Feldstudie.net

Büchse der Pandora: Stuxnet läutet das Zeitalter der Cyberkriegsführung ein

// September 24th, 2010 // No Comments » // IT, Kaspersky

Kaspersky Lab geht von zielgerichteten, staatlich unterstützten Attacken aus

Moskau/Ingolstadt, 24. September 2010 – Kaspersky Lab geht davon aus, dass mit Stuxnet ein neues Zeitalter für Cyberkriegsführung angebrochen ist. Die jüngsten Attacken des Stuxnet-Wurms haben zahlreiche Diskussionen und Spekulationen über die Absicht, den Zweck, die Herkunft und vor allem die Identität der Angreifer mit sich gebracht.

Kaspersky Lab hat zwar bisher nicht genug Informationen, um die Angreifer zu identifizieren oder ihr Ziel anzugeben. Allerdings bestätigt der IT-Sicherheitsexperte, dass es sich bei den Attacken um einen einzigartigen und sehr ausgefeilten Malware-Angriff handelte, der mit fundiertem Wissen um die Industrieanlagensteuerung mit SCADA-Technologie (Supervisory Control and Data Aquisition) durchgeführt wurde. Kaspersky Lab geht deshalb davon aus, dass es sich um einen staatlich unterstützten Angriff handelt.

(more...)

Kaspersky Lab und Microsoft schließen gemeinsam neue Zero-Day-Sicherheitslücke von Stuxnet

// September 16th, 2010 // No Comments » // IT, Kaspersky, Security

Kaspersky Lab hat eine Zero-Day-Sicherheitslücke in Microsoft Windows gefunden und diese in Zusammenarbeit mit Microsoft erfolgreich geschlossen. Der in den letzten Wochen berühmt-berüchtigt gewordene Wurm Stuxnet (Worm.Win32.Stuxnet) ist ursprünglich ein Industriespionage-Tool. Er wurde entwickelt, um Zugang zum Siemens WinCC-Betriebssystem zu erlangen, das für Datensammlung und Produktionsüberwachung zuständig ist.

Seit seinem ersten Auftauchen im Juli 2010 haben IT-Sicherheitsexperten Stuxnet in seiner Vorgehensweise und seinen Einsatzmöglichkeiten genau analysiert. Hierbei konnten sie feststellen, dass Stuxnet nicht nur, wie anfangs beobachtet, LNK- und PIF-Dateien befällt, sondern zusätzlich vier weitere Sicherheitslücken in Windows nutzt. Ein derartiges Beispiel ist MS08-067: Diese Lücke wurde Anfang 2009 schon von dem berüchtigten Wurm Kido (Conficker) genutzt. Die anderen drei Sicherheitslücken waren zunächst noch unbekannt und bestehen in der aktuellen Version von Windows.

(more...)

Tool zum Erstellen von Remoteinstallation-IDs für die Installation des Kaspersky Network Agents

// September 14th, 2010 // 1 Comment » // IT, Kaspersky

Das Kaspersky Administration Kit 8 bietet die Möglichkeit bei der Remoteinstallation des Network Agents eine Gruppe anzugeben, in welche der Client nach der Installation automatisch verschoben wird. Dieses Paket kann dann entweder über einen Installationstask aus dem Administration Kit oder über ein autonomes Installationspaket verteilt werden. Viele Unternehmen nutzen jedoch die Möglichkeit, Anwendungen über MSI Pakete zu installieren.

Hierfür bietet das MSI-Paket für den Network Agent einen Parameter RI_ID, über welchen die ID angegeben werden. Bei der ersten Verbindung des Network Agents wird diese mit den Verschieberegeln des Administration Kit abgeglichen und der Client in die korrekte Gruppe verschoben.

Da es in großen Umgebungen nicht praktikabel ist, für jede Erstellung einer solchen ID ein autonomes Installationspaket anzulegen, habe ich ein Tool geschrieben, welches dem Administrator die Arbeit abnimmt. Nach dem Start des Tools müssen die Daten angegeben werden, die für die Verbindung zum SQL-Server erforderlich sind.

(more...)

540 Millionen Infizierungsversuche weltweit

// September 14th, 2010 // No Comments » // IT, Kaspersky

Zeus verbreitet sich – ohne das Ausnutzen von Schwachstellen – über PDFs

Kaspersky Lab Malware-Report für das 2. Quartal 2010

Moskau/Ingolstadt, 14. September 2010 – Kaspersky Lab registrierte von April bis Juni des laufenden Jahres 540 Millionen Infizierungsversuche von Computern weltweit. Das beliebteste Angriffsziel waren Chinesische Nutzer mit 17,09 Prozent aller Attacken, gefolgt von Anwendern in Russland (11,36 Prozent) und Indien (9,30 Prozent). Deutschland liegt mit 2,65 Prozent auf dem sechsten Platz. Diese Zahlen gehen aus dem Malware-Report von Kaspersky Lab für das zweite Quartal 2010 hervor.

Bei der Verbreitung von Schadprogrammen setzten die Cyberkriminellen im zweiten Quartal 2010 vor allem auf Schwachstellen in Programmen: Kaspersky Lab identifizierte in diesem Zeitraum 8.540.223 Exploits. Führend sind nach wie vor Exploits, die Sicherheitslücken im Adobe Reader ausnutzen, allerdings ging ihr Anteil im Vergleich zum ersten Quartal stark zurück.

Ein Großteil der Malware-Attacken hing im zweiten Quartal 2010 mit Botnetzen zusammen. So entdeckte Kaspersky Lab Ende April eine neue Modifikation des bekannten Schadprogramms ZeuS, das es vor allem auf Zugangsdaten von Online-Banking-Kunden abgesehen hat. ZeuS wurde zudem zwischen April und Juni über PDF-Dateien verbreitet. Das Neue dabei: Die in die PDF-Dokumente integrierten ausführbaren Dateien können gestartet können, ohne Sicherheitslücken im Adobe Reader auszunutzen. Das Anklicken des PDF-Dokuments genügt zur Infizierung.

Der vollständige Malware-Report für das zweite Quartal 2010 ist unter http://www.viruslist.com/de verfügbar.

Neue Version des NDIS Treibers für Kaspersky Anti-Virus für Windows Workstation MP4 – Teil 2

// September 3rd, 2010 // No Comments » // IT, Kaspersky

Dieses Tool führt ein Update des NDIS Treibers für Kaspersky Anti-Virus für Windows Workstation MP4 unter Windows 2000, XP, Vista, Win 7 auf die Version 6.5.0.4 (klim6.sys - Vista, Win 7) bzw. 6.5.0.7 (klim5.sys unter 2000, XP) durch.

Kaspersky Anti-Virus NDIS Filter ist ein Standard zur Einbindung von Netzwerkkarten. Der Mechanismus der Einbindung von Netzwerkkarten wird durch die Technologie NDIS Intermediate Driver (Technologiebeschreibung auf Englisch) realisiert. Diese Art von Einbetten ins System ist von Microsoft empfohlen und nur dieser Standard gewährleistet maximale Kompatibilität sowohl mit verschiedenen Versionen von Betriebssystemen, als auch mit anderen Anwendungen und Treibern. (via Kaspersky Knowledgebase)

Da es unter bestimmten Voraussetzungen doch zu Inkompatibilitäten mit anderen Netzwerkanwendungen kommen kann, wird der Treiber von Kaspersky kontinuierlich weiterentwickelt. Da es sich um einen Systemtreiber handelt, der nur aufwändig ausgetauscht werden kann, habe ich ein Tool geschrieben, welches den aktuell installierten Treiber beim nächsten Neustart tauscht. Eine Deaktivierung des Selbstschutzes oder von Kaspersky Anti-Virus für Windows Workstation MP4 ist nicht notwendig (sofern der Registry-Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager nicht von Kaspersky geschützt wird). Da Registrywerte gesetzt werden müssen, muss das Tool mit administrativen Rechten gestartet werden.

Ob die entsprechenden Registrywerte erfolgreich geschrieben wurden, kann mit meinem Tool Pendmoves Extended oder über die Log-Datei des NDIS-Changers unter %temp%\ndischanger.log überprüft werden.

(more...)

Neue Version des NDIS-Filters für Kaspersky Anti-Virus für Windows Workstation MP4 unter Windows XP (6.5.0.7)

// August 18th, 2010 // No Comments » // IT, Kaspersky

Ab und an kann es in Verbindung mit dem NDIS-Filter von Kaspersky Anti-Virus für Windows Workstation MP4 zu Problemen (Inkompatibilitäten mit Drittanwendungen, Netzwerkstörungen) kommen.

Hier kann u.U. eine neue Version (6.5.0.7) des NDIS-Filters für Windows XP x86 helfen. Um den entsprechenden Treiber auszutauschen, muss wie folgt vorgegangen werden:

Zu Beginn lädt man sich die Sysinternals-Tools "Pendmoves" und "Movefile" unter http://download.sysinternals.com/Files/PendMoves.zip herunter und entpackt diese in das gleiche Verzeichnis wie die Executable aus diesem Beitrag. Anschließend startet man die Datei ndischanger-6507.exe mit Administratorrechten (da ein Eintrag in der Registry durchgeführt werden muss) und startet anschließend den Rechner neu. Die Dateiversion der Datei klim5.sys in C:\Windows\system32\drivers sollte nun die Version 6.5.0.7 haben. Falls dies nicht der Fall ist, kann unter dem Tempverzeichnis des Benutzers (cmd > %temp%) eine ndischanger.log zu finden sein, in der weitere Informationen stehen.
(more...)