F

Windows EFS erschwert die Erkennung von Malware

Nutzt Malware das Encrypting File System (EFS), sind forensische Analysen ungleich schwerer. Wir erklären, wie Sie solche Angriffe erkennen können.

Symantec hat kürzlich Details veröffentlicht, bei denen sich Angreifer EFS (Encrypting File System) zu Nutze machen, um forensische Analysen zu erschweren. Können Sie mehr zu Windows EFS sagen? Wie sollen Unternehmen vorgehen, um solche Angriffe zu identifizieren?

EFS ist Microsofts verschlüsseltes Dateisystem. Damit kann Windows basierend auf x.509-Zertifikaten Dateien und Ordner verschlüsseln. Nur der Anwender, der die Dateien verschlüsselt hat, kann darauf zugreifen. Wird eine mit EFS verschlüsselte Datei auf ein anderes System kopiert oder darauf mit einem anderen Anwenderkonto zugegriffen, sind die Inhalte nicht lesbar. Der Trojaner Backdoor.Tranwos benutzt EFS und erschwert den Malware-Analytikern, eine Kopie der bösartigen Dateien zu erhalten. Dazu müssen Sie ein System laufen lassen, das mit der Malware infiziert ist.

Unternehmen können ähnliche Angriffe oder Malware, die sich EFS zu Nutze machen, durch Scannen der Systeme nach verschlüsselten Dateien erkennen. Auch nach der Nicht-Standard-Benutzung von EFS sollten Sie Ausschau halten. Es gibt verschiedene Techniken, um dies zu realisieren. Im Grunde genommen müssen Sie jede Datei und jeden Ordner des Systems durchsehen und nach Verschlüsselung Ausschau halten. Sollten Sie fündig werden, muss der Schlüssel wiederhergestellt oder die Datei entschlüsselt werden. Das Kommandozeilen-Tool cipher lässt sich für beide Herangehensweisen verwenden. Allerdings funktioniert das nur dann, wenn Sie als der Anwender angemeldet sind, der das System auch während der Infektion benutzt hat. So ist es wahrscheinlicher, dass der Schlüssel (Private Key) für einen Export oder eine Entschlüsselung der Dateien verfügbar ist.

Alternativ können Sie den Missbrauch von EFS mithilfe des cipher-Befehls erkennen. Suchen Sie nach Anwendern mit EFS-Setup und einem EFS-spezifischem Schlüssel (Private Key, der für das Aufsetzen von EFS verwendet wurde). Sollte für bestimmte Anwender keiner aufgesetzt worden aber dennoch vorhanden sein, sind weitere Nachforschungen anzuraten.

Artikel wurde zuletzt im Januar 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Betriebssystemsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close