it-sicherheit.li

News rund um IT-Sicherheit

Diese Rechnung wird teuer.

Nach langer Abwesenheit melden wir uns wieder einmal zurück mit einer neuen Virus Epidemie.

Zur Zeit werden vermehrt falsche Rechnungen per E-Mail versendet.  Meistens werden diese Mails von vermeintlichen Kollegen versendet und beinhalten ein Word Dokument.

Die Mails sind von vertrauenswürdigen Absender, in gutem Deutsch verfasst und mit glaubhaftem Text verfasst.

Der Betreff der Mail lautet meistens auf „Invoice“ oder „Rechnung“

 

Die Meldung die angezeigt wird lässt vermuten das sich in diesem Word Dokument ein Makro befindet.

Wenn dieses Word Dokument jedoch geöffnet wird, wird eine Verbindung zu einem Command and Control Server aufgebaut und Schadsoftware nachgeladen.

Hier liegt ein Test auf AnyRun

Bei unserem heutigen Test hat der Windows Defender die Gefahr erkannt und ein öffnen geblockt.

Auch bei einem Test mit Kaspersky wurde der Virus erkannt und in Quarantäne verschoben.

 

Bei unserem Test wurde die Datei „lanesrowset.exe“ nachgeladen. In dieser Datei wurde Emotet und Feodo entdeckt.

Emotet ist ein Virus der auf Passwort Diebstahl und Online Banking Betrug spezialisiert ist.

Feodo ist ebenfalls bekannt für das stehlen von Online Banking Daten und weiteren Informationen des Benutzers.

 

Wie immer gilt auch hier, gesunde Skepsis bei E-Mails die Sie nicht erwarten.

Schauen Sie sich die E-Mails genau an.

Fragen Sie bei Anhängen lieber bei dem Absender nach.

Im Zweifelsfall löschen Sie das E-Mail und informieren den Absender.

 

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Fancy Bear zeigt die Krallen

Die Hackergruppe „Fancy Bear“ Meldet sich zu Wort.

Finanzinstitute haben eine Warnmeldung erhalten.

Es wird gedroht, die Webseite von Finanzinstituten durch eine DDoS Attacke zum erliegen zu bringen.

Erste „Test-Attacken“ wurden bereits gefahren. Solche Attacken werden meistens ausgeführt um den Betroffenen zu zeigen dass die Erpresser es ernst meinen.

Die Gruppe „Fancy Bear“ nutzt das Mirai Botnet um DDoS Attacken durchzuführen.

Das Mirai Botnet besteht grösstenteils aus IoT Geräten die, aufgrund von Sicherheitslücken in Ihrer Firmware befallen wurden.

Die Forderung beläuft sich auf 2 Bitcoins und erhöht sich jeden Tag um 2 Bitcoins.

 

 

Das Mirai Botnet ist bereits für div. Angriffe benutzt worden, einer der bekanntesten dürfte der Angriff auf den Blog von KrebsonSecurity sein.

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Erpressung auf Deutsch Ordinypt

Deutsche Firmen sind vermehrt Ziel eines neuen Erpressungstrojaners geworden.

Ordinypt zielt auf deutsche Firmen resp. deren Personalabteilungen ab.

Anderst als die meisten Erpressungstrojaner verschlüsselt Ordinypt keine Daten, er löscht sie.  Für die Opfer scheint es jedoch so, als wären die Daten nur verschlüsselt. Dies um die Erpresser-summe einzukassieren.

Eine Entschlüsselung der Daten darf daher nicht erwartet werden.

 

Ordinypt zielt vorwiegend auf Personalabteilungen von Firmen ab.

Mit E-Mails in beinahe Fehlerfreiem Deutsch erweckt die Aktion auch kaum aufsehen.

G-Data

 

Die Erpresser Notiz

G-Data

 

Den Erpressern scheint es weniger um das verdienen von Geld, sondern mehr um das anrichten von Schaden.

 

Wie bei den meisten Ransomware`s gilt auch hier, nur ein Backup hilft wirklich.

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail

nRansom die nackte Wahrheit

Eine etwas andere Art der Bezahlung um wieder an seine Daten respektive seinen Computer zu gelangen hat ein Mitglied des MalwrhunterTeams entdeckt.

