Aktuelles

Aktuelle Informationen rund um Excubits und IT-Sicherheit.
Abonnieren Sie unseren Newsletter, um auf dem Laufenden zu bleiben.

Neue Demo- und Betaversionen

2016/02/29 von F. Rienhardt

Wir haben die Demo-Versionen von CommandLineScanner und MZWriteScanner aktualisiert. Beide Forensik-Tools unterstützen nun Zeitangaben und sind performanter. Im Beta-Camp wurden Türsteher, MemProtect und Pumpernickel aktualisiert. Wir konnten bei den Beta-Versionen kleinere Fehler beheben und die Performace steigern, zudem sind die Treiber nun digital signiert, dies erleichtert das Testen erheblich.


Verschlüsselungs-Trojaner weiter auf dem Vormarsch

2016/02/24 von F. Rienhardt

Die Nachrichten über Verschlüsselungs-Trojaner, auch Cryptolocker oder Ransomware genannt, die Daten von kleinen und großen Unternehmen als auch Privatpersonen verschlüsseln und dann Lösegelder erpressen, reißen nicht ab. Verschlüsselungs-Trojaner werden meist über E-Mail-Anhänge verschickt. Die Kriminellen verschicken die Schadsoftware unter dem Deckmantel von gefälschten Rechnungen, Mahnungen, eingescannter Fax-Dateien, Fotos oder Videos. Oft nutzen sie die Namen von bekannten Dienstleistern oder Unternehmen aber auch normale, frei erfundene Namen, um das Vertrauen der Opfer zu erlangen. In der Regel scheinen die E-Mail-Anhänge „normale“ Dateien zu sein, wie Dokumente, Fotos, Tabellen oder Präsentationen. Doch in Wahrheit sind es ausführbare Programmdateien (EXE) oder Skriptdateien (JS, VBS, PS), die schlicht Rechnung.exe oder Rechnung.doc.js genannt werden. Bei Word- und Exceldokumenten nutzen die Kriminellen Microsoft Office Makros, um den Rechner mit dem Cryptolocker zu infizieren. Werden diese Anhänge geöffnet, startet für den Benutzer unsichtbar im Hintergrund die Installation der Schadsoftware. Nach kurzer Zeit sind alle Dateien des Opfers verschlüsselt. Siehe auch dazu unser Video:

Nutzer sollten vor dem Öffnen eines Anhangs genau prüfen, ob dieser im aktuellen Kontext plausibel erscheint. Bin ich überhaupt Nutzer dieser Telefongesellschaft? Habe ich in letzter Zeit online etwas gekauft? Nutze ich eine Packstation? Sind noch Posten offen, die ich bezahlen muss? Im Zweifelsfall sollten Nutzer lieber noch einmal beim Absender nachfragen, ob der Absender, tatsächlich eine Rechnung oder Mahnung geschickt hat, anstatt den Anhang sofort zu öffnen. Generell gilt: Niemals EXE-Datein von fremden Quellen anklicken, keine Installationen von E-Mail-Anhängen vornehmen lassen, keine Nachrichten von Unbekannten öffnen.

Verschlüsselungs-Trojaner gelangen jedoch nicht nur per E-Mail auf die Rechner. Laut Medienberichten verbreiten die Kriminellen den Schadcode auch gezielt über kompromittierte Webseiten. Dabei werden meist bekannte Sicherheitslücken im Browser oder Plugins wie Adobe Flash oder Oracle Java gezielt für einen Angriff ausgenutzt, um die Rechner zu infizieren. Für den Anwender ist dies besonders gefährlich, da es bereits genügt eine Webseite im Browser aufzurufen, um sich mit einem Cryptolocker zu infizieren.

