Aktuelles

Aktuelle Informationen rund um Excubits und IT-Sicherheit.
Abonnieren Sie unseren Newsletter, um auf dem Laufenden zu bleiben.

Excubits bei der Ausstellung Bonner Netzwerkabend

Digitalisierte Arbeitswelten

2018/12/08 von F. Rienhardt

Am 12.12.2018 findet im Haus der Geschichte der Bundesrepublik Deutschland der 10. Bonner Netzwerkabend: „Digitalisierte Arbeitswelten - Anforderungen - Umfeld - Entwicklung“ statt. Wir sind mit einem Stand dabei und präsentieren unsere Lösungen. Gerne diskutieren wir auch aktuelle Themen zur IT-Sicherheit und freuen uns über Ihren Besuch. Kommen Sie vorbei und lernen Sie uns kennen.


Dynamit-Phishing Emotet: APT Techniken in Massen-Mails

Professionell gestaltete E-Mails mit Schadcode im Anhang

2018/12/08 von F. Rienhardt und C. Lopez

In den letzten Tagen bekommen viele Anwender E-Mails mit Word-Dateien als Anhang. Dabei handelt es sich um äußerst gut formuliert und gestaltete Phishing-Mails, die scheinbar von Geschäftspartnern oder Kollegen stammen:

Betreff: █████ ████████ Ihre neue Rechnung ist online vom ██/██/2018

█████ ████████ <█████.████████@██████.de> schrieb am ██.██.2018 09:24:

Guten Morgen Frau █████,


Ihre aktuelle Rechnung liegt ab sofort für Sie bereit.
Kunden - RSR68295
Rechnungs-Nr. - 7U75267
Betrag - 939.44 EUR
Zahlart - Rechnung
Datum - ██.██.2018


Mit besten Grüßen

██████████████████

Tel.: +49 ██ █████ ███
Fax: +49 ██ █████ ███
█████.████████@██████.de


Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erthalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese E-Mail inklusive aller Anhänge.
Bitte fertigen Sie keine Kopien an oder bringen den Inhalt anderen Personen zur Kenntnis.


Die E-Mails sind in perfektem Deutsch verfasst, sprechen die Empfänger mit korrektem Namen an und enthalten ein Word-Dokument als Anhang. Die E-Mails sind kaum von authentischen E-Mails zu unterscheiden, was dazu führt, dass die Empfänger die Word-Datei im Anhang öffnen.

Die enthaltene Word-Datei präsentiert sich wie auf dem folgenden Bild zu sehen ist:


Das Gefährliche solcher Office-Dokumente sind die Makros. Sie laden häufig schädliche Dateien nach und infizieren Ihren PC, was der Virenscanner häufig nicht erkennt. Wenn möglich, sollten Sie Makros in Office deaktivieren. Desweiteren sollten Sie Applikation-Whitelisiting wie Türsteher benutzen. Sensibilisieren Sie Ihre Kollegen und Mitarbeiter über die Gefahren durch E-Mail-Anhänge. Fragen Sie im Zweifel nochmals beim Absender nach, bevor Sie einen Anhang oder Link anklicken.

Das BSI hat Maßnahmen zum Schutz vor Emotet und gefährlichen E-Mails im Allgemeinen veröffentlicht, den Link zu dem Beitrag finden Sie hier.


Buchempfehlung Wil Allsopp

Advanced Penetration Testing

2018/11/16 von F. Rienhardt

Die Tage werden wieder kürzer, man kann es sich zu Hause gemütlich machen und ein Buch lesen. Wir werden immer wieder gefragt, wieso man gerade unsere Application-Whitelisting-Lösungen benutzen sollte. Nun, ich hatte etwas Zeit und die Gelegenheit, folgendes Buch von Wil Allsopp zu lesen: Advanced Penetration Testing, Hacking the World's Most Secure Networks. Security Spezialisten dürfte das eine oder andere bekannt sein, dennoch beschreibt Wil Allsopp mit viel Liebe zum Detail und reichlich Anekdoten, was heute möglich und üblich ist. Wir legen dieses Buch daher jedem IT (Security) Spezialisten ans Herz. Auch all jenen, die noch immer an Whitelisting zweifeln. Lesen Sie dieses Buch und fragen Sie sich, ob und wie sicher Ihre Windows-Installation wirklich ist. Glauben Sie mir, die Lektüre lohnt sich.

