Anzeige

Hacker

Guardicore hat einen neuartigen Angriff auf ein mittelständisches Unternehmen im Medizintechniksektor aufgedeckt und unterbunden. Die Krypto-Miner-Attacke erfolgte über eine gut versteckte Malware, die per WAV-Audiodatei ins Firmennetzwerk eingeschleust wurde. Ziel der Infektion waren Windows-7-Systeme, die per EternalBlue-Exploit angegriffen wurden.

Erste Hinweise auf die Sicherheitsverletzung im betroffenen Unternehmensnetz traten am 14. Oktober 2019 in Form von BSOD-Fehlermeldungen (Blue Screens of Death) auf mehreren Windows-Rechnern auf. Als Hinweis auf einen Kernel-Mode-Fehler sind die blau eingefärbten Hinweise an und für sich unverdächtig, aber eine genauere Analyse durch die Visibilitätswerkzeuge der Sicherheitsplattform Guardicore Centra brachte beunruhigende Erkenntnisse. Einer der Rechner führte demnach eine lange Befehlszeile aus und änderte Daten in der Windows-Registrierungsdatenbank (Registry Key HKLM\Software\Microsoft\Windows\CurrentVersion\Shell) zu. Ein kompletter Netzwerk-Scan zeigte, dass über 800 Endpunkte — mehr als die Hälfte des gesamten Netzwerks — ungewöhnliche Aktivitäten zeigten.

Nach Dekodierung der Datenkommunikation spürte Guardicore Labs ein lesbares Powershell-Script auf, das die IT-Systemarchitektur durchsuchte und den oben benannten Registrierungsschlüssel auslas. Nach Speicherung über die Windows-API-Funktion „WriteProcessMemory“ wurde der Malware-Code ausgeführt. Die unbekannten Angreifer führten dabei einen vollständigen Subnet-Scan auf Port 445 durch, um die Schadsoftware unter Ausnutzung des EternalBlue-Exploits auf weiteren Hosts im infizierten Netzwerk zu installieren.

Empfehlungen von Guardicore Labs

  • Log-Dateien: Zur sicheren Verwahrung von Logdateien sollten Unternehmen die Protokollierungen der Windows- und Linux-Rechner an zentrale, gehärtete Server weiterleiten. Von Microsoft gibt es dafür entsprechende Anleitungen — auch Palantir bietet entsprechende Beispiele und Hilfsprogramme.
     
  • System-Crash-Dateien: Empfehlenswert ist eine Systemkonfiguration zur vollständigen Speicherung von Crash-Dump-Dateien für die weitere Analyse von Angriffen und Prozessfehlern. Microsoft bietet auch hier Unterstützung, wie diese Konfigurationseinstellungen vorzunehmen sind.
     
  • Finger weg! Der erste Impuls dürfte sein, die infizierten Rechnern komplett zu säubern. Für eine umfassende Beobachtung and Analyse ist indes eine Isolierung und Entschärfung der Hackeraktivitäten die bessere Wahl. In Verdachtsfällen nehmen Sie am besten Kontakt mit Sicherheitsprofis auf, bevor Sie eigene Maßnahmen ergreifen.

Weitere Informationen:

Im folgenden Blogbeitrag deckt Guardicore Labs den Mechanismus des Mining-Software-Angriffs detailliert auf: https://www.guardicore.com/2020/01/threats-making-wavs-incident-reponse-cryptomining-attack/
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

USB

Hospitality-Gewerbe im Visier eines BadUSB Social Engineering-Angriffs

Der aktuelle Sicherheitsvorfall mit einem USB-Stick gestattet einen Blick daraufzu werfen, wie Unternehmen zu leichtsinnigen Opfern werden könnten. Eine der ältesten Formen des modernen Social Engineerings ist der „Abwurf des mit Malware beladenen USB-Sticks…
Haie und Boot

Watering-Hole-Attacke „Holy Water” identifiziert

Kaspersky-Forscher haben mit ‚Holy Water‘ eine Watering-Hole-Attacke identifiziert, die seit Mai 2019 mehr als zehn Webseiten in Asien, die im Zusammenhang mit Religion, freiwilligen Programmen, Wohltätigkeitsorganisationen und weiteren Bereichen stehen,…
Roboter

Neues TrickBot-Modul "rdpScanDll" entdeckt

Die Bedrohungsanalysten von Bitdefender haben ein neues TrickBot-Modul namens rdpScanDll entdeckt, das für Brute-Force-Angriffe über das Remote Desktop Protocol (RDP) entwickelt wurde. Die Opfer leben überwiegend in den USA und in Hongkong und sind vor allem…
Corona virus

Neuer COVID-19 Phishing-Betrug

KnowBe4 hat eine neue Art von Phishing-Betrug entdeckt. Dabei werden Personen davor gewarnt, dass sie mit einem Freund/Kollegen/Familienmitglied in Kontakt gekommen sind, welches mit dem Coronavirus infiziert ist.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!