Security Threat Report 2013
Transcription
Security Threat Report 2013
Security Threat Report 2013 Neue Plattformen und sich wandelnde Bedrohungen Inhaltsverzeichnis Vorwort. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Abbildungen Umfrage: Fake-E-Mail-Erziehung . . . 3 2012 im Rückblick: Neue Plattformen und sich wandelnde Bedrohungen. . . . . . . . . 2 Blackhole . . . . . . . . . . . . . . . . . 7 Immer mehr Attacken auf Facebook und andere Social Media-Plattformen. . . . . . . . . . 3 Umfrage: Smartphone-Spam. . . . .15 Wachsende Gefahr für Cloud-Dienste. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Umfrage: Berücksichtigung von Android-Apps . . . . . . . . . . . . . .17 Blackhole: Aktueller Malware-Marktführer. . . . . . . . . . . . . . . . . . 6 Die vier Phasen des Blackhole-Lebenszyklus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Wie wir gegen Blackhole vorgehen und was Sie tun können.. . . . . . . . . . . . . . . . . . . . . . . . . 9 Länder mit Blackhole-Hosts. . . . . . 9 Umfrage: Webbrowser. . . . . . . . .19 Momentaufnahme Mac OS X-Malware. . . . . . . . . . .22 Java-Angriffe erreichen kritisches Ausmaß. . . . . . . . . . . . . . . . 10 Top 12 spamproduzierender Staaten. . . . .27 Was können Sie von diesen Datenverlusten lernen – abgesehen von dem Wunsch, Spam-Quellen nach Kontinent. . . .27 zu verhindern, dass Ihnen Vergleichbares widerfährt?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Threat Exposure Rate . . . . . . . . 29 Android: Aktuelles Hackerziel Nummer 1. . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Einfach gestrickt, aber äußerst lukrativ: Fake-Software, unautorisierte SMS-Nachrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Anschluss ans Botnet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Abgefangene SMS gefährden Ihr Bankkonto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 PUAs: Keine echte Malware, aber trotzdem gefährlich. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Risiken bekämpfen, solange sie noch beherrschbar sind. . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Videos Einblicke ins Social Engineering . . . 3 Cloud Storage und BYOD . . . . . . . 4 SophosLabs. . . . . . . . . . . . . . . 8 Blackhole . . . . . . . . . . . . . . . . . 8 Android-Malware. . . . . . . . . . . .14 Vielfältige Plattformen und Technologien erweitern die Angriffsfläche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Ransomware . . . . . . . . . . . . . . 20 Wiederauferstehung der Ransomware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Long Tail. . . . . . . . . . . . . . . . 30 Security Threat Report 2013 Mac-Malware . . . . . . . . . . . . . .23 OS X und der Mac: Mehr User = erhöhtes Gefahrenpotenzial . . . . . . . . . . . . . . . . . . 21 Fake Anti-Virus und Flashback: Wachsende Mobilität nach Windows-Vorbild. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Morcut/Crisis: Ausgereifter und potenziell gefährlicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Windows-Malware, die sich still und heimlich auf Macs verbirgt . . . . . . . . . . . . . . . . . . . . 24 Aktuelle OS X Sicherheitsvorkehrungen und ihre Grenzen. . . . . . . . . . . . . . . . . . . . . . . . . . 24 Implementierung einer umfassenden Anti-Malware-Lösung für Macs . . . . . . . . . . . . . . 25 Behörden gelingt großer Coup gegen Cyberkriminalität . . . . . 26 Zunahme der gezielten Angriffe. . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Polymorphe und gezielte Angriffe: Long Tail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Polymorphismus: Nicht neu, aber zunehmend gefährlich. . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Serverseitigen Polymorphismus wirksam bekämpfen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Gezielte Angriffe: hoch spezialisiert, fokussiert und gefährlich. . . . . . . . . . . . . . . . . . . . . . 32 Eingehende Abwehr von SSP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Zwei Wege zu Complete Security mit Sophos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Ausblick auf 2013. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 Auf ein (letztes) Wort. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Quellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Adware Adware ist Software, die Werbung auf Ihrem Computer einblendet. Security Threat Report 2013 Security Threat Report 2013 Vorwort 2012 war in Hinblick auf die Cybersicherheit ein sehr ereignisreiches Jahr. Einige der wichtigsten Entwicklungen der vergangenen Monate möchte ich hier hervorheben. Zweifellos war für uns die zunehmende Mobilität von Daten in Unternehmensumgebungen eine der größten Herausforderungen. Anwender machen mittlerweile immer häufiger von der Möglichkeit Gebrauch, von überall auf Daten zuzugreifen. Der zunehmende Einsatz von Privatgeräten und Cloud-Services im geschäftlichen Umfeld treibt diese Tendenz weiter voran und eröffnet neue Angriffswege. Als weiterer Trend hat sich die Wandlung der EndpointGeräte herauskristallisiert. Unternehmen entwickeln sich von traditionell homogenen Windows-Welten hin zu Umgebungen mit unterschiedlichsten Plattformen. Moderne Malware geht bei Angriffen auf diese neuen Plattformen äußerst geschickt vor. Und vor allem bei der Entwicklung von Schadsoftware für Mobilgeräte können wir einen rapiden Anstieg beobachten. Noch vor wenigen Jahren war AndroidMalware nicht mehr als ein Laborexperiment, heute ist sie eine ernstzunehmende und wachsende Gefahr. Auch die Nutzung von Privatgeräten im Berufsalltag (BYOD) entwickelt immer mehr Dynamik, die viele unserer Kunden und Anwender bereits erfasst hat. Immer mehr Angestellte wollen mit ihrem Smartphone, Tablet oder Next-GenerationNotebook auf Unternehmensnetzwerke zugreifen. ITAbteilungen stehen daher vor der Herausforderung, sensible Daten auf Geräten zu sichern, über die sie vergleichsweise wenig Kontrolle besitzen. Dabei kann BYOD für Arbeitnehmer und Arbeitgeber Vorteile haben. Die sicherheitstechnischen Anforderungen dürfen vor dem Hintergrund der verschwimmenden Grenzen zwischen beruflicher und privater Nutzung jedoch keinesfalls unterschätzt werden. Die Nutzung von Privatgeräten im Unternehmensumfeld wirft naturgemäß Fragen auf: Wer besitzt, verwaltet und sichert die Geräte sowie darauf gespeicherte Daten? Security Threat Report 2013 Gleichzeitig ist und bleibt das Internet die populärste Distributionsquelle für Malware – insbesondere für Malware, die auf Social-Engineering-Tricks setzt oder Browser und angeschlossene Anwendungen über Exploits gezielt angreift. Malware-Kits wie Blackhole sind beispielsweise ein gefährlicher Cocktail aus Dutzenden oder noch mehr Exploits, die selbst die kleinste Sicherheitslücke und fehlende Patches ausnutzen. Cyberkriminelle richten ihr Augenmerk meist auf Schwachstellen und setzen so lange auf bestimmte Angriffstechniken, bis diese sich als nicht mehr wirksam genug erweisen. Dann geht es auf zur nächsten Cyberwar-Front. Sicherheit ist ein zentrales Element der BYOD- und CloudRevolution. Um Daten in einer Welt zu schützen, in der sich Systeme rasend schnell verändern und freier Informationsfluss herrscht, benötigen wir ein koordiniertes Ökosystem aus Sicherheitstechnologien – sowohl auf Endpoint- und Gateway-Ebene als auch auf Mobilgeräten und in der Cloud. Konzentrierte sich IT-Security früher auf die Geräte an sich, steht heute der Benutzer im Fokus, und die sicherheitstechnischen Anforderungen sind vielfältig. Eine moderne Sicherheitsstrategie muss sich auf alle Schlüsselfaktoren konzentrieren – das Durchsetzen von Richtlinien, die Verschlüsselung von Daten, die Zugriffsabsicherung auf Unternehmensnetzwerke, die Produktivitäts- und Inhaltsfilterung, das Schwachstellen- und Patch-Management und natürlich den Schutz vor Malware und sonstigen Gefahren. Mit freundlichen Grüßen Gerhard Eschelbeck CTO, Sophos 1 2012 im Rückblick: Neue Plattformen und sich wandelnde Bedrohungen 2012 konnten wir beobachten, dass Cyberkriminelle ihren Aktionsradius auf immer mehr Plattformen ausweiteten – von sozialen Netzwerken über Cloud Services bis hin zu Android-Mobilgeräten. Hacker reagierten immer schneller auf neue Sicherheitssysteme und nutzten Zero-Day-Exploits mit zunehmender Geschicklichkeit aus. Die Malware-Autoren übertrafen sich im letzten Jahr selbst, indem sie neue Geschäftsmodelle und Software-Muster für noch gefährlichere und ausdauernde Angriffe entwickelten. So kündigten beispielsweise die Entwickler des Malware-Toolkits Blackhole eine neue und noch effektivere Version an. Wie zum Hohn applaudierten die Hacker den Erfolgen der Antivirus-Unternehmen bei der Blackhole-Bekämpfung und versprachen, den Wettkampf auch in der Zukunft anzunehmen. Zu den „privaten“ Cyberkriminellen gesellten sich allem Anschein nach vermehrt auch staatliche Akteure, die hoch entwickelte Angriffe gegen strategische Ziele organisierten. Darauf deuteten Berichte über Malware-Angriffe auf Infrastrukturen der Energiewirtschaft im Nahen Osten, weitreichende Denial-of-Service-Angriffe auf globale Banken und gezielte Spearphishing-Attacken auf bedeutende Einrichtungen hin. Ottonormalhacker fuhren hingegen fort, Tausende, schlecht konfigurierte Webseiten und Datenbanken anzugreifen, um an Passwörter zu gelangen und Malware in Umlauf zu bringen. Diese Entwicklung macht erneut deutlich, wie wichtig es ist, Sicherheitsupdates durchzuführen und dadurch potentielle Angriffslücken zu schließen. Gleichzeitig bahnte sich eine Security Threat Report 2013 2 neue Malware-Generation ihren Weg und konfrontierte Opfer mit überraschenden Zahlungsaufforderungen. Die Ursache hierfür sind Social Engineering-Attacken wie Fake Anti-Virus oder Ransomware. Aber trotz dieser Hiobsbotschaften gibt es auch positive Entwicklungen zu vermelden. So wurden sich IT-Organisationen und andere IT-Sicherheitsinstanzen in diesem Jahr zunehmend der Bedeutung eines mehrschichtigen Abwehrkonzepts bewusst. Und viele Unternehmen widmeten sich erstmals den sicherheitstechnischen Herausforderungen von Smartphones, Tablets und BYOD-Programmen. Sie machten sich daran, ihre Anfälligkeit für Schwachstellen in Plattformen wie Java oder Flash zu reduzieren und schnellere Patches von ihren Plattform- und SoftwareAnbietern einzufordern. Nicht zuletzt konnten Strafverfolgungsbehörden entscheidende Erfolge beim Kampf gegen Malware-Netzwerke verbuchen – z.B. die Verhaftung eines russischen Cyberkriminellen, dem vorgeworfen wird, 4,5 Mio. Computer mit der Absicht infiziert zu haben, Bankkonten auszubeuten, sowie die Verurteilung eines Armeniers, der als Drahtzieher des gigantischen Bredolab-Botnets gilt. Microsofts vorbildliches Vorgehen gegen das 1 Nitol-Botnet ist zudem ein gutes Zeichen, dass diejenigen, die Cyberkriminalität in vielen Fällen billigend in Kauf nehmen, doch aktiv auf unserer Seite sind. Wenn sich die IT 2013 zunehmend CloudDiensten und mobilen Plattformen zuwendet, werden uns die Angreifer wie immer dicht auf den Fersen sein. ITOrganisationen und Benutzer müssen ihren IT-Serviceprovidern und Partnern daher unbequeme neue Fragen stellen, systematischer beim Schutz unterschiedlicher Geräte und Netzwerkinfra- Security Threat Report 2013 strukturen vorgehen sowie agiler auf neue Bedrohungen reagieren. Wir werden unseren Kunden rund um die Uhr zur Verfügung stehen. Erfahren Sie mehr über Attacken auf soziale Medien Immer mehr Attacken auf Facebook und andere Social Media-Plattformen 2012 haben sich erneut hunderte Millionen Anwender bei sozialen Netzwerken versammelt – ein gefundenes Fressen für die Angreifer. Diese entwickelten perfide Social Engineering-Angriffe, bei denen aktuelle Themen wie z.B. die weit verbreitete 2 Skepsis über Facebooks neue Timeline oder die nur allzu menschliche Sorge über neu gepostete Benutzerfotos als Köder genutzt werden. Cyberkriminelle weiteten ihren Angriffsradius auch über Facebook hinaus aus und attackierten schnell wachsende Plattformen wie Twitter oder Pinterest. So berichteten wir im September 2012 über die weit verbreitete Zustellung von Twitter-Direktnachrichten (DM) mit Hilfe kompromittierter Kundenzugänge. Diese DMs taten so, als kämen sie von OnlineFreunden und behaupteten, ihre Empfänger würden in einem Video auftauchen, das gerade auf Facebook veröffentlicht wurde. Ein Klick auf den eingebauten Link leitete auf eine Webseite, die wiederum ein Upgrade des YouTube-Players zum Abspielen verlangte. Sobald dieses „Update“ angewählt wurde, war der Rechner mit dem 3 Backdoor-Trojaner Troj/Mdrop-EML infiziert. Ebenfalls im September wurden erstmals im großen Stil Pinterest-Konten gekapert. Diese Angriffe überschwemmten mit ihrem Bildspam auch andere soziale Netzwerke wie Twitter oder Facebook. Betroffene Benutzer, die ihre Pinterest-Konten mit Vier Bedrohungen für die Datensicherheit im Post-PC-Zeitalter Beth Jones aus den SophosLabs erklärt Social Engineering (englisches Video) Naked SecurityUmfrage Sollten Unternehmen ihre Mitarbeiter bewusst täuschen und sie zu Aufklärungszwecken FakeE-Mails öffnen lassen? J a 85,21 % N ein 14,79 % Basierend auf 933 Teilnehmern Quelle der Umfrage: NakedSecurity 3 2012 im Rückblick: Neue Plattformen und sich wandelnde Bedrohungen diesen Netzwerken verlinkt hatten, sendeten massenhaft Tweets und Pinnwandeinträge, die Freunde zur Teilnahme an zwielichtigen 4 Heimarbeitsprogrammen animieren sollten. Mit einer Milliarde User ist und bleibt Facebook das soziale Netzwerk Nummer 1 und damit auch das Hauptangriffsziel. Im April startete Sophos mit Facebook und weiteren Sicherheitsanbietern eine Kooperation, um die Malware-Abwehr des Netzwerks zu stärken. Seitdem profitiert Facebook von unseren minütlich aktualisierten Listen mit