it-sicherheit.li

Seite 3 von 6

Locky wie früher aber ganz neu.

Locky ist wohl noch lange nicht tot. Gerade eben wurde es etwas ruhiger,
man konzentrierte sich mehr auf böse IoT-Geräte und schwups. Locky hat
eine neue Endung. Neu verschlüsselt Locky nun mit .zzzzz das ist leider
nicht zum schnarchen sondern hält uns sehr auf Trap. Wie Bleepincomputer
berichtet wird Locky jedoch immer noch über gefälschte Rechnungen als
Mailanhang verbreitet. Der Betreff besteht meistens aus folgendem Text
Order #[random_numbers] und mit einem Anhang mit diesem Titel
order_[target_name].zip Im ZIP File ist eine Java Script Datei welche
Locky ausführt.

Sozial Engineering bei E-Banking

November 29, 2016 / dbargetze_834duc9p / Keine Kommentare

Der Melde- und Analysestelle Informationssicherheit der Schweizerischen
Eidgenossenschaft wurden, die letzte Woche, vermehrt Meldungen über
Social Engineering Attacken gemeldet.
Viele Banken haben die Login Verfahren gesichert und arbeiten mit mTAN,
PhotoTAN, CrontoSign oder SecureSign. Bereits seit längerem wird
versucht, durch Smartphone Maleware diese Sicherheitsmechanismen ausser
Gefecht zu setzen. Zum Glück ist das von wenig Erfolg gekrönt. Nun
wenden sich Betrüger jedoch direkt an die Benutzer. Mit Social
Engineering Attacken mit gefälschten Webseiten oder Apps. Ein Beispiel
ist die bekannte Schadsoftware Retefe.
Diese ist in der Lage die Benutzer zu falschen Zahlungen zu animieren.

MELANI empfiehlt:

– Stellen Sie sicher, dass Sie beim Login-Vorgang ins E-Banking auf dem
mobilen Gerät (beispielsweise Smartphone oder dediziertes
PhotoTAN-Gerät) wirklich das Login bestätigen und dass es sich nicht
bereits um die Visierung einer Zahlung handelt.

– Falls Sie eine Zahlung visieren, lesen Sie immer den ganzen Text auf
dem mobilen Gerät und überprüfen Sie Betrag und Empfänger (Name, IBAN)
der Zahlung, bevor Sie diese freigeben.
Installieren Sie Apps nur aus dem offiziellen App-Store (Google Play
Store bzw. Apple iTunes). Installieren Sie niemals Apps aus unbekannten
Quellen, auch wenn Sie dazu aufgefordert werden. Modifizieren Sie Ihr
Gerät nicht in dem Sinne, dass wesentliche Sicherheitsmechanismen
ausgehebelt werden (z.B. Rooten, Jailbreaken).
Sollten Sie unaufgefordert ein SMS Bestätigungs-Code (mTAN) erhalten,
kontaktieren Sie unverzüglich Ihre Bank.
Sollten Sie beim Login in das E-Banking Unregelmässigkeiten feststellen,
kontaktieren Sie unverzüglich Ihre Bank.
Solche Unregelmässigkeiten sind beispielsweise:

— Sicherheitsmeldung vor dem Login ins E-Banking. Zum Beispiel „In
Zusammenhang mit der Modernisierung des Sicherheitssystems kann von
Ihnen beim Einloggen ins Benutzerkonto eine zusätzliche Identifizierung
angefordert werden. […]“

— Fehlermeldung nach dem Login ins E-Banking. Zum Beispiel „Fehler!
Wegen eines technischen Problems sind wir unfähig, die Seite zu finden,
nach der Sie suchen. Versuchen Sie bitte in 2 Minuten noch einmal.“

— Sicherheitsmeldung nach dem Login ins E-Banking (z.B.
„Sicherheitsmassnahme“), bei welcher Sie dazu aufgefordert werden,
Festnetz- oder Handy-Nummer einzugeben

— Aufforderung zur Installation einer mobile App nach dem Login ins
E-Banking

— Nach dem Login ins E-Banking erfolgt beispielsweise eine
Weiterleitung auf eine Website, die nicht in Zusammenhang mit der Bank
steht (z.B. auf google.ch).

— Timer nach dem Login ins E-Banking. Zum Beispiel: „Bitte warten…
(Bitte warten Sie eine Minute, die Seite nicht neu laden)“

Mirai testet die Grenzen aus

November 3, 2016 / dbargetze_834duc9p / Keine Kommentare

das IoT Bootnetz Mirai ist wieder aktiv.

