Schlagwort-Archive: Malware

Mit SAP in die Cloud? Aber sicher!

Von Alexander Bloech, Business Development Manager (SAP)

Wie SAP-Kunden ihre Infrastrukturen, Anwendungen und Daten absichern können, zeigt Trend Micro auf dem DSAG-Jahreskongress (17. – 19. September, Nürnberg. Der IT-Sicherheitsanbieter ist dort mit eigenem Stand (Nummer A6) sowie einem Vortrag vertreten.

Weiterlesen

Noch einen Monat bis zum Abschalten der DNS Changer-Server

Originalartikel von Jonathan Leopando (Technical Communications)

Die Fristverlängerung für den Betrieb von DNS-Servern, die den Opfern der Schadsoftware DNS Changer vom Internet Systems Consortium (ISC) im März zugestanden wurde, läuft in rund einem Monat ab. Um kurz zu rekapitulieren: Nachdem das FBI (in Zusammenarbeit mit Partnern aus der Privatwirtschaft, darunter Trend Micro) als Teil der Operation „ghostclick“ die „schurkenhafte“ DNS-Infrastruktur von Esthost/Rove Digital in New York und Chicago vom Netz getrennt hatte, installierte und wartete das ISC auf Anordnung des Haftrichters hin legitime DNS-Server für die betroffenen Anwender.

Die DNS Changer Working Group (DCWG) schätzt, dass immer noch mehr als 350.000 Anwender und deren Systeme von dem DNS Changer-Schädling befallen sind. Anders als bei dem ursprünglich für März vorgesehenen Abschaltdatum, das von einem Bundesgericht außer Kraft gesetzt wurde, wird die jetzt gesetzte Frist nicht ein weiteres Mal verlängert werden. Zusätzlich zu den Prüfseiten wie die der DCWG haben allgemein genutzte Sites wie Facebook und Google damit begonnen, ihre Anwender entsprechend zu benachrichtigen. Wir bitten die Anwender dringend zu überprüfen, ob sie von dem Problem betroffen sind; falls sie es sind, können sie den von der DCWG bereitgestellten Webadressen folgen oder ihren ISP mit der Bitte kontaktieren, bei der Beseitigung der Bedrohung behilflich zu sein. Anwender, die diesen Hinweis ignorieren, laufen Gefahr, vom gesamten Internet abgeschnitten zu werden, wenn die gerichtlich angeordnete Frist am 9. Juli endet.

Trend Micro-Kunden sind vor dem DNS Changer-Schädling geschützt, der als DNSCHANG erkannt wird. DNSCHANG wird aktiv erkannt und vom befallenen System entfernt.

Weitere Einzelheiten zum Abschalten von Esthost/Digital Rove sind in folgendem Blogeintrag zu finden: Esthost unschädlich gemacht – größter Schlag aller Zeiten gegen Cyber-Kriminalität

Das Abschalten von Esthost/Rove Digital ist bis heute hinsichtlich der Ausmaße des vom Netz genommenen Botnet der größte Erfolg dieser Art. Folgende Infografik vergleicht ihn mit vorangegangen Abschaltaktionen: „Big Botnet Busts“.

 

Bösartige PowerPoint-Datei enthält Exploit und setzt Backdoor-Schädling ab

Originalartikel von Cris Pantanilla, Threat Response Engineer bei Trend Micro

Trend Micro hat ein bösartiges Microsoft PowerPoint-Dokument entdeckt, das als Dateianhang bestimmter E-Mail-Nachrichten verbreitet wird. Die Datei enthält eine eingebettete Flash-Datei, die einen Softwarefehler in bestimmten Flash Player-Versionen (CVE-2011-0611) missbraucht, um einen Hintertür-Schädling auf Anwendersystemen abzusetzen.

Eingebettete Flash-Datei

Abbildung 1: Eingebettete Flash-Datei in TROJ_PPDROP.EVL

Anwender, die das bösartige .PPT-Dokument öffnen, führen dadurch einen Shellcode innerhalb der Flash-Datei aus, der die Sicherheitslücke CVE-2011-0611 ausnützt und anschließend die bösartige Datei „Winword.tmp“ im Temporärverzeichnis ablegt. Gleichzeitig legt der Code eine nicht-bösartige PowerPoint-Präsentation mit dem Namen „Powerpoint.pps“ ab. Dadurch wird bei den Anwendern der Eindruck erweckt, bei der bösartigen Datei handle es sich schlicht um eine weitere unauffällige Präsentation. Die Trend Micro-Analyse hat jedoch ergeben, dass es sich bei „Winword.tmp“ um einen Hintertür-Schädling handelt. Dieser baut Verbindungen zu Webseiten im Internet auf, um mit den möglicherweise kriminellen Hintermännern zu kommunizieren. Außerdem ist der Schädling in der Lage, weitere Schadsoftware herunterzuladen sowie auszuführen und dadurch die infizierten Systeme weiteren, möglicherweise sogar gefährlicheren Bedrohungen wie zum Beispiel Spionagesoftware auszusetzen.

