SecureAPlus 4.6.0 verfügbar

Your ads will be inserted here by

Easy Plugin for AdSense.

Please go to the plugin admin page to
Paste your ad code OR
Suppress this ad slot.

Am 18. April wurde SecureAPlus 4.6.0 released. Das Changelog mit den Änderungen finden Sie nachfolgend:

 

Was ist neu:

  • Treiber wurden zusätzlich von Microsoft signiert 
  • Export-/Import-Funktion für USB-Speicher
  • Beschreibung für USB-Speicher-Richtlinien wurde hinzugefügt
  • Der Einstellungsdialog für entfernbare Medien (USB) wude überarbeitet

 

Beseitigte Fehler:

  • SecureAPlus konnte die Benachrichtigung für nicht vertraute Eingaben in der Befehlszeile nicht anzeigen, wenn die Kommandozeile zu lang war
  • Fehler in der Farbdarstellung beseitigt (Messagebox wurde in schwarz dargestellt, es hätte aber stattdessen die Einstellung aus dem aktuellen Theme verwendet werden sollen)
  • Übersetzung wurde angepasst
  • Wenn die Trusted-Gruppe leer war, dann wurde dieser Status nicht an den SecureAge Management Server übermittelt
  • Nachdem die Whitelist erfolgreich komprimiert wurde, hat sich die Beschriftung der Buttons in der Messagebox geändert (von “Cancel” auf “Ok”)
  • Die Hintergrundfarbe für Benachrichtigungen und das manuelle Scannen folgte nicht den Farbeinstellungen im aktuellen Theme

Your ads will be inserted here by

Easy Plugin for AdSense.

Please go to the plugin admin page to
Paste your ad code OR
Suppress this ad slot.

 

Modifikationen

  • Darstellungen in hochauflösenden Bildschirmeinstellungen wurden optimiert
  • Bei der Bearbeitung von Scripten im interaktiven Modus wird nun der Elternprozess angezeigt, der den Script-Interpreter gestartet hat
  • Crash beseitigt, der auftrat, wenn über das Kontextmenü im Explorer ein digitales Zertifikat überprüft wurde
  • Dialoge überarbeitet, es werden nun die Einstellungen für die Hintergrundfarbe aus dem aktuellen Theme verwendet
  • Der weiße Rahmen in den Standard-Buttons wurde entfernt
  • Deutsche Übersetzung wurde aktualisiert

 

Obgleich keine tiefgreifenden neuen Features eingeführt wurden, ist das Update dennoch empfehlenswert, da einige Fehler beseitigt und die Übersetzung ins deutsche optimiert wurden. Sie erhalten den Lizenzkey für die Premium-Version von SecureAPlus 4.6.0 im MSITC Shop. Sehen Sie darüber hinaus, wie effizient Application Whitelisting auf Basis von SecureAPlus im Einsatz gegen Ransomware funktioniert:

 

MSITC nightly video review MSITC Acebeam X45 4xXHP70 16500(!) Lumen max. – msitc-shop.com

Your ads will be inserted here by

Easy Plugin for AdSense.

Please go to the plugin admin page to
Paste your ad code OR
Suppress this ad slot.

Mit der X45 hat Acebeam eine Taschenlampe auf den Markt gebracht, die jedem Taschenlampen-Enthusiasten das Wasser im Mund zusammenlaufen lässt. Auf dem aktuellen Stand der Technik liefert sie mit vier CREE XHP70-LEDs im höchsten Leuchtmodus sensationelle 16500(!) Lumen. Diese Leuchtkraft kann man nicht in Worte fassen, man muss sie einfach gesehen haben – Stand April 2017 dürfte die MSITC Acebeam X45 jedenfalls zu den hellsten verfügbaren Taschenlampen gehören und kaum noch Wünsche offen lassen.

Da vier leistungsfähige IMR-Akkus im Lieferumfang der MSITC Acebeam X45 enthalten sind, müssen diese nur noch vollständig geladen werden; dem Leuchtvergnügen steht anschließend nichts mehr im Weg. Ein vollständiges Review zur MSITC Acebeam X45 folgt in Kürze.

