CCleaner-Hack zeigt, wie wichtig es ist, die eigene Umgebung zu kennen

Piriform, Hersteller von CCleaner, einer beliebten PC-Reinigungsanwendung, gab am Montag eine Sicherheitsmeldung heraus, in der bekannt gegeben wurde, dass mehrere Versionen der Software mit bösartigem Code infiziert worden waren. Obwohl Piriform und die Muttergesellschaft Avast Software ursprünglich glaubten, den Angriff stoppen zu können, bevor er Schaden anrichten konnte, haben Avast-Forscher inzwischen herausgefunden, dass die Malware gezielt auf große Technologie- und Telekommunikationsunternehmen abzielte und eine ausgeklügelte Nutzlast der zweiten Stufe lieferte. Berichten zufolge wurden unter anderem Cisco, Microsoft, Gmail, VMware, Akamai, Sony und Samsung angegriffen. Der Ursprung und das Ausmaß des Angriffs sind derzeit nicht bekannt, aber Avast schätzt die Anzahl der betroffenen Systeme "wahrscheinlich auf mindestens mehrere Hundert".

Nach Ausbrüchen von Malware haben IT-Teams die Möglichkeit zu prüfen, ob die ihnen zur Verfügung stehenden Tools einen ausreichenden Einblick in ihre Umgebung bieten. Ein besserer Einblick ist eine Möglichkeit für die IT-Abteilung, Bedrohungen schnell zu neutralisieren, indem sie die Ursache des Problems ausfindig macht, d. h. in diesem Fall, ob Anwender eine kompromittierte Version von CCleaner installiert hat.

Die moderne Anwender ist äußerst einfallsreich. Wenn ihre Bedürfnisse durch die von der IT-Abteilung bereitgestellte Software nicht erfüllt werden, zögern die meisten nicht, Anwendungen (insbesondere kostenlose) herunterzuladen, um die Lücken in ihrem Softwareportfolio zu schließen.

Selbst Anwender , das bei der Auswahl und Installation neuer Anwendungen gute Sicherheitspraktiken anwendet, könnte für den CCleaner-Angriff anfällig gewesen sein. Laut der Website von Piriformwurde CCleaner mehr als 2 Milliarden Mal heruntergeladen und über 5 Millionen Mal pro Woche auf dem Desktop installiert. Obwohl es sich um eine bekannte und weithin vertrauenswürdige Anwendung handelt, war CCleaner dennoch ein offenes Ziel.

Ganz zu schweigen davon, dass sich der Vorfall vor den Augen des Cybersicherheitsunternehmens Avast Software ereignete, das Piriform im Juli übernommen hatte. Avast stellte am Dienstag klar, dass sie "stark vermuten", dass Piriform vor der Übernahme durch Avast kompromittiert wurde.

Die Version von CCleaner, die die Malware enthielt, wurde am¹⁵. August veröffentlicht und erst vier Wochen später von Morphisec, einem anderen Cybersicherheitsunternehmen, entdeckt. Avast schätzt, dass 2,27 Millionen Anwender von dem Angriff betroffen waren, wobei 730.000 Anwender die betroffene Version noch ausführen.

Der vertrauenswürdige Ruf von CCleaner und seine große Reichweite machten es wahrscheinlich zu einem attraktiven Ziel für Hacker. Cisco Talos, das Cybersicherheitsteam von Cisco, das den CCleaner-Angriff verfolgte, stellte in einem Blog-Beitrag fest, dass "die legitime, signierte Version von CCleaner 5.33, die von Avast verteilt wurde, eine Zeit lang auch eine mehrstufige Malware-Nutzlast enthielt, die sich über die Installation von CCleaner legte". Diese Art der Infiltration ist als Supply-Chain-Angriff bekannt, den Talos als "eine sehr effektive Methode zur Verbreitung von Schadsoftware in Zielunternehmen" beschreibt.

Wie berichtet von Wiredberichtet, sind Hackerangriffe auf die Lieferkette zunehmend zu einem Problem geworden, wobei in den letzten Monaten zwei ähnliche Angriffe stattfanden.

