MESSAGELABS INTELLIGENCE OKTOBER 2010 Einzelhandel

Transcription

MESSAGELABS INTELLIGENCE OKTOBER 2010 Einzelhandel
MESSAGELABS INTELLIGENCE
MESSAGELABS INTELLIGENCE
OKTOBER 2010
Einzelhandel erlebt eine wahre
Flut gezielter Malware-Attacken
Herzlich willkommen zur aktuellen Ausgabe des
Monatsberichts von MessageLabs Intelligence für den
Oktober 2010. Dieser Report informiert Sie über aktuelle
Gefahrentrends im zurückliegenden Monat und hält Sie
über den kontinuierlichen Kampf gegen Viren, Spam und
andere unwillkommene Online-Inhalte auf dem Laufenden.
DIE WICHTIGSTEN ERGEBNISSE UND
THEMEN IM ÜBERBLICK:
•
Spam: 87,5 Prozent im Oktober (ein Rückgang um
4,2 Prozentpunkte gegenüber dem Vormonat).
•
Viren: Eine von 221,9 E-Mails enthielt im Oktober ein
Schadprogramm (ein Minus von 0,01 Prozentpunkten im Vergleich zum September).
•
Phishing: Hinter einer von 488,0 E-Mails verbarg
sich ein Phishing-Angriff (eine um 0,06Prozentpunkte geringere Belastung als im September).
•
Gefährliche Websites: Pro Tag wurden 2.280
Internetseiten gesperrt (23,9 Prozent weniger als im
Monat zuvor).
•
Bei 51,3 Prozent der im Oktober gesperrten
Malware-Websites handelte es sich um neue
Domains (eine Zunahme um 17,7 Prozentpunkte im
Vergleich zum Vormonat).
•
24,7 Prozent der über das Surfen im Internet
verbreiteten Schadprogramme, auf die im Oktober
der Zugriff unterbunden wurde, waren neu (eine
Steigerung um 2,9 Prozentpunkte gegenüber
September).
•
Gezielte Malware-Attacken unter der Lupe: Was sie
darstellen, wie sie funktionieren und auf welche
Weise sie von MessageLabs erfasst werden
•
Der Einzelhandel stand im Oktoberstärker unter
Beschuss als alle anderen Branchen:Die detaillierte
Fallanalyse eines Händlers, der ohne Skeptic™
vermutlich Opfer einer gezielten Attacke geworden
wäre
•
Die richtigen Verteidigungsstrategien gegen gezielte
Angriffe
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
NEUES AUS DEM BLOG
•
Der aktuelle Rückgang der weltweiten Spam-Belastung: Was ist passiert?
•
Online-Trickbetrug mit vermeintlichen Steuernachlässen nutzt „Bild im Bild“Technik
•
JavaScript-Angriff über Twitter
•
Gezielte Zero-Day-Attacke über verseuchtes PDF-Dokument bleibt wegen
„HereYouHave“-Virus praktisch unbemerkt
DIE ANALYSE DER ERHOBENEN DATEN
Gezielte Malware-Attacken: Wie der Einzelhandel zur neuesten
Zielscheibe wurde
Diese Ausgabe des MessageLabs Intelligence Reports widmet sich erstmals
detailliert den grundlegenden Eigenschaften gezielter Malware-Attacken. Im
Blickpunkt steht dabei die Frage, wie sich die Artder ins Visier geratenen
Unternehmen von einem Monat auf den nächsten verändern kann.
Bei den Erläuterungen konzentrieren wir uns auf einen bestimmten Einzelhandelsbetrieb, der zuletzt von Online-Kriminellen als Zielscheibe von drei Wellen
hochgradig gezielter Spear-Phishing-Angriffe auserkoren wurde. Diese Attacken
machten sich jeweils Techniken des Social Engineerings zunutze, um E-Mails
mitsamt Dateianhängen zu versenden, die scheinbar von leitenden Mitarbeitern aus
der Personal- und IT-Abteilung des betreffenden Unternehmens stammten. Bei den
Attachments handelte es sich dabei um Malware-verseuchte Nutzdaten.
Einleitung: Was ist eine gezielte Attacke?
Gezielte Attacken – die in der Literatur zum Thema häufig auch mit dem Kürzel APT
(Advanced Persistant Threats) bezeichnet werden – zielen letztendlich stets darauf
ab, sich unbefugt Zugang zu bestimmten geschützten Daten, zu geistigem
Eigentum der betroffenen Firmen oder zu deren vertraulichen internen Systemen zu
verschaffen. Dies erfolgt jeweils durch die Kontaktaufnahme mit ausgewählten
Einzelpersonen, die für das ins Visier genommene Unternehmen tätig sind. Die für
gezielte Angriffe verschickten E-Mails werden in aller Regel – und insbesondere im
Vergleich zu Spam- und Phishing-Nachrichten – nur in geringen Stückzahlen
verbreitet. Dennoch handelt es sich um eine der Online-Bedrohungen mit dem
größten Schadenspotenzial für Unternehmen.
