Bedrohungen 2020

Die meisten Probleme der IT-Sicherheit sind gut bekannt, nur selten werden von Grund auf neue Angriffe entwickelt. Dennoch gibt es in den meisten Jahren einzelne Vorgehensweisen oder Schadsoftware-Arten, die besonders intensiv eingesetzt bzw. neue, kritische Schwachstellen, die im großen Stil ausgenutzt werden.

2020 fielen darunter einerseits CVE-2019-19781 a.k.a. “Shitrix", Lücken in diversen Firewall- und VPN-Lösungen auf der Seite der Schwachstellen, sowie Emotet und Ransomware auf der Seite der besonders aktiven Malware, die in diesem Jahr neben Unternehmen und Privatpersonen auch verstärkt Städte sowie Gesundheits- und Bildungseinrichtungen ins Visier nahmen.

Außerdem kam es Ende des Jahres zur Veröffentlichung einiger Leaks, die aber glücklicherweise zum Großteil nur sehr alte Daten enthielten.

Große Beachtung erhielt im Dezember der Supply-Chain-Angriff auf die Firma SolarWinds und ihr Produkt Orion. Obwohl diese Art von Attacken keineswegs unbekannt war, stellten Umfang und Professionalität bei der Durchführung ein Novum dar. Die unmittelbaren Auswirkungen auf Östtereich waren allerdings gering, weshalb hier nur auf die regelmäßig aktualisierte Artikelsammlung des ThaiCERT, die hier zu finden ist, verwiesen werden soll.

Ransomware

Auch im Jahr 2020 blieb Ransomware eine der größten Bedrohungen für öffentliche Einrichungen, Firmen und Privatpersonen.

Das durch die COVID-19 Krise vielerorts eingeführte Home-Office bietet zwar einerseits viele Vorteile, aber durch den häufigen Einsatz privater Geräte in diesen Gegebenheiten, wurde die ohnehin schon schwierige Aufgabe, Arbeitsgeräte effizient zu schützen, noch um einiges erschwert, was den Kriminellen hinter Ransomware in die Hände spielt(e).

Gerade große Institutionen wie Universitäten, Städte und Krankenhäuser wurden vermehrt ins Visier genommen. Bei einem Angriff auf die Uniklinik Düsseldorf kam es erstmals zu einem Todesfall, der mit einem Ransomwareangriff in Verbindung gebracht wurde – die Staatsanwaltschaft stellte die Ermittlungen wegen fahrlässiger Tötung jedoch bald darauf ein, da der Gesundheiszustand der Verstorbenen so schlecht war, dass ein Zusammenhang mit der Attacke nicht haltbar war.1

Aber auch Ransomware für Privatpersonen blieb 2020 nicht untätig und brachte z.T. relativ bizarre Blüten hervor, wie Schadsoftware, die einen Peniskäfig, also quasi ein Keuschheitsgürtel als Sexspielzeug, verschlüsselte, sodass Betroffene erst nach der Bezahlung von 0,02 Bitcoin ihre Genitalien wieder befreien konnten.2

Eine Taktik, die bereits 2019 aufgetaucht war, “etablierte" sich 2020 zusehends: Die Doppelerpressung. Dabei verschlüsseln die Kriminellen nicht, wie zuvor üblich, sofort alle ihnen relevant erscheinenden Teile des Netzwerks, sondern stehlen zuvor alle Daten, die ihnen besonders wichtig bzw. heikel erscheinen. Erst danach erfolgt die Verschlüsselung.

Oftmals unabhängig davon, ob das Lösegeld für die Entschlüsselung bezahlt wird oder nicht, stellen die Kriminellen etwas später eine weitere Forderung: Entweder das Opfer zahlt ein zusätzliches Lösegeld, oder die gestohlenen Daten werden im Internet veröffentlicht. Dies stellt auf viele Arten eine Gefahr dar:

  • Die Daten enthalten oft intime Informationen über die Firma, die für (andere) Kriminelle in Folgeangriffen nützlich sein können. Beispielsweise kann Wissen über interne Abläufe oder Konflikte, die aus E-Mails ersichtlich sind, Social Engineering wesentlich erleichtern.

