Funktionsweise des Trojaners und vorbeugende Tipps

Sie kennen Emotet bzw. haben darüber in den Medien gelesen? Immer mehr Meldungen erreichen auch unser Security-Team. Emotet pflegt seinen eigenen Adventskalender und öffnet scheinbar aktuell jeden Tag gleich mehrere Türen und legt danach alles lahm, was es befällt: Unternehmen, Hilfsorganisationen, Vereine und ganze Städte sind offline.

Was kann mein User eigentlich für mich tun? 

Haben Sie sich diese Frage schon einmal gestellt? Vielleicht sogar im Kontext Ihrer IT-Security-Strategie? Nein?

Dann darf ich Ihnen sagen: Sie sind nicht allein – dabei wäre dies eine sehr ratsame und empfehlenswerte Maßnahme!

Aufgrund eines Fehlers in mehreren Firmwareversionen von FortiOS, FortiManager und FortiAnalyzer, der dazu führt, dass außer Betrieb genommene Zertifikate akzeptiert werden, kann es zu einer Kompromittierung des Netzwerks kommen. Um dies zu verhindern,  hat Fortinet eine neue Firmwareversion herausgebracht, die das Problem beheben soll. 

Die Grundlagen physischer Sicherheitssysteme gelten seit Jahrzehnten und haben sich nicht wesentlich verändert: Überwachung, Einbruchserkennung und Alarmierung bei Störungen oder Auffälligkeiten bilden nach wie vor die Basis einer jeden Sicherheitsinstallation. Was sich jedoch geändert hat, ist die Technologie, die diese Grundprinzipien vorantreibt, denn die Digitalisierung hat das Gerüst der Sicherheitssysteme verändert. Dadurch sind neue Herausforderungen entstanden, die wir in diesem Artikel näher betrachten werden. 

Aufgrund des in naher Zukunft auslaufenden Supports für mehrere Juniper-Switche sowie bekannter Bugs in einigen Firmware-Versionen empfehlen wir unseren Kunden, für zahlreiche Switchkomponenten ein Firmware-Upgrade durchzuführen.

Welcher ITler kennt diese Aussage von seinen Kollegen: „Ich passe immer auf, was ich anklicke, nachdem ich eine E-Mail empfangen habe!“ Ganz richtig: so ziemlich jeder. Denn viele glauben zu wissen, dass sie bei der Arbeit vor jeglicher Cyber-Gefahr automatisch geschützt sind. Dem ist leider nicht so.

Vor knapp zwei Jahren stellte Sophos die XG-Serie vor. Vor kurzem ist die Version 17 des XG-Betriebssystems veröffentlicht worden. Aus diesem Anlass machen wir den Faktencheck und vergleichen das SG- und das XG-Betriebssystem.

Eines vorab: XG ist eine Firmware, die Hardware ist komplett identisch zur SG. Das heißt, Sie können Ihre Sophos SG mit einem Update in eine XG-Firewall umwandeln.

Im Folgenden werde ich die meistgestellten Fragen zu Juniper beantworten und Ihnen hoffentlich näherbringen, welchen Vorteil Juniper bei einem Redesign Ihres Netzwerks im Gegensatz zu den „üblichen Verdächtigen“ hat. 

Was ist Juniper? 

Juniper ist ein Netzwerkhersteller aus den USA, der seinen Fokus auf Firewalls, Switche und Router legt. Juniper sieht sich selbst als einen Technologiekonzern und investiert einen Großteil seiner Kräfte in die Weiterentwicklung seines Betriebssystems JunOS. Ein Zitat, das mir persönlich sehr gut gefällt, ist von einem Juniper-SE: „Wir waren und sind schon immer eine Technologiebutze“.

Ransomware & Co. einfach den Riegel vorschieben

Tradition ist gut und notwendig. Das gilt auch für IT-Sicherheitslösungen – ohne die Erfahrungen der letzten Jahrzehnte wären Infrastrukturen bei weitem nicht so gut geschützt. Das alleinige Vertrauen auf Tradition ist aber eine Sackgasse. Neue Wege schieben modernen Hackerangriffen einen Riegel vor. Um Hackern auch mit neuartigen Angriffen wie Ransomware, Zero-Day-Exploits oder Stealth-Attacken keine Chance zu geben, bildet Sophos Central Endpoint Intercept X einen effektiven Next-Gen-Schutz, der ohne Aufwand in die bestehende IT-Security-Architektur beliebiger Anbieter eingebunden werden kann.