Unter folgendem Twitter Account der von Malewaretech und 2sec4u betrieben wird, können in Realtime die attacken mitverfolgt werden.

Es sieht so aus als würden verschiedene Arten von DDos Attacken getestet werden. Die Attacken dauern nicht lange und werden mit ca. 500 Mbps gefahren. Aus früheren Angriffen wissen wir dass Mirai mehr drauf hat.

Laut Meldungen von The Guardian wurden Firmen in der Republik Liberia angegriffen, diese Firmen betreiben das Glasfasernetz in der Republik. Dadurch könnte das Internet einer gesamten Republik lahmgelegt werden.

Anscheinend wird Mirai immer noch von den gleichen Personen betrieben wie bereits bei denn Angriffen auf Dyn.

Halbjahresbericht 1/2016

Oktober 28, 2016 / dbargetze_834duc9p / Keine Kommentare

Die Melde- und Analysestelle Informationssicherung MELANI der Schweizer Eidgenossenschaft hat Ihren Halbjahresbericht für die erste Hälfte des Jahres 2016 veröffentlicht.
Der Bericht hat das Thema „Cybererpressung“ als Schwerpunkt gesetzt. Ebenfalls wird auf die nationale und internationale Lage eingegangen. Was passierte in der Schweiz, was ausserhalb. Auch ein kleiner Ausblick wird gewagt, was könnte uns erwarten.
Der gesammte Bericht steht auf der MELANI Webseite zum Download bereit.

Windows Updates tanzen aus der Reihe

Oktober 28, 2016 / dbargetze_834duc9p / Keine Kommentare

Microsoft hat heute Updates ausserhalb des Rythmus veröffentlicht.

Grund dafür ist die Schwachstelle im Adobe Flahplayer die letztens bekannt wurde.

Hier findet Ihr die ganzen Patches.

Critical Security Bulletin (added to summary on October 27)
========================================================

MS16-128

– Affected Software:
    – Windows 8.1 for 32-bit Systems:
      – Adobe Flash Player
    – Windows 8.1 for x64-based Systems:
      – Adobe Flash Player
    – Windows Server 2012:
      – Adobe Flash Player
      (Windows Server 2012 Server Core installation not affected)
    – Windows Server 2012 R2:
      – Adobe Flash Player
      (Windows Server 2012 R2 Server Core installation not affected)
    – Windows RT 8.1:
      – Adobe Flash Player
    – Windows 10 for 32-bit Systems:
      – Adobe Flash Player
    – Windows 10 for x64-based Systems:
      – Adobe Flash Player
    – Windows 10 Version 1511 for 32-bit Systems:
      – Adobe Flash Player
    – Windows 10 Version 1511 for x64-based Systems:
      – Adobe Flash Player
    – Windows 10 Version 1607 for 32-bit Systems:
      – Adobe Flash Player
    – Windows 10 Version 1607 for x64-based Systems:
      – Adobe Flash Player
– Impact: Remote Code Execution
– Version Number: 1.0

VMware stopft Sicherheitslücken in Horizon View

Oktober 10, 2016 / dbargetze_834duc9p / Keine Kommentare

Wie VMware berichtet sind mehrere Horizon View Versionen von Sicherheitslücken betroffen.

Das Tool für den Fernzugriff auf Virtuelles Desktops soll von einer Sicherheitslücke geplagt sein.

Durch die Sicherheitslücke können Directory Traversal Angriffe ausgeführt werden.

Betroffen sind die Versionen

– 5.x

– 6.x

– 7.x

Die neuen Sicherheitspatches sind 5.3.7 / 6.2.3 und 7.01

Von Seiten VMware werden diese Patches als Kritisch eingestuft.

Weiter Opfer von Support Scam

Oktober 6, 2016 / dbargetze_834duc9p / Keine Kommentare

Schon wieder gibt es vermehrt Meldungen über gefälschte Anrufe des Microsoft Supports.

Die Angriffe laufen immer nach dem selben Schema ab. Benutzer erhalten einen Anruf von einem vermeintlichen Windows Supportmitarbeiter. Diese wollen Helfen da der Computer von einem Virus befallen ist und fordern dafür Remotesupport an. Nachdem der Benutzer die Software, gemäss Anweisungen des Supporters, heruntergeladen hat. Erhält der „Supporter“ Vollzugriff auf das Gerät und fängt mit seiner Untersuchung an. Nach ein paar Befehl eingaben im CMD wird eine echo Ausgabe angezeigt in welcher es sinngemäss heisst „Sie haben einen Virus“. Anschliessend werden dem Kunden Sicherheitszertifikate oder Anti-Viren Software angeboten. Der Preis liegt zwischen 140 und 250 Euro. Weigert sich der Benutzer denn Betrag zu bezahlen drohen die Supporter mit Datenlöschung, Sperrungen des Computers mit einem Passwort wurden auch schon gemeldet. Sozusagen eine manuelle Ransomware.

