Schlagwort-Archive: Malware

Mehr NSA-Exploits: EternalRocks folgt auf WannaCry

IT-SecurityNachdem vergangene Woche der Erpressungstrojaner WannaCry für Aufsehen sorgte, da er sich mittels Sicherheitslücken im Windows-Betriebssystem als Wurm weiter in Netzwerken verbreitet hat als bislang für Ransomware üblich, hat Miroslav Stampar vom kroatischen CERT neue Verschlüsselungstrojaner entdeckt, die er EternalRocks respektive MicroBotMassiveNet genannt hat; Varianten wurden auch als BlueDoom erkannt. Während WannaCry nur einen Exploit aus dem geleakten Einbruchswerkzeugkasten der NSA verwendet hat, nutzt EternalRocks gleich sieben an der Zahl, um sich per SMB-Schwachstellen im Netzwerk auszubreiten. Die NSA nannte die Exploits EternalBlue, EternalChampion, EternalRomance und EternalSynergy sowie ArchiTouch, SMBTouch und DoublePulsar. Dies erklärt auch die Namenswahl Stampars für den Schädling. Seit dem März-Patchday 2017 sind für alle unterstützten Windows-Betriebssysteme Updates verfügbar, die die Sicherheitslücken schließen. Im Mai hat Microsoft zudem für die offiziell nicht mehr unterstützten Betriebssysteme Windows XP, 8 und Server 2003 Patches herausgegeben.

EternalRocks ist ein mehrstufiger Trojaner und hat zunächst keine konkrete Schadfunktion, sondern lädt einen TOR-Client nach, über den er Befehle von seinem Command&Control-Server abholt und abwartet. Die Verzögerungen bei den Aktionen sollen dazu dienen, unter dem Radar von Analysesoftware und Verhaltenblockern zu bleiben.

Wichtig zum Schutz vor solchen Trojanern ist neben dem Einsatz einer aktuellen Antivirensoftware sowie dem regelmäßigen Anlegen von Backups der wichtigen Daten natürlich, das Betriebssystem aktuell zu halten und alle verfügbaren Aktualisierungen einzuspielen.

Verschlüsselungstrojaner und Wurm: WannaCry richtet großen Schaden an

IT-SecurityAm Freitag Abend häuften sich Meldungen zu einem neuen Verschlüsselungstrojaner, der zahlreiche Rechner und Netzwerke zunächst in Russland, dann in England und schließlich weltweit befallen hat. Der Erpressertrojaner WannaCry verschlüsselt nicht nur die Daten und droht, diese am 19. Mai zu löschen, sondern nutzt eine Sicherheitslücke in Windows-Netzwerkfreigaben aus, um sich in Netzen auszubreiten und weitere Systeme zu befallen. Auf unterstützten Windows-Systemen hat Microsoft diese Sicherheitslücke, deren Bestehen durch das Portfolio der bekannt gewordenen NSA-Exploit-Sammlung öffentlich wurde, bereits am März-Patchday geschlossen. Aufgrund des Ausbruchs hat das Unternehmen in einem außergewöhnlichen Schritt jedoch noch Windows-Updates für alte, nicht mehr unterstützte Systeme wie Windows XP oder Server 2003 nachgelegt. Nutzer und Administratoren sollten diese umgehend einspielen!

Ransomware ist inzwischen nichts Neues mehr – jedoch zeigt die WannaCry-Attacke einige Besonderheiten: Die Schadsoftware hat große Hersteller getroffen, etwa viele Krankenhäuser und die Rechner des nationalen Gesundheitsdienstes von Großbritannien, Werke der Autohersteller Nissan und Renault oder auch die spanischen und portugiesischen Telekom-Unternehmen Telefonica und Telecom. Nicht zu vergessen natürlich, auch die Deutsche Bahn. Neben der klassischen Infektion via Links in E-Mails nutzt der Schädlinge eine Sicherheitslücke, um sich wie ein Wurm im Netz weiter zu verbreiten und so wesentlich mehr Schaden anzurichten. So müssen gegebenenfalls ganze Netzwerke neu aufgesetzt werden, anstatt wie bislang nur der einzelne infizierte Rechner im Unternehmensnetz.

