:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Kurz vorgestellt: VirusTotal Geniale Toolbox für Virenjäger
Schadsoftware wie Viren, Würmer, Keylogger und Ransomware, sind aus Firmennetzwerken kaum mehr fern zu halten. Will man AV-Tools nicht blind vertrauen, sondern Malware selbst enttarnen, braucht man das richtige Werkzeug. VirusTotal ist als Tool seit Jahren aus dem Arsenal der Virenjäger nicht mehr wegzudenken. Den meisten IT-Experten ist es nur als Multi-Antivirus-Maschine ein Begriff, aber der Service bietet so viel mehr!
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
IT-Sicherheit ist ein immer komplexeres Themenfeld und es wird für Unternehmen immer komplizierter, in einer sich stetig verändernden Umgebung, die IT Sicherheit zu gewährleisten. Regelwerke, Tools und engagierte Mitarbeiter sind dabei die tragenden Pfeiler für den Unternehmensschutz. Ein Übel, mit dem sich Privatanwender und Unternehmen gleichermaßen auseinandersetzen müssen ist Malware. Computerviren, Trojaner, Backdoors, Ransomware und all die andere Varianten erfordern ein Engagement und topaktuelle Tools, um sich dagegen erfolgreich zu behaupten. Jeder der mit Malware zu tun hat, kennt die gängigen Online-Virenscanner und Malware-Analyzer wie VirusTotal, Jotti oder VirSCAN und andere.
VirusTotal zählt dabei zweifelsfrei zu den Spitzenprodukten in der Szene. Der Online-Scanner, wurde von der Security-Firma Hispasec entwickelt und im Jahr 2012 von Google aufgekauft. Täglich werden hunderttausende von Dateien und URLs zu VirusTotal hochgeladen und durch rund sechzig verschiedenen Scanner und Analysewerkzeuge überprüft. Sollten die hochgeladenen Dateien eine Malware enthalten, kann man mit davon ausgehen, dass diese via VirusTotal entdeckt wird. Wobei man aber auch den Fall einkalkulieren sollte, das sich in der hochgeladenen Datei eine neue, bis dato nicht analysierte Malware enthalten ist, die noch von keinem Virenscanner entdeckt wird! Letztendlich ist diese auch davon abhängig, wie risikofreudig der Einreicher ist. Otto Normaluser bekommt sehr selten neue Malware als erster zu Gesicht. Der CEO eines Unternehmens, der via Spear-Phishing attackiert wird oder der IT-Crack, der der sich viel im Deep Web bewegt, unterliegen dagegen einem höheren Risiko.
:quality(80)/images.vogel.de/vogelonline/bdb/1278800/1278864/original.jpg "Die alte Web-GUI von VirusTotal mit den drei Basisfunktionen. „Datei“ oder „URL“ hochladen zur Analyse und der Suchfunktion.")
:quality(80)/images.vogel.de/vogelonline/bdb/1278800/1278865/original.jpg "De neue GUI von VirusTotal mit den gewohnten Optionen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1278800/1278866/original.jpg "Installation der VT-Desktop-Applikation unter Windows mit Parametrisierung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1278800/1278867/original.jpg "Die installierte Desktop-App von VirusTotal mit einer Auflistung der Prozesse und den Optionen für den Upload (Prozess, Datei und URL).")
Runderneuerung und mehr Funktionen
VirusTotal ist, auch wenn es nicht den Anschein erweckt, eine sehr aktive Einrichtung. Viele Änderungen und Erweiterungen werden umgesetzt und bleiben dem gelegentlichen Nutzer verborgen oder werden nicht als solche wahrgenommen. Manch einer wird auch überrascht sein, wenn er dieser Tage die Webseite von VirusTotal aufruft – denn im August hat die GUI nach Jahren eine optische Aufarbeitung erhalten. Allerdings war dies zu erwarten, denn die amerikanische Webseite Bleepingcomputer vermeldete schon am 15.Juni 2017, eine bevorstehende Änderung der GUI von VirusTotal.
