Sacid
Echo-Orakel
- Registriert
- 30. Oktober 2014
- Beiträge
- 188
- Punkte Reaktionen
- 4
Hi,
die meisten werden es ja sicherlich schon mitbekommen haben, dass zur Zeit einiges an Schadsoftware im Umlauf ist, welche die Daten auf Windows Rechnern (mittlerweile auch auf Linux Systemen) verschlüsselt und man sie nur gegen Zahlung einer Gebühr in der Internet Währung BitCoin wieder entschlüsseln kann.
Als Sysadmin schrillen da bei mir sofort alle Alarmglocken, so kommt es auch, dass ich in letzter Zeit viel Recherchiert habe, wie diese Schadsoftware auf den Rechner kommen kann, welche Auswirkungen es haben kann und wie man es verhindern kann.
Eins mal vorweg: einen 100%tigen Schutz habe ich bisher nicht gefunden! Die Entwickler dieser Software sind extrem aktiv und modifizieren sowohl die eigentliche Schadsoftware (Payload) als auch die Methoden wie diese auf den Rechner gelangen.
Ich gehe hier erstmal auf Windows ein, später noch auf Linux.
Wie kann man sich infizieren?
Momentan werden vermehrt falsche Rechnungen verschickt. Hierbei kann es sich um gespoofte Mails (wie beim Phishing - info@bekannteronlineshop.de.hack.me) handeln, oder aber auch um "echte" Mails. Als "echte" Mail bezeichne ich hier jetzt Mails, die tatsächlich von dem Absender kommen, von dem sie zu sein scheinen (info@bekannteronlineshop.de).
Das hat damit zu tun, dass die infizierten Systeme sich in ein Botnet einklinken und dann tatsächlich vom infizierten Rechner die Mail versandt wird. So kann man nicht mal anhand der Mail Header erkennen, dass die Mail nicht "echt" ist.
In dieser Mail steht dann in perfektem Deutsch ein Text, der zum öffnen der angehangenen Datei auffordert. Nach bisherigem Kenntnisstand meiner Recherche können das Office Dokumente (Word) und Zip Dateien sein.
Im Fall von Office Dokumenten wird ein Script ausgeführt, welches in dem Dokument einprogrammiert ist (Makro). Dieses erstellt im Temp Ordner des aktuellen Users (%TEMP%) eine .bat Datei. Diese .bat Datei ist ein weiteres Script, welches den Payload von einem Server im Internet lädt und diesen dann ausführt. Bei Winfuture gibt es ein Video welches zeigt wie schnell dies gehen geschieht und bei dem auch erklärt wird was da noch so alles passiert. Das Resultat sind verschlüsselte Dateien.
Im Fall von Zip Dateien: Öffnet man diese, sieht man eine Java Script Datei. Diese könnte als Office Dokument oder auch als PDF "getarnt" sein. Z.B. (frei erfundener Name) Rechnung_01_2016.pdf.js öffnet man diese Datei passiert im Grunde genommen genau das Selbe. Das Java Script lädt den Payload und führt ihn aus.
Welche Daten werden verschlüsselt?
Grundsätzlich erst mal alle Dateien, auf die man Schreibrechte hat! Das beinhaltet das eigene Benutzerprofil, sämtliche Dateien auf Laufwerk C:, auf die man als derzeit angemeldeter User Schreibzugriff hat, alle anderen Lokalen Speichermedien (weitere Festplatte, USB Medien, ...) und auch Netzwerk Freigaben. Hierbei ist es egal ob die Netzwerk Freigabe als Laufwerk Verbunden ist oder nicht (Ich bin mir nicht sicher ob hier nur sichtbare Freigaben, oder auch versteckte Freigaben wie \\rechnername\c$ auch inkludiert sind) .
Auch Cloud Speicher sind betroffen!
Grade die Netzwerk Geschichte lässt mich als Admin ziemlich Schwitzen. Es gibt in jeder Firma Netzlaufwerke auf denen mehrere Personen Schreibzugriff haben.
Wie werde ich das wieder los? / Wie bekomme ich meine Daten zurück?
