Anzeige

Hacker

Guardicore hat einen neuartigen Angriff auf ein mittelständisches Unternehmen im Medizintechniksektor aufgedeckt und unterbunden. Die Krypto-Miner-Attacke erfolgte über eine gut versteckte Malware, die per WAV-Audiodatei ins Firmennetzwerk eingeschleust wurde. Ziel der Infektion waren Windows-7-Systeme, die per EternalBlue-Exploit angegriffen wurden.

Erste Hinweise auf die Sicherheitsverletzung im betroffenen Unternehmensnetz traten am 14. Oktober 2019 in Form von BSOD-Fehlermeldungen (Blue Screens of Death) auf mehreren Windows-Rechnern auf. Als Hinweis auf einen Kernel-Mode-Fehler sind die blau eingefärbten Hinweise an und für sich unverdächtig, aber eine genauere Analyse durch die Visibilitätswerkzeuge der Sicherheitsplattform Guardicore Centra brachte beunruhigende Erkenntnisse. Einer der Rechner führte demnach eine lange Befehlszeile aus und änderte Daten in der Windows-Registrierungsdatenbank (Registry Key HKLM\Software\Microsoft\Windows\CurrentVersion\Shell) zu. Ein kompletter Netzwerk-Scan zeigte, dass über 800 Endpunkte — mehr als die Hälfte des gesamten Netzwerks — ungewöhnliche Aktivitäten zeigten.

Nach Dekodierung der Datenkommunikation spürte Guardicore Labs ein lesbares Powershell-Script auf, das die IT-Systemarchitektur durchsuchte und den oben benannten Registrierungsschlüssel auslas. Nach Speicherung über die Windows-API-Funktion „WriteProcessMemory“ wurde der Malware-Code ausgeführt. Die unbekannten Angreifer führten dabei einen vollständigen Subnet-Scan auf Port 445 durch, um die Schadsoftware unter Ausnutzung des EternalBlue-Exploits auf weiteren Hosts im infizierten Netzwerk zu installieren.

Empfehlungen von Guardicore Labs

  • Log-Dateien: Zur sicheren Verwahrung von Logdateien sollten Unternehmen die Protokollierungen der Windows- und Linux-Rechner an zentrale, gehärtete Server weiterleiten. Von Microsoft gibt es dafür entsprechende Anleitungen — auch Palantir bietet entsprechende Beispiele und Hilfsprogramme.
     
  • System-Crash-Dateien: Empfehlenswert ist eine Systemkonfiguration zur vollständigen Speicherung von Crash-Dump-Dateien für die weitere Analyse von Angriffen und Prozessfehlern. Microsoft bietet auch hier Unterstützung, wie diese Konfigurationseinstellungen vorzunehmen sind.
     
  • Finger weg! Der erste Impuls dürfte sein, die infizierten Rechnern komplett zu säubern. Für eine umfassende Beobachtung and Analyse ist indes eine Isolierung und Entschärfung der Hackeraktivitäten die bessere Wahl. In Verdachtsfällen nehmen Sie am besten Kontakt mit Sicherheitsprofis auf, bevor Sie eigene Maßnahmen ergreifen.

Weitere Informationen:

Im folgenden Blogbeitrag deckt Guardicore Labs den Mechanismus des Mining-Software-Angriffs detailliert auf: https://www.guardicore.com/2020/01/threats-making-wavs-incident-reponse-cryptomining-attack/
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…
Cybercrime

eCrime nimmt an Volumen und Reichweite weiter zu

CrowdStrike, ein Anbieter von Cloud-basiertem Endpunktschutz, gab heute die Veröffentlichung des CrowdStrike Falcon OverWatchTM 2020 Threat Hunting Report bekannt.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!