Erweiterte Schutzmassnahmen: Ransomware von Ihrem Rechner fernhalten
Viele gut modifizierte Schadsoftwares lassen sich mit Grundschutzmassnahmen noch nicht von ihrem bösen Treiben abhalten. Dieser Beitrag zeigt deshalb gezielte Massnahmen auf, die moderner Schadsoftware – vor allem den momentan weit verbreiteten Verschlüsselungstrojanern, fachsprachlich Ransomware genannt – an den Kragen gehen.
In einem ersten Blogbeitrag zu aktueller Schadsoftware habe ich Ihnen die Ausgangslage und die aktuelle Bedrohung durch Cyberkriminelle erläutert. Im zweiten Beitrag habe ich wichtige Grundschutzmassnahmen beschrieben, die bei keinem Computer fehlen sollten.
Viele gut modifizierte Schadsoftwares lassen sich damit aber leider noch nicht von ihrem bösen Treiben abhalten, allen voran auf Windows-Systemen. Daher zeige ich Ihnen in diesem Blogbeitrag gezielte Massnahmen, die moderner Schadsoftware – vor allem den momentan weit verbreiteten Verschlüsselungstrojanern, fachsprachlich Ransomware genannt – auf den Pelz rücken.
Versetzen Sie sich zunächst in die Lage eines Cyberkriminellen, der schnelles Geld mit Computerressourcen verdienen will. Da ist es natürlich lästig, wenn die Sicherheitsmassnahmen den schnellen Zugang zu Ihrem Computer erschweren. Auf dies sollten wir uns also bei den erweiterten Massnahmen konzentrieren. Dazu schauen wir uns noch einmal die meistverwendeten Infektionswege an.
Die E-Mail-Falle
Erstens wird Schadsoftware gerne per E-Mail an die Opfer gesandt. So wird, wie bei Spammails auch, eine grosse Anzahl an möglichen Zielen fast gänzlich kostenlos erreicht. Allerdings wissen auch die Cyberkriminellen, dass Massenmails mit wahllosem Inhalt, die nicht in der Landessprache verfasst werden, von den meisten Empfängern schnell als unerwünscht erkannt werden. Daher werden die gewählten «Stories» in den E-Mails immer gezielter. Auch Schadcode in Makros, die in angehängte Office-Dokumente eingebettet werden, erleben ein wahres Revival. Um der Erkennung des Mailschutzprogramms zu entgehen, werden neu auch Links auf Cloudspeicher zum Download der Anhänge versandt. Eines müssen die Cyberkriminellen allerdings immer noch erreichen: Sie als Nutzer müssen zur Ausführung des Schadcodes etwas tun, also einen Klick mit der Maus ausführen.
Die Werbe-Falle
Als zweiten vielversprechenden Infektionsweg wählen Cyberkriminelle das Internet, also evtl. Ihre geliebte News-Website. Natürlich soll auch beim Verteilen von Schadcode über Websites möglichst schnell eine grosse Anzahl an Opfern erreicht werden. Daher sind gerade hochfrequentierte Websites dafür sehr interessant. Wie kommt nun aber Schadcode dort hin? Entweder hacken sich die Cyberkriminellen auf die gewünschte Website ein – was vielfach nicht so einfach ist – oder sie wählen mit gemieteten Werbeeinblendungen bei Ad-Netzwerken einen weit einfacheren Weg. Ein solches Vorgehen wird in der Fachsprache «Malwaretising» (Malware und Advertising) genannt.
Nun widme ich mich den Massnahmen, die diese Infektionswege möglichst direkt eingrenzen. Vergessen Sie allerdings nicht, die in meinem Blogbeitrag erwähnten Grundschutzmassnahmen umzusetzen. Die in diesem Beitrag gezeigten Massnahmen sind eine Ergänzung.
Wichtig: die hier erwähnten Tools müssen mit Bedacht eingesetzt werden, da damit auch einmal ein gewünschtes Verhalten Ihres Rechners blockiert werden kann! Sie sind selber verantwortlich für Ihr Handeln, ich und die Digicomp Academy AG übernehmen keinerlei Haftung. Sie haben es sicherlich schon oft gehört, doch es sei noch einmal gesagt: Machen Sie vor allen Installation und Systemänderungen immer eine vollständige Datensicherung!
Nun aber zu den Massnahmen:
1. Sie selber haben die Sicherheit in der Hand
Wenn Sie wachsam sind, beispielsweise E-Mail-Anhänge nicht wahllos öffnen und nicht jedem Link gleich blind folgen, dann ist schon eine grosse Hürde erstellt. Seien Sie aber vorsichtig! Wie bereits erwähnt, nutzen clevere Cyberkriminelle gezielt menschliche Schwächen aus und erstellen immer bessere und stimmigere Stories in den Mailtexten, um Sie zum Klick zu verleiten. Dabei können durchaus auch gezielt E-Mail-Adressen verwendet werden, die Sie kennen. Vor allem E-Mails betreffend vermeintliche Bewerbungen, unbezahlte Rechnungen, nicht zustellbare Pakete oder gar ausstehende Gerichtsverhandlungen sind sehr beliebt.
2. Deaktivieren Sie das Flash, Java und Silverlight Plug-In
Diese Plug-Ins, allen voran das Flash Plug-In, sind bei Cyberkriminellen für Exploit-Angriffe über Websites sehr beliebt. Ein Exploit ist ein gezielter Angriff auf eine Schwachstelle im Programmcode einer Anwendung und da haben gerade diese Plug-Ins eine Menge davon. Seit HTML5 sind diese Plug-Ins bei vielen Websites nicht mehr nötig und werden zukünftig weiter an Bedeutung verlieren.
3. Verwenden Sie ein Adblocker Add-On
Die Werbeindustrie wird dies nicht gerne hören, doch verwenden Sie einen bewährten Adblocker in Ihrem Browser. So können Sie der hoch verbreiteten Verseuchung durch Malwaretising gezielt entgegenwirken. Sicherheitsbegeisterte können mit dem Browser Add-On «NoScript», das beispielsweise im Browser Mozilla Firefox zur Verfügung steht, mittels Whitelistingverfahren die Ausführung von Skripten auf der Website manuell steuern. Sie behalten so die volle Kontrolle.
4. Deaktivieren Sie die Ausführung von Makros in Office-Dokumenten
Makros dürfen in Office-Dokumenten auf keinen Fall automatisch ausgeführt werden. Die Ausführung von Makros sollte durch den Benutzer zumindest vor der Ausführung bestätigt werden müssen. Kontrollieren Sie an Ihrem System die Einstellungen für die Makroausführung. Wenn in einem Office-Dokument ein Makro enthalten ist, dann führen Sie dies nicht achtlos aus. Dokumente mit Markos erkennen Sie meist schon am letzten «m» in der Dateiendung: .docm, .xlsm usw.
5. Grenzen Sie die Ausführung der PowerShell ein
Da die PowerShell auf vielen modernen Windows-Systemen zur Verfügung steht, wird diese von Cyberkriminellen gerne für die Ausführung von Schadcode verwendet. Ich selber habe an den «Informatiktage 2016» ein Live-Hacking im Bereich von Makros in Zusammenhang mit der PowerShell gezeigt und die Zuschauer waren doch erstaunt, wie einfach so etwas trotz guter Antivirensoftware gelingt. Auch gezielte Angriffe über USB-Sticks erfolgen häufig über die PowerShell. Da die PowerShell vielfach nur für administrative Zwecke eingesetzt wird, kann sie an den meisten Computern für den normalen Benutzer gesperrt werden.
6. Setzen Sie das Microsoft EMET auf Windows-Systemen ein
Mit dem Tool EMET – The Enhanced Mitigation Experience Toolkit – hat Microsoft eine Schutzsoftware entwickelt, die Ihren Computer vor noch unbekannten Exploits schützen kann. Zumindest erhöht sich der Aufwand auf Seite der Cyberkriminellen, da für einen erfolgreichen Exploit auch noch das EMET umgangen werden muss.
7. Setzen Sie ein Programm-Whitelisting ein
Es ist heute für einen Antivirenscanner eine schier aussichtslose Aufgabe, alle Variationen von neu generierten Schadsoftwares zeitnah zu erkennen. Auch mir gelingt es auf einfache Weise, Schadcode für autorisierte Penetration-Tests zu erstellen, der nicht mehr erkannt wird. So schlüpfen auch im Alltag immer wieder Schadcodes durch den Schutzring der Antivirentools und landen auf dem eigenen Computer. Wie kann nun aber dieser Schadcode bei Unachtsamkeit an der Ausführung gehindert werden? Wichtig ist die Erkenntnis, dass auf Windows-Systemen auch im Benutzerkontext neue Software ausgeführt werden kann. Es ist also ein Mythos, dass beim Entzug der Administrationsrechte auf Windows-Systemen die Ausführung von neuen Softwares nicht möglich sei. Wir müssen also umdenken und aufhören, aus der Menge an guter Software die Böse erkennen zu wollen. Eine weit einfachere und wirkungsvollere Massnahme besteht darin, zu definieren, was gut ist. So wird ein unbekannter Schadcode nicht mehr ausgeführt, ohne dass das Programm bewusst in die Whitelist aufgenommen wird. Eine einfache und doch wirksame Whitelisting-Methode besteht darin, nur vom Hersteller signierte Programme ausführen zu lassen. Diverse Anbieter von Lösungen verwenden einen solchen Ansatz. Auch Microsoft hat mit der Möglichkeit des Applockers eine Whitelisting-Lösung für Kunden parat.
8. Eventuell ist Linux eine Alternative
Wenn Sie nicht auf spezifische Programme und das Look and Feel unter Windows angewiesen sind, könnte Linux oder ein anderes auf UNIX basierendes Betriebssystem eine momentan weniger exponierte Alternative darstellen. Linux bietet punkto Sicherheit diverse Vorteile. Einerseits ist das Rechtekonzept extrem griffig umgesetzt und andererseits existieren dafür momentan wenig bis gar keine ausführbaren Schadsoftwares. Was nicht heisst, dass hier keine Angriffe durch Exploits, also Zugriffe auf Schwachstellen, bestehen. Auch bei Linux-Systemen sind daher die Grundschutzmassnahmen unbedingt umzusetzen, allen voran das rasche Einspielen von Sicherheitsupdates. Auch ein Antivirenscanner kann hier nicht schaden, ist allerdings im Moment hauptsächlich für die Verbreitungsverhinderung von windowsbasierenden Viren gedacht. Ob sich dies ändert, wird die Zeit zeigen.
Fazit
Mit diesen Massnahmen und vor allem einer guten Prise gesundem Menschenverstand im Umgang mit E-Mail-Anhängen und Links können Sie einige sehr wirksame Schutzmassnahmen gegen Schadsoftware aufbauen. Lieber löschen Sie ein E-Mail, bei dem Sie sich nicht sicher sind, als dass Sie einem Angreifer die Türen zu Ihrem Rechner öffnen.