Wer Anrufe von einem vermeintlichen Windows Support erhalten sollte kann dies direkt an Microsoft melden und das Telefon auflegen. Sobald die Software heruntergeladen wurde haben dritte eine Hintertür zu eurem Computer.

Eine Interessante Geschichte haben die Kollegen von Golem hier veröffentlicht.

Man lernt nie aus, Cerber lernt was neues.

Oktober 6, 2016 / dbargetze_834duc9p / Keine Kommentare

Laut den Ransomware Experten von Bleeping Computers lernt der Verschlüsselungstrojaner Cerber dazu. Bisher haben laufende Datenbankprozesse die Arbeit von Cerber behindert. Die Verschlüsselung der in Bearbeitung befindlichen Datenbanken konnten nicht aufgeführt werden. Doch Cerber hat dazugelernt. Nun können Prozesse wie sqlagent.exe und Oracle.exe durch Cerber beendet werden um die Datenbanken zu verschlüsseln.

Ebenfalls werden Dateiendungen nicht mehr nur .cerber3 genannt. Neu erstellt Cerber kryptische Zufalls Bezeichnungen wie 54ghjdd.d56g. Dies erschwert die Analyse und Nachverfolgung der Daten.

Cerber wartet mit noch einer Neuerung auf. Der „Erpresserbrief“ wird nun nicht mehr im txt angezeigt sondern wird nun als HTML-Applikation angezeigt.

Es gibt noch kein Tool zur Entschlüsselung des Cerber Trojaners

1,1 Terabite DDoS-Attacke

September 29, 2016 / dbargetze_834duc9p / Keine Kommentare

Wie der Gründer des französischen Hosters OVH, Octave Klaba, meldet wurden Sie vor ca. 10 Tagen Opfer einer 1.1 Terabite grossen DDoS Attacke.

Dies ist mit einer der grössten DDoS-Attacken welche verzeichnet wurde. Es ist zu vermuten dass auch diese Attacke durch ein Botnetz von IoT Geräten ausgeführt wurde.

Wie Corey Nachreiner von Watchguard in seinem Blog meldet, handelt es meistens um Überwachungskameras die Ungeschützt in einem Netzwerk hängen und mit einem „Standart“ Linux Betriebssystem betrieben werden.

Diese Angriffe sind ein gutes Zeichen dass auch Private Heimnetzwerke abgesichert werden müssen um solche Angriffe zu erschweren.

Der Super Trojaner auf Android

September 28, 2016 / dbargetze_834duc9p / Keine Kommentare

Kasperksy hat den Alltraum aller Sicherheitsexperten und Security Engineers gefunden und Analysiert.

Wie Kaspersky Labs mitteilt kann der Android Banking Trojaner „Tordow“ alles mit einem Infiziertem Gerät anstellen.

Entwickelt wurde der Banking-Trojaner um wichtige Informationen zu sichern und weiterzugeben.

Um an diese Informationen zu kommen wird das Gerät durch den Trojaner gerootet, der Trojaner bekommt somit volle Handlungsgewalt über das Smartphone oder das Tablet.

Die Rechte gehen von Telefonate abhören über SMS Lesen, Informationen auslessen, Zugriff zu Passwörtern und Nachladen und installieren von Malware.

Laut Aussagen von Kaspersky hängt sich Tordow an legitime Apps welche jedoch nicht im offiziellen Google Play Store verfügbar sind und somit über dritte Marktplätze installiert werden. Wer seine Apps aus dem offiziellen Store holt ist somit einer geringeren Gefahr einer Infektion ausgesetzt.

it-sicherheit.li

News rund um IT-Sicherheit

Seite 3 von 6

Locky wie früher aber ganz neu.

Sozial Engineering bei E-Banking

Mirai testet die Grenzen aus

Halbjahresbericht 1/2016

Windows Updates tanzen aus der Reihe

VMware stopft Sicherheitslücken in Horizon View

Weiter Opfer von Support Scam

Man lernt nie aus, Cerber lernt was neues.

1,1 Terabite DDoS-Attacke

Der Super Trojaner auf Android

Language

Kaspersky REAL-TIME MAP

Archive

Keywords

Links

Weiteres