Traurigerweise muss ich sagen, dass es keine garantierte Möglichkeit gibt. Wenn man das "Lösegeld" bezahlt (ca. 150 Euro in BitCoins), erhält man zwar eine Anleitung und den Schlüssel um die Daten wieder zu entschlüsseln, jedoch gibt es keine Garantie dass das Script nicht erneut ausgeführt wird oder man eine erneute Mail mit einem solchen Anhang bekommt. Mehr dazu unter "Wie kann ich mich schützen?"
Wie kann ich mich schützen?
Vorneweg: Locky wurde mit Stand 24.02. von nur drei Virenscannern erkannt. Einer davon ist Kaspersky. Die üblichen Virenscanner wie Avira, Norton und Co. haben den Payload nicht erkannt.
Aber auch wenn jeder Virenscanner morgen die Virensignatur von Locky erkennt, haben die Entwickler den Payload recht schnell angepasst und auf den gehackten Servern ausgetauscht. Somit sind Virenscanner leider kein wirklicher Schutz. Selbstverständlich sollte jeder Windows User dennoch einen Virenscanner installiert haben und diesen regelmäßig updaten! Dies gilt übrigens für sämtlicher Software auf dem PC!
Backups, Backups und nochmals Backups! Wer kein Backup hat, verdient auch kein Mitleid! Klingt hart, ist aber so. Denn nicht nur Viren/Trojaner und andere Schadsoftware können einen Datenverlust verursachen, sondern auch defekte Festplatten, Dateisystemfehler, User, etc. Macht euch Gedanken über Backups. Hier gibt es jede Menge Freeware und auch Bezahlprogramme.
https://de.wikipedia.org/wiki/Datensicherung
Empfehlenswert ist hierbei das Großvater-Vater-Sohn Prinzip. Hierbei erstellt man täglich ein Backup (Sohn), ob nun als Vollbackup oder Inkrementelles oder Differentielles hängt von der vorhanden Hardware und der Notwendigkeit eben diese anzuschaffen ab). Eines dieser Tagesbackups (z.B. Sonntag) wird als Vater Backup genommen. Das letzte Vater Backup im Monat sichert man als Großvater Backup. Tagesbackups werden dann für eine bestimmte Anzahl an Tagen aufbewahrt. Hier reichen i.d.R. 7 Tage, sodass man zumindest bis zum letzten Wochenbackup zurück kommt. Wochenbackups dann für einige Wochen aufbewahren (z.B. 4 Wochen) und die Monatsbackups dann für ein Jahr aufbewahren. Wen nach nem Jahr noch nicht gemerkt wurde, dass was fehlt, wars nicht wichtig
Egal für welche Backuplösung ihr euch entscheidet, wichtig ist, dass das Backupmedium nicht dauerhaft mit dem System verbunden ist. Denn sonst werden auch die Backups verschlüsselt und man hat gelitten. Wenn es dauerhaft mit dem System verbunden ist (z.B. Netzwerk Speicher) dann setzt wenigstens die Berechtigungen entsprechend so, dass es einen dedizierten Backup User gibt und das Backup Programm als dieser User die Daten auf das Backup Medium schreibt, alle anderen User sollten maximal Lesezugriff auf das Backup Medium haben!
Außerdem sollte man in den Optionen von Office in die erweiterten Optionen gehen, dort das Trustcenter öffnen und Makros und ActiveX deaktivieren oder zumindest auf Nachfrage stellen (Default, aber dennoch zur Sicherheit nochmal prüfen!) Die meisten Anwender werden in ihrem ganzen Leben keine Makros in Office Dokumenten ausführen müssen. Für die, die es doch müssen (dazu zähle ich leider auch), hilft nur eines: Schaltet euren Verstand ein! Warum sollte mir jemand eine valide Rechnung im Word Format schicken und dort auch noch Makros benutzen? Office Dokumente verschicken sollte eh verboten werden (in Firmen aber immer nicht realisierbar). Bei Onlineshops steht die Rechnung in der Regel direkt in der Mail oder ist als PDF angehangen!
Achtet auch genaustens auf die Dateiendungen. Nur die Zeichen nach dem letzten Punkt sind relevant. Rechnung_02_2016.pdf.doc ist ein Word Dokument, kein PDF!
Man kann sich auch Schützen, indem man auf MS Office verzichtet und z.B. LibreOffice benutzt. Aber es ist sicherlich nur eine Frage der Zeit, bis die Leute hinter Locky auch LibreOffice dafür missbrauchen werden.
