Ordinypt: Effektiver Ransomware-Schutz durch SparkCognition DeepArmor

For our international audience: you might want to use deepl for translation.

Einführung

Im Dezember 2016 machte eine Ransomware namens Goldeneye insbesondere deshalb Schlagzeilen, weil diese sich als vorgebliche Bewerbung tarnte und primär Personalabteilungen von deutschen Unternehmen im Visier hatte. Im November 2017 ist nun etwas ähnliches zu beobachten: Wieder geht es um Ransomware, die sich ebenfalls als Anhang hinter einer Bewerbung verbirgt.

An dieser Stelle möchte ich nicht näher auf die Details eingehen, da diese bereits im Blog von G-Data ausreichend beschrieben sind. Mittlerweile hat sich übrigens herausgestellt, dass man sich die Zahlung des Lösegeldes sparen kann, denn aktuelle Erkenntnisse deuten darauf hin, dass Odinypt keine Ransomware, sondern ein Wiper ist. Ein Wiper verschlüsselt keine Daten, sondern überschreibt diese so, dass eine Wiederherstellung in der Regel nicht mehr möglich ist, es sei denn, man kann diese aus einem Backup restoren, aber das ist ein anderes Thema.

Erkennung von Ordinypt durch signaturbasierte Virenscanner und SparkCognition DeepArmor

Dass Ordinypt mittlerweile von einer Mehrheit der bei VirusTotal zum Einsatz kommenden Scan Engines erkannt wird, dürfte nicht weiter verwunderlich sein. Dies gilt jedoch nur für das aktuell bekannte Sample; die spannende Frage lautet deshalb, wie sich signaturbasierte Virenscanner bei der Erkennung von neuen Varianten oder Mutationen von Ordinypt schlagen und wie SparkCognition DeepArmor als signaturenlose Next-Generation-Lösung für den Malwareschutz damit umgeht.

image

Mutierte Ordinypt-Ransomware

Um diese Frage beantworten zu können, habe ich eine mutierte Variante von Ordinypt mit Hilfe von VMProtect erstellt. Ich habe bewusst VMProtect für diesen Test ausgewählt, weil es als harte Nuss unter Crackern gilt. VMProtect dient normalerweise dazu, kommerzielle Software vor dem Knacken zu schützen, es lässt sich aber auch prima dazu verwenden, ausführbare Dateien so zu verändern, dass signaturbasierte Virenscanner Schadcode nicht mehr erkennen können. Dazu kommen sehr fortschrittliche Techniken zur Verschleierung von Programmcode zum Einsatz; für die Erstellung des mutierten Ordinypt-Samples habe ich den Ultra Protection Mode verwendet, der nicht nur den Programmcode modifiziert, sondern das geschützte Programm außerdem auch noch in einer eigenen virtuellen Umgebung ausführt:

image

Das Ergebnis ist eine ausführbare Datei, die für signaturbasierte Virenscanner nicht mehr erkennbar ist. Um das zu verifizieren, habe ich das mutierte Sample mit Kaspersky Free gescannt und auf nodistribute.com hochgeladen – die Ergebnisse sprechen für sich. Während das Original-Sample noch erkannt wird, sieht es bei der neuen Variante anders aus:

image

image

image

Wirkungsvoller Schutz vor Malware und Ransomware durch SparkCognition DeepArmor

Es ist aus meiner Sicht leicht erkennbar, dass signaturbasierte Lösungen hier keinen wirkungsvollen Schutz mehr bieten können. Hier sind schlagkräftigere Lösungen gefragt, in diesem Fall ist es DeepArmor von SparkCognition. DeepArmor arbeitet vollständig ohne Signaturen und basiert auf machine learning und Künstlicher Intelligenz (AI), um auch unbekannte und neue Bedrohungen sicher und effizient stoppen zu können. Die folgenden Screenshots sprechen für sich:

image

Das mutierte Sample wird problemlos erkannt, und das sogar noch mit einer Wahrscheinlichkeit von über 99%!

