WannaCry reloaded: EternalRocks verwendet weitere NSA-Tools zur Weiterverbreitung

Your ads will be inserted here by

Easy Plugin for AdSense.

Please go to the plugin admin page to
Paste your ad code OR
Suppress this ad slot.

Was ist EternalRocks?

Der Sicherheitsforscher Miroslav Stampar – Mitglied des kroatischen CERT (Computer Emergency Response Team) – hat vor kurzem eine neue WannaCry-Variante entdeckt, die er EternalRocks getauft hat. Dieser Name basiert vermutlich auf der Tatsache, dass EternalRocks sieben Tools aus dem NSA-Arsenal verwendet, um Sicherheitslücken in Windows-Systemen aufzuspüren und auszunutzen. Folgende Exploits werden von EternalRocks verwendet:

– EternalBlue
– EternalChampion
– EternalRomance
– EternalSynergy

Darüber hinaus macht EternalRocks Gebrauch von SMBTouch und ArchiTouch, zwei weiteren NSA-Tools, die zum Aufspüren von verwundbaren Systemen verwendet werden. Last but not least kommt natürlich auch DoublePulsar zum Einsatz, mit dessen Hilfe der Wurm sich auf anderen verwundbare Systemen verbreiten kann.

Im aktuellen Zustand kann man sich EternalRocks als einsatzbereite Rakete ohne Gefechtskopf vorstellen. Es ist jedoch nur eine Frage der Zeit, bis eine scharfe Variante von EternalRocks erscheint, die weitere Funktionalität mitbringt.

Wie funktioniert EternalRocks?

Nach dem der Wurm ein Opfer infiziert hat, verwendet er ein zweistufiges Verfahren, um weiteren Schadcode nachzuladen, wobei die zweite Phase verzögert eintritt, um Abwehrmaßnahmen zu unterlaufen. Im ersten Schritt lädt EternalRocks den Tor-Client herunter und sendet ein Signal an seinen Command & Control-Server im Tor-Netzwerk. Der C2-Server sendet dann nach 24 Stunden ein Echo zurück; diese Verzögerung kommt häufig bei Malware zum Einsatz, um die Infektion eines Systems zu verschleiern. EternalRocks enthält übrigens keinen Killswitch-Mechanismus und ist daher auch nicht so einfach auszuschalten wie WannaCry.

Im zweiten Schritt der Installation von EternalRocks wird ein Archiv heruntergeladen, das weitere Malware enthält. Anschließend führt der Wurm einen Scan durch und versucht sich zu einem zufällig ausgewählten anderen Endpoint zu verbinden.

Your ads will be inserted here by

Easy Plugin for AdSense.

Please go to the plugin admin page to
Paste your ad code OR
Suppress this ad slot.

Was macht EternalRocks so gefährlich?

Während WannaCry eher der sprichwörtliche Elefant im Porzellanladen und viel Schaden angerichtet hat, ist EternalRocks offensichtlich für unauffälligere Operationen entwickelt worden. Durch den modularen Aufbau und die Fähigkeit, weitere Malwarekomponenten wie Trojaner, Ransomware oder sonstiges nachzuladen, ist EternalRocks deutlich vielseitiger und auch gefährlicher.

Fazit

Wenn man so möchte, dann hat WannaCry die Büchse der Pandora geöffnet. Nach wie vor gibt es weltweite viele ungepatchte und damit anfällige Windows-Systeme, und da es keine Frage des ob, sondern des wann ist, bis eine vollständig aufmunitionierte Variante von EternalRocks erscheint, sollte man sich unbedingt Gedanken über einen zeitgemäßen und wirksamen Schutz vor Malware sowohl auf Endgeräten als auch auf Servern machen, denn was aktuell geschieht, ist erst der Anfang dessen, was noch alles auf uns zukommen wird.

Übrigens: Lassen Sie sich nicht von der Erkennungsrate hinsichtlich der bislang bekannten EternalRocks-Samples täuschen. Zum einen wurden diese bereits vor vier bzw. fünf Tagen (Stand: 23.05.17) auf Github hochgeladen, und zum anderen sollten fünf Tage selbst dem langsamsten AV-Hersteller in Bezug auf aktualisierte Signaturen genügen, diese auf Vordermann zu bringen.

Selbst ein tagesaktuelles Sample, das vor exakt 16 Stunden und 9 Minuten zu VirusTotal hochgeladen wurde, wird aktuell (23.05.17/2059h) gerade mal von 39 von 61 Virenscannern erkannt:

https://www.virustotal.com/en/file/44472436a5b46d19cb34fa0e74924e4efc80dfa2ed491773a2852b03853221a2/analysis/

Ich glaube, dieses niederschmetternde Ergebnis spricht für sich und bedarf nicht mehr vieler Worte…

Sparkcognition DeepArmor Next-Gen AV bietet Schutz vor WannaCry-Ransomware

Your ads will be inserted here by

Easy Plugin for AdSense.

