2057 replies to this topic

[m1ndfuck]

[Synthor]

Sick!

 

Ich sitz gerade hier, lese http://www.heise.de/...rt-3037099.html, in den Kommentaren, dass da seit ein paar Tagen diverse Variationen von Verschlüsselungstrojanern bei Leuten einschlagen und in dem Moment kommt bei uns auf dem Mailverteiler eine Rechnung von einem angeblichen Autohaus als .doc Datei. Übelste Markos und was weiß ich drin.

 

Guter Test...Virustotal 8/54, weder Symantec noch ESET dabei.

 

Aber F-Secure, GData und Sophos.

 

https://www.virustot...e9f98/analysis/

Dieser Beitrag wurde von Synthor bearbeitet: 10. Dez. 2015 - 13:14 Uhr

[Speedfreak]

Jupp hatte grad au eine bei einem im Vertrieb un F-Secure hats gleich geblockt.

 

Severity: security alert (5)

Message: Bösartiger Code in Datei C:\Usergedönspfad\CCE30032015_00001.doc gefunden.

Infektion: Trojan:W97M/MaliciousMacro.GEN

Aktion: Die Datei wurde unter Quarantäne gestellt.

Und noch einer, diesmal ne Exceldatei

 

Severity: security alert (5)

Message: Bösartiger Code in Datei C:\Users\10 12 2015_13_17.xls gefunden.

Infektion: Trojan:W97M/MaliciousMacro.GEN

Aktion: Die Datei wurde unter Quarantäne gestellt.

[Synthor]

Heftig!

 

Die Mail kam bei uns als HTML Mail im Design eines Kunden. Zwei Verkäufer haben die geöffnet, weil die genau so aussieht wie die anderen Mails dieses Kunden, die wir bekommen "aber die war leer die Worddatei".

 

Ja ach...

[Speedfreak]

Jupp sind sehr gut gefälscht.

 

Hatten au eine vom nem BMW-Autohaus.

 

Da hat alles drin gestimmt. Bloß der Anhang war halt verseucht.

[Synthor]

Jo, die sind gut gefickt. Sieben Standorte, alle Platt, Homepage down und alle Telefone klingeln wie verrückt, weil die Daten in der E-Mail korrekt sind.

 

[Speedfreak]

ach war es bei dir au nen bmw-autohaus?

[Synthor]

Es ist ein Kunde von uns, habe ich doch oben extra geschrieben.

 

Vermutlich hat der bei euch mal Akkus oder was bestellt...

Eilmeldung:

 

Drei Mitarbeiter haben den Anhang geöffnet.

 

Dunkelziffer unbekannt. -.-

 

Natürlich hab ich nur einen einsatzbereiten Ersatzrechner am Start.

 

Dafür konnte ich jetzt dem Chef gut vermitteln, was denn ein Sysadmin den ganzen lieben langen Tag hier machen würde. Das hat ihn ins Grübeln gedacht...

[Speedfreak]

Vielleicht habt ihr au autohäuser als kunden

ihr verkauft doch autos

[Synthor]

Haha, ich habs sogar in nen heise security Artikel geschafft.

http://m.heise.de/ne...ei-3039927.html

Dieser Beitrag wurde von Synthor bearbeitet: 10. Dez. 2015 - 20:07 Uhr

[Speedfreak]

geil

[Synthor]

Hier kam gerade die nächste von webshop@hd-plus.de eingetrudelt.

 

Die ganzen Fernsehopfer haben es doch eigentlich verdient, dass sie Botnetzteilnehmer werden. Die sind sowieso schon assimiliert worden..

 

Btw. Flow, ich checke gerade mal unsere Postfix-Installation, die noch von den Vorgängern aufgesetzt wurde. Haarsträubende Fehler in der Konfig von Spamassasin. SPF einträge sind im DNS zwar gesetzt, aber im Postfix nix konfiguriert. Kein Wunder, dass wir fröhlich Spammails mit unseren Domains als Absendern bekommen.

[Speedfreak]

hey die hatte ich vorhin au also von hd+

war aber glei mit ++++spam++++ markiert

Dieser Beitrag wurde von Speedfreak bearbeitet: 14. Dez. 2015 - 12:55 Uhr

[Synthor]

Ich vermute, dass unser Kunde das noch nicht im Griff hat.

 

Und ich sag ihm noch, wenn er Fragen hat, soll er anrufen.

 

Depp...

[Speedfreak]

oh man

[Synthor]

ClamAV Virus Database

 

Result:

Submission completed!
Untitled_14102015_154510.doc has been successfully sent to the virusdb maintainer team...

 

Thank you for helping the ClamAV project.

 

Die verschicken jedes Mal neue Variationen, auf die keine Engine anspringt.

 

Da bringt auch ClamAV nix auf dem Mailserver.

 

Also immer schön hochladen die Teile -> http://cgi.clamav.net/sendvirus.cgi !!!!

[Synthor]

Na endlich, da ist der Beitrag -> https://github.com/e...unofficial-sigs

 

Erfahrung mit den inoffiziellen Signaturen, Flow?

 

Muss nur gucken, wie ich ClamAV 0.99 auf den Debian 6 Server bekomme. Kein Bock in Zukunft dann immer nach Updates ausschau zu halten und zu kompilieren. -.-

 

--------

 

Cool, da ist sogar direkt ein Paket für Squeeze im backports repository.

 

https://packages.deb...unofficial-sigs

Dieser Beitrag wurde von Synthor bearbeitet: 14. Dez. 2015 - 15:12 Uhr

[m1ndfuck]

Kenne die, habe sie aber nicht im einsatz da wir Kundenmails nicht filtern. Soll ich die mal auf meinem Server testen?

 

edit:

 

Schick mir mal nen FUD Virus an m1ndfuck@m1ndfuck.de

root@m1ndfuck /home/t00r # apt-get install clamav-unofficial-sigs
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following NEW packages will be installed:
  clamav-unofficial-sigs
0 upgraded, 1 newly installed, 0 to remove and 1 not upgraded.
Need to get 43.4 kB of archives.
After this operation, 242 kB of additional disk space will be used.
Get:1 http://mirror.hetzner.de/debian/packages/ jessie/main clamav-unofficial-sigs all 3.7.2-2 [43.4 kB]
Fetched 43.4 kB in 0s (449 kB/s)
Selecting previously unselected package clamav-unofficial-sigs.
(Reading database ... 87195 files and directories currently installed.)
Preparing to unpack .../clamav-unofficial-sigs_3.7.2-2_all.deb ...
Unpacking clamav-unofficial-sigs (3.7.2-2) ...
Processing triggers for man-db (2.7.0.2-5) ...
Setting up clamav-unofficial-sigs (3.7.2-2) ...
root@m1ndfuck /home/t00r #

Dieser Beitrag wurde von m1ndfuck bearbeitet: 14. Dez. 2015 - 17:24 Uhr

[Synthor]

Ich schick dir die besser nich, sonst wird unser Server noch als Trojaner-Spammer geflaggt. ^^

 

Edit: Mach mir mal nen Wegwerf-FTP-Account oder so, dann lad ich die Datei hoch und du kannst selbst testen..

 

Gucke gerade wegen SPF/DKIM und siehe da, ist zwar ein seltsamer SPF-Eintrag in einer unserer Domains, aber in Postfix überhaupt nichts in der Richtung konfiguriert. Was für Amateure waren das denn bitte?!

 

Die unoffiziellen ClamAV Signaturen kann ich erst Morgen testen, da ich die Free-Accounts heute gerade erst eingerichtet und die ersten Signaturen in frühestens drei Stunden herunter geladen werden dürfen.

Dieser Beitrag wurde von Synthor bearbeitet: 14. Dez. 2015 - 17:58 Uhr

[m1ndfuck]

hast pm

[Synthor]

Danke, hat sich erledigt.

Dec 14 17:57:03 main postfix/smtpd[10757]: F1969D8765A: client=unknown[xxx.xxx.xxx.xxx], sasl_method=PLAIN, sasl_username=sender@domain.tld
Dec 14 17:57:04 main postfix/qmgr[2860]: F1969D8765A: from=<sender@domain.tld>, size=99458, nrcpt=1 (queue active)
Dec 14 17:57:04 main postfix/pickup[16813]: 6783BEC2B4A: uid=2001 from=<sender@domain.tld>
Dec 14 17:57:04 main postfix/qmgr[2860]: 6783BEC2B4A: from=<sender@domain.tld>, size=99759, nrcpt=1 (queue active)
Dec 14 17:57:04 main clamsmtpd: 10023E: from=sender@domain.tld, to=recipient@domain.tld, status=VIRUS:Sanesecurity.Malware.24946.MacroHeurGen.RB.UNOFFICIAL

Die Sanesecurity-Signatur hat darauf angeschlagen.

 

[Synthor]

 

Kenne die, habe sie aber nicht im einsatz da wir Kundenmails nicht filtern. Soll ich die mal auf meinem Server testen?

 

edit:

 

Schick mir mal nen FUD Virus an m1ndfuck@m1ndfuck.de

root@m1ndfuck /home/t00r # apt-get install clamav-unofficial-sigs
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following NEW packages will be installed:
  clamav-unofficial-sigs
0 upgraded, 1 newly installed, 0 to remove and 1 not upgraded.
Need to get 43.4 kB of archives.
After this operation, 242 kB of additional disk space will be used.
Get:1 http://mirror.hetzner.de/debian/packages/ jessie/main clamav-unofficial-sigs all 3.7.2-2 [43.4 kB]
Fetched 43.4 kB in 0s (449 kB/s)
Selecting previously unselected package clamav-unofficial-sigs.
(Reading database ... 87195 files and directories currently installed.)
Preparing to unpack .../clamav-unofficial-sigs_3.7.2-2_all.deb ...
Unpacking clamav-unofficial-sigs (3.7.2-2) ...
Processing triggers for man-db (2.7.0.2-5) ...
Setting up clamav-unofficial-sigs (3.7.2-2) ...
root@m1ndfuck /home/t00r #

 

Hast du, wie hier beschrieben https://github.com/e...unofficial-sigs, free accounts für MalwarePatrol und SecuriteInfo angelegt und deren Daten in der Konfig von freshclam hinterlegt? Sonst hagelt das nur GPG-Fehler im freshclam.log, unbedingt checken.

[Synthor]

Flo, du hast doch nen Server bei Hetzner.

 

Unterstützen die kein Domainkeys? Hab gerade versucht den TXT-Record im Robot für die betreffende Domain zu erstellen, wird einfach nicht gespeichert. -.-

 

Edit: Hätte zehn Sekunden länger warten sollen...jetzt isser drin.

Dieser Beitrag wurde von Synthor bearbeitet: 15. Dez. 2015 - 13:11 Uhr

[alfabasti]

Haha, ich habs sogar in nen heise security Artikel geschafft.

http://m.heise.de/ne...ei-3039927.html

 

Ich kenn mich jetzt mit VBA-Makros nur rudimentär aus, aber ist es nicht so dass Office Dateien mit Makros  eine eigene Dateiendung haben & dass beim Öffnen des Files erstmal UAC anschlägt bevor das Makro ausgeführt wird ?

[Speedfreak]

Nein, haben keine Extra Dateiendung. Hab ich zumindest noch nicht wirklich gesehen. Heißen genauso Doc(x) oder xls(x)

und je nachdem wie man die Makrosicherheit eingestellt hat kommt ne Meldung oder nicht wegen Makros

[Synthor]

Ich kenn mich jetzt mit VBA-Makros nur rudimentär aus, aber ist es nicht so dass Office Dateien mit Makros  eine eigene Dateiendung haben & dass beim Öffnen des Files erstmal UAC anschlägt bevor das Makro ausgeführt wird ?

 

In den Standardeinstellungen werden Makros heutzutage sowieso nicht mehr direkt ausgeführt. Oben im Fenster ist dann diese gelbe Warnleiste mit der Schaltfläche zum Ausführen des Makros im Dokument.

 

Da die Benutzer nur eine leere weiße Seite sahen, kann man davon ausgehen, dass diese "den Fehler" weggeklickt haben und das Markro somit Schadcode nachladen konnte.

 

UAC hin oder her, es gibt genug offene Lücken in Windows/Office/usw., die UAC einen feuchten interessieren, da ists einfach schon zu spät.

 

UAC ist doch genau wie diese gelbe Warnleiste in Office, die wird einfach weggeklickt. Besonders, wenn im Unternehmen Office-Dokumente mit Makros benutzt werden. Die bekommen wir so von Lieferanten und funktionieren nicht mit abgeschalteten Markos.

 

Meinste unsere Lieferanten signieren ihre Makros digital? Aber selbst das würde ja nicht heißen, da man das Zertifikat auch klauen und damit fröhlich selbst signieren kann.

 

Am besten die Computer abbauen und den Benutzern Briefpapier, Füller und eine Schreibmaschine auf den Tisch stellen. ^^

- - - - - -

 

Btw. die .doc Rechnung von vor einer Stunde kam trotz der inoffiziellen ClamAV Signaturen durch unseren Mailserver in mein Postfach. Virustotal neuer Rekord nach unten, nur 4 von 55 Engines haben angeschlagen!

 

Von den großen war nur F-Secure mit einer generischen Makro Signatur in Office Dokumenten dabei.

-------

 

Als nächstes werde ich nach SPF und DKIM noch Razor und Pyzor im Mailserver einrichten.

 

Mal schauen ob das die Lösung gegen die aktuelle Plage ist.

 

Btw. Flow, netter Nebeneffekt: durch meine Änderungen an der Postfix config kommen weitergeleitete Mails jetzt nicht mehr doppelt an. Nach dem Fehler hatte ich schon mehrmals geguckt und nichts gefunden. SPF fertig einzurichten war es wohl.

Dieser Beitrag wurde von Synthor bearbeitet: 16. Dez. 2015 - 12:46 Uhr

[alfabasti]

Ich würde jetzt nicht von einer Lücke sprechen, wenn ein User aktiv bestätigen muss dass Code XY lokal ausgeführt werden darf. Dass das in der Praxis jedoch scheitert, ist mir vollkommen klar

 

/Edit:

 

Das ganze gabs doch auch mal in Open Office, damals sogar Plattform-übergreifend. Je Nach Zielplattform (Win, Linux, OSX) wurde durch das Makro der Code in einer unterstützen Scriptsprache ausgerollt, ich meine Ruby, Python & VBS.

Dieser Beitrag wurde von alfabasti bearbeitet: 16. Dez. 2015 - 13:06 Uhr

[Synthor]

Du sprichst den wunden Punkt doch bereits an: die Benutzer.

 

Multiplattformschadcode ist doch normal heutzutage. Bei unixoiden Betriebssystemen ist jedoch wirklich die Interaktion des Benutzers nötig, wie das bei Windows ist will ich mir gar nicht vorstellen. Da gibts sicher genug Lücken, wo weder UAC oder sonstige Sicherheitsvorkehrungen anspringen. Hast du mal mit Metasploit rumgespielt? ^^

 

Es reicht doch bereits eine Webseite aufzurufen und tschüss.

 

Ich kann mir schwer vorstellen, dass wirklich alle Benutzer so blöd sind und immer alles bestätigen, was da so vor ihnen aufploppt.

-------

 

Gerade kam eine Zip-Datei mit einer .exe drin von WhatsApp xxx@secgroup.net rein.

 

Na, immerhin 10/55 angesprungen.

 

Avast!!!

Bitdefender

F-Secure

GData

[alfabasti]

Kam grad rein, ist das so n Ding ? 

 

 

 

 

 

Was mich wundert ist die Dateiendung *.doc und nicht *.docm.

[Synthor]

Word-Dokument bleibt Word-Dokument.

 

.docm hatten wir noch nicht.