Vorsicht Nodersok Malware! So schützen Sie sich

· 0 Kommentare

Aktuell warnt Microsoft vor einer besonders üblen Malware namens Nodersok. Diese betrifft Windows 10, kommt ganz ohne Dateien aus und ist daher für Virenscanner besonders schwer zu erkennen. Unser Beitrag bringt Licht ins Dunkel und zeigt Möglichkeiten zum Schutz.

nodersok angriffskette

Nodersok Angriffskette (Für grössere Ansicht bitte Bild anklicken): Bildquelle: Microsoft

Wie arbeitet ein Fileless Schädling

Nodersok quartiert sich im Arbeitsspeicher ein. Genau das ist das Besondere an dieser Malware. Virenprogramme (z.B. Windows Defender) erkennen und blockieren eine Infizierung üblicherweise  über eine befallene Datei. Damit wird das Screening bei Nodersok etwas komplizierter, denn er ist ein sogenannter Fileless-Schädling und kann nur aufgrund seines Verhaltens erkannt werden. Doch was genau macht Nodersok eigentlich, um sich unbemerkt im System einnisten zu können?

Vorsicht Nodersok: Angriff in mehreren Schritten

Wie schon die obige Abbildung zeigt läuft der Angriff der Malware in mehreren Schritten ab. Die einzelnen Angriffsschritte von Nodersok hat Microsoft genau dargestellt. Bekannt ist: Bereits seit Juli ist der Schädling unterwegs. Überwiegend in den USA, aber auch in Europa soll die Malware bereits tausende Rechner infiziert haben. Nodersok nutzt Note.js-Framework sowie das Netzwerk-Analyse-Tool WinDivert, um im Kern des Angriffs  ein schädliches Script zu implantieren. Dieses versteckt sich beispielsweise in einer manipulierten Anzeige auf einer Webseite und es genügt ein Klick um die Infizierung in Gang zu setzen. Dazu wird ein Script-Code mittels eines PowerShell-Kommandos ausgeführt. Dieses nutzt verschiedene verschlüsselte Module, darunter auch eines, welches versucht den Windows Defender abzuschalten und die PC Rechte auszuweiten. Primäres Ziel ist es, den Windows-PC zu einem Proxy umzufunktionieren um von diesem aus weitere Angriffe auf fremde IT-Systeme auszuüben.

So schützen Sie sich vor Nodersok

Das Beste zuerst: Sie können sich vor dem Angriff schützen. Denn die Microsofts Advanced Threat Protection ist ein Zusatzschutz, der für Unternehmen verfügbar ist. Zum Schutz sollten Sie den Manipulationsschutz in der Einstellungen des Windows Defender aktivieren. Mehr Infos zu der Malware gibt es hier.

Haben Sie Fragen zu diesem Thema? Unsere Sicherheitsexperten stehen Ihnen jederzeit gern zur Verfügung. E-Mail genügt.

Der erste Schritt für Ihr erfolgreiches ICT-Projekt

Tragen Sie das Ergebnis folgender Rechnung ein:

Ihr direkter Kontakt zu uns

Tragen Sie das Ergebnis folgender Rechnung ein:

photo1

Adresse:
A. Baggenstos & Co. AG
IT Services and Solutions
Neugutstrasse 14
CH-8304 Wallisellen

Öffnungszeiten:
Montag bis Freitag
08.00 – 12.00 Uhr
13.00 – 17.30 Uhr

Allgemeine Anfragen:
info@baggenstos.ch
Telefon +41 44 832 66 66
Fax +41 44 832 66 60

Support:
ithelp@baggenstos.ch
Telefon +41 44 832 65 50
Fax +41 44 832 65 31