Please go to the plugin admin page to
Paste your ad code OR
Suppress this ad slot.

In meinem Artikel von gestern hatte ich über die weltweite Ausbreitung der WannaCry-Ransomware berichtet. Dass eine Sicherheitslücke in Windows-Betriebsystemen ausgenutzt wird, ist die eine Sache, dass aber offensichtlich auch AV-Software WannaCry/Wana Decrypt0r nicht erkannt hat, die andere. Ehrlich gesagt verblüfft mich das aber auch nicht weiter, denn traditionelle AV-Software tut sich zunehmend schwerer damit, Ransomware zu erkennen und wirkungsvoll zu stoppen. Erpresstes Lösegeld aus Ransomware-Infektionen ist schnell und leicht verdientes Geld, und deshalb versuchen Cyberkriminelle natürlich auch, ihre Ransomware so gut wie möglich vor der frühzeitigen Entdeckung durch AV-Software zu schützen, was ihnen in den meisten Fällen auch gelingt.

Selbst mit Techniken wie verhaltensbasierter Kontrolle oder Sandboxing bekommt man Ransomware nicht effektiv in den Griff – hier hilft aus meiner Sicht nur Application Whitelisting und der Einsatz von Anti-Malware-Lösungen der nächsten Generation. Dass ich mit meiner Einschätzung nicht ganz falsch liege, zeigt ein Blogbeitrag von Sparkcognition, der mit DeepArmor eine Next Gen AV-Software im Portfolio hat. Während wie bereits erwähnt offensichtlich zahlreiche traditionelle AV-Lösungen WannaCry nicht erkannt haben, hat DeepArmor ohne Signaturenupdates oder dergleichen die Ransomware identifiziert und gestoppt:

Bemerkenswert daran ist, dass DeepArmor diese Ransomware-Variante noch nie zuvor gesehen hat, aber aufgrund seiner Funktionsweise (machine learning und artificial intelligence) in der Lage war, sie zu erkennen und unschädlich zu machen. DeepArmor wurde mit mit tausenden von sauberen und bösartigen Programmen trainiert und konnte deshalb Ähnlichkeiten zwischen den in WannaCry und vorhergehenden Ransomware-Varianten verwendeten Techniken erkennen. Wer glaubt, dass das alles auf dem Mist der Marketingabteilung von Sparkcognition gewachsen ist, den möchte ich eines besseren belehren: Ich habe mittlerweile einiges an Erfahrung mit einem adäquaten Produkt sammeln können, das ebenfalls signaturenlos und auf Basis von mathematischen Modellen und machine learning arbeitet, und wer eine derartige Lösung einmal im praktischen Einsatz erlebt hat, möchte nichts anderes mehr haben.

Abschließend möchte ich nochmal deutlich betonen, dass die Zukunft im Bereich Endpoint Security aus meiner Sicht ganz klar den AV-Lösungen der nächsten Generation gehört. Das sage ich nicht, weil ich es schick finde, jeden Trend mitmachen zu müssen, sondern weil ich als IT Security Analyst und Incident Responder täglich sehe, was in der Praxis funktioniert – oder eben auch nicht. Insbesondere im Unternehmensumfeld sollte man sich vor Augen führen, dass Endgeräte aus IT Security-Sicht der schwächste Punkt im Glied sind und dementsprechend auch effektiv geschützt werden müssen.

Wana Decrypt0r Ransomware verbreitet sich weltweit und nutzt fortgeschrittene Angriffs- und Infektionsvektoren

Einführung

Es vergeht kaum ein Tag, an dem nicht über eine neue Ransomware-Variante berichtet wird, aber die heute (12. Mai 2017) gestartete WannaCrypt0r-Campaign ist in mehrfacher Hinsicht herausragend:

  • Wana Decrypt0r/WannaCrypt/WanaCrypt0r ist extrem virulent und nutzt dazu eine Schwachstelle unter Windows aus. Alle Windows-Systeme, auf denen der Patch MS17-010 noch nicht eingespielt wurde, sind für diese Schwachstelle und somit auch für Wana Decrypt0r anfällig
  • Zusätzlich bringt Wana Decrypt0r die Malware DOUBLEPULSAR mit, die sehr tief ins System eingreift (Windows Kernel Ring-0) und zum Nachladen und installieren weiterer Malware verwendet wird

