Schutzüberlegungen

Inhaltsverzeichnis

Gefährliche Dateien blockieren
Vorsicht und "gesunder Menschenverstand" mit Dateien
Patchlevel und Schutzprogramme
Admin und UAC
Backup auf "offline"-Medium
Versionierung mit Schutz der alten Version gegen löschen
Windows File System Ressource Management
Policies auf dem Client, AppLocker

Eine Firma aber auch eine Privatperson sollte sich natürlich Gedanken über den Schutz essentieller Daten machen. Betriebssystem und Software kann in der Regel schnell wieder installiert werden, aber Dokumente, Kalkulationen, Fotos, Musik und andere wertvolle Informationen sollten Sie schützen. Dabei sind mehrere Möglichkeiten zu kombinieren:

Gefährliche Dateien blockieren

Man muss sich schon generell die Frage stellen, warum Anwender selbst "ausführbaren Code" aus unbekannten Quellen nutzen sollten. Es ist sehr einfach z.B. VBS, JS, EXE, COM, BAT etc. auf einem Mailsystem zu blockieren. Exchange 2013 kann das sogar per Transportregeln, allerdings nur, wenn die Anlage direkt angehängt ist. Die Absender der Trojaner sind natürlich auch nicht dumm und lassen sich immer was einfallen, z.B. indem Sie ein ZIP-Archiv anhängen, in der der Schadcode ist. Ich habe es auch schon gesehen, dass die Dateierweiterung verändert und in der Mail beschrieben wurde, wie die Anlage mit "Speichern unter" abzulegen ist, um sie "nutzen" zu können.

Das große Einfallstor waren aber wieder mal Makros in Dokumenten, obwohl dies eigentlich schon seit Office 2007 verhindert werden könnte. Mit dem neuen Office Dateiformat werden Makros nur ausgeführt wenn die Erweiterung auf DOCM, XLSM oder PPTM lautet. Wer hingegen ein DOCX, XLSX oder PPTX bekommt, muss keine Angst vor Makros haben. Das Problem ist aber, dass die Absender das natürlich wissen und daher ihren Schadcode als "DOC, XLS, PPT-Datei" senden. Ein erster Schritt wäre hier, auch diese sehr alten Dateiformate zu blockieren und den Absender zu bitten, er möge doch die neuen Formate nutzen

NoSpamProxy Blog über Trojanerwelle mit DOC bzw. XLS Anhang
https://www.nospamproxy.de/de/trojanerwelle-mit-doc-bzw-xls-anhang/
NoSpamProxy Blog zum gezielten Sperren von Anhängen
https://www.nospamproxy.de/de/gezieltes-sperren-von-anhaengen/

Vorsicht und "gesunder Menschenverstand" mit Dateien

Ich kann es nur immer wieder wiederholen: Prüfen Sie genau, aus welcher Quelle eine Software herunter geladen wird und ob diese signiert ist. Beim geringsten Zweifel sollten Sie abbrechen und nach einer seriösen Quelle suchen. Grade populäre Programme wie Firefox, iTunes, VLC-Player und andere werden von anderen Plattformen gerne "angeboten". Suchen Sie die originale Quelle und prüfen Sie die Signatur.

Das gleiche gilt für Anlagen an E-Mails. Gerade populäre und leistungsfähige Programme wie Word oder Excel mit umfangreichen Makro-Funktionen werden über entsprechend präparierte Anlagen als Einfallstor genutzt. Aber auch PDF ist nicht automatisch sicher und so mancher Schadcode versteckt sich in einem ZIP-Archiv oder der Absender hat die Extension verändert und bittet Sie zur Abspeicherung mit der "richtigen" Erweiterung.

Patchlevel und Schutzprogramme

Auch wenn aktuellster Schadcode nicht immer sofort von Schutzlösungen erkannt werden, so sind solche Schutzprogramme zumindest für ältere Schädlinge ein Gegenmittel. Auch sollten Sie darauf achten, dass Sie Aktualisierungen der Hersteller zeitnah einsetzen. Immer, wenn eine Lücke in einem Programm wie Word, Excel, Acrobat o.ä. vom Herstelle "gefixt" wird, sind kriminelle Entwickler schon daran anhand des Update den damit ausgebesserten Fehler zu analysieren um dann einen passenden Schadcode für all die Ziele zu erstellen, die das Update noch nicht eingespielt haben.

