CSO
Alternatives Drucklayout:
› reiner Text
Link: https://www.csoonline.com/de/a/eine-malware-app-reicht-zum-ruin,3671974

Sideloading-Angriffe

Eine Malware-App reicht zum Ruin

Datum:08.12.2021
Autor(en):Michael Hill
Eine neue Sideloading-Malware-Kampagne nimmt Windows-Systeme ins Visier und ist für Benutzer besonders schwer zu erkennen.

Kommt Malware per Sideloading auf Firmengeräte, können die Folgen verheerend sein.
Foto: Tartila - shutterstock.com

Die Security-Spezialisten von Mimecast haben eine neue Malware-Kampagne analysiert1, die per Sideloading verbreitet wurde. Sie zielte auf die App-Installer-Funktion im Microsoft Store ab, mit der Nutzer Windows-10-Apps von einer Webseite aus installieren können. Die Malware-Kampagne ist ein Paradebeispiel für die Bedrohung durch Angriffe dieser Art. In diesem Artikel lesen Sie alles, was Sie über Sideloading-Attacken wissen müssen.

Sideloading - was ist das?

"Sideloading2 beschreibt die Installation einer Anwendung auf einem Gerät, also etwa einem Smartphone oder Computer", erklärt Matthew Gracey McMinn, Head of Threat Research bei Netacea. "Der entscheidende Unterschied zwischen Sideloading und einer normalen Installation besteht darin, dass die Applikation beim Sideloading nicht vom Entwickler des Betriebssystems genehmigt wurde."

Ein Angreifer muss sein Opfer lediglich davon überzeugen, die betreffende Anwendung wäre legitim und vertrauenswürdig. "Typischerweise werden diese Anwendungen nach einer Social-Engineering-Attacke3 per Phishing-E-Mail verteilt oder über Popup-Ads heruntergeladen. Auch vermeintlich 'kostenlose' oder 'gecrackte' Software kann bösartigen Code enthalten", weiß George Glass, Head of Threat Intelligence bei Redscan.

Ein Beispiel für einen Sideloading-Angriff, der kürzlich in freier Wildbahn beobachtet wurde, ist WizardUpdate4, das sich als legitime Anwendung tarnt: "Ursprünglich war die Anwendung ein Aufklärungs-Tool, das nur dazu diente, Systeminformationen zu sammeln und diese an einen Command-and-Control-Server weiterzuleiten", erläutert Glass. "Inzwischen hat sich diese Anwendung jedoch so weiterentwickelt, dass sie die Funktion hat, den macOS Gatekeeper-Schutz zu umgehen, andere Programme wie Adware und Malware aus der Anwendung heraus zu laden und Systemeinstellungen zu ändern."

Natürlich hätten viele Unternehmen legitime, maßgeschneiderte Anwendungen, die sie für ihre Geschäftsprozesse benötigen und die nicht über offiziellen App Stores erhältlich sind - "So ist Sideloading ein notwendiger Teil ihres Ökosystems," betont Gracey McMinn.

Sideloading-Angriff - die Folgen

Der potenzielle Schaden, der durch einen Sideloading-Angriff verursacht werden kann, ist erheblich. "Sideloading-Angriffe stellen ein ähnliches Risiko dar wie Malware, die per E-Mail übertragen wird", warnt Glass. Mit dem Unterschied, dass die ursprüngliche Infektionsmethode möglicherweise weniger Sicherheitskontrollen unterliegt als eine E-Mail, die das Ziel erreichen muss.

Die Malware, die Angreifer bei einem Sideloading-Angriff verbreiten können, reicht von einfachen Keyloggern oder Ransomware5 bis hin zu Schadcode, der Daten löscht und Geräte funktionsunfähig macht: "Clevere Cyberkriminelle versuchen, Malware mit etwas zu bündeln, das vermeintlich nützlich ist - wie ein kostenloser PDF-Konverter für Word-Dokumente. Der Benutzer installiert das Tool, während die Malware im Hintergrund läuft und eine Hintertür öffnet, die dem Angreifer Zugang und Kontrolle über das Gerät verschafft", erklärt Gracey McMinn.

Einige Angreifer beschränken sich dabei darauf, solche Zugangspunkte in Unternehmen zu schaffen, um sie dann an andere Kriminelle weiterzuverkaufen: "Cyberkriminelle, die über eine Hintertür zum Netzwerk verfügen, können dies als Ausgangspunkt nutzen, um weitere Endgeräte zu kompromittieren. Sie bewegen sich im Netzwerk von Computer zu Computer und von Server zu Server, bis sie genügend Zugangs- und Kontrollmöglichkeiten haben, um einen Angriff zu starten", so Gracey McMinn.

So kann eine einfache, bösartige Anwendung auf einem Computer dazu führen, dass kritische Server und weite Teile des Unternehmens von einem groß angelegten Ransomware-Angriff6 betroffen sind, der das gesamte Unternehmen inklusive seiner Kerngeschäftsfunktionen lahmlegt. "Das Problem bei Sideloading-Angriffen ist, dass es wirklich keine Grenzen für die Art von Malware gibt, die ein Angreifer installieren kann", weiß Cybersecurity-Analyst Topher Tebow von Acronis.

