Aktuelles

Aktuelle Informationen rund um Excubits und IT-Sicherheit.
Abonnieren Sie unseren Newsletter, um auf dem Laufenden zu bleiben.

Wie gut erkennen Sie Phishing-Mails? Testen Sie es auf spielerische Weise...

Testen Sie Ihr Wissen über Phishing

2019/01/24 von C. Lopez

Täglich fallen laut Jigsaw Millionen von Internetnutzer auf Phishing herein. Es ist nicht immer leicht, Phisihing-E-Mails von echten E-Mails zu unterscheiden. Mit dem englischsprachigen Quiz können Sie Ihr Wissen testen und typische Angriffstechniken erkennen lernen.


ADMINBYPASS-Option in Türsteher für mehr Komfort

Neues Jahr, neue Türsteher-Version als Beta

2019/01/14 von F. Rienhardt

Ein weiteres ereignisreiches Jahr liegt hinter Excubits und wir sind gespannt, was 2019 kommen wird. Neue Vorsätze und viele neue Impulse versprechen wir uns für dieses Jahr. So haben wir mit ersten Tests einer neuen Version von Türsteher begonnen und haben diese ins Beta-Camp gestellt.

Mit der neuen ADMINBYPASS-Funktion unterstützt Türsteher nun eine von Benutzers häufig gefragte Option, Türsteher für System-Prozesse deaktiviert zu lassen. Was hat es damit auf sich? Nun, wenn Windows im Hintergrund neue Updates einspielt, werden diese Updates von automatisierten Installern im Hintergrund ausgeführt. Gleiches gilt für Updates für Drittanbietersoftware wie z.B. Ihre Textverarbeitung oder Bildbearbeitung. Das strikte Regelsystem von Türsteher blockierte bisher auch Updates, denn diese stellen fremden, potenziell gefährlichen Code dar. Mit dem Installationsmodus von Türsteher kann man das für Updates leicht umgehen, dazu musste die Funktion aber aktiviert werden. Mit der ADMINBYPASS-Funktion geht das nun automatisch, ohne dass Sie etwas tun müssen.

Komfort geht immer auf Kosten der Sicherheit, das gilt auch für die ADMINBYPASS-Funktion. Wie und was ist hier gemeint? Nun, die ADMINBYPASS-Funktion erlaubt System/Admin-Prozessen Code zu starten. Wenn Sie also mit System/Admin-Rechten ein Schadprogramm starten, wird dieses auch ausgeführt. Wir empfehlen die neue ADMINBYPASS-Funktion daher nur Experten, die wissen, was sie tun. Außerdem empfehlen wir bei aktivierter ADMINBYPASS-Funktion in jedem Falle verschiedene Benutzerkonten und eine strikte Benutzerzugriffskontrolle (UAC). Kurz, im Normalbetrieb wird der Rechner nur mit normalen (eingeschränkten) Benutzerrechten verwendet und UAC bleibt möglichst auf Maximum gestellt.

Noch befindet sich diese neue Version von Türsteher im Beta-Stadium, wir sind mit den bisherigen Tests aber hochzufrieden und haben den ersten Patchday von Microsoft sehr erfolgreich mit dieser Neuen Funktion testen können. Wir freuen uns, wenn Sie die Beta-Version testen und uns Ihre Meinung wissen lassen.


OCX Objekte als versteckte Transportmittel für Shellcode

Schädliche Makros und OCX Objekte in Word

2018/12/18 von C. Lopez und F. Rienhardt

Der über sog. Dynamit-Phishing in den vergangenen Wochen verbreitete Emotet-Trojaner verwendet einige Tricks, sich geschickt vor Antivieren-Scannern zu tarnen. Die persönlich an die Empfänger adressierten und formulierten E-Mails dürften mit dafür verantwortlich sein, dass die Empfänger der E-Mails die Anhänge arglos öffneten. Dabei enthält der Anhang einer Emotet E-Mail schädliche Makros, welches einen Trojaner aus dem Internet lädt und startet. Man nennt dies Staging mit Droppern (engl. für in Stufe Bombe abwerfen), weil die Dropper sozusagen eine Schadcode-Bombe (Trojaner, Kryptolocker, etc.) aus dem Netz auf den Rechner fallen lassen. Stufenweise deswegen, weil in der ersten Stufe das Makro gestartet wird, welches dann Schadcode aus dem Internet lädt und in der nächsten Stufen ausführt.

