Das Sicherheitsunternehmen Guardicore hat einen neuartigen Angriff auf ein mittel­ständisches Unternehmen im Medizin­technik­sektor aufgedeckt und unterbunden. Die Krypto-Miner-Attacke erfolgte über eine gut versteckte Malware, die per WAV-Audiodatei ins Firmen­netzwerk eingeschleust wurde.

Erste Hinweise auf die Sicherheitsverletzung im betroffenen Unternehmensnetz traten bereits am 14. Oktober 2019 in Form von BSOD-Fehlermeldungen (Blue Screens of Death) auf mehreren Windows-Rechnern auf. Als Hinweis auf einen Kernel-Mode-Fehler sind die blau eingefärbten Hinweise an und für sich unverdächtig, aber eine genauere Analyse durch die Visibilitätswerkzeuge der Sicherheitsplattform Guardicore Centra brachte beunruhigende Erkenntnisse. Einer der Rechner führte demnach eine lange Befehlszeile aus und änderte Daten in der Windows-Registrierungsdatenbank (Registry Key HKLMSoftwareMicrosoftWindowsCurrentVersionShell). Ein kompletter Netzwerk-Scan zeigte, dass über 800 Endpunkte ? mehr als die Hälfte des gesamten Netzwerks ? ungewöhnliche Aktivitäten zeigten.

Nach Dekodierung der Datenkommunikation spürte Guardicore Labs ein lesbares Powershell-Script auf, das die IT-Systemarchitektur durchsuchte und den oben benannten Registrierungsschlüssel auslas. Nach Speicherung über die Windows-API-Funktion „WriteProcessMemory“ wurde der Malware-Code ausgeführt. Die unbekannten Angreifer führten dabei einen vollständigen Subnet-Scan auf Port 445 durch, um die Schadsoftware unter Ausnutzung des EternalBlue-Exploits auf weiteren Hosts im infizierten Netzwerk zu installieren.

Die Sicherheitsexperten von Guardicore Labs haben drei Sicherheits-Tipps für Unternehmen im Allgemeinen und aktuell Mittelstandsunternehmen im Medizinsektor im Besonderen:

  • Log-Dateien: Zur sicheren Verwahrung von Logdateien sollten Unternehmen die Protokollierungen der Windows- und Linux-Rechner an zentrale, gehärtete Server weiterleiten. Von Microsoft gibt es dafür entsprechende Anleitungen ? auch Palantir bietet entsprechende Beispiele und Hilfsprogramme.
  • System-Crash-Dateien: Empfehlenswert ist eine Systemkonfiguration zur vollständigen Speicherung von Crash-Dump-Dateien für die weitere Analyse von Angriffen und Prozessfehlern. Microsoft bietet auch hier Unterstützung, wie diese Konfigurationseinstellungen vorzunehmen sind.
  • Finger weg! Der erste Impuls dürfte sein, die infizierten Rechnern komplett zu säubern. Für eine umfassende Beobachtung and Analyse ist indes eine Isolierung und Entschärfung der Hackeraktivitäten die bessere Wahl. In Verdachtsfällen nehmen Sie am besten Kontakt mit Sicherheitsprofis auf, bevor Sie eigene Maßnahmen ergreifen.

Autor: Peter Schmitz

(c)2020
Vogel Communications Group

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Communications Group GmbH & Co. KG. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.

Vogel Communications Group