- IT SeCX

Aktuelle Bedrohungslage –
Warum fühlen wir uns eigentlich sicher ?
Josef Pichlmayr, [email protected]
Microsoft Security Intelligence Report (SIRv7)
Der SIRv7 zeigt erstmals, wie Best Practices in einzelnen Ländern zu einer
beständigen Reduzierung des Malware-Befalls geführt haben.
Die Infektionsraten von PCs mit Schadsoftware:
Deutschland 0,3
Österreich 0,21
weltweite Durchschnitt 0,87 Prozent
"Die geringe Infektionsrate in Deutschland zeigt, dass die gesamte ITBranche auf dem richtigen Weg ist",
Tom Köhler, Direktor Informationssicherheit bei Microsoft Deutschland
Ikarus VBase Zuwächse Q1/2009
Täglicher Zuwachs NEUER Viren
27.2. – 6.3. 2009
140.000
35.000
120.000
30.000
100.000
25.000
80.000
20.000
60.000
15.000
10.000
40.000
5.000
20.000
0
0
27.2
28.2
29.2
01.3
02.3
03.3
04.3
05.3
06.3
28.3.08
15.3.08
29.2.08
15. 2.08
31.1.08
15.1.08
01.1.08
24.000.000
23.000.000
22.000.000
21.000.000
20.000.000
19.000.000
18.000.000
17.000.000
16.000.000
15.000.000
14.000.000
13.000.000
12.000.000
11.000.000
10.000.000
9.000.000
8.000.000
7.000.000
6.000.000
5.000.000
4.000.000
3.000.000
2.000.000
1.000.000
0
2004-09
2004-10
2004-11
2004-12
2005-01
2005-02
2005-03
2005-04
2005-05
2005-06
2005-07
2005-08
2005-09
2005-10
2005-11
2005-12
2006-01
2006-02
2006-03
2006-04
2006-05
2006-06
2006-07
2006-08
2006-09
2006-10
2006-11
2006-12
2007-01
2007-02
2007-03
2007-04
2007-05
2007-06
2007-07
2007-08
2007-09
2007-10
2007-11
2007-12
2008-01
2008-02
2008-03
2008-04
2008-05
2008-06
2008-07
2008-08
2008-09
2008-10
2008-11
2008-12
2009-01
2009-02
2009-03
2009-04*
2009-05*
Gesamtzahl
Gesamtzahl der Dateien in der Malware-Sammlung von AV-Test.org
Gesamtzahl der Dateien
OS Segmentation of Malware ( in %)
%
100,00
95,00
90,00
85,00
80,00
75,00
70,00
65,00
60,00
55,00
50,00
45,00
40,00
35,00
30,00
25,00
20,00
15,00
10,00
5,00
Windows
Linux
Mac
Symbian
Window Mobile
Java
2008
94,48
3,98
0,08
0,11
0,19
1,16
2009
93,34
4,15
0,12
0,23
0,35
1,81
(Quelle: IKARUS Security Software und FF-Secure)
Wandel der Infektionswege
Hoch
eMail/smtp/Virus
eMail/smtp/SPAM
WEBSecurity /Http/Ftp/Virus
Risiko
Niedrig
1980
1985
1990
1995
2000
2005
2008
2009
Stand 06.2009
Zeit
Trojaner-Web-Basierte Bedrohungen ~ 30 Tausend neue pro Tag – Tendenz Stark steigend
Wurm-eMail-Basierte Bedrohungen ~ 3 Tausend neue pro Tag – Tendenz Fallend
SPAM -eMail-Basierte Bedrohungen Tendenz Gleichbleibend Hoch – Individualisierung
Intention und KnowHow
Government Interest
Spy
Business Interest
Thief
Personal Gain
Trespasser
Personal Fame
Curiosity
Vandal
Script-Kiddie
Author
Hobbyist
Hacker
Expert
Specialist
Fall Tibet:
„governement based“
Olypiade in Peking 2008
Exploit basierend ! Beim öffnen eines der nachstehenden Files wird der Keylogger
„Winkey“ nachgeladen und aktiviert. Dieser übermittelt eine Erfolgreiche Infektion
und „collects and sends everything typed “ an einen Zentralen Server in China
(xsz.8800.org.) Dabei handelt es sich um ein Chinesisches DNS-bouncer System
dass nachweislich schon öfter in Attacken involviert war.
UNPO Statement of Solidarity.pdf
Daul-Tibet intergroup meeting.doc
tibet_protests_map_no_icons__mar_20.ppt
reports_of_violence_in_tibet.ppt
genocide.xls
memberlist.xls
Tibet_Research.exe
tibet-landscape.ppt
Updates Route of Tibetan Olympics Torch Relay.doc
THE GOVERNMENT OF TIBET.ppt
Talk points.chm
China's new move on Tibetans.doc
Support Team Tibet.doc
Photos of Tibet.chm
News ReleaseMassArrest.pdf
Whole Schedule and Routing for Torch Relay.xls (Beispiele F-Secure)
Tibet..
