Neues von DiSiNet.

WannaCry & Co.: So schützen Sie sich

15.05.2017 18:05 Uhr Gerald Himmelein aus:

https://www.heise.de/security/meldung/WannaCry-Co-So-schuetzen-Sie-sich-3714596.html

Nach WannaCry ist vor dem nächsten Erpressungstrojaner. Was Gefährdete jetzt tun sollten, wie Sie sich vor Nachahmern schützen können und welche Optionen bleiben, wenn der Verschlüsselungstrojaner schon zugeschlagen hat.

Nur weil von der Urfassung von WannaCry keine akute Gefahr mehr ausgeht, dürfen sich Windows-Nutzer nicht einfach zurücklehnen. Noch am Wochenende wurden neue Versionen des Erpressungstrojaners gesichtet, die sich nach Aufbau einer Netzverbindung nicht mehr automatisch schlafen legen.

Es begann am Abend des 12. Mai 2017 mit Schreckensmeldungen aus Großbritannien: Der Krypto-Trojaner WannaCry verbreitete sich weltweit, legte hunderttausende nicht gepatchter oder veralteter Rechner lahm und richtete immensen Schaden an.

Wer noch Rechner mit Windows 8.0 oder gar Windows XP einsetzt, der darf sie auf keinen Fall ans Netz lassen – auch nicht ins lokale Netzwerk. Erster Schritt sollte sein, den Sicherheits-Patch von Microsoft über einen USB-Stick offline einzuspielen. In einem LAN mit anderen potenziell verseuchten Rechnern sollten Sie als nächstes alle Schotten dicht machen, indem Sie mit Firewall-Regeln grundsätzlich alle eingehende Verbindungen blockieren.

Es ist zu befürchten, dass andere Erpresser durch WannaCry auf den Geschmack kommen und ihre Trojaner ebenfalls „wurmifizieren“. Dabei setzen sie womöglich auf weitere Sicherheitslücken. Deshalb reicht es auch nicht, die von WannaCry zur Weiterverbreitung verwendeten Ports (445/139 sowie 3389) zu sperren.

Die Sicherheits-Basics

Halten Sie Ihr System auf dem aktuellen Stand, indem Sie stets alle Sicherheits-Updates umgehend einspielen. Im Zweifelsfall sollten Sie in den Windows-Update-Einstellungen nachsehen, ob womöglich ein Neustart für die Update-Installation ansteht.

Stellen Sie sicher, dass Ihr Virenschutz auf dem aktuellen Stand ist. Zwar fallen auch Virenscanner gelegentlich durch Sicherheitslücken auf, aber ein Verzicht auf Virenschutz ist auch keine Lösung. Der von Microsoft bereitgestellte Windows Defender ist hier das Minimum.

Backups bleiben weiterhin alternativlos. Dabei sollten Sie darauf achten, diese Daten auf einem externen Speichermedium zu sichern. Hängt das Medium zum Zeitpunkt des Trojanerbefalls am Rechner, verschlüsselt die Malware es gleich mit. Deshalb muss es nach der Sicherung umgehend abgemeldet und ausgeschaltet werden. Die wichtigsten Daten sollten auf einen USB-Stick passen, größere Datenmengen sichern Sie auf eine externe Festplatte.

Hygienemaßnahmen

Öffnen Sie keine verdächtigen Dateianhänge. Selbst wenn die Mails von Ihnen bekannten Adressen stammen, bietet das keine Sicherheitsgarantie – womöglich ist der Absender gefälscht oder dessen Rechner wurde kompromittiert. Oft stecken Trojaner in angeblichen Rechnungen.

Achten Sie darauf, dass Microsoft Office keine Makros ausführt. Benutzen Sie zum Betrachten von PDFs am besten einen PDF-Reader, der keine Skripte ausführt – Sumatra PDF ist eine zwar spartanische, aber sichere Alternative.

Starten Sie keine ausführbaren Dateien, die Ihnen nicht hundertprozentig vertrauenswürdig erscheinen. Überprüfen Sie deren Status sicherheitshalber mit einem Online-Scanner wie VirusTotal.

Lassen Sie keine Unbekannten „zu Wartungszwecken“ aus der Ferne auf Ihren Rechner zugreifen. Microsoft ruft keine Anwender aus heiterem Himmel an, um sie vor einem Malware-Befall zu warnen.