MSITC Acebeam X45 nightly video review

 

Bezugsquelle

Die MSITC Acebeam X45 ist im MSITC Shop erhältlich.

Produktankündigung: MSITC HaikeLite MT01 Trekker XHP50 V2 3×18650 2500 Lumen max. cool white

Hinweis: Die MSITC HaikeLite MT01 Trekker wird voraussichtlich ab KW17 lieferbar sein, Vorbestellungen sind möglich!

Die MSITC HaikeLite MT01 Trekker mit max. 2500 Lumen und CREE XHP50 V2 LED muss man live in Aktion gesehen haben, sonst glaubt man nicht, was diese Taschenlampe an Output erzeugt. Der Hersteller gibt eine Reichweite von ca. 300 Metern an, die effektive Reichweite ist aber bedingt durch den SMO-Reflektor und die CREE XHP50 V2-LED deutlich höher. Interessant bei der MSITC HaikeLite MT01 Trekker ist die Verwendung von 3×18650-Akkus, was die Lampe etwas kompakter macht – an Leistungsfähigkeit büßt sie dadurch nichts ein. Die MT01 Trekker ist als kompakter Thrower konzipiert und bietet mit 2500 Lumen ordentlich Leistung und Reichweite.

haikelite_trekker_1


In einem Punkt dürfte die MSITC HaikeLite MT01 Trekker allerdings unschlagbar sein, und das ist das Preis-/Leistungsverhältnis, das man schlicht als Hammer bezeichnen muss! Vergleichen Sie selbst, was adäquate Lampen von anderen Herstellern kosten.

Osterangebote April 2017 im MSITC Shop

Hier heißt es schnell zuschlagen, denn zum einen sind die einzelnen Pakete bzw. Angebote nur in geringen Stückzahlen vorhanden und zum anderen nicht unbegrenzt gültig. Wenn Sie sich selbst oder jemand anderen Freude bereiten wollen, dann schauen Sie doch einfach mal vorbei – die Angebote sind teilweise drastisch reduziert! Beachten Sie dazu bitte auch die folgenden Hinweise:

  • Alle Angebote gelten, solange Vorrat reicht!
  • Wer zuerst kommt, mahlt zuerst
  • Die Angebote sind nicht weiter rabattierbar

 

Nun aber zu den Osterangeboten im MSITC Shop:

 

Osterpaket: MSITC JAXMAN X6 Hunter XHP-50 2500 Lumen max. inkl. Akkus und Ladegerät nur 119,- Euro

Die MSITC JAXMAN X6 Hunter ist ein echtes Reichweitenmonster, das mit einer modernen und leistungsstarken CREE XHP50-LED ausgestattet ist und mit zwei 26650-Akkus betrieben wird. Der Hersteller gibt eine Reichweite von 500 Meter an, die effektive Reichweite ist jedoch bedeutend höher (ca. 700-800 Meter).

Im Lieferumfang sind neben der MSITC JAXMAN X6 Hunter zwei 26650-Akkus mit jeweils 4000 mAh Kapazität sowie ein Efest LUC Mini-Ladegerät enthalten, damit Sie sofort loslegen können. Alle Komponenten sind hochwertig und perfekt aufeinander abgestimmt (Wert Akkus und Ladegerät alleine: 54,70 Euro).

 

Osterangebot: Niwalker Nova MM25MB Monster Bright 3 x XHP70 7600 ANSI-Lumen max. statt 219,- € nur 189,- €!

Die Niwalker Nova MM25MB Monster Bright mit 3 x XHP70 LED und ca. 8000(!) LED-Lumen muss man live gesehen haben, sonst glaubt man nicht, welche Power hinter dieser kompakten Taschenlampe steckt. Mit den ungefähren Maßen einer 0,33l-Getränkedose erreicht die Niwalker Nova MM25MB eine Leuchtkraft, die so manch größere Lampe alt bzw. eher dunkel aussehen lässt. Primär ist die Niwalker Nova MM25MB ein Flooder,  bietet aber mit den überarbeiteten Reflektoren und einer praxisnahen Mischung aus OP- und SMO-Reflektor eine Reichweite  von ca. 300 Meter.