  • Sind auch sensible Daten im Sinne der DSGVO abhanden gekommen, sind KundInnen sowie die Datenschutzbehörde zu informieren, was im Zuge eines ohnehin schon sehr belastenden Angriffs oft nicht bedacht wird, aber zu Folgestrafen führen kann. Dabei ist v.a. zu beachten, dass diese Meldung unabhängig davon zu erfolgen hat, ob es zu einer Veröffentlichung kommt, oder nicht – die Kriminellen selbst hätten diese Daten ja bereits nicht einsehen dürfen.

  • Je nach Inhalt der Daten sind erneute Erpressungsversuche zu einem späteren Zeitpunkt nicht auszuschließen. Vielfach behaupten die Kriminellen zwar, die Daten nach erfolgter Zahlung zu löschen, kontrollieren können die Opfer das aber natürlich nicht. Bedenkt man dabei, wie oft es bei “normalen" Firmen zu Fehlern bei der Löschung von Daten kommt und diese irgendwann in diversen Leaks landen, ist also selbst bei “ehrlichen" Kriminellen das Risiko, dass die Daten ihren Weg in die Öffentlichkeit finden, nicht zu vernachlässigen.

Emotet

Emotet ist eines der anpassungsfähigsten Schadsofware-Netzwerke der letzten Jahre und dies zeigte sich auch 2020: CERT.at verarbeitete in diesem Jahr über 5000 Meldungen über mögliche Infektionen durch Emotet und informierte die Betroffenen.

Nach einem intensiven Jänner, legte Emotet im Februar eine fünfmonatige Pause ein, in der keine Spam-Nachrichten mit schadhaften Inhalten (Malspam) versendet wurden. Wie schon in früheren “Pausen", blieben die Kriminellen aber keineswegs untätig, sondern nutzten die Zeit, um die Schadsoftware weiterzuentwickeln.

Bereits ab April konnten auf den Command & Control Servern neue Versionen von Emotet beobachtet werden, die bis-dato bekannte Detektions- und Präventionsmechanismen unbrauchbar machten. Diese wurden aber noch nicht aktiv eingesetzt.

Bevor der Versand von Malspam wieder startete, hatten die Kriminellen neue Funktionalität in die Schadsoftware integriert, die es ihnen bei erfolgreicher Infektion ermöglichte, nicht nur E-Mail-Konversationen, sondern auch Datei-Anhänge bis zu einer maximalen Größe von 131072 Bytes automatisiert zu stehlen. Diese Dokumente dienten dazu, den Spam noch glaubhafter zu gestalten, indem sie zusätzlich zu den schadhaften Anhängen in derselben E-Mail verschickt wurden.

Komplett Emotet-los war die Pause jedoch nicht; andere Schadsoftware (namentlich Trickbot) nutzte ihre Infrastruktur weiterhin, um Emotet zu verschicken. Im Juli startete Emotet selbst dann seine erste, eigene Malspam-Welle nach der Pause. Dieser neue Anlauf verlief allerdings etwas holprig, da es unbekannten AkteurInnen gelang, einige von Emotet benutzte Seiten zu kapern, so dass diese anstatt Schadsoftware animierte Bilddateien und später "Avira Antivirus"-Installer auslieferten. Etwa Ende August konnten die Kriminellen dieses Problem aber vollständig beseitigen.

Im Oktober konnte erneut eine kurze Pause beobachtet werden. In diesem Monat wurde ein groß angelegter Takedown-Versuch gegen das Trickbot-Netzwerk unternommen, an dem unter anderem das US Cyber Command des Pentagon und Microsoft teilnahmen. Es ist unklar, ob diese Aktion mit Emotets Pause in Zusammenhang steht; teilweise wurde vermutet, dass sie der Grund für die Pause war, andere meinten allerdings, dass dadurch eine ohnehin geplante Pause vorzeitig abgebrochen wurde.

