Aktuelles

Aktuelle Informationen rund um Excubits und IT-Sicherheit.
Abonnieren Sie unseren Newsletter, um auf dem Laufenden zu bleiben.

Falscher Mahnbescheid - Antwortbogen

Vorsicht vor Schadcode in E-Mails mit gefälschtem Mahnbescheid des ARD ZDF Deutschlandradio Beitragsservice

2019/06/02 von F. Rienhardt

In den vergangenen Tagen versenden Cyberkriminelle E-Mails im Namen des ARD ZDF Deutschlandradio Beitragsservice (früher GEZ) mit Schadcode im Anhang. Folgend ein Screenshot einer solchen E-Mail:

Falsche Ankuendigung Zwangsvollstreckung

Die E-Mails drohen (ganzer Text hier) mit einem Mahnbescheid und der Zwangsvollstreckung. Grund für den Mahnbescheid sollen nicht bezahlte Gebührenbeiträge für den öffentlichrechtlichen Rundfunk sein. Die E-Mails werden im Namen des Beitragsservice (früher GEZ) versendet. Das ist natürlich Nonsens. Mit den Drohgebärden möchten die kriminellen Absender nur erreichen, dass Sie den Anhang öffnen. Tun Sie das bloß nicht! Das angehängte Word-Dokument (Datei: "Mahnbescheid - Antwortbogen - Aktenzeichen 4650969334.doc") enthält schädlichen Makro-Code. Makros werden ggf. automatisch gestartet, wenn Sie das Dokument mit Word öffnen. Der Makro-Code lädt weiteren Schadcode aus dem Internet nach und infiziert Ihren Computer.

So können Sie sich schützen:

  • Öffnen Sie keinesfalls den Anhang dieser oder ähnlicher E-Mails
  • Deaktivieren Sie Makros in Office
  • Benutzen Sie zusätzlich Application Whitelisting wie Türsteher
  • Aktualisieren Sie Ihren Virenscanner

Ebenfalls gut zu wissen: Der ARD ZDF Deutschlandradio Beitragsservice würde Mahnungen nicht per E-Mail mit Word-Dokument im Anhang versenden, sondern per Post. Lassen Sie sich auch nicht von der in gutem Deutsch formulierten E-Mail täuschen. Fragen Sie sich bei E-Mails mit (Ab-)Mahnungen, Zahlungsaufforderungen und anderweitig bedrohlich wirkendem Inhalt immer, ob es plausibel ist. Im Zweifel fragen Sie persönlich (telefonisch) beim Absender nach. Öffnen Sie keine Anhänge von Absendern, die Sie nicht kennen.


Neue Windows 10 Version

Unsere Schutzprogramme unter Windows 10 Version 1903

2019/05/28 von F. Rienhardt

Microsoft hat Version 1903 des Betriebssystems 10 veröffentlicht. Unsere Kunden können sich auch mit dieser neuen Version von Windows 10 vor Schadcode schützen. Unsere Kunden können unsere Produkte selbstverständlich auch nach dem Update auf Windows 10 Version 1903 ohne Einschränkungen benutzen. Wenn Sie dennoch Fragen haben, melden Sie sich bei unserem Support.


Neue Türsteher-Version veröffentlicht

Neue Optionen in Türsteher: AdminByPass und GUID-Logging

2019/03/13 von C. Lopez

Es ist soweit, wir haben die neue Version von Türsteher veröffentlicht. Türsteher unterstützt nun Admin/System-Bypass und ermöglicht GUID-Logging auf dem jeweiligen Rechner. Diese beiden neuen Funktionen bieten mehr Komfort und sind dann besonders sinnvoll, wenn Sie Ihre Türsteher-Installationen höher skalieren möchten. Das Handbuch haben wir ebenfalls angepasst und beschreiben die beiden Funktionen dort nochmals genauer.

Sie kennen Türsteher noch nicht? Kein Problem, probieren Sie unsere Schutzsoftware unverbindlich aus und laden Sie noch heute die Demo-Version von Türsteher. Sie müssen sich nicht registrieren und können Türsteher ganz unverbindlich und ohne Angabe irgendwelcher (persönlicher) Daten testen.