Die bekannten Schädlinge wurden bereits am Freitag von guten Virenscannern wie denen von eScan oder AVG erkannt und blockiert. Die zumeist bereits umgesetzten Sicherheitskonzepte, die auch regelmäßiges Backup aller Daten mit einschließen, helfen auch hier, die Auswirkungen der Angriffswelle einzuschränken und rasch wieder in den produktiven Betrieb zu kommen, sollte die eigene Antivirenlösung die Schädlinge noch nicht erkannt haben.

Microsoft liefert Notfallpatch gegen schlimme Sicherheitslücke

IT-SecurityMicrosoft wurde vergangenen Freitag von Googles Sicherheitsteam über eine schwerwiegende Sicherheitslücke informiert, die alle Windows-Betriebssysteme betrifft und sogar die Ausbreitung von Würmern ermöglichen kann. Am heutigen Dienstag – den Mai-Patchday – legt das Unternehmen eine Sicherheitsaktualisierung für den Windows Defender nach, der die Lücke schließen soll. Das Update sollte in Kürze automatisch auf allen betroffenen Maschinen landen.

Der Fehler befindet sich in der Malware Protection Engine von Microsoft, die nicht nur im Windows Defender und Microsoft Security Essentials zum Einsatz kommt, sondern auch in diversen anderen Sicherheitslösungen des Unternehmens, etwa auch Forefront. Beispielsweise kann schon das Senden einer E-Mail mit bösartigem Inhalt nach Erhalt auf dem Rechner durch den Antimalware-Scan durch Microsoft zur Rechnerinfektion führen. Windows Defender ist seit Windows 10 mit dem Update aus dem Herbst 2016 oftmals zusätzlich zum installierten Virenscanner auf den Systemen aktiv, da Microsoft dort eine Option zum Parallelbetrieb eingebaut hat.

Da bereits Schadcode öffentlich verfügbar ist, der diese Schwachstelle ausnutzt, die faktisch auf jedem Windows-System einschließlich der Server offensteht, sollte die Aktualisierung möglichst zeitnah eingespielt werden. Dazu sollte das Aufrufen von Windows Update genügen.

Antivirensoftware noch sinnvoll? Selbstverständlich!

IT-SecurityIn jüngster Vergangenheit haben einige Programmierer frustriert die These aufgestellt, dass Antivirensoftware obsolet sei und die Sicherheit der Systeme beeinträchtige. Hintergrund dazu ist, dass die Antivirenprodukte inzwischen auch Netzwerkverkehr überwachen, der zwischen Server und lokalem Webbrowser ausgetauscht wird – und neuerdings auch verschlüsselte Verbindungen. Dabei haben einige Hersteller bei der Implementierung Fehler eingebaut, die die Sicherheit dieser Verbindung zwischen Server und Browser herabsetzen können. Dies kritisieren Sicherheitsforscher zu recht und die Antivirenhersteller reagieren zügig mit Softwarekorrekturen. Zudem gab es kürzlich Veröffentlichungen, die eine Sicherheitslücke im Windows-eigenen Application Verifier nutzen, um Antivirensoftware auszuhebeln. Es handelt sich im Kern also um eine Microsoft-Lücke.

Ein guter Computerschutz umfasst nicht nur einen reinen Dateiscanner, da Viren auf diverse Wege ins System kommen und den Anwender schädigen können. Im Zwiebelschalenprinzip fügen die Antivirenhersteller daher Schutzschicht um Schutzschicht nach: Neben dem ursprünglichen Dateiscanner, der auf Anforderung das System untersucht, kam so der Hintergrundscanner hinzu, der das Dateisystem in Echtzeit auf Änderungen überwacht. Weitere Komponenten sind dann beispielsweise E-Mail-Scanner oder Verhaltensüberwachung von Prozessen, also der laufenden Programme. Um bösartige Angriffe von Exploit-Kits zu erkennen, kamen dann Webtraffic-Analysekomponenten hinzu, die etwa Aktionen von Skripten in Webseiten untersuchen und bewerten.

