Aktuelles

Aktuelle Informationen rund um Excubits und IT-Sicherheit.
Abonnieren Sie unseren Newsletter, um auf dem Laufenden zu bleiben.

Erweiterte DLL-Filterung für noch mehr Sicherheit

Neue Version von MemProtect im Beta-Camp

2017/06/11 von F. Rienhardt

Wir haben unseren Speicherschutz-Treiber MemProtect um einen DLL-Filter erweitert. Damit können neben reinen Code-Injektion-Angriffen nun auch Laufzeitbibliotheken blockiert werden, die beispielsweise über einen Exploit in Prozesse geladen werden sollen. Dies ermöglicht zusätzlichen Schutz und kann dabei helfen, Ihr System noch stärker gegen Angriffe zu härten. Eine erste Testversion ist in unserem Beta-Camp als Download verfügbar.


Verbesserte Benachrichtigung im Tray-Bereich

Neue Tray-App im Beta-Camp

2017/05/30 von F. Rienhardt

Unsere Tray-App für Pumpernickel, MemProtect, MZWriteScanner, MemProtect und CommandLineScanner werden bald aktualisiert. Wesentliches neues Feature werden dabei neue Benachrichtigungsfunktionen sein. So werden die Tray Apps nun wie Türsteher auch ToolTips unterstützen und auch die Möglichkeit bieten, Sound auszugeben. Aktiviert werden können die Funktionen mittels Kommandozeilenparameter:

  • -playsound = Ausgabe von Sound bei einem Event
  • -showballoon = Anzeige eines ToolTips bei einem Event

Die erste Version der Tray App für Pumpernickel ist im BetaCamp verfügbar. Versionen für unsere anderen Werkzeuge werden folgen.

Wir haben zudem den Quellcode für eine allgemeine TrayApp veröffentlichen und unter Public Domain freigeben. Damit ermöglichen wir es Ihnen, Ihre eigenen Benachrichtigungs-Tools zu schreiben, was unseren Kunden damit noch mehr Flexibilität gibt. Schreiben Sie uns, wie und was Sie entwickelt haben. Wir sind gespannt. Den Download zum Quellcode finden Sie hier.


Tricks mit Sonderzeichen in der cmd.exe-Kommandozeile

Geschickte Tarnung schädlicher Kommandozeilenbefehle

2017/05/28 von F. Rienhardt

Cyber-Kriminelle nutzen vermehrt einen Trick, ausgeführte Kommandozeilenbefehle zu verschleiern. Dazu nutzen die Kriminellen das ^-Zeichen, wie das folgende Beispiel zeigt:

cmd.exe shell ^ trick

Der Computer versteht die Befehle ohne Weiteres und führt sie aus. Das Problem aber ist, dass Virenscanner und Analyse-Programme diese Veränderung nicht immer erkennen. Die Kriminellen können dadurch unter dem Radar operieren. Der Anwender merkt zunächst nichts davon.

In unserem Beispiel versenden die Kriminellen wieder einmal Word- und Excel-Dateien. Darin stecken Makros. Der Anwender sieht einen kryptischen Text aus Zahlen und Sonderzeichen, den er nur „entschlüsseln“ kann, wenn er die Makros aktiviert. Das ist natürlich nicht die Wahrheit. Aktiviert der Anwender das Makro, startet im Hintergrund eine Kommandozeile (cmd.exe) und führt dann sogenannten Shellcode aus. So kann nun das eigentliche Schadprogramm, in diesem Fall ein Verschlüsselungstrojaner, heruntergeladen und gestartet werden. Da der Shellcode mit ^-Zeichen versehen wurde, ist er für Virenscanner schwerer zu erkennen.

Türsteher kann vor diesem Angriff schützen. Dem Treiber von Türsteher ist es egal, ob ein Kommando mit oder ohne ^-Zeichen geschrieben worden ist. Türstehers lässt es schlicht nicht zu, dass Kommandos aus unbekannten Pfaden gestartet werden. Unsere Empfehlung ist das Kommando cmd.exe */c* auf die Blacklist zu setzen.

Schauen Sie auch unser Video an, wie man sich vor Markos schützen kann. Oder lesen mehr über Ransomware in unserem Glossar.