Der GUI-Relaunch bietet eine gute Gelegenheit, erneut einen Blick auf VirusTotal zu werfen, denn die angebotenen Services und Informationen machen das Leben für Malware-Beauftragte deutlich komfortabler, sind aber leider oft nicht bekannt. Dazu zählen:
- die verfügbaren Browser-Erweiterungen,
- die VirusTotal-Desktop-Applikation,
- Malware-Statistiken,
- das VirusTotal-Blog und
- Private-Services
Browser-Extensions, Desktop- und Mobile Apps
In der breiten Masse fast unbekannt, aber sehr sinnvoll sind die verfügbaren Browser Extentions für Chrome, Mozilla und IE, eine eigene Desktop Applikation für Windows, Mac OS X und Linux und auch eine (inoffizielle) Mobile App für Android mit dem Namen „VirusTotalMobíle“.
Die Desktop-App erlaubt es beispielsweise, aktive Prozesse bzw. deren dazugehörendes Exe-File zur Analyse einzureichen. Ein tolles Feature, wenn man im Prozess-Umfeld ein Problem vermutet aber keine relevanten Informationen hat. Die Recherche über eine Suchmaschine mit Informationen zu einem Prozess lässt sich hier im Idealfall optimieren und bringt schnell nützliche Informationen.
Wertvolle Statistiken
Aktuell noch nicht umgestellt sind die Statistiken! Auf Nachfrage bestätigte VirusTotal jedoch, dass die „alten URLs“ noch so lange genutzt werden können, bis alles umgestellt wurde. Dies ist eine wichtige Information, denn die VirusTotal-Statistiken sind eine wichtige Informationsbasis, die wöchentlich aktualisiert wird.
Auf die Frage: „Was ist denn aktuell los in der Szene - wo liegen die Angriffsschwerpunkte“, liefern diese Statistiken mehrschichtige Antworten. Für die KW 32/33 2017 lässt sich beispielsweise feststellen, dass bevorzugt HTML-, EXE32- und PDF-Dateien weltweit hochgeladen wurden. Dies lässt die Vermutung zu, dass die VirusTotal-Nutzer Gefahren bei Webseiten sehen und auch bei typischen Downloads, die ausführbare Programme und PDF-Dateien enthalten. Für den Security-Admin könnte dies beispielsweise bedeuten, seinen Schutz hinsichtlich PDF-Dateien zu verstärken und ggf. zusätzliche Analysetools auf seinen Gateway-Systemen einzusetzen oder lokal dem Endanwender zur Verfügung zu stellen. Für das Security-Personal kann auch die Anzahl der Uploads je Land eine wertvolle Information darstellen. Im relevanten Zeitraum wurden rund 119 Tausend Uploads (entspricht ~ 2,5 Prozent aller Einsendungen) aus Deutschland durchgeführt. Steigt dieser Wert massiv an, könnte es ein Indiz für eine Angriffswelle sein, die gerade in Deutschland läuft und verstärkt die Security-Verantwortlichen beschäftigt.
Auch das VirusTotal-Blog enthält eine Fülle von interessanten Informationen, die man nur richtig interpretieren muss. So wurde am 6.Juli 2017 Cylance, am 4. Juli 2017 MAX von SaintSecure aus Korea und am 14. März 2017 SentinelOne in die aktive Menge der Scanner-Produkte aufgenommen. Der Mehrwert dieser Information liegt hier in der Erkennungsrate von Malware. Mit VirusTotal lässt sich einfach ermitteln, wie die neu hinzugefügten (Advanced) Tools im Vergleich zu den etablierten Produkten abschneiden. Ebenso kann es für Unternehmen mit globaler Ausprägung interessant sein, zu wissen wie regionale Produkte (MAX aus Korea) sich bei der Detektion von regionalen Bedrohungen bewähren. Oft haben diese Tools eine deutlich bessere Erkennungsqualität, von Threads die in der Region ihren Ursprung haben, als klassische Security-Produkte aus Europa oder Amerika. Am 30. August hat das Blog dann schließlich einen ausführlichen Bericht über die optischen Neuerungen gebracht.
Mitunter braucht es auch einfach mal nur den Rat eines Experten in einer kritischen Situation – auch den findet man mit etwas Glück bei VirusTotal. Denn VirusTotal ist nicht nur ein Dienstleister, sondern bietet auch einen Platz für eine engagierte Security-Community!
Über die Suchfunktion, kann man auch nach unterschiedlichen Informationen suchen. Die angegeben URL klärt hierzu auf und nennt Beispiele. Mit etwas Glück, ist ja gerade die Info dabei, die man händeringend sucht, um mit einer Malware erfolgreich umzugehen.