Informationen zu Schadlinks und Scam-Webseiten und kann die Gefährdung für seine Benutzer 5 erheblich reduzieren. Natürlich ist dieser Schritt nur ein Element eines ganzen Maßnahmenkatalogs. Sophos Forscher und andere Institutionen suchen mit Nachdruck nach neuen Methoden, um Nutzer sozialer Netzwerke besser vor Angriffen zu schützen. Dark Reading berichtete beispielsweise, dass Informatiker an der University of California eine experimentelle Facebook-App entwickelt haben, die in der Lage sein soll, 97 % aller Malware und Scams in Newsfeeds 6 richtig zu identifizieren. Innovationen wie die soziale Authentifizierung, bei der Facebook Ihnen Fotos Ihrer Freunde zeigt und Sie auffordert, diese zu identifizieren, könnten sich ebenfalls als hilfreich erweisen, da Hacker diesen Vorgang vermutlich schwer 7 manipulieren können. Wachsende Gefahr für Cloud-Dienste 2012 lockten die finanz- und verwaltungstechnischen Vorteile von Cloud-Diensten viele IT-Organisationen an. Unternehmen setzen nicht nur verstärkt auf gehostete Enterprise-Software und allgemeinere Dienste wie Dropbox, sondern investieren in zunehmendem Maße auch in private Clouds, die auf Virtualisierungstechnologien basieren. Diese Entwicklung wirft die Frage auf, was Cloud-User tun können und sollten, um Sicherheit und Compliance zu gewährleisten. Besondere Aufmerksamkeit erlangte die Sicherheit von Cloud-Diensten 2012, als Dropbox einräumen musste, dass es Hackern gelungen war, sich mit von anderen Webseiten gestohlenen Benutzernamen und Passwörtern in einige Accounts einzuloggen. Ein Dropbox-Mitarbeiter hatte für alle seiner Konten das gleiche Passwort gewählt, darunter auch sein Arbeitskonto, über das Zugriff auf sensible Daten bestand. Als das Passwort gestohlen wurde, entdeckte der Hacker, das es gegen Dropbox eingesetzt werden konnte. Dieser Vorfall macht noch einmal deutlich, dass für jede Webseite und jeden Online-Service ein anderes Passwort genutzt werden sollte. Mehr über CloudDienste erfahren Implementierung von Cloud-Diensten mit permanenter Verschlüsselung Probleme mit Dropbox? CTO Gerhard Eschelbeck erklärt Cloud Storage und BYOD (englisches Video) Dabei sind Cloud-Authentifizierungsprobleme nichts Neues. Erst 2011 entfernte der Cloud-Anbieter versehentlich für vier Stunden den Passwortschutz von 8 sämtlichen Dateien seiner Benutzer. Darüber hinaus berichtete VentureBeat, dass die iOS App des Unternehmens Anmeldedaten von Benutzern in unverschlüsselten Textdateien gespeichert hatte. Sie waren also für alle Nutzer des Geräts sichtbar. Security Threat Report 2013 4 Dropbox hat seine Sicherheit zwischenzeitlich mit der Einführung einer optionalen, zwei-stufigen Authentifizierung 9 verstärkt. Aber die Problematik zog sehr schnell erheblich größere Kreise. Im Mai 2012 berichtete das FraunhoferInstitut für Sichere Informations-technologie über Schwachstellen, die mit der Registrierung, Anmeldung, Verschlüsselung und Dateifreigabe auf sieben Cloud 10 Storage-Webseiten in Zusammenhang standen. Dass Dropbox und andere Webseiten Daten bereits bei ihrer Speicherung und Übertragung verschlüsseln, ist in diesem Fall praktisch wertlos. Daten, auf die mittels gültigem Benutzernamen und Passwort zugegriffen wird, profitieren von diesem Schutz in keiner Weise. Daten, die in öffentlichen Cloud-Systemen gespeichert werden, unterliegen zudem den Gesetzen desjenigen Staates, in dem sich die Server des jeweiligen Cloud-Systems befinden. Die Probleme von Dropbox haben uns das Thema Sicherheit in der Cloud stärker ins Bewusstsein gerufen. Öffentliche Cloud-Dienste und -Infrastrukturen liegen außerhalb der Kontrolle von IT-Organisationen. Wie können Unternehmen trotzdem ihre Sicherheit und Compliance gewährleisten? Eine zwei- oder mehrstufige Authentifizierung ist dafür ein Muss. Aber ist das ausreichend? Stellen Sie sich folgende Fragen: ÌÌ Wie behalte ich den Überblick über Datenverlust? Wie finde ich z.B. heraus, ob Mitarbeiter sensible Daten an sich selbst weiterleiten, auf die sie auch nach einer Entlassung 11 zugreifen können? Wenn Sie sich trotz vieler offener Fragen für einen CloudService entscheiden, sollten Sie zum Schutz Ihrer Daten folgende Regeln beachten: 1.Verwenden Sie webbasierte Richtlinien mit URL-Filterung, kontrollieren Sie den Zugriff auf öffentliche CloudSpeicherwebseiten und verhindern Sie, dass Nutzer zu verbotenen Webseiten surfen. 2.Kontrollieren Sie Anwendungen für das gesamte Unternehmen oder ausgewählte Gruppen, indem Sie diese aktiv entweder sperren oder freigeben. 3.Lassen Sie Dateien vor dem Hochladen in die Cloud von allen verwalteten Endpoints automatisch verschlüsseln. Mit einer Verschlüsselungslösung können Benutzer ihren bevorzugten Cloud-Speicherdienst wählen und trotzdem verbleibt der Datenzugang immer in Ihrer Hand. Da die Verschlüsselung automatisch und vor der Synchronisierung erfolgt, behalten Sie die vollständige Kontrolle über die Sicherheit aller Daten. Über Sicherheitslecks beim Cloud Storage-Anbieter müssen Sie sich dann keine Gedanken mehr machen. Zentrale Schlüssel ermöglichen autorisierten Benutzern oder Gruppen Datenzugriff, während dieser für alle anderen verschlüsselt bleibt. Geht ein Schlüssel verloren, beispielsweise durch ein vergessenes Passwort, kann der Sicherheitsbeauftragte im Unternehmen die Schlüssel abrufen und den autorisierten Mitarbeitern Zugriff auf die Dateien ermöglichen. ÌÌ Wie kontrolliere ich Lieferanten und deren Systemadministratoren? Wende ich die gleichen strengen Regeln und vertraglichen Anforderungen an, wie bei Geschäftspartnern, die Einsicht in vertrauliche oder 12 strategische Daten erhalten? ÌÌ Kann ich Snapshots virtueller Server verhindern, mit denen aktuelle Speicher-abbilder einschließlich sämtlicher Encryption Keys erstellt werden können? Einige Experten wie Mel Beckman und System iNEWS glauben, dass die öffentliche Cloud in Umgebungen, wo die rechtliche Compliance über physikalische Hardware-Kontrollen (z.B. 13 HIPAA) durchgesetzt werden muss, tabu sein sollte. Security Threat Report 2013 5 Blackhole: Aktueller Malware-Marktführer Basierend auf Forschungsergebnissen aus den SophosLabs Wenn man Blackhole genau unter die Lupe nimmt, wird schnell klar, wie geschickt Malware-Autoren mittlerweile agieren. Blackhole hat sich zwischenzeitlich zum weltweit populärsten Malware-Exploit-Kit gemausert. Das Paket vereint bemerkenswerte technische Möglichkeiten mit einem Geschäftsmodell, das direkt aus einer MBA-Fallstudie der Harvard Business School stammen könnte. Wenn sich Blackhole auch weiterhin erfolgreich jeder Strafverfolgung entzieht, wird das Kit Sicherheitsanbieter und IT-Organisationen vermutlich noch jahrelang auf Trab halten. Exploit-Kits sind vorgefertigte Software-Tools, die auf manipulierten Webservern installiert werden können, um ohne Ihr Wissen Malware auf Computer einzuschleusen. Das Kit ermittelt die Schwachstellen (Bugs oder Sicherheitslücken) des Computers und kann automatisch eine sogenannte Drive-by-Installation vornehmen. Das bedeutet, dass die Software des angegriffenen PCs (z.B. Ihren Browser, PDF-Reader oder sonstige Programme zur Anzeige von Online-Inhalten) manipuliert wird, um anschließend lautlos Malware herunterzuladen und auszuführen. Warnungen, die man normalerweise erwarten würde, suchen Sie hier vergeblich. Wie mit anderen Exploit-Kits auch können mit Blackhole zudem unterschiedliche Payloads in Umlauf gebracht werden. Dazu gehören gefälschter Virenschutz, Ransomware, Zeus oder die berühmt berüchtigten TDSS- und ZeroAccess-Rootkits. Deren Autoren profitieren wiederum vom Verkauf ihrer Programme. Blackhole kann Windows, OS X und Linux angreifen. Das Kit schlägt überall dort zu, wo sich die besten Angriffschancen bieten. Security Threat Report 2013 6 Zwischen Oktober 2011 und März 2012 stammten fast 30 % der von den SophosLabs erkannten Bedrohungen entweder direkt von Blackhole oder waren Umleitungen zu Blackhole-Kits von manipulierten, ehemals seriösen Webseiten. Blackhole macht nicht nur sein Erfolg besonders, sondern auch sein Software-as-a-Service-Mietmodell, das dem cloudbasierter Softwareangebote zum Verwechseln ähnelt. Die wöchentlichen Mietkosten werden gemeinsam mit Zusatzgebühren für ergänzende DomainDienstleistungen direkt in der Read-MeDatei (Russisch) angegeben, die gemeinsam mit dem Kit geliefert wird. Genau wie bei seriösen Anbietern von Mietsoftware sind auch bei Blackhole alle Updates über die Dauer der Abonnements hinweg gratis. Kunden, die ihren eigenen Blackhole-Server betreiben möchten, können längere Lizenzen erwerben. Die Version des an die Kunden ausgelieferten Blackhole-Kits basiert allerdings auf einem stark entstellten Code. So stellen die Autoren sicher, dass sie die Kontrolle über ihr Produkt behalten. Tatsächlich konnten wir bislang noch keine Blackhole-Alleingänge von unabhängigen Autoren beobachten. Das Programm wird jedoch regelmäßig aktualisiert und dessen Technik von anderen Autoren genutzt. Die vier Phasen des Blackhole-Lebenszyklus 1. Benutzer auf eine BlackholeExploit-Webseite lotsen Die Angreifer hacken sich in seriöse Webseiten und binden Schadcode ein (meist JavaScript-Codeschnipsel), der Links zu den Seiten auf ihrer BlackholeWebseite generiert. Sobald nichtsahnende Security Threat Report 2013 Benutzer die seriöse Webseite besuchen, laden ihre Browser den Exploit-Kit-Code automatisch vom Blackhole-Server 14 herunter. Die Blackhole-Hostseiten ändern sich dabei ständig. Meist werden zum Hosten von Blackhole neu registrierte Domains verwendet, die durch den Missbrauch dynamischer DNS-Dienste (z.B. ddns., 1dumb.com, und dlinkddns.com) erworben werden. Solche Hosts ver-schwinden oft schon nach einem Tag von der Bildfläche. Dass es Blackhole immer wieder gelingt, seinen Datenverkehr an die richtigen neuen Hosts zu senden, beweist ein beeindruckendes Maß an zentraler Kontrolle. Blackhole verfügt über zahlreiche Strategien, um den Datenverkehr von Benutzern zu kontrollieren. So konnten wir erst kürzlich beobachten, dass seine Besitzer Partnersysteme missbrauchten. Gegen eine geringe Bezahlung fügen viele Webhosts Blackhole freiwillig hinzu und wissen häufig gar nicht, was der Code anrichten kann. Wir konnten auch beobachten, dass Blackhole über altmodische Spam-Mails mit schädlichen Links und Attachments in Umlauf gebracht wurde. Diese Links gaukeln z.B. Probleme mit Bankkonten vor oder behaupten, gescannte Dokumente zu liefern. 2. Laden von infiziertem Code über die Landingpage Sobald Ihr Browser die Inhalte des Exploit-Kits vom Blackhole-Server heruntergeladen hat, beginnt der Angriff. Der Exploit-Code, meist JavaScript, stellt zunächst fest, wie Ihr Browser zum Blackhole-Server gelangt ist. So können die Tochtergesellschaften, die den Datenverkehr ursprünglich generiert haben, ermittelt und ganz wie in der 27 % aller ExploitWebseiten und Redirects basieren auf Blackhole 2012 handelte es sich bei 80 % aller von uns beobachteten Bedrohungen um Redirects, die meist zu ehemals seriösen und nun gehackten Webseiten führten. Diese Zahl macht deutlich, wie wichtig es ist, Webseiten zu sichern sowie Serverskripts und Anwendungen auf dem aktuellen Stand zu halten. E xploit-Webseite (Blackhole) 0,7 % D rive-by-Redirect 26,7 % (Blackhole) E xploit-Webseite (nicht Blackhole) 1,8 % P ayload 7,5 % D rive-by-Redirect 58,5 % (nicht Blackhole) S EO 1,1 % F ake Anti-Virus 0,4 % S onstige 3,4 % Quelle: SophosLabs 7 Blackhole: Aktueller Malware-Marktführer seriösen Wirtschaft entlohnt werden. Um herauszufinden, welches Betriebssystem und welche Browserversion Sie nutzen bzw. ob Sie Plugins für Flash, PDF-Dateien, Java Applets usw. installiert haben, ermittelt der Exploit-Code anschließend den „Fingerabdruck“ Ihres Browsers. Angriffe können auf unterschiedlichsten Schwachstellen basieren. Besonders häufig scheinen jedoch Java-Sicherheitslücken für Blackhole-Infektionen verantwortlich zu sein. Auch hier verwendet Blackhole nach Möglichkeit legitimen Code. So lädt es z.B. seinen Exploit-Code über die Java Open Business Engine, mit der eine Reihe von Workflow-Anwendungen und -Systemen – u.a. der tägliche Terrorist Threat Matrix-Bericht für den amerikanischen 15 Präsidenten – unterstützt werden. 3. Die Payload-Zustellung Nach erfolgreichem Hack des Zielsystems kann Blackhole den Payload zustellen, zu dessen Senden er angewiesen wurde. Payloads sind meist polymorph und sehen daher auf jedem neu infizierten System anders aus. Die Autoren von Blackhole setzen verstärkt hochentwickelten, serverseitigen Polymorphismus und Code-Verschleierung ein. So geben sie die zentrale Kontrolle nicht aus der Hand und können Updates mit außergewöhnlicher Geschwindigkeit bereitstellen. Verglichen mit anderen Exploit-Kits, die Angreifer kaufen und hosten, verändert Blackhole sein Verhalten und seine Effektivität mit rasender Geschwindigkeit. Um von Antivirus-Programmen nicht erkannt zu werden, nutzen Blackhole-Payloads häufig Verschlüsselungstools. Diese Tools werden von Kunden hinzugefügt und Blackhole leistet seinen Beitrag in Form eines optionalen Services, der auf jedem System, das angegriffen werden soll, aktiv die Virenschutzfunktionalität prüft. Security Threat Report 2013 4. Intelligente Effektivitätskontrolle Blackhole merkt sich, welche Exploits in Kombination mit welchem Browser, Betriebssystem und welchen Plugins funktioniert haben. Auf diese Weise können die Autoren den effektivsten Einsatz ihres Programms ermitteln. Diese Tracking-Technik setzen zwar auch andere Hacker ein, die kriminelle Energie der Blackhole-Autoren bei der Anpassung ihres Kits ist jedoch bislang unerreicht. Ähnlich geschickt stellt sich Blackhole bei der Ausnutzung neuer ZeroDay-Schwachstellen an. Im August 2012 nutzte das Kit eine vielfach publizierte Schwachstelle im Hilfeund Supportcenter von Microsoft, um manipulierte VBS-Skripte in Umlauf zu bringen. Eine neue Schwachstelle in Java 7 (CVE-2012-4681) nutzte Blackhole zur Erstellung eines Angriffsszenarios, mit dem infizierter Code das JavaSystem zur Überprüfung von 16 Berechtigungen manipulieren konnte. Bemerkenswerterweise wurde diese Attacke bereits 12 Stunden nach dem Machbarkeitsnachweis in das Blackhole17 Kit aufgenommen. Oracle wiederum lieferte bis Ende August einen NotfallPatch. Trotzdem bleiben viele Systeme nach wie vor ungepatcht. Mehr über Blackhole erfahren Mark Harris stellt die SophosLabs vor (englisches Video) Fraser Howard aus den SophosLabs erklärt Blackhole (englisches Video) Angesichts der Perfektion, die BlackholeAutoren an den Tag legen, ist es erstaunlich, dass einige Elemente des Kits über lange Zeit hinweg praktisch unverändert blieben. Beispielsweise URL-Pfade, Dateinamen und die Struktur der Abfragezeichenfolge. Die SophosLabs gehen davon aus, dass sich das in Zukunft ändern wird und sich für BlackholeAutoren neue Möglichkeiten zur weiteren Verbesserung ihrer Angriffe ergeben. 