MESSAGELABS INTELLIGENCE OKTOBER 2010 Einzelhandel
Transcription
MESSAGELABS INTELLIGENCE OKTOBER 2010 Einzelhandel
MESSAGELABS INTELLIGENCE MESSAGELABS INTELLIGENCE OKTOBER 2010 Einzelhandel erlebt eine wahre Flut gezielter Malware-Attacken Herzlich willkommen zur aktuellen Ausgabe des Monatsberichts von MessageLabs Intelligence für den Oktober 2010. Dieser Report informiert Sie über aktuelle Gefahrentrends im zurückliegenden Monat und hält Sie über den kontinuierlichen Kampf gegen Viren, Spam und andere unwillkommene Online-Inhalte auf dem Laufenden. DIE WICHTIGSTEN ERGEBNISSE UND THEMEN IM ÜBERBLICK: • Spam: 87,5 Prozent im Oktober (ein Rückgang um 4,2 Prozentpunkte gegenüber dem Vormonat). • Viren: Eine von 221,9 E-Mails enthielt im Oktober ein Schadprogramm (ein Minus von 0,01 Prozentpunkten im Vergleich zum September). • Phishing: Hinter einer von 488,0 E-Mails verbarg sich ein Phishing-Angriff (eine um 0,06Prozentpunkte geringere Belastung als im September). • Gefährliche Websites: Pro Tag wurden 2.280 Internetseiten gesperrt (23,9 Prozent weniger als im Monat zuvor). • Bei 51,3 Prozent der im Oktober gesperrten Malware-Websites handelte es sich um neue Domains (eine Zunahme um 17,7 Prozentpunkte im Vergleich zum Vormonat). • 24,7 Prozent der über das Surfen im Internet verbreiteten Schadprogramme, auf die im Oktober der Zugriff unterbunden wurde, waren neu (eine Steigerung um 2,9 Prozentpunkte gegenüber September). • Gezielte Malware-Attacken unter der Lupe: Was sie darstellen, wie sie funktionieren und auf welche Weise sie von MessageLabs erfasst werden • Der Einzelhandel stand im Oktoberstärker unter Beschuss als alle anderen Branchen:Die detaillierte Fallanalyse eines Händlers, der ohne Skeptic™ vermutlich Opfer einer gezielten Attacke geworden wäre • Die richtigen Verteidigungsstrategien gegen gezielte Angriffe www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE NEUES AUS DEM BLOG • Der aktuelle Rückgang der weltweiten Spam-Belastung: Was ist passiert? • Online-Trickbetrug mit vermeintlichen Steuernachlässen nutzt „Bild im Bild“Technik • JavaScript-Angriff über Twitter • Gezielte Zero-Day-Attacke über verseuchtes PDF-Dokument bleibt wegen „HereYouHave“-Virus praktisch unbemerkt DIE ANALYSE DER ERHOBENEN DATEN Gezielte Malware-Attacken: Wie der Einzelhandel zur neuesten Zielscheibe wurde Diese Ausgabe des MessageLabs Intelligence Reports widmet sich erstmals detailliert den grundlegenden Eigenschaften gezielter Malware-Attacken. Im Blickpunkt steht dabei die Frage, wie sich die Artder ins Visier geratenen Unternehmen von einem Monat auf den nächsten verändern kann. Bei den Erläuterungen konzentrieren wir uns auf einen bestimmten Einzelhandelsbetrieb, der zuletzt von Online-Kriminellen als Zielscheibe von drei Wellen hochgradig gezielter Spear-Phishing-Angriffe auserkoren wurde. Diese Attacken machten sich jeweils Techniken des Social Engineerings zunutze, um E-Mails mitsamt Dateianhängen zu versenden, die scheinbar von leitenden Mitarbeitern aus der Personal- und IT-Abteilung des betreffenden Unternehmens stammten. Bei den Attachments handelte es sich dabei um Malware-verseuchte Nutzdaten. Einleitung: Was ist eine gezielte Attacke? Gezielte Attacken – die in der Literatur zum Thema häufig auch mit dem Kürzel APT (Advanced Persistant Threats) bezeichnet werden – zielen letztendlich stets darauf ab, sich unbefugt Zugang zu bestimmten geschützten Daten, zu geistigem Eigentum der betroffenen Firmen oder zu deren vertraulichen internen Systemen zu verschaffen. Dies erfolgt jeweils durch die Kontaktaufnahme mit ausgewählten Einzelpersonen, die für das ins Visier genommene Unternehmen tätig sind. Die für gezielte Angriffe verschickten E-Mails werden in aller Regel – und insbesondere im Vergleich zu Spam- und Phishing-Nachrichten – nur in geringen Stückzahlen verbreitet. Dennoch handelt es sich um eine der Online-Bedrohungen mit dem größten Schadenspotenzial für Unternehmen. Im Allgemeinen stellt jede große oder bedeutende Organisation, die über vertrauliche oder wertvolle Daten verfügt, ein attraktives Ziel dar. Im Oktober 2010 war es den Analysen von MessageLabs Intelligence zufolge zum ersten Mal so, dass der Einzelhandel stärker als alle anderen Branchen unter Beschuss stand. Im September waren es noch die verarbeitende Industrie und Behörden gewesen, die das größte Aufkommen an gezielten Angriffen auf sich gezogen hatten. Auch bei einer langfristigen Betrachtung der Zahlen zeigt sich, dass diese beiden Wirtschaftssektoren generell mehr derartige Attacken erleben als andere Branchen. 2 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE Vor fünf Jahren richteten sich gezielte Angriffe unter anderem gegen Ministerien, Organisationen des Rüstungs- und Verteidigungswesens, Energieversorger, Pharmaunternehmen und andere international operierende Konzerne. Im Laufe des vergangenen Jahres gerieten nun ganz unterschiedliche Unternehmen unter Beschuss: Die Attacken betrafen nicht nur große multinationale Konzerne, die rund um den Erdball präsent sind, sondern auch kleinere Firmen wie etwa Zulieferbetriebe. Möglicherweise halten die Angreifer also mittlerweile bewusst auch Ausschau nach dem womöglich schwächsten Glied der Logistikkette. Bei gezielten Attacken kommen äußerst raffinierte Verfahren des Social Engineerings zum Einsatz. So beziehen sich die versendeten Nachrichten in aller Regel auf geschäftliche Dinge oder nehmen Bezug auf besondere Ereignisse des aktuellen Tagesgeschehens. Häufig werden sie zudem über Webmail-Accounts oder unter Rückgriff auf gefälschte Absender-Adressen verschickt, die bewusst so gestaltet sind, dass sie den jeweiligen Empfänger ansprechen. Auf die eine oder andere Weise vermitteln die E-Mails zudemstets den Eindruck, das angehängte Attachment enthielte bedeutsame Inhalte – seien es Informationen zulaufenden Geschäften oder anstehenden Meetings, Rechtsdokumente oder Verträge. Die große Gefahr gezielter Attacken besteht darin, dass heimlich ein Schadprogramm auf dem Computer des Empfängers installiert wird, das dann in Seelenruhe verdeckte Spionagetätigkeitenauf diesem Rechner ausüben kann. Manchmal wird die Malware direkt in Form einer ausführbaren EXE-Datei angehängt (was vielen Empfängern jedoch sofort verdächtig erscheinen würde), aber immer häufiger wird sie in seriös wirkenden Dokumenten in Dateiformaten wie PDF, DOC, XLS und PPT oder sogar hinter Links versteckt. In solchen Fällen genügt es, dass der Empfänger den besagten Dateianhang über eine Applikation mit einer entsprechenden Sicherheitslücke öffnet oder den gefährlichen Link anklickt, und schon kann sein Rechner von Dritten manipuliert werden. Die Häufigkeit gezielter Angriffe gemessen am gesamten E-Mail-Aufkommen Als es vor fünf Jahren zu den ersten gezieltenMalware-Angriffen kam, spürte MessageLabs Intelligence zunächst ein bis zwei solcher Fälle pro Woche auf. Im Laufe des darauffolgenden Jahres stieg die Zahl der Attacken dann auf ein bis zwei pro Tag. Auch anschließend nahm die Häufigkeit solcher Angriffe sukzessive weiter zu – von ungefähr 10 am Tag auf rund 60 am Tag im Jahr 2010. Im Oktober konnte MessageLabs Intelligence im Tagesdurchschnitt etwa 77 gezielte Attacken abfangen. Gezielte Malware-Angriffekönnen sich gegen ein breites Spektrum an Organisationen richten: Es kann kleine Betriebe mit vielleicht zehn oder zwanzig Computeranwendern ebenso treffen wie Großkonzerne, in denen hunderttausende Mitarbeiter das Internet nutzen. Im Oktober 2010 spürte MessageLabs insgesamt 2.310 einzelne gezielte Attacken auf, die an 1.554 verschiedene Empfänger in 286 unterschiedlichen Unternehmen und Behörden adressiert waren. 