 

Osterangebot: MSITC JAXMAN X1 XPL HI 1000 Lumen max. inkl. Soshine 26650 5500 mAh-Akku statt 89,- € nur 79,- €

Die MSITC JAXMAN X1 ist ein kompakter Thrower, der dank seines großen Reflektors eine Reichweite von  über 500 Metern bietet. Betrieben wird die MSITC JAXMAN X1 mit einem 26650-Akku, der eine lange Laufzeit liefert, und in Kombination mit einer modernen und auf hohe Reichweite ausgelegten CREE XP-L HI LED lässt dieser Hochleistungs-Thrower nichts zu wünschen übrig. Der große Heatsink am Lampenkopf sorgt für eine sehr gute Hitzeableitung. Mit einem Soshine 26650 5500 mAh erzielt die MSITC JAXMAN X1 sagenhafte 96.300(!) Lux, was diese Lampe mit auf den vordersten Platz in dieser Preis- und Größenklasse katapultiert. 

 

Osterangebot: Efest LUC V6 LCD & USB 6 Slots Multi-functional Charger inkl. KFZ-Adapter statt 39,90 € nur 30,- €

Das Efest LUC V6 Modell 2016 ist ein Multifunktionsladegerät mit sechs voneinander unabhängigen und intelligenten Ladeschächten, mit dem eine große Auswahl an Lithium-Ionen- sowie IMR-Akkus geladen werden kann, was das Efest LUC V6 zu einem sehr flexiblen und universellen Ladegerät macht. Über einen Softschalter können Akkus wahlweise mit 500 mA, 1000 mA oder 2000 mA geladen werden. Ein LC-Display bietet informative Echtzeitinformationen wie Ladespannung oder Ladezeit. Darüber hinaus kann das Efest LUC V6 über einen USB-Anschluss externe Geräte wie Smartphones mit Strom versorgen, wenn ein Akku eingelegt ist.

 

Osterpaket: MSITC JAXMAN Mini C8 780 Lumen inkl. Efest-Ladegerät und 18650-Akku

Im Gegensatz zu anderen Billig-Taschenlampen aus Fernost bieten MSITC JAXMAN-Taschenlampen neben einem sehr guten Preis-/Leistungsverhältnis auch eine hervorragende Qualität, wenn es um die Verarbeitung der Lampen geht. Anstatt die Taschenlampen mit Elektronik vollzupacken, beschränkt sich der Hersteller auf das Wesentliche und meistert diese Aufgabe mit Bravour. Alle MSITC JAXMAN-Taschenlampen bieten ein simples Benutzerinterface, das sich jederzeit zwischen zwei Hauptbetriebsmodi umschalten lässt. 

Die MSITC JAXMAN Mini C8 ist ein kompakter Allrounder, der mit seiner XM-L2-LED maximal 780 Lumen und eine Reichweite von ca. 100 Metern bietet.  Egal, ob fürs Camping, Geocaching, die Hunderunde oder sonstige Outdoor-Aktivitäten: Die MSITC JAXMAN Mini C8 macht in allen Bereichen eine gute Figur und steckt dank ihrer Robustheit auch den einen oder anderen harten Schlag weg; außerdem kann die MSITC JAXMAN Mini C8 mit einem sehr guten Preis-/Leistungsverhältnis aufwarten.

Im Lieferumfang ist neben der MSITC JAXMAN Mini C8-Taschenlampe ein Efest Xsmart-Ladegerät sowie ein Shockli 18650 2200 mAh-Akku enthalten, damit Sie sofort loslegen können. Alle Komponenten sind hochwertig und perfekt aufeinander abgestimmt.

