Crypto - Ransomware

Wie schütze ich mich vor Verschlüsselungstrojaner?

Was sind Verschlüsselungstrojner?

Diese Trojaner kommen in der Regel über unterschiedliche Social Engineering Techniken auf unsere Rechner. Es ist häufig nur eine E-Mail eines uns bekannten Dienstes wie einer der folgenden:

  • Paypal
  • Deutsche Bank
  • Sparkasse
  • DHL – Paketankündigung

Die E-Mails sind meistens in gutem Deutsch oder Englisch geschrieben, beinhalten das Logo der Firma und sind nahezu nicht von den originalen zu unterschieden. Darin enthalten sind meistens Zip Dateien, in welchen beispielsweise ein PDF versteckt ist. Dieses PDF zielt beim Öffnen auf eine oder mehrere Lücken in Acrobat Adobe Reader. Damit werden ungepatchte Versionsstände zur Gefahr.

Es wird nun über diese Lücke Schadcode nachgeladen. Nach seiner Ausführung mit administrativen Rechten, sucht er systematisch nach lokalen und entfernten Laufwerken und verschlüsselt alle dort befindlichen Dateien. Es wird noch eine Hinweisdatei abgelegt mit der Information wie viel Geld, an welche Stelle geschickt werden soll, damit der Benutzer das Passwort für die Entschlüsselung bekommt.

Damit sind die Daten in Geiselhaft eines uns unbekannten Angreifers und wir haben keine wirkliche Möglichkeit die Verschlüsselung zu umkehren. Zumindest in den meisten Fällen. Es gibt schlampig entwickelte Trojaner, bei denen die Verschlüsselung aufgebrochen werden kann, aber meistens hat dies kein Erfolg.

 Worauf muss ich achten?

Im Fall, der oben beschrieben ist, wird die Software über andere, unbekannte Malware heruntergeladen. Es gibt aber noch zahlreiche andere Wege der Infektion, auf die man achten sollte:

  • Drive-By Downloads: Infizierte Webseiten nutzen Schwachstellen im Browser aus und laden Schadecode auf den Rechner (bspw. JavaScript)
  • Filesharing: Klassische Peer-to-Peer Netzwerke, über die allerhand getauscht wird. Beliebte Software, Filme oder Serien sind eigentlich Malware
  • E-Mail Spam: Die E-Mail von DHL, der Bank oder von einer scheinbar unbezahlten Rechnung eines Inkassobüros.
  • u.v.m.

Gegenmaßnahmen

Um eine besssere Übersicht zu den Gegenmaßnahmen zu bieten werden diese nicht im Fließtext eingebunden sondern direkt in praktisch anwendbaren Listen.

Virenschutz

  • System aktuell halten
  • Geplanter Scans ganzer Laufwerke einrichten und ausnahmslos durchführen
  • Möglichst wenig Ausnahmeregelungen treffen
  • optionale externe Ressourcen mit ein beziehen (bspw. McAfee/Intel Security GTI)

Intrusion Prevention

Hier gibt es speziell keine Anleitungen, die man selbst durchführen könnte, da jedes Intrusion Prevention System anders funktioniert. Generell gilt, dass die Systeme folgendes tun sollten:

  • Verbindungen zu Botnetzen unterbinden
  • Angriffsversuche und Muster intern, wie extern erkennen (bspw. TCP Portscanning)
  • Signaturbasiert nach Eindringlingen suchen
  • Verhinderung vom Nachladen neuer Payloads (Schadcode für weitere Funktionalität)
  • Reputationsdatenbanken befragen

Gateway

  • Effektive Anti-Spam und Anti-Phishing Abwehr konfigurieren
  • Sandboxing bei eingehenden Daten, um Zero Day Angriffe zu verhindern
  • Proxysysteme einrichten, um Schädlinge im Netzwerkverkehr zu identifzieren
  • Generell Firewalls, mit sich selbst aktualisierenden Datenbanken zu bösartigen Seiten

Zusammengefasst

Auch wenn alle nur erdenklichen Schutzmaßnahmen getroffen und sehr viel Geld für Lösungen und Beratung ausgegeben worden sind, so ist dies noch kein Indiz dafür, dass ein vollkommener Schutz garantiert werden kann. Es ist in der Regel ein Indiz dafür, dass viel Geld für Security ausgegeben worden ist, mehr nicht. Und doch liegen die Schränken nun wesentlich höher, aber der Mensch ist nach wie vor gefragt. Die in diesem Beitrag erwähnten Systeme können miteinander gut arbeiten, aber es muss immer noch ein Mensch da sein, der Logdaten regelmäßig liest und eventuelle Angriffe bereits erkennt, bevor die Software dies nur erahnen könnte.

Soll heißen: Software und Hardware sind zwar gut, aber ohne eine aktive menschliche Komponente, können Sicherheitsmaßnahmen, nie so gut greifen, wie sie dies sollten. Alle Produkte sind lediglich eine Unterstützung für den Menschen.

Multi Tier Architektur

Windows 10 – Antimalware Scan Interface

Das Wettrüsten in der IT Sicherheit geht laufend weiter. Es sind nicht nur die dedizierten Security Hersteller in der Verantwortung, sondern auch Hersteller wie Microsoft, die ihre Basissysteme weiter absichern müssen und dies auch tun. Wer bereits die Windows 10 Vorschauversion getestet hat, findet ein interessantes und gutes Betriebssystem vor. Doch auch unter der Haube wird sich etwas tun, so wie das neue AMSI (Antimalware Scan Interface). Was denkt sich Microsoft bei diesem Schritt?