Trend Micro erkennt die bösartige PowerPoint-Datei als TROJ_PPDROP.EVL und den abgelegten Backdoor-Schädling als BKDR_SIMBOT.EVL. Anderweitige Berichte sowie Analysen von Trend Micro bestätigen, dass diese Art von Schadsoftware in der Vergangenheit für gezielte Angriffe genutzt wurde.

Entschlüsselter Binärcode

Abbildung 2: Entschlüsselung des eingebetteten Binärcodes in TROJ_PPDROP.EVL

Die neueren Bedrohungen beschränken sich nicht mehr auf schädliche Dateien, die sich als gewöhnliche Binärdateien wie zum Beispiel .EXE-Dateien in E-Mail-Anhängen verstecken. Diese speziell präparierten Dateien lassen sich vielmehr in allgemein verbreitete Dateien wie PDF, DOC, PPT oder XSL einbetten. In dem hier beschriebenen Fall bemerken die Anwender die Attacke nicht, da TROJ_PPDROP.EVL als Köder eine ungefährliche PowerPoint-Datei benutzt und anzeigt.

Auf Sicherheitslücken ist Verlass: Effektive Einfallstore für Infektionen

Der vorliegende Fall zeigt ferner, dass Cyberkriminelle bekannt gewordene Sicherheitslücken in beliebter Software wie Microsoft-Office-Anwendungen, Flash usw. zu ihrem Vorteil nutzen. In einem früheren Blogeintrag hat Trend Micro aufgedeckt, dass bekannte Softwarefehler älteren und neueren Datums wie CVE-2010-3333 oder CVE-2012-0158 weiterhin von den Angreifern für ihre Zwecke missbraucht werden. Die Tatsache, dass die meisten Anwender ihre Systeme nicht regelmäßig mit den neuesten Sicherheitsaktualisierungen absichern, erklärt, warum die Angreifer diese Fehler immer wieder ausnutzen.

Trend Micro schützt Anwender vor dieser Bedrohung mit dem Smart Protection Network™, das die entsprechenden E-Mail-Nachrichten sowie Webadressen blockt und TROJ_PPDROP.EVL sowie BKDR_SIMBOT.EVL entdeckt. In der heutigen Zeit, in der einfache Dokumente zu Informationsdiebstählen führen können, sollten Anwender besondere Vorsicht walten lassen, bevor sie Dateien aus E-Mail-Nachrichten herunterladen oder öffnen, insbesondere jene von unbekannten Absendern. Außerdem sollten Anwender stets die neuesten Sicherheitsaktualisierungen auf ihren Systemen einspielen.

Aktueller Test von Sicherheitsprodukten: Gegenargumente von Stiftung Warentest lassen viele Fragen offen

Von Raimund Genes, Chief Technology Officer bei Trend Micro

 

Als Antwort auf den Offenen Brief von acht IT-Sicherheitsherstellern sowie AV-Test hat Stiftung Warentest nun auf test.de eine Entgegnung veröffentlicht. Statt wie in dem von Trend Micro initiierten Schreiben angeregt, vermeidet Stiftung Warentest – zumindest im Augenblick – eine offene und direkte Diskussion mit allen Sicherheitsherstellern und -Experten und reagiert nicht nur auf unsere Kritikpunkte, sondern auch auf zahlreiche kritische Kommentare der Leser.

Dennoch bleiben trotz der ausführlichen Entgegnung, die wir prinzipiell begrüßen, zahlreiche Fragen offen:

