EFAIL: (K)eine Schwachstelle in den Verschlüsselungsmethoden PGP und S/MIME

EFAIL: (K)eine Schwachstelle in den Verschlüsselungsmethoden PGP und S/MIME

+++++ UPDATE vom 16.5.2018 +++++

 

Um  auch unsere Unternehmenskunden, die ihre E-Mails noch über eine in-House-Lösung ver- und entschlüsseln und noch nicht den Hornetsecurity Encryption Service gebucht haben, proaktiv vor EFAIL zu schützen, haben wir zudem eine gesonderte Filterstufe für Angriffe nach dem EFAIL-Muster entwickelt. Voraussetzung hierfür ist lediglich, dass ihre E-Mail-Kommunikation über die Hornetsecurity-Server läuft, was bei unseren E-Mail-Security Produkten generell der Fall ist.

 

Die Filterstufe ist bei allen unseren Kunden, die mindestens den Hornetsecurity Spamfilter Service gebucht  haben, standardmäßig für alle ein- und ausgehenden E-Mails bereits aktiviert worden und schützt nicht nur vor EFAIL, sondern auch von künftigen Angriffen, die ähnliche Muster aufweisen.

 

+++++

 

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Eine bekannte Schwachstelle wird auf die Protokolle PGP und S/MIME übertragen und bringt die Manipulation von E-Mails auf eine neue Ebene. Kein Problem für Hornetsecurity.

 

Am Montag, den 14.05.2018, veröffentlichte ein Team aus Sicherheitsforschern der Fachhochschule Münster, der Ruhr Universität Bochum und der Universität Leuven (Belgien) ein Paper, das die Sicherheit der Verschlüsselungsstandards PGP und S/MIME infrage stellt und damit weltweites Aufsehen erregt.

Die aufgedeckten Sicherheitslücken (CVE-2017-17688 und CVE-2017-17689) betreffen jedoch nicht die Protokolle selbst, sondern nutzen eine bereits länger bekannte Schwachstelle, um verschlüsselte E-Mails durch den Mail-Client zu entschlüsseln und dem Angreifer zuzustellen.

Voraussetzung für die Ausführung der Angriffe ist, dass die E-Mails bereits in verschlüsselter Form beim Angreifer vorliegen. Dafür müssen die E-Mails auf dem Transportweg abgefangen werden.

Der Angreifer muss zuvor eine Man-In-The-Middle-Attacke (MitM) ausgeführt oder einen Mailserver kompromittiert haben, um Zugang zu den E-Mails zu bekommen, die über ihn oder den Server laufen. Nur wenn diese Voraussetzungen erfüllt sind, kann der Angreifer einen der im Paper beschrieben EFAIL-Angriffe ausführen.

Die Autoren des Papers zeigen zwei ähnliche Angriffsmethoden auf, um E-Mails mit vorhandener PGP- oder S/MIME-Verschlüsselung zu entschlüsseln.

Der erste Angriff ist recht simpel auszuführen, dafür aber auf bestimmte Mail-Clients (Apple-Mail, iOS-Mail, Mozilla Thunderbird) und ggf. dort installierte Plugins von Drittanbietern beschränkt:

Dazu erstellt der Angreifer eine E-Mail mit drei Body-Parts. Der erste Part formatiert die E-Mail als HTML und fügt zudem ein Image-Tag mit einer Ziel-Website ein. Die Anführungszeichen und der Image-Tag werden nicht geschlossen. Darauf folgt im zweiten Body-Part der mit PGP oder S/MIME verschlüsselte Text. Der dritte Part besteht wieder aus einer HTML-Formatierung und schließt den Image-Tag aus Part eins.

(Bild Quelle: EFAIL-Angriffe, Stand: 14.05.18)

Stellt der Angreifer diese E-Mail dem Absender der verschlüsselten Nachricht zu, ist es möglich, dass die Nachricht entschlüsselt und an die hinterlegte Website übertragen wird. Dazu muss der Mail-Client so konfiguriert sein, dass er automatisch externe Bilder herunterlädt, ohne den Nutzer danach zu fragen.

Die zweite Möglichkeit, um PGP oder S/MIME verschlüsselte E-Mails auszulesen, besteht aus einer schon länger bekannten Methode zum Extrahieren von Plaintext in Blöcken verschlüsselter Nachrichten.

Das für S/MIME CBC-Angriff und für PGP CFB-Angriff genannte Angriffsszenario ermittelt in einer verschlüsselten Nachricht einen bekannten Textanteil und überschreibt anschließende Blöcke mit eigenen Inhalten. Bei dem EFAIL-Angriff wird, wie im ersten Teil beschrieben, wieder ein Image-Tag mit einer Zielwebsite in den verschlüsselten Text eingefügt. Wird die Nachricht danach an den eigentlichen Empfänger der verschlüsselten Nachricht zugestellt, ist es möglich, dass die Nachricht entschlüsselt und an den Angreifer übertragen wird.

Die von Hornetsecurity verschlüsselten E-Mails sind per Design vor Angriffen dieser Art geschützt, da Hornetsecurity die für den Angriff vorausgesetzten unterschiedlichen Content-Types (Multipart/Mixed) gar nicht erst zulässt.

Die Verschlüsselungsmethoden selbst – S/MIME und PGP – wurden nicht gebrochen; vielmehr wurden Schwachstellen in E-Mail-Clients für HTML-Mails gefunden, die diese Verschlüsselungstechniken umgehen. Zudem widersprechen wir der Empfehlung diverser Sicherheitsforscher nach genereller Deaktivierung von Inhaltsverschlüsselung: PGP und S/MIME sind auch nach dieser Veröffentlichung weiterhin nicht per se unsicherer als keine oder eine reine transportverschlüsselte Übertragung. Da der Angriff eine MitM-Attacke, also ein Aufbrechen der eventuellen Transportverschlüsselung voraussetzt, wäre ein generelles Aushebeln von Inhaltsverschlüsselung fatal: Eventuelle Angreifer könnten den E-Mail-Verkehr dann sogar direkt mitlesen!

