HANDGEMACHT!

In diesem Blog findet ihr Informationen zu Sicherheitsbedrohungen bei ausgewählten Produkten, Hintergrundwissen sowie Links zu wichtigen Webseiten rund ums Internet. Eine ständige Aktualität kann ich in diesem Blog nicht garantieren.

 

Deshalb empfiehlt es sich, regelmäßig auch auf den Webseiten von PC-Zeitschriften, Virenschutzanbietern oder den Herstellern selbst nachzuschauen (oft in englischer Sprache und mit Fachkenntnissen verbunden).

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt vor der Verwendung der Antivirusprogramme von Kaspersky!

 

Kaspersky ist ein russischer Sicherheitsexperte und könnte von der russischen Regierung als Werkzeug für Angriffe ausgenutzt werden.

 
 
 

   

 

NGINX ist ein Open-Source-Hochleistungs-Webserver und wurde ursprünglich in Russland entwickelt. Durch die Open-Source-Lizenz steht der Server allen kostenfrei zur Verfügung. Er ist unter anderem eine wichtige Komponente der Synology-Netzwerktechnik, die auch von mir genutzt wird.

 

Bereits zu Beginn des Krieges führten die US-Sicherheitsbehörden Untersuchungen zur kritischen IT-Infrastruktur durch. Dabei geriet NGINX in den Fokus der Gutachter, da etwa 10 % der IT in größeren Ländern diesen Server verwenden. Da NGINX bzw. der kommerzielle Teil, durch den das Projekt finanziert wird, von einem US-Unternehmen übernommen wurde und der russische Entwickler sich aus dem gewerblichen Teil zurückgezogen hat, bestand keine akute Bedrohungssituation. Tatsächlich wurden russische Büros wegen angeblicher Steuerhinterziehung von der russischen Polizei durchsucht.

 

Mit dem fortschreitenden Krieg müssen jedoch weitere Überlegungen angestellt werden. Aktuell sind russische Entwickler vorerst aus dem gewerblichen Projekt ausgeschlossen worden. Dadurch geht zwar viel russisches IT-Know-how verloren, doch das Projekt wird voraussichtlich überleben. Aus all diesen Gründen werde ich derzeit weiterhin auf die Synology-Technik setzen.

   

WithSecure hat eine neue Bedrohung entdeckt und sie Webjack genannt.

 

Die WEBJACK-Malware-Kampagne kompromittiert Microsoft IIS-Server, um schädliche Module der BadIIS-Familie einzuschleusen. Die infizierten Server werden für SEO-Manipulation und Betrug missbraucht, indem Nutzer auf betrügerische Seiten umgeleitet werden. Die Angreifer verwenden Werkzeuge aus dem chinesischsprachigen Cyberkriminalitäts-Ökosystem.

 

Der Infektionsweg ist bislang unbekannt. Betroffen sind Server in Asien sowie beispielsweise in Frankreich. Es ist möglich, dass weitere Infektionen noch unentdeckt sind.

 

WEBJACK nutzt schädliche IIS-Module („fashttp.dll“ und „cgihttp.dll“) mit Enigma-Schutz, einem Tool zur Erschwerung von Reverse Engineering. Die Module verarbeiten HTTP-Anfragen und generieren URLs für Seiteneinschleusung und Weiterleitung. Die Weiterleitungen führen beispielsweise auf Glücksspielseiten.

 

Alle Hinweise deuten auf China als Ursprungsregion der Angriffe hin. Die Ziele sind vor allem große Institutionen wie Regierungsbehörden und Universitäten.

 

Unternehmen sollten proaktiv nach nicht autorisierten IIS-Modulen suchen sowie den Netzwerkverkehr und Systemprotokolle überwachen, um IIS-Hijacking zu verhindern. Insbesondere der Einsatz von Tools wie XlAnyLoader und Fscan im Zusammenhang mit IIS-Hijacking sollte aufmerksam beobachtet werden.

 

WEBJACK verwendet legitime Sicherheitssoftware wie CnCrypt Protect und XlAnyLoader zur Persistenz und Verschleierung nach einer Kompromittierung.

 

Die SEO-Manipulation bewirkt, dass die infizierten Seiten im Ranking der Suchmaschinen unter einer legitimen Domain erscheinen und so eine große Anzahl Klicks abfangen. Diese Klicks werden dann auf Glücksspielseiten und ähnliche Angebote umgeleitet.