Security Threat Report 2013

Transcription

Security Threat Report 2013
Security Threat
Report 2013
Neue Plattformen und sich
wandelnde Bedrohungen
Inhaltsverzeichnis
Vorwort. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Abbildungen
Umfrage: Fake-E-Mail-Erziehung . . . 3
2012 im Rückblick:
Neue Plattformen und sich wandelnde Bedrohungen. . . . . . . . . 2
Blackhole . . . . . . . . . . . . . . . . . 7
Immer mehr Attacken auf Facebook und andere Social Media-Plattformen. . . . . . . . . . 3
Umfrage: Smartphone-Spam. . . . .15
Wachsende Gefahr für Cloud-Dienste. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Umfrage: Berücksichtigung von
Android-Apps . . . . . . . . . . . . . .17
Blackhole: Aktueller Malware-Marktführer. . . . . . . . . . . . . . . . . . 6
Die vier Phasen des Blackhole-Lebenszyklus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Wie wir gegen Blackhole vorgehen und was Sie tun können.. . . . . . . . . . . . . . . . . . . . . . . . . 9
Länder mit Blackhole-Hosts. . . . . . 9
Umfrage: Webbrowser. . . . . . . . .19
Momentaufnahme
Mac OS X-Malware. . . . . . . . . . .22
Java-Angriffe erreichen kritisches Ausmaß. . . . . . . . . . . . . . . . 10
Top 12
spamproduzierender Staaten. . . . .27
Was können Sie von diesen Datenverlusten lernen – abgesehen von dem Wunsch,
Spam-Quellen nach Kontinent. . . .27
zu verhindern, dass Ihnen Vergleichbares widerfährt?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Threat Exposure Rate . . . . . . . . 29
Android:
Aktuelles Hackerziel Nummer 1. . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Einfach gestrickt, aber äußerst lukrativ:
Fake-Software, unautorisierte SMS-Nachrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Anschluss ans Botnet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Abgefangene SMS gefährden Ihr Bankkonto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
PUAs: Keine echte Malware, aber trotzdem gefährlich. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Risiken bekämpfen, solange sie noch beherrschbar sind. . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Videos
Einblicke ins Social Engineering . . . 3
Cloud Storage und BYOD . . . . . . . 4
SophosLabs. . . . . . . . . . . . . . . 8
Blackhole . . . . . . . . . . . . . . . . . 8
Android-Malware. . . . . . . . . . . .14
Vielfältige Plattformen und Technologien
erweitern die Angriffsfläche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Ransomware . . . . . . . . . . . . . . 20
Wiederauferstehung der Ransomware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Long Tail. . . . . . . . . . . . . . . . 30
Security Threat Report 2013
Mac-Malware . . . . . . . . . . . . . .23
OS X und der Mac:
Mehr User = erhöhtes Gefahrenpotenzial . . . . . . . . . . . . . . . . . . 21
Fake Anti-Virus und Flashback:
Wachsende Mobilität nach Windows-Vorbild. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Morcut/Crisis: Ausgereifter und potenziell gefährlicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Windows-Malware, die sich still und heimlich auf Macs verbirgt . . . . . . . . . . . . . . . . . . . . 24
Aktuelle OS X Sicherheitsvorkehrungen und ihre Grenzen. . . . . . . . . . . . . . . . . . . . . . . . . . 24
Implementierung einer umfassenden Anti-Malware-Lösung für Macs . . . . . . . . . . . . . . 25
Behörden gelingt großer Coup gegen Cyberkriminalität . . . . . 26
Zunahme der gezielten Angriffe. . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Polymorphe und gezielte Angriffe:
Long Tail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Polymorphismus: Nicht neu, aber zunehmend gefährlich. . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Serverseitigen Polymorphismus wirksam bekämpfen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Gezielte Angriffe: hoch spezialisiert, fokussiert und gefährlich. . . . . . . . . . . . . . . . . . . . . . 32
Eingehende Abwehr von SSP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Zwei Wege zu Complete Security mit Sophos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Ausblick auf 2013. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Auf ein (letztes) Wort. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Quellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Adware
Adware ist Software, die Werbung
auf Ihrem Computer einblendet.
Security Threat Report 2013
Security Threat Report 2013
Vorwort
2012 war in Hinblick auf die Cybersicherheit ein sehr
ereignisreiches Jahr. Einige der wichtigsten Entwicklungen der vergangenen Monate möchte ich hier
hervorheben. Zweifellos war für uns die zunehmende
Mobilität von Daten in Unternehmensumgebungen eine der
größten Herausforderungen. Anwender machen mittlerweile
immer häufiger von der Möglichkeit Gebrauch, von überall
auf Daten zuzugreifen. Der zunehmende Einsatz von
Privatgeräten und Cloud-Services im geschäftlichen Umfeld
treibt diese Tendenz weiter voran und eröffnet neue
Angriffswege.
Als weiterer Trend hat sich die Wandlung der EndpointGeräte herauskristallisiert. Unternehmen entwickeln sich
von traditionell homogenen Windows-Welten hin zu
Umgebungen mit unterschiedlichsten Plattformen. Moderne
Malware geht bei Angriffen auf diese neuen Plattformen
äußerst geschickt vor. Und vor allem bei der Entwicklung
von Schadsoftware für Mobilgeräte können wir einen rapiden
Anstieg beobachten. Noch vor wenigen Jahren war AndroidMalware nicht mehr als ein Laborexperiment, heute ist sie
eine ernstzunehmende und wachsende Gefahr.
Auch die Nutzung von Privatgeräten im Berufsalltag (BYOD)
entwickelt immer mehr Dynamik, die viele unserer Kunden
und Anwender bereits erfasst hat. Immer mehr Angestellte
wollen mit ihrem Smartphone, Tablet oder Next-GenerationNotebook auf Unternehmensnetzwerke zugreifen. ITAbteilungen stehen daher vor der Herausforderung, sensible
Daten auf Geräten zu sichern, über die sie vergleichsweise
wenig Kontrolle besitzen. Dabei kann BYOD für
Arbeitnehmer und Arbeitgeber Vorteile haben. Die
sicherheitstechnischen Anforderungen dürfen vor dem
Hintergrund der verschwimmenden Grenzen zwischen
beruflicher und privater Nutzung jedoch keinesfalls
unterschätzt werden. Die Nutzung von Privatgeräten im
Unternehmensumfeld wirft naturgemäß Fragen auf: Wer
besitzt, verwaltet und sichert die Geräte sowie darauf
gespeicherte Daten?
Security Threat Report 2013
Gleichzeitig ist und bleibt das Internet die populärste
Distributionsquelle für Malware – insbesondere für Malware,
die auf Social-Engineering-Tricks setzt oder Browser und
angeschlossene Anwendungen über Exploits gezielt angreift.
Malware-Kits wie Blackhole sind beispielsweise ein
gefährlicher Cocktail aus Dutzenden oder noch mehr
Exploits, die selbst die kleinste Sicherheitslücke und
fehlende Patches ausnutzen. Cyberkriminelle richten ihr
Augenmerk meist auf Schwachstellen und setzen so lange
auf bestimmte Angriffstechniken, bis diese sich als nicht
mehr wirksam genug erweisen. Dann geht es auf zur
nächsten Cyberwar-Front.
Sicherheit ist ein zentrales Element der BYOD- und CloudRevolution. Um Daten in einer Welt zu schützen, in der sich
Systeme rasend schnell verändern und freier
Informationsfluss herrscht, benötigen wir ein koordiniertes Ökosystem aus Sicherheitstechnologien –
sowohl auf Endpoint- und Gateway-Ebene als auch auf
Mobilgeräten und in der Cloud.
Konzentrierte sich IT-Security früher auf die Geräte an sich,
steht heute der Benutzer im Fokus, und die
sicherheitstechnischen Anforderungen sind vielfältig. Eine
moderne Sicherheitsstrategie muss sich auf alle
Schlüsselfaktoren konzentrieren – das Durchsetzen von
Richtlinien, die Verschlüsselung von Daten, die
Zugriffsabsicherung auf Unternehmensnetzwerke, die
Produktivitäts- und Inhaltsfilterung, das Schwachstellen- und Patch-Management und natürlich den Schutz
vor Malware und sonstigen Gefahren.
Mit freundlichen Grüßen
Gerhard Eschelbeck
CTO, Sophos
1
2012 im Rückblick:
Neue Plattformen
und sich wandelnde
Bedrohungen
2012 konnten wir beobachten, dass Cyberkriminelle
ihren Aktionsradius auf immer mehr Plattformen
ausweiteten – von sozialen Netzwerken über Cloud
Services bis hin zu Android-Mobilgeräten. Hacker
reagierten immer schneller auf neue Sicherheitssysteme und nutzten Zero-Day-Exploits mit
zunehmender Geschicklichkeit aus.
Die Malware-Autoren übertrafen sich im letzten Jahr selbst, indem sie neue Geschäftsmodelle und Software-Muster für noch gefährlichere und ausdauernde Angriffe
entwickelten. So kündigten beispielsweise die Entwickler des Malware-Toolkits Blackhole
eine neue und noch effektivere Version an. Wie zum Hohn applaudierten die Hacker den
Erfolgen der Antivirus-Unternehmen bei der Blackhole-Bekämpfung und versprachen, den
Wettkampf auch in der Zukunft anzunehmen.
Zu den „privaten“ Cyberkriminellen gesellten sich allem Anschein nach vermehrt auch
staatliche Akteure, die hoch entwickelte Angriffe gegen strategische Ziele organisierten.
Darauf deuteten Berichte über Malware-Angriffe auf Infrastrukturen der Energiewirtschaft
im Nahen Osten, weitreichende Denial-of-Service-Angriffe auf globale Banken und gezielte
Spearphishing-Attacken auf bedeutende Einrichtungen hin.
Ottonormalhacker fuhren hingegen fort, Tausende, schlecht konfigurierte Webseiten und
Datenbanken anzugreifen, um an Passwörter zu gelangen und Malware in Umlauf zu bringen.
Diese Entwicklung macht erneut deutlich, wie wichtig es ist, Sicherheitsupdates durchzuführen und dadurch potentielle Angriffslücken zu schließen. Gleichzeitig bahnte sich eine
Security Threat Report 2013
2
neue Malware-Generation ihren Weg und
konfrontierte Opfer mit überraschenden
Zahlungsaufforderungen. Die Ursache
hierfür sind Social Engineering-Attacken wie
Fake Anti-Virus oder Ransomware.
Aber trotz dieser Hiobsbotschaften gibt es
auch positive Entwicklungen zu vermelden.
So wurden sich IT-Organisationen und
andere IT-Sicherheitsinstanzen in diesem
Jahr zunehmend der Bedeutung eines
mehrschichtigen Abwehrkonzepts bewusst.
Und viele Unternehmen widmeten sich
erstmals den sicherheitstechnischen
Herausforderungen von Smartphones,
Tablets und BYOD-Programmen. Sie
machten sich daran, ihre Anfälligkeit für
Schwachstellen in Plattformen wie Java
oder Flash zu reduzieren und schnellere
Patches von ihren Plattform- und SoftwareAnbietern einzufordern.
Nicht zuletzt konnten Strafverfolgungsbehörden entscheidende Erfolge beim
Kampf gegen Malware-Netzwerke
verbuchen – z.B. die Verhaftung eines
russischen Cyberkriminellen, dem
vorgeworfen wird, 4,5 Mio. Computer mit der
Absicht infiziert zu haben, Bankkonten
auszubeuten, sowie die Verurteilung eines
Armeniers, der als Drahtzieher des
gigantischen Bredolab-Botnets gilt.
Microsofts vorbildliches Vorgehen gegen das
1
Nitol-Botnet ist zudem ein gutes Zeichen,
dass diejenigen, die Cyberkriminalität in
vielen Fällen billigend in Kauf nehmen, doch
aktiv auf unserer Seite sind.
Wenn sich die IT 2013 zunehmend CloudDiensten und mobilen Plattformen
zuwendet, werden uns die Angreifer wie
immer dicht auf den Fersen sein. ITOrganisationen und Benutzer müssen
ihren IT-Serviceprovidern und Partnern
daher unbequeme neue Fragen stellen,
systematischer beim Schutz unterschiedlicher Geräte und Netzwerkinfra-
Security Threat Report 2013
strukturen vorgehen sowie agiler auf neue
Bedrohungen reagieren. Wir werden unseren
Kunden rund um die Uhr zur Verfügung
stehen.
Erfahren Sie mehr
über Attacken auf
soziale Medien
Immer mehr Attacken auf
Facebook und andere Social
Media-Plattformen
2012 haben sich erneut hunderte Millionen
Anwender bei sozialen Netzwerken
versammelt – ein gefundenes Fressen für
die Angreifer. Diese entwickelten perfide
Social Engineering-Angriffe, bei denen
aktuelle Themen wie z.B. die weit verbreitete
2
Skepsis über Facebooks neue Timeline oder
die nur allzu menschliche Sorge über neu
gepostete Benutzerfotos als Köder genutzt
werden. Cyberkriminelle weiteten ihren
Angriffsradius auch über Facebook hinaus
aus und attackierten schnell wachsende
Plattformen wie Twitter oder Pinterest.
So berichteten wir im September 2012
über die weit verbreitete Zustellung von
Twitter-Direktnachrichten (DM) mit Hilfe
kompromittierter Kundenzugänge. Diese
DMs taten so, als kämen sie von OnlineFreunden und behaupteten, ihre Empfänger
würden in einem Video auftauchen,
das gerade auf Facebook veröffentlicht
wurde. Ein Klick auf den eingebauten Link
leitete auf eine Webseite, die wiederum
ein Upgrade des YouTube-Players zum
Abspielen verlangte. Sobald dieses „Update“
angewählt wurde, war der Rechner mit dem
3
Backdoor-Trojaner Troj/Mdrop-EML infiziert.
Ebenfalls im September wurden erstmals
im großen Stil Pinterest-Konten gekapert.
Diese Angriffe überschwemmten mit ihrem
Bildspam auch andere soziale Netzwerke
wie Twitter oder Facebook. Betroffene
Benutzer, die ihre Pinterest-Konten mit
Vier Bedrohungen
für die Datensicherheit
im Post-PC-Zeitalter
Beth Jones aus den
SophosLabs erklärt Social
Engineering (englisches
Video)
Naked SecurityUmfrage
Sollten Unternehmen
ihre Mitarbeiter bewusst
täuschen und sie zu
Aufklärungszwecken FakeE-Mails öffnen lassen?
J
a
85,21 %
N
ein
14,79 %
Basierend auf 933 Teilnehmern
Quelle der Umfrage:
NakedSecurity
3
2012 im Rückblick: Neue Plattformen und sich wandelnde Bedrohungen
diesen Netzwerken verlinkt hatten, sendeten
massenhaft Tweets und Pinnwandeinträge,
die Freunde zur Teilnahme an zwielichtigen
4
Heimarbeitsprogrammen animieren sollten.
Mit einer Milliarde User ist und bleibt
Facebook das soziale Netzwerk Nummer
1 und damit auch das Hauptangriffsziel.
Im April startete Sophos mit Facebook
und weiteren Sicherheitsanbietern eine
Kooperation, um die Malware-Abwehr
des Netzwerks zu stärken. Seitdem
profitiert Facebook von unseren minütlich
aktualisierten Listen mit Informationen
zu Schadlinks und Scam-Webseiten und
kann die Gefährdung für seine Benutzer
5
erheblich reduzieren. Natürlich ist dieser
Schritt nur ein Element eines ganzen
Maßnahmenkatalogs. Sophos Forscher und
andere Institutionen suchen mit Nachdruck
nach neuen Methoden, um Nutzer sozialer
Netzwerke besser vor Angriffen zu schützen.
Dark Reading berichtete beispielsweise,
dass Informatiker an der University of
California eine experimentelle Facebook-App
entwickelt haben, die in der Lage sein soll,
97 % aller Malware und Scams in Newsfeeds
6
richtig zu identifizieren. Innovationen wie die
soziale Authentifizierung, bei der Facebook
Ihnen Fotos Ihrer Freunde zeigt und Sie
auffordert, diese zu identifizieren, könnten
sich ebenfalls als hilfreich erweisen, da
Hacker diesen Vorgang vermutlich schwer
7
manipulieren können.