Neue Beta-Version von Bouncer (Türsteher)

Neue Optionen in Bouncer/Türsteher: AdminByPass and GUID-Logging

2019/02/19 von F. Rienhardt

Wir haben eine neue Beta-Version von Bouncer/Türsteher veröffentlicht. Die aktuelle Beta verfügt über zwei Optionen, die im Folgenden beschrieben werden:

1) [ADMINBYPASS]

Dieses Feature war bereits Teil einer Beta, die wir Ende Dezember veröffentlicht haben. Wir möchten sie aber trotzdem nochmals erläutern: Mit admin-bypass Option können Sie System/Admin-Prozessen erlauben, die Regeln in Türsteher zu ignorieren. Dies kann dabei helfen, die Anzahl von Regeln deutlich zu reduzieren. Häufig ist es nämlich so, dass Systemprozesse Patches und Updates ausführen und ungestört arbeiten sollten. Bisher konnte man Updates über angepasste Regeln in Türsteher erlauben oder, indem man in den Installationsmodus schaltete. Das war für manche Kunden nicht optimal, daher haben wir diese neue Option implementiert. Vertrauenswürdige Systemprozesse können damit Programme starten und werden von Türsteher nicht blockiert. Beachten Sie jedoch, dass jeder Prozess mit Systemrechten dann die Erlaubnis hat, Prozesse zu starten. Eventuell auch Prozesse von Angreifern, wenn diese entsprechende Rechte erlangt haben. Sie müssen also ein Gleichgewicht zwischen Sicherheit und Komfort finden.

2) [GUIDLOGGING]

Wenn Sie Türsteher in größerem Umfang einsetzen möchten, sollten Sie die Protokolldateien zentral sammeln. Um die einzelnen Protokolldateien zu unterscheiden, müssen Sie diese individuell kennzeichnen. Jede einzelne Windows-Installation erhält eine individuelle ID, die durch die interne GUID von Windows repräsentiert wird. Mit der GUID-Logging-Funktion von Türsteher können Sie diese ID nun zu jedem Log-Eintrag hinzufügen und damit eindeutig unterscheiden.

Wir werden Ihnen in Kürze einige Skripting-Beispiele zur Verfügung stellen, die Ihnen beim Einsatz eines Protokollierungsservers helfen, sowie Beispiele, wie Sie Protokolldateien zur weiteren Verarbeitung in eine SQL-Datenbank importieren und auswerten können.


Wie gut erkennen Sie Phishing-Mails? Testen Sie es auf spielerische Weise...

Testen Sie Ihr Wissen über Phishing

2019/01/24 von C. Lopez

Täglich fallen laut Jigsaw Millionen von Internetnutzer auf Phishing herein. Es ist nicht immer leicht, Phisihing-E-Mails von echten E-Mails zu unterscheiden. Mit dem englischsprachigen Quiz können Sie Ihr Wissen testen und typische Angriffstechniken erkennen lernen.


ADMINBYPASS-Option in Türsteher für mehr Komfort

Neues Jahr, neue Türsteher-Version als Beta

2019/01/14 von F. Rienhardt

Ein weiteres ereignisreiches Jahr liegt hinter Excubits und wir sind gespannt, was 2019 kommen wird. Neue Vorsätze und viele neue Impulse versprechen wir uns für dieses Jahr. So haben wir mit ersten Tests einer neuen Version von Türsteher begonnen und haben diese ins Beta-Camp gestellt.

Mit der neuen ADMINBYPASS-Funktion unterstützt Türsteher nun eine von Benutzers häufig gefragte Option, Türsteher für System-Prozesse deaktiviert zu lassen. Was hat es damit auf sich? Nun, wenn Windows im Hintergrund neue Updates einspielt, werden diese Updates von automatisierten Installern im Hintergrund ausgeführt. Gleiches gilt für Updates für Drittanbietersoftware wie z.B. Ihre Textverarbeitung oder Bildbearbeitung. Das strikte Regelsystem von Türsteher blockierte bisher auch Updates, denn diese stellen fremden, potenziell gefährlichen Code dar. Mit dem Installationsmodus von Türsteher kann man das für Updates leicht umgehen, dazu musste die Funktion aber aktiviert werden. Mit der ADMINBYPASS-Funktion geht das nun automatisch, ohne dass Sie etwas tun müssen.

Komfort geht immer auf Kosten der Sicherheit, das gilt auch für die ADMINBYPASS-Funktion. Wie und was ist hier gemeint? Nun, die ADMINBYPASS-Funktion erlaubt System/Admin-Prozessen Code zu starten. Wenn Sie also mit System/Admin-Rechten ein Schadprogramm starten, wird dieses auch ausgeführt. Wir empfehlen die neue ADMINBYPASS-Funktion daher nur Experten, die wissen, was sie tun. Außerdem empfehlen wir bei aktivierter ADMINBYPASS-Funktion in jedem Falle verschiedene Benutzerkonten und eine strikte Benutzerzugriffskontrolle (UAC). Kurz, im Normalbetrieb wird der Rechner nur mit normalen (eingeschränkten) Benutzerrechten verwendet und UAC bleibt möglichst auf Maximum gestellt.