3 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE 90 trend 80 70 60 targeted attacks per day 50 40 30 20 10 0 Nov 09 Dec 09 Jan 10 Feb 10 Mar 10 Apr 10 May 10 Jun 10 Jul 10 Aug 10 Sep 10 Oct 10 Abbildung 1: Gezielte Attacken pro Tag. Wie aus Abbildung 1 ersichtlich ist, ergibt die allgemeine Trendanalyse für die vergangenen sechs Monate einen permanenten Zufluss an immer neuen gezielten Angriffen. Ein interessanter Aspekt der Entwicklung ist, dass die Zahl der monatlich ins Visier genommenen Anwender leicht zugenommen hat. Und obschon das Aufkommen an unterschiedlichen zum Einsatz gekommenen Exploits leicht rückläufig ist, hat gleichzeitig aber die Zahl der Attacken pro genutzter Angriffsform zugenommen. 9 8 7 trend 6 users targeted per organization 5 4 3 2 1 0 Nov 09 Dec 09 Jan 10 Feb 10 Mar 10 Apr 10 May 10 Jun 10 Jul 10 Aug 10 Sep 10 Oct 10 Abbildung 2: Zahl der Anwender, die pro angegriffener Organisation betroffen sind. Üblicherweise sehen sich pro Monat zwischen 200 und 300 Unternehmen und Behörden mit gezielten Malware-Attacken konfrontiert, jedoch verlagern sich die Angriffe von Monat zu Monat auf immer wieder andere Wirtschaftszweige. Im Laufe der Zeit ist es zudem so, dass dieselben Adressaten zwar wiederholt angesprochen 4 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE werden, die Angriffsmethoden sich dabei jedoch ändern. In vielen Fällen beruhen diese Methoden jeweils auf einer ganz bestimmten Sicherheitslücke der ins Visier genommenen Applikation. Weiterführende Informationen zu diesem Thema und ein aktuelles Fallbeispiel finden sich im Abschnitt „Neues aus dem Blog“ unter der Überschrift „Gezielte Zero-Day-Attacke über verseuchtes PDF-Dokument” weiter hinten in diesem Bericht. Im Oktober wurden pro betroffener Organisation im Durchschnitt 5,4 Anwender ins Visier genommen. Mitunter ergeben sich jedoch auch deutliche Abweichungen von dieser Zahl. Es kommt vor, dass einzelne Unternehmen sich mit einer besonders hohen Zahl gezielter Attacken konfrontiert sehen. Dies war zum Beispiel im September und Oktober bei Angriffen gegen Einzelhandelsbetriebe der Fall, denen wir uns weiter hinten in diesem Report dann noch im Detail widmen werden. Das Kurvendiagramm in der folgenden Abbildung 3 veranschaulicht, wie sich die Häufigkeit der gezielten Attacken, die MessageLabs Intelligence weltweit erfasst hat, in Relation zur Zahl aller durchleuchteten E-Mails im Laufe der letzten zwei Jahre entwickelt hat. 1 in 1 1 in 500,000 1 in 1,263,018 1 in 1,000,000 trend 1 in 1,500,000 1 in 2,000,000 1 in 2,500,000 Oct 10 Sep 10 Jul 10 Aug 10 Jun 10 Apr 10 May 10 Mar 10 Jan 10 Feb 10 Dec 09 Oct 09 Nov 09 Sep 09 Jul 09 Aug 09 Jun 09 May 09 Apr 09 Mar 09 Jan 09 Feb 09 Dec 08 Oct 08 Nov 08 Sep 08 Aug 08 1 in 3,000,000 Abbildung 3: Häufigkeitstrend für die gezielten, von MLI aufgespürten Attacken. Wie Abbildung 3 zeigt, handelte es sich im Oktober im Durchschnitt bei einer von 1,26 Millionen E-Mails um einen gezielten Angriff. Über das gesamte Jahr 2010 betrachtet schwankte die Häufigkeit solcher Attacken zwischen 1:1.000.000 und 1:2.000.000. Im Durchschnitt war 2010 pro 1.279.660 E-Mails eine gezielte Attacke zu konstatieren. Zu berücksichtigen ist jedoch, dass das als Ausgangsgröße für die Häufigkeitsbestimmung herangezogene Gesamtaufkommen an E-Mails gewissen Schwankungen unterlegen ist und durch andere Faktoren beeinflusst wird, zum Beispiel durch Fluktuationen bei der globalen Spam-Belastung. So wurden etwa im Oktober 87,5 Prozent des gesamten E-Mail-Traffics als Spam zurückgewiesen. Demzufolge lässt sich die Häufigkeit gezielter Attacken stets nur mit einem erheblichen statistischen Rauschen betrachten, und man kann sich schnell in der falschen Sicherheit wiegen, die Wahrscheinlichkeit gezielter Malware-Attacken sei weitaus geringer, als dies unter Umständen tatsächlich der Fall ist. Im Oktober verbarg sich insgesamt hinter einer von 221,9 E-Mails ein MalwareAngriff, und davon entfielen rund 0,02 Prozent auf gezielte Attacken. Obschon Letztere also im Vergleich zu anderen Bedrohungen durch Schadprogramme 5 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE äußerst selten auftreten, so besitzen sie doch gleichzeitig das größte Gefahren- und Schadenspotenzial aller Malware-Aktivitäten. Wie bereits erwähnt variiert die Gesamtzahl der abgefangenen gezielten Angriffe von Monat zu Monat ebenso wie die Art der betroffenen Organisationen. Grundsätzlich lässt sich festhalten, dass das Risiko, Opfer einer gezielten Attacke zu werden, von der jeweiligen Branche und von der Jahreszeit abhängt. Im Oktober stieg das Aufkommen an gezielten Attacken gegen Unternehmen des Einzelhandelssektors deutlich über die durchschnittliche für diesen Monat gemessene Belastung von einem entsprechenden Angriff pro 1,26 Millionen E-Mails: Die Wahrscheinlichkeit, dass ein Betrieb dieser Branche von einem solchen Fall betroffen war, lag fast um den Faktor 6,3 Mal höher. Damit stieg im Oktober die Häufigkeit gezielter Attacken im Einzelhandel auf 1 zu 201.750. Spear-Phishing und gezielte Attacken gegen Einzelhändler Von Mitte bis Ende September stieg, wie aus Abbildung 4 ersichtlich ist, der Anteil der gegen den Einzelhandel gerichteten gezielten Angriffe an der Gesamtbelastung mit derartigen Attacken von zuvor rund 0,5 Prozent auf bis zu 25 Prozent. 30% 25% 20% 15% 10% 5% Oct 10 Sep 10 Jul 10 Aug 10 Jun 10 Apr 10 May 10 Mar 10 Jan 10 Feb 10 Dec 09 Oct 09 Nov 09 Sep 09 Jul 09 Aug 09 Jun 09 Apr 09 May 09 Mar 09 Jan 09 Feb 09 Dec 08 Oct 08 Nov 08 Sep 08 Jul 08 Aug 08 Jun 08 May 08 0% Abbildung 4: Anteil der gezielten Angriffe, die sich gegen den Einzelhandel richten, im Zeitverlauf. Darüber hinaus nahm binnen nur eines Monats auch die reine Zahl der gezielten Attacken gegen den Einzelhandel sprunghaft auf 516 zu, nachdem für einen Großteil des Jahres 2010 gerade einmal sieben solcher Angriffe pro Monat gemessen wurden. In den vergangenen Jahren hatte der Einzelhandel nicht im Brennpunkt einer konzertierten gezielten Attackesolchen Ausmaßes gestanden. Die insgesamt 516 Angriffe richteten sich lediglich gegen sechs unterschiedliche Einzelhandelsbetriebe, von denen offenbar zwei als Hauptzielscheiben unter Beschuss gerieten. Möglicherweise hatten es die Hintermänner der Aktion dabei vornehmlich auf vertrauliche Kundendaten abgesehen. Insgesamt 250 Anwender, die für Einzelhandelsunternehmen tätig sind, erhielten im September E-Mails, hinter denen sich gezielte