:quality(80)/images.vogel.de/vogelonline/bdb/1479500/1479577/original.jpg "Moderne Security Information und Event Management-Systeme (SIEM) helfen Unternehmen ihre IT-Sicherheit zentral zu überwachen und Risiken so immer im Blick zu halten.")
-
IT Awards
Aktuelle Beiträge aus "IT Awards"
/cdn4.vogel.de/infinity/white.jpg "Moderne Security Information und Event Management-Systeme (SIEM) helfen Unternehmen ihre IT-Sicherheit zentral zu überwachen und Risiken so immer im Blick zu halten.")
IT-Awards 2019
Die beliebtesten Enterprise Network Firewalls 2019
IT-Awards 2019
Die beliebtesten Web Application Firewalls 2019
-
Bedrohungen
Aktuelle Beiträge aus "Bedrohungen"
Phishing-Angriffe – Teil 4
Vishing – Phishing per Sprachanruf
IoT-Sicherheit im Gesundheitswesen
Akute Bedrohung durch chronische Probleme
Security-Insider Podcast – Folge 17
Erinnerungslücken, Chips und Highlights
Phishing-Angriffe – Teil 3
Smishing oder warum SMS-Betrug nicht ausstirbt
-
Netzwerke
Aktuelle Beiträge aus "Netzwerke"
Sicher im Home Office
Was IT-Verantwortliche jetzt tun sollten
Security-Insider Podcast – Folge 17
Erinnerungslücken, Chips und Highlights
Mehr Sicherheit für WAN Edge
Höheres Sicherheitsniveau im Citrix SD-WAN
Abschied vom Perimeter
Ist Ihre Architektur bereit für SASE?
-
Plattformen
Aktuelle Beiträge aus "Plattformen"
SECURITY Cyberdefense & ID-Protection Techconference 2020
Das Zwiebelschalenprinzip der IT-Security
SECURITY Cyberdefense & ID-Protection Techconference 2020
Die Cloud erfordert neue Security-Konzepte
Security-Insider Podcast – Folge 17
Erinnerungslücken, Chips und Highlights
Konzept aus KI, ML und Automatisierung
Endpoint-Management und -Security vereint
-
Applikationen
Aktuelle Beiträge aus "Applikationen"
Datenschutz und Corona
11 Sicherheitstipps für den (Video-)Chat
Security-Insider Podcast – Folge 17
Erinnerungslücken, Chips und Highlights
Gemeinsame Programmiersprache als Basis
Automatisierung als Schlüssel für mehr IT-Sicherheit
Beta startet im Juli, Registrierung soll Missbrauch verhindern
E2E-Verschlüsselung für alle Zoom-Nutzer
-
Identity- und Access-Management
Aktuelle Beiträge aus "Identity- und Access-Management"
Security-Insider Podcast – Folge 17
Erinnerungslücken, Chips und Highlights
Forschung für mehr Datenschutz
Betroffene korrekt über einen Identitätsdiebstahl informieren
Nur authentifizieren reicht nicht
Identity- und Access-Management (IAM) im Fokus
Einheitliche digitale Zugänge
Digitale Identitäten gehören zur Infrastruktur
-
Security-Management
Aktuelle Beiträge aus "Security-Management"
Praxisfälle Datenschutz-Grundverordnung
Häufige Datenschutzmängel bei E-Mail und Fax-Versand
Führungskräfte IT-Sicherheit
Cybersecurity muss höchste Priorität bekommen
Datenschutz und Corona
11 Sicherheitstipps für den (Video-)Chat
E-Book von BigData-Insider
Die Datenschutzlücken in Big-Data-Projekten
-
Specials
Aktuelle Beiträge aus "Specials"
Warum künstliche Intelligenz nur so gut ist wie ihre Datenstrategie
6 Tipps für die ersten Schritte in die Welt der KI
Integrierte Netzwerksicherheit
So gelingt SD-WAN-Sicherheit
Das Spiel der Schuldzuweisungen
Falsche und richtige Gründe einen MSSP zu nutzen
- eBooks
- Kompendien
- Mediathek
- CIO Briefing
- Forum
- Akademie
:quality(80)/images.vogel.de/vogelonline/bdb/1476700/1476721/original.jpg "Enterprise Network Firewalls sind High-End-Appliances für den Schutz des Netzwerks, die speziell auf die Anforderungen im Unternehmenseinsatz zugeschnitten sind.")
:quality(80)/images.vogel.de/vogelonline/bdb/1475100/1475151/original.jpg "Webanwendungen lassen sich mit Hilfe einer Web Application Firewall (WAF) durch die Analyse, Filterung und Blockierung von HTTP-Daten vor Angriffen schützen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1721100/1721137/original.jpg "Mitarbeiter sollten Telefongesprächen gegenüber immer misstrauisch sein, egal ob der Anruf von einer unbekannten oder einer scheinbar legitimen Nummer kommt, es kann sich immer um einen Betrug handeln.")