image

image

Fazit

Die Zeit der primär signaturbasierten AV-Lösungen (“Legacy AV”) ist meines Erachtens vorbei. Experten sprechen mittlerweile von ungefähr 500.000 neuen Malware-Samples pro Tag, Tendenz weiterhin steigend, deshalb ist der Schutz von Assets in Unternehmen jeglicher Größe ein Thema, das immer mehr an Bedeutung gewinnt. Endgeräte sind der “weak point” und benötigen deshalb den bestmöglichen Schutz. SparkCognition DeepArmor als Next-Generation-AV-Lösung ist eine leichtgewichtige Lösung für den Einsatz im Enterprise- und SOHO-Bereich, die auch vor neuen und unbekannten Bedrohungen (0-day) wirkungsvoll und äußerst effizient schützt. Sie möchten DeepArmor evaluieren und sich selbst von der Leistungsfähigkeit von DeepArmor überzeugen? Senden Sie eine Mail an info AT ms-it-consulting.biz, wir beraten Sie gerne.

Weltweiter Ausbruch von Petya-Ransomware: DeepArmor hilft

Warum ist Petya so gefährlich?

Aktuell gibt es eine weltweite Angriffswelle, die auf der Petya-Ransomware basiert. Laut Berichten von Heise und Bleepingcomputer begann der Angriff zunächst in der Ukraine, es gibt aber mittlerweile auch zahlreiche weltweite Meldungen über Petya-Infektionen. Unter anderem wurde der operative Betrieb des Container-Transportgiganten Maersk stark beeinträchtigt und musste in Teilen heruntergefahren werden.

Ebenso wie WannaCry nutzt Petya ungepatchte Sicherheitslücken in Windows. Was die aktuell kursierende Version von Petya so gefährlich macht, ist die Tatsache, dass wichtige Bereiche auf der Festplatte (MFT und MBR) verschlüsselt und mit einem eigenen Bootloader überschrieben werden, was das betroffene Endgerät solange funktionsuntüchtig macht, bis das geforderte Lösegeld bezahlt wird, und selbst dann gibt es keine Garantie dafür, dass man wirklich den passenden Schlüssel zur Entschlüsselung erhält. Das ist im Heimbereich schon schlimm genug, falls das jedoch in einer größeren Organisation passiert, ist das eine echte Katastrophe.

Wie kann man sich vor Petya schützen?

Indem man beispielsweise eine Next Gen AV-Lösung verwendet. Ich hatte schon mehrfach SparkCognition DeepArmor erwähnt, eine Anti-Malware-Lösung der nächsten Generation, die auf machine learning und kognitiven Algorithmen basiert. DeepArmor stellt auch dieses Mal unter Beweis, dass es Petya wirkungsvoll ohne Signaturen stoppen kann, wie man im folgenden Video zweifelsohne erkennen kann:

SparkCognition DeepArmor vs. 50 current ransomware samples

Wer tatsächlich noch der Meinung ist, dass signaturbasierte Scanner ausreichend sind, um aktuelle Bedrohungen erkennen und abwehren zu können, den möchte ich mit diesem Test eines besseren belehren. Um die Leistungsfähigkeit von DeepArmor unter Beweis zu stellen, habe ich 50 aktuelle Ransomware-Samples gegen DeepArmor getestet, und das Ergebnis dürfte für sich sprechen: Alle Samples wurden erkannt und geblockt bzw. in die Quarantäne verschoben, was einer Erkennungsrate von 100% entspricht. Vergleichen Sie dazu auch die Erkennungsrate der Scan Engines, die bei VirusTotal zum Einsatz kommen, mit der von DeepArmor – im Video ist deutlich zu erkennen, dass kein einziger der 62(!) zum Einsatz kommenden Virenscanner alle Ransomware-Samples erkannt hat!

Was das in der Praxis bedeutet, kann sich nun jeder selbst ausmalen. Fakt ist – und diese Meinung vertrete ich nach wie vor –, dass signaturbasierte Virenscanner für mich zu einer aussterbenden Spezies gehören. Die Zukunft gehört ganz klar Next Generation-Lösungen wie SparkCognition DeepArmor, die auf machine learning und kognitive Algorithmen setzen. Anders kann man der Flut an Malware nicht mehr Herr werden, denn unterschiedliche Quellen beziffern die Anzahl der täglich neu erscheinenden Malware-Samples auf eine Zahl zwischen 300.000 und 800.000(!), Tendenz steigend – hier sind Signaturen schlicht und ergreifend wirkungslos.

