Web Security Report 2012 von Blue Coat Systems
Inhaltsverzeichnis
InhaltsverzeichnisDie aktuelle Bedrohungslandschaft 3
Malware-Netzwerke 4
Eine neue Malnet-Abwehr 5
Die Malnet-Strategie: Einmal erstellt, oft eingesetzt 6
Die „Negative-Day“-Abwehr: Ein Präventivschlag gegen Malware 7
Kenne deinen Feind: Die fünf größten Malnets 8
Die beliebtesten Sammelplätze im Internet finden 11
› Soziale Netzwerke Ein Internet innerhalb des Internets 12
Benutzer ködern: Den Weg des geringsten Widerstands gehen 14
Malnet-Köder: Der passende Anlass 15
Malware-Payloads: In voller Sichtweite gut verborgen 16
Die häufigsten Angriffsvektoren Die Malnet-Taktik: 18
› SEP - Die Vergiftung des Brunnens 18
› Soziale Netzwerke: Ein Paralleluniversum 18
› Malvertising - One-Stop-Shopping für Cybercrime 19
› Spam – Ein wiederauflebender Angriffsvektor 20
Botnets: Die Gefahr im eigenen Netzwerk 21
Advanced Persistent Threats: Die Gefahr lauert vor der eigenen Tür 22
Das Dilemma Mobilität: Die neue Bedrohungsfront 22
› Nutzungsverhalten bei mobilen Geräten 23
› Die Zunahme mobiler Malware 24
Fazit 24
Die aktuelle Bedrohungslandschaft
Im Jahr 2011 hat die Bedrohungslandschaft mit den sogenannten Malnets
(Malware-Netzwerken) eine neue Evolutionsstufe erreicht. Diese Infrastrukturen bestehen über die Dauer
eines einzelnen Angriffs hinaus und ermöglichen Cyberkriminellen eine schnelle Ausnutzung
neu auftretender Schwachstellen sowie eine wiederholte Ausführung von Malware-Angriffen.
Durch den Missbrauch beliebter Internetdienste, zu denen beispielsweise Suchmaschinen,
soziale Netzwerke und E-Mail gehören, sind Malnets in der Lage, geschickt und mit geringem
Aufwand viele Benutzer zu infizieren.
Die Anzahl schädlicher Websites im Netz ist im vergangenen Jahr um 240 Prozent gestiegen,
was zum Teil auch auf die Aktivitäten der Malnets zurückzuführen ist. Für dieses erhöhte
Aufkommen sind eine Reihe verschiedener Faktoren verantwortlich. In erster Linie
verwenden Cyberkriminelle zunehmend schneller wechselnde Domain-Namen. Baukästen für
Schadsoftware sind heute leichter erhältlich und können ebenso problemlos angepasst und
eingesetzt werden. Folglich gibt es auch mehr Personen, die Malware verbreiten.
Die überwiegende Mehrheit der Angriffe hat PC- und Laptop-Nutzer zum Ziel. Der
explosionsartige Verbreitung mobiler Geräte bietet jedoch eine neue Plattform für
Cyberkriminalität. Obgleich Angriffe auf Mobilgeräte derzeit nur begrenzt zu beobachten sind,
macht ihre zunehmende Nutzung sie zu einem bedeutenden Angriffsziel für die Zukunft. Die
Cyberkriminellen sind bereit. Die Malnet-Infrastrukturen von heute sind genau dieselben, die
auch für zukünftige Angriffe auf mobile Geräte genutzt werden.
Sie ermöglichen den Cyberkriminellen die Ausführung dynamischer Angriffe, die von
traditionellen Antivirusherstellern über Tage oder gar Monate hinweg nicht entdeckt werden. Im
Februar 2011 gab es einen Fall, in dem ein- und dieselbe Malware an einem einzigen Tag 1.500
Mal ihren Standort wechselte. Mit der Dynamik derartiger Angriffe sind selbst Abwehrsysteme
mit Inhaltsklassifizierung in Echtzeit bei weitem überfordert. Der Aufstieg der Malnets verlangt
nach neuartigen Sicherheitsmaßnahmen, um Unternehmen vor Datenverlust, finanziellen
Schäden, Identitätsdiebstahl und weiteren kostspieligen Konsequenzen zu schützen.
Malware-Netzwerke
Was Sie wissen müssen, um Ihr Unternehmen zu schützen
Die fünf aktivsten
Malware-Netzwerke
Die Blue Coat Labs beobachten
über 500 Malnets wie dieses
Eingangstor in Malnets
Ein Malware-Netzwerk (Malnet) greift Nutzer meist beim Besuch vertrauenswürdiger Websites auf und leitet sie über Relay-, Exploit- und Dateiserver mit ständig wechselnden Domänen und Standorten an Malware weiter.
240 %
mehr bösartige Websites gab es 2011 im Vergleich zu 2010
5000 Bedrohungen
Eine neue Malnet-Abwehr
Entscheidende Erkenntnisse für Ihr Unternehmen
> Echtzeitanalyse von Suchergebnissen ist erforderlich, um bösartige Links zu ermitteln
> Differenzierte Anwendungs- und Ausführungskontrollen sind unerlässlich, um die Risiken sozialer Netzwerke wirksam zu bewältigen und zu entschärfen
> Mehrschichtige Verteidigung ist entscheidend für den Schutz vor bösartigen ausführbaren Dateien in Webmails, die ein vielversprechender Bedrohungsvektor bleiben, obwohl die Beliebtheit von E-Mails insgesamt abnimmt > “Negative-Day“-Verteidigung ist erforderlich, um zukünftige Angriffe abzuwehren, indem sie bereits an der
Quelle gesperrt werden
Die in diesem Bericht behandelten Einblicke beziehen sich auf Daten des kollaborativen
Sicherheitsdienstes WebPulse, die von den Blue Coat Security Labs ausgewertet wurden Blue Coat WebPulse™ ist ein cloudbasierter Dienst zur Echtzeitanalyse und -klassifizierung, der mit Benutzern eine gemeinschaftliche Verteidigungslinie bildet. WebPulse wird über Blue Coat ProxySG-Appliances und den Blue Coat Cloud Service bereitgestellt. Eine Milliarde Webanfragen von 75 Millionen
Die Malnet-Strategie: Einmal erstellt, oft eingesetzt
Malnets sind verteilte Infrastrukturen im Internet, die von Cyberkriminellen aufgebaut,
gemanagt und betrieben werden, um über einen längeren Zeitraum hinweg großflächige
Angriffe auf nichtsahnende Benutzer auszuüben.
Sie greifen Benutzer meist beim Besuch vertrauenswürdiger Websites auf und leiten diese über Relay-,
Exploit- und Dateiserver mit ständig wechselnden Domänen und Standorten an Malware weiter.
Ablauf einer Malnet-Attacke
Abbildung 1 – Einem Malnet ins Netz gehen Wie andere Unternehmen auch, nutzen Malnets die Ubiquität des Internets und die globale Vernetzung, um Benutzer auf unterschiedlichsten Wegen auf ihre Seiten zu schleusen. Malnets werden auf eine Weise konstruiert und betrieben, die durch das Zusammenspiel kontinuierlich wechselnder Links, Server und Malware-Payloads die Anonymität aufrechterhalten soll. Das Ziel der meisten Malnets ist es, von den Benutzern persönliche oder finanzielle Angaben oder sogar Geld zu ergattern.
Ein Malnet besteht aus mehreren Tausend einzelnen Domains, Servern und Websites, die zusammenarbeiten, um Benutzer zur eigentlichen Malware zu schleusen. Schaubild 1 zeigt eine lineare Darstellung eines typischen, von einem Malnet ausgeführten Angriffs. Es zeigt in Grundzügen den üblichen Weg eines Benutzers vom Einstiegspunkt bis hin zur dynamischen Payload.
Ein Malnet nutzt die vorhandene Infrastruktur von Relay- und Exploit-Servern, um rasch neue Angriffe zu starten, die dynamische Malware-Payloads ausliefern. Sobald eine entsprechende Infrastruktur aufgebaut ist, können die Attacken so gestaltet werden, dass sie aktuelle Nachrichten oder den neuesten Promi-Klatsch als Köder nutzen, um potenzielle Opfer anzulocken, noch bevor sie durch Sicherheitstechnologien entdeckt und blockiert werden.
