Schlagwort-Archive: Trojaner

Neuer Trend: Trojaner schürfen Kryptowährungen

IT-SecurityDer cyberkriminelle Sumpf ist nicht trocken zu legen – immer wieder finden die Virenprogrammierer neue Möglichkeiten, mit Malware Geld zu verdienen. Klassisch etwa via Erpressung von Firmen mit DDoS-Angriffen, bei denen die Webseiten der Unternehmen überlastet werden, oder per Spam-Mail-Versand von infizierten Rechnern aus oder etwa durch Verschlüsseln der Dateien auf dem Rechner, mit Lösegeldforderung zum Entschlüsseln. Jetzt zeichnet sich jedoch ein neuer Trend ab: Infizierte Maschinen sollen Kryptowährungen schürfen, mithin direkt digitales Geld erzeugen.

Kryptowährungen erleben derzeit einen kleinen Boom. Jede dieser Währungen wie die bekannteste namens Bitcoin basiert auf dezentral verteilten Daten und starker kryptologischer Sicherung. Neue Währungseinheiten lassen sich mittels komplexer mathematischer Berechnungen heben. Diese benötigen inzwischen schon spezialisierte Rechenbeschleuniger, um noch neue Einheiten zu finden. Rechnen in großen Botnetzen lohnt sich daher direkt für die kriminellen Drahtzieher hinter der Malware. Einige Schädlinge befallen etwa auch die Internet-of-Things-Steuerzentrale schlechthin, den Raspberry Pi, um darauf Kryptogeld zu schürfen. Allerdings ist die Rechenleistung dieser Maschinen so gering, dass ein ernsthafter Gewinn zweifelhaft ist.

Sollten also Rechner nicht mehr in den Idle-Modus fallen und ständig unter Volllast laufen, sollte man einmal einen Blick in den Taskmanager werfen, ob dort ungewöhnliche Prozesse hohe Last erzeugen. Gegebenenfalls hilft dann auch ein Virenscan im abgesicherten Modus oder mit bootbarer Rescue-CD/-USB-Stick, um eingedrungene Schädlinge aufzuspüren. Neben einem aktuellen Virenscanner sind aber unbedingt auch alle Programme und das Betriebssystem auf aktuellem Stand zu halten, um derartiger Malware kein Einfallstor zu bieten.

Mehr NSA-Exploits: EternalRocks folgt auf WannaCry

IT-SecurityNachdem vergangene Woche der Erpressungstrojaner WannaCry für Aufsehen sorgte, da er sich mittels Sicherheitslücken im Windows-Betriebssystem als Wurm weiter in Netzwerken verbreitet hat als bislang für Ransomware üblich, hat Miroslav Stampar vom kroatischen CERT neue Verschlüsselungstrojaner entdeckt, die er EternalRocks respektive MicroBotMassiveNet genannt hat; Varianten wurden auch als BlueDoom erkannt. Während WannaCry nur einen Exploit aus dem geleakten Einbruchswerkzeugkasten der NSA verwendet hat, nutzt EternalRocks gleich sieben an der Zahl, um sich per SMB-Schwachstellen im Netzwerk auszubreiten. Die NSA nannte die Exploits EternalBlue, EternalChampion, EternalRomance und EternalSynergy sowie ArchiTouch, SMBTouch und DoublePulsar. Dies erklärt auch die Namenswahl Stampars für den Schädling. Seit dem März-Patchday 2017 sind für alle unterstützten Windows-Betriebssysteme Updates verfügbar, die die Sicherheitslücken schließen. Im Mai hat Microsoft zudem für die offiziell nicht mehr unterstützten Betriebssysteme Windows XP, 8 und Server 2003 Patches herausgegeben.

EternalRocks ist ein mehrstufiger Trojaner und hat zunächst keine konkrete Schadfunktion, sondern lädt einen TOR-Client nach, über den er Befehle von seinem Command&Control-Server abholt und abwartet. Die Verzögerungen bei den Aktionen sollen dazu dienen, unter dem Radar von Analysesoftware und Verhaltenblockern zu bleiben.