Noch befindet sich diese neue Version von Türsteher im Beta-Stadium, wir sind mit den bisherigen Tests aber hochzufrieden und haben den ersten Patchday von Microsoft sehr erfolgreich mit dieser Neuen Funktion testen können. Wir freuen uns, wenn Sie die Beta-Version testen und uns Ihre Meinung wissen lassen.


OCX Objekte als versteckte Transportmittel für Shellcode

Schädliche Makros und OCX Objekte in Word

2018/12/18 von C. Lopez und F. Rienhardt

Der über sog. Dynamit-Phishing in den vergangenen Wochen verbreitete Emotet-Trojaner verwendet einige Tricks, sich geschickt vor Antivieren-Scannern zu tarnen. Die persönlich an die Empfänger adressierten und formulierten E-Mails dürften mit dafür verantwortlich sein, dass die Empfänger der E-Mails die Anhänge arglos öffneten. Dabei enthält der Anhang einer Emotet E-Mail schädliche Makros, welches einen Trojaner aus dem Internet lädt und startet. Man nennt dies Staging mit Droppern (engl. für in Stufe Bombe abwerfen), weil die Dropper sozusagen eine Schadcode-Bombe (Trojaner, Kryptolocker, etc.) aus dem Netz auf den Rechner fallen lassen. Stufenweise deswegen, weil in der ersten Stufe das Makro gestartet wird, welches dann Schadcode aus dem Internet lädt und in der nächsten Stufen ausführt.

Dadurch, dass der Trojaner über das Internet nachgeladen wird, können die Angreifer den Schadcode jederzeit anpassen und sicherstellen, dass dieser von Virenscannern nicht erkannt wird. Selbst wenn Antivirenhersteller eine Variante des Schadcodes erkennen, braucht es nicht lange und die Kriminellen passen den Code wieder an. Es beginnt ein Katz und Maus-Spiel, Kriminelle gegen Antivirenhersteller. Wer seinen Virenscanner nicht ständig aktualisiert, hat keine Chance und ist in höchster Gefahr.

Neben den Droppern nutzen die Kriminellen jedoch noch weitere Techniken zur Verschleierung. Die Makros enthalten kaum verdächtigen Code, sondern decodiert diesen zunächst aus dem eigentlichen Word-Dokument heraus. Dazu implantieren die Kriminellen im Dokument ein Formular-Textfeld, um genau zu sein, ein sog. Microsoft Forms 2.0 TextBox-Object. Vgl. folgende Bilder:

Verstecktes Formular in Word Dokument Shellcode in Microsoft Forms 2.0 TextBox-Object

Das im Word-Dokument unsichtbar gesetzte Formular enthält den eigentlichen Shellcode, welcher auf einer versteckt geöffneten cmd.exe-Konsole gestartet wird. Der Code versucht den Schadcode aus dem Verzeichnis C:\ProgramData\ auszuführen. Auch dieses Vorgehen ist clever, denn dieser Systemordner erweckt bei erster Analyse wahrscheinlich anfangs keinen Verdacht. Üblicherweise nutzen Angreifer nämlich temporäre Ordner wie %temp%. Diese sind für Angriffe bereits lange bekannt und bei Analysen unter besonderer Beobachtung. Der Ordner C:\ProgramData\ dagegen wird auch von vielen zulässigen Programmen benutzt und fällt erst bei genauerer Analyse auf bzw. wird ggf. von Schutzprogrammen in einer whitelist geführt und wird daher nicht weiter betrachtet.

Hier machen Elter-basierte Regeln (Parent-Checking) mehr Sinn. Stellen Sie sich die Frage, ob Word, Excel, Powerpoint, Adobe-Reader und der Browser wirklich Prozesse starten müssen. Wir bei Excubits meinen: Nein! Für den Programmstart ist der Windows Explorer da, sonst nichts. Daher empfehlen wir, typische Büroanwendungen so einzuschränken, dass sie sich höchstens selbst starten dürfen. Insbesondere sollen Büroprogramme keine Programme aus temporären Ordnern oder C:\ProgramData\ starten.

