Excubits Logo
burger-menu Menü

 

Aktuelles

Aktuelle Informationen rund um Excubits und IT-Sicherheit. Abonnieren Sie unseren Newsletter, um auf dem Laufenden zu bleiben.


Windows 10 Update

Excubits Tools und das Windows 10 Fall Creators Update

2017/10/15 von F. Rienhardt

Am 17. Oktober ist es soweit und Microsoft veröffentlicht das Windows 10 Fall Creators Update. Wir haben unsere Treiber sowohl mit der 32-bit als auch mit der 64-bit Edition von Windows 10 inkl. dem Fall Creators Update getestet. Wenn Sie das Update auf Ihrem Rechner einspielen, empfehlen wir, dass Sie die Treiber entweder in den [#LETHAL]- bzw. [#INSTALLMODE]-Moduds schalten bzw. die Treiber für das Update einfach deaktivieren. Nach erfolgreichem Einspielen können sie unsere Tools dann wie gewohnt aktivieren oder installieren. Für Fragen stehen wir unseren Kunden gerne jederzeit mit Rat und Tat zur Seite.


Computerkriminalität

Jeder Zweite Internetnutzer wurde bereits Opfer

2017/10/15 von F. Rienhardt

Nach einer Umfrage des Digitalverbandes Bitkom war fast jeder zweite (49%) deutsche Internetnutzer in den letzten zwölf Monaten Opfer von Computerkriminalität. Das häufigste Delikt waren nach Umfrage demnach Schadprogramme wie Viren, Trojaner oder Ransomware. Es zeigt sich damit erneut, dass klassische Schutzmaßnahmen heute nicht mehr ausreichen. Zusätzlicher Schutz wie Türsteher, MemProtect oder FIDES können Angriffe besser abwehren und zwar auch dann, wenn der digitale Schädling noch brandneu ist.


Stop Click und Start, x64-bit Editionen

Neue Funktion in Türsteher-Tray und TrayApp als x64-bit Version

2017/09/25 von F. Rienhardt

Wir haben die TrayApp für Türsteher (und Bouncer) um eine Stop, Click und Start-Option erweitert. Mit dieser Funktion kann man den Treiber kurzfristig deaktivieren und per Klick sofort wieder starten. Diese Funktion ist insbesondere für Entwickler und Admins interessant, dennoch sollte man sie nur mit Vorsicht nutzen, weil der Schutz aufgehoben ist!

Außerdem haben die TrayApps für Türsteher, Bouncer, MZWriteScanner und CmdLineScanner für 64-bit kompiliert. Damit sind nicht nur unsere Treiber 64-bit fähig, sondern auch alle Tools.

Die neuen Versionen finden Sie im Beta-Camp. Viel Spaß damit.


MZWriteScanner $FORENSICS-Ordner

Patchday Microsoft

2017/09/13 von F. Rienhardt

Die im aktuellen Microsoft Windows Patchday ausgerollten Aktualisierungen können unter Windows 7, 8 und 10 in MZWriteScanner mit aktiviertem Forensik-Logging sehr viel Speicherplatz im $FORENSICS-Ordner verbrauchen. Grund dafür ist, dass die Microsoft-Updates eine große Anzahl von ausführbaren Dateien auf den Rechner schreiben bzw. ändern (patchen). Wenn Sie nicht genügend Speicher auf der Festplatte frei haben (mindestens 20GB), sollten Sie das Forensik-Logging zum Einspielen der Patches in MZWriteScanner deaktivieren.


Eingeschränkte Verfügbarkeit

Wechsel zu einem neuen Provider

2017/09/02 von F. Rienhardt

Liebe Kunden! Wegen vermehrter technischer Probleme seitens unserer bisherigen Netzanbindung werden wir zu unserem Bedauern nun doch einen Providerwechsel durchführen. In dieser Zeit (bis zu 48h, ab heute 12:00) kann es ggf. zu Verbindungsproblemen kommen. Wir bitten, dies zu entschuldigen.


Aktualisierung unserer Treiber

Neue Versionen von MemProtect und Pumpernickel

2017/07/30 von F. Rienhardt

Nach erfolgreicher Betaphase haben wir die neue Version von MemProtect nun offiziell freigegeben. Von nun an können Sie mit MemProtect auch gezielt festlegen, welche Laufzeitbibliotheken in einer schützenswerten Anwendung ausgeführt werden dürfen und welche nicht. Damit hält in MemProtect nun eine Funktion Einzug, die manchen Anwendern aus EMET bekannt sein dürfte.

Daneben konnten wir Pumpernickel optimieren und die Speicherbelegung reduzieren. Pumpernickel geht nun noch effizienter mit Regeln um.