Jeder Angriff setzt unterschiedliche
vertrauenswürdige Websites und Köder ein, um
Benutzer anzulocken. Manche Attacken verzichten auf Relay-Server und leiten Benutzer, die in die Falle gegangen sind, direkt an Exploit-Server weiter, die wiederum Schwachstellen in Systemen oder Anwendungen erkennen können. Sobald eine Schwachstelle erkannt wurde, wird eine passende Malware auf dem Rechner des Opfers platziert. In einigen Fällen, wie bei den sogenannten iFrame-Injections, wandern Benutzer ganz unwissentlich ins Malnet. Die Relay- und Exploit-Server agieren im Hintergrund und installieren unbemerkt Malware. In anderen Fällen muss der Benutzer einen Link anklicken, um Malware herunterzuladen.
Die „Negative-Day“-Abwehr:
Unabhängig von der Art des Angriffs
Die Blue Coat Security Labs erwarten, dass etwa zwei Drittel aller neuen Attacken im Jahr
2012 aus bereits bekannten Malnets stammen werden. Den besten Schutz dagegen bietet die
Abwehrstrategie „Negative-Day“, die diese Attacken auf proaktive Weise blockiert, noch bevor
sie gestartet werden.
Die feste Verwurzelung und geografische Vielfalt der Malnets macht es nahezu unmöglich, diese auszuschalten. Solange die entsprechende
Infrastruktur vorhanden ist, werden Cyberkriminelle weiterhin Angriffe starten, die sich so schnell verändern, dass traditionelle Sicherheitssysteme nicht mithalten können.
Gerade die Konstanz einer dauerhaft existenten Infrastruktur eröffnet jedoch auch neue
Möglichkeiten, der Cyberkriminalität einen Schritt voraus zu sein. Die „Negative-Day“-Abwehr stellt einen entscheidenden Fortschritt in einer Branche dar, die bislang stets dazu gezwungen war,
abzuwarten, bis ein Angriff gestartet wurde, um eine entsprechende Abwehrstrategie zu entwickeln.
Im Mittelpunkt der „Negative-Day“-Abwehr steht das grundlegende Verständnis von Malnets. Die Blue Coat Security Labs analysieren die Beziehungen zwischen den einzelnen Malnet-Komponenten, um neue Subnetze, IP-Adressen und Hostnamen zu identifizieren und zu blockieren, sobald diese im
Internet auftauchen. Wenn eine Malnet-Infrastruktur identifiziert wurde, kann diese an ihrem Ursprung blockiert werden, noch bevor Attacken ausgeführt werden.
Die Negative-Day-Abwehr ist eine einzigartige und robuste Sicherheitsstrategie, bei der es keine Rolle mehr spielt, ob es sich beim Schadcode um einen Keylogger, einen Wurm, einen Trojaner oder eine andere Art von Malware handelt. Die traditionell zur Vernebelung ihrer Attacken angewendeten Tricks der Cyberkriminellen werden irrelevant. Die Art und der Inhalt eines Angriffs sind unbedeutend. Zero-Day-Exploits können dem Netzwerk nichts anhaben. Die Verschlüsselung des Schadcodes ist zwecklos.
Die Abbildung 2 zeigt die „Negative-Day“-Abwehr im Einsatz. Der sogenannte „Urchin“-Angriff wurde im Oktober 2011 gestartet. Der kollaborative Sicherheitsdienst Blue Coat WebPulse hatte
Komponenten der Attacke bereits im Juni identifiziert und blockiert ().
Der „Urchin“-Angriff
Kenne deinen Feind: Die fünf größten Malnets
Die Blue Coat Security Labs beobachten derzeit über 500 verschiedene Malnets und Subnetze.
Mit dem Ausbau der böswilligen Aktivitäten der Malnets und der Vorbereitung neuer Attacken
geht die Bildung neuer Subnetze oder Domains einher - und neue Exploit-Server werden
hinzugefügt. Nicht alle 500 Malnets sind an einem bestimmten Tag aktiv, und die tatsächliche
Größe eines Netzwerks kann von Tag zu Tag unterschiedlich sein.
Die Top 5 der Malnets
Abbildung 3
Quelle: Blue Coat Security Labs
Abbildung 3 zeigt die von den Blue Coat Security Labs erstellte Rangfolge der fünf derzeit größten Malnets und beschreibt jeweils die Schwerpunkte ihrer böswilligen Aktivitäten.
Cinbric und Naargo tauchten im Jahr 2011 immer wieder auf der Liste der fünf größten Malware-Netzwerke auf. Beide Netze sind im Durchschnitt kleiner als Malnets wie Glomyn oder Shnakule. Über die letzten Monate verzeichneten beide jedoch bedeutende temporäre Größenanstiege, die auf die Erweiterung der Infrastruktur für neue Angriffe zurückzuführen sind. Im Falle von Cinbric betrug die maximale Größe des Malnets sogar mehr als das Sechsfache seiner durchschnittlichen Größe, was außerdem zeigt, mit welcher Leichtigkeit neue Komponenten zu einer bestehenden Malnet-Infrastruktur hinzugefügt werden können.
Bei Glomyn handelt es sich um ein Spam-Ökosystem, das sich seit 10 Monaten in Folge im Dauerbetrieb befindet. In den letzten Monaten des vergangenen Jahres war es zeitweise das größte Malnet im Internet. Anfang Oktober gab es jedoch einen
Aktivitätseinbruch, und die Anzahl der Hostnamen sank von 4.800 auf unter 100. Dieser dramatische Rückgang deutet auf den Übergang zu einer neuen Infrastruktur hin.
Cavka startete im September und ist in erster Linie auf betrügerische Aktivitäten, sogenannten „Scam“, ausgerichtet. Wie auch Glomyn, war es kurz nach seinem Start sehr aktiv, zu Spitzenzeiten mit 660 Hostnamen an einem einzigen Tag. Im November war ein bedeutender Rückgang seiner Aktivitäten zu verzeichnen.
von Ishabor und dessen spätere Aufnahme in das Shnakule-Malnet deuten darauf hin, dass es sich bei dem Netzwerk um eine neue Infrastruktur
handelte, die von den Betreibern von Shnakule erstellt und getestet wurde, bevor sie letztendlich in das übergeordnete Netzwerk integriert wurde.
Shnakule ist nicht nur das größte Malnet, es ist auch
der Ausgangspunkt einiger der aggressivsten Attacken und verzweigt seine Aktivitäten durch immer neue Angriffsvektoren. Im Juli erweiterte Shnakule seine traditionellen Aktivitätsgebiete um Malvertising. Im September startete es eine Attacke mit dem Ziel, die Anmeldeinformationen vielversprechender, hochrangiger Benutzer zu beziehen.
Die hohe Reichweite des Shnakule-Malnets
Abbildung 4
Quelle: Blue Coat Security Labs
Abbildung 4 zeigt eine grafische Darstellung der vernetzten Komponenten, aus denen das Shnakule-Malnet besteht. Durch die Identifizierung und grafische Darstellung der Komponenten eines einzelnen Malnets können die Blue Coat Security Labs die verschiedenen Typen der Angriffe identifizieren, die das Malnet verübt. In der vorstehenden Abbildung sind sowohl Spam, Pornografie und SEP als auch Malvertising dargestellt.
Hierbei gilt es, hervorzuheben, dass die einzelnen Komponenten eines Malnets nicht immer bösartig sind. In der Grafik werden die seriösen Websites durch grüne Punkte dargestellt. Die roten Punkte zeigen die bösartigen Komponenten des Malnets, wie z. B. Exploit-Server oder Malware-Payloads. Gelbe Punkte stellen Websites dar, die nicht eindeutig als gutartig oder bösartig klassifiziert werden können, wie es beispielsweise bei Relay-Servern der Fall ist, die im technischen Sinne nicht bösartig sind, oder bei seriösen Websites, die infiltriert wurden und damit
unwissentlich zu einem Glied in der Angriffskette wurden.
Ebenso wie rechtschaffene Unternehmen, können auch Malnets auf multinationaler Ebene agieren. Flexibilität ist einer der grundlegenden Wesenszüge eines Malnets, und sie ermöglicht es den Betreibern, sich von einem Land ins nächste, oder von einem Land in viele andere Länder zu bewegen. Abbildung 5 zeigt die geografischen Standorte, an denen jedes der fünf größten Malnets Ende 2011 präsent war.
Die globale Reichweite von Malnets
Abbildung 5
Quelle: Blue Coat Security Labs
Die geografische Verteilung der Malnets deutet darauf hin, dass es eine Zusammenarbeit zwischen verschiedenen cyberkriminellen Organisationen gibt, und zeigt die große Reichweite, mit der Angriffe über viele Ländergrenzen hinweg und mit großer Schnelligkeit verübt werden können. Erschwerend kommt hinzu, dass ein einzelnes Land kaum dazu in der Lage ist, solch eine verteilte Struktur im Alleingang abzuschalten.