Wachsende Gefahr für
Cloud-Dienste
2012 lockten die finanz- und verwaltungstechnischen Vorteile von Cloud-Diensten
viele IT-Organisationen an. Unternehmen
setzen nicht nur verstärkt auf gehostete
Enterprise-Software und allgemeinere
Dienste wie Dropbox, sondern investieren
in zunehmendem Maße auch in private
Clouds, die auf Virtualisierungstechnologien
basieren. Diese Entwicklung wirft die
Frage auf, was Cloud-User tun können und
sollten, um Sicherheit und Compliance zu
gewährleisten.
Besondere Aufmerksamkeit erlangte
die Sicherheit von Cloud-Diensten 2012,
als Dropbox einräumen musste, dass es
Hackern gelungen war, sich mit von anderen
Webseiten gestohlenen Benutzernamen und
Passwörtern in einige Accounts einzuloggen.
Ein Dropbox-Mitarbeiter hatte für alle seiner
Konten das gleiche Passwort gewählt,
darunter auch sein Arbeitskonto, über das
Zugriff auf sensible Daten bestand. Als das
Passwort gestohlen wurde, entdeckte der
Hacker, das es gegen Dropbox eingesetzt
werden konnte. Dieser Vorfall macht noch
einmal deutlich, dass für jede Webseite und
jeden Online-Service ein anderes Passwort
genutzt werden sollte.
Mehr über CloudDienste erfahren
Implementierung
von Cloud-Diensten
mit permanenter
Verschlüsselung
Probleme mit
Dropbox?
CTO Gerhard
Eschelbeck erklärt Cloud
Storage und BYOD
(englisches Video)
Dabei sind Cloud-Authentifizierungsprobleme nichts Neues. Erst 2011 entfernte
der Cloud-Anbieter versehentlich für
vier Stunden den Passwortschutz von
8
sämtlichen Dateien seiner Benutzer.
Darüber hinaus berichtete VentureBeat,
dass die iOS App des Unternehmens
Anmeldedaten von Benutzern in
unverschlüsselten Textdateien gespeichert
hatte. Sie waren also für alle Nutzer des
Geräts sichtbar.
Security Threat Report 2013
4
Dropbox hat seine Sicherheit zwischenzeitlich mit der
Einführung einer optionalen, zwei-stufigen Authentifizierung
9
verstärkt. Aber die Problematik zog sehr schnell erheblich
größere Kreise. Im Mai 2012 berichtete das FraunhoferInstitut für Sichere Informations-technologie über
Schwachstellen, die mit der Registrierung, Anmeldung,
Verschlüsselung und Dateifreigabe auf sieben Cloud
10
Storage-Webseiten in Zusammenhang standen.
Dass Dropbox und andere Webseiten Daten bereits bei ihrer
Speicherung und Übertragung verschlüsseln, ist in diesem
Fall praktisch wertlos. Daten, auf die mittels gültigem
Benutzernamen und Passwort zugegriffen wird, profitieren
von diesem Schutz in keiner Weise. Daten, die in öffentlichen
Cloud-Systemen gespeichert werden, unterliegen zudem
den Gesetzen desjenigen Staates, in dem sich die Server des
jeweiligen Cloud-Systems befinden.
Die Probleme von Dropbox haben uns das Thema Sicherheit
in der Cloud stärker ins Bewusstsein gerufen. Öffentliche
Cloud-Dienste und -Infrastrukturen liegen außerhalb der
Kontrolle von IT-Organisationen. Wie können Unternehmen
trotzdem ihre Sicherheit und Compliance gewährleisten?
Eine zwei- oder mehrstufige Authentifizierung ist dafür ein
Muss. Aber ist das ausreichend? Stellen Sie sich folgende
Fragen:
ÌÌ Wie behalte ich den Überblick über Datenverlust? Wie
finde ich z.B. heraus, ob Mitarbeiter sensible Daten an sich
selbst weiterleiten, auf die sie auch nach einer Entlassung
11
zugreifen können?
Wenn Sie sich trotz vieler offener Fragen für einen CloudService entscheiden, sollten Sie zum Schutz Ihrer Daten
folgende Regeln beachten:
1.Verwenden Sie webbasierte Richtlinien mit URL-Filterung,
kontrollieren Sie den Zugriff auf öffentliche CloudSpeicherwebseiten und verhindern Sie, dass Nutzer zu
verbotenen Webseiten surfen.
2.Kontrollieren Sie Anwendungen für das gesamte
Unternehmen oder ausgewählte Gruppen, indem Sie diese
aktiv entweder sperren oder freigeben.
3.Lassen Sie Dateien vor dem Hochladen in die Cloud von
allen verwalteten Endpoints automatisch verschlüsseln.
Mit einer Verschlüsselungslösung können Benutzer
ihren bevorzugten Cloud-Speicherdienst wählen und
trotzdem verbleibt der Datenzugang immer in Ihrer
Hand. Da die Verschlüsselung automatisch und vor der
Synchronisierung erfolgt, behalten Sie die vollständige
Kontrolle über die Sicherheit aller Daten. Über
Sicherheitslecks beim Cloud Storage-Anbieter müssen
Sie sich dann keine Gedanken mehr machen. Zentrale
Schlüssel ermöglichen autorisierten Benutzern oder
Gruppen Datenzugriff, während dieser für alle anderen
verschlüsselt bleibt. Geht ein Schlüssel verloren,
beispielsweise durch ein vergessenes Passwort, kann der
Sicherheitsbeauftragte im Unternehmen die Schlüssel
abrufen und den autorisierten Mitarbeitern Zugriff auf die
Dateien ermöglichen.
ÌÌ Wie kontrolliere ich Lieferanten und deren
Systemadministratoren? Wende ich die gleichen strengen
Regeln und vertraglichen Anforderungen an, wie bei
Geschäftspartnern, die Einsicht in vertrauliche oder
12
strategische Daten erhalten?
ÌÌ Kann ich Snapshots virtueller Server verhindern, mit
denen aktuelle Speicher-abbilder einschließlich sämtlicher
Encryption Keys erstellt werden können? Einige Experten
wie Mel Beckman und System iNEWS glauben, dass
die öffentliche Cloud in Umgebungen, wo die rechtliche
Compliance über physikalische Hardware-Kontrollen (z.B.
13
HIPAA) durchgesetzt werden muss, tabu sein sollte.
Security Threat Report 2013
5
Blackhole: Aktueller
Malware-Marktführer
Basierend auf Forschungsergebnissen aus den SophosLabs
Wenn man Blackhole genau unter die Lupe nimmt,
wird schnell klar, wie geschickt Malware-Autoren
mittlerweile agieren. Blackhole hat sich zwischenzeitlich zum weltweit populärsten Malware-Exploit-Kit
gemausert. Das Paket vereint bemerkenswerte
technische Möglichkeiten mit einem Geschäftsmodell,
das direkt aus einer MBA-Fallstudie der Harvard
Business School stammen könnte. Wenn sich
Blackhole auch weiterhin erfolgreich jeder
Strafverfolgung entzieht, wird das Kit Sicherheitsanbieter und IT-Organisationen vermutlich noch
jahrelang auf Trab halten.
Exploit-Kits sind vorgefertigte Software-Tools, die auf manipulierten Webservern installiert
werden können, um ohne Ihr Wissen Malware auf Computer einzuschleusen. Das Kit ermittelt
die Schwachstellen (Bugs oder Sicherheitslücken) des Computers und kann automatisch
eine sogenannte Drive-by-Installation vornehmen. Das bedeutet, dass die Software des
angegriffenen PCs (z.B. Ihren Browser, PDF-Reader oder sonstige Programme zur Anzeige
von Online-Inhalten) manipuliert wird, um anschließend lautlos Malware herunterzuladen
und auszuführen. Warnungen, die man normalerweise erwarten würde, suchen Sie hier
vergeblich. Wie mit anderen Exploit-Kits auch können mit Blackhole zudem unterschiedliche
Payloads in Umlauf gebracht werden. Dazu gehören gefälschter Virenschutz, Ransomware,
Zeus oder die berühmt berüchtigten TDSS- und ZeroAccess-Rootkits. Deren Autoren
profitieren wiederum vom Verkauf ihrer Programme. Blackhole kann Windows, OS X und
Linux angreifen. Das Kit schlägt überall dort zu, wo sich die besten Angriffschancen bieten.
Security Threat Report 2013
6
Zwischen Oktober 2011 und März
2012 stammten fast 30 % der von den
SophosLabs erkannten Bedrohungen
entweder direkt von Blackhole oder
waren Umleitungen zu Blackhole-Kits
von manipulierten, ehemals seriösen
Webseiten. Blackhole macht nicht nur
sein Erfolg besonders, sondern auch sein
Software-as-a-Service-Mietmodell, das
dem cloudbasierter Softwareangebote zum
Verwechseln ähnelt. Die wöchentlichen
Mietkosten werden gemeinsam mit
Zusatzgebühren für ergänzende DomainDienstleistungen direkt in der Read-MeDatei (Russisch) angegeben, die gemeinsam
mit dem Kit geliefert wird. Genau wie bei
seriösen Anbietern von Mietsoftware sind
auch bei Blackhole alle Updates über die
Dauer der Abonnements hinweg gratis.
Kunden, die ihren eigenen Blackhole-Server
betreiben möchten, können längere Lizenzen
erwerben. Die Version des an die Kunden
ausgelieferten Blackhole-Kits basiert
allerdings auf einem stark entstellten
Code. So stellen die Autoren sicher, dass
sie die Kontrolle über ihr Produkt behalten.
Tatsächlich konnten wir bislang noch keine
Blackhole-Alleingänge von unabhängigen
Autoren beobachten. Das Programm wird
jedoch regelmäßig aktualisiert und dessen
Technik von anderen Autoren genutzt.
Die vier Phasen des
Blackhole-Lebenszyklus
1. Benutzer auf eine BlackholeExploit-Webseite lotsen
Die Angreifer hacken sich in seriöse
Webseiten und binden Schadcode ein
(meist JavaScript-Codeschnipsel), der
Links zu den Seiten auf ihrer BlackholeWebseite generiert. Sobald nichtsahnende
Security Threat Report 2013
Benutzer die seriöse Webseite besuchen,
laden ihre Browser den Exploit-Kit-Code
automatisch vom Blackhole-Server
14
herunter.
Die Blackhole-Hostseiten ändern sich dabei
ständig. Meist werden zum Hosten von
Blackhole neu registrierte Domains
verwendet, die durch den Missbrauch
dynamischer DNS-Dienste (z.B. ddns.,
1dumb.com, und dlinkddns.com) erworben
werden. Solche Hosts ver-schwinden oft
schon nach einem Tag von der Bildfläche.
Dass es Blackhole immer wieder gelingt,
seinen Datenverkehr an die richtigen
neuen Hosts zu senden, beweist ein
beeindruckendes Maß an zentraler
Kontrolle.
Blackhole verfügt über zahlreiche
Strategien, um den Datenverkehr von
Benutzern zu kontrollieren. So konnten
wir erst kürzlich beobachten, dass seine
Besitzer Partnersysteme missbrauchten.
Gegen eine geringe Bezahlung fügen
viele Webhosts Blackhole freiwillig
hinzu und wissen häufig gar nicht, was
der Code anrichten kann. Wir konnten
auch beobachten, dass Blackhole über
altmodische Spam-Mails mit schädlichen
Links und Attachments in Umlauf gebracht
wurde. Diese Links gaukeln z.B. Probleme
mit Bankkonten vor oder behaupten,
gescannte Dokumente zu liefern.
2. Laden von infiziertem Code über die
Landingpage
Sobald Ihr Browser die Inhalte des
Exploit-Kits vom Blackhole-Server
heruntergeladen hat, beginnt der Angriff.
Der Exploit-Code, meist JavaScript,
stellt zunächst fest, wie Ihr Browser
zum Blackhole-Server gelangt ist. So
können die Tochtergesellschaften, die
den Datenverkehr ursprünglich generiert
haben, ermittelt und ganz wie in der
27 % aller ExploitWebseiten und
Redirects basieren
auf Blackhole
2012 handelte es sich
bei 80 % aller von uns
beobachteten Bedrohungen
um Redirects, die meist
zu ehemals seriösen und
nun gehackten Webseiten
führten. Diese Zahl macht
deutlich, wie wichtig es
ist, Webseiten zu sichern
sowie Serverskripts und
Anwendungen auf dem
aktuellen Stand zu halten.
E
xploit-Webseite
(Blackhole)
0,7 %
D
rive-by-Redirect 26,7 %
(Blackhole)
E
xploit-Webseite
(nicht Blackhole)
1,8 %
P
ayload
7,5 %
D
rive-by-Redirect 58,5 %
(nicht Blackhole)
S
EO
1,1 %
F
ake Anti-Virus
0,4 %
S
onstige
3,4 %
Quelle: SophosLabs
7
Blackhole: Aktueller Malware-Marktführer
seriösen Wirtschaft entlohnt werden. Um
herauszufinden, welches Betriebssystem
und welche Browserversion Sie nutzen
bzw. ob Sie Plugins für Flash, PDF-Dateien,
Java Applets usw. installiert haben,
ermittelt der Exploit-Code anschließend
den „Fingerabdruck“ Ihres Browsers.
Angriffe können auf unterschiedlichsten
Schwachstellen basieren. Besonders häufig
scheinen jedoch Java-Sicherheitslücken
für Blackhole-Infektionen verantwortlich zu
sein. Auch hier verwendet Blackhole nach
Möglichkeit legitimen Code. So lädt es z.B.
seinen Exploit-Code über die Java Open
Business Engine, mit der eine Reihe von
Workflow-Anwendungen und -Systemen
– u.a. der tägliche Terrorist Threat
Matrix-Bericht für den amerikanischen
15
Präsidenten – unterstützt werden.
3. Die Payload-Zustellung
Nach erfolgreichem Hack des Zielsystems
kann Blackhole den Payload zustellen,
zu dessen Senden er angewiesen wurde.
Payloads sind meist polymorph und sehen
daher auf jedem neu infizierten System
anders aus. Die Autoren von Blackhole
setzen verstärkt hochentwickelten,
serverseitigen Polymorphismus und
Code-Verschleierung ein. So geben sie die
zentrale Kontrolle nicht aus der Hand und
können Updates mit außergewöhnlicher
Geschwindigkeit bereitstellen. Verglichen
mit anderen Exploit-Kits, die Angreifer
kaufen und hosten, verändert Blackhole
sein Verhalten und seine Effektivität
mit rasender Geschwindigkeit. Um von
Antivirus-Programmen nicht erkannt
zu werden, nutzen Blackhole-Payloads
häufig Verschlüsselungstools. Diese Tools
werden von Kunden hinzugefügt und
Blackhole leistet seinen Beitrag in Form
eines optionalen Services, der auf jedem
System, das angegriffen werden soll, aktiv
die Virenschutzfunktionalität prüft.
Security Threat Report 2013
4. Intelligente Effektivitätskontrolle
Blackhole merkt sich, welche Exploits
in Kombination mit welchem Browser,
Betriebssystem und welchen Plugins
funktioniert haben. Auf diese Weise
können die Autoren den effektivsten
Einsatz ihres Programms ermitteln.
Diese Tracking-Technik setzen zwar auch
andere Hacker ein, die kriminelle Energie
der Blackhole-Autoren bei der Anpassung
ihres Kits ist jedoch bislang unerreicht.
Ähnlich geschickt stellt sich Blackhole
bei der Ausnutzung neuer ZeroDay-Schwachstellen an. Im August
2012 nutzte das Kit eine vielfach
publizierte Schwachstelle im Hilfeund Supportcenter von Microsoft, um
manipulierte VBS-Skripte in Umlauf zu
bringen. Eine neue Schwachstelle in Java
7 (CVE-2012-4681) nutzte Blackhole
zur Erstellung eines Angriffsszenarios,
mit dem infizierter Code das JavaSystem zur Überprüfung von
16
Berechtigungen manipulieren konnte.
Bemerkenswerterweise wurde diese
Attacke bereits 12 Stunden nach dem
Machbarkeitsnachweis in das Blackhole17
Kit aufgenommen. Oracle wiederum
lieferte bis Ende August einen NotfallPatch. Trotzdem bleiben viele Systeme
nach wie vor ungepatcht.