Im Allgemeinen stellt jede große oder bedeutende Organisation, die über
vertrauliche oder wertvolle Daten verfügt, ein attraktives Ziel dar. Im Oktober 2010
war es den Analysen von MessageLabs Intelligence zufolge zum ersten Mal so,
dass der Einzelhandel stärker als alle anderen Branchen unter Beschuss stand. Im
September waren es noch die verarbeitende Industrie und Behörden gewesen, die
das größte Aufkommen an gezielten Angriffen auf sich gezogen hatten. Auch bei
einer langfristigen Betrachtung der Zahlen zeigt sich, dass diese beiden Wirtschaftssektoren generell mehr derartige Attacken erleben als andere Branchen.
2
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
Vor fünf Jahren richteten sich gezielte Angriffe unter anderem gegen Ministerien,
Organisationen des Rüstungs- und Verteidigungswesens, Energieversorger,
Pharmaunternehmen und andere international operierende Konzerne. Im Laufe des
vergangenen Jahres gerieten nun ganz unterschiedliche Unternehmen unter
Beschuss: Die Attacken betrafen nicht nur große multinationale Konzerne, die rund
um den Erdball präsent sind, sondern auch kleinere Firmen wie etwa Zulieferbetriebe. Möglicherweise halten die Angreifer also mittlerweile bewusst auch
Ausschau nach dem womöglich schwächsten Glied der Logistikkette.
Bei gezielten Attacken kommen äußerst raffinierte Verfahren des Social
Engineerings zum Einsatz. So beziehen sich die versendeten Nachrichten in aller
Regel auf geschäftliche Dinge oder nehmen Bezug auf besondere Ereignisse des
aktuellen Tagesgeschehens. Häufig werden sie zudem über Webmail-Accounts
oder unter Rückgriff auf gefälschte Absender-Adressen verschickt, die bewusst so
gestaltet sind, dass sie den jeweiligen Empfänger ansprechen. Auf die eine oder
andere Weise vermitteln die E-Mails zudemstets den Eindruck, das angehängte
Attachment enthielte bedeutsame Inhalte – seien es Informationen zulaufenden
Geschäften oder anstehenden Meetings, Rechtsdokumente oder Verträge.
Die große Gefahr gezielter Attacken besteht darin, dass heimlich ein Schadprogramm auf dem Computer des Empfängers installiert wird, das dann in
Seelenruhe verdeckte Spionagetätigkeitenauf diesem Rechner ausüben kann.
Manchmal wird die Malware direkt in Form einer ausführbaren EXE-Datei
angehängt (was vielen Empfängern jedoch sofort verdächtig erscheinen würde),
aber immer häufiger wird sie in seriös wirkenden Dokumenten in Dateiformaten wie
PDF, DOC, XLS und PPT oder sogar hinter Links versteckt. In solchen Fällen
genügt es, dass der Empfänger den besagten Dateianhang über eine Applikation
mit einer entsprechenden Sicherheitslücke öffnet oder den gefährlichen Link
anklickt, und schon kann sein Rechner von Dritten manipuliert werden.
Die Häufigkeit gezielter Angriffe gemessen am gesamten E-Mail-Aufkommen
Als es vor fünf Jahren zu den ersten gezieltenMalware-Angriffen kam, spürte
MessageLabs Intelligence zunächst ein bis zwei solcher Fälle pro Woche auf. Im
Laufe des darauffolgenden Jahres stieg die Zahl der Attacken dann auf ein bis zwei
pro Tag. Auch anschließend nahm die Häufigkeit solcher Angriffe sukzessive weiter
zu – von ungefähr 10 am Tag auf rund 60 am Tag im Jahr 2010. Im Oktober konnte
MessageLabs Intelligence im Tagesdurchschnitt etwa 77 gezielte Attacken
abfangen.
Gezielte Malware-Angriffekönnen sich gegen ein breites Spektrum an Organisationen richten: Es kann kleine Betriebe mit vielleicht zehn oder zwanzig
Computeranwendern ebenso treffen wie Großkonzerne, in denen hunderttausende Mitarbeiter das Internet nutzen. Im Oktober 2010 spürte MessageLabs
insgesamt 2.310 einzelne gezielte Attacken auf, die an 1.554 verschiedene
Empfänger in 286 unterschiedlichen Unternehmen und Behörden adressiert waren.
3
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
90
trend
80
70
60
targeted attacks per day
50
40
30
20
10
0
Nov 09
Dec 09
Jan 10
Feb 10
Mar 10
Apr 10
May 10
Jun 10
Jul 10
Aug 10
Sep 10
Oct 10
Abbildung 1: Gezielte Attacken pro Tag.
