Aktuelles | Excubits

Aktuelles

Aktuelle Informationen rund um Excubits und IT-Sicherheit.
Abonnieren Sie unseren Newsletter, um auf dem Laufenden zu bleiben.

Aktualisierter Installer und neue Tray-Anwendung

Neue Binärpakete für Türsteher (und Bouncer)

2018/06/21 von F. Rienhardt

Wir haben die Installationspakete für Bouncer und Türsteher aktualisiert. Wieder einmal haben einige AV-Hersteller unseren Installer als bösartig gekennzeichnet, obwohl der Installer natürlich frei von Schadcode ist, wir eine offiziell registrierte Firma sind, über ein echtes EV-Zertifikat verfügen, am Microsoft Attestation Programm teilnehmen etc. Es nervt wirklich und mittlerweile müssen wir ein gewisses Maß an Böswilligkeit unserer (AV-)Konnkurenz unterstellen!

Wir haben diesen Umstand zum Anlass genommen und gleich die Tray-Applikation erweitert. Die Icons für das Executable sind nicht mehr nur für Bouncer oder Türsteher gebrandet, so passen für all unsere Treiber. Wir haben auch ein Problem behoben, bei dem einige Benutzer eine Tray-Meldung für den Installationsmodus gesehen haben, obwohl der Treiber im normalen Modus lief (Grüße und ein Dankeschön gehen hier an Jeff). Wir haben zudem einige Formulierungen in den .locales-Dateien geändert und nicht zuletzt die Optionen playsound und shortmenu hinzugefügt. Letztere eignet sich für Umgebungen, in denen der Benutzer nicht das Recht hat, Änderungen in Bezug auf den Treiber vorzunehmen, so dass es nicht sinnvoll ist, alle möglichen Optionen in der Tray-Anwendung anzuzeigen. Die Option playsound gibt bei jedem Event ein akustischen Signal wieder.


Secure Dev Conference in Heidelberg

Treffen Sie uns auf der heise devSev() 2018

2018/06/20 von F. Rienhardt

Excubits wird auf der diesjährigen devSec() 2018 Konferenz vom 16. bis 18. Oktober 2018 in Heidelberg sein. Wir werden einen Vortrag über die Entwicklung sicherer Kernel-Treiber und die Verwendung von reinen Kernel-Lösungen für die Analyse und Erkennung von Malware halten. Wenn Sie uns live treffen wollen, ist das Ihre Chance: Kommen Sie zur heise devSec().


Beta-Phase beendet: Finale Version von Türsteher verfügbar

Veröffentlichung der neuen Version von Türsteher

2018/06/11 von F. Rienhardt

Es soweit, die neue Version von Türsteher ist online verfügbar. Wir haben nicht nur Türsteher an sich verbessert, sondern auch das Handbuch komplett neu geschrieben. Es ist jetzt noch übersichtlicher und deutlich kürzer geworden. Daneben wurde die Tray-Anwendung stark überarbeitet und unterstützt nun Lokalisierung. Durch Anpassung der Datei tuersteher.locales kann die Tray-Anwendung für jede Sprache der Welt angepasst werden.

Aber das ist noch nicht alles: Die Tray-Anwendung unterstützt nicht nur Türsteher, durch Änderung der Dateinamen kann die Tray-Anwendung auch all unsere anderen Treiber unterstützen. Beispiel: Ändern Sie TuersteherTray_x86.exe und TuersteherTrayHelper_x86.exe zu MZWriteScannerTray_x86.exe und MZWriteScannerTrayHelper_x86.exe, so unterstützt die Tray-Anwendung sofort MZWriteScanner. Natürlich muss die locales-Datein für den jeweiligen Treiber und seine Meldungen angepasst werden. Es gibt aber schon jetzt einen ersten Ausblick, was noch kommen wird. Viel Spaß!

Hinweis: Bitte beachten Sie, dass die neue Version von Türsteher/Bouncer die Eltern-Kind-Regeln nun im [WHITELIST]- und [BLACKLIST]-Bereich fest integriert. Eine Aufteilung zwischen normalen Regeln und Eltern-Kind-Regeln ist nicht mehr nötig und wird vom Treiber auch nicht mehr unterstützt.


Beta-Phase beendet: Finale Version von MZWriteScanner verfügbar

Veröffentlichung von MZWriteScanner und weitere News

2018/06/03 von F. Rienhardt

Die Beta-Phase ist beendet. Wir haben die brandneue Version von MZWriteScanner nun veröffentlicht. MZWriteScanner enthält alle coolen Features, die wir in den letzten Monaten über das Beta-Camp bereits eingeführt und veröffentlicht haben.