Mehr über Blackhole
erfahren
Mark Harris stellt die
SophosLabs vor (englisches
Video)
Fraser Howard aus
den SophosLabs erklärt
Blackhole (englisches
Video)
Angesichts der Perfektion, die BlackholeAutoren an den Tag legen, ist es
erstaunlich, dass einige Elemente des
Kits über lange Zeit hinweg praktisch
unverändert blieben. Beispielsweise
URL-Pfade, Dateinamen und die Struktur
der Abfragezeichenfolge. Die SophosLabs
gehen davon aus, dass sich das in Zukunft
ändern wird und sich für BlackholeAutoren neue Möglichkeiten zur weiteren
Verbesserung ihrer Angriffe ergeben.
8
Wie wir gegen Blackhole vorgehen und was Sie tun können.
In unseren SophosLabs behalten wir
Blackhole rund um die Uhr im Auge und
stellen sicher, dass unsere generische
Erkennung und Reputationsfilterung
mit dem sich ständig verändernden
Exploit-Kit Schritt halten kann. Sobald
Blackhole sich auf unsere Erkennungsund Filtermechanismen eingestellt hat,
liefern wir über die Cloud schnellstmöglich
neue Updates. Wir wenden darüber hinaus
hochmoderne Verfahren zur Identifizierung
und Analyse serverseitiger PolymorphismusAttacken wie Blackhole an.
Sie können sich am besten mit einem
umfangreichen Sicherheitscheck gegen
Blackhole wappnen.
1.Betriebssysteme und Anwendungen
schnell zu patchen, ist immer wichtig.
Sie sollten diesen Vorgang daher nach
Möglichkeit automatisieren.
2.Deaktivieren Sie anfällige Systeme
wie Java und Flash, wenn Sie sie
nicht benötigen. So verringern Sie die
Angriffsfläche.
3.Sperren Sie manipulierte und ExploitWebseiten mit einer Kombination aus
Reputationsfilterung und Technologien zur
Inhaltserkennung. Zudem sollten Sie zum
Blockieren von Payloads ebenfalls eine
Inhaltserkennung nutzen. Beachten Sie,
dass eine Reputationsfilterung ExploitWebseiten zwar in vielen Fällen sperren
kann, bevor eine Inhaltserkennung greift,
an sich jedoch nicht manipulationssicher
ist.
4.Verhindern oder reduzieren Sie Social
Engineering-Attacken, die als Spam in
Umlauf gebracht werden, indem Sie
einen aktuellen Spamfilter nutzen und die
Benutzer aktiv aufklären.
5.Wenn Ihr Endpoint Security-Produkt
über HIPS-Funktionen (Host Intrusion
Prevention System) verfügt, sollten sie
diese als zusätzliche Schutzbarriere vor
neuen oder modifizierten Exploits nutzen.
Wo werden Blackhole-Exploit-Webseiten gehostet?
Länder, die Blackhole-Exploit-Webseiten hosten (2012)
Brasilien
1,49 %
Italien
5,75 %
Großbritannien
2,24 %
C
hile
10,77 %
Niederlande
2,55 %
R
ussland
17,88 %
Deutschland
3,68 %
China
5,22 %
V
ereinigte
Staaten
30,81 %
Türkei
5,74 %
S
onstige
13.,88 %
Quelle: SophosLabs
Security Threat Report 2013
9
Java-Angriffe
erreichen kritisches
Ausmaß
Für Java war 2012 browsertechnisch kein einfaches
Jahr. Java-Browser-Plugins wurden immer wieder von
Schwachstellen geplagt, so dass Unternehmen mehr
und mehr dazu übergehen, im Browser möglichst ganz
auf Java zu verzichten.
Im April wurden z.B. 600.000 Mac-User in ein globales Flashback bzw. Flashplayer Botnet
rekrutiert. Auslöser hierfür war eine Java-Schwachstelle in OS X, die über einen längeren
Zeitraum nicht gepatcht wurde. Nachdem Apple ein Entfernungstool und einen Java-Patch
veröffentlicht hatte, übernahm Oracle die Verantwortung für die zukünftige Veröffentlichung
von Java für OS X und versprach, Java-Patches für OS X und Windows zeitgleich zu
18
veröffentlichen.
In der Folge konnten sich Oracles Java-Entwickler kaum noch vor Anfragen zur Bereitstellung von Patches retten. Wenige Tage nach der Entdeckung einer neuen Zero-DaySchwachstelle, die Java 7 auf allen Plattformen und Betriebssystemen betraf, wurde die
Sicherheitslücke auch schon für gezielte Angriffe ausgenutzt. Sie wurde in das Blackhole19
Exploit-Kit eingebunden und tauchte sogar in einer Phishing-E-Mail mit einem gefälschten
20
Microsoft-Servicevertrag auf. Laut einer detaillierten Analyse konnten Hacker mit ihrem
Code unter Ausnutzung dieses Exploits auf gesperrte Programmebenen zugreifen und sogar
21
den Java-Sicherheits-Manager deaktivieren.
Wie versprochen, reagierte Oracle auf diese Vorfälle und veröffentlichte schneller Patches,
als mancher Beobachter erwartet hätte. Allerdings tauchten innerhalb weniger Wochen
bereits weitere gefährliche Java-Sicherheitslücken auf. Die gleichen Forscher, die bereits
die erste Sicherheitslücke entdeckt hatten, stießen unter anderem auf eine Methode, mit
der sich Javas sichere Application-Sandbox umgehen ließ – diesmal nicht nur unter Java 7,
22
sondern auch unter Java 5 und 6 sowie in vielen Browsern. Der neue Exploit gefährdete
rund eine Milliarde Geräte.
Security Threat Report 2013
10
Dabei haben viele User heutzutage wenig
oder gar keine Verwendung für browserbasierte Java-Programme, auch bekannt
unter der Bezeichnung Applets. In vielen
Fällen haben JavaScript und andere
Technologien die Aufgaben von Applets
im Browser übernommen. Wenn Sie Java
in Ihrem Browser nicht wirklich brauchen
bzw. nicht mit absoluter Sicherheit wissen,
ob Sie es brauchen, empfehlen wir eine
Deaktivierung.
Auf unserer Webseite finden Sie detaillierte
Anweisungen zur Deaktivierung von
JavaScript in Internet Explorer, Firefox,
23
Google Chrome, Safari und Opera.
Wenn Sie auf Webseiten angewiesen sind,
die auf Java basieren, sollten Sie einen
zweiten Browser installieren und nur auf
diesem Java aktivieren. Nutzen Sie diesen
Browser ausschließlich für Java-basierte
Webseiten und greifen Sie ansonsten auf
Ihren Hauptbrowser zurück, auf dem Java
deaktiviert ist.
Java ist allerdings nicht die einzige PluginPlattform, die in puncto IT-Sicherheit
Kopfzerbrechen bereitet. Auch Adobe Flash
wurde in den letzten Jahren verstärkt von
Exploits heimgesucht. Glücklicherweise
werden Browser-Plugins wie Flash immer
seltener benötigt. In HTML5-fähigen
Browsern sind Funktionen zum Abspielen
von Musik und Videos bereits integriert.
Herkömmliche Plugins sind daher
überflüssig.
Selbst große Organisationen und
Firmen handeln beim Passwortschutz
immer noch fahrlässig
Dabei sollten Passwortschwächen die absolute Ausnahme
sein. Denn zum Erstellen, Verwenden und Speichern sicherer
Passwörter existieren einfache Regeln, die Einzelpersonen
und Unternehmen gleichermaßen schützen können. 2012
mussten wir jedoch einen Passwort-Hack nach dem anderen
beobachten, darunter immer wieder bekannte Großkonzerne.
ÌÌ R
ussische Cyberkriminelle veröffentlichten z.B. fast 6,5
Mio. unzureichend verschlüsselter LinkedIn-Passwörter
im Internet. Ein gefundenes Fressen für Hackerteams,
die innerhalb weniger Tage mehr als 60 % dieser
Passwörter knackten. Da LinkedIn versäumt hatte,
seine Passwortdatenbank vor der Verschlüsselung mit
Zufallsdaten anzureichern, hatten die Hacker besonders
24
leichtes Spiel.
ÌÌ D
er nächste Kandidat war die Dating-Webseite eHarmony.
1,5 Mio der eigenen Passwörter wurden im Rahmen des
gleichen Angriffs, der auch LinkedIn heimgesucht hatte,
25
ins Internet hochgeladen.
ÌÌ A
uch Formspring musste feststellen, dass 420.000
seiner Userdaten gestohlen und im Internet veröffentlicht
worden waren. Das soziale Netzwerk forderte daraufhin
alle 28 Mio. Mitglieder dazu auf, ihr Passwort als
26
Vorsichtsmaßnahme zu ändern.
ÌÌ W
enig später räumte Yahoo Voices ein, dass fast 500.000
27
seiner E-Mails und Passwörter gestohlen worden waren.
ÌÌ G
leichzeitig wurde der Technologiekonzern Philips von der
so genannten r00tbeer-Bande heimgesucht, die Tausende
Namen, Telefonnummern, Adressen und unverschlüsselte
28
Passwörter erbeutete.
ÌÌ IEEE, der weltweit größte Berufsverband für Ingenieure,
hinterließ eine Protokolldatei mit fast 400 Mio.
Webanfragen in einem für alle einsehbaren Verzeichnis.
Die Anfragen enthielten Benutzernamen und Passwörter
29
von nahezu 100.000 Usern in Reintext.
Security Threat Report 2013
11
Java-Angriffe erreichen kritisches Ausmaß
Mehr über moderne
Bedrohungen
erfahren
Klären Sie Ihre
Mitarbeiter mit unseren
kostenlosen IT Security
DOs und DON'Ts über den
sicheren Umgang mit ITSystemen auf.
Fünf Tipps zur
Eindämmung von
Risiken durch moderne
Bedrohungen aus dem
Internet
Was können Sie von diesen Datenverlusten
lernen – abgesehen von dem Wunsch, zu
verhindern, dass Ihnen Vergleichbares widerfährt?
Wenn Sie ein Anwender sind:
ÌÌ Verwenden Sie sichere Passwörter und nutzen Sie auf jeder Webseite, die
persönliche Informationen speichert, ein anderes Passwort.
ÌÌ Setzen Sie eine Software zur Passwortverwaltung ein: z.B. 1Password,
KeePass oder LastPass. Einige dieser Tools generieren sogar schwer zu
30
knackende Passwörter für Sie.
Wenn Sie für Passwortdatenbanken verantwortlich sind:
ÌÌ Speichern Sie Passwörter niemals im Klartext.
ÌÌ Versehen
Sie Ihre Passwörter vor dem Hashen und Verschlüsseln immer
mit einer Zufallsvariable („Salt“).
ÌÌ Hashen
Sie Ihr Passwort vor dem Speichern nicht nur einmal. Mehrmaliges
Hashen erschwert das Testen Ihrer Passwörter im Angriffsfall deutlich.
Zum Verschlüsseln eignen sich am besten anerkannte Algorithmen wie
bcrypt, scrypt oder PBKDF2.
ÌÌ Vergleichen
Sie potenzielle Schwachstellen Ihrer Webseite mit den
Top-Ten-Sicherheitsrisiken des Open Web Application Security Project
(OWASP) und konzentrieren Sie sich vor allem auf wahrscheinliche
Passwortschwachstellen, die mit einem fehlerhaften Authentifizierungs31
verfahren und/oder Session Management in Zusammenhang stehen.
ÌÌ S
chützen Sie zudem Ihre Datenbank, Ihr Netzwerk und Ihre Server mit
mehrschichtigen Abwehrsystemen.
Security Threat Report 2013
12
Android:
Aktuelles Hackerziel
Nummer 1
Basierend auf Forschungsergebnissen aus den SophosLabs
Allein im 2. Quartal 2012 wurden 100 Mio. AndroidTelefone ausgeliefert. und eine in den USA im
September 2012 durchgeführte Umfrage ermittelte einen
Android-Marktanteil von 52,2 %. Angriffsziele solcher
Größenordnung sind für Malware-Entwickler einfach
unwiderstehlich. Und sie widerstehen auch nicht –
Angriffe auf Android nehmen rasend schnell zu. Auf den
folgenden Seiten geben wir Ihnen einige Beispiele und
wagen einen Ausblick auf die weitere Entwicklung. Wir
fragen: Wie gefährlich sind diese Angriffe wirklich?
Werden sie sich ausweiten oder zuspitzen? Und welche
Maßnahmen sollten IT-Organisationen und
Einzelpersonen treffen, um sich zu schützen?
32
33
Security Threat Report 2013
13
Android: Aktuelles Ziel Nummer 1
Einfach gestrickt, aber äußerst lukrativ:
Fake-Software, unautorisierte SMS-Nachrichten
Heutzutage besteht das beliebteste
Geschäftsmodell für Android-MalwareAttacken darin, gefälschte Apps zu
installieren, die heimlich teure Nachrichten
an Premium-SMS-Dienste senden. Weitere
Malware-Highlights sind Fake-Versionen
von Angry Birds Space oder Instagram
sowie gefälschte Virenschutzsoftware für
34
Android. Im Mai 2012 deckte die britische
Mobilfunkregulierungsbehörde auf, dass
in UK insgesamt 1.391 Android-User von
einem der genannten Scams betroffen
waren. Die Behörde verurteilte das für
die Scam-Zahlungen verantwortliche
Unternehmen zu einer Geldstrafe,
unterbrach den Zahlungsverkehr und
forderte Rückerstattungen für die bereits
Geschädigten. Dabei machen die UKBenutzer nur etwa 10 % der von dieser
Malware betroffenen Opfer aus. Der Scam
wurde mittlerweile in mindestens 18
Ländern gesichtet.
Mehr über mobile
Sicherheit erfahren
Momentan ist eine einzige Android-Malwarefamilie namens Andr/Boxer für knapp ein
Drittel aller von uns beobachteten AndroidMalware-Samples verantwortlich. Andr/
Boxer ist an .ru-Domains mit Host in der
Ukraine gekoppelt und verbreitet russische
Meldungen. Die überwiegende Mehrheit der
Opfer sind osteuropäische Android-User, die
Webseiten besuchen, auf denen angeblich
Fotos attraktiver Frauen zu sehen sind.
Einmal auf diesen Webseiten gelandet,
werden die Besucher durch geschickte
Webseitengestaltung dazu animiert, einen
Download zu aktivieren, hinter dem sich eine
bösartige App verbirgt. Benutzer werden
z.B. dazu aufgefordert, ein gefälschtes
Update für Produkte wie Opera oder
Skype zu installieren. In einigen Fällen
wird auch ein gefälschter Antiviren-Scan
durchgeführt, der angebliche Infektionen
meldet und die Installation eines FakeVirenschutzprogramms empfiehlt.
Kostenloses Tool:
Mobile Security für
Android
Mobile-Security-Toolkit
Mobile Device
Management Buyers
Guide
Wenn Malware mobil
wird
Vanja Svajcer aus den
SophosLabs erklärt
Android-Malware
(englisches Video)
Android-Bedrohungen nehmen Fahrt auf
In Australien und den USA verzeichnen wir bereits eine Threat Exposure Rate für
Android-Geräte, die diejenige für PCs übertrifft.
Android Threat Exposure Rate
TER Android
TER PC
60
50
40
30
20
10
Australien
Brasilien
Vereinigte
Staaten
Sonstige
Malaysia Deutschland
Indien
Frankreich Vereinigtes
Königreich
Iran
Die Threat Exposure Rate (TER) erfasst den prozentualen Anteil attackierter PCs
und Android-Geräte innerhalb von drei Monaten.
Quelle: SophosLabs
Security Threat Report 2013
14
Gleich nach der Installation beginnt die
App damit, teure SMS-Nachrichten zu
versenden. Viele dieser Trojaner enthalten
zudem die bei Android ausführbare
„INSTALL_PACKAGES“-Berechtigung.
Diese sorgt dafür, dass Trojaner zu einem
späteren Zeitpunkt zusätzliche Malware
herunterladen und installieren können.
Anschluss ans Botnet
Bis vor kurzem waren Angriffe mit
gefälschter Software auf Android-Geräte
relativ einfach gestrickt. Viele der Attacken
bedienten sich primitiver polymorpher
Methoden (z.B. willkürliche Auswahl von
Grafiken zur Abänderung der Prüfsummen),
um nicht erkannt zu werden. Alle größeren
IT-Security-Anbieter wissen bereits seit
Jahren, wie sie solchen Tricks begegnen
können.
Aber die Hacker machen Fortschritte.
Denken Sie beispielsweise an die infizierten
Versionen von Angry Birds Space (Andr/
KongFu-L), die im April 2012 auftauchten.