Die beliebtesten Sammelplätze im Internet finden
Der Erfolg von Malware-Angriffen steht und fällt mit der Suche nach einem Ort, an dem
eine Vielzahl von Benutzern anzutreffen ist. Betrachtet man die am häufigsten abgefragten
Inhaltskategorien über einen längeren Zeitraum, kann man daran die Änderungen des
kollektiven Internetverhaltens nachvollziehen und erahnen, wie dies von Cyberkriminellen
ausgenutzt werden könnte.
Im Jahr 2011 waren Suchmaschinen/-portale erneut die am häufigsten angefragte Inhaltskategorie. Die Seitenaufrufe dieser Kategorie sind sogar um zwei Prozentpunkte gestiegen, womit deutlich wird, dass Benutzer Informationen aus dem Internet weiterhin in erster Linie über Suchmaschinen abfragen.
Soziale Netzwerke sind von Platz vier der beliebtesten Inhaltskategorien im Jahr 2010 auf Platz drei im Jahr 2011 aufgestiegen und stellen einen Anteil von 10,5 % aller Anfragen. Der Aufstieg der sozialen Netzwerke
als häufig aufgerufene Inhaltskategorie bestätigt ihre zunehmende Akzeptanz in unternehmerischen Umfeldern. Einige Unternehmen nutzen die Vorteile von Social Media aktiv, um ihre Markenpräsenz zu erweitern, Mitarbeiter zu rekrutieren oder Plattformen zum Austausch mit Partnern oder Kunden zu
schaffen. In anderen Fällen lassen Unternehmen die Verwendung von sozialen Netzwerken zu, da sie nun über neue Möglichkeiten verfügen, das Risiko von Datenverlusten zu verringern oder die Produktivität ihrer Mitarbeiter sicherzustellen.
Die Top 5 der am häufigsten aufgerufenen Inhaltskategorien im Internet
Soziale Netzwerke: Ein Internet innerhalb des Internets
Es lohnt sich, etwas näher auf soziale Netzwerke als zunehmend aufgerufene Inhaltskategorie einzugehen, denn es handelt sich dabei wahrlich um eine ganz eigene Klasse unter den Webinhalten. Im Jahr 2011 haben sich Unternehmen weiterhin zunehmend mit sozialen Netzwerken beschäftigt. Dieser Wandel von einem geschäftlichen Störfaktor zu einer
geschäftlichen Notwendigkeit stellt Unternehmen vor die Aufgabe, für ihre Benutzer einen Zugang schaffen und gleichzeitig ihre Vermögenswerte besser
schützen zu müssen.
Der Trend hin zur Nutzung sozialer Netzwerke ist eigentlich lediglich die Fortsetzung eines Trends, dessen Ursprung auf der Seite der privater Internetnutzer liegt. Seit 2009 haben soziale Netzwerke webbasierte E-Mail-Dienste als Kommunikationsmethode zunehmend in den Hintergrund gedrängt. In den vergangenen beiden Jahren lagen E-Mail-Dienste auf Platz 17 der am häufigsten aufgerufenen Inhaltskategorien und stellten fast 1,5 % aller Anfragen im Jahr 2010 und nur knapp über 1 % im Jahr 2011. Im Jahr 2009 lagen
E-Mail-Dienste noch auf Platz 9 der am häufigsten angefragten Inhaltskategorien.
Derzeit befinden sich soziale Netzwerke in einer neuen Phase, in der eine individuelle Seite für viele Benutzer eine eigenständige Webumgebung darstellt – quasi ein Internet innerhalb des Internets.
Mit ihrer Weiterentwicklung zu eigenständigen Webumgebungen bieten diese Seiten auch eine zunehmende Vielfalt an Inhalten, die nicht länger einfach in die Kategorie der sozialen Netzwerke eingeordnet werden kann. Betrachtet man die Inhaltstypen innerhalb der sozialen Netzwerke, so kann man verschiedene Verhaltensmuster bei den Benutzern unterscheiden. Im Jahr 2011 hat der kollaborative Sicherheitsdienst Blue Coat WebPulse die Inhalte von sozialen Netzwerken in 80 weitere Unterkategorien unterteilt. Es stellte sich heraus, das 95 % aller Inhaltstypen des Internets auch innerhalb von sozialen Netzwerken zu finden sind. In der nachstehenden Tabelle werden die meistgefragten Unterkategorien des Jahres genauer erläutert.
Die Top 5 der am häufigsten angefragten Inhalte innerhalb sozialer Netzwerke
Bemerkenswert ist an diesen Daten zweierlei: In erster Linie unterscheidet sich das Verhalten der Benutzer innerhalb von sozialen Netzwerken stark von den Verhaltensmustern im Internet. Keine der fünf am häufigsten angefragten Kategorien innerhalb der sozialen Netzwerke stimmt mit den am häufigsten angefragten Kategorien des gesamten Internets überein.
Die Aktivitäten innerhalb von sozialen Netzwerken konzentrieren sich hauptsächlich auf Spiele und gesellschaftliche bzw. Alltagsthemen. Diese beiden Kategorien stellten im vergangenen Jahr einen Anteil von über 60 Prozent aller Anfragen und verzeichneten einen bedeutenden Anstieg im Vergleich zu 2010, als sie lediglich einen Anteil von knapp über 14 Prozent stellten. Anders betrachtet: Nahezu jede vierte neue Anfrage innerhalb von sozialen Netzwerken zählte zur Kategorie der gesellschaftlichen bzw Alltagsthemen, wobei es im Jahr 2010 noch jede 16. Anfrage war.
Zu den anderen am häufigsten angefragten Kategorien der Top 5 gehören persönliche Seiten/ Blogs, Pornografie und Unterhaltung. Die enorme Vielfalt dieser Inhalte macht es schlicht unmöglich, sie alle in die Kategorie der sozialen Netzwerke einzuordnen. Allein innerhalb der fünf meistgefragten Kategorien ist eine Mischung aus verschiedenen Inhalten zu finden, die teils am Arbeitsplatz
akzeptabel wären, und teils eine Überprüfung durch die Personalabteilung nach sich ziehen, große Teile der Bandbreite in Anspruch nehmen oder die Produktivität der Mitarbeiter beeinträchtigen könnten.
Daher ist die Erkenntnis unerlässlich, dass soziale Netzwerke Portale darstellen, die effektiv eine Vielzahl verschiedener Inhalte beherbergen. Eine erhöhte Granularität in der Betrachtungsweise sozialer Netzwerke ist gerade für diejenigen Unternehmen wichtig, die Policies zum Schutz vor Datenverlusten, niedrigerer Mitarbeiterproduktivität und webbasierten Bedrohungen festlegen möchten.
Benutzer ködern:
Den Weg des geringsten Widerstands gehen
Die meisten Malnets sind auf finanzielle Gewinne aus, die letztlich vom Erfolg der verübten
Angriffe bestimmt werden. Um die Erfolgschancen eines Angriffs zu erhöhen, wählen
Cyberkriminelle oftmals Vektoren zum Ziel, die leicht zu missbrauchen sind oder von einer
Vielzahl unterschiedlicher Benutzer verwendet werden.
Die häufigsten Malnet-Einstiegspunkte
Abbildung 6 – Den Weg des geringsten Widerstands gehen
Malnets missbrauchen Suchmaschinen, E-Mail-Dienste und soziale Netzwerke, um Benutzer anzulocken Quelle: Blue Coat Security Labs
Betrachtet man die Einstiegspunkte in Malnets, wird ansatzweise deutlich, wie Cyberkriminelle bestimmte Benutzer sowie auch Verhaltensmuster oder
Aktivitäten ins Visier nehmen, die Benutzer einem erhöhten Risiko aussetzen können.
Schaubild 6 zeigt die häufigsten Einstiegspunkte in Malnets im Jahr 2011.
