Gefahrenpotential Emailanhänge - Können verdächtige Hinweise nahezu vermieden werden?
 

Guten Tag,

es gibt ja bekanntlich viele Hinweise die schnell auf eine „gefährliche“ Email hinweisen:
schlechte deutsche Grammatik, seltsamer Absender, verdächtiges Dateiformat .exe, .zip etc.
Allerdings können diese „Fehler“ doch relativ einfach ausgemerzt werden.

Gehen wir mal davon aus, dass sich ein PC mit einem Wurm infiziert hat. Dieser Wurm lässt sich noch nicht von einem Antivirenprogramm identifizieren. Der Wurm nutzt die Outlook Kontakte und sendet sich selbstständig an ein paar Kontakte und nutzt sogar eine persönliche Anrede und schreibt einen freundlichen Text mit Hinweis auf ein Dokument im Anhang. Im Anhang befindet sich ein Excel-Dokument mit Makro-Virus. Beispieltext: „Hallo Peter, im Anhang findest du einmal die Kalkulation. Kannst du diese bitte prüfen?“

Als alternatives Szenario könnte man sich auch eine Stellenanzeige im Internet vorstellen. Die vermeintlichen Bewerber schicken Ihren Lebenslauf und die Bewerbung als Word-Dokumente mit Makro-Virus. So könnte es ein gezielter Angriff sein.


Lässt sich hier eigentlich noch mit bloßen Auge ein Gefahrenpotenzial feststellen? Wie kann man sich optimal schützen?

100 % Sicherheit gibt es nicht. "optimal" kann es daher deiner Frage nach nicht geben. Maßnahmen, die die Sicherheit erhöhen wären

zuallererst: Regelmäßige Backup auf externe Medien, die örtlich getrennt sicher verwahrt werden. Man kann nicht oft genug schreiben, dass man für seine Backups selbst verantwortlich ist und sich darum zu kümmern hat! Letztenendes ist es auch völlig egal ob ein Plattendefekt, ein Wohnungsbrand, ein Dieb oder eben ein Kryptotrojaner zuschlägt

und:

1) Anhänge nur öffnen, wenn kurz vorher telefonisch o.ä. vereinbart
2) wo möglich kein Windows und/oder MS-Office einsetzen
3) Virenscanner sind zwar nur ein Hilfsmittel, aber gegen ransoms hat sich die Verhaltenserkennung von Emsisoft bewährt

Ja, das sind alles Maßnahmen, die Arbeit machen und im Falle von Emsi auch definitiv Kosten verursachen. Aber Sicherheit zum Nulltarif gibt es nicht...

Also zum einen gibt es schon so ziemlich seit Office Makros unterstuetzt, die Option nur signierte Makros auszufuehren. Eine solche Signatur laesst sich kinderleicht erstellen und verteilen, die Installation des Zertifikats erfordert allerdings mehrere Mausklicks, wovon einer auch an der richtigen Stelle sein muss.

Neuere Officevarianten benutzen den Protected Mode, da der aber von den Benutzern gerne weggeklickt wurde, hat Microsoft im neuesten Office Makros per Standard deaktiviert und man muss sie erst zulassen.

Also mit einem Office 2016 lebt man nach derzeitigem Stand recht sicher. Allerdings gibt es guenstigere Alternativen wie die Softmakervarianten, welche recht gut sind oder LibreOffice, Openoffice usw. Einige davon sind gar kostenlos. Zumindestens bei Softmaker Pro muessten die Makros angepasst werden allerdings ist die Softmaker-API weniger umfangreich.

Ein vernuenftiger Scanner ist nie verkehrt aber Cosinus hat recht, die Mustererkennung ist meist zu langsam.

Passende Dateizugriffsrechte anzulegen ist meist hilfreich, wenn keine Aenderungsrechte vergeben sind, dann kann die Ransomware im Dreieck springen, geloescht wird da nix.
Allerdings kann sowas auch bei Drittanbietersoftware recht nervig sein. Manche Software legt erst die Datei an und schreibt zu einem spaeteren Zeitpunkt den Inhalt. Solche Software funktioniert dann in entsprechend geschuetzten Verzeichnissen nicht bzw. legt nur leere Dateien an.

Man kann Verzeichnissen auch die Ausfuehrungsrechte entziehen, das hilft aber nicht unbedingt gegen Makroschaedlinge.

Vorallem aber sollte man wissen, dass viele Schaedlinge sich ohne administrative Rechte ueberhaupt nicht im System einnisten koennen und auch auf diverse Netzwerkfunktionen dann keinen Zugriff haben. Manche funktionieren in einem User-Account ueberhaupt gar nicht.

Es gibt allerhand, was man proaktiv tun kann.