Wir bereiten derzeit die finale Version von Bouncer und Türsteher vor und werden in Kürze auch die finalen Versionen veröffentlichen. Wir haben zudem das Handbuch für Bouncer/Türsteher massiv überarbeitet, es ist übersichtlicher gestaltet und sollte den Umgang erleichtern. Wir haben auch einige zusätzliche Stunden mit der Tray-Anwendung verbracht, sie wird benutzerdefinierte Sprachen unterstützen und ebnet damit weiter den Weg in Richtung Internationalisierung.


Sicherheitslücke CVE-2018-8174: Lessons learned

Parentchecking, die nächste Stufe des Application-Whitelisting

2018/06/03 von F. Rienhardt

Manchmal wären Nachrichten keine Nachrichten, wenn man unsere Tools genutzt hätte. CVE-2018-8174 ist ein solches Beispiel. In einer schönen Analyse beschreibt Kaspersky Lab, wie im April 2018 jemand ein infiziertes RTF-Dokument auf VirusTotal hochgeladen hat. Das Dokument nutzte mehrere Sicherheitslücken, um seine Opfer zu infizieren. Ein sehr interessanter Punkt war, dass die Angreifer die standardmäßigen Content-Type-Handler von Windows verwendeten, um einen OLE-Server auszuführen, hier war es mshtml.dll. Normalerweise wäre mshtml.dll mit aktiviertem Safemode Flag geladen und ausgeführt worden. Aufgrund eines Fehlers ist dies nicht geschehen, daher wird die Internet HTML Engine mit Standardeinstellungen verwendet. Es war auch egal, ob das Opfer z.B. Firefox oder Chrome verwendet hat: es wurde die HTML-Engine des IE als Handler genutzt. Die Angreifer nutzten dann eine Use-After-Free-Schwachstelle aus, um Schadcode auf dem Rechner zu installieren.

Verhaltenserkennung oder die neueste Signaturdatenbank Ihres AVs kann Abhilfe schaffen. Aber das ist letztlich nur Flickschusterei. Das eigentliche Problem ist, dass MS Word einen Dokumentenhandler ausführen konnte. Die Frage ist: Warum muss MS Word (wir) unter normalen Umständen Bibliotheken starten dürfen?

Parentchecking ist hier ein sehr mächtiges Werkzeug, um gegen diese und ähnliche Angriffe vorzugehen. Deshalb empfehlen wir Ihnen, diese Option mit Türsteher und unseren anderen Treibern zu nutzen. Parentchecking ermöglicht die Abhängigkeitsprüfung. Unsere Treiber unterstützen diese Abhängigkeitsprüfung in der White- und Blacklist. Wir nennen das Ursprungsprogramm den Vaterprozess, die Unterprogramme Kindsprozesse. Es ist klar, dass Vaterprozesse Zugriff auf Module, Executables oder Dateien benötigen, damit Software überhaupt funktionieren kann. Die Abhängigkeiten sind hier allerdings im Normalfall beschränkt. Man kann daher eine Menge an bekannten (erlaubten) Zugriffen festlegen und diese über die Whitelist definieren. Andererseits lässt sich auch vorgeben, was nicht erlaubt ist. Hier empfehlen wir einen Blick auf unsere Blacklist. Sie enthält System-Anwendungen und Tools, die häufig für Angriffe missbraucht werden. Auch wenn Sie diese vielleicht nicht generell auf die schwarze Liste setzen möchten, empfehlen wir, die Tools über das Parentchecking für Ihre Geschäftsanwendungen einzuschränken. Dadurch wird die Angriffsfläche drastisch reduziert. Am Beispiel von CVE-2018-8174 wäre dies mshtml.dll. Diese Bibliothek muss im Normalfall von Excel, Word und Powerpoint nicht verwendet werden und kann für Prozesse der Offie-Suite daher über Parentchecking auf die Blacklist.

Für den Einstieg könnten Sie

  • *powershell.exe
  • *script.exe
  • *cmd.exe

als Kindsprozesse von den Vaterprozessen

  • *outlook.exe
  • *excel.exe
  • *powerpnt.exe
  • *winword.exe

blockieren. Dies verhindert bereits einen großen Teil aktueller Malwarekampagnen, die Office-Dokumente als Angriffsvektor nutzen. Einen Schritt weiter gehen Sie, wenn sie ausführbaren Code aus Temporären Verzeichnissen für die oben genannten Vaterprozesse blockieren.


Anpassung unserer Datenschutzerklärung gemäß Anforderungen DS-GVO

Anpassungen unserer Datenschutzerklärung

2018/05/10 von F. Rienhardt

Wie viele andere Unternehmen dieser Tage, aktualisieren wir unsere Datenschutzerklärung gemäß der Anforderungen der Datenschutzgrundverordnung (DS-GVO). Diese wird am 25. Mai 2018 verbindlich. Wir haben daher unsere Dokumentation zu den von uns gesammelten und verarbeiteten Daten noch weiter präzisiert. Was sich nicht ändert, ist der ohnehin schon hohe Schutz Ihrer Daten und der Privatsphäre bei Excubits.