Die Daten zeigen deutlich, dass Cyberkriminelle zunehmend den Weg des geringsten Widerstands gehen, um Einstiegspunkte in Malnets zu
kreieren. Die zwei häufigsten Einstiegspunkte sind Suchmaschinen/-portale und E-Mail-Dienste. Um sie zu missbrauchen, brauchen Cyberkriminelle einfach nur diese Einstiegspunkte verwenden, denn sie sind dazu gedacht, von allen verwendet zu werden. So müssen Cyberkriminelle zum Missbrauch eines E-Mail-Dienstes einfach eine E-Mail mit einem bösartigen Link verschicken. Die Eintrittsbarriere zur Verwendung von E-Mail-Diensten ist sogar so niedrig, dass Cyberkriminelle zunehmend zu dieser Methode zurückkehren. Denn obwohl E-Mail-Dienste für das gesamte Jahr 2011 auf Platz 17 der am häufigsten aufgerufenen Inhalte liegen, sind sie als Einstiegspunkt im letzten Halbjahr des vergangenen Jahres um nahezu 5 Prozentpunkte aufgestiegen. Was bei Unternehmen als Suchmaschinenoptimierung bekannt ist, gilt als Suchmaschinenvergiftung
(SEP, Search Engine Poisoning), wenn es auf die gleiche Weise von Cyberkriminellen eingesetzt wird. Um Suchmaschinen zu manipulieren, müssen Cyberkriminelle einfach relevante Inhalte liefern, um sicherzustellen, dass ihre Websites einen möglichst hohen Rang auf der Seite der Suchergebnisse einnehmen. Sie können dieselben Algorithmen, die Suchmaschinen dazu verwenden, sinnvolle Ergebnisse zu liefern, dazu missbrauchen, um sicherzustellen, dass ihre eigenen bösartigen Ergebnisse ebenfalls angezeigt werden.
Während soziale Netzwerke als Einstiegspunkte aufgestiegen sind, ist die Pornografie um mehr als zwei Prozentpunkte zurückgegangen und stellt nun einen Anteil von nur 4,4 Prozent aller Eintritte in Malnets. Pornografie ist ein traditionell beliebtes Ziel für Malware, ihre Beliebtheit als aufgerufene Inhaltskategorie ist jedoch gesunken. Im Jahr 2011 lag sie auf Platz 20 der am häufigsten angeforderten Inhaltskategorien, wohingegen sie im Jahr 2009 noch auf Platz 5 lag. Mit der steigenden Anzahl von Benutzern, die auf immer vielfältigere Inhalte zugreifen, entwickelt sich die Nutzung des Internets weiter. Dieser Wandel verringert den Wert der Pornografie als Einstiegspunkt in Malware-Netzwerke.
Malnet-Köder: Der passende Anlass
Mit einer bewährten Infrastruktur, gerüstet und allzeit bereit für einen Angriff, üben sich
Malnet-Betreiber in Geduld, während sie auf einen passenden Anlass warten, zu dem sie nichtsahnende
Nutzer in die Malware-Falle locken können. Zu diesen Anlässen gehören beispielsweise
geplante regionale oder internationale Ereignisse wie Sportturniere, Wahlen oder Feiertage,
aktuelle Nachrichten oder Promi-Klatsch, die den Benutzer dazu veranlassen könnten, Videos
oder Bilder anzusehen oder auf Links zu klicken. Durch die Aufrechterhaltung der
Malnet-Infrastruktur über die Dauer eines Angriffs hinaus sind Cyberkriminelle dazu in der Lage,
schnell neue themenbezogene Angriffe zu starten, und damit neugierige Benutzer zu ködern.
Interessanterweise zielen Angriffe, die Suchmaschinen als primären Einstiegspunkt verwenden, üblicherweise nicht auf solche Ereignisse ab. Sie verwenden vielmehr eine Vielzahl verschiedener Suchbegriffe, um ein möglichst breit gefächertes Netz auszuwerfen. Potenzielle Opfer, die Nachrichten zu großen Ereignisse suchen, sind oftmals durch die enorme Anzahl seriöser Websites mit wirklichen Inhalten vor bösartigen Suchergebnissen geschützt. Diese berichtenswerten Ereignisse werden jedoch häufig für Angriffe per E-Mail oder über soziale Netzwerke verwendet. Denn in solchen Umgebungen tragen aktuelle Nachrichtenthemen sogar dazu bei, dass sich der Angriff in einem vollen E-Mail-Posteingang oder auf einer Pinnwand voller Einträge deutlich von den anderen Nachrichten abhebt.
Im Jahr 2011 dienten die folgenden Themen als Köder für Angriffe:
13. März Erdbeben der Stärke 8.9 und Tsunami in Japan
29. April Königliche Hochzeit von Prinz William und Catherine Middleton
2. Mai Tod von Osama bin Laden
23. Juli Tod von Amy Winehouse
5. Oktober Tod von Steve Jobs
Die erprobte und bewährte Taktik, Themen wie Todesfälle, Katastrophen und Unglücksfälle zu wählen, wird auch im Jahr 2012 mit weiteren derartigen Angriffen zum Einsatz kommen. Zusätzlich zu unerwarteten Naturkatastrophen, Änderungen in weltweit bedeutenden Führungsämtern und Promi-Klatsch werden wahrscheinlich folgende Themen missbraucht werden:
Wahlen Präsidentschaftswahlen in Bolivien, Frankreich, Griechenland, Indien, Mexiko, den Vereinigten Staaten und Venezuela
Sportereignisse Wimbledon, die French Open, das NCAA Tournament und regionale Sportereignisse wie die Copa Libertadores
Technologieneuheiten iPad3, iPhone5, Windows 8 und die Wii U
2. - 5. Juni Diamantenes Thronjubiläum von Königin Elizabeth II 27. Juli - 12. August Olympische Sommerspiele in London
Malware-Payloads: In voller Sichtweite gut verborgen
Die letzte Komponente einer Malnet-Infrastruktur ist die Payload. Malnet-Betreiber ziehen es
meist vor, Malware und andere Malnet-Komponenten auf infiltrierten Websites zu hosten, um
ihre Erkennung zu erschweren.
In der nachstehenden Tabelle sind die häufigsten Speicherkategorien für bösartige Inhalte aufgeführt.
Wie es schon bei den Einstiegspunkten in Malnets der Fall war, so gehen auch hier Cyberkriminelle den Weg des geringsten Widerstands. Onlinespeicherdienste und Dienste, die Softwaredownloads anbieten, hosten als Teil Ihres Geschäftsmodells typischerweise Dateien; eine Malware-Payload wäre hier einfach eine weitere von vielen Dateien. Bei Softwaredownloads kommt noch der Vorteil hinzu, dass Benutzer ohnehin darauf aus sind, Software zu installieren.
Bei vier der fünf gefährlichsten Speicherorte im Internet (Onlinespeicherdienste, Anbieter freier/ gemischter Inhalte, Anbieter von Softwaredownloads und Content-Server) wenden Unternehmen
üblicherweise keine Sicherheitsrichtlinien an, weil diese Inhalte als sicherer bzw. typischeingeschätzt werden. Dadurch entsteht ein leichter Einstiegspfad für Malware, die auf diese Kategorien abzielt.
Die leichte Nutzbarkeit der Onlinespeicherdienste ist einer der Gründe dafür, dass sie in den letzten drei Jahren die führende Kategorie für das Hosting von Malware darstellten. Im Jahr 2011 wurden 74 Prozent aller neuen Bewertungen als bösartig eingestuft. Obwohl dies im Vergleich zu 90 Prozent im Jahr 2010 einen Rückgang darstellt, bleibt die Kategorie an der Spitze für bösartige Inhalte.
Die zweithäufigste Hostkategorie für bösartige Inhalte, nämlich Anbieter freier/gemischter Inhalte, ist durch ihren hohen Beliebtheitsgrad auf Platz 7 der am häufigsten angefragten Inhaltskategorien am gefährlichsten. Sie stellt sowohl einen beliebten Speicherort für Malware als auch eine vielbesuchte Kategorie dar, wodurch die Erfolgsrate für Malware erhöht wird. Dies sollten Unternehmen zum Anlass nehmen, Richtlinien für ausführbare Dateien dieser Kategorie festzulegen, um Benutzer vor diesem erhöhten Risiko zu schützen.
Dynamische DNS-Hosts liegen auf Platz 3 der gefährlichsten Kategorien und wurden in vielen bekannten, gezielten Angriffen zum Ausfiltern ausgespähter Daten verwendet. Wenn Unternehmen diese Inhaltskategorie nicht blockieren möchten, sollten sie regelmäßig ihre Protokolle prüfen, um festzustellen, ob ein überdurchschnittlich hoher Austausch von Datenverkehr mit diesen Websites besteht. Das würde auf potenzielle Botnet-Aktivitäten und eine fortschreitende Malware-Infizierung
hindeuten.
Inhaltsserver belegen Platz 5, sowohl bei den am häufgsten angefragten Inhaltskategorien als auch bei den gefährlichsten Inhaltskategorien. Das Hosting von Inhalten näher am Benutzer ist zu einer beliebten Methode geworden und hat eine hochwertigere Benutzererfahrung zum Ziel. Viele rechtmäßige Websites verwenden heute Inhaltsserver. Obwohl generell erwartet wird, dass sie durch Eigenkontrolle offensichtliche Malware selbst erkennen und
beseitigen, konnten die Blue Coat Security Labs in einigen Fällen die Verteilung von Malware von diesen Websites beobachten.
Im zweiten Halbjahr 2011 beobachteten die Blue Coat Security Labs einen starken Anstieg im Bereich Malvertising, als große Werbenetze überlistet
wurden und daraufhin bösartige Anzeigen in Affiliate- Netzwerken verbreiteten. Im Jahr 2011 wurden in der Internetwerbung 50 Prozent mehr bösartige Inhalte verzeichnet als im Jahr 2010. Während Internetwerbung auf Platz 9 der gefährlichsten Webinhalte liegt, ist es sie die am vierthäufigsten aufgerufene Inhaltskategorie und auf fast jeder Website präsent. Etwa die Hälfte der
Malvertising-Angriffe nutzt eine Site mit gefaktem Antivirus-Scanner, die andere Hälfte verwendet unbemerkte Drive-by-Downloads mit einer Vielzahl von Exploits.
Obgleich Suchmaschinen/-portale und soziale Netzwerke einen hohen Rang in Bezug auf die am häufigsten angeforderten Inhalte einnehmen, werden die tatsächlichen Malware-Payloads eher selten in diesen Kategorien gehostet. Vielmehr dienen diese Websites mithilfe vertrauenserweckender Ködern als Schleuse zu den Malnets. Suchmaschinen/-portale rangieren auf der Liste der gefährlichsten Inhalte auf Platz 11, wobei etwa 3 Prozent aller neuen Ratings als bösartig eingeschätzt wurden. Ähnlich verhält es sich auch mit den sozialen Netzwerken, die zwar auf Platz 3 der am häufigsten angefragten Inhalte liegen, aber in der Liste der gefährlichsten Kategorien nicht einmal unter den Top 15 rangieren.
Eine weitere Bestätigung der Erkenntnisse über sinkende Bedeutung von Pornographie als Werkzeug für Cyberkriminelle ist ihre aktuelle Platzierung als Nummer 33 auf der Liste der gefährlichsten Inhalte.
Die häufigsten Angriffsvektoren Die Malnet-Taktik:
SEP - Die Vergiftung des Brunnens
Im Jahr 2011 konnte SEP die Führungsposition als häufigster Angriffsvektor
für webbasierte Bedrohungen beibehalten. Da Suchmaschinen/-portale
auch auf Platz 1 der am häufigsten angeforderten Inhaltskategorien liegen,
ist es nicht verwunderlich, dass diese Kategorie ebenfalls der häufigste
Einstiegspunkt in Malnets ist.
Mithilfe mittlerweile sehr gut ausgebauter Infrastrukturen führen Malnet-Betreiber rund um die Uhr SEP-Angriffe aus. Millionen von Menschen suchen jeden Tag nach Informationen. Ein
erfolgreicher Angriff muss nur einen winzigen Anteil dieses Datenverkehrs für seine Zwecke umleiten. Bei SEP-Angriffen passen Malnet-Betreiber die Themeninhalte der Köder, die sie in die Suchmaschinen einspeisen, fortlaufend an, konzentrieren sich dabei aber nicht unbedingt auf aktuelle Nachrichten oder Ereignisse. Vielmehr zielen sie darauf ab, möglichst vielfältige Inhalte zu streuen und dadurch ein breit gefächertes Netz auszuwerfen (und beizubehalten). Mögliche Opfer, die Nachrichten zu aktuellen Ereignissen suchen, sind oftmals durch die enorme Anzahl seriöser Websites mit wirklichen Inhalten vor SEP-Links geschützt.
Cyber Monday, der größte Online-Shopping-Tag für den Einzelhandel in den USA, bietet ein aktuelles Beispiel dafür, wie Cyberkriminelle SEP einsetzen. Im Laufe dieses einen Tages wurden Benutzer auf
der Suche nach Begriffen wie „Cyber Monday“, „Cyber Monday Angebote“ und „Beste Cyber Monday Angebote 2011“ in Malnets geschleust ().
Wie bereits in diesem Bericht erwähnt, nimmt die Nutzung von Suchmaschinen und -portalen jedes Jahr zu. Diese dominante Verwendung macht sie zusammen mit dem Vertrauen, das die Benutzer automatisch in Suchmaschinenergebnisse haben, zu einem erheblichen und andauernden Risiko für Unternehmen.
Auswirkungen auf Unternehmen Die Benutzer dahingehend zu schulen, dass sie „Who Is“-Suchen durchführen und nach bösartigen URLs Ausschau halten, hilft zu erkennen, ob eine Website erst vor kurzem registriert wurde. Die Aufklärung der Benutzer kann zwar die Auswirkungen von SEP als Angriffsmethode abmildern, ist aber keine skalierbare Lösung. Unternehmen müssen Aufklärung mit einer Web-Security-Lösung kombinieren, die Links in Echtzeit analysieren und feststellen kann, ob diese Benutzer in ein Malnet schleusen.
Soziale Netzwerke: Ein Paralleluniversum
Wie bereits erwähnt, sind soziale Netzwerke eine der am häufigsten
angeforderten Inhaltskategorien im Internet. Daher überrascht es nicht, dass sie
auch einer der bedeutendsten Eintrittspunkte in Malnets sind. Die Nutzer haben
bedingungsloses Vertrauen in soziale Netzwerke, wo sie sich Freundeskreise aufbauen. Daher
eignen sich die Seiten, Postings und Links in sozialen Netzwerken ideal, um Köder auszulegen.
SEP ist in der Regel nicht auf neueste Medienereignisse angewiesen, um die
Aufmerksamkeit der Benutzer auf sich zu ziehen. Bei sozialen Netzwerken allerdings ist dies der Fall. Facebook-Angriffe mit gefälschten Fotos stehen stellvertretend für Angriffe, die das Interesse der Menschen an den neuesten Schlagzeilen für sich nutzen (). Derartige Angriffe sind in sozialen Netzwerken äußerst erfolgreich. Sie nutzen nicht nur das Interesse an den neuesten Nachrichtenthemen, sondern auch den Voyeurismus, der dem Internet
innewohnt. Die verführerische Einladung, anderen dabei zuzusehen, wie sie sich blamieren, hat hohe Erfolgsraten, da sie äußerst wirkungsvoll eine gängige Verhaltensweise ausnutzt.
durch gestohlene Berechtigungsdaten. Dies gilt insbesondere für Spiele.
Während viele Unternehmen aus
Produktivitätsgründen versuchen, ihre Mitarbeiter davon abzuhalten, am Arbeitsplatz in sozialen Netzwerken zu spielen, ist es weiterhin
empfehlenswert, die Benutzer auch über mögliche Risiken aufzuklären. Es ist nur noch eine Frage der Zeit, bis Cyber-Kriminelle bösartige Spiele einführen oder bereits vorhandene, beliebte Spiele infizieren, um ein Benutzerkonto eines sozialen Netzwerks anzugreifen und sich Zugang
zum Unternehmensnetzwerk zu verschaffen. Die Aufklärung der Nutzer ist eine Präventivmaßnahme zum Schutz des Unternehmens.
Auswirkungen auf Unternehmen IT-Abteilungen sollten in der Lage sein, Inhalte sozialer Netzwerke zu filtern sowie granulare Nutzungsrichtlinien für soziale Netzwerke durchzusetzen. Mit diesen Kontrollmechanismen können Unternehmen den Mitarbeitern den Zugriff auf soziale Netzwerke erlauben und gleichzeitig mögliche Risiken entschärfen.
Malvertising: Alles aus einer Hand für Cyber-Verbrechen
Internetwerbung entwickelt sich für Cyber-Kriminelle zu einem
entscheidenden Angriffsvektor. Wie bereits erwähnt, stellt Internetwerbung
acht Prozent aller Aufrufe dar. Drei Prozent aller Klassifizierungen neuer Internetwerbung
waren bösartig. Beim Blick auf das hohe Aufkommen und die weite Verbreitung von
Internetwerbung erkennt man, dass sich Malvertising schnell zu einem der heimtückischeren
Angriffswege entwickeln wird.
Malvertising nutzt die hierarchische Natur von Internetwerbungsmodellen, um bösartige Anzeigen in rechtmäßige Werbenetze einzufügen. Vor ihrem Angriff sind Malnets bereits mehrere Monate völlig seriös in Betrieb, um das Vertrauen der großen
Werbenetze zu gewinnen. iFrame-Injections in bösartigen Anzeigen verursachen Drive-by-Downloads, die ohne Wissen der Benutzer bösartige Software auf deren Computern installiert.