Wie aus Abbildung 1 ersichtlich ist, ergibt die allgemeine Trendanalyse für die
vergangenen sechs Monate einen permanenten Zufluss an immer neuen gezielten
Angriffen.
Ein interessanter Aspekt der Entwicklung ist, dass die Zahl der monatlich ins Visier
genommenen Anwender leicht zugenommen hat. Und obschon das Aufkommen an
unterschiedlichen zum Einsatz gekommenen Exploits leicht rückläufig ist, hat
gleichzeitig aber die Zahl der Attacken pro genutzter Angriffsform zugenommen.
9
8
7
trend
6
users targeted per organization
5
4
3
2
1
0
Nov 09
Dec 09
Jan 10
Feb 10
Mar 10
Apr 10
May 10
Jun 10
Jul 10
Aug 10
Sep 10
Oct 10
Abbildung 2: Zahl der Anwender, die pro angegriffener Organisation betroffen sind.
Üblicherweise sehen sich pro Monat zwischen 200 und 300 Unternehmen und
Behörden mit gezielten Malware-Attacken konfrontiert, jedoch verlagern sich die
Angriffe von Monat zu Monat auf immer wieder andere Wirtschaftszweige. Im Laufe
der Zeit ist es zudem so, dass dieselben Adressaten zwar wiederholt angesprochen
4
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
werden, die Angriffsmethoden sich dabei jedoch ändern. In vielen Fällen beruhen
diese Methoden jeweils auf einer ganz bestimmten Sicherheitslücke der ins Visier
genommenen Applikation. Weiterführende Informationen zu diesem Thema und ein
aktuelles Fallbeispiel finden sich im Abschnitt „Neues aus dem Blog“ unter der
Überschrift „Gezielte Zero-Day-Attacke über verseuchtes PDF-Dokument” weiter
hinten in diesem Bericht.
Im Oktober wurden pro betroffener Organisation im Durchschnitt 5,4 Anwender ins
Visier genommen. Mitunter ergeben sich jedoch auch deutliche Abweichungen von
dieser Zahl. Es kommt vor, dass einzelne Unternehmen sich mit einer besonders
hohen Zahl gezielter Attacken konfrontiert sehen. Dies war zum Beispiel im
September und Oktober bei Angriffen gegen Einzelhandelsbetriebe der Fall, denen
wir uns weiter hinten in diesem Report dann noch im Detail widmen werden.
Das Kurvendiagramm in der folgenden Abbildung 3 veranschaulicht, wie sich die
Häufigkeit der gezielten Attacken, die MessageLabs Intelligence weltweit erfasst
hat, in Relation zur Zahl aller durchleuchteten E-Mails im Laufe der letzten zwei
Jahre entwickelt hat.
1 in 1
1 in 500,000
1 in
1,263,018
1 in 1,000,000
trend
1 in 1,500,000
1 in 2,000,000
1 in 2,500,000
Oct 10
Sep 10
Jul 10
Aug 10
Jun 10
Apr 10
May 10
Mar 10
Jan 10
Feb 10
Dec 09
Oct 09
Nov 09
Sep 09
Jul 09
Aug 09
Jun 09
May 09
Apr 09
Mar 09
Jan 09
Feb 09
Dec 08
Oct 08
Nov 08
Sep 08
Aug 08
1 in 3,000,000
Abbildung 3: Häufigkeitstrend für die gezielten, von MLI aufgespürten Attacken.
Wie Abbildung 3 zeigt, handelte es sich im Oktober im Durchschnitt bei einer von
1,26 Millionen E-Mails um einen gezielten Angriff. Über das gesamte Jahr 2010
betrachtet schwankte die Häufigkeit solcher Attacken zwischen 1:1.000.000 und
1:2.000.000. Im Durchschnitt war 2010 pro 1.279.660 E-Mails eine gezielte Attacke
zu konstatieren. Zu berücksichtigen ist jedoch, dass das als Ausgangsgröße für die
Häufigkeitsbestimmung herangezogene Gesamtaufkommen an E-Mails gewissen
Schwankungen unterlegen ist und durch andere Faktoren beeinflusst wird, zum
Beispiel durch Fluktuationen bei der globalen Spam-Belastung. So wurden etwa im
Oktober 87,5 Prozent des gesamten E-Mail-Traffics als Spam zurückgewiesen.
Demzufolge lässt sich die Häufigkeit gezielter Attacken stets nur mit einem erheblichen statistischen Rauschen betrachten, und man kann sich schnell in der falschen
Sicherheit wiegen, die Wahrscheinlichkeit gezielter Malware-Attacken sei weitaus
geringer, als dies unter Umständen tatsächlich der Fall ist.
