Alpha-Soft Computer Security GmbH
/

 Ihr Spezialist für kaufmännische Software und Netzwerksysteme

Malware-News


Zurück zur Übersicht

21.02.2017

IT-Einbruch ohne Spuren

Seit einiger Zeit geistert ein neues Schreckgespenst durch die IT.
Mit einem neuen Trick gelingt es Cyberkriminellen, Schadprogramme (unter anderem Trojaner) in Computern und Netzwerken zu etablieren ohne sichtbare Spuren zu hinterlassen. Dieses Verfahren hinterlässt nicht nur keine (üblichen) Spuren sondern ist auch für die meisten Schutz- und Analyse-Programme (z.B. Anti-Malware Tools) bisher unerkennbar.

So fielen einem Sicherheitsteam einer Bank Anomalien in ihrem Netzwerk auf, doch die Computer waren offensichtlich nicht mit einem klassischen Trojaner infiziert. Unter Mithilfe von Kaspersky (russisches Sicherheitsunternehmen) machten sie sich auf die Suche nach dem Ursprung und diagnostizierten eine dateilose Infektion diverser Computer.

Normalerweise hinterlässt jeder Einbruch an einem PC oder Firmennetzwerk Spuren in Form von Trojaner-Dateien. Häufig findet man auch Tools, die etwa zum Abgreifen von Daten oder die Kommunikation genutzt wurden. Nicht so bei diesen neuen Fällen. Die Untersuchung betreffender Festplatten förderte keine verdächtigen Dateien zu Tage. Erst bei einer Analyse von Registry und Arbeitsspeicher wurden die Forensiker fündig.

Über im Arbeitsspeicher etablierte Schadprogramme werden über komplexe Verfahren vorhandene Systemtools und Kommando Befehle ausgeführt, die dann zum Abgreifen von Daten missbraucht werden. Da hier die Hacker ganz gezielt "Onboard" Mittel verwenden, die alleine stehend absolut unkritisch und sogar üblich sind, erkennen die üblichen Anti-Malware Programme die Gefährdung nicht.

Zwar sind solche theoretischen Konstrukte schon seit zumindest 2014 bekannt, doch erst jetzt werden diese weltweit im großen Stil zum Einsatz gebracht. Laut Kaspersky sind bisher vorrangig Finanz- und Telekommunikationsunternehmen sowie Regierungsorganisationen betroffen, doch wenn das Verfahren sich etabliert und bewährt wird es schnell auch andere (mittlere und kleinere Unternehmen) treffen.

Kaspersky zeigt im Beispiel auf, wie die aktuellen Infektionen per Hand erkannt werden können, doch mit großer Wahrscheinlichkeit haben die Hacker mittlerweile schon auf neue Einträge und Verfahren gewechselt. Womit selbst die händische Suche aufwendig wird. Kaspersky benennt die vermutlich verantwortliche Hacker Gruppe (Carbanak-Gang), ob diese ihr Wissen schon weitergekauft hat und welche und wie viele Trittbrettfahrer es mittlerweile gibt bleibt unklar.

Wie schützt man sich daher vor dieser neuen Gefahr?
Da bei solchen Angriffen die meisten üblichen Anti-Malware Programme (bisher) versagen (selbst Kaspersky erging es bis zur händischen Analyse so) bieten Anti-Malware-Programme keinen oder kaum Schutz.
Es kann daher von unserer Seite her nur an die Wachsamkeit und Vorsichtigkeit beim Umgang mit dem PC bzw. Netzwerk ermahnt werden. Besondere Wichtigkeit fällt wie immer der Installation aktueller Sicherheitsupdates zu (wobei dies trotzdem nie die absolute Sicherheit bringt.)

Als großes Problem sehen wir in diesem Kontext die Masche mit Anrufen von angeblichen Supportmitarbeitern zum Beispiel von Microsoft oder anderen namhaften Unternehmen, die mehr und mehr um sich greift. Hierbei wird unter Vorgabe von oftmals „kostenlosen“ Wartungsarbeiten oder Prüfungen am PC oder Netzwerk versucht sich Zugriff auf Ihrem PC bzw. Netzwerk zu verschaffen. Davor müssen wir hier nochmals besonders warnen! Über diesen Weg ist es ein leichtes unauffällig Schadcode auf dem PC oder Netzwerk zu etablieren, der quasi keine Spuren hinterlässt. Selbst ein kurzer Zugriff von wenigen Minuten oder gar Sekunden kann die Katastrophe für den PC und Netzwerk bedeuten. Selbst wenn diese „Angreifer“ nicht den PC ad hoc mit zum Beispiel Verschlüsslungstrojaner verschlüsseln und Sie im Nachgang mit Lösegeld erpressen, somit wiegt man sich bei Zutreffen obigen neuen Szenarios in Sicherheit obwohl genau das Gegenteil der Fall ist.

Daher unser wichtiger Tipp: Gestatten Sie keinen unbekannt Dritten irgendeinen Zugriff auf Ihren PC oder Ihr Netzwerk - egal unter welchem Vorwand man sich Zugriff verschaffen möchte! Lassen Sie keine Fremdgeräte an Ihr Netzwerk anstecken oder verbinden! Sperren Sie unbekannt Dritte auch aus Ihrem WLAN aus oder sorgen Sie für fachgerechte Trennung von Firmen- und Gäste WLAN!
Denken Sie auch an das Gefahrenpotential von unbekannten Wartungsfirmen, die netzwerkverbundene Drucker oder Kopiertechnik pflegen – auch hier sind schwarze Schafe unterwegs, die über diesen Weg Zugriff zu Ihrem Netzwerk etablieren wollen und können!
Bei Fragen zur Sache und Unterstützung bei etwaigen Problemen in diesem Zusammenhang kontaktieren Sie uns bitte!

 News_20170214


Zurück zur Übersicht