Sofern Fehler in diesen Komponenten auftreten, versuchen die Hersteller, diese rasch zu beheben. Das ist ein ganz normaler und alltäglicher Vorgang: Wo Menschen arbeiten, wird es zwingend gelegentlich Fehler geben. Jeder Softwarehersteller muss nachbessern – man sieht dies unter anderem bei den monatlichen Patchdays von Microsoft. Die meisten Fehler fallen bereits weit vor Veröffentlichung neuer Komponenten in der Qualitätssicherung auf, einige erst später. Auch dann werden sie natürlich behoben.

Es sind bislang keine Angriffe aus der Praxis auf Virenscanner bekannt, um darüber Systeme zu infizieren oder Nutzer anzugreifen. Das liegt auch daran, dass die Position, die ein Angreifer zum Ausnutzen der jüngst bekannt gewordenen Lücken in Windows haben muss – beispielsweise lokalen Zugriff auf den Rechner -, bereits wesentlich einfacher weitreichenden Systemzugriff erlaubt.

Die Schutzwirkung durch Antivirensoftware ist jedoch unbestritten. Hier liefern Testlabore wie AV-Test.org regelmäßig Ergebnisse von Untersuchungen auf deren Webseite, die die gute Schutzwirkung der meisten Antivirenlösungen belegen. Das kostenlose, beim aktuellen Windows-Betriebsystem mitgelieferte Windows Defender schlägt sich dabei jedoch meist eher schlecht als recht. Daher ist der Einsatz von Antivirensoftware nach wie vor zwingend anzuraten – ohne sind Nutzer den Angreifern schutzlos ausgeliefert und haben keinerlei Unterstützung, Schadsoftware zu erkennen und abzuwehren.

Wikileaks zu CIA-Angriffen auf Virenscanner

IT-SecurityWikileaks hat unter dem Namen „Vault 7“ Dokumente veröffentlicht, die die Arbeit der Cybereinheiten der CIA beschreiben. Einige Dokumente erläutern, wie die Hacker der CIA der Erkennung durch einige Virenscannern entgehen konnten.

Die Ansätze verdeutlichen, wie das tägliche Geschäft der Antivirenhersteller funktioniert: Die Cyberkriminellen versuchen, der Erkennung zu entgehen, und die Programmierer der Antivirenhersteller legen neue Maßnahmen nach, um die Schadsoftware doch zu erkennen und so die Kunden zu schützen. Daher wird eine Antivirenlösung nicht nur einmal programmiert und ist dann fertig – stetiger Wandel bedingt ständig neue Programmversionen.

Die gute Nachricht ist am Ende, dass die Veröffentlichung der Angriffsszenarien dazu geführt haben, dass diese Einfallstore rasch geschlossen werden konnten. Ebenfalls erfreulich: Oft postulierte Sicherheitslücken in Antimalware, die zum Einschleusen von Schädlingen dienten, scheinen weiterhin ein Mythos zu sein – keiner der veröffentlichten Angriffe setzt auf so etwas.

Alle Jahre wieder: Ein sicheres Fest!

Die besinnlichen Tage nahen und ganz weit oben auf den Wunschlisten stehen klassisch wieder Laptops, Tablets und Computer. Damit das Fest ein Frohes wird, haben wir ein paar einfache Tipps zusammengefasst, um beispielsweise nicht etwa Opfer eines Erpressungstrojaners zu werden.

1.) Aktueller Virenscanner
Ganz klar – auf einen neuen Rechner gehört auch ein aktuelles Antivirenprogramm! Meist ist sogar schon eine Testversion mit einigen Tagen Laufzeit vorinstalliert. Dieses sollte man jedoch mit dem Remover-Tool des jeweiligen Herstellers gründlich von der Festplatte putzen und anschließend beispielsweise die Vollversion von AVG Internet Security installieren.

2.) Oft ignoriert: Backup
Sollte es dennoch ein Schädling auf den Rechner schaffen, weil man kurz unachtsam war und zu schnell falsch geklickt hat, hilft ein Backup der wichtigen eigenen Daten. Ein Betriebssystem sowie die installierten Programme kann man meist von den Original-Medien wiederherstellen oder einfach erneut herunterladen, nur die selbst erstellten Daten sind im Zweifel weg. Wenn man ein Backup einrichtet und für das Backup sogar einen eigenen Benutzer anlegt, der auch als einziger Zugriff auf den Daten-Backup-Bereich hat, kann ein Verschlüsselungstrojaner nicht an die Sicherungskopie des eigenen Datenschatzes. Hier empfiehlt sich beispielsweise das einfache und intuitiv bedienbare Langmeier Backup.