Wir haben die Daten unserer Kunden stets vertraulich behandelt. Wir haben keine Telemetriedaten in unseren Softwareprodukten gesammelt und planen dies auch in Zukunft nicht. Wir haben noch nie persönliche Informationen an Dritte verkauft, noch verwenden wir Tracking-Code auf unserer Website oder Software. Die DS-GVO gilt bei uns nicht nur für Kunden in der EU, sondern weltweit.


Neu signierte Beta Treiber (Türsteher und MZWriteScanner)

Updates für unsere Betas und eine neue Tray-Applikation für Bouncer

2018/04/18 von F. Rienhardt

Wir haben in den letzten Wochen weitere Verbesserungen an MZWriteScanner durchgeführt. Zudem sind wir nochmals durch den Quellcode von Türsteher gegangen und konnten auch hier optimieren. Dies zeigt erneut, dass es nicht nur um Features geht, Beständigkeit und Qualität sind ebenso wichtig. Deswegen durchlaufen unsere Tools einen wiederkehrenden Review-Prozess um die Codequalität immer wieder aufs Neue zu verifizieren. Wir wollen, dass unser Code sicher, robust und schnell ist. Mit Blick auf die EU-Datenschutzverordnung 2016/679 bestätigen wir, dass alle unsere Produkte (auch die ersten Versionen ab 2014) dieser Verordnung entsprechen. Unsere Software sammelt keinerlei Telemetrie-Daten. Wir leben Datenschutz seit Beginn und reden nicht nur darüber.

Wir hatten auch Zeit, die Tray-Applikation für Bouncer/Türsteher zu optimieren. Wir freuen uns, Ihnen mitteilen zu können, dass die Tray-Anwendung nun lokalisiert werden kann. Wir haben das Feedback unserer Community ernst genommen und diesen Wunsch umgesetzt. Worum geht es bei der Lokalisierung genau? Wir haben Kunden aus der ganzen Welt. Wir verstehen, dass unsere Nutzer die Benutzeroberfläche nicht immer in Englisch oder Deutsch sehen möchten. Was ist beispielsweise mit Französisch, Spanisch, Russisch, Mandarin, Arabisch, Hebräisch, Niederländisch, Portugiesisch und sogar Bayerisch oder Schwäbisch ;-) Egal welche Sprache Sie sprechen, Sie können Türsteher nun für Ihre Sprache der Wahl anpassen. Setzen Sie einfach die Dateien tuersteher.locales für Ihre Sprache. Wir freuen uns über Ihr Feedback.

Link zum Beta-Camp.


Neu-signierte Demo and Beta-Tools

Demo und Beta Upadates

2018/04/08 von C. Lopez

Am 04.01.2018 haben die Demo-Versionen ihre alljährliche Gültigkeit erreicht. Die neuen Demo-Versionen funktionieren nun wieder für ein Jahr. Wir haben zudem auch die Beta-Binarys von MZWriteScanner und Bouncer/Türsteher aktualisiert.

Wir haben einige kleinere Probleme in MZWriteScanner behoben, die zu Fehlern auf Netzlaufwerken führten. Wir waren auch in der Lage, das Hashing erneut zu optimieren, so dass es noch schneller ist. Wir führen noch einige interne Tests durch und werden MZWriteScanner sehr bald in der neuen Version final veröffentlichen.

In Bouncer/Türsteher haben wir ein Problem mit NULL-Eltern behoben. NULL-Eltern sind Aufrufe aus dem Kernel. Da es keinen Prozess gibt - es ist schließlich der Kernel - können wir nur NULL protokollieren. Sie müssen (NULL) als Elternteil für Regeln in der Black- oder Whitelist angeben, die aus dem Kernel (von Treibern) initiiert werden. Beachten Sie auch, dass das Blockieren von Treibern häufig zu Verwirrung führen kann, wenn der Treiber bereits vorher geladen wurde. Windows speichert zuvor geladene Treiber im Kernel, d.h. wenn ein Treiber geladen, gestoppt und dann wieder geladen wurde, wird keine Prozesserstellung identifiziert, da der Treiber ja bereits in den Kernel geladen wurde. Um dies mit Türsteher zu erkennen, müssen Sie den Rechner neu starten, denn dann werden die Treiber-Caches geleert und der Treiber neu in den Speicher geladen.