8 Wie wir gegen Blackhole vorgehen und was Sie tun können. In unseren SophosLabs behalten wir Blackhole rund um die Uhr im Auge und stellen sicher, dass unsere generische Erkennung und Reputationsfilterung mit dem sich ständig verändernden Exploit-Kit Schritt halten kann. Sobald Blackhole sich auf unsere Erkennungsund Filtermechanismen eingestellt hat, liefern wir über die Cloud schnellstmöglich neue Updates. Wir wenden darüber hinaus hochmoderne Verfahren zur Identifizierung und Analyse serverseitiger PolymorphismusAttacken wie Blackhole an. Sie können sich am besten mit einem umfangreichen Sicherheitscheck gegen Blackhole wappnen. 1.Betriebssysteme und Anwendungen schnell zu patchen, ist immer wichtig. Sie sollten diesen Vorgang daher nach Möglichkeit automatisieren. 2.Deaktivieren Sie anfällige Systeme wie Java und Flash, wenn Sie sie nicht benötigen. So verringern Sie die Angriffsfläche. 3.Sperren Sie manipulierte und ExploitWebseiten mit einer Kombination aus Reputationsfilterung und Technologien zur Inhaltserkennung. Zudem sollten Sie zum Blockieren von Payloads ebenfalls eine Inhaltserkennung nutzen. Beachten Sie, dass eine Reputationsfilterung ExploitWebseiten zwar in vielen Fällen sperren kann, bevor eine Inhaltserkennung greift, an sich jedoch nicht manipulationssicher ist. 4.Verhindern oder reduzieren Sie Social Engineering-Attacken, die als Spam in Umlauf gebracht werden, indem Sie einen aktuellen Spamfilter nutzen und die Benutzer aktiv aufklären. 5.Wenn Ihr Endpoint Security-Produkt über HIPS-Funktionen (Host Intrusion Prevention System) verfügt, sollten sie diese als zusätzliche Schutzbarriere vor neuen oder modifizierten Exploits nutzen. Wo werden Blackhole-Exploit-Webseiten gehostet? Länder, die Blackhole-Exploit-Webseiten hosten (2012) Brasilien 1,49 % Italien 5,75 % Großbritannien 2,24 % C hile 10,77 % Niederlande 2,55 % R ussland 17,88 % Deutschland 3,68 % China 5,22 % V ereinigte Staaten 30,81 % Türkei 5,74 % S onstige 13.,88 % Quelle: SophosLabs Security Threat Report 2013 9 Java-Angriffe erreichen kritisches Ausmaß Für Java war 2012 browsertechnisch kein einfaches Jahr. Java-Browser-Plugins wurden immer wieder von Schwachstellen geplagt, so dass Unternehmen mehr und mehr dazu übergehen, im Browser möglichst ganz auf Java zu verzichten. Im April wurden z.B. 600.000 Mac-User in ein globales Flashback bzw. Flashplayer Botnet rekrutiert. Auslöser hierfür war eine Java-Schwachstelle in OS X, die über einen längeren Zeitraum nicht gepatcht wurde. Nachdem Apple ein Entfernungstool und einen Java-Patch veröffentlicht hatte, übernahm Oracle die Verantwortung für die zukünftige Veröffentlichung von Java für OS X und versprach, Java-Patches für OS X und Windows zeitgleich zu 18 veröffentlichen. In der Folge konnten sich Oracles Java-Entwickler kaum noch vor Anfragen zur Bereitstellung von Patches retten. Wenige Tage nach der Entdeckung einer neuen Zero-DaySchwachstelle, die Java 7 auf allen Plattformen und Betriebssystemen betraf, wurde die Sicherheitslücke auch schon für gezielte Angriffe ausgenutzt. Sie wurde in das Blackhole19 Exploit-Kit eingebunden und tauchte sogar in einer Phishing-E-Mail mit einem gefälschten 20 Microsoft-Servicevertrag auf. Laut einer detaillierten Analyse konnten Hacker mit ihrem Code unter Ausnutzung dieses Exploits auf gesperrte Programmebenen zugreifen und sogar 21 den Java-Sicherheits-Manager deaktivieren. Wie versprochen, reagierte Oracle auf diese Vorfälle und veröffentlichte schneller Patches, als mancher Beobachter erwartet hätte. Allerdings tauchten innerhalb weniger Wochen bereits weitere gefährliche Java-Sicherheitslücken auf. Die gleichen Forscher, die bereits die erste Sicherheitslücke entdeckt hatten, stießen unter anderem auf eine Methode, mit der sich Javas sichere Application-Sandbox umgehen ließ – diesmal nicht nur unter Java 7, 22 sondern auch unter Java 5 und 6 sowie in vielen Browsern. Der neue Exploit gefährdete rund eine Milliarde Geräte. Security Threat Report 2013 10 Dabei haben viele User heutzutage wenig oder gar keine Verwendung für browserbasierte Java-Programme, auch bekannt unter der Bezeichnung Applets. In vielen Fällen haben JavaScript und andere Technologien die Aufgaben von Applets im Browser übernommen. Wenn Sie Java in Ihrem Browser nicht wirklich brauchen bzw. nicht mit absoluter Sicherheit wissen, ob Sie es brauchen, empfehlen wir eine Deaktivierung. Auf unserer Webseite finden Sie detaillierte Anweisungen zur Deaktivierung von JavaScript in Internet Explorer, Firefox, 23 Google Chrome, Safari und Opera. Wenn Sie auf Webseiten angewiesen sind, die auf Java basieren, sollten Sie einen zweiten Browser installieren und nur auf diesem Java aktivieren. Nutzen Sie diesen Browser ausschließlich für Java-basierte Webseiten und greifen Sie ansonsten auf Ihren Hauptbrowser zurück, auf dem Java deaktiviert ist. Java ist allerdings nicht die einzige PluginPlattform, die in puncto IT-Sicherheit Kopfzerbrechen bereitet. Auch Adobe Flash wurde in den letzten Jahren verstärkt von Exploits heimgesucht. Glücklicherweise werden Browser-Plugins wie Flash immer seltener benötigt. In HTML5-fähigen Browsern sind Funktionen zum Abspielen von Musik und Videos bereits integriert. Herkömmliche Plugins sind daher überflüssig. Selbst große Organisationen und Firmen handeln beim Passwortschutz immer noch fahrlässig Dabei sollten Passwortschwächen die absolute Ausnahme sein. Denn zum Erstellen, Verwenden und Speichern sicherer Passwörter existieren einfache Regeln, die Einzelpersonen und Unternehmen gleichermaßen schützen können. 2012 mussten wir jedoch einen Passwort-Hack nach dem anderen beobachten, darunter immer wieder bekannte Großkonzerne. ÌÌ R ussische Cyberkriminelle veröffentlichten z.B. fast 6,5 Mio. unzureichend verschlüsselter LinkedIn-Passwörter im Internet. Ein gefundenes Fressen für Hackerteams, die innerhalb weniger Tage mehr als 60 % dieser Passwörter knackten. Da LinkedIn versäumt hatte, seine Passwortdatenbank vor der Verschlüsselung mit Zufallsdaten anzureichern, hatten die Hacker besonders 24 leichtes Spiel. ÌÌ D er nächste Kandidat war die Dating-Webseite eHarmony. 1,5 Mio der eigenen Passwörter wurden im Rahmen des gleichen Angriffs, der auch LinkedIn heimgesucht hatte, 25 ins Internet hochgeladen. ÌÌ A uch Formspring musste feststellen, dass 420.000 seiner Userdaten gestohlen und im Internet veröffentlicht worden waren. Das soziale Netzwerk forderte daraufhin alle 28 Mio. Mitglieder dazu auf, ihr Passwort als 26 Vorsichtsmaßnahme zu ändern. ÌÌ W enig später räumte Yahoo Voices ein, dass fast 500.000 27 seiner E-Mails und Passwörter gestohlen worden waren. ÌÌ G leichzeitig wurde der Technologiekonzern Philips von der so genannten r00tbeer-Bande heimgesucht, die Tausende Namen, Telefonnummern, Adressen und unverschlüsselte 28 Passwörter erbeutete. ÌÌ IEEE, der weltweit größte Berufsverband für Ingenieure, hinterließ eine Protokolldatei mit fast 400 Mio. Webanfragen in einem für alle einsehbaren Verzeichnis. Die Anfragen enthielten Benutzernamen und Passwörter 29 von nahezu 100.000 Usern in Reintext. Security Threat Report 2013 11 Java-Angriffe erreichen kritisches Ausmaß Mehr über moderne Bedrohungen erfahren Klären Sie Ihre Mitarbeiter mit unseren kostenlosen IT Security DOs und DON'Ts über den sicheren Umgang mit ITSystemen auf. Fünf Tipps zur Eindämmung von Risiken durch moderne Bedrohungen aus dem Internet Was können Sie von diesen Datenverlusten lernen – abgesehen von dem Wunsch, zu verhindern, dass Ihnen Vergleichbares widerfährt? Wenn Sie ein Anwender sind: ÌÌ Verwenden Sie sichere Passwörter und nutzen Sie auf jeder Webseite, die persönliche Informationen speichert, ein anderes Passwort. ÌÌ Setzen Sie eine Software zur Passwortverwaltung ein: z.B. 1Password, KeePass oder LastPass. Einige dieser Tools generieren sogar schwer zu 30 knackende Passwörter für Sie. Wenn Sie für Passwortdatenbanken verantwortlich sind: ÌÌ Speichern Sie Passwörter niemals im Klartext. ÌÌ Versehen Sie Ihre Passwörter vor dem Hashen und Verschlüsseln immer mit einer Zufallsvariable („Salt“). ÌÌ Hashen Sie Ihr Passwort vor dem Speichern nicht nur einmal. Mehrmaliges Hashen erschwert das Testen Ihrer Passwörter im Angriffsfall deutlich. Zum Verschlüsseln eignen sich am besten anerkannte Algorithmen wie bcrypt, scrypt oder PBKDF2. ÌÌ Vergleichen Sie potenzielle Schwachstellen Ihrer Webseite mit den Top-Ten-Sicherheitsrisiken des Open Web Application Security Project (OWASP) und konzentrieren Sie sich vor allem auf wahrscheinliche Passwortschwachstellen, die mit einem fehlerhaften Authentifizierungs31 verfahren und/oder Session Management in Zusammenhang stehen. ÌÌ S chützen Sie zudem Ihre Datenbank, Ihr Netzwerk und Ihre Server mit mehrschichtigen Abwehrsystemen. Security Threat Report 2013 12 Android: Aktuelles Hackerziel Nummer 1 Basierend auf Forschungsergebnissen aus den SophosLabs Allein im 2. Quartal 2012 wurden 100 Mio. AndroidTelefone ausgeliefert. und eine in den USA im September 2012 durchgeführte Umfrage ermittelte einen Android-Marktanteil von 52,2 %. Angriffsziele solcher Größenordnung sind für Malware-Entwickler einfach unwiderstehlich. Und sie widerstehen auch nicht – Angriffe auf Android nehmen rasend schnell zu. Auf den folgenden Seiten geben wir Ihnen einige Beispiele und wagen einen Ausblick auf die weitere Entwicklung. Wir fragen: Wie gefährlich sind diese Angriffe wirklich? Werden sie sich ausweiten oder zuspitzen? Und welche Maßnahmen sollten IT-Organisationen und Einzelpersonen treffen, um sich zu schützen? 32 33 Security Threat Report 2013 13 Android: Aktuelles Ziel Nummer 1 Einfach gestrickt, aber äußerst lukrativ: Fake-Software, unautorisierte SMS-Nachrichten Heutzutage besteht das beliebteste Geschäftsmodell für Android-MalwareAttacken darin, gefälschte Apps zu installieren, die heimlich teure Nachrichten an Premium-SMS-Dienste senden. Weitere Malware-Highlights sind Fake-Versionen von Angry Birds Space oder Instagram sowie gefälschte Virenschutzsoftware für 34 Android. Im Mai 2012 deckte die britische Mobilfunkregulierungsbehörde auf, dass in UK insgesamt 1.391 Android-User von einem der genannten Scams betroffen waren. Die Behörde verurteilte das für die Scam-Zahlungen verantwortliche Unternehmen zu einer Geldstrafe, unterbrach den Zahlungsverkehr und forderte Rückerstattungen für die bereits Geschädigten. Dabei machen die UKBenutzer nur etwa 10 % der von dieser Malware betroffenen Opfer aus. Der Scam wurde mittlerweile in mindestens 18 Ländern gesichtet. Mehr über mobile Sicherheit erfahren Momentan ist eine einzige Android-Malwarefamilie namens Andr/Boxer für knapp ein Drittel aller von uns beobachteten AndroidMalware-Samples verantwortlich. Andr/ Boxer ist an .ru-Domains mit Host in der Ukraine gekoppelt und verbreitet russische Meldungen. Die überwiegende Mehrheit der Opfer sind osteuropäische Android-User, die Webseiten besuchen, auf denen angeblich Fotos attraktiver Frauen zu sehen sind. Einmal auf diesen Webseiten gelandet, werden die Besucher durch geschickte Webseitengestaltung dazu animiert, einen Download zu aktivieren, hinter dem sich eine bösartige App verbirgt. Benutzer werden z.B. dazu aufgefordert, ein gefälschtes Update für Produkte wie Opera oder Skype zu installieren. In einigen Fällen wird auch ein gefälschter Antiviren-Scan durchgeführt, der angebliche Infektionen meldet und die Installation eines FakeVirenschutzprogramms empfiehlt. Kostenloses Tool: Mobile Security für Android Mobile-Security-Toolkit Mobile Device Management Buyers Guide Wenn Malware mobil wird Vanja Svajcer aus den SophosLabs erklärt Android-Malware (englisches Video) Android-Bedrohungen nehmen Fahrt auf In Australien und den USA verzeichnen wir bereits eine Threat Exposure Rate für Android-Geräte, die diejenige für PCs übertrifft. Android Threat Exposure Rate TER Android TER PC 60 50 40 30 20 10 Australien Brasilien Vereinigte Staaten Sonstige Malaysia Deutschland Indien Frankreich Vereinigtes Königreich Iran Die Threat Exposure Rate (TER) erfasst den prozentualen Anteil attackierter PCs und Android-Geräte innerhalb von drei Monaten. Quelle: SophosLabs Security Threat Report 2013 14 Gleich nach der Installation beginnt die App damit, teure SMS-Nachrichten zu versenden. Viele dieser Trojaner enthalten zudem die bei Android ausführbare „INSTALL_PACKAGES“-Berechtigung. Diese sorgt dafür, dass Trojaner zu einem späteren Zeitpunkt zusätzliche Malware herunterladen und installieren können. Anschluss ans Botnet Bis vor kurzem