Compliance und Risiko
Infektionstechniken im Bereich Supply Chains
Angriffe auf die Supply Chain – vor allem auf deren Codebasis – nehmen besorgniserregend zu. Wir zeigen anhand einer Fallstudie die Kombination von Techniken wie Exec-Schmuggel und die Nutzung von Plattformen wie GitHub und Repositories auf.
Save to Folio
In dem Maße, wie sich die Technologie weiterentwickelt und die Vernetzung zunimmt, verändern sich auch die Techniken der Bedrohungsakteure. Einer der besorgniserregendsten Trends der letzten Jahre ist die Zunahme von Angriffen auf die Supply Chain - vor allem solche, die die Codebasis kompromittieren. Einem Bericht der European Union Agency for Cybersecurity ENSA) zufolge waren 39% bis 62% der Organisationen von einem Third-Party-Cybervorfall betroffen. Nur 40% der befragten Unternehmen erklärten, ihre Third Party- und Vertraulichkeitsrisiken verstanden zu haben. Alarmierend ist, dass 38 % der Unternehmen angaben, nicht wissen zu können, wann (oder ob) ein Cyberproblem von einer Komponente eines Drittanbieters ausgeht. Zu den jüngsten, viel beachteten Cyber-Angriffen auf Supply Chains gehören Apache Log4j, SolarWinds Orion und die 3CXDesktopApp von 3CX, die alle deutlich machen, wie kostspielig Angriffe auf Supply Chains sein können.
In der modernen Softwareentwicklung bauen die Entwickler auf Komponenten von Drittanbietern, um die Entwicklungsprozesse zu optimieren und kostengünstige, effiziente und funktionsreiche Anwendungen zu erstellen. Was passiert jedoch, wenn eine dieser vertrauenswürdigen Komponenten kompromittiert wird?
Angreifer können indirekt in Systeme eindringen, indem sie weniger sichere Elemente der Supply Chain eines Unternehmens ins Visier nehmen, beispielsweise Drittanbieter oder Software-Repositories. Auf diese Weise lassen sich sogar vertrauenswürdige Komponenten kompromittieren, sodass sich die Eindringlinge in größeren, sichereren Umgebungen festsetzen. Bösartiger Code wird häufig in scheinbar legitime Software-Repositories eingebettet. Wenn Entwickler diese Komponenten integrieren und sie für echt halten, führen sie unwissentlich Schwachstellen und andere Cybersicherheitsrisiken in ihre Kernsysteme ein.
Wir haben uns mit den ausgeklügelten Methoden von Bedrohungsakteuren, um bösartige Payloads in scheinbar legitime Anwendungen und Codebasen einzuschleusen, befasst.
Technische Analyse
Wir haben Fallstudien analysiert, in denen Bedrohungsakteure legitime GitHub-Repositories geklont haben (z. B. Binance-Trading-Bot, Crypto-Clipper, Telegram-mass-dm, usdt-sweeper, Discord-Boost und andere in Python 3), sie dann trojanisierten und mit bösartigem Code infizierten, indem sie ihre Repository-Beschreibungsabschnitte strategisch mit Schlüsselwörtern füllten, um ihre Sichtbarkeit bei GitHub-Suchen zu maximieren. Über diese Analyse erhalten wir einen Einblick in den Infektionsprozess und die Techniken, die die Kriminellen zur Infektion von Drittanbieterkomponenten verwenden.
In der ersten Phase der Infektion kommt eine neue Technik namens exec smuggling zum Einsatz. Dabei wird eine Payload nach einer langen Sequenz von Leerzeichen platziert, um bösartige Inhalte vom Bildschirm zu verdrängen. Mit dieser Technik wird die nächste Stufe der Infektionsroutine über einen bösartigen Request-Aufruf gestartet. Eine dritte Stufe dann umfasst eine modifizierte Version eines Open Source Information Stealers, BlackCap-Grabber. Dieser kann Browser Passwörter, Cookies und die History extrahieren, Systeminformationen auslesen, Login-Infos von Apps und verschiedene Tools stellen, den TokenProtector umgehen und mehr. Die Hauptfunktion von BlackCap-Grabber besteht darin, das Windows-Clipboard zu kapern, um Kryptowährungsadressen zu ändern, sensible Informationen von einem infizierten System abzurufen und sie in verschiedenen Browsern in einer Datei zur Exfiltration zu speichern.
