Aktuelles

Aktuelle Informationen rund um Excubits und IT-Sicherheit.
Abonnieren Sie unseren Newsletter, um auf dem Laufenden zu bleiben.

NEU: Aktualisierung unserer Binärpakete

2017/04/02 von F. Rienhardt

Wir haben die Binärpakete all unserer Treiber aktualisiert. Neben kleinen Detailverbesserungen und PDF-Handbüchern für MemProtect und Pumpernickel wurde insbesondere MZWriteScanner deutlich überarbeitet. Der Treiber konnte an vielen Stellen stark optimiert werden, zudem konnten wir einen kleinen Fehler korrigieren, sodass MZWriteScanner nun noch stabiler und besser läuft. An dieser Stelle möchten wir uns für wertvolle Hinweise und Tests ganz besonders bei Dave, Froggie und Peter bedanken.


Aktualisierung unserer Binärpakete

2017/03/31 von F. Rienhardt

Wir arbeiten an einer Aktualisierung all unserer Binärpakete. Aktuell durchlaufen diese noch den Microsoft Code Attestation Prozess, aber in den nächsten Tagen ist es dann soweit.


Aktualisierte Blacklist

2017/03/19 von F. Rienhardt

Wir haben unsere Blacklist-Empfehlung aktualisiert. Es wurde ein Schreibfehler für auditpol.exe korrigiert, zudem wurden neue Regeln für utilman.exe, syskey.exe, and scrcons.exe hinzugefügt. An dieser Stelle möchten wir auch auf Florian Roths sigma-Regeln verweisen, welche sich perfekt in Türsteher, Command Line Scanner und MemProtect nutzen lassen. Last but not least möchten wir uns an dieser Stelle bei Dave, Sean und Flo für das Feedback und die wertvollen Hinweise bedanken.

Wir haben zudem zwei weitere Begriffe in unser Glossar aufgenommen: Fileless Malware (dateilose Schadprogramme) und Recruitment Fraud. Viel Spaß beim Lesen.


Der Cloudflare-Bug und seine Auswirkungen

2017/02/27 von F. Rienhardt

Einige unserer Kunden und Besucher wissen es vielleicht schon: Excubits ist Kunde von Cloudflare und daher potenziell auch von dem Cloudflare-Bug und des daraus folgenden ungewollten Cachings geworden. Wir möchten auf diesem Wegen mitteilen, dass wir zu keinem Zeitpunkt von dem Fehler betroffen waren. Wir speichern keine kundenspezifischen Daten auf Web-Servern (oder Datenbankservern). Alle an uns via Web-Formulare übermittelten Daten werden immer Ende-zu-Ende-verschlüsselt an uns übermittelt, es findet zu keiner Zeit eine Entschlüsselung auf dem Transportweg, noch auf den Servern statt. Unsere und Ihre Daten waren und sind daher stest sicher.

Cloudflare hat uns zudem schriftlich bestätigt:

Fortunately, your domain is not one of the domains where we have discovered exposed data in any third party caches

Wenn Sie weitere Fragen zum Cloudflare-Bug haben, stehen wir Ihnen gerne zur Verfügung.


Mythos "dateilose" Angriffe

2017/02/19 von F. Rienhardt

Kaspersky hat kürzlich über "dateilose Schadcodes" berichtet. Dateilose Schadecodes hören sich sehr schlimm an. Man könnte meinen, dies sei das Ende der Virenschutzprogramme oder sogar von Whitelisting. Wenn man sich die Attacke genauer ansieht, fällt auf, dass die Angreifer natürlich Schadcode ausführen und auch speichern müssen.

Schauen wir uns das Vorgehen der Angreifer genauer an. Die Kriminellen haben auf den attackierten Windows-Rechnern tatsächlich keinen Schadcode in Form einer eigenen EXE-Datei platziert. Stattdessen speichern sie den Schadcode in der Windows Registry. Der Schadcode verhält sich sozusagen wie ein Parasit. Letztlich speichern die Angreifer ihren Schadcode trotzdem dauerhaft im System. Sie registrieren dazu einen sogenannten Windows-Dienst:

sc \\target_name create ATITscUA binpath= "C:\Windows\system32\cmd.exe /b /c start /b /min powershell.exe -nop -w hidden e [base64 ecoded script…]" start= manual

Als Dienst starten sie hier ein Powershell-Skript. Dieses Skript führt dann den eigentlichen Schadcode aus. So ist der Rechner dauerhaft mit Schadcode infiziert, obgleich keine Schadcode-Dateien auf dem Dateisystem zu erkennen sind.