waren Angriffe mit gefälschter Software auf Android-Geräte relativ einfach gestrickt. Viele der Attacken bedienten sich primitiver polymorpher Methoden (z.B. willkürliche Auswahl von Grafiken zur Abänderung der Prüfsummen), um nicht erkannt zu werden. Alle größeren IT-Security-Anbieter wissen bereits seit Jahren, wie sie solchen Tricks begegnen können. Aber die Hacker machen Fortschritte. Denken Sie beispielsweise an die infizierten Versionen von Angry Birds Space (Andr/ KongFu-L), die im April 2012 auftauchten. Diese nur über inoffizielle Android-AppMärkte erhältlichen Trojaner verfügen über die gleichen Spielfunktionen wie das Original. Um sich Root Access zu verschaffen, Schadcode zu installieren, Funktionen zum Herunterladen und Installieren zusätzlicher Malware zu aktivieren oder mit einer Remote-Webseite zu kommunizieren, kommt zusätzlich noch der sogenannte GingerBreak-Exploit zum Einsatz. Dieser Softwaretrick verhindert, dass Schadprogramme erkannt und entfernt werden. Gleichzeitig erfolgt die Eingliederung der betroffenen Geräte in ein globales Botnet. Security Threat Report 2013 Abgefangene SMS gefährden Ihr Bankkonto In jüngster Zeit beobachten wir verstärkt Android-Malware, die SMS-Nachrichten ausspioniert und sie an andere SMSNummern oder Server weiterleitet. Von dieser Art des Datenverlusts geht ein erhebliches Risiko aus – sowohl für Privatpersonen als auch für Unternehmen und Einrichtungen. Es besteht nämlich die Gefahr, dass diese Angriffe es auf Internet-Bankingdienste abgesehen haben, die mobile Transaktionsnummern per SMS versenden. Viele Banken senden bei jeder Online-Transaktion Authentifizierungscodes per SMS ans Handy. Um ein Konto zu plündern, reicht es also nicht mehr aus, das Passwort zu kennen. Sobald ein Handy jedoch mit entsprechender Malware infiziert ist (z.B. Andr/Zitmo), können Transaktionsnummern in SMSNachrichten abgefangen werden. Stellen Sie sich folgendes Szenario vor. Über einen konventionellen Phishing-Angriff erhalten Kriminelle genug Informationen, um sich in ein mobiles Bankkonto einzuloggen und auch das Handy des Opfers aus der Ferne zu kontrollieren (solche Fälle sind bereits bekannt). Die Kriminellen können sich nun in das Online-Banking-Konto einloggen und erhalten zusätzlich per SMS den zweistufigen Authentifizierungstoken, mit dem Sie eine Transaktion abwickeln können. Naked SecurityUmfrage Ist Smartphone-SMS/TXTSpam ein Problem für Sie? J a 43,78 % J a, aber ich habe eine App heruntergeladen, die das Problem behoben hat 2,36 % N ein – ich erhalte sehr selten/nie SMS-Spam auf meinem Handy 45,29 % Basierend auf 552 Teilnehmern Quelle: Naked Security Unter Einsatz einer schädlichen AndroidApp, die SMS in Echtzeit und in Kombination mit einer Social Engineering-Attacke abfängt, erhalten die Angreifer innerhalb eines kurzen Zeitfensters die Möglichkeit, den Token zu stehlen. Das Opfer hat keine Chance einzugreifen. 15 Android: Aktuelles Ziel Nummer 1 PUAs: Keine echte Malware, aber trotzdem gefährlich Neben Malware lohnt sich auch ein Blick auf die weit verbreiteten, potenziell unerwünschten Anwendungen (PUA). Bei PUAs handelt es sich u.a. um Android-Apps, die streng genommen keine Malware sind, aber trotzdem Schaden anrichten können. Erstens haben viele Benutzer Apps installiert, die mit aggressiven Werbenetzwerken verbunden sind. Diese verfolgen Geräte sowie deren Standorte nach und können im Zweifelsfall sogar Kontaktdaten abfangen. Nicht selten finanzieren sich diese Apps über pornografische Werbeanzeigen. Viele Unternehmen möchten den Zugriff auf solche Apps aufgrund von Datenschutzbedenken unterbinden oder wollen Mitarbeiter vor unangemessenen Inhalten und einer potenziell schädlichen Arbeitsumgebung schützen. Zweitens haben einige, technisch besonders versierte Android-Benutzer sich dazu entschlossen, das Programm Andr/DrSheep-A auf ihren Geräten zu installieren. Ähnlich wie das bekannte Desktop-Tool Firesheep kann Andr/ DrSheep-A drahtlosen Netzwerkverkehr mitlesen und unverschlüsselte Cookies von Webseiten wie Facebook und Twitter abfangen. Eigentlich ist das Tool dafür gedacht, das eigene Netzwerk zu testen. Tatsächlich dient es jedoch nicht selten dazu, sich als anderer Benutzer auszugeben, der sich in der Nähe befindet, allerdings nichts von der „Übernahme“ mitbekommt. Bei Scans haben wir Andr/DrSheep-A auf 2,6 % aller mit Sophos Mobile Control gesicherten AndroidGeräte gefunden. IT-Abteilungen von Unternehmen werden die Installation solcher Tools höchstwahrscheinlich nicht erlauben. Wenn Sie Ihr Gerät „rooten“, räumen Sie Software volle Android-Administratorrechte ein. Tatsächlich stammt die Bezeichnung auch vom Administratorkonto, das auf UNIXartigen Betriebssystemen wie Android „Root“ genannt wird. Roots sind beliebt, da sie Usern mehr Kontrolle über ihre Geräte ermöglichen – sie können z.B. unerwünschte Software-Add-ons entfernen und diese durch Programme der eigenen Wahl ersetzen. Security Threat Report 2013 Rooting umgeht das in Android integrierte Sicherheitsmodell, mit dem der Zugriff von Apps auf die Daten anderer Apps beschränkt werden soll. Allerdings ist es auch für Malware einfacher, auf gerooteten Geräten volle Zugriffsrechte zu erlangen und unerkannt zu bleiben. Für IT-Organisationen, die den Netzwerkzugriff privater Geräte am Arbeitsplatz unterstützen, stellt das Rooten von Android-Geräten eine zusätzliche Gefahr dar. Risiken bekämpfen, solange sie noch beherrschbar sind In den meisten Unternehmensumgebungen sind die von Android ausgehenden Gefahren für die IT-Sicherheit noch vergleichsweise gering. Das Risiko steigt jedoch. Google hat seine Plattform mittlerweile zwar gegen offensichtliche Bedrohungen gesichert, aber ständig tauchen neue Angriffe auf. Einige Sicherheitsexperten befürchten z.B. eine starke Zunahme des Gefahrenpotenzials durch Near Field Communication (NFC). Dank dieser Technik sollen AndroidGeräte in Zukunft wie Kreditkarten funktionieren. Aber schon heute kann Android-Malware die Zukunft von Unternehmen aufs Spiel setzen, wenn strategische Informationen in Umlauf gelangen oder Passwörter gestohlen werden. Vor diesem Hintergrund sollten ITOrganisationen ihre Android-Geräte unbedingt vor Malware, Datenverlust und sonstigen Bedrohungen schützen. Dazu empfehlen wir die folgenden Maßnahmen. Vergessen Sie aber nicht, dass keiner dieser Tipps narrensicher oder einzeln genommen ausreichend ist. Aber in den meisten Fällen können sie schon viel bewirken. ÌÌ W eiten Sie Ihre IT-Sicherheit und Nutzungsrichtlinien auf Android-Geräte aus. ÌÌ Verweigern Sie den Zugriff auf gerootete Android-Geräte. ÌÌ Z iehen Sie eine umfassende Geräteverschlüsselung in Betracht, um sich vor Datenverlusten zu schützen, und ermöglichen Sie für verloren gegangene oder gestohlene Geräte eine Remote-Löschung. Wenn Sie sich 16 für eine Verschlüsselung entscheiden, sollten Sie eine Lösung wählen, die auch optionale SD-Karten selbst bei unterschiedlicher Formatierung verschlüsseln kann. ÌÌ W enn möglich, sollten Sie automatische Prozesse zur Aktualisierung von Android-Geräten einrichten, damit diese sicherheitstechnisch immer auf dem neuesten Stand bleiben. Spielen Sie Sicherheitspatches des Herstellers und Patches von Anbietern ergänzender Softwareanwendungen immer zeitnah ein. ÌÌ Ü berlegen Sie, ob es sinnvoll ist, auf Android-Geräten nur noch die Installation von Apps aus Googles offiziellem Play Store zu erlauben. Zwar ist auch schon im Play Store Malware aufgetaucht, allerdings in einem viel geringeren Umfang als in vielen anderen inoffiziellen App-Märkten, die meist in Osteuropa und Asien beheimatet sind. ÌÌ W enn Sie App Stores freigeben, sollten Sie lediglich Zugriff auf Apps mit positiver Vorgeschichte und guten Bewertungen erteilen. ÌÌ G ehen Sie Social Engineering-Angriffen aus dem Weg und helfen Sie Ihren Kollegen, solche Attacken zu vermeiden. Hierzu müssen Sie die Berechtigungen, die eine App bei ihrer Installation erbittet, sorgfältig prüfen. Wenn Ihnen z.B. kein guter Grund dafür einfällt, warum eine App SMS versenden können sollte, sperren Sie diese Funktion einfach. Und überlegen Sie sich immer zwei Mal, ob Sie die 35 App auch wirklich installieren möchten. über cloudbasierte Infrastrukturen im Bedarfsfall sofort reagieren zu können. Der dritte und aufgrund der Komplexität heutiger Infrastrukturen besonders wichtige Punkt ist ein Lösungsansatz, der über reinen Virenschutz hinausgeht. Heute geht es darum, vielfältige Problembereiche abzudecken – von Netzwerken bis hin zu Verschlüsselungsverfahren. Naked Security-Umfrage Was ist für Sie beim Installieren einer App auf Ihrem Android-Gerät am wichtigsten? R uf des Entwicklers 43,78 % B eliebtheit der Anwendung 28,65 % P reis der App 13,24 % D ownloadort 14,32 % Basierend auf 370 Teilnehmern Quelle: Naked Security ÌÌ Z iehen Sie zuletzt den Einsatz einer Anti-Malware- und Mobile Device Management-Lösung auf Ihren AndroidGeräten in Betracht. Wir empfehlen Ihnen Sophos Mobile Control. Egal, für welche Lösung Sie sich letztendlich entscheiden: Wählen Sie auf jeden Fall einen Anbieter mit umfangreicher Erfahrung sowohl in Sachen AntiVirus als auch umfassender IT-Security-Lösungen. Warum? Erstens, weil Angriffstechniken von Android auf andere Plattformen abwandern. Ihr Lösungsanbieter sollte bereits wissen, wie er in diesem Fall reagieren sollte. Zweitens, weil Angriffe immer schneller in Umlauf geraten und sich mit rasender Geschwindigkeit weiter entwickeln. Ihr Anbieter sollte ein globales System zur Gefahrenerkennung besitzen und in der Lage sein, Security Threat Report 2013 17 Vielfältige Plattformen und Technologien erweitern die Angriffsfläche Früher basierten fast alle Computersysteme auf Windows. Angreifer konzentrierten ihre Angriffe deshalb auf dieses Betriebssystem. Entsprechend stand bei den Verteidigern Windows im Fokus. Diese Zeiten sind vorbei. Dennoch standen Windows-spezifische Sicherheitslücken und Schwachstellen natürlich auch 2012 auf der Tagesordnung. Unter anderem stellte sich die Windows Sidebar in Windows Vista/Windows 7 als so unsicher heraus, dass Microsoft sie entfernte und Kunden Programme zur Deaktivierung zur Verfügung stellte. Die Windows Sidebar hatte Mini-Programme (Gadgets) wie Nachrichten oder Aktienund Wettermeldungen angezeigt. Diese Angebot sollte Microsofts Antwort auf Apples beliebtes Dashboard und die Widgets sein. Die Sicherheitsexperten Mickey Shkatov und Toby Kohlenberg verkündeten jedoch, zahlreiche Angriffsvektoren auf Windows Gadgets 36 identifizieren zu können. Als Reaktion ließ Microsoft sowohl die Sidebar als auch die Gadgets so schnell wie möglich in der Versenkung verschwinden und entwickelte für Windows 8 ein komplett neues App-Konzept. Während die meisten Computer-Benutzer nach wie vor mit Windows arbeiten, findet die Entwicklung hauptsächlich andernorts statt – im Internet und auf mobilen Plattformen. Unternehmen und private User müssen sich daher auf Sicherheitsrisiken in neuen Umgebungen (z.B. Android-Geräte) einstellen. Im Folgenden haben wir einige Sicherheitsvorfälle des vergangenen Jahres zusammengestellt, die einen Vorgeschmack darauf geben, was uns bevorsteht und warum wir unsere Abwehr in Zukunft vielschichtiger, proaktiver und umfassender gestalten müssen. Security Threat Report 2013 18 ÌÌ Im Februar 2012 identifizierte ein Hacker Cross-Site Scripting (XSS)-Sicherheitslücken in 25 britischen Online-Shops, die von VeriSign, Visa oder MasterCard 37 als sicher zertifiziert worden waren. Kriminelle können unter Ausnutzung dieser XSS-Sicherheitslücken Anmeldeinformationen und Kundenrechnungsdaten stehlen. Ursache für diesen Hack war ein bekanntes Problem: ein schlecht geschriebenes Skript zur Filterung von Suchanfragen. Dieser Vorfall macht deutlich, dass Versprechen und Kennzeichnungen allein kein Garant für hinreichende Sicherheit sind. Ein https://, das Schloss-Symbol oder das VeriSign Trusted-Logo sind noch lange kein Grund, dass Sie sorglos im Internet surfen können. Besonders professionelle Webdesigner sollten sich dies zu Herzen nehmen und ihre Anwendungen und Skripts regelmäßig aktualisieren. Dazu gehören übrigens auch Skripts anderer Autoren. ÌÌ Im August 2012 entdeckte Sophos eine Malware-Kampagne, die versuchte, Computer mithilfe des berüchtigten Blackhole-Exploit-Kits zu infizieren. Tausende selbst gehosteter WordPressWebseiten dienten als Plattform für die 38 Attacke. Benutzer erhielten E-Mails zur „Auftragsprüfung“ mit Links zu legitimen WordPress-Blogs, die zuvor zum Herunterladen von Malware manipuliert worden waren. Benutzer des gehosteten WordPress.com-Services sind nicht gefährdet: Der Service-Provider Automatik kümmert sich selbst um die Sicherheit. ÌÌ Z ahlreiche andere Hackerangriffe haben zumindest theoretisch bewiesen, dass sie für Angriffsszenarien so ziemlich alles nutzen können – von Fahrkarten für den Security Threat Report 2013 öffentlichen Nahverkehr bis hin zu hochmodernen Smartphones mit aktivierter 39 Near Field Communication (NFC). Naked SecurityUmfrage Welchen Webbrowser empfehlen Sie? Wiederauferstehung der Ransomware Einige Angriffsarten treten zyklisch auf. Selbst, wenn bestimmte Malwareformen seit Jahren besiegt zu sein scheinen, ist deren Anwendung so einfach, dass Cyberkriminelle immer wieder auf sie zurückgreifen. 