#WannaCrypt0r #WanaCry, #Wcry befällt tausende Rechner

So schützen Sie sich vor Verschlüsselungstrojaner Wannacry

2017/05/15 von F. Rienhardt

Ein neuer Verschlüsselungstrojaner mit Namen Wannacry infiziert derzeit Tausende von Rechnern weltweit. Der Schadcode befällt Rechner mit dem Betriebssystem Windows und verschlüsselt die persönlichen Daten der Anwender. Die Entschlüsselung ist erst nach Zahlung eines Lösegelds möglich, sonst sind die Daten verloren. Nach aktuellem Stand wurden mehr als 220.000 Computer in 150 Ländern befallen. Damit hat der Schadcode innerhalb nur weniger Tage einen erheblichen Schaden angerichtet.

WannaCry Ransom Desktop Hintergrund

Die Verbreitung des Schadcodes erfolgt hierbei ohne direkte Aktion des Anwenders. Wannacry nutzt eine Sicherheitslücke im Betriebssystem aus und versucht weitere Rechner im Netzwerk zu attackieren. Der Angriff und die Weiterverbreitung der Schadsoftware kann verhindert werden, wenn der Software-Patch MS17-010 installiert ist. Wer seine Windows-Systeme nicht patchen kann, sollte schnellstmöglich sicherstellen, dass die Ports 445, 139 und 3389 nicht direkt über das Internet erreichbar sind (z.B. mit Firewall-Regeln). Wer Dateifreigaben (SMB) nicht zwingend benötigt, sollte SMBv1 unter Windows deaktivieren.

7 Regeln zum Schutz vor Ransomware und Schadsoftware

  1. Installieren sie eine Application Whitelisting Lösung wie zum Beispiel Türsteher. Application Whitelisting schützt vor dem oben genannten Wannacry-Trojaner und ähnlicher Schadsoftware.
  2. Legen Sie Sicherungskopien auf externen Datenträgern an. Nutzen Sie beispielsweise externe Festplatte oder DVD-ROM. Trennen Sie den externen Datenträger nach Erstellen des Backups und verwahren Sie ihn an einem sicheren Ort.
  3. Halten Sie Ihr Betriebssystem aktuell. Prüfen Sie mindestens ein Mal pro Woche (wir empfehlen täglich), ob es neue Updates gibt. Unter Windows rufen Sie dazu in der Systemsteuerung die Updateverwaltung auf.
  4. Halten Sie auch weitere Programme aktuell. Bei installierten Programmen gibt es hierzu meist eine auswählbare Option (z.B. „Nach Updates suchen“).
  5. Deinstallieren Sie alte oder ungenutzte Programme. Denn durch jedes Programm weniger senken Sie das Risiko eines Angriffs durch nicht geschlossene Sicherheitslücken.
  6. Vermeiden Sie unsichere Webseiten. Laden Sie keine illegalen Kopien von Filmen, Musik oder Software herunter. Häufig enthalten die Downloads auch Schadsoftware oder leiten auf Webseiten, die Exploits enthalten. Angebote, die zu gut sind um wahr zu sein, sollte man im Internet aus Sicherheitsgründen meiden.
  7. Löschen Sie E-Mails und E-Mail-Anhänge von unbekannten Absendern. Ganz gleich, wie verlockend oder drohend die E-Mails auch wirken, löschen Sie diese oder fragen im Zweifel beim Absender telefonisch nach.

Neue Blacklist-Empfehlungen online

Warum man Pfade unterhalb von C:\Windows\ blockieren muss

2017/05/07 von F. Rienhardt

Mit unseren Application-Whitelisting-Produkten gibt man üblicherweise C:\Windows\ frei. Doch es gibt bestimmte Verzeichnisse unterhalb von C:\Windows\, in die man auch mit normalen Benutzerrechten Dateien schreiben kann. Man muss dafür nicht als Admin angemeldet sein. So könnten aber auch Exploits in diese Verzeichnisse schreiben. Deswegen raten wir unseren Kunden dringend, diese Verzeichnisse auf die schwarze Liste zu setzen.