3.) Aufmerksamkeit
Gerade Richtung Jahreswechsel finden oftmals gut gemachte Phishing-Mails ihren Weg an allen Filtern vorbei in den elektronischen Postkasten. Daher hilft, E-Mails gründlich zu prüfen. Sind Absender und Empfänger plausibel? Meist sind bereits diese Mail-Adressen komplett dubios und weisen nicht einmal auf das Unternehmen hin, das sonst eigene Domains hat. Ganz besonders, wenn zeitlicher Druck aufgebaut wird, dass man innerhalb weniger Stunden oder Tage reagieren müsste, sind ein deutliches Indiz für betrügerische Machenschaften.

Wenn man diese einfachen Tipps beachtet, ist man schon deutlich sicherer unterwegs als der Großteil im Netz und kann die Feiertage entspannt genießen.

Wir wünschen allen ein frohe Fest und einen guten Rutsch ins neue Jahr!

Ransomware: Decryption-Tools von AVG

avg_logo_deAVG hat im Rahmen der Kampagne zum besseren Schutz vor Ransomware, also Verschlüsselungstrojanern, nun auch kostenlose Werkzeuge veröffentlicht, mit denen sich viele der verschlüsselten Dateien – ohne Lösegeldzahlung – wieder entschlüsseln lassen. Namentlich stellt der Hersteller Tools gegen die Verschlüsselung folgender Crypto-Trojaner bereit: Apocalypse (ältere Versionen, neuere Versionen), BadBlock (32-Bit, 64-Bit), Crypt888, Legion, SZFLocker und TeslaCrypt V3 und V4. In einem englischsprachigen Artikel erläutert AVG, wie man die einzelnen Bedrohungen zuordnen kann.

Da die Cybermafia die Trojaner ständig weiterentwickelt und neue Verschlüsselungen erstellt, könnten jüngste Verschlüsselungsvarianten damit möglicherweise nicht mehr wiederhergestellt werden. Aber auch hier empfiehlt sich, nach einem Befall ein Backup der verschlüsselten Dateien zu erstellen, da es mit gewisser Wahrhscheinlichkeit nach einiger Zeit auch dafür kostenlose Entschlüsselungstools geben könnte. Anschließend muss der betroffene Rechner komplett neu aufgesetzt werden.

Diese Tools ersetzen daher keinesfalls einen guten Virenschutz und kein sauberes Sicherheitskonzept, wie wir in den vergangenen Blog-Beiträgen bereits erläutert haben. Sie sollten jedoch gegebenenfalls nützlich sein, sollte trotz Sicherheitskonzept der Infektionsfall eingetreten sein.

Ransomware-Überlebenstraining

Ransomware Info-PDFMit der steigenden Anzahl von Ransomware-Angriffen auf Unternehmen jeder Größen­ordnung war es noch nie so wichtig, Ihr Unternehmen, Ihre Bestände und die Zukunft Ihres Unternehmens zu schützen.

Mit 120 Millionen neuen Varianten allein im Jahr 2015 gehört Ransom­ware zu den am schnellsten wachsenden Internet­bedrohungen. Jigsaw ist die derzeit neuste und fort­geschrittenste Ransomware-Version. Sie übernimmt die Kontrolle über Ihren Computer und löscht Dateien, bis Sie ein Löse­geld zahlen. Vorsorge ist die beste Abwehr von solchen Angriffen.

Schützen Sie die Unternehmen Ihrer Kunden in 5 einfachen Schritten:

1. Sichern Sie Dateien auf einem externen Laufwerk
   Beispielsweise mit einem getrennten Backup-Operator-Account, damit Ransomware keinen Zugriff auf die Backups erhält.
2. Schulen Sie Mitarbeiter, sodass sie wissen, worauf sie achten müssen
   Auch Dateien hinter Links in E-Mails sind als gefährlicher E-Mail-Anhang zu betrachten.
3. Implementieren Sie Richtlinien zum Umgang mit Ransomware
   Notfallplan: Betroffene Maschine rasch vom Netz trennen, Backup der Festplatte und gegebenenfalls verschlüsselter Dateien auf den Netzlaufwerken anlegen, betroffene Maschine neu aufsetzen, Daten auf Netzlaufwerk vom Backup wieder einspielen.
4. Aktualisieren Sie sämtliche Software auf die neuesten Versionen
5. Verwenden Sie mehrstufigen Antivirus-Schutz!