Wichtig zum Schutz vor solchen Trojanern ist neben dem Einsatz einer aktuellen Antivirensoftware sowie dem regelmäßigen Anlegen von Backups der wichtigen Daten natürlich, das Betriebssystem aktuell zu halten und alle verfügbaren Aktualisierungen einzuspielen.

Verschlüsselungstrojaner und Wurm: WannaCry richtet großen Schaden an

IT-SecurityAm Freitag Abend häuften sich Meldungen zu einem neuen Verschlüsselungstrojaner, der zahlreiche Rechner und Netzwerke zunächst in Russland, dann in England und schließlich weltweit befallen hat. Der Erpressertrojaner WannaCry verschlüsselt nicht nur die Daten und droht, diese am 19. Mai zu löschen, sondern nutzt eine Sicherheitslücke in Windows-Netzwerkfreigaben aus, um sich in Netzen auszubreiten und weitere Systeme zu befallen. Auf unterstützten Windows-Systemen hat Microsoft diese Sicherheitslücke, deren Bestehen durch das Portfolio der bekannt gewordenen NSA-Exploit-Sammlung öffentlich wurde, bereits am März-Patchday geschlossen. Aufgrund des Ausbruchs hat das Unternehmen in einem außergewöhnlichen Schritt jedoch noch Windows-Updates für alte, nicht mehr unterstützte Systeme wie Windows XP oder Server 2003 nachgelegt. Nutzer und Administratoren sollten diese umgehend einspielen!

Ransomware ist inzwischen nichts Neues mehr – jedoch zeigt die WannaCry-Attacke einige Besonderheiten: Die Schadsoftware hat große Hersteller getroffen, etwa viele Krankenhäuser und die Rechner des nationalen Gesundheitsdienstes von Großbritannien, Werke der Autohersteller Nissan und Renault oder auch die spanischen und portugiesischen Telekom-Unternehmen Telefonica und Telecom. Nicht zu vergessen natürlich, auch die Deutsche Bahn. Neben der klassischen Infektion via Links in E-Mails nutzt der Schädlinge eine Sicherheitslücke, um sich wie ein Wurm im Netz weiter zu verbreiten und so wesentlich mehr Schaden anzurichten. So müssen gegebenenfalls ganze Netzwerke neu aufgesetzt werden, anstatt wie bislang nur der einzelne infizierte Rechner im Unternehmensnetz.

Die bekannten Schädlinge wurden bereits am Freitag von guten Virenscannern wie denen von eScan oder AVG erkannt und blockiert. Die zumeist bereits umgesetzten Sicherheitskonzepte, die auch regelmäßiges Backup aller Daten mit einschließen, helfen auch hier, die Auswirkungen der Angriffswelle einzuschränken und rasch wieder in den produktiven Betrieb zu kommen, sollte die eigene Antivirenlösung die Schädlinge noch nicht erkannt haben.

Fritzbox-Update schließt Sicherheitslücke

IT-SecurityEine Sicherheitslücke in dem Betriebssystem der weit verbreiteten Fritzboxen lässt sich dazu ausnutzen, beliebigen (Schad-)Code darin einzuschleusen und auszuführen – mit root-Rechten. Dies melden die Sicherheitsexperten von heise Security. Der Hersteller hat die Lücke mit FritzOS 6.83 geschlossen, das Fritzbox-Nutzer umgehend einspielen sollten.

Da es keine schützende Antivirensoftware oder ähnliches für die Router gibt, die einem den Zugang zum Internet herstellen, muss der Hersteller Sicherheitslücken rasch mit Firmware-Aktualisierungen schließen – und, etwas schwieriger, diese auch auf den Geräten ausrollen. Seit Version 6.80 kann FritzOS automatisch Updates suchen und einspielen. Diese Option sollten Nutzer im Zuge der jetzigen Update-Suche unbedingt aktivieren. Dann dichten sich künftig gefundene Sicherheitslecks im Router-Betriebssystem nach Veröffentlichung der Softwareflicken fast wie von selber ab. Die Option verbirgt sich in der Benutzeroberfläche des Routers unter „System“ – „Update“ – „Auto-Update“. Betroffen sind insbesondere die populären Fritzboxen 7390, 7490 und 7580 mit FritzOS vor 6.83.