Osterpakete im MSITC Shop

Ostern steht bekanntlich schon bald wieder vor der Tür, und passend dazu wird es im MSITC Shop auch einige Osterpakete geben. Hier heißt es allerdings schnell zuschlagen, denn die Pakete sind mengenmäßig begrenzt und nicht in unendlicher Stückzahl vorhanden. Den Anfang machen wir heute mit dem MSITC Jaxman C8-Osterpaket.

 

Osterpaket: MSITC JAXMAN Mini C8 780 Lumen inkl. Efest-Ladegerät und 18650-Akku

jaxman_mini_c8_3

xsmart_1

Review Niwalker Nova C16 Shockli Akkus

 

Lieferumfang:

  • MSITC JAXMAN Mini C8 Taschenlampe
  • Efest Xsmart-Ladegerät
  • Shockli 18650-Akku
  • Lanyard
  • Ersatz-O-Ring
  • Bedienungsanleitung

 

Mit diesem Komplettset können Sie sofort loslegen, alle Komponenten sind hochwertig und optimal aufeinander abgestimmt. Vergleichen Sie die Preise der Einzelkomponenten, und Sie werden schnell feststellen, dass es sich bei diesem Paket um ein absolutes Schnäppchen handelt!

DoubleAgent: 0-day code injection unter Ausnutzung eines 15 Jahre alten undokumentierten Windows Features

Als Security Analyst kommt man nicht umhin, regelmäßig seine Quellen anzuzapfen, um auf dem laufenden zu bleiben, was neue Bedrohungen angeht. Diese hier hatte heute sofort meine ungeteilte Aufmerksamkeit, denn was sich hinter DoubleAgent verbirgt, ist eine knallharte Sicherheitslücke in jeder Windows-Version, die zumindest zum jetzigen Zeitpunkt auch nicht gepatcht werden kann. Ich fasse die wichtigsten Punkte zusammen, der Rest lässt sich im Blog-Beitrag des Sicherheitsforschers nachlesen, der diese Lücke entdeckt hat.

Was macht DoubleAgent als 0-day-Sicherheitslücke nun so gefährlich? An dieser Stelle möchte ich gerne zwei Videos verlinken, dann wird sofort klar, was ich meine:

Avira AntiVirus morphs into Ransomware…

 

Norton Antivirus morphs into Ransomware…

 

Das sind nur zwei Beispiele, laut dem originären Blogbeitrag sind noch deutlich mehr AV-Hersteller von diesem Problem betroffen:

 

Vulnerable Antiviruses
The list of vendors that have been tested and found to be vulnerable to DoubleAgent.
The tests were done on the latest version of the vendor on Windows 10 x64 using our POC code.

Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton

Antivirus Attack Vectors
During a normal cyber attack, the attacker would invest a lot of effort hiding and running away from the antivirus. By using DoubleAgent, the attack can take full control over the antivirus and do as he wish without the fear of being caught or blocked. He could:

  1. Turn the Antivirus into a malware – Perform malicious operations on behalf of the attacker. Because the antivirus is considered a trusted entity, any malicious operation done by it would be considered legitimate, giving the attacker the ability to bypass all the security products in the organization.
  2. Modify the Antivirus internal behaviour – Changing the antivirus whitelists/blacklists, internal logic and even installing backdoors. The antivirus would still appear to work normally but would actually be completely useless, giving the attacker the ability to execute malware that would normally be blocked without any interference.
  3. Abusing the Antivirus trusted nature – The antivirus is considered one of the most trusted entities in an organization. The attacker can use the antivirus to perform operations that would normally raise “red flags” like exfiltrating data, C&C communication, lateral movement, stealing and decrypting sensitive data, etc. All of these operations would seem legit because they are done by the antivirus.
  4. Destroy the Machine – The antivirus has complete power over the machine, which can allow it to easily encrypt all your files or even format your hard drives.
  5. Denial of Service – An antivirus software is responsible for signing software to act maliciously based on a set of heuristic rules. This means that the attacker can sign a totally legit and critical software such as browser applications, document viewers, or even some key components that are deep within the operating system. Once the signature has spread across the organization, it would then cause a total denial of services for the entire company. Once an antivirus decides a file is malicious, it would create a signature for it and share it globally around the world. Because the attacker controls the antivirus, he may sign totally legit and critical applications such as browsers, document viewers, or even some key components that are deep within the operating system. Once the new signature has spread across the organization, all the other instances of the antivirus would remove/delete the critical application causing total denial of services for the entire organization.

