Aktuelle Phishingwelle: Valyria Downloader lädt Spyware nach

Aktuelle Phishingwelle: Valyria Downloader lädt Spyware nach

Seit dem Ende des letzten Jahres beobachten wir eine Welle an Phishing-Mails, die den Downloader Valyria enthalten. Valyria ist ein Office-Dokument, in dem ein VBA Makro enthalten ist, das verschiedene Arten von Spyware nachlädt.

 

Zunächst wird das Opfer durch Phishing-Attacken dazu animiert, die Makrofunktion von Microsoft Office zu aktivieren. Dabei nutzten die Angreifer die in den folgenden Screenshots abgebildeten Methoden.

 

 

Wird das Makro ausgeführt, lädt es eine Visual Basic, Delphi, oder C# Spyware nach, die im Anschluss damit beginnt, Informationen auf dem System zu sammeln und an ihren Command-and-Control-Server zu verschicken.

 

Während der Valyria-Downloader sehr genau zu identifizieren ist, gestaltet sich die klare Identifikation der nachgeladenen Malware als wesentlich schwieriger. Dies liegt wahrscheinlich an einer hohen Konfigurierbarkeit der Tools, die die Cyberkriminellen verwendet haben. Signaturen schlugen auf verschiedene Varianten der Spyware Agent Tesla, LokiBot und Kryptik, sowie des Androm Backdoors an. Die Verhaltensanalyse der nachgeladenen Schadprogramme zeigt, dass sie alle eines gemeinsam haben: Sie sammeln fleißig Informationen wie Passwörter, Informationen aus Browsern, Credentials und Verbindungsdaten von FTP- und E-Mail-Clients, Instant-Messenger-Nachrichten, allgemeine Tastatureingaben sowie Screenshots auf dem System des Opfers.

 

Die Verhaltensanalyse der ATP-Sandbox erkennt Valyria und das Verhalten der nachgeladenen Spyware von Beginn der Kampagne zuverlässig. Aufgrund der Menge der aufgetretenen E-Mails dieser Art haben wir weitere Filterregeln entwickelt, die unsere Kunden vor den verschiedenen Varianten der Malware schützen.

 

Hier ein Auszug aus dem ATP-Report von einer der Spyware-Samples:

 

Hornetsecurity ATP-Report zu Valyria

Die Cloud kennt keine Grenzen

Die Cloud kennt keine Grenzen

Hornetsecurity macht sich auf, den größten IT-Markt der Welt zu erobern. Mit der Gründung einer Tochtergesellschaft ist der Grundstein gelegt: Die Hornetsecurity Inc. wird von nun an die in Hannover entwickelten Services in den USA vertreiben.

 

Der Umsatz des Unternehmens steigt auch im zehnten Jahr des Bestehens kontinuierlich, doch das ist nicht genug. „Für unsere Ambitionen, möglichst schnell zu wachsen, sind die USA genau richtig. Zudem ist der amerikanische Markt noch weit davon entfernt, an Cloud-Lösungen gesättigt zu sein“, sagt Oliver Dehning, Geschäftsführer von Hornetsecurity. Die USA sind für 28 Prozent des IT-Sektors verantwortlich und damit der weltweit größte Markt. Mit der Erschließung möchte Hornetsecurity in neue Wachstumsdimensionen vordringen und den eigenen Umsatz erheblich steigern.

 

Als Dreh- und Angelpunkt hat sich das Unternehmen einen besonderen Standort ausgesucht. Pittsburgh, ein früheres Zentrum der amerikanischen Stahlindustrie, hat sich nach einer Wirtschaftskrise zu einer IT-Hochburg entwickelt, in die unter anderem Google, Facebook und etliche weitere IT-Größen investieren.

