Security Blog

_HANDGEMACHT!

In diesem Blog findet ihr Informationen zu Sicherheitsbedrohungen bei ausgewählten Produkten, Hintergrundwissen sowie Links zu wichtigen Webseiten rund ums Internet. Eine ständige Aktualität kann ich in diesem Blog nicht garantieren.

Deshalb empfiehlt es sich, regelmäßig auch auf den Webseiten von PC-Zeitschriften, Virenschutzanbietern oder den Herstellern selbst nachzuschauen (oft in englischer Sprache und mit Fachkenntnissen verbunden).

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt vor der Verwendung der Antivirusprogramme von Kaspersky!

Kaspersky ist ein russischer Sicherheitsexperte und könnte von der russischen Regierung als Werkzeug für Angriffe ausgenutzt werden.

NGINX ist ein Open-Source-Hochleistungs-Webserver und wurde ursprünglich in Russland entwickelt. Durch die Open-Source-Lizenz steht der Server allen kostenfrei zur Verfügung. Er ist unter anderem eine wichtige Komponente der Synology-Netzwerktechnik, die auch von mir genutzt wird.

Bereits zu Beginn des Krieges führten die US-Sicherheitsbehörden Untersuchungen zur kritischen IT-Infrastruktur durch. Dabei geriet NGINX in den Fokus der Gutachter, da etwa 10 % der IT in größeren Ländern diesen Server verwenden. Da NGINX bzw. der kommerzielle Teil, durch den das Projekt finanziert wird, von einem US-Unternehmen übernommen wurde und der russische Entwickler sich aus dem gewerblichen Teil zurückgezogen hat, bestand keine akute Bedrohungssituation. Tatsächlich wurden russische Büros wegen angeblicher Steuerhinterziehung von der russischen Polizei durchsucht.

Mit dem fortschreitenden Krieg müssen jedoch weitere Überlegungen angestellt werden. Aktuell sind russische Entwickler vorerst aus dem gewerblichen Projekt ausgeschlossen worden. Dadurch geht zwar viel russisches IT-Know-how verloren, doch das Projekt wird voraussichtlich überleben. Aus all diesen Gründen werde ich derzeit weiterhin auf die Synology-Technik setzen.

‹ Zurück

Ich dachte mir, es ist mal wieder Zeit für einen Threat Report. Diesen erstelle ich nicht selbst, sondern er stammt von ESET und wurde zum Jahreswechsel veröffentlicht. Der Report enthält Auswertungen zu Angriffen auf die IT-Landschaft, die ESET selbst aufgedeckt oder an deren Behebung mitgewirkt hat. Darüber hinaus werden Angriffsvektoren identifiziert, die abgesichert werden sollten.

Angriffe mit KI sind entweder völlig neu oder werden immer häufiger. Das bestätigt nicht nur ESET, sondern auch ein weiterer Bericht, den ich habe. Ziel dieser Angriffe sind Server, die dann beispielsweise in ein Botnetz integriert, deren Daten verschlüsselt werden oder .…

Im vergangenen Jahr entdeckte ESET die „PromptLock“ Ransomware, scheinbar die erste Ransomware, die direkt mit KI arbeitet. Zur Erstellung von Angriffsskripten wurden beispielsweise OpenAI und speziell die Ollama Container verwendet.

„PromptLock“ ist ein in Go geschriebenes Programm, das eine Verbindung zu einer LLM (KI-Server) herstellt und fertige Befehle zur Verarbeitung übermittelt. Diese Befehle veranlassen die KI, LUA-Skripte zu erstellen. LUA ist eine schnelle Skriptsprache, die auf fast allen Plattformen unterstützt wird. Die KI wird durch das Hauptprogramm dazu gebracht, diese Skripte interaktiv zu erstellen, die dann von PromptLock ausgeführt werden, um beispielsweise das Dateisystem auszulesen, auf dem es sich befindet. Es handelt sich jedoch wohl nicht um eine „echte“ Ransomware, sondern um einen Proof of Concept – einen funktionierenden Test. Man kann aber wahrscheinlich von Weiterentwicklungen ausgehen.

Andere Varianten von KI-Angriffen, wie PromptFlux, PromptSteal und QuietVault, wurden wohl von einer Google-Gruppe entdeckt. Auch hier wurde eine LLM verwendet, um interaktive Skripte und mehr zu erstellen.

KI wurde zudem verwendet, um gefälschte Videos zu erstellen, die auf Social-Media-Plattformen hochgeladen wurden, um Menschen zu betrügen und sie zu Geldüberweisungen zu verleiten.