Diese nur über inoffizielle Android-AppMärkte erhältlichen Trojaner verfügen
über die gleichen Spielfunktionen wie
das Original. Um sich Root Access zu
verschaffen, Schadcode zu installieren,
Funktionen zum Herunterladen und
Installieren zusätzlicher Malware zu
aktivieren oder mit einer Remote-Webseite
zu kommunizieren, kommt zusätzlich noch
der sogenannte GingerBreak-Exploit zum
Einsatz. Dieser Softwaretrick verhindert,
dass Schadprogramme erkannt und
entfernt werden. Gleichzeitig erfolgt die
Eingliederung der betroffenen Geräte in ein
globales Botnet.
Security Threat Report 2013
Abgefangene SMS gefährden
Ihr Bankkonto
In jüngster Zeit beobachten wir verstärkt
Android-Malware, die SMS-Nachrichten
ausspioniert und sie an andere SMSNummern oder Server weiterleitet.
Von dieser Art des Datenverlusts geht
ein erhebliches Risiko aus – sowohl für
Privatpersonen als auch für Unternehmen
und Einrichtungen.
Es besteht nämlich die Gefahr, dass diese
Angriffe es auf Internet-Bankingdienste
abgesehen haben, die mobile Transaktionsnummern per SMS versenden. Viele
Banken senden bei jeder Online-Transaktion
Authentifizierungscodes per SMS ans Handy.
Um ein Konto zu plündern, reicht es also
nicht mehr aus, das Passwort zu kennen.
Sobald ein Handy jedoch mit entsprechender
Malware infiziert ist (z.B. Andr/Zitmo),
können Transaktionsnummern in SMSNachrichten abgefangen werden.
Stellen Sie sich folgendes Szenario vor.
Über einen konventionellen Phishing-Angriff
erhalten Kriminelle genug Informationen, um
sich in ein mobiles Bankkonto einzuloggen
und auch das Handy des Opfers aus der
Ferne zu kontrollieren (solche Fälle sind
bereits bekannt). Die Kriminellen können
sich nun in das Online-Banking-Konto einloggen und erhalten zusätzlich per SMS den
zweistufigen Authentifizierungstoken, mit
dem Sie eine Transaktion abwickeln können.
Naked SecurityUmfrage
Ist Smartphone-SMS/TXTSpam ein Problem für Sie?
J
a
43,78 %
J
a, aber ich
habe eine App
heruntergeladen,
die das Problem
behoben hat
2,36 %
N
ein – ich erhalte
sehr selten/nie
SMS-Spam auf
meinem Handy 45,29 %
Basierend auf 552 Teilnehmern
Quelle: Naked Security
Unter Einsatz einer schädlichen AndroidApp, die SMS in Echtzeit und in Kombination
mit einer Social Engineering-Attacke
abfängt, erhalten die Angreifer innerhalb
eines kurzen Zeitfensters die Möglichkeit,
den Token zu stehlen. Das Opfer hat keine
Chance einzugreifen.
15
Android: Aktuelles Ziel Nummer 1
PUAs: Keine echte Malware, aber
trotzdem gefährlich
Neben Malware lohnt sich auch ein Blick auf die weit
verbreiteten, potenziell unerwünschten Anwendungen
(PUA). Bei PUAs handelt es sich u.a. um Android-Apps,
die streng genommen keine Malware sind, aber trotzdem
Schaden anrichten können.
Erstens haben viele Benutzer Apps installiert, die mit
aggressiven Werbenetzwerken verbunden sind. Diese
verfolgen Geräte sowie deren Standorte nach und können
im Zweifelsfall sogar Kontaktdaten abfangen. Nicht
selten finanzieren sich diese Apps über pornografische
Werbeanzeigen. Viele Unternehmen möchten den Zugriff
auf solche Apps aufgrund von Datenschutzbedenken
unterbinden oder wollen Mitarbeiter vor unangemessenen
Inhalten und einer potenziell schädlichen Arbeitsumgebung
schützen.
Zweitens haben einige, technisch besonders versierte
Android-Benutzer sich dazu entschlossen, das Programm
Andr/DrSheep-A auf ihren Geräten zu installieren. Ähnlich
wie das bekannte Desktop-Tool Firesheep kann Andr/
DrSheep-A drahtlosen Netzwerkverkehr mitlesen und
unverschlüsselte Cookies von Webseiten wie Facebook und
Twitter abfangen. Eigentlich ist das Tool dafür gedacht, das
eigene Netzwerk zu testen. Tatsächlich dient es jedoch nicht
selten dazu, sich als anderer Benutzer auszugeben, der sich
in der Nähe befindet, allerdings nichts von der „Übernahme“
mitbekommt. Bei Scans haben wir Andr/DrSheep-A auf
2,6 % aller mit Sophos Mobile Control gesicherten AndroidGeräte gefunden. IT-Abteilungen von Unternehmen werden
die Installation solcher Tools höchstwahrscheinlich nicht
erlauben.
Wenn Sie Ihr Gerät „rooten“, räumen Sie Software volle
Android-Administratorrechte ein. Tatsächlich stammt die
Bezeichnung auch vom Administratorkonto, das auf UNIXartigen Betriebssystemen wie Android „Root“ genannt
wird. Roots sind beliebt, da sie Usern mehr Kontrolle über
ihre Geräte ermöglichen – sie können z.B. unerwünschte
Software-Add-ons entfernen und diese durch Programme
der eigenen Wahl ersetzen.
Security Threat Report 2013
Rooting umgeht das in Android integrierte Sicherheitsmodell,
mit dem der Zugriff von Apps auf die Daten anderer Apps
beschränkt werden soll. Allerdings ist es auch für Malware
einfacher, auf gerooteten Geräten volle Zugriffsrechte zu
erlangen und unerkannt zu bleiben. Für IT-Organisationen,
die den Netzwerkzugriff privater Geräte am Arbeitsplatz
unterstützen, stellt das Rooten von Android-Geräten eine
zusätzliche Gefahr dar.
Risiken bekämpfen, solange sie noch
beherrschbar sind
In den meisten Unternehmensumgebungen sind die von
Android ausgehenden Gefahren für die IT-Sicherheit noch
vergleichsweise gering. Das Risiko steigt jedoch. Google hat
seine Plattform mittlerweile zwar gegen offensichtliche
Bedrohungen gesichert, aber ständig tauchen neue Angriffe
auf. Einige Sicherheitsexperten befürchten z.B. eine
starke Zunahme des Gefahrenpotenzials durch Near Field
Communication (NFC). Dank dieser Technik sollen AndroidGeräte in Zukunft wie Kreditkarten funktionieren.
Aber schon heute kann Android-Malware die Zukunft
von Unternehmen aufs Spiel setzen, wenn strategische
Informationen in Umlauf gelangen oder Passwörter
gestohlen werden. Vor diesem Hintergrund sollten ITOrganisationen ihre Android-Geräte unbedingt vor Malware,
Datenverlust und sonstigen Bedrohungen schützen. Dazu
empfehlen wir die folgenden Maßnahmen. Vergessen Sie
aber nicht, dass keiner dieser Tipps narrensicher oder einzeln
genommen ausreichend ist. Aber in den meisten Fällen
können sie schon viel bewirken.
ÌÌ W
eiten Sie Ihre IT-Sicherheit und Nutzungsrichtlinien auf
Android-Geräte aus.
ÌÌ Verweigern Sie den Zugriff auf gerootete Android-Geräte.
ÌÌ Z
iehen Sie eine umfassende Geräteverschlüsselung
in Betracht, um sich vor Datenverlusten zu schützen,
und ermöglichen Sie für verloren gegangene oder
gestohlene Geräte eine Remote-Löschung. Wenn Sie sich
16
für eine Verschlüsselung entscheiden, sollten Sie eine
Lösung wählen, die auch optionale SD-Karten selbst bei
unterschiedlicher Formatierung verschlüsseln kann.
ÌÌ W
enn möglich, sollten Sie automatische Prozesse zur
Aktualisierung von Android-Geräten einrichten, damit
diese sicherheitstechnisch immer auf dem neuesten
Stand bleiben. Spielen Sie Sicherheitspatches des
Herstellers und Patches von Anbietern ergänzender
Softwareanwendungen immer zeitnah ein.
ÌÌ Ü
berlegen Sie, ob es sinnvoll ist, auf Android-Geräten nur
noch die Installation von Apps aus Googles offiziellem
Play Store zu erlauben. Zwar ist auch schon im Play Store
Malware aufgetaucht, allerdings in einem viel geringeren
Umfang als in vielen anderen inoffiziellen App-Märkten,
die meist in Osteuropa und Asien beheimatet sind.
ÌÌ W
enn Sie App Stores freigeben, sollten Sie lediglich
Zugriff auf Apps mit positiver Vorgeschichte und guten
Bewertungen erteilen.
ÌÌ G
ehen Sie Social Engineering-Angriffen aus dem Weg und
helfen Sie Ihren Kollegen, solche Attacken zu vermeiden.
Hierzu müssen Sie die Berechtigungen, die eine App bei
ihrer Installation erbittet, sorgfältig prüfen. Wenn Ihnen
z.B. kein guter Grund dafür einfällt, warum eine App SMS
versenden können sollte, sperren Sie diese Funktion
einfach. Und überlegen Sie sich immer zwei Mal, ob Sie die
35
App auch wirklich installieren möchten.
über cloudbasierte Infrastrukturen im Bedarfsfall
sofort reagieren zu können. Der dritte und aufgrund
der Komplexität heutiger Infrastrukturen besonders
wichtige Punkt ist ein Lösungsansatz, der über reinen
Virenschutz hinausgeht. Heute geht es darum, vielfältige
Problembereiche abzudecken – von Netzwerken bis hin zu
Verschlüsselungsverfahren.
Naked Security-Umfrage
Was ist für Sie beim Installieren einer App auf Ihrem
Android-Gerät am wichtigsten?
R
uf des
Entwicklers
43,78 %
B
eliebtheit der
Anwendung
28,65 %
P
reis der App
13,24 %
D
ownloadort
14,32 %
Basierend auf 370 Teilnehmern
Quelle: Naked Security
ÌÌ Z
iehen Sie zuletzt den Einsatz einer Anti-Malware- und
Mobile Device Management-Lösung auf Ihren AndroidGeräten in Betracht. Wir empfehlen Ihnen Sophos Mobile
Control. Egal, für welche Lösung Sie sich letztendlich
entscheiden: Wählen Sie auf jeden Fall einen Anbieter
mit umfangreicher Erfahrung sowohl in Sachen AntiVirus als auch umfassender IT-Security-Lösungen.
Warum? Erstens, weil Angriffstechniken von Android
auf andere Plattformen abwandern. Ihr Lösungsanbieter
sollte bereits wissen, wie er in diesem Fall reagieren
sollte. Zweitens, weil Angriffe immer schneller in Umlauf
geraten und sich mit rasender Geschwindigkeit weiter
entwickeln. Ihr Anbieter sollte ein globales System
zur Gefahrenerkennung besitzen und in der Lage sein,
Security Threat Report 2013
17
Vielfältige Plattformen
und Technologien
erweitern die
Angriffsfläche
Früher basierten fast alle Computersysteme auf
Windows. Angreifer konzentrierten ihre Angriffe
deshalb auf dieses Betriebssystem. Entsprechend
stand bei den Verteidigern Windows im Fokus. Diese
Zeiten sind vorbei.
Dennoch standen Windows-spezifische Sicherheitslücken und Schwachstellen natürlich
auch 2012 auf der Tagesordnung. Unter anderem stellte sich die Windows Sidebar in
Windows Vista/Windows 7 als so unsicher heraus, dass Microsoft sie entfernte und Kunden
Programme zur Deaktivierung zur Verfügung stellte.
Die Windows Sidebar hatte Mini-Programme (Gadgets) wie Nachrichten oder Aktienund Wettermeldungen angezeigt. Diese Angebot sollte Microsofts Antwort auf Apples
beliebtes Dashboard und die Widgets sein. Die Sicherheitsexperten Mickey Shkatov und
Toby Kohlenberg verkündeten jedoch, zahlreiche Angriffsvektoren auf Windows Gadgets
36
identifizieren zu können. Als Reaktion ließ Microsoft sowohl die Sidebar als auch die
Gadgets so schnell wie möglich in der Versenkung verschwinden und entwickelte für
Windows 8 ein komplett neues App-Konzept.
Während die meisten Computer-Benutzer nach wie vor mit Windows arbeiten, findet die
Entwicklung hauptsächlich andernorts statt – im Internet und auf mobilen Plattformen.
Unternehmen und private User müssen sich daher auf Sicherheitsrisiken in neuen
Umgebungen (z.B. Android-Geräte) einstellen.
Im Folgenden haben wir einige Sicherheitsvorfälle des vergangenen Jahres zusammengestellt, die einen Vorgeschmack darauf geben, was uns bevorsteht und warum wir unsere
Abwehr in Zukunft vielschichtiger, proaktiver und umfassender gestalten müssen.
Security Threat Report 2013
18
ÌÌ Im Februar 2012 identifizierte ein Hacker
Cross-Site Scripting (XSS)-Sicherheitslücken in 25 britischen Online-Shops,
die von VeriSign, Visa oder MasterCard
37
als sicher zertifiziert worden waren.
Kriminelle können unter Ausnutzung
dieser XSS-Sicherheitslücken Anmeldeinformationen und Kundenrechnungsdaten
stehlen. Ursache für diesen Hack war
ein bekanntes Problem: ein schlecht
geschriebenes Skript zur Filterung
von Suchanfragen. Dieser Vorfall
macht deutlich, dass Versprechen und
Kennzeichnungen allein kein Garant
für hinreichende Sicherheit sind. Ein
https://, das Schloss-Symbol oder das
VeriSign Trusted-Logo sind noch lange
kein Grund, dass Sie sorglos im Internet
surfen können. Besonders professionelle
Webdesigner sollten sich dies zu Herzen
nehmen und ihre Anwendungen und
Skripts regelmäßig aktualisieren. Dazu
gehören übrigens auch Skripts anderer
Autoren.
ÌÌ Im August 2012 entdeckte Sophos eine
Malware-Kampagne, die versuchte,
Computer mithilfe des berüchtigten
Blackhole-Exploit-Kits zu infizieren.
Tausende selbst gehosteter WordPressWebseiten dienten als Plattform für die
38
Attacke. Benutzer erhielten E-Mails
zur „Auftragsprüfung“ mit Links zu
legitimen WordPress-Blogs, die zuvor zum
Herunterladen von Malware manipuliert
worden waren. Benutzer des gehosteten
WordPress.com-Services sind nicht
gefährdet: Der Service-Provider Automatik
kümmert sich selbst um die Sicherheit.
ÌÌ Z
ahlreiche andere Hackerangriffe haben
zumindest theoretisch bewiesen, dass sie
für Angriffsszenarien so ziemlich alles
nutzen können – von Fahrkarten für den
Security Threat Report 2013
öffentlichen Nahverkehr bis hin zu hochmodernen Smartphones mit aktivierter
39
Near Field Communication (NFC).
Naked SecurityUmfrage
Welchen Webbrowser
empfehlen Sie?
Wiederauferstehung der
Ransomware
Einige Angriffsarten treten zyklisch auf.
Selbst, wenn bestimmte Malwareformen seit
Jahren besiegt zu sein scheinen, ist deren
Anwendung so einfach, dass Cyberkriminelle
immer wieder auf sie zurückgreifen. 2012
erlebten wir beispielsweise die Wiederauferstehung von Ransomware-Attacken,
bei denen Benutzer aus ihren eigenen
PCs ausgesperrt werden und erst gegen
Bezahlung wieder Zugriff erhalten.
Dabei ist Ransomware alles andere als
neu. Bereits 1989 befand sich einfachste
Ransomware per Postversand in Umlauf.
Diese versprach Software zur Aufklärung
über HIV/AIDS, in Wirklichkeit wurde jedoch
die Festplatte der Opfer verschlüsselt.
Anschließend wurden die Benutzer
aufgefordert, 189 US-Dollar per Scheck
oder internationaler Postanweisung an eine
40
Adresse in Panama zu zahlen.
Internet Explorer
5,95 %
C
hrome
28,9 %
F
irefox
23,09 %
S
afari
3,25 %
O
pera
36,75 %
K
eine Präferenz
2,06 %
Basierend auf 370 Teilnehmern
Quelle: Naked Security
Aktuelle Ransomware bedient sich
modernerer Methoden. Dazu gehören vor
allem mit Social Engineering manipulierte
E-Mails und kompromittierte Webseiten.