Im Oktober verbarg sich insgesamt hinter einer von 221,9 E-Mails ein MalwareAngriff, und davon entfielen rund 0,02 Prozent auf gezielte Attacken. Obschon
Letztere also im Vergleich zu anderen Bedrohungen durch Schadprogramme
5
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
äußerst selten auftreten, so besitzen sie doch gleichzeitig das größte Gefahren- und
Schadenspotenzial aller Malware-Aktivitäten.
Wie bereits erwähnt variiert die Gesamtzahl der abgefangenen gezielten Angriffe
von Monat zu Monat ebenso wie die Art der betroffenen Organisationen. Grundsätzlich lässt sich festhalten, dass das Risiko, Opfer einer gezielten Attacke zu
werden, von der jeweiligen Branche und von der Jahreszeit abhängt. Im Oktober
stieg das Aufkommen an gezielten Attacken gegen Unternehmen des Einzelhandelssektors deutlich über die durchschnittliche für diesen Monat gemessene
Belastung von einem entsprechenden Angriff pro 1,26 Millionen E-Mails: Die
Wahrscheinlichkeit, dass ein Betrieb dieser Branche von einem solchen Fall
betroffen war, lag fast um den Faktor 6,3 Mal höher. Damit stieg im Oktober die
Häufigkeit gezielter Attacken im Einzelhandel auf 1 zu 201.750.
Spear-Phishing und gezielte Attacken gegen Einzelhändler
Von Mitte bis Ende September stieg, wie aus Abbildung 4 ersichtlich ist, der Anteil
der gegen den Einzelhandel gerichteten gezielten Angriffe an der Gesamtbelastung
mit derartigen Attacken von zuvor rund 0,5 Prozent auf bis zu 25 Prozent.
30%
25%
20%
15%
10%
5%
Oct 10
Sep 10
Jul 10
Aug 10
Jun 10
Apr 10
May 10
Mar 10
Jan 10
Feb 10
Dec 09
Oct 09
Nov 09
Sep 09
Jul 09
Aug 09
Jun 09
Apr 09
May 09
Mar 09
Jan 09
Feb 09
Dec 08
Oct 08
Nov 08
Sep 08
Jul 08
Aug 08
Jun 08
May 08
0%
Abbildung 4: Anteil der gezielten Angriffe,
die sich gegen den Einzelhandel richten, im Zeitverlauf.
Darüber hinaus nahm binnen nur eines Monats auch die reine Zahl der gezielten
Attacken gegen den Einzelhandel sprunghaft auf 516 zu, nachdem für einen
Großteil des Jahres 2010 gerade einmal sieben solcher Angriffe pro Monat
gemessen wurden. In den vergangenen Jahren hatte der Einzelhandel nicht im
Brennpunkt einer konzertierten gezielten Attackesolchen Ausmaßes gestanden.
Die insgesamt 516 Angriffe richteten sich lediglich gegen sechs unterschiedliche
Einzelhandelsbetriebe, von denen offenbar zwei als Hauptzielscheiben unter
Beschuss gerieten. Möglicherweise hatten es die Hintermänner der Aktion dabei
vornehmlich auf vertrauliche Kundendaten abgesehen.
Insgesamt 250 Anwender, die für Einzelhandelsunternehmen tätig sind, erhielten im
September E-Mails, hinter denen sich gezielte Attacken verbargen. Zum Einsatz
6
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
kamen dabei 13 unterschiedliche Absender-Adressen, über die im Durchschnitt
jeweils rund 19 Angriffe abgesetzt wurden.
Die Detailanalyse eines der betroffenen Einzelhandelsunternehmen
Bei einer der betroffenen Firmen gingen 324 Angriffs-Mails, die laut der im „Von:“Feld angezeigten Absenderadresse vorgeblich von einem leitenden Beschäftigten
des besagten Unternehmens stammten, an 88 einzelne Mitarbeiter dieses Betriebs.
Die Social-Engineering-Praktik, die bei solcherart Attacken zum Einsatz kommt, wird
üblicherweise als „SpearPhishing“ bezeichnet. Erwähnenswert ist darüber hinaus,
dass sich die Kontaktdaten von vielen Führungskräften, deren Namen für derartige
Angriffe genutzt wurden, in sozialen Netzwerken zum beruflichen Austausch finden
lassen. Vor diesem Hintergrund erscheint es äußerst wahrscheinlich, dass auch die
Hintermänner der besagten Aktion zunächst auf einem Social-Networking-Portal
mit den Nutzerprofilen der betreffenden Personen erste Erkundungsversuche
unternommen haben.
Zwar ist es im Rahmen dieses Berichts nicht möglich, den Namen des
Unternehmens zu nennen, das im Brennpunkt dieser jüngsten Welle gezielter
Angriffe stand. Dennoch können wir im Folgenden einen genaueren Blick auf die
charakteristischen Besonderheiten dieser Attacken werfen.
