Sideloading-Angriffe
Eine Malware-App reicht zum Ruin
Foto: Tartila - shutterstock.com
Die Security-Spezialisten von Mimecast haben eine neue Malware-Kampagne analysiert, die per Sideloading verbreitet wurde. Sie zielte auf die App-Installer-Funktion im Microsoft Store ab, mit der Nutzer Windows-10-Apps von einer Webseite aus installieren können. Die Malware-Kampagne ist ein Paradebeispiel für die Bedrohung durch Angriffe dieser Art. In diesem Artikel lesen Sie alles, was Sie über Sideloading-Attacken wissen müssen.
Sideloading - was ist das?
"Sideloading beschreibt die Installation einer Anwendung auf einem Gerät, also etwa einem Smartphone oder Computer", erklärt Matthew Gracey McMinn, Head of Threat Research bei Netacea. "Der entscheidende Unterschied zwischen Sideloading und einer normalen Installation besteht darin, dass die Applikation beim Sideloading nicht vom Entwickler des Betriebssystems genehmigt wurde."
Ein Angreifer muss sein Opfer lediglich davon überzeugen, die betreffende Anwendung wäre legitim und vertrauenswürdig. "Typischerweise werden diese Anwendungen nach einer Social-Engineering-Attacke per Phishing-E-Mail verteilt oder über Popup-Ads heruntergeladen. Auch vermeintlich 'kostenlose' oder 'gecrackte' Software kann bösartigen Code enthalten", weiß George Glass, Head of Threat Intelligence bei Redscan.
Ein Beispiel für einen Sideloading-Angriff, der kürzlich in freier Wildbahn beobachtet wurde, ist WizardUpdate, das sich als legitime Anwendung tarnt: "Ursprünglich war die Anwendung ein Aufklärungs-Tool, das nur dazu diente, Systeminformationen zu sammeln und diese an einen Command-and-Control-Server weiterzuleiten", erläutert Glass. "Inzwischen hat sich diese Anwendung jedoch so weiterentwickelt, dass sie die Funktion hat, den macOS Gatekeeper-Schutz zu umgehen, andere Programme wie Adware und Malware aus der Anwendung heraus zu laden und Systemeinstellungen zu ändern."
Natürlich hätten viele Unternehmen legitime, maßgeschneiderte Anwendungen, die sie für ihre Geschäftsprozesse benötigen und die nicht über offiziellen App Stores erhältlich sind - "So ist Sideloading ein notwendiger Teil ihres Ökosystems," betont Gracey McMinn.
Sideloading-Angriff - die Folgen
Der potenzielle Schaden, der durch einen Sideloading-Angriff verursacht werden kann, ist erheblich. "Sideloading-Angriffe stellen ein ähnliches Risiko dar wie Malware, die per E-Mail übertragen wird", warnt Glass. Mit dem Unterschied, dass die ursprüngliche Infektionsmethode möglicherweise weniger Sicherheitskontrollen unterliegt als eine E-Mail, die das Ziel erreichen muss.
Die Malware, die Angreifer bei einem Sideloading-Angriff verbreiten können, reicht von einfachen Keyloggern oder Ransomware bis hin zu Schadcode, der Daten löscht und Geräte funktionsunfähig macht: "Clevere Cyberkriminelle versuchen, Malware mit etwas zu bündeln, das vermeintlich nützlich ist - wie ein kostenloser PDF-Konverter für Word-Dokumente. Der Benutzer installiert das Tool, während die Malware im Hintergrund läuft und eine Hintertür öffnet, die dem Angreifer Zugang und Kontrolle über das Gerät verschafft", erklärt Gracey McMinn.
Einige Angreifer beschränken sich dabei darauf, solche Zugangspunkte in Unternehmen zu schaffen, um sie dann an andere Kriminelle weiterzuverkaufen: "Cyberkriminelle, die über eine Hintertür zum Netzwerk verfügen, können dies als Ausgangspunkt nutzen, um weitere Endgeräte zu kompromittieren. Sie bewegen sich im Netzwerk von Computer zu Computer und von Server zu Server, bis sie genügend Zugangs- und Kontrollmöglichkeiten haben, um einen Angriff zu starten", so Gracey McMinn.