Wir haben außerdem unsere Liste der LOLBins in der Blacklist aktualisiert. Bitte beachten Sie, dass man nicht jedes der aufgelisteten Tools auf die Blacklist setzen kann. Hier ist es sinnvoll, Parent-Checking zu verwenden.


Risiko: Living Off The Land Binaries und Scripte

Systemhärtung durch Einschränken von Living Off The Land Binaries und Scripte

2018/09/17 von F. Rienhardt

Auch das in den professionellen Versionen von Windows integrierte AppLocker bietet die Möglichkeit, Application-Whitelisting unternehmensweit zu implementieren. Wenn es aber darum geht, Ihre Systeme noch robuster zu machen, reicht einfaches Application-Whitelisting nicht. Dies gilt insbesondere für Living Off The Land Binaries And Scripts - (LOLBins und LOLScripts). Hierbei handelt es sich um Systemprogramme, die für die Konfiguration und den Betrieb von Windows notwendig sind. Doch sind diese Programme teilweise derart mächtig, dass sie auch von Angreifern sehr gerne dazu missbraucht werden, Ihren Windows-PC mit Schadcode zu infizieren. Gute Beispiele hierfür sind bitsadmin.exe oder rundll32.exe, welche häufig über Exploits oder schadhafte Office-Dokumente dazu genutzt werden, auf dem angegriffenen PC Schadcode zu laden und zu starten.

Deshalb möchten wir Sie mit diesem Blogpost darauf aufmerksam machen, dass gerade kritische Systemprogramme nicht von Ihrem Webbrowser, Ihren Office-Programmen oder dem PDF-Viewer gestartet werden sollten. Sie sollten kritischen LOLBins und LOLScripts für diese Anwendungen blockieren. Hier bieten Türsteher und unsere anderen Treiber mit dem parent-checking gegenüber einfachem Whitelisting einen entscheidenden Vorteil. Schränken Sie kritische Anwendungen ein und bestimmen Sie per Regel, welche Anwendungen LOLBins und LOLScripts überhaupt noch starten dürfen.

Auf der hier verlinkten GitHub-Seite werden die bekanntesten und auch kritischsten LOLBins und LOLScripts aufgelistet. Überprüfen Sie, inwieweit Sie diese Anwendungen im täglichen Betrieb nutzen. Wir empfehlen parent-checking in Kombination mit der Blacklist zu nutzen: Setzten Sie LOLBins und LOLScripts für Word, Excel, Powerpoint, Ihren Webbrowser und PDF-Viewer auf die Blacklist.

Mit nur wenigen Regeln in der Blacklist reduzieren Sie Ihr Risiko für einen Angriff deutlich. Wenn Sie hierzu Fragen haben, helfen wir gerne weiter.


Erweiterte Blacklist für noch mehr Schutz

Neue Binärpakete für Türsteher und eine neue Blacklist

2018/08/31 von F. Rienhardt

Wir haben unsere Blacklist-Empfehlung kritischer Anwendungen erneuert. Schützen Sie sich noch besser mit dem erweiterten Regelsatz. Sie können die Liste hier herunterladen.

Leider haben einige Virenscanner unsere Installer mal wieder als schädlich deklariert, obwohl sie es nicht sind. Es handelt sich um einen Fehler der AV-Software und wird als false positive bezeichnet. Um Ihnen Umstände zu ersparen, haben wir mit den Herstellern bereits Kontakt aufgenommen um diese falschen Einträge löschen zu lassen. Da dies aber mitunter mehrere Tage und Wochen dauern kann, haben wir kurzerhand auch die Binärpakete neu erzeugt. An unserer Software hat sich nichts geändert, die Pakete wurden sozusagen nur neu geschnürt.


Aktualisierter Installer und neue Tray-Anwendung

Neue Binärpakete für Türsteher (und Bouncer)

2018/06/21 von F. Rienhardt

Wir haben die Installationspakete für Bouncer und Türsteher aktualisiert. Wieder einmal haben einige AV-Hersteller unseren Installer als bösartig gekennzeichnet, obwohl der Installer natürlich frei von Schadcode ist, wir eine offiziell registrierte Firma sind, über ein echtes EV-Zertifikat verfügen, am Microsoft Attestation Programm teilnehmen etc. Es nervt wirklich und mittlerweile müssen wir ein gewisses Maß an Böswilligkeit unserer (AV-)Konnkurenz unterstellen!