German Accelerator unterstützt Hornetsecurity bei der Erschließung

 

Mit dem German Accelerator erhält Hornetsecurity eine wertvolle Unterstützung zur Erschließung des neuen Marktes. Dieses vom Bundeswirtschaftsministerium getragene Konzept hilft vielversprechenden deutschen Unternehmen dabei, in den amerikanischen Markt einzusteigen. Dabei profitiert Hornetsecurity neben temporären Büroräumen in New York vor allem von einem umfangreichen Mentoring-Programm sowie von Workshops zu strategischen Fragen und Hilfe bei bürokratischen Hürden.

 

Ausbau der Ressourcen für den neuen Markt

 

Trotz der Expansionspläne wird die Entwicklungs-Abteilung des Unternehmens auch weiterhin am Hauptsitz in Hannover bleiben, und auch die Rechenzentrumsstandorte in Deutschland bleiben unangetastet. Vielmehr wird die Infrastruktur von Hornetsecurity insofern erweitert, dass Kunden vor Ort durch zusätzliche Rechenzentrumskapazitäten einen möglichst schnellen Service erfahren werden. Zudem sind mehrere Support-Mitarbeiter für den neuen Standort eingeplant, die die allgemeine Erreichbarkeit für alle Kunden und Partner deutlich erhöhen werden. Der erste Mitarbeiter hat bereits eine Arbeit aufgenommen.

 

„Die Cloud macht nicht an Grenzen halt, deshalb haben wir uns in unserer Internationalisierungsstrategie den größten IT-Markt der Welt ausgesucht. Durch unsere hochwertigen Cloud Security Services bieten sich hier für uns unzählige Möglichkeiten“, resümiert Dehning.

 

11 Hornissen drücken die ITIL®-Schulbank

11 Hornissen drücken die ITIL®-Schulbank

Best Practices des IT Service Managements für den Alltag erarbeiten – das war das Ziel der dreitägigen Inhouse-Schulung in den hannoverschen Büroräumen von Hornetsecurity. Hierfür durften elf Hornissen aus den Bereichen Support, Produktmanagement und Systems Engineering diese Woche an einer ITIL® Foundation Schulung teilnehmen.

 

Die IT Infrastructure Library, kurz ITIL®, ist eine Ansammlung vordefinierter Prozesse und Rollen, die typischerweise in jeder Infrastruktur von kleinen und mittelständischen Unternehmen vorkommen. Sie gilt mittlerweile als Standard für IT Service Management.

 

Viele Prozesse bei Hornetsecurity sind bereits auf ITIL® ausgerichtet, mithilfe der Schulung soll sich das erworbene Wissen schlussendlich breiter im Unternehmen verankern. Ein zentraler Bestandteil der Schulung lag auf der Erarbeitung von Wissen in Gruppenarbeit, bei der unsere Hornissen Fragestellungen zu bearbeiten hatten.

Alle Lernenden waren mit Fleiß und Spaß dabei: Selbst in der Mittagspause bei strahlendem Sonnenschein durften die Lernmaterialien nicht fehlen. „In den 3 Tagen haben wir sehr konzentriert die theoretischen Grundlagen des IT Service Managements erarbeitet. Hierbei war es sehr hilfreich, dass unser Trainer Chris Vos durch seine internationale Erfahrung auch auf Unschärfe in der deutschen Übersetzung hinweisen konnte. Auch die Gruppenarbeiten haben das Teamgefühl, gerade für die abteilungsübergreifende Zusammenarbeit, in vielen Prozessen nochmal gestärkt.“, so Yvonne Bernard, die Leiterin des Produktmanagements.

 

Zum Abschluss der dreitägigen Schulung mussten sich unsere Hornissen noch einer Schlussprüfung unterziehen, die jedoch alle mit Bravour abgelegt haben und sich nun über ihr ITIL® V3 Foundation Examen freuen dürfen!

