Informations/Telekommunikations- Dienstleistungen Christian Freter

Partner von AVM und Seagate

1&1 Premiumpartner 

 

Zum kostenlosen Virenscan von

F- Secure bitte 1x klicken!

 

In diesem Blog findet ihr Informationen zu Sicherheitsbedrohungen bei ausgewählten Produkten, Hintergrundinformationen und Links zu wichtigen Webseiten für das Internet. Ich kann keine direkte Aktualität in diesem Blog gewährleisten. Deshalb schaut auch mal öfters bei Webseiten von PC Zeitschriften oder Anbietern von Virenschutz oder bei den Herstellern selber (oft Englisch und benötigt Fachkenntnisse). 

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt vor der Verwendung der Antivirusprogramme von Kaspersky!

 

Kaspersky ist ein russischer Sicherheitsexperte und könnte von der russischen Regierung als Werkzeug für Angriffe ausgenutzt werden.

 

 

 

   

 

NGINX ist ein Open Source Hochleistungs- Webserver und ist ursprünglich eine russische Entwicklung. Durch die Open Source Lizenz wird der Server allen kostenlos zur Verfügung gestellt. Er ist unter anderem eine wichtige Komponente in der Synology Netzwerktechnik, welche auch von mir verwendet wird.

Bereits am Anfang des Krieges gab es eine Untersuchung der US Sicherheitsbehörden zur kritischen IT- Infrastruktur. Natürlich kam der NGINX dabei mit in den Fokus der Gutachter (etwa 10% der IT in den größeren Ländern verwendet diesen Server). Da der NGINX bzw. sein kommerzieller Teil, durch den die Sache auch finanziert wird, von einem US Unternehmen übernommen wurde und der russische Erfinder aus dem gewerblichen Teil des Projektes ausstieg, gab es keine akute Bedrohungssituation. Und es war auch tatsächlich so, dass russische Büros wegen angeblicher Steuerhinterziehung von der russischen Polizei durchsucht wurden.  

Mit dem fortschreitenden Krieg muss man sich natürlich weitere Gedanken machen. Aktuell sind wohl russische Entwickler vorerst aus dem gewerblichen Projekt ausgeschlossen worden. Dadurch geht natürlich viel russisches IT Know- How  verloren, aber das Projekt wird wahrscheinlich überleben. Wegen all dieser Aspekte werde ich zu diesem Zeitpunkt auch nicht auf die Synology Technik verzichten.       

   

Die WithSecure Elements Endpoint Protection kann verschiedene Abläufe des Angriffes erkennen. Das schließt nicht aus, dass der Virus zu diesem Zeitpunkt bereits auf dem System ist. 

 

Der Virenschutz FSecure hat ein Update der Hydra Engine erhalten, aber es scheint noch kein Schutz dabei zu sein. Es könnte aber sein, dass über die Cloud Anbindung des Virenschutzes (muss aktiviert werden), die Erkennung möglich wäre. 

 

Die Endpoint Protection ist eine Art Fliegennetz mit riesiger Fliegenklatsche oder anders ausgedrückt: der Virenschutz für Unternehmen.   

 

 

***MSG vom 17.4.***

 

Es war heute früh bereits in den Nachrichten Feeds erschienen und ich habe dann am Vormittag noch weiterführende Infos von WithSecure erhalten (die IT Security Experten hinter FSecure). Die IT Experten, das WithSecure Threat Intelligence Team, haben eine neue Malware entdeckt. Alles deutet auf einen russischen Angriff hin. Die Malware wird wahrscheinlich bereits seit 2022 vom russischen Geheimdienst verwendet und durch diesen Zeitpunkt geht man von einem Zusammenhang zum Ukraine Krieg aus. 

