Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

Malware Danger Sign Design Shutterstock 700

Cyberkriminelle nutzen offenbar liebend gern das Website-Verzeichnis “/.well-known/”, um ihre Malware darin zu verstecken. Darauf machen die IT-Sicherheitsexperten der PSW Group aufmerksam und verweisen auf entsprechende Erkenntnisse des IT-Sicherheitsunternehmen Zscaler.

Als Präfix von sogenannten “well-known URIs” verweisen solche Verzeichnisse in der Regel auf Informationen über den Host. Sie lassen sich via Web abfragen. Wird ein SSL-Zertifikat über Automatic Certificate Management Environment, kurz ACME, bestellt, werden die Unterverzeichnisse “/.well-known/acme-challenge/” oder auch “./well-known/pki-validation” genutzt.

„Um beweisen zu können, dass sie Inhaber der Domain sind, platzieren Admins in einem dieser beiden Verzeichnisse eine Prüfdatei. Die Zertifizierungsstelle kann diese Datei zum Verifizieren der Inhaberschaft von dort abrufen“, erläutert Christian Heutger, CTO der PSW GROUP, die technischen Hintergründe und ergänzt: „Weil Admins ansonsten aber so selten in dieses Verzeichnis hineinschauen, eignet sich “./well-known/” einschließlich aller Unterverzeichnisse gleichzeitig gut als Versteck für Malware.“ Hinzu kommt, dass das Verzeichnis gut verborgen ist und somit nicht angezeigt wird.

Wie ZScaler in seinem Unternehmensblog erklärt, wurden mehrere hunderte WordPress- sowie Joomla-Seiten entdeckt, die betroffen sind. Sie können Ransomware oder Malware beinhalten oder aber auf verschiedene Phishing-Sites umleiten. „Stieß das Unternhmen auf Phishing-Sites, ahmten diese verschiedene Erscheinungsbilder nach, etwa das von Dropbox, Yahoo, DHL oder der Bank of America“, ergänzt Heutger. Der IT-Sicherheitsexperte warnt: „Gerade Schwachstellen, die durch veraltete Plugins, Themen oder Erweiterungen entstehen, sind Einfallstor für Cyberkriminelle. Auch veraltete Joomla- und WordPress-Versionen sind gefährdet – insbesondere bei Verwendung von SSL-Zertifikaten mit ACME.“

So haben beispielsweise die Forscher entdeckt, dass kompromittierte WordPress-Seiten insbesondere die Versionen 4.8.9 bis 5.1.1 verwenden.

Wenngleich Admins ihre Website auch regelmäßig prüfen: Das Verzeichnis “/.well-known/” gerät dabei häufig in Vergessenheit. „Normalerweise nutzen Admins den Kommandozeilenbefehl ls, um sich Dateien auflisten zu lassen. Dabei wird – ironischerweise aus Sicherheitsgründen – das well-known-Verzeichnis nicht dargestellt. Kein Wunder also, dass ein Website Hack oft unbemerkt bleibt“, so Christian Heutger. Dabei ist gar nicht so schwer, die Site zu schützen: Website-Betreiber, die SSL-Zertifikate mit ACME verwenden, können das Verzeichnis “/.well-known/” einschließlich aller Unterverzeichnisse einfach in ihre Sicherheitsüberprüfungen einbeziehen. „Dabei sollten sie unbedingt einen Blick in “/.well-known/acme-challenge/” sowie in “/.well-known/pki-validation/” werfen. Darin sollten sich ausschließlich die Zertifikatsdateien befinden“, rät der Experte.

www.psw-group.de

GRID LIST
Tafel mit Aufschrift Ransomware und Stetoskop

Erneuter Ransomware-Fall in deutschen Krankenhäusern

Nach einem erneuter Ransomware-Fall in deutschen Krankenhäusern bleibt die Gefahrenlage…
Abstrakt - hohe Geschwindigkeit

Cybersicherheit - Schnelligkeit zahlt sich aus

Ransomware hat sich weitestgehend aus den Schlagzeilen verabschiedet, richtet aber…
Hacker Gruppe

Hacker-Gruppe Turla versteckt Malware in Zensur-Umgehungssoftware

Der russischsprachige Bedrohungsakteur ,Turla‘ hat sein Portfolio an Bedrohungswerkzeugen…
Hacker Zug

Visual und Audible Hacking im Zug – eine unterschätzte Gefahr

Was nützt die beste Firewall oder die ausgefeilteste IT-Sicherheitsschulung, wenn…
Tb W190 H80 Crop Int 0f5cc7f2c0b98f58e1eb57da645ab116

Facebook greift Banken mit digitaler Weltwährung an

Ihrer Zeit voraus zu sein und auf der grünen Wiese radikal neue Geschäftsmodelle zu…
Bluekeep

Wird Bluekeep zu WannaCry 2.0?

Vor etwas mehr als einem Monat entdeckte Microsoft die Sicherheitslücke Bluekeep, die die…