Anfang November bis kurz vor Weihnachten gönnte sich Emotet erneut eine Auszeit, die dafür genutzt wurde, den Infektionsweg, der aus den infizierten Dokumenten nachgeladenen Schadsoftware, von direkt ausführbaren Dateien mit Endung .exe auf rundll32 beziehungsweise regsvr32 ausgelöste “dynamic-link libraries" (.dll) Dateien umzubauen.

Diese Taktik wurde bis zum Ende des Emotet-Netzwerks (s.u.) weiterverfolgt.

2020 benutzte Emotet folgende Methoden, um ein System initial zu infizieren:

  • Sich verändernde Word-Vorlagen, die nach der teilweise zweistufigen Aktivierung von Makros den Schädling installieren. Kurz vor Weihnachten kam nach der Aktivierung der Makros noch die Anzeige eines Microsoft Windows Nachrichtenfensters dazu, um glaubhafter zu wirken und eine Detektion weiter zu erschweren.

  • Links in den Spam-Mails, die auf Seiten verwiesen, von denen der Schadcode heruntergeladen wurde.

  • Passwortgeschützte ZIP-Dateien im Anhang. Dabei war das Passwort selbst in der E-Mail enthalten. Grund für diese Vorgehensweise ist der Umstand, dass solche ZIP-Dateien nicht von Anti-Virus-Software am Mailserver erkannt werden, da diese ja nicht sehen kann, dass das zugehörige Passwort in der E-Mail enthalten ist und so höchstens warnen kann, dass der Inhalt der ZIP-Datei nicht geprüft werden konnte.

Emotet wird zumeist als "Loader" genutzt, d.h. sein Hauptzweck ist es, nach erfolgreicher Infektion weitere Schadsoftware nachzuladen. Zu diesen zählten 2020 neben Trickbot auch Qakbot, ZLoader und IceID/Bokbot. Praktisch muss man sich das so vorstellen, dass die Kriminellen hinter Emotet mit diesem Nachladen die Zugänge zu den infizierten Systemen an andere kriminelle Gruppen weitergeben. Das ist höchstwahrscheinlich nicht gratis, sondern es ist davon auszugehen, dass diese Gruppen Geld bezahlen, damit Emotet ihre Schadsoftare nachlädt und sie die Kontrolle über den infizierten Computer erhalten.

Diese Geschäftsbeziehungen zwischen den einzelnen kriminellen Gruppen sind zwar sehr wahrscheinlich vorhanden, aber natürlich kaum faktisch nachweisbar (bzw. erst, wenn die jeweilige Gruppe von Strafverfolgungsbehörden ausgehoben wird).

Allerdings war 2020 mit etwas Glück das letzte Jahr, in dem Emotet sein Unwesen trieb: In einer bemerkenswerten internationalen Aktion unter der Koordination durch Europol und Eurojust, ist es Ende Jänner 2021 gelungen, das Emotet-Netzwerk zu zerschlagen.3

Dies war ein wichtiger Schritt im Kampf gegen die organisierte Cyber-Kriminalität, dessen Folgen aktuell noch nicht absehbar sind. Selbst wenn Emotet selbst sich davon nicht erholen sollte, bleibt zu befürchten, dass das entstandene Vakuum früher oder später durch andere Kriminelle gefüllt wird. Außerdem richtete sich die Aktion vor allem gegen Emotets Infrastruktur; es konnten zwar auch einige der beteiligten Personen festgenommen werden, aber leider nicht alle.

Vergessene Updates

Das Einspielen von Updates ist in der IT seit jeher ein Problem – vielfach werden Patches nicht installiert, da um die Stabilität des Systems gefürchtet wird. Diese Furcht ist leider nicht unbegründet, wie Updates diverser großer Softwarefirmen immer wieder eindrucksvoll unter Beweis stellen.