Wir arbeiten zudem auch an einer neuen TrayApp für Bouncer/Türsteher und haben u.a. eine neue Icon-Farbe (blau) hinzugefügt, wenn sich Türsteher im nicht-letalen Modus [#LETHAL] befindet. Wir haben Rückmeldungen von Benutzern erhalten, die vergessen hatten, dass sie Türsteher in den nicht-letalen Modus [#LETHAL] geschaltet hatten. Wir hoffen, dass das blaue Symbol dazu beiträgt, dieses Risiko zu verringern. Wir haben zudem den Farbwechselmechanismus des Tray-Icons optimiert. Das Symbol flackert beim Zustandswechsel nicht mehr zwischen verschiedenen Farben. Wir machen einige interne Tests und werden dann bald ein neues Paket Türsteher veröffentlichen.


Neue Beta von MZWriteScanner

Änderung der Architektur in MZWriteScanner

2018/03/12 von F. Rienhardt

Wir haben die Architektur von MZWriteScanner geändert, um Zugriffe auf Netzlaufwerke zu optimieren und die Berechnung der Hashwerte weiter zu beschleunigen. Die neueste Beta-Version von MZWriteScanner können Sie hier herunterladen.


Blacklist-Update

Neue Blacklistempfehlung für Türsteher

2018/02/07 von C. Lopez

Damit sich unsere Kunden möglichst gut vor Angriffen schützen können, sind wir immer auf der Suche nach den besten Blacklistregeln. Unsere neueste Empfehlung: Nehmen Sie *wbemtest.exe in Ihre Blacklist auf. Normale Benutzer benötigen dieses Systemmanagement-Tool nicht. Angreifer nutzen aber dieses mächtige Tool, um Computer mit Trojanern, Cryptolockern etc. zu infizieren. Alle unsere Blacklistempfehlungen finden Sie hier: blacklist.


Schnellere Verarbeitung durch Fasthash-Option

Neue Version von MZWriteScanner ist noch schneller

2018/02/01 von F. Rienhardt

Wir haben in den letzten Wochen intensiv an MZWriteScanner gearbeitet. Unsere Kunden können sehr bald neben dem persistenten Caching auch von einer deutlichen gesteigerten Geschwindigkeit profitieren. Wir reduzieren den Aufwand der SHA256-Hashberechnung erheblich, indem wir nicht mehr die gesamte EXE-Datei hashen, sondern nur noch die ersten 16 Blöcke a 512 Bytes. Wir nennen die Option Fasthashing und sie kann in der .ini-Datei mit [FASTHASH] aktiviert werden.

Keine Wirkung ohne Nebenwirkung

Natürlich hat das auch einen Nebeneffekt. Wenn eine EXE-Datei nicht mehr vollständig gehast wird besteht das Risiko, dass binär ähnliche EXE-Dateien mit hoher Wahrscheinlichkeit denselben Hashwert besitzen. Da EXE-Dateien ihre dynamischen Informationen wie Einstiegspunkt, Prüfsummen, Imports, Stackgröße etc. in ihren Anfangs-Headers führen, ist es selbst bei binär ähnlichen EXE-Dateien wahrscheinlich, dass der Hashwert über diese Blöcke unterschiedlich ist. Dennoch könnten gerade bei gepackten SFX-Archiven dieselben Haswerte berechnet werden, da diese stellenweise identische Header besitzen. Wenn Sie also sehr viele solcher Dateien verarbeiten, sollten Sie die Option [FASTHASH] nicht benutzen.

Wie geht es weiter mit MZWriteScanner

Wir haben die aktuelle Beta-Version in unserem Beta-Camp veröffentlicht und werden MZWriteScanner noch ein kleines Weilchen (1-2 Monate) testen. Danach wird die aktualisierte Version veröffentlicht werden. Wer jetzt schon testen möchte, sei herzlich eingeladen unser Beta-Camp zu besuchen.


Unsere Treiber funktionieren weiterhin einwandfrei

Nach den Windows-Updates für Spectre- und Meltdown

2018/01/31 von F. Rienhardt

Auch nach den Updates laufen unsere Treiber einwandfrei unter Windows und schützen unsere Anwender vor Angriffen. Wir konnten keine ungewollten Seiteneffekte feststellen.


Erweiterte Version von MZWriteScanner, schwere Sicherheitslücken in CPUs

Neue Version von MZWriteScanner, Infos zu Spectre and Meltdown

2018/01/09 von F. Rienhardt

Wir haben aus Ihren Rückmeldungen und Vorschlägen gelernt und zwischen den Jahren an einer neuen Version von MZWriteScanner gearbeitet. Der neue MZWriteScanner wird in der Lage sein, neu geschriebene ausführbare Dateien auch nach einem Neustart zu verfolgen und zu blockieren. Wir haben außerdem Parent-Checking integriert, womit mächtige Regeln ähnlich wie bei Türsteher möglich sein werden. Aktuell testen wir die neue Version noch intern, werden MZWriteScanner jedoch bald im Beta-Camp online stellen.