Selbstverständlich wird es wahrscheinlich niemals einen 100%-Schutz vor Malware und Ransomware geben, aber mit Hilfe von moderner AV-Software wie DeepArmor ist es zumindest möglich, den Schutz von Endgeräten drastisch zu verbessern. Nun genug der vielen Worte: Schauen Sie sich das Video an und bilden sich selbst ein Urteil:

Für Fragen verwenden Sie bitte das Kontaktformular auf www.securedsector.com oder senden mir eine Mail unter info AT msitc.eu.

 

SparkCognition DeepArmor, ein Malwareschutz der nächsten Generation auf Basis von machine learning und kognitiven Algorithmen

Über SparkCognition DeepArmor hatte ich vor einiger Zeit schon mal kurz berichtet. Nun hat sich mir die Gelegenheit geboten, DeepArmor als Next-Gen AV zu evaluieren. Ich möchte an dieser Stelle gleich vorweg nehmen, dass man ein solches Produkt nicht einfach nur in einem Blogbeitrag kurz abhandeln kann, deshalb werden zu diesem Thema noch weitere Beiträge folgen. Ich möchte zum Einstieg auch nicht gleich mit einer epischen Erörterung hinsichtlich der Funktionsweise von DeepArmor beginnen, sondern beschränke mich an dieser Stelle zunächst darauf, dass SparkCognition DeepArmor komplett ohne Signaturen arbeitet.

image

Stattdessen verwendet DeepArmor Techniken wie machine learning und kognitive Algorithmen. Was man sich darunter im einzelnen vorstellen kann, werde ich in einem weiteren Artikel ausführlicher erörtern – hier möchte ich es zunächst dabei bewenden lassen, dass es in der Praxis ziemlich gut funktioniert. Damit Sie sich ein besseres Bild machen können, habe ich ein Video erstellt, in dem die Erkennung von aktuellen Ransomware-Samples im Vordergrund steht:

WannaCry reloaded: EternalRocks verwendet weitere NSA-Tools zur Weiterverbreitung

Was ist EternalRocks?

Der Sicherheitsforscher Miroslav Stampar – Mitglied des kroatischen CERT (Computer Emergency Response Team) – hat vor kurzem eine neue WannaCry-Variante entdeckt, die er EternalRocks getauft hat. Dieser Name basiert vermutlich auf der Tatsache, dass EternalRocks sieben Tools aus dem NSA-Arsenal verwendet, um Sicherheitslücken in Windows-Systemen aufzuspüren und auszunutzen. Folgende Exploits werden von EternalRocks verwendet:

– EternalBlue
– EternalChampion
– EternalRomance
– EternalSynergy

Darüber hinaus macht EternalRocks Gebrauch von SMBTouch und ArchiTouch, zwei weiteren NSA-Tools, die zum Aufspüren von verwundbaren Systemen verwendet werden. Last but not least kommt natürlich auch DoublePulsar zum Einsatz, mit dessen Hilfe der Wurm sich auf anderen verwundbare Systemen verbreiten kann.

Im aktuellen Zustand kann man sich EternalRocks als einsatzbereite Rakete ohne Gefechtskopf vorstellen. Es ist jedoch nur eine Frage der Zeit, bis eine scharfe Variante von EternalRocks erscheint, die weitere Funktionalität mitbringt.

Wie funktioniert EternalRocks?

Nach dem der Wurm ein Opfer infiziert hat, verwendet er ein zweistufiges Verfahren, um weiteren Schadcode nachzuladen, wobei die zweite Phase verzögert eintritt, um Abwehrmaßnahmen zu unterlaufen. Im ersten Schritt lädt EternalRocks den Tor-Client herunter und sendet ein Signal an seinen Command & Control-Server im Tor-Netzwerk. Der C2-Server sendet dann nach 24 Stunden ein Echo zurück; diese Verzögerung kommt häufig bei Malware zum Einsatz, um die Infektion eines Systems zu verschleiern. EternalRocks enthält übrigens keinen Killswitch-Mechanismus und ist daher auch nicht so einfach auszuschalten wie WannaCry.

Im zweiten Schritt der Installation von EternalRocks wird ein Archiv heruntergeladen, das weitere Malware enthält. Anschließend führt der Wurm einen Scan durch und versucht sich zu einem zufällig ausgewählten anderen Endpoint zu verbinden.

