Sicherheitswoche 08: Viren kehren zurück

Bei der Erörterung von Computerbedrohungen wird "Malware" häufig als Malware bezeichnet, dies ist jedoch nicht ganz korrekt. Der klassische Virus ist ein Phänomen der Zeit vor dem Internet, als Informationen zwischen Computern hauptsächlich auf Disketten übertragen wurden und für die Verbreitung von Schadcode an ausführbare Dateien „angehängt“ werden mussten. Letzte Woche haben Experten von Kaspersky Lab eine Studie zum KBOT-Virus veröffentlicht. Es verbreitet sich durch Infektion infizierbarer Dateien und ist das erste lebende Virus, das in den letzten Jahren in freier Wildbahn gesehen wurde.

Trotz der bewährten Infektionsmethode ist die Funktionalität dieser Malware auf dem neuesten Stand: Sie stiehlt Zahlungsdaten und Kennwörter und lädt sie dann auf einen Befehlsserver herunter, um mithilfe des Standard-RDP-Protokolls Remotezugriff auf einen infizierten Computer zu ermöglichen. Bei Bedarf kann KBOT zusätzliche Module vom Server herunterladen, dh es bietet die vollständige Kontrolle über das System. All dies ist ein Standard-Gentleman-Set für jeden modernen Cyberangriff, aber hier geht es auch um die zerstörerische Infektion von Exe-Dateien.

Nach dem Start der infizierten Datei wird KBOT im System behoben und registriert sich im Start- und Taskplaner. Die Studie beschreibt detailliert den Prozess der Infektion ausführbarer Dateien: Der Virus ändert sie so, dass die ursprüngliche Funktionalität des Programms nicht erhalten bleibt. Aus diesem Grund werden Dateien nur auf logischen Plug-in-Laufwerken geändert: externen Medien, Netzwerklaufwerken usw., jedoch nicht auf der Systempartition. Andernfalls ist das Betriebssystem anstelle von Datendiebstahl vollständig funktionsunfähig. KBOT ist unter anderem ein polymorpher Virus, dh es ändert seinen Code jedes Mal, wenn eine Datei infiziert wird.

Das Virus kommt am häufigsten in Russland und Deutschland vor, aber die Gesamtzahl der Angriffe ist relativ gering. KBOT und seine Module werden von Kaspersky Lab-Lösungen wie Virus.Win32.Kpot.a, Virus.Win64.Kpot.a, Virus.Win32.Kpot.b, Virus.Win64.Kpot.b und Trojan-PSW.Win32.Coins erkannt .nav. Der traditionelle Verteilungsansatz in dieser Malware ist interessant, aber nicht unbedingt effektiv. Erstens ist das Speichern ausführbarer Dateien auf externen Medien jetzt eher die Ausnahme als die Regel. Zweitens: Wenn die Beschädigung von Daten auf einer Festplatte vor 30 Jahren für Viren normal war, besteht die Aufgabe eines Cyberkriminellen nun darin, Zugriff auf personenbezogene Daten zu erhalten, ohne dass dies so lange wie möglich bemerkt wird. Das Brechen von ausführbaren Dateien trägt nicht zur Tarnung bei.

Was ist sonst noch passiert?

Eine kritische Sicherheitslücke wurde im GDPR Cookie Consent-Plugin für Wordpress entdeckt, einem einfachen Add-On zum Anzeigen einer Nachricht wie "Wir verwenden Cookies auf unserer Website". Der Fehler ermöglicht es jedem in Wordpress registrierten Benutzer, Administratorrechte zu erhalten. Das Problem ist besonders gefährlich auf Websites mit offener Registrierung, z. B. um Kommentare zu Veröffentlichungen abzugeben. Ungefähr 700.000 Standorte sind exponiert.

F-Secure-Studie zu Amazon Alexa Smart Speaker Hacking veröffentlicht . Die Spezialisten, die mit der regulären Debug-Schnittstelle der Spalte verbunden waren, starteten von externen Medien (einer SD-Karte, die zum Debuggen mit den Pins derselben Schnittstelle verbunden war) und erhielten Zugriff auf das Dateisystem auf dem Gerät. In diesem Szenario können Sie Malware in einer Spalte installieren.

Mit der Browserversion Firefox 73 wurden mehrere schwerwiegende Sicherheitslücken geschlossen , darunter mindestens eine mit der Fähigkeit, beim Besuch einer „vorbereiteten“ Website beliebigen Code auszuführen.

Palo Alto Networks hat Beispiele für unsichere Docker- Konfigurationen untersucht . Durch Shodan wurden Beispiele für unsichere Docker-Registrierungsserver entdeckt. Dementsprechend waren die Docker-Images selbst und die darin gespeicherten Anwendungen verfügbar. Fünfhundert Malware wurden entfernt

aus dem Laden von Erweiterungen für den Google Chrome - Browser : Sie alle gesammelten Benutzerdaten und umgeleiteten Opfer Stellen für die nachfolgende Infektion des Computers. Malwarebytes erzählte

über ein interessantes Beispiel eines Schadprogramms für Android, das nach einem Geräte-Reset wiederhergestellt wird.