Cryptolocker Locky

Die Kombination von starken Verschlüsselungsverfahren wie RSA und AES macht Cryptolocker gefährlich. Eine Entschlüsselung ist ohne den passenden Kryptoschlüssel, den die Kriminellen nur nach Zahlung des Lösegeldes herausgeben, häufig nicht mehr möglich. Selten finden Forscher in Cryptolockern Programmfehler, die eine Entschlüsselung zulassen. Nutzer müssen damit rechnen, dass die Daten für immer verloren sind. Unsere Empfehlung: Legen Sie täglich Backups, also Sicherheitskopien an. Diese Sicherheitskopien sollten auf externen, nicht dauerhaft mit den Rechnern verbundenen Backuplaufwerken (externen Festplatten, Bandlaufwerken) gespeichert werden. Wenn Sie wichtige Dateien erzeugen, sollten Sie ggf. mehrfach Backups anlegen und nicht nur einmal am Tag! Vorsicht: Ist der Rechner mit einem Cryptolocker infiziert, darf das Backup vor Bereinigung des Rechners keinesfalls angeschlossen werden. Cryptolocker verschlüsseln sonst auch noch das Backup!

Die Infektion mit einem Cryptolocker kann im Geschäftsleben erhebliche Folgen nach sich ziehen. Selbst wenn Backups vorhanden sind, müssen zuerst die Rechner bereinigt oder neu aufgesetzt werden, erst danach dürfen die Backups eingespielt werden. Das kostet Zeit und führt zu Verzögerungen im Betrieb und zu (temporären) Ausfällen der Geschäftstätigkeit – egal ob Großkonzern oder Kleinunternehmen. Es wird auch von Fällen berichtet, in denen befallene Rechner automatisch E-Mails mit dem Cryptolocker im Anhang an das gesamte E-Mail-Adressbuch versenden. Kollegen, Geschäftspartner, Freunde laufen Gefahr, ebenfalls Opfer des Verschlüsselungs-Trojaners zu werden. Da die Dateien in so einem Fall von einer vertrauensvollen Quelle stammt, ist dies besonders schädlich für den Ruf des Unternehmens. Gegebenenfalls können sogar Haftungsansprüche gegen den ungewollten Versender der Cryptolocker erhoben werden. E-Mail-Adressen des Unternehmen können dabei zusätzlich auch noch auf sog. Spam-Blacklists landen, sodass geschäftliche E-Mails beim Empfänger automatisch gelöscht oder in den Spam-Ordner aussortiert werden.

Anti-Viren-Programme und Firewalls sind gerade bei den sich stündlich ändernden Cryptolocker-Codes machtlos und können meist nur viele Stunden später eingreifen. Für viele Anwender ist es dann bereits zu spät. Anti-EXE- und Whitelisting-Ansätze wie Türsteher können hier für erheblich mehr und besseren Schutz sorgen. Türsteher blockiert jeglichen ausführbaren Code, gleich ob vermeintliche Fotos, eine falsche Rechnung oder sonst wie getarnten Schadcode.

Für Fragen zu unseren Produkten und Schutz Ihrer IT stehen wir Ihnen gerne zur Verfügung.


Schützen Anti-Viren-Programme ausreichend?

2016/02/12 von F. Rienhardt

"Durch die Vielzahl automatisch generierter Schadprogrammvarianten bietet der klassische signaturbasierte Anti-Viren-Ansatz immer weniger Schutz"*. Wir zeigen anhand einer E-Mail mit schädlichem Dateianhang, dass Anti-Viren-Programme nicht immer ausreichen, um Schadcode erkennen zu können. Dies stellt potenziell eine Gefahr dar. Bei unbekannten Dateien, seien Sie ein Anhang einer E-Mail oder auf dem USB-Stick, ist trotz Anti-Viren-Programm stets Vorsicht geboten. Schützen können Sie sich beispielsweise mit einem Anti-EXE (Application Whotelisting) Programm wie Türsteher. Türsteher verhindert zuverlässig das Ausführen von unbekannten EXE-Dateien und noch mehr.

*Zitat aus dem neuesten „Report zur Lage der IT-Sicherheit in Deutschland“ des BSI (S.22).