Die Lösung umfasst vier systemkritische Sicherheitskomponenten:

1. Signaturlose Threat- und Exploit-Erkennung
2. CryptoGuard
3. Root Cause Analytics
4. Sophos Clean
   

Wir haben bereits die Neuerungen der Version 8.1 von Password Safe vorgestellt. Bisher nicht auf die Liste geschafft hat es der Password Reset. Mithilfe dieser Funktion kann man sicherstellen, dass Passwörter, die nicht mehr den (definierbaren) Sicherheitsanforderungen genügen, im entsprechenden Password-Safe-Datensatz geändert werden. Außerdem, und das ist das Interessante, geschieht dies auch auf externen Systemen, auf denen die Accounts zum Einsatz kommen.

Vor wenigen Tagen entdeckte die Sicherheitsfirma „Tenable“ eine kritische Sicherheitslücke in Intels Active Management Technology (AMT). Mit einem leeren String als Passwort-Hash kann sich der Nutzer einloggen.

Offenbar handelt es sich um einen simplen Fehler: Intel prüft einen Authentifizierungshash nicht korrekt. Das Webinterface von AMT bietet den Benutzern einen Login per Browser mit der Digest-Authentifizierungsmethode. Der Browser berechnet anhand des eingegebenen Passworts nach einem bestimmten Schema einen Hash.

Dem Interface reicht es aus, wenn nur ein Teil des Hashes geschickt wird. Verschickt man einen kürzeren String als Hash – die ersten fünf Zeichen genügen –, wird auch nur dieser Teil geprüft und akzeptiert. Der Angreifer benötigt nur noch den Benutzernamen und ist befugt, sich einzuloggen.

Ziel einer Passwortmanagementlösung ist nicht nur die möglichst sichere Ablage von Passwörtern, sondern natürlich auch deren möglichst sichere Verwendung. Ein sehr sicheres Passwortmanagementtool ergibt keinen Sinn, wenn die Passwörter im Klartext verschickt oder über andere unsichere Wege verteilt werden.

Bei normalen internen Benutzern ist die sichere Verwendung der Passwörter mit Password Safe gegeben. Doch die temporäre Verteilung von Passwörtern beispielsweise an externe Dienstleister oder fachfremde Kollegen erfolgt meist doch über einen unsicheren Weg.

Password Safe bietet hier Mittel und Möglichkeiten, nicht nur die sichere Verteilung von Passwörtern auch an solche Benutzer zu gewährleisten, sondern stellt auch erweiterte Funktionen wie Sichtschutz oder Nutzungsberichte nach Beendigung der Tätigkeit zur Verfügung.

Der Aufbau einer Organisationsstruktur kann schnell sehr aufwendig werden und ist meist sowieso schon im Active Directory vorhanden. Außerdem gibt es ggf. den Wunsch, entsprechende Komfortfeatures wie Single Sign-on an Password Safe für die Active-Directory-Benutzer bereitzustellen.

Im folgenden Artikel erklären wir die unterschiedlichen Möglichkeiten der Active-Directory-Integration sowie die Implementierung.

Im Laufe dieser Woche wurde das erste Major Update für die Version 8 von Password Safe veröffentlicht. Neben vielen Verbesserungen im Detail sowie Bug Fixes gibt es auch einige wichtige Änderungen, die nach einem Update Ihre Aufmerksamkeit erfordern.

Wie schon in unserem Newsletter sowie im Webinar angekündigt sind wir seit letztem Jahr offizieller Partner von MATESO, die mit ihrer Lösung Password Safe ein Tool zum zentralen, sicheren Passwortmanagement anbieten. 

Im folgenden Artikel möchten wir noch ein bisschen genauer auf die technischen Eigenschaften von Password Safe eingehen.

Für die Betroffenen der grassierenden Ransomware Petya (seit Ende März verbreitet) gibt es Hoffnung. Was ist passiert? Mittlerweile existiert ein Passwortgenerator, der für die beschriebene Schadsoftware (siehe Blogeintrag vom 04.04.) verwendet werden kann. Dieser ermöglicht die Entsperrung des Systems – ohne Lösegeldzahlung. Der Weg dorthin erfordert allerdings etwas Handarbeit und Computerkenntnisse.