:quality(80)/images.vogel.de/vogelonline/bdb/1718800/1718846/original.jpg "Medizinische Geräte, die mit dem Internet verbunden sind, müssen besonders geschützt werden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1721600/1721626/original.jpg "In dieser Folge des Security-Insider Podcast talken Chefredakteur Peter Schmitz und Co-Host Dirk Srocke über Dr. Joseph Popp und Pringles.")
:quality(80)/images.vogel.de/vogelonline/bdb/1721100/1721116/original.jpg "Smishing (SMS-Phishing) ist keine aussterbende Hackertechnik, sie erfreut sich vielmehr weiterhn einer großen Beliebtheit unter Cyberkriminellen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1721300/1721380/original.jpg "Torsten Harengel ist Head of Cyber Security Germany bei Cisco.")
:quality(80)/images.vogel.de/vogelonline/bdb/1713200/1713276/original.jpg "Im Zuge der Partnerschaft von Citrix und Check Point Software ist u.a. die Integration von Check Point CloudGuard Connect in Citrix SD-WAN geplant.")
:quality(80)/images.vogel.de/vogelonline/bdb/1717900/1717935/original.jpg "Moderne Unternehmen haben heute keinen „Netzwerk Perimeter“ oder Netzwerkrand mehr. Das neue Security-Framework SASE bringt wesentliche Sicherheitsservices in einem Cloud-nativen Modell zusammen und damit Sicherheit in eine Perimeterlose Infrastruktur.")
:quality(80)/images.vogel.de/vogelonline/bdb/1718800/1718886/original.jpg "Michael Schröder, Security Business Strategy Manager DACH bei Eset")
:quality(80)/images.vogel.de/vogelonline/bdb/1718800/1718890/original.jpg "Michael Zajusch (l.) und Dr. Klaus Gheri von Barracuda Networks")
:quality(80)/images.vogel.de/vogelonline/bdb/1713200/1713274/original.jpg "In der BlackBerry Spark Suite verschmelzen Unified Endpoint Management und Unified Endpoint Security.")
:quality(80)/images.vogel.de/vogelonline/bdb/1722400/1722422/original.jpg "Unternehmen müssen ein ganzes Bündel an Maßnahmen beachten, wenn sie Messenger-Dienste oder Video- und Onlinekonferenz-Tools einsetzen wollen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1721000/1721096/original.jpg "Security-Automation ist eine elegante Lösung für die vielfältigen Herausforderungen von IT-Security-Teams, da sie die verschiedenen Sicherheitspraktiken mit Hilfe einer Reihe automatisierter Workflows zusammenführt.")
:quality(80)/images.vogel.de/vogelonline/bdb/1718400/1718427/original.jpg "Die End to End Encryption (E2EE) gibt es als Option für alle Nutzer, nicht jedoch für alle Endgeräte.")
:quality(80)/images.vogel.de/vogelonline/bdb/1718600/1718612/original.jpg "Ziel des EIDI-Projekts ist eine angemessene Warnung betroffener Personen, nach einem Identitätsdiebstahl.")
:quality(80)/images.vogel.de/vogelonline/bdb/1713200/1713254/original.jpg "Identity- und Access-Management (IAM) klärt die Frage der digitalen Identität.")
:quality(80)/images.vogel.de/vogelonline/bdb/1716700/1716756/original.jpg "Digitale Identitäten sind der Schlüssel für viele Dienste im Netz, von der Bank, bis zur Behörde.")
:quality(80)/images.vogel.de/vogelonline/bdb/1722900/1722912/original.jpg "Nur weil Kommunikationsverfahren wie E-Mail und Fax-Versand seit vielen Jahren benutzt werden, heißt es nicht, dass dort beim Datenschutz alles zur Zufriedenheit verläuft.")
:quality(80)/images.vogel.de/vogelonline/bdb/1721400/1721464/original.jpg "Führungskräfte müssen endlich verstehen, dass jede IT-Kaufentscheidung auch eine Sicherheitsentscheidung ist.")
:quality(80)/images.vogel.de/vogelonline/bdb/1718800/1718854/original.jpg "Das E-Book „Big Data und Datenschutz“ steht für registrierte User von BigData-Insider kostenlos zum Download bereit.")
:quality(80)/images.vogel.de/vogelonline/bdb/1713200/1713265/original.jpg "Es ist höchste Zeit, sich mit dem Thema KI zu beschäftigen – und starten sollte man mit dem Thema Datenmanagement.")
:quality(80)/images.vogel.de/vogelonline/bdb/1717900/1717913/original.jpg "SD-WAN ist ein großer Schritt hin zu Software, die wirkungsvolle Sicherheitsmaßnahmen in tagtägliche Netzwerkkonfigurationsaufgaben integriert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1710100/1710196/original.jpg "Auch Technikexperten spielen das ungute Spiel der Schuldzuweisungen gerne mit und ein MSSP scheint oft ein leichtes Opfer.")