Trojaner-Mail vom Drucker

2016/02/02 von F. Rienhardt

Aktuell sollte man jeden Dateianhang einer E-Mail kritisch kontrollieren. Kriminelle versenden seit einigen Tagen vermehrt E-Mails mit Schadcode im Anhang. Sie setzen dabei als Absender auf Adressen, wie man sie von Netzwerk-Kopierern kennt. Hintergrund: Viele Netzwerk-Kopierer können kopierte Dokumente in Bild oder PDF-Format konvertieren und diese kopierten (gescannten) Dokumente als Anhang in einer E-Mail versenden. Daher sollten besonders Mitarbeiter in Firmen, die solche Kopierer nutzen, besonders genau prüfen, ob die E-Mail tatsächlich vom eigenen Netzwerk-Kopierer (Scanner) stammt oder nicht.

Die Trojaner-Mails werden häufig mit der Absenderadresse „copier<optional:zahlen&buchstaben>@<domain>“ versendet, wobei <domain> in vielen Fällen auf den Empfänger (Firma) zugeschnitten ist und auf den ersten Blick daher plausibel erscheint. Auch die Dateien im Anhang sind nach diesem Schema benannt und daher auf den ersten Blick unauffällig. Folgend ein Auszug aus einer solchen E-Mail:

Betreff: Scanned image from [email protected]

Reply to: [email protected]
Device Name: COPIER
Device Model: MX-2310U

File Format: DOC (Medium)
Resolution: 200dpi x 200dpi

Attached file is scanned document in DOC format.

📎 [email protected]

Häufig handelt es sich um

  • Scheinbar harmlose Office-Dateien (.doc, xls, .ppt), die jedoch schädlichen Macro-Code enthalten. Hintergrund: Auch Office-Dateien können schädliche Skripts (Macros) enthalten, die Ihren PC infizieren. Macros können genauso gefährlich wie ausführbare Dateien sein, es ist Vorsicht geboten.
  • Jscript-Dateien, die Wscripting-Host Scripts enthalten.
  • Java-Applets (.jar) für die Oracle JavaVM.
  • Programmdateien (.exe, .scr, .com).

In einigen Fällen werden Dateien auch in Archiven wie ZIP oder RAR verpackt, um den schädlichen Inhalt zu verschleiern. D.h., um die Datei zu öffnen, muss man zuvor ein scheinbar harmloses Archiv öffnen. Auch hier ist äußerste Vorsicht geboten!

Egal welche Datei man von den Kriminellen erhält, wenn man sie anklickt (öffnet), infizieren diese Dateien den Rechner ihres Opfers mit Schadcode. Selbst Virenscanner haben Schwierigkeiten, die schädlichen Dateien zu erkennen und zu blockieren. Denn die Kriminellen nutzen den Umstand aus, dass Virenscanner häufig bis zu 48 Stunden benötigen, um die teilweise stündlich geänderten Schädlinge zu erkennen und in ihre Erkennungsdatenbank einzupflegen. So können diese schädlichen Anhänge in vielen Fällen selbst aktuell gehaltene Antivirenprogramme problemlos passieren.

Im Zweifel gilt: Den Anhang von E-Mails nicht öffnen, oder beim Absender erkundigen, ob er einem wirklich einen Anhang per E-Mail zugesandt hat. Für den aktuellen Fall: Wenn Sie keine Dokumente von Ihrem Netzwerkdrucker erwarten, ignorieren oder löschen Sie solche E-Mails aus Sicheheitsgründen.

Türsteher kann Ihren Rechner vor solchen Angriffen schützen. Denn Türsteher blockiert unbekannten Programmcode (und Script-Interpreter), die häufig Einfallstor für erfolgreiche Angriffe sind. Mit Türsteher können Sie Ihren Windows-Rechner schnell und zuverlässig vor vielen Schadcode-Attacken schützen.

In unserem Beta-Camp haben wir zudem die neueste Version von Türsteher zum Testen online gestellt, die nun auch einen Kommandozeilen-Scanner enthält. Mit diesem sind nun noch bessere Regeln möglich, so können insb. Interpreter wie .NET und WScript abgesichert werden.