Im aktuellen Fall handelte es sich um die Powershell, die über den Kommandozeilen-Interpreter gestartet wird. Das ist ein Prozess, den man sehr gut mit unseren Produkten Command Line Scanner und Türsteher ausfiltern kann. Sie können mit beiden Schutzsystemen genau festlegen, wer, was und mit welchen Parametern starten darf. Auf diese Weise lässt sich auch die Powershell erheblich einschränken, was einen solchen Angriff unmöglich macht. Sie können auch die Service-Schnittstelle SC ausfiltern oder deaktivieren. So können Angreifer keinen Dienst installieren.

Unsere Empfehlung lautet daher: Machen Sie sich mit dem Kommandozeilen-Scanning vertraut. Es wird sicher nicht der letzte Angriff dieser Art gewesen sein. Wir haben ähnliche Angriffe bereits an anderer Stelle beobachtet. Zu Beginn können Sie mit Command Line Scanner und Türsteher auch erst einmal nur protokollieren. Dies hilft Ihnen dabei, Angriffe frühzeitig zu erkennen und Gegenmaßnahmen einzuleiten. Angreifer suchen ständig nach neuen Wegen, Computer zu infizieren. Gut zu Wissen, das Produkte von Excubits auf der Höhe des Geschehens sind.


Empfehlung: Aktualisieren Sie Ihre Türsteher-Blacklist

Neue Angriffswelle über EVENTVWR.EXE

2017/02/12 von F. Rienhardt

Für Nutzer unserer Sicherheitssoftware Türsteher bieten wir eine neue Version der Türsteher-Blacklist. Wir empfehlen die aktuelle Liste hier herunterzuladen und in Ihre Konfiguration zu übernehmen.

Der Grund für die neue Türsteher-Liste sind Angriffe über EVENTVWR.EXE. Über diese Programmdatei werden aktuell verstärkt Spionage- und Verschlüsselungstrojaner mit höheren Benutzerrechten gestartet. EVENTVWR.EXE ist Bestandteil des normalen Windows-Betriebssystems. Aufgedeckt hat diese Angriffstechnik enigma0x3.

In dem Programm EVENTVWR.EXE ist ein Fehler enthalten: Der fehlerhafte Teil des Programms zieht aus dem Benutzerstrang der Registry Teile ihrer Konfiguration. Genau das nutzen Cyber-Kriminelle aus, um darüber mit höheren Rechten Programme auszuführen. Dies funktioniert beispielsweise in Excel- und Word-Dateien mit Makros. Dadurch können Angreifer die komplette Kontrolle über den Rechner erlangen.

EVENTVWR.EXE ist damit sehr gefährlich für die Sicherheit Ihres Systems. Da diese EXE-Datei im normalen Windowsbetrieb so gut wie nicht benutzt werden muss, kann man sie auf die Blacklist von Türsteher setzen. Die EXE-Datei wird dadurch blockiert und Ihr PC bleibt sicher vor diesem Angriff.


Ciscos-Web-Conferencing: Schützen Sie sich mit Türsteher

2017/01/26 von F. Rienhardt

In Ciscos Web-Conferencing System WebEx besteht eine gefährliche Sicherheitslücke. Diese Lücke ist durch ein Patch der Firma Cisco nur teilweise geschlossen. Es ist unter bestimmten Bedingungen noch immer möglich, beliebige Laufzeitbibliotheken und deren Funktionen aufzurufen. Dies können Angreifer auch dazu nutzen, sog. Shellbefehle auszuführen und darüber dann Schadcode auf den Rechner zu laden und auszuführen. Mit Türsteher können Sie die WebEx-Komponente leicht auf die schwarze Liste stellen und verhindern, dass die Komponente für solche Angriffe ausgenutzt werden kann. Zudem kann Türsteher mit der Kommandozeilenprüfung das Absetzen bösartiger Kommandozeilenbefehle wirksam einschränken.

Diese Lücke zeigt eindrucksvoll, dass heute neben klassischen Schutzprodukten wie Antivirus und Firewall auch Whitelisting-Lösungen wie Türsteher gebraucht werden. Mit Türsteher können bestehende Lücken geschlossen oder deutliche abgeschwächt werden und das mit geringem Aufwand und wenig Kosten.

Nachtrag vom 2017/02/05

Die Lücke wurde von Cisco mittlerweile vollständig geschlossen. Wir empfehlen dennoch, Ihren Browser mit Türsteher so abzusichern, dass er nur die Prozesse und Kommandozeilenparameter ausführen darf, die Sie explizit freigeben. Dies erhöht die Sicherheit und schützt präventiv vor ähnlich gelagerten Sicherheitslücken, die ggf. in anderen Plugins und Produkten bestehen.


Schöne Feiertage

2016/12/25 von F. Rienhardt

Ob Sie Weihnachten feiern oder ein paar ruhige Tage zwischen den Jahren verbringen: Das Excubits-Team wünscht allen Kunden und Supportern eine schöne Zeit und einen gesunden und guten Rutsch ins Jahr 2017. Bleiben Sie gesund, Ihr PC schadcodefrei 😊, aktualisieren Sie Ihren (neuen) PC vor den ersten Ausflügen ins Netz und haben Sie eine schöne Zeit mit Freunden und Familie.


Vorsicht: Schadcode per personalisierter E-Mail

2016/12/09 von F. Rienhardt

Cyber-Kriminelle geben sich immer mehr Mühe, Anwender mit Schadcode zu infizieren. So sind aktuell sehr professionell gestaltete E-Mails im Umlauf, die ihre Opfer persönlich mit richtigem Namen ansprechen. Im weiteren Verlauf der E-Mail nennen die Kriminellen sogar die korrekte Adresse und Telefonnummer ihrer Opfer. Auf diese Weise wirken solche E-Mails sehr glaubwürdig:

Zielgerichtete Cyber Attacker per E-Mail

In der E-Mail des angeblichen Inkasso-Anwalts wird der Empfänger aufgefordert, eine noch offene Rechnung zu begleichen. Die Kriminellen drohen damit, die Angelegenheit an ein Gericht zu übergeben, wenn man nicht bezahlt. Die korrekte Anrede (1) und aufgeführte Adresse (2) zusammen mit der Drohung wirken sehr echt. Der Empfänger soll dazu gedrängt werden, den Anhang (3) der E-Mail zu öffnen. Statt der Kostenaufstellung für die gefälschte Mahnung befindet sich im Anhang eine mit .com-Endung verschleierte EXE-Datei. Diese Datei infiziert den Rechner sofort mit Schadcode, wenn man sie öffnet.

Mit Türsteher können Sie verhindern, dass der Schadcode auf Ihren Rechner installiert wird. Türsteher erkennt echte PDF- oder Text-Dateien von schädlichen ausführbaren Dateien. Schädliche ausführbare Dateien blockiert Türsteher, ungefährliche Dateien lassen sich auch weiterhin problemlos öffnen.

Achtung vor solchen E-Mails

Bei solchen oder ähnlichen E-Mails ist größte Vorsicht geboten. Klicken Sie keinesfalls auf den Anhang solcher E-Mails, folgen Sie keinen Links, die angegeben sind. Seriöse Anwälte versenden Ihre Nachrichten immer auf dem Postweg, keinesfalls nur per E-Mail. Wenn Sie eine ähnliche E-Mail erhalten haben und unsicher sind, fragen Sie im Zweifel bei einem Computer-Experten um Rat. Auf keinen Fall sollten Sie sich von Drohungen einer solchen E-Mail unter Druck gesetzt fühlen. Nie sollten Sie vorschnell Anhänge öffnen, eine Antwort schreiben oder Links in den E-Mails folgen. In den meisten Fällen handelt es sich um betrügerische Spam E-Mails die versuchen, Ihren Rechner mit Schadcode zu infizieren oder Sie zu erpressen.

Wie kommen die Cyber-Kriminellen an meine Daten?

Viele Menschen fragen sich, woher die Cyber-Kriminellen Ihren Namen, Anschrift und Telefonnummer kennen. Zum Beispiel können die Kriminellen sich Zugang zu Datenbank-Servern von Firmen und Online-Shops verschaffen und dort die persönlichen Daten der Kunden (also Ihnen) stehlen. Diese persönlichen Daten nutzen sie dann für Spam- und Schadcode-Kampagnen wie in dem hier geschilderten Fall. Neben Ihren persönlichen Daten wie E-Mail-Adresse, Name, Anschrift und Telefonnummer können dabei auch Ihr Geburtsdatum, das genutzte Passwort und Bank- sowie Kreditkarteninformationen gestohlen werden. Aus diesem Grund sollten Sie für jeden genutzten Online-Dienst ein eigenes Passwort verwenden. Empfehlung: Nutzen Sie zur Zahlung im Internet beispielsweise den Zahlungsdienstleister PayPal, wenn dies möglich ist. So müssen Sie ihre Bank- und Kreditkarteninformationen nicht im Shop hinterlegen und PayPal kümmert sich um die Abwicklung der Bezahlung. Dadurch geben Sie an den Shop weniger Informationen und reduzieren das Risiko.


MemProtect

Angriffe über Atom Tables abwehren

2016/11/15 von F. Rienhardt

Windows bietet für den anwendungsübergreifenden Austausch von Daten sog. Atom Tables als Datenstruktur an. Über diese Tabellen können Anwendungen Daten in einer global erreichbaren Datenstruktur ablegen. Anstatt der eigentlich vorgesehenen Datenstrukturen können Angreifer aber auch schädlichen Code in die Atoms Tabellen schreiben (sog. Atom Bombing Code Injection). Da die Tabellen zwischen Programmen hinweg genutzt werden, kann eine Anwendung A schädlichen Code in die Atom Tables schreiben und dafür sorgen, dass eine unbedarfte Anwendung B diesen Code in den eigenen Programmspeicher lädt. So können Angreifer ihren Schadcode über geschützte Speichergrenzen hinweg in andere Programme schmuggeln (injizieren). Über weitere Tricksereien ist es möglich, den eingeschleusten Code im Kontext des angegriffenen Programms zu starten. Beispielsweise könnte man den Taschenrechner oder Browser dazu bringen, den Code vom Angreifer auszuführen. Da Systemprogramme oder beispielsweise der Browser grundsätzlich nicht verdächtig sind, werden sie von Desktop-Firewalls auch nicht blockiert und haben häufig vollen Zugriff auf das Internet. Angreifer nutzen das gerne aus. Wenn sie ihren schädlichen Code in eine vertrauenswürdige Anwendung schmuggeln, können sie unter dem Deckmantel lange unerkannt arbeiten. Einen solchen Angriff zu erkennen ist sehr schwer.

Wir haben den veröffentlichten Angriff analysiert und können berichten, dass sich mit MemProtect die gezeigten Angriffe vermeiden lassen. Nach allem, was bisher an Code bekannt ist, müssen die Angreifer den zu attackierenden Prozess öffnen können. Dies wird durch MemProtect bereits auf Kernel-Ebene verhindert, weswegen der Angriff schlussendlich scheitert. Doch MemProtect schützt nicht nur vor dieser Attacke. MemProtect schützt in beide Richtungen und spielt seine Stärken insbesondere bei In-Memory-Attacken aus: Verhindern Sie, dass schädlicher Code in besonders schützenswerte Programme injiziert werden kann und verhindern Sie gleichzeitig, dass aus verwundbaren Programmen - wie z. B. PDF-Viewer oder Browser, über Exploits Code in andere Programme injiziert werden kann.

MemProtect arbeitet nicht signaturbasiert, benötigt keine Trainingsdaten für eine KI oder Heuristik. Sie müssen nur festlegen, welcher Prozess zu schützen ist, das war's. Testen Sie die Demoversion und überzeugen Sie sich selbst.


« Ältere Einträge