Anzeige

Hacker

Guardicore hat einen neuartigen Angriff auf ein mittelständisches Unternehmen im Medizintechniksektor aufgedeckt und unterbunden. Die Krypto-Miner-Attacke erfolgte über eine gut versteckte Malware, die per WAV-Audiodatei ins Firmennetzwerk eingeschleust wurde. Ziel der Infektion waren Windows-7-Systeme, die per EternalBlue-Exploit angegriffen wurden.

Erste Hinweise auf die Sicherheitsverletzung im betroffenen Unternehmensnetz traten am 14. Oktober 2019 in Form von BSOD-Fehlermeldungen (Blue Screens of Death) auf mehreren Windows-Rechnern auf. Als Hinweis auf einen Kernel-Mode-Fehler sind die blau eingefärbten Hinweise an und für sich unverdächtig, aber eine genauere Analyse durch die Visibilitätswerkzeuge der Sicherheitsplattform Guardicore Centra brachte beunruhigende Erkenntnisse. Einer der Rechner führte demnach eine lange Befehlszeile aus und änderte Daten in der Windows-Registrierungsdatenbank (Registry Key HKLM\Software\Microsoft\Windows\CurrentVersion\Shell) zu. Ein kompletter Netzwerk-Scan zeigte, dass über 800 Endpunkte — mehr als die Hälfte des gesamten Netzwerks — ungewöhnliche Aktivitäten zeigten.

Nach Dekodierung der Datenkommunikation spürte Guardicore Labs ein lesbares Powershell-Script auf, das die IT-Systemarchitektur durchsuchte und den oben benannten Registrierungsschlüssel auslas. Nach Speicherung über die Windows-API-Funktion „WriteProcessMemory“ wurde der Malware-Code ausgeführt. Die unbekannten Angreifer führten dabei einen vollständigen Subnet-Scan auf Port 445 durch, um die Schadsoftware unter Ausnutzung des EternalBlue-Exploits auf weiteren Hosts im infizierten Netzwerk zu installieren.

Empfehlungen von Guardicore Labs

  • Log-Dateien: Zur sicheren Verwahrung von Logdateien sollten Unternehmen die Protokollierungen der Windows- und Linux-Rechner an zentrale, gehärtete Server weiterleiten. Von Microsoft gibt es dafür entsprechende Anleitungen — auch Palantir bietet entsprechende Beispiele und Hilfsprogramme.
     
  • System-Crash-Dateien: Empfehlenswert ist eine Systemkonfiguration zur vollständigen Speicherung von Crash-Dump-Dateien für die weitere Analyse von Angriffen und Prozessfehlern. Microsoft bietet auch hier Unterstützung, wie diese Konfigurationseinstellungen vorzunehmen sind.
     
  • Finger weg! Der erste Impuls dürfte sein, die infizierten Rechnern komplett zu säubern. Für eine umfassende Beobachtung and Analyse ist indes eine Isolierung und Entschärfung der Hackeraktivitäten die bessere Wahl. In Verdachtsfällen nehmen Sie am besten Kontakt mit Sicherheitsprofis auf, bevor Sie eigene Maßnahmen ergreifen.

Weitere Informationen:

Im folgenden Blogbeitrag deckt Guardicore Labs den Mechanismus des Mining-Software-Angriffs detailliert auf: https://www.guardicore.com/2020/01/threats-making-wavs-incident-reponse-cryptomining-attack/
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker Corona

Covid-19 Impfstoff als Thema unterschiedlicher Cyberattacken

Proofpoint, Inc., ein Next-Generation Cybersecurity- und Compliance-Unternehmen, warnt aktuell vor einer Vielzahl verschiedener Cyberattacken, die sich die Unsicherheit vieler Menschen rund um das Thema Covid-19-Impfstoff zunutze machen.
Hacker

Identitätsbetrug: Darauf müssen sich Unternehmen 2021 vorbereiten

Zum Jahresbeginn prognostizieren die Security-Experten von ForgeRock und Onfido weitere Zunahmen von Betrugsversuchen im Internet. Vor allem Deepfakes werden zunehmend raffinierter. Unternehmen müssen daher zukünftig auf alternative Überprüfungsmethoden von…
Hacker

Ende von DarkMarket: So reagiert das Dark Web

Mit dem Aus von DarkMarket ist den deutschen und internationalen Ermittlern ein wichtiger Schlag im Kampf gegen Cyberkriminalität gelungen. Im Dark Web selbst hat die Nachricht vom Ende des „größten illegalen Marktplatzes“ jedoch nur verhaltene Reaktionen…
Hacker

5 Sicherheitsrisiken, die uns dieses Jahr erwarten

Das Jahr 2020 hat Geschichte geschrieben: Die globale Covid-19-Pandemie hat so ziemlich alle Lebensbereiche auf den Kopf gestellt – inklusive die Welt der Cyber-Kriminalität.
COVID-19-Impfstoff

Cyberangriffe auf die Supply Chain für COVID-19-Impfstoffe

Warum sind Cyberkriminelle daran interessiert, die COVID-19-Impfstoff-Lieferkette zu unterbrechen? Was haben wir bereits an COVID-19-bezogenen Cyberangriffen gesehen?
Hacker

Digitaler Service des US-Militärs lädt Hacker ein Schwachstellen zu entdecken

Der Defense Digital Service (DDS) und Hackerone, Sicherheitsplattform für ethisch motivierte Hacker – die so genannten White Hat Hacker, gaben den Start ihres elften Bug-Bounty-Programms bekannt. Zudem ist es das dritte Bug-Bounty-Programm mit dem U.S.…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!