tisdag 22 december 2015

Det du måste veta om SPF

SPF står för Sender Policy Framework och är ett regelverk för den som vill skicka e-post på Internet. Med hjälp av SPF kan alla med ett domännamn tala om för omvärlden vilka IP-adresser som ska tillåtas skicka e-post från domänen. Som mottagare av e-post kan man med hjälp av SPF avvisa e-post från bedragare och undvika att ta emot e-post med förfalskade avsändare.

Alla som äger ett domännamn har möjligheten att upprätta ett så kallat SPF-record i sin DNS-konfiguration. Det är en text-sträng som definierar vilka e-postservrar/IP-adresser som ska ha tillåtelse att skicka e-post med domänen som avsändare. Om alla som skickade e-post hade upprättat ett SPF-record hade förfalskad e-post varit betydligt mindre vanligt än vad det är idag.

Varför ska jag ha ett SPF-record?
Många upprättar ett SPF-record för att minska riskerna för att det egna domännamnet anges som avsändare vid e-postbedrägerier. Alla de större e-posttjänsterna (t.ex. Hotmail och Gmail) kontrollerar avsändarens SPF-record för att bekräfta att e-post inte är förfalskad och rensar bort e-post som skickats från otillåtna servrar. Det är därför viktigt att ditt SPF-record är korrekt och stämmer överens med de servrar som används för att skicka ut e-post med ditt domännamn som avsändare.

Två typer av SPF-records
Det finns två typer av SPF-records; hard-fail och soft-fail. När man upprättar sitt SPF-record kan man ange hur man önskar att mottagaren ska behandla e-post som inte matchar de godkända avsändarna i SPF. Genom att ange "Hard-fail" ber man mottagaren att helt blockera e-post från otillåtna avsändare. Om man istället anger "Soft-fail" ber man mottagaren att sätta e-post från otillåtna avsändare i karantän eller märka ämnesraden i e-postmeddelandet.

Så fungerar SPF
För att stoppa e-post från icke-godkända avsändare behöver mottagaren kontrollera avsändarnas SPF-record. De flesta e-postsystem har för detta ändamål möjlighet att aktivera "SPF-kontroll".


Avsändaren skickar ett e-postmeddelande och mottagaren kontrollerar om det existerar något SPF-record. Om avsändaren har ett SPF-record kontrolleras så att det IP-nummer som skickade e-postmeddelandet är angivet som godkänt i avsändardomänens SPF-record.


Om någon försöker förfalska e-post från en domän som har ett SPF-record, eller om avsändarens missat att ange alla sina servrar i SPF-record, kommer mottagaren avvisa meddelandet.

Syntax för SPF-record
SPF är kostnadsfritt och finns i detalj beskrivet på www.openspf.org. Ett SPF-record kan se ut t.ex. så här:

"v=spf1 ip4:192.168.0.1/16 -all"

Ovan SPF-record specifiecerar att e-post från domänen (där SPF-record upprättas)  får skickas från alla IP-adresser mellan 192.168.0.1 och 192.168.255.255. Det avslutande "-all" betyder "Hard Fail" - alltså att e-post som skickas från andra IP-adresser än de som är angivna bör blockeras av mottagren. Önskar man att mottagaren istället att mottagaren ska sätta e-post som inte skickas från godkända avsändare på karantän så anger man ett "~" som betyder "Soft Fail".

SPF-record för domänen wecloud.se ser ut så här:

"v=spf1 a:remote.wecloud.se include:spf.mx-wecloud.net -all"

Ovan SPF-record tillåter vår e-postserver (remote.wecloud.se) och WeCloud's spamfilter-servrar att skicka e-post med vårat domännamn. 

Att tänka på när du upprättar ett SPF-record
Värt att tänka på är att ett SPF-record inte kan innehålla hur många DNS-uppslag som helst. Gränsen är satt till max 10 uppslag, detta för att försäkra sig om att ingen kan skapa gigantiska SPF-records som tvingar mottagaren att göra allt för krävande uppslag.

Notera också att SPF-kontrollen görs mot den server som avlevererar meddelandet. Om din e-postserver använder ett relay eller smarthost för din utgående e-post som sista utpost så är det denna som måste anges i din SPF.

Varför har WeCloud's spamfilter stoppat ett mail p.g.a. SPF-check?
Om du har aktiverat SPF-kontroll i WeCloud's spamfilter så gör systemet en kontroll av avsändarens SPF-record och blockerar e-post som skickas från IP-adresser som inte är angivna som godkända i avsändarens SPF-record med "Hard fail". Om avsändarens SPF-record är satt till "Soft Fail" så sätts e-post från icke godkända IP-adresser i karantän. Om avsändaren helt saknar SPF-record så kan SPF-kontrollen inte utföras och e-posten går vidare till övriga spam-kontroller.