Attacken verbargen. Zum Einsatz 6 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE kamen dabei 13 unterschiedliche Absender-Adressen, über die im Durchschnitt jeweils rund 19 Angriffe abgesetzt wurden. Die Detailanalyse eines der betroffenen Einzelhandelsunternehmen Bei einer der betroffenen Firmen gingen 324 Angriffs-Mails, die laut der im „Von:“Feld angezeigten Absenderadresse vorgeblich von einem leitenden Beschäftigten des besagten Unternehmens stammten, an 88 einzelne Mitarbeiter dieses Betriebs. Die Social-Engineering-Praktik, die bei solcherart Attacken zum Einsatz kommt, wird üblicherweise als „SpearPhishing“ bezeichnet. Erwähnenswert ist darüber hinaus, dass sich die Kontaktdaten von vielen Führungskräften, deren Namen für derartige Angriffe genutzt wurden, in sozialen Netzwerken zum beruflichen Austausch finden lassen. Vor diesem Hintergrund erscheint es äußerst wahrscheinlich, dass auch die Hintermänner der besagten Aktion zunächst auf einem Social-Networking-Portal mit den Nutzerprofilen der betreffenden Personen erste Erkundungsversuche unternommen haben. Zwar ist es im Rahmen dieses Berichts nicht möglich, den Namen des Unternehmens zu nennen, das im Brennpunkt dieser jüngsten Welle gezielter Angriffe stand. Dennoch können wir im Folgenden einen genaueren Blick auf die charakteristischen Besonderheiten dieser Attacken werfen. Wie bereits berichtet, hat MessageLabs Intelligence im Oktober systematisch die Daten von gezielten Angriffen ausgewertet, die im Monat zuvor und insbesondere von Mitte bis Ende September gegen Unternehmen aus dem Einzelhandel erfolgt sind. Weitergehende Untersuchungen förderten zutage, dass es zwei Firmen gab, die als Zielscheibe für eine erhebliche Zahl solcher Attacken auserkoren waren. Einer dieser beiden Betriebe erhielt in diesem Monat insgesamt 194 Angriffs-Mails. An das Unternehmen, auf das wir uns in diesem Report konzentrieren wollen, waren im gleichen Zeitraum sogar 324 Attacken gerichtet. Das waren 63 Prozent der insgesamt 516 gezielten Angriffe, mit denen sich der Wirtschaftszweig Einzelhandel im September 2010 konfrontiert sah. Abbildung 5: Ein erstes Beispiel für einen gezielten Spear-Phishing-Angriff gegen ein Einzelhandelsunternehmen. 7 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE Der in Abbildung 5 beispielhaft dargestellte Angriff gegen den besagten Einzelhandelsbetrieb wurde in drei Wellen im Abstand von jeweils rund einer Woche verschickt, und zwar am 15., 22.und 29. September. Das legt den Schluss nahe, dass die Hintermänner der Aktion einen organisierten, systematischen Ansatz verfolgt haben.Darüber kamen bei jeder dieser drei Wellen ein bis zwei unterschiedliche E-Mail-Nachrichten zum Einsatz, die jeweils abweichende Themen ansprachen. AngriffsWelle Zahl der betroffenen Mitarbeiter Welle1 50 Welle 2 20 Welle 3 70 Vermeintlicher Absender leitender Mitarbeiter der Personalabteilung leitender Mitarbeiter der Personalabteilung leitender Mitarbeiter der ITAbteilung Angeblich enthaltene Inhalte Mitgeliefertes Schadprogramm Gehaltsinformationen verseuchtesPDFDokument BeschäftigungsMöglichkeiten verseuchte XLSDatei Sicherheits-Update BackdoorTrojaner Die erste Angriffswelle nahm 50 Empfänger ins Visier und enthielt im Feld „Von:“ die gefälschte Adresse einesleitenden Personalverantwortlichen des Unternehmens. In der Betreffzeile der verschickten Mails war von „vertraulichen Gehaltsinformationen“ die Rede, um die Adressaten dazu zu verleiten, die E-Mail zu öffnen. Möglicherweise dachte der eine oder andere Empfänger auch, die Nachricht sei ihm fälschlicherweise zugestellt worden, und hoffte, aus diesem Versehen einen persönlichen Vorteil ziehen zu können, indem er den Dateianhang öffnete. Alle betreffenden E-Mails wurden über lediglich zwei unterschiedliche IP-Adressen verschickt, von denen die eine in Argentinien ansässig war, die andere in den USA. Wie es bei gezielten Attacken allgemein üblich ist, hatte es die E-Mail darauf abgesehen, dass der Empfänger das Attachment öffnete. In diesem Fall handelte es sich dabei um ein Malware-verseuchtes PDF-Dokument. Angesichts der Tatsache, dass es sich um eine wichtig wirkende E-Mail handelte, die angeblich von einem leitenden Mitarbeiter der Personalabteilung stammte, wäre naturgemäß die Wahrscheinlichkeit gestiegen, dass Adressaten das Attachment im PDF-Format geöffnet und betrachtet hätten. An diesem Punkt würde sich auf deren Rechnern dann ein Backdoor-Trojaner einnisten. Über diesen hätten die Angreifer zu gegebener Zeit aktiv werden können, um sich Zugriff auf wertvolle oder vertrauliche Privat- und Geschäftsdaten zu verschaffen. 8 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE Abbildung 6: Ein zweites Beispiel für einen gezielten Spear-Phishing-Angriff gegen ein Einzelhandelsunternehmen. Abbildung 6 zeigt die E-Mail der zweiten Angriffswelle, die dann ebenfalls angeblich von einem hochrangigen Vertreter der Personal-Abteilungstammte und an 20 Mitarbeiter versendet wurde. Die Betreffzeile stellte angebliche „neue Beschäftigungsmöglichkeiten“ in Aussicht und war erneut dafür konzipiert, dass Interesse der Empfänger zu wecken, sodass diese sich möglichst zum Öffnen des Attachments verleiten ließen. Bei der zweiten Welle wurden alle E-Mails über eine IP-Adresse in Argentinien verschickt, und zwar über genau jene, die auch bereits bei der ersten Angriffswelle zum Einsatz gekommen war. Wiederum ging es den Angreifern darum, die Empfänger dazu zu verleiten, ein schadprogrammverseuchtes Attachment zu öffnen, in diesem Fall eine gefährliche XLS-Datei. Interessanterweise ist auch die Formulierung der E-Mails und insbesondere der Aufforderung zum Öffnen und Betrachten der Dateianhänge als gezieltes Social Engineering zu interpretieren. Denn es fanden sich Ausdrücke wie zum Beispiel „Please find attached“, die im englischsprachigen Raum ganz typisch für die geschäftliche E-Mail-Kommunikation zwischen Mitarbeitern sind. In diesem Sinne ist auch der Hinweis zu interpretieren, das Dokument im Anhang enthielteauch „den neuen Bonus-Plan“. Schließlich sind vermeintliche Bonuszahlungen für jeden Beschäftigten interessant – und erhöhen folglich die Bereitschaft, einen Blick auf das Attachment zu werfen. Die dritte Angriffswelle verfolgte dann einen leicht anderen Ansatz, wie Abbildung 7 veranschaulicht. 9 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE Abbildung 7: Ein drittes Beispiel für einen gezielten Spear-Phishing-Angriff gegen ein Einzelhandelsunternehmen. Die in Abbildung 7 gezeigte Angriffs-Mail übernahm im „Von:“-Feld die Absenderadresse eines hochrangigen, für die IT-Sicherheit zuständigen Mitarbeiters der betreffenden Firma und wurde an 70 Beschäftigte verschickt. Die Betreffzeile nahm Bezug auf ein „wichtiges Sicherheits-Update” und dürfte vom Tonfall demzufolge deutlich dringender geklungen haben als der Betreff der beiden vorausgegangenen Attacken. Erneut erfolgte der Versand der E-Mails über die bereits zuvor genutzten IPAdressen in Argentinien und den USA. Einzustufen wäre die dritte Welle als besonders heftige Attacke. Dazu trägt insbesondere die Dringlichkeit bei, mit der die Empfänger zum Öffnen des angehängten ZIP-Archivs aufgefordert werden. Zudem ist der Dateianhang diesmal über ein Passwort geschützt, was der E-Mail aus Sicht des Adressaten unter Umständen ein höheres Maß an Glaubwürdigkeit verleiht. 