Sideloading-Attacken verhindern - Tipps

Die Aussicht darauf, den Zugriff auf kritische Services, Datenbanken, digitale Prozesse und IT-Ressourcen zu verlieren, bereiten jedem Sicherheitsverantwortlichen schlaflose Nächte. Doch es gibt einige Maßnahmen, die CSOs treffen können, um Sideloading-Attacken zu verhindern: "Technische Kontrollen können die Möglichkeiten der Benutzer zur Installation von Anwendungen einschränken - sind aber nicht immer optimal im Sinne der Geschäftsanforderungen. An dieser Stelle kommt Security Awareness Training7 ins Spiel", sagt Gracey McMinn.

Glass rät Sicherheitsverantwortlichen, in Erwägung zu ziehen, die Benutzerrechte über die Windows-Gruppenrichtlinien einzuschränken. So lasse sich verhindern, dass Nicht-Systemadministratoren potenziell unerwünschte Programme auf Unternehmensgeräte herunterladen und installieren: "Stellen Sie sicher, dass Software nur direkt von der Anbieter-Website oder dem App-Store heruntergeladen und installiert wird und nicht von den Webseiten Dritter."

Neben E-Mail-Scanning und der Verwendung von Cybersicherheitssoftware sei eine Backup-Lösung essenziell, um Daten im Falle eines Verlustes wiederherstellen zu können, fügt Tebow hinzu. "Eine Zero-Trust-Richtlinie8 sollte ebenfalls vorhanden sein. So verhindern Sie, dass Software von nicht autorisierten Stellen installiert wird und beschränken den Benutzerzugriff auf die Netzwerkressourcen, die der jeweilige Mitarbeiter benötigt." (fm)

[Hinweis auf Bildergalerie: Aufgaben eines CISO ] gal1

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.9

Links im Artikel:

1 https://www.mimecast.com/blog/how-antispam-software-and-ransomware-protection-are-connected/
2 https://en.wikipedia.org/wiki/Sideloading
3 https://www.csoonline.com/de/a/3671904
4 https://www.bleepingcomputer.com/news/security/microsoft-wizardupdate-mac-malware-adds-new-evasion-tactics/
5 https://www.csoonline.com/de/a/3671912
6 https://www.csoonline.com/de/a/3671954
7 https://www.computerwoche.de/a/social-engineering-angriffe-erkennen-und-verhindern,3546002
8 https://www.csoonline.com/de/a/3671966
9 http://www.csoonline.com/article/3642989/sideloading-attacks-explained-and-why-you-should-train-users-to-spot-them.html

Bildergalerien im Artikel:

gal1 Aufgaben eines CISO
Vorbeugung von Datenverlust und Betrug
Sicherstellen, dass Mitarbeiter keine Daten versehentlich, fahrlässig oder vorsätzlich missbrauchen oder stehlen.
Foto: Lightspring - shutterstock.com
Security Operations
Unmittelbare Bedrohungen in Echtzeit analysieren und im Ernstfall sofortige Gegenmaßnahmen koordinieren.
Foto: Gorodenkoff - shutterstock.com
Cyber-Risiko und Intelligence
Stets informiert bleiben über aufkommende Sicherheitsbedrohungen. Den Vorstand dabei unterstützen, mögliche Sicherheitsrisiken aufgrund von Akquisitionen oder anderen Geschäftsentscheidungen zu verstehen.
Foto: Sergey Tarasov - shutterstock.com
Security-Architektur
Security-Hard- und Software planen, einkaufen und in Betrieb nehmen. Sicherstellen, dass IT und Netzwerk anhand der geeignetsten Security Best Practices modelliert sind.
Foto: Gorodenkoff - shutterstock.com
Identitäts- und Zugriffsmanagement (IAM)
Sicherstellen, dass nur berechtigtes Personal Zugriff auf sensible, geschützte Daten und Systeme hat.
Foto: Black Salmon - shutterstock.com
Programm-Management
Aufkommende Sicherheitsanforderungen erfüllen, indem Programme und Projekte eingeführt werden, die Risiken beseitigen. Darunter fallen beispielsweise regelmäßige System-Patches.
Foto: FERNANDO BLANCO CALZADA - shutterstock.com
Fehlersuche und Forensik
Herausfinden, was bei einem Datenleck schiefgelaufen ist, die Verantwortlichen zur Rechenschaft ziehen, wenn sie aus dem eigenen Unternehmen stammen, und Pläne entwickeln, um ähnliche Krisen in Zukunft zu verhindern.
Foto: Prath - shutterstock.com
Governance
Sicherstellen, dass alle zuvor genannten Initiativen fehlerlos laufen, ausreichend finanziert sind und die Unternehmensführung versteht, wie wichtig sie sind.
Foto: Alfa Photo - shutterstock.com

IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.