Daneben unterstützt die Tray-Anwendung für beide Treiber nun auch die playsound-Option und kann auf Wunsch Balloon-Notifications anzeigen. Weitere Details entnehmen Sie dem neuen Handbuch. Wir haben sämtliche Tools für MemProtect und Pumpernickel nun auch für die 64-bit-Editionen von Microsoft kompiliert, sodass Sie auf diesen Systemen mit nativen 64-bit-Anwendungen arbeiten können. In den nächsten Wochen werden wir die Tools auch für die anderen Treiber auf 64-bit-Architektur umstellen, es bleibt also spannend. Für Fragen stehen wir gerne zur Verfügung und helfen Ihnen. Melden Sie sich einfach bei uns.

2017/08/02 Nachtrag:

Im ursprünglichen Installerpaket von MemProtect waren in der ini-Datei nicht alle Optionsfelder deklariert. Dies haben wir nun korrigiert.


Erhöhen Sie den Schutz ihrer Whitelisting-Lösung

Aktualisierung unser Application-Whitelisting Blacklist

2017/06/19 von F. Rienhardt

Wie wir, pflegt auch das das Device Guard Team eine Liste von System-Anwendung, die Device Guard und Application Whitelisting Lösungen aushebeln können. Wir haben die von Microsoft veröffentlichtle Liste daher in unsere blacklist integriert und empfehlen, diese entsprechend in Türsteher oder CommandLineScanner zu nutzen.


Endspurt: Stimmen Sie für uns auf bestofstartups.de

Best of Startups - 5. Ideenmarkt am 21. Juni 2017

2017/06/15 von F. Rienhardt

Am 21.06.2017 präsentieren wir unsere Produkte auf 5. Ideenmarkt in Bonn. Lernen Sie uns kennen und kommen Sie vorbei. Wir freuen uns auf Sie und Ihre Fragen.

Mit der Veranstaltung Best of Startups bieten die IHK Bonn/RheinSieg, Podium49 und die Universität Bonn ein öffentliches Forum für neue Entwicklungen, Geschäftsideen, Projekte und Startups, aus der Region. Stimmen Sie für uns online auf bestofstartups.de. Vielen Dank und bis zum 21.06.


Erweiterte DLL-Filterung für noch mehr Sicherheit

Neue Version von MemProtect im Beta-Camp

2017/06/11 von F. Rienhardt

Wir haben unseren Speicherschutz-Treiber MemProtect um einen DLL-Filter erweitert. Damit können neben reinen Code-Injektion-Angriffen nun auch Laufzeitbibliotheken blockiert werden, die beispielsweise über einen Exploit in Prozesse geladen werden sollen. Dies ermöglicht zusätzlichen Schutz und kann dabei helfen, Ihr System noch stärker gegen Angriffe zu härten. Eine erste Testversion ist in unserem Beta-Camp als Download verfügbar.


Verbesserte Benachrichtigung im Tray-Bereich

Neue Tray-App im Beta-Camp

2017/05/30 von F. Rienhardt

Unsere Tray-App für Pumpernickel, MemProtect, MZWriteScanner, MemProtect und CommandLineScanner werden bald aktualisiert. Wesentliches neues Feature werden dabei neue Benachrichtigungsfunktionen sein. So werden die Tray Apps nun wie Türsteher auch ToolTips unterstützen und auch die Möglichkeit bieten, Sound auszugeben. Aktiviert werden können die Funktionen mittels Kommandozeilenparameter:

Die erste Version der Tray App für Pumpernickel ist im BetaCamp verfügbar. Versionen für unsere anderen Werkzeuge werden folgen.

Wir haben zudem den Quellcode für eine allgemeine TrayApp veröffentlichen und unter Public Domain freigeben. Damit ermöglichen wir es Ihnen, Ihre eigenen Benachrichtigungs-Tools zu schreiben, was unseren Kunden damit noch mehr Flexibilität gibt. Schreiben Sie uns, wie und was Sie entwickelt haben. Wir sind gespannt. Den Download zum Quellcode finden Sie hier.


Tricks mit Sonderzeichen in der cmd.exe-Kommandozeile

Geschickte Tarnung schädlicher Kommandozeilenbefehle

2017/05/28 von F. Rienhardt

Cyber-Kriminelle nutzen vermehrt einen Trick, ausgeführte Kommandozeilenbefehle zu verschleiern. Dazu nutzen die Kriminellen das ^-Zeichen, wie das folgende Beispiel zeigt:

cmd.exe shell ^ trick

Der Computer versteht die Befehle ohne Weiteres und führt sie aus. Das Problem aber ist, dass Virenscanner und Analyse-Programme diese Veränderung nicht immer erkennen. Die Kriminellen können dadurch unter dem Radar operieren. Der Anwender merkt zunächst nichts davon.

In unserem Beispiel versenden die Kriminellen wieder einmal Word- und Excel-Dateien. Darin stecken Makros. Der Anwender sieht einen kryptischen Text aus Zahlen und Sonderzeichen, den er nur „entschlüsseln“ kann, wenn er die Makros aktiviert. Das ist natürlich nicht die Wahrheit. Aktiviert der Anwender das Makro, startet im Hintergrund eine Kommandozeile (cmd.exe) und führt dann sogenannten Shellcode aus. So kann nun das eigentliche Schadprogramm, in diesem Fall ein Verschlüsselungstrojaner, heruntergeladen und gestartet werden. Da der Shellcode mit ^-Zeichen versehen wurde, ist er für Virenscanner schwerer zu erkennen.

