Neuer Trend: Trojaner schürfen Kryptowährungen

IT-SecurityDer cyberkriminelle Sumpf ist nicht trocken zu legen – immer wieder finden die Virenprogrammierer neue Möglichkeiten, mit Malware Geld zu verdienen. Klassisch etwa via Erpressung von Firmen mit DDoS-Angriffen, bei denen die Webseiten der Unternehmen überlastet werden, oder per Spam-Mail-Versand von infizierten Rechnern aus oder etwa durch Verschlüsseln der Dateien auf dem Rechner, mit Lösegeldforderung zum Entschlüsseln. Jetzt zeichnet sich jedoch ein neuer Trend ab: Infizierte Maschinen sollen Kryptowährungen schürfen, mithin direkt digitales Geld erzeugen.

Kryptowährungen erleben derzeit einen kleinen Boom. Jede dieser Währungen wie die bekannteste namens Bitcoin basiert auf dezentral verteilten Daten und starker kryptologischer Sicherung. Neue Währungseinheiten lassen sich mittels komplexer mathematischer Berechnungen heben. Diese benötigen inzwischen schon spezialisierte Rechenbeschleuniger, um noch neue Einheiten zu finden. Rechnen in großen Botnetzen lohnt sich daher direkt für die kriminellen Drahtzieher hinter der Malware. Einige Schädlinge befallen etwa auch die Internet-of-Things-Steuerzentrale schlechthin, den Raspberry Pi, um darauf Kryptogeld zu schürfen. Allerdings ist die Rechenleistung dieser Maschinen so gering, dass ein ernsthafter Gewinn zweifelhaft ist.

Sollten also Rechner nicht mehr in den Idle-Modus fallen und ständig unter Volllast laufen, sollte man einmal einen Blick in den Taskmanager werfen, ob dort ungewöhnliche Prozesse hohe Last erzeugen. Gegebenenfalls hilft dann auch ein Virenscan im abgesicherten Modus oder mit bootbarer Rescue-CD/-USB-Stick, um eingedrungene Schädlinge aufzuspüren. Neben einem aktuellen Virenscanner sind aber unbedingt auch alle Programme und das Betriebssystem auf aktuellem Stand zu halten, um derartiger Malware kein Einfallstor zu bieten.

Trotz Support-Ende Updates für Windows XP und Vista

Ein ungewöhnlicher Zug von Microsoft: Da offenbar Windows XP und Vista noch weit verbreitet sind, hat das Unternehmen nun trotz teils bereits mehrjährigem Support-Ende noch einmal Sicherheitsaktualisierungen dafür veröffentlicht. Die Sicherheitslücken waren offenbar so heikel, dass das Redmonder Unternehmen sich zum Handeln gezwungen sah. Es geht offenbar um die Schwachstellen, die in den Leaks der NSA- und CIA-Exploitsammlungen zur Infiltration von Rechnern ausgenutzt werden.

Dies ist jedoch mitnichten als Wiederbelebung der alten, unsicheren Software zu verstehen. Das Unternehmen weist deutlich darauf hin, dass ausschließlich die gefährlichsten Probleme beseitigt würden. Andere Patches, die es für neuere Betriebssysteme bereits gibt, werden nicht mehr dafür angeboten. Die aktuellen Patches stellten zudem keine Verlängerung des Supports dar.

Die letzten Punkte sind wichtig zu berücksichtigen. Wenn beispielsweise Laufzeitumgebungen wie .Net Aktualisierungen erhalten, die von Microsoft nicht auf den alten, nicht mehr unterstützten Betriebssystemen angeboten werden, und diese dazu führen, dass Drittanbietersoftware auf den alten Systemen dann nicht mehr läuft, können die Hersteller der Software dieses Manko im Betriebssystem nicht ausgleichen – die Software funktioniert dann einfach nicht mehr korrekt. Dementsprechend sollten nicht nur sicherheitsbewusste Nutzer die Finger von nicht mehr unterstützten Betriebssystemen wie Windows 2000, XP, Vista und Server 2003 lassen und besser auf aktuelle Software setzen. Die vermeintliche Ersparnis relativiert sich ganz schnell, wenn Probleme aufgrund veralteter Software auftauchen und den Arbeitsfluss stören oder zusammenbrechen lassen.

