von Redaktion IT-A…
Lesezeit
2 Minuten
Seite 2 - Führungskräfte für IT-Sicherheit sensibilisieren (2)
So leicht gelangen unerwünschte Dateien ins Netz
Angriffe auf Benutzer sind leicht durchzuführen, da sie kein tiefergehendes technisches Know-how erfordern. Gefragt sind dafür eher Kompetenzen wie Kreativität und Fleiß, das haben die zahlreichen erfolgreichen Ransomware-Attacken der jüngeren Vergangenheit gezeigt. So schickte die nach einem James-Bond-Film benannte Malware "Golden Eye" im Dezember 2016 Mitarbeitern der Personalabteilung E-Mails mit dem Betreff "Bewerbung". Später wurde der Betreff sogar auf tatsächliche Stellenanzeigen ausgeweitet, die auf der Website des jeweiligen Unternehmens tatsächlich ausgeschrieben waren. Der Dateianhang – meist eine Excel-Tabelle – enthielt allerdings statt des angekündigten Lebenslaufs ein Makro, das als Dropper für den eigentlichen Schadcode fungierte. Golden Eye wurde von seinem Entwickler als "Ransomware-as-a-Service" bereitgestellt, was zusätzlich für eine schnelle Verbreitung sorgte. Aber auch wer nicht mieten möchte, kann sich heutzutage eine einfache Malware dank zahlreicher Malwarebaukästen im Internet einfach zusammenklicken.
Die Herausforderung liegt dann eher darin, die Malware dem Opfer unterzujubeln und vor dem Virenscanner zu verbergen. Natürlich sollten Sie aber bei Ihrer Vorstellung nicht mit Hacker-Baukästen aus dubiosen Quellen hantieren. Besser verwenden Sie zur Demonstration das Programm "IExpress", das Bestandteil jeder Windows-Installation ist. IExpress ist eigentlich ein Werkzeug für Systemadministratoren, die damit Software paketieren und mit einer Installationsroutine ausstatten. Es kann aber auch dazu genutzt werden, Programme so zu verändern, dass sie anschließend von vielen Virenscannern nicht mehr als Schadcode erkannt werden.
Als Test-Malware für Ihre Demonstration eignet sich beispielsweise das Anti-Malware-Testfile des "European Institute for Computer Antivirus Research" (EICAR), das Sie unter [9] in verschiedenen Formaten herunterladen können. Erläutern Sie zunächst, dass aufgrund der speziellen Signatur in der Datei jeder Virenscanner in der Lage sein muss, die Datei als "EICAR Test AV" zu erkennen. Danach modifizieren Sie die Datei mit IExpress und prüfen erneut mit dem Virenscanner. Alternativ können Sie natürlich auch einen Online-Scanner wie Virustotal verwenden. Bei unserem Test mit einer derart präparierten EICAR-Testdatei haben von den 64 Engines bei VirusTotal nur 29 angeschlagen.
Um eine so präparierte Datei ans Ziel zu bringen, eignet sich am besten eine Phishing-E-Mail. Schließlich entfernen E-Mail-Gateways und -Clients wie Outlook längst EXE-Dateien von eingehenden E-Mails. Das Opfer muss also dazu gebracht werden, die Malware selbst von einer Website herunterzuladen. Viele Unternehmen verzichten noch heute auf das Scannen von SSL-Traffic. Liefern Sie die Datei an die Zielperson entsprechend über eine HTTPS-Verbindung aus, reduziert dies die Gefahr, entdeckt zu werden noch einmal erheblich.
Die Phishing-E-Mail mit dem Download-Link sollte natürlich möglichst authentisch sein. Zur Demonstration bedienen Sie sich daher am besten Dropbox, OneDrive oder Google Drive. Dort teilen Sie Ihre Malware dann einfach über die Freigabefunktion mit der Zielperson per E-Mail. Ein vertrauenswürdiger Absender lässt sich ebenso leicht vorgaukeln, wenn Sie bei der Registrierung des entsprechenden Accounts als Benutzernamen beispielsweise "Software-Update" oder einen vergleichbaren Namen angeben. Teilen Sie mit einem solchen Account eine per IExpress präparierte Datei, erhält das Opfer so eine E-Mail von "Dropbox Software-Update" mit der Aufforderung, das neueste Sicherheitsupdate einzuspielen. Sicher gibt es noch viele weitere kreative Ansätze, um das Führungspersonal von der Notwendigkeit entsprechender Abwehrmaßnahmen zu überzeugen.
