2020 im Detail

Der größte Teil der Daten, die CERT.at ausschickt, kommt aus diversen automatischen Feeds.1 Bevor sie über das Ticket-System ausgeschickt werden, werden sie, bereits taxonomisiert, in eine Datenbank geschrieben. Die folgenden Graphen basieren jeweils auf diesen Rohdaten. Dabei wurden jeweils die betroffenen IP Adressen pro Tag zugrundegelegt und anschließend die Wochenmaxima als Datenpunkte in den Graphen verwenden.

Im Verhältnis zu den Aussendungen ist zweierlei zu beachten:

  1. CERT.at schickt Informationen zum gleichen Problem nur alle 30 Tage aus. Das heißt also, auch wenn wir jeden Tag die Information erhalten, dass auf IP Adresse X Port Y offen ist, obwohl er das wahrscheinlich nicht sein sollte, schicken wir das nicht täglich weiter, um die BetreiberInnen/ISPs nicht mit Benachrichtigungen zu überfluten. Diese Deduplikation wurde in den Rohdaten noch nicht vorgenommen.

  2. Gibt es in einem Netzwerk mehrere Fälle desselben Problems (z.B. Geräte, die für die gleiche Schwachstelle anfällig sind), leiten wir diese Informationen aggregiert an die Verantwortlichen weiter, d.h. hinter einer einzelnen Investigation können zahlreiche Datenbankeinträge a.k.a. “Events" stecken.

Events nach Taxonomie

Bei den Gesamtzahlen ist zu beachten, dass manche Events doppelt gezählt werden, nämlich dann, wenn sie in zwei unterschiedliche Taxonomien fallen. Das ist beispielsweise bei Services der Fall, die einerseits als DDoS-Amplifier missbraucht werden können, andererseits aber auch potentiell sensible Informationen preisgeben.

Außerdem ist zu entnehmen, dass wir im letzten Jahresdrittel 2020 erstmals Feeds der Taxonomie “intrusions" in unsere regelmäßigen Benachrichtigungen aufnahmen, was bisher auf anlassbezogene Aussendungen beschränkt war.

Taxonomie “vulnerable"

Insgesamt verteilt sich die Taxonomie auf folgende Unterkategorien:

Taxonomie

Geräte unter "potentially-unwanted-accessible-system" wiederum teilen sich wie folgt auf:

Ports, die nicht öffentlich erreichbar sein sollten

Entfernt man daraus "open-cwmp", das für die meisten Events verantwortlich ist, ergibt sich:

Ports, die nicht öffentlich erreichbar sein sollten (ohne CWMP)

Eine weitere große Kategorie sind die Geräte unter "information-disclosure", die sich wie folgt aufteilen:

Services, über die sensible Informa onen gewonnen werden können

An dritter Stelle innerhalb der Taxonomie "vulnerable" sind schließlich die "ddos-amplifier", die sich auf einen Vielzahl von Services verteilen:Geräte, die für UDP DDoS Amplifikation missbraucht werden können

Wie auch in den Jahren zuvor, fiel 2020 der größte Teil der von uns behandelten Meldungen in die Kategorie “vulnerable", weshalb wir sie etwas näher vorstellen.

Warum hier immer die meisten Events auftreten, haben wir zwar nicht tiefgehend untersucht, gehen aber davon aus, dass hier eine Reihe von Faktoren zusammenspielen:

Default Konfigurationen:

Vielfach ist es die voreingestellte Konfiguration von Software und Hardware, die diese aus dem öffentlichen Internet erreichbar macht. Gerade im Fall von IoT-Geräten und Home-Routern wissen die betroffenen NutzerInnen das oft gar nicht bzw. verfügen nicht über das technische Know-How, um Änderungen vorzunehmen (so das überhaupt möglich ist).

(Vergessene) "Spielwiesen":

Technisch versierte NutzerInnen richten oft Testinstanzen ein, um neue Dinge auszuprobieren. Nicht selten wird dann aber darauf vergessen, diese wieder abzuschalten.

Risikoeinschätzung:

Im Gegensatz zu Geräten, die mit Malware befallen sind, stufen viele die mit "potentiell verwundbaren" Computern verbundenen Gefahren als eher gering ein, v.a. wenn es sich z.B. um DDoS Amplifikatoren handelt – hier wird zwar das betroffene Gerät für einen Angriff missbraucht, der Schaden entsteht aber nicht bei dem/der BetreiberIn des Geräts, sondern beim Opfer des Angriffs.

Wie dier erste Abbildung oben zeigt, sind innerhalb der Taxonomie “vulnerable" wiederum wenige Unterkategorien für den Großteil der Events verantwortlich. Am Verlauf der Kurven lässt sich auch die zuvor erwähnte doppelte Zählung bestimmter Events gut veranschaulichen: “open-cwmp"2 fällt sowohl unter “potentially-unwanted-accessible-system" (vgl. ) als auch unter “info-disclosure" (vgl. ) und beeinflusst aufgrund seiner Häufigkeit beide Kurven sehr stark. Für die Spitze zwischen den Wochen 31 und 33 wiederum ist “open-portmapper"3 verantwortlich, der ebenfalls in beide Kategorien fällt.