Mehr NSA-Exploits: EternalRocks folgt auf WannaCry

IT-SecurityNachdem vergangene Woche der Erpressungstrojaner WannaCry für Aufsehen sorgte, da er sich mittels Sicherheitslücken im Windows-Betriebssystem als Wurm weiter in Netzwerken verbreitet hat als bislang für Ransomware üblich, hat Miroslav Stampar vom kroatischen CERT neue Verschlüsselungstrojaner entdeckt, die er EternalRocks respektive MicroBotMassiveNet genannt hat; Varianten wurden auch als BlueDoom erkannt. Während WannaCry nur einen Exploit aus dem geleakten Einbruchswerkzeugkasten der NSA verwendet hat, nutzt EternalRocks gleich sieben an der Zahl, um sich per SMB-Schwachstellen im Netzwerk auszubreiten. Die NSA nannte die Exploits EternalBlue, EternalChampion, EternalRomance und EternalSynergy sowie ArchiTouch, SMBTouch und DoublePulsar. Dies erklärt auch die Namenswahl Stampars für den Schädling. Seit dem März-Patchday 2017 sind für alle unterstützten Windows-Betriebssysteme Updates verfügbar, die die Sicherheitslücken schließen. Im Mai hat Microsoft zudem für die offiziell nicht mehr unterstützten Betriebssysteme Windows XP, 8 und Server 2003 Patches herausgegeben.

EternalRocks ist ein mehrstufiger Trojaner und hat zunächst keine konkrete Schadfunktion, sondern lädt einen TOR-Client nach, über den er Befehle von seinem Command&Control-Server abholt und abwartet. Die Verzögerungen bei den Aktionen sollen dazu dienen, unter dem Radar von Analysesoftware und Verhaltenblockern zu bleiben.

Wichtig zum Schutz vor solchen Trojanern ist neben dem Einsatz einer aktuellen Antivirensoftware sowie dem regelmäßigen Anlegen von Backups der wichtigen Daten natürlich, das Betriebssystem aktuell zu halten und alle verfügbaren Aktualisierungen einzuspielen.

Verschlüsselungstrojaner und Wurm: WannaCry richtet großen Schaden an

IT-SecurityAm Freitag Abend häuften sich Meldungen zu einem neuen Verschlüsselungstrojaner, der zahlreiche Rechner und Netzwerke zunächst in Russland, dann in England und schließlich weltweit befallen hat. Der Erpressertrojaner WannaCry verschlüsselt nicht nur die Daten und droht, diese am 19. Mai zu löschen, sondern nutzt eine Sicherheitslücke in Windows-Netzwerkfreigaben aus, um sich in Netzen auszubreiten und weitere Systeme zu befallen. Auf unterstützten Windows-Systemen hat Microsoft diese Sicherheitslücke, deren Bestehen durch das Portfolio der bekannt gewordenen NSA-Exploit-Sammlung öffentlich wurde, bereits am März-Patchday geschlossen. Aufgrund des Ausbruchs hat das Unternehmen in einem außergewöhnlichen Schritt jedoch noch Windows-Updates für alte, nicht mehr unterstützte Systeme wie Windows XP oder Server 2003 nachgelegt. Nutzer und Administratoren sollten diese umgehend einspielen!