So kann eine einfache, bösartige Anwendung auf einem Computer dazu führen, dass kritische Server und weite Teile des Unternehmens von einem groß angelegten Ransomware-Angriff betroffen sind, der das gesamte Unternehmen inklusive seiner Kerngeschäftsfunktionen lahmlegt. "Das Problem bei Sideloading-Angriffen ist, dass es wirklich keine Grenzen für die Art von Malware gibt, die ein Angreifer installieren kann", weiß Cybersecurity-Analyst Topher Tebow von Acronis.
Sideloading-Attacken verhindern - Tipps
Die Aussicht darauf, den Zugriff auf kritische Services, Datenbanken, digitale Prozesse und IT-Ressourcen zu verlieren, bereiten jedem Sicherheitsverantwortlichen schlaflose Nächte. Doch es gibt einige Maßnahmen, die CSOs treffen können, um Sideloading-Attacken zu verhindern: "Technische Kontrollen können die Möglichkeiten der Benutzer zur Installation von Anwendungen einschränken - sind aber nicht immer optimal im Sinne der Geschäftsanforderungen. An dieser Stelle kommt Security Awareness Training ins Spiel", sagt Gracey McMinn.
Glass rät Sicherheitsverantwortlichen, in Erwägung zu ziehen, die Benutzerrechte über die Windows-Gruppenrichtlinien einzuschränken. So lasse sich verhindern, dass Nicht-Systemadministratoren potenziell unerwünschte Programme auf Unternehmensgeräte herunterladen und installieren: "Stellen Sie sicher, dass Software nur direkt von der Anbieter-Website oder dem App-Store heruntergeladen und installiert wird und nicht von den Webseiten Dritter."
Neben E-Mail-Scanning und der Verwendung von Cybersicherheitssoftware sei eine Backup-Lösung essenziell, um Daten im Falle eines Verlustes wiederherstellen zu können, fügt Tebow hinzu. "Eine Zero-Trust-Richtlinie sollte ebenfalls vorhanden sein. So verhindern Sie, dass Software von nicht autorisierten Stellen installiert wird und beschränken den Benutzerzugriff auf die Netzwerkressourcen, die der jeweilige Mitarbeiter benötigt." (fm)
- Vorbeugung von Datenverlust und Betrug
Sicherstellen, dass Mitarbeiter keine Daten versehentlich, fahrlässig oder vorsätzlich missbrauchen oder stehlen. - Security Operations
Unmittelbare Bedrohungen in Echtzeit analysieren und im Ernstfall sofortige Gegenmaßnahmen koordinieren. - Cyber-Risiko und Intelligence
Stets informiert bleiben über aufkommende Sicherheitsbedrohungen. Den Vorstand dabei unterstützen, mögliche Sicherheitsrisiken aufgrund von Akquisitionen oder anderen Geschäftsentscheidungen zu verstehen. - Security-Architektur
Security-Hard- und Software planen, einkaufen und in Betrieb nehmen. Sicherstellen, dass IT und Netzwerk anhand der geeignetsten Security Best Practices modelliert sind. - Identitäts- und Zugriffsmanagement (IAM)
Sicherstellen, dass nur berechtigtes Personal Zugriff auf sensible, geschützte Daten und Systeme hat. - Programm-Management
Aufkommende Sicherheitsanforderungen erfüllen, indem Programme und Projekte eingeführt werden, die Risiken beseitigen. Darunter fallen beispielsweise regelmäßige System-Patches. - Fehlersuche und Forensik
Herausfinden, was bei einem Datenleck schiefgelaufen ist, die Verantwortlichen zur Rechenschaft ziehen, wenn sie aus dem eigenen Unternehmen stammen, und Pläne entwickeln, um ähnliche Krisen in Zukunft zu verhindern. - Governance
Sicherstellen, dass alle zuvor genannten Initiativen fehlerlos laufen, ausreichend finanziert sind und die Unternehmensführung versteht, wie wichtig sie sind.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.