Wie bereits berichtet, hat MessageLabs Intelligence im Oktober systematisch die
Daten von gezielten Angriffen ausgewertet, die im Monat zuvor und insbesondere
von Mitte bis Ende September gegen Unternehmen aus dem Einzelhandel erfolgt
sind. Weitergehende Untersuchungen förderten zutage, dass es zwei Firmen gab,
die als Zielscheibe für eine erhebliche Zahl solcher Attacken auserkoren waren.
Einer dieser beiden Betriebe erhielt in diesem Monat insgesamt 194 Angriffs-Mails.
An das Unternehmen, auf das wir uns in diesem Report konzentrieren wollen, waren
im gleichen Zeitraum sogar 324 Attacken gerichtet. Das waren 63 Prozent der
insgesamt 516 gezielten Angriffe, mit denen sich der Wirtschaftszweig Einzelhandel
im September 2010 konfrontiert sah.
Abbildung 5: Ein erstes Beispiel für einen gezielten
Spear-Phishing-Angriff gegen ein Einzelhandelsunternehmen.
7
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
Der in Abbildung 5 beispielhaft dargestellte Angriff gegen den besagten Einzelhandelsbetrieb wurde in drei Wellen im Abstand von jeweils rund einer Woche
verschickt, und zwar am 15., 22.und 29. September. Das legt den Schluss nahe,
dass die Hintermänner der Aktion einen organisierten, systematischen Ansatz
verfolgt haben.Darüber kamen bei jeder dieser drei Wellen ein bis zwei unterschiedliche E-Mail-Nachrichten zum Einsatz, die jeweils abweichende Themen
ansprachen.
AngriffsWelle
Zahl der
betroffenen
Mitarbeiter
Welle1
50
Welle 2
20
Welle 3
70
Vermeintlicher
Absender
leitender
Mitarbeiter der
Personalabteilung
leitender
Mitarbeiter der
Personalabteilung
leitender
Mitarbeiter der ITAbteilung
Angeblich
enthaltene Inhalte
Mitgeliefertes
Schadprogramm
Gehaltsinformationen
verseuchtesPDFDokument
BeschäftigungsMöglichkeiten
verseuchte XLSDatei
Sicherheits-Update
BackdoorTrojaner
Die erste Angriffswelle nahm 50 Empfänger ins Visier und enthielt im Feld „Von:“ die
gefälschte Adresse einesleitenden Personalverantwortlichen des Unternehmens. In
der Betreffzeile der verschickten Mails war von „vertraulichen Gehaltsinformationen“
die Rede, um die Adressaten dazu zu verleiten, die E-Mail zu öffnen. Möglicherweise dachte der eine oder andere Empfänger auch, die Nachricht sei ihm
fälschlicherweise zugestellt worden, und hoffte, aus diesem Versehen einen
persönlichen Vorteil ziehen zu können, indem er den Dateianhang öffnete.
Alle betreffenden E-Mails wurden über lediglich zwei unterschiedliche IP-Adressen
verschickt, von denen die eine in Argentinien ansässig war, die andere in den USA.
Wie es bei gezielten Attacken allgemein üblich ist, hatte es die E-Mail darauf abgesehen, dass der Empfänger das Attachment öffnete. In diesem Fall handelte es sich
dabei um ein Malware-verseuchtes PDF-Dokument.
Angesichts der Tatsache, dass es sich um eine wichtig wirkende E-Mail handelte,
die angeblich von einem leitenden Mitarbeiter der Personalabteilung stammte, wäre
naturgemäß die Wahrscheinlichkeit gestiegen, dass Adressaten das Attachment im
PDF-Format geöffnet und betrachtet hätten. An diesem Punkt würde sich auf deren
Rechnern dann ein Backdoor-Trojaner einnisten. Über diesen hätten die Angreifer
zu gegebener Zeit aktiv werden können, um sich Zugriff auf wertvolle oder
vertrauliche Privat- und Geschäftsdaten zu verschaffen.
8
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
Abbildung 6: Ein zweites Beispiel für einen gezielten
Spear-Phishing-Angriff gegen ein Einzelhandelsunternehmen.
Abbildung 6 zeigt die E-Mail der zweiten Angriffswelle, die dann ebenfalls angeblich
von einem hochrangigen Vertreter der Personal-Abteilungstammte und an 20
Mitarbeiter versendet wurde. Die Betreffzeile stellte angebliche „neue Beschäftigungsmöglichkeiten“ in Aussicht und war erneut dafür konzipiert, dass Interesse
der Empfänger zu wecken, sodass diese sich möglichst zum Öffnen des
Attachments verleiten ließen.