„Die gestern verbreitete Darstellung, PGP und S/MIME seien nicht mehr sicher, ist barer Unsinn“, ergänzt Daniel Hofmann, Geschäftsführer bei Hornetsecurity. „Sie führt zur Verunsicherung der Anwender und läuft dadurch allen Bemühungen zuwider, die IT-Sicherheit durch konsequenten Einsatz von Verschlüsselung zu verbessern. Die Empfehlung diverser Sicherheitsforscher nach genereller Deaktivierung von Inhaltsverschlüsselung kann ich nicht nachvollziehen.“

 

Der gegen EFAIL immunen Hornetsecurity Encryption Service benötigt keinerlei Client-Plugins: Die Ver- und Entschlüsselung erfolgt vollautomatisiert durch Hornetsecurity in der Cloud – es sind keine Installation, Wartung oder Nutzerinteraktion erforderlich – einfach sicher!

Weiterführende Informationen:

Das Who is Who der Cyberkriminellen

Das Who is Who der Cyberkriminellen

Im ersten Teil unserer kleinen Blogserie über die Basics von Malware haben wir uns mit der Terminologie von Viren, Würmern usw. beschäftigt. Dabei haben wir festgestellt, dass sich die Arten von Cyberattacken im Laufe der Jahre verändert haben. Herrschten vor einigen Jahren noch verhältnismäßig einfache Spamnachrichten und Viren vor, die flächendeckend nach dem Minimax-Prinzip verbreitet wurden (minimaler Aufwand bei maximaler Reichweite), sind die Angriffe heutzutage wesentlich ausgereifter und individueller.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Der Grund liegt darin, dass sich die Abwehrmechanismen angepasst haben und die Erkennung von massenhaft auftretenden Spam- und Virenwellen deutlich verbessert wurde. Doch bevor wir uns in dieser mehrteiligen Reihe darum kümmern wollen, wie sich Malware analysieren und abwehren lässt, wollen wir beleuchten, wer hinter all diesen Angriffen steckt.

Die Klischeevorstellung eines Hackers sieht in etwa so aus: In einem dunklen Kellerraum sitzt ein bleicher, alleinstehender Mann, der Pizza isst, Cola trinkt und einen Kapuzenpulli trägt. Dort hackt er Code in einen Rechner ein und greift so seine Ziele an. Die Realität ist selbstverständlich wie immer wesentlich vielschichtiger.

Mittlerweile agieren die Hersteller von Cyberangriffen wie kleine Unternehmen – sie bestehen aus Teams, deren Mitglieder sich auf Teilaufgaben spezialisieren und die den Vertrieb ihrer „Ware“ professionell durchführen. Schließlich ist diese Branche ein hochlukratives Betätigungsfeld geworden, denn die Umsätze mit Cyberkriminalität sollen sogar höher liegen als im weltweiten Drogenhandel.

Mehr als nur Nerds, die in Kellern sitzen

Es gibt jedoch noch eine Vielzahl an weiteren Personengruppen im Bereich der Cyberkriminalität. Um die Auflistung thematisch zu vervollständigen, sollen daher auch Akteure aus dem Bereich Cyberwar aufgeführt werden. Sie verfolgen keine monetären, sondern andere, häufig ideologische Ziele.

In der folgenden Auflistung finden sich einige Gruppen, in die sich die meisten Cyberkriminellen einteilen lassen:

Berufskriminelle

Dieser Gruppe lassen sich all diejenigen zuordnen, die ein rein wirtschaftliches Ziel an Cyberangriffen haben. Ihnen geht es darum, einen möglichst hohen Geldbetrag zu erwirtschaften – in welcher Form auch immer. Hierzu nutzen sie neben Bankingtrojanern und Spyware auch Ransomware-Angriffe oder Cryptomining-Malware.

Daneben ist auch der Verkauf von gestohlenen Daten und Informationen zu nennen: Listen von E-Mails oder anderen persönlichen Daten, Botnetzen und anderen Inhalten, für deren Herausgabe sich teils hohe Einnahmen erzielen lassen.

Sogar der Verkauf von Malware selbst fällt in diese Kategorie: Angriffe werden als Dienstleistung angeboten, so dass auch technisch weniger erfahrene oder schlechter ausgestattete Personen Attacken durchführen (lassen) können. Das kann eine neue Ransomware sein, aber auch ein einfacher DDoS-Angriff auf Unternehmen, Organisationen und Behörden.

Staatliche Akteure

Hierbei handelt es sich um Akteure, die sich nationalen Regierungen zurechnen lassen. Eines ihrer Hauptziele ist, die Situation für das eigene Land zu verbessern, sei es durch Hackerangriffe oder auch durch Sabotageaktionen, klassische Spionagetätigkeiten oder das Infiltrieren von Gegnern. Auch wenn diese Aktivitäten von einzelnen Ländern nicht offen kommuniziert werden, ist es doch ein offenes Geheimnis.

So beschuldigen sich einzelne Länder immer wieder gegenseitig dieser Angriffe – aktuell werfen das amerikanische FBI und das britische National Cyber Security Centre (NCSC) Russland vor, für eine großflächige Cyberattacke verantwortlich zu sein, in welcher Hacker in großem Umfang Netzwerkinfrastrukturen infiltriert hätten. Zur Erläuterung ziehen die beiden Behörden übrigens die Cyber Kill Chain heran.

Zur Verbrechens- und Terrorbekämpfung setzen Behörden bestimmte Programme aktiv ein, um Zielpersonen auszuspionieren und auf diese Art ermittlungsrelevante Informationen zu erhalten – der Bundestrojaner, der angeblich bereits im Einsatz sein soll, ist ein solches Beispiel dafür. Offiziell unterliegen die staatlichen Organe der Legislative und Judikative, diese Kontrolle hat in der Realität jedoch ihre Lücken.

Manche staatliche Institutionen häufen sogar eigenes Wissen über Sicherheitslücken an, ohne diese schließen zu lassen, um sie eventuell selbst einmal ausnutzen zu können. Das Problem dabei ist jedoch , dass diese sogenannten Zero-Day-Exploits in falsche Hände gelangen und anschließend eingesetzt werden können – so geschehen bei dem Ransomware-Angriff WannaCry, bei dem ein vermutlich der NSA abhanden gekommener Exploit von nordkoreanischen Hackergruppen ausgenutzt wurde.

Aktivisten, politische Gruppen

Diese Gruppe an Cyberkriminellen, auch „Hacktivisten“ genannt, führt Cyberattacken auf Basis ihrer ideologischen Grundlagen durch. Opfer können neben privaten Unternehmen auch Politiker oder staatliche Organe sein. Das Ziel ihrer Aktionen ist der Versuch, ihre politischen, sozialen oder sonstigen Vorstellungen durchzusetzen. Dabei kommen neben klassischem Hacking auch DDoS-Angriffe zum Einsatz.