Was passiert, wenn man einen Cryptolocker installiert

2016/01/11 von F. Rienhardt

In diesem Video zeigen wir Ihnen, wie man aktuell häufig per Spam-E-Mails versendete Cryptolocker (Ransomware Trojaner) erkennt. Außerdem zeigen wir, wie es aussieht, wenn man einen solchen Cryptolocker aus Versehen startet (installiert) und wie dieser dann die Festplatte nach und nach verschlüsselt.


Neue Beta-Versionen im Beta Camp

2016/01/10 von F. Rienhardt

Wir haben auch über die Weihnachtszeit im Hintergrund kräftig gearbeitet und einige unserer Treiber noch weiter verbessert. So unterstützt Türsteher/Bouncer in den Logdateien nun auch die Angabe von Datum- und Zeitstempeln. Außerdem kann Türsteher nun sog. Prioritätsregeln verarbeiten. Mit dem Ausrufezeichen ! können Sie nun die Priorität einer Regelzeile erhöhen. So ist es z.B. möglich, in der [WHITELIST] eine Regel über die [BLACKLIST] zu heben. Nehmen wir beispielsweise an, dass folgende Blacklist-Regel gesetzt wurde:

...
[BLACKLIST]
C:\Windows\Temp\*
...
[EOF]

Aus Sicherheitsgründen sollte man Zugriffe auf temporäre Ordner einschränken, dennoch kann es sein, dass bestimmte Updateprogramme von Microsoft (oder anderen Herstellern), ihre Programmaktualisierungen genau in diesen Ordnern ausführen möchten. Was kann man tun? Nun, mit den Prioritätsregeln kann man diese Anwendungen dann mittels einer Prioritätsregel in der [WHITELIST] freigeben. Eine Prioritätsregel überstimmt die Regel aus der [BLACKLIST]. Nehmen wir an, dass die Anwendung AVUpdater.exe in C:\Windows\Temp\ ausgeführt werden muss, dann können wir dies nun wie folgt realisieren:

...
[WHITELIST]
!C:\Windows\Temp\AVUpdater.exe
C:\Windows\*
C:\Program Files\*
C:\Program Files (x86)\*
C:\ProgramData\Microsoft\*
[BLACKLIST]
C:\Windows\Temp\*
...
[EOF]

Mit dieser Regel überstimmt die Priorität in der [WHITELIST] für C:\Windows\Temp\AVUpdater.exe dann die Regel C:\Windows\Temp\* in der [BLACKLIST].

Neben Türsteher haben wir auch MZWriteScanner aktualisiert. Der Treiber kann nun ebenfalls die Elter-Prozesse und Datums- sowie Zeitstempel in die Logdatei schreiben. Daneben haben wir auch die erste Version unseres neuesten Projekts veröffentlicht: Projekt Pumpernickel. Mit Pumpernickel können Sie bestimmen, welcher Prozess in welches Verzeichnis schreiben darf. So können Sie besonders kritische Anwendungen wie z.B. Webbrowser oder Adobe Flash zusätzlich absichern und dafür sorgen, dass diese beispielsweise nicht beliebig Dateien auf die Festplatte schreiben dürfen, was im Falle eines Exploits eine wertvolle Unterstützung zur Abschwächung (engl. attack mitigation) sein kann.

Weitere Informationen zu den neuen Beta-Versionen finden Sie im Beta Camp. Bei Fragen und Anregungen stehen wir gerne zur Verfügung und freuen uns auf Ihr Feedback.


Wie Cryptolocker auf den PC gelangen

2015/12/13 von F. Rienhardt

In unserem neuen Video zeigen wir, wie Cryptolocker versuchen auf den PC zu gelangen. Wir analysieren beispielhaft den im Anhang einer Spam-E-Mail angehängten verschlüsselten JavaScript-Quellcode und zeigen, wie der Schadcode letztlich auf den Computer kommen würde.


Excubits Erklärvideos jetzt auch auf YouTube

2015/12/05 von F. Rienhardt

Benutzer bekommen häufig viele Spamnachrichten mit teilweise gefährlichen Anhängen. Normale Anwender können kaum unterscheiden, ob diese Anhänge potenziell gefährlich sind oder nicht. Türsteher kann bei dieser Entscheidung unterstützen, wie, das zeigen wir in unserem ersten Video auf YouTube.


