Die häufigsten Einfallstore für Malware (Schadsoftware)
 

Servus,


was sind eurer Meinung nach die häufigsten Einfallstore für Malware auf privaten Windows-Endgeräten?



Hier meine Rangliste:

• Illegale Softwae (Cracks, Keygens, etc.)
• miserable Downloadquellen
• E-Mail (Anhang)
• Drive-By
• externe Datenträger (USB-Stick, etc.)

Was habe ich vergessen zu erwähnen? :D

Gefühlsmäßig würde ich verseuchte Emailanhänge an erster Position setzen,
da sie massenhaft aufschlagen und durch bloßes unbedachtes Handeln
infizieren können. Punkt 2 und 3 setzen aktives Vorgehen voraus.

https://de.wikipedia.org/wiki/Schadprogramm

Die meisten hier im TB sind aber wegen sowas wie audacity, chip.de, gimp24.de, vlc.de oder openoffice.de hier:aarr:

Der Downloadmüll jubelt m.E. überwiegend PUP unter, die Emailanhänge m.E.
überwiegend Trojaner und co. Wie das sich hier aufteilt, kann ich nicht abschätzen.

audacity.de als Fake liefert doch den Trojaner. Das Setup sieht nach einem nützlichen Programm aus, ist es auch, aber mit Müllzusatz. Diese node.js malware kommt da da drüber her.

Über Mailanhänge kommen eigentlich nur noch Verschlüsselungstrojaner. Hin und wieder seh ich meinem Postfach Phishingversuche.

Die häufigsten Einfallstore sind unkluges Handeln, Naivität, Lern- und Beratungsresistenz bei vielen Nutzern. Denn bei der überwiegenden Anzahl sind es Wiederholungsfälle. Notwendige Schutzmaßnahmen auch im eigenen Handeln werden nicht umgesetzt, sehr oft sogar trotz vielfacher externer Hinweise nicht.

Gehen wir auf die eher technische Ebene, wobei sich dies teils mit Social Engineering mischt, dann sind es sicherlich (ohne Gewichtung durch die Reihenfolge) E-Mails (müssen nicht unbedingt Anhänge sein, kann auch ein Link in einer E-Mail zu einer Website mit Drive-by-Infektion oder eben zu einer sein, die gleich einen tollen Download anbietet), daran anknüpfend schlichtweg Downloads aus unseriösen oder "illegalen" Quellen, oder eben Downloads via Social-Media verbreiteter Links in persönlichen oder Profilen von Freunden, ebensolche Donwloads aus WhatsApp Web, etc.; letztgenanntes ist mir sogar relativ häufig begegnet.

Man mag es nicht glauben, aber da wird "immer noch" alles angeklickt / ausgeführt, was bei minus einhalb nicht auf dem Baum war.

USB-Sticks / Wechseldatenträger, ja, kann ich bestätigen, auch da kenne ich aus den zurückliegenden Jahren immer noch Fälle aus dem beruflichen wie auch dem Bekannten-Umfeld, bei denen sich nach dem Anstöpseln solcher Datenträger in Internetcafes, im Urlaub oder z.B. auch an diesen Foto-Terminals zum Ausdrucken, zu Hause Malware auf eben diesen zeigte. Teils bemerkt, teils zunächst unbemerkt.

Eine der Quellen konnte ich mal lokalisieren, das war eine Foto-Ausdruckstation, auf dem PC dahinter lief noch Windows XP, und das sollte laut Geschäftsinhaber auch nicht geändert werden, reiche ja schließlich für die Fotobestellung, und Windows 10 würde er nie einsetzen, er möchte ja nicht ausspioniert werden. Keine Fragen mehr, Euer Ehren! (Womit wir wieder ganz oben am Anfang meines Beitrags angelangt wären.)