Ransomware ist inzwischen nichts Neues mehr – jedoch zeigt die WannaCry-Attacke einige Besonderheiten: Die Schadsoftware hat große Hersteller getroffen, etwa viele Krankenhäuser und die Rechner des nationalen Gesundheitsdienstes von Großbritannien, Werke der Autohersteller Nissan und Renault oder auch die spanischen und portugiesischen Telekom-Unternehmen Telefonica und Telecom. Nicht zu vergessen natürlich, auch die Deutsche Bahn. Neben der klassischen Infektion via Links in E-Mails nutzt der Schädlinge eine Sicherheitslücke, um sich wie ein Wurm im Netz weiter zu verbreiten und so wesentlich mehr Schaden anzurichten. So müssen gegebenenfalls ganze Netzwerke neu aufgesetzt werden, anstatt wie bislang nur der einzelne infizierte Rechner im Unternehmensnetz.

Die bekannten Schädlinge wurden bereits am Freitag von guten Virenscannern wie denen von eScan oder AVG erkannt und blockiert. Die zumeist bereits umgesetzten Sicherheitskonzepte, die auch regelmäßiges Backup aller Daten mit einschließen, helfen auch hier, die Auswirkungen der Angriffswelle einzuschränken und rasch wieder in den produktiven Betrieb zu kommen, sollte die eigene Antivirenlösung die Schädlinge noch nicht erkannt haben.

Microsoft liefert Notfallpatch gegen schlimme Sicherheitslücke

IT-SecurityMicrosoft wurde vergangenen Freitag von Googles Sicherheitsteam über eine schwerwiegende Sicherheitslücke informiert, die alle Windows-Betriebssysteme betrifft und sogar die Ausbreitung von Würmern ermöglichen kann. Am heutigen Dienstag – den Mai-Patchday – legt das Unternehmen eine Sicherheitsaktualisierung für den Windows Defender nach, der die Lücke schließen soll. Das Update sollte in Kürze automatisch auf allen betroffenen Maschinen landen.

Der Fehler befindet sich in der Malware Protection Engine von Microsoft, die nicht nur im Windows Defender und Microsoft Security Essentials zum Einsatz kommt, sondern auch in diversen anderen Sicherheitslösungen des Unternehmens, etwa auch Forefront. Beispielsweise kann schon das Senden einer E-Mail mit bösartigem Inhalt nach Erhalt auf dem Rechner durch den Antimalware-Scan durch Microsoft zur Rechnerinfektion führen. Windows Defender ist seit Windows 10 mit dem Update aus dem Herbst 2016 oftmals zusätzlich zum installierten Virenscanner auf den Systemen aktiv, da Microsoft dort eine Option zum Parallelbetrieb eingebaut hat.

Da bereits Schadcode öffentlich verfügbar ist, der diese Schwachstelle ausnutzt, die faktisch auf jedem Windows-System einschließlich der Server offensteht, sollte die Aktualisierung möglichst zeitnah eingespielt werden. Dazu sollte das Aufrufen von Windows Update genügen.

Fritzbox-Update schließt Sicherheitslücke

IT-SecurityEine Sicherheitslücke in dem Betriebssystem der weit verbreiteten Fritzboxen lässt sich dazu ausnutzen, beliebigen (Schad-)Code darin einzuschleusen und auszuführen – mit root-Rechten. Dies melden die Sicherheitsexperten von heise Security. Der Hersteller hat die Lücke mit FritzOS 6.83 geschlossen, das Fritzbox-Nutzer umgehend einspielen sollten.

Da es keine schützende Antivirensoftware oder ähnliches für die Router gibt, die einem den Zugang zum Internet herstellen, muss der Hersteller Sicherheitslücken rasch mit Firmware-Aktualisierungen schließen – und, etwas schwieriger, diese auch auf den Geräten ausrollen. Seit Version 6.80 kann FritzOS automatisch Updates suchen und einspielen. Diese Option sollten Nutzer im Zuge der jetzigen Update-Suche unbedingt aktivieren. Dann dichten sich künftig gefundene Sicherheitslecks im Router-Betriebssystem nach Veröffentlichung der Softwareflicken fast wie von selber ab. Die Option verbirgt sich in der Benutzeroberfläche des Routers unter „System“ – „Update“ – „Auto-Update“. Betroffen sind insbesondere die populären Fritzboxen 7390, 7490 und 7580 mit FritzOS vor 6.83.