Hur gör jag om legitim e-post blockeras med SPF-kontroll?
Om legitim e-post blockeras med SPF-kontrollen så beror det på att avsändaren inte konfigurerat sin SPF-record korrekt. Avsändaren bör då rätta sitt SPF-record, och ange vilka servrar som ska ha rätt att skicka e-post med deras domännamn. I WeCloud's antispamtjänst finns dock möjlighet att vitlista avsändarens adress och på så sätt frångå SPF-kontrollen för en specifik adress eller domän. 
Det finns också möjlighet att inaktivera SPF-kontrollen helt och hållet, och du kan ha olika inställningar för "Hard-fail" och "Soft Fail". Kom ihåg att du riskerar att få förfalskad e-post om du vitlistar eller inaktiverar SPF.

Läs också:


www.wecloud.se
info@wecloud.se


onsdag 16 december 2015

Du är inbjuden! Webinarie om världens mest effektiva antivirus!

Oavsett om du är befintlig kund, eller om du aldrig hört talas om WeCloud och Webroot Next-Generation-AntiVirus så är detta webinarie något du inte vill missa!










Följ med på en fördjupad teknisk demonstration av vår revolutionerande SecureAnywhere Business Endpoint Protection, och lär dig hur vår smarta säkerhetslösning arbetar för att skydda dina anställda, kunder och din data med kompromisslös säkerhet för stationära och bärbara datorer, virtuella maskiner, tabletts och smartphones.


Måndag den 21:e december, klockan 16:00

>>> Anmäl dig här! <<<

www.wecloud.se
info@wecloud.se


fredag 11 december 2015

Därför utklassar Zscaler intern säkerhetshårdvara

 Zscaler Secure Internet Plattform erbjuder URL-filtrering, Cloud Sandboxing, Data Loss Prevention (DLP), Next Generation Firewall (NG-FW) och många andra funktioner, helt utan hårdvara eller mjukvara hos kunden. Men hur kan en molnbaserad Internetsäkerhetstjänst ge fler funktioner och bättre prestanda än lokala "on-premise-lösningar", proxys och brandväggar?


WeCloud introducerade den molnbaserade säkerhetslösningen Zscaler på den skandinaviska marknaden för fem år sedan. Med mer funktionalitet och bättre prestanda än traditionella "on premise"-lösningar har lösningen fått ett varmt mottagande av både små och stora företag i Skandinavien. 

Hur kan Zscaler erbjuda så djupgående analyser av nätverkstrafiken utan att skapa fördröjningar i trafiken? Hemligheten ligger i en, från grunden, helt ny arkitektur. Istället för att klustra ett antal Linux-boxar och bygga ett admin-gränssnitt har Zscaler utvecklat och anpassat en unik arkitektur som tillåter analys av extrema mängder data i realtid.

Traditionella lösningar och Internet Security Gateways
För att förstå det unika i Zscalers arkitektur behöver vi titta på hur traditionella lösningar vanligtvis fungerar. I de flesta lösningar inspekteras datapaket i tur och ordning av de olika teknologierna; först kontrolleras URL-policys, därefter skickas trafiken till en eller flera antivirusmotorer som i tur och ordning analyserar datapaketet.





Efter antivirus-inspektionen tar eventuella avancerade säkerhetsanalyser vid och till sist, om ingen av teknologierna blockerar datapaketet kan det skickas vidare till användaren eller ut på Internet.

Single Scan Multi-Action
Zscaler använder en teknologi som kallas SSMA (Single Scan Multi-Action). Datapaket som skickas genom Zscaler placeras i ett delat minne som är tillgängligt för alla CPU'er i det aktuella datacentret. Varje skanningsteknologi har dedikerade CPU'er och tillåts parallellt analysera information. 









Med SSMA undviks steg-för-steg-analys, och datapaketet kan analyseras parallellt av URL-filter, AntiVirus-motorer, DLP-analys, Next-Gen-Firewall och sandboxing-teknologi utan att skapa onödig fördröjning.

Zscaler har mer än 50 registrerade patent och klassas som ledare bland Internet Security Gateways av samtliga ledande analysföretag (T.ex. Gartner, Forester m.fl.). Med fler än 100 datacenter i hela världen, inklusive Sverige, Norge och Danmark,  kan alla användare skyddas, oavsett tid plats och klientplattform.

  • Läs mer om Zscaler eller kontakta WeCloud för mer information, demo eller kostnadsfri utvärdering av lösningen.

www.wecloud.se
info@wecloud.se



onsdag 9 december 2015

Nya verktyg för WeCloud-partners

WeCloud introducerar Webroot Channel Edge Partner Program, en rad verktyg för att öka och förenkla försäljningen av Webroot next-generation-AntiVirus. Programet erbjuds till både befintliga och nya WeCloud-partners.



Vad är Webroot Channel Edge Toolkit?  

Webroot Channel Edge Toolkit är en samling moderna verktyg som hjälper dig med försäljning och marknadsföring av Webroot SecureAnywhere Next-Generation-AntiVirus. 

Varför ska du som WeCloud-partner börja använda Webroot Channel Toolkit?
Det tar bara några minuter att registrera ett konto
Egen logotyp på produktblad
Dina säljare får tillgång till alla nya produktblad och whitepapers

Erbjud och spåra kostnadsfria utvärderingar

Med Webroot Channel Edge Toolkit får du bland annat:


Web Content Syndication - Visa relevanta och uppdaterade nyheter på Er egen webbsida och erbjud Era kunder kostnadsfria utvärderingar.