Was macht EternalRocks so gefährlich?

Während WannaCry eher der sprichwörtliche Elefant im Porzellanladen und viel Schaden angerichtet hat, ist EternalRocks offensichtlich für unauffälligere Operationen entwickelt worden. Durch den modularen Aufbau und die Fähigkeit, weitere Malwarekomponenten wie Trojaner, Ransomware oder sonstiges nachzuladen, ist EternalRocks deutlich vielseitiger und auch gefährlicher.

Fazit

Wenn man so möchte, dann hat WannaCry die Büchse der Pandora geöffnet. Nach wie vor gibt es weltweite viele ungepatchte und damit anfällige Windows-Systeme, und da es keine Frage des ob, sondern des wann ist, bis eine vollständig aufmunitionierte Variante von EternalRocks erscheint, sollte man sich unbedingt Gedanken über einen zeitgemäßen und wirksamen Schutz vor Malware sowohl auf Endgeräten als auch auf Servern machen, denn was aktuell geschieht, ist erst der Anfang dessen, was noch alles auf uns zukommen wird.

Übrigens: Lassen Sie sich nicht von der Erkennungsrate hinsichtlich der bislang bekannten EternalRocks-Samples täuschen. Zum einen wurden diese bereits vor vier bzw. fünf Tagen (Stand: 23.05.17) auf Github hochgeladen, und zum anderen sollten fünf Tage selbst dem langsamsten AV-Hersteller in Bezug auf aktualisierte Signaturen genügen, diese auf Vordermann zu bringen.

Selbst ein tagesaktuelles Sample, das vor exakt 16 Stunden und 9 Minuten zu VirusTotal hochgeladen wurde, wird aktuell (23.05.17/2059h) gerade mal von 39 von 61 Virenscannern erkannt:

https://www.virustotal.com/en/file/44472436a5b46d19cb34fa0e74924e4efc80dfa2ed491773a2852b03853221a2/analysis/

Ich glaube, dieses niederschmetternde Ergebnis spricht für sich und bedarf nicht mehr vieler Worte…

Welche traditionelle AV-Software ist heutzutage noch empfehlenswert? Keine!

Zugegebenermaßen, die Headline klingt etwas reißerisch. Soll sie aber auch. Nach der WannaCry-Kampagne, von der wohl jeder durch zahlreiche Berichte in Funk und Fernsehen Mitte Mai 2017 gehört haben dürfte, wurde ich nach Empfehlungen für ein “sicheres” AV-Programm gefragt, das aber natürlich nach Möglichkeit auch nichts kosten sollte. Zum letzteren Thema möchte ich nur folgendes sagen: Wer bereits am Virenschutz sparen möchte, der muss auch damit leben, dass sein Monitor als Reklametafel verwendet wird – wer freie Versionen von bekannter AV-Software wie beispielsweise Avast oder Avira verwendet, wird wissen, was ich meine.

Das soll jetzt aber nicht das Thema sein. Ich kann tatsächlich niemand guten Gewissens einen Malwareschutz empfehlen, der das erste WannaCry-Sample am Tag des Ausbruchs (12.05.17) auch nach mehreren Stunden(!) in der Umlaufbahn nicht erkannt hat. Dies trifft gemäß folgendem Screenshot (Quelle: http://blog.fefe.de/?mon=201705) dann wohl auf alle Virenscanner zu, die bei VirusTotal zum Einsatz kommen, und das sind immerhin an die 60(!) Scan Engines. Da darunter auch Virenscanner sind, die nur ausführbare Dateien scannen, verringer sich die Anzahl auf 56:

Jetzt wird natürlich der ein oder andere zunächst entrüstet aufschreien und darauf hinweisen, dass bei VirusTotal üblicherweise die Kommandozeilenscanner der jeweiligen Produkte zum Einsatz kommen und deshalb nur rein signaturbasiert gescannt wird. Dieses Argument ist natürlich richtig, aber dem halte ich entgegen, dass primär signaturbasierte Scanner sowieso ein Relikt aus der Vergangenheit sind und auch ein Kommandozeilenscanner in der Regel cloudbasiert scannen kann, d.h. Hashwerte, die über die jeweiligen Clouds der einzelnen Hersteller aktualisiert und verteilt werden, kommen üblicherweise schneller auf dem Endpoint an als Signaturupdates.