Die Kombination dieser beiden Angriffstechniken hat bislang dazu geführt, dass innerhalb weniger Stunden bereits über 57.000 Wana Decrypt0r-Infektionen weltweit aufgetreten sind. Besonder schwer betroffen sind Hospitale und Kliniken in UK, aber auch Firmen in Spanien im Telekommunikations- und Energiesektor sowie in weiteren Ländern. Wer auch immer hinter dieser fiesen neuen Ransomware-Variante steckt, hat ganze Arbeit geleistet, wie diese Infografik zeigt:

 

Quelle: bleepingcomputer.com

 

Infektionsvektor

Wana Decrypt0r verbreitet sich zunächst per Mail mit maliziösen Attachments. Sobald ein System erfolgreich kompromittiert wurde, versucht Wana Decrypt0r, sich wurmartig auf andere Systeme zu verbreiten und nutzt dazu u.a. auch offene RDP-Sitzungen. Um die weitere Verbreitung zu ermöglichen, scannt Wana Decrypt0r weitere Endgeräte in einem Netzwerk und versucht dann ebenfalls, die bereits erwähnte Schwachstelle auszunutzen.

Mitigationsstrategien

  • Sofern der MS Patch MS17-010 noch nicht per Windows Update automatisch installiert wurde, sollte dieser so schnell wie möglich installiert werden, da nur damit die Sicherheitslücke geschlossen wird, die von Wana Decrypt0r ausgenutzt wird
  • Mails von unbekannten Absendern mit zweifelhaftem Inhalt oder Attachments sollten nicht geöffnet, sondern sofort gelöscht werden. Klicken Sie ebenfalls nicht auf Links in Mails, die von unbekannten Absendern stammen!
  • Verwenden Sie eine zuverlässige Endpoint Protection-Lösung wie SecureAPlus auf Basis von Application Whitelisting, um das Ausführen von unbekannten Programmen zu unterbinden. Verlassen Sie sich nicht auf die Erkennung von Wana Decrypt0r durch Ihre AV-Software, da davon auszugehen ist, dass es schon bald polymorphe Varianten geben wird
  • Erstellen Sie regelmäßig Backups und stellen Sie sich sicher, dass diese sich an einem sicheren Ort befinden

 

Unterstützung im Schadensfall

Sie sind bereits betroffen und benötigen schnelle Hilfe? Nutzen Sie unser Kontaktformular und senden uns eine Nachricht.

 

Weiterführende Informationen

https://www.bleepingcomputer.com/news/security/wana-decrypt0r-ransomware-using-nsa-exploit-leaked-by-shadow-brokers-is-on-a-rampage/

https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/

Einfache und sichere Backups mit Strato HiDrive und Iperius Backup/Duplicati – Teil 1

Mit schöner Regelmäßigkeit werde ich von Kunden auf das Thema Backup angesprochen, meist in Zusammenhang mit Ransomware. Wer einmal erlebt hat, wie Ransomware innerhalb kurzer Zeit wichtige Daten verschlüsselt und dann feststellen muss, dass sein Backup bzw. die Rücksicherung nicht funktioniert, wird mit mit Sicherheit kein zweites Mal vor dieser sehr unangenehmen (und bei KMUs vielleicht sogar existenzbedrohenden!) Situation stehen wollen. Ich möchte mich an dieser Stelle primär dem Thema Cloud Backup widmen, weil es dazu einige wichtige Aspekte zu beachten gilt – einfach nur drauslossichern sollte man weder als Privatanwender noch als Unternehmen. Da sich Strato HiDrive als Online-Speicher nach meinen Erfahrungen als sehr zuverlässig herausgestellt hat, spreche ich unseren Kunden auch eine klare Empfehlung dafür aus; auf die Gründe dafür gehe ich noch näher ein.

Last but not least möchte ich mit diesem Artikel hauptsächlich KMUs (Kleine und mittlere Unternehmen) sowie Privatanwender im Home-Bereich ansprechen, da es in diesen Bereichen oftmals an funktionierenden und praxiserprobten Backupkonzepten mangelt oder diese im schlimmsten Fall gar nicht vorhanden sind. Größere Unternehmen verfügen üblicherweise über eine dedizierte Backup-Infrastruktur mit entsprechender Soft- und Hardware (Tape Libraries o.ä.) für den Einsatz im Enterprise-Bereich.

Rechtliche Aspekte beim Cloud Backup mit Strato HiDrive

Ich möchte an dieser Stelle gleich vorweg nehmen, dass ich nicht in allen Punkten ein großer Verfechter von Cloud-Strategien bin. Es gibt mit Sicherheit Situationen bzw. Anwendungsbereiche, in denen eine Datenspeicherung in der Cloud Sinn macht, aber genauso wenig sinnvoll ist es, krampfhaft die komplette IT-Infrastruktur in die Cloud auslagern zu wollen. Das ist aber ein anderes Thema, deshalb werde ich das an dieser Stelle auch nicht weiter vertiefen.