Shodan “Verified Vulnerabilities"

Im Jahr 2020 veröffentlichte die Suchmaschine Shodan ein neues Feature zur Schwachstellenanalyse. Diese “Verified Vulnerabilities" zeigen ihrem Namen entsprechend Schwachstellen an, die Shodan gefunden und verifiziert hat.4 Diese Funktionalität ist nur für eine begrenzte Anzahl von IP Adressen anwendbar; im Falle von CERT.at sind das all jene, die in Österreich geolokalisiert sind.

Nach einigen Tests haben wir im September 2020 damit begonnen, einmal im Monat die aggregierten Daten aus dieser Quelle zu veröffentlichen und die Änderungen zu den Vormonaten zu besprechen. Der initiale Blogpost vom September findet sich hier, die nachfolgenden Entwicklungen für 2020 in den Posts zu Oktober, November und Dezember.

Bisher zeichnet sich ab, dass die Unterschiede zwischen den Monaten relativ gering sind und sich das Gesamtbild ingesamt bisher kaum verändert hat: Die zahlenmäßig größten Schwachstellen sind FREAK und Logjam, beides Schwachstellen in SSL/TLS Bibliotheken aus dem Jahr 2015, die potentiell das Entschlüsseln von HTTPS-Verbindungen ermöglichen, gefolgt von RCE (“Remote Code Execution") Schwachstellen in älteren Versionen von Microsoft Windows und RDP (“Remote Desktop Protocol").

Eine erfreuliche Erkenntnis aus diesen Daten ist, dass, obwohl die Anfang 2020 für einigen Aufruhr verantwortliche Lücke CVE-2019-19781 a.k.a. “Shitrix” zwar enthalten ist, die Anzahl der nach wie vor verwundbaren Server in Österreich sich aber im niedrigen einstelligen Bereich bewegt.

Probleme im Web

Das World Wide Web stellt zwar nur einen Teil des Internets dar, ist aber dennoch für viele der Inbegriff desselben bzw. ihr einziger bewusster Kontakt damit. Deshalb gliedert CERT.at Schwachstellen im Bereich des Web genauer auf, als in anderen Bereichen. Außerdem ist in diesem Bereich mehr Handarbeit notwendig als anderswo. Das hat vor allem damit zu tun, dass das Web extrem schnelllebig ist, was zur Folge hat, dass viele Probleme, die vor einigen Stunden gemeldet wurden, bereits behoben sind und daher immer eine Person direkt vor dem Aussenden kontrollieren muss, ob das Problem noch besteht. Nur so können große Mengen an Falschmeldungen unsererseits verhindert werden.

Ein weiterer Grund, warum Automatisierung bei Problemen im Web nicht immer gut funktioniert, ist, dass es in vielen Fällen um die Beurteilung der Legitimität von Inhalten geht. So ist der Schriftzug “defaced by" zwar eine Phrase, sie sehr häufig bei Defacements (s.u.) auftritt, aber gleichzeitig oft auf Seiten von Museen oder Ausstellungen vorkommt, auf denen Kunstwerke beschrieben werden, die irgendwann “defaced", d.h. verunstaltet bzw. mutwillig beschädigt wurden. Hin und wieder treffen wir sogar auf Webseiten, bei denen sich im Nachhinein herausstellt, dass der augenscheinliche Hack eine Kunstinstallation ist, die ein Defacement imitiert oder eine angebliche Phishing-Seite in Wahrheit Teil eines gerade laufenden Pentests ist.

Nachfolgend finden Sie einen Überblick zu den verschiedenen Angriffen auf Webseiten, von denen CERT.at Kenntnis hat.

Gehackte Webseiten

Defacements

Bei diesen auch als “Web-Graffiti" bezeichneten Angriffen, wird das Aussehen bzw. Design einer Webseite verändert. Oft wird einfach der Spruch "Hacked by" oder "Defaced by" gefolgt von einem Namen prominent auf der Startseite platziert.

Diese Art von Angriffen hat in den letzten Jahren in Österreich kontinuierlich an Bedeutung verloren, was wohl einerseits daran liegt, dass Standardsoftware zum Anlegen von Webseiten (wie z.B. WordPress) wesentlich sicherer ist als früher und Updates automatisch eingespielt werden, andererseits aber auch mit dem erhöhten Bewusstsein bei Firmen zu tun hat, dass ihre Webseiten potentielle Angriffsziele sind und diese daher besser abgesichert werden.

Phishing

Während Defacements im Allgemeinen eher harmlos sind und wenn überhaupt zu einem Reputationsschaden führen, sind Phishingseiten immer problematisch. Hier versuchen AngreiferInnen Zugangsdaten von BesucherInnen zu stehlen, indem sie beispielsweise die Login-Seite einer Bank nachbauen.