2012 erlebten wir beispielsweise die Wiederauferstehung von Ransomware-Attacken, bei denen Benutzer aus ihren eigenen PCs ausgesperrt werden und erst gegen Bezahlung wieder Zugriff erhalten. Dabei ist Ransomware alles andere als neu. Bereits 1989 befand sich einfachste Ransomware per Postversand in Umlauf. Diese versprach Software zur Aufklärung über HIV/AIDS, in Wirklichkeit wurde jedoch die Festplatte der Opfer verschlüsselt. Anschließend wurden die Benutzer aufgefordert, 189 US-Dollar per Scheck oder internationaler Postanweisung an eine 40 Adresse in Panama zu zahlen. Internet Explorer 5,95 % C hrome 28,9 % F irefox 23,09 % S afari 3,25 % O pera 36,75 % K eine Präferenz 2,06 % Basierend auf 370 Teilnehmern Quelle: Naked Security Aktuelle Ransomware bedient sich modernerer Methoden. Dazu gehören vor allem mit Social Engineering manipulierte E-Mails und kompromittierte Webseiten. Eine Variante der Ransomware friert „lediglich“ Ihren PC ein und stellt dann Geldforderungen. Ihre Dateien bleiben in diesem Fall intakt. Diese Infektionen sind zwar störend, können jedoch im Normalfall schnell behoben werden. Die zweite und aggressivere Ransomware-Art sorgt für absolutes Chaos auf Ihrem Rechner. Die Folgen sind ebenso katastrophal wie der Verlust des Laptops oder ein kompletter Festplattenausfall. 19 Diversifizierte Plattformen und Technologien eröffnen immer mehr Angriffsziele Momentan ist Ransomware des ersten Typs am meisten verbreitet. Ein Vertreter ist Reveton, auch bekannt als Citadel oder Troj/Ransom. Die Malware versteckt den Windows-Desktop, sperrt Sie aus allen Programmen aus und zeigt ein Vollbildfenster mit einem Logo des FBIs oder einer anderen nationalen Polizeibehörde an. Dort werden Sie mit der Behauptung konfrontiert, dass illegal heruntergeladenes, urheberrechtlich geschütztes Material auf Ihrem Computer gefunden wurde und dass Sie eine Geldbuße (meist 200 USD) zahlen müssen, um den Zugriff wieder herzustellen. Dieser Angriff kann mittels Reboot zu einem Anti-Virus Programm mit eigenem Betriebssystem und entsprechendem Umgehen von Windows abgewehrt werden (z.B. Sophos Bootable Anti-Virus). Sobald dieses Tool aktiviert ist, können Sie Ihre Systeme scannen und wiederherstellen 41 sowie Infektionen entfernen. Security Threat Report 2013 Leider entdecken wir auch immer mehr Infektionen, die Festplatten vollständig verschlüsseln. Der zum Entschlüsseln nötige Code befindet sich dabei in den Händen der Angreifer. Im Juli 2012 ging uns außerdem eine Ransomware-Variante ins Netz, die damit drohte, die Polizei mit einem „Spezialpasswort“ zu kontaktieren, mit dem angeblich Kinderpornos auf dem Computer 42 des Opfers enttarnt werden könnten. In fast allen genannten Fällen hätte eine aktuelle Virenschutzsoftware die Installation und Ausführung von Ransomware verhindern können. Wenn ihr PC allerdings ungeschützt ist und Sie in die Fänge verschlüsselnder Ransomware geraten, ist es höchstwahrscheinlich zu spät. Einige Ransomware-Verschlüsselungen können rückgängig gemacht werden (Sophos hat kostenlose Tools, die ggf. helfen können). Allerdings nur dann, wenn die Kriminellen bei der Verschlüsselung Fehler begangen haben. In vielen Fällen ist jedoch jede Hoffnung vergebens. Vorbeugen ist daher immer der beste Schutz. Mehr über Malware erfahren TOP 5 Mythen über sicheres Surfen im Internet James Lyne, Director of Technology Strategy, erklärt Ransomware (englisches Video) 20 OS X und der Mac: Mehr User = erhöhtes Gefahrenpotenzial Mit Forschungsergebnissen aus den SophosLabs Viele Malware-Entwickler fanden es bislang einträglicher, Windows anzugreifen, anstatt sich neues Wissen zum Angriff der kleineren OS X-Benutzer community anzueignen. Inzwischen halten jedoch tausende Macs in Unternehmen sowie Behörden Einzug und MalwareAutoren gewinnen zusehends Interesse. Forrester Research-Analyst Frank Gillette berichtete vor kurzem, dass „fast die Hälfte aller Unternehmen (1.000 Mitarbeiter und mehr) zumindest an einen Teil ihrer Mitarbeiter 43 Macs ausgeben und den Mac-Anteil 2012 um 52 % erhöhen möchten.“ Über Modelle zur Nutzung von Privatgeräten am Arbeitsplatz gelangen noch mehr Macs über die Hintertür ins Unternehmen. Diese Geräte werden häufig von Führungskräften zum Surfen im Internet und für Cloud-Anwendungen genutzt. Infolge der wachsenden Beliebtheit von Macs müssen viele IT-Organisationen Mac-Malware erstmals intensiv analysieren und bekämpfen. Gleichzeitig steigen die Risiken immer weiter an. Security Threat Report 2013 21 OS X und der Mac: Mehr User, mehr Gefahren Fake Anti-Virus und Flashback: Wachsende Mobilität nach Windows-Vorbild 2012 ging eine schier unendliche Schädlingsflut auf die Mac-Community nieder, hinter der die Malware-Familie MacDefender steckte. Diese Malware war die erste bedeutende Fake-Anti-Virus Attacke auf den Mac. Sie wurde über kompromittierte, legitime Seiten in Umlauf gebracht. Wir gehen hier im Speziellen auf MacDefender ein, weil dieser Schädling ein gutes Beispiel dafür ist, dass Mac-Malware oft in die Fußstapfen älterer WindowsAngriffe tritt. Um die Zukunft von MacMalware vorauszusehen, hilft es also, sich an den Problemen der Windows-Benutzer zu orientieren. Mac-Admins müssen z.B. zu Recht neue, auf Macs zugeschnittene und auf serverseitigem Polymorphismus basierende Angriffe erwarten. Im Frühjahr 2012 gelang es den Entwicklern des Flashback Botnets (OSX/Flshplyr) mit einer Mischung aus altbekannten MacDefender-Tricks und trickreichen, selbst entwickelten Verfahren, über 600.000 Macs zu infizieren. Zu Beginn der Attacke trat Flashback Ende 2011 zunächst als gefälschter Adobe Flash-Installer in Erscheinung. Im April 2012 begann Flashback dann, sich unter Ausnutzung einer Java-Schwachstelle, die im Gegensatz zu Windows unter OS X wochenlang ungepatcht blieb, als Drive-By-Download zu installieren. Apple patchte schließlich OS X 10.7 und 10.6, allerdings nicht die Vorgängerversionen. Auf dem Höhepunkt der Infektion identifizierte der kostenlose Virenschutz von Sophos auf etwa 2,1 % der von ihm geschützten Macs Flashback-Malware. Zwar konnten sowohl MacDefender als auch Flashback in ihre Schranken verwiesen werden. Die Beispiele zeigen jedoch, dass die Mac-Malware zunehmend an Schlagkraft gewinnt. So konnten wir beobachten, dass die Autoren 2012 ihre Zustellungsstrategien für bereits existierende Malware veränderten und sich auf neue Zero-Day-Exploits konzentrierten. Mac OS X-Malware-Snapshot In einer normalen Woche finden die SophosLabs auf Mac-Computern 4.900 OS X-Malwareschädlinge. Dieses Diagramm ist eine Momentaufnahme der in der Woche vom 1. bis zum 6. August 2012 aufgedeckten Mac-Malware. O SX/FkCodec-A O SX/Flshplyer-D 3,2 % O SX/FakeAV-DWN 13,28 % O SX/FakeAV-A 2,8 % O SX/FakeAVZp-C 13 % O SX/DnsCha-E 2,7 % O SX/FakeAVDI-A 8,6 % O SX/RSplug-A 2,4 % O SX/FakeAV-DPU 7,1 % O SX/Flshplyr-E 2,4 % O SX/FakeAVDI-B 6,2 % O SX/FakeAV-FNV 2,3 % O SX/SafExinj-B 4,1 % O SX/Jahlav-C 2,1 % O SX/FakeAV-FFN 3,3 % 26 % Security Threat Report 2013 Quelle: SophosLabs 22 Morcut/Crisis: Ausgereifter und potenziell gefährlicher Gefälschte Virenschutzsoftware spült normalerweise Geld in die Kassen von Cyberkriminellen , indem sie Benutzer dazu bringt, ihre Kreditkartendaten für den Kauf überflüssiger Software preiszugeben. Für die meisten Unternehmen war die Gefahr durch Fake Anti-Virus bislang überschaubar. Von Malware wie OSX/Morcut-A (alias Crisis), die erstmals Ende Juli 2012 entdeckt wurde, geht jedoch eine höhere Gefährdung aus. Morcut wurde speziell zu Spionagezwecken entwickelt und kann aus der Ferne praktisch alle Kommunikationswege von Benutzern nachverfolgen: Mauskoordinaten, IM, Skype-Anrufdaten, Standortinformationen, Webcams und Mikrophone, Zwischenablage, Tastaturanschläge, ausgeführte Apps, Internet-URLs, Screenshots, Kalender- und Adressbucheinträge, Benachrichtigungen, Gerätedaten und sogar Metadaten von Dateisystemen. Mehr über das steigende OS X-Risiko erfahren Kostenloses Tool: Sophos Anti-Virus für Mac Andrew Ludgate aus den SophosLabs erklärt Mac-Malware (englisches Video) Morcut tritt als Java-Archivdatei (JAR) in Erscheinung und gibt vor, von VeriSign digital signiert worden zu sein. Wenn ein User Morcur in die Falle geht, installiert das Spionagetool mehrere Kerneltreiberkomponenten, um sich ohne Administratorauthentifizierung verbergen und ausführen 44 zu können : eine Backdoor-Komponente, die den Mac für andere Netzwerknutzer öffnet, um Remote-Anweisungen zu akzeptieren sowie sein Verhalten anzupassen und, besonders wichtig, Codes zum Stehlen von Benutzerdaten. Bei entsprechender Ausbreitung kann Morcut die interne Sicherheit und Compliance in Unternehmen ernsthaft gefährden. Diese Malware ist besonders für Angriffe geeignet, bei denen Informationen über ausgewählte und bekannte Mac-User abgefangen werden sollen. Im Gegensatz zu seinen Vorgängern demonstriert Morcut darüber hinaus ein äußerst fundiertes Verständnis der Mac-Programmierungsverfahren, -Funktionen und Schwachstellen. Ähnliche Backdoor-Techniken tauchten bereits vermehrt auf. So konnten wir vor kurzem beobachten, dass Morcut erstmals in ein Kit integriert wurde. NetWrdRC-A ist primitiv, 45 voller Fehler und einfach auszuhebeln. Das Kit ist aber nur ein Vorgeschmack auf geschicktere Angriffe, die uns in Zukunft erwarten. Security Threat Report 2013 23 OS X und der Mac: Mehr User, mehr Gefahren Windows-Malware, die sich still und heimlich auf Macs verbirgt Aktuelle OS X Sicherheitsvorkehrungen und ihre Grenzen Bei der meisten auf Macs gefundenen Malware handelt es sich um Windows-Malware. In der Vergangenheit haben Mac-User diesem Umstand wenig Beachtung geschenkt, da sie davon ausgingen, dass diese Malware ihrem System nichts anhaben kann. Dabei vergessen sie aber schlicht, dass sie durchaus Windows-Computer gefährden können. Dieses Bewusstsein ist bei IT-Administratoren, die Umgebungen mit zahlreichen unterschiedlichen Plattformen verwalten, ganz anders ausgeprägt. Darüber hinaus können WindowsPartitionen von Dual-Boot-Macs sowie virtualisierte Windows-Sitzungen, die unter Parallels, VMware, VirtualBox oder dem Open Source-Programm WINE ausgeführt werden, sehr wohl infiziert werden. Mac OS X basiert ursprünglich auf BSD UNIX und verfügt über ein robustes Sicherheitsmodell. Mit der Veröffentlichung von OS X 10.6 Snow Leopard im Jahr 2009 führte Apple beschränkte Malware-Scans ein. Dies erfolgte auf Basis des Launch Services Quarantine-Systems und mit XProtect-Technologie. Mitte 2011 wurde XProtect ein dynamischer Push Update Service mit besserer Erkennung und Bereinigung von Malware-Dateien eingeführt. Zudem laden Mac-User, die gelegentlich Zugriff auf Windows-Programme benötigen, das gewünschte Programm u.U. von Drittanbietern herunter und erstellen durch Einsatz eines downloadbaren Generators möglicherweise illegal einen Lizenzschlüssel. Bei diesem Vorgang stoßen sie häufig auf Malware wie Mal/KeyGen-M, eine Familie trojanisierter Lizenzschlüsselgeneratoren, die wir auf etwa 7 % aller von uns untersuchten Macs identifizieren konnten. Eine andere, weit verbreitete Quelle für Windows-Malware sind heutzutage gefälschte Film- oder TV-Dateien für Windows Media. Diese Dateien enthalten Weblinks mit automatischer Weiterleitung, die mit Codecs zum Abspielen von Videos locken, in Wirklichkeit jedoch Zero-Day-Malware im Gepäck haben. Zwar sind Windows Media-Dateien nur selten auf Macs ausführbar, aber dennoch nutzen viele MacUser diese Dateien, um ihre „Download-Raten“ auf privaten Tracker-Webseiten zu verbessern. Dabei merken sie oft gar nicht, dass sie es mit Malware zu tun haben. WindowsBenutzer versuchen dann, die Videos abzuspielen und werden infiziert. Security Threat Report 2013 Mitte 2012 führte Apple mit OS X 10.8 Mountain Lion Gatekeeper ein. Dieses Feature verwaltet Berechtigungen zur Ausführung von Codes, die von zugelassener Software stammen. In der Standardeinstellung autorisiert Gatekeeper Software vorab, die mit einem offiziellen Apple Entwicklerschlüssel signiert ist und der bislang noch nicht wegen Missbrauchs blockiert wurde. Gatekeeper stellt eine erhebliche und willkommene Verbesserung der Mac-Sicherheit dar, ist jedoch ebenfalls nur eine Teillösung. Denn über USB kopierte, bereits auf dem Computer befindliche oder direkt von einem Computer zum anderen kopierte Software umgeht Gatekeeper. Dasselbe gilt für nicht standardisierte Dateiübertragungssysteme wie BitTorrent. Außerdem können einzelne Benutzer mit Anmeldeinformationen des Administrators die GatekeeperStandardeinstellungen so verändern, dass unsignierte Apps 46 sich ohne Benachrichtigung installieren lassen. Benutzer und laufende Prozesse können darüber hinaus nach wie vor die LSQuarantine-Kennzeichnung von Dateien entfernen. Anstatt des Doppelklicks können unsignierte Programme über einen einfachen Rechtsklick und die Auswahl der Option „Öffnen“ autorisiert werden. Auf OS X-Vorgängerversionen von 10.8 ist Gatekeeper noch nicht verfügbar. Außerdem werden die Laufzeit-Interpreter für Java-, Flashund OS X-Shellskripte von Apple ohne Ausnahme vorab autorisiert. Mit diesen Interpretern lässt sich beliebiger Code ausführen. Java und Flash haben sich auf Macs zu beliebten Angriffszielen entwickelt. Dieses Problem könnte sich in Zukunft abschwächen, da die Mac-Version von Java vor kurzem sicherer gestaltet wurde und Adobe Flash nach und nach durch HTML5 ersetzt wird. 24 Implementierung einer umfassenden Anti-Malware-Lösung für Macs Wie sieht eine umfassende Anti-Malware-Lösung für Mac aus, wenn Gatekeeper, LSQuarantine und XProtect nur partiell schützen? Achten Sie auf die folgenden Komponenten: ÌÌ Benutzeraufklärung: Kooperieren Sie mit Mac-Usern und machen Sie ihnen klar, dass Bedrohungen auf ihrem System kein Hirngespinst, sondern eine ernstzunehmende Gefahr sind. Mit zunehmender Beliebtheit im Unternehmensumfeld steigt auch das Risiko für Social Engineering-Attacken auf Macs, die bald ähnliche Ausmaße wie auf Windows annehmen könnten. ÌÌ Mehrschichtiger Schutz: Ein regelmäßig aktualisierter Mac-Schutz auf Endpoint-Ebene ist unumgänglich – gleiches gilt für Server, E-Mail- und