Türsteher kann vor diesem Angriff schützen. Dem Treiber von Türsteher ist es egal, ob ein Kommando mit oder ohne ^-Zeichen geschrieben worden ist. Türstehers lässt es schlicht nicht zu, dass Kommandos aus unbekannten Pfaden gestartet werden. Unsere Empfehlung ist das Kommando cmd.exe */c* auf die Blacklist zu setzen.

Schauen Sie auch unser Video an, wie man sich vor Markos schützen kann. Oder lesen mehr über Ransomware in unserem Glossar.


#WannaCrypt0r #WanaCry, #Wcry befällt tausende Rechner

So schützen Sie sich vor Verschlüsselungstrojaner Wannacry

2017/05/15 von F. Rienhardt

Ein neuer Verschlüsselungstrojaner mit Namen Wannacry infiziert derzeit Tausende von Rechnern weltweit. Der Schadcode befällt Rechner mit dem Betriebssystem Windows und verschlüsselt die persönlichen Daten der Anwender. Die Entschlüsselung ist erst nach Zahlung eines Lösegelds möglich, sonst sind die Daten verloren. Nach aktuellem Stand wurden mehr als 220.000 Computer in 150 Ländern befallen. Damit hat der Schadcode innerhalb nur weniger Tage einen erheblichen Schaden angerichtet.

WannaCry Ransom Desktop Hintergrund

Die Verbreitung des Schadcodes erfolgt hierbei ohne direkte Aktion des Anwenders. Wannacry nutzt eine Sicherheitslücke im Betriebssystem aus und versucht weitere Rechner im Netzwerk zu attackieren. Der Angriff und die Weiterverbreitung der Schadsoftware kann verhindert werden, wenn der Software-Patch MS17-010 installiert ist. Wer seine Windows-Systeme nicht patchen kann, sollte schnellstmöglich sicherstellen, dass die Ports 445, 139 und 3389 nicht direkt über das Internet erreichbar sind (z.B. mit Firewall-Regeln). Wer Dateifreigaben (SMB) nicht zwingend benötigt, sollte SMBv1 unter Windows deaktivieren.

7 Regeln zum Schutz vor Ransomware und Schadsoftware

  1. Installieren sie eine Application Whitelisting Lösung wie zum Beispiel Türsteher. Application Whitelisting schützt vor dem oben genannten Wannacry-Trojaner und ähnlicher Schadsoftware.
  2. Legen Sie Sicherungskopien auf externen Datenträgern an. Nutzen Sie beispielsweise externe Festplatte oder DVD-ROM. Trennen Sie den externen Datenträger nach Erstellen des Backups und verwahren Sie ihn an einem sicheren Ort.
  3. Halten Sie Ihr Betriebssystem aktuell. Prüfen Sie mindestens ein Mal pro Woche (wir empfehlen täglich), ob es neue Updates gibt. Unter Windows rufen Sie dazu in der Systemsteuerung die Updateverwaltung auf.
  4. Halten Sie auch weitere Programme aktuell. Bei installierten Programmen gibt es hierzu meist eine auswählbare Option (z.B. „Nach Updates suchen“).
  5. Deinstallieren Sie alte oder ungenutzte Programme. Denn durch jedes Programm weniger senken Sie das Risiko eines Angriffs durch nicht geschlossene Sicherheitslücken.
  6. Vermeiden Sie unsichere Webseiten. Laden Sie keine illegalen Kopien von Filmen, Musik oder Software herunter. Häufig enthalten die Downloads auch Schadsoftware oder leiten auf Webseiten, die Exploits enthalten. Angebote, die zu gut sind um wahr zu sein, sollte man im Internet aus Sicherheitsgründen meiden.
  7. Löschen Sie E-Mails und E-Mail-Anhänge von unbekannten Absendern. Ganz gleich, wie verlockend oder drohend die E-Mails auch wirken, löschen Sie diese oder fragen im Zweifel beim Absender telefonisch nach.

Neue Blacklist-Empfehlungen online

Warum man Pfade unterhalb von C:\Windows\ blockieren muss

2017/05/07 von F. Rienhardt

Mit unseren Application-Whitelisting-Produkten gibt man üblicherweise C:\Windows\ frei. Doch es gibt bestimmte Verzeichnisse unterhalb von C:\Windows\, in die man auch mit normalen Benutzerrechten Dateien schreiben kann. Man muss dafür nicht als Admin angemeldet sein. So könnten aber auch Exploits in diese Verzeichnisse schreiben. Deswegen raten wir unseren Kunden dringend, diese Verzeichnisse auf die schwarze Liste zu setzen.