10 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE Bemerkenswert sind auch in diesem Fall die Formulierungen, die im Sinne des Social Engineerings verwendet wurden: „Wir benötigen Ihre Hilfe, um die Sicherheit unserer Netzwerk-Infrastruktur aufrechtzuerhalten“, heißt es in der verschickten E-Mail. Eine solche Bitte um Unterstützung dürfte dem einen oder anderen Empfänger durchaus ein wenig geschmeichelt haben und zudem dazu angetan sein, auch etwaige Bedenken zu beruhigen. Weiter unten in der Angriffs-Mail findet sich dann der folgende Hinweis: „das Update im Anhang […] verhindert, dass wertvolle Information, die auf Ihrer Workstation gespeichert sind, verloren gehen“. Diese Formulierung dürfte gewählt worden sein, um den Adressaten dahingehend zu beeinflussen,dass er ruhigen Gewissens zur Tat schreiten kann – und folglich die Wahrscheinlichkeit steigt, dass das Attachment geöffnet wird. Interessanter-weise heißt es in der E-Mail dann auch: „Sollten Sie irgendwelche Fragen haben, zögern Sie nicht, Kontakt mit unseren IT-Sicherheits-Spezialisten aufzunehmen, indem Sie auf diese E-Mail antworten. Bitte bedenken Sie aber, dass es unter Umständen einige Zeit dauern kann, bis wir Ihre Anfrage beantworten können, da wir derzeit mit Hochdruck daran arbeiten, alle betroffenen Server zu aktualisieren, um die Risikenfür unser Unternehmen zu minimieren.“ Dieser letzte Absatz zielt fraglos darauf ab, den Empfänger in Sicherheit zu wiegen und der E-Mail mehr Seriosität zu verleihen. Jedoch ist das Letzte, was die Angreifer möchten, dass ein Empfänger tatsächlich auf die Nachricht antworten würde. Folglich versuchen Sie beinahe im selben Atemzug, den Adressaten diesbezüglich den Wind aus den Segeln zu nehmen. Denn hätte tatsächlich einer der Empfänger reagiert, wäre seine Antwort-Mail auf jeden Fall bei dem echten leitenden IT-Sicherheits-Mitarbeiter gelandet, dessen getürkte E-Mail-Adresse sich im „Von:“-Feld der Angriffs-Mail fand. Und dann hätten selbstverständlich sofort alle Alarmglocken geläutet, dass es sich bei der Aufforderung zum Sicherheits-Update um eine betrügerische Fake-Mail handelt. Weiterhin tarnte sich die Angriffs-Mail auch jeweils als weitergeleitete Nachricht: Der Body der E-Mail wurde um entsprechende Informationen ergänzt, die es so aussehen ließen, als wäre die Nachricht zunächst von einem anderen Mitarbeiter an den leitenden IT-Sicherheit-Experten der Firma gesendet und von diesem dann an den eigentlichen Adressaten weitergeschickt worden. Der Hinweis, dass es sich um eine weitergeleitete E-Mail handele, war selbstredend ebenfalls gefälscht. Tatsächlich ging die Attacke jeweils direkt von einer der beiden IP-Adressen in Argentinien und den USA aus. Genau wie bei den beiden vorausgegangenen Angriffswellen hätten die meisten Mitarbeiter unter dem Eindruck, dass die E-Mail wichtig aussah, angeblich von einem leitenden Angestellten der IT-Sicherheits-Abteilung stammte und offenbar Inhalte von entscheidender Bedeutung enthielt, durchaus geneigt gewesen sein können, die ZIP-Datei im Anhang zu öffnen. Sobald dies geschehen wäre, hätte sich sofort ein Backdoor-Trojaner auf ihrem Rechner installiert und den Angreifern Zugriff auf persönliche und geschäftliche Daten gegeben, die möglicherweise wertvoll oder vertraulich gewesen wären. 11 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE Wie sich Unternehmen effektiv gegen gezielte Angriffe schützen Auch einigen anderen Anbietern von Sicherheits-Technologien gelingt es, einen Teil der gezielten Attacken abzufangen. Doch allzu häufig bleibt es dann dabei, dass lediglich die betreffenden Angriffs-Mails als gefährlich markiert werden, jedoch jede weiterführende Analyse unterbleibt. Der Sicherheits-Service MessageLabs Hosted Email Security unterbindet gezielte Attacken hingegen unter Einsatz der Heuristik-Engine von Skeptic™, die sich die verdächtigen Merkmale von Malware-Angriffen einprägen kann. Das versetzt das Team von MessageLabs Intelligence in die Lage, alle als „gezielter Angriff“ kategorisierbaren Schadprogramm-Mails weiterführenden Analysen zu unterziehen – getrennt von den Unmengen an anderen E-Mails, die ebenfalls abgefangen werden. Seien es die Milliarden an Spam-Nachrichten oder die Millionen sonstiger MalwareAngriffe, die Skeptic tagtäglich ins Netz gehen. Teilweise sind diese Abläufe automatisierbar, aber es ist von entscheidender Bedeutung, auch auf die Dienste von qualifiziertem Fachpersonal zu setzen, um die Einschätzungen und Analysen von Skeptic zu prüfen. Schließlich ist es wichtig zu verstehen, welche Motive die Hintermänner solcher Online-Attacken verfolgen. Das erfordert ein detailliertes Wissen, gegen welche Unternehmen sich die Angriffe richten, welche Begriffe und Formulierungen sich in den betreffenden E-Mails finden und ob sich bei der zeitlichen Abfolge der Attacken eventuell irgendwelche noch so feinen Muster erkennen lassen. Auf der Grundlage dieser wertvollen Expertise können wir die spezifischen Merkmale jeder gezielten Attacke eingehend untersuchen und diese Erkenntnissein der Folge dazu nutzen, die Identifikation schadprogrammverseuchter E-Mails durch Skeptic weiter zu verbessern, was seinerseits der Erkennung gezielter Attacken zugutekommt. So ergibt sich ein sehr leistungsfähiger, von permanenten Rückmeldungen getragener Entscheidungskreislauf. In diesem Rahmen hat MessageLabs Intelligence bereit erhebliche Zeit in die Untersuchung der Frage investiert, wie sich die Art und Weise der gezielten Attacken in Relation zum Aufkommen an registrierten Angriffen verändert. Diese aufwändigen Analysen werden jedoch auch mit entsprechend wertvollen Erkenntnissen honoriert. Schließlich stellen gezielte Angriffe eine der gefährlichsten und schädlichsten Malware-Bedrohungen dar, denen Unternehmen heutzutage ausgesetzt sind. Gezielte Attacken können für jede betroffene Organisation mit enormen Schäden verbunden sein. In vielen Fällen sind sie nur sehr schwer zu bemerken, und zumeist wirken sie angesichts des hohen Maßes an praktiziertem Social Engineering auch sehr überzeugend auf die Empfänger der Angriffs-Mails. Hinzu kommt, dass es bei solcherlei Attacken aufgrund ihrer besonderen Merkmale und der geringen Stückzahl an verschickten Nachrichten weniger wahrscheinlich ist, dass sie es überhaupt auf den Radar der breiten Schar an Akteuren schaffen, die sich mit IT- und InternetSicherheit befassen. Offenbar machen sich gezielte Angriffe zudemauffallend häufig sogenannte „Zero Day“-Anfälligkeiten zunutze, also soeben erst entdeckte und noch nicht über Patches geschlossene Sicherheitslücken in bestimmten SoftwareAnwendungen, die sich nun so manipulieren lassen, dass sie Malware-Code auf dem Zielrechner installieren. 