Im Netzwerk verbreitete Malware, oder sogar kompromittierte Router (furchtbar alte verwundbare Firmware, Standard-"Passwörter" und dabei auch noch aktivierte Fernwartung) sind mir ebenfalls in den letzten Jahren begegnet, aber seltener.

Stimmt. Es gibt immer einen gewissen Anteil von Nutzern, die sich wie Querulanten aufführen und aktuelle Betriebssysteme verweigern (Linux sowieso). Das war damals auch bei Windows XP zu beobachten.

Würdest du das dann als extra Punkt in einer Rangliste sehen?
Oder wolltest du das nur als Ursache nennen... und als Folge ergeben sich dann die genannten Einfallstore?
Ansonsten benanntest du E-Mails, Drive-By, Downloadquellen und externe Geräte (wie ich auch).

Komplett veraltete Office/Büro-Programme, insbesondere die von Microsoft, wofür es seit Jahre keinen Support bzw keine Sicherheitsupdates mehr gibt.

Die Crux der Makros. Werden in vielen Unternehmen genutzt. Das Problem ist eben, dass man mit VBA halt alles machen kann.

Wenn ich in Firmen Makros abschalte, gehen viele Formulare/Vorlagen nicht mehr. Auf der anderen Seite die Gefahr, sich die Pest zu holen.

Schwieriges Thema.

Ja, besonders viel Malware kommt wieder per Makro in MSO-Dateien rein. Kann sich vllt nicht jede Firma leisten, aber am zentralen Gateway sollte man solche Mails rausfiltern und nur bei Bedarf legitime Mails freischalten.

Und dank Emotet haben die Mails eine neue "Qualität". Früher war ja immer irgendwas unwahrscheinliches ala "der Staatsanwalt hat gerade ihre Festplatte gescannt". Heute sind dank Emotet die Mails schon plausibel.

Zentral abfangen und bei Bedarf freischalten ist da wohl wirklich die beste Lösung.

Aber auch da muss ich mir viel zu oft auf Stirn klatschen. Es ist nicht zu fassen, wie viele, auch größere Firmen, immer noch auf DOC und XLS setzen auch wenn gar keine Makros enthalten sind :pfui:

Stimmt. Täglich grüßt das Murmeltier.


Zumindest das leichtfertige Nutzerverhalten als einen Sammelpunkt, sehe ich als Einfallstor. Die Ursachen dafür sind dann sicherlich die genannten Punkte u.a. der fehlenden Lernbereitschaft und Einsicht.

... und das Problem ist im Weiteren, dass dies alles auch bei Nicht-Firmen-Nutzern, also zu Hause, ebenfalls alles aktiviert ist, obwohl es von ihnen fast nie benötigt wird. Das vergrößert die potentielle Angriffsfläche abermals unnötig.

... und wie viele "Home-User" sogar meinen, ohne dies nicht auszukommen, und es somit diesen Firmen gleich tun. Ganz schlechte Strategie.

Es gibt leider genug Lobbyverbände und Idioten, die meinen, dass es nicht ohne MSO geht. Daraus resultieren dann Gruppen, die extrem günstig ein MSO haben wollen. U.a. wurden solche regelmäßig mit nanokms/picokms hier aufgedeckt.

Verseuchte/infizierte Werbung ist für eine Viezahl von Infektionen verantwortlich. Hierbei schlagen die meisten AV-Scanner nicht an, da der Schadecode zu neu oder zu gut programmiert wurde. Oft helfen in solchen Fällen nur Werbe-Scriptblocker, die so ein Zeug schon im Vorfeld blocken.

Hab grundsätzich Adblocker aktiviert, da mich Werbung nervt. Leider gehen einige Medien dazu über den Zugang zu sperren, wenn Werbung geblockt wird.
Zähneknirschend laß ich Werbung zu, wenn es etwas besonders interessantes und ungefährlich zu sein scheint.

Eine weitere Infektionsquelle, die für viele Threads sorgt, sind manipulierte WordPress-Seiten mit Fakeforen und scripts in zip-Archiven, siehe z.B. hier:
https://www.trojaner-board.de/200274-trojaner-gootkit-2.html#post1744386

Bei den Tnega/GetX64BTIT.exe-Meldungen verhält es sich ebenso.

https://www.trojaner-board.de/200944-unterstuetzung-um-programm-getx64btit-exe-entfernen.html
2021-01-21 09:14 - 2021-01-21 09:14 - 000001886 _____ C:\Users\stixi\Downloads\alle_fotos_aus_onedrive_herunterladen.zip

https://i.ibb.co/H42s49K/tnegax2.png


https://i.ibb.co/bm1Z1PR/tnega-2.png


https://i.ibb.co/1RhywyJ/tnega2.png


https://www.trojaner-board.de/200969-windows-defener-meldet-startup-win64-tnega-msr-malwarebytes-findet-riskware-script.html
2021-01-31 17:14 - 2021-01-31 17:14 - 000001873 _____ C:\Users\Vanqq\Downloads\windows_10_store_app_herunterladen.zip


https://i.ibb.co/2yRPZDP/tnega3.png


https://i.ibb.co/SvMCttm/tnega4.png

Dank Google werden gecrackte Seiten auf Platz 1 geführt.
z.B für die Suche "bilder von onedrive auf pc"
zu sehen ist nur die Adresse https://www.openarmsps.org/

in Wirklichkeit führt er auf h**ps://www.openarmsps.org/alle-fotos-aus-onedrive-herunterladen/

Auf der Orginalseite selber gibt es keinen Link auf das Fakeforum

Gehört für mich zum Bereich "miserable Downloadquellen". :D
Die Nutzer laden es selbst herunter und führen es aus. ;)

Fazit:
Für die allermeisten Infektionswege (illegale Software, Downloadquellen, E-Mail) sitzt die größte Schwachstelle vor dem PC. Ohne aktives Zutun käme nichts auf die Systeme. :rolleyes:

Also das Thema "E-Mail" ist lange nicht abgefrühstückt. Ich bekomme immer wieder Fälle im erweiterten Bekanntenkreis mit, da wird regelrecht gierig auf Links und Anhänge in eintreffenden Mails geklickt, mit dem Ergebnis, dass sich einige ihre Daten haben "fremdverschlüsseln" lassen -- natürlich ohne Backups in der Hinterhand.

Darunter ist eine "Spezi", die hat sich damals schon, die Nostalgiker unter uns erinnern sich, den "Loveletter" installiert. ;) Manche lernen's halt niemals. Und nach 20 Jahren kann ich es auch längst nicht mehr nachvollziehen, dass da immer noch kein Lerneffekt erkennbar ist. Leider gibt es einige solcher Nutzer.

Ja und landen dann hier bei dir und Cosinus :D
Der Kreis schließt sich ;)

Man könnte ja was verpassen, wie der hier dokumentierte Fall eindrucksvoll aufzeigt.

https://www.der-postillon.com/2019/10/russin-prinz.html

Das ist (leider) nur ein sehr sehr kleiner Kreis, der hier ankommt. :D ;)

Denke mal es sind die, die ohne Händchenhalten nicht weiterkommen.
Viele werden mit den Anweisungen und Tipps ohne persönlichen Support
weiterkommen :daumenhoc

Dein Wort in Gottes Ohr! :lach:



"Viele"... ? :wtf: Hoffentlich hast du Recht. :abklatsch:

Und wie viele nehmen einen Fix von uns 1:1 aus einem anderen Post her, obwohl das absolut sinnfrei ist? :blabla:

Das glaubt und hofft Ihr. Die Helikopterkinder (Abkömmlinge der allseits beliebten Helikoptereltern) sind erst langsam richtig im Anmarsch:party:

:rofl: :kloppen::kloppen::kloppen: :D

Danke für eure Meinungen. Ich denke, wir können es dabei belassen.