In den letzten Tagen gab es eine Menge Diskussionen über Sicherheitslücken mit dem Namen Spectre und Meltdown. Die Spectre-Schwachstelle ermöglicht es einem Angreifer, Daten von beliebigen Stellen im Adressraum des aktuellen Prozesses zu lesen. Die Meltdown-Schwachstelle ermöglicht es Angreifern, Daten vom normalerweise geschützten Kernel-Adressraum des Betriebssystems zu lesen. Beide Schwachstellen können genutzt werden, um Informationen wie z. B. Passwörter oder kryptographische Schlüssel zu stehlen. In VM-basierten Cloud-Umgebungen kann ein Angreifer Daten von anderen, parallel laufenden VMs auf dem Server lesen. Wenn Sie VMs nutzen, sollten Sie wissen, wer was auf Ihren (VM-)Maschinen ausführt und dies ggf. einschränken. Dasselbe gilt für Citrix- und ähnliche Remote-Lösungen. Während eines Sicherheits-Audits haben wir festgestellt, dass solche Server oft nicht ausreichend gut geschützt sind und ggf. ausführbare Dateien gestartet werden können. Diese könnten wiederum die Spectre oder Meltdown Lücken ausnutzen, um Informationen aus der Umgebung auszulesen. Hier helfen strenge SRPs/AppLocker-Regeln oder unsere Treiber, das Risiko deutlich zu minimieren.

Wir haben Nachrichten von Kunden erhalten, die nach Meltdown und Spectre gefragt haben. Unsere Empfehlungen lauten:

  • Am besten ist es, wenn Sie Ihr Betriebssystem nach Erscheinen von Patches zeitnah aktualisieren. Wenn es für Ihr Prozessormodell Mikrocode-Updates (BIOS/Firmware-Updates) gibt, empfehlen wir, diese ebenfalls zeitnah zu installieren.
  • Um Spectre in Browsern abzuschwächen, z. B. durch bösartige JavaScripts, empfehlen wir, auch Ihre Webbrowser zu aktualisieren. Alle großen „Browser-Hersteller“ werden laut eigenen Aussagen Gegenmaßnahmen ergreifen und ihre Browser mit entsprechenden Patches versorgen.
  • Sie sollten bis zum Erscheinen von Patches darauf verzichten, Programme aus nicht vertrauenswürdigen Quellen zu starten, da diese ggf. Spectre- und Meltdown-Code enthalten könnten. Hier kann Application Whitelisting (Türsteher, CommandLineScanner, SRPs/AppLocker) helfen, das Risiko auf Endgeräten und Servern zu reduzieren.
  • Wenn Sie und Ihre Kunden Skripting-Code ausführen müssen (Javascript, Python, Perl, etc.), sollten Sie vorsichtig sein und nach Möglichkeit nur zuvor geprüfte Skripte zulassen.

Einige Anwender fragten uns, ob MemProtect gegen Spectre- und Meltdown schützen kann: Nein! MemProtect ist ein Treiber für den Windows Kernel. Beide Schwachstellen leiten Daten über einen hardwarebasierten Side-Channel-Attacke aus geschützten Speicherbereichen. Ein Treiber wie MemProtect kann dagegen nicht helfen. Wir wurden auch gefragt, ob ein Risiko für unsere Treiber besteht: Nein. Zwar könnte die jeweilige Konfiguration aus dem Kernelspeicher gelesen werden, aber ein Angreifer könnte diese auch aus der.ini-Datei lesen, sodass es hier keinen wirklichen Vorteil für ihn gibt. Auch könnten über Meltdown die internen Zustandsvariablen unserer Treiber zur Laufzeit ausgelesen werden, aber auch hier sehen wir keinen Nutzen für Angreifer.

Bzgl. der bevorstehenden Windows-Updates, die Spectre und Meltdown patchen sollen: Nach dem, was wir derzeit wissen, scheinen unsere Treiber auch nach den Patches reibungslos zu funktionieren und werden Sie weiterhin schützen. Wir führen aktuell Tests durch und halten Sie auf dem Laufenden.

Wenn Sie Fragen haben, zögern Sie nicht und kontaktieren Sie uns.


Ein letzter Post und Gruß für dieses Jahr

Einen guten Rutsch ins Jahr 2018

2017/12/27 von F. Rienhardt

Ein Ereignisreiches Jahr 2017 geht zu Ende und wir wünschen allen Kunden, Freunden und Supportern von Excubits ein frohes neues Jahr mit viel Gesundheit und Glück. Wir freuen uns auf 2018 und werden weiterhin im offenen Dialog bleiben, denn das macht uns stark und unsere Software noch besser. In diesem Sinne vielen Dank und alles Gute.

An dieser Stelle schon ein kleiner Hinweis auf das Kommende: Wir haben erfolgreich an einer neuen Version von MZWriteScanner gearbeitet, die nun auch Vater-Kind-Regeln beherrscht. Wenn unsere internen Tests gut verlaufen, werden wir im Januar bereits die erste Beta-Version veröffentlichen können. Es bleibt spannend - und eines sei jetzt schon gesagt: es kommt noch mehr :-)


Anpassungen für Windows 7 und Optimierung der Lesepuffer

Update für MZWriteScanner

2017/12/23 von F. Rienhardt

Nach den letzten Updates für Windows 7 kam es unter bestimmten Konstellationen dazu, dass neu geschriebene EXE-Dateien durch unsere Treiber zwar erkannt, aber nicht mehr blockiert werden konnten. Grund hierfür war, dass Windows 7 nach mehrmaligem Blockieren durch MZWriteScanner mit erhöhten Rechten versuchte, die ausführbare Datei in den Speicher zu laden und dann zu starten. Da unser Treiber Aufrufe innerhalb des Kernels nicht blockierte, konnte eine so geladene EXE-Datei letztlich gestartet werden. Dies war nur unter Windows 7 der Fall und auch nicht in jeder Version. Das ist u. M. nach sehr seltsam, da das Betriebssystem mehrmals versucht, EXE-Dateien mit normalen Rechten zu starten und erst nach Scheitern mit höheren Rechten versuchte, Zugriff zu erhalten. Da dies nur unter Windows 7 passiert, gehen wir davon aus, dass es sich vermutlich um einen Bug im Betriebssystem handelt. Wir empfehlen MZWriteScanner zeitnah zu aktualisieren, da nach aktueller Rückmeldung wohl auch einige Varianten von Windows 10 betroffen sein könnten, was wir allerdings selbst nicht verifizieren konnten. Ein Dank geht an Mike für die Meldung und Unterstützung.

Einige unserer Kunden haben uns darauf angesprochen, dass MZWriteScanner bei Zugriffen auf externe Laufwerke langsam ist. Wir haben hierzu die Lesepuffer vergrößert. Wenn Sie ein ähnliches Problem haben, können Sie eine der folgenden Optionen wählen:

  • [READBUFFERX1]
  • [READBUFFERX2]
  • [READBUFFERX4]
  • [READBUFFERX8]
  • [READBUFFERX16]

Lesezugriffe sollten dann ggf. schneller erfolgen.


Aktualisierung unserer Blacklist für Türsteher

Typo in der Blacklist

2017/12/21 von F. Rienhardt

Wegen eines Typos mussten wir die blacklist aktualsieren. Danke und Grüße gehen an Michael für den Hinweis.


Neuer Algorithmus zur Regelauswertung

Türsteher: Erste Beta-Version mit neuer Regelauswertung

2017/12/18 von F. Rienhardt

Wir dachten, dass wir vor der Weihnachtspause noch eine kleine Überraschung veröffentlichen, und haben mit Hochdruck an dem neuen Algorithmus zur Regelauswertung für Türsteher gearbeitet. In Zukunft gibt es keine separaten Bereiche für normale White- und Blacklist-Regeln und die Eltern-Kind-Regeln (Parent-Checking) mehr. In Zukunft dann nur noch einen Bereich in der .ini-Datei, über den beide Regelsysteme konfiguriert werden können. Wir erhoffen uns von diesem Schritt eine Vereinfachung der Konfiguration. Sie können von nun an klassische Regeln und Regeln für Eltern-Kind-Beziehungen direkt in den Bereichen [WHITELIST] und [BLACKLIST] definieren. Der [PARENT...]-Bereich entfällt.

Durch diese Umstellung wurde der Code nochmals kleiner und wir sind unter 800 Zeilen Quellcode für einen Treiber, der Ihren PC effizient vor aktuellen Schadcodeangriffen schützen kann. Wir wagen fast schon zu behaupten, dass das konkurrenzlos kompakt geworden ist.

Wir wünschen mit der Beta-Version viel Spaß und eine schöne Weihnachtszeit. Die neue Beta-Version gibt es im BETA-Camp. Wir weisen ausdrücklich darauf hin, dass es sich noch um Beta-Software handelt: Keine Garantie und Nutzung auf eigene Gefahr!


Erweiterungen an den Regeln unserer Blacklist für Türsteher

Update der Blacklist für Türsteher

2017/11/19 von F. Rienhardt

Wir haben die Blacklist für Türsteher aktualisiert. Die aktuelle Liste berücksichtigt nun infdefaultinstall.exe, LxssManager.dll, system.management.automation.dll, und fsi.exe. Die genannten Dateien könnten von Angreifern dazu missbraucht werden, Schadcode auf dem Rechner zu installieren. Sie werden im normalen Betrieb von Windows nur sehr selten benötigt und können daher problemlos auf die Blacklist. Dennoch empfehlen wir vor Ausrollen der neuen Regeln, diese im [#LETHAL]-Modus von Türsteher zu testen. Wenn keine Meldungen erscheinen, kann Türsteher dann wieder in den [LETHAL]-Modus geschaltet werden.


64-bit Tray Apps für Türsteher, MZWriteScanner und CommandLineScanner

Aktualisierte Binärpakete

2017/11/01 von F. Rienhardt

Wir haben die Vollversionen von Türsteher (Bouncer), MZWriteScanner und CommandLineScanner aktualisiert. Alle Vollversionen werden jetzt mit 64-bit Versionen der Tray App ausgeliefert. Die Tray Apps für MZWriteScanner und CommandLineScanner wurden leicht verbessert. Alle Treiber und Apps sind für Windows 10 Fall Creators Update bereit - sowohl 32-Bit als auch 64-Bit Versionen. Natürlich laufen unsere Produkte auch auf Windows 7, 8, 8.1 und Windows 10 ohne Fall Creators Update.


Vorsicht vor infizierten Word-Dokumenten

Schädliche Makros infizieren Rechner mit Ransomware

2017/10/28 von F. Rienhardt

Es sind wieder Word-Dokumente mit schädlichen Makros im Umlauf, die Rechner mit Ransomware infizieren. Die Angreifer nutzen einen perfiden Trick, damit ihre Opfer die Schädlichen Makros starten: Da MS Word vor der Ausführung von Makros und aktiven Inhalten warnt, gestalten die Angreifer das Dokument so, als ob es wegen Inkompatibilität nicht angezeigt werden kann. Die Lösung zum Beheben liefern sie gleich mit und beschreiben genau, wie man das Dokument dennoch anzeigen lassen kann. Führt der arglose Anwender die beschriebenen Schritte durch, gewährt er dem Schadcode freien zutritt und er wird auf dem Rechner installiert. Also Vorsicht!

Die infizierten Word-Dokumente werden üblicherweise per E-Mail versendet, achten Sie daher besonders gut darauf, welche Anhänge Sie öffnen und fragen Sie im Zweifel lieber nochmals beim Absender nach.

Unsere Tipps für verdächtige E-Mails mit Anhang

  1. Vertrauen Sie nicht dem angezeigten Namen und Absender.
  2. Seien Sie bei Anhängen sehr vorsichtig und prüfen die angehängten Dateitypen genau (.exe, .com, .vbs, .scr, .hta, ...): Erst denken, prüfen, dann klicken!
  3. Achten Sie auf Rächtßchreibfähler.
  4. Seien Sie vorsichtig, wenn Freunde/Vorgesetzte ungewöhnliche E-Mails an Sie senden.
  5. Fragen Sie bei dringend Anfragen und Forderungen nochmals persönlich beim Absender nach.
  6. Glauben Sie nicht alles, was in einer E-Mail steht: Erst denken, prüfen, dann klicken.

Windows 10 Update

Excubits Tools und das Windows 10 Fall Creators Update

2017/10/15 von F. Rienhardt

Am 17. Oktober ist es soweit, Microsoft veröffentlicht das Windows 10 Fall Creators Update. Wir haben unsere Software sowohl mit der 32-bit als auch mit der 64-bit Edition von Windows 10 inkl. dem Fall Creators Update getestet. Wenn Sie das Update auf Ihrem Rechner einspielen, empfehlen wir, dass Sie die Software entweder in den [#LETHAL]- bzw. [#INSTALLMODE]-Moduds schalten bzw. die Software für das Update einfach deaktivieren. Nach erfolgreichem Einspielen können sie unsere Tools dann wie gewohnt aktivieren oder installieren. Für Fragen stehen wir unseren Kunden gerne jederzeit mit Rat und Tat zur Seite.


Computerkriminalität

Jeder Zweite Internetnutzer wurde bereits Opfer

2017/10/15 von F. Rienhardt

Nach einer Umfrage des Digitalverbandes Bitkom war fast jeder zweite (49%) deutsche Internetnutzer in den letzten zwölf Monaten Opfer von Computerkriminalität. Das häufigste Delikt waren nach Umfrage demnach Schadprogramme wie Viren, Trojaner oder Ransomware. Es zeigt sich damit erneut, dass klassische Schutzmaßnahmen heute nicht mehr ausreichen. Zusätzlicher Schutz wie Türsteher, MemProtect oder FIDES können Angriffe besser abwehren und zwar auch dann, wenn der digitale Schädling noch brandneu ist.


Stop Click und Start, x64-bit Editionen

Neue Funktion in Türsteher-Tray und TrayApp als x64-bit Version

2017/09/25 von F. Rienhardt

Wir haben die TrayApp für Türsteher (und Bouncer) um eine Stop, Click und Start-Option erweitert. Mit dieser Funktion kann man die Software kurzfristig deaktivieren und per Klick sofort wieder starten. Diese Funktion ist insbesondere für Entwickler und Admins interessant, dennoch sollte man sie nur mit Vorsicht nutzen, weil der Schutz aufgehoben ist!

Außerdem haben die TrayApps für Türsteher, Bouncer, MZWriteScanner und CmdLineScanner für 64-bit kompiliert. Damit sind nicht nur unsere Treiber 64-bit fähig, sondern auch alle Tools.

Die neuen Versionen finden Sie im Beta-Camp. Viel Spaß damit.


MZWriteScanner $FORENSICS-Ordner

Patchday Microsoft

2017/09/13 von F. Rienhardt

Die im aktuellen Microsoft Windows Patchday ausgerollten Aktualisierungen können unter Windows 7, 8 und 10 in MZWriteScanner mit aktiviertem Forensik-Logging sehr viel Speicherplatz im $FORENSICS-Ordner verbrauchen. Grund dafür ist, dass die Microsoft-Updates eine große Anzahl von ausführbaren Dateien auf den Rechner schreiben bzw. ändern (patchen). Wenn Sie nicht genügend Speicher auf der Festplatte frei haben (mindestens 20GB), sollten Sie das Forensik-Logging zum Einspielen der Patches in MZWriteScanner deaktivieren.


Eingeschränkte Verfügbarkeit

Wechsel zu einem neuen Provider

2017/09/02 von F. Rienhardt

Liebe Kunden! Wegen vermehrter technischer Probleme seitens unserer bisherigen Netzanbindung werden wir zu unserem Bedauern nun doch einen Providerwechsel durchführen. In dieser Zeit (bis zu 48h, ab heute 12:00) kann es ggf. zu Verbindungsproblemen kommen. Wir bitten, dies zu entschuldigen.


Aktualisierung unserer Software

Neue Versionen von MemProtect und Pumpernickel

2017/07/30 von F. Rienhardt

Nach erfolgreicher Betaphase haben wir die neue Version von MemProtect nun offiziell freigegeben. Von nun an können Sie mit MemProtect auch gezielt festlegen, welche Laufzeitbibliotheken in einer schützenswerten Anwendung ausgeführt werden dürfen und welche nicht. Damit hält in MemProtect nun eine Funktion Einzug, die manchen Anwendern aus EMET bekannt sein dürfte.

Daneben konnten wir Pumpernickel optimieren und die Speicherbelegung reduzieren. Pumpernickel geht nun noch effizienter mit Regeln um.

Daneben unterstützt die Tray-Anwendung für beide Produkte nun auch die playsound-Option und kann auf Wunsch Balloon-Notifications anzeigen. Weitere Details entnehmen Sie dem neuen Handbuch. Wir haben sämtliche Tools für MemProtect und Pumpernickel nun auch für die 64-bit-Editionen von Microsoft kompiliert, sodass Sie auf diesen Systemen mit nativen 64-bit-Anwendungen arbeiten können. In den nächsten Wochen werden wir die Tools auch für die anderen Treiber auf 64-bit-Architektur umstellen, es bleibt also spannend. Für Fragen stehen wir gerne zur Verfügung und helfen Ihnen. Melden Sie sich einfach bei uns.

2017/08/02 Nachtrag:

Im ursprünglichen Installerpaket von MemProtect waren in der ini-Datei nicht alle Optionsfelder deklariert. Dies haben wir nun korrigiert.


Erhöhen Sie den Schutz ihrer Whitelisting-Lösung

Aktualisierung unserer Application-Whitelisting Blacklist

2017/06/19 von F. Rienhardt

Wie wir, so pflegt auch das Device Guard Team von Microsoft eine Liste von System-Anwendung, die Application Whitelisting Lösungen aushebeln können. Wir haben die von Microsoft veröffentlichtle Liste daher in unsere blacklist integriert und empfehlen, diese entsprechend in Türsteher oder CommandLineScanner zu nutzen.


Endspurt: Stimmen Sie für uns auf bestofstartups.de

Best of Startups - 5. Ideenmarkt am 21. Juni 2017

2017/06/15 von F. Rienhardt

Am 21.06.2017 präsentieren wir unsere Produkte auf 5. Ideenmarkt in Bonn. Lernen Sie uns kennen und kommen Sie vorbei. Wir freuen uns auf Sie und Ihre Fragen.

Mit der Veranstaltung Best of Startups bieten die IHK Bonn/RheinSieg, Podium49 und die Universität Bonn ein öffentliches Forum für neue Entwicklungen, Geschäftsideen, Projekte und Startups, aus der Region. Stimmen Sie für uns online auf bestofstartups.de. Vielen Dank und bis zum 21.06.


« Ältere Einträge