Admin und UAC

Gegen einfache "Verschlüsselungstrojaner" ist es nicht erforderlich als Administrator zu arbeiten. Sie wollen einfach nur die Dateien verschlüsseln, die sie als Anwender sowieso im Zugriff haben. Aber erst mit Admin-Rechten können diese Schädlinge auch z.B. ihre Schattenkopien löschen und ihnen damit den Zugriff auf die "vorherige Version" verhindern.

Backup auf "offline"-Medium

Wem seine Daten wichtig sind und die Versionierung nicht gegen Veränderungen geschützt ist, ist heute immer noch am besten mit einem Backup bedient. für den Privatgebrauch reicht schon eine USB-Festplatte, auf der einmal im Monat der komplette PC mit den Windows Bordmitteln gesichert wird. für Firmen sind natürlich andere Strategien erforderlich. In allen Fällen muss aber sichergestellt sein, dass diese Backups nicht auch von dem Schadcode gelöscht oder verschlüsselt werden können. Eine "Sicherung" auf eine zweite permanent angeschlossene Festplatte ist im privaten Bereich keine Lösung. Hier gilt es schon die Sicherung auch elektrisch zu trennen. Ein reiner Softwareschutz (z.B. NTFS-Rechte, TrueCrypt Password, etc.) schützt nicht sicher davor, dass ein Schadcode die Datei oder die Partition löscht.

Keine Lösung ist hier aktuell der Abgleich der lokalen Daten mit z.B. einem Cloud-Service wie Dropbox, OneDrive, Google Drive. Zumindest nicht solange die Synchronisation die Daten auch in die Cloud überträgt und es dort keine "Versionen" gibt. Das gleiche gilt natürlich für "NAS-Server" im Netzwerk, auf die ihr Client direkt schreibt. In Firmen sollte das Backup die Daten von den Servern abholen und bei der Wiederherstellung zurückschreiben und nie der Server selbst aktiv werden. Dann könnte es ein Schadcode auch.

Versionierung mit Schutz der alten Version gegen löschen

Viele "besseren" Datenspeicher erlaubt die Versionierung von Dateien. Das gilt z.B. für Systeme wie Sharepoint, Opentext, CRM, Wikipedia, Subversion, Team Foundation Server und andere. Sollte also ein Schadcode wirklich einmal die Schwelle überspringen und nicht weiter nur auf Dateisystemen zu arbeiten sondern auch solche Systeme anzugehen, dann fehlt es aktuell nur noch an den Tools, um alle betroffenen Dateien quasi auf eine Version "vorher" zurück zu setzen.

Aus dem Grund ist eine Schattenkopie nur hilfreich, wenn der Bereich größer als die Änderungsmenge ist: und das ist nicht einfach, wie folgendes Beispiel zeigen soll:

Eine Dateifreigabe mit 1TB Disk
Davon beschrieben 700 GB
Freie Disk-Kapazität 300 GB
Als VSS-Bereich reserviert : 100 GB

Wenn der Trojaner nun loslegt und von den 700 GB Nutzdaten die ersten 100 GB „verschlüsselt“ hat, ist der VSS-Bereich schon voll und ab dann gibt es kein Zurück mehr. So mein Verständnis. Ganz abgesehen ist davon natürlich, dass der Schadcode schon von sich aus versucht die Schattenkopien abzuschalten.

Windows File System Ressource Management

Wer einen Windows Server als Dateishare nutzt, kann einen File Filter auf die verräterischen Dateinamen anlegen und sich sofort alarmieren lassen oder besser noch: Die Dateifreigaben (Shares) beenden. Das ist allemal besser als einen verschlüsselten Dateiserver zu restaurieren.

Stop CryptoLocker (and copy-cat variants of this badware) before it ruins your day (http://jpelectron.com/sample/Info%20and%20Documents/Stop%20crypto%20badware%20before%20it%20ruins%20your%20day/1-PreventCrypto-Readme.htm))

Das funktioniert solange gut, solange mit einfachen Dateierweiterungen diese Schadaktivitäten erkannt werden können

Policies auf dem Client, AppLocker

Windows selbst kann auch per Richtlinien so konfiguriert werden, dass nur "bekannte" Programme ausgeführt werden.

Applocker und SmartScreen

Damit können Sie sehr zuverlässig verhindern, dass überhaupt Code zur Ausführung kommt, den sie nicht zugelassen haben. Das bedeutet aber auch ggfls. eine regelmäßige Konfigurationsänderung um neue Programme zuzulassen. Gegen Makros hilft AppLocker aber nicht.