Oder lag es daran, dass das Wochenende vor der Türe stand und auch Malwareanalysten gerne  Feierabend machen möchten? Das sei ihnen auf jeden Fall gegönnt, doch dann muss man sich auch die Frage stellen, wie wirkungsvoll der Schutz durch Antiviren-Software ist, die keine zeitnahen Updates via Cloud oder was auch immer (z.B. Signaturen) erhält. Vergleichen Sie am besten selbst einmal die vollmundigen Werbeaussagen von der “intelligenten Cloud”, die mittels “maschinenbasierten Lernen” unbekannte Bedrohungen in Echtzeit sofort und zuverlässig abwehren kann mit der harten Realität – aus meiner Sicht klafft da eine gewaltige Lücke.

Wie das mit einer modernen Next-Generation-Lösung wie Cylance aussehen kann, zeigt dieser Blogartikel von Cylance zum Thema WannaCry.  Der Vollständigkeit halber möchte ich erwähnen, dass ich aus zuverlässiger Quelle weiß, dass auch eine ältere Version von CylancePROTECT WannaCrypt problemlos entdeckt und gestoppt hätte:

CylancePROTECT and WannaCry

Über DeepArmor von SparkCognition hatte ich bereits berichtet; auch diese Next-Gen AV-Lösung hat WannaCry erkannt und gestoppt, ohne vorher jemals das Sample gesehen zu haben:

Ich möchte es an dieser Stelle jedem selbst überlassen, sich Gedanken darüber zu machen, wie die Zukunft im AV-Bereich aussehen wird – für mich ist es mittlerweile glasklar, und das manifestiert sich auch in der Überschrift.

Sparkcognition DeepArmor Next-Gen AV bietet Schutz vor WannaCry-Ransomware

In meinem Artikel von gestern hatte ich über die weltweite Ausbreitung der WannaCry-Ransomware berichtet. Dass eine Sicherheitslücke in Windows-Betriebsystemen ausgenutzt wird, ist die eine Sache, dass aber offensichtlich auch AV-Software WannaCry/Wana Decrypt0r nicht erkannt hat, die andere. Ehrlich gesagt verblüfft mich das aber auch nicht weiter, denn traditionelle AV-Software tut sich zunehmend schwerer damit, Ransomware zu erkennen und wirkungsvoll zu stoppen. Erpresstes Lösegeld aus Ransomware-Infektionen ist schnell und leicht verdientes Geld, und deshalb versuchen Cyberkriminelle natürlich auch, ihre Ransomware so gut wie möglich vor der frühzeitigen Entdeckung durch AV-Software zu schützen, was ihnen in den meisten Fällen auch gelingt.

Selbst mit Techniken wie verhaltensbasierter Kontrolle oder Sandboxing bekommt man Ransomware nicht effektiv in den Griff – hier hilft aus meiner Sicht nur Application Whitelisting und der Einsatz von Anti-Malware-Lösungen der nächsten Generation. Dass ich mit meiner Einschätzung nicht ganz falsch liege, zeigt ein Blogbeitrag von Sparkcognition, der mit DeepArmor eine Next Gen AV-Software im Portfolio hat. Während wie bereits erwähnt offensichtlich zahlreiche traditionelle AV-Lösungen WannaCry nicht erkannt haben, hat DeepArmor ohne Signaturenupdates oder dergleichen die Ransomware identifiziert und gestoppt:

Bemerkenswert daran ist, dass DeepArmor diese Ransomware-Variante noch nie zuvor gesehen hat, aber aufgrund seiner Funktionsweise (machine learning und artificial intelligence) in der Lage war, sie zu erkennen und unschädlich zu machen. DeepArmor wurde mit mit tausenden von sauberen und bösartigen Programmen trainiert und konnte deshalb Ähnlichkeiten zwischen den in WannaCry und vorhergehenden Ransomware-Varianten verwendeten Techniken erkennen. Wer glaubt, dass das alles auf dem Mist der Marketingabteilung von Sparkcognition gewachsen ist, den möchte ich eines besseren belehren: Ich habe mittlerweile einiges an Erfahrung mit einem adäquaten Produkt sammeln können, das ebenfalls signaturenlos und auf Basis von mathematischen Modellen und machine learning arbeitet, und wer eine derartige Lösung einmal im praktischen Einsatz erlebt hat, möchte nichts anderes mehr haben.