Die Adminrechte sind hier völlig wumpe. Es reichen die Userrechte aus um die Datei zu zerhacken und im Zweifel hat der User kein (vernünftiges) Backup, Schattenkopien nicht aktiv oder seine zerhackten Dateien liegen auf einem NAS, das das Feature Schattenkopien nicht kennt.

Sicher kann man viel proaktiv tun. Aber damit müssen sich die laien auch erstmal beschäftigen, das wollen sie nicht und sowieso ist Sicherheit ja eh zu teuer :D also muss es so gehen => Virenscanner rauf, reicht :balla:

Anders kann man sich den Erfolg von locky mit 5000 Infektionen pro Stunde allein in Deutschland nicht wirklich erklären. :kaffee:

Naja, aber als Admin nutzt der Dateisystemschutz wenig da man ihn auch wieder aufheben kann, im schlimmsten Fall muss die Malware noch den Besitz uebernehmen.

Ebenso laesst sich eben der MBR und das Dateisystem nicht zerschiessen ohne Adminrechte.

Ich werf jetzt mal einfach was in den Raum.

Egal ob Emailanhang mit Wurm, Datei mit pöösem Makro, oder Ransomware, oder oder.

Was hat all das gemeinsam direkt nach Ausführung? Richtig, es wird erstmal auf die Platte kopiert, um dann ausgeführt zu werden.

Und beim kopieren/schreiben auf die Platte kommt wer und meckert? Richtig, das AV Programm.

Kann ich so genau nicht sagen ;). Bei mir hat es im letzten Jahrzehnt keiner unverschluesselt auf die Platte geschafft. Ist das noch so? *dreimal auf holzkopf geklopft*

Ich merke den Unterschied ob es ein bekannter Schaedling ist oder nicht, wenn die Mail gleich abgelehnt wird oder ich erst nach Tagen eine Bestaetigung bekomme.

Wenn der Schaedling auf der Platte ist, ist ja noch kein Hals und Beinbruch, solange er nicht ausgefuehrt wird. Wenn aber die Verhaltensanalyse anspringt, ist die Proverbiale schon am dampfen.

Was hatten das mit admin vs user zu tun?
Natürlich meckert im besten Fall das AV noch vor der Ausführung der malware, aber das ist doch egal ob man gerade mit Adminrechten rumturnt oder nicht.

@bombinho: Warum reitest du bei der crypto malware immer auf den eingeschränkten Rechten herum? Dem Anwender ist auch nicht wirklich geholfen wenn dank fehlender Rechte der MBR zwar noch intakt ist, aber seine Dateien trotzdem zerhackt wurden. MBR und Systemdateien lassen sich ja nun einfach recovern im Gegensatz zu all den persönlichen files.

Wie oft denn noch? Viele Infektionswege benoetigen zwingend Adminrechte. Und wenn das AV meckert, ist moeglicherweise bereits der Loader aktiv (Edit: oder anderer Unsinn im Gange).

Auch hier habe ich es oft genug gesagt, du wirst eine Datei ohne Aenderungsrechte nicht geaendert oder geloescht bekommen via Windows-API. Die Cryptomalware muesste dann alternative Dateisystemtreiber mitbringen um ueberhaupt etwas loeschen oder ueberschreiben zu koennen ergo geht nix verloren. Da ist nix zerhackt und wird nix zerhackt, vielleicht wird die Festplatte zugemuellt mit verschluesselten Daten aber die Originaldateien bleiben wo und wie sie sind.
Und wenn Dateisystem und MBR intakt bleiben, ging die ganze Attacke in Leere.

Das ist doch genau der Grund, warum Linux recht unanfaellig gegenueber den unter Windows ueblichen Attacken ist. Weil die Dateizugriffsrechte von vornherein schaerfer eingestellt sind.
Stell unter Linux aehnliche Zugriffsrechte ein wie unter einem adminbetriebenen Windows und da ist meist nicht mal mehr ein AV der dir noch die Hinterseite rettet.

Wie oft noch? Wie oft noch muss denn erwähnt werden, dass man für die crypto malware KEINE Adminrechte braucht?


Das ist doch Blödsinn. Wenn der ransom ohne Adminrechte gestartet wird, kann er zwar nix am System verfummeln aber die Userdaten zunindest des angemeldeten Users zerhacken. Und wie ich schon schrieb haben dann die wenigsten ein Backup oder Schattenkopien aktiviert. Oder die Daten lagen auf einem NAS.


Ach jetzt hast du diese Erkenntnis auch? :kaffee:
Du hast doch letztens da mit deinem python script etwas anderes behauptet oder nicht?
Fakt jedenfalls ist, dass man auch die Userdaten in einem unixoiden System zerhacken kann wenn "mutwillig" ein entsprechendes böses Script ausgeführt wird.