Zu Hacktivisten lassen sich die Gruppen Anonymous, WikiLeaks und LulzSec zählen.

Private Firmen

Im privatwirtschaftlichen Bereich gibt es ebenfalls Aktivitäten von Cybercrime. Verallgemeinernd mit Industriespionage umschrieben, liegt das Ziel dieser Gruppe von Angreifern darin, die Konkurrenz auszuspähen, Informationen zu erlangen und diese zum eigenen Vorteil zu nutzen.

Vandalen /„Spaßvögel“

Diese Angreifer setzen sich keine strategischen Ziele für ihre Cyberattacken – vielmehr geht es ihnen darum, ihre Neugier zu stillen, neue Ideen auszuprobieren und auch, Anerkennung für ihre Erfolge zu erlangen. Es kann auch eine reine Lust an der Zerstörung sein, die diese Personengruppe antreibt.

Sicherheitsforscher

Es gibt auch Personen, die aktiv nach Schwachstellen in IT-Infrastrukturen suchen, um die Sicherheit von IT-Systemen zu erhöhen. Diese Experten sind in öffentlichen Einrichtungen wie Hochschulen und Behörden zu finden, aber auch in Privatunternehmen in sogenannten Security Labs. Die Schwierigkeit liegt jedoch manchmal darin, dass Cyberkriminelle diese veröffentlichten Erkenntnisse für ihre eigenen Zwecke missbrauchen und ausnutzen können.

Geld ist der Hauptantrieb

Interessant ist die ungefähre Verteilung der Motive, die hinter Angriffen stecken: Laut einer aktuellen Erhebung des Telekommunikationsanbieters Verizon waren im vergangenen Jahr 76 Prozent aller Sicherheitsverstöße finanzieller Natur, gefolgt von Spionageaktivitäten, „Spaß-Motiven“ und persönlichen Abneigungen. Eine weitere sehr spannende Zahl der Verizon-Studie: 28 Prozent aller Datenschutzverletzungen gingen auf das Konto von internen Mitarbeitern zurück.

Im nächsten Teil unserer Reihe beschäftigen wir uns damit, wie die Analyse von Malware funktioniert und wie sich auf Basis dieser Erkenntnisse Verteidigungsstrategien entwickeln lassen.

Vielleicht für Sie von Interesse:

Datenschutz – der Wind dreht sich

Datenschutz – der Wind dreht sich

Es war ein denkwürdiger Auftritt von Mark Zuckerberg vor dem amerikanischen Senatsausschuss: Der Chef von Facebook musste zum Datenskandal rund um sein soziales Netzwerk Rede und Antwort stehen. Dabei wurde er fünf Stunden lang unter anderem dazu befragt, wie es sein kann, dass ein externes Unternehmen auf die persönlichen Daten von 87 Millionen Facebook-Nutzern zugreifen konnte.

Die Technologieriesen aus dem Silicon Valley sind durch die von ihnen gesammelten Daten ihrer Nutzer sehr mächtig geworden. Werbetreibende kommen heutzutage um Google, Facebook und Co. kaum noch herum, wenn sie sich und ihre Produkte vermarkten möchten. Gleichzeitig lassen sich diese Daten nutzen, um Meinungen zu beeinflussen, Stimmungen zu manipulieren und öffentlich diskutierte Themen zu bestimmen. Umso wichtiger sollte es diesen Werbeplattformen sein, sinnvoll, bewusst und sensibel mit den Nutzerdaten umzugehen. Das jedoch ist ganz offensichtlich nicht der Fall.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Bislang brauchten die großen Tech-Konzerne eine übergroße Regulierung von Seiten der US-Regierung nicht zu fürchten. Im Gegenteil: Sie setzten quasi den Standard, wie die Handhabe von persönlichen Daten und der Zugriff darauf von Dritten sein sollten. Strikte Datenschutzregeln, wie sie in Europa und noch mehr in Deutschland gelten – z.B. die im Mai in Kraft tretende Datenschutzgrundverordnung (DSGVO) – wurden eher als hinderlich wahrgenommen. Mittlerweile scheint jedoch selbst die amerikanische Legislative aufzuwachen und stellt fest, dass die Dinge etwas aus dem Ruder gelaufen sind.

In einer Telefonkonferenz räumte Zuckerberg ein, dass die DSGVO und andere Regulierungen „very positive“ sind und „we intend to make all the same controls available everywhere, not just in Europe“. (Quelle) Der Plan sei, sich weltweit an die Datenschutzregeln zu halten und nicht nur einige Einstellungen anzupassen.

Damit akzeptiert Facebook de facto die europäische Datenschutzrichtline als Standard – ein fundamentaler Schwenk in der Firmenphilosophie. Sollte Facebook diese Ankündigung tatsächlich in die Praxis umsetzen, wären damit die anderen großen Technologiekonzerne in Zugzwang. Auch US-Senatoren deuteten an, Google und Co. stärker an die Kandarre zu nehmen: „In the past, many of my colleagues on both sides of the aisle have been willing to defer to tech companies’ efforts to regulate themselves. But this may be changing”. (Quelle)

Es scheint, als wäre der EU mit der Datenschutzgrundverordnung etwas gelungen, was noch vor Kurzem undenkbar schien: Ein europäisches Gesetz, das weit über die Grenzen der EU hinaus Wirkung entfaltet.

Die Zeiten des laxen Umgangs mit Nutzerdaten dürften daher bald der Vergangenheit angehören.

Verwandte Beiträge zum Thema Datenschutz:

Viren, Würmer, Trojaner – Licht ins Dunkel der Namensverwirrung

Viren, Würmer, Trojaner – Licht ins Dunkel der Namensverwirrung

Malware, Cyberangriffe und wie man sich davor schützen kann – diese Thematik beschäftigt sowohl Einzelpersonen als auch IT-Verantwortliche. Wir möchten daher in loser Abfolge eine Reihe an grundlegenden Informationen zu diesem Thema bereitstellen. Im ersten Beitrag geben wir eine Definition und Klassifikation von Malware im Allgemeinen. Diese erhebt keinesfalls den Anspruch auf Vollständigkeit, deckt jedoch einige der wichtigsten Arten an Malware ab.