Unter Ausnutzung dieser Sicherheitslücke ist es möglich, Code in laufende Prozesse zu injizieren, ohne dass ein Prozess sich davor schützen könnte. Die Technik, die hinter der code injection steht, ist so einzigartig, dass sie offensichtlich von keinem traditionellen AV-Programm erkannt wird:

DoubleAgent gives the attacker the ability to inject any DLL into any process. The code injection occurs extremely early during the victim’s process boot, giving the attacker full control over the process and no way for the process to protect itself. The code injection technique is so unique that it’s not detected or blocked by any antivirus.

Wie in den Videos auf drastische Art und Weise dargestellt wurde, kann sich auf diese Art und Weise eine eigentlich für die Abwehr von Bedrohungen gedachte Software – nämlich der Virenscanner – im Handumdrehen selbst in Malware bzw. Ransomware verwandeln. Ein AV-Programm läuft üblicherweise im SYSTEM-Kontext des Betriebssystems und hat damit alle Rechte und Möglichkeiten, die es benötigt, um Angriffe und Bedrohungen abzuwehren. Wenn man das ganze weiterspinnt, dann entstehen zumindest in der Theorie Schreckensszenarien, an die man als Verantwortlicher gar nicht denken möchte:

  • Breitflächige Verteilung in Firmennetzwerken, wenn der Proof-of-Concept-Programmcode weiterentwickelt, verbessert und mit anderen Infektionsvektoren gekoppelt wird
  • Aushebeln des Virenschutzes zum Einschleusen weiterer Malware oder Ransomware
  • Vollständige Übernahme von Endgeräten

Die Möglichkeiten werden meines Erachtens nur durch die Vorstellungskraft begrenzt, und davon besitzen Cyberkriminelle eine Menge. Ich wage jetzt schon zu behaupten, dass DoubleAgent als 0-day exploit in den nächsten Wochen und Monaten noch für viel Aufregung sorgen wird.

SparkCognition DeepArmor: Next-Generation AV-Lösung auf Basis von Machine Learning, Artificial Intelligence und Natural Language Processing (NLP)

Diesen Hersteller habe ich auch schon seit geraumer Zeit auf dem Radar. Wie andere Mitbewerber auch verspricht SparkCognition mit seinem Endpoint Protection-Produkt DeepArmor einen deutlich besseren Schutz auf Endgeräten (Windows, Android, IoT devices) vor Bedrohungen durch Malware und Ransomware. Grundsätzlich kommen hier auch bereits bekannte Merkmale wie machine learning, AI/KI, signaturenlose Scans sowie NLP für Threat Intelligence zum Einsatz. DeepArmor bietet mehrere Endpoint Protection Features wie

  • Execution Control
  • Background Threat Detection
  • Realtime file monitoring
  • Application Control
  • Script Control
  • Memory Protection

Sobald ich die Möglichkeit habe, einen Produkttest durchzuführen, werden selbstverständlich weitere Artikel zu SparkCognition DeepArmor folgen.

SAMAS RansomWorm: Next-Generation Ransomware

Wer glaubt, dass Cyberkriminellen die Ideen ausgehen, der irrt gewaltig. Neben der Tatsache, dass es mittlerweile täglich über 4000 neue Ransomware Samples gibt, geht auch die technologische Entwicklung bei den Cryptolockern weiter. Die neueste Errungenschaft ist der SAMAS RansomWorm; wie der Name schon sagt, handelt es sich dabei um eine Mischung aus Ransomware und Wurm. Das heimtückische daran ist, dass sich dieses Exemplar in einem Netzwerk mit Hilfe von lateral movement und Windows-Bordmitteln fortpflanzen kann, indem beispielsweise das Active Directory zur Informationsgewinnung genutzt wird.