12 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE Dementsprechend sollten auch Sie dafür Sorge tragen, dass Ihre Sicherheitsmaßnahmen und -technologien geeignet sind, diese neue Form von Industriespionage abzuwehren, und dass darüber hinaus auch allen Mitarbeitern die mit solchen Angriffen verbundenen Risiken bewusst sind. Denn in diesem Monat mag es der Einzelhandel gewesen sein, der sich gleich mit einer ganzen Reihe wiederholter gezielter Attacken konfrontiert sah. Im nächsten Monat aber kann es genauso gut Ihre Branche und Ihr Unternehmen sein. 13 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE NEUES AUS DEM BLOG Der aktuelle Rückgang der globalen Spam-Belastung Wie in diesem Bericht bereits betont wurde, war das weltweite Spam-Aufkommen im Oktober leicht rückläufig. In den Medien wurde zuletzt auch umfassend über die Tatsache berichtet, dass die Zahl der verbreiteten Spam-Meldungen insbesondere am Sonntag, dem 3. Oktober 2010, ganz erheblich gesunken ist und an diesem Tag ihren niedrigsten Stand seit geraumer Zeit erreichte. Jedoch ist zu konstatieren, dass die Belastung mit unerwünschten Werbe-Mails sich seither wieder langsam auf ihr gewohntes Niveau erholt. Am 3. Oktober stellte MessageLabs Intelligence fest, dass der Ausstoß des Botnets Rustock um 8:47:09 Uhr nach GMT (Greenwich Mean Time) auf null zurückging. Um 23:02:46 Uhr GMT nahm Rustock dann den Spam-Versand wieder auf. Für das Botnet Cutwail war ebenfalls ein Rückgang zu konstatieren, der jedoch weniger offensichtlichwar. Ein berichtenswertes Ereignis aus dem Oktober, das vermutlich zu dieser rückläufigen Entwicklung beigetragen hat, war die Schließung eines berühmtberüchtigen Spam-Partnerprogramms, das unter dem Namen „SpamIT“ sein Unwesen getrieben hat. SpamIT war eine wesentliche Stütze einer Online-Apotheke namens „Canadian Pharmacy“, die sich als riesige Spamschleuder hervortut. Ungefähr zwei Drittel aller unerwünschten Werbe-Mails beziehen sich mittlerweile auf pharmazeutische Produkte, und ein erheblicher Teil dieses Spam-Aufkommens steht in Verbindung mit Websites von Canadian Pharmacy und zugehörigen Firmennamen. Diese Seiten handeln jeweils mit einem breiten Sortiment an diversen Tabletten und Arzneimitteln: Von Potenzmitteln über Schlankmacher bis hin zu Beruhigungspillen ist alles Mögliche im Angebot. Weiterführende Informationen zu diesem Thema liefert der Blog von MessageLabs Intelligence unter: http://www.symantec.com/connect/blogs/recent-drop-global-spam-volumes-whathappened „Bild-im-Bild“-Betrugsmails locken mit Steuernachlässen Die britische Steuerbehörde HMRC (Her Majesty's Revenue and Customs) gab kürzlich bekannt, dass sechs Millionen Bürger des Landes falsche Steuerbeträge gezahlt hätten und nun schriftlich über diesen Sachverhalt informiert würden. Je nach den jeweiligen Begleitumständen könnten die betroffenen Personen entweder zu viel bezahlte Abgaben zurückfordern oder aber einen Beitragsbescheid für noch ausstehende Steuern anfordern. MessageLabs Intelligence ging davon aus, dass es nicht lange dauern könnte, bis Phishing-Betrüger versuchen würden, mit entsprechenden Mails einen Vorteil aus dieser Bekanntmachung zu schlagen – umso mehr, als dass die meisten Betroffenen eine Rückerstattung erwarten dürfen. Unlängst konnten wir auch bereits einen interessanten Phishing-Angriff beobachten. Dieser bezieht sich zwar nicht 14 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE direkt auf die HMRC-Ankündigung, sondern macht sich vermutlich einfach die derzeitige Hoffnung vieler Briten auf eine unerwartete Rückerstattung zunutze, um möglichst viele Adressaten zur Herausgabe vertraulicher Informationen zu überlisten. Der Angriff beruht auf einer simplen „Bild-im-Bild“-Technik, damit den Empfängern in ihren Web-Browsern über entsprechende Plug-ins ein vermeintliches PDFDokument angezeigt wird. Solche „Bild-im-Bild“-Angriffe nutzen jeweils eine Reihe von Screenshots oder erzeugen Widgets und andere Elemente grafischer Benutzeroberflächen, um das äußere Erscheinungsbild einer bestimmten SoftwareAnwendung (also beispielsweise eines PDF-Readers) oder in manchen Fällen eines kompletten Windows-Desktops nachzustellen. Die für besagten Angriff eingerichtete Phishing-Seite legt eine Hintergrundgrafik fest, bei der es sich um einen bearbeiteten Screenshot eines häufig verwendeten PDF-Readers handelt. Weiterführende Informationen zu diesem Thema liefert der Blog von MessageLabs Intelligence unter: http://www.symantec.com/connect/blogs/picture-picture-tax-rebate-scam JavaScript-Angriff über Twitter Am 21. September 2010 war auf Twitter ein auffällig hohes Traffic-Aufkommen zu beobachten, das aus einer kurz zuvor entdeckten Sicherheitslücke in Bezug auf JavaScript resultierte. Der Angriff machte sich zunutze, wie Twitter mit JavaScriptInhalten in Updates umgeht. In den meisten Fällen kam der sogenannte „onmouseover“-Trigger zum Einsatz. Konkret heißt dies, dass ein Empfänger lediglich die Maus über eine Twitter-Kurznachricht bewegen musste, und schon lief automatisch der verborgene Schadprogramm-Code ab. Dieser sorgte dann zumeist dafür, dass einfach derselbe Tweet auf die Twitterwall des betroffenen Users zurückgeschickt wurde und dann eine Weiterleitung auf eine andere Website erfolgte. Es gab auch einige Fälle, in denen Anwender dabei auf Pornoseiten landeten. Bezeichnend für diesen Angriff war, dass ein User nichts weiter tun musste, als einen Cursor zu bewegen, um die Malware zu aktivieren. Das hat dazu geführt, dass sich der Angriff mit einem immensen Tempo bereits rund um den Erdball verbreitet hatte, bevor überhaupt jemand wusste, was genau da vor sich ging. Weiterführende Informationen zu diesem Thema liefert der Blog von MessageLabs Intelligence unter: http://www.symantec.com/connect/blogs/javascript-exploit-twitter Gezielte Zero-Day-Attacke über verseuchtes PDF-Dokument bleibt wegen „HereYouHave“-Virus praktisch unbemerkt Im September wurde die Welt der Internetsicherheits-Experten Zeuge von zwei großen Angriffen, die sich etwa zur selben Zeit abspielten. Die erste Bedrohung resultierte, wie bereits im MessageLabs Intelligence Report des Vormonats berichtet, aus dem Massenmailer-Wurm IMSOLK.B, die zweite, weniger bekannte Attacke nutzte eine neue, noch nicht per Patch gestopfte Sicherheitslücke im 15 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE Dateiformat PDF (CVE-2010-2883).In beiden Fällen gelang es Symantec Hosted Services über die MessageLabs-Dienste, alle Kunden aktiv und vorausschauend zu schützen, sodass diese jeweils die Oberhand über ihre Möchtegern-Angreifern behielten. Als die weltweite Internet-Gemeinde am 9. September vom Ausbruch des „HereYouHave“-Virus erfuhr, vollzog sich im Schatten dieses Ereignisses beinahe unbemerkt eine gezielte Attacke, die tatsächlich schon eine Woche zuvor begonnen hatte. Am 1. September 2010 um 7:30 Uhr nach GMT konnte Symantec Hosted Services über proaktive Sicherheits-Technologien einige verdächtige E-Mails aufspüren und aufhalten, in deren PDF-Attachments sich schadprogrammverseuchter