Eine Variante der Ransomware friert
„lediglich“ Ihren PC ein und stellt dann
Geldforderungen. Ihre Dateien bleiben in
diesem Fall intakt. Diese Infektionen sind
zwar störend, können jedoch im Normalfall
schnell behoben werden. Die zweite und
aggressivere Ransomware-Art sorgt für
absolutes Chaos auf Ihrem Rechner. Die
Folgen sind ebenso katastrophal wie der
Verlust des Laptops oder ein kompletter
Festplattenausfall.
19
Diversifizierte Plattformen und Technologien eröffnen immer mehr Angriffsziele
Momentan ist Ransomware des ersten
Typs am meisten verbreitet. Ein Vertreter
ist Reveton, auch bekannt als Citadel
oder Troj/Ransom. Die Malware versteckt
den Windows-Desktop, sperrt Sie aus
allen Programmen aus und zeigt ein
Vollbildfenster mit einem Logo des FBIs oder
einer anderen nationalen Polizeibehörde
an. Dort werden Sie mit der Behauptung
konfrontiert, dass illegal heruntergeladenes,
urheberrechtlich geschütztes Material auf
Ihrem Computer gefunden wurde und dass
Sie eine Geldbuße (meist 200 USD) zahlen
müssen, um den Zugriff wieder herzustellen.
Dieser Angriff kann mittels Reboot zu
einem Anti-Virus Programm mit eigenem
Betriebssystem und entsprechendem
Umgehen von Windows abgewehrt werden
(z.B. Sophos Bootable Anti-Virus).
Sobald dieses Tool aktiviert ist, können Sie
Ihre Systeme scannen und wiederherstellen
41
sowie Infektionen entfernen.
Security Threat Report 2013
Leider entdecken wir auch immer mehr
Infektionen, die Festplatten vollständig
verschlüsseln. Der zum Entschlüsseln
nötige Code befindet sich dabei in den
Händen der Angreifer. Im Juli 2012 ging uns
außerdem eine Ransomware-Variante ins
Netz, die damit drohte, die Polizei mit einem
„Spezialpasswort“ zu kontaktieren, mit dem
angeblich Kinderpornos auf dem Computer
42
des Opfers enttarnt werden könnten.
In fast allen genannten Fällen hätte eine
aktuelle Virenschutzsoftware die Installation
und Ausführung von Ransomware
verhindern können. Wenn ihr PC allerdings
ungeschützt ist und Sie in die Fänge
verschlüsselnder Ransomware geraten,
ist es höchstwahrscheinlich zu spät. Einige
Ransomware-Verschlüsselungen können
rückgängig gemacht werden (Sophos hat
kostenlose Tools, die ggf. helfen können).
Allerdings nur dann, wenn die Kriminellen
bei der Verschlüsselung Fehler begangen
haben. In vielen Fällen ist jedoch jede
Hoffnung vergebens. Vorbeugen ist daher
immer der beste Schutz.
Mehr über Malware
erfahren
TOP 5 Mythen über
sicheres Surfen im Internet
James Lyne, Director
of Technology Strategy,
erklärt Ransomware
(englisches Video)
20
OS X und der Mac:
Mehr User = erhöhtes
Gefahrenpotenzial
Mit Forschungsergebnissen aus den SophosLabs
Viele Malware-Entwickler fanden es bislang einträglicher, Windows anzugreifen, anstatt sich neues Wissen
zum Angriff der kleineren OS X-Benutzer community
anzueignen. Inzwischen halten jedoch tausende Macs
in Unternehmen sowie Behörden Einzug und MalwareAutoren gewinnen zusehends Interesse.
Forrester Research-Analyst Frank Gillette berichtete vor kurzem, dass „fast die Hälfte
aller Unternehmen (1.000 Mitarbeiter und mehr) zumindest an einen Teil ihrer Mitarbeiter
43
Macs ausgeben und den Mac-Anteil 2012 um 52 % erhöhen möchten.“ Über Modelle zur
Nutzung von Privatgeräten am Arbeitsplatz gelangen noch mehr Macs über die Hintertür ins
Unternehmen. Diese Geräte werden häufig von Führungskräften zum Surfen im Internet und
für Cloud-Anwendungen genutzt. Infolge der wachsenden Beliebtheit von Macs müssen viele
IT-Organisationen Mac-Malware erstmals intensiv analysieren und bekämpfen. Gleichzeitig
steigen die Risiken immer weiter an.
Security Threat Report 2013
21
OS X und der Mac: Mehr User, mehr Gefahren
Fake Anti-Virus und Flashback:
Wachsende Mobilität nach Windows-Vorbild
2012 ging eine schier unendliche Schädlingsflut auf die Mac-Community nieder, hinter
der die Malware-Familie MacDefender
steckte. Diese Malware war die erste
bedeutende Fake-Anti-Virus Attacke auf
den Mac. Sie wurde über kompromittierte,
legitime Seiten in Umlauf gebracht.
Wir gehen hier im Speziellen auf
MacDefender ein, weil dieser Schädling ein
gutes Beispiel dafür ist, dass Mac-Malware
oft in die Fußstapfen älterer WindowsAngriffe tritt. Um die Zukunft von MacMalware vorauszusehen, hilft es also, sich
an den Problemen der Windows-Benutzer
zu orientieren. Mac-Admins müssen z.B. zu
Recht neue, auf Macs zugeschnittene und auf
serverseitigem Polymorphismus basierende
Angriffe erwarten.
Im Frühjahr 2012 gelang es den Entwicklern
des Flashback Botnets (OSX/Flshplyr)
mit einer Mischung aus altbekannten
MacDefender-Tricks und trickreichen,
selbst entwickelten Verfahren, über
600.000 Macs zu infizieren. Zu Beginn der
Attacke trat Flashback Ende 2011 zunächst
als gefälschter Adobe Flash-Installer
in Erscheinung. Im April 2012 begann
Flashback dann, sich unter Ausnutzung einer
Java-Schwachstelle, die im Gegensatz zu
Windows unter OS X wochenlang ungepatcht
blieb, als Drive-By-Download zu installieren.
Apple patchte schließlich OS X 10.7 und
10.6, allerdings nicht die Vorgängerversionen.
Auf dem Höhepunkt der Infektion
identifizierte der kostenlose Virenschutz
von Sophos auf etwa 2,1 % der von ihm
geschützten Macs Flashback-Malware.
Zwar konnten sowohl MacDefender als
auch Flashback in ihre Schranken verwiesen
werden. Die Beispiele zeigen jedoch, dass die
Mac-Malware zunehmend an Schlagkraft
gewinnt. So konnten wir beobachten, dass
die Autoren 2012 ihre Zustellungsstrategien
für bereits existierende Malware veränderten
und sich auf neue Zero-Day-Exploits
konzentrierten.
Mac OS X-Malware-Snapshot
In einer normalen Woche finden die SophosLabs auf Mac-Computern 4.900 OS X-Malwareschädlinge. Dieses Diagramm ist eine Momentaufnahme der in der Woche vom 1. bis zum 6.
August 2012 aufgedeckten Mac-Malware.
O
SX/FkCodec-A
O
SX/Flshplyer-D
3,2 %
O
SX/FakeAV-DWN 13,28 %
O
SX/FakeAV-A
2,8 %
O
SX/FakeAVZp-C
13 %
O
SX/DnsCha-E
2,7 %
O
SX/FakeAVDI-A
8,6 %
O
SX/RSplug-A
2,4 %
O
SX/FakeAV-DPU
7,1 %
O
SX/Flshplyr-E
2,4 %
O
SX/FakeAVDI-B
6,2 %
O
SX/FakeAV-FNV
2,3 %
O
SX/SafExinj-B
4,1 %
O
SX/Jahlav-C
2,1 %
O
SX/FakeAV-FFN
3,3 %
26 %
Security Threat Report 2013
Quelle: SophosLabs
22
Morcut/Crisis: Ausgereifter und
potenziell gefährlicher
Gefälschte Virenschutzsoftware spült normalerweise Geld in
die Kassen von Cyberkriminellen , indem sie Benutzer dazu
bringt, ihre Kreditkartendaten für den Kauf überflüssiger
Software preiszugeben. Für die meisten Unternehmen war
die Gefahr durch Fake Anti-Virus bislang überschaubar.
Von Malware wie OSX/Morcut-A (alias Crisis), die erstmals
Ende Juli 2012 entdeckt wurde, geht jedoch eine höhere
Gefährdung aus.
Morcut wurde speziell zu Spionagezwecken entwickelt und
kann aus der Ferne praktisch alle Kommunikationswege
von Benutzern nachverfolgen: Mauskoordinaten, IM,
Skype-Anrufdaten, Standortinformationen, Webcams und
Mikrophone, Zwischenablage, Tastaturanschläge, ausgeführte Apps, Internet-URLs, Screenshots, Kalender- und
Adressbucheinträge, Benachrichtigungen, Gerätedaten und
sogar Metadaten von Dateisystemen.
Mehr über das
steigende OS X-Risiko
erfahren
Kostenloses Tool:
Sophos Anti-Virus für Mac
Andrew Ludgate aus
den SophosLabs erklärt
Mac-Malware (englisches
Video)
Morcut tritt als Java-Archivdatei (JAR) in Erscheinung und
gibt vor, von VeriSign digital signiert worden zu sein. Wenn
ein User Morcur in die Falle geht, installiert das Spionagetool
mehrere Kerneltreiberkomponenten, um sich ohne
Administratorauthentifizierung verbergen und ausführen
44
zu können : eine Backdoor-Komponente, die den Mac für
andere Netzwerknutzer öffnet, um Remote-Anweisungen zu
akzeptieren sowie sein Verhalten anzupassen und, besonders
wichtig, Codes zum Stehlen von Benutzerdaten.
Bei entsprechender Ausbreitung kann Morcut die interne
Sicherheit und Compliance in Unternehmen ernsthaft
gefährden. Diese Malware ist besonders für Angriffe
geeignet, bei denen Informationen über ausgewählte und
bekannte Mac-User abgefangen werden sollen.
Im Gegensatz zu seinen Vorgängern demonstriert Morcut
darüber hinaus ein äußerst fundiertes Verständnis der
Mac-Programmierungsverfahren, -Funktionen und
Schwachstellen.
Ähnliche Backdoor-Techniken tauchten bereits vermehrt
auf. So konnten wir vor kurzem beobachten, dass Morcut
erstmals in ein Kit integriert wurde. NetWrdRC-A ist primitiv,
45
voller Fehler und einfach auszuhebeln. Das Kit ist aber
nur ein Vorgeschmack auf geschicktere Angriffe, die uns in
Zukunft erwarten.
Security Threat Report 2013
23
OS X und der Mac: Mehr User, mehr Gefahren
Windows-Malware, die sich still und
heimlich auf Macs verbirgt
Aktuelle OS X Sicherheitsvorkehrungen
und ihre Grenzen
Bei der meisten auf Macs gefundenen Malware handelt es
sich um Windows-Malware. In der Vergangenheit haben
Mac-User diesem Umstand wenig Beachtung geschenkt,
da sie davon ausgingen, dass diese Malware ihrem System
nichts anhaben kann. Dabei vergessen sie aber schlicht, dass
sie durchaus Windows-Computer gefährden können. Dieses
Bewusstsein ist bei IT-Administratoren, die Umgebungen
mit zahlreichen unterschiedlichen Plattformen verwalten,
ganz anders ausgeprägt. Darüber hinaus können WindowsPartitionen von Dual-Boot-Macs sowie virtualisierte
Windows-Sitzungen, die unter Parallels, VMware, VirtualBox
oder dem Open Source-Programm WINE ausgeführt werden,
sehr wohl infiziert werden.
Mac OS X basiert ursprünglich auf BSD UNIX und
verfügt über ein robustes Sicherheitsmodell. Mit der
Veröffentlichung von OS X 10.6 Snow Leopard im Jahr 2009
führte Apple beschränkte Malware-Scans ein. Dies erfolgte
auf Basis des Launch Services Quarantine-Systems und
mit XProtect-Technologie. Mitte 2011 wurde XProtect ein
dynamischer Push Update Service mit besserer Erkennung
und Bereinigung von Malware-Dateien eingeführt.
Zudem laden Mac-User, die gelegentlich Zugriff auf
Windows-Programme benötigen, das gewünschte Programm
u.U. von Drittanbietern herunter und erstellen durch Einsatz
eines downloadbaren Generators möglicherweise illegal
einen Lizenzschlüssel. Bei diesem Vorgang stoßen sie häufig
auf Malware wie Mal/KeyGen-M, eine Familie trojanisierter
Lizenzschlüsselgeneratoren, die wir auf etwa 7 % aller von
uns untersuchten Macs identifizieren konnten.
Eine andere, weit verbreitete Quelle für Windows-Malware
sind heutzutage gefälschte Film- oder TV-Dateien für
Windows Media. Diese Dateien enthalten Weblinks mit
automatischer Weiterleitung, die mit Codecs zum Abspielen
von Videos locken, in Wirklichkeit jedoch Zero-Day-Malware
im Gepäck haben. Zwar sind Windows Media-Dateien nur
selten auf Macs ausführbar, aber dennoch nutzen viele MacUser diese Dateien, um ihre „Download-Raten“ auf privaten
Tracker-Webseiten zu verbessern. Dabei merken sie oft
gar nicht, dass sie es mit Malware zu tun haben. WindowsBenutzer versuchen dann, die Videos abzuspielen und
werden infiziert.
Security Threat Report 2013
Mitte 2012 führte Apple mit OS X 10.8 Mountain Lion
Gatekeeper ein. Dieses Feature verwaltet Berechtigungen
zur Ausführung von Codes, die von zugelassener Software
stammen. In der Standardeinstellung autorisiert Gatekeeper
Software vorab, die mit einem offiziellen Apple Entwicklerschlüssel signiert ist und der bislang noch nicht wegen
Missbrauchs blockiert wurde.
Gatekeeper stellt eine erhebliche und willkommene
Verbesserung der Mac-Sicherheit dar, ist jedoch ebenfalls
nur eine Teillösung. Denn über USB kopierte, bereits auf dem
Computer befindliche oder direkt von einem Computer zum
anderen kopierte Software umgeht Gatekeeper. Dasselbe
gilt für nicht standardisierte Dateiübertragungssysteme
wie BitTorrent. Außerdem können einzelne Benutzer mit
Anmeldeinformationen des Administrators die GatekeeperStandardeinstellungen so verändern, dass unsignierte Apps
46
sich ohne Benachrichtigung installieren lassen.
Benutzer und laufende Prozesse können darüber hinaus
nach wie vor die LSQuarantine-Kennzeichnung von Dateien
entfernen. Anstatt des Doppelklicks können unsignierte
Programme über einen einfachen Rechtsklick und die
Auswahl der Option „Öffnen“ autorisiert werden. Auf OS
X-Vorgängerversionen von 10.8 ist Gatekeeper noch nicht
verfügbar.
Außerdem werden die Laufzeit-Interpreter für Java-, Flashund OS X-Shellskripte von Apple ohne Ausnahme vorab
autorisiert. Mit diesen Interpretern lässt sich beliebiger Code
ausführen. Java und Flash haben sich auf Macs zu beliebten
Angriffszielen entwickelt. Dieses Problem könnte sich in
Zukunft abschwächen, da die Mac-Version von Java vor
kurzem sicherer gestaltet wurde und Adobe Flash nach und
nach durch HTML5 ersetzt wird.
24
Implementierung einer umfassenden
Anti-Malware-Lösung für Macs
Wie sieht eine umfassende Anti-Malware-Lösung für
Mac aus, wenn Gatekeeper, LSQuarantine und XProtect
nur partiell schützen? Achten Sie auf die folgenden
Komponenten:
ÌÌ Benutzeraufklärung: Kooperieren Sie mit Mac-Usern
und machen Sie ihnen klar, dass Bedrohungen auf ihrem
System kein Hirngespinst, sondern eine ernstzunehmende
Gefahr sind. Mit zunehmender Beliebtheit im Unternehmensumfeld steigt auch das Risiko für Social
Engineering-Attacken auf Macs, die bald ähnliche
Ausmaße wie auf Windows annehmen könnten.
