[o1] Sonnenschein11 am 05.12. 14:11
+9
-26
Gehe ich richtig der Annahme, das es sich um ausschließlich Windows Schadsoftware handelt?
Sorry, aber welches OS genau betroffen ist, ist die Kernfrage bei solchen Veröffentlichungen. Und ja, es gibt MacOS, iOS, Android, Linux, Unix (je in den verschiedenen Versionen und Kernel) und ach ja, Windows gibt es auch noch.
Sorry, aber welches OS genau betroffen ist, ist die Kernfrage bei solchen Veröffentlichungen. Und ja, es gibt MacOS, iOS, Android, Linux, Unix (je in den verschiedenen Versionen und Kernel) und ach ja, Windows gibt es auch noch.
@Sonnenschein11: nein, der infiziert nur C64-Systeme, deshalb heisst die Webseite ja auch C64Future.de
[re:1] Sonnenschein11 am 05.12. 15:16
@Sonnenschein11: Deine Frage ist berechtig.
Man kann aber wenn nicht extra was anders angegeben ist grundsätzlich davon ausgehen, dass es Windows ist.
Für die meisten Anwender ist das auch das einzige System, welches man kennt und nutzt.
und für Angriffe auf die breite Masse würde auch ein Angreifer immer Windows als Basis wählen.
Selbst im BSI Eintrag scheint es nicht extra erwähnt zu werden:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html
Man kann aber wenn nicht extra was anders angegeben ist grundsätzlich davon ausgehen, dass es Windows ist.
Für die meisten Anwender ist das auch das einzige System, welches man kennt und nutzt.
und für Angriffe auf die breite Masse würde auch ein Angreifer immer Windows als Basis wählen.
Selbst im BSI Eintrag scheint es nicht extra erwähnt zu werden:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html
[re:1] Sonnenschein11 am 05.12. 15:44
@Sonnenschein11: lt. der Info des BSI werden z.B. Credential theft und SMB Schwachstellen genutzt. Das sollte auch auf nicht Windows Systemen möglich sein. Von daher würde ich da jetzt nicht wirklich von ausgehen, dass es ausschließlich Windows Systeme betrifft (auch wenn diese Dank ihrer dominanten Verbreitung sicherlich primäre Ziele sind).
[re:1] Sonnenschein11 am 05.12. 15:55
@scar1: MS-Office läuft ja auch auf MacOS, Android, iOS. Daher finde ich den Hinweis mit Word Dokumenten sehr hilfreich...
@Sonnenschein11: lt. heise Artikel werden Makros ausgeführt (sofern man das zulässt) die dann mit Powershell arbeiten. Da stellt sich dann allerdings die Frage inwiefern die auf macos etc. funktionieren, die commandlets (evtl. bereits Nutzung von Powershell Core, sofern das jmd nutzt).
[re:1] Sonnenschein11 am 05.12. 16:57
[o2] neuernickzumflamen am 05.12. 14:15
warum läuft der Email Verkehr denn auf einem richtigen System, gibt es da keine VM oder sonstiges für?
@neuernickzumflamen: Eine VM ist genau so angreifbar wie ein physisches System. Da besteht absolut kein Unterschied. Außer das bei einer VM noch die Gefahr besteht, dass der Hypervisor infiziert wird und damit auch alle anderen VM´s auf dem Host. Eine VM ist also grundsätzlich noch unsicherer als ein physisch getrenntes System.
Letztendlich ist es aber egal, denn der E-Mail Server wird selber nicht infiziert, denn dieser fungiert nur als Gateway bzw. Mailbox. Der Client selber wird durch einer Aktion des Nutzers infiziert und dann gehts halt im Netzwerk rum.
Letztendlich ist es aber egal, denn der E-Mail Server wird selber nicht infiziert, denn dieser fungiert nur als Gateway bzw. Mailbox. Der Client selber wird durch einer Aktion des Nutzers infiziert und dann gehts halt im Netzwerk rum.
Ein gezielter Angriff auf die IT-Infratruktur eines Klinikums.. es billigend in Kauf nehmen, dass medizinische Hilfe potentiell zu spät bei Bedürftigen ankommt ("[...] die Klinik wurde aber nach Infektion und Ausfall der IT-Systeme von der integrierten Rettungsleitstelle abgemeldet [...]").