JavaScript-Code verbarg. An diesem Tag, an dem der Angriff ursprünglich seinen Ausgang nahm, hat MessageLabs zunächst neun Exemplare dieser gefährlichen Nachricht abgefangen. Eine Woche später waren es am 8.September auf dem Höhepunkt der besagten Attacke, als die Sicherheitslücke dann erstmals öffentlich bekanntgemacht wurde, weitere elf Angriffs-Mails. Der Dateityp PDF bietet nicht nur den Vorteil eines portablen Dokumentenformates, sondern auch die Möglichkeit, komplexen JavaScript-Code einzubetten. Diese Option hat PDF-Attachments in den vergangenen Jahren zur bevorzugten Waffe von Hackern gemacht. Insbesondere wenn es um den Aufbau und die Verbreitung gezielter Malware-Attacken geht, können sich die Skriptsprache JavaScript und das Dateiformat PDF als eine Kombination mit tödlicher Wirkung erweisen. Weiterführende Informationen zu diesem Thema liefert der Blog von MessageLabs Intelligence unter: http://www.symantec.com/connect/blogs/pdf-zero-day-targeted-attack-practicallyunnoticed-due-here-you-have-virus 16 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE GLOBALE TREND- UND CONTENT-ANALYSE Symantec Hosted Services konzentriert sich auf die Identifikation, Erkennung und Abwehr von Internet-Attacken in Form von Viren, Spam, Spyware und anderen unerwünschten Inhalten. Im Rahmen dieser Sicherheitsdienste werden tagtäglich Milliarden von Nachrichten und Millionen von Angriffen bearbeitet. Die auf diese Weise zusammengetragenen Informationen ergeben eine der weltweit vollständigsten und aktuellsten Wissensdatenbanken rund um die Gefahrensituation im Web. Spam-Schutz mit Skeptic™: Im Oktober 2010 sank der Anteil von SpamNachrichten am weltweiten E-Mail-Verkehr gegenüber dem Vormonat um 4,2 Prozentpunkte auf 87,5 Prozent (oder eine von 1,14 E-Mails). Spam Rate 94.9% Luxembourg 94.5% Hungary 87.5% Last Month: Six Month Avg.: 93.9% China 92.3% Accom/Catering 93.6% Oman 91.7% 90.0% 91.2% 1-250 93.5% Automotive 92.4% Marketing/Media 92.0% 1501-2500 92.1% Agriculture Top 5 Geographies Top 5 Verticals 251-500 501-1000 91.4% 1001-1500 92.2% Engineering 93.3% Denmark 91.5% 91.5% 91.4% 2501+ By Horizontal 87.5% 2005 2006 2007 2008 2009 2010 October 2010 Während die Spam-Belastung insgesamt zurückging, setzte sich Luxemburg im Oktober mit einer Spam-Quote von 94,9 Prozent an die Spitze der Länder, die weltweit am meisten unter unerwünschten Werbe-Mails zu leiden hatten. In den USA belief sich die Spam-Quote auf 91,6 Prozent, in Kanada auf 91,3 Prozent und in Großbritannien auf 91,1 Prozent. In den Niederlanden entfielen 92,3 Prozent des E-Mail-Aufkommens auf Spam, in Deutschland betrug dieser Anteil 91,6 Prozent, in Dänemark 93,3 Prozent und in Australien 90,8 Prozent. In Hongkong belief sich die Spam-Quote auf 93,3 Prozent, in Singapur auf 90,2 Prozent, in Japan auf 89,6 Prozent und in China auf 93,8 Prozent. Für Südafrika waren 91,0 Prozent des E-Mail-Verkehrs als Spam einzuordnen. Die Automobilindustrie sah sich im Oktober mit einer Spam-Quote von 93,5 Prozent konfrontiert und stand damit wie bereits im Vormonat stärker unter Beschuss von unaufgefordert zugesandten Werbe-Mails als jede andere Branche. Der Bildungssektor verzeichnete eine Spam-Quote von 92,1 Prozent und die Chemie- und Pharma-Industrie von 91,8 Prozent. Bei IT-Dienstleistern belief sich dieser Wert auf 91,6 Prozent, im Einzelhandel auf 91,5 Prozent, bei Behörden auf 91,0 Prozent und in der Finanzindustrie auf 90,5 Prozent. 17 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE Viren- und Trojaner-Abwehr mit Skeptic™: Der weltweite Anteil von per E-Mail verbreiteten Viren am gesamten E-Mail-Verkehr belief sich im Oktober auf 1 zu 221,9 (bzw. 0,451Prozent). Das waren 0,01 Prozentpunkte weniger als noch im September. 23,1 Prozent der auf E-Mails basierenden Malware-Belastung entfielen im Oktober auf Links zu gefährlichen Websites – eine Steigerung um 15,5 Prozentpunkte im Vergleich zum Vormonat. Virus Rate 1 in 127.1 United Kingdom 1 in 221.9 Last Month: Six Month Avg.: Gov/Public 1 in 43.2 Sector 1 in 113.7 South Africa 1 in 157.0 Hong Kong 1 in 215.7 Denmark 1 in 218.7 1 in 260.4 1 in 211.1 1-250 1 in 216.6 1 in 71.6 Engineering 1 in 282.5 1 in 167.6 Education 1 in 261.5 1001-1500 1 in 188.4 Chem/Pharm 1 in 219.3 Germany 1 in 229.7 1501-2500 1 in 195.3 Marketing/Media Top 5 Geographies Top 5 Verticals 251-500 501-1000 1 in 214.3 2501+ By Horizontal 1 in 221.9 2005 2006 2007 2008 2009 2010 October 2010 In Südafrika war im Oktober eine von 113,7 E-Mails mit einem Schadprogramm verseucht. Das bedeutet weiterhin den ersten Platz im weltweiten Viren-Ranking.In Großbritannien enthielt derweil eine von 127,1 E-Mails eine Malware. In den Vereinigten Staaten belief sich der Anteil verseuchter E-Mails auf 1 zu 425,3 und in Kanada auf 1 zu 254,5. In Deutschland betrug das entsprechende Verhältnis 1 zu 219,3, in Dänemark 1 zu 215,7 und in den Niederlanden 1 zu 278,9. Für Australien hat MessageLabs Intelligence eine Viren-Quote von 1 zu 474,5 ermittelt, in Hongkong waren es 1 zu 157,0, in Japan 1 zu 738,1 und in Singapur 1 zu 576,4. Bei Behörden wurde im Oktober im Durchschnitt eine von 43,2 E-Mails zurückgewiesen, weil sie eine Malware enthielt. Damit belegte die öffentliche Hand weiterhin den ersten Platz in der Rangliste der Wirtschaftssektoren, die dem höchsten Anteil an verseuchten E-Mails ausgesetzt waren. In der Chemie- und Pharma-Industrie belief sich die Viren-Quote auf 1 zu 188,4, bei IT-Dienstleistern auf 1 zu 224,4, bei Einzelhandelsunternehmen auf 1 zu 386,0, im Bildungswesen auf 1 zu 167,7 und bei Finanzinstituten auf 1 zu 361,3. Die folgende Tabelle listet auf, welche per E-Mail verbreiteten Schadprogramme im Oktober am häufigsten abgefangen wurden. Virus Exploit/SpearPhish VBS/Generic W23/NewMalware-e427 Trojan.Webkit!html Trojan.Malscript!html VBS/Generic-0496 W32/Generic-dd43 JS/Decoder % of virus 14.9% 4.7% 4.2% 4.2% 4.0% 3.6% 3.5% 3.5% 18 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE JS/Selfaltering.TxSp JS/Decoder-56b9 2.4% 2.3% Phishing: Der Oktober brachte im Vergleich zum Vormonat einen Rückgang der Phishing-Quote um 0,06 Prozentpunkte. Bei einer von 488,0 E-Mails (bzw. 0,205 Prozent) handelte es sich um einen Versuch zum Auskundschaften von Authentisierungsdaten. Phishing Rate 1 in 46.1 South Africa 1 in 227.5 United Kingdom 1 in 488.0 Last Month: Six Month Avg.: 1 in 224.0 Education 1 in 285.2 Oman 1 in 382.0 1 in 443.7 Gov/Public 1 in 112.0 Sector 1 in 358.5 1-250 1 in 616.3 1 in 145.1 General Services 1 in 466.7 Brazil 1 in 259.6 Accom/Catering 1 in 491.5 United Arab Emirates 1 in 266.3 Recreation Top 5 Geographies Top 5 Verticals 1 in 802.5 251-500 501-1000 1 in 755.8 1001-1500 1 in 746.8 1501-2500 1 in 469.2 2501+ By Horizontal 1 in 488.0 2005 2006 2007 2008 2009 2010 October 2010 Mit einer Phishing-Quote von 1 zu 46,1 stand Südafrika im Oktober wie bereits im Monat zuvor an der Spitze jener Länder, die weltweit am stärksten unter E-MailAttacken zum Auskundschaften von Authentisierungsdaten zu leiden hatten. In Großbritannien verbarg