Bei der zweiten Welle wurden alle E-Mails über eine IP-Adresse in Argentinien
verschickt, und zwar über genau jene, die auch bereits bei der ersten Angriffswelle
zum Einsatz gekommen war. Wiederum ging es den Angreifern darum, die
Empfänger dazu zu verleiten, ein schadprogrammverseuchtes Attachment zu
öffnen, in diesem Fall eine gefährliche XLS-Datei.
Interessanterweise ist auch die Formulierung der E-Mails und insbesondere der
Aufforderung zum Öffnen und Betrachten der Dateianhänge als gezieltes Social
Engineering zu interpretieren. Denn es fanden sich Ausdrücke wie zum Beispiel
„Please find attached“, die im englischsprachigen Raum ganz typisch für die
geschäftliche E-Mail-Kommunikation zwischen Mitarbeitern sind.
In diesem Sinne ist auch der Hinweis zu interpretieren, das Dokument im Anhang
enthielteauch „den neuen Bonus-Plan“. Schließlich sind vermeintliche Bonuszahlungen für jeden Beschäftigten interessant – und erhöhen folglich die Bereitschaft, einen Blick auf das Attachment zu werfen.
Die dritte Angriffswelle verfolgte dann einen leicht anderen Ansatz, wie Abbildung 7
veranschaulicht.
9
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
Abbildung 7: Ein drittes Beispiel für einen gezielten
Spear-Phishing-Angriff gegen ein Einzelhandelsunternehmen.
Die in Abbildung 7 gezeigte Angriffs-Mail übernahm im „Von:“-Feld die Absenderadresse eines hochrangigen, für die IT-Sicherheit zuständigen Mitarbeiters der
betreffenden Firma und wurde an 70 Beschäftigte verschickt. Die Betreffzeile nahm
Bezug auf ein „wichtiges Sicherheits-Update” und dürfte vom Tonfall demzufolge
deutlich dringender geklungen haben als der Betreff der beiden vorausgegangenen
Attacken.
Erneut erfolgte der Versand der E-Mails über die bereits zuvor genutzten IPAdressen in Argentinien und den USA. Einzustufen wäre die dritte Welle als besonders heftige Attacke. Dazu trägt insbesondere die Dringlichkeit bei, mit der die
Empfänger zum Öffnen des angehängten ZIP-Archivs aufgefordert werden. Zudem
ist der Dateianhang diesmal über ein Passwort geschützt, was der E-Mail aus Sicht
des Adressaten unter Umständen ein höheres Maß an Glaubwürdigkeit verleiht.
10
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
Bemerkenswert sind auch in diesem Fall die Formulierungen, die im Sinne des
Social Engineerings verwendet wurden: „Wir benötigen Ihre Hilfe, um die Sicherheit
unserer Netzwerk-Infrastruktur aufrechtzuerhalten“, heißt es in der verschickten
E-Mail. Eine solche Bitte um Unterstützung dürfte dem einen oder anderen
Empfänger durchaus ein wenig geschmeichelt haben und zudem dazu angetan
sein, auch etwaige Bedenken zu beruhigen. Weiter unten in der Angriffs-Mail findet
sich dann der folgende Hinweis: „das Update im Anhang […] verhindert, dass
wertvolle Information, die auf Ihrer Workstation gespeichert sind, verloren gehen“.
Diese Formulierung dürfte gewählt worden sein, um den Adressaten dahingehend
zu beeinflussen,dass er ruhigen Gewissens zur Tat schreiten kann – und folglich die
Wahrscheinlichkeit steigt, dass das Attachment geöffnet wird. Interessanter-weise
heißt es in der E-Mail dann auch: „Sollten Sie irgendwelche Fragen haben, zögern
Sie nicht, Kontakt mit unseren IT-Sicherheits-Spezialisten aufzunehmen, indem Sie
auf diese E-Mail antworten. Bitte bedenken Sie aber, dass es unter Umständen
einige Zeit dauern kann, bis wir Ihre Anfrage beantworten können, da wir derzeit mit
Hochdruck daran arbeiten, alle betroffenen Server zu aktualisieren, um die
Risikenfür unser Unternehmen zu minimieren.“
Dieser letzte Absatz zielt fraglos darauf ab, den Empfänger in Sicherheit zu wiegen
und der E-Mail mehr Seriosität zu verleihen. Jedoch ist das Letzte, was die
Angreifer möchten, dass ein Empfänger tatsächlich auf die Nachricht antworten
würde. Folglich versuchen Sie beinahe im selben Atemzug, den Adressaten
diesbezüglich den Wind aus den Segeln zu nehmen. Denn hätte tatsächlich einer
der Empfänger reagiert, wäre seine Antwort-Mail auf jeden Fall bei dem echten
leitenden IT-Sicherheits-Mitarbeiter gelandet, dessen getürkte E-Mail-Adresse sich
im „Von:“-Feld der Angriffs-Mail fand. Und dann hätten selbstverständlich sofort alle
Alarmglocken geläutet, dass es sich bei der Aufforderung zum Sicherheits-Update
um eine betrügerische Fake-Mail handelt.