 

Eine Dekade Hornissen-Steilflug

Eine Dekade Hornissen-Steilflug

Hornetsecurity feiert! Vor nunmehr zehn Jahren unter dem Namen antispameurope gegründet, gilt das Unternehmen seit Jahren als absoluter Experte und Vorreiter im Bereich Cloud Security. Seit 2007 haben die Hornissen einen wahren Steilflug hingelegt: Die Firma ist mittlerweile auf über 100 Mitarbeiter angewachsen und sichert den Datenverkehr von weit mehr als 35.000 Unternehmen in über 30 Ländern weltweit, darunter zahlreiche bekannte Namen wie Dekra, Melitta oder Konica Minolta.

 

Es ist eine hannoversche Erfolgsgeschichte: Als Daniel Hofmann und Oliver Dehning das Unternehmen im Sommer 2007 gründeten, gaben sie den Startschuss für eine Firma, die heute einen festen Platz in der deutschen IT-Security-Landschaft eingenommen hat. Mit einer ganzen Palette von Produkten in den Bereichen E-Mail und Web Security sorgt Hornetsecurity für umfassenden Schutz seiner Kunden. Durch die hohe Qualität der Lösungen verbunden mit einem ausgeprägten Servicegedanken aller Mitarbeiter kann das Unternehmen seit Jahren mit zweistelligen Wachstumszahlen aufwarten.

 

Dieser Erfolg soll in den kommenden Jahren noch gesteigert werden. Hornetsecurity investiert dafür verstärkt in neue Produkte und Märkte. Zunächst jedoch wird gefeiert: Über zwei Tage hinweg hat Hornetsecurity Vertriebspartner, Investoren und Freunde des Hauses eingeladen. Zunächst können die Besucher am Tag der offenen Tür die Büroräumlichkeiten besichtigen, bevor am Abend gemeinsam mit allen Mitarbeitern das Firmenjubiläum gefeiert wird. Am Folgetag dann findet der Hornetsecurity Partnerdialog statt, der auch dieses Mal wieder eine Rekordzahl an Teilnehmern vorweisen kann. Die jährliche Veranstaltung dient seit dem Start des Unternehmens dem intensiven Austausch mit den Vertriebspartnern.

 

„Wir sind sehr stolz auf das, was wir in den vergangenen zehn Jahren aufgebaut haben“, freut sich Daniel Hofmann, einer der Gründer und Geschäftsführer von Hornetsecurity. „Dennoch ist das Erreichte kein Grund, sich auszuruhen. Im Gegenteil: Wir wollen Hornetsecurity auch international zu einem der wichtigsten Security-Anbieter auf dem IT-Markt entwickeln.“

 

Verschlüsselte Verbindungen – ja oder nein?

Verschlüsselte Verbindungen – ja oder nein?

Sicherheit wird mittlerweile von allen Seiten gefordert. Sei es die Sicherheit im eigenen Land, zuhause oder in der täglichen Kommunikation über das Internet. Fühlen wir uns sicher, können wir getrost weiterleben. Geht es um die tägliche Kommunikation über das Internet, erklingt immer wieder das Stichwort „Verschlüsselung“. Bietet Verschlüsselung tatsächlich Schutz vor neugierigen Langfingern oder vermittelt sie uns lediglich ein Gefühl von Sicherheit und stellt für Cyberkriminelle vielleicht sogar eine verborgene Hintertür dar?

Verschlüsselung einfach erklärt

Die Verschlüsselung von Internetverbindungen scheint längst in der Masse angekommen zu sein: Laut Google sind bereits 80 Prozent aller Webseiten geschützt. Auch viele Messaging-Dienste bauen inzwischen auf verschlüsselte Kommunikation. Doch wie werden Datenströme überhaupt verschlüsselt?

 

Einfach erklärt: Vielfach taucht bei diesem Thema der Begriff SSL/TLS-Verschlüsselung auf. Was damit gemeint ist, ist Laien nicht unbedingt klar. Hierbei handelt es sich um eine Transportverschlüsselung. Das bedeutet, dass die Daten selbst nicht verschlüsselt werden, aber durch einen verschlüsselten Kanal wandern. Die miteinander kommunizierenden Server einigen sich vor der Nachrichtenübermittlung auf einen Verschlüsselungsstandard, die sogenannte Cipher Suite. Berücksichtigung findet dabei immer der beiderseitig höchste Verschlüsselungsstandard für die Aushandlung. Ziel ist es, dass nur diese beiden Server untereinander Daten austauschen können.