ÌÌ Mehrschichtiger Schutz: Ein regelmäßig aktualisierter
Mac-Schutz auf Endpoint-Ebene ist unumgänglich –
gleiches gilt für Server, E-Mail- und Web-Gateways sowie
für die Netzwerkinfrastruktur. Server-Anwendungen
wie WordPress oder Drupal wurden im hohen Maße von
Malware ausgenutzt, die in der Lage ist, Mac-Clients
anzugreifen. Sie sollten sich darüber im Klaren sein, dass
einfache Virenscanner – besonders solche auf integrierten
Gateway- und Firewall-Geräten – nicht auf Mac-Malware
und -Exploits scannen und daher auf dieser Ebene
praktisch keinen Schutz bieten.
ÌÌ S
pezialwissen über Macs: Beauftragen Sie entweder
einen Mac-Spezialisten oder schulen Sie Ihre Mitarbeiter
selbst bezüglich der speziellen Eigenschaften
dieser Plattform. Beispielsweise müssen heuristische
Firewall- und Router-Richtlinien unter Umständen die
Unterschiede von Mac-Traffic widerspiegeln. Diese
ergeben sich aus dem vorgeschalteten Cache des Safari
Webbrowsers und Network Discovery Broadcasts, die
mit Bonjour-Services generiert wurden. Sachkundige
Entscheidungen bei der Dateisystemkonfiguration können
Dual-Boot-Windows- und Mac-Systeme besser gegen
Angriffe wappnen.
Während Mac-User auf Mail.app oder andere UNIXartige Back-End-E-Mail-Clients vertrauen, dämmen
umsichtige Entscheidungen bei der E-Mail-Speicherung
die Gefahr ein, dass Windows-Benutzer versehentlich
Security Threat Report 2013
infizierte ZIP-Dateien öffnen. Außerdem ist zu beachten,
dass Macs selbst auf BSD UNIX basieren, nicht aber die
Benutzeroberfläche. Allgemeinwissen über UNIX ist daher
zwar hilfreich, aber nicht unbedingt ausreichend.
ÌÌ V
erlässliche IT-Verfahren und -Richtlinien: Wo immer
möglich, sollten Sie Best Practice-Richtlinien vom ITIL-Typ
sowohl auf Macs als auch auf PCs ausweiten. Patchen
Sie Macs genau wie Windows-Geräte unverzüglich und
im Idealfall automatisch. Patchen Sie neben OS X auch
Java, Flash und andere Anwendungen. Falls möglich,
sollten Sie darüber hinaus auch kontrollieren, welche
Software Benutzer installieren dürfen. Sorgen Sie dafür,
dass Ihre Entwickler die eigene OS X-Software digital
signieren. Zu guter Letzt sollten Sie auch Ihre Protokolle
ordnungsgemäß verwalten. Macs protokollieren
nahezu alle Vorgänge in Echtzeit und ermöglichen so
eine Identifizierung neuer Sicherheitsbedrohungen und
deren Blockierung mittels Richtlinienanpassungen oder
Isolierung bestimmter Netzwerkbereiche.
ÌÌ Realismus. Da Macs häufig bei Führungskräften
und Designern zum Einsatz kommen, die maximale
Kontrolle über ihre Computer benötigen, müssen Sie u.U.
akzeptieren, dass einige Macs als nicht vertrauenswürdig
einzustufen sind. Aber nicht vertrauenswürdig muss
nicht gleich ungeschützt bedeuten. Sie sollten den
betroffenen Usern trotzdem Schutz anbieten, der sich
an ihren Bedürfnissen orientiert. Unternehmen dürfen
auch die rechtlichen Anforderungen nicht außer Acht
lassen, an die sie bei der Sicherheit und Benachrichtigung
über Datenschutzverletzungen gebunden sind. Diese
Anforderungensind unter Umständen besonders
dann wichtig, wenn Führungskräfte involviert sind.
Viele Sicherheitsexperten argumentieren, dass
Netzwerkgrenzen immer schwerer zu verteidigen sind
und alle Systeme – nicht nur Macs – demzufolge als nicht
vertrauenswürdig eingestuft werden sollten.
25
Behörden gelingt
großer Coup gegen
Cyberkriminalität
Mehr über Malware
erfahren
Wer mit Malware das
große Geld macht
Sicherheitsverantwortliche werden sich beim Schutz
ihrer Systeme und Einrichtungen auch in Zukunft vor
allem auf sich selbst verlassen müssen. Allerdings
stellten wir erfreut fest, dass 2012 von behördlicher
Seite bedeutend mehr Unterstützung erfolgte.
In ihrem vielleicht bislang größten Coup knüpften US-Bundesbehörden an ihre Verhaftungen
berüchtigter LulzSec-Hacker an, indem sie sich mit einer der Schlüsselfiguren der Bande
verbündeten: Hector Xavier Monsegur alias „Sabu“. Sabu hatte scheinbar lange gegen die
US-Regierung gewettert. Nun stellte sich jedoch heraus, dass er monatelang undercover
gearbeitet und Beweise gegen die Hintermänner der Angriffe auf die CIA, das Pentagon, den
US-Senat, die britische Serious Organised Crime Agency (SOCA) und viele weitere namhafte
Organisationen gesammelt hatte. Dank dieser Unterstützung konnten die Behörden u.a. Jake
Davis alias „Topiary“ auf den Shetland-Inseln verhaften. Ihm wird vorgeworfen, insgesamt
750.000 Passwörter gestohlen zu haben. Im August 2012 beantragte die Staatsanwaltschaft
für die Verurteilung Monsegurs einen weiteren Aufschub von sechs Monaten, um noch länger
47
von seiner Kooperation profitieren zu können.
LulzSec mag 2012 der Fall mit dem höchsten Medieninteresse gewesen sein, er befand
sich jedoch in guter Gesellschaft. 2012 begann mit der Auslieferung des russischen
Cyberkriminellen Vladimir Zdorovenin an die USA. Zdorovenin wurde für die Installation von
Keyloggern auf Computern in den USA angeklagt. So hatte er Kreditkartendaten gestohlen,
um scheinbar legitime Einkäufe auf seinen eigenen Online-Shops zu tätigen. Zusätzlich
hatte sich Zdorovenin auch in die Aktien-Portfolios seiner Opfer gehackt, um Preise zu
48
manipulieren. Er wurde der Verschwörung und des elektronischen Datenbetrugs schuldig
49
gesprochen.
Im Mai wurde der Drahtzieher von Bredolab – ein Botnet, in das zu seinen Hochzeiten rund
30 Mio. Computer eingebunden waren – in Armenien zu vier Jahren Haft verurteilt. Laut
Angaben der Staatsanwaltschaft verdiente Georg Avanesov mit Bredolab monatlich 100.000
Security Threat Report 2013
26
Euro und vermietete Kapazitäten an weitere Kriminelle,
die Spam versenden und Malware in Umlauf bringen
wollten. Auf dem Höhepunkt seines kriminellen Schaffens
versendete das Botnet mehr als 3 Mrd. infizierte E-Mails
pro Tag, während sich Avanesov selbst auf den Seychellen
50
Luxusurlaube gönnte.
Im Juni verhaftete das FBI nach zwei Jahren internationaler
Ermittlungen gegen zahlreiche Kreditkartenbetrüger 24
mutmaßliche Cyberkriminelle aus den USA, Bosnien,
Bulgarien, Norwegen, Deutschland und weiteren Staaten.
Unter ihnen auch einige Experten für die Entwicklung
ferngesteuerter Trojaner und betrügerischer Apple-Produktgarantien. Laut Schätzungen des FBI verhinderte dieser
Coup betrügerische Transaktionen in Höhe von mehr als
205 Mio. US-Dollar. Außerdem wurden 411.000 gestohlene
Kreditkarten identifiziert und 47 Unternehmen über den
51
Missbrauch ihrer Systeme informiert.
Noch im gleichen Monat verhaftete die Polizei in Tokio sechs
Männer die eine App entwickelt hatten, mit der AndroidSmartphones infiziert, personenbezogene Daten gestohlen
und unrechtmäßige Gebühren erhoben worden waren. Laut
Behördenangaben hatten insgesamt 9.252 Personen die
manipulierte Android-App heruntergeladen, von denen 211
bereit waren, insgesamt mehr als 250.000 US-Dollar zu
52
zahlen.
Anfang Juli berichtete die britische Polizei von hohen
Strafen, die gegen drei Balten verhängt wurden. Die
zuständigen Gerichte sahen es als erwiesen an, dass die
Angeklagten den Trojaner SpyEye gezielt genutzt hatten,
um Online-Bankkonten in Großbritannien, Dänemark, den
53
Niederlanden und Neuseeland zu plündern.
Top 12 spamproduzierender Staaten
1. Indien
12,19 %
7. Russland
3,34 %
2. USA
7,06 %
8. Frankreich
3,04 %
3. Italien
6,95 %
9. Pakistan
2,95 %
4. Korea
5,37 %
10. Polen
2,77 %
5. Brasilien
4,17 %
11. Indonesien
2,73 %
6. Vietnam
4,16 %
12. China
2,73 %
Prozentualer Anteil am Gesamt-Spam
Quelle: SophosLabs
Spam-Quellen nach Kontinent
A
sien
48,66 %
E
uropa
27,07 %
S
üdamerika
10,89 %
N
ordamerika
9,68 %
A
frika
3,20 %
O
zeanien
0,05 %
Prozentualer Anteil am Gesamt-Spam
Quelle: SophosLabs
Später im Juli gelang es der niederländischen Polizei, die
sekundären Kontrollrechner des riesigen Grum-Botnets nur
54
ein Woche nach Auffliegen des Systems auszuschalten.
Kurz darauf legten weitere Strafverfolgungsbehörden die
primären Kontroll-PCs des Botnets in Panama und Russland
lahm und ließen damit eine Gruppe von Software-Bots
hochgehen, die in der Vergangenheit für geschätzte 17 % des
55
weltweiten Spamaufkommens verantwortlich waren.
Security Threat Report 2013
27
Zunahme der gezielten
Angriffe
Während die Strafverfolgungsbehörden im Kampf
gegen Cyberkriminelle 2012 mehr Erfolge verbuchten,
wuchs gleichzeitig die Besorgnis über staatlich
finanzierte Cyberattacken und Exploits. Diese in
offensichtlicher Kooperation mit staatlichen Stellen zur
Umsetzung strategischer Zielstellungen initiierten
Angriffe stiegen sprunghaft an. Gemessen an der
Häufung dieser Angriffe müssen sich hochrangige
Ziele im öffentlichen und privaten Sektor auf
besorgniserregende neue Risiken gefasst machen.
Auch weniger wichtige Stellen müssen ihre
Wachsamkeit erhöhen, um nicht Auslöser eines
Kollateralschadens zu werden. Im Klartext bedeutet
das u.a., dass die Netzwerksicherheit erhöht und mit
weiteren Sicherheitsdienstleistungen kombiniert
werden muss, um Angriffe noch schneller erkennen
und abwehren zu können.
56
In dieser Kategorie erregte der Flame-Angriff 2012 die größte Aufmerksamkeit. Bedeutung
und Effektivität dieser Attacke blieben jedoch weitestgehend im Dunkeln. Weiteren und
scheinbar erheblichen Schaden richtete erst kürzlich der Trojaner Shamoon (Troj/Mdrop57
ELD) im Energiesektor des Nahen Ostens an. Laut BBC und The Register infizierte der
Trojaner etwa 30.000 Computer und legte das nationale Ölunternehmensnetzwerk in Saudi58
Arabien lahm. Wenig später geriet auch Katars Erdgasfirma RasGas unter Beschuss. Das
Netzwerk und die Webseite wurden vom Netz genommen und Bürosysteme außer Gefecht
59
gesetzt.
Security Threat Report 2013
28
Wir stießen darüber hinaus auf Hinweise,
dass auch in den USA organisierte
Cyberangriffe stattfanden. Ende September
verwies US-Senator Joseph Lieberman auf
massive DDos-Angriffe, die auf die Bank of
America, JPMorgan Chase, Wells Fargo,
Citigroup und PNC Bank zielten. Es wurde
ohne Vorlage von Beweisen behauptet,
dass diese Attacken vom Iran als Reaktion
auf die immer strikteren wirtschaftlichen
Sanktionen gegenüber iranischen
Finanzinstituten initiiert wurden. Lieberman
bezeichnete das Vorgehen gegen die USA als
60
gezielten Gegenangriff.
Laut Bloomberg gelang es den Angreifern,
einige der landesweit modernsten
Computerabwehrmechanismen auszuhebeln
und somit die Anfälligkeit dieser Strukturen
61
zu demonstrieren.
Staatlich finanzierte Cyberattacken und
Angriffe, die von hochspezialisierten
Privatvereinigungen in enger Kooperation
mit staatlichen Stellen entwickelt werden,
sind naturgemäß schwer nachzuverfolgen
oder nachzuweisen und werden in den
Medien nicht selten künstlich aufgebauscht.
Trotzdem entwickeln scheinbar immer
mehr Akteure die Fähigkeit, solche Angriffe
auszuführen. Und wenn sie erst einmal
dieses Wissen besitzen, ist die Versuchung
groß, sie auch weiter gewinnbringend
einzusetzen.
Wie gefährlich lebt es sich in der Welt?
Threat Exposure Rate nach Land
Die zehn sichersten Länder
TER
1. Norwegen
1,81 %
6. USA
3,82 %
2. Schweden
2,59 %
7. Slowenien
4,21 %
3. Japan
2,63 %
8. Kanada
4,26 %
4. Vereinigtes Königreich
3,51 %
9. Österreich
4,27 %
5. Schweiz
3,81 %
10. Niederlande
4,28 %
Die zehn gefährlichsten Länder
TER
TER
1. Indonesia
23,54 %
6. India
15,88 %
2. China
21,26 %
7. Mexico
15,66 %
3. Thailand
20,78 %
8. UAE
13,67 %
4. Philippines
19,81 %
9. Taiwan
12,66 %
5. Malaysia
17,44 %
10. Hong Kong
11,47 %
Threat Exposure Rate (TER): Prozentsatz an PCs, die während drei Monaten
von einer Malware-Attacke (erfolgreich oder nicht) heimgesucht wurden.
Quelle: SophosLabs
Willkommen im Zeitalter der personalisierten Malware
50 %
50 % unserer
Erkennungen basieren
auf nur 19 MalwareIdentitäten.
Security Threat Report 2013
TER
75 %
75 % aller individuellen
Malware-Muster
werden in nur einem
Unternehmen bzw.
einer Einrichtung
beobachtet.
88 %
88 % aller MalwareMuster werden in weniger
als zehn Unternehmen/
Einrichtungen gefunden.
Quelle: SophosLabs
29
Polymorphe und
gezielte Angriffe:
Long Tail
Mehr über Long Tail
erfahren
Richard Wang aus den
SophosLabs erklärt Long
Tail (englisches Video)
Mit Forschungsergebnissen aus den SophosLabs
Der Ausdruck „Long Tail“ hat sich zu einer beliebten
Bezeichnung für Ereignisse entwickelt, die in der
normalen statistischen Verteilung nicht ins Gewicht
fallen, sondern am „Schwanzende“ der Verteilungskurve auftauchen. Wie z.B. im Einzelhandel, wo mit
einer großen Anzahl von Nischenprodukten hohe
Gewinne erzielt werden können. Diese Entwicklung gilt
zunehmend auch für Malware.
75 % der uns bekannten Malware-Dateien tauchen heute nur noch in einem Unternehmen
auf. Dieser Grad an Polyphormismus ist bislang beispiellos. Darüber hinaus entwickeln
Angreifer zunehmend geschicktere Polymorphismus-Methoden, um ihre Angriffe zu
verbergen. Dieser Kampf hat ernstzunehmende Folgen für die IT. Es ist daher wichtig, die
Zusammenhänge zu verstehen, wie Sophos darauf reagiert, und was Sie selbst tun können,
um sich zu schützen.
Security Threat Report 2013
30
Polymorphismus: Nicht neu, aber
zunehmend gefährlich
Serverseitigen Polymorphismus
wirksam bekämpfen
Polymorphismus ist nichts Neues – Malware-Autoren nutzen
diese Methode bereits seit 20 Jahren. Kurz gesagt wandelt
polymorpher Code ständig sein Erscheinungsbild, um nicht
erkannt zu werden. Verhalten und Ziele bleiben allerdings
die gleichen. Angreifer nutzen damit die Chance, dass ihre
Programme nicht von Antiviren-Software erkannt werden.
Oder die Virenschutzsoftware erzeugt so viele False Positives,
dass der genervte Benutzer das Programm deaktiviert.
