Heute wieder ein Sammelbeitrag, in dem ich einige Sicherheitsthemen dieser Tage zusammenfasse. Verschlüsselungstrojaner wie WannaCry oder Locky bedrohen ungepatchte Systeme, ein entlassener IT-Administator hat Wasserwerke still gelegt und mehr.
Anzeige
Locky Ransomware zielt auf Windows XP und Vista
Locky ist ein Verschlüsselungstrojaner über den ich mehrfach im Blog berichtet habe (siehe Ransomware: Angriffswelle mit Locky & Co im November 2016). Der Trojaner wütete vor allem 2016, scheint aber jetzt zurück zu sein. In einer massiven Spam-Welle haben Sicherheitsforscher die Ransomware gefunden. Wie BleepingComputer hier berichtet, scheint die Ransomware aber nur auf Windows XP und Vista zu zielen. Denn eine Analyse von Thalos (Englisch) ergab, dass die Entpackungsroutinen der Malware unter Windows 7 und höher wegen der dort verwendeten DEP-Sicherheitsfunktion nicht funktionieren. Ein deutschsprachiger Beitrag zu Locky findet sich hier bei heise.de.
Hier lässt sich nur empfehlen, dass noch zu betreibende Systeme mit Windows XP und Windows Vista wenigstens zu patchen sind. In folgenden Beiträgen gebe ich Hinweise auf aktuelle Sicherheitsupdates.
Sicherheits-Updates für Windows XP/ Server 2003
Tipp: Updates für Windows Vista nach Supportende
WannaCry noch aktiv
Über die Ransomware WannaCry, die Mitte Mai 2017 hundertausende Rechner befiel, hatte ich ja eine Reihe Blog-Beiträge publiziert. Die Verbreitung konnte durch einen entdeckten Killswitch gestoppt werden. Aber Wanny Cry ist längst noch nicht tot.
Anzeige
- Vor einer knappen Woche ging die Meldung herum (siehe z.B. golem.de), dass Honda in Japan seine Produktion in einem japanische Werk wegen eines Wannacry-Befalls der Netzwerke stoppen musste.
- In Australien wurden 55 Blitzer und Rote-Ampel-Überwachungskameras von WannaCry infiziert, wie Bleeping Computer hier berichtet.
Bringt mich natürlich zur Frage: Sind die alle blöd, dass einen Monat nach der ersten WannaCry-Attacke immer noch ungepatchte Systeme aktiv sind. Die Antwort ist recht einfach: Die Kette ist immer so stark, wie das schwächste Glied. Die aktuelle Fälle sind das beste Beispiel, dass vernetzte Systeme schlicht nicht in den Griff zu bekommen sind. In der Theorie kann man so wunderbar erklären, wie und warum man das alles absichern kann. Und dann hat der Administrator in der Praxis plötzlich Dünnschiss und kommt nicht mehr vor Klo, während die Rechner im Netzwerk fleißig von Malware befallen werden.
TeslaWare Ransomeware
Lawrence Abrams, der Gründer von Bleeping Computer, beschreibt in diesem Artikel eine Ransomware mit dem Namen TeslaWare, die momentan in russischen Untergrundforen gehandelt wird. Die Ransomware enthält auch Code, um sich als Wurm in einem Netzwerk zu verbreiten. Eine Analyse der Ransomeware ergab, dass diese aber recht ineffizient geschrieben sei und sehr langsam arbeitet. Zudem gibt es Bugs im Programm, so dass eine Entschlüsselung möglich ist. Allerdings spielt die Malware russisches Roulette mit den Dateien: Nach 59 Minuten werden 10 Dateien vom Desktop oder aus Unterordnern gelöscht. Nach 72 Stunden werden alle Dateien auf dem Laufwerk C.: gelöscht. Weitere Details sind dem verlinkten Artikel zu entnehmen.
Gefeuerter Angestellter blockiert Wasserversorgung
Ein entlassener Angestellter ist jetzt von einem Gericht in Pennsylvania zu einem Jahr Haft verurteilt worden, weil er seinen Arbeitgeber gehackt hatte. Konkret griff er in die IT-Netzwerke verschiedener Wasserwerke ein, die er früher betreut hatte. Damit störte er die Wasserversorgung von fünf Städten, wie man bei Bleeping Computer nachlesen kann. Stützt mal wieder die These, dass der Feind oft in den eigenen vier Wänden sitzt.