Wir haben eine Reihe dieser Verzeichnisse von verschiedenen Windows-Versionen gesammelt und in unsere Blacklist-Empfehlung aufgenommen, die hier geladen werden kann.

Diese Liste ist nicht vollständig, da die beschreibbaren Verzeichnisse von Windows-Version zu Windows-Version variieren. Es hängt außerdem auch davon ab, welche Programme oder Treiber man nutzt und wie man sein Windows installiert hat. Wir empfehlen daher, die Verzeichnisse unterhalb von C:\Windows\ eigenständig zu durchleuchten.

Anleitung zum Durchsuchen nach beschreibbaren Verzeichnissen C:\Windows\

Rufen Sie folgende cmd.exe-Shell (mit normalen Benutzerrechten, nicht Admin) auf:

dir /B /S /A:D C:\Windows >dummy.txt

Danach öffnen Sie die Datei dummy.txt und ersetzen den String C:\Windows\ mit der Option „Suchen und Ersetzen“ zu:

xcopy 4cdfa0c8-9c1f-4b14-8eb5-a5b6405284d3.exe C:\Windows\

Wobei 4cdfa0c8-9c1f-4b14-8eb5-a5b6405284d3.exe eine beliebige EXE-Datei sein kann. Wichtig ist nur, dass der Dateiname nicht schon in den Windows-Verzeichnissen existiert. Wir haben für dieses Beispiel einfach eine beliebige EXE-Datei kopiert (notepad.exe) und diese in 4cdfa0c8-9c1f-4b14-8eb5-a5b6405284d3.exe umbenannt. Sie können den Dateinamen frei wählen.

Den Inhalt der so geänderten dummy.txt-Datei kopieren Sie nun in die Zwischenablage (alles markieren und dann kopieren). Danach öffnen Sie eine cmd.exe-Shell (nicht als admin) und fügen den Inhalt der Zwischenablage ein. Auf der Shell werden jetzt recht viele Kopiervorgänge ausgeführt. Die meisten werden wegen fehlender Benutzerrechte scheitern. Einige aber werden funktionieren. Nach diesen Verzeichnissen suchen wir. Sie sollten auf die Blacklist.

Wenn auf der cmd.exe-Shell keine Befehle mehr ausgeführt werden, können Sie mit dem Explorer unter dem Verzeichnis C:\Windows\ nach der Datei 4cdfa0c8-9c1f-4b14-8eb5-a5b6405284d3.exe suchen. Jedes Verzeichnis, in dem diese EXE-Datei auftaucht, sollten Sie auf die Blacklist setzen. Falls in diesen Verzeichnissen Programme liegen, die sie nutzen wollen, müssen Sie diese in der Whitelist mittels einer Prioritätsregel (also mit vorausgehendem !) freigeben. Alternativ können Sie auch den Hashwert nutzen. Dort ebenfalls nicht vergessen, die Regel als Prioritätsregel zu definieren - sprich mit ! vor dem Hashwert. Leider gibt es keine einfachere Möglichkeit, diese Verzeichnisse in die Blacklist aufzunehmen. Wir haben versucht, für unsere Kunden ein Hilfsprogramm zu entwickeln, das ein Pfadliste automatisch erstellt. Doch Nicht-Systemprogramme liefern ggf. die falschen Zugriffsrechte zurück. Die so erzeugte Liste wäre nicht vollständig. Nicht so bei der cmd.exe-Shell.

Wir empfehlen Ihnen daher, unserer Anleitung zu folgen und die so erhaltenen Verzeichnisse zu blockieren. Nur so können Sie einen maximalen Schutz für Ihre Daten sicherstellen. Für Empfehlungen, Hinweise und Rückmeldungen zu diesem Thema sind wir dankbar.


Neuer Trick von Cyber-Kriminellen

Fake-Sendungsverfolgung mit Schadcode-Download

2017/04/18 von F. Rienhardt

Cyber-Kriminelle haben ein Problem: Immer wenn sie neuen Schadcode programmiert haben, dauert es nicht lange, bis Virenscanner den Schadcode kennen. Antivirenhersteller setzen den neuen Schadcode auf ihre Listen und schon geht das Spiel für die Cyberkriminellen von vorne los. Deswegen denken sich die Kriminellen immer neue Tricks aus.

So sieht die gefälschte DHL-Mail aus

Aktuell werden vermeintliche E-Mails von DHL versendet. Mit dem richtigen Logo, einer Fußzeile und persönlicher Anrede kann man die Mails kaum von echten unterscheiden. So weit, so bekannt. Doch seit neuestem versenden die Kriminellen die E-Mails ohne Schadcode-Anhang, dafür mit einem Link zu einem Schadcode-Download. Die Virenscanner der E-Mail-Programme, wie zum Beispiel web.de, gmail.de oder outlook, haben jetzt ein Problem: Sie können die Fake-Mails von den echten kaum unterscheiden. Ohne den Schadcode-Anhang sehen die Fake-Mails wie echte DHL-Mails aus. Würden die Virenscanner der E-Mailprogramme die Fake-Mails ausfiltern, würden sehr wahrscheinlich auch echte DHL-Mails im Spamfilter landen. Das ist natürlich nicht gewollt. Der Effekt: Viele der Spam-Mails schaffen es in das normale Postfach der Benutzer.

