Ein Hack kommt oft aus einer unerwarteten Quelle zu einem zufälligen Zeitpunkt. Daher müssen Sie darauf vorbereitet sein und wissen, welche Schritte zu unternehmen sind.

Ende März 2023 wurde 3CX, ein Entwickler von VoIP-Telefoniesoftware, Opfer eines Supply-Chain-Angriffs. Der offizielle Desktop-Client verteilte Malware, weil die verwendeten Bibliotheken kompromittiert waren. Infizierte Arbeitsstationen von Benutzern des 3CX VoIP-Clients waren das Ergebnis. Wie konnte dieser Hack passieren und wie konnte SecurityHive seine Kunden davor schützen, ohne zusätzliche Maßnahmen zu ergreifen?

Was ist ein Supply-Chain-Angriff?

Jede Organisation ist von anderen Parteien abhängig. Dies können Lieferanten sein, von denen Sie eine Dienstleistung oder ein Produkt kaufen, und Kunden, die Dienstleistungen oder Waren von Ihnen kaufen. Es entsteht eine Kette, in der die Parteien voneinander abhängig sind.

Wenn bei einer der Parteien in der Kette ein Problem auftritt und sie ihre Funktion nicht mehr erfüllen kann, wird die Kette unterbrochen. Der gewünschte Prozess kann nicht mehr fortgesetzt werden. Ein einfaches Beispiel hierfür ist der "Käse-Hack" im Jahr 2021. Ein Logistikunternehmen wurde gehackt und konnte seine Routen nicht mehr (effizient) befahren, was zu einem Mangel an Käse in Supermärkten führte. Der Supermarkt wurde nicht gehackt, war aber Opfer dieses Angriffs geworden.

Ähnlich erging es 3CX. Sie wurden zunächst nicht gehackt, erlebten jedoch die Konsequenzen. Bei einem Supply-Chain-Angriff kann eine Organisation verschiedene Rollen erfüllen. Sie kann das Ziel des Angriffs sein, aber auch ein Medium zur Verbreitung des Virus und zur Erreichung und zum Hacken anderer sein.

Wie äußerte sich dies bei 3CX?

Wie funktioniert 3CX?

3CX ist eine bekannte VoIP-Telefonielösung mit über 600.000 Kunden weltweit, darunter Coca-Cola, McDonald's, BMW und IKEA. Diese Lösung ermöglicht Telefonverkehr und verwaltet ihn intelligent mit einem Callcenter. Es ist wahrscheinlich, dass Sie Ihr Telefongerät verwenden, um über 3CX oder eine ähnliche Lösung andere anzurufen.

Neben einem physischen Telefongerät verfügt 3CX über eine mobile Anwendung, eine Arbeitsplatzanwendung (Windows/macOS) und eine Webanwendung für Ihren Browser.

Wie ist die Software aufgebaut?

Bei diesem Hack wurde die Desktop-Anwendung sowohl für Windows als auch für macOS infiziert. Bei der Entwicklung von Software werden häufig Open-Source-Bibliotheken verwendet. Dies sind Code-Stücke, die von Parteien und Freiwilligen wiederverwendet und gepflegt werden können. Der Vorteil davon ist, dass nicht jeder denselben Code erneut erstellen und pflegen muss, aber es ermöglicht auch Transparenz beim Aufbau von Software.

Auch 3CX verwendet mehrere Bibliotheken in seiner Software. Eine dieser Bibliotheken wurde gehackt und in die 3CX-Desktopanwendung kompiliert. Wenn diese Version heruntergeladen oder verteilt wurde, wurde die infizierte Software installiert.

Infektion

Als das infizierte Update gestartet wurde, wurde eine infizierte DLL verwendet, um Icons herunterzuladen, die auf einem GitHub-Projekt gehostet wurden. Diese Icons enthielten base64-codierte Werte. Diese Werte wurden verwendet, um die endgültige Malware herunterzuladen, die Systeminformationen und Informationen (Anmeldeinformationen) aus Browsern wie Chrome, Edge, Brave und Firefox extrahieren konnte.

Wie hat SecurityHive eine weitere Infektion verhindert?

Fluss von DNS-Anfragen

Beim Herunterladen der Malware wurde Kontakt mit verschiedenen Domainnamen hergestellt, auf denen die Malware gehostet wurde. Einige dieser Domainnamen sind: akamaicontainer[.]com, azureonlinecloud[.]com und msstorageazure[.]com. Diese Domainnamen sind so konzipiert, dass sie nicht zwischen dem anderen Datenverkehr auffallen, und versuchen, Vertrauen zu erwecken, indem sie die Namen Akamai, Azure und MS (Microsoft) verwenden.

Verhindern und Sichern von Kontakten

DNS ist eine wesentliche Komponente des Internets. Über DNS können wir uns mit Servern verbinden, ohne die IP-Adresse jedes Geräts zu merken. DNS ermöglicht es uns auch, schnell einen Server mit einer anderen IP-Adresse demselben Namen zuzuordnen.

Bei diesem Angriff wurde DNS verwendet, um Malware herunterzuladen, Vertrauen zu schaffen und neue Server hinzuzufügen, ohne den Code zu ändern.

SecurityHive hat eine Lösung namens DNS Guard. Mit dieser DNS-Sicherheitslösung wird der gesamte DNS-Verkehr überwacht und gefiltert, sowohl im Büro als auch für Mitarbeiter, die von zu Hause aus oder unterwegs arbeiten. Während dieses 3CX-Angriffs konnte DNS Guard infizierte Systeme fast sofort sichern, indem der DNS-Verkehr zu den beteiligten Domainnamen blockiert wurde. Dadurch wurde verhindert, dass die endgültige Malware heruntergeladen und eine Kommunikation mit dem Befehls- und Kontrollsystem des Angreifers stattfand.

Nachdem der Datenverkehr blockiert war, wurden alle Kunden, die ihr Umfeld regelmäßig auf Schwachstellen mit Vulnerability Management gescannt hatten, kontaktiert, wenn sie eine infizierte Version von 3CX verwendeten. Dadurch konnten sie die Ursache selbst entfernen.

Erklärung des Bedrohungs-Intelligenz-Feeds

Die DNS-Sicherheitslösung von SecurityHive umfasst verschiedene Formen des Schutzes. Neben der Blockierung von Kategorien wie Ransomware, Werbung, Tracking und Pornografie enthält sie auch einen Bedrohungs-Intelligenz-Feed.

Dieser Feed erhält Echtzeit-Updates zu Bedrohungen im Internet. Der Feed ist mit verschiedenen Quellen verknüpft und kann schnell auf neue Entwicklungen im Cyber-Bereich reagieren. Dadurch konnte SecurityHive seine Kunden sofort sichern, noch bevor ein Systemadministrator handeln konnte.

Der Einstieg in eine DNS-Sicherheitslösung ist unkompliziert und kann sogar ohne Installation erfolgen. Erfahren Sie mehr über DNS Guard und probieren Sie es aus, indem Sie unten auf den Link klicken.