Gejagte Jäger

Von Udo Schneider, IoT Security Evangelist Europe bei Trend Micro

Heutzutage gehören Phishing und Drive-by-Downloads zu den erfolgreichsten initialen Infektionsvektoren. In der Prä-Internet-Zeit (zumindest für die breite Masse) waren es häufig Cracks für Spiele und Anwendungssoftware bzw. Key/Serial-Generatoren. Die eigene Jagd nach kostenloser/gecrackter Software endete also nicht selten damit, dass man selbst gejagt wurde, da die Cracks und Generatoren häufig auch unbemerkt Zusatzprogramme, Browser-Toolbars und auch Viren mit installierten.

Auch Sicherheitsforscher sind heute auf der Jagd – nach neuen Schwachstellen, Konfigurationsfehlern und auch Exploits, die diese Lücken ausnutzen. „Einfach so“ Exploits auszuprobieren, insbesondere im eigenen Produktivsystem, war schon immer eine schlechte Idee. Die zeigt sich umso deutlicher an einem aktuellen Fall, bei dem ein (angeblicher) Sicherheitsforscher einen „Proof of Concept“-Exploit Code verteilt hatte, der wiederum selbst Schadsoftware, genauer gesagt eine Cobalt-Strike Bacon, enthielt.

Alle Neugierde in Ehren, doch zeigt sich hier wieder einmal, dass die Untersuchung von Exploits, Schadcode und anderen potenziell gefährlichen Inhalten wohlüberlegt stattfinden sollte. Es besteht immer die Gefahr, dass das Objekt der Neugierde Schaden anstiftet – sei es mit voller Absicht oder auch als unbeabsichtigter Seiteneffekt. Daher gilt es, sich bestmöglich vor solchen „Seiteneffekten“ zu schützen.

Tipps

  • Prüfen Sie, ob Sie mit Schadcode oder ähnlichen „Dingen“ in Ihrer Arbeitsumgebung arbeiten dürfen. In vielen Firmen ist die bloße Nutzung solcher Inhalte und Tools ein Abmahnungs- bzw. Kündigungsgrund!
  • Verifizieren Sie die Quellen! Inhalte aus unbekannten Quellen sollten immer mit größtmöglicher Vorsicht behandelt werden. Aber auch Inhalte aus bekannten Quellen können kompromittiert sein. Der Ansatz, alles als maximal gefährlich einzuschätzen, mag wie Paranoia klingen, schützt aber auch vor Nachlässigkeit!
  • Wenn Sie Schadcode untersuchen, benutzen Sie dafür niemals ihr normales Produktivsystem! Bringen Sie den Schadcode stattdessen in einer virtuellen Maschine oder noch besser in einem getrennten echten PC zur Ausführung! Manche, gerade komplexe Malware/APT bringt nämlich standardmäßig Funktionen zum Ausbruch aus virtuellen Maschinen mit!
  • Denken Sie auch daran, den Schadcode nicht im Produktivnetz oder auf einer Maschine mit Zugriff auf das Produktivnetz zu starten. Auch hier gab es in er der Vergangenheit böse Überraschungen, bei denen Schadcode unerwarteterweise Wurmfunktionen enthielt!
  • Grundsätzlich ist bei der Untersuchung von solchen Inhalten also größte Vorsicht geboten. Ähnlich wie beim Umgang mit Chemikalien und Waffen ist die Erfahrung (teilweise „dank“ Lernen durch Schmerz) essenziell entscheidend, um mit diesen sicher umgehen zu können. Wenn man sich also nicht sicher ist, sollte man sich auf jeden Fall vorher Rat einholen, und nicht auf das Prinzip Hoffnung (nach dem Motto „Wird schon nichts passieren!“) setzen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.