Es gibt sie bereits seit Jahrmillionen – Viren. Verglichen mit diesem Zeitraum sind sie der Menschheit erst seit einem Wimpernschlag bekannt, denn wissenschaftliche Nachweise von Viren glückten nicht vor Ende des 19. Jahrhunderts. Viren sind für eine Vielzahl an Erkrankungen verantwortlich, und in der Natur wogt ein ewiger Kampf zwischen der Evolution von Viren und der Abwehr selbiger.

Nahezu identisch verhält es sich im Bereich der Informationstechnologie. Auch dort gibt es eine Vielzahl an bösartiger Schadsoftware, und die Anbieter von Abwehrsoftware müssen ständig neue Abwehrmethoden entwickeln, um ein Eindringen und damit negative Auswirkungen auf die IT-Systeme oder sensible Daten zu verhindern.

Bei der begrifflichen Benennung dieser Schadcodes findet in der Regel der Begriff „Virus“ Verwendung. Dies ist aus der historischen Betrachtungsweise heraus vollkommen nachvollziehbar, als ursprünglich nur Viren und Würmer als Bedrohung auftauchten, angesichts des Variantenreichtums heutzutage jedoch unzureichend ist.

Wir möchten daher ein wenig Licht ins Dunkel bringen und einen Überblick darüber geben, welche Terminologien eigentlich korrekt und welche Schadcodes heute am gebräuchlichsten sind.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Der Klassiker: Virus

 

Der Begriff „Virus“ wird häufig falsch eingesetzt, denn er steht oftmals sinnbildlich für den allgemeineren Term „Malware“. Dies ist jedoch nicht korrekt, denn Malware umfasst die Gesamtheit aller Schadsoftware.

Das Wort „Virus” bezeichnet nur den spezifischen Verbreitungsweg einer bestimmten Malwareart. Diese infiziert einen definierten Dateitypen und schleust dort ihren Teil des Schadcodes ein. Die so infizierte Datei trägt anschließend den Virus weiter, indem sie weitere Dateien gleichen Typs erkennt und diese wiederum auch infiziert.

Ein Sprung von Rechner zu Rechner erfolgt bei Viren jedoch nicht aktiv, sondern über externe Speichermedien, E-Mails oder innerhalb von Netzwerken.

Der Selbständige: Wurm

Der Typus des „Wurms“ steht wie der Virus für eine bestimmte Art der Verbreitung. Der Schadcode verbreitet sich dabei im Gegensatz zum Computervirus unter Ausnutzung vorhandener Sicherheitslücken aktiv und selbständig weiter. Ein aktuelles Beispiel ist ein Wurm, der sich vor allem im Bereich Internet of Things (IoT), also bei internetfähigen Geräten, über offene Android Debugging-Ports ausbreitet.

Im Gegensatz zu einer Erpressersoftware, die als eindeutiges Ziel hat, Rechnerdaten zu verschlüsseln und ein Lösegeld zu fordern, hat ein Computerwurm keine klare definierte Zielaufgabe. Er kann beispielsweise Veränderungen am System selbst vornehmen und kompromittieren, für eine sehr starke Auslastung der Internet-Infrastruktur sorgen oder auch DDoS-Attacken auslösen.

Undercover: Trojaner / Trojanische Pferde

Ein Großteil der Malware, die heutzutage im Umlauf ist, lässt sich als „Trojanisches Pferd“ bezeichnen. Der Begriff ist recht generisch und besagt aus, dass sich die Malware als gutartig tarnt. Das heißt, der User sieht nur die positive Anwendung, erkennt das negative Anwendungsresultat nicht und kann daher auch keinen Einfluss auf die Auswirkungen nehmen.

Der Name „Trojanisches Pferd“ geht auf die legendäre Überlistungsstrategie der griechischen Mythologie zurück, bei der die griechischen Angreifer die Bewohner Trojas mithilfe eines Holzpferdes überlisteten. Aus diesem Grund ist auch die im Sprachgebrauch geläufige Terminologie „Trojaner“ falsch, da beim historischen Vorbild Trojaner die Bewohner der Stadt waren und somit angegriffen wurden. Das Pferd wiederum war der Angreifer.

Vielzahl neuer Bedrohungstypen

Neben diesen am häufigsten auftauchenden Begrifflichkeiten von Schadsoftware gibt es noch eine hohe Zahl an Malware, die sich in einige der folgenden Kategorien aufteilen lässt.

  • RAT bzw. Remote Access Trojans: Diese Art von Malware ermöglicht es Angreifern, Rechner zu übernehmen und fernzusteuern. Sie können so Kommandos auf den Systeme des Opfers ausführen und das RAT auf andere Computer zu verteilen mit dem Ziel, ein Botnetz aufzubauen.
  • Backdoor: Eine Backdoor-Malware setzt auf eine ähnliche Zielvorstellung wie ein RAT, nutzt jedoch eine andere Herangehensweise. Die Angreifer nutzen bei einem Backdoor sogenannte Hintertüren aus, die teilweise bewusst in Programme oder Betriebssysteme platziert wurden. Sie können jedoch auch heimlich installiert worden sein. Die Besonderheit von Backdoors ist die Tatsache, dass sich hierüber die üblichen Abwehrmechanismen umgehen lassen und daher für Cyberkriminelle sehr attraktiv sind, zum Beispiel sind sie sehr beliebt zum Anlegen von Botnetzen.
  • Botnetze und ZombiesBotnetze sind große Ansammlungen an infizierten Rechnern, die sich der Angreifer aufbaut. Zombies werden die betroffenen Rechner genannt, also die einzelnen Teile der Botnetzes. Der Angreifer kann Kommandos an alle Rechner gleichzeitig senden, um so Aktivitäten auszulösen, etwa, um DDoS-Attacken durchzuführen oder um Bitcoins mit Hilfe der Zombierechner zu schürfen. Das Perfide dabei ist, dass die Besitzer der Rechner die „Mitgliedschaft“ in einem Botnetz frühestens dann bemerken, wenn dieser bereits die fremdgesteuerten Aktivitäten ausführt.
  • Spyware: Hierbei handelt es sich um Malware, die Informationen auf dem Rechner des Opfers sammelt. Dies können sogenannte Credential Stealers sein, die die Zugangsdaten von Benutzer-Accounts wie dem eigenen E-Mail-Postfach, Amazon oder Google entwendet. Keylogger wiederum schneiden mit, was Benutzer sprechen oder schreiben und fertigen oftmals auch Screenshots an. Bitcoinstealer suchen nach Bitoin Wallets und rauben diese aus.
  • Downloader/Dropper: Downloader oder Dropper sind kleine Programme, die nur einen Zweck erfüllen – weitere Malware aus dem Internet nachladen. Das Opfer kann dabei zunächst nicht erkennen, welche Inhalte heruntergeladen werden, da lediglich eine URL sichtbar ist. Der große Vorteil des Angreifers an dieser Methode wiederum ist, dass er ständig neue Malware zum Download bereitstellen kann und somit aktuelle und nur schwer erkennbare Schadsoftware verteilen kann.
  • Rootkit: Bei Rootkits handelt es sich um die gefährlichste Art an Malware, wobei es sich eigentlich gar nicht unbedingt um Schadsoftware handelt. Vielmehr lässt sich mit einem Rootkit Schadcode vor der Entdeckung verstecken. Bei dieser Form eines Angriffs dringt der Angreifer tief in das Computersystem vor, gelangt an Root-Privilegien und erhält dadurch allgemeine Zugriffsrechte. Die Cyberkriminellen ändern anschließend das System so um, dass der Nutzer nicht mehr erkennt, wenn Prozesse und Aktivitäten gestartet werden. Angriffe basierend auf den Rootkit-Verschleierungen sind dadurch nur sehr schwer auffindbar.