Web-Gateways sowie für die Netzwerkinfrastruktur. Server-Anwendungen wie WordPress oder Drupal wurden im hohen Maße von Malware ausgenutzt, die in der Lage ist, Mac-Clients anzugreifen. Sie sollten sich darüber im Klaren sein, dass einfache Virenscanner – besonders solche auf integrierten Gateway- und Firewall-Geräten – nicht auf Mac-Malware und -Exploits scannen und daher auf dieser Ebene praktisch keinen Schutz bieten. ÌÌ S pezialwissen über Macs: Beauftragen Sie entweder einen Mac-Spezialisten oder schulen Sie Ihre Mitarbeiter selbst bezüglich der speziellen Eigenschaften dieser Plattform. Beispielsweise müssen heuristische Firewall- und Router-Richtlinien unter Umständen die Unterschiede von Mac-Traffic widerspiegeln. Diese ergeben sich aus dem vorgeschalteten Cache des Safari Webbrowsers und Network Discovery Broadcasts, die mit Bonjour-Services generiert wurden. Sachkundige Entscheidungen bei der Dateisystemkonfiguration können Dual-Boot-Windows- und Mac-Systeme besser gegen Angriffe wappnen. Während Mac-User auf Mail.app oder andere UNIXartige Back-End-E-Mail-Clients vertrauen, dämmen umsichtige Entscheidungen bei der E-Mail-Speicherung die Gefahr ein, dass Windows-Benutzer versehentlich Security Threat Report 2013 infizierte ZIP-Dateien öffnen. Außerdem ist zu beachten, dass Macs selbst auf BSD UNIX basieren, nicht aber die Benutzeroberfläche. Allgemeinwissen über UNIX ist daher zwar hilfreich, aber nicht unbedingt ausreichend. ÌÌ V erlässliche IT-Verfahren und -Richtlinien: Wo immer möglich, sollten Sie Best Practice-Richtlinien vom ITIL-Typ sowohl auf Macs als auch auf PCs ausweiten. Patchen Sie Macs genau wie Windows-Geräte unverzüglich und im Idealfall automatisch. Patchen Sie neben OS X auch Java, Flash und andere Anwendungen. Falls möglich, sollten Sie darüber hinaus auch kontrollieren, welche Software Benutzer installieren dürfen. Sorgen Sie dafür, dass Ihre Entwickler die eigene OS X-Software digital signieren. Zu guter Letzt sollten Sie auch Ihre Protokolle ordnungsgemäß verwalten. Macs protokollieren nahezu alle Vorgänge in Echtzeit und ermöglichen so eine Identifizierung neuer Sicherheitsbedrohungen und deren Blockierung mittels Richtlinienanpassungen oder Isolierung bestimmter Netzwerkbereiche. ÌÌ Realismus. Da Macs häufig bei Führungskräften und Designern zum Einsatz kommen, die maximale Kontrolle über ihre Computer benötigen, müssen Sie u.U. akzeptieren, dass einige Macs als nicht vertrauenswürdig einzustufen sind. Aber nicht vertrauenswürdig muss nicht gleich ungeschützt bedeuten. Sie sollten den betroffenen Usern trotzdem Schutz anbieten, der sich an ihren Bedürfnissen orientiert. Unternehmen dürfen auch die rechtlichen Anforderungen nicht außer Acht lassen, an die sie bei der Sicherheit und Benachrichtigung über Datenschutzverletzungen gebunden sind. Diese Anforderungensind unter Umständen besonders dann wichtig, wenn Führungskräfte involviert sind. Viele Sicherheitsexperten argumentieren, dass Netzwerkgrenzen immer schwerer zu verteidigen sind und alle Systeme – nicht nur Macs – demzufolge als nicht vertrauenswürdig eingestuft werden sollten. 25 Behörden gelingt großer Coup gegen Cyberkriminalität Mehr über Malware erfahren Wer mit Malware das große Geld macht Sicherheitsverantwortliche werden sich beim Schutz ihrer Systeme und Einrichtungen auch in Zukunft vor allem auf sich selbst verlassen müssen. Allerdings stellten wir erfreut fest, dass 2012 von behördlicher Seite bedeutend mehr Unterstützung erfolgte. In ihrem vielleicht bislang größten Coup knüpften US-Bundesbehörden an ihre Verhaftungen berüchtigter LulzSec-Hacker an, indem sie sich mit einer der Schlüsselfiguren der Bande verbündeten: Hector Xavier Monsegur alias „Sabu“. Sabu hatte scheinbar lange gegen die US-Regierung gewettert. Nun stellte sich jedoch heraus, dass er monatelang undercover gearbeitet und Beweise gegen die Hintermänner der Angriffe auf die CIA, das Pentagon, den US-Senat, die britische Serious Organised Crime Agency (SOCA) und viele weitere namhafte Organisationen gesammelt hatte. Dank dieser Unterstützung konnten die Behörden u.a. Jake Davis alias „Topiary“ auf den Shetland-Inseln verhaften. Ihm wird vorgeworfen, insgesamt 750.000 Passwörter gestohlen zu haben. Im August 2012 beantragte die Staatsanwaltschaft für die Verurteilung Monsegurs einen weiteren Aufschub von sechs Monaten, um noch länger 47 von seiner Kooperation profitieren zu können. LulzSec mag 2012 der Fall mit dem höchsten Medieninteresse gewesen sein, er befand sich jedoch in guter Gesellschaft. 2012 begann mit der Auslieferung des russischen Cyberkriminellen Vladimir Zdorovenin an die USA. Zdorovenin wurde für die Installation von Keyloggern auf Computern in den USA angeklagt. So hatte er Kreditkartendaten gestohlen, um scheinbar legitime Einkäufe auf seinen eigenen Online-Shops zu tätigen. Zusätzlich hatte sich Zdorovenin auch in die Aktien-Portfolios seiner Opfer gehackt, um Preise zu 48 manipulieren. Er wurde der Verschwörung und des elektronischen Datenbetrugs schuldig 49 gesprochen. Im Mai wurde der Drahtzieher von Bredolab – ein Botnet, in das zu seinen Hochzeiten rund 30 Mio. Computer eingebunden waren – in Armenien zu vier Jahren Haft verurteilt. Laut Angaben der Staatsanwaltschaft verdiente Georg Avanesov mit Bredolab monatlich 100.000 Security Threat Report 2013 26 Euro und vermietete Kapazitäten an weitere Kriminelle, die Spam versenden und Malware in Umlauf bringen wollten. Auf dem Höhepunkt seines kriminellen Schaffens versendete das Botnet mehr als 3 Mrd. infizierte E-Mails pro Tag, während sich Avanesov selbst auf den Seychellen 50 Luxusurlaube gönnte. Im Juni verhaftete das FBI nach zwei Jahren internationaler Ermittlungen gegen zahlreiche Kreditkartenbetrüger 24 mutmaßliche Cyberkriminelle aus den USA, Bosnien, Bulgarien, Norwegen, Deutschland und weiteren Staaten. Unter ihnen auch einige Experten für die Entwicklung ferngesteuerter Trojaner und betrügerischer Apple-Produktgarantien. Laut Schätzungen des FBI verhinderte dieser Coup betrügerische Transaktionen in Höhe von mehr als 205 Mio. US-Dollar. Außerdem wurden 411.000 gestohlene Kreditkarten identifiziert und 47 Unternehmen über den 51 Missbrauch ihrer Systeme informiert. Noch im gleichen Monat verhaftete die Polizei in Tokio sechs Männer die eine App entwickelt hatten, mit der AndroidSmartphones infiziert, personenbezogene Daten gestohlen und unrechtmäßige Gebühren erhoben worden waren. Laut Behördenangaben hatten insgesamt 9.252 Personen die manipulierte Android-App heruntergeladen, von denen 211 bereit waren, insgesamt mehr als 250.000 US-Dollar zu 52 zahlen. Anfang Juli berichtete die britische Polizei von hohen Strafen, die gegen drei Balten verhängt wurden. Die zuständigen Gerichte sahen es als erwiesen an, dass die Angeklagten den Trojaner SpyEye gezielt genutzt hatten, um Online-Bankkonten in Großbritannien, Dänemark, den 53 Niederlanden und Neuseeland zu plündern. Top 12 spamproduzierender Staaten 1. Indien 12,19 % 7. Russland 3,34 % 2. USA 7,06 % 8. Frankreich 3,04 % 3. Italien 6,95 % 9. Pakistan 2,95 % 4. Korea 5,37 % 10. Polen 2,77 % 5. Brasilien 4,17 % 11. Indonesien 2,73 % 6. Vietnam 4,16 % 12. China 2,73 % Prozentualer Anteil am Gesamt-Spam Quelle: SophosLabs Spam-Quellen nach Kontinent A sien 48,66 % E uropa 27,07 % S üdamerika 10,89 % N ordamerika 9,68 % A frika 3,20 % O zeanien 0,05 % Prozentualer Anteil am Gesamt-Spam Quelle: SophosLabs Später im Juli gelang es der niederländischen Polizei, die sekundären Kontrollrechner des riesigen Grum-Botnets nur 54 ein Woche nach Auffliegen des Systems auszuschalten. Kurz darauf legten weitere Strafverfolgungsbehörden die primären Kontroll-PCs des Botnets in Panama und Russland lahm und ließen damit eine Gruppe von Software-Bots hochgehen, die in der Vergangenheit für geschätzte 17 % des 55 weltweiten Spamaufkommens verantwortlich waren. Security Threat Report 2013 27 Zunahme der gezielten Angriffe Während die Strafverfolgungsbehörden im Kampf gegen Cyberkriminelle 2012 mehr Erfolge verbuchten, wuchs gleichzeitig die Besorgnis über staatlich finanzierte Cyberattacken und Exploits. Diese in offensichtlicher Kooperation mit staatlichen Stellen zur Umsetzung strategischer Zielstellungen initiierten Angriffe stiegen sprunghaft an. Gemessen an der Häufung dieser Angriffe müssen sich hochrangige Ziele im öffentlichen und privaten Sektor auf besorgniserregende neue Risiken gefasst machen. Auch weniger wichtige Stellen müssen ihre Wachsamkeit erhöhen, um nicht Auslöser eines Kollateralschadens zu werden. Im Klartext bedeutet das u.a., dass die Netzwerksicherheit erhöht und mit weiteren Sicherheitsdienstleistungen kombiniert werden muss, um Angriffe noch schneller erkennen und abwehren zu können. 56 In dieser Kategorie erregte der Flame-Angriff 2012 die größte Aufmerksamkeit. Bedeutung und Effektivität dieser Attacke blieben jedoch weitestgehend im Dunkeln. Weiteren und scheinbar erheblichen Schaden richtete erst kürzlich der Trojaner Shamoon (Troj/Mdrop57 ELD) im Energiesektor des Nahen Ostens an. Laut BBC und The Register infizierte der Trojaner etwa 30.000 Computer und legte das nationale Ölunternehmensnetzwerk in Saudi58 Arabien lahm. Wenig später geriet auch Katars Erdgasfirma RasGas unter Beschuss. Das Netzwerk und die Webseite wurden vom Netz genommen und Bürosysteme außer Gefecht 59 gesetzt. Security Threat Report 2013 28 Wir stießen darüber hinaus auf Hinweise, dass auch in den USA organisierte Cyberangriffe stattfanden. Ende September verwies US-Senator Joseph Lieberman auf massive DDos-Angriffe, die auf die Bank of America, JPMorgan Chase, Wells Fargo, Citigroup und PNC Bank zielten. Es wurde ohne Vorlage von Beweisen behauptet, dass diese Attacken vom Iran als Reaktion auf die immer strikteren wirtschaftlichen Sanktionen gegenüber iranischen Finanzinstituten initiiert wurden. Lieberman bezeichnete das Vorgehen gegen die USA als 60 gezielten Gegenangriff. Laut Bloomberg gelang es den Angreifern, einige der landesweit modernsten Computerabwehrmechanismen auszuhebeln und somit die Anfälligkeit dieser Strukturen 61 zu demonstrieren. Staatlich finanzierte Cyberattacken und Angriffe, die von hochspezialisierten Privatvereinigungen in enger Kooperation mit staatlichen Stellen entwickelt werden, sind naturgemäß schwer nachzuverfolgen oder nachzuweisen und werden in den Medien nicht selten künstlich aufgebauscht. Trotzdem entwickeln scheinbar immer mehr Akteure die Fähigkeit, solche Angriffe auszuführen. Und wenn sie erst einmal dieses Wissen besitzen, ist die Versuchung groß, sie auch weiter gewinnbringend einzusetzen. Wie gefährlich lebt es sich in der Welt? Threat Exposure Rate nach Land Die zehn sichersten Länder TER 1. Norwegen 1,81 % 6. USA 3,82 % 2. Schweden 2,59 % 7. Slowenien 4,21 % 3. Japan 2,63 % 8. Kanada 4,26 % 4. Vereinigtes Königreich 3,51 % 9. Österreich 4,27 % 5. Schweiz 3,81 % 10. Niederlande 4,28 % Die zehn gefährlichsten Länder TER TER 1. Indonesia 23,54 % 6. India 15,88 % 2. China 21,26 % 7. Mexico 15,66 % 3. Thailand 20,78 % 8. UAE 13,67 % 4. Philippines 19,81 % 9. Taiwan 12,66 % 5. Malaysia 17,44 % 10. Hong Kong 11,47 % Threat Exposure Rate (TER): Prozentsatz an PCs, die während drei Monaten von einer Malware-Attacke (erfolgreich oder nicht) heimgesucht wurden. Quelle: SophosLabs Willkommen im Zeitalter der personalisierten Malware 50 % 50 % unserer Erkennungen basieren auf nur 19 MalwareIdentitäten. Security Threat Report 2013 TER 75 % 75 % aller individuellen Malware-Muster werden in nur einem Unternehmen bzw. einer Einrichtung beobachtet. 88 % 88 % aller MalwareMuster werden in weniger als zehn Unternehmen/ Einrichtungen gefunden. Quelle: SophosLabs 29 Polymorphe und gezielte Angriffe: Long Tail Mehr über Long Tail erfahren Richard Wang aus den SophosLabs erklärt Long Tail (englisches Video) Mit Forschungsergebnissen aus den SophosLabs Der Ausdruck „Long Tail“ hat sich zu einer beliebten Bezeichnung für Ereignisse entwickelt, die in der normalen statistischen Verteilung nicht ins Gewicht fallen, sondern am „Schwanzende“ der Verteilungskurve auftauchen. Wie z.B. im Einzelhandel, wo mit einer großen Anzahl von Nischenprodukten hohe Gewinne erzielt werden können. Diese Entwicklung gilt zunehmend auch für Malware. 