Installiert euch Schutzsoftware fürs Browsen. Auch hier gibt es Lösungen für Privatanwender im kostenlosen als auch im kostenpflichtigen Bereich. Wichtig ist, dass die Schutzsoftware einen Proxy mit bei hat, der sämtlichen http/https/ftp Traffic filtert, egal von welchem Programm der Request kommt! Kein Programm sollte ungefiltert auf die genannten Protokolle zugreifen. Unter Windows 7 konnte man die Windows Firewall so einstellen, dass man manuell bestätigen muss wenn irgend ein Programm auf das Internet zugreifen will. Bei Win8/10 weiß ich es leider nicht. Die Einstellungen kann ich euch auch nicht auf meinem Arbeitsrechner raussuchen, da dort die Windows Firewall vom AD Server kontrolliert wird und ich nicht der AD Admin bin. Aber Google hilft euch hierbei garantiert.
In Firmen sollte unbedingt ein Proxy Server verwendet werden, bei welchem man mittels ACLs Regeln erstellen kann.
Fortlaufende Recherche über die Methoden der Schadsoftware vorausgesetzt, kann man entsprechende Filterregeln einbauen.
Z.B. alle .exe Dateien unterbinden per RegExp geht das so: \.exe(?.*)?$
Da es aber auch genug gewollte .exe Downloads gibt, sollte man eine Whitelist anlegen. Das Buchungstool der Bahn z.B. ist eine .exe Datei, Windows Update lädt .exe Dateien herunter, Java, Adobe, Treiber, etc etc. Das kann durchaus ein riesen Aufwand werden die Whitelist initial zu erstellen und zu Pflegen!
Es bietet zwar auch keinen 100%tigen Schutz, aber besser als gar kein Schutz!
Linux
Wie schon erwähnt, gibt es mittlerweile auch eine Ransomware die Linux Systeme angreift. Auf Heise Security gibts dazu einen Artikel welcher beschreibt wie dies funktioniert. Es werden vor allem Webserver angegriffen. Die o.g. Hinweise zu Backups und Proxies gelten hier genauso. Haltet eure Webserver immer up to date was Security Fixes angeht (apache/lighttpd/nginx, glibc, openssl, ssh, php, etc etc.) desto aktueller die Software, desto höher die Wahrscheinlichkeit das Bugs und Sicherheitslücken beseitigt wurden. Es muss nicht immer die neuste Upstream Version sein, die Distributoren stellen in der Regel auch Backports der notwendigen Patches bereit, die ihr über die Paketverwaltung eurer Distribution einspielen könnt. Webserver sollten zudem noch hinter nem Router (Firewall) stehen um es Angreifern schon mal schwerer zu machen auf den eigentlichen Server zuzugreifen. Zusätzlich kann man noch einen Reverse Proxy zwischen schalten. Das alles bringt aber nichts, wenn die Applikationen auf euren Servern (Wordpress, Joomla, vBulletin, etc. etc.) nicht up to date sind! Denn auch durch solche Software können Angreifer Sicherheitslücken über http Requests ausnutzen um z.B. Dateien zu uploaden (z.B. den Payload für Locky, oder eine spezielle php Datei die dann vom Angreifer aufgerufen wird und eure Webinhalte verschlüsselt, oder oder oder).
Auch hier kann ein vernünftiges Usermanagement abhilfe Schaffen: Datenbanken als separater User ausführen, Rechte vom Webserver auf nen dedizierten User downgraden (Einstellung in der Webserver Config). Speicherort der eigentlichen Webinhalte (html, php Dateien, etc.) wieder einem dedizierten User zuweisen und den User des Webservers nur Read Rechte geben (bzw. der Gruppe). Je nachdem was die eingesetzte Software unterstützt (z.B. Bilder Upload in Datenbank vs. ins Webverzeichnis) ist dies entweder realisierbar oder eben nicht.