SAMAS RansomWorm

Obwohl das momentan nur Firmennetzwerke betrifft, dürfte es wohl nur eine Frage der Zeit sein, bis eine Version erscheint, die auch kleinere Heimnetzwerke infiltrieren kann. Was es bedeutet, wenn nicht nur ein Endgerät in einem Netzwerk infiziert wird, sondern gleich mehrere, muss ich an dieser Stelle nicht weiter ausführen – für kleine und mittelständische Unternehmen ohne funktionierendes Backup-Konzept und einem wirkungsvollen Endgeräteschutz auf Basis von effektiven Technologien wie Application Whitelisting kann das eine echte Katastrophe bedeuten.

Ab 25. Mai 2018 kommt noch erschwerend hinzu, dass nach der bisherigen Übergangsfrist die Europäische Datenschutz-Grundverordnung (EU-DS-GVO) voll greift. Diese sieht u.a. vor, dass Unternehmen Breaches, also sicherheitsrelevante Vorfälle im Bereich der Informations- und IT-Sicherheit innerhalb von 72 Stunden der zuständigen Behörde melden müssen. Wird dies versäumt, dann können drastische Geldbußen verhängt werden. Eine Ransomware, die im schlimmsten Fall Dokumente mit Kundendaten ins Internet überträgt, um damit der Forderung nach Lösegeld mehr Nachdruck zu verleihen, muss auf jeden Fall gemeldet werden.

Aus technischer Sicht ist es deshalb schon jetzt sehr ratsam, zu effizienten Schutzmaßnahmen zu greifen. Bislang ist eine der sichersten Möglichkeiten zum Schutz vor Ransomware der Einsatz einer Application Whitelisting Lösung wie SecureAPlus, die eine Infektion mit Ransomware und Malware deutlich wirkungsvoller verhindern kann, wie es bei traditioneller AV-Software der Fall ist. Als IT Security Analyst und Incident Responder bin ich bestens mit dem täglich wachsenden Bedrohungspotential durch Ransomware und Malware vertraut und berate Sie gerne beim Thema Endpoint Security.

Überzeugen Sie sich anhand des nachfolgenden Videos selbst von der Wirksamkeit von Application Whitelisting:

SecureAPlus vs. Ransomware

März-Angebot 2017 im MSITC Shop: Niwalker BK-FA09S Mega-Thrower inkl. vier hochwertigen IMR-Akkus für nur 196,90 Euro!

Wer schon immer mit der Niwalker BK-FA09S geliebäugelt hat, sollte beim März-Angebot 2017 zuschlagen, denn das Angebot gilt nur, solange Vorrat reicht: BK-FA09S inkl. vier hochwertige Shockli 18650 IMR 3000 mAh-Akkus für nur 196,90 Euro! Der reguläre Preis für dieses Set liegt ansonsten bei 221,50 Euro.

Review Niwalker Vostro BK-FA09S

https://www.msitc-shop.com/…/maerz-angebot-niwalker-…/a-945/

Bypassing Next-Gen AV For Fun and Profit–oder auch nicht?

Ich bin heute auf einen interessanten Blogpost zum Thema Bypassing Next-Gen AV For Fun and Profit aufmerksam geworden, in dem es um die Umgehung von Next-Gen AV-Lösungen geht. Der Autor hat sich für CylancePROTECT und Symantec SEP 12 entschieden, wobei machine based learning erst in Symantec SEP 14 enthalten ist – das aber nur der Vollständigkeit halber. Der Grund, weshalb der Artikel meine Aufmerksamkeit auf sich gezogen hat, war u.a. die Testmethodik. Da es schon etwas spät für heute ist, werde ich diesen Beitrag ein anderes Mal zusätzlich auf englisch veröffentlichen, bis dahin muss Google Translator ausreichen.