Dadurch, dass der Trojaner über das Internet nachgeladen wird, können die Angreifer den Schadcode jederzeit anpassen und sicherstellen, dass dieser von Virenscannern nicht erkannt wird. Selbst wenn Antivirenhersteller eine Variante des Schadcodes erkennen, braucht es nicht lange und die Kriminellen passen den Code wieder an. Es beginnt ein Katz und Maus-Spiel, Kriminelle gegen Antivirenhersteller. Wer seinen Virenscanner nicht ständig aktualisiert, hat keine Chance und ist in höchster Gefahr.

Neben den Droppern nutzen die Kriminellen jedoch noch weitere Techniken zur Verschleierung. Die Makros enthalten kaum verdächtigen Code, sondern decodiert diesen zunächst aus dem eigentlichen Word-Dokument heraus. Dazu implantieren die Kriminellen im Dokument ein Formular-Textfeld, um genau zu sein, ein sog. Microsoft Forms 2.0 TextBox-Object. Vgl. folgende Bilder:

Verstecktes Formular in Word Dokument Shellcode in Microsoft Forms 2.0 TextBox-Object

Das im Word-Dokument unsichtbar gesetzte Formular enthält den eigentlichen Shellcode, welcher auf einer versteckt geöffneten cmd.exe-Konsole gestartet wird. Der Code versucht den Schadcode aus dem Verzeichnis C:\ProgramData\ auszuführen. Auch dieses Vorgehen ist clever, denn dieser Systemordner erweckt bei erster Analyse wahrscheinlich anfangs keinen Verdacht. Üblicherweise nutzen Angreifer nämlich temporäre Ordner wie %temp%. Diese sind für Angriffe bereits lange bekannt und bei Analysen unter besonderer Beobachtung. Der Ordner C:\ProgramData\ dagegen wird auch von vielen zulässigen Programmen benutzt und fällt erst bei genauerer Analyse auf bzw. wird ggf. von Schutzprogrammen in einer whitelist geführt und wird daher nicht weiter betrachtet.

Hier machen Elter-basierte Regeln (Parent-Checking) mehr Sinn. Stellen Sie sich die Frage, ob Word, Excel, Powerpoint, Adobe-Reader und der Browser wirklich Prozesse starten müssen. Wir bei Excubits meinen: Nein! Für den Programmstart ist der Windows Explorer da, sonst nichts. Daher empfehlen wir, typische Büroanwendungen so einzuschränken, dass sie sich höchstens selbst starten dürfen. Insbesondere sollen Büroprogramme keine Programme aus temporären Ordnern oder C:\ProgramData\ starten.

Wir empfehlen daher Türsteher mit parent-checking. Deaktivieren Sie zudem Makros. Halten Sie Ihr System und installierte Programme auf dem neuesten Stand: installieren Sie Updates und Patches regelmäßig. Aktualisieren Sie Ihren Virenscanner täglich. Benutzen Sie Ihren Rechner nicht mit Administratoren-Rechten. Legen Sie Sicherungskopien Ihrer wichtigen Dateien auf einem externen (USB-)Datenträger ab: getrennt vom Rechner. Seien Sie misstrauisch und fragen Sie im Zweifel lieber einmal zu viel, wenn Ihnen eine E-Mail oder Dateien verdächtig erscheinen: nicht klicken, erst fragen. Widerstehen Sie verlockenden Angeboten und Informationen: die meisten erfolgreichen Angriffe setzen ganz simpel auf Ihre Neugierde, Neid, Geiz, Verbotenes oder Erotik.