Angriffe auf Whitelisting-Systeme

2015/11/05 von F. Rienhardt

Der IT-Sicherheitsspezialist Casey Smith hat in seiner Präsentation einige Wege zum Überwinden von Whitelisting-Systemen aufgezeigt. Neben klassischen Angriffen über freigegebene Windows-Ordner zeigte er Angriffe über Skript- und Interpretersprachen und das .NET-Framework. Besonderes Highlight waren dabei die Angriffe über .NET mittels derer ein Angreifer relativ leicht ausführbaren Code starten kann. So zeigte er, dass man mittels geschickter Kombination der .NET Compiler und Laufzeitumgebungen mit den folgenden Tools

  • csc.exe (wurde zum kompilieren genutzt)
  • vbc.exe (wurde zum kompilieren genutzt)
  • jsc.exe (wurde zum kompilieren genutzt)
  • InstallUtil.exe
  • IEExec.exe
  • DFsvc.exe
  • dfshim.dll
  • PresentationHost.exe

ausführbaren Code laden und starten kann. Über klassische Whitelisting-Ansätze lassen sich derartige Angriffe nicht abwehren. Sofern man .NET nicht benötigt sollte man die oben genannten Tools auf die schwarze Liste setzen. Zusätzlich empfehlen wir, die folgenden Verzeichnisse

  • C:\Windows\ADFS\*
  • C:\Windows\Fonts\*
  • C:\Windows\Minidump\*
  • C:\Windows\Offline Web Pages\*
  • C:\Windows\tracing\*
  • C:\Windows\Temp\*
  • C:\Windows\Tasks\*

mittels NTFS-Zugriffsrechten so abzusichern, dass normale Anwender nicht in der Lage sind, Dateien in diese zu schreiben.

Als Spezialisten wissen wir, dass keine Absicherung stets hundertprozentigen Schutz bieten kann. Es ist nachvollziehbar, dass klassisches Whitelisting nicht vor Angriffen auf (Bytecode-) Interpretern schützen kann, da diese eine eigenständige Ausführungsumgebung erzeugen, die unabhängig vom Betriebssystem sind. Aus diesem Grund haben wir in Türsteher das ParentChecking-Feature integriert und bieten mit CommandLineScanner ein zusätzliches Schutzsystem an, das unseren Kunden dabei hilft, auch vor solchen Attacken zu schützen.

Mit CommandLineScanner können Sie genau spezifizieren mit welchen Programmzeilenparametern beispielsweise ein Interpreter (oder eine der oben aufgelisteten .NET-Komponenten) ausgeführt werden dürfen und mit welchen nicht. Auf diese Weise sind Sie in der Lage Ihre IT-Systeme auch wirksam vor den von Casey Smith beschriebenen Angriffen zu schützen. Daneben haben wir mit MemProtect ein weiteres Schutzsystem in unserem Portfolio das Ihnen dabei hilft, vor Speicherangriffen (z.B. Code-Injection) zu schützen.

Wenn Sie weitere Fragen zu diesem Thema haben, sprechen Sie uns einfach an.


Zentrales Management By Design

2015/11/06 von F. Rienhardt

Strikt nach unserem Motto, "Weniger ist oft mehr", verzichten wir in unseren Lösungen auf eine dedizierte zentrale Managementanwendung, für die Mitarbeiter erst geschult werden müssen. Stattdessen sind die von uns verwendeten Datenstrukturen und Konfigurationsformate derart einfach gehalten, dass man unsere Treiber mit jedem Texteditor direkt und ohne Umwege konfigurieren kann. Dies ermöglicht auch, dass Sie Ihre Konfigurationen im Nu an Clients verteilen können. Und zwar über die Methode, die Sie favorisieren und auch für Ihre normale Softwareverteilung nutzen. Erstellen Sie Ihre Regeln, paketieren diese und verteilen sie dann mittels Ihrer Softwareverteilungslösung. Das war es schon. Einfacher geht es nicht! Wir möchten hier bewusst keine weitere Insatz platzieren sondern Sie wie gewohnt arbeiten lassen, das bedeutet weniger Frust und schnellere Ergebnisse und trägt nebenbei zu einem noch schnelleren ROI bei.