Hinzu kommen potentiell noch Probleme mit ausgelaufenen Lizenzen, die Updates blockieren und fertig ist eine Situation, in der die Wartung von (sicherheitskritischen) Systemen vernachlässigt wird.

2020 waren es vor allem Instanzen von Microsoft Exchange Servern und diverse VPN- bzw. Firewallprodukte, die wegen mangelnder Patch-Disziplin bei gleichzeitiger Verfügbarkeit von öffentlichen Exploits vielversprechende Angriffsziele darstellten.

CVE-2020-0688: RCE in Microsoft Exchange Servern

Im Februar 2020 veröffentlichte Microsoft einen Patch für CVE-2020-0688, einer Remote Code Execution (RCE) Schwachstelle, bei der AngreiferInnen lediglich über ein gültiges Login4 verfügen müssen, um Befehle als NT Authority\SYSTEM ausführen zu können. Letzteres ergibt sich daraus, dass es im Zuge des Ausnützens der Lücke auch zu einer Privilegieneskalation kommt.

Da Mailserver einerseits oft von außen erreichbar sind und andererseits gewöhnlich hochsensible und wichtige Daten enthalten, sind sie ein lohnendes Ziel für viele AngreiferInnen – von einem einfachen Stören des Betriebsablaufs durch Änderung der Konfiguration, über Diebstahl sensibler Daten wie Firmengeheimnissen, bis hin zur Verschlüsselung des Servers, gibt es verschiedenste Möglichkeiten für Kriminelle, aus dieser Schwachstelle Kapital zu schlagen.

Bei einer so kritischen Schwachstelle mit potentiell so weitreichenden Folgen, könnte man nun davon ausgehen, dass sie mit hoher Priorität behoben wird. Dem ist allerdings nicht so: Nachdem bereits zeitnah Exploits auf GitHub verfügbar waren und andere nationale CERTs/CSIRTs in Europa davon berichteten, dass sie zahlreiche ungepatchte Instanzen in ihren Ländern gefunden hatten, machten wir uns im April mithilfe von Shodan und einem Script von CERT.LV5 auf die Suche nach verwundbaren Systemen in Österreich – und wurden fündig: Knapp ein Viertel der identifizierten Exchange-Server hatte den Patch noch nicht eingespielt. Details können in unserem Blogpost dazu nachgelesen werden. Wir informierten die Betroffenen und hofften darauf, dass die fehlenden Patches nun bald eingespielt würden.

Diese Hoffnung blieb allerdings ebenfalls unerfüllt, wie sich im Oktober 2020 herausstellte, als wir den Scan wiederholten und die Ergebnisse mit jenen vom April verglichen: Im Zuge dieses zweiten Scans verbesserten wir unsere Erkennungsmethoden und kamen zu folgendem Ergebnis:

Version Anzahl Verwundbar Verwundbar (%)
Exchange Server 2013 1583 863 54.52%
Exchange Server 2016 3868 1993 51.53%
Exchange Server 2019 1025 252 24.59%
Gesamt 6476 3108 47.99%

Obwohl dieses Ergebnis sogar schlechter aussieht, als jenes vom April, gehen wir davon aus, dass das mit der verbesserten Verifikation zu tun hat und faktisch kaum eine Veränderung stattgefunden hat. Details zum zweiten Scan finden Sie wiederum in einem Post auf unserer Webseite.

Es zeigt sich also insgesamt, dass auch bei so hochgefährlichen Schwachstellen auf wahrscheinlich kritischen Systemen6 Updates vielfach auch acht Monate nach ihrer Veröffentlichung noch nicht eingespielt wurden und dementsprechend ein Umdenken stattfinden muss, um Kriminellen das Leben zumindest etwas schwerer zu machen.