Sinn macht auf jeden Fall das Thema Cloud Backup, allerdings nur unter folgenden Rahmenbedingungen:

  • Zu sichernde Daten müssen sicher verschlüsselt sein, bevor sie in die Cloud gelangen
  • Die Verschlüsselung sollte auf als sicher geltenden Standards wie AES basieren, obskuren selbstprogrammierten Algorithmen in Backup-Software sollte man besser aus dem Weg gehen
  • Sowohl Unternehmensdaten als auch private Datenbestände wie Urlaubsbilder, Dokumente, Mailarchive usw. sollten unbedingt bei einem Cloud Provider gespeichert werden, der seinen Unternehmenssitz in Deutschland hat und – noch wichtiger – seine Rechenzentren ausschließlich in Deutschland betreibt, denn dann kommt das strenge deutsche Datenschutzgesetz zur Anwendung
  • Wer seine Daten bei einem ausländischen Anbieter oder in einem Rechenzentrum im Ausland speichert, muss damit rechnen, dass ausländische Nachrichtendienste wie die NSA auf diese Daten zugreifen können. Es ist ein offenes Geheimnis, dass speziell amerikanische Nachrichtendienste sich nicht an bestehende Gesetze halten, sondern sich einfach darüber hinweg setzen
  • Nach Möglichkeit TÜV-Zertifizierung nach ISO 27001

Technische Aspekte beim Cloud Backup mit Strato HiDrive

Neben den rechtlichen Aspekten gibt es auch noch technische, die nicht ganz unwichtig sind. An erster Stelle stehen hier die unterstützten Protokolle, die für Cloud Backups verwendet werden können. Grundsätzlich gilt hier: Je mehr, desto besser, und hier kann Strato HiDrive ganz klar punkten. Obwohl der Protokollstack nur optional gegen Aufpreis erhältlich ist, sollte diese Option unbedingt hinzu gebucht werden. Der Grund dafür liegt auf der Hand: Je mehr Endgeräte gesichert werden sollen, desto größer ist die Vielzahl der Protokolle, die unterstützt werden müssen. Im Strato HiDrive-Protokollpaket sind folgende Zugriffsmöglichkeiten enthalten:

  • FTP
  • FTPS
  • WebDav
  • SFTP
  • rsync (auch SSH-verschlüsselt)
  • SMB/CIFS
  • GIT-Versionsmanagement

Ohne das optionale Protokollpaket ist nur der Zugriff über die Weboberfläche sowie die von Strato bereitgestellte Windows-Software zur Synchronisierung von Daten möglich, was vielleicht noch für den Privatanwender brauchbar, aber spätestens im Unternehmenseinsatz unzureichend ist. Hinzu kommt, dass automatisierte Backups damit ebenfalls nicht möglich sind, sondern immer von Hand angestoßen werden müssen. Als Workaround kann man beispielsweise auf ein NAS im lokalen Netzwerk sichern und die Daten von dort über das Webinterface in die Cloud kopieren, doch komfortabel ist was anderes.

Selbstverständlich muss auch die verwendete Backup-Software in der Lage sein, Cloud Backups zu erstellen und das Protokollpaket von Strato HiDrive zu unterstützen. Zu einem vernünftigen Backup-Konzept gehört u.a. auch die Frage nach Art und Umfang der zu sichernden Daten sowie Endgeräte, die unterstützt werden müssen. Ich konzentriere mich an dieser Stelle auf Clients mit Windows-Betriebssystem und werde in zweiten Teil dieses Beitrags zwei Backup-Lösungen für Windows vorstellen, die sich in der Praxis hervorragend bewährt haben.

DoubleAgent: 0-day code injection unter Ausnutzung eines 15 Jahre alten undokumentierten Windows Features

Als Security Analyst kommt man nicht umhin, regelmäßig seine Quellen anzuzapfen, um auf dem laufenden zu bleiben, was neue Bedrohungen angeht. Diese hier hatte heute sofort meine ungeteilte Aufmerksamkeit, denn was sich hinter DoubleAgent verbirgt, ist eine knallharte Sicherheitslücke in jeder Windows-Version, die zumindest zum jetzigen Zeitpunkt auch nicht gepatcht werden kann. Ich fasse die wichtigsten Punkte zusammen, der Rest lässt sich im Blog-Beitrag des Sicherheitsforschers nachlesen, der diese Lücke entdeckt hat.