Die neue Software wurde nRansomware genannt. Es ist eher eine Art Bildschirmsperre. Das Opfer erhält folgendes Bild und kann sich nicht mehr an seinem Computer anmelden.

Das Kuriose ist jedoch dass mit Nackbildern bezahlt wird.

Die Erpresser verlangen 10 Nacktbilder der Person sowie einen Nachweis das es wirklich um die betroffene Person handelt.

Was die Erpresser mit den Bildern anfangen ist noch nicht geklärt. Es wird vermutet dass diese Benutzt werden um weiteres Geld zu erpressen oder die Opfer bloss zustellen.

Die Verwirrung unter Security Researchern ist gross da niemand genau weiss wie mit dieser Software umzugehen ist.

nRansomeware wird jedoch bereits von Virustotal und Hybrid Analysis erkannt und gelistet.

Namhafte Virenhersteller erkennen nRansomware bereits mit Ihrer Software.

Um die Sperre zu umgehen kann gleichzeitig folgende Tasten gedrückt werden:

Ctrl + Alt + Shift + F4

Nach dem entsperren kann der Computer bereinigt werden.

Eine Anleitung für Kaspersky Internet Security findet Ihr HIER.

 

Bisher ist noch nicht bekannt wie sich nRansomware verbreitet. Durch die Möglichkeit die Sperre zu umgehen und dem bereits grossen Bekanntheitsgrad  unter den AV-Herstellern ist eine Infizierung hier kein Armutszeugnis. Aber auch hier gilt, wie bei allen Ransomware Programmen, nicht bezahlen.

Es kann nicht gesagt werden was mit den Fotos geschieht und ob diese nicht für weitere Erpressungen genutzt werden.

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Malware Erkennung anhand Netzwerk Traffic

Eine Studie des Georgia Institute of Technology  zeigt das eine Malware-Infektion anhand des Netzwerk Traffic aufgespürt werden kann.

Die Studie unter dem Namen „A Lustrum of Malware Network Communication: Evolution and Insights“  wurde in Zusammenarbeit mit einem grossen Internet Service Provider durchgeführt. Dieser Lieferte Daten aus 5 Jahren mit ungefähr 5 Milliarden Netzwerkereignissen.

Der Hintergedanke war dass Malware meistens mit einem Command and Control Server Kontakt aufnimmt und dadurch im Netzwerk Spuren hinterlässt.

Aber nach was muss man Suchen?

Bei der Untersuchung haben die Forscher festgestellt das es rund 300.000 Malware Domains gab die mindestens zwei Wochen vor Entdeckung der eigentlichen Malware bereits aktiv aufgerufen wurden. Diese aufrufe kamen meistens von Infizierten Clients.

 

Die Schwierigkeit ist natürlich den Traffic zu erkennen und richtig zu lesen. Auf Malware können zum Beispiele DNS-Abfragen zu verdächtigen Servern, der Anstieg von Anfragen an dynamische DNS Dienste sowie die Registrierung von abgelaufenen Domainen hinweisen.

 

Die Studie zeigt dass, die aktive Überwachung des Netzwerk Traffics eine Infizierung frühzeitig erkennen lässt und man so noch reagieren kann bevor die Malware aktiv wird.  Dafür ist jedoch notwendig das der Administrator bereits den Netzwerk Traffic kennt ohne Infizierung um Abnormalitäten schneller zu erkennen.

Leider gibt es bis an hin noch keine 100% Liste um die Verbindungen zu filtern und abzugleichen.

Die gesamte Abhandlung

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Hit me Baby one more time

Das grösste Problem von Hackern ist neben „wie komme ich auf den Client“ auch, „wie kommuniziere ich mit meinen C&C Servern“

 

Sicherheitsforscher von Eset haben herausgefunden wie es die Hackergruppe Turla macht. Ihr Trojaner benutzt unter anderem den Instagram Account von Britney Spears.

