Malicious Code

In diese Kategorie fallen alle Arten von Schadcode, sowohl infizierte Systeme selbst, als auch solche, die als "Command and Control" (C2) fungieren.

• Emotet
  
• Sandbox URL
  
• Sinkhole Events
  
• Sinkhole HTTP Drone
  

Emotet

Beschreibung

Bei Emotet[0] handelt es sich um eine ausgeprochen gefährliche und mit Stand 2021 sehr aktive Schadsoftware, die sich vor allem über bösartige Links oder Anhänge in E-Mails verbreitet. Einer der Gründe, warum Emotet dabei so erfolgreich ist, besteht darin, dass es legitime E-Mail-Verläufe übernimmt und die Absendeadresse entsprechend fälscht. Sobald ein System infiziert ist, werden dazu gespeicherte E-Mails sowie das Adressbuch gestohlen und anschließend "Antworten" auf bestehende Konversationen erstellt. Dieser Umstand lässt solche Spam-E-Mails wesentlich glaubhafter erscheinen und kann auch vorsichtige NutzerInnen täuschen.

Ein weiteres Problem, dessen sich Opfer bewusst sein sollten, liegt darin, dass Emotet, wie erwähnt, die E-Mails und Adressbücher stiehlt, d.h. auf seine eigenen Server hochlädt. Daraus folgt nämlich, dass auch nachdem das betroffene System vollständig bereinigt wurde, immer noch Spam-E-Mails die vorgeblich vom Opfer stammen, verschickt werden können, was gerade bei betroffenen Unternehmen zu einem massiven Reputationsverlust führen kann, gerade wenn die Spam-E-Mails an KundInnen oder GeschäftspartnerInnen gehen.

Risiken

• Folgeangriffe: Nachdem Emotet E-Mails und Adressbücher gestohlen hat, wird oft weitere Schadsoftware nachgeladen. In vielen Fällen ist das Ransomware (auch als Verschlüsselungstrojaner bekannt), die das System oder auch das gesamte Netzwerk verschlüsselt und zur Wiederherstellung ein Lösegeld verlangt. Die dabei geforderten Beträge richten sich im Normalfall nach der erwartbaren Zahlungsfähigkeit der Opfer, wobei 5-, 6-, und 7-stellige Beträge keine Seltenheit sind.
• Reputationsschäden und daraus folgende finanzielle Einbußen.

Behebung

• Stellen Sie sicher, dass Sie alle infizierten Geräte in Ihrem/n Netzwerk(en) identifiziert haben, bevor sie sie Gegenmaßnahmen ergreifen. Andernfalls ist davon auszugehen, dass sich die Schadsoftware in kürzester Zeit erneut ausbreiten wird.
• CERT.at empfiehlt, infizierte Computer vollständig neu aufzusetzen und anschließend die Daten aus einem Backup einzuspielen von dem sicher ist, dass es vor der Infektion angelegt wurde. Sollten keine (sauberen) Backups vorhanden sein, kann der PC mithilfe einer Antiviren-Software gereinigt werden. Da sich die Antiviren-Firmen und Schadsoftware-DeveloperInnen in einem ständigen Katz-und-Maus-Spiel befinden, ist diese Methode weniger verlässlich als die Reinstallation. Zögern Sie auch nicht sich professionelle Hilfe zu holen, wenn Sie nicht sicher sind, wie Sie vorgehen sollen.

[0]: https://malpedia.caad.fkie.fraunhofer.de/details/win.emotet

Sandbox URL

Wenn Sie eine Meldung über "Sandbox-URL"s erhalten haben, so bedeutet das, dass Schadsoftware die in den Sandboxen des Shadowserver-Projektes untersucht wird, versucht hat auf diese URL zuzugreifen, d.h. unter dieser URL haben Verbrecher*innen Dateien abgelegt, die die Schadsoftware herunterladen will. Oft handelt es sich dabei um weitere Viren, Trojaner, etc.

Hier sind die Risiken und dementsprechend die Behebung bei jedem Fall unterschiedlich.

Sinkhole Events

Externe Dokumentation:

• https://www.shadowserver.org/what-we-do/network-reporting/sinkhole-events-report/
  
• https://www.shadowserver.org/what-we-do/network-reporting/sinkhole-http-events-report/
  

(veraltet) Sinkhole HTTP Drone

Beschreibung

Der Sinkhole-HTTP-Drone Feed von shadowserver zeigt an, dass Ihr System mit hoher Wahrscheinlichkeit von Schadsoftware befallen ist. Dabei wird ausgenutzt, dass bestimmte Malware-Arten mit einem sog. Command & Control (C2) Server kommunizieren, um Befehle zu erhalten, Dateien herunterzuladen, Dateien hochzuladen, etc. Ist der Name des Servers in der Schadsoftware als URL hinterlegt, muss dieser zuerst mittels DNS (Domain Name System) auf eine IP-Adresse aufgelöst werden. Shadowserver hat dabei die Möglichkeit, einen DNS-Server so einzustellen, dass er eine IP-Adresse zurückliefert, die nicht zum C2-Server gehört, sondern zu einem von ihnen kontrollierten Computer. Alle Verbindungsversuche zu diesem kommen dann wahrscheinlich von infizierten Maschinen.

Risiken

• Je nach installierter Schadsoftware sehr unterschiedlich, oft werden z.B. Passwörter, Bankdaten, Dateien, Browserverläufe, etc. gestohlen oder der PC wird verwendet um Spam zu verschicken oder um andere PCs im Netzwerk zu infizieren.

Behebung

• Wiederum je nach Schadsoftware unterschiedlich. CERT.at empfiehlt einen infizierten Computer vollständig neu aufzusetzen und anschließend die Daten aus einem Backup einzuspielen von dem sicher ist, dass es vor der Infektion angelegt wurde. Sollten keine (sauberen) Backups vorhanden sein, kann der PC mithilfe einer Antiviren-Software gereinigt werden. Da sich die Antiviren-Firmen und Schadsoftware-DeveloperInnen in einem ständigen Katz-und-Maus-Spiel befinden, ist diese Methode weniger verlässlich als die Reinstallation. Zögern Sie auch nicht sich professionelle Hilfe zu holen, wenn Sie nicht sicher sind, wie Sie vorgehen sollen.