Gefeuerter Ingenieur killt Software für Funkmasten
Zweiter Beleg für die These: Eigene Leute sind die Übeltäter ist dieser heise.de-Artikel. Diesem Beitrag zufolge hat ein Ingenieur, dem gekündigt wurde, Teile der Software von Funkmasten mit den Texten von Ping Floyd-Songs überschrieben. Der Gute ist jetzt für ein Jahr verknackt worden.
Schattenbank hinter Fake-Shops entdeckt
Und noch eine kurze Info. Reuters berichtet in einem exklusiven Artikel, wie man ein System von Schattenbanken, die von Spielern im Untergrund für Zahlungen im Internet genutzt wird, aufgedeckt habe. Die Schattenbank nutzt ein System aus gefakten Webshops, die angeblich Haushaltswaren vertreiben. Die in Europa operierenden Seiten dienten aber dazu, Geld für Internet-Spielbanken zu waschen
Risiko: Bug in RAR-Kompressionsbiblithek
Es ist ein Fall mit Ansage: In der vom Hersteller Rarlab angeboten RAR-Bibliothek gibt es einen Bug bzw. Sicherheitslücke, die zu einer Memory-Corruption führen und für Angriffe verwendet werden kann. Die Sicherheitslücke wurde von Tavis Ormandis vom Google Project Zero bereits 2012 gefunden und an Sophos gemeldet. Sophos hat einen Fix für seine Produkte herausgebracht – und das war es dann auch.
Die RAR-Bibliothek wurde fleißig von anderen Antivirenherstellern eingesetzt, ohne dass der Entwickler der Bibliothek über die Schwachstelle informiert wurde. Anfang Juni 2017 machte Thomas Dullen in diesem Chromium-Bug-Report darauf aufmerksam, dass der Fehler immer noch nicht gepatcht sei, wenn die ursprüngliche RAR-Bibliothek verwendet werde. Bedeutet: Antivirus-Software, deren Hersteller diese Bibliothek einsetzen, sind potentiell von der Sicherheitslücke betroffen. Wie heise.de hier schreibt, sind eine Reihe AV-Hersteller (nicht aber der Windows Defender) betroffen.
Der Windows Defender scheint nicht angreifbar – da Microsoft möglicherweise eigene Bibliotheken einsetzt. Aber die Malware Protection Enging (MsMpEng) hat erst am Wochenende ein Sicherheitsupdate erfahren, wie ich im Beitrag Microsoft schließt Sicherheitslücke CVE-2017-8558 in der Malware Protection Engine (23. Juni 2017) berichtete.
PRMitM: Angriff auf Passwort-Reset-Prozesse
Wer den Zugriff auf ein Online-Konto verliert, kann bei den meisten Systemen das Kennwort zurücksetzen. Israelische Sicherheitsforscher haben nun ein Konzept vorgelegt, mit dem Angreifer einen Benutzer bei diesem Vorgang austricksen können.
Der Password Reset Man-in-the-Middle genannte Angriff basiert darauf, dass Nutzer auf eine präparierte Webseite gelockt werden, auf denen sie ein Formular zum Zurücksetzen eines Passworts für einen Online-Dienst vorfinden. Gibt der Benutzer seine Daten an, greifen die Cyberkriminellen die Daten ab und leiten diese an eigene Server um. Gleichzeitig wird eine Anfrage zum Zurücksetzen des Passworts an Dienste wie Google, Yahoo etc. geschickt. Damit lassen sich E-Mail-Konten recht leicht übernehmen – Details sind bei BleepingComputer beschrieben.
CIA kann Rechner per USB-Sticks angreifen
Der letzte Infosplitter für heute: Vor ein paar Tagen hat WikiLeaks Geheimdokumente der CIA veröffentlicht. Dort geht es um eine Technik, um Rechner, die nicht am Netzwerk und am Internet hängen, per USB-Stick zu infizieren. Das Prinzip: Zuerst werden Rechner im Netzwerk infiziert. Die CIA geht davon aus, dass irgendwann Dateien per USB-Stick auf die Standalone-Rechner transferiert werden müssen. Wird ein USB-Stick an einem infizierten Rechner angestöpselt, kopiert sich die Schadsoftware des CIA auf den Stick. Wird der USB-Stick an einen netzwerklosen Rechner angeschlossen, infiziert dieser den Rechner. Das gleiche Prinzip wurde von Stuxnet verwendet, um iranische Atomanlagen anzugreifen. Spiegel Online hat hier einen Artikel veröffentlicht, der die Vorgehensweise gut beschreibt – vielleicht für Administratoren in Firmen ganz lehrreich. Ein weitere Artikel (Englisch) findet sich hier.