Der Originalbeitrag beinhaltet die Einzelheiten zu den Schritten der exec-Schmuggeltechnik, zur bösartigen Exodus Desktop Wallet-Anwendung und den weiteren eingesetzten Tools sowie den kompromittierten GitHub-Repositories.
Diese Tools haben sich auf Plattformen wie GitHub, Discord und Telegram stark verbreitet - wobei viele Nutzer die Tools einfach manuell teilen. Viele sind sich der Herkunft der Tools nicht bewusst, was besorgniserregend ist, da Software idealerweise nur verwendet werden sollte, wenn die Nutzer die Integrität der Codebasen, mit denen sie interagieren, bestätigen können.
Wir fanden außerdem heraus, dass einige Nutzer dieses Tool auch auf Telegram verkauft haben. Dieses veränderte Tool hat seitdem verschiedene Formen innerhalb des GitHub-Repositorys angenommen und sich auch über Plattformen wie Telegram und Discord verbreitet.
Werbung für mit exec smuggling infizierte Tools in deutschen kriminellen Märkten
Wir entdeckten weitere infizierte Tools, die die Technik des Exec-Schmuggels nutzen. Sie wurden in deutschen Kriminalitätsforen beworben, wobei die Werbung in deutscher Sprache von einem einzigen Benutzer verfasst wurde.
Der Nutzer warb in der Betrugsrubrik eines beliebten deutschen Kriminalitätsforums damit, mit einem Kryptowährungs-Bot Geld zu verdienen, um russische Nutzer um ihre Kryptowährungs-Assets zu „bringen“. Auf diese Weise appellierte der Nutzer an deutschsprachige Nutzer, die antirussische Sympathien hegen.
Schutz vor Supply Chain-Angriffen
Das Enduring Security Framework (ESF) Software Supply Chain Working Panel, eine Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor, hat Best Practices und Grundsätze für die Industrie erarbeitet, die Anbieter, Entwickler und Verbraucher für ihre eigene Sicherheit und den Schutz vor Angriffen auf die Supply Chain nutzen können. Sie sind in verschiedene Verantwortungsbereiche unterteilt, die sich auf alle an der Supply Chain beteiligten Parteien beziehen, da jede von ihnen eine wichtige Rolle bei der Gewährleistung der Sicherheit der Supply Chain spielt. Unternehmen wird dringend empfohlen, ein solides Programm für das Risikomanagement in der Supply Chain (SCRM) einzuführen.
Empfehlungen für Software-Anbieter
Das Enduring Security Framework (ESF) enthält Leitlinien für dringend zu empfehlende Best Practices. Das Dokument bietet Anleitungen zu Industriestandards, die dabei helfen sollen:
- als Bindeglied zwischen Entwickler und Verbraucher zu fungieren,
- die Integrität und Sicherheit von Software durch Verträge sicherzustellen,
- mit Software-Releases und -Updates umzugehen und
- Verantwortung für die Meldung und Behebung von Sicherheitslücken zu übernehmen.
Um die Risiken einer Kompromittierung der Supply Chain zu mindern, wird den Anbietern außerdem empfohlen, ein umfassendes SCRM-Programm zu entwickeln. Eine Vorlage dient als Basis für die Implementierung eines anbieterspezifischen SCRM-Programms.
Empfehlungen für Entwickler
Das Dokument richtet sich mit Best Practices an Entwickler.
- Planen von Sicherheitsanforderungen
- Design von sicherer Software
- Implementierung von Sicherheitsfunktionalität
- Erhalten der Sicherheit der Software und der darunter liegenden Infrastruktur
Empfehlungen für Organisationen
Das Doument richtet sich mit Best Practices an an Anwenderorganisationen. Kleine und mittlere Unternehmen können zudem dieses Handbuch der Cybersecurity and Infrastructure Security Agency (CISA) nutzen, um Supply Chains zu sichern.