Selbstverständlich gibt es noch weitere Kategorien und Definitionen von Malware, die hier jedoch nicht aufgeführt sind. Es soll jedoch ergänzt werden, dass die derzeit kursierende Malware zum überwiegenden Teil eine Mischung aus verschiedenen Typen ist. So gibt es etwa Trojanische Pferde, die auch ein Backdoor beinhalten.

Oftmals lassen sich die unterschiedlichen Angriffstypen dynamisch nach dem Baukastenprinzip zusammenbauen. Die heutzutage gefundene Malware lässt sich daher nicht mehr eindeutig einer der oben genannten Kategorien zuordnen.

Weiterführende Informationen:

  1. Direkt zu Teil 2: Das Who is Who der Cyberkriminellen
  2. Sie möchten nähere Details zu Advanced Threat Protection erhalten? Jetzt mehr erfahren.
  3. Informationen zu Managed Security Services in Unternehmen: Direkt zur Security Automation Studie 2017.
  4. Informationen zu IT-Sicherheitsthemen finden Sie ab sofort in der Hornetsecurity Wissensdatenbank.
Mangelnde IT-Sicherheit in deutschen Unternehmen: Aktuelle Zahlen und effiziente Lösungsansätze

Mangelnde IT-Sicherheit in deutschen Unternehmen: Aktuelle Zahlen und effiziente Lösungsansätze

Trotz steigendem Bewusstsein für IT-Themen wie Datenschutz und digitaler Kriminalität besitzen viele kleinere und mittlere Unternehmen (KMU) noch keine ausreichende IT-Sicherheit. Wir zeigen, mit welchen IT-Problemen Unternehmen kämpfen und wie sie diese mit kostengünstigen Mitteln beheben können.

Wissenschaftliche, quantitative Befragung von 1.505 KMU

Das Wissenschaftliche Institut für Infrastruktur und Kommunikationsdienste (wik) hat im Auftrag des Bundesministeriums für Wirtschaft und Energie 1.505 Klein- und Mittelständische Unternehmen zur internen IT-Sicherheit befragt. Die Studie knüpft an eine Analyse aus 2011/2012 an. Die wissenschaftliche Befragung unterteilt die Unternehmen in kleinere KMU (< 50 Mitarbeiter) und größere KMU (50 – 499 Mitarbeiter). Diese werden im folgenden Text zur besseren Übersicht farblich markiert werden.

Mangelnde Investitionen in IT-Sicherheit

Die Ergebnisse der Befragung zeigen, dass das Bewusstsein für den Schutzbedarf von Daten seit 2011/2012 signifikant angestiegen ist. So schätzen heute 80 % der Befragten den benötigten Schutz von Kundendaten als hoch bis sehr hoch ein.

Trotz des steigenden Bewusstseins für digitale Sicherheit hapert es an der Umsetzung. Nur 20 % der kleineren KMU haben bereits eine IT-Sicherheitsanalyse durchgeführt. Bei den größeren KMU hat nur jedes zweite Unternehmen eine solche Analyse veranlasst.

Drastisch fällt das fehlende Gefühl für digitale Gefahren gegenüber Unternehmen aus, wenn man das geplante Budget für IT-Sicherheit als Bezugsgröße wählt. 33 % beziehungsweise 44 % deutscher KMU haben in 2017 überhaupt kein Budget für IT-Sicherheit eingeplant. Weitere 28 % / 24 % planten mit maximal 2.000 € Jahresbudget. Durchschnittlich wurden 2.600 € eingeplant. Da lediglich 9 % der befragten Unternehmen mehr als 2.000 Euro Budget einplanten, ist davon auszugehen, dass einige wenige Unternehmen mit sehr hohen Ausgaben diesen Durchschnittswert in die Höhe getrieben haben.

Mangelnde Investitionen in IT-Sicherheit bei KMU

Mangelnde Investitionen in IT-Sicherheit bei KMU. Angaben in Prozent | Quelle: wik.org

Zeitaufwand, Kostenaufwand und fehlende Qualifikationen als größte Hürde

Das Wissenschaftliche Institut für Infrastruktur und Kommunikationsdienste hat die Unternehmen nach den Gründen für ihre mangelnde IT-Sicherheit befragt. Als häufigsten Grund (75% / 85 %) nennen die Befragten fehlende Zeit, gefolgt von einem zu hohen Kostenaufwand (68 % / 85 %) und fehlenden Qualifikationen der Mitarbeiter (60 % / 71 %).

Besonders interessant ist die Erkenntnis der fehlenden digitalen Kompetenz in KMU auf Personalebene. Nur 54 % der kleineren KMU besitzen mindestens einen Mitarbeiter mit IT-Kenntnissen. Bei den größeren Unternehmen sind es 85 %. Erschreckend ist die Erkenntnis, dass 66 % aller kleineren KMU einen IT-Sicherheitsbeauftragten für irrelevant halten. Dies wird vor allem Cyberkriminelle freuen.