Das Allerletzte
Momentan läuft einen Attacke mit dem Petya Verschlüsselungstrojaner, näheres findet sich im Blog-Beitrag Achtung: Petya Ransomware befällt weltweit System.
Ach: Und noch was – Apple und Cisco möchten, dass die Prämien von Cyberversicherungen sinken, wenn Geräte deren Software verwenden. Kann man hier nachlesen (englisch) – einen deutschen Artikel gibt es hier.
Ähnliche Artikel:
Cyber-Crime: Crypto-Trojaner, Betrugsmails & mehr (20.2.2016)
Ransomware: Angriffswelle mit Locky & Co im November 2016
Neue Locky-Trojaner-Welle und weitere Sicherheitsthemen
Locky tauchte bereits Mitte Februar in Mails auf
Nice: 'BKA-Warnung' vor Locky mit Virus inside
Was schützt vor Locky und anderer Ransomware?
Ransomware WannaCry befällt tausende Computer weltweit
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
WannaCry: Neue Versionen und mehr Neuigkeiten
WannaCry: Die Lage am Montag
WannaCry: Meist ungepatchte Windows 7 Systeme befallen
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
WannaCry: Hinweise auf Lazarus-Gruppe
WannaCry: Verschlüsselte Daten per Recovery retten?
WannaCry & Co.: EternalBlue Vulnerability Checker und Crysis Ransomware Decryptor
'WannaCry' ähnliche Android-Malware und Dvmap-Trojaner
WannaCry: Analysen, Windows 10-Port, Daten-Recovery …
Anzeige
"CIA kann Rechner per USB-Sticks angreifen
Wird ein USB-Stick an einem infizierten Rechner angestöpselt, kopiert sich die Schadsoftware des CIA auf den Stick."
Was mich interessieren würde: Kann eigentlich eine entsprechend programmierte Schadsoftware auf einem Datenstick – egal, ob von der CIA, NSA oder von sonst wem infiziert – beim Einstecken in den PC das Betriebssystem oder eine beliebige Festplattenpartition unmittelbar infizieren, d.h. noch bevor ein installiertes Virenschutzprogramm, wie z.B. Malwarebytes Premium mit Echtzeit-Scanner, den Schädling entdecken kann? Eine zusätzliche Frage besteht, darin, ob ein Echtzeitscanner nicht nur das Internet in Echtzeit scannt, sondern eben auch Hardware-Ports (hat sich ein Schädling nämlich erst einmal eingenistet, kann es für einen offline-Scan zu spät sein).
Ich versuche die Gefahren durch fremde Datensticks (was sich beruflich leider auch auf meinen privaten PC überträgt bzw. sich nicht vermeiden lässt) dergestalt zu mindern, dass diese zuerst – etwas umständlich und zeitaufwändig – in einem älteren (ansonsten ausrangierten) W7-PC mit einem offline aktualisierten Malwarebytes Premium offline gescannt und anschließend sicherheitshalber das Altsystem per Image gelöscht/"verbrannt" wird, was auf Dauer natürlich auf die Nerven geht.
Die Antwort aus meiner Sicht: Ja
Hintergrund ist das Thema Bad USB, welches ich hier im Blog schon mal thematisiert habe. Wird die Firmware des USB-Controllers auf dem Gerät modifiziert, kann sich dieses als beliebige USB-Einheit identifizieren.
Ich glaube nicht, dass eine AV-Komponente Tastatureingaben auf Schadcode überprüft und dann Alarm schlägt.
Danke für den Hinweis.
Das ist dann eine spezielle Art von Software, welche die USB-Controller-Firmware umprogrammiert. Soweit ich das nach diesem Artikel verstanden habe, gibt es zwei Dinge zu unterscheiden: 1. der als Spähsender umfunktionierte Stick und 2. weitere Schadsoftware im Dateisystem des Sticks.
Da würde ich jetzt mal davon ausgehen, dass meine oben beschriebene Methode funktionieren könnte, da a) sich der fremde Stick in einem offline-System befindet, welches durch ein Image anschließend wieder unverseucht agiert und b) eine zu kopierende Datei auf diesem Stick vom offline-Scanner in diesem offline-System erkannt wird. Nicht infizierte Dateien auf dem Stick werden anschließend auf einen eigenen, unverdächtigen Stick kopiert und dem ebenfalls offline-betriebenen Arbeits-PC zugeführt.