Ransomware: Decryption-Tools von AVG

avg_logo_deAVG hat im Rahmen der Kampagne zum besseren Schutz vor Ransomware, also Verschlüsselungstrojanern, nun auch kostenlose Werkzeuge veröffentlicht, mit denen sich viele der verschlüsselten Dateien – ohne Lösegeldzahlung – wieder entschlüsseln lassen. Namentlich stellt der Hersteller Tools gegen die Verschlüsselung folgender Crypto-Trojaner bereit: Apocalypse (ältere Versionen, neuere Versionen), BadBlock (32-Bit, 64-Bit), Crypt888, Legion, SZFLocker und TeslaCrypt V3 und V4. In einem englischsprachigen Artikel erläutert AVG, wie man die einzelnen Bedrohungen zuordnen kann.

Da die Cybermafia die Trojaner ständig weiterentwickelt und neue Verschlüsselungen erstellt, könnten jüngste Verschlüsselungsvarianten damit möglicherweise nicht mehr wiederhergestellt werden. Aber auch hier empfiehlt sich, nach einem Befall ein Backup der verschlüsselten Dateien zu erstellen, da es mit gewisser Wahrhscheinlichkeit nach einiger Zeit auch dafür kostenlose Entschlüsselungstools geben könnte. Anschließend muss der betroffene Rechner komplett neu aufgesetzt werden.

Diese Tools ersetzen daher keinesfalls einen guten Virenschutz und kein sauberes Sicherheitskonzept, wie wir in den vergangenen Blog-Beiträgen bereits erläutert haben. Sie sollten jedoch gegebenenfalls nützlich sein, sollte trotz Sicherheitskonzept der Infektionsfall eingetreten sein.

Ransomware-Überlebenstraining

Ransomware Info-PDFMit der steigenden Anzahl von Ransomware-Angriffen auf Unternehmen jeder Größen­ordnung war es noch nie so wichtig, Ihr Unternehmen, Ihre Bestände und die Zukunft Ihres Unternehmens zu schützen.

Mit 120 Millionen neuen Varianten allein im Jahr 2015 gehört Ransom­ware zu den am schnellsten wachsenden Internet­bedrohungen. Jigsaw ist die derzeit neuste und fort­geschrittenste Ransomware-Version. Sie übernimmt die Kontrolle über Ihren Computer und löscht Dateien, bis Sie ein Löse­geld zahlen. Vorsorge ist die beste Abwehr von solchen Angriffen.

Schützen Sie die Unternehmen Ihrer Kunden in 5 einfachen Schritten:

1. Sichern Sie Dateien auf einem externen Laufwerk
   Beispielsweise mit einem getrennten Backup-Operator-Account, damit Ransomware keinen Zugriff auf die Backups erhält.
2. Schulen Sie Mitarbeiter, sodass sie wissen, worauf sie achten müssen
   Auch Dateien hinter Links in E-Mails sind als gefährlicher E-Mail-Anhang zu betrachten.
3. Implementieren Sie Richtlinien zum Umgang mit Ransomware
   Notfallplan: Betroffene Maschine rasch vom Netz trennen, Backup der Festplatte und gegebenenfalls verschlüsselter Dateien auf den Netzlaufwerken anlegen, betroffene Maschine neu aufsetzen, Daten auf Netzlaufwerk vom Backup wieder einspielen.
4. Aktualisieren Sie sämtliche Software auf die neuesten Versionen
5. Verwenden Sie mehrstufigen Antivirus-Schutz!

Beachten Sie auch unser Info-PDF mit einfachen Erläuterungen der Lage und der Schutzmaßnahmen!