Um unsere Erkennungsmechanismen für SSP und weitere
Angriffe entscheidend zu verbessern, haben wir uns
die Erkenntnisse der Genetik zu Eigen gemacht. Unser
Behavioral Genotype-Verfahren identifiziert neue Malware,
indem sie so genannte „Gene“ (oder Verhaltenselemente)
erkennt und extrahiert. Über ein sorgfältig abgestimmtes
Bewertungssystem, das sämtliche jemals von uns
aufgedeckte Malware enthält, können wir Kombinationen
von Genen (Genotypen) identifizieren, die Malware von
unbedenklichem Code unterscheiden. Diese Informationen
können wir mit Genen, die wir in gutartigen Dateien
beobachtet haben, vergleichen und so die Anzahl von False
Positives reduzieren.
Polymorphe Angriffe sind meist verschlüsselt, um
bedeutungslos zu erscheinen, und treten gemeinsam mit
einem Decryptor auf, der den Code in ein ausführbares
Format zurücksetzt. Bei jeder Entschlüsselung
verändert die Umwandlungsengine Syntax, Semantik
oder beides. Windows-Malware-Autoren setzen zudem
häufig strukturierte Ausnahmebehandlungen ein, um
die Ablaufsteuerung zu verschleiern und statistische
62
Programmanalysen vor der Ausführung zu erschweren.
Polymorphe Viren der traditionellen Art sind eigenständig
und müssen die Umwandlungsengine enthalten, um sich
replizieren zu können. Sophos und andere IT-SecurityAnbieter haben bei der Erkennung dieser Malware-Form
bereits viel Erfahrung. Das Verhalten der Malware ist
einfacher analysierbar, wenn Zugriff auf die Umwandlungsengine besteht.
Aktuell verlagern Angreifer ihren Fokus so umfassend wie
nie auf Internet-Malware und stützen sich hierbei vor allem
auf serverseitigen Polymorphismus (SSP). Auf diese Weise
können die Umwandlungsengine und angeschlossene
Programme komplett auf dem Server gehostet werden.
Kriminelle können mit diesen Programmen so einfach wie
nie verschiedenste Dateiinhalte erstellen. Empfänger dieser
Inhalte (z.B. Windows .exe, Adobe PDF oder JavaScript)
bekommen nur ein Beispiel von dem zu Gesicht, wozu die
Engine in der Lage ist. Die Engine selbst bleibt dabei im
Hintergrund.
Die Antwort der IT-Security-Anbieter besteht zunächst darin,
möglichst viele unterschiedliche Beispiele der von der Engine
erstellten Schadelemente zu sammeln. Deren Analyse lässt
Rückschlüsse auf die Funktionsweise und das Schreiben
eines generischen Erkennungscodes zu.
Security Threat Report 2013
Vorteile dieser Methode sind die Flexibilität und
Erweiterungsfähigkeit. Wir können jederzeit Gene reaktiv
hinzufügen oder modifizieren bzw. vorsorgliche Gene
veröffentlichen, mit denen wir wahrscheinliche Neukreationen
der Schädlinge abfangen können. Zusätzlich können wir auch
aus dem Verhalten der Malware auf die Erkennungen anderer
Sicherheitsanbieter lernen. Häufig nehmen Programmierer
Änderungen vor, die sich nicht unmittelbar auf unsere
Erkennungsverfahren auswirken. Durch eine proaktive
Anpassung unseres genetischen Profils an diese Änderungen
verringern wir die Wahrscheinlichkeit, dass wir die Attacke bei
einer erneuten Abwandlung übersehen.
Bei bestimmten Typen der SSP-Malware hat sich der
Schlagabtausch zwischen Sicherheitsanbietern und MalwareAutoren extrem zugespitzt. Besonders ambitionierte
Malware-Autoren verwenden sehr viel Zeit darauf
herauszufinden, welche Elemente ihres Codes erkannt
wurden. In der Folge wurden entdeckte Schadcodes innerhalb
weniger Stunden modifiziert und ersetzt. Unser Ziel ist es
natürlich, ebenfalls möglichst schnell neue Angriffe zu
entdecken und auf diese zu reagieren.
SSP war in der Vergangenheit vor allem auf Windows
erfolgreich und wurde primär auf ausführbare WindowsDateien und JavaScript-Webseiteninhalte angewendet. 2012
konnten wir SSP erstmals in Android-Malware beobachten
und gehen von einer schnellen Ausbreitung auf OS X aus. Das
berüchtigte Blackhole-Exploit-Kit setzt z.B. in hohem Maße
auf SSP, hat aber auch viele andere Tricks auf Lager.
31
Polymorphe und gezielte Angriffe: Long Tail
Gezielte Angriffe: hoch spezialisiert,
fokussiert und gefährlich
Wie die meisten SSP-Angriffe versucht auch Blackhole,
seinen Payload wahllos und flächendeckend zu streuen.
Aber andere Varianten der Long Tail-Attacken sind sehr viel
fokussierter. Einige Malware-Autoren greifen beispielsweise
nur wenige Unternehmen oder Einrichtungen an, um an
wichtige Finanzdaten oder Online-Banking-Logindaten
zu gelangen. Sie bereiten ihre Angriffe mit aufwändigen
Recherchen im Vorfeld minutiös vor. So könnten sie eine
gefälschte E-Mail mit einem infizierten Anhang in Umlauf
bringen, der das Interesse der speziell ausgewählten
Empfänger erregt.
Ein Entscheidungsträger im Finanzwesen erhält beispielsweise eine infizierte Tabellenkalkulation, die mit vierteljährlichen Vertriebsdaten lockt. Öffnet die betroffene
Person das infizierte Dokument ohne dass die Malware
auffliegt, kann sich diese installieren und unentdeckt auf
dem System verbleiben, bis die Online-Banking-Webseite
des Unternehmens aufgerufen wird. Dann kann die Malware
über das Speichern der Tastenfolge oder durch Abfangen
des zweiten Authentifizierungsfaktors in entsprechenden
Systemen Anmeldeinformationen stehlen. Die so
abgefangenen Login-Daten können für zukünftige Angriffe
genutzt werden.
Kriminelle konzentrieren sich bei diesen gezielten Attacken
häufig auf kleine und mittelständische Unternehmen ohne
starke IT-Präsenz. Da die eingesetzten Malware-Schädlinge
in der Regel nur einen kleinen Adressatenkreis haben, sind
sie den betroffenen Unternehmen meist unbekannt und
können sich unentdeckt einschleichen. So ist nicht einmal
der Einsatz hochentwickelter Polymorphismus-Verfahren
notwendig. Auch dieser Fall zeigt die Vorteile genbasierter
Abwehrmethoden von Sophos. Unser Endpoint Protection
Client kann neue Malware in den meisten Fällen auf Basis
ihres Verhaltens erkennen – selbst dann, wenn uns die
beobachtete Malware bislang völlig unbekannt war.
Manche Angreifer manipulieren gezielt eine bestimmte
Webseite, weil sie wissen, dass die Mitarbeiter des
anvisierten Unternehmens diese Seite besuchen. Zu diesen
Zielen gehören häufig kleinere Partner, da die Hacker davon
63
ausgehen, dass deren IT-Sicherheit labiler ist.
Security Threat Report 2013
Neben der Implementierung eines modernen EndpointSchutzes können kleine und mittelständische Unternehmen
ihr Risiko durch die Einrichtung eines separaten Computers
für Online-Finanztransaktionen eindämmen. Dort ist
normales Internet-Surfen, Abrufen von E-Mails oder Social
Networking tabu.
Eingehende Abwehr von SSP
IT- und Sicherheitsexperten müssen gut vorbereitet sein,
um gegen Angriffe auf SSP-Basis und gezielte CybercrimeAttacken gewappnet zu sein. In erster Linie ist hierbei eine
eingehende und auf mehreren Ebenen greifende Abwehr
notwendig.
Das ausgedehnte ZeroAccess Botnet und Rootkit kann
beispielsweise häufig durch die Verbindungsart zum Peerzu-Peer-Botnet enttarnt werden. Wenn Sie eine solche
Kommunikation an der Firewall entdecken, können Sie die
Verbindung bis zum infizierten Computer zurückverfolgen.
Sicherheitsregeln sollten statische und dynamische
Analysen kombinieren, um schädliche Programme
identifizieren zu können. Verdächtige Inhalte, die beispielsweise bei der Erstanalyse einer Datei entdeckt werden
(z.B. ungewöhnliche Verschlüsselung), können später mit
verdächtigen Aktivitäten in Verbindung gebracht werden (z.B.
Erstellen einer unerwarteten Netzwerkverbindung).
IT-Experten müssen zudem das Risiko scheinbar seriöser
Verwaltungsprogramme bei gezielten Angriffen berücksichtigen. Solche Programme werden nicht als schädlich
identifiziert, können in den falschen Händen jedoch sehr viel
Schaden anrichten. Effektive Gegenmaßnahmen, die u.a. den
Zugang zu nicht geschäftlichen Anwendungen limitieren,
werden im Allgemeinen Application Control genannt.
Last but not least müssen IT-Experten dafür sorgen,
dass Angreifer keine Chance erhalten, Schwachstellen zu
finden und auszunutzen, indem sie ihre Angriffsflächen auf
Netzwerk-, Software- und Benutzerebene auf ein Minimum
reduzieren. Patches regelmäßig und automatisch zu
installieren, war schon immer wichtig, gewinnt aber vor dem
Hintergrund der wachsenden Bedrohungsdichte zunehmend
an Bedeutung.
32
Complete Security
Um neue Bedrohungen zu stoppen, Daten
überall zu schützen, steigende Mobilitätsanforderungen von Benutzern zu realisieren
und Ihr IT-Team zu entlasten, benötigen Sie
eine umfassende IT-Sicherheitsstrategie –
Complete Security. Ein umfassendes
Sicherheitskonzept kann in vier
Hauptelemente unterteilt werden:
ÌÌ A
ngriffsfläche reduzieren. Wählen Sie einen aktiven Ansatz, der neben
Malware auch andere Bedrohungen wie Schwachstellen, Anwendungen,
Webseiten und Spam überwacht.
ÌÌ Ü
berall schützen. Stellen Sie sicher, dass Benutzer unabhängig von ihrem
Standort und Gerät geschützt bleiben, und kombinieren Sie Endpoint(einschl. Mobile), Gateway- und Cloud-Technologien. So gestalten Sie den
Datenaustausch und die Zusammenarbeit in Ihrer IT-Umgebung sicher,
ohne die Benutzer zu beeinträchtigen.
ÌÌ A
ngriffe und Datenlecks stoppen. Es ist an der Zeit, sich nicht mehr
ausschließlich auf Antiviren-Signaturen zu verlassen und stattdessen
mehrere Erkennungsebenen zu implementieren, mit denen Bedrohungen
in unterschiedlichen Ausführungsstadien gestoppt werden können.
Sorgen Sie dafür, dass Ihr Schutz neben Schadcode auch gefährliches
Benutzerverhalten registriert.
ÌÌ D
en Arbeitsfluss aufrecht erhalten. Das gilt sowohl für die Benutzer
als auch die IT-Mitarbeiter. Vereinfachen Sie zeitintensive Aufgaben,
indem Sie für umfassende Einsicht und minutiöse Kontrolle in Ihrem
Sicherheitssystem sorgen. So können Sie Probleme schnell erkennen und
zeitnah reagieren.
Security Threat Report 2013
33
Complete Security
Zwei Wege zu Complete Security mit Sophos
Sophos UTM
Sophos EndUser Protection
Liefert in einer einzigen Appliance
umfassende Sicherheit. Garantiert den
Schutz, den Sie auch tatsächlich benötigen.
Bereitgestellt auf der Plattform, die für Ihr
Unternehmen am besten geeignet ist: als
Software, Hardware oder Virtual Appliance.
Der Funktionsumfang ist dabei immer
identisch – ganz gleich, wie viele Benutzer
Sie schützen. Über unsere kostenlose,
webbasierte Management-Konsole
verwalten Sie Ihre gesamte IT-Sicherheit
einfach und komfortabel.
Schützt Sie überall – von Ihrem Netzwerk
bis zu Ihren Servern, Desktop-Computern
und Mobilgeräten. Da alle Schutzelemente
von Sophos stammen, sind sie perfekt
aufeinander abgestimmt.
Die Lösung ist besonders anwenderfreundlich, spart Ihnen Zeit und Geld und
stammt vom Anbieter Ihres Vertrauens.
Endpoint
Network
Unser Endpoint-Schutz hält
Bewahren Sie Ihre Netzwerkinfra-
Daten im Unternehmen und
struktur vor Angriffen, indem Sie
Malware fern – alles im Rahmen
eine umfassende Netzwerk-
Ihres Antiviren-Budgets..
sicherheit implementieren.
Data
Email
Wir schützen Ihre vertraulichen
Wir verschlüsseln sensible
Daten und helfen Ihnen,
E-Mails, verhindern Daten-
Vorschriften einzuhalten.
verluste und blockieren Spam.
Mobile
Web
Mit unserer Hilfe sichern und
Wir machen das Internet
verwalten Sie Ihre Mobilgeräte
sicherer und produktiver.
und Daten mühelos.
UTM
Sie erhalten eine Appliance, mit
der Sie den Verwaltungsaufwand
zahlreicher StandaloneLösungen minimieren können.
Security Threat Report 2013
34
Ausblick auf 2013
Von James Lyne, Director of Technology Strategy
Wir bei Sophos sind stolz darauf, Bedrohungen blitzschnell
identifizieren und bekämpfen zu können.
Während Cyberkriminelle oft opportunistisch sind, gehen wir
davon aus, dass die Verfügbarkeit von Testplattformen – einige
sogar inklusive Geld-zurück-Garantie – immer häufiger der
Grund dafür ist, dass traditionelle Sicherheitssysteme mit nur
einer Schutzebene ausgehebelt werden. Wir erwarten deshalb,
dass in Zukunft langfristige Attacken auf Unternehmen mit
entsprechend mehr Schaden auf der Tagesordnung stehen. Als
Reaktion hierauf werden mehrschichtige Sicherheits- und
Erkennungsmechanismen, die den gesamten Bedrohungszyklus (nicht nur den ersten Eintrittspunkt) abdecken, im
nächsten Jahr wieder verstärkt in den Fokus rücken. Außerdem
erwarten wir, dass die fünf folgenden Trends die IT-Sicherheit im
Jahr 2013 maßgeblich beeinflussen werden.
Grundlegende Webserver-Fehler
2012 konnten wir einen Anstieg von SQL Injection-Hacks bei Webservern und Datenbanken beobachten. Die
Folge waren Millionen gestohlene Benutzernamen und Passwörter. Zu den Zielen dieser sowohl politischen
als auch wirtschaftlichen Attacken zählten Unternehmen jeder Größe. Da solche, auf Anmeldeinformationen
ausgerichtete Attacken ständig zunehmen, sollten IT-Experten dem Schutz ihrer Webserver genauso viel
Beachtung schenken, wie dem Schutz ihrer Computer.
Security Threat Report 2013
35
Ausblick auf 2013
Mehr „irreversible“ Malware
2012 konnten wir einen starken Anstieg in der Beliebtheit und Qualität von RansomwareMalware beobachten, die Daten verschlüsselt und ein Lösegeld zur Freischaltung
fordert. Die Verfügbarkeit von Public Key-Kryptographie inklusive raffinierter
Steuerungs- und Befehlsmechanismen gestaltet eine Schadensbehebung äußerst
schwierig und ist in vielen Fällen ganz unmöglich. Im Laufe des kommenden
Jahres erwarten wir mehr solcher Angriffe. IT-Experten sollten ihren Fokus daher
zunehmend auf Verhaltensschutzmechanismen sowie Systemhärtung und Backup-/
Wiederherstellungsvorgänge verlagern.
Mehr über mobile
Sicherheit erfahren
Sicherheit von
Mobilgeräten: Was bringt
die Zukunft?
Angriff-Toolkits „All Inclusive“
In den letzten Monaten haben Cyberkriminelle verstärkt in Toolkits wie Blackhole investiert.
Solche Tools verfügen über Funktionen wie skriptfähige Webdienste, APIs, Plattformen zur
Qualitätssicherung der Malware, antiforensische Features, intelligente Reportservices und
Selbstschutzeinrichtungen. Im kommenden Jahr werden diese Kits wahrscheinlich noch
ausgereifter und sind dann mit zahlreichen, qualitativ hochwertigen Funktionen ausgestattet.