Was macht DoubleAgent als 0-day-Sicherheitslücke nun so gefährlich? An dieser Stelle möchte ich gerne zwei Videos verlinken, dann wird sofort klar, was ich meine:

Avira AntiVirus morphs into Ransomware…

 

Norton Antivirus morphs into Ransomware…

 

Das sind nur zwei Beispiele, laut dem originären Blogbeitrag sind noch deutlich mehr AV-Hersteller von diesem Problem betroffen:

 

Vulnerable Antiviruses
The list of vendors that have been tested and found to be vulnerable to DoubleAgent.
The tests were done on the latest version of the vendor on Windows 10 x64 using our POC code.

Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton

Antivirus Attack Vectors
During a normal cyber attack, the attacker would invest a lot of effort hiding and running away from the antivirus. By using DoubleAgent, the attack can take full control over the antivirus and do as he wish without the fear of being caught or blocked. He could:

  1. Turn the Antivirus into a malware – Perform malicious operations on behalf of the attacker. Because the antivirus is considered a trusted entity, any malicious operation done by it would be considered legitimate, giving the attacker the ability to bypass all the security products in the organization.
  2. Modify the Antivirus internal behaviour – Changing the antivirus whitelists/blacklists, internal logic and even installing backdoors. The antivirus would still appear to work normally but would actually be completely useless, giving the attacker the ability to execute malware that would normally be blocked without any interference.
  3. Abusing the Antivirus trusted nature – The antivirus is considered one of the most trusted entities in an organization. The attacker can use the antivirus to perform operations that would normally raise “red flags” like exfiltrating data, C&C communication, lateral movement, stealing and decrypting sensitive data, etc. All of these operations would seem legit because they are done by the antivirus.
  4. Destroy the Machine – The antivirus has complete power over the machine, which can allow it to easily encrypt all your files or even format your hard drives.
  5. Denial of Service – An antivirus software is responsible for signing software to act maliciously based on a set of heuristic rules. This means that the attacker can sign a totally legit and critical software such as browser applications, document viewers, or even some key components that are deep within the operating system. Once the signature has spread across the organization, it would then cause a total denial of services for the entire company. Once an antivirus decides a file is malicious, it would create a signature for it and share it globally around the world. Because the attacker controls the antivirus, he may sign totally legit and critical applications such as browsers, document viewers, or even some key components that are deep within the operating system. Once the new signature has spread across the organization, all the other instances of the antivirus would remove/delete the critical application causing total denial of services for the entire organization.

Unter Ausnutzung dieser Sicherheitslücke ist es möglich, Code in laufende Prozesse zu injizieren, ohne dass ein Prozess sich davor schützen könnte. Die Technik, die hinter der code injection steht, ist so einzigartig, dass sie offensichtlich von keinem traditionellen AV-Programm erkannt wird:

DoubleAgent gives the attacker the ability to inject any DLL into any process. The code injection occurs extremely early during the victim’s process boot, giving the attacker full control over the process and no way for the process to protect itself. The code injection technique is so unique that it’s not detected or blocked by any antivirus.

Wie in den Videos auf drastische Art und Weise dargestellt wurde, kann sich auf diese Art und Weise eine eigentlich für die Abwehr von Bedrohungen gedachte Software – nämlich der Virenscanner – im Handumdrehen selbst in Malware bzw. Ransomware verwandeln. Ein AV-Programm läuft üblicherweise im SYSTEM-Kontext des Betriebssystems und hat damit alle Rechte und Möglichkeiten, die es benötigt, um Angriffe und Bedrohungen abzuwehren. Wenn man das ganze weiterspinnt, dann entstehen zumindest in der Theorie Schreckensszenarien, an die man als Verantwortlicher gar nicht denken möchte:

  • Breitflächige Verteilung in Firmennetzwerken, wenn der Proof-of-Concept-Programmcode weiterentwickelt, verbessert und mit anderen Infektionsvektoren gekoppelt wird
  • Aushebeln des Virenschutzes zum Einschleusen weiterer Malware oder Ransomware
  • Vollständige Übernahme von Endgeräten

Die Möglichkeiten werden meines Erachtens nur durch die Vorstellungskraft begrenzt, und davon besitzen Cyberkriminelle eine Menge. Ich wage jetzt schon zu behaupten, dass DoubleAgent als 0-day exploit in den nächsten Wochen und Monaten noch für viel Aufregung sorgen wird.