Damit wir uns richtig verstehen: Mir geht es nicht darum, diesen Beitrag von Colby zu kritisieren. Ich fand ihn interessant und aufschlussreich, und auch Next-Gen AV-Lösungen sind nicht unfehlbar und lassen sich mit genügend Zeit, Energie und Ressourcen überwinden, aber ganz so einfach, wie es im Artikel dargestellt wird, ist es nun auch nicht. Da ich mit CylancePROTECT aufgrund eines längeren Proof Of Concepts Erfahrung habe und das Produkt etwas besser kenne, möchte ich auf folgende Punkte hinweisen, die aus dem Blogbeitrag nicht klar hervorgehen:

 

0. Ich weiß nicht, welche Version Colby getestet hat. Es gibt aber meines Wissens nach keine Version 2.0.1420.11, die mir bekannten Versionen beginnen mit 1.2.xxxx.xx. Das klingt vielleicht pingelig, aber ich lege Wert auf die korrekte Angabe von Versionsinformationen, insbesondere dann, wenn man schon so einen Test veröffentlicht, in dem es um die Umgehung von Next-Gen AV-Lösungen geht. Er macht auch keine Angaben darüber, woher die Version stammt. Das halte ich deshalb für erwähnenswert, weil Cylance sich zumindest aktuell auf Enterprise-Kunden konzentriert und es keine SOHO-Version gibt.

 

1. Enterprise-Kunden erhalten für einen PoC (Proof of Concept) einen PoC Guide sowie Unterstützung durch Cylance, um genau die von Colby bemängelten False Positives nicht im operativen Betrieb zu erhalten. Das ganze ist ein mehrstufiger Prozess, an dessen Ende keine FPs mehr auftauchen sollten, wenn man es denn richtig macht. Deshalb mutmaße ich an an dieser Stelle, dass er schlicht und ergreifend den Agent installiert hat, ohne sich um die weitere Konfiguration zu kümmern, denn diese erfolgt über eine cloudbasierte Webkonsole, die meines Wissens nach ebenfalls nur für Unternehmen während eines PoC bereitgestellt wird.

 

2. Damit komme ich zum wichtigsten Punkt, nämlich der Konfiguration. Hier bin ich mir ziemlich sicher, dass Colby aufgrund der vorgenannten Umstände gar keine Möglichkeit hatte, mittels cloud console die Policy für CylancePROTECT so zu konfigurieren, wie sie sein sollte. CylancePROTECT bietet nämlich einige Konfigurationsmöglichkeiten, u.a. Memory Protection und Script Control. Die Memory Protection blockt (sofern konfiguriert) Exploitation, Process Injection und Escalation. Script Control bezieht sich auf Active Script, Powershell und Makros und bietet damit mächtige Kontrollmöglichkeiten, sofern man diese nutzen möchte.

 

3. Leider ist der Originalbeitrag mittlerweile aus dem Blog verschwunden, deshalb konnte ich nur auf den Google Cache verlinken. Die Screenshots sind ziemlich unleserlich, was ich insofern schade finde, weil man somit die einzelnen Schritte nicht richtig nachvollziehen kann. Das halte ich für extrem wichtig, weil daraus die Testmethodik erkennbar wird.

 

4. Ich möchte Colby nicht unterstellen, dass sein Test fehlerhaft ist. Etwas mehr Transparenz hätte die Sache aber deutlich aufgewertet; ich vermisse wie gesagt Informationen darüber, wie der Agent konfiguriert wurde, und entsprechende Hinweise dazu wurden in den Kommentaren auch nicht beantwortet. Das gehört für mich einfach dazu, damit so ein Test transparent und reproduzierbar bleibt. Und nein, ich bin kein Cylance-Mitarbeiter, aber nachdem ich mir die teilweise völlig sinnfreien Kommentare durchgelesen hatte, erschien es mir wichtig, auf ein paar Ungereimtheiten hinzuweisen, und deshalb ist dieser Beitrag entstanden.