Sicherheitsinfos: Emotet-Scanner, WhatsApp etc. (5.2.2020)

Heute noch ein Sammelbeitrag rund um Sicherheitsthemen. Es gibt einen Scanner und Tools, um eine Emotet-Infektion zu erkennen und dagegen vorzugehen. WhatsApp hat mal wieder eine Sicherheitslücke und über Bitbucket wird Malware verteilt – um nur einige Punkte zu nennen. Hier ein kurzer Überblick, was man sicherheitstechnisch auf dem Radar haben sollte.


Anzeige

Bitbucket verteilt Malware

Cyber-Kriminellen ist es gelungen, das Code-Hosting-System Bitbucket zu infiltrieren und sieben verschiedene Malware-Typen dort abzulegen. In einer Malware-Kampagne ist es den Hintermännern gelungen, mehr als 500.000 Rechner weltweit zu infizieren.

Bleeping Computer hat das Ganze in obigem Tweet aufgegriffen und im verlinkten Artikel aufbereitet.

Facebook patcht Schwachstelle in WhatsApp

Facebook muss eine Sicherheitslücke in WhatsApp durch ein Sicherheitsupdate schließen. Die Schwachstelle hätte es potenziellen Angreifern ermöglicht, sowohl unter macOS als auch unter Windows Dateien aus dem lokalen Dateisystem eines Benutzers zu lesen.

Details lassen sich in dem von Bleeping Computer veröffentlichten Artikel aus obigem Tweet nachlesen. Ergänzung: In diesem Artikel von Arstechnica ist mir die Ursache ins Auge gesprungen. Eine alte Version des Electron-Framework ist für den Bug verantwortlich. War hier schon mal Gegenstand einer Sicherheitsmeldung – und hier  hatte darauf hingewiesen, dass Uralt-Versionen des Chromium-Browsers im Framework die Sicherheit von Microsoft Teams gefährden.

EmoCheck und weitere Tools

Das CERT Japan hat ein Tool namens EmoCheck veröffentlicht, das Ihnen mitteilt, ob Sie mit Emotet infiziert sind.


Anzeige

Das Tool sucht nach den üblichen Prozessnamen, die von Emotet verwendet werden und meldet, wenn diese gefunden werden. In einer Antwort weist Kevin Beaumont auf die Emotet Protection Tools, eine Toolsammlung zum Schutz vor Emotet, hin. Ergänzung: Heise hat hier ebenfalls einen Artikel zu diesem Tool und dem Sinn (bei rechtzeitiger Erkennung lässt sich ggf. größerer Schaden verhindern) veröffentlicht.

Linux und die sudo-Schwachstelle

Ich hatte es bereits die Tage auf The Hacker-News gelesen. In Linux und macOS gibt es eine Schwachstelle, über die normale Nutzer über den sudo-Befehl u.U. Root-Rechte erlangen könnten (ohne das Root-Passwort zu kennen). Ein deutschsprachiger Artikel lässt sich bei heise nachlesen.

Philips Smart-Leuchte mit Sicherheitslücke

Experten von Check Point haben eine neue, gravierende Schwachstelle in den intelligenten Glühbirnen von Philips (Philips Hue–Leuchten) aufgedeckt. Diese Leuchten können über 100 Meter per Funk angegriffen werden, um in das WLAN einzudringen, mit dem die Leuchten verbunden sind. The Hacker News hat einen Beitrag zum Thema veröffentlicht. Eine ähnliche Schwachstelle hatte ZDNet Anfang Februar 2020 in diesem Beitrag angesprochen.

Tinder Dating-App im Fokus irischer Datenschützer

Ist die Dating App Tinder mit der europäischen Datenschutzgrundverordnung (DSGVO, GDPR) vereinbar? Diese Frage prüft die irische Datenschutzkommission, wie heise in diesem Artikel berichtet.

Twitter schließt Schwachstelle

Die Plattform Twitter hat eine Schwachstelle geschlossen, über die Angreifer bestimmte Telefonnummern mit den entsprechenden Twitter-Accounts abgleichen konnten. Details finden sich in diesem Artikel.

Datenpanne bei Google: Nutzer erhielten fremde Fotos

Sie können es nicht bzw. es kann immer mal wieder passieren. Bei Google führte ein fehlerhafter Datenexport aus Google Photos dazu, dass Benutzer Zugriff auf fremde Videos erhielten. Das Problem bestand vom 21. bis 25. November 2019, wie heise in diesem Artikel berichtet.