Mehr zum Thema auf:

https://www.heise.de/security/meldung/WannaCry-Co-So-schuetzen-Sie-sich-3714596.html

Readers of popular websites targeted by stealthy Stegano exploit kit hiding in pixels of malicious ads

By ESET Research posted 6 Dec 2016 – 12:00PM

exploit kit

 

Millions of readers who visited popular news websites have been targeted by a series of malicious ads redirecting to an exploit kit exploiting several Flash vulnerabilities. Since at least the beginning of October, users might have encountered ads promoting applications calling themselves “Browser Defence” and “Broxu” using banners similar to the ones below:

Stegano 2-y0vbp

These advertisement banners were stored on a remote domain with the URL hxxps://browser-defence.com and hxxps://broxu.com.

Without requiring any user interaction, the initial script reports information about the victim’s machine to the attacker’s remote server. Based on server-side logic, the target is then served either a clean image or its almost imperceptibly modified malicious evil twin.

The malicious version of the graphic has a script encoded in its alpha channel, which defines the transparency of each pixel. Since the modification is minor, the final picture’s color tone is only slightly different to that of the clean version:

Stegano Stegano

Using the known Internet Explorer vulnerability CVE-2016-0162, the encoded script attempts to verify that it is not being run in a monitored environment such as a malware analyst’s machine.

”If the script does not detect any signs of monitoring, it redirects to the Stegano exploit kit’s landing page, via the TinyURL service. The landing page loads a Flash file that is able to exploit three different vulnerabilities (CVE-2015-8651, CVE-2016-1019, CVE-2016-4117), depending on the version of Flash found on the victim’s system.

5-tgssh

Upon successful exploitation, the executed shell code collects information on installed security products and performs – as paranoid as the cybercriminals behind this attack – yet another check to verify that it is not being monitored. If results are favorable, it will attempt to download the encrypted payload from the same server again, disguised as a gif image.

The payload is then decrypted and launched via regsvr32.exe or rundll32.exe. Payloads detected so far include backdoors, banking trojans, spyware, file stealers and various trojan downloaders.

Technical analysis of the Stegano exploit kit

An earlier variant of this stealthy exploit pack has been hiding in plain sight since at least late 2014, when we spotted it targeting Dutch customers. In spring 2015 the attackers focused on the Czech Republic and now they have shifted their focus onto Canada, Britain, Australia, Spain and Italy.

In the earlier campaigns, in an effort to masquerade as an advertisement, the exploit kit was using domain names starting with “ads*.” and URI names containing watch.flv, media.flv, delivery.flv, player.flv, or mediaplayer.flv.

In the current campaign, they have improved their tactics significantly. It appears that the exploit pack’s targeting of specific countries is a result of the advertising networks the attackers were able to abuse.

We can say that even some of the other major exploit kits, like Angler and Neutrino, are outclassed by the Stegano kit in terms of referrals – ‘the websites onto which they managed to get the malicious banners installed. We have observed major domains, including news websites visited by millions of people every day, acting as “referrers” hosting these advertisements.

Upon hitting the advertising slot, the browser will display an ordinary-looking banner to the observer. There is, however, a lot more to it than advertising.

The steganography advertisement

In the vast majority of the cases, the advertisement was promoting a product called “Browser Defence” and it has been only recently when we started to detect banners promoting the software “Broxu”. However, for the sake of simplicity, and since the campaigns are practically identical (apart from the banner and its hosting domain, of course), only the “Browser Defence” campaign is analyzed below.

The advertisement was located at the browser-defence.com domain with a URI structure similar to the following (note the https):

hxxps://browser-defence.com/ads/s/index.html?w=160&h=600

6-pik7k

The index.html loads countly.min.js and feeds the initial parameters to the script. This countly, however, is not the stock library of the open source mobile & web analytics platform you would download from github. It is a heavily modified and obfuscated version, with some parts deleted and interlaced with custom code. This custom code is responsible for an initial environment check. Information about the environment is reported back to the server as XOR-encrypted parameters of the 1x1gif file, as captured in the image above.

The following information about the environment is sent:

systemLocale^screenResolution^GMT offset^Date^userAgent^pixelRatio

After that, the script will request the advertising banner. The server will reply with either a clean or a malicious version, most likely also depending on the previous environment check.

The script will then attempt to load the banner and read the RGBA structure. If a malicious version of the image was received, it will decode some Javascript and variables from the alpha channel

The steganography is implemented in the following way: Two consecutive alpha values represent the tens and ones of a character code, encoded as a difference from 255 (the full alpha). Moreover, in order to make the change more difficult to spot by naked eye, the difference is minimized using an offset of 32.

For instance, if the first few alpha bytes contained the values 239, 253, 237, 243, 239, 237, 241, 239, 237, 245, 239, 247, 239, 235, 239 and 237, they would decode to the word “function”. In this example, the first two alpha values 239, 253 would give us an ‘f’:

screen-shot-2016-12-06-at-09-59-34

A closer look at one of the clean banners and one with the Stegano code shows only a subtle difference.