60 % aller KMU haben einen IT-System-Ausfall erlebt

Die aufgeführten Statistiken lassen vermuten, dass die fehlenden Investitionen in eine gute IT-Infrastruktur und IT-Sicherheit damit zu erklären sind, dass die Mehrzahl der Unternehmen bisher mit keinen größeren IT-Problemen zu kämpfen hatten. Jedoch zeigt die Befragung ganz andere Ergebnisse auf. 60 % der Befragten erlitten mindestens einen IT-System-Ausfall. Jedes zweite KMU wurde Opfer von Virenangriffen. Jedes dritte Unternehmen musste Datenverluste hinnehmen.

Schlecht geschützte E-Mail-Kommunikation in Unternehmen

96 % beziehungsweise 99 % der befragten KMU nutzen die E-Mail als Kommunikationsmedium. Dabei geben 90 % / 98 % an, einen Spamfilter zu nutzen. 98 % / 100 % verwenden einen Virenschutz. Im Kontrast dazu steht die Aussage, dass jedes zweite Unternehmen schon mindestens einmal mit Problemen durch Virenangriffe zu kämpfen hatte.

Dies lässt annehmen, dass entweder die Aussagen der Befragten nicht korrekt sind oder die genutzten Schutzmechanismen nicht für den professionellen Gebrauch in Unternehmen geeignet sind. Beide Vermutungen werden unterstützt durch die kaum bis gar nicht vorhandenen Investitionen in IT-Sicherheit.

Des Weiteren nutzen nur 35 % beziehungsweise 44 % eine E-Mail-Verschlüsselungs-Lösung. Es wird deutlich, dass das Bewusstsein für einen erhöhten Datenschutz zwar gestiegen ist, dies jedoch nicht die erforderlichen Maßnahmen herbeiführt.

Trotz des technischen Know-hows verschlüsseln selbst im E-Commerce-Gewerbe lediglich 40 % beziehungsweise 33 % der Unternehmen ihren E-Mail-Verkehr. Positiv hingegen ist die Nutzung gesetzeskonformer E-Mail-Archivierung. Zwei Drittel der KMU im E-Commerce archivieren ihre E-Mails gesetzeskonform.

Statistiken zu Spam in Unternehmen

E-Mail Sicherheit in Unternehmen. Hohes Spam-Aufkommen in Deutschland

Einfache und kostengünstige Maßnahmen zur Steigerung der IT-Sicherheit

Die Steigerung der IT-Sicherheit ist selbst in kleinen Unternehmen mit wenigen Mitteln umzusetzen. Die einfachste Möglichkeit ist die Schulung der eigenen Mitarbeiter. Die Aufklärung über potentielle Gefahren kann vor einem Großteil digitaler Gefahren schützen.

Zudem hilft die Erarbeitung eines IT-Notfallplans, angemessen auf Cyber-Angriffe zu reagieren und mögliche Schäden zu minieren. Welche Situation kann eintreten und mit welchen Mitteln und in welcher Zeit sollte darauf reagiert werden. Ein simpler Plan, der die Verbreitung von Schäden verhindert, ist das sofortige Trennen des infizierten Gerätes vom Netzwerk.

Privat häufig genutzt, in Unternehmen gerne vernachlässigt: Regelmäßige Backups verhindern folgenschwere Datenverluste. Zuverlässige und leistungsstarke Lösungen gibt es bereits für geringes Geld – entweder lokal oder noch besser als Cloud-Dienst.

Skalierbare SaaS-Lösungen als Ersatz für eigene IT-Sicherheits-Mitarbeiter

Insbesondere kleinere Unternehmen können das Budget für einen Angestellten, der ausschließlich für die IT-Sicherheit zuständig ist, nicht bereitstellen. Eine einfache und preisgünstigste Alternative bietet Software as a Service (SaaS). SaaS-Anbieter spezialisieren sich als Experten auf einen Service-Bereich und bieten dem Kunden eine große Expertise. In der IT-Security-Branche sind diese Services meist cloudbasierte Lösungen. Diese sind zuverlässig, kostengünstig, schnell eingerichtet und skalierbar. Zusätzlicher Vorteil: Es ist kein Aufwand für die Einrichtung der Hard- und Software-Infrastruktur notwendig, da dies die Cloudanbieter bereitstellen. Selbst kleine Unternehmen mit geringer IT-Expertise und kleinem Budget können so die interne digitale Sicherheit erhöhen.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Cloud E-Mail-Security für Unternehmen

Hornetsecurity hat es sich zum Ziel gesetzt, die IT-Sicherheit in Unternehmen zu erhöhen. Dabei liegt der Fokus der Services auf Mail-, Web- und File-Security. So lassen sich beispielsweise der Spamfilter mit einer Erkennungsrate von 99,9 %, die E-Mail-Archivierung oder die E-Mail-Verschlüsselung innerhalb weniger Stunden einrichten. Die Einrichtung benötigt kein Expertenwissen und steigert die IT-Sicherheit eines Unternehmens signifikant.

Zudem betragen die Kosten im Vergleich zu einem eigenen IT-Angestellten nur einen Bruchteil. Der Preis für die Nutzung des Hornetsecurity Spamfilters, der E-Mail-Archivierung und der E-Mail-Verschlüsselung in einem Betrieb mit 50 Angestellten beträgt insgesamt weniger als 10 % des Jahresgehalts eines fähigen IT-Sicherheitsexperten.

Fazit

Obwohl die Digitalisierung der Gesellschaft und der Unternehmen immer weiter vorantreibt, scheint die Sicherheit bei der Nutzung digitaler Möglichkeiten immer noch keine große Rolle zu spielen. Ein Großteil deutscher KMU kümmern sich zu wenig um die eigene IT-Sicherheit. Besonders deutlich wird dies bei den kaum vorhandenen geplanten jährlichen Ausgaben für IT-Sicherheit.

Theoretisch ist die Anstellung eines IT-Security-Mitarbeiters mehr als notwendig. In der Praxis wird die IT-Sicherheit zu sehr vernachlässigt. Cloudbasierte SaaS Lösungen wie die Mail-Security-Services von Hornetsecurity unterstützen Unternehmen dabei, mit einem geringen Budget die IT-Sicherheit drastisch zu erhöhen und Cyberkriminalität präventiv zu bekämpfen.