Ein Angriff im Juni 2011 () zeigt die gängigen Taktiken von Malnet-Betreibern bei Malvertising-Angriffen. In der ersten Angriffsphase wurden neue Werbeserver mit verschiedenen Registranten als unabhängige Entitäten eingerichtet. Über einen Monat lang wurden seriöse Anzeigen geschaltet, um sich einen guten Ruf aufzubauen. Am Tag des Angriffs produzierten dann eben diese Werbeserver bösartige Anzeigen, die die Benutzer zur Malware weiterleiteten. Die ausliefernden Server änderten sich häufig, um der Erkennung durch Antivirensoftware zu entgehen. Ein Beispiel für die Raffinesse, mit der dieser spezielle Angriff durchgeführt wurde, ist die Tatsache, dass keiner der vorgeblichen Ad-Server namentlich auf den Seiten erscheint, die seine Anzeigen veröffentlichen – ein Hinweis darauf, dass die ihnen zum Opfer gefallenen, seriösen Websites diese Werbeserver nicht direkt nutzten, sondern die bösartigen Anzeigen über ein Werbenetz zugestellt wurden.
Bei diesem Angriff, der sich über mehrere Wochen erstreckte, sperrte der kollaborative Sicherheitsdienst Blue Coat WebPulse über 15.000 Benutzeranfragen
nach dieser Malware. Am ersten Angriffstag erkannten nur zwei von 43 Antivirenengines die Malware als bösartig oder verdächtig.
Dies zeigt, dass webbasierte Malware sich viel zu schnell verändert, als dass herkömmliche einschichtige Verteidigungsmechanismen mit ihr Schritt halten könnten. Die erfolgreichste Verteidigung gegen diese Art von Angriffen ist eine Lösung wie WebPulse, die Beziehungen zwischen bekannten bösartigen Netzwerken und neuen Servern in Echtzeit erkennt und Benutzeranfragen nach solchen Websites sperren kann.
Auswirkungen auf Unternehmen Mit einer einzelnen Antivirenlösung auf dem Desktop bleibt das
Unternehmen extrem angreifbar für neue Arten von Malware. Mehrere Schichten von Antivirenlösungen auf dem Desktop und am Gateway bieten
gründlicheren Schutz vor bösartigen, ausführbaren Dateien. Der Einsatz von Produkten verschiedener Antivirenanbieter an den jeweiligen Gefahrenstellen erhöht die Wahrscheinlichkeit, dass ein vom Produkt X übersehener Angriff vom Produkt Y gesperrt wird.
Spam: Ein wiederauflebender Angriffsvektor
2011 beobachteten die Blue Coat Security Labs ein Wiederaufleben von
Spam-Nachrichten als Angriffsweg. Diese erneute Zunahme von Spam, der E-Mails
als Zustellmechanismus nutzt, korreliert mit dem Anstieg von E-Mails als
Eintrittspunkt in Malnets.
Das Glomyn-Malnet, das es häufig mit Shnakule als größtem Malnet im Internet aufnahm, konzentrierte sich ausschließlich auf Spam. Diese große
Infrastruktur verzeichnete nach ihrem erstmaligen Start zu Spitzenzeiten 4.800 Hostnamen.
Der klassische Spam-Angriff versendet eine E-Mail, die den Empfänger zum Klicken auf einen Link verleitet, um Kontodaten zu aktualisieren, eine Nachricht zu empfangen oder Angaben zu bestätigen. Je nach Variante kann es auch einen Anhang geben, der z. B. den Anschein einer Rechnung hat.
Im Oktober beobachteten die Blue Coat Security Labs einen Angriff, der den amerikanischen Postdienst als Köder verwendete (). Die E-Mails bezogen sich auf eine Postsendung, und die Links in der E-Mail schienen eine Zustellbestätigung zu sein und zur Rechnung zu leiten:
Wie man sieht, erinnern die Links ein wenig an klassische Phishing-Links. Bei flüchtigem Hinsehen erscheinen die Subdomäne und die Pfadangabe völlig seriös. Auch wenn heutzutage die meisten Benutzer ganz genau wissen, wie gefährlich es ist, auf einen unbekannten Link zu klicken, wird es immer noch recht häufig gemacht. Bei besagtem Angriff klickten mehr als 100 Benutzer auf den Link und versuchten, die Malware herunterzuladen.
Der .exe-Datei für diesen Angriff war gut verschleiert, so dass nur vier von 43 Antiviren-Engines ihn als bösartig erkannten.
Sicherheitsdienst Blue Coat WebPulse, alle .exe-Dateien dynamisch als verdächtig zu kennzeichnen und zu sperren. WebPulse betrachtet eine Reihe verschiedener Merkmale, um zu entscheiden, ob es
sich um etwas Bösartiges handelt. Der Dienst bietet eine zusätzliche Schutzschicht, der Bedrohungen abfängt, die durch Antiviren-Engines übersehen werden.
Botnets: Die Gefahr im eigenen Netzwerk
Die meisten im Jahr 2011 aktiven Botnets gibt es tatsächlich bereits seit mehr als
einem Jahr. Zwar wurden in den vergangenen Jahren einige Botnets stillgelegt, doch die
infizierten Systeme existieren noch immer und versuchen, mit ihren Schaltzentralen
(C&C-Servern) zu kommunizieren. In vielen Fällen scheinen die Endbenutzer mit mehreren
botnetproduzierenden Trojanern infiziert zu sein, wobei jeder Exploit je nach Funktionalität
mehrmals seine ausgespähten Daten an den C&C-Server sendet. Durch diese gemeinsame
symbiotische Nutzung des Botnets lässt sich Malware einfacher zu Geld machen.
Der gemeinschaftliche Sicherheitsdienst WebPulse erkennt und sperrt die Kommunikation zwischen infizierten Endbenutzersystemen und C&C-Servern. Dadurch behalten die Blue Coat Security Labs nicht nur die Größe des Botnets, sondern auch seine Infektionsrate im Blick.
Im Jahr 2011 war Zeus das mit Abstand größte Botnet. Zeus und SpyEye sind quasi derselbe Banking-Trojaner, denn sie erzeugen denselben Datenverkehr, verwenden dieselben Updatekomponenten, dieselbe C&C-Kommunikation und in einigen Fällen auch dieselben Domänen. Die Größe dieses Botnets hat zu einer Art „Heimarbeits-Industrie“ geführt, bei der Exploits ausschließlich zur Zustellung von Zeus- bzw. SpyEye-Schadteilen generiert werden. Murofet, der erstmalig 2010 von sich reden machte, ist ein Beispiel für diese Art von Exploit.
Die zweitgrößte Aktivität verzeichnete 2011 ein http-basiertes Peer-to-Peer-Botnet (P2P). Dieses Botnet erzeugt ein Netzwerk aus http-basierter P2P-Kommunikation, mit dem es Schadsoftware zustellt. Das bekannteste Beispiel dieser Art Botnet war Waledac. Obwohl das Waledac-Botnet von Microsoft im März 2010 stillgelegt wurde, beobachten die Blue Coat Security Labs noch heute Datenverkehr von infizierten Systemen.
Am drittaktivsten war das TDSS-Botnet. Es wurde 2008 entdeckt und zeichnet sich durch seine
Rootkit-Fähigkeiten aus, die noch vor dem Start des Windows-Betriebssystems Malware installieren. Da sich die Malware tief im System installiert, ist sie nur schwer erkenn- und entfernbar. Ein Beispiel einer installierten Komponente ist eine Datei, mit der Malnet-Betreiber anonym auf infizierten Computern im Internet surfen können – eine Dienstleistung, für die Cyber-Kriminelle auf dem Schwarzmarkt eine monatliche Gebühr verlangen können.
Aus den Daten geht klar hervor, dass die Botnets zwar still gelegt wurden, die Computer aber noch immer infiziert sind. Ein Paradebeispiel hierfür ist Conficker. Zwei Jahre nach seinem ersten Angriff im April 2009 gibt es Belege dafür, dass der Wurm auch weiterhin täglich Tausende von Websitenamen generiert und dann darauf wartet, dass sein C&C-Server eine der Domänen registriert und den infizierten Computer anweist, was zu tun ist.
Advanced Persistent Threats:
Die Gefahr lauert vor der eigenen Tür
Nach Angriffen mit hohem Bekanntheitsgrad, wie z. B. Aurora, bei denen Advanced Persistent
Threats (APTs) zum Einsatz kamen, hat die Sensibilisierung von Unternehmen bezüglich ihres
Bedrohungs- und Gefährdungspotenzials zu erheblichen Veränderungen bei Benutzerverhalten
und Sicherheits-Policies geführt.
Im Gegensatz zu Massenmarktmalware sind APTs hochgradig spezialisierte Angriffe, die auf das Entwenden ganz bestimmter, wertvoller Ressourcen abzielen. Während APTs in der Vergangenheit speziell Behörden, deren Vertragsnehmer und Lieferanten angriffen, breiten sie sich nun rasant im privaten Umfeld aus. Dies zeigte sich durch den Angriff auf RSA. Dieser Angriff zielte auf die SecureID-Authentifizierungsprodukte des Unternehmens ab. Das Unterscheidungsmerkmal bei APTs ist ihre Zielsetzung. Herkömmliche Angriffe nutzen gefälschte Antivirensoftware, um Exploitkits zu installieren, die Bankkonten und andere persönliche Daten ausspionieren können. APTs jedoch passen ihre Vorgehensweise in der Regel an das jeweilige Ziel an und verwenden Spearphishing sowie Social-Engineering, um die Anmeldedaten wichtiger Firmenmitarbeiter zu ergaunern (). APTs recherchieren ihre Ziele gründlich, sind mit genügend Mitteln ausgestattet und nutzen oft
unbekannte Schwachstellen aus.
APTs können innerhalb eines Netzwerks lauern. Irgendwann jedoch müssen sie mit ihrem C&C-Server kommunizieren. Daher ist es eine entscheidende Abwehrmethode bei diesen Bedrohungen, jegliche Kommunikation zu überwachen.
Auswirkungen auf Unternehmen Zusätzlich zu anderen APT-Sicherheitsmaßnahmen ist es unumgänglich, dass die IT-Abteilungen die verschiedenen Protokolle ihres Netzwerk- und Internetverkehrs verstehen, um Abweichungen erkennen zu können. Bei Blue Coat bedeutet das, mit dem „Reporter“ den Datenverkehr in Kategorien wie „Dynamische DNS-Hosts“ zu überwachen, die mit hoher Wahrscheinlichkeit auf eine APT-Infektion hinweisen. Es bedeutet auch, den „Reporter“ gut genug zu verstehen, um mithilfe der von ihm erstellten, benutzerdefinierten Berichte APTs aufspüren zu können.
Das Dilemma Mobilität: Die neue Bedrohungsfront
Die Nutzung mobiler Geräte hat sich in den vergangenen Jahren immer schneller, ja fast
schon explosionsartig ausgebreitet. Unternehmen unterstützen BYOD-Initiativen („Bring your
own device“) als eine Möglichkeit, Kosten zu senken und es den Mitarbeitern zu ermöglichen,
die Geräte auszuwählen, die ihre Anforderungen am besten erfüllen. Gleichzeitig betreiben
Unternehmen eigene Mobilitätsinitiativen und verteilen iPads, damit Vertriebsmitarbeiter
Produkte vorführen, Piloten Flugsicherheits-Checks durchführen und Ärzte Patientenakten
einsehen und aktualisieren können.
Die Einführung neuer Initiativen birgt jedoch auch neue Risiken. Bei mobilen Geräten gibt es drei Hauptsorgen bezüglich der Sicherheit. Dies ist zum einen der Datenverlust in Form von Kontakten, E-Mails und anderen sensiblen Firmeninformationen, die sich einfach auf mobilen Geräten speichern und freigeben lassen. Die zweite Sorge gilt webfähigen mobilen Anwendungen als neuem Eintrittsvektor für Malware sowie eher herkömmlichen Angriffswegen wie sozialen Netzwerken. Drittens schließlich macht die zunehmende Nutzung mobiler Geräte beim
IT-Abteilung der Malware die Chance, ins Netzwerk einzudringen.
Mobile Sicherheit steckt noch in den Kinderschuhen und umfasst ganz allgemein alles vom Sperren und Löschen per Fernwartung bis hin zum Schutz für mobile Geräte. Die am häufigsten von Unternehmen installierten Maßnahmen für mobile Sicherheit sind laut Nemertes Research die Sperr- und Löschfunktion (77,4 % der befragten Unternehmen)
und die Verschlüsselung (63 % der Unternehmen). Diese Funktionen sind herkömmlicher Bestandteil einer Lösung zur Verwaltung mobiler Geräte und kommen bei Verlust des Geräts oder gespeicherter Daten zum Tragen. In der Regel fehlt ihnen eine Internetsicherheitsfunktion, die Geräte und
Benutzer vor gefälschten webfähigen Anwendungen und Massenmarktmalware schützt, die auf
Mobilgeräteplattformen abzielen.
Nutzungsverhalten bei mobilen Geräten
Es ist hilfreich zu untersuchen, wie das Internet mit mobilen Geräten genutzt wird, um
zu verstehen, wo sich die größten Angriffsflächen auftun. Die Blue Coat Security Labs
verglichen Webanfragen mit der Blue Coat K9 iOS-Anwendung mit Webanfragen von
K9-Desktopnutzern, um Unterschiede beim Nutzungsverhalten zu ermitteln.
Die am häufigsten angefragten Web-Inhaltskategorien von Nutzern der mobilen bzw. der
desktopgebundenen K9-Software
Das Nutzungsverhalten mobiler Anwender begünstigt andere Bedrohungsprioritäten Mobile Benutzer greifen anders auf das Internet zu. Dies ist ein Hinweis auf wichtige potenzielle Bedrohungsvektoren für mobile Geräte.
Während die fünf am häufigsten angefragten Kategorien bei beiden Benutzergruppen gleich sind, zeigen sich beim Nutzungsverhalten aufschlussreiche Unterschiede zwischen mobilen Geräten und Desktops. Suchmaschinen und -portale sind die führende Kategorie bei Desktopnutzern, aber nur die viertbeliebteste bei den Mobilgerätenutzern. Dies spiegelt auch die heutige Realität wider: Mobilgerätenutzer greifen eher über Apps als über Suchmaschinen auf das Internet zu. Dies legt die Vermutung nahe, dass Suchmaschinen ein weniger begehrter Eintrittspunkt für gezielte mobile Malware sind. Content-Server sind bei Mobilgerätenutzern die am häufigsten angefragte Inhaltskategorie. In diesem Bericht wurde bereits erwähnt, dass diese Kategorie auch am beliebtesten ist, um Malware zu
beherbergen. Je mehr neue Schwachstellen mobiler Geräte bekannt und ausgenutzt werden, desto größer wird für mobile Benutzer die Bedrohung durch diese Inhaltskategorie als Malware-Eintrittspunkt.
Je enger soziale Netzwerke in mobile Anwendungen integriert werden, desto mehr wird diese
Inhaltskategorie ein Hauptangriffsziel für Cyber-Kriminelle. Diese Taktiken werden ferner durch die
kleinen Bildschirme mobiler Geräte unterstützt, durch die arglose Benutzer noch gefährdeter sind, auf einen möglicherweise bösartigen Link zu klicken, der nicht vollständig angezeigt wird.
Die Zunahme mobiler Malware
Obwohl es noch relativ wenig Malware gibt, die speziell auf mobile Geräte abzielt, wird es immer ersichtlicher, dass das Interesse der Cyber-Kriminellen an
diesen Angriffsmöglichkeiten wächst. Ende 2011 ermittelten die Blue Coat Security Labs eine Website mit bösartigen Android-Downloads, die Teil einer fortlaufenden Android-Malwaretransaktion war.
Einer der Angriffe auf dieser Website versuchte, das Android-Betriebssystem durch ein
vorgetäuschtes Browser-Update zu infizieren. Die Domänenregistrierung der Website zeigte, dass sie erst zwei Wochen zuvor angemeldet worden war. Sie enthielt auch keine Angaben zum Registranten – ein sicheres Zeichen dafür, dass es sich nicht um ein seriöses Update gehandelt hatte. Es muss noch einmal betont werden, dass es oft schwieriger ist, verdächtige Links auf dem Bildschirm eines mobilen Geräts als auf dem größeren Bildschirm eines Laptops zu erkennen, da möglicherweise nicht der ganze Link angezeigt wird.
Die Blue Coat Security Labs konnten auch gezielte mobile Malware beobachten, die eine neue Version
des „Angry Birds“-Spiels anbot. Benutzer zum Herunterladen einer raubkopierten Software zu überreden, war schon immer eine erfolgreiche Taktik von Cyber-Kriminellen. Mobile Geräte bieten nun eine neue Plattform, auf die sich diese Angriffe auch erstrecken können ().
Kostenlose Anti-Malware für Android ist zwar verfügbar, lässt sich jedoch nicht mit kommerziellen Antivirenlösungen für Desktops und Laptops
vergleichen. Die starke Zunahme von Exploitkits macht es Cyber-Kriminellen heute einfacher denn je, bei einem groß angelegten Angriff auch auf mobile Schwachstellen abzuzielen.