sich hinter einer von 227,5 E-Mails ein Phishing-Versuch, in den USA betrug dieses Verhältnis 1 zu 1.108 und in Kanada 1 zu 784,0. In Deutschland belief sich die Phishing-Quote auf 1 zu 1.738, in Dänemark auf 1 zu 1.640 und in den Niederlanden auf 1 in 564,7. Für Australien wurde ein Anteil von Phishing-Nachrichten am E-Mail-Verkehr von 1 zu 942,3 ermittelt, für Hongkong von 1 zu 812,9, für Japan von 1 zu 5.266 und für Singapur von 1 zu 2.800. In der Rangliste der am schwersten unter Beschuss solcher Angriffe stehenden Wirtschaftszweige nahmen Behörden im Oktober mit einer Phishing-Quote von 1 zu 112,0auch weiterhin den ersten Platz ein. In der Chemie- und Pharma-Industrie belief sich der Anteil von E-Mails zum Auskundschaften von Authentisierungsdaten auf 1 zu 953,2, bei IT-Dienstleistern auf 1 zu 811,8, im Einzelhandel auf 1 zu 820,0, im Bildungssektor auf 1 zu 224,0 und bei Finanzinstituten auf 1 zu 486,8. Skeptic™ Web Security Version 2.0: Im Oktober hat MessageLabs Intelligence pro Tag durchschnittlich 2.280 Internetseiten aufgespürt, auf denen Malware und andere möglicherweise unerwünschte Programme wie etwa Spyware und Adware hinterlegt waren. Das waren 23,9 Prozent weniger als noch im September. Weitergehende Analysen ergaben, dass 51,3 Prozent aller Domains, auf die im Oktober der Zugriff wegen Malware-Gefahr unterbunden wurde, neu waren – eine Steigerung um 17,7Prozentpunkte seit September. Der Anteil der abgefangenen und über das Surfen im Internet verbreiteten Malware, die erstmals aufgetreten ist, legte im selben Zeitraum um 2,9 Prozentpunkte auf 24,7 Prozent zu. Dieser Anstieg ist vor allem auf die zunehmende Zahl von Fällen zurückzuführen, in denen der Zugriff auf einen in JavaScript programmierten Weiterleitungs-Trojaner unterbunden wurde. 19 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE Web Security Services (Version 2.0) Activity: 6,000 New Malware Sites per Day New sites with web viruses 5,000 29/day 4,000 New sites with web viruses 2,251/day 3,000 Total 2,280/day 2,000 New sites with spyware 1,000 New sites with J F M A M J J A S O N D J F M A M J spyware J A S O N D J F M A M J J A S O October 2010 Das obenstehende Kurvendiagramm veranschaulicht, wie sich im Oktober das Aufkommen an täglich neu zu sperrenden Viren- und Trojaner-Seiten im Vergleich zur entsprechenden Zahl der pro Tag blockierten Websites mit Spyware und Adware entwickelt hat. Die Website-Kategorie „Werbung & Popups“ war im Oktober mit einem Anteil von 45,9 Prozent der häufigste Auslöser von regel- und richtliniengesteuerten Filterungsaktivitäten, die im Rahmen des Dienstes MessageLabs Hosted Web Security für Geschäftskunden erfolgt sind. Auf Platz zwei in der Rangliste der am häufigsten unterbundenen Website-Zugriffe folgte mit einem Anteil von 9,8 Prozent die Kategorie „Streaming Media“. Web Security Services (Version 2.0) Activity: Policy-Based Filtering Advertisements and Popups Streaming Media Personals and Dating Blogs and Forums Downloads Chat Adult/Sexually Explicit Search Engines Games Infrastructure 45.8% 9.8% 6.2% 5.5% 4.8% 2.8% 2.8% 2.7% 2.5% 2.2% Web Viruses and Trojans Trojan:JS/Redirector.CM W32.Jeefo Trojan.Gen Gen:Variant.NaviPromo.2 Downloader New Unclassified Trojan Trojan:JPG/GIFrame.gen!B W32.IRCBot Trojan.JS.Iframe.AEC Packed.Generic.303 54.6% 6.0% 4.2% 3.6% 2.0% 1.4% 1.1% 1.1% 1.0% 1.0% Potentially Unwanted Programs PUP:W32/MyWebSearch.AB PUP:Generic.59456 PUP:W32/MyWebSearch.G PUP:W32/Realvnc.A PUP:Generic.62006 PUP:Heur.ou9@RmZsN6di PUP:Redir PUP:9231 PUP:Heur.ou9@RyZN6Hbi PUP:GameVance.C 16.9% 13.5% 10.0% 7.7% 5.5% 5.4% 4.4% 2.9% 2.8% 2.2% October 2010 In die Kategorie „Nicht klassifiziert“ fallen neue und bisher noch nicht eingeordnete Internetpräsenzen. Zwar können solche Domains für zweifelhafte Zwecke wie etwa das Hosting von Phishing- und Spam-Seiten verwendet werden, jedoch besteht auch die Möglichkeit, dass sie von seriösen Organisationen neu ins Leben gerufen wurden und aus diesem Grund noch nicht klassifiziert worden sind. Im Oktober stieg der Anteil nicht klassifizierter Domains an den verhinderten Website-Aufrufen um 0,9 Prozentpunkte auf 2,1 Prozent. Kunden von Symantec Hosted Services haben den Vorteil, für solche Seiten einen deutlich flexibleren Umgang finden zu können. Denn alle Inhalte, die sie oder ihre Mitarbeiter aus dem Internet herunterladen, werden automatisch auf Grundlage einer einzigartigen Kombination aus Skeptic™-Technologien und kommerziellen Antiviren-Tools im Hinblick auf eine etwaige Malware-Belastung durchleuchtet. Infolgedessen müssen Kunden dieses Services solche neuen Seiten nicht allesamt vorbeugend sperren lassen, um ihre Internet-Sicherheit aufrechtzuerhalten, wie es ansonsten der Fall sein könnte. 20 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE Endpoint-Sicherheit: Die Geräte, die innerhalb der IT-Infrastruktur die Endpunkte darstellen, sind auch im Bezug auf die Abwehr von Online-Angriffen häufig die letzte Verteidigungsreihe und Analyseebene. Attacken, die an dieser Stelle aufgespürt werden, werfen in vielen Fällen ein genaueres Licht auf die Natur der Bedrohungen, denen Unternehmen tatsächlich ausgesetzt sind. Das gilt insbesondere für solche Gefahren, in denen mehrere Angriffsformen verschmelzen. Erreicht eine Malware ein Endpoint-Gerät, ist die Wahrscheinlichkeit hoch, dass es ihr zuvor bereits gelungen ist, andere eingesetzte Abwehrebenen zu umgehen – zum Beispiel Virenfilter am Eingang zum Firmennetzwerk. Die folgende Tabelle listet auf, welche Schadprogramme im Oktober am häufigsten auf Endpunkt-Ebene abgefangen wurden. Eingeflossen sind in die Erhebungen die Daten von entsprechenden Geräten in aller Welt, die durch Symantec-Technologien geschützt sind. Dazu gehören auch die Endpoint-Systeme solcher Kunden, die nicht gleichzeitig auch auf anderen Ebenen noch Sicherheitslösungen wie die Services MessageLabs Hosted Web Security oder MessageLabs HostedEmail Security nutzen. Malware 1 Trojan Horse* W32.Sality.AE Downloader* W32.Downadup.B W32.Mabezat.B W32.SillyFDC Trojan.Malscript!html W32.Almanahe.B!inf Backdoor.Trojan* Trojan.Webkit!html 17.0% 11.7% 8.1% 5.7% 3.8% 3.8% 3.4% 2.9% 2.7% 2.3% Im vergangenen Monat war „W32.Sality.AE“ das am häufigsten abgefangene Schadprogramm. Dieser Virus breitet sich aus, indem er Programmdateien infiziert und versucht, möglicherweise gefährliche Dateien aus dem Internet herunterzuladen. Das wichtigste Ziel von „Sality.AE“ ist es, weitere infizierte Software aus dem Netz zu laden und auf dem Rechner des Opfers zu installieren. Darüber hinaus unterbindet das Schadprogramm den Aufruf diverser sicherheitsrelevanter WebAdressen und Dienste und löscht Dateien, die der Virenabwehr dienen. Weiterhin infiziert „Sality.AE“ auch die exe- und scr-Dateien auf der lokalen Festplatte des Zielrechners sowie auf allen Ressourcen im jeweiligen Netzwerk, auf die sich mit Schreibberechtigung zugreifen lässt. Die Malware vermehrt sich, indem sie sich selbsttätig auf die angeschlossenen Wechseldatenträger kopiert. * Viele der neuen Viren