iT Total AG Logo. IT-Lösungen aus Stuttgart
  • IT-Services
    • IT-Service individuell
    • SSOC
    • Managed Service
    • 24/7 Hotline
  • Kunden
  • News-Blog
  • Karriere
    • Jobs
    • Karrieresystem
    • Ausbildung
  • Unternehmen
    • Über uns
    • Leitbild
    • Partner
  • Kontakt
  • Unser Support-Team steht Ihnen unter der folgenden E-Mail Adresse mit Rat und Tat zur Seite:care@inlis.de

    In dringenderen Fällen erreichen Sie den Support unter folgender Telefonnummer:+49 741 280005-55

    Remote-Zugriff starten

Systemhaus Stuttgart mit innovativen Lösungen und 24/7 Service für schnelle Reaktionszeiten im Ernstfall
  • IT-Services
    • IT-Service individuell
    • SSOC
    • Managed Service
    • 24/7 Hotline
  • Kunden
  • News-Blog
  • Karriere
    • Jobs
    • Karrieresystem
    • Ausbildung
  • Unternehmen
    • Über uns
    • Leitbild
    • Partner
  • Kontakt

News-Blog

  • Home
  • News-Blog

Kategorien

  • iT TOTAL
  • Huawei
  • Cisco
  • VMware
  • Kaspersky
  • Microsoft
Haben Sie Fragen?
Rufen Sie uns an
+49 741 280005-0
mail@inlis.de
  • 12. September 2019
  • Von: Björn Bauer
  • Kategorie: iT TOTAL, Kaspersky, Microsoft

Extra Schutz vor Emotet mit TOTP Passwörtern in KeePass

Kaum ist die Sommerpause vorbei, wütet der Emotet Trojaner erneut durch Deutschland. Das BSI warnte vergangene Woche, dass es in der jüngsten Vergangenheit wieder erneut zum massenhaften Versand des Trojaners an tausende E-Mail-Konten von Unternehmen gekommen ist. Aber auch Privatanwender sind mittlerweile betroffen.

Two Factor Authentificator Plugin für KeePass

Das Schema einer Emotet-Infizierung

In der Regel läuft ein Angriff des Emotet Trojaners immer nach demselben Muster ab. Leittragende werden über sogenannte Mime-Mails infiziert; E-Mails die bestimmten Merkmale bereits versendeter E-Mails nachahmen.

Imitation

Der Trojaner verbreitet sich, indem er sich hinter dem Absender und Betreff einer in der Vergangenheit tatsächlich versandten E-Mail versteckt. Dadurch, dass der Absender und Betreff dem Empfänger bekannt sind ist es schwierig für Betroffene diese Art von E-Mails als schädlichen Angriff zu identifizieren. Die Daten, um E-Mails in dieser Form imitieren zu können, stammen meist aus früheren Infektionen mit dem Emotet Trojaner.

Anhang

Die von Emotet versendeten Mime-Mails verfügen allesamt über einen einen Mail-Anhang. Dabei verwendet Emotet keine bahnbrechend neue Methoden um sich zu verbreiten, sondern infiziert Systeme über Makros in Office Dokumenten, ein Klassiker der IT-Infektion. Nutzer, die versuchen den Anhang zu öffnen, werden aufgefordert den Inhalt zu aktivieren. Wird dem zugestimmt, wird der Rechner infiziert!

Infizierung

Nach einer Emotet-Infizierung wird die eigentliche Schadsoftware nachgeladen, welche dann die Systeme lahmlegt. Besonders häufig wird ein Trickbot-Schädling nachgeladen oder die Ransomware Ryuk. Ryuk ist ein bekannter Verschlüsselungs-Trojaner der nach einer Infektion die betroffenen Rechner geißelt und eine Lösegeldforderung ausspielt.

Emotet in Action: Ein Ernstfall aus der Praxis

Anhand eines Beispiels aus unserem IT-Security Alltag möchten wir versuchen die zerstörerische Kraft des Emotet Trojaners zu veranschaulichen:

Der Trojaner war in das Netzwerk eines Kunden eingedrungen und hat dort systematisch Schaden angerichtet indem er zuerst den Virenschutz auf den Clients deinstallierte und anschließend alle Server verschlüsselte. Im Nachgang präsentierte er dann eine entsprechende Lösegeld Forderung.

Die Bandsicherung als verlässliches Backup

Glücklicherweise waren Sicherungsbänder und einen Bandwechsler im Einsatz, wodurch das Schlimmste erspart blieb. Da die Backup-Bänder vom Bandwechsler physisch getrennt gelagert wurden, konnte diese durch den Trojaner nicht beeinträchtigt werden und eine Wiederherstellung der Systeme war möglich. Viele Unternehmen haben allerdings keine Bänder mehr im Einsatz und verwenden stattdessen NAS-Geräte zur Speicherung ihrer Sicherungen.

Der Ernstfall

Im Ernstfall können alle Windows Administrationskonten durch Emotet kompromittiert werden. Ein Angreifer könnte über die administrativen Konten versuchen auf die NAS-Geräte zuzugreifen und die Sicherungen dort zu löschen.

 

Inkrementaler Schutz: Die Multifaktor Authentifizierung

Um das Backup vor Attacken zu schützen wird eine Möglichkeit benötigt, neben Benutzernamen und Kennwort noch einen weiteren Faktor abzufragen, also Multifaktor Authentifizierung zu verwenden. NAS-Speichersysteme von Synology und QNAP bieten entsprechende Möglichkeiten. Dort kann Multifaktor Authentifizierung für lokale Konten aktiviert werden. Die dort verwendete Art der Multifaktor Authentifizierung nennt sich Time-based One-time Password (TOTP) und ist die mit Abstand am häufigsten eingesetzte Multifaktor Authentifizierungs-Variante.

Das TOTP-Verfahren

Beim TOTP-Verfahren werden in zeitlichen Abständen (häufig im 30 Sekunden Takt) 6-stellige Zahlen erzeugt. Nach diesem Zeitintervall wird eine neue Zahlenfolge erzeugt, die wiederum nur 30 Sekunden gültig ist, und so weiter. Damit beide Geräte den korrekten Zahlencode berechnen können ist es notwendig das die Uhrzeit auf beiden Geräten übereinstimmt, da die aktuelle Uhrzeit in die Berechnung des Zahlencodes mit einbezogen wird. Zudem müssen die beteiligten Geräte einmal zu Beginn synchronisiert werden, das geschieht häufig über den Scan eines QR-Codes.

TOTP & Passwort-Manager

Diese Art der Authentifizierung ist ein deutlicher Sicherheitsgewinn! Es stellt sich damit aber die Herausforderung, den aktuellen TOTP-Zahlencode in einem Passwort-Manager wie z.B. KeePass zu speichern. Glücklicherweise gibt es genau für diesen Passwort-Manager ein kostenloses Plugin, dass genau diese Aufgabe übernimmt: KeeTrayTOTP.

KeyTrayTOTP Installations-Anleitung für KeePass

Das KeyTray TOTP Projekt wird auf Github gehostet, dort steht auf der Seite Release die aktuellste Version des Plugins zum Download bereit. Zur Installation muss die aktuellste Version des Plugins heruntergeladen werden (.plgx-Endung). Zum Zeitpunkt der Erstellung dieses Beitrags war das die Version 0.98 Beta. Trotz des Namenszusatzes „Beta“ läuft das Plugin ohne Probleme.
Nach dem Download muss das Plugin in das KeePass Verzeichnis im Unterverzeichnis „Plugins“ abgelegt werden. Eine Schritt-für-Schritt Anleitung, wie Sie die Zwei Faktor Authentifizierung in KeePass integrieren können haben wir, an Hand eines QNAP NAS-Speichersystems, in diesem kurzen PDF illustriert und zusammengestellt:

KeyTrayTOTP Anleitung für KeyPass QNAP Beispiel

Vorbeugende Maßnahmen

Neben der Multifaktor Authentifizierung gibt eine weitere Anzahl vorbeugender Maßnahmen, die umgesetzt werden sollten um sich vor Emot zu schützen.

Als Dienstleister im Bereich IT-Security kann die iT Total AG Sie proaktiv unterstützen und Ihre IT-Infrastruktur vor Angriffen des Emotet Trojaners härten:

  • Prüfung der Security- und Backup-Komponenten, Installationen, Prozesse, ggf. Upgrade, Überarbeitung, Erweiterung
  • Managed Security
  • Managed Backup
  • Patch-Management
  • Härtung von Netzwerken und Systemen
  • Mitarbeiterschulungen (Kaspersky Awareness Training)
  • Regelmäßige Kennwortänderungen auch bei administrativen und Dienstkonten
  • Multifaktor Authentifizierung
Tags: emotet trojaner it-security
nächster Artikel

Was sind die Herausforderungen bei Embedded System Security?

vorheriger Artikel

Die Unterschiede zwischen Microsoft Office 2019 und Office 365

Kommentieren

Die Kommentarfunktion ist für diesen Artikel deaktiviert.

Systemhaus aus Stuttgart mit Spezialisten für Embedded-Security Lösungen, Microsoft Consulting und Huawei Storage
Heerstraße 67
78628 Rottweil
T: +49 741 280005-0
@: mail@inlis.de
  • Newsletter abonnieren

News-Blog

Kaspersky auf der INDUSTRY.forward EXPO 2021
  • Björn Bauer
  • 19. Februar 2021
Huawei und 5G - Sichere Netzwerktechnologie
  • Björn Bauer
  • 10. Februar 2021
Die Kaspersky Sandbox – doppelter Schutz vor Cyber-Kriminalität
  • Björn Bauer
  • 18. November 2020

Social

Mitarbeiterbewertungen
© 2021 InLIS GmbH
  • Datenschutz
  • Impressum
  • AGB