NFC, kurz für Near Field Communication, ermöglicht den Datenaustausch über sehr kurze Distanzen von 1 bis maximal 30 cm. Diese Technologie wird beispielsweise für kontaktloses Bezahlen mit Apple Pay oder Google Pay an Kreditkartenterminals genutzt. Darüber hinaus können Nutzer mit NFC auch kleine Bilder oder Dateien untereinander austauschen. In solchen Fällen wird zusätzlich eine Bluetooth- oder WLAN-Verbindung aufgebaut. Leider gibt es mittlerweile einige Malware-Varianten und Betrugsmaschen, die diese Technologie ausnutzen. Malware ist ein Sammelbegriff für Schadprogramme wie Ransomware, Trojaner, Würmer und andere.

Wie gelangt die Malware für den NFC-Angriff auf das Gerät? Ein Angriffsvektor war manipulierte Banking-Software, die ein Programm enthielt, das Daten auslesen konnte. Diese App wurde scheinbar harmlos über einen App Store installiert. Um die Apps seriös erscheinen zu lassen, wurde beispielsweise der Eindruck erweckt, dass bereits eine große Anzahl von Nutzerinnen und Nutzern diese installiert hatten. Ein Angriffszenario sah vor, dass die Opfer nach der Installation aufgefordert wurden, ihre Kreditkarte an das Smartphone zu halten und die PIN einzugeben. Die Angreifer nutzten diese Daten dann entsprechend. Eine andere Malware deaktivierte die biometrischen Sicherheitseinstellungen, wodurch die Opfer gezwungen waren, Passwörter und PINs einzugeben, die wiederum abgefangen wurden. Mittlerweile sind die Angriffe so ausgeklügelt, dass die Angreifer mit der Malware Fernzugriff auf das Gerät erhalten und Überweisungen automatisiert ausführen können. Die Installation von Apps ausschließlich aus offiziellen App Stores kann das Risiko solcher Angriffe deutlich reduzieren. Diese Entwicklungen werden nicht jeder Open Source Entwicklerin oder jedem Entwickler gefallen, aber es ist eine Tatsache.

Infostealer sind eine Art Schadprogramm, das sich darauf spezialisiert hat, Informationen zu stehlen, ohne dass die Opfer Änderungen an ihren Geräten bemerken. Zu den gestohlenen Daten gehören Informationen aus dem Webbrowser, wie z. B. gespeicherte Kreditkartendaten, Passwörter und sogar Session Cookies. Diese Cookies sind keine echten Kekse, sondern dienen als Identifikationsnummern – lange Zeichenketten aus Buchstaben und Zahlen. Sie ermöglichen es den Anwenderinnen und Anwendern, sich bei zukünftigen Besuchen automatisch bei Webseiten anzumelden. Normalerweise werden diese Cookies verschlüsselt über das Internet übertragen. Ist jedoch ein Schadprogramm auf dem Gerät installiert, kann es diese Cookies möglicherweise noch vor dem Verlassen des Geräts abfangen und Angreifern so den Zugriff auf Konten ermöglichen. Darüber hinaus können Infostealer Kryptowährungsdaten, wie z. B. Bitcoin-Transaktionen, abfangen oder Tastatureingaben aufzeichnen.

Infostealer können über verschiedene gängige Wege auf euer Gerät gelangen, ähnlich wie andere Malware. Dazu gehören E-Mails, Downloads von Webseiten oder App Stores sowie die Ausnutzung von Sicherheitslücken im System.

Downloader sind eine spezielle Art von Schadprogrammen. Das eigentliche Programm, das man installiert, kann durchaus nützlich sein, wie zum Beispiel eine Notizen-App oder ein Skript für die Kommandozeile, das beim Starten ein lustiges Lied abspielt. Integriert in den Downloader gibt es jedoch einen Programmaufruf, der ein Schadprogramm nachlädt. Dieser Vorgang kann sogar als scheinbar harmloses Update getarnt sein.

Ransomware, ein Schadprogramm, das Daten verschlüsselt, um Lösegeld zu erpressen, ist ein wachsendes Problem. Ein besonders gefährlicher Virus zielte auf eine bekannte Sicherheitslücke im UEFI BIOS ab, um Daten zu verschlüsseln. Die Zahl der Angriffe ist deutlich gestiegen und wird voraussichtlich weiter zunehmen. Nach der Installation des Schadprogramms ist mit fortschrittlichen Angriffen zu rechnen.

Die meisten Angriffe wurden in Polen, den USA, Spanien, Japan und der Türkei gemeldet, wobei Deutschland etwas weniger betroffen war. Es ist jedoch wichtig zu beachten, dass nicht alle Angriffe entdeckt werden, was die Auswertung verfälscht. HTML und Script gehören zu den Top 10 der Angriffsmittel, die über Webbrowser oder beispielsweise E-Mails verbreitet werden können.

Deutschland war ebenfalls Ziel zahlreicher Android-Angriffe. An der Spitze der Länder mit den meisten Angriffen stehen Brasilien, Türkei, Ukraine und die USA. Diese Malware wird häufig über Apps heruntergeladen, wobei ein Trojaner die Top 10 anführt.