Abschließend möchte ich nochmal deutlich betonen, dass die Zukunft im Bereich Endpoint Security aus meiner Sicht ganz klar den AV-Lösungen der nächsten Generation gehört. Das sage ich nicht, weil ich es schick finde, jeden Trend mitmachen zu müssen, sondern weil ich als IT Security Analyst und Incident Responder täglich sehe, was in der Praxis funktioniert – oder eben auch nicht. Insbesondere im Unternehmensumfeld sollte man sich vor Augen führen, dass Endgeräte aus IT Security-Sicht der schwächste Punkt im Glied sind und dementsprechend auch effektiv geschützt werden müssen.

Wana Decrypt0r Ransomware verbreitet sich weltweit und nutzt fortgeschrittene Angriffs- und Infektionsvektoren

Einführung

Es vergeht kaum ein Tag, an dem nicht über eine neue Ransomware-Variante berichtet wird, aber die heute (12. Mai 2017) gestartete WannaCrypt0r-Campaign ist in mehrfacher Hinsicht herausragend:

  • Wana Decrypt0r/WannaCrypt/WanaCrypt0r ist extrem virulent und nutzt dazu eine Schwachstelle unter Windows aus. Alle Windows-Systeme, auf denen der Patch MS17-010 noch nicht eingespielt wurde, sind für diese Schwachstelle und somit auch für Wana Decrypt0r anfällig
  • Zusätzlich bringt Wana Decrypt0r die Malware DOUBLEPULSAR mit, die sehr tief ins System eingreift (Windows Kernel Ring-0) und zum Nachladen und installieren weiterer Malware verwendet wird

Die Kombination dieser beiden Angriffstechniken hat bislang dazu geführt, dass innerhalb weniger Stunden bereits über 57.000 Wana Decrypt0r-Infektionen weltweit aufgetreten sind. Besonder schwer betroffen sind Hospitale und Kliniken in UK, aber auch Firmen in Spanien im Telekommunikations- und Energiesektor sowie in weiteren Ländern. Wer auch immer hinter dieser fiesen neuen Ransomware-Variante steckt, hat ganze Arbeit geleistet, wie diese Infografik zeigt:

 

Quelle: bleepingcomputer.com

 

Infektionsvektor

Wana Decrypt0r verbreitet sich zunächst per Mail mit maliziösen Attachments. Sobald ein System erfolgreich kompromittiert wurde, versucht Wana Decrypt0r, sich wurmartig auf andere Systeme zu verbreiten und nutzt dazu u.a. auch offene RDP-Sitzungen. Um die weitere Verbreitung zu ermöglichen, scannt Wana Decrypt0r weitere Endgeräte in einem Netzwerk und versucht dann ebenfalls, die bereits erwähnte Schwachstelle auszunutzen.

Mitigationsstrategien

  • Sofern der MS Patch MS17-010 noch nicht per Windows Update automatisch installiert wurde, sollte dieser so schnell wie möglich installiert werden, da nur damit die Sicherheitslücke geschlossen wird, die von Wana Decrypt0r ausgenutzt wird
  • Mails von unbekannten Absendern mit zweifelhaftem Inhalt oder Attachments sollten nicht geöffnet, sondern sofort gelöscht werden. Klicken Sie ebenfalls nicht auf Links in Mails, die von unbekannten Absendern stammen!
  • Verwenden Sie eine zuverlässige Endpoint Protection-Lösung wie SecureAPlus auf Basis von Application Whitelisting, um das Ausführen von unbekannten Programmen zu unterbinden. Verlassen Sie sich nicht auf die Erkennung von Wana Decrypt0r durch Ihre AV-Software, da davon auszugehen ist, dass es schon bald polymorphe Varianten geben wird
  • Erstellen Sie regelmäßig Backups und stellen Sie sich sicher, dass diese sich an einem sicheren Ort befinden

 

Unterstützung im Schadensfall

Sie sind bereits betroffen und benötigen schnelle Hilfe? Nutzen Sie unser Kontaktformular und senden uns eine Nachricht.