Antivirensoftware noch sinnvoll? Selbstverständlich!

IT-SecurityIn jüngster Vergangenheit haben einige Programmierer frustriert die These aufgestellt, dass Antivirensoftware obsolet sei und die Sicherheit der Systeme beeinträchtige. Hintergrund dazu ist, dass die Antivirenprodukte inzwischen auch Netzwerkverkehr überwachen, der zwischen Server und lokalem Webbrowser ausgetauscht wird – und neuerdings auch verschlüsselte Verbindungen. Dabei haben einige Hersteller bei der Implementierung Fehler eingebaut, die die Sicherheit dieser Verbindung zwischen Server und Browser herabsetzen können. Dies kritisieren Sicherheitsforscher zu recht und die Antivirenhersteller reagieren zügig mit Softwarekorrekturen. Zudem gab es kürzlich Veröffentlichungen, die eine Sicherheitslücke im Windows-eigenen Application Verifier nutzen, um Antivirensoftware auszuhebeln. Es handelt sich im Kern also um eine Microsoft-Lücke.

Ein guter Computerschutz umfasst nicht nur einen reinen Dateiscanner, da Viren auf diverse Wege ins System kommen und den Anwender schädigen können. Im Zwiebelschalenprinzip fügen die Antivirenhersteller daher Schutzschicht um Schutzschicht nach: Neben dem ursprünglichen Dateiscanner, der auf Anforderung das System untersucht, kam so der Hintergrundscanner hinzu, der das Dateisystem in Echtzeit auf Änderungen überwacht. Weitere Komponenten sind dann beispielsweise E-Mail-Scanner oder Verhaltensüberwachung von Prozessen, also der laufenden Programme. Um bösartige Angriffe von Exploit-Kits zu erkennen, kamen dann Webtraffic-Analysekomponenten hinzu, die etwa Aktionen von Skripten in Webseiten untersuchen und bewerten.

Sofern Fehler in diesen Komponenten auftreten, versuchen die Hersteller, diese rasch zu beheben. Das ist ein ganz normaler und alltäglicher Vorgang: Wo Menschen arbeiten, wird es zwingend gelegentlich Fehler geben. Jeder Softwarehersteller muss nachbessern – man sieht dies unter anderem bei den monatlichen Patchdays von Microsoft. Die meisten Fehler fallen bereits weit vor Veröffentlichung neuer Komponenten in der Qualitätssicherung auf, einige erst später. Auch dann werden sie natürlich behoben.

Es sind bislang keine Angriffe aus der Praxis auf Virenscanner bekannt, um darüber Systeme zu infizieren oder Nutzer anzugreifen. Das liegt auch daran, dass die Position, die ein Angreifer zum Ausnutzen der jüngst bekannt gewordenen Lücken in Windows haben muss – beispielsweise lokalen Zugriff auf den Rechner -, bereits wesentlich einfacher weitreichenden Systemzugriff erlaubt.

Die Schutzwirkung durch Antivirensoftware ist jedoch unbestritten. Hier liefern Testlabore wie AV-Test.org regelmäßig Ergebnisse von Untersuchungen auf deren Webseite, die die gute Schutzwirkung der meisten Antivirenlösungen belegen. Das kostenlose, beim aktuellen Windows-Betriebsystem mitgelieferte Windows Defender schlägt sich dabei jedoch meist eher schlecht als recht. Daher ist der Einsatz von Antivirensoftware nach wie vor zwingend anzuraten – ohne sind Nutzer den Angreifern schutzlos ausgeliefert und haben keinerlei Unterstützung, Schadsoftware zu erkennen und abzuwehren.