Besonders in den USA, Russland, Indien, Brasilien und Chile gab es vermehrt Angriffe auf Krypto-Programme mit Malware.

Downloader scheinen in Polen sehr beliebt zu sein.

EMail-Angriffe sind in letzter Zeit deutlich angestiegen. EMails werden häufig verwendet, um Malware auf den Systemen der Opfer zu installieren, entweder durch Dateianhänge oder durch das Locken auf manipulierte Webseiten. Scripts sind dabei eine beliebte Angriffsmethode, dicht gefolgt von ausführbaren Dateien und Office-Dateien.

Das Exploiten von Sicherheitslücken, also das Ausnutzen von Schwachstellen, erfreut sich ebenfalls großer Beliebtheit. Auch die Anzahl dieser Angriffe ist gestiegen. Ziel ist es, über eine Sicherheitslücke in einem Programm des Opfers ein Schadprogramm zur Ausführung zu bringen. Besonders stark betroffen waren Apache Server Systeme, weil diese mittlerweile mit zu den am häufigsten genutzten Systemen gehören.

Die Zahl der Angriffe auf MacOS-Systeme ist leicht zurückgegangen. Die meisten Angriffe wurden in den USA registriert, was wahrscheinlich auf die höhere Verbreitung von Macs dort zurückzuführen ist. In Grönland hingegen wurden keine Angriffe gemeldet.

Die hier bereitgestellten Informationen stammen ausschließlich von ESET und Quellen, die ESET bekannt waren. Daher können die Daten von denen anderer Quellen abweichen.

KI- und NFC-Angriffe gewinnen an Bedeutung, und es ist wichtig, sich daran zu erinnern, dass kein System 100%igen Schutz bietet (theoretisch, aber oft auch praktisch). Letztendlich hängt die Sicherheit von der Person ab, die das System bedient, sei es eine Workstation, ein Server oder ein Smartphone. Selbst die fortschrittlichsten Schutzmechanismen können nutzlos sein, wenn ein Benutzer versehentlich ein Schadprogramm installiert. Daher sollten Unternehmen ihre Mitarbeiter im Umgang mit IT schulen, auch wenn es nur darum geht, ein E-Mail-Programm zu bedienen. Darüber hinaus sollte ein grundlegendes Sicherheitsverständnis vermittelt und angewendet werden, einschließlich einer Liste von Maßnahmen, die im Falle eines Angriffs zu ergreifen sind. Dies gilt auch für Privatpersonen.

Eine weitere wichtige Präventionsmaßnahme ist das rechtzeitige Installieren von Updates, um die Ausnutzung von Sicherheitslücken zu verhindern. Dies kann auch den Kostenaufwand für die rechtzeitige Anschaffung neuer Geräte umfassen. Beim Kauf von Technik ist es wichtig, vertrauenswürdige Händler zu wählen, da preiswerte Geräte aus Asien oder anderen Teilen der Welt bereits mit Viren verseucht sein oder für Spionagezwecke verwendet werden könnten. Das soll keine pauschale Diskreditierung des internationalen Marktes sein, aber es ist bereits vorgekommen. Lieferkettenangriffe sind allgemein ein relevantes Angriffsszenario.

Das Abmelden von Web- oder Cloud-Diensten ist eine weitere wichtige Sicherheitsmaßnahme. Während Workspace-Administratoren dies regelmäßig erzwingen können, müssen Privatpersonen selbst aktiv werden, zum Beispiel über den Umweg eines Passwortwechsels. Sicherheitsinformationen sollten verschlüsselt gespeichert werden.

Angriffe mit Trackern, wie z. B. Bluetooth-Tracker, die heimlich in Taschen gesteckt werden, um Personen zu stalken, wurden nicht erwähnt. Wenn ihr euch im Wald befindet und euer Smartphone ein Bluetooth-Gerät erkennt, könnte dies ein Hinweis darauf sein, dass etwas nicht stimmt.

Session Cookies werden in der Regel verschlüsselt über das Internet übertragen, mit wenigen Ausnahmen. Diese Verschlüsselung schützt jedoch nicht zwangsläufig vor einem „Man in the Middle“-Angriff, bei dem Angreifer versuchen, möglichst viele Daten mitzulesen, die über die Internetleitung übertragen werden. Obwohl die meisten Daten heute verschlüsselt sind, gibt es dennoch zahlreiche Informationen, die extrahiert werden können. Kommt dann noch eine Sicherheitslücke hinzu, kann die Verschlüsselung möglicherweise sogar umgangen werden.

Ich hoffe, dass ich euch weiterhelfen konnte. den vollständigen Report könnt ihr bei ESET auf Englisch herunterladen.

###1.2026,xcomweb.de###