Wir empfehlen daher Türsteher mit parent-checking. Deaktivieren Sie zudem Makros. Halten Sie Ihr System und installierte Programme auf dem neuesten Stand: installieren Sie Updates und Patches regelmäßig. Aktualisieren Sie Ihren Virenscanner täglich. Benutzen Sie Ihren Rechner nicht mit Administratoren-Rechten. Legen Sie Sicherungskopien Ihrer wichtigen Dateien auf einem externen (USB-)Datenträger ab: getrennt vom Rechner. Seien Sie misstrauisch und fragen Sie im Zweifel lieber einmal zu viel, wenn Ihnen eine E-Mail oder Dateien verdächtig erscheinen: nicht klicken, erst fragen. Widerstehen Sie verlockenden Angeboten und Informationen: die meisten erfolgreichen Angriffe setzen ganz simpel auf Ihre Neugierde, Neid, Geiz, Verbotenes oder Erotik.


Falsche Bewerbung mit Schadcode im Anhang (#Word-Datei, #Makros, #Malware-Dropper)

Vorsicht vor Makros in falschen Bewerbungsunterlagen

2018/12/13 von F. Rienhardt

Falsche Bewerbungen mit Schadocde im Anhang, Word-Makro mit Malware-Dropper


In letzter Zeit erreichen auch uns immer wieder falsche Bewerbungen mit Schadcode im Anhang, siehe das Bild oben. Diesmal war es eine Bewerbung für eine nicht existente Stellenausschreibung. Im Anhang befanden sich vermeintlich Bewerbungsunterlagen. Tatsächlich enthielt der Anhang eine Word-Datei mit Makro, welches Schadcode aus dem Internet nachlädt und den Rechner infiziert. Unsere Empfehlungen: Makros in Office standardmäßig vollständig deaktivieren, Türsteher installieren und gesunden Menschenverstand einsetzen. Seien Sie bei Anhängen in E-Mails misstrauisch, gerade jetzt in der hektischen Vorweihnachtszeit!


Excubits bei der Ausstellung Bonner Netzwerkabend

Digitalisierte Arbeitswelten

2018/12/08 von F. Rienhardt

Am 12.12.2018 findet im Haus der Geschichte der Bundesrepublik Deutschland der 10. Bonner Netzwerkabend: „Digitalisierte Arbeitswelten - Anforderungen - Umfeld - Entwicklung“ statt. Wir sind mit einem Stand dabei und präsentieren unsere Lösungen. Gerne diskutieren wir auch aktuelle Themen zur IT-Sicherheit und freuen uns über Ihren Besuch. Kommen Sie vorbei und lernen Sie uns kennen.


Dynamit-Phishing Emotet: APT Techniken in Massen-Mails

Professionell gestaltete E-Mails mit Schadcode im Anhang

2018/12/08 von F. Rienhardt und C. Lopez

In den letzten Tagen bekommen viele Anwender E-Mails mit Word-Dateien als Anhang. Dabei handelt es sich um äußerst gut formuliert und gestaltete Phishing-Mails, die scheinbar von Geschäftspartnern oder Kollegen stammen:

Betreff: █████ ████████ Ihre neue Rechnung ist online vom ██/██/2018

█████ ████████ <█████.████████@██████.de> schrieb am ██.██.2018 09:24:

Guten Morgen Frau █████,


Ihre aktuelle Rechnung liegt ab sofort für Sie bereit.
Kunden - RSR68295
Rechnungs-Nr. - 7U75267
Betrag - 939.44 EUR
Zahlart - Rechnung
Datum - ██.██.2018


Mit besten Grüßen

██████████████████

Tel.: +49 ██ █████ ███
Fax: +49 ██ █████ ███
█████.████████@██████.de


Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erthalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese E-Mail inklusive aller Anhänge.
Bitte fertigen Sie keine Kopien an oder bringen den Inhalt anderen Personen zur Kenntnis.


Die E-Mails sind in perfektem Deutsch verfasst, sprechen die Empfänger mit korrektem Namen an und enthalten ein Word-Dokument als Anhang. Die E-Mails sind kaum von authentischen E-Mails zu unterscheiden, was dazu führt, dass die Empfänger die Word-Datei im Anhang öffnen.