und Trojaner basieren auf früheren Schadprogrammen, sind also entstanden, weil Malware-Code bewusst kopiert oder umgebaut wurde, um neue Stämme oder Varianten heranzuzüchten. Häufig werden diese Abkömmlinge mit Hilfe spezieller Toolkits erstellt. Aus einem einzigen Schadprogramm lassen sich damit gut und gerne hunderte oder tausende neue Varianten erzeugen. Diese 1 Weiterführende Informationen zu diesen Schadprogrammen lassen unter folgender Adresse auf der Symantec-Website nachlesen:: http://www.symantec.com/business/security_response/landing/threats.jsp 21 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE Taktik ist mittlerweile deshalb so populär, weil sie dazu beiträgt, Abwehrtools umgehen zu können, die mittels Signaturabgleich arbeiten. Schließlich erfordert bei herkömmlichen Virenfiltern jede neue Malware-Variante ihre eigene Signatur, um sie korrekt identifizieren und abfangen zu können. Durch den Rückgriff auf ausgereiftere Techniken, zu denen heuristische Analysen und die generische Erkennung zählen, ist es jedoch möglich, diverse Varianten ein und derselben Malware auf einen Schlag zu identifizieren und auszuschalten. Ebenso erlauben diese Methoden durch das Aufspüren von Mischviren mit Hilfe einer einzelnen Signatur auch die Identifikation neuer Formen von Malware-Code, die bestimmte Sicherheitslücken ausnutzen wollen. Rund 29,7 Prozent der am häufigsten abgefangenen Schadprogramme wurden auf diese Weise durch Sicherheitskontrollen auf Endpoint-Ebene aufgespürt. 22 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE TRAFFIC-MANAGEMENT Mittels Traffic-Management gelingt es fortwährend, die Gesamtmenge der übermittelten Nachrichten durch Techniken zu senken, die auf Protokoll-Ebene aktiv sind. Dabei werden unerwünschte Absender identifiziert und die entsprechenden Mail-Server-Verbindungen über Funktionen, die in das TCP-Protokoll eingebettet sind, gezielt verlangsamt. Auf diese Weise werden bekannte Spam-Formen auf Seiten der Empfänger erheblich ausgebremst, während die reibungslose Übermittlung aller zulässigen E-Mails gewährleistet bleibt. Im Oktober wurden im Rahmen der Dienste von Symantec Hosted Services durchschnittlich 3,7 Milliarden SMTP-Verbindungen pro Tag verarbeitet. Davon wurden 63,5 Prozent im Zuge des Traffic-Managements gedrosselt, weil es sich um eindeutig schädlichen und unerwünschten E-Mail-Verkehr handelte. Der Rest der Verbindungen hatte anschließend die Prüftechnologien von MessageLabs Connection Management und MessageLabs Skeptic™ zu durchlaufen. Dropped at stage 63.5% Traffic management Known Bad Messages Dropped 49.1% Connection management 5.3% User management 0.5% Skeptic Anti-virus Malware and Spam Quarantined 29.0% Skeptic Anti-spam Good Mail Delivered to clients Clean mail delivered Connection-Management Das Connection-Management erweist sich als ein sehr effektives Instrument, um insbesondere eine Adressbücher-Plünderung, Brute-Force-Attacken und E-Mailbasierende Denial-of-Service-Angriffe zu stoppen – also solche Techniken, bei denen unerwünschte Massen-Mails ein Unternehmen überfluten und auf diese Weise dessen Geschäftskommunikation stören sollen. Aktiv ist das ConnectionManagement auf SMTP-Ebene, und es verwendet dabei Verfahren zur SMTPValidierung, um zu überprüfen, inwieweit aufzubauende Mail-Server-Verbindungen tatsächlich legitim sind. Dabei ist es möglich, unerwünschte E-Mails von Urhebern zu erkennen, die bereits für den Versand von Spam und Viren bekannt sind. Solche Quellen werden eindeutig als offene Proxy-Speicher oder als Botnets identifiziert, und die Verbindungsabfrage wird entsprechend zurückgewiesen. Im Oktober wurden auf diese Weise durchschnittlich 49,1 Prozent aller eingehenden Mails abgefangen, da diese von Botnets oder anderen bekannten SchadprogrammQuellen stammten, und infolgedessen aussortiert. User-Management Eine Adress-Prüfung der registrierten Anwender senkt die Gesamtmenge an E-Mails, die an eingetragene Domains übermittelt werden. Denn das Verfahren verwirft alle Verbindungen, die an ungültige oder nicht existierende Einzelempfänger 23 www.messagelabs.com [email protected] MESSAGELABS INTELLIGENCE gerichtet sind. Im Oktober wurden durchschnittlich 5,3 Prozent der eingehenden Mails wegen ungültiger Adressen abgefangen. Dahinter verbargen sich versuchte Directory-Attacken auf Domains, die somit verhütet werden konnten. Über MessageLabs Intelligence MessageLabs Intelligence ist ein angesehener Anbieter von Daten und Analysen zu Themen, Trends und Statistiken rund um die Sicherheit von Internet-, E-Mail- und Instant-Messaging-Anwendungen. Mit Hilfe von 14 Rechenzentren in aller Welt, die pro Woche mehrere Milliarden Mails überprüfen, erfasst MessageLabs Intelligence fortwährend Live-Daten und veröffentlicht auf dieser Grundlage vielfältige Informationen zur aktuellen globalen Bedrohungssituation. Zum MessageLabs TM Team Skeptic gehören zahlreiche weltweit anerkannte Malware- und SpamExperten, die über die Grenzen einzelner Kommunikationskanäle hinweg ein umfassendes Verständnis der Online-Gefahren mitbringen. Diese besondere Expertise stützt sich auf exakte Daten zu den Milliarden von Websites, E-Mails und Instant-Messaging-Nachrichten, die sie tagtäglich im Auftrag von 30.000 Kunden aus mehr als hundert Ländern überprüfen. Weiterführende Informationen finden sich im Internet unter www.messagelabs.com/intelligence. Über Symantec Symantec ist ein weltweit führender Anbieter von Infrastuktur-Software, mit der sich Unternehmen und Privatpersonen sicher und vertrauensvoll in einer vernetzen Welt bewegen können. Das Unternehmen unterstützt Kunden beim Schutz ihrer Infrastrukturen, Informationen und Interaktionen durch Software und Dienstleistungen, die Risiken der IT-Sicherheit, Verfügbarkeit, Compliance und Leistungsfähigkeit adressieren. Symantec hat seinen Hauptsitz in Cupertino, Kalifornien und betreibt Niederlassungen in mehr als 40 Ländern. Mehr Informationen unter www.symantec.de. Copyright © 2010 Symantec Corporation. Alle Rechte vorbehalten. Symantec, das Symantec-Logo und MessageLabs sind Schutzmarken oder eingetragene Warenzeichen der Symantec Corporation oder ihrer Partner in den USA und in anderen Ländern. Bei weiteren Produkt- und Firmennamen handelt es sich möglicherweise um Warenzeichen ihrer jeweiligen Besitzer. OHNE GEWÄHR. Die in diesem Dokument enthaltenen Informationen werden ohne jegliche Gewährleistung bereitgestellt. Die Symantec Corporation übernimmt keinerlei Garantie hinsichtlich deren Richtigkeit und Verwendung. Wer in diesem Dokument enthaltene Informationen gebraucht, trägt dafür allein alle Risiken. Unter Umständen kann dieser Bericht technische und sonstige Ungenauigkeiten oder Tipp- bzw. Druckfehler enthalten. Symantec behält sich das Recht vor, Informationen ohne vorherige Ankündigung zu ändern. Kein Teil dieser Veröffentlichung darf ohne ausdrückliche schriftliche Genehmigung durch die Symantec Corporation (20330 Stevens Creek Blvd.,Cupertino, CA 95014, USA) vervielfältigt werden. 24 www.messagelabs.com [email protected]