Ich wünsche den Hintermännern von Herzen, dass im Fall, dass sie dringend medizinische Hilfe brauchen auch gerade das nächstliegende Klinikum von der Rettungsleitstelle abgemeldet ist.
Ich wünsche den Hintermännern von Herzen, dass im Fall, dass sie dringend medizinische Hilfe brauchen auch gerade das nächstliegende Klinikum von der Rettungsleitstelle abgemeldet ist.
[o4] wertzuiop123 am 05.12. 15:07
wird hier einfach eine datei ausgeführt und somit admin rechte vom benutzer vergeben oder wird eine schwachstelle ausgenutzt?
[re:1] serra.avatar am 05.12. 15:23
@wertzuiop123: du musst den Anhang öffnen und dann werden Sicherheitslücken ausgenutzt.
Wie 99.9% der Malware Angriffe ... ohne den DAU der klickt läuft es nicht!
Wie 99.9% der Malware Angriffe ... ohne den DAU der klickt läuft es nicht!
@serra.avatar: Problem ist hier ja, dass die Angriffe immer besser werden und die gefälschten Mails wohl kaum bis gar nicht mehr von korrekten Nachrichten unterscheidbar sind.
@scar1: korrekt, hier bei uns sind auch schon diverse solche Nachrichten eingegangen und NUR (!) der Blick in den E-Mail-Header zeigte, dass die Nachricht nicht vom vermeintlichen Versender kam.
Immerhin haben wir es (bisher) hinbekommen die Nutzer zu "drillen" bei jeder Nachricht...
... mehrmals hinzusehen, und
... logisch nachzudenken, ob das erhaltene logisch ist (Rechnung ohne Auftrag?).
... im Zweifel bei einen der Admins nachzufragen (Header check)
... Rechnungen die als .doc eingehen zu ignorieren/zu löschen
... keine Makros auszuführen, falls doch mal geöffnet wurde, und
... den Rechner dennoch gleich vom Netzwerk zu trennen.
... wenn man sich nach allem immernoch nicht sicher ist beim >>Originalen<<-Kontakt nachzufragen
Allerdings muss ich sagen, das mir schon unter die Augen gekommen ist an echten (!) E-Mail, wahnsinn. Echte Rechnungen als Word-Dokument versendet. Echte und wichtige Dokumente in einer E-Mail mit Sinnlosem Kommentar ala "Zur Information" oder "Zu Ihrer Kenntnis" und und und.
Eigendlich müsste man hingehen und sämtlichen E-Mail-Verkehr nur Adresse für Adresse freigeschaltet zulassen, was aber für diverse Unternehmen weder praktikabel noch tragbar wäre, vom Administrativen- Und Verwaltungsaufwand ganz zu schweigen ;)
Immerhin haben wir es (bisher) hinbekommen die Nutzer zu "drillen" bei jeder Nachricht...
... mehrmals hinzusehen, und
... logisch nachzudenken, ob das erhaltene logisch ist (Rechnung ohne Auftrag?).
... im Zweifel bei einen der Admins nachzufragen (Header check)
... Rechnungen die als .doc eingehen zu ignorieren/zu löschen
... keine Makros auszuführen, falls doch mal geöffnet wurde, und
... den Rechner dennoch gleich vom Netzwerk zu trennen.
... wenn man sich nach allem immernoch nicht sicher ist beim >>Originalen<<-Kontakt nachzufragen
Allerdings muss ich sagen, das mir schon unter die Augen gekommen ist an echten (!) E-Mail, wahnsinn. Echte Rechnungen als Word-Dokument versendet. Echte und wichtige Dokumente in einer E-Mail mit Sinnlosem Kommentar ala "Zur Information" oder "Zu Ihrer Kenntnis" und und und.
Eigendlich müsste man hingehen und sämtlichen E-Mail-Verkehr nur Adresse für Adresse freigeschaltet zulassen, was aber für diverse Unternehmen weder praktikabel noch tragbar wäre, vom Administrativen- Und Verwaltungsaufwand ganz zu schweigen ;)
@tapo: deswegen auch: keine adminberechtigungen für benutzer auf ihre PCs.
keine administratorkonten die sich an normalen PCs anmelden (sondern nur von dedizierten Workstations arbeiten (die wiederum keine Emailsoftware (Outlook,..) und Officeprodukte draufhaben und keine Verbindung ins Internet bekommen..
keine administratorkonten die sich an normalen PCs anmelden (sondern nur von dedizierten Workstations arbeiten (die wiederum keine Emailsoftware (Outlook,..) und Officeprodukte draufhaben und keine Verbindung ins Internet bekommen..