Resource Center Syndication - Ger din organisation tillgång till anpassat marknadsmaterial direkt i webbläsaren.

Social Content Syndication -  Skickar automatiskt ut relevanta säkerhets-tweets från Ert egna Twitter-konto.


www.wecloud.se
info@wecloud.se



onsdag 2 december 2015

Är det i år som Mac-datorerna blir infekterade?

Den senaste tiden har vi kunna läsa många artiklar om skadlig kod anpassad för Mac-system. WeCloud reder ut begreppen och redogör för vilken typ av skadlig kod som faktiskt drabbar Mac-systemen och vad användarna bör se upp med.

Ja, vi har sett en betydande ökning av skadlig kod för Mac men fortfarande finns stora skillnader mellan hotbilden på PC och Mac-system. Vilken typ av hot behöver Mac-användarna egentligen bry sig om? Och vilka hot kan man som Mac-användare fortsätta att ignorera? 


Ransomware för Mac

Som exempel på den ökande hotbilden mot Mac-system visades nyligen en fullt fungerande Mac-specifik ransomware upp. Koden är skriven av Rafael Marques från Brasilien som är utvecklare med stort intresse för IT-säkerhet. Rafael skrev den Mac-anpassade ransomware-koden för att visa att säkerhet för Mac behöver tas på allvar. Koden har inte spridits utan den har främst använts i demonsyfte.

Rafaels ransomeware-demonstration fick stort intresse och påvisade tydligt behovet av säkerhet för Mac OS. Den nya koden öppnade ögonen på de Mac-användare som länge hävdat att Mac OS var en säker plattform. På frågan om varför Rafael utvecklat ett ransomware för Mac svarar han "för att informera om att det är en myt att det inte finns malware för Mac".

Även om Rafaels "Proof of concept" tveklöst kan klassas som ett malware så är de flesta riktiga exempel som WeCloud noterat fortfarande av typen PUA's (Potential Unwated Applications" som visst kan klassas som malware, men som sällan bedöms vara en allvarligt hot. Under 2015 har mängden PUA's ökat markant och den största delen som Webroot Security Research har analyserat är av typen "Adware" (t.ex. VSearch, Genieo, IronCore, Bundlore, Wedownload). Adware gömmer sig bakom ett legitimt program och klickar i bakgrunden på länkar eller öppnar pop-ups.

Även om Adware inte ställer till med så stor skada visar de tydligt att Mac OS inte är 100% säkert och många gånger fungerar adware som en första "test" för mer avancerad malware. Nästa gång vi ser ett ransomware för Mac är det troligtvis inte bara ett försök att öka medvetenheten hos användare och administratörer.

Samtidigt som malware-utvecklarna gör framsteg utnyttjas också användarnas godtrogenhet av bedragare som valt att försöka lura användarna. Det senaste året har WeCloud uppmärksammat mängder av nya phishing-försök direkt riktade mot Mac-användare.



Förfalskade webbsidor lurar användaren att uppge sitt Apple-ID 














Ofta handlar de Mac-anpassade phishing-attackerna om att lura användaren att uppge sina inloggningsuppgifter till Appstore. Med mer än 85.000 nya skadliga IP-adresser varje dag händer det att de förfalskade webbsidorna inte blockeras i tid av webbfiltret, då gäller det att som användare vara uppmärksam.

WeCloud hjälper dig att säkra dina kunders Mac-system och erbjuder next-generation Endpoint Protection, Email Security och WebSecurity i molnet. Kontakta WeCloud för mer information!

www.wecloud.se
info@wecloud.se


måndag 30 november 2015

Mjuka julklappar vi vill slippa

Julen är snart här och i vanlig ordning dyker de mjuka julklapparna upp, de som vi helst vill slippa. Det handlar om mjukvara som i skepnad av elektroniska julhälsningar infekterar dina system och stjäl värdefull information. 

Under december månad förväntar WeCloud's tekniker en ökad mängd skadlig kod i form av elektroniska julhälsningar. De säsongsbetonade hoten sprids vanligtvis via e-post och länkar. Många gånger används legitima webbplatser som hackats för att sprida den skadliga koden.




Ett exempel på de oönskade julklapparna är skärmsläckare med julmotiv som levereras i via e-post och uppmuntrar mottagaren att öppna en "animation." Medan den elektroniska tomten delar ut julklappar infekteras datorn med en skadlig kod. 

"Vi såg en tydlig ökning av oönskad datatrafik både på webben och via e-post under julen 2014 och förväntar oss en liknande ökning även i år", säger Rikard Zetterberg, VD på WeCloud AB. "Jag vill uppmana till försiktighet och kanske är det läge att nu påminna jultörstande användare att tänka en extra gång innan man klickar på okända länkar, även om de ser ut att komma från någon man känner", säger Rikard.

Under julen 2014 uppmärksammade WeCloud också hur förfalskade erbjudanden om julklappar lyckades lura många användare att uppge sina kreditkortsuppgifter på webbsidor som skickade de stulna uppgifterna vidare till kinesiska hackare. 