Die erste Hürde für die Kriminellen ist damit geschafft. Auch die zweite Schwierigkeit, auf den Rechner der Benutzer zu gelangen, können die Kriminellen mit dem Link in der Fake-Mail besser überwinden. Denn die Kriminellen können den Schadcode auf Ihren Servern schnell verändern. Die Schadcode-Programmierer erstellen täglich, teilweise sogar stündlich neue Varianten des Schadcodes. Auf diese Schadcodes wird dann über die E-Mails verlinkt. Dadurch sind die Virenscanner auf den Rechnern der Anwender nahezu machtlos. Die Antivirenscanner können nur vor Schadcode warnen, den sie kennen. Verändert sich der Schadcode täglich oder stündlich, schaffen es die Antiviren-Hersteller nicht, vor den allerneuesten Varianten zu schützen. Folgend ein Auszug von VirusTotal. 56 Virenscanner analysierten einen brandneuen Schädling, das Ergebnis, nur 4 von 56 Scannern konnten den Schadcode identifizieren. Nur 4 von 56 Virenscannern erkennen den Schädling Schutz vor solchen Angriffen bietet unsere Software „Türsteher“ und vorsichtiges Handeln. Klicken Sie auf keinen Fall auf den angegebenen Link. Dort lauert eine schädliche JavaScript-Datei, die Ihren Rechner z.B. mit Cryptolockern/Ransomware oder einem Trojaner infiziert. Klicken Benutzer des Chrome-Browsers diesen Link trotzdem an, sehen sie zumindest eine Warnmeldung: „Dateien dieses Typs können Schäden an ihrem Computer verursachen.“

Google Chrome warnt vor schädlichen Downloads

Sie sollten diese Warnmeldungen ernst nehmen und die Datei verwerfen. Dies gilt generell für jede ähnliche E-Mail mit Anhang oder Links auf externe Web-Seiten, wenn Google Chrome Sie warnt.

Mit unserer Software Türsteher können Sie verhindern, dass der Schadcode gestartet wird. Denn mit unserer Software können sie den Skript-Interpreter ausschalten. Der Skript-Interpreter ist ein Programm, das JavaScript-Dateien ausführt. Setzen Sie dazu „wscript.exe“ auf die Blacklist. So können Sie sichergehen, dass auch unerfahrene Benutzer den Schadcode nicht auch aus Versehen starten.

Generell empfehlen wir, dass Sie vermeintliche E-Mails von DHL, der Packstation bzw. anderer Paketdienstleister (DPD, Hermes, FedEx, UPS, USPS, etc.) nicht öffnen. Wenn Sie sich über den Status Ihrer Sendung informieren möchten, öffnen Sie die offizielle Web-Seite der Paketdienstleister. Sie können nur den Informationen der offiziellen Seiten vertrauen. Dies gilt auch für Online-Shops und Online-Banken. Navigieren Sie im Zweifel immer zur primären Webseite der Institution. Lassen Sie sich keinesfalls von Drohungen oder Fristen unter Druck setzen, prüfen Sie gründlich und fragen lieber nochmals beim Kundendienst nach.


NEU: Aktualisierung unserer Binärpakete

2017/04/02 von F. Rienhardt

Wir haben die Binärpakete all unserer Treiber aktualisiert. Neben kleinen Detailverbesserungen und PDF-Handbüchern für MemProtect und Pumpernickel wurde insbesondere MZWriteScanner deutlich überarbeitet. Der Treiber konnte an vielen Stellen stark optimiert werden, zudem konnten wir einen kleinen Fehler korrigieren, sodass MZWriteScanner nun noch stabiler und besser läuft. An dieser Stelle möchten wir uns für wertvolle Hinweise und Tests ganz besonders bei Dave, Froggie und Peter bedanken.


Aktualisierung unserer Binärpakete

2017/03/31 von F. Rienhardt

Wir arbeiten an einer Aktualisierung all unserer Binärpakete. Aktuell durchlaufen diese noch den Microsoft Code Attestation Prozess, aber in den nächsten Tagen ist es dann soweit.


Aktualisierte Blacklist

2017/03/19 von F. Rienhardt

Wir haben unsere Blacklist-Empfehlung aktualisiert. Es wurde ein Schreibfehler für auditpol.exe korrigiert, zudem wurden neue Regeln für utilman.exe, syskey.exe, and scrcons.exe hinzugefügt. An dieser Stelle möchten wir auch auf Florian Roths sigma-Regeln verweisen, welche sich perfekt in Türsteher, Command Line Scanner und MemProtect nutzen lassen. Last but not least möchten wir uns an dieser Stelle bei Dave, Sean und Flo für das Feedback und die wertvollen Hinweise bedanken.