Dieses ekelhaft perfide "Bad USB" bestätigt mich übrigens aufs neue, zu diversifizieren: Daten nur offline auf Windows zu verarbeiten/speichern, Internetanschluss zum Daten herunterladen/senden, egal welcher Art, ausschließlich über einen extra Linux-Tails-PC, ggfs. über das Tor-Netzwerk. Dazu noch die Sicherheitsschleuse über den Dritt-PC für externe, fremde USB-Laufwerke mit sensiblem Inhalt. Teure Spezialsticks und/oder speziell zugekaufte Software würde ich erst mal als letzten Notnagel betrachten, der, wie gelesen, letztlich auch nicht unbedingt das Wahre ist.
Es ist der blanke Wahnsinn.
Bad-USB-Devices (die sich als Keyboard ausgeben) lassen sich mit USBDLM blocken.
Und deshalb macht es keinen Sinn, zumindest nicht in dem beschriebenen Szenario.
"Bringt mich natürlich zur Frage: Sind die alle blöd, dass einen Monat nach der ersten WannaCry-Attacke immer noch ungepatchte Systeme aktiv sind."
Hallo,
so einfach ist das nicht.
Wir haben hier zum Beispiel ein OEM-NAS, welches im Original von QNAP gefertigt wurde.
Vom Verkäufer, natürlich nicht QNAP, bekommt man keinen Patch. Man MUSS die komplette Firmware erneuern und vorher die Daten sichern.
Das überforder rein logistisch unsere kleine Firma.
Besser wäre es, man würden von Seiten des Herstellers einen Patch veröffentlichen, den wir über SSH in die NAS einspielen würden.
DAS tut der Hersteller aber nicht.
Was soll man nun machen? Uns kleine Firmen lässt man im Regen stehen.
Dieter, die Frage war auch eher rhetorisch gemeint – die Antwort ist mir etwas verunglückt. Es liegt i.d.R. nicht an der 'unfähigkeit' des technischen Personals. Es kann viele Gründe geben, warum ein Patch nicht eingespielt wurde oder werden kann.
Das Beispiel hinkt – aber als ganz junger Ingenieur hatte ich mal die Aufgabe, ein Programm zur zerstörenden Prüfung von Tornado-Bauteilen so zu erweitern, dass die Software nicht nach 100.000 Durchläufe aufhörten, sondern das Teil so lange Lastwechseln aussetzte, bis Risse auftreten oder ein Bruck eintritt. Hätte ich auch wunderbar hin bekommen – die Modifikationen waren in einem Prozess-Fortran (INTRAN) eingebaut und ich wollte am nächsten Tag ohne Bauteil testen, ob das so klappt. Dummerweise habe ich nachts Windpocken bekommen und war eine Woche krank geschrieben.
Cheffe, 'der große Computer-Guru schlechthin', kam darauf hin ins beauftragende Labor gestapft, um meinen Job zu tun. Dabei ging aber etwas schief und er leitete einen Neustart ein (ganz wie beim Patchen). Es machte Knack, und das Bauteil im Prüfversuch war zerrissen (es gab nur eine Hand voll Prototypen davon). Ende vom Lied: Cheffe bekam Hausverbot – ich kam nach einer Woche aus dem Krankenstand zurück und die Anwendung lief nach einer Stunde. Da war ich natürlich 'der Mann' aber Cheffe hat's nicht gefallen und er hat mir immer Arbeit auf's Auge gedrückt, die ich nicht mochte – bin da aus der Firma schnell weg.
Aber in solchen Umgebungen würde man heute Windows-Systeme einsetzen. Bei Langzeitversuchen, die über Monate gehen, dürfte es dann mit dem Einspielen von Updates, die einen Neustart veranlassen, problematisch werden. Das Gleiche gilt für Labor- und Produktionsumgebungen. Und in diesen Szenarien dürfte dann auch bei Honda der Wannacry zugeschlagen haben. Natürlich sollten die Systeme nicht am Netz hängen – aber erzähl das mal dem Management.
Hallo und danke,
sehr schön geschildert, wo im echten Einsatz ("real life") die Probleme liegen.
Manager lassen sich leider zu oft von den Verkäufern ("Die beste Klaut aller Zeiten. Wird von den Grossen der Branche verwendet. Da kann nichts passieren.") blenden – warum auch immer. Ich werde es nie verstehen.