Wie sollte die IT-Abteilung gegen CCleaner oder andere Angriffe auf die Lieferkette vorgehen?

Vor kurzem haben wir erörtert, wie die IT-Abteilung intelligente Analysetools einsetzen kann, um Anwender vor WannaCry-Ransomware zu schützen und Anwender mit nicht unterstützter Hardware zu identifizieren. Die Verwendung von Datenerfassungs- und Analysetools ist bei weitem der schnellste und genaueste Weg, um zu verstehen, welche Hardware und Software in Ihrer Umgebung vorhanden ist.

Lakeside's Lösung für die Arbeitsplatzanalyse, SysTrackvereinfacht die Datenermittlung und ist ein ideales Werkzeug, um festzustellen, ob eine bestimmte Anwendung auf einem Ihrer Systeme Anwender' heruntergeladen wurde.

Zur Veranschaulichung (in unserer Demo-Umgebung hat niemand CCleaner installiert) habe ich unter SysTrack nach Paint.NET gesucht, einer weiteren beliebten kostenlosen Anwendung.

SysTrack identifizierte vier Systeme mit installiertem Paint.NET. Durch eine genauere Analyse konnte ich feststellen, auf welchem Anwender die Anwendung installiert war und wie lange sie zuletzt verwendet wurde.

Diese Ansicht zeigt mir auch, dass es drei verschiedene Versionen der Software in meiner Umgebung gibt. Indem ich die Versionen aufdränge, kann ich die genauen Versionsnummern sehen, die meine Anwender installiert haben.

Im Falle einer kompromittierten Anwendung wie CCleaner kann die IT-Abteilung unter SysTrack nach Software und Versionen suchen, die von Interesse sind, um schnell festzustellen, ob eines ihrer Systeme gefährdet ist. SysTrack ermöglicht es der IT-Abteilung auch, das Verhalten der Anwendung zu beobachten, was bei der Verfolgung verdächtiger Aktivitäten hilfreich sein kann.

Eine zweite Möglichkeit, den potenziellen Schaden eines Malware-Angriffs zu verringern, besteht darin, einzuschränken, welche Anwender über lokale Administratorrechte auf ihren Rechnern verfügen. Ohne Admin-Rechte ist Anwender gar nicht in der Lage, Anwendungen selbst bereitzustellen.

Es ist unvermeidlich, dass Ausnahmen bei der Vergabe von lokalen Administratorrechten gemacht werden. Anstatt auf jede Anfrage eines Benutzers zur Installation einer neuen Anwendung zu reagieren, kann die IT-Abteilung die Privilegien je nach den organisatorischen Praktiken erweitern. Dies ist zwar nicht per se eine schlechte Praxis, aber es ist nützlich, den Überblick darüber zu behalten, welche Anwender über lokale Administratorrechte verfügt.

SysTrack bietet anpassbare, benutzerfreundliche Dashboards wie das untenstehende, die Berichte zu interessanten Daten liefern. In diesem Fall kann die IT-Abteilung das Dashboard anzeigen, um Anwender mit lokalen Administratorrechten zu identifizieren und gegebenenfalls einzuschränken, um unangemessene Risiken in ihrer Umgebung zu vermeiden.

Da sich Malware in der Lieferkette weiter nach oben bewegt, müssen die IT-Teams ihre Sicherheitsstrategien anpassen. Workspace-Analyselösungen, die Daten zu einer Vielzahl von Systemmerkmalen sammeln, analysieren und speichern, bieten der IT-Abteilung die nötige Transparenz, um Entscheidungen zu treffen, die sich auf die Endgeräte auswirken Anwender. Dieses Maß an Transparenz kann der IT-Abteilung helfen, schnell zu handeln, wenn Malware entdeckt wird, um potenziell betroffene Software in der Umgebung zu identifizieren und das Risiko zu mindern.

Mehr Sichtbarkeit mit Workspace Analytics für die IT

[Aktualisiert am 22.9.17, um die entdeckten Auswirkungen der Malware-Nutzlast der zweiten Stufe und die laufende Sicherheitsuntersuchung zu berücksichtigen]