@scar1: Die Trojaner arbeiten mit den Rechten des angemeldeten Users, der den Trojaner ausgeführt hat (meist, ohne es gleich zu merken, wenn überhaupt). Und auch dann, wenn das kein Admin ist, wälzt der Trojaner sich durch das ganze Netzwerk, bis er mit den verfügbaren Credentials nirgendwo mehr weiterkommt.
Userhomes, zentrale, gemeinsame Dateifreigaben, auf die mehrere User Schreibrechte besitzen, zentrale Programmverzeichnisse auf dem Server, in denen die User Schreibrechte brauchen, damit das jeweilige Fachprogramm funktioniert, flache, einzeldateibasierte Datenbanken in Programmverzeichnissen, für die Schreibrechte benötigt werden - da geht auch mit einfachen Benutzerrechten in einem Netzwerk recht viel.
Die Teile sind mittlerweile recht ausgeklügelt. Überall, wo sie durchkommen, wandern sie weiter. Und wenn dann der MFP beim Scan2Network über ein zentrales Konto mit Adminrechten erreichbar ist, über das die Scans weitergeleitet werden, weil der Admin das irgendwann auf die Schnelle - aus Eile - mal so hingezimmert und nie mehr geändert hat, Hallelujah!
Userhomes, zentrale, gemeinsame Dateifreigaben, auf die mehrere User Schreibrechte besitzen, zentrale Programmverzeichnisse auf dem Server, in denen die User Schreibrechte brauchen, damit das jeweilige Fachprogramm funktioniert, flache, einzeldateibasierte Datenbanken in Programmverzeichnissen, für die Schreibrechte benötigt werden - da geht auch mit einfachen Benutzerrechten in einem Netzwerk recht viel.
Die Teile sind mittlerweile recht ausgeklügelt. Überall, wo sie durchkommen, wandern sie weiter. Und wenn dann der MFP beim Scan2Network über ein zentrales Konto mit Adminrechten erreichbar ist, über das die Scans weitergeleitet werden, weil der Admin das irgendwann auf die Schnelle - aus Eile - mal so hingezimmert und nie mehr geändert hat, Hallelujah!
[re:3] serra.avatar am 05.12. 19:27
@tapo: eigentlich muss kein Sachbearbeiter die Mail direkt aufrufen können ...eingehende Mails in die Sandbox!
@scar1 Adminrechte braucht Malware schon lange nicht mehr!
@scar1 Adminrechte braucht Malware schon lange nicht mehr!
@departure: ja, genau ja deswegen die Anforderung privilegierte und "normale" Benutzer voneinander zu trennen, auch auf PC ebene.
Wenn sich eben kein "adminuser" an einem normalen Arbeitsplatz anmelden kann (sondern nur an seiner PAW) dann kann der Trojaner, den sich Lieschen Müller gefangen hat, die admin-credentials halt auch nicht mit mimikatz etc aus dem Speicher lesen.
Wenn dann nat. aus Bequemlichkeit Lieschen Müller halt auch auf die komplette HR Datenbank Schreibzugriff hat oder wie du schreibst ein Admin eben mal auf die Schnelle sich doch irgendwo anmeldet, wo er nicht sollte, weil das halt noch möglich ist... dann gute Nacht Marie. Oder ein anderer Klassiker dann mit dem lokalen Admin/root --> auf allen Maschinen das gleiche Kennwort :-)
Wenn sich eben kein "adminuser" an einem normalen Arbeitsplatz anmelden kann (sondern nur an seiner PAW) dann kann der Trojaner, den sich Lieschen Müller gefangen hat, die admin-credentials halt auch nicht mit mimikatz etc aus dem Speicher lesen.