Veraltete Windows Server

Im Oktober 2020 veröffentlichte Rapid7 einen Blogpost zu Microsoft Servern, die aus dem öffentlichen Internet erreichbar waren, aber auf einer nicht mehr unterstützten Version von Microsofts Server Betriebssystem liefen.7

Das Ergebnis war zwar nicht sehr überraschend, aber trotzdem erschreckend: Mehr als 50% aller Microsoft Server, die Rapid7 identifizieren konnte, setzten auf Windows Server 2008 R2, dessen Support im Jänner 2020 eingestellt worden war.

CERT.at nahm das zum Anlass, um einen Blick auf die Situation in Österreich zu werfen. Dazu haben wir in der Shodan-Datenbank nach Servern gesucht, die sich in ihrem Banner als Microsoft Internet Information Service (IIS) 7.0 bzw. 7.5 zu erkennen geben, einer Standardsoftware auf Windows Server 2008 bzw. Windows Server 2008 R2. Zusätzlich haben wir auch nach IIS Version 6.0 gesucht, die in Windows Server 2003 zum Einsatz kam kommt, dessen regulärer Support Mitte 2010 ausgelaufen ist. Das Ergebnis: Insgesamt gab es 31661 Geräte, die sich als "Microsoft IIS" identifizierten, und bei unserer Suche stießen wir auf Versionen, die so alt waren, dass wir gar nicht mit ihnen gerechnet hatten. In der folgenden Tabelle sind jene Versionen die zum Zeitpunkt des Scans nicht mehr unterstützt waren, rot hinterlegt.

Version

Anzahl

Anteil

IIS 4.0 (Windows NT 4.0)

9

0.03%

IIS 5.0 (Windows 2000)

64

0.2%

IIS 5.1 (Windows XP Professional)

38

0.12%

IIS 6.0 (Server 2003)

607

1.92%

IIS 7.0 (Server 2008)

903

2.85%

IIS 7.5 (Server 2008 R2)

7477

23.63%

IIS 8.0 (Server 2012)

1133

3.58%

IIS 8.5 (Server 2012 R2)

8304

26.23%

IIS 10.0 (Server 2016/2019)

13125

41.45%

Unklassifiziert

1

0.00%

In Summe stellen die nicht mehr unterstützten Versionen etwas mehr als 28% dar. Das ist zwar erfreulich weit weg von den über 50%, die Rapid7 dem gesamten Internet attestierte, aber leider immer noch näher daran, als an den 0%, die wir uns wünschen.

Wir haben daraufhin sämtliche BetreiberInnen der betroffenen Server informiert, ein erneuter Scan 2021 ist noch ausständig

(Alte) Lücken in Firewalls und VPN-Produkten

Firewall- und VPN-Lösungen sind meist extrem wichtige Geräte im Netzwerk und Zugriff auf sie bedeutet oft auch Zugriff auf interne Daten und Services. Dementsprechend sind sie, ähnlich wie die oben besprochenen Mailserver, ein häufiges Angriffsziel und kritische Schwachstellen in ihnen dementsprechend gefährlich.

2020 gab es einerseits eine Reihe neuer Schwachstellen, z.B. CVE-2020-12271, einer RCE in Sophos XG Firewalls, die schon beim Bekanntwerden aktiv im Zuge einer Kampagne namens “Asnarök" ausgenutzt wurde,8 oder CVE-2020-2021, einer Schwachstelle in Palo Alto Networks PAN-OS, die bei bestimmten Konfigurationen dazu führte, dass die Verifikation von Signaturen bei der Authentisierung via SAML nicht korrekt funktionierte und so Unbefugte Zugriff auf interne Ressourcen erhalten konnten.9