  1. Es liegt immer noch keine hinreichende Begründung vor, warum die Stichprobengröße von 1.800 verwendeten Beispielen von Schadsoftware repräsentativ sein soll.
  2. Stiftung Warentest spricht in diesem Zusammenhang von relevanter Schadsoftware. Allerdings wird nicht klar, welche Kriterien diese Relevanz begründen.
  3. Stiftung Warentest hat den Herstellern gegenüber, deren Produkte getestet wurden, keine Informationen geliefert, welche Schadsoftware genau dem Test zugrunde gelegt wurde. Ferner wurde den Herstellern kein Testprotokoll zugesandt.
  4. Zwar ist es richtig, dass den Herstellern eine Beschreibung zum geplanten Testverfahren im Vorfeld zugestellt wurde. Allerdings besteht in dem zwölfseitigen Dokument der Abschnitt zum Thema „Antimalware“ gerade mal aus zwei Unterpunkten mit insgesamt fünf Sätzen, die rund 100 Wörter enthalten. Dies kann aus unserer Sicht nicht als Beleg für die von Stiftung Warentest immer wieder betonte Transparenz gegenüber den Herstellern gewertet werden. Außerdem deckt sich das verwendete Vokabular nicht exakt mit den allgemein unter Sicherheitsexperten anerkannten Begrifflichkeiten. Ob dies auf mangelnde Genauigkeit oder Wissenslücken zurückzuführen ist, muss hier dahingestellt bleiben. Wir zitieren im Übrigen diese Begrifflichkeiten nur deshalb nicht, weil das Schreiben der Vertraulichkeit unterliegt.
  5. In der Gegendarstellung von Stiftung Warentest heißt es: „Insgesamt 1.800 aktuelle Schädlinge mussten die Antivirenprogramme im Test finden und löschen.“ Auf ZDNet finden sich hingegen Aussagen eines Vertreters von Stiftung Warentest, in denen davon die Rede ist, dass die meisten Schädlinge zwei bis drei Monate, teilweise sogar bis zu sechs Monate alt seien. Je älter aber Schädlinge sind, desto geringer ist die Infektionsgefahr und desto weniger aussagekräftig sind darauf bezogene Erkennungsraten.
  6. Es wird außerdem nicht klar, wie die Gewichtung der verschiedenen Testkategorien zustande kommt. Wenn also Trend Micro in zwei Kategorien die Note „Gut“ und nur in der Kategorie Signatur-basierendes Scannen im Offline-Modus ein „Ausreichend“ erhält, stellt sich die Frage, wie es dann zu einer Gesamtnote „Ausreichend“ kommt. Es drängt sich der Eindruck auf, dass der Test im Online-Modus dann eher als Feigenblatt dient, weil dessen Ergebnis die Gesamtwertung gar nicht beeinflussen kann.
  7. Das mehr angedeutete als beschriebene Testverfahren legt zudem den Schluss nahe, dass Hersteller mit Schutzmechanismen in der Cloud systematisch benachteiligt werden. Denn hier werden die Pattern-Dateien zu einem bestimmten Zeitpunkt eingefroren und dann in diesem Zustand dem Test zugrunde gelegt, während die Signaturaktualisierungen in der Cloud unberücksichtigt bleiben. Diese Aktualisierungen sind aber entscheidend, wenn es darum geht, Schädlinge schon auf dem Infektionsweg, nämlich dem Internet, zu entdecken und abzuwehren.
  8. Die unterproportionale Berücksichtigung des Internet als Infektionsweg wird unter anderem damit begründet, dass man nicht unterstellen könne, die Anwender seien primär oder fast ununterbrochen online. Doch auch wenn man – sicherlich nicht zu Unrecht – davon ausgeht, dass die Anwender sowohl online als auch offline ihre Rechner nutzen, wird das Signatur-basierende Scannen überbewertet. Ein Beispiel mag dies verdeutlichen: Ein Anwender geht selten online, die letzte Aktualisierung der Signaturdatei fand vor zwei Wochen statt. Um E-Mails abzurufen, geht der Anwender nun online. Eine der empfangenen E-Mails enthält einen Link, der zu einer verseuchten Website führt, und lädt von dort ohne sein Wissen einen Schädling herunter, der sofort installiert wird. Auch wenn ein Sicherheitsprodukt bei bestehender Internetverbindung unverzüglich die Aktualisierung startet, was meistens nur bei den kostenpflichtigen der Fall ist, dauert es eine Weile, bis der aktualisierte Schutz aktiviert wird. Die Infektionsgefahr ist deshalb bei Produkten ohne Cloud-Mechanismen in diesem Fall sehr hoch. Ein Produkt hingegen, das auf aktuelle Cloud-Datenbanken setzt, erkennt auch ohne lokale Aktualisierung die bösartige E-Mail, so dass entweder diese sofort geblockt oder das Herunterladen des Schädlings verhindert wird. Mit anderen Worten: Das von der Stiftung Warentest ins Feld geführte Offline-Szenario einer Infektion über USB-Stick ist nicht das einzige, das es zu berücksichtigen gilt, und reicht deshalb als Argument gegen eine stärkere Gewichtung von Cloud-Mechanismen in der Bewertung nicht aus.
  9. Dies führt zu einer weiteren Frage: Hat Stiftung Warentest die verschiedenen Schutzschichten einer modernen Sicherheitslösung im Zusammenspiel getestet oder doch eher isoliert voneinander betrachtet? Nur wenn Ersteres der Fall ist, lassen sich fundierte Aussagen über die Schutzwirkung eines Produktes treffen, auch wenn eine solche Teststellung sehr zeit- und kostenaufwändig ist. Auch hier würden wir uns mehr Informationen wünschen.
  10. Schließlich ist der Verzicht auf die Messung von Fehlalarmen nicht nachvollziehbar. Denn diese sind aus Sicht der Anwender sehr lästig. Umso mehr verwundert die Begründung für den Verzicht, man habe in dieser Hinsicht bei Tests in den vergangenen Jahren kaum Unterschiede zwischen den Sicherheitsprodukten festgestellt. Gegen diese Begründung sprechen zwei Argumente. Zum einen ist es unzulässig, von der Vergangenheit auf die Zukunft zu schließen, weil damit implizit unterstellt wird, in diesem Bereich finde keine Weiterentwicklung statt. Zum anderen aber betont Stiftung Warentest, dass man sich im Test vor allem daran orientiert hat, wie typische Anwender Sicherheitsprodukte installieren und nutzen. Will man diesen Grundsatz wirklich ernst nehmen, dann ließe man Fehlalarme bei der Bewertung nicht außer Acht. Denn wie gesagt, diese sind aus Sicht der Anwender sehr lästig.