Wir haben diesen Umstand zum Anlass genommen und gleich die Tray-Applikation erweitert. Die Icons für das Executable sind nicht mehr nur für Bouncer oder Türsteher gebrandet, so passen für all unsere Treiber. Wir haben auch ein Problem behoben, bei dem einige Benutzer eine Tray-Meldung für den Installationsmodus gesehen haben, obwohl der Treiber im normalen Modus lief (Grüße und ein Dankeschön gehen hier an Jeff). Wir haben zudem einige Formulierungen in den .locales-Dateien geändert und nicht zuletzt die Optionen playsound und shortmenu hinzugefügt. Letztere eignet sich für Umgebungen, in denen der Benutzer nicht das Recht hat, Änderungen in Bezug auf den Treiber vorzunehmen, so dass es nicht sinnvoll ist, alle möglichen Optionen in der Tray-Anwendung anzuzeigen. Die Option playsound gibt bei jedem Event ein akustischen Signal wieder.


Secure Dev Conference in Heidelberg

Treffen Sie uns auf der heise devSev() 2018

2018/06/20 von F. Rienhardt

Excubits wird auf der diesjährigen devSec() 2018 Konferenz vom 16. bis 18. Oktober 2018 in Heidelberg sein. Wir werden einen Vortrag über die Entwicklung sicherer Kernel-Treiber und die Verwendung von reinen Kernel-Lösungen für die Analyse und Erkennung von Malware halten. Wenn Sie uns live treffen wollen, ist das Ihre Chance: Kommen Sie zur heise devSec().


Beta-Phase beendet: Finale Version von Türsteher verfügbar

Veröffentlichung der neuen Version von Türsteher

2018/06/11 von F. Rienhardt

Es soweit, die neue Version von Türsteher ist online verfügbar. Wir haben nicht nur Türsteher an sich verbessert, sondern auch das Handbuch komplett neu geschrieben. Es ist jetzt noch übersichtlicher und deutlich kürzer geworden. Daneben wurde die Tray-Anwendung stark überarbeitet und unterstützt nun Lokalisierung. Durch Anpassung der Datei tuersteher.locales kann die Tray-Anwendung für jede Sprache der Welt angepasst werden.

Aber das ist noch nicht alles: Die Tray-Anwendung unterstützt nicht nur Türsteher, durch Änderung der Dateinamen kann die Tray-Anwendung auch all unsere anderen Treiber unterstützen. Beispiel: Ändern Sie TuersteherTray_x86.exe und TuersteherTrayHelper_x86.exe zu MZWriteScannerTray_x86.exe und MZWriteScannerTrayHelper_x86.exe, so unterstützt die Tray-Anwendung sofort MZWriteScanner. Natürlich muss die locales-Datein für den jeweiligen Treiber und seine Meldungen angepasst werden. Es gibt aber schon jetzt einen ersten Ausblick, was noch kommen wird. Viel Spaß!

Hinweis: Bitte beachten Sie, dass die neue Version von Türsteher/Bouncer die Eltern-Kind-Regeln nun im [WHITELIST]- und [BLACKLIST]-Bereich fest integriert. Eine Aufteilung zwischen normalen Regeln und Eltern-Kind-Regeln ist nicht mehr nötig und wird vom Treiber auch nicht mehr unterstützt.


Beta-Phase beendet: Finale Version von MZWriteScanner verfügbar

Veröffentlichung von MZWriteScanner und weitere News

2018/06/03 von F. Rienhardt

Die Beta-Phase ist beendet. Wir haben die brandneue Version von MZWriteScanner nun veröffentlicht. MZWriteScanner enthält alle coolen Features, die wir in den letzten Monaten über das Beta-Camp bereits eingeführt und veröffentlicht haben.