MultiPlug Malware Anatomie eines Scamware-Netzwerks
Bei der Analyse von Daten aus seiner Cloud-Sandbox hat Zscaler kürzlich ein großes MultiPlug-Netzwerk entdeckt. Aufmerksam geworden ist die Internet Security Company auf das MultiPlug-Netzwerk wegen eines Verhaltensmusters, bei dem Zertifikate mittels Code unterzeichnet werden. Auch die Größe seiner Hosting-Infrastruktur war verdächtig.
Firmen zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133900/133999/65.jpg "fernao_logo_CMYK_L-300x100mm.jpg")
(Bild: Zscaler)
Bei MultiPlug handelt es sich um eine verbreitete Scamware-Familie, die Nutzer dazu verleitet, eine erste Binärdatei herunterzuladen und zu installieren. Diese holt dann eine Vielzahl an zusätzlichen Spyware-Paketen nach. Nutzer werden mittels manipulierter Suchergebnisse (Search Poisoning) dazu gebracht, die Scamware zu installieren. Als Köder dienen geknackte und legitime Software, Raubkopien von Musik und Filmen sowie andere Dokumente und Daten, die der Anwender möglicherweise sucht.
Sobald der Köder geschluckt ist und die Datei ausgeführt wird, sieht der Nutzer einen von mehreren typisch-aussehenden Installationsassistenten. Es verspricht genau das zu liefern, wonach der Nutzer ursprünglich gesucht hat. Egal ob er den Fehler bemerkt oder nicht: Das Installationsprogramm bezieht weiterhin mehrfach verschlüsselte Dateien von einem dezentralen Webserver. Die Installation dieser Payloads wird selbst dann weiter ausgeführt, wenn der Nutzer “Abbruch”, “Nein” oder “Schließen” drückt. Während des Prozesses fängt die Scamware zudem Systeminformationen ab und sendet sie an die dezentralen Webserver.
:quality(80)/images.vogel.de/vogelonline/bdb/905300/905359/original.jpg "Der Installer gibt vor, Downloads zu beschleunigen.")
:quality(80)/images.vogel.de/vogelonline/bdb/905300/905360/original.jpg "Daten werden als über HTTP POST an dezentrale Server gesendet.")
:quality(80)/images.vogel.de/vogelonline/bdb/905300/905361/original.jpg "‘compfix’ als Service installiert.")
:quality(80)/images.vogel.de/vogelonline/bdb/905300/905362/original.jpg "Modifizierte Chrome DLLS mit ungültigen Zertifikaten.")
(Bild: Zscaler)
Neben den bereits genannten, harmlos klingenden Schadroutinen nimmt die Scamware einige Änderungen in der Browser-Konfiguration des Nutzers vor. Falls Chrome installiert ist, werden zwei DLLs in das Installationsverzeichnis von Chrome gelegt, die modifiziert und als leicht veraltete Versionen von ‘chrome.dll’ erscheinen. Chrome und Internet Explorer erhalten zudem Browser-Erweiterungen, die das Nutzerverhalten ausspähen und Werbung liefern. Als Zusatz können die IE Add-Ons nicht ohne Zustimmung des Administrators deinstalliert werden.
Abgesehen von einigen zusätzlichen Layern zur Verschleierung gegenüber vorherigen Versionen sind die technischen Aspekte dieser Malware eher gewöhnlich. Allerdings machen die Größe der Hosting-Infrastruktur und das Verhaltensmuster, eingesetzte Zertifikate mittels Code zu unterzeichnen, diese Kampagne so interessant. Zscaler hat 33 einzigartige Zertifikate entdeckt, die alle von derselben Certificate Authority, nämlich Certum/Unizeto Technologies, erstellt wurden. (Anmerkung: Zscaler hat auch andere Adware-Kampagnen identifiziert, die Certum-Zertifikate nutzen. Sie scheinen mit der hier beschriebenen nicht in Zusammenhang zu stehen.)
(Bild: Zscaler)
Angesichts der Struktur dieser MultiPlug-Kampagne liegt der Schluss nahe, dass die Organisation dahinter bösere Absichten hat als herkömmliche Adware-/Scamware-Initiatoren. Allerdings könnte dies auch nur ein Weg sein, um den ROI für die große Infrastruktur zu maximieren, die sie betreiben. Unabhängig von ihren Absichten sollten Unternehmen skeptisch gegenüber Adware sein, auch wenn sie noch so harmlos wirkt. Sie ist nämlich unter Umständen in der Lage, Systeme und Netzwerke auszuspähen, sich auf infizierten Hosts hartnäckig einzunisten, beliebige Schadcodes zu laden sowie die Kontrolle über das System, seinen Anwendungen und seinen Daten zu übernehmen.
* Ed Miles ist Security Researcher in den ThreatLabZ von Zscaler
(ID:43541732)
:quality(80)/images.vogel.de/vogelonline/bdb/1598500/1598552/original.jpg "Mit der Windows-Sandbox lassen sich geschützte Windows-Umgebung erzeugen, mit der sich Anwendungen vom Rest der Windows-Installation abschotten lassen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1607800/1607842/original.jpg "Windows Defender Application Guard (WDAG) ermöglicht sicheres Webbrowsen in Windows 10 mit Microsoft Edge oder Google Chrome.")