Ich hoffe dieser, doch etwas länger gewordene Text, ist dem ein oder anderen eine Hilfe. Würde mich ebenfalls über Feedback freuen, auch von anderen Admins. Oftmals haben ja andere noch weitere Ideen oder können bestehende Ideen ergänzen. Ziel ist ja einen optimalen Schutz vor dieser Ransomware zu erreichen.
die meisten werden es ja sicherlich schon mitbekommen haben, dass zur Zeit einiges an Schadsoftware im Umlauf ist, welche die Daten auf Windows Rechnern (mittlerweile auch auf Linux Systemen) verschlüsselt und man sie nur gegen Zahlung einer Gebühr in der Internet Währung BitCoin wieder entschlüsseln kann.
Als Sysadmin schrillen da bei mir sofort alle Alarmglocken, so kommt es auch, dass ich in letzter Zeit viel Recherchiert habe, wie diese Schadsoftware auf den Rechner kommen kann, welche Auswirkungen es haben kann und wie man es verhindern kann.
Eins mal vorweg: einen 100%tigen Schutz habe ich bisher nicht gefunden! Die Entwickler dieser Software sind extrem aktiv und modifizieren sowohl die eigentliche Schadsoftware (Payload) als auch die Methoden wie diese auf den Rechner gelangen.
Ich gehe hier erstmal auf Windows ein, später noch auf Linux.
Wie kann man sich infizieren?
Momentan werden vermehrt falsche Rechnungen verschickt. Hierbei kann es sich um gespoofte Mails (wie beim Phishing - info@bekannteronlineshop.de.hack.me) handeln, oder aber auch um "echte" Mails. Als "echte" Mail bezeichne ich hier jetzt Mails, die tatsächlich von dem Absender kommen, von dem sie zu sein scheinen (info@bekannteronlineshop.de).
Das hat damit zu tun, dass die infizierten Systeme sich in ein Botnet einklinken und dann tatsächlich vom infizierten Rechner die Mail versandt wird. So kann man nicht mal anhand der Mail Header erkennen, dass die Mail nicht "echt" ist.
In dieser Mail steht dann in perfektem Deutsch ein Text, der zum öffnen der angehangenen Datei auffordert. Nach bisherigem Kenntnisstand meiner Recherche können das Office Dokumente (Word) und Zip Dateien sein.
Im Fall von Office Dokumenten wird ein Script ausgeführt, welches in dem Dokument einprogrammiert ist (Makro). Dieses erstellt im Temp Ordner des aktuellen Users (%TEMP%) eine .bat Datei. Diese .bat Datei ist ein weiteres Script, welches den Payload von einem Server im Internet lädt und diesen dann ausführt. Bei Winfuture gibt es ein Video welches zeigt wie schnell dies gehen geschieht und bei dem auch erklärt wird was da noch so alles passiert. Das Resultat sind verschlüsselte Dateien.
Im Fall von Zip Dateien: Öffnet man diese, sieht man eine Java Script Datei. Diese könnte als Office Dokument oder auch als PDF "getarnt" sein. Z.B. (frei erfundener Name) Rechnung_01_2016.pdf.js öffnet man diese Datei passiert im Grunde genommen genau das Selbe. Das Java Script lädt den Payload und führt ihn aus.
Welche Daten werden verschlüsselt?
Grundsätzlich erst mal alle Dateien, auf die man Schreibrechte hat! Das beinhaltet das eigene Benutzerprofil, sämtliche Dateien auf Laufwerk C:, auf die man als derzeit angemeldeter User Schreibzugriff hat, alle anderen Lokalen Speichermedien (weitere Festplatte, USB Medien, ...) und auch Netzwerk Freigaben. Hierbei ist es egal ob die Netzwerk Freigabe als Laufwerk Verbunden ist oder nicht (Ich bin mir nicht sicher ob hier nur sichtbare Freigaben, oder auch versteckte Freigaben wie \\rechnername\c$ auch inkludiert sind) .
Auch Cloud Speicher sind betroffen!
Grade die Netzwerk Geschichte lässt mich als Admin ziemlich Schwitzen. Es gibt in jeder Firma Netzlaufwerke auf denen mehrere Personen Schreibzugriff haben.
Wie werde ich das wieder los? / Wie bekomme ich meine Daten zurück?