Neue Version von Türsteher

protect against cyber threats

2015/10/25 von F. Rienhardt

Ab sofort steht unsere neue Version von Türsteher bereit. Der Treiber ist nun noch besser als vorher und kann vor mehr Angriffsmethoden schützen. Ein besonderes Highlight ist dabei das Elter-basierte Regelsystem. Mit diesem können Sie genau festlegen, ob und welche Anwendung ein Programm starten darf und welche nicht. So ist es beispielsweise möglich Ihrem Web-Browser zu verbieten, Systemprogramme zu starten. Überzeugen Sie sich selbst und probieren Sie unsere Demo-Version unverbindlich aus.


Neue Versionen unserer Treiber

2015/08/31 von F. Rienhardt

Wir haben in den letzten Wochen viel implementiert und Türsteher als auch MZWriteScanner weiter verbessert. Nach intensiven internen Tests haben wir nun die öffentliche Beta-Phase eingeläutet und hoffen, dass wir nach weiteren Tests bald einen stabilen Stand erreichen und die Treiber finalisieren. MemProtect wurde von zahlreichen Interessenten ebenfalls sehr erfolgreich getestet und wird mit hoher Wahrscheinlichkeit zusammen mit Türsteher und MZWriteScanner veröffentlicht werden können. Es bleibt also spannend und dauert nicht mehr lange bis zum sog. final release.


Excubits Programm zum Schutz vor In-Memory-Attacken in der Beta-Phase

2015/08/18 von F. Rienhardt

In letzter Zeit häufen sich Berichte über sog. In-Memory-Attacken. Bei solchen Attacken versuchen Angreifer ihren Schadcode in Speicherbereiche anderer Prozesse zu injizieren, um diesen dann versteckt zu starten. Die folgenden Eigenschaften machen In-Memory-Attacken dabei besonders gefährlich:

  1. Möglichst lange unentdeckt bleiben
    Wird ein Schadprogramm als eigenständige Programmdatei (oder Skript) ausgeführt, kann es leicht entdeckt werden. Schon ein Blick in den Taskmanager zeigt verdächtige Prozesse. Wenn ein Angreifer seinen schädlichen Code jedoch in einen anderen - legitimen Prozess - wie z.B. explorer.exe oder svchost.exe injiziert, ist der Code des Angreifers für den normalen Anwender erst einmal völlig unsichtbar aktiv. Dadurch bleibt der Angriff mit hoher Wahrscheinlichkeit über lange Zeit unentdeckt und kann ungehindert operieren.
  2. Fehleranfälligkeit umgehen
    Wird im Rahmen eines Exploits Schadcode ausgeführt, nutzt der Angreifer häufig einen Fehler im Programm aus. In der Folge führt dieser missbräuchlich genutzte Fehler sehr oft auch zu einem Absturz des angegriffenen Programms. Dadurch wird die über den Exploit angegriffene Anwendung (z.B. Web-Browser, PDF-Viewer, Office Suite) beendet. Der Schadcode des Angreifers stürzt ebenfalls ab und kann keine vom Angreifer beabsichtigten Aktionen mehr ausführen. Angreifer versuchen daher sehr häufig, Schadprogramme so schnell wie möglich in andere Bereiche zu laden oder ihren schädlichen Code direkt in eine andere Anwendung zu injizieren. Dadurch können sie lange unentdeckt bleiben und werden von Programmfehlern nicht unterbrochen. Weitere Stichwörter sind hier: DLL Injection, Pause Inject-Executable and Resume, Reflective DLL Loading.

Da In-Memory-Attacken sehr komplex sind, lassen sie sich in der Regel nur sehr schwer aufspüren. Wir schätzen diese Angriffsmethodik als schwerwiegend ein und haben daher intensiv an einer Lösung zur Erkennung und Vermeidung gearbeitet. Das Ergebnis ist ein Treiber, der nach umfangreichen internen Tests sehr vielversprechend ist.