Empfehlung: Herkömmliche Verteidigungsmethoden, wie z. B. Antiviren- und
Anti-Spam-Endpunktlösungen, lassen sich nicht auf mobile Geräte übertragen. Damit Unternehmen die Schutzmechanismen auf Geräte und Benutzer jenseits des Unternehmensnetzwerks ausdehnen können, sind sie zumindest teilweise auch auf eine Lösung angewiesen, die Sicherheit aus der Cloud bereitstellt.
Fazit
Aus der vorliegenden Übersicht über die Entwicklungen im Bereich Internetsicherheit lassen sich ein einige eindeutige Schlussfolgerungen ziehen. Die eine ist, dass Cyber-Kriminelle erfinderisch sind, gut vorbereitet und sich schnell an Trends und Technologien anpassen können. Sie können auf Netzwerkinfrastrukturen in Form von Malnets zurückgreifen, die zum günstigsten Zeitpunkt mit bösartigem Schadcode angreifen können. Ihre Präsenz wird noch weiter zunehmen, und zwar in Form von Massenmarktmalware und gezielten APTs.
Eine weitere Schlussfolgerung, die auf der Hand liegt, ist die Tatsache, dass herkömmliche
Verteidigungsmechanismen Unternehmen nicht vor plötzlichen Angriffen etablierter Malnet-Infrastrukturen schützen können. Unternehmen benötigen keine Lösungen, die auf Angriffe reagieren, wenn sie passieren, der Schaden also bereits erfolgt ist – was sie brauchen, ist eine Verteidigung, die potenzielle Bedrohungsquellen erkennt und ausschaltet, noch bevor sie angreifen.
Anhang: Bewährte Methoden des Bedrohungsschutzes
Die Blue Coat Security Labs sprechen zum vollständigen Schutz vor Malware folgende Empfehlungen aus.1. Empfehlung:Protokolldateien kennen und regelmäßig einsehen
Nutzen Sie die Tools des Berichtwesens, um den Datenverkehr im Netzwerk regelmäßig zu überprüfen und dadurch sicherheitsgefährdendes Verhalten zu erkennen. Wenn Ihnen beispielsweise auffällt, dass von einem Netzwerkcomputer eine Menge nicht klassifizierten Datenverkehrs ausgeht, kann dies ein mit brandneuer Malware infizierter Computer sein, der versucht, ausgespähte Daten an seine C&C-Domäne zu senden.
Reports sind ist ein wertvolles Hilfsmittel zur Erkennung von Botnetaktivitäten und potenziellen APT-Infektionen. Überwachen Sie damit eine Kategorie wie z. B. „Dynamische DNS-Hosts“, die mit hoher Wahrscheinlichkeit auf eine APT-Infektion hinweisen.
Empfehlung 2:Alle ausführbaren Inhalte nicht klassifizierter Domänen sperren
Nicht klassifizierbare Inhalte, die versuchen, eine ausführbare Datei herunterzuladen, sind höchstwahrscheinlich bösartig und sollten ganz selbstverständlich gesperrt werden.
Empfehlung 3:Richtlinien für gefährliche und potenziell gefährliche Kategorien einrichten
Kategorie Grund
Sperrkategorie
Phishing Bösartige Websites, die sich optisch nicht von denen seriöser Banken oder Händler unterscheiden sollen, um auf betrügerische Weise sensible Daten auszuspähen.
Malwarequellen Websites, die Malware beherbergen oder verteilen bzw. die Bestandteil des Malware-Ökosystems sind. Bösartige ausgehende
Daten/Botnets Websites, an die Botnets oder andere Malware Daten senden oder von denen sie C&C-Anweisungen erhalten.
Pornografie Laut einer Studie handelte es sich bei etwa zwei Dritteln aller Versuche, Malware herunterzuladen, die als anderer Inhalt verschleiert ist, um Personen, die nach pornografischen Inhalten suchten.
Extrem Websites, die extreme Standpunkte vertreten und daher nicht allgemein zugänglich sein sollten.
Hacking Websites, die Hacker-Tools sowie Informationen verteilen, bewerben und bereitstellen, die den unbefugten Zugriff auf Computersysteme bzw. computerunterstützte Kommunikationssysteme ermöglichen.
Glücksspiel Eine große Anzahl von Casino-Websites versucht, Benutzer zum Herunterladen eines Malware-Clients zu verleiten.
Verdächtig Viele, wenn nicht gar die meisten dieser Websites sind Bestandteil eines Malware- oder Spamnetzwerks.
Platzhalter Im Allgemeinen sind dies „tote“ Domänen, die zu „Suchmaschinenzombies“ oder „Anzeigeködern“ wurden, zu dem einzigen Zweck, Suchmaschinenverkehr zu erfassen. Potenziell
unerwünschte Software
Zu diesen Websites gehören auch solche, die im Zusammenhang mit Adware stehen, sowie andere „grenzwertige“ Malware.
Betrug/Fragwürdig/
Illegal Viele Betrüger mit Websites in dieser Kategorie sind auch an malwarebezogenen Aktivitäten beteiligt. Spam Forschungsergebnisse der Blue Coat Security Labs zeigen, dass sich Benutzer, die auf Spamangebote klicken, ideal als Infektionsvektoren eignen.
Proxyumgehung
Kategorie sperren, falls machbar, andernfalls ausführbare Dateien sperren
Nicht jugendfrei Die Übertragung von Malware beginnt häufig mit Suchmaschinen, und viele Suchen nach nicht jugendfreien Inhalten geben Links zu Malware zurück.
Software-Downloads Dies ist eine Hochrisikokategorie, da die Opfer aktiv nach Software zur Installation suchen – ein hervorragender Übertragungsweg für Malware-Autoren.
Ausführbare Dateien sperren
Offene/gemischte Inhalte
Viele Malware-Websites verwenden Servermit offenen/gemischten Inhalten, um ihre Website und teilweise auch ihre Schadsoftware zu hosten. Websites seriöser Unternehmen nutzen solche Hosts in der Regel nicht.
Online-Speicher Viele Malware-Websites nutzen Online-Speicherserver, um Teile ihrer Website zu betreiben, auf der sich häufig auch Schadsoftware befindet.
Internetwerbung Im zweiten Halbjahr 2011 war ein starker Anstieg beim Malvertising zu verzeichnen, als große Werbenetze überlistet wurden, um bösartige Anzeigen verbundener Netzwerke zu verbreiten.
Nicht anzeigbar
Websites in dieser Kategorie sind überwiegend Beobachtungs- und
Auswertungsdienste, die aufzeichnen, welche Websites von Benutzern besucht werden. Es handelt sich hier um grenzwertige Spyware. Sie werden für nicht
anzeigbare Inhalte verwendet, wie beispielsweise Zählpixel, Web-Wanzen oder kleine Stücke Javascript. Da diese Dienste möglicherweise den Datenschutz verletzen, besteht auch ein geringfügig erhöhtes Malware-Risiko.
Dynamische DNS-Hosts
Websites, die dynamisches DNS-Hosting oder Aliasing betreiben, werden täglich missbraucht und wurden in vielen bekannten, gezielten Angriffen zum Ausfiltern ausgespähter Daten verwendet.
Hinweis: Diese Kategorien beziehen sich speziell auf den Blue Coat WebFilter. Andere Lösungen verwenden andere Namen für ihre Filterkategorien.
Empfehlung 4:Allen Datenverkehr sperren, der nicht SSL-verschlüsselt ist und Port 443 verwenden möchte
Damit Botnets der Erkennung entgehen, nutzen viele eine gängige Verschlüsselung über Port 443, um ausgespähte Daten an ihren C&C-Server zu senden. Eine entscheidende Verteidigungsebene besteht darin, einen Proxy zu verwenden, der den SSL-Datenverkehr über Port 443 transparent aufbereitet und den gesamten nicht SSL-verschlüsselten Datenverkehr sperrt, der den Port nutzen möchte.
Empfehlung 5:Auf dem Desktop und am Gateway mehrere Schichten von Antivirenlösungen verwenden
Das Verteilen mehrerer Antiviren-Engines im gesamten Netzwerk erhöht die Wahrscheinlichkeit, dass eine bösartige ausführbare Datei, die der einen Engine entgangen ist, von einer anderen gesperrt wird.
Empfehlung 6:Zusätzlich zur Webfiltertechnologie differenzierte Anwendungs- und Ausführungskontrollen verwenden, um die von sozialen Netzwerken ausgehenden Risiken zu entschärfen
Je mehr sich soziale Netzwerke ausdehnen und ein „Internet im Internet“ werden, desto detailliertere
Blue Coat Systems, Inc. • 1.866.30.BCOAT • +1.408.220.2200 Durchwahl +1.408.220.2250 Fax • www.bluecoat.com