Beachten Sie auch unser Info-PDF mit einfachen Erläuterungen der Lage und der Schutzmaßnahmen!

Petya-Erpressungstrojaner sperrt PCs – mögliche Abhilfe

avg_logo_deDerzeit grassiert eine Welle von Kryptolockern, die PCs vermeintlich blockiert und komplett verschlüsselt. Die Social-Engineering-Varianten zur Infektion sind soweit eigentlich bekannt, ungewöhnlich ist die neue Kombination: Per E-Mail kommt eine vermeintliche Bewerbung herein, die auf Bewerbungsunterlagen in einer Dropbox hinweist. Darin befindet sich dann eine Datei, die derzeit „Bewerbungsmappe-gepackt.exe“ heißt. Bei Ausführung simuliert diese Datei einen Bluescreen, verändert Master Boot Record der Festplatte und Windows-Startdateien; anschließend erzwingt sie einen Neustart. Dort ist dann ein Link in das TOR-Netzwerk hinterlegt, wo die zum Freikaufen erpresste Summe gezahlt werden soll.

Nach bisherigen Erkenntnissen wird die Festplatte jedoch derzeit nicht verschlüsselt. Der Master Boot Record sowie die Windows-Startdateien sollten sich mit einer Windows-Installations-CD wiederherstellen lassen. Diese CD (oder USB-Stick) muss man zum Starten des Rechners verwenden. Sie sollte zum dort installierten Betriebssystem passen, also jeweils Windows 7, 8 oder 10. Dort startet man die Reparaturoptionen und wählt die Kommandozeile aus. Um den Master Boot Record zu reparieren, gibt man ein:
bootrec /fixmbr

Mit den Kommandos:
bootrec /fixboot
bootrec /rebuildbcd

bringt man dann die Startdateien wieder in Ordnung. Nun sollten die Partitonen wieder zugreifbar sein, sodass man ein Backup der Daten anlegen und den Rechner neu aufsetzen kann.

Die Antivirenhersteller wie AVG pflegen permanent neue Signaturen nach, um die Erkennung der Schädlinge zu gewährleisten. Jedoch passiert es bei neuen Varianten gelegentlich, dass die Heuristik nicht mehr greift und zwischen Ausbruch des Schädlings und der Veröffentlichung von neuen Erkennungen etwas Zeit vergeht. Daher kann es bei derartigen unverlangt zugesandten Dokumenten bereits helfen, einige Stunden abzuwarten. Und natürlich bleibt weiterhin ein Grundpfeiler des Sicherheitskonzepts, die Mitarbeiter zu schulen: Die Regeln beim Umgang mit unverlangt zugesandten Dateien in E-Mails gelten auch dann, wenn der Anhang in Cloud-Speicher wie Dropbox abgelegt wird.

Der Spamschutz als Virenblocker

Gastbeitrag von Olaf Petry, IT-Sicherheitsbeauftragter / CISO, Hornetsecurity.

Logo HornetSecurity1,3 Millionen Treffer. Dieses Ergebnis spuckt die Suchmaschine Google aus, wenn nach „Computervirus“ gesucht wird. Eine beachtliche Zahl, die verdeutlicht, wie wichtig dieses Thema bei Firmen, Behörden und Privatanwendern ist, schließlich können Computerviren eine ernstzunehmende Bedrohung für private Rechner und IT-Infrastrukturen von Unternehmen darstellen. Aber wie gelangen Viren, Zero-Day-Exploits und andere Malware auf die Computer und Server? Und wie lässt sich dieses Risiko effektiv minimieren?