Die Hacker von Turla infizieren den Browser Ihrer Opfer mit einer Firefox Extenstion. Mit dieser Erweiterung können Sie die Computer der betroffenen Personen komplett übernehmen.  Die Erweiterung gibt sich als vermeintliche Sicherheitssoftware aus und wird so freiwillig von den Benutzern heruntergeladen somit ist die erste Frage „wie komme ich auf den Client“ erledigt. Bleibt noch die zweite Frage offen.

Instagram

 

Durch einfache Kommentare auf Sozialen Netzwerken wie dem Instagram Account von Britney Spears. Mittels ein wenig Programmiermagie verbreiten die Hacker anschliessend die URL der C&C Server, als Kommentare getarnt.

Der Trojaner liest diese Kommentare aus und ermittelt daraus die URL der C&C Server.

 

So ist z.B. dieser Kommentar: #2hot make loved to her, uupss #Hot #X (inklusive der in Instagram unsichtbaren Unicode Zeichen) konvertiert, folgende URL http://bit.ly/2kdhuHX

Diese URL führt zu kompromittierten Servern von Botschaften oder Stadtverwaltungen.

Edit:

Dieser Link wurde von bit.ly bereits deaktiviert. Vermutlich werden jedoch schon neue Links im Umlauf sein.

Laut den Sicherheitsforscher ist eines der Add-Ins fr Firefox, welches diese Backdoor öffnet folgendes.

Turla

 

Bei diesem Update vom 13 April 2017 wird die Backdoor implementiert.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Keylogger lauscht mit

Thorsten Schröder von der Firma Modzero hat, bei Sicherheitsanalyse eine gravierende Sicherheitslücke in HP Laptops entdeckt.

Der eingesetzte Audio-Treiber schneidet Tastatureingaben mit. Dies vermutlich um die Tasten „lauter und leiser“ oder auch Mikrofon an oder aus zu erkennen. Das gefährliche ist jedoch das alle Eingaben in ein .log File geschrieben werden welches unter C:\Users\Public\MicTray.log ersichtlich ist.

Die Audiokomponenten werden vom Hersteller Conexant geliefert, auch der besagte Treiber wird von dieser Firma bereitgestellt.

Thorsten Schröder hat herausgefunden dass dieser Treiber seit mindestens Weihnachten 2015 besteht und auf HP-Rechnern zum Einsatz kommt.

Die Log Datei wird zwar nach jedem Neustart überschrieben, problematisch wird dies jedoch bei Personen die Ihren Laptop oder PC selten ausschalten und lieber den Energiesparmodus verwenden.  In diesem Fall wird die Log Datei immer weiter wachsen und alle Eingaben und Kennwörter enthalten.

Um herauszufinden ob der lauschende Audiotreiber installiert ist kann nach folgendem Programm gesucht werden:

C:\Windows\System32\MicTray64.exe

oder

C:\Windows\System32\MicTray.exe

Empfohlen wird diese Programme zu entfernen oder umzubenennen.

Der Nachteil ist dass, sobald diese Programme deaktiviert sind, die Sondertasten für Audioeinstellungen nicht mehr funktionieren werden.

 

Folgende Geräte sind, nach Aussagen von Modzero betroffen:

HP EliteBook 820 G3 Notebook PC
HP EliteBook 828 G3 Notebook PC
HP EliteBook 840 G3 Notebook PC
HP EliteBook 848 G3 Notebook PC
HP EliteBook 850 G3 Notebook PC
HP ProBook 640 G2 Notebook PC
HP ProBook 650 G2 Notebook PC
HP ProBook 645 G2 Notebook PC
HP ProBook 655 G2 Notebook PC
HP ProBook 450 G3 Notebook PC
HP ProBook 430 G3 Notebook PC
HP ProBook 440 G3 Notebook PC
HP ProBook 446 G3 Notebook PC
HP ProBook 470 G3 Notebook PC
HP ProBook 455 G3 Notebook PC
HP EliteBook 725 G3 Notebook PC
HP EliteBook 745 G3 Notebook PC
HP EliteBook 755 G3 Notebook PC
HP EliteBook 1030 G1 Notebook PC
HP ZBook 15u G3 Mobile Workstation
HP Elite x2 1012 G1 Tablet
HP Elite x2 1012 G1 with Travel Keyboard
HP Elite x2 1012 G1 Advanced Keyboard
HP EliteBook Folio 1040 G3 Notebook PC
HP ZBook 17 G3 Mobile Workstation
HP ZBook 15 G3 Mobile Workstation
HP ZBook Studio G3 Mobile Workstation
HP EliteBook Folio G1 Notebook PC
Facebooktwittergoogle_plusredditpinterestlinkedinmail

The Watchguardians

Watchguard hat eine neue Werbekampagne lanciert.