Die enthaltene Word-Datei präsentiert sich wie auf dem folgenden Bild zu sehen ist:


Das Gefährliche solcher Office-Dokumente sind die Makros. Sie laden häufig schädliche Dateien nach und infizieren Ihren PC, was der Virenscanner häufig nicht erkennt. Wenn möglich, sollten Sie Makros in Office deaktivieren. Desweiteren sollten Sie Applikation-Whitelisiting wie Türsteher benutzen. Sensibilisieren Sie Ihre Kollegen und Mitarbeiter über die Gefahren durch E-Mail-Anhänge. Fragen Sie im Zweifel nochmals beim Absender nach, bevor Sie einen Anhang oder Link anklicken.

Das BSI hat Maßnahmen zum Schutz vor Emotet und gefährlichen E-Mails im Allgemeinen veröffentlicht, den Link zu dem Beitrag finden Sie hier.


Buchempfehlung Wil Allsopp

Advanced Penetration Testing

2018/11/16 von F. Rienhardt

Die Tage werden wieder kürzer, man kann es sich zu Hause gemütlich machen und ein Buch lesen. Wir werden immer wieder gefragt, wieso man gerade unsere Application-Whitelisting-Lösungen benutzen sollte. Nun, ich hatte etwas Zeit und die Gelegenheit, folgendes Buch von Wil Allsopp zu lesen: Advanced Penetration Testing, Hacking the World's Most Secure Networks. Security Spezialisten dürfte das eine oder andere bekannt sein, dennoch beschreibt Wil Allsopp mit viel Liebe zum Detail und reichlich Anekdoten, was heute möglich und üblich ist. Wir legen dieses Buch daher jedem IT (Security) Spezialisten ans Herz. Auch all jenen, die noch immer an Whitelisting zweifeln. Lesen Sie dieses Buch und fragen Sie sich, ob und wie sicher Ihre Windows-Installation wirklich ist. Glauben Sie mir, die Lektüre lohnt sich.

Wir haben außerdem unsere Liste der LOLBins in der Blacklist aktualisiert. Bitte beachten Sie, dass man nicht jedes der aufgelisteten Tools auf die Blacklist setzen kann. Hier ist es sinnvoll, Parent-Checking zu verwenden.


Risiko: Living Off The Land Binaries und Scripte

Systemhärtung durch Einschränken von Living Off The Land Binaries und Scripte

2018/09/17 von F. Rienhardt

Auch das in den professionellen Versionen von Windows integrierte AppLocker bietet die Möglichkeit, Application-Whitelisting unternehmensweit zu implementieren. Wenn es aber darum geht, Ihre Systeme noch robuster zu machen, reicht einfaches Application-Whitelisting nicht. Dies gilt insbesondere für Living Off The Land Binaries And Scripts - (LOLBins und LOLScripts). Hierbei handelt es sich um Systemprogramme, die für die Konfiguration und den Betrieb von Windows notwendig sind. Doch sind diese Programme teilweise derart mächtig, dass sie auch von Angreifern sehr gerne dazu missbraucht werden, Ihren Windows-PC mit Schadcode zu infizieren. Gute Beispiele hierfür sind bitsadmin.exe oder rundll32.exe, welche häufig über Exploits oder schadhafte Office-Dokumente dazu genutzt werden, auf dem angegriffenen PC Schadcode zu laden und zu starten.

Deshalb möchten wir Sie mit diesem Blogpost darauf aufmerksam machen, dass gerade kritische Systemprogramme nicht von Ihrem Webbrowser, Ihren Office-Programmen oder dem PDF-Viewer gestartet werden sollten. Sie sollten kritischen LOLBins und LOLScripts für diese Anwendungen blockieren. Hier bieten Türsteher und unsere anderen Treiber mit dem parent-checking gegenüber einfachem Whitelisting einen entscheidenden Vorteil. Schränken Sie kritische Anwendungen ein und bestimmen Sie per Regel, welche Anwendungen LOLBins und LOLScripts überhaupt noch starten dürfen.

Auf der hier verlinkten GitHub-Seite werden die bekanntesten und auch kritischsten LOLBins und LOLScripts aufgelistet. Überprüfen Sie, inwieweit Sie diese Anwendungen im täglichen Betrieb nutzen. Wir empfehlen parent-checking in Kombination mit der Blacklist zu nutzen: Setzten Sie LOLBins und LOLScripts für Word, Excel, Powerpoint, Ihren Webbrowser und PDF-Viewer auf die Blacklist.

Mit nur wenigen Regeln in der Blacklist reduzieren Sie Ihr Risiko für einen Angriff deutlich. Wenn Sie hierzu Fragen haben, helfen wir gerne weiter.


« Ältere Einträge