Traurigerweise muss ich sagen, dass es keine garantierte Möglichkeit gibt. Wenn man das "Lösegeld" bezahlt (ca. 150 Euro in BitCoins), erhält man zwar eine Anleitung und den Schlüssel um die Daten wieder zu entschlüsseln, jedoch gibt es keine Garantie dass das Script nicht erneut ausgeführt wird oder man eine erneute Mail mit einem solchen Anhang bekommt. Mehr dazu unter "Wie kann ich mich schützen?"
Wie kann ich mich schützen?
Vorneweg: Locky wurde mit Stand 24.02. von nur drei Virenscannern erkannt. Einer davon ist Kaspersky. Die üblichen Virenscanner wie Avira, Norton und Co. haben den Payload nicht erkannt.
Aber auch wenn jeder Virenscanner morgen die Virensignatur von Locky erkennt, haben die Entwickler den Payload recht schnell angepasst und auf den gehackten Servern ausgetauscht. Somit sind Virenscanner leider kein wirklicher Schutz. Selbstverständlich sollte jeder Windows User dennoch einen Virenscanner installiert haben und diesen regelmäßig updaten! Dies gilt übrigens für sämtlicher Software auf dem PC!
Backups, Backups und nochmals Backups! Wer kein Backup hat, verdient auch kein Mitleid! Klingt hart, ist aber so. Denn nicht nur Viren/Trojaner und andere Schadsoftware können einen Datenverlust verursachen, sondern auch defekte Festplatten, Dateisystemfehler, User, etc. Macht euch Gedanken über Backups. Hier gibt es jede Menge Freeware und auch Bezahlprogramme.
https://de.wikipedia.org/wiki/Datensicherung
Empfehlenswert ist hierbei das Großvater-Vater-Sohn Prinzip. Hierbei erstellt man täglich ein Backup (Sohn), ob nun als Vollbackup oder Inkrementelles oder Differentielles hängt von der vorhanden Hardware und der Notwendigkeit eben diese anzuschaffen ab). Eines dieser Tagesbackups (z.B. Sonntag) wird als Vater Backup genommen. Das letzte Vater Backup im Monat sichert man als Großvater Backup. Tagesbackups werden dann für eine bestimmte Anzahl an Tagen aufbewahrt. Hier reichen i.d.R. 7 Tage, sodass man zumindest bis zum letzten Wochenbackup zurück kommt. Wochenbackups dann für einige Wochen aufbewahren (z.B. 4 Wochen) und die Monatsbackups dann für ein Jahr aufbewahren. Wen nach nem Jahr noch nicht gemerkt wurde, dass was fehlt, wars nicht wichtig
Egal für welche Backuplösung ihr euch entscheidet, wichtig ist, dass das Backupmedium nicht dauerhaft mit dem System verbunden ist. Denn sonst werden auch die Backups verschlüsselt und man hat gelitten. Wenn es dauerhaft mit dem System verbunden ist (z.B. Netzwerk Speicher) dann setzt wenigstens die Berechtigungen entsprechend so, dass es einen dedizierten Backup User gibt und das Backup Programm als dieser User die Daten auf das Backup Medium schreibt, alle anderen User sollten maximal Lesezugriff auf das Backup Medium haben!
Außerdem sollte man in den Optionen von Office in die erweiterten Optionen gehen, dort das Trustcenter öffnen und Makros und ActiveX deaktivieren oder zumindest auf Nachfrage stellen (Default, aber dennoch zur Sicherheit nochmal prüfen!) Die meisten Anwender werden in ihrem ganzen Leben keine Makros in Office Dokumenten ausführen müssen. Für die, die es doch müssen (dazu zähle ich leider auch), hilft nur eines: Schaltet euren Verstand ein! Warum sollte mir jemand eine valide Rechnung im Word Format schicken und dort auch noch Makros benutzen? Office Dokumente verschicken sollte eh verboten werden (in Firmen aber immer nicht realisierbar). Bei Onlineshops steht die Rechnung in der Regel direkt in der Mail oder ist als PDF angehangen!
Achtet auch genaustens auf die Dateiendungen. Nur die Zeichen nach dem letzten Punkt sind relevant. Rechnung_02_2016.pdf.doc ist ein Word Dokument, kein PDF!
Man kann sich auch Schützen, indem man auf MS Office verzichtet und z.B. LibreOffice benutzt. Aber es ist sicherlich nur eine Frage der Zeit, bis die Leute hinter Locky auch LibreOffice dafür missbrauchen werden.