Dass die Anzahl der Phishings relativ stark schwankt, ist unter anderem mit dem Kampagnencharakter solcher Angriffe zu erklären: Kriminelle kompromittieren vor dem Aussenden der Phishing-Mails gleich eine größere Anzahl von Webseiten, damit das Bereinigen einzelner Phishingseiten nicht direkt den gesamten Angriff beendet. Nach dem Beginn einer solchen Kampagne gehen dann oft viele Meldungen zu Phishing-Seiten auf einmal ein.

Exploit Packs

Bei diesem Angriff wird auf einer (zumeist) sonst legitimen Seite Schadsoftware eingebaut, die alle, die sie besuchen herunterladen.

Veraltete Kryptographie

Verschlüsselung bei Web- und E-Mail-Servern ist heutzutage erfreulicherweise weit verbreitet. Allerdings werden immer wieder Schwachstellen in kryptographischen Verfahren gefunden, die eine Aktualisierung der betroffenen Server notwendig machen. Das geschieht leider nicht immer sofort und zieht sich meist über viele Jahre oder sogar Jahrzehnte, bis es keine verwundbaren Server mehr gibt.

Web- und Mailserver mit veralteter Kryptographie

Das Positive, das aus der Grafik abzulesen ist, ist der Umstand, dass es in Österreich kaum noch Server gibt, die das völlig veraltete SSLv2 Protokoll aus dem Jahr 1995 im Einsatz haben.

Weniger gut sieht es hingegen bei Webseiten aus, die für POODLE aus dem Jahr 2014 und FREAK aus dem Jahr 2015 anfällig sind, aber auch hier zeichnet sich primär ein positiver Trend zu weniger betroffenen Servern ab.

Dass veraltete TLS-Software einen großen Teil der öffentlich sichtbaren Schwachstellen ausmachen, konnten wir 2020 auch mithilfe der oben erwähnten Shodan "Verified Vulnerabilities" bestätigen.

Die sehr kurzen Linien zu 2020-02-05-tlsversion und 2020-02-24-deprecated-tls beziehen sich auf zwei von uns durchgeführte Scans zu TLS Versionen, da die großen Browser-Firmen angekündigt hatten, die Unterstützung von TLS Versionen unter 1.2 im März 2020 einzustellen.5 Das bedeutete, dass Webseiten, deren Server nicht mindestens TLS 1.2 unterstützten, ab diesem Zeitpunkt nicht mehr von NutzerInnen mit modernen Browsern hätten besucht werden können. Wir nahmen diesen Umstand zum Anlass, alle .at Domains auf ihre TLS-Version zu prüfen und informierten BetreiberInnen, deren Webseiten nach einer solchen Umstellung quasi nicht mehr erreichbar gewesen wären.

Malware

Malware war 2020, wie jedes Jahr, sehr aktiv. Über die aktivsten und gefährlichsten Varianten wird im Abschnitt Bedrohungen 2020 genauer eingegangen.

Dabei ist zu betonen, dass diese in der unten stehenden Abbildung nicht enthalten sind, da es zu ihnen keine Feeds gibt, die Infektionen mit z.B. Emotet anzeigen. Der Grund hierfür ist, dass die meisten Feeds mit sog. “Sinkholes" arbeiten, d.h. Strafverfolgungsbehörden, ResearcherInnen oder Firmen betreiben einen Server auf IP-Adressen oder Domains, zu denen sich die Schadsoftware entsprechend ihrer Programmierung verbindet, um Befehle zu erhalten.

Das funktioniert aber natürlich nur, wenn die Infrastruktur der Kriminellen übernommen oder emuliert werden kann, was bei aktiver und regelmäßig weiterentwickelter Malware wie Emotet kaum der Fall ist.

Mit Beginn der COVID-19 Pandemie bot die Firma Bitsight einen ihrer sonst kostenpflichtigen Feeds für einige Monate kostenlos zu Evaluationszwecken an, was den großen Anstieg in der Grafik zwischen den Kalenderwochen 23 und 45 erklärt. Der Einbruch in KW 37 ist auf ein technisches Problem bei Bitsight zurückzuführen.

Nach Ablauf der kostenlosen Evaluationsphase haben wir uns dazu entschlossen, den Feed nicht käuflich zu erwerben, da er für unsere Zwecke zu viele False Positives enthielt. Für Firmen, die damit vor allem ihre eigenen Netze überwachen, dürfte die Anzahl zwar kaum ein Problem darstellen, bei unserer Arbeit kam es aber zu zahlreichen Rückfragen und verärgerten NetzbetreiberInnen.

Malware in Österreich


  1. Für eine genauere Beschreibung siehe  den Abschnitt "Datenbasis".

  2. Für mehr Informationen siehe https://cert.at/de/services/daten-feeds/vulnerable/#open-cwmp.

  3. Genauere Informationen dazu finden Sie unter https://cert.at/de/services/daten-feeds/vulnerable/#open-portmapper.

  4. Die genaue Methodik dazu, ist je nach Schwachstelle unterschiedlich und auch nicht in allen Fällen gleich verlässlich, wie sich aus diesem Twitter-Thread ableiten lässst.

  5. Siehe z.B. unseren Blogpost dazu.



<< Vorige Nächste >>