Spam- und Virenmails werden immer professioneller

Zwar sind Drive-By-Downloads oder das versehentliche Herunterladen von schädlicher Software im Internet ein durchaus bekanntes Phänomen, jedoch erleben wir derzeit eine Renaissance der E-Mail als Einfallstor für Malware; insbesondere in Dokumenten verschleierte Schädlinge oder Links darauf schlagen in jüngerer Vergangenheit vermehrt durch. Selbst wenn Experten diesem Kommunikation­smedium immer wieder der Tod vorhersagen – auch in Zukunft werden mehr E-Mails versendet und empfangen als jemals zuvor. Wie viele E-Mails davon als Spam zu klassifizieren sind, lässt sich nicht auf die E-Mail genau feststellen, dennoch lohnt es sich, einen kurzen Blick auf ein paar Daten von Hornetsecurity zu werfen, um einen Überblick über das Medium E-Mail zu bekommen.

  • Die Zahl aller Clean-Mails pro Benutzer stieg von ca. 120 im Jahr 2007 auf knapp 400 Ende 2015 an.
  • Spam-Nachrichten sind auf dem Rückzug: Der durchschnittliche Jahresanteil an Spam-Mails am gesamten E-Mail-Verkehr ging von 99,7 Prozent im Jahr 2008 auf knapp 63 Prozent im Jahr 2015 zurück.
  • Die Zahl der als virenverseuchte E-Mail klassifizierten E-Mails pro Benutzer pro Monat stieg hingegen in den vergangenen fünf Jahren um das Fünffache an (mit deutlichen Ausreißern nach oben durch große Malware-Attacken)

2016-01-Entwicklung_Spam-AufkommenKonkret bedeutet dies eine Abkehr der früher geltenden Regel „Masse statt Klasse“: Spammer versenden weniger Spam- und Viren-Mails, diese dafür in einem wesentlich professionelleren Erscheinungsbild. Dies liegt einerseits daran, dass die Empfänger von Spam deutlich besser informiert sind und nicht mehr so einfach auf schlecht gemachte Müll-Nachrichten hereinfallen. Andererseits haben auch die Anbieter von Antispam-Lösungen ihre Hausaufgaben gemacht und entwickeln ihre Services kontinuierlich weiter.

Spamfilter erhöht als zusätzliche Sicherheitsstufe den Schutz

Dennoch: Einen hundertprozentigen Schutz zu gewährleisten, wird unmöglich sein, schließlich handelt es sich hier um einen Wettlauf zwischen Angreifer und Verteidiger, in dem der Hersteller von Malware immer einen winzigen Schritt voraus ist. Für Unternehmen und Privatpersonen gilt daher, dieses Risiko zu minimieren, indem sie sich bestmöglich schützen. Hier spielen Anbieter von Spamfilter Lösungen wie Hornetsecurity eine nicht zu unterschätzende Rolle – sie versperren Schadsoftware ihren Haupt-Angriffsweg, die E-Mail. Dadurch bieten sie neben den bereits vorhandenen Antiviren-Lösungen eine zusätzliche Sicherheitsstufe. Im Falle von Hornetsecurity ist dies ein mehrstufiger Filterprozess, mit dem das Unternehmen eine hohe Filterquote erreicht: Es garantiert vertraglich, 99,9 Prozent aller Spamnachrichten herauszufiltern, wobei der Regelfall mit 99,99 Prozent sogar noch deutlich darüber liegt. Beim integrierten Virenschutz sichert Hornetsecurity eine Quote von 99,99 Prozent vertraglich zu.

2016-01-Viren_pro_Nutzer-grossHornetsecurity erreicht diese Zahlen über ein mehrstufiges Filtersystem, in dem neben einem vorgeschalteten Blocking-Filter mehrere Schritte in der sogenannten aktiven Analysephase der gesamte Mailverkehr auf Herz und Nieren geprüft wird. Der Service beinhaltet zusätzlich eine Virenschutz-Komponente des Spamfilter Services von Hornetsecurity, die den eingehenden E-Mail-Verkehrs auf Viren auf Basis mehrerer Systeme prüft. Neben externen Scannern wie ClamAV und Signaturdaten von G DATA kommen verschiedene selbstentwickelte Werkzeuge zum Einsatz, um für die Kunden einen möglichst breiten Schutzschirm spannen zu können. Einen genauen Überblick verschafft das entsprechende Whitepaper.

Ein funktionierender Spamfilter Service ist daher mehr als nur ein Schutz vor lästigen E-Mails – er schafft einen zusätzlichen Sicherheitswall, um Unternehmen vor Viren, Phishing-Attacken und Exploits zu bewahren.