Weitere Empfehlungen
Und nun noch weitere sinnvolle Ratschläge:
- Bevor Sie ein Open-Source-Tool oder eine Bibliothek integrieren, sollten Sie sich über den Ruf des Tools informieren. Achten Sie auf Bewertungen, Erfahrungsberichte und bekannte Sicherheitsprobleme. Informieren Sie sich über die Risiken, die mit der Verwendung von Frameworks Dritter verbunden sind.
- Überprüfen Sie immer den Code, den Sie ausführen wollen, insbesondere wenn er aus einer nicht vertrauenswürdigen Quelle stammt. Achten Sie auf verdächtige Funktionsaufrufe und deren Abfolge, sowie auf die Erstellung von Prozessen mit Methoden wie subprocess.popen.
- Stellen Sie sicher, dass das Projekt von vertrauenswürdigen Personen oder Organisationen betreut wird. Bei einem bekannten und aktiven Betreuer ist die Wahrscheinlichkeit geringer, dass ihm bösartiger Code unterläuft.
- Überwachen Sie die von Ihren Anwendungen ausgehenden Netzwerkanfragen. Unerwartete Anfragen an unbekannte Domänen können ein Warnsignal sein.
- Moderne Sicherheitslösungen können bösartiges Verhalten erkennen und den bösartigen Payload vom Herunterladen oder Ausführen abhalten.
- Führen Sie Skripte nach Möglichkeit in Umgebungen aus, in denen diese keinen vollständigen Zugriff auf das System oder das Netzwerk haben.
- Tools wie Snyk oder Guarddog können die Abhängigkeiten Ihres Projekts automatisch auf bekannte Schwachstellen und potenzielle bösartige Aktivitäten überprüfen.
- Führen Sie Open-Source-Anwendungen mit den geringsten erforderlichen Berechtigungen aus. Auf diese Weise sind die potenziellen Auswirkungen von bösartigem Code begrenzt.
- Verwenden Sie virtuelle Umgebungen oder Container, um die Open-Source-Anwendung zu isolieren und gegebenenfalls Komponenten von Ihrem Hauptsystem zu trennen. Auf diese Weise können Sie verhindern, dass potenzielle bösartige Aktivitäten Ihre Hauptumgebung beeinträchtigen.
- Treten Sie Foren oder Mailinglisten bei, die mit dem von Ihnen verwendeten Open-Source-Projekt in Verbindung stehen. In aktiven Gemeinschaften werden häufig Schwachstellen und Best Practices diskutiert.
- Führen Sie stets Backups Ihrer kritischen Daten und Konfigurationen durch. Wenn etwas aufgrund einer bösartigen Komponente schief geht, können Sie den sicheren Zustand wiederherstellen.
Fazit
Angesichts der Unsichtbarkeit, der Schlagkraft und des Risikos von Angriffen auf die Supply Chain liegt es auf der Hand, dass Unternehmen umfassenden Sicherheitsmaßnahmen Vorrang einräumen müssen, einschließlich strenger Bewertungen aller Komponenten von Drittanbietern und einer kontinuierlichen Überwachung der integrierten Systeme.
Zum Schutz vor verschiedenen Bedrohungen der Supply Chain empfehlen wir Trend Vision One™, mit dem Sicherheitsteams kontinuierlich die Angriffsfläche identifizieren können, einschließlich bekannter, unbekannter, verwalteter und nicht verwalteter Cyber-Assets.
Wenn Sie sich über Eindringlinge, Verhaltensweisen und Routinen nicht sicher sind, gehen Sie sofort von einer Gefährdung oder einem Verstoß aus, um die betroffenen Artefakte oder Toolketten zu isolieren. Mit einer breiteren Perspektive und einer schnellen Reaktion kann ein Unternehmen diese Probleme angehen und den Rest seiner Systeme schützen. Unternehmen sollten eine moderne, mehrschichtige Verteidigungsstrategie und umfassende Sicherheitslösungen wie Trend Micro™ XDR in Betracht ziehen, die bösartige Inhalte in der modernen Bedrohungslandschaft erkennen, scannen und blockieren können.