Zeroday-Lücke im Flash Player geschlossen

avg_logo_deIm Flash Player von Adobe wird derzeit eine Sicherheitslücke von Cyberkriminellen angegriffen – alleine das Besuchen einer gehackten Webseite mit anfälliger Flash-Version genügt, den Rechner mit einem Trojaner zu infizieren. Seit heute stehen Updates bereit, die Nutzer und Administratoren zeitnah einspielen sollten.

Die aktuell installierte Flash-Version findet man über die About-Flash-Seite von Adobe heraus. Aktuell sind die Versionen 21.0.0.213, 18.0.0.343, 11.2.202.616; sie stehen im Download-Center bereit.

Eine Antivirenlösung hilft, sich gegen derartige Schwachstellen zu schützen: Der Web-Schutz in AVG Antivirus und Internet Security untersucht Webseiten auf enthaltene Exploits und kann entdeckte auch blockieren. Jedoch sollte auch die installierte Software stets auf dem aktuellen Stand gehalten und ungenutzte Programme nach Möglichkeit wieder von den Rechnern entfernt werden, um die Angriffsfläche zu minimieren. Zudem ist es ratsam, ein regelmäßiges Backup der wichtigen Daten anzufertigen, auf ein Medium, das nicht dauerhaft am Rechner angeschlossen ist. So lassen sich Auswirkungen beispielsweise von verschlüsselnden Erpressungtrojanern wirksam eindämmen.

Petya-Erpressungstrojaner sperrt PCs – mögliche Abhilfe

avg_logo_deDerzeit grassiert eine Welle von Kryptolockern, die PCs vermeintlich blockiert und komplett verschlüsselt. Die Social-Engineering-Varianten zur Infektion sind soweit eigentlich bekannt, ungewöhnlich ist die neue Kombination: Per E-Mail kommt eine vermeintliche Bewerbung herein, die auf Bewerbungsunterlagen in einer Dropbox hinweist. Darin befindet sich dann eine Datei, die derzeit „Bewerbungsmappe-gepackt.exe“ heißt. Bei Ausführung simuliert diese Datei einen Bluescreen, verändert Master Boot Record der Festplatte und Windows-Startdateien; anschließend erzwingt sie einen Neustart. Dort ist dann ein Link in das TOR-Netzwerk hinterlegt, wo die zum Freikaufen erpresste Summe gezahlt werden soll.

Nach bisherigen Erkenntnissen wird die Festplatte jedoch derzeit nicht verschlüsselt. Der Master Boot Record sowie die Windows-Startdateien sollten sich mit einer Windows-Installations-CD wiederherstellen lassen. Diese CD (oder USB-Stick) muss man zum Starten des Rechners verwenden. Sie sollte zum dort installierten Betriebssystem passen, also jeweils Windows 7, 8 oder 10. Dort startet man die Reparaturoptionen und wählt die Kommandozeile aus. Um den Master Boot Record zu reparieren, gibt man ein:
bootrec /fixmbr

Mit den Kommandos:
bootrec /fixboot
bootrec /rebuildbcd

bringt man dann die Startdateien wieder in Ordnung. Nun sollten die Partitonen wieder zugreifbar sein, sodass man ein Backup der Daten anlegen und den Rechner neu aufsetzen kann.

Die Antivirenhersteller wie AVG pflegen permanent neue Signaturen nach, um die Erkennung der Schädlinge zu gewährleisten. Jedoch passiert es bei neuen Varianten gelegentlich, dass die Heuristik nicht mehr greift und zwischen Ausbruch des Schädlings und der Veröffentlichung von neuen Erkennungen etwas Zeit vergeht. Daher kann es bei derartigen unverlangt zugesandten Dokumenten bereits helfen, einige Stunden abzuwarten. Und natürlich bleibt weiterhin ein Grundpfeiler des Sicherheitskonzepts, die Mitarbeiter zu schulen: Die Regeln beim Umgang mit unverlangt zugesandten Dateien in E-Mails gelten auch dann, wenn der Anhang in Cloud-Speicher wie Dropbox abgelegt wird.

Der Spamschutz als Virenblocker

Gastbeitrag von Olaf Petry, IT-Sicherheitsbeauftragter / CISO, Hornetsecurity.