Verschleierte .NET Spyware Camolog klaut Zugangsdaten

Verschleierte .NET Spyware Camolog klaut Zugangsdaten

Bei noch neuartiger Malware stellt sich zunächst immer die Frage, welches Ziel diese verfolgt. Wir beobachten derzeit eine neue .NET Spyware, über die bisher noch nicht berichtet wurde. Sie zeichnet sich vor allem durch den Gebrauch hartnäckiger Anti-Analysetechniken aus, die durch die Verwendung des Packers Confuser implementiert wurden. Abgesehen davon investiert sie zur Laufzeit jedoch nicht viel Mühe in ihre Tarnung, und offenbart damit ihre Absichten. Die Spyware sammelt Login-Daten vieler verschiedener Programme und verwendet einen Keylogger, um an Informationen zu gelangen.

 

Die von uns Camolog getaufte .NET Spyware verbreitet sich über eine derzeit laufende Phishing-Kampagne. Sie bringt einen Keylogger mit und sammelt Login-Daten von Mail-Clients, Browsern, FTP- und Instant-Messenger-Clients. Die so eingesammelten Zugangsdaten werden nach solchen Informationssammelkampagnen in der Regel von den Cyberkriminellen verkauft oder für Folgeangriffe verwendet.

 

Phishing-Mails als “Dosenöffner”

 

Bei den einzelnen E-Mails der eher moderat großen Spam-Mail-Welle variieren die Betreffzeilen (siehe Screenshot) und Attachments leicht. Die Attachments, mit denen die Malware ausgeliefert wird, hatten meistens eine Größe zwischen 400KB und 1,3MB. In dem folgenden Screenshot ist eine dieser Phishing-Mails zu sehen, wobei die verwendeten Kontaktinformationen geschwärzt sind, da es sich bei diesen häufig um entwendete Informationen echter Personen handelt.

 

Beispiel einer Phishing-Mail, mit der die Malware ausgeliefert wird.

Beispiel einer Phishing-Mail, mit der die Malware ausgeliefert wird.

 

Die Phishing-Mail gaukelt dem Empfänger vor, nach einem Angebot zu fragen und motiviert ihn so dazu, den Anhang zu öffnen. In diesem jedoch befindet sich ein RAR-Archiv mit dem Namen Sample Product 9076_pdf.rar. Das Archiv versteckt die ausführbare .NET-Datei SampleProduct9076_pdf.exe, die als Dropper der Spyware dient und durch eine Variante des öffentlich verfügbaren Verschleierungstools Confuser gesichert wurde.

 

Die Verwendung von Confuser wird offensichtlich, öffnet man die Malware im .NET Decompiler dotPeek. Auch der verwendete Projektname “dimineata” ist auffällig und lässt sich zur Identifikation der Malware verwenden. Das zeigt der nachfolgende Screenshot.

 

Über den .NET Decompiler dotPeek lässt sich analysieren, wofür Confuser verwendet wird.

Über den .NET Decompiler dotPeek lässt sich analysieren, wofür Confuser verwendet wird.

 

Der Einsatz von Anti-Decompiler- und Anti-Debugger-Techniken erschwert jedoch die Analyse der Malware. So stürzt das Analysetool IDA Pro bereits beim Laden der Binärdatei ab, .NET spezifische Decompiler funktionieren nicht richtig und bei dynamischen Analysen verwendete Debugger schlagen fehl, sodass manuelle Analysen kaum Informationen liefern. Das ist wahrscheinlich auch einer der Gründe, weshalb bisher keine Berichte über diese Spyware zu finden sind.

 

Camolog widersetzt sich einer Untersuchung

 

Erst nach der Ausführung in einer gesicherten und überwachten Umgebung lässt sich ein Überblick über das Verhalten der Malware gewinnen. Dabei ist unter anderem zu beobachten, dass die Malware als Prozess mit Namen “chrome.exe” und der Beschreibung “Accu-Chek 360˚ diabetes management software” läuft. Dieser Prozess startet einen weiteren Subprozess mit gleichem Namen. Nach kurzer Zeit legt die ursprüngliche Binärdatei eine Kopie von sich als AppData\Local\Temp\iaq\iaq.exe an, startet ihren Subprozess und löscht sich im Anschluss daran selbst.

 

Zu dem Zeitpunkt, an dem der Subprozess geladen werden soll, müssen dessen Binärdaten vollständig entpackt und entschlüsselt im Speicher vorliegen. Die Übergabe erfolgt in Form eines Bytearrays an die AppDomain.Load()-Funktion. Da diese Funktion zum .NET Framework gehört, ist sie nicht von den Anti-Analysetechniken des Verschleierungstools betroffen und lässt sich im Gegensatz zu den Funktionen der Malware problemlos analysieren. Dadurch ist es mit einem Debugger wie dnSpy möglich, einen Breakpoint auf diese Funktion zu setzen und die Binärdatei der vom Dropper nachgeladenen Malware aus dem Speicher zu dumpen. Diese soll nun nachfolgend etwas genauer untersucht werden.

 

Untersuchung der Spyware

Untersuchung der Spyware

 

Die Binärdatei der gedroppten Spyware wurde nur durch eine zufällige Umbenennung der Funktionen und Variablen und nicht durch weitere Anti-Analysetechniken verschleiert. Somit lässt sich mit einem .NET Decompiler wieder lesbarer Sourcecode generieren, der das Verhalten der Malware verrät.
 

Welche Informationen sammelt die Spyware?

 

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Die Spyware sammelt etliche Informationen: Neben den in den Favoriten gespeicherten Verbindungsdaten des FTP Clients SmartFTP auch Passwörter des Clients WS_FTP, die zuletzt verwendeten Verbindungen von FileZilla, Verbindungen gespeicherter Sessions von WinSCP, aber auch die Verbindungsdaten von FTPWare.

 

Zusätzlich werden die in dem Instant Messenger Pidgin gespeicherten Accountdaten sowie die Passwörter des Video Chat Tools Paltalk ausgelesen. Camolog sammelt außerdem fleißig die Account-Daten der Mail-Clients Outlook und Thunderbird sowie die Login-Daten der Browser YandexBrowser, ChromePlus und Chromium. Mit einem Keylogger kann die Spyware zudem eingegebene Informationen und Passwörter jeglicher Art mitschneiden.