Falsche Bewerbung mit Schadcode im Anhang (#Word-Datei, #Makros, #Malware-Dropper)

Vorsicht vor Makros in falschen Bewerbungsunterlagen

2018/12/13 von F. Rienhardt

Falsche Bewerbungen mit Schadocde im Anhang, Word-Makro mit Malware-Dropper


In letzter Zeit erreichen auch uns immer wieder falsche Bewerbungen mit Schadcode im Anhang, siehe das Bild oben. Diesmal war es eine Bewerbung für eine nicht existente Stellenausschreibung. Im Anhang befanden sich vermeintlich Bewerbungsunterlagen. Tatsächlich enthielt der Anhang eine Word-Datei mit Makro, welches Schadcode aus dem Internet nachlädt und den Rechner infiziert. Unsere Empfehlungen: Makros in Office standardmäßig vollständig deaktivieren, Türsteher installieren und gesunden Menschenverstand einsetzen. Seien Sie bei Anhängen in E-Mails misstrauisch, gerade jetzt in der hektischen Vorweihnachtszeit!


Excubits bei der Ausstellung Bonner Netzwerkabend

Digitalisierte Arbeitswelten

2018/12/08 von F. Rienhardt

Am 12.12.2018 findet im Haus der Geschichte der Bundesrepublik Deutschland der 10. Bonner Netzwerkabend: „Digitalisierte Arbeitswelten - Anforderungen - Umfeld - Entwicklung“ statt. Wir sind mit einem Stand dabei und präsentieren unsere Lösungen. Gerne diskutieren wir auch aktuelle Themen zur IT-Sicherheit und freuen uns über Ihren Besuch. Kommen Sie vorbei und lernen Sie uns kennen.


Dynamit-Phishing Emotet: APT Techniken in Massen-Mails

Professionell gestaltete E-Mails mit Schadcode im Anhang

2018/12/08 von F. Rienhardt und C. Lopez

In den letzten Tagen bekommen viele Anwender E-Mails mit Word-Dateien als Anhang. Dabei handelt es sich um äußerst gut formuliert und gestaltete Phishing-Mails, die scheinbar von Geschäftspartnern oder Kollegen stammen:

Betreff: █████ ████████ Ihre neue Rechnung ist online vom ██/██/2018

█████ ████████ <█████.████████@██████.de> schrieb am ██.██.2018 09:24:

Guten Morgen Frau █████,


Ihre aktuelle Rechnung liegt ab sofort für Sie bereit.
Kunden - RSR68295
Rechnungs-Nr. - 7U75267
Betrag - 939.44 EUR
Zahlart - Rechnung
Datum - ██.██.2018


Mit besten Grüßen

██████████████████

Tel.: +49 ██ █████ ███
Fax: +49 ██ █████ ███
█████.████████@██████.de


Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erthalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese E-Mail inklusive aller Anhänge.
Bitte fertigen Sie keine Kopien an oder bringen den Inhalt anderen Personen zur Kenntnis.


Die E-Mails sind in perfektem Deutsch verfasst, sprechen die Empfänger mit korrektem Namen an und enthalten ein Word-Dokument als Anhang. Die E-Mails sind kaum von authentischen E-Mails zu unterscheiden, was dazu führt, dass die Empfänger die Word-Datei im Anhang öffnen.

Die enthaltene Word-Datei präsentiert sich wie auf dem folgenden Bild zu sehen ist:


Das Gefährliche solcher Office-Dokumente sind die Makros. Sie laden häufig schädliche Dateien nach und infizieren Ihren PC, was der Virenscanner häufig nicht erkennt. Wenn möglich, sollten Sie Makros in Office deaktivieren. Desweiteren sollten Sie Applikation-Whitelisiting wie Türsteher benutzen. Sensibilisieren Sie Ihre Kollegen und Mitarbeiter über die Gefahren durch E-Mail-Anhänge. Fragen Sie im Zweifel nochmals beim Absender nach, bevor Sie einen Anhang oder Link anklicken.

