Heute noch ein Sammelbeitrag rund um Sicherheitsthemen. Es gibt einen Scanner und Tools, um eine Emotet-Infektion zu erkennen und dagegen vorzugehen. WhatsApp hat mal wieder eine Sicherheitslücke und über Bitbucket wird Malware verteilt – um nur einige Punkte zu nennen. Hier ein kurzer Überblick, was man sicherheitstechnisch auf dem Radar haben sollte.
Anzeige
Bitbucket verteilt Malware
Cyber-Kriminellen ist es gelungen, das Code-Hosting-System Bitbucket zu infiltrieren und sieben verschiedene Malware-Typen dort abzulegen. In einer Malware-Kampagne ist es den Hintermännern gelungen, mehr als 500.000 Rechner weltweit zu infizieren.
Bitbucket Abused to Infect 500,000+ Hosts with Malware Cocktail – by @Ionut_Ilascuhttps://t.co/he3r23ySic
— BleepingComputer (@BleepinComputer) February 5, 2020
Bleeping Computer hat das Ganze in obigem Tweet aufgegriffen und im verlinkten Artikel aufbereitet.
Facebook patcht Schwachstelle in WhatsApp
Facebook muss eine Sicherheitslücke in WhatsApp durch ein Sicherheitsupdate schließen. Die Schwachstelle hätte es potenziellen Angreifern ermöglicht, sowohl unter macOS als auch unter Windows Dateien aus dem lokalen Dateisystem eines Benutzers zu lesen.
Anzeige
Facebook patched a WhatsApp vulnerability that would have allowed potential attackers to read files from a user's local file system, on both macOS and Windows.https://t.co/qgmvjK7wd6
— BleepingComputer (@BleepinComputer) February 4, 2020
Details lassen sich in dem von Bleeping Computer veröffentlichten Artikel aus obigem Tweet nachlesen. Ergänzung: In diesem Artikel von Arstechnica ist mir die Ursache ins Auge gesprungen. Eine alte Version des Electron-Framework ist für den Bug verantwortlich. War hier schon mal Gegenstand einer Sicherheitsmeldung – und hier hatte darauf hingewiesen, dass Uralt-Versionen des Chromium-Browsers im Framework die Sicherheit von Microsoft Teams gefährden.
EmoCheck und weitere Tools
Das CERT Japan hat ein Tool namens EmoCheck veröffentlicht, das Ihnen mitteilt, ob Sie mit Emotet infiziert sind.
There's also a really cool one here, which looks for a bunch of stuff and is very effective. https://t.co/wWzLxN291W
— Kevin Beaumont (@GossiTheDog) February 4, 2020
Das Tool sucht nach den üblichen Prozessnamen, die von Emotet verwendet werden und meldet, wenn diese gefunden werden. In einer Antwort weist Kevin Beaumont auf die Emotet Protection Tools, eine Toolsammlung zum Schutz vor Emotet, hin. Ergänzung: Heise hat hier ebenfalls einen Artikel zu diesem Tool und dem Sinn (bei rechtzeitiger Erkennung lässt sich ggf. größerer Schaden verhindern) veröffentlicht.
Linux und die sudo-Schwachstelle
Ich hatte es bereits die Tage auf The Hacker-News gelesen. In Linux und macOS gibt es eine Schwachstelle, über die normale Nutzer über den sudo-Befehl u.U. Root-Rechte erlangen könnten (ohne das Root-Passwort zu kennen). Ein deutschsprachiger Artikel lässt sich bei heise nachlesen.
Philips Smart-Leuchte mit Sicherheitslücke
Experten von Check Point haben eine neue, gravierende Schwachstelle in den intelligenten Glühbirnen von Philips (Philips Hue–Leuchten) aufgedeckt. Diese Leuchten können über 100 Meter per Funk angegriffen werden, um in das WLAN einzudringen, mit dem die Leuchten verbunden sind. The Hacker News hat einen Beitrag zum Thema veröffentlicht. Eine ähnliche Schwachstelle hatte ZDNet Anfang Februar 2020 in diesem Beitrag angesprochen.
Tinder Dating-App im Fokus irischer Datenschützer
Ist die Dating App Tinder mit der europäischen Datenschutzgrundverordnung (DSGVO, GDPR) vereinbar? Diese Frage prüft die irische Datenschutzkommission, wie heise in diesem Artikel berichtet.
Twitter schließt Schwachstelle
Die Plattform Twitter hat eine Schwachstelle geschlossen, über die Angreifer bestimmte Telefonnummern mit den entsprechenden Twitter-Accounts abgleichen konnten. Details finden sich in diesem Artikel.