Es sei denn sie verschluesselt Dateisystem und MBR/VBR

Ich hoffe, alle Ransomware benutzt nur Standard-API-Zugriffe und versucht nicht via manipulierter Paketdaten mit dem CC zu kommunizieren um einen Private Key zu bekommen denn das geht ohne Adminrechte nicht und ohne asymmetrischen Schluessel wird es nix mit dem bombensichern Verschluesseln und anschliessendem Entschluesseln fuer Geld.
Ausserdem schafft die Malware es nicht ohne Adminrechte, das System zu blockieren um die Zahlungsaufforderung deutlich genug zu machen. Und die Ransomware schafft es auch nicht, sich zum spaeteren Entschluesseln festzusetzen.

Weiterhin kann Malware mit Adminrechten eben jede Rechteeinschraenkung des Dateisystems wieder aufheben, sprich Ausfuehrungsrechte und/oder Aenderungsrechte einraeumen.

So ganz nebenbei gibt es auch noch reichlich andere Malware, welche unterwegs ist und
auch Unfug anrichtet.

Ich habe gesagt, dass ein nicht/schlecht administriertes Linux auch nicht sicherer ist als ein nicht/schlecht administriertes Windows.
Aber wenn Du es gerne noch mal hoeren moechtest, Linux kommt oft mit sichereren Standardeinstellungen als Windows unter heutigen Gesichtspunkten.

Dass es angreifbar ist, ist ein Fakt. Dass es nicht angreifbar ist mit vielen unter Windows ueblichen Methoden ist auch richtig. Dass es auf jeden Fall angreifbar ist, wenn der Nutzer unbeabsichtigt mithilft gilt fuer beide Systeme gleichermaszen.

Und wieso straeubst Du Dich Windowsbenutzern Masznahmen zu empfehlen, die auch Linux sicherer machen?

Und so ganz nebenbei bin ich wirklich nicht geeignet um moegliche Szenarien fuer Linux zu durchdenken, da ich derzeit damit nur wenig Beruehrungspunkte habe.

Mal abgesehen von einem manipulierten Repo oder der Ausnutzung von uralten aber noch enthaltenen Luecken, wie bereits in der Vergangenheit demonstriert wurde.

In diese Richtung gehen ja gerne auch Angriffe auf IOS, OSX, Android. Nur dass dann eben die App-Shops/stores etc. unterwandert werden. Wenn ich mich nicht verbreiten kann, dann muss ich mich eben verbreiten lassen.

Okay, mir fiele noch ein, dass dank unverschluesseltem Dateisystem wahrscheinlich aehnliche Angriffe zur Bootzeit auf das Linux Rootpasswort denkbar waeren wie unter Windows auf das Adminpasswort.

Lies du eigentlich auch was ich schreibe? Ein zerhackter MBR ist doch völlig egal, kann einfach neu geschrieben werden. Es geht um die Dateien des Benutzers. Wenn die zerhackt sind hilft nur das Backup.


Das ist doch völlig irrelevant. Die Malware zerhackt die Daten, die sie zerhacken kann. Und für die Userdaten reichen die Rechte des Users, der die malware startet. Und um mit einem remoteserver zu kommunizieren braucht es auch keine Adminrechte.


Ja und???? :wtf:

Das Ziel von ransoms ist: Userdaten verschlüsseln!
Es geht fast garnicht um irgendwelche Dateisysteme, MBRs oder andere Systembereiche. Nochmal: die ransomware will in erster Linie den User treffen, nicht das System. Und Dateien zerhacken/verschlüsseln reicht da schon.

Dass man nicht ständig mit vollen Rechten ständig drin sei sollte ist ja wohl jedem klar. Aber die wenigstens beachten das, es ist unter Windows ja eh schon alles unkomfortabel genug, dann sind sie immer als Admin drin, dann wird auf Schattenkopien und Backups auch wenig bis garnicht geachtet.


Ja, aber das klang in dem anderen Thread von dir aber anders. Stichwort pythonscript. Und vorher in diesem Thread hast du das behauptet:

Also was denn jetzt? :wtf:


Das ist jetzt ziemlicher Dünnschiss. Ich ermutige keinen ständig als Admin drin zu sein. Nur lässt sich das irgendeinem DAU aber auch schlecht verkaufen, dass er sich für die Wartung, Installation von Programmen oder Updates erstmal ab- und als Admin neu anmelden muss oder per Rechtsklick => ausführen als... alles erledigen soll. Und das ist ne Sache die auch richtig nervt unter Windows.

Wie passen eigentlich die 5000 Locky Infektionen je Stunde laut Heise mit den Threads dazu in diesem Forum zusammen?

Hatte ich das nicht vor ein paar Tagen auch schon so ähnlich gefragt? :D

Ich kann nicht alles lesen. Aber ich halte die Heise Zahlen für eine starke Übertreibung. Gelinde gesagt.