Ett färskt exempel är erbjudanden om gratis biljetter till julens stora filmpremiär, "Star Wars - The Force Awakens". Det falska erbjudandet har synts i annonser på webben och leder användaren till webbsidor som utnyttjar sårbarheter i webbläsaren, för att exekvera skadlig kod och infektera användarens system.

www.wecloud.se
info@wecloud.se







Nya och utökade funktioner i WeCloud Email Security

WeCloud Email Security, ett system för e-postsäkerhet, antispam, antivirus och kontroll för e-postflödet, utökas i och med den nya uppdateringen med flera unika funktioner som ytterligare förbättrar och förenklar kvalité och funktionalitet i systemet.

WeCloud Email Security är en av Skandinaviens ledande lösningar för e-postsäkerhet och garanterar att alla datacenter där e-post och kundinformation behandlas finns inom Sveriges gränser.




I den nya versionen som släpps i december 2015 utökas WeCloud Email Security med en rad nya funktioner, bland annat stöd för flexibel routing av e-post, avancerad systemaudit, anpassade tidszoner och brandingmöjligheter för partners som vill anpassa systemets utseende.

Unik flexibel routing av e-post
Med WeCloud's nya och unika funktioner för routing av e-post kan både inkommande och utgående e-post routas till ett valfritt tredjeparts-system, t.ex. e-postkryptering, Data Loss Prevention, eller Behaviour Analytics-tjänster, för att sedan routas tillbaka till WeCloud Email Security för skanning och leverans. 


Flexibel routing introduceras i nya versionen av WeCloud Email Security

Nya System Audit ger full spårbarhet
I den nya uppdateringen finns full spårbarhet på all access och ändringar av inställningar i systemet. Spåra enkelt vem som lagt in nya svart- och vit-listningar, konfigurerat spamregler eller förhandsgranskat och frisläppt e-post i karantänzonen. Auditfunktionen omfattar tidpunkt, användarnamn, vilken typ av ändring som gjorts och från vilket IP-nummer ändringen genomfördes.


Omfattande audit-funktioner ger full spårbarhet i WeCloud Email Security

Branding låter partners designa sin egna kundportal
I tidigare versioner har endast partners som valt att själva sätta upp ett WeCloud Private Cloud haft möjlighet att branda webbportalen. I den nya versionen kan alla partners branda lösningen och själva designa utseendet i webportalen. Logotyp, kontaktuppgifter och färgschema konfigureras enkelt i portalen och en partnerunik URL kan användas för access till kundportalen.


Kontakta oss på WeCloud för mer information
Utöver ovan beskrivna funktioner kommer också en rad andra nya funktioner. Kontakta gärna oss på WeCloud för att boka in en genomgång av de nya funktionerna eller för att ta del av en fullständig release note.

www.wecloud.se
support@wecloud.se




fredag 20 november 2015

Det du vill veta om Cryptowall 4.0

Vi vet att Cryptowall 3.0 har var en stor framgång för cyberkriminella och inbringat ofattbara 2,7 miljarder kronor under 2015. Med 800 command & control-URL:er och mer än 400.000 infektionsförsök, är Cryptowall utan tvivel den mest produktiva skadliga koden under 2015.

Nu är den nya versionen här; Cryptowall 4.0. Ett ransomware som uppdateras ungefär lika ofta som Apple's mjukvara. En av nyheterna är att lösensumman som krävs för att dekryptera filer har höjts från $300 till $700.



 

 Ovan några exempel på den lokala webbsidan som informerar offret om att hans filer krypterats. I informationen gratuleras offret och välkomnas till Cryptolocker Community! Övrig information är instruktioner om hur en alternativ webbläsare kan installeras och hur offret kan betala lösensumman. I hälsningen kan man också läsa ”Remember that the worst has already happened and now the further life of your files depends directly on your determination and speed of your actions”.



En nyhet med Cryptowall 4.0 är att den förändrar namnet på de filer som krypteras för att skapa förvirring och göra det svårare att avgöra vilken fil som är vilken.

På webbsidan kan man se att lösensumman ligger på $700. För mindre än ett år sedan var lösensumman $300. Här finns också en funktion för att kostnadsfritt återställa en krypterad fil för att bevisa att dekrypteringen fungerar och göra offret än mer benägen att betala lösensumman.



Annalyserad MD5: E73806E3F41F61E7C7A364625CD58F65

Övriga upptäckta MD5:

63358929C0628C869627223E910A21BF
5C88FCF39881B9B49DBD4BD3411E1CCF
32ACFA356104A9CE2403798851512654
CE38545D82858C7A7414B4BD660364A9
5384F752E3A2B59FAD9D0F143CE0215A
CF6D69E47B81FA744052DA33917D40F3
53C82D574E054F02B3163271262E0E74
A891CED376809CF05EFE4BB02EB2CBF3
5384F752E3A2B59FAD9D0F143CE0215A
Källa: Webroot Inc.

Webroot SecureAnywhere detekterar och stoppar dessa specifika versioner av Cryptowall 4.0 innan de påbörjar krypteringen av filer. Webroot Security Research Team uppdaterar löpande molndatabasen med information om nya varianter som hittas.