 

Weiterführende Informationen

https://www.bleepingcomputer.com/news/security/wana-decrypt0r-ransomware-using-nsa-exploit-leaked-by-shadow-brokers-is-on-a-rampage/

https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/

Einfache und sichere Backups mit Strato HiDrive und Iperius Backup/Duplicati – Teil 1

Mit schöner Regelmäßigkeit werde ich von Kunden auf das Thema Backup angesprochen, meist in Zusammenhang mit Ransomware. Wer einmal erlebt hat, wie Ransomware innerhalb kurzer Zeit wichtige Daten verschlüsselt und dann feststellen muss, dass sein Backup bzw. die Rücksicherung nicht funktioniert, wird mit mit Sicherheit kein zweites Mal vor dieser sehr unangenehmen (und bei KMUs vielleicht sogar existenzbedrohenden!) Situation stehen wollen. Ich möchte mich an dieser Stelle primär dem Thema Cloud Backup widmen, weil es dazu einige wichtige Aspekte zu beachten gilt – einfach nur drauslossichern sollte man weder als Privatanwender noch als Unternehmen. Da sich Strato HiDrive als Online-Speicher nach meinen Erfahrungen als sehr zuverlässig herausgestellt hat, spreche ich unseren Kunden auch eine klare Empfehlung dafür aus; auf die Gründe dafür gehe ich noch näher ein.

Last but not least möchte ich mit diesem Artikel hauptsächlich KMUs (Kleine und mittlere Unternehmen) sowie Privatanwender im Home-Bereich ansprechen, da es in diesen Bereichen oftmals an funktionierenden und praxiserprobten Backupkonzepten mangelt oder diese im schlimmsten Fall gar nicht vorhanden sind. Größere Unternehmen verfügen üblicherweise über eine dedizierte Backup-Infrastruktur mit entsprechender Soft- und Hardware (Tape Libraries o.ä.) für den Einsatz im Enterprise-Bereich.

Rechtliche Aspekte beim Cloud Backup mit Strato HiDrive

Ich möchte an dieser Stelle gleich vorweg nehmen, dass ich nicht in allen Punkten ein großer Verfechter von Cloud-Strategien bin. Es gibt mit Sicherheit Situationen bzw. Anwendungsbereiche, in denen eine Datenspeicherung in der Cloud Sinn macht, aber genauso wenig sinnvoll ist es, krampfhaft die komplette IT-Infrastruktur in die Cloud auslagern zu wollen. Das ist aber ein anderes Thema, deshalb werde ich das an dieser Stelle auch nicht weiter vertiefen.

Sinn macht auf jeden Fall das Thema Cloud Backup, allerdings nur unter folgenden Rahmenbedingungen:

  • Zu sichernde Daten müssen sicher verschlüsselt sein, bevor sie in die Cloud gelangen
  • Die Verschlüsselung sollte auf als sicher geltenden Standards wie AES basieren, obskuren selbstprogrammierten Algorithmen in Backup-Software sollte man besser aus dem Weg gehen
  • Sowohl Unternehmensdaten als auch private Datenbestände wie Urlaubsbilder, Dokumente, Mailarchive usw. sollten unbedingt bei einem Cloud Provider gespeichert werden, der seinen Unternehmenssitz in Deutschland hat und – noch wichtiger – seine Rechenzentren ausschließlich in Deutschland betreibt, denn dann kommt das strenge deutsche Datenschutzgesetz zur Anwendung
  • Wer seine Daten bei einem ausländischen Anbieter oder in einem Rechenzentrum im Ausland speichert, muss damit rechnen, dass ausländische Nachrichtendienste wie die NSA auf diese Daten zugreifen können. Es ist ein offenes Geheimnis, dass speziell amerikanische Nachrichtendienste sich nicht an bestehende Gesetze halten, sondern sich einfach darüber hinweg setzen
  • Nach Möglichkeit TÜV-Zertifizierung nach ISO 27001

Technische Aspekte beim Cloud Backup mit Strato HiDrive

Neben den rechtlichen Aspekten gibt es auch noch technische, die nicht ganz unwichtig sind. An erster Stelle stehen hier die unterstützten Protokolle, die für Cloud Backups verwendet werden können. Grundsätzlich gilt hier: Je mehr, desto besser, und hier kann Strato HiDrive ganz klar punkten. Obwohl der Protokollstack nur optional gegen Aufpreis erhältlich ist, sollte diese Option unbedingt hinzu gebucht werden. Der Grund dafür liegt auf der Hand: Je mehr Endgeräte gesichert werden sollen, desto größer ist die Vielzahl der Protokolle, die unterstützt werden müssen. Im Strato HiDrive-Protokollpaket sind folgende Zugriffsmöglichkeiten enthalten:

  • FTP
  • FTPS
  • WebDav
  • SFTP
  • rsync (auch SSH-verschlüsselt)
  • SMB/CIFS
  • GIT-Versionsmanagement

Ohne das optionale Protokollpaket ist nur der Zugriff über die Weboberfläche sowie die von Strato bereitgestellte Windows-Software zur Synchronisierung von Daten möglich, was vielleicht noch für den Privatanwender brauchbar, aber spätestens im Unternehmenseinsatz unzureichend ist. Hinzu kommt, dass automatisierte Backups damit ebenfalls nicht möglich sind, sondern immer von Hand angestoßen werden müssen. Als Workaround kann man beispielsweise auf ein NAS im lokalen Netzwerk sichern und die Daten von dort über das Webinterface in die Cloud kopieren, doch komfortabel ist was anderes.

Selbstverständlich muss auch die verwendete Backup-Software in der Lage sein, Cloud Backups zu erstellen und das Protokollpaket von Strato HiDrive zu unterstützen. Zu einem vernünftigen Backup-Konzept gehört u.a. auch die Frage nach Art und Umfang der zu sichernden Daten sowie Endgeräte, die unterstützt werden müssen. Ich konzentriere mich an dieser Stelle auf Clients mit Windows-Betriebssystem und werde in zweiten Teil dieses Beitrags zwei Backup-Lösungen für Windows vorstellen, die sich in der Praxis hervorragend bewährt haben.

SecureAPlus 4.6.0 verfügbar

Am 18. April wurde SecureAPlus 4.6.0 released. Das Changelog mit den Änderungen finden Sie nachfolgend:

 

Was ist neu:

  • Treiber wurden zusätzlich von Microsoft signiert 
  • Export-/Import-Funktion für USB-Speicher
  • Beschreibung für USB-Speicher-Richtlinien wurde hinzugefügt
  • Der Einstellungsdialog für entfernbare Medien (USB) wude überarbeitet

 

Beseitigte Fehler:

  • SecureAPlus konnte die Benachrichtigung für nicht vertraute Eingaben in der Befehlszeile nicht anzeigen, wenn die Kommandozeile zu lang war
  • Fehler in der Farbdarstellung beseitigt (Messagebox wurde in schwarz dargestellt, es hätte aber stattdessen die Einstellung aus dem aktuellen Theme verwendet werden sollen)
  • Übersetzung wurde angepasst
  • Wenn die Trusted-Gruppe leer war, dann wurde dieser Status nicht an den SecureAge Management Server übermittelt
  • Nachdem die Whitelist erfolgreich komprimiert wurde, hat sich die Beschriftung der Buttons in der Messagebox geändert (von “Cancel” auf “Ok”)
  • Die Hintergrundfarbe für Benachrichtigungen und das manuelle Scannen folgte nicht den Farbeinstellungen im aktuellen Theme

 

Modifikationen

  • Darstellungen in hochauflösenden Bildschirmeinstellungen wurden optimiert
  • Bei der Bearbeitung von Scripten im interaktiven Modus wird nun der Elternprozess angezeigt, der den Script-Interpreter gestartet hat
  • Crash beseitigt, der auftrat, wenn über das Kontextmenü im Explorer ein digitales Zertifikat überprüft wurde
  • Dialoge überarbeitet, es werden nun die Einstellungen für die Hintergrundfarbe aus dem aktuellen Theme verwendet
  • Der weiße Rahmen in den Standard-Buttons wurde entfernt
  • Deutsche Übersetzung wurde aktualisiert

 

Obgleich keine tiefgreifenden neuen Features eingeführt wurden, ist das Update dennoch empfehlenswert, da einige Fehler beseitigt und die Übersetzung ins deutsche optimiert wurden. Sie erhalten den Lizenzkey für die Premium-Version von SecureAPlus 4.6.0 im MSITC Shop. Sehen Sie darüber hinaus, wie effizient Application Whitelisting auf Basis von SecureAPlus im Einsatz gegen Ransomware funktioniert: