Posted on

Palo Alto Networks: Endpoint Protection „Traps“

Das Thema Endpoint Protection ist nicht neu. Jeder gestandene IT-Sicherheits-Anbieter hat mittlerweile eine Schutzlösung für Einzelsysteme im Portfolio. Das Problem am klassischen, signaturbasierten Ansatz ist die Dauer, die notwenig ist, um Signaturen an die Endpunkte zu liefern. Oftmals dauert es Tage, Wochen oder sogar Monate, bis die notwendigen Signaturen für Malware beim Softwareanbieter definiert und erfolgreich an die Server- und Client-Betriebssysteme verbreitet wurden.

Palo Alto Networks verfolgt mit der neuen Anti-Malware-Lösung „Traps“ einen neuen Ansatz. Die AV-Lösung klinkt sich in laufende Prozesse und neu gestartete Prozesse auf den Systemen ein und prüft diese fortwährend auf Anomalien und spezielle Eingriffe. Während bekannte Malware von klassischen AV-Anbietern kurzfristig zu einem sehr hohen Prozentsatz erkannt und geblockt wird, wird unbekannte, neue Malware selten kurzfristig erkannt. Damit auch Zero-Day-Malware inklusive neuer Exploits erkannt und geblockt werden kann, muss der Traps-Client auf dem System laufen.

Bei Erkennung von Exploit und Malware wird der Exploit/die Malware geblockt, der Prozess gekillt und Logdaten auf dem Client gesammelt.

Diese Informationen werden dann gemeinsam an den Endpoint Security Manager geschickt. Der Endpoint Security Manager konsolidiert die Daten und tauscht sich hashbasiert mit Wildfire aus.

Welche Systeme werden aktuell von Traps unterstützt?

  • Windows XP with SP3
  • Windows Vista
  • Windows 7
  • Windows 8.1
  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2012

 

Posted on

WireLurker – Ein Überblick und Erkennungsmaßnahmen

In den vergangenen Tagen wurden die Medien auf eine Meldung von Palo Alto Networks aufmerksam, die den OS X/iOS-Schädling WireLurker aufgespürt haben. WireLurker ist eine Malware, mit der es erstmalig möglich ist, von dem – bisher aufgrund der Systemarchitektur, basierend auf dem XNU-Kernel mit FreeBSD-Elementen als verhältnismäßig sicher geltenden – Betriebssystem Mac OS X ein via USB  verbundenes iOS-Gerät auch bei nicht-gejailbreakten Geräten zu infizieren. Aufgetaucht ist der Schädling erstmals im chinesischen, inoffiziellen AppStore Maiyadi. Schnell hat sich jedoch auch ergeben, dass der Schädling ebenfalls für die Verbreitung außerhalb dieses Stores geschrieben ist.

Möglich ist die Installation über die Ausnutzung von Enterprise-Zertifikaten, die von MDM-Systemen genutzt werden, um auf sicherer Basis Unternehmensdaten mit dem Mobilgerät zu synchronisieren und die Kommunikation mit dem MDM-Server des Unternehmens abzusichern. Zuerst wurde noch eine Sicherheitswarnung beim Ausführen gezeigt, die auf ein nicht vertrauenswürdiges Zertifikat hinweist. Mittlerweile kann es aber durchaus sein, dass ein vom Betriebssystem als vertrauenswürdig eingestuftes Zertifikat von den Angreifern genutzt wird, bei dem diese Warnung nicht erscheint. Es können über diesen Weg etliche Informationen über den Gerätezustand, installierte Apps, Kontakte und Nachrichten des Gerätes ausspioniert werden.

Ist daher eine Anschluss am PC oder Mac nicht zwingend notwendig, sollte dies vorerst vermieden werden. Geladen werden kann das Gerät über die Steckdose und einen USB/AC-Adapter, die meisten Einrichtungsschritte können mittlerweile ebenfalls ohne einen Computer erfolgen, sofern eine WLAN-Verbindung vorliegt.

Zudem sollte man unter Einstellungen„-„Allgemein„-„Profile prüfen oder bei Geräten, die durch das Unternehmen verwaltet werden durch die IT-Abteilung prüfen lassen, ob die installierten Profile zum Management der Geräte notwendig sind. Bei privaten Geräten sollten sich dort keine Profile befinden, sofern man Webmail-Dienste nutzt. Verschlüsselt man die Mailkommunikation und/oder versieht die Mailkommunikation mit einer digitalen Signatur, sollten sich dort, je nachdem, ob man nur signiert oder auch verschlüsselt, 1-2 Benutzer-Profile pro Mailpostfach befinden. Wer ganz sicher gehen will, sollte alle Profile entfernen und neu installieren bzw. das Gerät über die IT-Abteilung auf Werkseinstellungen zurücksetzen erneut ausrollen lassen.

Palo Alto hat nun auf github ein entsprechendes Erkennungstool für Mac- und Windows-Nutzer veröffentlicht. Eine Anleitung für beide Varianten ist ebenfalls github zu entnehmen. Natürlich sollte bei einem infizierten Host-System ebenfalls eine Neuinstallation durchgeführt werden.