Wir haben eine Reihe dieser Verzeichnisse von verschiedenen Windows-Versionen gesammelt und in unsere Blacklist-Empfehlung aufgenommen, die hier geladen werden kann.

Diese Liste ist nicht vollständig, da die beschreibbaren Verzeichnisse von Windows-Version zu Windows-Version variieren. Es hängt außerdem auch davon ab, welche Programme oder Treiber man nutzt und wie man sein Windows installiert hat. Wir empfehlen daher, die Verzeichnisse unterhalb von C:\Windows\ eigenständig zu durchleuchten.

Anleitung zum Durchsuchen nach beschreibbaren Verzeichnissen C:\Windows\

Rufen Sie folgende cmd.exe-Shell (mit normalen Benutzerrechten, nicht Admin) auf:

dir /B /S /A:D C:\Windows >dummy.txt

Danach öffnen Sie die Datei dummy.txt und ersetzen den String C:\Windows\ mit der Option „Suchen und Ersetzen“ zu:

xcopy 4cdfa0c8-9c1f-4b14-8eb5-a5b6405284d3.exe C:\Windows\

Wobei 4cdfa0c8-9c1f-4b14-8eb5-a5b6405284d3.exe eine beliebige EXE-Datei sein kann. Wichtig ist nur, dass der Dateiname nicht schon in den Windows-Verzeichnissen existiert. Wir haben für dieses Beispiel einfach eine beliebige EXE-Datei kopiert (notepad.exe) und diese in 4cdfa0c8-9c1f-4b14-8eb5-a5b6405284d3.exe umbenannt. Sie können den Dateinamen frei wählen.

Den Inhalt der so geänderten dummy.txt-Datei kopieren Sie nun in die Zwischenablage (alles markieren und dann kopieren). Danach öffnen Sie eine cmd.exe-Shell (nicht als admin) und fügen den Inhalt der Zwischenablage ein. Auf der Shell werden jetzt recht viele Kopiervorgänge ausgeführt. Die meisten werden wegen fehlender Benutzerrechte scheitern. Einige aber werden funktionieren. Nach diesen Verzeichnissen suchen wir. Sie sollten auf die Blacklist.

Wenn auf der cmd.exe-Shell keine Befehle mehr ausgeführt werden, können Sie mit dem Explorer unter dem Verzeichnis C:\Windows\ nach der Datei 4cdfa0c8-9c1f-4b14-8eb5-a5b6405284d3.exe suchen. Jedes Verzeichnis, in dem diese EXE-Datei auftaucht, sollten Sie auf die Blacklist setzen. Falls in diesen Verzeichnissen Programme liegen, die sie nutzen wollen, müssen Sie diese in der Whitelist mittels einer Prioritätsregel (also mit vorausgehendem !) freigeben. Alternativ können Sie auch den Hashwert nutzen. Dort ebenfalls nicht vergessen, die Regel als Prioritätsregel zu definieren - sprich mit ! vor dem Hashwert. Leider gibt es keine einfachere Möglichkeit, diese Verzeichnisse in die Blacklist aufzunehmen. Wir haben versucht, für unsere Kunden ein Hilfsprogramm zu entwickeln, das ein Pfadliste automatisch erstellt. Doch Nicht-Systemprogramme liefern ggf. die falschen Zugriffsrechte zurück. Die so erzeugte Liste wäre nicht vollständig. Nicht so bei der cmd.exe-Shell.

Wir empfehlen Ihnen daher, unserer Anleitung zu folgen und die so erhaltenen Verzeichnisse zu blockieren. Nur so können Sie einen maximalen Schutz für Ihre Daten sicherstellen. Für Empfehlungen, Hinweise und Rückmeldungen zu diesem Thema sind wir dankbar.


Neuer Trick von Cyber-Kriminellen

Fake-Sendungsverfolgung mit Schadcode-Download

2017/04/18 von F. Rienhardt

Cyber-Kriminelle haben ein Problem: Immer wenn sie neuen Schadcode programmiert haben, dauert es nicht lange, bis Virenscanner den Schadcode kennen. Antivirenhersteller setzen den neuen Schadcode auf ihre Listen und schon geht das Spiel für die Cyberkriminellen von vorne los. Deswegen denken sich die Kriminellen immer neue Tricks aus.

So sieht die gefälschte DHL-Mail aus

Aktuell werden vermeintliche E-Mails von DHL versendet. Mit dem richtigen Logo, einer Fußzeile und persönlicher Anrede kann man die Mails kaum von echten unterscheiden. So weit, so bekannt. Doch seit neuestem versenden die Kriminellen die E-Mails ohne Schadcode-Anhang, dafür mit einem Link zu einem Schadcode-Download. Die Virenscanner der E-Mail-Programme, wie zum Beispiel web.de, gmail.de oder outlook, haben jetzt ein Problem: Sie können die Fake-Mails von den echten kaum unterscheiden. Ohne den Schadcode-Anhang sehen die Fake-Mails wie echte DHL-Mails aus. Würden die Virenscanner der E-Mailprogramme die Fake-Mails ausfiltern, würden sehr wahrscheinlich auch echte DHL-Mails im Spamfilter landen. Das ist natürlich nicht gewollt. Der Effekt: Viele der Spam-Mails schaffen es in das normale Postfach der Benutzer.

Die erste Hürde für die Kriminellen ist damit geschafft. Auch die zweite Schwierigkeit, auf den Rechner der Benutzer zu gelangen, können die Kriminellen mit dem Link in der Fake-Mail besser überwinden. Denn die Kriminellen können den Schadcode auf Ihren Servern schnell verändern. Die Schadcode-Programmierer erstellen täglich, teilweise sogar stündlich neue Varianten des Schadcodes. Auf diese Schadcodes wird dann über die E-Mails verlinkt. Dadurch sind die Virenscanner auf den Rechnern der Anwender nahezu machtlos. Die Antivirenscanner können nur vor Schadcode warnen, den sie kennen. Verändert sich der Schadcode täglich oder stündlich, schaffen es die Antiviren-Hersteller nicht, vor den allerneuesten Varianten zu schützen. Folgend ein Auszug von VirusTotal. 56 Virenscanner analysierten einen brandneuen Schädling, das Ergebnis, nur 4 von 56 Scannern konnten den Schadcode identifizieren. Nur 4 von 56 Virenscannern erkennen den Schädling Schutz vor solchen Angriffen bietet unsere Software „Türsteher“ und vorsichtiges Handeln. Klicken Sie auf keinen Fall auf den angegebenen Link. Dort lauert eine schädliche JavaScript-Datei, die Ihren Rechner z.B. mit Cryptolockern/Ransomware oder einem Trojaner infiziert. Klicken Benutzer des Chrome-Browsers diesen Link trotzdem an, sehen sie zumindest eine Warnmeldung: „Dateien dieses Typs können Schäden an ihrem Computer verursachen.“

Google Chrome warnt vor schädlichen Downloads

Sie sollten diese Warnmeldungen ernst nehmen und die Datei verwerfen. Dies gilt generell für jede ähnliche E-Mail mit Anhang oder Links auf externe Web-Seiten, wenn Google Chrome Sie warnt.

Mit unserer Software Türsteher können Sie verhindern, dass der Schadcode gestartet wird. Denn mit unserer Software können sie den Skript-Interpreter ausschalten. Der Skript-Interpreter ist ein Programm, das JavaScript-Dateien ausführt. Setzen Sie dazu „wscript.exe“ auf die Blacklist. So können Sie sichergehen, dass auch unerfahrene Benutzer den Schadcode nicht auch aus Versehen starten.

Generell empfehlen wir, dass Sie vermeintliche E-Mails von DHL, der Packstation bzw. anderer Paketdienstleister (DPD, Hermes, FedEx, UPS, USPS, etc.) nicht öffnen. Wenn Sie sich über den Status Ihrer Sendung informieren möchten, öffnen Sie die offizielle Web-Seite der Paketdienstleister. Sie können nur den Informationen der offiziellen Seiten vertrauen. Dies gilt auch für Online-Shops und Online-Banken. Navigieren Sie im Zweifel immer zur primären Webseite der Institution. Lassen Sie sich keinesfalls von Drohungen oder Fristen unter Druck setzen, prüfen Sie gründlich und fragen lieber nochmals beim Kundendienst nach.


« Ältere Einträge