Weiterhin tarnte sich die Angriffs-Mail auch jeweils als weitergeleitete Nachricht: Der
Body der E-Mail wurde um entsprechende Informationen ergänzt, die es so aussehen ließen, als wäre die Nachricht zunächst von einem anderen Mitarbeiter an
den leitenden IT-Sicherheit-Experten der Firma gesendet und von diesem dann an
den eigentlichen Adressaten weitergeschickt worden. Der Hinweis, dass es sich um
eine weitergeleitete E-Mail handele, war selbstredend ebenfalls gefälscht.
Tatsächlich ging die Attacke jeweils direkt von einer der beiden IP-Adressen in
Argentinien und den USA aus.
Genau wie bei den beiden vorausgegangenen Angriffswellen hätten die meisten
Mitarbeiter unter dem Eindruck, dass die E-Mail wichtig aussah, angeblich von
einem leitenden Angestellten der IT-Sicherheits-Abteilung stammte und offenbar
Inhalte von entscheidender Bedeutung enthielt, durchaus geneigt gewesen sein
können, die ZIP-Datei im Anhang zu öffnen. Sobald dies geschehen wäre, hätte
sich sofort ein Backdoor-Trojaner auf ihrem Rechner installiert und den Angreifern
Zugriff auf persönliche und geschäftliche Daten gegeben, die möglicherweise
wertvoll oder vertraulich gewesen wären.
11
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
Wie sich Unternehmen effektiv gegen gezielte Angriffe schützen
Auch einigen anderen Anbietern von Sicherheits-Technologien gelingt es, einen Teil
der gezielten Attacken abzufangen. Doch allzu häufig bleibt es dann dabei, dass
lediglich die betreffenden Angriffs-Mails als gefährlich markiert werden, jedoch jede
weiterführende Analyse unterbleibt.
Der Sicherheits-Service MessageLabs Hosted Email Security unterbindet gezielte
Attacken hingegen unter Einsatz der Heuristik-Engine von Skeptic™, die sich die
verdächtigen Merkmale von Malware-Angriffen einprägen kann. Das versetzt das
Team von MessageLabs Intelligence in die Lage, alle als „gezielter Angriff“ kategorisierbaren Schadprogramm-Mails weiterführenden Analysen zu unterziehen –
getrennt von den Unmengen an anderen E-Mails, die ebenfalls abgefangen werden.
Seien es die Milliarden an Spam-Nachrichten oder die Millionen sonstiger MalwareAngriffe, die Skeptic tagtäglich ins Netz gehen.
Teilweise sind diese Abläufe automatisierbar, aber es ist von entscheidender Bedeutung, auch auf die Dienste von qualifiziertem Fachpersonal zu setzen, um die
Einschätzungen und Analysen von Skeptic zu prüfen. Schließlich ist es wichtig zu
verstehen, welche Motive die Hintermänner solcher Online-Attacken verfolgen. Das
erfordert ein detailliertes Wissen, gegen welche Unternehmen sich die Angriffe
richten, welche Begriffe und Formulierungen sich in den betreffenden E-Mails finden
und ob sich bei der zeitlichen Abfolge der Attacken eventuell irgendwelche noch so
feinen Muster erkennen lassen.
Auf der Grundlage dieser wertvollen Expertise können wir die spezifischen
Merkmale jeder gezielten Attacke eingehend untersuchen und diese Erkenntnissein
der Folge dazu nutzen, die Identifikation schadprogrammverseuchter E-Mails durch
Skeptic weiter zu verbessern, was seinerseits der Erkennung gezielter Attacken
zugutekommt. So ergibt sich ein sehr leistungsfähiger, von permanenten Rückmeldungen getragener Entscheidungskreislauf. In diesem Rahmen hat
MessageLabs Intelligence bereit erhebliche Zeit in die Untersuchung der Frage
investiert, wie sich die Art und Weise der gezielten Attacken in Relation zum
Aufkommen an registrierten Angriffen verändert. Diese aufwändigen Analysen
werden jedoch auch mit entsprechend wertvollen Erkenntnissen honoriert.
Schließlich stellen gezielte Angriffe eine der gefährlichsten und schädlichsten
Malware-Bedrohungen dar, denen Unternehmen heutzutage ausgesetzt sind.