SparkCognition DeepArmor: Next-Generation AV-Lösung auf Basis von Machine Learning, Artificial Intelligence und Natural Language Processing (NLP)

Diesen Hersteller habe ich auch schon seit geraumer Zeit auf dem Radar. Wie andere Mitbewerber auch verspricht SparkCognition mit seinem Endpoint Protection-Produkt DeepArmor einen deutlich besseren Schutz auf Endgeräten (Windows, Android, IoT devices) vor Bedrohungen durch Malware und Ransomware. Grundsätzlich kommen hier auch bereits bekannte Merkmale wie machine learning, AI/KI, signaturenlose Scans sowie NLP für Threat Intelligence zum Einsatz. DeepArmor bietet mehrere Endpoint Protection Features wie

  • Execution Control
  • Background Threat Detection
  • Realtime file monitoring
  • Application Control
  • Script Control
  • Memory Protection

Sobald ich die Möglichkeit habe, einen Produkttest durchzuführen, werden selbstverständlich weitere Artikel zu SparkCognition DeepArmor folgen.

Bypassing Next-Gen AV For Fun and Profit–oder auch nicht?

Ich bin heute auf einen interessanten Blogpost zum Thema Bypassing Next-Gen AV For Fun and Profit aufmerksam geworden, in dem es um die Umgehung von Next-Gen AV-Lösungen geht. Der Autor hat sich für CylancePROTECT und Symantec SEP 12 entschieden, wobei machine based learning erst in Symantec SEP 14 enthalten ist – das aber nur der Vollständigkeit halber. Der Grund, weshalb der Artikel meine Aufmerksamkeit auf sich gezogen hat, war u.a. die Testmethodik. Da es schon etwas spät für heute ist, werde ich diesen Beitrag ein anderes Mal zusätzlich auf englisch veröffentlichen, bis dahin muss Google Translator ausreichen.

Damit wir uns richtig verstehen: Mir geht es nicht darum, diesen Beitrag von Colby zu kritisieren. Ich fand ihn interessant und aufschlussreich, und auch Next-Gen AV-Lösungen sind nicht unfehlbar und lassen sich mit genügend Zeit, Energie und Ressourcen überwinden, aber ganz so einfach, wie es im Artikel dargestellt wird, ist es nun auch nicht. Da ich mit CylancePROTECT aufgrund eines längeren Proof Of Concepts Erfahrung habe und das Produkt etwas besser kenne, möchte ich auf folgende Punkte hinweisen, die aus dem Blogbeitrag nicht klar hervorgehen:

 

0. Ich weiß nicht, welche Version Colby getestet hat. Es gibt aber meines Wissens nach keine Version 2.0.1420.11, die mir bekannten Versionen beginnen mit 1.2.xxxx.xx. Das klingt vielleicht pingelig, aber ich lege Wert auf die korrekte Angabe von Versionsinformationen, insbesondere dann, wenn man schon so einen Test veröffentlicht, in dem es um die Umgehung von Next-Gen AV-Lösungen geht. Er macht auch keine Angaben darüber, woher die Version stammt. Das halte ich deshalb für erwähnenswert, weil Cylance sich zumindest aktuell auf Enterprise-Kunden konzentriert und es keine SOHO-Version gibt.

 

1. Enterprise-Kunden erhalten für einen PoC (Proof of Concept) einen PoC Guide sowie Unterstützung durch Cylance, um genau die von Colby bemängelten False Positives nicht im operativen Betrieb zu erhalten. Das ganze ist ein mehrstufiger Prozess, an dessen Ende keine FPs mehr auftauchen sollten, wenn man es denn richtig macht. Deshalb mutmaße ich an an dieser Stelle, dass er schlicht und ergreifend den Agent installiert hat, ohne sich um die weitere Konfiguration zu kümmern, denn diese erfolgt über eine cloudbasierte Webkonsole, die meines Wissens nach ebenfalls nur für Unternehmen während eines PoC bereitgestellt wird.

 

2. Damit komme ich zum wichtigsten Punkt, nämlich der Konfiguration. Hier bin ich mir ziemlich sicher, dass Colby aufgrund der vorgenannten Umstände gar keine Möglichkeit hatte, mittels cloud console die Policy für CylancePROTECT so zu konfigurieren, wie sie sein sollte. CylancePROTECT bietet nämlich einige Konfigurationsmöglichkeiten, u.a. Memory Protection und Script Control. Die Memory Protection blockt (sofern konfiguriert) Exploitation, Process Injection und Escalation. Script Control bezieht sich auf Active Script, Powershell und Makros und bietet damit mächtige Kontrollmöglichkeiten, sofern man diese nutzen möchte.