Was muss vorab getan werden?

Da der MBR der mit Petya infizierten Festplatte verschlüsselt wurde und somit kein normaler Boot des installierten Betriebssystems möglich ist, muss die Festplatte ausgebaut und an einen anderen PC angeschlossen werden. Am einfachsten geht das z.B. mit einem externen USB Dock. Die Festplatte kann natürlich auch per SATA/IDE angeschlossen werden. Wichtig ist nur, dass der Boot nicht von der infizierten Platte aus durchgeführt wird.

Petya Decryption Tool

Um das Petya Decryption Tool verwenden zu können, müssen nun spezielle Sektoren des Datenträgers exportiert werden. Da der Extrahiervorgang händisch sehr aufwändig wäre, gibt es mittlerweile glücklicherweise ein Tool, das diese Arbeit übernimmt. Das Petya Sector Extractor Tool des Emsisoft-Entwicklers Fabian Wosar kann unter folgendem Link heruntergeladen werden: http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip

Sobald die betroffene Festplatte an einem funktionierenden Computer angeschlossen wurde, kann das Petya Sector Extractor Tool ausgeführt werden. Das Tool erkennt die betroffene Festplatte automatisch. Achtung! Das Petya Sector Extractor Tool wird ggf. von verschiedenen Virenscannern als schädlich eingestuft (7/56 Virustotal).

Da das Tool von einer vertrauenswürdigen Seite aus verteilt wird, handelt es sich hierbei jedoch aller Wahrscheinlichkeit nach um einen falschen Alarm. Wer trotzdem auf Nummer sicher gehen möchte, kann für diese Schritte einen isolierten Rechner verwenden, z.B. eine virtuelle Maschine.

Neben Locky hat es aktuell eine weitere Ransomware speziell auf deutsche Windows-Anwender abgesehen. Der neue Schädling Petya-Ransomware verschlüsselt nach derzeitigen Erkenntnissen zunächst den Master Boot Record des Systems und anschließend die komplette Festplatte. 

Fake-Bewerbung mit plausiblen Infos

Die Verteilung findet per Mail und Dropbox-Link statt. Diese Mails sind mittlerweile so professionell, plausibel und gezielt gestaltet, dass es selbst für erfahrene Anwender schwer wird, die Gefahr zu erkennen. Im aufgeführten Beispiel wurde eine Bewerbung einschließlich direkter Ansprache des Personalverantwortlichen (!) an ein entsprechendes Bewerbungspostfach gesendet.

Seit Mitte Februar treibt ein Computerschädling mit bisher kaum dagewesener Schadwirkung weltweit sein Unwesen. Die Locky getaufte Ransomware verschlüsselt lokale und auf Netzlaufwerken befindliche Daten. Eine Entschlüsselung der Daten ist aufgrund der verwendeten starken Verschlüsselung (RSA-2048/AES 128) derzeit ohne den entsprechenden Schlüssel nahezu unmöglich. Um sich effektiv gegen diese Art von Bedrohung zu schützen und den Schaden möglichst minimal zu halten, empfiehlt es sich, einen ganzen Maßnahmenkatalog umzusetzen. Dieser setzt sich unter anderem aus anwenderbezogenen Punkten – wie Schulungen und Sensibilisierung der Anwender – sowie aus administrativen Tätigkeiten – wie ein funktionierendes Backup, ein restriktives Rechtemanagement und entsprechende Updatemechanismen – zusammen.

Ende 2015 veröffentlichte Sophos mit der Version 6.0 ein Major Release seiner MDM (Mobile Device Management)-Lösung. Neben üblichen Neuerungen lag der Fokus auf der Containerfunktion, die eine saubere Trennung von privaten und Firmendaten auf Mobilgeräten ermöglicht.

In der heutigen Zeit gehört es zum Alltag, immer und überall erreichbar zu sein oder Zugriff auf Informationen zu haben. Steigende Verkaufszahlen von mobilen Endgeräten belegen diesen Trend. Die Grenzen zwischen privater und geschäftlicher Nutzung verschwimmen dabei immer mehr, mobile Devices halten Einzug in die Arbeitswelt.