Wenn dann nat. aus Bequemlichkeit Lieschen Müller halt auch auf die komplette HR Datenbank Schreibzugriff hat oder wie du schreibst ein Admin eben mal auf die Schnelle sich doch irgendwo anmeldet, wo er nicht sollte, weil das halt noch möglich ist... dann gute Nacht Marie. Oder ein anderer Klassiker dann mit dem lokalen Admin/root --> auf allen Maschinen das gleiche Kennwort :-)
@scar1: Nützt aber nichts. Oder nicht genug. Wie gesagt, überall dort, wo auch der einfache, eingeschränkte Normaluser Schreibrecht hat, hat es dadurch auch der Trojaner, auch ohne das ein Admin mit seinen privilegierten Credentials jemals an dem betroffenen Quellrechner angemeldet war.
Der Trojaner nimmt, was er (an Schreibrechten) kriegen kann. und das ist auch bei normalen Usern, die kein Admin sind, im Netzwerk meist nicht wenig, denn dort, wo die User Netzwerkprogramme nutzen, Netzwerkfreigaben nutzen, ihr Userhome nutzen, BRAUCHEN sie Schreibrechte. Und diese Rechte hat dann blöderweise auch der Trojaner.
Bei uns werden Mails mit Microsoft-Office-Dateianhängen mit einem NDR abgewiesen. Und der Absender kriegt in dem NDR mitgeteilt, daß er doch bitte stattdessen *.PDF senden möchte. Der Rest ist Usersensibilisierung und -Schulung (denn der Mist kann auch woanders mit drinstecken, nicht nur in Office-Makros) beim Umgang mit E-Mails sowie eine Schutzsoftware mit guter Ransomwareerkennung.
Und wenn das alles nichts hilft, ist es Schicksal...
Der Trojaner nimmt, was er (an Schreibrechten) kriegen kann. und das ist auch bei normalen Usern, die kein Admin sind, im Netzwerk meist nicht wenig, denn dort, wo die User Netzwerkprogramme nutzen, Netzwerkfreigaben nutzen, ihr Userhome nutzen, BRAUCHEN sie Schreibrechte. Und diese Rechte hat dann blöderweise auch der Trojaner.
Bei uns werden Mails mit Microsoft-Office-Dateianhängen mit einem NDR abgewiesen. Und der Absender kriegt in dem NDR mitgeteilt, daß er doch bitte stattdessen *.PDF senden möchte. Der Rest ist Usersensibilisierung und -Schulung (denn der Mist kann auch woanders mit drinstecken, nicht nur in Office-Makros) beim Umgang mit E-Mails sowie eine Schutzsoftware mit guter Ransomwareerkennung.
Und wenn das alles nichts hilft, ist es Schicksal...
[o5] Sonnenschein11 am 05.12. 15:23
Wen jemand mehr Infos zum Thema interessieren:
https://www.heise.de/security/meldung/Achtung-Dynamit-Phishing-Gefaehrliche-Trojaner-Welle-legt-ganze-Firmen-lahm-4241424.html
https://www.heise.de/security/meldung/Achtung-Dynamit-Phishing-Gefaehrliche-Trojaner-Welle-legt-ganze-Firmen-lahm-4241424.html
@Sonnenschein11: "Dazu nutzt es auf dem Rechner abgeerntete Zugangsdaten und auch einen Exploit, der aus den Geheimlabors der NSA stammt. Mit EternalBlue kaperten die US-Hacker mit Regierungsauftrag über Jahre hinweg ganze Firmennetze."
Das beweist mal wieder, dass von "staatlich geförderten Hacker-Gruppen" gefundene Schwachstellen sofort dem Softwarehersteller gemeldet werden sollten, ganz egal ob das irgendwelchen Geheimdiensten in den Kram passt oder nicht.
"Jetzt nutzen die Emotet-Gauner den Exploit und finden offenbar immer noch Opfer, die den von Microsoft bereitgestellten Patch nicht eingestellt haben."
Nach diesem Satz ist mein Mitleid auf Null gesunken.
Das beweist mal wieder, dass von "staatlich geförderten Hacker-Gruppen" gefundene Schwachstellen sofort dem Softwarehersteller gemeldet werden sollten, ganz egal ob das irgendwelchen Geheimdiensten in den Kram passt oder nicht.
"Jetzt nutzen die Emotet-Gauner den Exploit und finden offenbar immer noch Opfer, die den von Microsoft bereitgestellten Patch nicht eingestellt haben."
Nach diesem Satz ist mein Mitleid auf Null gesunken.
Ein wenig übertrieben wird dabei jetzt allerdings schon.