Wir haben zudem zwei weitere Begriffe in unser Glossar aufgenommen: Fileless Malware (dateilose Schadprogramme) und Recruitment Fraud. Viel Spaß beim Lesen.


Der Cloudflare-Bug und seine Auswirkungen

2017/02/27 von F. Rienhardt

Einige unserer Kunden und Besucher wissen es vielleicht schon: Excubits ist Kunde von Cloudflare und daher potenziell auch von dem Cloudflare-Bug und des daraus folgenden ungewollten Cachings geworden. Wir möchten auf diesem Wegen mitteilen, dass wir zu keinem Zeitpunkt von dem Fehler betroffen waren. Wir speichern keine kundenspezifischen Daten auf Web-Servern (oder Datenbankservern). Alle an uns via Web-Formulare übermittelten Daten werden immer Ende-zu-Ende-verschlüsselt an uns übermittelt, es findet zu keiner Zeit eine Entschlüsselung auf dem Transportweg, noch auf den Servern statt. Unsere und Ihre Daten waren und sind daher stest sicher.

Cloudflare hat uns zudem schriftlich bestätigt:

Fortunately, your domain is not one of the domains where we have discovered exposed data in any third party caches

Wenn Sie weitere Fragen zum Cloudflare-Bug haben, stehen wir Ihnen gerne zur Verfügung.


Mythos "dateilose" Angriffe

2017/02/19 von F. Rienhardt

Kaspersky hat kürzlich über "dateilose Schadcodes" berichtet. Dateilose Schadecodes hören sich sehr schlimm an. Man könnte meinen, dies sei das Ende der Virenschutzprogramme oder sogar von Whitelisting. Wenn man sich die Attacke genauer ansieht, fällt auf, dass die Angreifer natürlich Schadcode ausführen und auch speichern müssen.

Schauen wir uns das Vorgehen der Angreifer genauer an. Die Kriminellen haben auf den attackierten Windows-Rechnern tatsächlich keinen Schadcode in Form einer eigenen EXE-Datei platziert. Stattdessen speichern sie den Schadcode in der Windows Registry. Der Schadcode verhält sich sozusagen wie ein Parasit. Letztlich speichern die Angreifer ihren Schadcode trotzdem dauerhaft im System. Sie registrieren dazu einen sogenannten Windows-Dienst:

sc \\target_name create ATITscUA binpath= "C:\Windows\system32\cmd.exe /b /c start /b /min powershell.exe -nop -w hidden e [base64 ecoded script…]" start= manual

Als Dienst starten sie hier ein Powershell-Skript. Dieses Skript führt dann den eigentlichen Schadcode aus. So ist der Rechner dauerhaft mit Schadcode infiziert, obgleich keine Schadcode-Dateien auf dem Dateisystem zu erkennen sind.

Im aktuellen Fall handelte es sich um die Powershell, die über den Kommandozeilen-Interpreter gestartet wird. Das ist ein Prozess, den man sehr gut mit unseren Produkten Command Line Scanner und Türsteher ausfiltern kann. Sie können mit beiden Schutzsystemen genau festlegen, wer, was und mit welchen Parametern starten darf. Auf diese Weise lässt sich auch die Powershell erheblich einschränken, was einen solchen Angriff unmöglich macht. Sie können auch die Service-Schnittstelle SC ausfiltern oder deaktivieren. So können Angreifer keinen Dienst installieren.

Unsere Empfehlung lautet daher: Machen Sie sich mit dem Kommandozeilen-Scanning vertraut. Es wird sicher nicht der letzte Angriff dieser Art gewesen sein. Wir haben ähnliche Angriffe bereits an anderer Stelle beobachtet. Zu Beginn können Sie mit Command Line Scanner und Türsteher auch erst einmal nur protokollieren. Dies hilft Ihnen dabei, Angriffe frühzeitig zu erkennen und Gegenmaßnahmen einzuleiten. Angreifer suchen ständig nach neuen Wegen, Computer zu infizieren. Gut zu Wissen, das Produkte von Excubits auf der Höhe des Geschehens sind.


Empfehlung: Aktualisieren Sie Ihre Türsteher-Blacklist

Neue Angriffswelle über EVENTVWR.EXE

2017/02/12 von F. Rienhardt

Für Nutzer unserer Sicherheitssoftware Türsteher bieten wir eine neue Version der Türsteher-Blacklist. Wir empfehlen die aktuelle Liste hier herunterzuladen und in Ihre Konfiguration zu übernehmen.

Der Grund für die neue Türsteher-Liste sind Angriffe über EVENTVWR.EXE. Über diese Programmdatei werden aktuell verstärkt Spionage- und Verschlüsselungstrojaner mit höheren Benutzerrechten gestartet. EVENTVWR.EXE ist Bestandteil des normalen Windows-Betriebssystems. Aufgedeckt hat diese Angriffstechnik enigma0x3.