 
Ob eine Webseite eine solche Transportverschlüsselung anbietet, ist seit der Einführung des sicheren Hypertext-Übertragungsprotokolls leicht zu erkennen: Befindet sich an der Spitze der URL ein „https:“, handelt es sich um eine verschlüsselte Webseite. Weitere Indikatoren sind ein Schloss und die grüne Markierung. Meldet sich zum Beispiel ein Nutzer wie auf dem dargestellten Bild auf einer Webseite an, werden die eingegebenen Daten über einen verschlüsselten Kanal zu dem Zielserver weitergeleitet, welcher die Richtigkeit bzw. die Identität des Nutzers bestätigt.

 

Quelle: Amazon.de

Quelle: Amazon.de

 

SSL und TLS – was ist was?

TLS ist der Nachfolger von SSLv3. Die leicht verbesserte Version TLS 1.1 setzte sich jedoch kaum am Markt durch. Die deutlich relevantere Version 1.2, die Hornetsecurity bereits seit Jahren unterstützt, bietet unter anderem mit Perfect Forward Secrecy (PFS) und den entsprechenden Cipher Suites (Ellyptic Curve, Diffie Hellmann) bei entsprechender sicherer Serverkonfiguration einen entscheidenden Security-Mehrwert. Bei Hornetsecurity ist sogar eine Einschränkung der TLS-Kommunikation auf Secure Cipher Suites sowie Trusted Certs möglich, um das Sicherheitsniveau noch einmal zu steigern.

 

TLS in der Version 1.3 ist derzeit als Working Draft unter https://tools.ietf.org/html/draft-ietf-tls-tls13-11 einsehbar. Voraussichtlich wird diese Version starke Änderungen und Optimierungen in den kryptographischen Hashfunktionen sowie dem Handshaking-Protokoll beinhalten. Es ist aus Security-Sicht wünschenswert, dass die Verbreitung von TLS 1.3 nach finaler Verabschiedung schneller vonstattengehen wird als bei dem seit 2008 vorliegenden TLS 1.2.

 

Die Hintertür für Schädlinge?

Über TLS/SSL verschlüsselte Datenströme sind also nicht über Dritte einsehbar, was ja erst einmal Sinn und Zweck ist. Die Kehrseite der Medaille ist jedoch, dass sich auf diese Weise Schadcode unbemerkt übertragen lässt, da eine Analyse auf Malware per se nicht vorgesehen ist.

 

Um dem entgegen zu wirken, besteht die Möglichkeit des sogenannten SSL-Scannings. Hierbei wird die Verbindung unterbrochen und ein gefälschtes Server-Zertifikat, mit dem sich der Ziel-Server gegenüber dem Server des Nutzers authentifiziert, eingeschleust. Vergleichbar ist dieses Vorgehen mit einer Man-in-the-Middle-Attacke. Das Problem dieser Methode ist daher, dass Dritte den unverschlüsselten Inhalt auslesen können. Damit der Browser dies nicht als Attacke wahrnimmt, ist es nötig, das Stammzertifikat des zur Laufzeit generierten Zertifikats für die angeforderte Seite im Trust Store des Browsers einmalig einzubinden. Dies wird gerade in großen Unternehmen per Softwareverteilung automatisiert durchgeführt. Beim SSL Scanning oder „https aufbrechen“ besteht möglicherweise ein Konflikt zwischen Datensicherheit und Datenschutz. Beabsichtigen Firmen die Nutzung des SSL-Scannings, sollten sie sich daher im Voraus rechtlich absichern.