So funktioniert unsere Lösung

Unser Lösungsansatz zur Abwehr von In-Memory-Attacken geht davon aus, dass alle Anwendungen transparent und effizient geschützt werden sollten. Besonders anfällige Programme wie Web-Browser, Office-Anwendungen oder PDF-Reader müssen jedoch daran gehindert werden, auf alle anderen im Speicher laufenden Programme zuzugreifen. Denn meist geht nur von wenigen Anwendungen eine reale Gefahr für andere Programme aus, die im Rahmen von In-Memory-Attacken dann auch genutzt werden.

Unser von Grund auf neu entwickelter Kernel-Treiber ist in der Lage, alle aktiven Prozesse in Echtzeit vor Zugriffen anderer Prozesse zu schützen. Mittels eines einfach zu konfigurierenden Regelsystems kann der Anwender leicht auswählen, welche Prozesse für mögliche Angriffe anfällig sind und vor denen alle anderen Prozesse geschützt werden sollten. So kann festgelegt werden, dass etwa ein Web-Browser oder PDF-Viewer auf keinen anderen Prozess Zugriff erhält. Damit können gefährdete Programme selbst im Falle eines Exploits, ihren Schadcode nicht in den Speicherbereich anderer Prozesse injizieren, was letztlich zu einer wesentlichen Abschwächung solcher Angriffe führt. Zusammen mit Türsteher können dadurch selbst komplexe Angriffsszenarien abgewehrt und leicht identifiziert werden - und das ohne Komfort- und Performanceverlust.

Der von uns entwickelte Treiber ist sehr ressourcenschonend, außerordentlich schnell und benötigt keinerlei Interaktion mit dem Anwender oder einem Programm. Wie all unsere Systeme arbeitet der Treiber autark und integriert sich vollständig transparent in bestehende Windows-Systeme. Die einfache Konfiguration und Protokollierung erleichtern den Betrieb und weiterführende Analysen. So kann der Treiber auch ideal als Frühwarnsystem in automatisierten forensischen Analysesystemen (z. B. Honeypots) genutzt werden.

Aktuell befindet sich der Treiber in der Pre-Release Beta-Phase. Wenn Sie mehr Informationen wünschen, oder am Beta-Programm teilnehmen möchten, so schreiben Sie uns einfach an info@excubits.com.


Weitere 0-day Lücken in Adobe Flash

2015/07/13 von F. Rienhardt

0-day exploit

Nach dem Hackerangriff auf ]Hacking Team[ werden anhand der veröffentlichten Unternehmensdaten immer mehr technische Details über Angriffmethoden und die genutzten 0-day Sicherheitslücken der Firma bekannt. Adobe hat bestätigt, dass es nach der in der vergangenen Woche geschlossenen Sicherheitslücke noch weitere offene Lücken gibt, die bereits aktiv von Hackern in Exploit-Kits ausgenutzt werden. Es wird daher dringend empfohlen, den Adobe Flash-Player komplett zu deinstallieren (oder zu deaktivieren). Zudem empfehlen wir *Shockwave Flash* und *flash* auf die Blacklist von Türsteher zu setzen. Wenn Sie Flash trotzdem nutzen müssen, empfehlen wir als Mittel zur Abschwächung die Regeln von Türsteher zu verschärfen und insbesondere ausführbare Zugriffe auf lokale Ordner von Nutzern komplett zu verbieten.

Update (2015/07/15): Flash Player Update verfügbar

Für Adobe Flash ist nun ein Update verfügbar. Neben Adobe Flash waren auch Microsoft Windows und Oracle Java von 0-day Lücken betroffen, die dem Fundus von ]Hacking Team[ entstammen. Wir empfehlen dringend Adobe Flash, Windows und auch Java zu aktualisieren.