In dem Programm EVENTVWR.EXE ist ein Fehler enthalten: Der fehlerhafte Teil des Programms zieht aus dem Benutzerstrang der Registry Teile ihrer Konfiguration. Genau das nutzen Cyber-Kriminelle aus, um darüber mit höheren Rechten Programme auszuführen. Dies funktioniert beispielsweise in Excel- und Word-Dateien mit Makros. Dadurch können Angreifer die komplette Kontrolle über den Rechner erlangen.

EVENTVWR.EXE ist damit sehr gefährlich für die Sicherheit Ihres Systems. Da diese EXE-Datei im normalen Windowsbetrieb so gut wie nicht benutzt werden muss, kann man sie auf die Blacklist von Türsteher setzen. Die EXE-Datei wird dadurch blockiert und Ihr PC bleibt sicher vor diesem Angriff.


Ciscos-Web-Conferencing: Schützen Sie sich mit Türsteher

2017/01/26 von F. Rienhardt

In Ciscos Web-Conferencing System WebEx besteht eine gefährliche Sicherheitslücke. Diese Lücke ist durch ein Patch der Firma Cisco nur teilweise geschlossen. Es ist unter bestimmten Bedingungen noch immer möglich, beliebige Laufzeitbibliotheken und deren Funktionen aufzurufen. Dies können Angreifer auch dazu nutzen, sog. Shellbefehle auszuführen und darüber dann Schadcode auf den Rechner zu laden und auszuführen. Mit Türsteher können Sie die WebEx-Komponente leicht auf die schwarze Liste stellen und verhindern, dass die Komponente für solche Angriffe ausgenutzt werden kann. Zudem kann Türsteher mit der Kommandozeilenprüfung das Absetzen bösartiger Kommandozeilenbefehle wirksam einschränken.

Diese Lücke zeigt eindrucksvoll, dass heute neben klassischen Schutzprodukten wie Antivirus und Firewall auch Whitelisting-Lösungen wie Türsteher gebraucht werden. Mit Türsteher können bestehende Lücken geschlossen oder deutliche abgeschwächt werden und das mit geringem Aufwand und wenig Kosten.

Nachtrag vom 2017/02/05

Die Lücke wurde von Cisco mittlerweile vollständig geschlossen. Wir empfehlen dennoch, Ihren Browser mit Türsteher so abzusichern, dass er nur die Prozesse und Kommandozeilenparameter ausführen darf, die Sie explizit freigeben. Dies erhöht die Sicherheit und schützt präventiv vor ähnlich gelagerten Sicherheitslücken, die ggf. in anderen Plugins und Produkten bestehen.


Schöne Feiertage

2016/12/25 von F. Rienhardt

Ob Sie Weihnachten feiern oder ein paar ruhige Tage zwischen den Jahren verbringen: Das Excubits-Team wünscht allen Kunden und Supportern eine schöne Zeit und einen gesunden und guten Rutsch ins Jahr 2017. Bleiben Sie gesund, Ihr PC schadcodefrei 😊, aktualisieren Sie Ihren (neuen) PC vor den ersten Ausflügen ins Netz und haben Sie eine schöne Zeit mit Freunden und Familie.


Vorsicht: Schadcode per personalisierter E-Mail

2016/12/09 von F. Rienhardt

Cyber-Kriminelle geben sich immer mehr Mühe, Anwender mit Schadcode zu infizieren. So sind aktuell sehr professionell gestaltete E-Mails im Umlauf, die ihre Opfer persönlich mit richtigem Namen ansprechen. Im weiteren Verlauf der E-Mail nennen die Kriminellen sogar die korrekte Adresse und Telefonnummer ihrer Opfer. Auf diese Weise wirken solche E-Mails sehr glaubwürdig:

Zielgerichtete Cyber Attacker per E-Mail

In der E-Mail des angeblichen Inkasso-Anwalts wird der Empfänger aufgefordert, eine noch offene Rechnung zu begleichen. Die Kriminellen drohen damit, die Angelegenheit an ein Gericht zu übergeben, wenn man nicht bezahlt. Die korrekte Anrede (1) und aufgeführte Adresse (2) zusammen mit der Drohung wirken sehr echt. Der Empfänger soll dazu gedrängt werden, den Anhang (3) der E-Mail zu öffnen. Statt der Kostenaufstellung für die gefälschte Mahnung befindet sich im Anhang eine mit .com-Endung verschleierte EXE-Datei. Diese Datei infiziert den Rechner sofort mit Schadcode, wenn man sie öffnet.

Mit Türsteher können Sie verhindern, dass der Schadcode auf Ihren Rechner installiert wird. Türsteher erkennt echte PDF- oder Text-Dateien von schädlichen ausführbaren Dateien. Schädliche ausführbare Dateien blockiert Türsteher, ungefährliche Dateien lassen sich auch weiterhin problemlos öffnen.