 

3. Leider ist der Originalbeitrag mittlerweile aus dem Blog verschwunden, deshalb konnte ich nur auf den Google Cache verlinken. Die Screenshots sind ziemlich unleserlich, was ich insofern schade finde, weil man somit die einzelnen Schritte nicht richtig nachvollziehen kann. Das halte ich für extrem wichtig, weil daraus die Testmethodik erkennbar wird.

 

4. Ich möchte Colby nicht unterstellen, dass sein Test fehlerhaft ist. Etwas mehr Transparenz hätte die Sache aber deutlich aufgewertet; ich vermisse wie gesagt Informationen darüber, wie der Agent konfiguriert wurde, und entsprechende Hinweise dazu wurden in den Kommentaren auch nicht beantwortet. Das gehört für mich einfach dazu, damit so ein Test transparent und reproduzierbar bleibt. Und nein, ich bin kein Cylance-Mitarbeiter, aber nachdem ich mir die teilweise völlig sinnfreien Kommentare durchgelesen hatte, erschien es mir wichtig, auf ein paar Ungereimtheiten hinzuweisen, und deshalb ist dieser Beitrag entstanden.

Heilig Defense Correlate – Next Generation Signatureless Malware Detection

Bereits seit Ende letzten Jahres stehe ich mit David Heilig, dem CEO von Heilig Defense, in Verbindung. Auf der Suche nach Next-Generation AV-Lösungen bin ich auf Correlate aufmerksam geworden und hatte einige Fragen zu diesem Produkt, und so entstand ein interessanter Informationsaustausch. Dave hat mir ausführlich die Funktionsweise von Correlate erläutert, und mein Eindruck ist der, dass die Leute von Heilig Defense ihr Handwerk sehr gut verstehen.

Correlate verwendet ähnliche Technologien wie Produkte von Wettbewerbern wie Cylance, Invincea, SparkCognition oder Endgame. Selbst wenn es unterschiedliche Bezeichnungen für Next-Gen-Technologien wie machine based learning oder deep learning gibt, so ist die Funktionsweise in etwa doch ähnlich. Leider steht Correlate bislang noch nicht für den SOHO-Bereich zur Verfügung, im Fokus stehen momentan Firmenkunden. Von Dave habe ich erfahren, dass eine solche Version kommen soll, allerdings liegt der Entwicklungsschwerpunkt wie gesagt momentan im Enterprise- und SMB-Bereich.

Völlig überraschend hat mich nun aber gestern die Info ereilt, dass Heilig Defense in einigen Wochen einen Teil des Funktionsumfangs von Correlate als Freeware herausbringen möchte. Konkret ist das der Ransomware-Schutz, und das macht die Sache wiederum für den Heimbereich interessant. Sobald Heilig Defense diese Version veröffentlicht, werde ich sie auf jeden Fall einem ausgiebigen Test mit Ransomware unterziehen und die Testresultate in einem Blogbeitrag veröffentlichen.

Auf Youtube gibt es übrigens bereits ein paar Videos zu Correlate.

 

 

 

 

MSITC Avast Free 2017 backdoor evasion and Windows 10 privilege escalation

Warum man sich nicht ausschließlich auf herkömmliche AV-Software verlassen sollte, demonstriere ich in diesem Video:

Konkret geht es darum, dass eine Backdoor von Avast Free 2017 weder erkannt noch durch die verhaltensbasierte Analyse gestoppt wird. Gekoppelt mit einer Rechteausweitung (Privilege Escalation) ist es mir dann gelungen, die vollständige Kontrolle über das Endgerät zu erhalten, ohne dass die AV-Software Alarm geschlagen hätte.

Meine Handlungsempfehlung lautet deshalb nach wie vor, zusätzlich zu einer vorhandenen AV-Lösung auf Application Whitelisting zu setzen, denn damit erhält man eine wesentlich bessere Kontrolle über sein System. Wie gut das funktioniert, lässt sich in diesem Video deutlich erkennen:

Next-Generation Endpoint Protection solutions: Hype vs. Realität

Wie jedes Jahr gibt es in der IT auch in 2017 von Marketing-Strategen ersonnene Buzzwords, die in keinem Repertoire fehlen dürfen. Schon letztes Jahr war regelmäßig von von “machine based learning”, “artificial intelligence”,“math models” oder auch von “deep learning” die Rede. Üblicherweise werden diese Begriffe mit der nächsten Generation von AV-Software in Verbindung gebracht und signalisieren schon deutlich, dass hier keine veraltete (signaturbasierte) Technologie zum Einsatz kommt, sondern etwas weitaus leistungsfähigeres.