Logo HornetSecurity1,3 Millionen Treffer. Dieses Ergebnis spuckt die Suchmaschine Google aus, wenn nach „Computervirus“ gesucht wird. Eine beachtliche Zahl, die verdeutlicht, wie wichtig dieses Thema bei Firmen, Behörden und Privatanwendern ist, schließlich können Computerviren eine ernstzunehmende Bedrohung für private Rechner und IT-Infrastrukturen von Unternehmen darstellen. Aber wie gelangen Viren, Zero-Day-Exploits und andere Malware auf die Computer und Server? Und wie lässt sich dieses Risiko effektiv minimieren?

Spam- und Virenmails werden immer professioneller

Zwar sind Drive-By-Downloads oder das versehentliche Herunterladen von schädlicher Software im Internet ein durchaus bekanntes Phänomen, jedoch erleben wir derzeit eine Renaissance der E-Mail als Einfallstor für Malware; insbesondere in Dokumenten verschleierte Schädlinge oder Links darauf schlagen in jüngerer Vergangenheit vermehrt durch. Selbst wenn Experten diesem Kommunikation­smedium immer wieder der Tod vorhersagen – auch in Zukunft werden mehr E-Mails versendet und empfangen als jemals zuvor. Wie viele E-Mails davon als Spam zu klassifizieren sind, lässt sich nicht auf die E-Mail genau feststellen, dennoch lohnt es sich, einen kurzen Blick auf ein paar Daten von Hornetsecurity zu werfen, um einen Überblick über das Medium E-Mail zu bekommen.

  • Die Zahl aller Clean-Mails pro Benutzer stieg von ca. 120 im Jahr 2007 auf knapp 400 Ende 2015 an.
  • Spam-Nachrichten sind auf dem Rückzug: Der durchschnittliche Jahresanteil an Spam-Mails am gesamten E-Mail-Verkehr ging von 99,7 Prozent im Jahr 2008 auf knapp 63 Prozent im Jahr 2015 zurück.
  • Die Zahl der als virenverseuchte E-Mail klassifizierten E-Mails pro Benutzer pro Monat stieg hingegen in den vergangenen fünf Jahren um das Fünffache an (mit deutlichen Ausreißern nach oben durch große Malware-Attacken)

2016-01-Entwicklung_Spam-AufkommenKonkret bedeutet dies eine Abkehr der früher geltenden Regel „Masse statt Klasse“: Spammer versenden weniger Spam- und Viren-Mails, diese dafür in einem wesentlich professionelleren Erscheinungsbild. Dies liegt einerseits daran, dass die Empfänger von Spam deutlich besser informiert sind und nicht mehr so einfach auf schlecht gemachte Müll-Nachrichten hereinfallen. Andererseits haben auch die Anbieter von Antispam-Lösungen ihre Hausaufgaben gemacht und entwickeln ihre Services kontinuierlich weiter.

Spamfilter erhöht als zusätzliche Sicherheitsstufe den Schutz

Dennoch: Einen hundertprozentigen Schutz zu gewährleisten, wird unmöglich sein, schließlich handelt es sich hier um einen Wettlauf zwischen Angreifer und Verteidiger, in dem der Hersteller von Malware immer einen winzigen Schritt voraus ist. Für Unternehmen und Privatpersonen gilt daher, dieses Risiko zu minimieren, indem sie sich bestmöglich schützen. Hier spielen Anbieter von Spamfilter Lösungen wie Hornetsecurity eine nicht zu unterschätzende Rolle – sie versperren Schadsoftware ihren Haupt-Angriffsweg, die E-Mail. Dadurch bieten sie neben den bereits vorhandenen Antiviren-Lösungen eine zusätzliche Sicherheitsstufe. Im Falle von Hornetsecurity ist dies ein mehrstufiger Filterprozess, mit dem das Unternehmen eine hohe Filterquote erreicht: Es garantiert vertraglich, 99,9 Prozent aller Spamnachrichten herauszufiltern, wobei der Regelfall mit 99,99 Prozent sogar noch deutlich darüber liegt. Beim integrierten Virenschutz sichert Hornetsecurity eine Quote von 99,99 Prozent vertraglich zu.