Installiert euch Schutzsoftware fürs Browsen. Auch hier gibt es Lösungen für Privatanwender im kostenlosen als auch im kostenpflichtigen Bereich. Wichtig ist, dass die Schutzsoftware einen Proxy mit bei hat, der sämtlichen http/https/ftp Traffic filtert, egal von welchem Programm der Request kommt! Kein Programm sollte ungefiltert auf die genannten Protokolle zugreifen. Unter Windows 7 konnte man die Windows Firewall so einstellen, dass man manuell bestätigen muss wenn irgend ein Programm auf das Internet zugreifen will. Bei Win8/10 weiß ich es leider nicht. Die Einstellungen kann ich euch auch nicht auf meinem Arbeitsrechner raussuchen, da dort die Windows Firewall vom AD Server kontrolliert wird und ich nicht der AD Admin bin. Aber Google hilft euch hierbei garantiert.
In Firmen sollte unbedingt ein Proxy Server verwendet werden, bei welchem man mittels ACLs Regeln erstellen kann.
Fortlaufende Recherche über die Methoden der Schadsoftware vorausgesetzt, kann man entsprechende Filterregeln einbauen.
Z.B. alle .exe Dateien unterbinden per RegExp geht das so: \.exe(?.*)?$
Da es aber auch genug gewollte .exe Downloads gibt, sollte man eine Whitelist anlegen. Das Buchungstool der Bahn z.B. ist eine .exe Datei, Windows Update lädt .exe Dateien herunter, Java, Adobe, Treiber, etc etc. Das kann durchaus ein riesen Aufwand werden die Whitelist initial zu erstellen und zu Pflegen!
Es bietet zwar auch keinen 100%tigen Schutz, aber besser als gar kein Schutz!
Linux
Wie schon erwähnt, gibt es mittlerweile auch eine Ransomware die Linux Systeme angreift. Auf Heise Security gibts dazu einen Artikel welcher beschreibt wie dies funktioniert. Es werden vor allem Webserver angegriffen. Die o.g. Hinweise zu Backups und Proxies gelten hier genauso. Haltet eure Webserver immer up to date was Security Fixes angeht (apache/lighttpd/nginx, glibc, openssl, ssh, php, etc etc.) desto aktueller die Software, desto höher die Wahrscheinlichkeit das Bugs und Sicherheitslücken beseitigt wurden. Es muss nicht immer die neuste Upstream Version sein, die Distributoren stellen in der Regel auch Backports der notwendigen Patches bereit, die ihr über die Paketverwaltung eurer Distribution einspielen könnt. Webserver sollten zudem noch hinter nem Router (Firewall) stehen um es Angreifern schon mal schwerer zu machen auf den eigentlichen Server zuzugreifen. Zusätzlich kann man noch einen Reverse Proxy zwischen schalten. Das alles bringt aber nichts, wenn die Applikationen auf euren Servern (Wordpress, Joomla, vBulletin, etc. etc.) nicht up to date sind! Denn auch durch solche Software können Angreifer Sicherheitslücken über http Requests ausnutzen um z.B. Dateien zu uploaden (z.B. den Payload für Locky, oder eine spezielle php Datei die dann vom Angreifer aufgerufen wird und eure Webinhalte verschlüsselt, oder oder oder).
Auch hier kann ein vernünftiges Usermanagement abhilfe Schaffen: Datenbanken als separater User ausführen, Rechte vom Webserver auf nen dedizierten User downgraden (Einstellung in der Webserver Config). Speicherort der eigentlichen Webinhalte (html, php Dateien, etc.) wieder einem dedizierten User zuweisen und den User des Webservers nur Read Rechte geben (bzw. der Gruppe). Je nachdem was die eingesetzte Software unterstützt (z.B. Bilder Upload in Datenbank vs. ins Webverzeichnis) ist dies entweder realisierbar oder eben nicht.
Ich hoffe dieser, doch etwas länger gewordene Text, ist dem ein oder anderen eine Hilfe. Würde mich ebenfalls über Feedback freuen, auch von anderen Admins. Oftmals haben ja andere noch weitere Ideen oder können bestehende Ideen ergänzen. Ziel ist ja einen optimalen Schutz vor dieser Ransomware zu erreichen.