Achtung vor solchen E-Mails

Bei solchen oder ähnlichen E-Mails ist größte Vorsicht geboten. Klicken Sie keinesfalls auf den Anhang solcher E-Mails, folgen Sie keinen Links, die angegeben sind. Seriöse Anwälte versenden Ihre Nachrichten immer auf dem Postweg, keinesfalls nur per E-Mail. Wenn Sie eine ähnliche E-Mail erhalten haben und unsicher sind, fragen Sie im Zweifel bei einem Computer-Experten um Rat. Auf keinen Fall sollten Sie sich von Drohungen einer solchen E-Mail unter Druck gesetzt fühlen. Nie sollten Sie vorschnell Anhänge öffnen, eine Antwort schreiben oder Links in den E-Mails folgen. In den meisten Fällen handelt es sich um betrügerische Spam E-Mails die versuchen, Ihren Rechner mit Schadcode zu infizieren oder Sie zu erpressen.

Wie kommen die Cyber-Kriminellen an meine Daten?

Viele Menschen fragen sich, woher die Cyber-Kriminellen Ihren Namen, Anschrift und Telefonnummer kennen. Zum Beispiel können die Kriminellen sich Zugang zu Datenbank-Servern von Firmen und Online-Shops verschaffen und dort die persönlichen Daten der Kunden (also Ihnen) stehlen. Diese persönlichen Daten nutzen sie dann für Spam- und Schadcode-Kampagnen wie in dem hier geschilderten Fall. Neben Ihren persönlichen Daten wie E-Mail-Adresse, Name, Anschrift und Telefonnummer können dabei auch Ihr Geburtsdatum, das genutzte Passwort und Bank- sowie Kreditkarteninformationen gestohlen werden. Aus diesem Grund sollten Sie für jeden genutzten Online-Dienst ein eigenes Passwort verwenden. Empfehlung: Nutzen Sie zur Zahlung im Internet beispielsweise den Zahlungsdienstleister PayPal, wenn dies möglich ist. So müssen Sie ihre Bank- und Kreditkarteninformationen nicht im Shop hinterlegen und PayPal kümmert sich um die Abwicklung der Bezahlung. Dadurch geben Sie an den Shop weniger Informationen und reduzieren das Risiko.


MemProtect

Angriffe über Atom Tables abwehren

2016/11/15 von F. Rienhardt

Windows bietet für den anwendungsübergreifenden Austausch von Daten sog. Atom Tables als Datenstruktur an. Über diese Tabellen können Anwendungen Daten in einer global erreichbaren Datenstruktur ablegen. Anstatt der eigentlich vorgesehenen Datenstrukturen können Angreifer aber auch schädlichen Code in die Atoms Tabellen schreiben (sog. Atom Bombing Code Injection). Da die Tabellen zwischen Programmen hinweg genutzt werden, kann eine Anwendung A schädlichen Code in die Atom Tables schreiben und dafür sorgen, dass eine unbedarfte Anwendung B diesen Code in den eigenen Programmspeicher lädt. So können Angreifer ihren Schadcode über geschützte Speichergrenzen hinweg in andere Programme schmuggeln (injizieren). Über weitere Tricksereien ist es möglich, den eingeschleusten Code im Kontext des angegriffenen Programms zu starten. Beispielsweise könnte man den Taschenrechner oder Browser dazu bringen, den Code vom Angreifer auszuführen. Da Systemprogramme oder beispielsweise der Browser grundsätzlich nicht verdächtig sind, werden sie von Desktop-Firewalls auch nicht blockiert und haben häufig vollen Zugriff auf das Internet. Angreifer nutzen das gerne aus. Wenn sie ihren schädlichen Code in eine vertrauenswürdige Anwendung schmuggeln, können sie unter dem Deckmantel lange unerkannt arbeiten. Einen solchen Angriff zu erkennen ist sehr schwer.

Wir haben den veröffentlichten Angriff analysiert und können berichten, dass sich mit MemProtect die gezeigten Angriffe vermeiden lassen. Nach allem, was bisher an Code bekannt ist, müssen die Angreifer den zu attackierenden Prozess öffnen können. Dies wird durch MemProtect bereits auf Kernel-Ebene verhindert, weswegen der Angriff schlussendlich scheitert. Doch MemProtect schützt nicht nur vor dieser Attacke. MemProtect schützt in beide Richtungen und spielt seine Stärken insbesondere bei In-Memory-Attacken aus: Verhindern Sie, dass schädlicher Code in besonders schützenswerte Programme injiziert werden kann und verhindern Sie gleichzeitig, dass aus verwundbaren Programmen - wie z. B. PDF-Viewer oder Browser, über Exploits Code in andere Programme injiziert werden kann.

MemProtect arbeitet nicht signaturbasiert, benötigt keine Trainingsdaten für eine KI oder Heuristik. Sie müssen nur festlegen, welcher Prozess zu schützen ist, das war's. Testen Sie die Demoversion und überzeugen Sie sich selbst.


« Ältere Einträge