 

Entwickelt wurde das Programm wahrscheinlich von der russischen Hackergruppe “Sandworm”, die der russischen Armee durchaus sehr nahe steht und bereits in der Ukraine einige Angriffe durchgeführt hat. Der Aufbau und die Funktionsweise des Programms deuten auf eine Verbindung zur russischen “ APT “ Gruppe hin (ein sehr weit entwickeltes Programm). Diese “APT” Gruppe ist wiederum der russischen Regierung sehr zugetan. Das Virus erhielt den Namen “Kapeka”  und ist kein normales Virusprogramm. Es ist ein flexibles Programm, das mehrere Funktionen in sich vereint, schwer zu entdecken ist und einen langfristigen Zugriff auf Daten gewährleisten soll. Die Hauptangriffsziele waren bisher scheinbar in Osteuropa (vielleicht haben in anderen Regionen die Sicherheitsvorkehrungen nur besser gewirkt oder man wollte noch nicht). Die Bedrohungslage ist jedenfalls sehr hoch!

 

Der Virus selbst ist eine Windows 32 Bit Exe Datei (also eine Datei, die vom User oder aus der Ferne gestartet werden muss). Zusätzlich enthält die Datei ein mit AES256 verschlüsseltes Backdoor Programm, das dann später Zugriff auf das System gewährt (gestartet mit der rundll32.exe). Dieses wird als Microsoft Word Add In getarnt, Dateiendung “.wll”. Dieses verschlüsselte Programm wird nach einem erfolgreichen Drop entschlüsselt und als versteckte Datei im System abgespeichert. Zusätzlich werden Registry Einträge geschrieben, d.h. ein Autorun Eintrag “Sens API”. Es wird auch ein scheduled Task mit dem gleichen Namen angelegt oder dem Namen “Onedrive”.  

 

Der Backdoor versucht dann, Informationen über das System zu sammeln mit API Calls und Registry Abfragen. Die Verbindung zu den Angreifern wird über Netzwerkverbindungen durchgeführt. Dafür verwendet man das WinHTTP 5.1 COM Interface (winhttpcom.dll). Die Daten werden verschlüsselt und dann übertragen.

 

Was tun? 

 

Beliebt ist auf Windows Systemen das Sandboxing. Das wird nur bedingt helfen, weil der Virus sich für eine gewisse Zeit schlafen legt. Proxy Einstellungen werden vom Virus erkannt. Seine gestohlenen Daten verschlüsselt der Virus mit RSA2048 Und AES256 und übermittelt diese. Den Datenpaketen werden zufällige Mengen Müll angehangen. Die Zeit ruft der Virus lokal ab. Die Malware und die Backdoor können sich selber löschen. 

 

Ist ein Active Directory sicher? Eher nicht, weil Schadprogramme nachgeladen werden können, die dann z.Bsp. ganz einfach mit der PowerShell zum Angriff blasen könnten (Stichwort Remote Tools und Microsoft Standardkonten). Ein paar Batch Skripte und Shell Befehle verwendet der Virus bereits.

 

Zugriffsrechte sind eine tolle Idee! Aber das Problem ist, die Angreifer sind schon auf dem System mit einem fortschrittlichen Virus, d.h. die Zugriffsrechte sind dann lediglich ein Problem, aber kein Hindernis.

 

EMail Anhänge nur öffnen, wenn ihr wirklich wisst, was das ist und von wem es kommt (Stichwort: geklautes Absender EMail Konto). Dateien nur herunterladen und ausführen, wenn ihr der Webseite oder dem Download vertrauen könnt. Applocker, Powershell Sicherheitsanpassungen und Logging sollte man noch erwähnen. Und natürlich sollten die Systeme die Updates installiert haben. Ansonsten sind Webbrowser immer für ein bissel Nervenkitzel gut, d.h. darauf achten, was für Webseiten man lädt (Warnhinweise nicht einfach wegklicken). Und ja, es kann auch den normalen PC User zu Hause erwischen.

 

WithSecure hat Skripte bereitgestellt, die eventuell eine Infektion erkennen können:

 

https://github.com/WithSecureLabs/iocs/tree/master/Kapeka

 

Dort findet ihr auch weiterführende Links.

 

Ansonsten habe ich noch mitbekommen, dass WithSecure mit Microsoft zusammen an einer Lösung arbeitet. Wird dann wahrscheinlich am Ende in einen effektiven Virenschutz resultieren. 

 

Weil es sich bei dem Virus um eine Waffe handelt, geht man davon aus, dass dieser immer wieder zum Einsatz kommen wird (vielleicht modifiziert).