 
Vielfach nutzen Unternehmen diese Methode der Analyse verschlüsselter Verbindungen nicht. Einerseits aus Gründen des Datenschutzes, andererseits ist der dafür bisher betriebene Rechenaufwand zu hoch und sehr kostenintensiv. Jedoch konnte der angeführte Overhead (Rechenaufwand), der durch Ver- und Entschlüsselung der Daten sowie Aushandlung der Verbindungsparameter für TLS anfällt, in den letzten Jahren durch gezielte Hard- und Softwaremaßnahmen drastisch reduziert werden.

 

Lag dieser ursprünglich einmal bei bis zu 20 Prozent, so liegt er heutzutage bei entsprechender Konfiguration etwa auf einem niedrigen einstelligen Prozentbereich beispielsweise in der CPU-Mehrbelastung.

 

Hardwareseitig sind leistungsstärkere und durch entsprechende Rechenoperationseinheiten (z. B. für AES) ergänzte CPUs gerade im Serverbereich inzwischen Standard, so dass viele Entschlüsselungsoperationen parallel und performant abgearbeitet werden können.

 

Viele weltweit verbreitete Software-Bibliotheken haben inzwischen eine enorme Beschleunigung bei der Entschlüsselung und Reduktion von Netzwerklatenz implementiert, die bei entsprechender Serverkonfiguration den Overhead merklich reduzieren können.

 

Die im Webfilter von Hornetsecurity verwendete Webseiten-Kategorisierung stellt eine sichere Alternative für die Analyse durch SSL-Scanning dar. Dabei wird bewusst auf das Aufbrechen des verschlüsselten Kanals verzichtet, da aufgrund der feingranularen Klassifikation der Webseiten das Risiko durch entsprechende Policies minimiert werden kann. Alle Webseiten werden in Kategorien eingeteilt. Als Basis gelten die Inhalte, die sich auf der Webseite befinden und für den Nutzer zugänglich sind. Durch die Zuweisung einer Webseite in eine Kategorie erhält sie eine Art Bewertung. Diese Bewertung gibt darüber Aufschluss, ob es sich um eine unbedenkliche Seite handelt oder nicht. Auf Basis dieser Bewertung und den vorkonfigurierten Policies blockiert der Webfilter-Dienst die angefragte Seite entweder und der Benutzer erhält eine Warnseite oder sie wird ausgeliefert und angezeigt.

 

Mit Hilfe der Kategorien und weiteren Features lassen sich Compliance-Richtlinien des Unternehmens umsetzen, sowohl auf Nutzer- als auch auf Gruppen- oder Unternehmensebene.  So können Administratoren bestimmte Inhalte sperren oder die Nutzung sozialer Netzwerke nur in der Mittagspause erlauben. Optional bietet Hornetsecurity seinen Kunden als Ergänzung seines umfassenden Webfilterservice zusätzlich SSL-Scanning.  Dies kann der IT-Administrator selbst aktivieren.

 

Fazit

Verschlüsselung ist prinzipiell positiv und empfehlenswert. Doch der Sicherheitsaspekt sollte dabei nicht außer Acht gelassen werden, denn verschlüsselte Verbindungen garantieren nicht automatisch auch einen Schutz vor Malware. Verschlüsselung stellt erst dann eine Gefahr für Unternehmen dar, wenn dieser Aspekt kaum bis gar keine Beachtung findet.

 
Daher ist es ratsam, immer wieder einen Blick hinter die verschlüsselte Verbindung zu werfen und ein wasserdichtes Sicherheitskonzept zu entwickeln.
Möglichkeiten für die Absicherung von Webtraffic auch unter Verwendung verschlüsselter Verbindungen bietet die Kategorisierung des Webfilters, ergänzend kann auf Wunsch die Methode des „https aufbrechen“ genutzt werden. Beides bietet Hornetsecurity an. SSL-Scanning setzen die meisten Kunden eher selten ein, da die bereits beschriebene feingranulare Kategorisierung einen deutlichen Mehrwert bringt.

 

Neugierig geworden? Weiterführende Informationen: