Aktuelles

Aktuelle Informationen rund um Excubits und IT-Sicherheit.
Abonnieren Sie unseren Newsletter, um auf dem Laufenden zu bleiben.

Rombertik: Wirklich neu oder Panikmache?

2015/05/06 von F. Rienhardt

Sicherheitsexperten von Cisco haben mit Rombertik einen sehr aggressiven digitalen Schädling analysiert. Das Schadprogramm spioniert gezielt Web-Browser aus und ist in der Lage, sämtliche in Browsern verarbeitete Texte abzugreifen. Damit kann Rombertik nicht nur Benutzernamen und Passwörter ausspionieren, sondern auch im Browser geschriebene E-Mails, Chats oder besuchte Web-Seiten belauschen. Zudem verfügt der Trojaner über ausgeklügelte Verschleierungstaktiken, die seine Entdeckung verhindern sollen bzw. die Analyse erheblich erschweren. Um nicht aufzufallen, versteckt sich die Malware sehr geschickt im System. Wird sie dennoch entdeckt, überschreibt Rombertik den sog. Master-Boot-Record (MBR). Windows lässt sich dann nicht mehr starten. Kann der MBR nicht überschrieben werden, verschlüsselt Rombertik alle persönlichen Daten des Anwenders mit einem Zufallsschlüssel. Die eigenen Dateien sind damit zerstört.

Auf den ersten Blick hört sich das sehr neuartig und bedrohlich an, ist es jedoch nicht. Betrachtet man die Analyse von Cisco etwas genauer, fällt auf, dass sich das Schadprogramm erst durch Anklicken eines E-Mail-Anhangs auf dem Rechner installiert. Sprich, der Anwender wird durch eine geschickt formulierte E-Mail dazu verleitet, eine sich im Anhang befindliche Datei zu öffnen. Dabei handelt es sich schlicht um eine Programmdatei. Solche Angriffe sind an der Tagesordnung und nichts Neues. Auch Verschleierungstaktiken sind heute leider Stand der Technik und werden von vielen Schadcodeautoren implementiert. Das Zerstören von persönlichen Dateien oder Löschen von Festplatten (oder dem MBR) ist schon seit Jahren bekannt. Diese Techniken werden von zahlreichen Schädlingen in ähnlicher Form bereits angewendet.

Es gelten daher die üblichen Verhaltensempfehlungen: Links und Anhänge in E-Mails von unbekannten Absendern weder anklicken noch öffnen. Das Betriebssystem und Sicherheitssoftware stets auf dem neuesten Stand halten. Mit Türsteher verhindern Sie zudem wirksam, dass solche Schadprogramme überhaupt erst ausgeführt werden können.


Schützen Sie Windows-Server mit Türsteher

2015/04/27 von F. Rienhardt

Marcus Murray hat auf der diesjährigen RSA-Konferenz eindrucksvoll gezeigt, wie sich Hacker Zugriff auf Windows-Server verschaffen können. In seiner ausführlichen Präsentation zeigt er unter anderem, wie es ihm gelungen ist, auf einem fremden Server ein C#-Programm zu kompilieren und das daraus resultierende Programm (EXE-Datei) auf dem Server zu starten. Dieses Programm lud im weiteren Verlauf des Angriffs weiteren Programmcode aus dem Internet nach, führte diesen aus und konnte den Windows-Server damit dann vollständig übernehmen.

Dieses Beispiel demonstriert, welche Folgen die unkontrollierte Ausführung von Programmdateien auf Windows-Servern haben kann. Mit Türsteher hätte man diesen Angriff über mehrere Wege bereits im Keim ersticken können. So ist es mit Türsteher beispielsweise ein Leichtes, die unter Windows standardmäßig im .NET-Framework enthaltenen Compiler zu sperren, außerdem wäre das Ausführen von Programmen aus temporären Benutzerverzeichnissen bei üblicher Konfiguration von Türsteher standardmäßig schon gar nicht möglich gewesen.

Türsteher kann nicht nur Rechner von Endanwendern sichern, sondern eignet sich auch ideal, Windows-Server-basierte Infrastrukturen sicherer zu betreiben. Wenn Sie dazu weitere Fragen haben, sprechen Sie uns an.


Neue Icons

2015/04/21 von F. Rienhardt

Die neuen Icons und LogosUnsere neuen Icons für Türsteher und den bald erscheinenden MZWrite Scanner sind fertig. Die erste Designstudie der Icons kann im Bild rechts bewundert werden. Die Icons verwenden keine aufdringlichen Farben, sondern die heute üblichen Pastelltöne. Selbstverständlich bleibt das bekannte „T“ von Türsteher bzw. „B“ für Bouncer (englische Version) bestehen, schließlich sind diese Buchstaben unser Markenzeichen. Das endgültige Design kann sich noch ein klein wenig ändern, im Wesentlichen wird sich Türsteher und Bouncer aber bald mit diesen Symbolen präsentieren.


Weißes Haus über Lücken in Adobe Flash & Windows gehackt

2015/04/20 von F. Rienhardt

Wie FireEye berichtet, ist es der Hackergruppe APT28 aller Wahrscheinlichkeit nach gelungen, Rechner im Weißen Haus über geschickte Kombination von Sicherheitslücken in Adobe Flash und Windows zu kapern, um Informationen auszuspähen. FireEye spricht in dem Bericht davon, dass der initiale Angriffscode auf Webseiten platziert wurde. So konnten arglose Anwender bereits beim bloßen Betrachten einer infizierten Webseite über ein Flash-Video mit Schadcode infiziert werden. Anschließend wurde eine Programmdatei aus dem Web geladen, in einen temporären Ordner gespeichert und danach unmittelbar gestartet. Scheinbar wurde keine Ausführungskontrolle verwendet, die dies hätte verhindern können.

Trotz bestehender Technologie wie Software Restriction Policies (SRPs) und AppLocker ist es noch immer nicht unkompliziert möglich, Windows aktiv vor Attacken zu schützen. Eine leichte Installation, einfache Bedienung sowie schnelle Performance der Sicherheitssoftware ist bei der täglichen Arbeit eminent wichtig.

Türsteher bietet genau diese Kombination von einfacher Handhabung zusammen mit guter Performance. Türsteher macht Ausführungskontrolle (engl. whitelisting, anti executable) unkompliziert und für jedermann nachvollziehbar. Mit Software 100% aus Deutschland schaffen wir Vertrauen ohne Werbung, Onlineaktualisierungen, Spionagefunktionen. Unsere Kunden sind keine Statisten für Werbestatistiken. Excubits bedeutet mehr IT-Sicherheit in Ihrem Unternehmen, Ihrer Behörde und auch bei Ihnen zu Hause - und das von Windows XP bis einschließlich Windows 10.


Europol und FBI schalten AAEH Botnet ab

2015/04/17 von F. Rienhardt

Am 8. April wurde in einer gemeinsam koordinierten Aktion von europäischen und US-amerikanischen Polizisten das AAEH-Botnetz abgeschaltet. Das Besondere an dem Botnetz ist die Art und Weise der Infektion. So ist der Hauptzweck von AAEH das Nachladen und Installieren von Schadprogrammen wie beispielsweise Online-Banking-Trojaner sowie Cryptolockern und Rootkits. AAEH verbreitet sich dabei selbstständig über Netzwerke und insbesondere auch über externe Medien wie USB-Sticks. Das Schadprogramm ändert u.a. bei jeder Infektion seinen eigenen Programmcode (sog. polymorpher Schadcode), um sich vor Entdeckung durch aktuelle Antivirusprogramme zu schützen. Das US-CERT spricht in seiner Warnmeldung von über 2 Millionen unterschiedlichen Exemplaren dieses Schädlings (sog. unique samples). Mit Türsteher kann man den von AAEH genutzten Infektionsweg über USB-Sticks praktisch verhindern und auch im Weiteren kann Türsteher vor Ausführung nachgeladener Schadsoftware wirkungsvoll schützen.


Neue Version von Türsteher verfügbar

2015/04/12 von F. Rienhardt

Wir haben Türsteher noch besser gemacht: Ab sofort unterstützt unser Treiber die unter Windows üblichen Wildcardsymbole * sowie ?, und ermöglich damit eine noch flexiblere Definition von Regelsätzen. Zudem wird bei den Regeln nun nicht mehr zwischen Groß- und Kleinschreibung unterschieden und der Treiber unterstützt Laufwerksbuchstaben, d.h. die bisher notwendig Umwandlung entfällt. Diese Neuerungen erleichtern die Konfiguration und Betrieb nochmals erheblich. Wir konnten den Treiber zudem erneut beschleunigen und so kompilieren, dass für die unterschiedlichen Architekturen von Microsoft Windows (32-bit bzw. 64-bit) nur noch zwei verschiedene Binaries notwendig sind. Im Wesentlichen bleibt zwar alles wie bisher, es ist nun aber noch besser.

Weitere Informationen und Details zu Türsteher und der Konfiguration finden Sie in unserem ausführlichen Handbuch.

Unsere Kunden erhalten die neue Vollversion selbstverständlich als kostenloses Update zum Download.

Update 2015/04/13:

Einige Benutzer berichteten uns von Problemen bei der Installation der neuen "Universal Binaries". Diese wurden durch Inkompatibilitäten des Visual Studio 2013 Compilers hervorgerufen. Wir mussten die Treiber mit der Vorgängerversion von Visual Studio übersetzen und haben diese Binaries nun online gestellt. Technisch hat sich dabei nichts geändert, die Dateien wurden nur mit einer anderen Compilerversion übersetzt.


Unser Glossar ist online

2015/03/03 von F. Rienhardt

Ab sofort ist unser Schadcode-Glossar online. Was sind eigentlich Viren, Trojaner, Bots und Rootkits? In unserem Glossar geben wir Ihnen die Antworten. Wenn Sie noch einen Begriff vermissen, freuen wir uns auf Ihre Anfrage. Wir verstehen dieses Glossar als ständig wachsende Sammlung, zögern Sie also nicht und sprechen Sie uns an.


Adobe Flashplayer erneut Einfallstor für Schadcode

2015/02/02 von F. Rienhardt

Der Flashplayer ist erneut und akut Einfallstor für Schadcode, der professionell und in großem Stil über Exploit-Kits verteilt wird, wie Trend Micro berichtet. Mittels sog. Exploit-Kits suchen Cyber-Kriminelle automatisiert nach Lücken auf Rechnern, der Besuch auf einer Webseite genügt bereits, um sich mit Schadcode zu infizieren (sog. drive-by). Es wird dringend empfohlen, den Flashplayer zu deaktivieren (z. B. mittels Türsteher) oder ganz zu deinstallieren.

Nachtrag 2015/02/07: Adobe veröffentlicht wichtige Updates

Adobe verteilt die aktuelle Flash-Version 16.0.0.305, die unter anderem die seit dem 02.02.2015 bekannte Zero-Day-Lücke schließen soll. Die Lücke wird bereits aktiv ausgenutzt, der Flashplayer sollte daher schnell aktualisiert bzw. neu installiert werden.


Aktuelle Version von Adobe Flashplayer Einfallstor für Schadcode

2015/01/23 von F. Rienhardt

In der Adobe Flashplayer-Version 16.0.0.257 klafft eine Sicherheitslücke, die es Angreifern ermöglicht, Schadcode auf Windows-PCs zu installieren. Um sich zu infizieren reicht es bereits, eine entsprechend präparierte Web-Seite anzusurfen, die Exploit-Code für die Sicherheitslücke enthält.

Mittels sog. Exploit-Kits suchen Cyber-Kriminelle aktuell automatisiert nach Lücken auf Rechnern. Sie prüfen den Rechner ihres Opfers automatisch auf verwundbare Programme und liefern dazu einen passenden Exploit aus. Im aktuellen Fall dann entsprechenden Exploit-Code, der die Lücke in Flashplayer ausnutzt und den Rechner mit einem Schadprogramm (Trojaner, Bot) infiziert. Der Sicherheitsexperte Kafeine hat den Exploit umfangreich auf seinem Blog analysiert. Um die Version Ihres Flashplayers zu sehen, rufen Sie einfach folgenden Link auf: Webseite Flashplayer.

Um sich vor den aktuell durchgeführten Angriffen zu schützen, muss man den Flashplayer deaktivieren. Das kann man entweder über den Browser tun, indem man das Flashplayer-Plugin deaktiviert (bzw. click-to-play aktiviert), oder man setzt die ausführbaren Dateien des Flashplayers mit Türsteher auf die schwarze Liste - sprich - blockiert die Programmdateien des Flashplayer-Plugins einfach strikt.

Wer auf die Verwendung von Flash angewiesen ist, sieht sich aktuell einer großen Gefahr ausgesetzt und sollte nicht ohne zusätzlichen Schutz im Web surfen. Türsteher kann hier aktiv zu mehr Schutz beitragen, da er über Exploits nachgeladenen Schadcode blockieren kann, bevor dieser ausgeführt wird und den Rechner infiziert.

Nachtrag 2015/01/25: Sicherheitslücke geschlossen

Adobe beginnt mit der Verteilung des Updates für den Flashplayer. Sofern Auto-Update aktiviert ist, sollte sich der Flashplayer automatisch aktualisieren, man kann die aktuelle Version jedoch auch direkt von der Adobe-Webseite laden.


Türsteher kann aktuelle Windows Lücke entschärfen

2015/01/08 von F. Rienhardt

Google hat eine Zero-Day-Lücke in Windows entdeckt und am 29.12.2014 veröffentlicht. Für die Sicherheitslücke (Elevation of Privilege in ahcache.sys/NtApphelpCacheControl) gibt es momentan keinen Patch, der diese schließen kann. Mit Türsteher von Excubits kann man die aktuelle Lücke jedoch recht schnell und einfach entschärfen: Der von der Lücke betroffene Treiber (die Datei ahcache.sys) wird einfach auf die Blacklist von Türsteher gesetzt. Beim nächsten Booten von Windows wird der Treiber dann nicht mehr gestartet und kann daher auch nicht mehr für einen Angriff ausgenutzt werden. Die Sicherheitslücke kann dadurch nicht mehr ausgenutzt werden.

Hintergrund der Lücke: Unter aktuellen Windows 8.1 Systemen gibt es eine Sicherheitslücke, die es Angreifern ermöglicht, eine Rechteausweitung auf dem angegriffenen System zu erzielen. Durch die Lücke kann sich ein Angreifer weitreichenden (Administrator-)Zugriff auf das System verschaffen, selbst wenn der Angriff nur auf einem Benutzerzugang mit eingeschränkten Rechten durchgeführt wurde. Dadurch ist es für einen Angreifer möglich, weitere (Schad-)software zu installieren und das System auszuspionieren oder mit einem Bot zu infizieren.

Hinweis: Das Deaktivieren des Treibers (Datei ahcache.sys) kann ggf. zu unerwünschten Seiteneffekten führen. Bitte prüfen Sie daher vorab, ob das hier beschriebene Vorgehen für Ihre Installation in Frage kommt.

Nachtrag 2015/01/22: Windows Lücke geschlossen

Die von Google veröffentlichte Sicherheitslücke im Windows Treiber ahcache.sys wurde von Microsoft zwischenzeitlich geschlossen. Die von uns empfohlene Regel für die Blacklist von Türsteher kann nun wieder entfernt werden, sprich, die Datei ahcache.sys kann wieder zugelassen werden.


Wir sind gestartet...

2014/12/11 von F. Rienhardt

shopping cartEs ist soweit, wir sind mit unserer Seite für Interessenten und Kunden aus Deutschland offiziell online. Türsteher kann nun online bestellt werden. Wir möchten uns an dieser Stelle bei Familie, allen Freunden und Bekannten bedanken, die uns in den letzten Wochen unterstützt haben. Besonderer Dank geht auch an alle Tester, die uns wertvolle Tipps und Hinweise geben konnten, um Türsteher noch besser zu machen. Wenn Sie fragen zu uns und unserem Produkt haben, zögern Sie nicht und sprechen Sie uns einfach an. Wir freuen uns auf Sie!

Da wir im Rahmen unseres Beta-Programms auch auf viel internationales Interesse gestoßen sind, werden wir bald eine englische Version unserer Webseite online stellen. Aktuell arbeiten wir noch mit Hochdruck an der Übersetzung. Die Beta-Version der Seite auf Englisch finden Sie hier.


BizSpark Startup

2014/11/23 von F. Rienhardt

Wir konnten uns erfolgreich bei Microsoft BizSpark Startup registrieren und freuen uns, das umfangreiche Angebot nutzen zu dürfen.