75 % der uns bekannten Malware-Dateien tauchen heute nur noch in einem Unternehmen auf. Dieser Grad an Polyphormismus ist bislang beispiellos. Darüber hinaus entwickeln Angreifer zunehmend geschicktere Polymorphismus-Methoden, um ihre Angriffe zu verbergen. Dieser Kampf hat ernstzunehmende Folgen für die IT. Es ist daher wichtig, die Zusammenhänge zu verstehen, wie Sophos darauf reagiert, und was Sie selbst tun können, um sich zu schützen. Security Threat Report 2013 30 Polymorphismus: Nicht neu, aber zunehmend gefährlich Serverseitigen Polymorphismus wirksam bekämpfen Polymorphismus ist nichts Neues – Malware-Autoren nutzen diese Methode bereits seit 20 Jahren. Kurz gesagt wandelt polymorpher Code ständig sein Erscheinungsbild, um nicht erkannt zu werden. Verhalten und Ziele bleiben allerdings die gleichen. Angreifer nutzen damit die Chance, dass ihre Programme nicht von Antiviren-Software erkannt werden. Oder die Virenschutzsoftware erzeugt so viele False Positives, dass der genervte Benutzer das Programm deaktiviert. Um unsere Erkennungsmechanismen für SSP und weitere Angriffe entscheidend zu verbessern, haben wir uns die Erkenntnisse der Genetik zu Eigen gemacht. Unser Behavioral Genotype-Verfahren identifiziert neue Malware, indem sie so genannte „Gene“ (oder Verhaltenselemente) erkennt und extrahiert. Über ein sorgfältig abgestimmtes Bewertungssystem, das sämtliche jemals von uns aufgedeckte Malware enthält, können wir Kombinationen von Genen (Genotypen) identifizieren, die Malware von unbedenklichem Code unterscheiden. Diese Informationen können wir mit Genen, die wir in gutartigen Dateien beobachtet haben, vergleichen und so die Anzahl von False Positives reduzieren. Polymorphe Angriffe sind meist verschlüsselt, um bedeutungslos zu erscheinen, und treten gemeinsam mit einem Decryptor auf, der den Code in ein ausführbares Format zurücksetzt. Bei jeder Entschlüsselung verändert die Umwandlungsengine Syntax, Semantik oder beides. Windows-Malware-Autoren setzen zudem häufig strukturierte Ausnahmebehandlungen ein, um die Ablaufsteuerung zu verschleiern und statistische 62 Programmanalysen vor der Ausführung zu erschweren. Polymorphe Viren der traditionellen Art sind eigenständig und müssen die Umwandlungsengine enthalten, um sich replizieren zu können. Sophos und andere IT-SecurityAnbieter haben bei der Erkennung dieser Malware-Form bereits viel Erfahrung. Das Verhalten der Malware ist einfacher analysierbar, wenn Zugriff auf die Umwandlungsengine besteht. Aktuell verlagern Angreifer ihren Fokus so umfassend wie nie auf Internet-Malware und stützen sich hierbei vor allem auf serverseitigen Polymorphismus (SSP). Auf diese Weise können die Umwandlungsengine und angeschlossene Programme komplett auf dem Server gehostet werden. Kriminelle können mit diesen Programmen so einfach wie nie verschiedenste Dateiinhalte erstellen. Empfänger dieser Inhalte (z.B. Windows .exe, Adobe PDF oder JavaScript) bekommen nur ein Beispiel von dem zu Gesicht, wozu die Engine in der Lage ist. Die Engine selbst bleibt dabei im Hintergrund. Die Antwort der IT-Security-Anbieter besteht zunächst darin, möglichst viele unterschiedliche Beispiele der von der Engine erstellten Schadelemente zu sammeln. Deren Analyse lässt Rückschlüsse auf die Funktionsweise und das Schreiben eines generischen Erkennungscodes zu. Security Threat Report 2013 Vorteile dieser Methode sind die Flexibilität und Erweiterungsfähigkeit. Wir können jederzeit Gene reaktiv hinzufügen oder modifizieren bzw. vorsorgliche Gene veröffentlichen, mit denen wir wahrscheinliche Neukreationen der Schädlinge abfangen können. Zusätzlich können wir auch aus dem Verhalten der Malware auf die Erkennungen anderer Sicherheitsanbieter lernen. Häufig nehmen Programmierer Änderungen vor, die sich nicht unmittelbar auf unsere Erkennungsverfahren auswirken. Durch eine proaktive Anpassung unseres genetischen Profils an diese Änderungen verringern wir die Wahrscheinlichkeit, dass wir die Attacke bei einer erneuten Abwandlung übersehen. Bei bestimmten Typen der SSP-Malware hat sich der Schlagabtausch zwischen Sicherheitsanbietern und MalwareAutoren extrem zugespitzt. Besonders ambitionierte Malware-Autoren verwenden sehr viel Zeit darauf herauszufinden, welche Elemente ihres Codes erkannt wurden. In der Folge wurden entdeckte Schadcodes innerhalb weniger Stunden modifiziert und ersetzt. Unser Ziel ist es natürlich, ebenfalls möglichst schnell neue Angriffe zu entdecken und auf diese zu reagieren. SSP war in der Vergangenheit vor allem auf Windows erfolgreich und wurde primär auf ausführbare WindowsDateien und JavaScript-Webseiteninhalte angewendet. 2012 konnten wir SSP erstmals in Android-Malware beobachten und gehen von einer schnellen Ausbreitung auf OS X aus. Das berüchtigte Blackhole-Exploit-Kit setzt z.B. in hohem Maße auf SSP, hat aber auch viele andere Tricks auf Lager. 31 Polymorphe und gezielte Angriffe: Long Tail Gezielte Angriffe: hoch spezialisiert, fokussiert und gefährlich Wie die meisten SSP-Angriffe versucht auch Blackhole, seinen Payload wahllos und flächendeckend zu streuen. Aber andere Varianten der Long Tail-Attacken sind sehr viel fokussierter. Einige Malware-Autoren greifen beispielsweise nur wenige Unternehmen oder Einrichtungen an, um an wichtige Finanzdaten oder Online-Banking-Logindaten zu gelangen. Sie bereiten ihre Angriffe mit aufwändigen Recherchen im Vorfeld minutiös vor. So könnten sie eine gefälschte E-Mail mit einem infizierten Anhang in Umlauf bringen, der das Interesse der speziell ausgewählten Empfänger erregt. Ein Entscheidungsträger im Finanzwesen erhält beispielsweise eine infizierte Tabellenkalkulation, die mit vierteljährlichen Vertriebsdaten lockt. Öffnet die betroffene Person das infizierte Dokument ohne dass die Malware auffliegt, kann sich diese installieren und unentdeckt auf dem System verbleiben, bis die Online-Banking-Webseite des Unternehmens aufgerufen wird. Dann kann die Malware über das Speichern der Tastenfolge oder durch Abfangen des zweiten Authentifizierungsfaktors in entsprechenden Systemen Anmeldeinformationen stehlen. Die so abgefangenen Login-Daten können für zukünftige Angriffe genutzt werden. Kriminelle konzentrieren sich bei diesen gezielten Attacken häufig auf kleine und mittelständische Unternehmen ohne starke IT-Präsenz. Da die eingesetzten Malware-Schädlinge in der Regel nur einen kleinen Adressatenkreis haben, sind sie den betroffenen Unternehmen meist unbekannt und können sich unentdeckt einschleichen. So ist nicht einmal der Einsatz hochentwickelter Polymorphismus-Verfahren notwendig. Auch dieser Fall zeigt die Vorteile genbasierter Abwehrmethoden von Sophos. Unser Endpoint Protection Client kann neue Malware in den meisten Fällen auf Basis ihres Verhaltens erkennen – selbst dann, wenn uns die beobachtete Malware bislang völlig unbekannt war. Manche Angreifer manipulieren gezielt eine bestimmte Webseite, weil sie wissen, dass die Mitarbeiter des anvisierten Unternehmens diese Seite besuchen. Zu diesen Zielen gehören häufig kleinere Partner, da die Hacker davon 63 ausgehen, dass deren IT-Sicherheit labiler ist. Security Threat Report 2013 Neben der Implementierung eines modernen EndpointSchutzes können kleine und mittelständische Unternehmen ihr Risiko durch die Einrichtung eines separaten Computers für Online-Finanztransaktionen eindämmen. Dort ist normales Internet-Surfen, Abrufen von E-Mails oder Social Networking tabu. Eingehende Abwehr von SSP IT- und Sicherheitsexperten müssen gut vorbereitet sein, um gegen Angriffe auf SSP-Basis und gezielte CybercrimeAttacken gewappnet zu sein. In erster Linie ist hierbei eine eingehende und auf mehreren Ebenen greifende Abwehr notwendig. Das ausgedehnte ZeroAccess Botnet und Rootkit kann beispielsweise häufig durch die Verbindungsart zum Peerzu-Peer-Botnet enttarnt werden. Wenn Sie eine solche Kommunikation an der Firewall entdecken, können Sie die Verbindung bis zum infizierten Computer zurückverfolgen. Sicherheitsregeln sollten statische und dynamische Analysen kombinieren, um schädliche Programme identifizieren zu können. Verdächtige Inhalte, die beispielsweise bei der Erstanalyse einer Datei entdeckt werden (z.B. ungewöhnliche Verschlüsselung), können später mit verdächtigen Aktivitäten in Verbindung gebracht werden (z.B. Erstellen einer unerwarteten Netzwerkverbindung). IT-Experten müssen zudem das Risiko scheinbar seriöser Verwaltungsprogramme bei gezielten Angriffen berücksichtigen. Solche Programme werden nicht als schädlich identifiziert, können in den falschen Händen jedoch sehr viel Schaden anrichten. Effektive Gegenmaßnahmen, die u.a. den Zugang zu nicht geschäftlichen Anwendungen limitieren, werden im Allgemeinen Application Control genannt. Last but not least müssen IT-Experten dafür sorgen, dass Angreifer keine Chance erhalten, Schwachstellen zu finden und auszunutzen, indem sie ihre Angriffsflächen auf Netzwerk-, Software- und Benutzerebene auf ein Minimum reduzieren. Patches regelmäßig und automatisch zu installieren, war schon immer wichtig, gewinnt aber vor dem Hintergrund der wachsenden Bedrohungsdichte zunehmend an Bedeutung. 32 Complete Security Um neue Bedrohungen zu stoppen, Daten überall zu schützen, steigende Mobilitätsanforderungen von Benutzern zu realisieren und Ihr IT-Team zu entlasten, benötigen Sie eine umfassende IT-Sicherheitsstrategie – Complete Security. Ein umfassendes Sicherheitskonzept kann in vier Hauptelemente unterteilt werden: ÌÌ A ngriffsfläche reduzieren. Wählen Sie einen aktiven Ansatz, der neben Malware auch andere Bedrohungen wie Schwachstellen, Anwendungen, Webseiten und Spam überwacht. ÌÌ Ü berall schützen. Stellen Sie sicher, dass Benutzer unabhängig von ihrem Standort und Gerät geschützt bleiben, und kombinieren Sie Endpoint(einschl. Mobile), Gateway- und Cloud-Technologien. So gestalten Sie den Datenaustausch und die Zusammenarbeit in Ihrer IT-Umgebung sicher, ohne die Benutzer zu beeinträchtigen. ÌÌ A ngriffe und Datenlecks stoppen. Es ist an der Zeit, sich nicht mehr ausschließlich auf Antiviren-Signaturen zu verlassen und stattdessen mehrere Erkennungsebenen zu implementieren, mit denen Bedrohungen in unterschiedlichen Ausführungsstadien gestoppt werden können. Sorgen Sie dafür, dass Ihr Schutz neben Schadcode auch gefährliches Benutzerverhalten registriert. ÌÌ D en Arbeitsfluss aufrecht erhalten. Das gilt sowohl für die Benutzer als auch die IT-Mitarbeiter. Vereinfachen Sie zeitintensive Aufgaben, indem Sie für umfassende Einsicht und minutiöse Kontrolle in Ihrem Sicherheitssystem sorgen. So können Sie Probleme schnell erkennen und zeitnah reagieren. Security Threat Report 2013 33 Complete Security Zwei Wege zu Complete Security mit Sophos Sophos UTM Sophos EndUser Protection Liefert in einer einzigen Appliance umfassende Sicherheit. Garantiert den Schutz, den Sie auch tatsächlich benötigen. Bereitgestellt auf der Plattform, die für Ihr Unternehmen am besten geeignet ist: als Software, Hardware oder Virtual Appliance. Der Funktionsumfang ist dabei immer identisch – ganz gleich, wie viele Benutzer Sie schützen. Über unsere kostenlose, webbasierte Management-Konsole verwalten Sie Ihre gesamte IT-Sicherheit einfach und komfortabel. Schützt Sie überall – von Ihrem Netzwerk bis zu Ihren Servern, Desktop-Computern und Mobilgeräten. Da alle Schutzelemente von Sophos stammen, sind sie perfekt aufeinander abgestimmt. Die Lösung ist besonders anwenderfreundlich, spart Ihnen Zeit und Geld und stammt vom Anbieter Ihres Vertrauens. Endpoint Network Unser Endpoint-Schutz hält Bewahren Sie Ihre Netzwerkinfra- Daten im Unternehmen und struktur vor Angriffen, indem Sie Malware fern – alles im Rahmen eine umfassende Netzwerk- Ihres Antiviren-Budgets.. sicherheit implementieren. Data Email Wir schützen Ihre vertraulichen Wir verschlüsseln sensible Daten und helfen Ihnen, E-Mails, verhindern Daten- Vorschriften einzuhalten. verluste und blockieren Spam. Mobile Web Mit unserer Hilfe sichern und Wir machen das Internet verwalten Sie Ihre Mobilgeräte sicherer und produktiver. und Daten mühelos. UTM Sie erhalten eine Appliance, mit der Sie den Verwaltungsaufwand zahlreicher StandaloneLösungen minimieren können. Security Threat Report 2013 34 Ausblick auf 2013 Von James Lyne, Director of Technology Strategy Wir bei Sophos sind stolz darauf, Bedrohungen blitzschnell identifizieren und bekämpfen zu können. Während Cyberkriminelle oft opportunistisch sind, gehen wir davon aus, dass die Verfügbarkeit von Testplattformen – einige sogar inklusive Geld-zurück-Garantie – immer häufiger der Grund dafür ist, dass traditionelle Sicherheitssysteme mit nur einer Schutzebene ausgehebelt werden. Wir erwarten deshalb, dass in Zukunft langfristige Attacken auf Unternehmen mit entsprechend mehr Schaden auf der Tagesordnung stehen. Als Reaktion hierauf werden mehrschichtige Sicherheits- und Erkennungsmechanismen, die den gesamten Bedrohungszyklus (nicht nur den ersten Eintrittspunkt) abdecken, im nächsten Jahr wieder verstärkt in den Fokus rücken. Außerdem erwarten wir, dass die fünf folgenden Trends die IT-Sicherheit im Jahr 2013 maßgeblich beeinflussen werden. Grundlegende Webserver-Fehler 2012 konnten wir einen Anstieg von SQL Injection-Hacks bei Webservern und Datenbanken beobachten. Die Folge waren Millionen gestohlene Benutzernamen und Passwörter. Zu den Zielen dieser sowohl politischen als auch wirtschaftlichen Attacken zählten Unternehmen jeder Größe. Da solche, auf Anmeldeinformationen ausgerichtete Attacken ständig zunehmen, sollten IT-Experten dem Schutz ihrer Webserver genauso viel Beachtung schenken, wie dem Schutz ihrer Computer. Security Threat Report 2013 35 Ausblick auf 2013 Mehr „irreversible“ Malware 2012 konnten wir einen starken Anstieg in der Beliebtheit und Qualität von RansomwareMalware beobachten, die Daten verschlüsselt und ein Lösegeld zur Freischaltung fordert. Die Verfügbarkeit von Public Key-Kryptographie inklusive raffinierter Steuerungs- und Befehlsmechanismen gestaltet eine Schadensbehebung äußerst schwierig und ist in vielen Fällen ganz unmöglich. Im Laufe des kommenden Jahres erwarten wir mehr solcher Angriffe. IT-Experten sollten ihren Fokus daher zunehmend auf Verhaltensschutzmechanismen sowie Systemhärtung und Backup-/ Wiederherstellungsvorgänge verlagern. Mehr über mobile Sicherheit erfahren Sicherheit von Mobilgeräten: Was bringt die Zukunft? Angriff-Toolkits „All Inclusive“ In den letzten Monaten haben Cyberkriminelle verstärkt in Toolkits wie Blackhole investiert. Solche Tools verfügen über Funktionen wie skriptfähige Webdienste, APIs, Plattformen zur Qualitätssicherung der Malware, antiforensische Features, intelligente Reportservices und Selbstschutzeinrichtungen. Im kommenden Jahr werden diese Kits wahrscheinlich noch ausgereifter und sind dann mit zahlreichen, qualitativ hochwertigen Funktionen ausgestattet. Diese Pakete machen effektive Angriffe noch einfacher. Vom Schwachstellen-Exploit zu Social Engineering-Attacken Auch wenn die Schwachstellenanzahl 2012 angestiegen ist – z.B. waren sämtliche in den letzten acht Jahren veröffentlichten