Es wird die Mithilfe des Nutzers benötigt. Die danach (!) ausgenutzten Schwachstellen sind seit einem Jahr gepatcht. So besonders ausgeklügelt ist die ganze Sache also nicht. Weder nutzt man aktuelle Lücken noch irgendeine neue Methode.
Schlimm genug, dass es immer noch aktiv wird und sich dann tatsächlich in Netzen verbreiten kann. Am Ende heißt das ja, dass den Betroffenen Firmen Sicherheitsupdates von vor einem Jahr fehlen, welche es damals sogar noch für XP gegeben hat.
Es wird die Mithilfe des Nutzers benötigt. Die danach (!) ausgenutzten Schwachstellen sind seit einem Jahr gepatcht. So besonders ausgeklügelt ist die ganze Sache also nicht. Weder nutzt man aktuelle Lücken noch irgendeine neue Methode.
Schlimm genug, dass es immer noch aktiv wird und sich dann tatsächlich in Netzen verbreiten kann. Am Ende heißt das ja, dass den Betroffenen Firmen Sicherheitsupdates von vor einem Jahr fehlen, welche es damals sogar noch für XP gegeben hat.
@der_ingo: "Am Ende heißt das ja, dass den Betroffenen Firmen Sicherheitsupdates von vor einem Jahr fehlen, welche es damals sogar noch für XP gegeben hat."
Jedes Mal das gleiche, vollkommen lernresistent die Leute. Scheinbar sind die bisherigen Schäden noch nicht hoch genug gewesen.
Jedes Mal das gleiche, vollkommen lernresistent die Leute. Scheinbar sind die bisherigen Schäden noch nicht hoch genug gewesen.
[re:2] serra.avatar am 05.12. 19:30
Auf der sicheren Seite ist man mit Windows 10 ..natürlich sollte man brav alle Updates installieren die angeboten werden :-)
@Mandharb: ja schon versteh aber nit warum Sicherheitssoftware das nicht merkt..????
Hab erst kürzlich einen Game-Trainer runtergeladen und da ist der Defender sofort angesprungen und hat Alarm gemeldet, im Verzeichniss \Local\Temp versucht ein Programm ....weiß den Wortlaut nicht mehr ...aber Schadsoftware wurde erkannt und gestopt bzw. sofort in Qarantäne verschoben........
Hab erst kürzlich einen Game-Trainer runtergeladen und da ist der Defender sofort angesprungen und hat Alarm gemeldet, im Verzeichniss \Local\Temp versucht ein Programm ....weiß den Wortlaut nicht mehr ...aber Schadsoftware wurde erkannt und gestopt bzw. sofort in Qarantäne verschoben........
@lalalala: weil eben nicht immer verdächtige Aktivitäten passieren. Wenn ich mich einfach nur via Netzwerks Hare auf einen anderen PC kopiere löst das noch keinen Alarm aus.
@Ludacris: Wird jo nicht zu viel verlangt sein dass eine Sicherheitssoftware automatisierte Scriptweiterleitung, uploads von ausfürbaren Files auf einen anderen PC erkennt.
Firmen sind auch selber schuld, Büro-(InDoor) Netzwerke mit sensiblen Daten haben im öffentlichen Netzwerk nichts zu suchen. In der Firma wo ich beschäftigt war, war die interna nicht mit dem Internet verbunden.
Email-Postfach abrufen das haben 2 Damen mit 2 PC's erledigt die nicht mit dem Firmen-Netzwerk verbunden waren. In den 20 Jahren gab es keine einzige Schadsoftware-Infektion im internen Netzwerk. Der Admin mußte sich nur mit den 2 eMail PC's rum ärgern, wenn diese versaut waren...
Firmen sind auch selber schuld, Büro-(InDoor) Netzwerke mit sensiblen Daten haben im öffentlichen Netzwerk nichts zu suchen. In der Firma wo ich beschäftigt war, war die interna nicht mit dem Internet verbunden.
Email-Postfach abrufen das haben 2 Damen mit 2 PC's erledigt die nicht mit dem Firmen-Netzwerk verbunden waren. In den 20 Jahren gab es keine einzige Schadsoftware-Infektion im internen Netzwerk. Der Admin mußte sich nur mit den 2 eMail PC's rum ärgern, wenn diese versaut waren...
[o9] Nibelungen am 05.12. 23:49