Blachman hinzu. "Da diese Fähigkeiten zunehmend zugänglich werden, ist es für Organisationen von entscheidender Bedeutung, dass sie sich einen Überblick verschaffen. Die einzige Möglichkeit, sich gegen diese Angriffe zu verteidigen, besteht darin, Einblick und Informationen darüber zu erhalten, wie SSH-Maschinenidentitäten verwendet werden, damit böswillige Akteure schneller entdeckt werden können. Um dies zu erreichen, müssen Organisationen den Schutz der Maschinenidentität für SSH-Schlüssel verbessern und sich so ausstatten, dass sie die vollständige Kontrolle über jede einzelne SSH-Maschinenidentität übernehmen können, auf die sie sich verlassen, um Anzeichen für eine Kompromittierung zu erkennen."
14.02.2020/dr

Tipps & Tools

DDoS-Angriffe in Echtzeit betrachten [31.03.2020]

Mit dem "Cyber Threat Horizon" stellt NetScout System ein kostenloses Informationsportal zur Verfügung, das Netzwerk- und Sicherheitsbetreibern einen Einblick in DDoS-Angriffe in Echtzeit bietet. Die Webseite sammelt, analysiert, priorisiert und veröffentlicht Daten über bisher beobachtete und neue DDoS-Bedrohungen im Internet. [mehr]

Arbeiten im Home Office [30.03.2020]

Aufgrund der aktuellen Situation empfehlen Unternehmen ihren Mitarbeitern, von Zuhause zu arbeiten. Damit auch Sie in dieser Zeit gut zurechtkommen, finden Sie auf unserer Webseite einen neuen Home-Office-Bereich mit vielen Informationen und Tools rund um das Thema. Zudem möchten wir Sie wöchentlich mit einem besonderen Fachartikel bei der Arbeit unterstützen. Diese Woche zeigen wir, wie Sie bei der Nutzung privater Endgeräte und neuer Werkzeuge für die Zusammenarbeit Sicherheitsrisiken reduzieren können. [mehr]

Fachartikel

Marktüberblick Open-Source-Passwortmanager [2.03.2020]

Mit jedem genutzten Webservice steigt die Zahl der Zugangsdaten. Es soll zwar immer noch Anwender geben, die für alle Dienste identische Benutzernamen-Passwort-Kombinationen verwenden, doch allein schon aus Sicherheitsgründen ist ein Passwortmanager das Werkzeug der Wahl. Es übernimmt die Aufgabe, die Passwörter sicher zu verwahren und bei Bedarf herauszurücken. Wir haben uns für diese Marktübersicht quelloffene Werkzeugen angesehen. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen