Trojaner: Diese technischen Maßnahmen wirken

Organisatorische Maßnahmen sind gut – technische Maßnahmen sind besser. Daher gilt es, auch technisch zu verhindern, dass sich Trojaner ins System einschleichen.

Dafür ist es wichtig, Trojaner frühzeitig zu erkennen und zu unterbinden, dass sie ihre schädliche Wirkung entfalten.

Was braucht ein Trojaner, um sich einzunisten?

Ein Trojaner tut sich leichter, wenn er einen „idealen Nährboden“ vorfindet.

Voraussetzung 1: Windows als Betriebssystem

Emoted haben seine Schöpfer ausschließlich auf Windows-Nutzer ausgerichtet. Die einfachste Lösung wäre demzufolge, komplett auf Windows zu verzichten und stattdessen mit Linux-Systemen zu arbeiten.

Das ist jedoch in den meisten Fällen keine Option. Aber wenn schon Windows als Betriebssystem sein muss, dann auf keinen Fall mehr Windows 7 oder ein älteres System, sondern immer die aktuelle Version von Windows 10. Am besten Windows 10 Enterprise.

Voraussetzung 2: Microsoft Office als Büropaket

Wie im ersten Teil dargestellt, erfolgen die meisten Infektionen über eine präparierte Word- oder Excel-Datei. In diesen Dateien finden sich schädliche Makros. Diese Makros variieren ständig, damit es möglichst schwierig ist, sie zu bekämpfen.

Der eigentliche Trojaner wird in einer Office-Datei nachgeladen. Das geschieht über den Temp-Ordner. Hier passiert auch das anschließende Ausführen der Datei.

Um das zu verhindern, ist eine Lösung, mit einem alternativen Office-Paket zu arbeiten. Infrage kommt hier insbesondere LibreOffice.

In diesem Office-Paket lassen sich zwar ebenfalls Makros ausführen. Sie sind aber aus rechtlichen Gründen nicht mit den Windows-Makros identisch. Bislang sind keine Emoted-Makros bekannt, die auf LibreOffice eingestellt sind.

Es wäre damit also ein Leichtes, Programme nur noch mit LibreOffice zu öffnen. Ob das eine reale Möglichkeit ist, müssen Verantwortliche je nach Gegebenheiten vor Ort für sich entscheiden.

Voraussetzung 3: Makros lassen sich aktivieren

Ein Trojaner wird in der Regel über ein Makro oder eine gefälschte Fehlermeldung nachgeladen. Demzufolge muss die IT Word und Excel so einstellen, dass sich Makros möglichst nicht nachladen lassen. Das geht über „Datei“ > „Optionen“ > „Trustcenter“ > „Makroeinstellungen“.

Hier ist besonders wichtig, „Alle Makros mit Benachrichtigung deaktivieren“ anzuhaken.

Wählt hier jemand die falsche Einstellung, ist unter Umständen nicht einmal der dritte Klick erforderlich, um sich einen Trojaner einzufangen, sondern die Infektion erfolgt schon beim Öffnen des Dokuments.

Daher sollte die IT die Einstellungen in Word zentral so vornehmen, dass beschäftigte Personen nichts mehr ändern können.

Empfehlung: Nicht alle Office-Formate annehmen

Unternehmen, Behörden und andere Verantwortliche können sich zudem vor gefährlichen Makros schützen, indem sie sich weigern, bestimmte Office-Formate anzunehmen.

Die gefährlichen Makroformate enthalten v.a. Dateien, die aus älteren Microsoft-Word-, -Excel- und -PowerPoint-Programmen stammen. Das betrifft z.B. die Formate .doc, .docm, .dot, .dotm, doc, .xla, .xlam, .xls, .xlsb, .xlsm, .xlt, .xltm, .potm, .ppa, .ppam, .ppsm, .ppt und .pptm.

Doppelt gefährlich sind verschlüsselte Dateien aus einem dieser Formate, wenn sie mit einer ZIP-Datei kommen und die ZIP-Datei selbst auch noch verschlüsselt ist. Empfehlung: Hände weg! IT informieren!

Ein weiterer Hinweis: In den aktuellen Formaten Office XML, die ab MS Office 2007 zum Einsatz kommen, dürfen nur bestimmte Dateitypen Makro-Code enthalten. Sie sind an der Dateiendung „m“ zu erkennen, z.B. „.docm“.

Endet die Erweiterung mit einem „x“, sollten die Dokumente frei von Makros sein.

Ältere Office-Dokumente untersagen, Beschäftigte und externe Absender informieren

Empfehlen Sie also, in einem ersten Schritt alle älteren Office-Dokumente komplett zu untersagen. Für die neueren Office-Dokumente müssen alle Mitarbeitenden intensiv informiert werden, wie sie damit umzugehen haben.

Erhält eine beschäftigte Person künftig also eine potenziell mit Makros verseuchte Datei, sollte sie den Absender auffordern, die Datei in ein ungefährliches Format umzuwandeln und noch einmal zu senden.

Das führt anfangs erfahrungsgemäß zu mehr Rückfragen. Doch oft sind die Versender solcher Formate noch nicht über die Gefährdung informiert und passen sich dann rasch an.

Auch andere Dateitypen sind potenziell gefährlich

Aber nicht nur die Office-Formate können gefährlichen Schadcode enthalten, sondern auch Dateitypen, die ein normaler Anwender eigentlich gar nicht öffnen muss.

Das gilt insbesondere für .exe-Dateien, aber auch für Batch- und Skript-Formate wie .bat, .com, .vbs, .ps1, .psm1 und .psd1.

Hierzu muss man wissen, dass Angreifer niemals über nur einen Weg versuchen, ihr Ziel zu erreichen. Es genügt also leider nicht, die Kolleginnen und Kollegen in einer Schulung nur auf bestimmte Dateiformate einzustimmen.

Arbeit für die IT: eine virtuelle Maschine

Am besten wäre es, potenziell verseuchte Office-Dokumente gar nicht erst in die Nähe von Windows zu lassen. Zu diesem Zweck kann die IT ein virtuelles System einrichten, das ausschließlich dafür da ist, E-Mails und Anhänge zu öffnen.

Eine solche virtuelle Maschine (VM) ist z.B Hyper-V. Sie ist fester Bestandteil von Windows 10. In dieser VM lässt sich ein einfaches Linux-Programm installieren, dazu ein E-Mail-Client wie Thunderbird und LibreOffice.

Sorgen die zentralen Einstellungen nun dafür, dass statt des lokalen Mail-Clients die VM geöffnet wird und dass sich dort auch Dateianhänge öffnen lassen, dann können Viren-Mails mit Emoted und Co. nichts mehr ausrichten.

Für das Weiterreichen der Dateien aus der VM lässt sich ein eigens dafür freigegebener Austausch-Ordner verwenden.

Der Zeitverlust ist bei Weitem nicht so gravierend, wie viele sich das vorstellen. So dauert es bei einem normalen Rechner gerade einmal 15 Sekunden, die in VM geöffnete eingefrorene Mail in einen betriebsbereiten Zustand zu versetzen.

Umgekehrt kann es Monate dauern, um einen einmal auf das System gelassenen Trojaner wieder zu beseitigen – wenn es überhaupt gelingt.

Empfehlung: mit gesundem Menschenverstand herangehen

Besonders kritisch ist es immer, wenn eine Mail nicht nur ein verschlüsseltes Dokument enthält, sondern der Text auch gleich noch das erforderliche Passwort mitliefert. Geschieht das, ist die Mail mit sehr großer Wahrscheinlichkeit eine Schaden-Mail.

Kein vernünftiger Mensch wird das Passwort zusammen mit der verschlüsselten Datei in derselben E-Mail verschicken. Hier hilft einfach auch einmal eine gewisse Portion gesunder Menschenverstand.

Empfehlung: weniger Komfort, mehr Sicherheit

Leider haben sich die meisten Anwender von Office-Programmen daran gewöhnt, dass ihnen alle Funktionen sofort und unmittelbar zur Verfügung stehen. Genau diese Schwachstelle Mensch macht sich Emoted zunutze.

Hier muss ein Verantwortlicher entscheiden, welche Funktionen (z.B. Einsatz von Makros) abzuschalten sind, so bequem sie auch sein mögen. Die Unternehmen, die Opfer von erfolgreichen Emoted-Angriffen geworden sind, sagen jedoch alle, dass Sicherheit bei weitem Vorrang vor Komfort haben muss.

Da sich viele Anwender sowieso nicht ganz sicher sind, wie sie mit Office-Programmen umzugehen haben, freuen sich die meisten über aktive Unterstützung bei der Arbeit. Was also liegt näher, als dass Emoted diese aktive Unterstützung beim Öffnen potenziell gefährlicher Dateien gleich mitliefert?

Selbst wenn beschäftigte Personen eingehende Mails mit einem gesunden Misstrauen betrachten, kann eine solche mitgelieferte und einfache Gebrauchsanleitung dazu führen, dass die Schwachstelle Mensch doch wieder eine gefährliche Mail öffnet.

Eigentlich verfügen moderne Office-Programme über einen Schutzmodus. In der sogenannten „geschützten Ansicht“ bekommen Nutzer, die eine Datei aus dem Internet öffnen wollen, eine Warnung.

Sie erklärt, dass Dateien aus dem Internet Viren enthalten können und dass immer dann, wenn die Datei nicht zwingend bearbeitet werden muss, die geschützte Ansicht beibehalten werden sollte.

Soll der Emoted-Trick erfolgreich sein, muss also der Mensch dazu gebracht werden, schon hier einen Klick anzubringen.

Streng genommen handelt es sich dabei um einen vierten Klick, den die Nutzer aber oft gar nicht als eigenen Klick wahrnehmen. Zu sehr sind die Abläufe bei den Anwendern automatisiert, zu groß ist der Arbeitsdruck, zu groß der Stress, um sich mühselig mit dem Lesen lästiger Meldungen zu beschäftigen.

Empfehlung: kein Generalschlüssel mehr – Herausforderung Active Directory

Microsoft hat natürlich die Gegner erkannt. Entsprechend hat das Unternehmen eine Konfigurationsempfehlung herausgegeben.

Microsoft regt ein sogenanntes Drei-Schichten-Modell für die Verwaltung an. Die Literatur vergleicht es oft mit einem mehrstöckigen Gebäude:

• Für jedes Stockwerk ist ein eigener Hausmeister zuständig.
• Eigentlich sollte jeder Hausmeister nur für dieses Stockwerk Schlüssel haben, keinen Generalschlüssel.
• Auf das Drei-Schichten-Modell übertragen bedeutet das, dass selbst für den Fall, dass ein Trojaner „durchkommt“, nur ein begrenzter Schaden eintritt.

Leider ist aber in der Praxis das Gegenteil der Fall. Admin-Berechtigungen werden nicht eingegrenzt, sondern gelten global. Denn wer grenzt schon gern sein Active Directory ein?

So kommt Emoted an den Generalschlüssel

Gelingt es Emoted, ein großes zusammenhängendes System zu knacken, geschieht das meist über folgenden Trick:

Emoted übernimmt einen einfachen Rechner. Auf diesem Rechner kommt es zu manipulierten Fehlermeldungen. Der Nutzer ruft den Admin. Der gibt selbstverständlich sein Admin-Passwort ein – den Generalschlüssel – und versucht, die Fehlermeldung zu korrigieren.

Im Hintergrund verschafft sich der Angreifer über das Admin-Konto mit seinen mächtigen Rechten Zugriff auf weitere Netzressourcen. Das ist dann der erste Schritt, das Einnisten im System.

In der Folge bedeutet das, dass das gesamte Active Directory nicht mehr zu retten ist und komplett neu aufgebaut werden muss. Das ist auch einer der Gründe, warum es nach einem Emoted-Befall nötig ist, ganze Systeme neu aufzusetzen.

Der finanzielle, aber auch zeitliche Schaden ist in vielen Fällen existenzbedrohend.

Sicherheit bedeutet Arbeit

Für Administratoren bedeutet das, möglichst jedes Client-System mit einem individuellen Passwort zu versehen. Der Admin kommt also nicht mehr mit seinem Generalschlüssel auf ein System, sondern muss das individuelle Passwort verwenden.

Hierfür sollte ein eigener PC zur Verfügung stehen, der nur diesem Zweck dient. Auf ihm darf kein Mail-Client laufen, kein Office-Programm und auch keine weiteren gefährlichen Dateien. Diesen Rechner darf auch niemand nutzen, um sich Webseiten anzusehen.

Da das mit zeitlichen Ressourcen verbunden ist, über die viele Admins nicht so einfach verfügen, helfen hier eine klare Vorgabe seitens der Geschäftsführung und eine eindeutigen Ressourcenvergabe.

Empfehlung: Software Restriction Policies

Angesichts der Tatsache, dass die meisten Anwender nicht mit ausführbaren Dateien arbeiten müssen, kommt noch eine andere Schutzmaßnahme in Betracht: Das Zauberwort heißt „Software Restriction Policies“.

Ohne zu sehr in technische Details zu gehen: Die IT kann dafür sorgen, dass Nutzer ausführbare Dateien nur noch aus dem speziell dafür eingerichteten Verzeichnis „C:\Program Files\“ starten können, nicht mehr aus dem gefährdeten Temp-Ordner.

Kommt jetzt eine E-Mail mit verseuchtem Anhang herein, startet Windows zwar die installierten Programme, nicht aber den Code, der aus dem jeweiligen Makro nachgeladenen wird.

Derartige Policies lassen sich mit Open-Source-Tools, die kostenfrei am Markt verfügbar sind, schnell einrichten.

Fazit: Der „Krieg“ geht weiter

Allerdings gilt das Gesagte nur hier und jetzt. Angreifer können neue Sicherheitslücken finden, neue Angriffsstrategien entwickeln, sich weitere perfide Pläne für ihre Angriffe ausdenken.

Viele Mitarbeiterinnen und Mitarbeiter können sich gar nicht vorstellen, mit welcher kriminellen Energie da im Hintergrund gearbeitet wird. Selbst für die Mafia scheint das neue Geschäftsmodell mit den Cyber-Angriffen nicht nur sehr lukrativ zu sein, sondern auch deutlich weniger gefährlich.

Da bleibt nur, Gefährdungen zu erkennen, beschäftigte Personen zu schützen und regelmäßig zu sensibilisieren, technische Einrichtungen so anzupassen, dass sie vielleicht nicht mehr ganz so komfortabel, dafür aber sicherer arbeiten, und letzten Endes immer wieder zu überprüfen, ob die Maßnahmen erfolgreich sind.

Eberhard Häcker