Hier stellt sich natürlich die Frage, ob das wirklich nur reine Buzzwords sind oder ob tatsächlich mehr dahintersteckt? Ich versuche die Frage einmal aus meiner Sicht zu beantworten: Zunächst muss man hier ganz klar die Spreu vom Weizen trennen, denn es gibt natürlich auch zunehmend Trittbrettfahrer, die sich gerne dieser Attribute bemächtigen, aber in Wahrheit nur ansatzweise oder gar keinen Gebrauch davon machen. Es gibt Hersteller wie Cylance, die ich als Pionier auf diesem Gebiet betrachte, denn bereits Ende 2015/Anfang 2016 hatte Cylance mit CylancePROTECT ein Produkt am Start, das wirklich anders war als Produkte der Mitbewerber aus dem klassischen AV-Umfeld wie Bitdefender, Kaspersky, Avira, Avast usw.

Im Jahr 2016 gesellten sich dann weitere Anbieter wie Invincea (inzwischen von Sophos akquiriert), Endgame, SparkCognition, Heilig Defense und andere dazu, die ebenfalls damit werben, Next-Gen-Techniken zu verwenden. Im Enterprise-Umfeld hat schon vor geraumer Zeit ein Paradigmenwechsel eingesetzt, der dazu geführt hat, dass man heute nicht mehr krampfhaft den Perimeter mit Firewalls, Proxies, Mailgateways oder IDS zu schützen versucht, sondern sich auf das schwächste Glied in der ganzen Kette konzentriert, und das ist nun mal das klassische Endgerät wie ein Desktop oder ein Laptop. Genau diesem Umstand wird mit Hilfe von Next-Gen-Lösungen auch Rechnung getragen, denn auf Signaturen und verhaltensbasierte Erkennung sollte man sich heutzutage nicht mehr verlassen – das mag noch bei simpel gestrickter (und bekannter!) Malware helfen, aber nicht mehr bei fortgeschrittenen Angriffen wie spear phishing oder targeted attacks, also zielgerichteten Angriffen gegen Unternehmen oder einzelne Personen.

Kurzum: Das Jahr 2017 wird mit Sicherheit weitere interessante Entwicklungen bringen. Während einige Hersteller von Next-Gen-Lösungen offensichtlich kein Interesse am Small Office- und Home-Bereich haben, weiß ich von anderen, dass sie auch an Versionen für den Heimbereich arbeiten. Vor Mitte des Jahres wird aber vermutlich nichts kommen, da wie gesagt der Enterprise-Markt im Fokus steht und nicht der Home-Bereich. Diese Entwicklung wird aus meiner Sicht dazu führen, dass die Hersteller von traditionellen AV-Lösungen nicht umhin kommen werden, ebenfalls auf neue Technologie zu setzen – andernfalls könnte es gut passieren, dass sie eines Tages mit dem Rücken an der Wand stehen.

Diese Behauptung möchte ich mit einem Beispiel untermauern: Wer schon mal Malware- und Ransomware-Tests durchgeführt hat, weiß, dass die cloudbasierte Erkennung bei vielen Herstellern von klassischer AV-Software zu einem Großteil für die Erkennung von Schadcode zuständig ist. Das setzt aber wiederum voraus, dass eine permanente Internetanbindung besteht, was normalerweise auch kein Problem darstellt. Was aber, wenn es um mobile Anwender geht, die nicht permanent mit dem Internet verbunden sind und demnach auch mit einer deutlich reduzierten Schutzwirkung leben müssen, solange kein cloudbasierter Scan möglich ist? Es gibt Firmen, deren Techniker oder Kundendienstmonteure tage- oder gar wochenlang in Regionen mit schlechter oder keiner Internetverbindung unterwegs sind – wie gut ist diese Zielgruppe wohl ohne aktuelle Signaturen und cloudbasierten Scans geschützt?

Das sieht mit Next-Gen AV-Lösungen ganz anders aus, denn diese funktionieren übicherweise auch im Offline-Betrieb genau gleich, da sie nicht von Signaturen oder cloud based scans abhängig sind. Für mich gehört die Zukunft ganz klar diesen Lösungen, und ich hoffe, dass ich noch ausreichend Gelegenheit haben werde, das ein oder andere Produkt in diesem Bereich gründlich zu testen und die Ergebnisse in meinem Youtube-Kanal zu präsentieren. Wie es der Zufall so möchte, habe ich dazu gerade im Blog von Cylance noch diesen recht interessanten Artikel entdeckt: https://www.cylance.com/en_us/blog/antivirus-testing-for-real-world-failure.html

Wer sich übrigens etwas genauer in das Thema machine based learning einlesen möchte, findet im Blog von Endgame eine sehr umfangreiche Schilderung der bekannten Modelle auf englisch: https://www.endgame.com/blog/its-bake-navigating-evolving-world-machine-learning-models