Private Services: API, Graph, Monitor und Intelligence
Deutlich erweitert wurden auch die „Private-Services“. Diese stehen jedoch nur angemeldeten Usern zur Verfügung, wobei eine Anmeldung problemlos möglich ist.
Etablierte Funktionen, wie ein eigener API-Key der Zugriff auf VirusTotal ermöglicht, ohne die GUI zu nutzen und so in eigenen Applikationen genutzt werden kann, wurden beibehalten. Aber auch neue, clevere Funktionen wie Monitor, Graph oder Intelligence wurde bei VirusTotal implementiert.
VirusTotal-Monitor ist eine Erweiterung, die Programmierer unterstützt. Der Programmiere kann sein eigenes Programm in einen geschützten Bereich hochladen um es dort periodisch mit dem Set an Analysewerkzeugen überprüfen zu lassen. Sollte sich hierbei ein False Positve ergeben, kann der Programmentwickler darauf reagieren.
Bei VirusTotal-Graph werden aus der Menge der über die Jahre von VirusTotal gesammelten Malware-Analysen, Beziehungen untereinander und zum aktuelle hochgeladenen File dargestellt. In einer dynamischen Korrelations-Grafik, werden dabei Informationen, wie die Download-URL einer Datei, die IP-Adressen, die vom File verwendet werden, die Daten innerhalb des PE-Headers, wiederverwendete Dateien etc. visualisiert. Dies ermöglicht es beispielsweise, die Herkunft einer Malware besser zu indentifizieren und Rückschlüsse auf die mögliche Funktion zu ziehen.
Die VirusTotal-Intelligence rundet schließlich die Analysebestrebungen ab und ermöglicht es, einzelne Malware-Eigenschaften zu tracken und auf weiteren Wegen zu analysieren. „Intelligence“ ist von der Ausrichtung her ebenso zu sehen, wie die Features die einige andere AntiMalware-Hersteller unter dem Begriff kombinieren. Wie gut dies gelingt, wird man sehen. Denn aktuell ist diese Funktion nur in einer „Trial Period“ anzufordern. Bei den anderen Privaten Services scheint man schon weiter zu sein, denn diese werden für „Alpha Tester“ angeboten.
:quality(80)/images.vogel.de/vogelonline/bdb/1238400/1238402/original.jpg "Online-Virenscanner und Malware-Analyzer können Admins dabei helfen, verdächtige Dateien zu überprüfen, bevor sie im Unternehmensnetzwerk schaden anrichten können. (nasir1164 - Fotolia)")
Malware-Analyse
Online-Virenscanner und Malware-Analyzer im Unternehmenseinsatz
Fazit des Autors
VirusTotal ist ein Spitzenprodukt und hat in seinem aktuellen Relaunch einiges dafür getan, diese Position auch in Zukunft einzunehmen. Wer seine Anti-Malware-Aktivitäten ausbauen möchte und plant, Abläufe zu automatisieren oder zu vereinfachen, ist bei VirusTotal gut aufgehoben. Sei dies nun mit einem API-Key, der VirusTotal-Scriptsprache YARA oder den neuen Private Services. VirusTotal bietet für jeden ein durchdachtes Set an Funktonen um die eigene Malware-Policy zu stärken.
Der große Vorteil ist jedoch, ein Werkzeug wie VirusTotal ist nah am Puls der Zeit. Bevor Informationen in einem Hersteller-Blog oder Newsletter auftauchen, kann man möglicherweise via VirusTotal schon einen Hinweis auf das kommende erhalten. Bei globalen Bedrohgungen zählen oft Minuten – vielleicht die Minuten, die man sich mit einer geschickten und innovativen VirusTotal-Nutzung erarbeiten kann.
(ID:44869205)
:quality(80)/p7i.vogel.de/wcms/d2/99/d29988dd50efd129a7a1d996269f3217/0112938579.jpeg "Cyberkriminelle finden immer wieder neue Wege, um Malware auf die Systeme ihrer Opfer zu laden. Selbst bei deaktivierten Office-Makros gibt es inzwischen Hintertüren für Ransomware und Remote Access Trojaner. (Bild: Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/2a/e02a6c83378960fc9e6a678abd3a85ea/0109854293.jpeg "Während maskierte Fastnachtshexen nur bedrohlich wirken, steckt in manipulierten Dateien echtes Schadpotenzial. (Bild: gregory tkatc - stock.adobe.com)")