Andererseits zeigte sich aber auch, dass alte Schwachstellen nichts an ihrer Gefährlichkeit eingebüßt hatten: In vielen Fällen gibt es keine (öffentlichen) Follow-Up Scans von ResearcherInnen oder Firmen, die zeigen, ob und wie zeitnah Patches eingespielt wurden.10 2020 stellte dazu aber CVE-2018-13379 eine Ausnahme dar, eine Schwachstelle in FortiOS SSL VPN-Lösungen, für deren Behebung seit Mai 2019 Updates zur Verfügung stehen und für die seit August 2019 öffentliche Exploits auf GitHub zu finden sind. Ende 2020 wurden jedoch Scan-Ergebnisse auf Twitter veröffentlicht, die angaben, dass es weltweit fast 50 000 nach wie vor verwundbare Instanzen gab, die auch exploitet wurden. Im Zuge dieser Angriffe wurden Accountnamen und Passwörter gestohlen.11

CERT.at wurden alle Daten aus diesem Leak zugespielt, die sich auf Geräte in Österreich bezogen (etwa 1000 IP-Adressen), wodurch wir alle Betroffnen zeitnah informieren konnten.

Wir suchen seitdem automatisiert via Shodan nach potentiell verwundbaren FortiOS-Instanzen und schicken entsprechende Warnungen aus. Siehe dazu auch den entsprechenden Abschnitt zur Datenbasis.

Leaks

Leaks sind mittlerweile ein Dauerbrenner – es vergeht kaum ein Monat, in dem es nicht zu einer gröberen Datenpanne kommt. In dieser Hinsicht war 2020 keine Ausnahme: Neben den zunehmenden Leaks durch Ransomware-Gangs (vgl. den Abschnitt "Ransomware") und der Veröffentlichung der Daten aus Angriffen auf FortiOS-Geräte (vgl. den Abschnitt über vergessene Updates), schlug im November der “cit0day" Leak hohe Wellen:

Die Plattform cit0day[.]in, auf der (vornehmlich) Kriminelle andere Leaks kaufen konnten wurde im September 2020 vom Netz genommen. Ab diesem Zeitpunkt wurde ein Banner angezeigt, das behauptete, die Seite sei von der amerikanischen Exekutive beschlagnahmt worden. Dazu gab es aber keine offizielle Bestätigung und es kam auch zu keinen öffentlich bekannten Festnahmen in diesem Zusammenhang. Aus diesem Grund liegt die Vermutung nahe, dass der Takedown von den Verantwortlichen hinter der Plattform selbst inszeniert war.12

Unabhängig davon, was hinter dem “Takedown" steckte, wurde Anfang November 2020 das Leak-Archiv von cit0day[.]in zuerst auf der File-Sharing-Plattform MEGA und wenig später an anderer Stelle und in anderem Format veröffentlicht.

CERT.at durchsuchte die Daten auf betroffene gv.at Adressen und informierte die jeweiligen MX-BetreiberInnen. Aus den Rückmeldungen wurde klar, dass die gestohlenen Daten zum Großteil ziemlich alt (z.T. mehr als zehn Jahre) waren, und daher kaum eine unmittelbare und große Gefahr darstellten.

  1. Siehe https://heise.de/-4908608 für einen frühen Bericht und https://heise.de/-4961183 zur Einstellung der Ermittlungen wegen fahrlässiger Tötung.

  2. Nachzulesen unter https://heise.de/-5025561.

  3. Eine genauere Beschreibung davon finden Sie auf der Webseite von Europol.

  4. D.h. beliebige, gültige Zugangsdaten zu irgendeinem Mail-Account auf dem Server

  5. Zu finden auf GitHub unter https://github.com/cert-lv/CVE-2020-0688.

  6. Kaum ein Unternehmen wird den eigenen Mailserver als irrelevant abtun.

  7. https://blog.rapid7.com/2020/10/19/are-you-still-running-end-of-life-windows-servers/

  8. Details finden sich z.B. unter https://news.sophos.com/en-us/2020/04/26/asnarok/.

  9. Siehe https://security.paloaltonetworks.com/CVE-2020-2021.

  10. Dies gilt natürlich nicht nur für Firewall- und VPN-Software.

  11. Vgl. z.B. https://heise.de/-4968392.

  12. Einen Artikel von ZDNet dazu finden Sie hier.


<< Vorige Nächste >>