 

Die Spyware nistet sich im System ein, indem sie Registry Keys für Windows Autorun anlegt (siehe Indikatorenliste). Durch diese Registry Keys und den laufenden Prozess “chrome.exe” ist die Malware sehr gut im System zu identifizieren.

 

Alles gut mit Hornetsecurity ATP

 

Mit unseren ausgeklügelten Spamfiltermechanismen erkennen wir E-Mails dieser Kampagne seit dem ersten Auftreten und filtern diese bereits in der Cloud heraus. So hat die Spyware keine Chance, in die Nähe der Unternehmensinfrastruktur unserer Kunden zu gelangen. Durch Hornetsecurity Advanced Threat Protection genießen unsere Kunden zudem den Schutz vor jeglichen Variationen dieser Malware. Durch den Einsatz von Verhaltensanalysen liegt der Schutz von Hornetsecurity ATP weit über dem eines herkömmlichen Spamfilters. Hier ein Auszug der ATP-Verhaltensanalyse:

 

Die detaillierte Auswertung der Sandbox-Analyse

Die detaillierte Auswertung der Sandbox-Analyse

 

Liste der Indikatoren zur Erkennung der Malware:

 

Phishing-Mails:

 

Betreffzeilen, die in der Kampagne verwendet werden:

  • Quotation request
  • Quote-Bid Identifier: ITB-0011-0-2018/AM
  • Quote-Bid Identifier: ITB-0014/0015-0-2018/AM
  • Kindly Quote-Bid Identifier: ITB-0016-0-2015/AM
  • Quotation required

 

Attachment der Phishing-Mail – Win32 RAR Archive:

 

  • Dateiname: Sample Product 9076_pdf.rar
  • SHA256: 5f5e7a57d9500fcece0b7c88c8925bb13243222182e5badddaa2419bda963ca6
  • Attachments anderer E-Mails dieser Kampagne:
    • 30eaa3e9b9390f603d2a349c0a4cf064225eff3ede60a24aab8e69cf67cf83a5  Product sample 0015_pdf.rar
    • 6acf72c636aa9ff2fae225d75eea063c2ee61026151a6c405175dd06e8a5c01f  product sample 0019_pdf.rar
    • a54f7ff3ecf8acccc23fe2c52fd5e58099852f3448dcec67c6deff5fa925a4d5  Sample product 0011_pdf.rar
    • c165676976f9e91738c5b6a3442bf67832a7556e23e49f1a77c115af47b290ee  Sample Product 0014_pdf.rar
    • 97cea5ce28bbebff16251cbde247362915e8f41a89f979ae266c797aff6ef5e6  Sample Product 0016_pdf.rar
    • 5f5e7a57d9500fcece0b7c88c8925bb13243222182e5badddaa2419bda963ca6  Sample Product 9076_pdf.rar
  • Dateityp: RAR archive data, v4, os: Win32
  • Größe: 331K
  • Inhalt des Archivs, SHA256: 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6

 

Dropper aus dem Archiv:

 

  • Dateiname: SampleProduct9076_pdf.exe
  • SHA256: 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6
  • Andere Dropper der Kampagne:
    • 38782911f7deca093b0e6018fd6c51122a8211c9c446f89de18e6ada85afa0d1  Product sample 0015_pdf.exe
    • 542b6a778489710994aadfaca3b57e0a9c03d2e3b6d5617e3220f364cbde9a45  product sample 0019_pdf.exe
    • 04381c6ecdf618ce122084a56ca5416c6774cba4b34909e95f7a532523c3e877  Sample product 0011_pdf.exe
    • 42992976461c59a4a52e4bf202d4bfcd738408d729ff9cbc55786016cb4075c3  Sample Product 0014_pdf.exe
    • 2a159afdc686df016ee370aeed134f9c4fe44320a32ec2eb25d76270206b5b5a  Sample Product 0016_pdf.exe
    • 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6  Sample Product 9076_pdf.exe
  • Dateityp: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
  • Größe: 429K
  • Prozessname: chrome.exe
  • Beschreibung: Accu-Chek 360˚ diabetes management software
  • Droppt die Datei, SHA256: 67c7840eefb640e70473ebc4bb7dec89f8168d679226be0696708e3427956114
  • Signifikanter String:  dimineata.exe
  • Legt außerdem eine Kopie von sich unter C:\Benutzer\analyst\Appdata\Local\Temp\iaq.exe ab

 

Nachgeladene Spyware:

 

  • Dateiname: impartial.exe
  • SHA256: 67c7840eefb640e70473ebc4bb7dec89f8168d679226be0696708e3427956114
  • Dateityp: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
  • Größe: 58K
  • Prozessname: chrome.exe

 

Registry Keys, von denen Informationen gesammelt wurden:

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles*
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook*
  • HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Profiles\Outlook*
  • HKEY_CURRENT_USER\Software\Paltalk
  • HKEY_CURRENT_USER\SOFTWARE\Martin Prikryl\WinSCP 2\Sessions
  • HKEY_CURRENT_USER\Software\FTPWare\COREFTP\Sites

 

Dateien, von denen Informationen gesammelt wurden:

 

  • C:\Users\Administrator\AppData\Roaming\SmartFTP\Client 2.0\Favorites\Quick Connect\
  • C:\Users\Administrator\AppData\Roaming\Ipswitch\WS_FTP\Sites\ws_ftp.ini
  • C:\Users\Administrator\AppData\Roaming\FileZilla\recentservers.xml
  • C:\Users\Administrator\AppData\Roaming\Thunderbird\profiles.ini
  • C:\Users\Administrator\AppData\Roaming.purple\accounts.xml
  • C:\Users\Administrator\AppData\Local\Chromium\User Data\Default\Login Data
  • C:\Users\Administrator\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Login Data
  • C:\Users\Administrator\AppData\Local\Yandex\YandexBrowser\User Data\Default\Login Data

 

Registry Keys, die angelegt wurden, um Persistenz herzustellen:

 

  • Autoruneintrag des Droppers: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\iaq
    • reg_value   C:\Users\ADMINI~1\AppData\Local\Temp\iaq\iaq.exe
  • Autoruneintrag der Spyware: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Application
    • reg_value   C:\Users\Administrator\Desktop\chrome.exe -boot