Vulnerabilities per Month
700
600
06
500
05
400
300
04
03
200
100
Au
gu
st
Se
pt
em
be
r
O
kt
ob
er
N
ov
em
be
D
r
ez
em
be
r
Ju
li
Ju
ni
M
ai
Ap
ril
M
är
z
Jä
nn
er
Fe
br
ua
r
0
Quelle: IBM XForce Report 2007
August 24, 2009
156 Tote bei Uiguren-Unruhen
China: Viele Tote bei Uiguren-Unruhen
Tausende Soldaten sind in der Uiguren-Provinz Xinjiang aufmarschiert
Targeted attacks against organizations supporting the Uyghurs.
(xsz.8800.org.)
Targeted attacks against organizations supporting the Uyghurs.
Wieder Windows und PDF Exploit basierend ! Beim öffnen eines der
nachstehenden Files wird eine Backdoor nachgeladen und aktiviert. Dieser
übermittelt eine Erfolgreiche Infektion und „ermöglicht remote zugriff auf jedes
infizierte System “
Diese Informationen gehen WIEDER an das Chinesische DNS-bouncer System
(xsz.8800.org.)
Schattenwirtschaft wird auf ~150 Mrd. US-$ geschätzt
Onlinekriminalität bewegt ähnlich viel Geld, wie weltweiter Drogenhandel
Schattenwirtschaft Internet = ein gut organisierter Schwarzmarkt
Zehntausende von Menschen sind aktiv
KK
- 28,2%
3te Generation – Stand 2006
Infektions
Server
Ur-Infektion! Die
zibku.exe
(eigentlicher
Installer) wird über
den VML-Exploit
beim surfen auf die
Maschine geladen
und gestartet.
User öffnet Onlinebanking Seite
aber NUR „Erfassung eines Einzelauftrages“
bzw „ Abfrage Kontoinfo“ „aktiviert“ Trojaner
“
es
g
ftra
u
ela
z
n
i
sE
e
in
e
rdert
o
f
g
e
n
g
d an
su
r
i
s
w
rfa
BHO
„E
Formulardaten werden an Server abgeschickt
Server
weißt Bankspezifisches BHO zu
Trojan-Installer injiziert kernel32.dll
und
wininet.dll DIREKT in den Browser und
löscht Installer beim Restart
Überträgt Zielkontodaten auf den infizierten PC
„variabler“ Server
www.oiku.biz
„Nachladen des BHO
um Formulardaten
„auslesen“ und
„absenden“ zu
können“
KontrollServer
zibku.info
„checkt“ Verfügbarkeit
von Zielkonten
Manipulierter Browser lädt Zielkontodaten
Zeigt aber „Kunden-Zieldaten“ an
Überweisung erfolgt auf Zielkonto
Zielkonto
Rootkits imVormarsch
Mebroot !!
Sicher an ihr Ziel !!
Kernel-Mode Rootkit das als “downloader” und “backdoor”
Konzeptioniert und angeboten wird.
Wurde bisher vor allem im Zusammenhang mit Banking-Trojans registriert
Siegfried´s Tarnkappe sieht alt dagegen aus!!
Hinterlässt keine Ausführbaren Dateien auf Zielsystem
Modifiziert keine RegistryKey´s oder AutoStart Dienste
Kein Treibermodul in der Diensteliste
Auch im Speicher kaum verfolgbar - “delete file handle”
Lädt sich zum frühest möglichen Systemstart
Stealth read/write disk operations/ Stealth network tunnel
Aktiver Anti-Removal Schutz
Absolut Generisch, open malware platform (MAOS)
Bietet komplettes Virtualisierungsmanagement
Anzahl der Angriffe/Angreifer erhöht sich ?
Welcher Angriff richtet sich wirklich gegen MICH ??
Angreifer hat alle Vorteile auf seiner Seiten
“Masse” der Attacken gegen Alle verdeckt auch Attacke gegen mich
Grenzen der Forensic´s/Incident Response schnell erreicht ??
Nachvollziehbarkeit der Attacke extrem schwierig
(welche Intention/Technologie / Konsequenz )
17.10.08 CERT.at WARNUNG – Kritische Sicherheitslücke in Adobe Flash-Player
hier nicht klicken !!!
layer 8 protected
?
7. Okt. – 14.Oktober
2008
Besucher gesamt: 31.862
1074 Besucher - Link geklickt
= ~3,37%
Bedenklich:
Englischsprachige User sogar direkt aus „translate.google.com“
Richtung Sackgasse ?
Quelle: Messagelabs
Kaspersky Phishing Mails
SECURITY Software boomt…..
„Intelligence Smart Attack“
Der Kampf zwischen Technik und Natur wird nie enden.
Die Technik kreiert immer bessere, Idiotensicherere Systeme,
und die Natur immer bessere Idioten
???
Steigende Komplexität der Angriffe –
DriveBy Infection
xss
Autonome Botnetze
DNS Spoofing
Hoch
Awareness/SystemVerständnis
Rough.
SQL-Inj.
MPACK
Rootkit/Stealth/Techniken
Fast Flux
Denial of
Service
Longrider Attacks
Paketmanipulation
Sniffer
Plattformübergreifend
Mobile Viruses
Backdoor
Komplexität
Bot-Netze
Trojaner
„Intelligenz“
Würmer
der Angriffe
Macroviren
Polymorph
Exploiting
File-Infector
Construction Kids
Selbstreplizierender Code
Niedrig
1980
1985
1990
1995
2000
2005
bei relativ sinkendem Systemverständnis
2009
2010
Vielen Dank !
Joe Pichlmayr
[email protected]