Das BSI hat Maßnahmen zum Schutz vor Emotet und gefährlichen E-Mails im Allgemeinen veröffentlicht, den Link zu dem Beitrag finden Sie hier.


Buchempfehlung Wil Allsopp

Advanced Penetration Testing

2018/11/16 von F. Rienhardt

Die Tage werden wieder kürzer, man kann es sich zu Hause gemütlich machen und ein Buch lesen. Wir werden immer wieder gefragt, wieso man gerade unsere Application-Whitelisting-Lösungen benutzen sollte. Nun, ich hatte etwas Zeit und die Gelegenheit, folgendes Buch von Wil Allsopp zu lesen: Advanced Penetration Testing, Hacking the World's Most Secure Networks. Security Spezialisten dürfte das eine oder andere bekannt sein, dennoch beschreibt Wil Allsopp mit viel Liebe zum Detail und reichlich Anekdoten, was heute möglich und üblich ist. Wir legen dieses Buch daher jedem IT (Security) Spezialisten ans Herz. Auch all jenen, die noch immer an Whitelisting zweifeln. Lesen Sie dieses Buch und fragen Sie sich, ob und wie sicher Ihre Windows-Installation wirklich ist. Glauben Sie mir, die Lektüre lohnt sich.

Wir haben außerdem unsere Liste der LOLBins in der Blacklist aktualisiert. Bitte beachten Sie, dass man nicht jedes der aufgelisteten Tools auf die Blacklist setzen kann. Hier ist es sinnvoll, Parent-Checking zu verwenden.


Risiko: Living Off The Land Binaries und Scripte

Systemhärtung durch Einschränken von Living Off The Land Binaries und Scripte

2018/09/17 von F. Rienhardt

Auch das in den professionellen Versionen von Windows integrierte AppLocker bietet die Möglichkeit, Application-Whitelisting unternehmensweit zu implementieren. Wenn es aber darum geht, Ihre Systeme noch robuster zu machen, reicht einfaches Application-Whitelisting nicht. Dies gilt insbesondere für Living Off The Land Binaries And Scripts - (LOLBins und LOLScripts). Hierbei handelt es sich um Systemprogramme, die für die Konfiguration und den Betrieb von Windows notwendig sind. Doch sind diese Programme teilweise derart mächtig, dass sie auch von Angreifern sehr gerne dazu missbraucht werden, Ihren Windows-PC mit Schadcode zu infizieren. Gute Beispiele hierfür sind bitsadmin.exe oder rundll32.exe, welche häufig über Exploits oder schadhafte Office-Dokumente dazu genutzt werden, auf dem angegriffenen PC Schadcode zu laden und zu starten.

Deshalb möchten wir Sie mit diesem Blogpost darauf aufmerksam machen, dass gerade kritische Systemprogramme nicht von Ihrem Webbrowser, Ihren Office-Programmen oder dem PDF-Viewer gestartet werden sollten. Sie sollten kritischen LOLBins und LOLScripts für diese Anwendungen blockieren. Hier bieten Türsteher und unsere anderen Treiber mit dem parent-checking gegenüber einfachem Whitelisting einen entscheidenden Vorteil. Schränken Sie kritische Anwendungen ein und bestimmen Sie per Regel, welche Anwendungen LOLBins und LOLScripts überhaupt noch starten dürfen.

Auf der hier verlinkten GitHub-Seite werden die bekanntesten und auch kritischsten LOLBins und LOLScripts aufgelistet. Überprüfen Sie, inwieweit Sie diese Anwendungen im täglichen Betrieb nutzen. Wir empfehlen parent-checking in Kombination mit der Blacklist zu nutzen: Setzten Sie LOLBins und LOLScripts für Word, Excel, Powerpoint, Ihren Webbrowser und PDF-Viewer auf die Blacklist.

Mit nur wenigen Regeln in der Blacklist reduzieren Sie Ihr Risiko für einen Angriff deutlich. Wenn Sie hierzu Fragen haben, helfen wir gerne weiter.


« Ältere Einträge