M
News Emotet: Der König aller Schadprogramme ist zurück
- Ersteller SVΞN
- Erstellt am
- Zur News: Emotet: Der König aller Schadprogramme ist zurück
Hilft nur bedingt und nicht dauerhaft und bei allen.[wege]mini schrieb:
Du musst auch technisch eingreifen, damit auch die schwachen Momente eigentlich kluger Leute kein GAU bedeuten. Wichtig finde ich auch dass Leute ermutigt werden bei verdächtigen Sachen lieber einmal zu viel als zu wenig anzurufen.
D
DerJungeDerIst
Gast
Was heißt das, ist das so ein verstecktes Diskriminierungsding?Sekorhex schrieb:Naja siehst du irgendwo, dass Russland betroffen ist? Ich nicht
Das sollte kein Problem sein - zumindest kann man ganz normal via Macro auch den System Proxy verwenden. Maximal bei zwingender Authentication wäre ggf. eine Hürde mehr zu nehmen. Hab mir aber den Code nicht angesehen... Mich erreichte bisher so ne Mail noch nichtwern001 schrieb:
Das richtet sich doch primär an Unternehmen - nicht an privat Hanseln. Mit "Brain.exe" hat das exakt gar nichts zu tun. Denn es gibt auch in 2020 zwingend notwendigen Datenverkehr in so manchem Bereich. Je nach Unternehmensgröße läuft das eher dem Motto, spiel mit im Spiel oder du bekommst den Auftrag nicht. Da spielen dann auch größere Unternehmen ziemlich weit oben mit, wo es um Macro Enabled Office Files geht... Mehrere unserer Kunden nutzen das - obwohl teils nichtmal Macros im Dokument enthalten sind. Versuch mal als Mittelständler der in welcher Form auch nen riesig weltweit agierenden Kunden hat, da was zu erzwingen... Entweder du spielst nach den Regeln oder ein anderer bekommt den JobMarcel55 schrieb:
In unserem Fall heißt das, Office Dateien werden manuel geprüft und dann im Zweifel freigegeben. Bei mehreren Mails die Woche ist das schon ein Job, der echt Zeit und damit Geld kostet.
itm schrieb:
Es geht dabei ja nicht um die eigenen Macros, das lässt sich noch hinbiegen bzw. lösen. Es geht dabei eher um die Macros von Dritten. Und schlimmer noch, man kann nicht in allen Office Versionen den Spaß via GPO verbiegen. Manche O365 Version interessiert sich dafür nicht, was du da einhämmerst - bzw. es lässt sich als User auch ändern. Damit gewinnt man keinen Sicherheitsmehrwert.
Warum und wieso MS diese Schiene fährt, kein Plan... Aber sie machen es. Und das Problem ist damit leider real.
Immer nur auf die dummen Anwender zu schimpfen ist einfach - aber ne Lösung des Problems ist das lange nicht!
riloka schrieb:
Und dann kommt teils notwendiger Geschäfts-Datenverkehr nicht mehr an... Ihr macht es euch zu einfach...
Man ist je nach Unternehmensgröße nicht in der Position das zu fordern. Entweder man spielt mit oder die anderen spielen ohne einen.
Leider ist das Sicherheitsbewusstsein an der Stelle noch nicht flächendeckend in allen Köpfen drin - sodass es eben da zu Problemen kommt, die eigentlich vermeidbar wären.
Theoretisch müsste/könnte eine Microsoft einfach hingehen und alt Office 2003 Format komplett raus kürzen. Nur noch extra zu aktivieren als seperates Modul. Und dann nur noch im neuen Format -> wo gerade Macro Enabled Mails von Public zumindest filterbar oder sonderbar behandelt werden können.
chartmix schrieb:
Unternehmen verwenden das nicht - darum gehts gar nicht. Unternehmen können das empfangen und die Client PCs sind in der Lage das zu öffnen. Wenn man mal im Detail hinschaut wird man feststellen, dass sogut wie keine Macro Enabled Office Datei mit *.xxxm Endung verschickt wird - man bedient sich der alten Überbleibsel von vor 20 Jahren und nutzt *.doc oder *.xls mit aktivem Makro, weil das bei der Masse der Kunden aus Kompatibilitätsgründen empfangbar ist.
Conqi schrieb:
Macros sind ja nur ein Teil der Sicherheitsproblematik. Wenn es danach geht, könnte man viel... Macht aber nicht nur Aufwand, sondern gibt auch Einschränkungen. Ich erinnere da bspw. noch an die Outlook Thematiken mit HTML Mails, die allein durch die Anzeige speziell formatierter HTML Mails Sachen von Drittsystemen nachladen und damit ggf. Sicherheitslücken ausnutzen können. Da war meine ich mal was im Image Prozessor oder so? Bekomme ich grad nicht mehr 100% zusammen...
Kurzum, Macro ist nur die halbe Wahrheit. Der Käse hat mehr als nur ein Loch...
Lan_Party94
Commander
- Registriert
- Jan. 2013
- Beiträge
- 2.378
Genau das dachte ich mir auch, als ich auf den BSI Link geklickt habe.Nizakh schrieb:
Wie viele Aufrufe hat die Website pro Tag? 100 evtl.? Die wenigsten Bürger(bestimmt mehr als 80%) wissen überhaupt von diesem Trojaner überhaupt existiert!
Da wäre der TV genau das richtige, denn ältere Personen nutzen nun mal immer noch gerne den Sat/Kabel Anschluss.
Man sollte solche Infos in den öffentlich rechtlichen zeigen und auch zeigen wie man sich halbwegs schützen kann/sollte.
Ich erwarte z.B. nichts von meinen Eltern was IT Sicherheit angeht. Ich bin froh, wenn die an ihren Smartphones einen Wecker eingestellt bekommen.
Zuletzt bearbeitet:
Conqi
Rear Admiral
- Registriert
- Dez. 2011
- Beiträge
- 5.652
fdsonne schrieb:
Mit dem Unterschied, dass deine beispielhafte Lücke in Outlook nur so lange nutzbar ist bis sie gepatcht wird und meist komplexer auszunutzen ist. Einen Kryptotrojaner in ein Office-Dokument mit Makros basteln klappt so lange bis man Makros deaktiviert (also möglicherweise für immer) und ist super simpel.
Mcr-King
Vice Admiral
- Registriert
- Juli 2016
- Beiträge
- 7.060
Scotty40 schrieb:
ja weil die Codes auch weiter Entwickelt werden sind sehr aus gefeilt mittlerweile wie meine.
Ergänzung ()
Lan_Party94 schrieb:
Dass stimmt aber da fängt es an sage nur Smartphone Onlinebanking und bei Verlust wissen die meisten nicht mal wie der Kill-Switch ausgeführt wird.
gesperrter_User
Lt. Junior Grade
- Registriert
- Juni 2013
- Beiträge
- 498
Der König ist und bleibt Stuxnet
Einfach? Vielleicht, aber wenn wirklich anderswo so viele wichtige Dokumente von Dritten mit Makros kommen, dann bin ich erst recht schockiert.
Hier hat der Hammer gut funktioniert, aber da hängen auch keine wichtigen Ausschreibungen dran sondern nur bequeme Massenkunden mit Fragen und Anliegen die nur im alten Format versehentlich versenden + die ein oder andere Malware Mail die man früher teilweise erst erkannte wenn der Virenscanner das Ding beim archivieren gelöscht hat.
Hier hat der Hammer gut funktioniert, aber da hängen auch keine wichtigen Ausschreibungen dran sondern nur bequeme Massenkunden mit Fragen und Anliegen die nur im alten Format versehentlich versenden + die ein oder andere Malware Mail die man früher teilweise erst erkannte wenn der Virenscanner das Ding beim archivieren gelöscht hat.
Das macht man aber auch nur, weils eine der effektivsten Möglichkeiten ist, den Schadcode aufs Ziel zu bekommen... Wenn es keine Macros gibt, gibts andere Optionen das zu tun. Wer da klickt, klickt auch auf andere Links.Conqi schrieb:
Im Endeffekt muss man schon recht viel machen um das überhaupt zum loslaufen zu bewegen. Den Schritt, Macros ganz zu verbieten bringt dir doch keine wirkliche Sicherheit dazu, wenn der User es dann im Zweifel einfach doch aktiv schaltet?
Wenn ich das richtig sehe führt das Ding doch heute schon eh keine Macros einfach mal so aus... Denn sie kommen eben nicht aus vertrauenswürdiger Quelle und sie laufen damit auch im Zweifel gar nicht alleine los.
Schau dir aber mal diese Dokumente an, die da kommen -> da steht dann drin, um den Inhalt so und so anzuzeigen, klicke bitte auf xyz oder abc und mache dies oder mache das.
Was soll da irgend eine Funktionsverhinderung was bringen, wenn das ganze NUR dann erfolgreich funktioniert mit dem Schadcode, wenn der User das macht, was er eigentlich nicht machen sollte? Ohne Macros klickt/drückt er dann auf andere Links oder Buttons - und dann ist der Code auch drin
EDIT: die Standard Option ist Makros mit Benachrichtigung deaktivieren... Hab grade mal geschaut
Klassikfan
Banned
- Registriert
- Aug. 2009
- Beiträge
- 5.677
Gamefaq schrieb:
Seit die Betrügermails nicht mehr am schlechten Deutsch zu erkennen sind, ist es auch generell eine gute Idee, mit mehreren E-Mail-Adressen zu arbeiten, gern nach Aufgabenbereichen getrennt. Da erwischt man seine Pappenheimer meist schon beim ersten Versuch, weil etwa eine Mail mit Werbung oder "Newsletter" auf der falschen Adresse ankommt. Da kennt man sie dann schon, falls sie mal auf der richtigen Adresse ausgeliefert wird.
Perfekt eigenen sich dafür Freemailer wie Web.de, da Spammer vor allem dort wahllos generierte Adressen anschreiben.
Und die wichtigste Regel - nix unbekanntes aufmachen - kann man noch ergänzen mit dem Tip, über Links in der Mail erst mal mit der Maus rüberzufahren. Da sieht man dann unten in der Statusleiste die tatsächlich unterlegte url, die meist nichts mit dem angeblichen Urheber der Mail zu tun hat, sondern auf obskure Seiten und Domains verweisen.
FrAGgi
Commodore
- Registriert
- März 2005
- Beiträge
- 4.775
Also wenn man sich mal so eine Mail anschaut die da zusammengebaut werden kann, unterstellt man niemandem mehr einfach "Dummheit".
Die Mail hatte einen perfekten Betreff einer vorhergehenden Konversation, enthielt in der Mail selbst den Text der vorhergehenden echten Mail und nahm Bezug darauf, in perfektem Deutsch.
Wenn man da Mitarbeiter ist, der dutzende oder hunderte Mails abarbeiten muss, fällt einem da erstmal gar nichts auf.
Einzig der Anhang hatte dann etwas merkwürdiges an sich. Ich weiß nicht mehr obs eine unpassende Dateiendung oder der Name der Datei war.
Aber im Jahr 2020 sind auch die bösen Buben weiter als 1999 und allen Nutzern lediglich Dummheit zu unterstellen, ist zu leicht.
Die Mail hatte einen perfekten Betreff einer vorhergehenden Konversation, enthielt in der Mail selbst den Text der vorhergehenden echten Mail und nahm Bezug darauf, in perfektem Deutsch.
Wenn man da Mitarbeiter ist, der dutzende oder hunderte Mails abarbeiten muss, fällt einem da erstmal gar nichts auf.
Einzig der Anhang hatte dann etwas merkwürdiges an sich. Ich weiß nicht mehr obs eine unpassende Dateiendung oder der Name der Datei war.
Aber im Jahr 2020 sind auch die bösen Buben weiter als 1999 und allen Nutzern lediglich Dummheit zu unterstellen, ist zu leicht.
Chris007 schrieb:
Also der Autor von https://github.com/sbidy/MacroMilter hat mal Versuche gemacht wo er ein paar Zeilen bekannter Schadskripte ein wenig umgebaut hat und Strings umbenannt und geteilt hat und so viel musste man nicht ändern damit die Datei in GMail verschickt werden konnte. Die kochen auch nur mit Wasser bei Google.