Wir bereiten derzeit die finale Version von Bouncer und Türsteher vor und werden in Kürze auch die finalen Versionen veröffentlichen. Wir haben zudem das Handbuch für Bouncer/Türsteher massiv überarbeitet, es ist übersichtlicher gestaltet und sollte den Umgang erleichtern. Wir haben auch einige zusätzliche Stunden mit der Tray-Anwendung verbracht, sie wird benutzerdefinierte Sprachen unterstützen und ebnet damit weiter den Weg in Richtung Internationalisierung.


Sicherheitslücke CVE-2018-8174: Lessons learned

Parentchecking, die nächste Stufe des Application-Whitelisting

2018/06/03 von F. Rienhardt

Manchmal wären Nachrichten keine Nachrichten, wenn man unsere Tools genutzt hätte. CVE-2018-8174 ist ein solches Beispiel. In einer schönen Analyse beschreibt Kaspersky Lab, wie im April 2018 jemand ein infiziertes RTF-Dokument auf VirusTotal hochgeladen hat. Das Dokument nutzte mehrere Sicherheitslücken, um seine Opfer zu infizieren. Ein sehr interessanter Punkt war, dass die Angreifer die standardmäßigen Content-Type-Handler von Windows verwendeten, um einen OLE-Server auszuführen, hier war es mshtml.dll. Normalerweise wäre mshtml.dll mit aktiviertem Safemode Flag geladen und ausgeführt worden. Aufgrund eines Fehlers ist dies nicht geschehen, daher wird die Internet HTML Engine mit Standardeinstellungen verwendet. Es war auch egal, ob das Opfer z.B. Firefox oder Chrome verwendet hat: es wurde die HTML-Engine des IE als Handler genutzt. Die Angreifer nutzten dann eine Use-After-Free-Schwachstelle aus, um Schadcode auf dem Rechner zu installieren.

Verhaltenserkennung oder die neueste Signaturdatenbank Ihres AVs kann Abhilfe schaffen. Aber das ist letztlich nur Flickschusterei. Das eigentliche Problem ist, dass MS Word einen Dokumentenhandler ausführen konnte. Die Frage ist: Warum muss MS Word (wir) unter normalen Umständen Bibliotheken starten dürfen?

Parentchecking ist hier ein sehr mächtiges Werkzeug, um gegen diese und ähnliche Angriffe vorzugehen. Deshalb empfehlen wir Ihnen, diese Option mit Türsteher und unseren anderen Treibern zu nutzen. Parentchecking ermöglicht die Abhängigkeitsprüfung. Unsere Treiber unterstützen diese Abhängigkeitsprüfung in der White- und Blacklist. Wir nennen das Ursprungsprogramm den Vaterprozess, die Unterprogramme Kindsprozesse. Es ist klar, dass Vaterprozesse Zugriff auf Module, Executables oder Dateien benötigen, damit Software überhaupt funktionieren kann. Die Abhängigkeiten sind hier allerdings im Normalfall beschränkt. Man kann daher eine Menge an bekannten (erlaubten) Zugriffen festlegen und diese über die Whitelist definieren. Andererseits lässt sich auch vorgeben, was nicht erlaubt ist. Hier empfehlen wir einen Blick auf unsere Blacklist. Sie enthält System-Anwendungen und Tools, die häufig für Angriffe missbraucht werden. Auch wenn Sie diese vielleicht nicht generell auf die schwarze Liste setzen möchten, empfehlen wir, die Tools über das Parentchecking für Ihre Geschäftsanwendungen einzuschränken. Dadurch wird die Angriffsfläche drastisch reduziert. Am Beispiel von CVE-2018-8174 wäre dies mshtml.dll. Diese Bibliothek muss im Normalfall von Excel, Word und Powerpoint nicht verwendet werden und kann für Prozesse der Offie-Suite daher über Parentchecking auf die Blacklist.

Für den Einstieg könnten Sie

  • *powershell.exe
  • *script.exe
  • *cmd.exe

als Kindsprozesse von den Vaterprozessen

  • *outlook.exe
  • *excel.exe
  • *powerpnt.exe
  • *winword.exe

blockieren. Dies verhindert bereits einen großen Teil aktueller Malwarekampagnen, die Office-Dokumente als Angriffsvektor nutzen. Einen Schritt weiter gehen Sie, wenn sie ausführbaren Code aus Temporären Verzeichnissen für die oben genannten Vaterprozesse blockieren.


« Ältere Einträge