Sicherheitsforscher legen vertrauliche Daten in Sandboxen zur Malware-Analyse offen

Sicherheitsexperten des in Großbritannien ansässigen Bedrohungsinformationsunternehmens Cyjax haben Daten untersucht, die an drei unserer bevorzugten Sandboxen für die Online-Malware-Analyse gesendet wurden, und festgestellt, dass ein Großteil der öffentlich zugänglichen Informationen potenziell sensible Dateien enthält.

Die Untersuchung wurde über drei Tage durchgeführt und umfasste drei Sandbox-Dienste, mit denen Benutzer Dateien hochladen konnten, um festzustellen, ob sie böswillig sind oder nicht.

Die Untersuchung von Cyjax konzentrierte sich speziell auf PDF-Dokumente und E-Mail-Dateien (.msg und .eml). Die Sicherheitsexperten fanden über 200 Rechnungen und Bestellungen, was nicht so seltsam ist, wenn man bedenkt, dass Unternehmen diese Art von Dokumenten häufig per E-Mail versenden.

In einem Fall schien ein Unternehmen, das ein nützliches Bereitstellungstool für Windows-Administratoren bereitstellt, alle eingegangenen Bestellungen in die Sandbox hochgeladen zu haben.

"Durch die Prüfung der Rechnungen konnten wir feststellen, wer die Software verwendet hat, sowie die Kontaktdaten der für den Kauf in jeder Organisation Verantwortlichen. Dies sind äußerst nützliche Informationen für einen Bedrohungsakteur, der eine Spear-Phishing- oder BEC-Betrugskampagne durchführt. " sagten die Cyjax-Sicherheitsanalysten.

Cyjax entdeckte auch Dutzende von Lebensläufen und Berufszertifikaten und sogar einige, die Passkopien hatten. Cyjax deckte auch öffentlich zugängliche Daten mit Versicherungszertifikaten auf, die private Daten wie Namen, Telefonnummern, E-Mail-Adressen und physische Adressen enthielten.

Eine solche Datei scheint ein US CENTCOM-Anforderungsformular für die Verwendung von Militärflugzeugen zu sein, das Namen, Kontaktdaten von Reisenden und Inhalte über die Reise enthielt.

CENTCOM und die Firma, die all diese Bestellungen hochgeladen hat, wurden informiert und haben Ermittlungen eingeleitet.

Außerdem wurden während der Sandboxen zur Untersuchung von Malware medizinische und rechtliche Dokumente entdeckt.

Die Cyjax-Forscher haben im Untersuchungszeitraum auch einen URL-Scan-Dienst analysiert und festgestellt, dass viele der übermittelten URLs auf potenziell vertrauliche Informationen verweisen, die auf beliebten Diensten wie Google Drive und dem Filesharing-Dienst WeTransfer gehostet werden.

"Die an den vorgesehenen Empfänger gesendeten Links sind absichtlich groß und kaum zu erraten. Durch die Übermittlung an den URL-Scan-Service werden sie veröffentlicht, damit jeder sie sehen und darauf zugreifen kann", sagte Cyjax.

In einem solchen Fall hat eine High School in den USA einen Google Drive-Link hochgeladen, der zu einer DOC-Datei mit den Namen und Adressen von über 200 Schülern führt. Darüber hinaus gab es Links zu Lebensläufen und Scans ihrer IDs. Die Schule wurde von Cyjax informiert, hatte aber noch keine Maßnahmen ergriffen.

"Die Menge an sensiblen Dokumenten, die in nur drei Tagen gesammelt wurden, war atemberaubend. In einem Monat würde ein Bedrohungsakteur über genügend Daten verfügen, um mehrere Branchen anzusprechen und die Identität mehrerer Opfer zu stehlen" , erklärte das Sicherheitsunternehmen. "Während die Einführung von Malware-Sandboxen eine positive Entwicklung darstellt, müssen Unternehmen besser verstehen, wie die von ihnen freigegebenen Dateien verarbeitet werden. Viele Anbieter verlangen eine Zahlung, um Dateien privat einzureichen. Dies bedeutet, dass jeder, der den kostenlosen Dienst nutzt, seine Dateien standardmäßig freigeben lässt. " Cyjax fügte hinzu.