Nutzen und Zweck

Mehrschichtige Sicherheitssysteme sind mittlerweile Standard in jedem Unternehmensnetzwerk. Gerade der Virenschutz basiert in diesem Fall darauf, dass mehrere Elemente der Kommunikationskette nach Viren scannen. Es geht darum, noch bevor Daten auf den Endrechnern eintreten, mögliche Gefahren abzuwehren. Trifft das nicht zu, so springt der Malwareschutz auf dem Clientsystem an und stellt damit die letzte Hürde für einen Trojaner dar.

Mit dem AMSI (Antimalware Scan Interface) gewährt Microsoft jedem Entwickler die Möglichkeit eine weitere Schutzschicht ein zu bauen. Normalerweise pickt sich der Malwarescanner die Datenstreams heraus und versucht alles mögliche dadurch zu identifizieren. Durch das neue Interface lassen sich nun Daten aus einer Anwendung direkt an den Virenschutz schicken.

Ausblick

Eine weitere Sicherheitsschicht scheint ab Windows 10 mit an Bord zu sein, doch bleibt die Frage wie sauber diese Schnittstelle von Microsoft implementiert worden ist. Werden Sicherheitslücken gefunden, wäre eventuell ein vollständiger Bypass des Interfaces möglich. Vielleicht findet sich irgendwo ein klassischer Buffer Overflow. Wir werden sehen.

Spinne im toten Winkel

Im toten Winkel der IT

Vor einigen Jahren musste ich realisieren, dass es einen Zustand gibt, den ich bis heute nicht gerne habe, die Ungewissheit. Eine überaus große Spinne fand den Weg in meine Wohnung, was mich zuerst erschrecken ließ. Nach dem ich die Utensilien fand, um sie in die Freiheit zu befördern, war diese Spinne nicht mehr zu sehen und genau dieser Moment versetzte mich, als arachnophoben Menschen, in eine wesentlich unangenehme Situation.

Ebenso verhält es sich in der IT Sicherheit. Es ist gut zu wissen, dass Clients durch Virenschutzsysteme überwacht werden und diese gelegentlich Alarm schlagen. Was aber ist, wenn die Schutzsysteme nicht alles aufgedeckt haben? Angriffe, deren Muster nicht erkannt werden, Sicherheitslücken, die noch in keiner öffentlichen Datenbank bekannt sind, sondern nur auf dem Schwarzmarkt. Eine schreckliche Vorstellung. Man möchte nicht ein einziges Mal sein Kennwort für irgend einen Service eintippen, und doch bleibt einem nichts anderes übrig.

Zumindest im ersten Moment scheint die Situation aussichtslos. Es ist die Ungewissheit darüber nicht genau definieren zu können, ob und wo eine Gefahr besteht. In der Welt der Malware gibt es drei unterschiedliche Klassifizierungen von eingehenden Daten:

  • weiß
  • grau
  • schwarz

Weiß-klassifizierte Dateneingänge sind zuvor durch Systeme wie Antimalware Software als harmlos eingestuft worden. Keine bösartigen Signaturen wurden gefunden, ebenso hat das Emulieren nichts bösartiges zu Tage gebracht.

Schwarz-klassifizierte Dateneingänge sind sofort als bösartig erkannt worden und werden entsprechend behandelt. Das heißt es kann zur Löschung oder Quarantäne kommen.

Bleiben nur noch die grau-klassifizierten Eingänge. Einige Hinweise auf Malware könnten vorhanden sein, aber das Ergebnis ist unschlüssig. Ebenso können weiß-klassifzierte Dateneingänge zu grau wechseln, da beispielsweise kein Anzeichen für eine Bedrohung festgestellt worden ist, dafür aber ein Cloudsystem diesen Dateneingang in der Vergangenheit bereits schwarz-klassifiziert hat.

Um die Frage nach der richtigen Klassifizierung zu beantworten, benötigt es Systeme, die mehr Leisten als ein gewöhnlicher Virenscanner dies könnte. Eine Kombination aus vielen Elementen ist nötig:

  • Virenscan am Gateway
  • Virenscan am Proxy
  • Virenscan am Client
  • Virenscan am Server
  • Sandboxing als zentraler Service
  • Cloud Intelligence Dienst mit Bedrohungsevents aus aller Welt

Die Natur an dieser Stelle zu kopieren wäre augenscheinlich am sinnvollsten, das bedeutet Diversität: jeder eingesetzte Virenscanner stammt von einem anderen Hersteller. Somit erhöht sich die Chance auf einen Fund. Allerdings haben wir dadurch den gravierenden Nachteil, dass die einzelnen Punktlösungen nicht untereinander kommunizieren. Gerade die Kommunikation zwischen den Sicherheitsbausteinen ist aber elementar für den Erfolg, denn ist eine Klassifizierung erfolgreich und endgültig, so spart es Ressourcen. Es muss nur noch die Information ausgetauscht werden. Und damit wären wir in der Welt der „Connected Security“-Konzepte angekommen. Was hier noch auf uns zu kommt, werden die nächsten Jahre zeigen. Eines ist aber gewiss: Die Bedrohungen werden spezialisierter und wir brauchen dringend einen Schutz, der den toten Winkel der IT, die grau-klassifizierten Daten, ausleuchten kann.

Die Spinne habe ich übrigens nicht mehr gefunden!