Wie Malware den Weg auf Ihr System findet

2015/07/12 von F. Rienhardt

Schritt 1 - Der initiale Weg auf das System

Angreifer versuchen meist ein initiales Schadprogramm in einen temporären Ordner wie %TEMP% zu speichern und dann zu starten. Die Aufgabe dieses Programms besteht darin, weiteren Schadcode aus dem Internet zu laden und diesen dauerhaft auf dem System zu installieren. Dies können z. B. Banking-Trojaner, Ransomware oder Bots sein. Nach ausführlicher Analyse diverser Schadprogramme, die aktuell im Umlauf sind und über E-Mails oder infizierte Web-Seiten auf die Systeme vieler Benutzer gelangen, stellen wir Ihnen unsere TOP 4 der Verbreitungswege vor. Basis war eine Auswahl von ca. 250 Schadecode-Samples der letzten 4 Wochen:

  1. EXE, COM, SCR, CPL, oder PIF Dateien, die in ZIP, RAR oder 7Z Archiven verpackt sind.
  2. Ausführbare Programmdateien, die sich mit vermeintlich harmlosen Dateiendungen wie PDF, DOC, XLS, PPT der ZIP tarnen (z. B. rechnung2015.pdf.exe, mahnung_dringend.doc.scr).
  3. Mit Exploitcode versehene JAR, PS, PDF, DOC, XLS, PPT Dateien, die nicht gepatchte Anwendungen angreifen und als sog. Malware-Dropper dienen.
  4. Bösartige Macros und Skripte in verbreiteten Dokumentenformaten (DOC, XLS, PDF), die weiteren Schadcode nachladen und starten.

Schritt 2 - Etablierung des Schadcodes auf dem System

Um weiteren Schadcode zu laden, das System zu infizieren, automatische Systembackups zu löschen und zu deaktivieren, die Registry zu verändern etc. werden sehr häufig folgende Windows-Programme missbräuchlich genutzt:

  • *aspnet_compiler.exe
  • *csc.exe
  • *vbc.exe
  • *jsc.exe
  • *ilasm.exe
  • *msbuild.exe
  • *script.exe
  • *msiexec.exe
  • *bitsadmin*
  • *iexpress.exe
  • *mshta.exe
  • *systemreset.exe
  • *bcdedit.exe
  • *mstsc.exe
  • *hh.exe
  • *powershell*.exe
  • *reg.exe
  • *set.exe
  • *setx.exe
  • *reg.exe
  • *vssadmin.exe

Da diese Windows Systemanwendungen von Antivirenprogrammen als unbedenklich eingestuft werden, stellen sie eine große Gefahr dar, wenn sie von Schadcode genutzt werden können. Angreifer nutzen diesen Umstand aus, um sich zu tarnen oder weniger auffällig operieren zu können und Schadprogramme auf die Systeme zu transportieren und dort dauerhaft zu installieren.

Diese Windows-Anwendungen werden nach unseren Erfahrungen selten im täglichen Betrieb benötigt. Demnach wäre es ratsam, sie sicherheitshalber auf eine Blacklist zu setzen und sie nur dann zuzulassen, wenn man sie tatsächlich braucht. Diese Liste ist nicht vollständig, sie ermöglicht aber einen ersten Eindruck, welche Anwendungen auf die Blacklist von Türsteher oder CommandLineScanner gesetzt werden können und die Sicherheit sofort erhöhen. Daneben sollten selbstverständlich die wichtigsten Grundregeln befolgt werden:

  • Halten Sie Ihr System stets aktuell, spielen Sie Updates für das Betriebssystem und Anwendungen ein.
  • Benutzen und aktualisieren Sie Ihr Antivirenprogramm und die Firewall.
  • Starten Sie keine Programme unbekannter Herkunft (nur Origianl-Software vom Hersteller).
  • Öffnen Sie keine Dokumente unbekannter Herkunft, egal wie bedrohlich oder interessant E-Mails oder Webseiten auch klingen mögen.
  • Vermeiden Sie illigale digitale Tauschbörsen und Streamingdienste für Software, Filme und Musik.
  • Nutzen Sie Ihren Rechner nicht mit Admin-Rechten.
  • Seien Sie misstrauisch bei zu gut gemeinten Angeboten im Internet: Nichts ist umsonst!

« Ältere Einträge