Med Webroot SecureAnywhere kontrolleras inte bara virus-signaturer, systemet kontrollerar även alla okända filers beteende och processer för att stoppa skadlig beteende och identifiera nya varianter av Cryptowall. Genom en ständig kontakt med Webroot Intelligence Network som innehåller mer än 250 TerraByte data om skadligt beteende, IP-adresser, URL:er och signaturer, ges de lokala agenterna alltid tillgång till sekundfärsk information om nya hot.

Det finns inga 100%-iga garantier mot nya ”zero-days” och WeCloud rekommenderar att alltid ha en uppdaterad backup av viktiga filer, vilket är det enda sättet att garantera att filer som krypterats av Cryptowall kan återställas.

Hämta och utvärdera WebrootSecureAnywhere här eller läs om hur du med standardfunktioner i Windows kan förebygga infektioner här!

info@wecloud.se

måndag 16 november 2015

Ny falsk skatteåterbäring drabbar Sverige

En ny våg av förfalskade e-postmeddelanden från Skatteverket skickas just nu ut till svenska e-postadresser. Meddelandet påstår att mottagaren är berättigad till en skatteåterbäring och uppmanar till att klicka på en länk för att få sin skatteåterbäring utbetald.

WeCloud's tekniker har analyserat flera av de nya förfalskade e-postmeddelandena från Skatteverket och kan konstatera att det åter igen handlar om ett s.k. phishing-försök, alltså att lura av mottagaren dess personliga uppgifter och kreditkortsnummer. WeCloud varnade redan för tre år sedan om ett liknande utskick.



De flesta av de nya förfalskade meddelandena är skickade från en server i Japan men är skrivna på relativt god svenska. WeClouds har upprättat flera spamsignaturer och blockerar i nuläget de förfalskade meddelandena.

-Den här typen av phishing har fortsatt att växa och tenderar att skickas i flera mindre omgångar, där förövarna hela tiden förändrar innehållet i utskicket för att kringgå spamfiltrering. Att ha lokal kännedom och agera snabbt på anpassade attacker är ett av våra viktigaste uppdrag som helsvensk leverantör av e-postsäkerhetslösningar, säger Rikard Zetterberg, VD på WeCloud AB.

WeCloud har kontaktat Freehosting.EU, där den förfalskade webbsidan publicerats. Freehosting.EU har nu tagit bort innehållet på sidan.

Läs mer om hur Skatteverket tidigare använts för att lura svenska e-postmottagare:


www.wecloud.se
info@wecloud.se

torsdag 5 november 2015

WeCloud lanserar globalt moln i samarbete med IBM

WeCloud lanserar ett nytt moln för Email Security anpassat till kunder utanför Skandinavien med krav på global redundans och fail-over. Det nya molnet omfattar servrar i både EU och USA. Med flera separata moln kan WeCloud anpassa tjänsterna efter den lokala marknaden och lokala juridiska krav.

Med bakgrund i en ökad efterfrågan från kunder utanför Skandinavien har WeCloud lanserat ett globalt moln för Email Security. Det nya molnet bygger på IBM Softlayer's infrastruktur och omfattar geografiskt åtskilda datacenter för global fail-over och redundans.



SoftLayer är en av världens största leverantörer av molninfrastruktur. SoftLayers 13 globala datacenter adderades nyligen till IBMs 12 egna center för att utöka och förstärka plattformen. IBM har också annonserat att ytterligare 1,2 miljarder USD kommer att satsas för att ytterligare utöka den globala cloudplattformen med 15 nya datacenter. Det innebär att WeCloud har möjlighet att leverera sina molntjänster från totalt 40 datacenter på fem kontinenter.



WeClouds nya globala infrastrukturen är designad för att snabbt kunna utökas med ännu flera lokala datacenter i nya regioner och ge internationella kunder tillgång till WeCloud's marknadsledande tjänster för Email Security. Redan idag används WeClouds nya moln av hundratals kunder och antalet ökar kontinuerligt.

- Vi har lyssnat på våra kunder och anpassat oss efter deras önskemål. Det var viktigt för oss att behålla våra oberoende lokala moln i Sverige och Danmark, men behövde också ett globalt moln för att kunna leverera våra lösningar till internationella företag och större organisationer, säger Rikard Zetterberg, VD på WeCloud AB.


Läs mer om WeCloud's globala plattform för Email Security och samarbetet med IBM här: WeCloud extends e-mail security services to global customers with SoftLayer technology

www.wecloud.com
info@wecloud.com





tisdag 3 november 2015

Sofistikerad Phishing stjäl pengar på Danske Bank

En sofistikerad phishingattack sprids för tillfället via e-post till mottagare i bland annat Sverige och Danmark. Användaren luras att uppge både sina inloggningsuppgifter till banken och säkerhetskoden som genereras i banken säkerhetsdosa.

Attacken sprids primärt via e-post som "DanskeBank" som avsändare. Många e-postklienter visar dock endast "Display name" som alltså  är "Danske Bank". Det förfalskade e-postmeddelandet blockeras effektivt med WeCloud Email Security.



När användaren klickar på länken i e-postmeddelandet dyker en webbsida som liknar Danske Bank's webbsida upp. Sidan varnar för phishingmail och uppmanar användaren att vara försiktig. Den förfalskade sidan ligger på en webbserver som tillhör iSnap och har troligtvis hackats. Trafiken skickas via https och webbsidan har ett giltigt certifikat.



