Trojaner Citadel hat es auf KeePass und Co abgesehen
von caschy | 17 Kommentare
Seit längerer Zeit vergeht fast keine Woche, in der nicht irgendwelche Horrormeldungen aus dem Netz zu uns herüberschwappen. Hier und da Datenlecks, Datenklau und die Offenlegung von Nutzerdaten. Mit der Vielzahl an Diensten haben wir meistens auch eine Menge Accounts – und hoffentlich viele verschiedene Passwörter.
Alle Passwörter könnte ich mir niemals merken, zu komplex sind sie, da ich sie meistens von einer Software generieren lasse, um nicht in alte Verhaltensmuster zu fallen und so das gleiche Passwort zu wählen, welches bei einem anderen Dienst zum Einsatz kommt. Dies bedeutet auch, dass ich wie viele andere einen Passwort Manager nutze.
Logo – gerade dieser ist ein beliebtes Ziel für Angreifer – mit nur einem geknackten Passwort hat man so unter Umständen Zugriff auf alles. Momentan wird wieder von einer veränderten Variante des Citadel-Trojaners gewarnt. Laut IBM Security Intelligence ist es so, dass die verschiedenen Arten des Trojaners nicht immer von Schutzlösungen erkannt werden, zumal der Trojaner Phasen hat, in denen er einfach nicht aktiv ist.
In einer neuen Ausgabe hat es Citadel nun auf Passwort Manager abgesehen. So wartet er nur darauf, dass Prozesse starten. Diese Prozesse sind beispielsweise die Anwendungen KeePass oder Password Safe. Beides Open Source-Lösungen, die eure Passwörter verwalten können. Läuft der Prozess, dann protokolliert Citadel die Tastatureingaben des Benutzers und könnte diese an Kontrollserver übertragen. Diese Eingaben können dann genutzt werden, um die Passwort-Datei zu entschlüsseln.
2013 gelang es unter anderem Microsoft in Zusammenarbeit mit Behörden, ein Citadel-Botnetz lahmzulegen und so mehr als 2 Millionen PCs zu befreien. Damals wurde Citadel benutzt, um Kontodaten zu stehlen – mehr als 500 Millionen US-Dollar wurden damals ergaunert. Bleibt zu hoffen, dass Sicherheitshersteller bald Möglichkeiten haben, solche Gefahrenherde zu beseitigen.
Wird geladen ...
Wenn nur die Tastatureingange protokolliert wird, sollten wir durch den Einsatz einer Key File vorerst auf der sicheren Seite sein. Fragt sich natürlich nur wie lange 😉
Mein kleines schwarzes Notizbuch wurde bisher noch nie gehackt… 😉
In den Einstellungen von KeePass auf Windows unter „Security“ gibt es „Enter master key on secure desktop“. Der Hintergrund wird dann Dunkel und nur noch das Popup zu Eingabe des Kennworts ist hell. Wenn ich die Doku dieser Checkbox richtig verstehe, ist das eine Gegenmaßnahme. http://keepass.info/help/kb/sec_desk.html
@Raul: Ein Key File, auf das KeePass zugreifen kann? Und darauf kann ein lokal laufender Trojaner nicht zugreifen? Achso…
Ich würde da eher auf ein OnScreen Keyboard setzen: http://keepass.info/plugins.html#osk2
Viel Text für relativ wenig Information…?!
Windows-only oder auch andere Systeme? Nur normales Keyboard oder auch Dinge wie Yubikey? Prozess am Dateiname erkannt, Signatur oder was? Funzt das (unter Win) nur als Admin oder geht das auch mit Nutzerrechten?
„Options / Security / Enter master key on secure desktop“ ist laut Hilfeseiten als Gegenmaßnahme gedacht.
… bei KeePass Windows
Oder neben der KeyFile und dem Password noch den Windows Account als Schutz nutzen. Muss man nur dran denken das wieder rauszunehmen, bevor man den PC platt macht.
Zu dem OnScreen: Gab es da nicht auch schon Möglichkeiten das auszulesen?
Bei 1password für Windows gibt’s das auch:
https://blog.agilebits.com/2014/08/21/watch-what-you-type-1passwords-defenses-against-keystroke-loggers/
oder Keyfile auf dem USB-Stick.
Mich wundert, daß so viele Passwort-Manager nutzen – meiner Empfindung nach tauscht man doch ein Risiko gegen ein anderes?
@Janina
Es gibt eben immer ein Restrisiko. Würde man keinen nutzen. Würden viele unbrauchbare Passwörter nehmen.
Hier geht es einfach nur um die Wahrscheinlichkeit. Bei Keepass muss man ja nicht nur das Master Passowrt haben. Sondern auch die Datenbank und das Keyfile. Wenn Du nun Keepass portabel hast und dein Keyfile heißt dummy.log und die Datenbank reaad.me muss der Hacker auch erst mal auf die Idee kommen das diese Daten diese Infos enthalten und wo Sie auf dem PC zu finden sind. Um Sie durch deine hoffentlich vohandene Firewall zu bringen.
Natürlich ist das möglich aber wie wahrscheinlich?
Dazu gibt es ja noch
KeePass can make the database dependent on the current Windows user account. If you enable this option, you can only open the database when you are logged in as the same Windows user when creating the database.
Ich selber habe ein kompliziertes Masterpasswort. Das trage ich aber nicht per Tastertur sondern per Floskel App ein.
http://lifehacker.com/238306/lifehacker-code-texter-windows
Einige kennen das wenn man in Word mfg schreibt und Word mach mit freundlichen grüßen draus.
Bei mir würde also der Keylogger kpass loggen obwohl das Passwort eben nicht kpass ist sondern von Programm texter eingefügt wird.
Auch das müsste ein eingreifer erst mal wissen. Und abfangen.
Die Chance das, so was passiert ist einfach gering.
Nenne mir mal etwas,, was noch sicherer ist und eben auch Praktkabel. Das Problem das viele scheiß passwörter haben. Ist ja viel verbreiteter als Keypass Hacks.
@John
Was der Keylogger bei Dir abfängt ist:
k-p-a-s-s-BACK-BACK-BACK-BACK-BACK-.
So funktioniert es leider nicht.
Und da hat in meinem letzen Post leider WordPress‘ Cross-Site-Scripting-Filter zugeschlagen und etwas gelöscht, was posten wollte und damit leider meine Aussage verstümmelt.
Hier daher nochmal:
Was der Keylogger bei Dir abfängt ist:
k-p-a-s-s-BACK-BACK-BACK-BACK-BACK-Und dann das hochgeheime Passwort.
So funktioniert es leider nicht.
Super Tipp mit Secure Desktop. Nach etwas Suchen habe ich noch das hier gefunden.
Könnte auch helfen 🙂
http://keepass.info/help/v2/autotype_obfuscation.html
@Timo: Das bringt in dem Fall nichts mehr, wenn Citadel bereits Zugriff auf deine Keepass-Datenbank mit dem Master PW hat.
Das obere Feature bezieht sich nur auf das Auto-Typing von Keepass !! Es ist aber trotzdem nicht verkehrt dies zu aktivieren. Wenn man sich einen anderen Keylogger eingefangen hat, können so schwieriger Daten vom Auto-Typing abgefangen und missbraucht werden.
@Timo
Dem Problem, dass man via Keylogger den Zugriff auf die KeePass-DB erlangt, begegnet das Tool nicht. Gegen ein echtes Spionage-Tool hilft es auch nicht, denn das liest immer die Zwischenablage und die Tastatureingaben aus. Eine Bildschirmtastatur würde da eher Helfen, ebenso wie eine Schlüsseldatei.
Alle diese Maßnahmen erhöhen die Sicherheit, und alle diese Maßnahmen sind mit Software wieder zu überwachen.
Am sichersten bleibt also das Notizbuch, in dem mit einen eigenen Algorithmus die Passwörter verschlüsselt notiert sind. Eingaben muss man diese Passwörter aber immer noch, und das kann wieder überwacht werden.
Wann kapieren die Softwareentwickler und IT-Entscheider, dass nur ein berührungsloses Token-System wie bei Paypal maximale Sicherheit bietet. Gegen Dummheit von Usern ist natürlich kein System gefeit.