Java-Plugins betroffen – gestaltet sich deren Ausnutzung zunehmend schwieriger, da Betriebssysteme immer moderner und sicherer werden. Die Einführung von DEP, ASLR, Sandboxing, beschränkten Mobilplattformen sowie neue, vertrauenswürdige Boot-Mechanismen macht die Ausnutzung von Sicherheitslücken immer anspruchsvoller. Auch wenn wir nicht davon ausgehen, dass diese Exploits völlig von der Bildfläche verschwinden, wird es einen erheblichen Rückgang geben. Dieser könnte aber von einem starken Anstieg im Bereich Social Engineering-Attacken über verschiedenste Plattformen hinweg mehr als ausgeglichen werden. Integration, Datenschutz und Herausforderungen bei der Sicherheit Spätestens seit dem vergangenen Jahr sind Mobilgeräte und Anwendungen wie Social Media Apps nicht mehr aus dem Alltag wegzudenken. Die Kombination dieser Plattformen und Services mit neuen Technologien wie z.B. Near Field Communication oder GPS eröffnete Cyberkriminellen neue Möglichkeiten für Angriffe auf unsere Sicherheit und Privatsphäre. Dieser Trend lässt sich nicht nur auf Mobilgeräten, sondern auf Computern allgemein beobachten. Achten Sie im kommenden Jahr deshalb auf Angriffe, bei denen die genannten Technologien zum Einsatz kommen könnten. Security Threat Report 2013 36 Auf ein (letztes) Wort IT-Security hat schon lange nicht mehr nur mit Microsoft zu tun. Zwar bleibt der PC das beliebteste Ziel für Malware, aber Kriminelle haben mittlerweile auch effektive Fake Anti-Virus-Attacken für Macs entwickelt. Malware-Entwickler konzentrieren sich zudem auf Mobilgeräte, da wir es hier mit völlig neuen und damit angreifbaren Betriebssystemen zu tun haben, die zudem über unterschiedliche Sicherheitsmodelle verfügen. Unser Ziel muss es deshalb sein, den Benutzer gleichzeitig zu schützen und handlungsfähig zu halten – egal, auf welcher Plattform, welchem Gerät oder Betriebssystem. Security Threat Report 2013 37 Quellen 1. Microsoft Settles Lawsuit Against 3322 dot org, Reveals Scale of Nitol Botnet in China, http://nakedsecurity.sophos.com/2012/10/05/microsoft-settleslawsuit-against-3322-dot-org/ 2. B eware Remove Your Facebook Timeline Scams, Naked Security, http:// nakedsecurity.sophos.com/2012/05/29/beware-remove-your-facebooktimeline-scams/; ‘Remove Facebook Timeline’ Themed Scam Circulating on Facebook, ZDNet, http://www.zdnet.com/blog/security/remove-facebooktimeline-themed-scam-circulating-on-facebook/9989 3. T witter DMs From Your Friends Can Lead to Facebook Video Malware Attack, Naked Security, http://nakedsecurity.sophos.com/2012/09/24/twitterfacebook-video-malware/ 4. O MG This Is So Cool! Pinterest Hack Feeds Spam to Twitter and Facebook, Naked Security, http://nakedsecurity.sophos.com/2012/09/12/omg-this-is-socool-pinterest-hack-feeds-spam-to-twitter-and-facebook/ 5. F acebook Teams Up With Sophos and Other Security Vendors, Naked Security, http://nakedsecurity.sophos.com/2012/04/25/facebook-teams-up-sophosother-vendors/ 6. A pplication Detects Social Network Spam, Malware, Dark Reading, http://www.darkreading.com/security-monitoring/167901086/security/ vulnerabilities/240006232/application-detects-social-network-spam-malware. html 17. J ava Flaws Already Included in Blackhole Exploit Kit Oracle Was Informed of Vulnerabilities in April, Naked Security, http://nakedsecurity.sophos. com/2012/08/30/java-flaws-already-included-in-blackhole-exploit-kit-oraclewas-informed-of-vulnerabilities-in-april/ 18. O racle Updates Java, Supports OS X, Claims Full and Timely Updates for Apple Users, Naked Security, http://nakedsecurity.sophos.com/2012/08/15/ oracle-updates-java-claims-full-and-timely-updates-for-apple-users/ 19. U npatched Java Exploit Spreads Like Wildfire, Naked Security, 8/28/12, http:// nakedsecurity.sophos.com/2012/08/28/unpatched-java-exploit-spreads-likewildfire/ 20. Attacks on Java Security Hole Hidden in Bogus Microsoft Services Agreement Email, Naked Security, http://nakedsecurity.sophos.com/2012/09/03/javasecurity-hole-microsoft/ 21. CVE-2012-4681 Java 7 0-Day vulnerability analysis, Deep End Research, http:// www.deependresearch.org/2012/08/java-7-vulnerability-analysis.html 22. New Security Hole Found in Multiple Java Versions, Naked Security, http:// nakedsecurity.sophos.com/2012/09/26/new-security-hole-multiple-javaversions/ 23. Visit: http://www.sophos.com/en-us/security-news-trends/security-trends/ java-zero-day-exploit-disable-browser.aspx 7. A Continued Commitment to Security, The Facebook Blog, http://www. facebook.com/blog/blog.php?post=486790652130 24. New Security Hole Found in Multiple Java Versions, Naked Security, http:// nakedsecurity.sophos.com/2012/09/26/new-security-hole-multiple-javaversions/ 8. L atest Black Eye For Dropbox Shines Spotlight On Larger Problem, Dark Reading, http://www.darkreading.com/blog/240004868/latest-black-eye-fordropbox-shines-spotlight-on-larger-problem.html 25. Philips Hacked as R00tbeer Gang Strikes Again, Naked Security, http:// nakedsecurity.sophos.com/2012/08/21/r00tbeer-returns-philips-hacked-poorpasswords/ 9. A nother Layer of Security for Your Dropbox Account, Dropbox Blog, 8/27/12, https://blog.dropbox.com/index.php/another-layer-of-security-for-yourdropbox-account 26. Security Spill at the IEEE, Naked Security, http://nakedsecurity.sophos. com/2012/09/26/ieee-squirms-after-sensational-security-spill/ 10. Fraunhofer Institute Finds Security Vulnerabilites in Cloud Storage Services, The H Security, http://www.h-online.com/security/news/item/FraunhoferInstitute-finds-security-vulnerabilites-in-cloud-storage-services-1575935.html 11. 5 Dropbox Security Warnings for Businesses, InformationWeek, http://www. informationweek.com/security/management/5-dropbox-security-warnings-forbusiness/240005413?pgno=2 12. As you move forward with cloud computing, you may find it valuable to read Security Guidance for Critical Areas of Focus in Cloud Computing V3.0, available from the Cloud Security Alliance at https://cloudsecurityalliance.org/ guidance/csaguide.v3.0.pdf 13. Cloud Security: Top 5 Vulnerabilities of the Public Cloud, iPro Developer, http:// www.iprodeveloper.com/article/security/public-cloud-security-698785 14. Sophos Technical Paper: Exploring the Blackhole Exploit Kit, http://www. sophos.com/en-us/why-sophos/our-people/technical-papers/exploring-theblackhole-exploit-kit.aspx 15. The Open Business Engine, http://obe.sourceforge.net/ 16. ImmunityProducts.Blogspot.com, http://immunityproducts.blogspot. com/2012/08/java-0day-analysis-cve-2012-4681.html Security Threat Report 2013 27. T he Worst Passwords You Could Ever Choose Exposed by Yahoo Voices Hack, Naked Security, 7/13/12, http://nakedsecurity.sophos.com/2012/07/13/yahoovoices-poor-passwords/ 28. Philips Hacked as R00tbeer Gang Strikes Again, Naked Security, http:// nakedsecurity.sophos.com/2012/08/21/r00tbeer-returns-philips-hacked-poorpasswords/ 29. Security Spill at the IEEE, Naked Security, http://nakedsecurity.sophos. com/2012/09/26/ieee-squirms-after-sensational-security-spill/ 30. T he Worst Passwords You Could Ever Choose Exposed by Yahoo Voices Hack, Naked Security, 7/13/12, http://nakedsecurity.sophos.com/2012/07/13/yahoovoices-poor-passwords/ 31. O WASP Top Ten 2010: The Ten Most Critical Web Application Security Risks, The Open Web Application Security Project (OWASP), http://owasptop10. googlecode.com/files/OWASP%20Top%2010%20-%202010.pdf 32. Quelle: IDC. http://money.cnn.com/2012/08/08/technology/smartphonemarket-share/index.html 33. Quelle: ComScore. http://www.comscore.com/Press_Events/Press_ Releases/2012/9/comScore_Reports_July_2012_U.S._Mobile_Subscriber_ Market_Share 38 34. Angry Birds Malware Firm Fined £50,000 for Profiting From Fake Android Apps, Naked Security, http://nakedsecurity.sophos.com/2012/05/24/angrybirds-malware-fine/ 51. FBI Arrests 24 in Internet Credit Card Fraud Ring, Naked Security, http:// nakedsecurity.sophos.com/2012/06/27/fbi-arrests-24-in-internet-credit-cardfraud-ring/ 35. Beim Lesen haben Sie sich vielleicht gefragt, warum Sophos Anti-Virus die Erlaubnis zum Senden von SMS einholt. Wenn Sie ein Gerät remote sperren oder orten, will das System Ihnen eine SMS mit Längen-/Breitengrad bzw. eine Bestätigung darüber senden, dass die Sperrung erfolgreich war. 52. Android Porn Malware Leads to Arrests in Japan, Naked Security, http:// nakedsecurity.sophos.com/2012/06/18/android-porn-malware/ 36. Wie Sie die Windows Sidebar und Gadgets unter Vista und Windows 7 deaktivieren. Microsoft Warns of Security Risk, Naked Security, http:// nakedsecurity.sophos.com/2012/07/12/disable-windows-sidebar-gadgets/ 53. B altic SpyEye Malware Trio Sent to Prison, Naked Security, http:// nakedsecurity.sophos.com/2012/07/01/uk-cops-announce-sentencing-ofbaltic-malware-trio/ 54. D utch Police Takedown C&Cs Used by Grum Botnet, Security Week, http:// www.securityweek.com/dutch-police-takedown-ccs-used-grum-botnet 37. 25 VeriSign Trusted Shops Found to Have XSS Holes, Naked Security, http:// nakedsecurity.sophos.com/2012/02/28/verisign-xss-holes/ 55. T op Spam Botnet ‘Grum’ Unplugged, Krebs on Security, http://krebsonsecurity. com/2012/07/top-spam-botnet-grum-unplugged/ 38. Insecure WordPress Blogs Unwittingly Host Blackhole Malware Attack, Naked Security, http://nakedsecurity.sophos.com/2012/08/10/blackhole-malwareattack/ 56. M idyear Security Predictions: What You Should Know and Look Out For, Dark Reading, http://www.darkreading.com/blog/240002287/midyear-securitypredictions-what-you-should-know-and-look-out-for.html 39. Android NFC Hack Lets Subway Riders Evade Fares, Naked Security, http:// nakedsecurity.sophos.com/2012/09/24/android-nfc-hack-lets-subway-ridersevade-fares/ 57. 3 0,000 Machines Infected in Targeted Attack on Saudi Aramco, The Register, http://www.theregister.co.uk/2012/08/30/rasgas_malware_outbreak/ 40. Ransomware: Would You Pay Up? Naked Security, http://nakedsecurity.sophos. com/2012/09/25/ransomware-would-you-pay-up/ 58. S hamoon Virus Targets Energy Sector Infrastructure, BBC, http://www.bbc. com/news/technology-19293797 41. Reveton/FBI Ransomware: Exposed, Explained and Eliminated, Naked Security, http://nakedsecurity.sophos.com/2012/08/29/reveton-ransomware-exposedexplained-and-eliminated/ 59. More Dangerous Attacks Against Major Energy Providers: Mystery Virus Attack Blows Qatari Gas Giant RasGas Offline, Cyberseecure, http://cyberseecure. com/2012/08/mystery-virus-attack-blows-qatari-gas-giant-rasgas-offline-theregister/ 42. Ransomware Makes Child Porn Menaces in Broken English, Naked Security, http://nakedsecurity.sophos.com/2012/07/04/ransomware-menaces/ 60. U .S. Senator Blames Iran for Cyber Attacks on Banks, Naked Security, http:// nakedsecurity.sophos.com/2012/09/26/us-iran-banks/ 43. Apple Infiltrates the Enterprise: 1/5 of Global Info Workers Use Apple Products for Work, http://blogs.forrester.com/frank_gillett/12-01-26-apple_infiltrates_ the_enterprise_15_of_global_info_workers_use_apple_products_for_work_0 61. Cyber Attacks on U.S. Banks Expose Computer Vulnerability, Bloomberg, http://www.bloomberg.com/news/2012-09-28/cyber-attacks-on-u-s-banksexpose-computer-vulnerability.html 44. Mac Malware Spies on Email, Survives Reboots, http://www.informationweek. com/security/attacks/mac-malware-spies-on-email-survives-rebo/240004583 62. Taxonomy of Malware Polymorphism, http://www.foocodechu.com/?q=node/54 45. Apple Zombie Malware “NetWeird” Rummages for Browser and Email Passwords, http://nakedsecurity.sophos.com/2012/08/24/apple-zombiemalware-netweird-rummages-for-browser-and-email-passwords/ 63. E uropean Aeronautical Supplier’s Website Infected With “State-Sponsored” Zero-Day Exploit ], http://nakedsecurity.sophos.com/2012/06/20/aeronauticalstate-sponsored-exploit/ 46. Mountain Lion: Hands on With Gatekeeper, http://www.macworld.com/ article/1165408/mountain_lion_hands_on_with_gatekeeper.html 47. LulzSec Informant Sabu Rewarded With Six Months Freedom for Helping Feds, Naked Security, http://nakedsecurity.sophos.com/2012/08/23/sabu-lulzsecfreedom/ 48. Alleged Russian Cybercriminal Extradited to the US, Naked Security, http:// nakedsecurity.sophos.com/2012/01/19/alleged-cybercriminal-extradited-usa/ 49. Russian Man Pleads Guilty to Cyber-Fraud Conspiracy in U.S., Bloomberg, http://www.bloomberg.com/news/2012-02-24/russian-national-pleads-guiltyto-cyber-fraud-conspiracy-in-u-s-.html 50. Bredolab: Jail for Man Who Masterminded Botnet of 30 Million Computers, Naked Security, http://nakedsecurity.sophos.com/2012/05/23/bredolab-jailbotnet/ Security Threat Report 2013 39 Copyright 2013, Sophos Ltd. Alle Rechte vorbehalten. Sophos und Sophos Anti-Virus sind eingetragene Warenzeichen von Sophos Ltd und der Sophos Group. Bei allen sonstigen aufgeführten Produkt- und Unternehmensbezeichnungen handelt es sich um Marken bzw. eingetragene Marken der jeweiligen Inhaber. Die im Security Threat Report bereitgestellten Inhalte dienen lediglich der Information. Sie werden durch Sophos, die SophosLabs und NakedSecurity.sophos.com zur Verfügung gestellt. Wir bemühen uns, bereitgestellte Informationen aktuell und korrekt zu halten, schließen jedoch jede Haftung oder Garantie hinsichtlich der Genauigkeit, Vollständigkeit und Aktualität unserer Webseite sowie der in diesem Dokument enthaltenen Informationen, Produkte, Dienste und Illustrationen aus. Jegliches Vertrauen in die Richtigkeit dieser Informationen erfolgt daher auf eigene Gefahr.. Sales DACH (Deutschland, Österreich, Schweiz) Tel.: +49 611 5858 0 +49 721 255 16 0 E-Mail: [email protected] Boston, USA | Oxford, UK © Copyright 2013. Sophos Ltd. Alle Rechte vorbehalten. Alle Marken sind Eigentum ihres jeweiligen Inhabers. Sophos Security Threat Report 2013.de.1.13