Seite 2: So leicht gelangen unerwünschte Dateien ins Netz
Im dritten Teil beschäftigen wir uns damit, wie Sie die Gefahren offener Schnittstellen darstellen. Im ersten Teil des Workshops haben wir geschildert, wie Sie mit Alltagsbeispielen Verwundbarkeiten vorführen.
jp/ln/Thomas Zeller
[9] www.eicar.org
Angriffe auf Benutzer sind leicht durchzuführen, da sie kein tiefergehendes technisches Know-how erfordern. Gefragt sind dafür eher Kompetenzen wie Kreativität und Fleiß, das haben die zahlreichen erfolgreichen Ransomware-Attacken der jüngeren Vergangenheit gezeigt. So schickte die nach einem James-Bond-Film benannte Malware "Golden Eye" im Dezember 2016 Mitarbeitern der Personalabteilung E-Mails mit dem Betreff "Bewerbung". Später wurde der Betreff sogar auf tatsächliche Stellenanzeigen ausgeweitet, die auf der Website des jeweiligen Unternehmens tatsächlich ausgeschrieben waren. Der Dateianhang – meist eine Excel-Tabelle – enthielt allerdings statt des angekündigten Lebenslaufs ein Makro, das als Dropper für den eigentlichen Schadcode fungierte. Golden Eye wurde von seinem Entwickler als "Ransomware-as-a-Service" bereitgestellt, was zusätzlich für eine schnelle Verbreitung sorgte. Aber auch wer nicht mieten möchte, kann sich heutzutage eine einfache Malware dank zahlreicher Malwarebaukästen im Internet einfach zusammenklicken.
Die Herausforderung liegt dann eher darin, die Malware dem Opfer unterzujubeln und vor dem Virenscanner zu verbergen. Natürlich sollten Sie aber bei Ihrer Vorstellung nicht mit Hacker-Baukästen aus dubiosen Quellen hantieren. Besser verwenden Sie zur Demonstration das Programm "IExpress", das Bestandteil jeder Windows-Installation ist. IExpress ist eigentlich ein Werkzeug für Systemadministratoren, die damit Software paketieren und mit einer Installationsroutine ausstatten. Es kann aber auch dazu genutzt werden, Programme so zu verändern, dass sie anschließend von vielen Virenscannern nicht mehr als Schadcode erkannt werden.
Als Test-Malware für Ihre Demonstration eignet sich beispielsweise das Anti-Malware-Testfile des "European Institute for Computer Antivirus Research" (EICAR), das Sie unter [9] in verschiedenen Formaten herunterladen können. Erläutern Sie zunächst, dass aufgrund der speziellen Signatur in der Datei jeder Virenscanner in der Lage sein muss, die Datei als "EICAR Test AV" zu erkennen. Danach modifizieren Sie die Datei mit IExpress und prüfen erneut mit dem Virenscanner. Alternativ können Sie natürlich auch einen Online-Scanner wie Virustotal verwenden. Bei unserem Test mit einer derart präparierten EICAR-Testdatei haben von den 64 Engines bei VirusTotal nur 29 angeschlagen.
Um eine so präparierte Datei ans Ziel zu bringen, eignet sich am besten eine Phishing-E-Mail. Schließlich entfernen E-Mail-Gateways und -Clients wie Outlook längst EXE-Dateien von eingehenden E-Mails. Das Opfer muss also dazu gebracht werden, die Malware selbst von einer Website herunterzuladen. Viele Unternehmen verzichten noch heute auf das Scannen von SSL-Traffic. Liefern Sie die Datei an die Zielperson entsprechend über eine HTTPS-Verbindung aus, reduziert dies die Gefahr, entdeckt zu werden noch einmal erheblich.
Die Phishing-E-Mail mit dem Download-Link sollte natürlich möglichst authentisch sein. Zur Demonstration bedienen Sie sich daher am besten Dropbox, OneDrive oder Google Drive. Dort teilen Sie Ihre Malware dann einfach über die Freigabefunktion mit der Zielperson per E-Mail. Ein vertrauenswürdiger Absender lässt sich ebenso leicht vorgaukeln, wenn Sie bei der Registrierung des entsprechenden Accounts als Benutzernamen beispielsweise "Software-Update" oder einen vergleichbaren Namen angeben. Teilen Sie mit einem solchen Account eine per IExpress präparierte Datei, erhält das Opfer so eine E-Mail von "Dropbox Software-Update" mit der Aufforderung, das neueste Sicherheitsupdate einzuspielen. Sicher gibt es noch viele weitere kreative Ansätze, um das Führungspersonal von der Notwendigkeit entsprechender Abwehrmaßnahmen zu überzeugen.
Seite 2: So leicht gelangen unerwünschte Dateien ins Netz
Im dritten Teil beschäftigen wir uns damit, wie Sie die Gefahren offener Schnittstellen darstellen. Im ersten Teil des Workshops haben wir geschildert, wie Sie mit Alltagsbeispielen Verwundbarkeiten vorführen.
| << Vorherige Seite | Seite 2 von 2 |
jp/ln/Thomas Zeller
[9] www.eicar.org