Wikileaks zu CIA-Angriffen auf Virenscanner

IT-SecurityWikileaks hat unter dem Namen „Vault 7“ Dokumente veröffentlicht, die die Arbeit der Cybereinheiten der CIA beschreiben. Einige Dokumente erläutern, wie die Hacker der CIA der Erkennung durch einige Virenscannern entgehen konnten.

Die Ansätze verdeutlichen, wie das tägliche Geschäft der Antivirenhersteller funktioniert: Die Cyberkriminellen versuchen, der Erkennung zu entgehen, und die Programmierer der Antivirenhersteller legen neue Maßnahmen nach, um die Schadsoftware doch zu erkennen und so die Kunden zu schützen. Daher wird eine Antivirenlösung nicht nur einmal programmiert und ist dann fertig – stetiger Wandel bedingt ständig neue Programmversionen.

Die gute Nachricht ist am Ende, dass die Veröffentlichung der Angriffsszenarien dazu geführt haben, dass diese Einfallstore rasch geschlossen werden konnten. Ebenfalls erfreulich: Oft postulierte Sicherheitslücken in Antimalware, die zum Einschleusen von Schädlingen dienten, scheinen weiterhin ein Mythos zu sein – keiner der veröffentlichten Angriffe setzt auf so etwas.

Vor 25 Jahren: Bootsektorvirus Michelangelo greift an

IT-SecurityComputerviren waren noch ein Ausnahmephänomen, als der als Michelangelo bekannt gewordene Virus entdeckt wurde. Größere Bekanntheit erreichte die Schadsoftware, da sie in einem Kopierwerk auf Treiberdisketten großer Hersteller gelangte und so Rechner infizierte und sich auf alle Medien weiterkopierte, die in infizierte Rechner eingelegt wurden.

Die Schadroutine, die die ersten Sektoren der Festplatte mit Nullen überschreibt, wurde am 06. März eines Jahres aktiv – dem Geburtstag von Michelangelo. Eine derart manipulierte Festplatte enthält zwar eigentlich noch die meisten Nutzerdaten, ohne Expertenwissen und -tools waren die Daten jedoch für normale Endanwender verloren. Glücklicherweise blieb der Schaden begrenzt, eine weite Verbreitung wie spätere Internetviren war noch nicht möglich.

Virenscanner wie die Lösungen von AVG oder eScan helfen, derartige Schädlinge auf Systemen aufzuspüren und zu entfernen.

Microsoft Patchday verschoben – klaffende Sicherheitslücken

IT-SecurityMicrosoft führt klassisch am zweiten Dienstag jeden Monats seinen Patchday durch, an dem das Unternehmen Sicherheitslücken in der gesamten Produktpalette schließt. Den Februar-Patchday 2017 hat das Redmonder Unternehmen nun jedoch in letzter Minute ausfallen lassen und verschiebt die Aktualisierungen auf Mitte März. Einen genauen Grund nennt Microsoft nicht, wahrscheinlich hatten die Softwareflicken jedoch Nebenwirkungen, wodurch die Stabilität der Produkte in Mitleidenschaft gezogen wurden.

Grundsätzlich ist die Vorgehensweise nachvollziehbar – schließlich müssen die Systeme lauffähig bleiben. Jedoch bleiben nun bereits bekannte Sicherheitslücken sperrangelweit offen, durch die Angreife Windows-Systeme kapern oder mit Malware infizieren können.

Daher müssen Administratoren und Anwender die nächsten vier Wochen besonders aufmerksam bleiben, welche Links oder Dateien sie öffnen. Zum Pflichtprogramm gehört auch ein aktueller Virenschutz wie der von AVG oder eScan. Diese untersuchen nicht nur den Rechner und dessen Internetverkehr auf digitalen Schädlingsbefall, sondern können etwa auch bösartige Webseiten erkennen und deren Laden verhindern.