Diese Pakete machen effektive Angriffe noch einfacher.
Vom Schwachstellen-Exploit zu Social Engineering-Attacken
Auch wenn die Schwachstellenanzahl 2012 angestiegen ist – z.B. waren sämtliche in
den letzten acht Jahren veröffentlichten Java-Plugins betroffen – gestaltet sich deren
Ausnutzung zunehmend schwieriger, da Betriebssysteme immer moderner und sicherer
werden. Die Einführung von DEP, ASLR, Sandboxing, beschränkten Mobilplattformen sowie
neue, vertrauenswürdige Boot-Mechanismen macht die Ausnutzung von Sicherheitslücken
immer anspruchsvoller. Auch wenn wir nicht davon ausgehen, dass diese Exploits völlig von
der Bildfläche verschwinden, wird es einen erheblichen Rückgang geben. Dieser könnte aber
von einem starken Anstieg im Bereich Social Engineering-Attacken über verschiedenste
Plattformen hinweg mehr als ausgeglichen werden.
Integration, Datenschutz und Herausforderungen bei der Sicherheit
Spätestens seit dem vergangenen Jahr sind Mobilgeräte und Anwendungen wie Social Media
Apps nicht mehr aus dem Alltag wegzudenken. Die Kombination dieser Plattformen und
Services mit neuen Technologien wie z.B. Near Field Communication oder GPS eröffnete
Cyberkriminellen neue Möglichkeiten für Angriffe auf unsere Sicherheit und Privatsphäre.
Dieser Trend lässt sich nicht nur auf Mobilgeräten, sondern auf Computern allgemein
beobachten. Achten Sie im kommenden Jahr deshalb auf Angriffe, bei denen die genannten
Technologien zum Einsatz kommen könnten.
Security Threat Report 2013
36
Auf ein (letztes) Wort
IT-Security hat schon lange nicht mehr nur mit
Microsoft zu tun. Zwar bleibt der PC das beliebteste
Ziel für Malware, aber Kriminelle haben mittlerweile
auch effektive Fake Anti-Virus-Attacken für Macs
entwickelt. Malware-Entwickler konzentrieren sich
zudem auf Mobilgeräte, da wir es hier mit völlig neuen
und damit angreifbaren Betriebssystemen zu tun
haben, die zudem über unterschiedliche
Sicherheitsmodelle verfügen. Unser Ziel muss es
deshalb sein, den Benutzer gleichzeitig zu schützen
und handlungsfähig zu halten – egal, auf welcher
Plattform, welchem Gerät oder Betriebssystem.
Security Threat Report 2013
37
Quellen
1. Microsoft Settles Lawsuit Against 3322 dot org, Reveals Scale of Nitol Botnet
in China, http://nakedsecurity.sophos.com/2012/10/05/microsoft-settleslawsuit-against-3322-dot-org/
2. B
eware Remove Your Facebook Timeline Scams, Naked Security, http://
nakedsecurity.sophos.com/2012/05/29/beware-remove-your-facebooktimeline-scams/; ‘Remove Facebook Timeline’ Themed Scam Circulating on
Facebook, ZDNet, http://www.zdnet.com/blog/security/remove-facebooktimeline-themed-scam-circulating-on-facebook/9989
3. T
witter DMs From Your Friends Can Lead to Facebook Video Malware Attack,
Naked Security, http://nakedsecurity.sophos.com/2012/09/24/twitterfacebook-video-malware/
4. O
MG This Is So Cool! Pinterest Hack Feeds Spam to Twitter and Facebook,
Naked Security, http://nakedsecurity.sophos.com/2012/09/12/omg-this-is-socool-pinterest-hack-feeds-spam-to-twitter-and-facebook/
5. F
acebook Teams Up With Sophos and Other Security Vendors, Naked Security,
http://nakedsecurity.sophos.com/2012/04/25/facebook-teams-up-sophosother-vendors/
6. A
pplication Detects Social Network Spam, Malware, Dark Reading,
http://www.darkreading.com/security-monitoring/167901086/security/
vulnerabilities/240006232/application-detects-social-network-spam-malware.
html
17. J
ava Flaws Already Included in Blackhole Exploit Kit Oracle Was Informed
of Vulnerabilities in April, Naked Security, http://nakedsecurity.sophos.
com/2012/08/30/java-flaws-already-included-in-blackhole-exploit-kit-oraclewas-informed-of-vulnerabilities-in-april/
18. O
racle Updates Java, Supports OS X, Claims Full and Timely Updates for
Apple Users, Naked Security, http://nakedsecurity.sophos.com/2012/08/15/
oracle-updates-java-claims-full-and-timely-updates-for-apple-users/
19. U
npatched Java Exploit Spreads Like Wildfire, Naked Security, 8/28/12, http://
nakedsecurity.sophos.com/2012/08/28/unpatched-java-exploit-spreads-likewildfire/
20. Attacks on Java Security Hole Hidden in Bogus Microsoft Services Agreement
Email, Naked Security, http://nakedsecurity.sophos.com/2012/09/03/javasecurity-hole-microsoft/
21. CVE-2012-4681 Java 7 0-Day vulnerability analysis, Deep End Research, http://
www.deependresearch.org/2012/08/java-7-vulnerability-analysis.html
22. New Security Hole Found in Multiple Java Versions, Naked Security, http://
nakedsecurity.sophos.com/2012/09/26/new-security-hole-multiple-javaversions/
23. Visit: http://www.sophos.com/en-us/security-news-trends/security-trends/
java-zero-day-exploit-disable-browser.aspx
7. A
Continued Commitment to Security, The Facebook Blog, http://www.
facebook.com/blog/blog.php?post=486790652130
24. New Security Hole Found in Multiple Java Versions, Naked Security, http://
nakedsecurity.sophos.com/2012/09/26/new-security-hole-multiple-javaversions/
8. L
atest Black Eye For Dropbox Shines Spotlight On Larger Problem, Dark
Reading, http://www.darkreading.com/blog/240004868/latest-black-eye-fordropbox-shines-spotlight-on-larger-problem.html
25. Philips Hacked as R00tbeer Gang Strikes Again, Naked Security, http://
nakedsecurity.sophos.com/2012/08/21/r00tbeer-returns-philips-hacked-poorpasswords/
9. A
nother Layer of Security for Your Dropbox Account, Dropbox Blog, 8/27/12,
https://blog.dropbox.com/index.php/another-layer-of-security-for-yourdropbox-account
26. Security Spill at the IEEE, Naked Security, http://nakedsecurity.sophos.
com/2012/09/26/ieee-squirms-after-sensational-security-spill/
10. Fraunhofer Institute Finds Security Vulnerabilites in Cloud Storage Services,
The H Security, http://www.h-online.com/security/news/item/FraunhoferInstitute-finds-security-vulnerabilites-in-cloud-storage-services-1575935.html
11. 5 Dropbox Security Warnings for Businesses, InformationWeek, http://www.
informationweek.com/security/management/5-dropbox-security-warnings-forbusiness/240005413?pgno=2
12. As you move forward with cloud computing, you may find it valuable to
read Security Guidance for Critical Areas of Focus in Cloud Computing V3.0,
available from the Cloud Security Alliance at https://cloudsecurityalliance.org/
guidance/csaguide.v3.0.pdf
13. Cloud Security: Top 5 Vulnerabilities of the Public Cloud, iPro Developer, http://
www.iprodeveloper.com/article/security/public-cloud-security-698785
14. Sophos Technical Paper: Exploring the Blackhole Exploit Kit, http://www.
sophos.com/en-us/why-sophos/our-people/technical-papers/exploring-theblackhole-exploit-kit.aspx
15. The Open Business Engine, http://obe.sourceforge.net/
16. ImmunityProducts.Blogspot.com, http://immunityproducts.blogspot.
com/2012/08/java-0day-analysis-cve-2012-4681.html
Security Threat Report 2013
27. T
he Worst Passwords You Could Ever Choose Exposed by Yahoo Voices Hack,
Naked Security, 7/13/12, http://nakedsecurity.sophos.com/2012/07/13/yahoovoices-poor-passwords/
28. Philips Hacked as R00tbeer Gang Strikes Again, Naked Security, http://
nakedsecurity.sophos.com/2012/08/21/r00tbeer-returns-philips-hacked-poorpasswords/
29. Security Spill at the IEEE, Naked Security, http://nakedsecurity.sophos.
com/2012/09/26/ieee-squirms-after-sensational-security-spill/
30. T
he Worst Passwords You Could Ever Choose Exposed by Yahoo Voices Hack,
Naked Security, 7/13/12, http://nakedsecurity.sophos.com/2012/07/13/yahoovoices-poor-passwords/
31. O
WASP Top Ten 2010: The Ten Most Critical Web Application Security Risks,
The Open Web Application Security Project (OWASP), http://owasptop10.
googlecode.com/files/OWASP%20Top%2010%20-%202010.pdf
32. Quelle: IDC. http://money.cnn.com/2012/08/08/technology/smartphonemarket-share/index.html
33. Quelle: ComScore. http://www.comscore.com/Press_Events/Press_
Releases/2012/9/comScore_Reports_July_2012_U.S._Mobile_Subscriber_
Market_Share
38
34. Angry Birds Malware Firm Fined £50,000 for Profiting From Fake Android
Apps, Naked Security, http://nakedsecurity.sophos.com/2012/05/24/angrybirds-malware-fine/
51. FBI Arrests 24 in Internet Credit Card Fraud Ring, Naked Security, http://
nakedsecurity.sophos.com/2012/06/27/fbi-arrests-24-in-internet-credit-cardfraud-ring/
35. Beim Lesen haben Sie sich vielleicht gefragt, warum Sophos Anti-Virus die
Erlaubnis zum Senden von SMS einholt. Wenn Sie ein Gerät remote sperren
oder orten, will das System Ihnen eine SMS mit Längen-/Breitengrad bzw. eine
Bestätigung darüber senden, dass die Sperrung erfolgreich war.
52. Android Porn Malware Leads to Arrests in Japan, Naked Security, http://
nakedsecurity.sophos.com/2012/06/18/android-porn-malware/
36. Wie Sie die Windows Sidebar und Gadgets unter Vista und Windows 7
deaktivieren. Microsoft Warns of Security Risk, Naked Security, http://
nakedsecurity.sophos.com/2012/07/12/disable-windows-sidebar-gadgets/
53. B
altic SpyEye Malware Trio Sent to Prison, Naked Security, http://
nakedsecurity.sophos.com/2012/07/01/uk-cops-announce-sentencing-ofbaltic-malware-trio/
54. D
utch Police Takedown C&Cs Used by Grum Botnet, Security Week, http://
www.securityweek.com/dutch-police-takedown-ccs-used-grum-botnet
37. 25 VeriSign Trusted Shops Found to Have XSS Holes, Naked Security, http://
nakedsecurity.sophos.com/2012/02/28/verisign-xss-holes/
55. T
op Spam Botnet ‘Grum’ Unplugged, Krebs on Security, http://krebsonsecurity.
com/2012/07/top-spam-botnet-grum-unplugged/
38. Insecure WordPress Blogs Unwittingly Host Blackhole Malware Attack, Naked
Security, http://nakedsecurity.sophos.com/2012/08/10/blackhole-malwareattack/
56. M
idyear Security Predictions: What You Should Know and Look Out For, Dark
Reading, http://www.darkreading.com/blog/240002287/midyear-securitypredictions-what-you-should-know-and-look-out-for.html
39. Android NFC Hack Lets Subway Riders Evade Fares, Naked Security, http://
nakedsecurity.sophos.com/2012/09/24/android-nfc-hack-lets-subway-ridersevade-fares/
57. 3
0,000 Machines Infected in Targeted Attack on Saudi Aramco, The Register,
http://www.theregister.co.uk/2012/08/30/rasgas_malware_outbreak/
40. Ransomware: Would You Pay Up? Naked Security, http://nakedsecurity.sophos.
com/2012/09/25/ransomware-would-you-pay-up/
58. S
hamoon Virus Targets Energy Sector Infrastructure, BBC, http://www.bbc.
com/news/technology-19293797
41. Reveton/FBI Ransomware: Exposed, Explained and Eliminated, Naked Security,
http://nakedsecurity.sophos.com/2012/08/29/reveton-ransomware-exposedexplained-and-eliminated/
59. More Dangerous Attacks Against Major Energy Providers: Mystery Virus Attack
Blows Qatari Gas Giant RasGas Offline, Cyberseecure, http://cyberseecure.
com/2012/08/mystery-virus-attack-blows-qatari-gas-giant-rasgas-offline-theregister/
42. Ransomware Makes Child Porn Menaces in Broken English, Naked Security,
http://nakedsecurity.sophos.com/2012/07/04/ransomware-menaces/
60. U
.S. Senator Blames Iran for Cyber Attacks on Banks, Naked Security, http://
nakedsecurity.sophos.com/2012/09/26/us-iran-banks/
43. Apple Infiltrates the Enterprise: 1/5 of Global Info Workers Use Apple Products
for Work, http://blogs.forrester.com/frank_gillett/12-01-26-apple_infiltrates_
the_enterprise_15_of_global_info_workers_use_apple_products_for_work_0
61. Cyber Attacks on U.S. Banks Expose Computer Vulnerability, Bloomberg,
http://www.bloomberg.com/news/2012-09-28/cyber-attacks-on-u-s-banksexpose-computer-vulnerability.html
44. Mac Malware Spies on Email, Survives Reboots, http://www.informationweek.
com/security/attacks/mac-malware-spies-on-email-survives-rebo/240004583
62. Taxonomy of Malware Polymorphism, http://www.foocodechu.com/?q=node/54
45. Apple Zombie Malware “NetWeird” Rummages for Browser and Email
Passwords, http://nakedsecurity.sophos.com/2012/08/24/apple-zombiemalware-netweird-rummages-for-browser-and-email-passwords/
63. E
uropean Aeronautical Supplier’s Website Infected With “State-Sponsored”
Zero-Day Exploit ], http://nakedsecurity.sophos.com/2012/06/20/aeronauticalstate-sponsored-exploit/
46. Mountain Lion: Hands on With Gatekeeper, http://www.macworld.com/
article/1165408/mountain_lion_hands_on_with_gatekeeper.html
47. LulzSec Informant Sabu Rewarded With Six Months Freedom for Helping Feds,
Naked Security, http://nakedsecurity.sophos.com/2012/08/23/sabu-lulzsecfreedom/
48. Alleged Russian Cybercriminal Extradited to the US, Naked Security, http://
nakedsecurity.sophos.com/2012/01/19/alleged-cybercriminal-extradited-usa/
49. Russian Man Pleads Guilty to Cyber-Fraud Conspiracy in U.S., Bloomberg,
http://www.bloomberg.com/news/2012-02-24/russian-national-pleads-guiltyto-cyber-fraud-conspiracy-in-u-s-.html
50. Bredolab: Jail for Man Who Masterminded Botnet of 30 Million Computers,
Naked Security, http://nakedsecurity.sophos.com/2012/05/23/bredolab-jailbotnet/
Security Threat Report 2013
39
Copyright 2013, Sophos Ltd. Alle Rechte vorbehalten.
Sophos und Sophos Anti-Virus sind eingetragene Warenzeichen von Sophos Ltd und der
Sophos Group. Bei allen sonstigen aufgeführten Produkt- und Unternehmensbezeichnungen
handelt es sich um Marken bzw. eingetragene Marken der jeweiligen Inhaber.
Die im Security Threat Report bereitgestellten Inhalte dienen lediglich der Information.
Sie werden durch Sophos, die SophosLabs und NakedSecurity.sophos.com zur Verfügung
gestellt. Wir bemühen uns, bereitgestellte Informationen aktuell und korrekt zu halten,
schließen jedoch jede Haftung oder Garantie hinsichtlich der Genauigkeit, Vollständigkeit
und Aktualität unserer Webseite sowie der in diesem Dokument enthaltenen Informationen,
Produkte, Dienste und Illustrationen aus. Jegliches Vertrauen in die Richtigkeit dieser
Informationen erfolgt daher auf eigene Gefahr..
Sales DACH (Deutschland, Österreich, Schweiz)
Tel.: +49 611 5858 0
+49 721 255 16 0
E-Mail: [email protected]
Boston, USA | Oxford, UK
© Copyright 2013. Sophos Ltd. Alle Rechte vorbehalten.
Alle Marken sind Eigentum ihres jeweiligen Inhabers.
Sophos Security Threat Report 2013.de.1.13