På sidan uppmanas användaren att ange sitt användare-ID och lösenord. Om användaren matar in sina uppgifter kommer en ny förfrågan om den kod som genereras med hjälp av användarens bankdosa.



För att inloggningsdetaljerna ska kunna utnyttjas krävs att förövaren har kontakt med bankens system och snabbt använder den inmatade informationen. WeCloud har kontaktat ägaren till den hackade webbsidan och notifierat Danske Bank om sidan. På webbsidan hittades också ett stycke dold kod som antas vara en nyckelkomponent i kommunikationen mellan den förfalskade webbsidan, banken och användarens säkerhetsdosa.

Phishingattacker är ett växande problem och besvärliga att skydda sig mot. WeCloud erbjuder avancerad e-postsäkerhet som anpassats för att snabbare identifiera Skandinaviska attacker. Utöver e-postsäkerhetslösningar kan WeCloud även erbjuda en världsledande webbsäkerhetslösning som analyserar all Internettrafik och blockerar misstänkta phishingsidor och annat oönskat innehåll. 

www.wecloud.se
info@wecloud.se


måndag 2 november 2015

Flera nya sårbarheter i Adobe Flash

Under fredagen den 27:e oktober erkändes flera nya sårbarheter i Adobe Flash. Zscaler har proaktivt utvecklat skydd för attacker mot nya sårbarheter i Adobe Flash. Det avancerade skyddslagret används för att blockera zero-day-hot som utnyttjar nyupptäckta sårbarheter och inkluderas i Zscaler Advanced Behavioral Analysis.


WeClouds webbsäkerhetslösning från Zscaler analyserar allt innehåll i den data som hämtas från webben och bedömer det genom flera olika analyser, jämförelser och beteendeanalyser. Skanningen av http/https sker i realtid och skyddar användare och system oavsett var de kopplat upp sig genom att styra trafiken via någon av skannings-noderna i det globala säkerhetsnätverket.

APSB15-25Security updates available for Adobe Flash Player
Severity: Critical

Affected Software
  • Adobe Flash Player Desktop Runtime 19.0.0.185 and earlier
  • Adobe Flash Player Extended Support Release 18.0.0.241 and earlier
  • Adobe Flash Player for Google Chrome 19.0.0.185 and earlier
  • Adobe Flash Player for Microsoft Edge and Internet Explorer 11 19.0.0.185 and earlier
  • Adobe Flash Player for Internet Explorer 10 and 11 19.0.0.185 and earlier
  • Adobe Flash Player for Linux 11.2.202.521 and earlier
  • AIR Desktop Runtime 19.0.0.190 and earlier
  • AIR SDK 19.0.0.190 and earlier
  • AIR SDK & Compiler 19.0.0.190 and earlier 
CVE-2015-7627 – Flash Player Memory Corruption Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2015-7631 – Flash Player Use After Free Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2015-7632 – Flash Player Buffer Overflow Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis
CVE-2015-7633 – Flash Player Memory Corruption Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis

Description: Critical vulnerabilities have been identified in Adobe Flash Player. Successful exploitation could cause a crash and potentially allow an attacker to take control of the affected system.

APSB15-27Security updates available for Adobe Flash Player
Severity: Critical

Affected Software
  • Adobe Flash Player Desktop Runtime 19.0.0.226 and earlier
  • Adobe Flash Player Extended Support Release 18.0.0.255 and earlier
  • Adobe Flash Player for Google Chrome 19.0.0.226 and earlier
  • Adobe Flash Player for Microsoft Edge and Internet Explorer 11 19.0.0.225 and earlier
  • Adobe Flash Player for Internet Explorer 10 and 11 19.0.0.226 and earlier
  • Adobe Flash Player for Linux 11.2.202.540 and earlier
CVE-2015-7645 – Flash Player Type Confusion Vulnerability
         Security Subscription Required: Advanced Behavioral Analysis

Description: Critical vulnerabilities have been identified in Adobe Flash Player. Successful exploitation could cause a crash and potentially allow an attacker to take control of the affected system.

www.wecloud.se
info@wecloud.se

fredag 23 oktober 2015

Postnord-trojanen fortsätter lura antivirussystemen

WeCloud har identifierat flera nya varianter av Postnord-trojanen. Den senast upptäckta stoppas för närvarande inte i någon av de 55 antivirusmotorerna på VirusTotal.

Den otäcka Postnord-trojanen som krypterar filer på offrets hårddiskar och nätverksenheter fortsätter att klonas. De nya klonerna är så pass olika sina föregångare att de lurar samtliga antivirussystem.

Genom en enkel test på Virus Total - en testsida som analyserar skadlig kod med 55 olika antivirussystem - kan vi snabbt konstatera att inga traditionella antivirussystem i nuläget blockerar den nya varianten.


Klockan 00:17 den 23 Oktober känner ingen av de testade antivirussystemen igen den nya varianten av Postnord-trojanen.

WeClouds antiviruslösning, Webroot SecureAnywhere, blockerar dock den nya varianten. Eftersom antivirusdatabasen finns i molnet behöver klienten inte uppdateras för att dra nytta av det senaste skyddet, kontrollen sker istället i realtid mot molndatabasen.

Filens namn är precis som tidigare "leverans.exe", den nya varianten har följande MD5 hash: 536B57792F9AB99CC92471ED60485364

Läs mer om den nya vågen av Postnord-mail och tips på hur du skyddar dina system här.

www.wecloud.se
info@wecloud.se

torsdag 22 oktober 2015

Goda råd för att skydda dig mot Cryptolocker och Ransomware

Ransomware och Cryptolocker har den senaste perioden orsakat stor skada hos både privatpersoner, företag och organisationer. Traditionella antivirussystem har länge haft svårt att hantera den stora mängden ny skadlig kod som dagligen publiceras på Internet eller skickas runt via e-post, men det är först på senaste tiden som hoten blivit så kännbara för användare och administratörer. I den här artikeln tipsar WeCloud om åtgärder som kan hjälpa dig att minimera riskerna med både ransomware och annan skadlig kod.

I den här artikeln presenterar vi en rad viktiga inställningar som kan hjälpa dig att skydda dina användare och nätverk mot Cryptolocker och Ransomware. Några av tipsen är grundläggande medans andra beskrivs mer detaljerat i denna post.

Grundläggande försiktighetsåtgärder
  • Verifiera att ditt antivirusprogram är installerat och uppdaterat.
  • Försäkra dig om att ditt operativsystem är uppdaterat med de senaste patcharna.
  • Se till att alla plug-ins (Java, Flash, Adobe etc.) är uppdaterade till senaste version.
  • De-aktivera Auto-run och Windows Scripting Host.
  • Låt inte användare vara administratörer på sina datorer.
  • Ta alltid en full backup på din data.
  • Stoppa exekverbara filer i surftrafiken och e-posten i ditt webbfilter och e-postfilter.

Utökade försiktighetsåtgärder
Här beskriver vi ett antal policy-inställningar i Windows som bl.a. förhindrar vissa sökvägar och filtyper att exekvera. Observera att dessa inställningar kan leda till att vissa program kan sluta fungera eller inte tillåtas installeras. Testa alltid dina policy's innan du kör dem i produktion!

Introduktion till "vanliga malware mappar"
Malware "droppas" oftast i några få vanliga mappar på din dator, när de väl hamnat där kan de flytta sig till andra mappar och filer i ditt system.

De vanligaste mapparna där malware hamnar är:
  • Användarens temp-katalog (kallas ofta %localusertemp%)
  • Appdata med underkataloger (Roaming,local app data)
  • Users profile
  • Temp katalogen (%temp% eller C:\Windows\temp)
  • Webbläsarens cache-katalog  (%cache sökvägen varierar beroende på webbläsare, se nedan för exempel)
  • c:\users\admin\appdata\local\microsoft\windows\temporary internet files\content.ie5\
  • Skrivbordet
För att nå en katalog som anges med % är det bara att skriva dem i Windows "Kör" eller Windows Sök-fält i startmenyn. Skriver du t.ex. %temp% hamnar du direkt i C:\Users\admin\AppData\Local\Temp.

När en infektion finns på din dator och är aktivt kan den flytta sig till andra mappar för att göra det svårare att hitta den eller till en plats där det är lättare att sprida sig vidare. Mer sofistikerad malware kan sprida sig till en nätverksenhet. Många skadliga koder kan också använda en registernyckel eller andra metoder (scheduled task, service etc.) för att automatiskt starta.
  • C:\program data\ (som default gömd mapp)
  • C:\Windows
  • C:\Windows\System32
  • C:\Recylcer\ (gömd mapp, papperskorgen)
  • C:\ (Root)
  • C:\Program files\ (både 32 och 64bit) vanlig plats för PUA's (Potentialy Unwanted Applications)
Malware använder sig ofta av välkända namn för att lura användaren, t.ex. används ofta winlogon.exe som är en nyckelkomponent i Windows. Winlogon.exe ska ligga i c:\windows\system32\winlogon.exe och är cirka 450 kb stor.

Hittar du winlogon.exe i användare-mappen med dubbel storlek så är det en tydlig indikation på att något är fel. Webroot SecureAnyhwere kontrollerar ständigt status och bedömer sökvägar, filer och beteende. Det vi med denna guiden vill åstadkomma är begränsningar för vilka filtyper som har access till de olika mapparna för att utöka säkerheten yttligare.


Inaktivera Autorun
Autorun är en smart funktion men används ofta för att sprida skadlig kod i företagsnätverk. Vanligtvis handlar det om VBS-malware och maskar som automatiskt körs och sprider sig från USB-minnen när de stoppas in i en dator. Autorun kan enkelt inaktiveras genom en förändring i Local Group Policy Editor:

Beskrivningen gäller en lokal dator, men fungerar snarlik i en gemensam policy för alla datorer i nätverket (Active Directory). Notera att denna förändring inte förhindrar användningen av USB-minnen.

  • Klicka på start-menyn och skriv gpedit.msc och tryck enter
  • Gå till Computer Configuration > Administrative Templates > Windows Components, och klicka på Autoplay Policies.
  • Dubbelklicka på Turn off Autoplay i listan
  • Klicka på Enabled och välj alla enheter för att inaktivera autorun på dem.



Använd Policy Editor för att blockera sökvägar
Polcys är ett kraftfullt verktyg som vanligtvis används för att förhindra användare att installera program på systemet. Men de kan också användas på flera kreatvia sätt för att öka säkerheten.

Beskrivningen nedan gäller en lokal policy, men samma princip kan användas i en nätverks policy. Läs gärna mer om nätverkspolicys här!

Policys kan kopplas till olika grupper av användare och på så vis anpassas efter behov. När du skapar en policy är det viktigt att den testas innan du applicerar den i produktion. Exempel på säkerhetshöjande policys: 

  • Blockera öppning av exekverbara filer i temp-mappen
  • Blockera modifiering av VSS-servicen
  • Blockera  öppning av exekverbara filer i temp+appdata
  • Blocking skapandet av "startup entries"
I en normal miljö bör inte .SCR,.PIF,CPL-filer exekveras i användarens temp-mapp, program data eller från skrivbordet.

En policy som förhindrar ovanstående bör vara relativt säker. Flera versioner av Cryptolocker använder filformatet SCR, som egentligen är en komprimerad exekverbar kod.

Vill du gå ett steg längre kan du förhindra att PE-filer i vanliga mappar, där malware ofta hamnar.

  • EXE,DLL,SYS,FON,EFI,OCX och SCR
  • Temp+Appdata+ProgramData etc
För att skapa en policy öppnar du Group Policy Editor och går till: Computer Configuration > Windows Settings > Security Settings > Software Restriction Policies

Första steget är att ändra en inställning i "Enforcement". Ändra inställningen från “All software files except libraries” till “All Software Files”.



Skapa sedan en policy genom att höger-klicka i den högra sidan av fönstret och välj “New Path Rule”.



Ett nytt fönster öppnas där vi kan skapa våra policy-regler. I detta fönster kan vi bläddra till specifika mappar eller så kan vi använda wildcards för vanliga mappar. I exemplet nedan har vi skapat en policy som hindrar exekverbara filer att köras från C:\Windows\Temp.


Notera att legitima program ibland vill exekvera från denna mapp. Nedan följer några exempel på andra sökvägar där det kan vara bra att förhindra exekvering:



  • %appdata% (detta är användarens lokala app data-mapp, en vanlig mapp för droppers)
  • %temp% (den vanligaste sökvägen för levererad malware)
  • %userprofile% (användarprofilens root-katalog)
  • %localappdata% (local användares appdata)
  • %programdata% (Windows Vista och senare)
  • C:\Windows\Temp (Windows temp)





Om ett program försöker exekvera från någon av de blockerade sökvägarna får användaren nedan felmeddelande. Om filen flyttas till en annan icke-blockerad sökväg kommer den tillåtas exekvera.





Blockera access till Volume Shadow Copy Service
I Windows XP och senare skapar operativsystemet lokala kopior av filer med "VSS copy service" som ligger på följande sökväg C:\Windows\System32\VSSAdmin.exe

Tidigare versioner av Cryptolocker lät VSS copy service köra och kopior av filer kunde användas för att återställa krypterad data med t.ex. "Shadow Explorer" (dock endast lokala filer - ej filer på nätverksenheter).

Vi kan låsa accessen till VSS copy service och därigenom stoppa Cryptolocker från att försöka ta bort kopiorna av orginalfiler. Detta genom att skapa en policy (liknande de som beskrivs ovan) men koppla den till den körbara filen VSSADmin. Försök att accessa eller stoppa denna service kommer då blockeras.



Ett felmeddelande visas när någon/något försöker stoppa tjänsten




Deaktivera Windows Script för att blockera VBS-Script
VBS-script används ofta för att ställa till oreda eller att ladda ner mer avancerad malware till ett system. Ett exempel är ILOVEYOU VBS som drabbade många i början av 2000-talet. Idag används VBS oftast för att dölja mappar och flytta filer mellan olika mappar.

VBS-script kan enkelt stoppas från att köra genom att inaktivera Windows Script Host engine som används för att köra VBS-script.

Dessa två registernycklar används för att inaktivera Windows Script Hosting Engine Executable (Wcscript.exe) att köra: 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings\Enabled
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled


Övrigt
En grundläggande policy är viktig för att skydda dina system. Fundera över om alla användare i  din miljö verkligen behöver kunna klicka på http/https-länkar som leder till körbar kod, eller om alla användare måste kunna ta emot exekverbara filer via epost.

Saknar du verktyg för att på ett blockera skadlig kod eller sätta policy om filtyper i surftrafiken eller epost-trafiken? Fungerar ditt webbfilter även när användaren tar med datorn hem? Kontakta WeCloud och låt oss berätta om våra molnbaserade lösningar för att virus-skanna och sätta policys för din verksamhets webbtrafik och e-posttrafik.

Vi hoppas att informationen kan komma till hjälp och vill också tacka Roy Tobin, Threat Researcher på Webroot, för hans hjälp med dessa goda råd.

Läs mer om den nya vågen av Postnord-mail och hur Postnord-trojanen fortsätter lura antivirussystemen.

www.wecloud.se
info@wecloud.se