Internet 'perfekte Plattform' für Cyber-Kriminelle

Kürzlich fand ein Polizeikongress statt, bei dem Experten ein düsteres Bild in Sachen Cyber-Krimialität zeichnen. Ransomware, Online-Betrug, Pishing, das Internet 'ist die perfekte Plattform' für diese Art Kriminalität. Details zur Sicherheitslage dazu lassen sich bei heise in diesem Artikel nachlesen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Sicherheitsinfos: Emotet-Scanner, WhatsApp etc. (5.2.2020)

  1. Anonymous sagt:

    FYI

    JPCERTコーディネーションセンター公式ブログ

    マルウエアEmotetへの対応FAQ
    https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html

    JPCERTCC/EmoCheck – GitHub
    https://github.com/JPCERTCC/EmoCheck/releases

  2. 1ST1 sagt:

    Der Emotetscanner ist ja mal supertoll. Da lädt man also von einer unbekannten Github-Seite was runter, was einen Virus suchen soll. Der ganze Scan besteht daraus, dass in einem bestimmten Pfad nach Ordnern mit bestimmten Namensmustern gesucht wird… 8-O Das geht auch ohne dass man erstmal einen komplexen Quellcode analsysieren muss und hoffen kann, dass das Exe tatsächlich daraus kompiliert wurde…

    Quelle: https://www.bleepingcomputer.com/news/security/new-emocheck-tool-checks-if-youre-infected-with-emotet/ – Kommentar unten:

    [quote]
    JohnnyJammer – 1 day ago
    This batch file should do the same? Paste in notepad and save as Filechecker.bat
    [/qoute]
    [code]
    @echo off
    if exist %temp%\Listing.txt del %temp%\Listing.txt
    if exist %temp%\SearchListing.txt del %temp%\SearchListing.txt
    dir %localappdata% /b >> %temp%\Listing.txt
    set str_search="duck mfidl targets ptr khmer purge metrics acc inet msra symbol driver sidebar restore msg volume cards shext query roam etw mexico basic url createa blb pal cors send devices radio bid format thrd taskmgr timeout vmd ctl bta shlp avi exce dbt pfx rtp edge mult clr wmistr ellipse vol cyan ses guid wce wmp dvb elem channel space digital pdeft violet thunk"
    type %temp%\Listing.txt | findstr %str_search% >> %temp%\SearchListing.txt
    start notepad %temp%\SearchListing.txt
    pause
    [/code]

    Übrigens, wer Applocker oder Software-Restrictions-Policy einsetzen kann, sollte Ausfürung von "%localappdata%\*\*.exe" darüber verbieten, damit wäre diese Art Emotet-Angriff schon gestoppt. %localappdata%=C:\Users\\AppData\Local – vielleicht fällt aber damit auch andere Software auf die Nase, OneDrive und MS-Teams sind solche Kandidaten, wie kann man nur…

    • 1ST1 sagt:

      Kleine Verbesserung des Scrips: Vor Start von Notepad noch diese Zeile einbauen:

      tasklist | findstr %str_search% >> %temp%\SearchListing.txt

      Und str_search noch um die Begriffe "body" und "partner" erweitern, ist aber sicher auch noch nicht komplett. Unter Windows laufen allerdings ein paar legitime Prozesse, für die man da noch aufgelistet bekommt, muss man sich näher ansehen…

  3. Volker Ehmann sagt:

    EmoCheck …

    Interessant aber ,
    Hat das schon mal einer unter Windows kompliliert,
    ich bekomme Syntax-Fehler.

    Mit Visual Studio 2019 auch mit MinGW bekomme ich keine exe daraus.
    Ich bin kein Programmierer.

    VG
    Volker01

  4. 1ST1 sagt:

    Nochwas zu Emotet, indirekt, da bin ich gerade drauf gestoßen: Der Realtek HD-Audio-Treiber hat ein Sicherheitsproblem, das darin besteht, dass, wenn er findet, lädt er DLLs bestimmten Namens aus einem Verzeichnis (unter "c:\program files"), wo diese DLLs normalerweise nicht liegen, also so ein DLL-Hijacking-Ding, wie es Mitleser S.Kanthak öfters auch entdeckt. Ist irgendso ein Visual-Studio-Problem. Die Sicherheitslücke ist aber nicht so schlimm, weil man in dieses Verzeichnis nur was reinlegen kann, wenn man schon lokale Adminrechte hat. Über die Sicherheitslücke im Treiber kann man dann Sachen machen, die ein lokaler Admin eh schon kann. Das soll aber in Treiberversion 8857 gefixt sein. Siehe https://www.bleepingcomputer.com/news/security/realtek-fixes-dll-hijacking-flaw-in-hd-audio-driver-for-windows/

    Das blöde ist nur, auf http://www.realtek.com und realtek-downloads.com findet man nur HD-Audio-Treiber aus dem Jahr 2017 und 18, aber nichts aus dem Dezember 2019. Und die haben andere Versionsnummern: 2.xx, und nixda mit 88xx… Darüber beschweren sich die Leute auch hier https://www.tenforums.com/sound-audio/135259-latest-realtek-hd-audio-driver-version-2-a-145.html und bieten noch neuere Treiber, der neueste ist 8888.1 über Downloadlinks in der Mangenta-Cloud an. Vertrauensvoll finde ich das aber nicht… Vielleicht findet man diese neueren Versionen auch auf Webseiten von Mainboardherstellern (ASUS, MSI, Gigabyte, …), aber dafür müsste man Realtek echt mal in den Hintern treten.

    Zurück zu Emotet, da bin ich nämlich bei der Suche nach dem HD-Audio-Treiber zufällig drauf gestoßen, ein bedenklicher Leserkommentar: https://realtek-download.com/download-hd/

    [quote]
    Yves SCHILLSOTT says:
    October 30, 2019 at 10:19 am

    Dear Realtek Enterprise,

    The drivers for network adapter are contamined by ransomware software named Emotet. Not only for the older Windows version 7, 8

    Realtek/WIN7/32/RtNicprop32.DLL: Win.Malware.Emotet-7357878-0 FOUND
    Realtek/WIN7/64/RtNicprop64.DLL: Win.Malware.Emotet-7357878-0 FOUND
    Realtek/WIN8/32/RtNicprop32.DLL: Win.Malware.Emotet-7357878-0 FOUND
    Realtek/WIN8/64/RtNicprop64.DLL: Win.Malware.Emotet-7357878-0 FOUND

    … but also for the last one

    Realtek/NICDRV_8169/WIN10/RtNicprop64.DLL: Win.Malware.Emotet-7357878-0 FOUND

    Did you have safe driver for Realtek PCIe GbE Family Controller ?

    Thanks for further informations,

    Yves SCHILLSOTT
    [/quote]

    !!!!

  5. Anonymous sagt:

    FYI

    Kaspersky Rescue Disk 18
    https://support.kaspersky.com/viruses/krd18

    ESET SysRescue
    https://www.eset.com/int/support/sysrescue/#download

    [KB3509] How do I use ESET SysRescue Live to clean my computer?
    https://support.eset.com/en/kb3509-how-do-i-use-eset-sysrescue-live-to-clean-my-computer#create

    ESET SysRescue Live | ESET SysRescue Live | ESET Online Help
    https://help.eset.com/sysrescue_live/en-US/liveusb_create_win.html?index.html

    Both can be checked against the latest pattern file without installation

  6. Anonymous sagt:

    Most countermeasures such as Defender APP cannot detect Emotet Malware! ?
    Emotet Malware
    https://www.us-cert.gov/ncas/alerts/TA18-201A

    > Additionally, Emotet is a polymorphic banking Trojan that can evade typical signature-based detection. It has several methods for maintaining persistence, including auto-start registry keys and services. It uses modular Dynamic Link Libraries (DLLs) to continuously evolve and update its capabilities. Furthermore, Emotet is Virtual Machine-aware and can generate false indicators if run in a virtual environment.

    Fileless threats
    https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/fileless-threats

    Kaspersky Internet Security receives a perfect score for protection against advanced threats
    https://www.kaspersky.com/about/press-releases/2019_kaspersky-internet-security-receives-a-perfect-score-for-protection-against-advanced-threats

    Independent Tests ofAnti-Virus Software
    https://www.av-comparatives.org/wp-content/uploads/2019/12/avc_erw_2019_consumer_en.pdf

    Enhanced Real-World Test 2019 – Consumer
    https://www.av-comparatives.org/tests/enhanced-real-world-test-2019-consumer/

Schreibe einen Kommentar zu Volker Ehmann Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.