THE WATCHGUARDIANS

Zur Einführung gibt es einen kurzen Video.

Alte Bekannte wie der Ransombear aber auch neue wie Professor Bot tauchen auf.

Wohin uns die Reise mit den Watchguardians führt ist noch ungewiss.

Gemeinsam mit dem Video wird ein eBook sowie verschiedene Infografiken und ein Webinar angeboten.

Das eBook sowie was Webinar sind wirklich einen Blick wert.

Ich persönlich finde es jedoch eine tolle Idee.

The Power of Correlation | WatchGuard Technologies

Facebooktwittergoogle_plusredditpinterestlinkedinmail

OWASP Top 10

OWASP hat die TOP 10 der grössten Risiken für Web Applikationen aufgelistet. Neu sind für das Jahr 2017 Kandidaten dazugekommen.

Aber was ist OWASP?

OWASP wurde am 1. Dezember 2001 als eine non Profit Organisation gegründet. OWASP ist eine Internationale Organisation zur Verbesserung und des Supportes bei Sicherheitsproblemen.  Sie haben sich dem Ziel verschrieben, die Sicherheit von Anwendungen und Diensten im WWW zu verbessern.

Das OWASP steht mit keinen Technologiefirmen in Verbindung und ist daher frei von Zwängen oder voreingenommenen Haltungen.

 

Was gibt es für neue Kandidaten?

Neu stehen die „Broken Access Control`s“ auf Platz 4 und haben die „Insecure Direct Object References“ abgelöst-.

Ebenfalls neu ist A7 „Insufficient Attack Protection“ und A10 „Underprotected APIs“

Eine andere Ansicht mit Erklärung der Risiken sieht so aus.

 

Das gesamte Dokument gibt es HIER zur Ansicht.

Das Dokument ist toll Aufgebaut und veranschaulicht schön die Risiken und Gefahren. Durch Zeichnungen und Grafischen Darstellungen kann der Angriffsweg nachvollzogen und verstanden werden.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Chrome vs. Sophos

Nutzer einer Sophos Firewall, werden seit dem letzten Chrome Update (Chrome 58) Probleme mit HTTPS seiten haben. Die HTTPS Interception funktion der Sophos Firewall ein „neues“ Zertifikat welches das eigentliche Zertifikat als Root Zertifikat angibt. Chrome hat im neusten Update des Chrome Browsers die Unterstützung für Common Names ausgeschaltet. Daher werden Seiten mit einem HTTPS Interception Zertifikat, mit einer Zertifikatswarnung angezeigt.

Laut RFC 2818 ist der Common Name veraltet, sollte jedoch zu Kompatibilitäts-Zwecken noch erhalten bleiben. Google hat jedoch diese Unterstützung im neusten Browser entfernt. Google hat die Änderung im Januar bereits angekündigt.  Leider wurde dies bei Sophos wohl nicht angenommen.

Die HTTP Interception funktioniert wie eine Man-in-the-Middle Attacke. Der HTTPS Traffic wird aufgebrochen, untersucht und neu Zertifiziert. Dieses Zertifikat entspricht jedoch nicht dem original sondern wird von der Appliance selbst ausgestellt.

Bisher ist dieses Problem nur bei Sophos Appliances bekannt. Wir konnten es bei Watchguard Firewalls testen und konnten keine Fehler finden.

Um Chrome wieder zu erlauben, HTTPS Interception Zertifikaten zu vertrauen gibt es eine spezielle Funktion. Die Anleitung findet Ihr HIER.

Facebooktwittergoogle_plusredditpinterestlinkedinmail
« Ältere Beiträge

© 2024 it-sicherheit.li

Theme von Anders NorénHoch ↑