Wie kommt Schadsoftware ins Unternehmen?

Ausführbarer Code kann sich in unterschiedlicher Form an verschiedenen Orten verstecken

  • Eingebettete Objekte an beliebigen Stellen in Dateien z. B.
    • Makros
    • Skripte
  • Nachladbare Objekte in Mails oder Browserinhalten
  • Automatisch vom Betriebssystem (nach-)geladene Objekte z.B. LNK Angriff
  • Plug-In in Anwendungen
  • (Automatisch geladene) Patches
  • Controller und Firmware (z.B. BadUSB)
  • u.v.m.

RSA Security 2015 in San Francisco:

Marcus Murray zeigt eine einfache Methode, um Schadcode in Bilddateien zu verstecken – und einen Webserver zu übernehmen

  • Murray verbirgt Schadcode als Kommentar in der EXIF-Information von Bilddateien.
  • Der Schadcode wird im Rechteraum des Anwenders ausgeführt, ohne dass ein Nutzer das merkt. Ähnliche Verstecke für Schadcode gibt es in allen Dateiformaten: Video, Office-Dokumente, pdf, etc.
  • Risiken sind in allen ausführbaren Elementen / Makros etc. enthalten.
  • Wie können potentiell risikobehaftete Dateien importiert, bearbeitet, archiviert und auf jedem Rechner weiter bearbeitet werden?

Datenschleuse & Datenwäsche

Potentiell schädliche Daten von extern (Web, E-Mail, USB-Stick, iPhone / Mobiles, eigene Anwendungen …) sollen sauber und (Schad)-Code-frei in ein sicheres Netz geschleust, in einem fest definierten Prozess mit weiteren Daten (z.B. Metadaten) angereichert, in standardisierte Formate konvertiert und im sicheren Netz weiter verarbeitet bzw. langfristig gespeichert (asserviert) werden.

Die Daten werden hierzu in einem isolierten, als Opfersystem ausgeprägten Schleusensystem erfasst. Das System selbst wird durch eine Sicherheitspolicy und Software- / Hardwaretrennung gehärtet.

Potentiell schädliche Daten werden an das „Reinigungssystem“ weitergereicht und gereinigt.

Datenschleuse: Reinigen – Bsp.: JPG
Im Kommentarfeld kann eine ausführbare Datei enthalten sein!

Datenschleuse: Reinigen – Bsp.: JPG