2016-01-Viren_pro_Nutzer-grossHornetsecurity erreicht diese Zahlen über ein mehrstufiges Filtersystem, in dem neben einem vorgeschalteten Blocking-Filter mehrere Schritte in der sogenannten aktiven Analysephase der gesamte Mailverkehr auf Herz und Nieren geprüft wird. Der Service beinhaltet zusätzlich eine Virenschutz-Komponente des Spamfilter Services von Hornetsecurity, die den eingehenden E-Mail-Verkehrs auf Viren auf Basis mehrerer Systeme prüft. Neben externen Scannern wie ClamAV und Signaturdaten von G DATA kommen verschiedene selbstentwickelte Werkzeuge zum Einsatz, um für die Kunden einen möglichst breiten Schutzschirm spannen zu können. Einen genauen Überblick verschafft das entsprechende Whitepaper.

Ein funktionierender Spamfilter Service ist daher mehr als nur ein Schutz vor lästigen E-Mails – er schafft einen zusätzlichen Sicherheitswall, um Unternehmen vor Viren, Phishing-Attacken und Exploits zu bewahren.

Safer Internet Day 2015

avg_logo_deAm heutigen Dienstag findet der alljährliche Safer Internet Day statt – Ziel ist es, für die Gefahren aus dem Internet zu sensibilisieren. Bei den Gefahren, die durch die Preisgabe persönlicher Informationen und Daten etwa in sozialen Netzen lauern, kann nur eine Schulung helfen. Für die größten Angriffsflächen rein technischer Natur jedoch kann Software den Nutzer unterstützen.

Die weitaus größte Gefahr lauert immer noch beim Surfen im Netz. Cyberkriminelle versuchen, durch manipulierte Werbung auf Werbeservern, die in fast jede Internetseite integriert sind für eine Monetarisierung der Inhalte, Sicherheitslücken in der installierten Software zum Einschleusen etwa von Trojanern auszunutzen. Auf den infizierten Rechnern können sie dann Zugangsdaten zu Online-Konten mitprotokollieren, den Rechner zur Erpressung von Unternehmen etwa mittels DDoS-Attacken nutzen oder einfach Spam-E-Mails darüber versenden.

Ein paar einfache Schutzmaßnahmen genügen, um diese Bedrohung umfassend einzudämmen. So sollte die installierte Software stets auf dem aktuellen Stand gehalten werden. Dazu gehören die Windows-Updates – aber auch die ganzen Programme, die mit dem Internet in Verbindung stehen, benötigen häufig Aktualisierungen. Darunter fallen Webbrowser, Java, PDF-Reader oder wie kürzlich gesehen der Flash Player von Adobe. Der Fall des Flash-Player zeigt, dass es eine ständige Aufgabe ist, die Aktualisierungen zu suchen und zu installieren.

Gegen Exploit-Versuche von manipulierter Werbung auf Webseiten helfen der Online Shield und Link Scanner von AVG. Diese erkennen viele Angriffsmuster und können sie blockieren, bevor es zu Schaden auf dem Rechner kommt. Ein weiteres Puzzleteil im Sicherheitskonzept ist schließlich ein Passwort-Manager wie Sticky Password. Der verwaltet mit einem Masterpasswort verschlüsselt die Zugangsdaten zu allen Online-Konten und zu Programmen. Dadurch kann man die automatisch generierten hochkomplexen Passwörter aus Sticky Password verwenden und diese auch regelmäßig mit Unterstützung vom Programm ersetzen. Cyberganoven können so nicht an diese immer wichtiger werdenden Zugangsdaten gelangen beziehungsweise nichts damit anfangen.

Sicherheit ist immer ein Kompromiss aus Benutzbarkeit und Komplexität der Sicherungsmaßnahmen. Ein sehr guter Sicherheitsgrad lässt sich aber schon mit diesen recht einfachen Mitteln erreichen.

Geschrieben von Dirk Knop.