Datenpanne bei Google: Nutzer erhielten fremde Fotos
Sie können es nicht bzw. es kann immer mal wieder passieren. Bei Google führte ein fehlerhafter Datenexport aus Google Photos dazu, dass Benutzer Zugriff auf fremde Videos erhielten. Das Problem bestand vom 21. bis 25. November 2019, wie heise in diesem Artikel berichtet.
Internet 'perfekte Plattform' für Cyber-Kriminelle
Kürzlich fand ein Polizeikongress statt, bei dem Experten ein düsteres Bild in Sachen Cyber-Krimialität zeichnen. Ransomware, Online-Betrug, Pishing, das Internet 'ist die perfekte Plattform' für diese Art Kriminalität. Details zur Sicherheitslage dazu lassen sich bei heise in diesem Artikel nachlesen.
Anzeige
FYI
JPCERTコーディネーションセンター公式ブログ
マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
JPCERTCC/EmoCheck – GitHub
https://github.com/JPCERTCC/EmoCheck/releases
Das scheint ganz interessant zu sein… https://translate.google.de/translate?hl=en&tab=wT1&sl=ja&tl=de&u=https%3A%2F%2Fblogs.jpcert.or.jp%2Fja%2F2019%2F12%2Femotetfaq.html
Wird nur im aktuellen userprofile gesucht, oder in allen?
Nur im aktuellen…
Was anderes ist aber auch gefährlich, wenn Emotet tatsächlich aktiv ist. Denn er nutzt Pass The Hash usw. um Silver/Golden Tickets zu ergattern und sich so zum Admin zu machen (Mimikatz). Denn um in die anderen Profile reinzuschauen, braucht man Admin-Rechte…
Die マルウエア = maruuea = malware gibts auch in gut verständlichem Englisch
https://blogs.jpcert.or.jp/en/2019/12/emotetfaq.html
Der Emotetscanner ist ja mal supertoll. Da lädt man also von einer unbekannten Github-Seite was runter, was einen Virus suchen soll. Der ganze Scan besteht daraus, dass in einem bestimmten Pfad nach Ordnern mit bestimmten Namensmustern gesucht wird… 8-O Das geht auch ohne dass man erstmal einen komplexen Quellcode analsysieren muss und hoffen kann, dass das Exe tatsächlich daraus kompiliert wurde…
Quelle: https://www.bleepingcomputer.com/news/security/new-emocheck-tool-checks-if-youre-infected-with-emotet/ – Kommentar unten:
[quote]
JohnnyJammer – 1 day ago
This batch file should do the same? Paste in notepad and save as Filechecker.bat
[/qoute]
[code]
@echo off
if exist %temp%\Listing.txt del %temp%\Listing.txt
if exist %temp%\SearchListing.txt del %temp%\SearchListing.txt
dir %localappdata% /b >> %temp%\Listing.txt
set str_search="duck mfidl targets ptr khmer purge metrics acc inet msra symbol driver sidebar restore msg volume cards shext query roam etw mexico basic url createa blb pal cors send devices radio bid format thrd taskmgr timeout vmd ctl bta shlp avi exce dbt pfx rtp edge mult clr wmistr ellipse vol cyan ses guid wce wmp dvb elem channel space digital pdeft violet thunk"
type %temp%\Listing.txt | findstr %str_search% >> %temp%\SearchListing.txt
start notepad %temp%\SearchListing.txt
pause
[/code]
Übrigens, wer Applocker oder Software-Restrictions-Policy einsetzen kann, sollte Ausfürung von "%localappdata%\*\*.exe" darüber verbieten, damit wäre diese Art Emotet-Angriff schon gestoppt. %localappdata%=C:\Users\\AppData\Local – vielleicht fällt aber damit auch andere Software auf die Nase, OneDrive und MS-Teams sind solche Kandidaten, wie kann man nur…
Kleine Verbesserung des Scrips: Vor Start von Notepad noch diese Zeile einbauen:
tasklist | findstr %str_search% >> %temp%\SearchListing.txt
Und str_search noch um die Begriffe "body" und "partner" erweitern, ist aber sicher auch noch nicht komplett. Unter Windows laufen allerdings ein paar legitime Prozesse, für die man da noch aufgelistet bekommt, muss man sich näher ansehen…
EmoCheck …
Interessant aber ,
Hat das schon mal einer unter Windows kompliliert,
ich bekomme Syntax-Fehler.
Mit Visual Studio 2019 auch mit MinGW bekomme ich keine exe daraus.
Ich bin kein Programmierer.