Die zahlreichen Reaktionen auf test.de und heise.de zeigen aus unserer Sicht, dass die Stiftung Warentest gegenüber ihren Leserinnen und Lesern, aber auch gegenüber den betroffenen Herstellern weiter in der Pflicht steht, Aufklärung zu leisten. Mit den bisher gegebenen Antworten genügt Stiftung Warentest wohl noch nicht den eigenen Ansprüchen in Sachen Transparenz. Daher erneuern wir unsere Bitte aus dem Offenen Brief, doch mit uns in einen direkten Dialog zu treten. Hilfreich für alle Seiten wäre es, wenn uns und den anderen getesteten Herstellern die Prüfprotokolle zugestellt würden.

Dateischädling bringt Infektionen in eine neue Dimension

Original Artikel von Det Caraig (Technical Communications, Trend Micro)

Die Trend Micro Bedrohungsanalysten wurden wegen der Entdeckung eines eher ungewöhnlichen Dateischädlings alarmiert. Im Gegensatz zu herkömmlicher Malware , die an der betroffenen Datei nur einfache Veränderungen vornimt, sind die Modifikationen durch PE_XPAJ.A, um den bösartigen Code zu verbergen, komplex.

Obwohl der Schädling einige Merkmale anderer PE-Varianten aufweist, kann nicht von einem „normalen“ Dateischädling die Rede sein: Für Sicherheitsexperten beispielsweise wird das Aufspüren des bösartigen Codes schwieriger, da die betroffenen Dateien keine offensichtlichen Anzeichen einer Infektion aufweisen.

Infiziert werden .DLL-, .EXE-, .SCR- und .SYS-Dateien in den folgenden Ordnern:

  • %Programme%
  • %Windows%

Der Schädling verwendet eine Kombination aus den Verschleierungstypen EPO und Cavity, mit der er Codes in den Host-Dateien an andere Stellen verschieben kann. Die Malware verschlüsselt ihre Signatur bei jeder Ausführung anders – und ebenso die Anleitungen zur Umsetzung der Verschlüsselung. Um einer Entdeckung zu entgehen, verbirgt die Malware ihren Eintrittspunkt. Statt die Kontrolle zu übernehmen und seine Aktionen auszuführen, sobald eine Anwendung gestartet oder verwendet wird, wartet der Dateischädling eine Weile, bis er aktiv wird.

PE_XPAJ.A verbindet sich außerdem mit den folgenden URLs, um verschlüsselte Dateien herunterzuladen:

  • http://{GESPERRT}huy.com/plugin/plugin.dat
  • http://{GESPERRT}ios.com/stamm/stamm.dat

Und als wäre das nicht schon ärgerlich genug, kopiert und versteckt er rechtmäßige Dateien im Ordner %UserTemp% als {beliebiger HEX-Wert}.tmp.

Das Trend Micro Smart Protection Network schützt Trend Micro Kunden bereits vor dieser Malware. Alle anderen Benutzer können HouseCall verwenden, um ihr infiziertes System zu säubern.