VG
Volker01
Nochwas zu Emotet, indirekt, da bin ich gerade drauf gestoßen: Der Realtek HD-Audio-Treiber hat ein Sicherheitsproblem, das darin besteht, dass, wenn er findet, lädt er DLLs bestimmten Namens aus einem Verzeichnis (unter "c:\program files"), wo diese DLLs normalerweise nicht liegen, also so ein DLL-Hijacking-Ding, wie es Mitleser S.Kanthak öfters auch entdeckt. Ist irgendso ein Visual-Studio-Problem. Die Sicherheitslücke ist aber nicht so schlimm, weil man in dieses Verzeichnis nur was reinlegen kann, wenn man schon lokale Adminrechte hat. Über die Sicherheitslücke im Treiber kann man dann Sachen machen, die ein lokaler Admin eh schon kann. Das soll aber in Treiberversion 8857 gefixt sein. Siehe https://www.bleepingcomputer.com/news/security/realtek-fixes-dll-hijacking-flaw-in-hd-audio-driver-for-windows/
Das blöde ist nur, auf http://www.realtek.com und realtek-downloads.com findet man nur HD-Audio-Treiber aus dem Jahr 2017 und 18, aber nichts aus dem Dezember 2019. Und die haben andere Versionsnummern: 2.xx, und nixda mit 88xx… Darüber beschweren sich die Leute auch hier https://www.tenforums.com/sound-audio/135259-latest-realtek-hd-audio-driver-version-2-a-145.html und bieten noch neuere Treiber, der neueste ist 8888.1 über Downloadlinks in der Mangenta-Cloud an. Vertrauensvoll finde ich das aber nicht… Vielleicht findet man diese neueren Versionen auch auf Webseiten von Mainboardherstellern (ASUS, MSI, Gigabyte, …), aber dafür müsste man Realtek echt mal in den Hintern treten.
Zurück zu Emotet, da bin ich nämlich bei der Suche nach dem HD-Audio-Treiber zufällig drauf gestoßen, ein bedenklicher Leserkommentar: https://realtek-download.com/download-hd/
[quote]
Yves SCHILLSOTT says:
October 30, 2019 at 10:19 am
Dear Realtek Enterprise,
The drivers for network adapter are contamined by ransomware software named Emotet. Not only for the older Windows version 7, 8
Realtek/WIN7/32/RtNicprop32.DLL: Win.Malware.Emotet-7357878-0 FOUND
Realtek/WIN7/64/RtNicprop64.DLL: Win.Malware.Emotet-7357878-0 FOUND
Realtek/WIN8/32/RtNicprop32.DLL: Win.Malware.Emotet-7357878-0 FOUND
Realtek/WIN8/64/RtNicprop64.DLL: Win.Malware.Emotet-7357878-0 FOUND
… but also for the last one
Realtek/NICDRV_8169/WIN10/RtNicprop64.DLL: Win.Malware.Emotet-7357878-0 FOUND
Did you have safe driver for Realtek PCIe GbE Family Controller ?
Thanks for further informations,
Yves SCHILLSOTT
[/quote]
!!!!
Beitrag soll gerade entstehen …
FYI
Kaspersky Rescue Disk 18
https://support.kaspersky.com/viruses/krd18
ESET SysRescue
https://www.eset.com/int/support/sysrescue/#download
[KB3509] How do I use ESET SysRescue Live to clean my computer?
https://support.eset.com/en/kb3509-how-do-i-use-eset-sysrescue-live-to-clean-my-computer#create
ESET SysRescue Live | ESET SysRescue Live | ESET Online Help
https://help.eset.com/sysrescue_live/en-US/liveusb_create_win.html?index.html
Both can be checked against the latest pattern file without installation
Most countermeasures such as Defender APP cannot detect Emotet Malware! ?
Emotet Malware
https://www.us-cert.gov/ncas/alerts/TA18-201A
> Additionally, Emotet is a polymorphic banking Trojan that can evade typical signature-based detection. It has several methods for maintaining persistence, including auto-start registry keys and services. It uses modular Dynamic Link Libraries (DLLs) to continuously evolve and update its capabilities. Furthermore, Emotet is Virtual Machine-aware and can generate false indicators if run in a virtual environment.
Fileless threats
https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/fileless-threats
Kaspersky Internet Security receives a perfect score for protection against advanced threats
https://www.kaspersky.com/about/press-releases/2019_kaspersky-internet-security-receives-a-perfect-score-for-protection-against-advanced-threats
Independent Tests ofAnti-Virus Software
https://www.av-comparatives.org/wp-content/uploads/2019/12/avc_erw_2019_consumer_en.pdf
Enhanced Real-World Test 2019 – Consumer
https://www.av-comparatives.org/tests/enhanced-real-world-test-2019-consumer/
wie zu erwarten war:
https://www.heise.de/security/meldung/Emotet-Erster-Hase-Igel-Loop-fuer-EmoCheck-4656609.html