Gezielte Attacken können für jede betroffene Organisation mit enormen Schäden
verbunden sein. In vielen Fällen sind sie nur sehr schwer zu bemerken, und zumeist
wirken sie angesichts des hohen Maßes an praktiziertem Social Engineering auch
sehr überzeugend auf die Empfänger der Angriffs-Mails. Hinzu kommt, dass es bei
solcherlei Attacken aufgrund ihrer besonderen Merkmale und der geringen Stückzahl an verschickten Nachrichten weniger wahrscheinlich ist, dass sie es überhaupt
auf den Radar der breiten Schar an Akteuren schaffen, die sich mit IT- und InternetSicherheit befassen. Offenbar machen sich gezielte Angriffe zudemauffallend häufig
sogenannte „Zero Day“-Anfälligkeiten zunutze, also soeben erst entdeckte und noch
nicht über Patches geschlossene Sicherheitslücken in bestimmten SoftwareAnwendungen, die sich nun so manipulieren lassen, dass sie Malware-Code auf
dem Zielrechner installieren.
12
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
Dementsprechend sollten auch Sie dafür Sorge tragen, dass Ihre Sicherheitsmaßnahmen und -technologien geeignet sind, diese neue Form von Industriespionage abzuwehren, und dass darüber hinaus auch allen Mitarbeitern die mit
solchen Angriffen verbundenen Risiken bewusst sind. Denn in diesem Monat mag
es der Einzelhandel gewesen sein, der sich gleich mit einer ganzen Reihe
wiederholter gezielter Attacken konfrontiert sah. Im nächsten Monat aber kann es
genauso gut Ihre Branche und Ihr Unternehmen sein.
13
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
NEUES AUS DEM BLOG
Der aktuelle Rückgang der globalen Spam-Belastung
Wie in diesem Bericht bereits betont wurde, war das weltweite Spam-Aufkommen im
Oktober leicht rückläufig. In den Medien wurde zuletzt auch umfassend über die
Tatsache berichtet, dass die Zahl der verbreiteten Spam-Meldungen insbesondere
am Sonntag, dem 3. Oktober 2010, ganz erheblich gesunken ist und an diesem Tag
ihren niedrigsten Stand seit geraumer Zeit erreichte. Jedoch ist zu konstatieren,
dass die Belastung mit unerwünschten Werbe-Mails sich seither wieder langsam auf
ihr gewohntes Niveau erholt.
Am 3. Oktober stellte MessageLabs Intelligence fest, dass der Ausstoß des Botnets
Rustock um 8:47:09 Uhr nach GMT (Greenwich Mean Time) auf null zurückging. Um
23:02:46 Uhr GMT nahm Rustock dann den Spam-Versand wieder auf. Für das
Botnet Cutwail war ebenfalls ein Rückgang zu konstatieren, der jedoch weniger
offensichtlichwar.
Ein berichtenswertes Ereignis aus dem Oktober, das vermutlich zu dieser rückläufigen Entwicklung beigetragen hat, war die Schließung eines berühmtberüchtigen Spam-Partnerprogramms, das unter dem Namen „SpamIT“ sein
Unwesen getrieben hat. SpamIT war eine wesentliche Stütze einer Online-Apotheke
namens „Canadian Pharmacy“, die sich als riesige Spamschleuder hervortut.
Ungefähr zwei Drittel aller unerwünschten Werbe-Mails beziehen sich mittlerweile
auf pharmazeutische Produkte, und ein erheblicher Teil dieses Spam-Aufkommens
steht in Verbindung mit Websites von Canadian Pharmacy und zugehörigen
Firmennamen. Diese Seiten handeln jeweils mit einem breiten Sortiment an diversen
Tabletten und Arzneimitteln: Von Potenzmitteln über Schlankmacher bis hin zu
Beruhigungspillen ist alles Mögliche im Angebot.
Weiterführende Informationen zu diesem Thema liefert der Blog von MessageLabs
Intelligence unter:
http://www.symantec.com/connect/blogs/recent-drop-global-spam-volumes-whathappened
„Bild-im-Bild“-Betrugsmails locken mit Steuernachlässen
Die britische Steuerbehörde HMRC (Her Majesty's Revenue and Customs) gab
kürzlich bekannt, dass sechs Millionen Bürger des Landes falsche Steuerbeträge
gezahlt hätten und nun schriftlich über diesen Sachverhalt informiert würden. Je
nach den jeweiligen Begleitumständen könnten die betroffenen Personen entweder
zu viel bezahlte Abgaben zurückfordern oder aber einen Beitragsbescheid für noch
ausstehende Steuern anfordern.
MessageLabs Intelligence ging davon aus, dass es nicht lange dauern könnte, bis
Phishing-Betrüger versuchen würden, mit entsprechenden Mails einen Vorteil aus
dieser Bekanntmachung zu schlagen – umso mehr, als dass die meisten Betroffenen eine Rückerstattung erwarten dürfen. Unlängst konnten wir auch bereits
einen interessanten Phishing-Angriff beobachten. Dieser bezieht sich zwar nicht
14
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
direkt auf die HMRC-Ankündigung, sondern macht sich vermutlich einfach die
derzeitige Hoffnung vieler Briten auf eine unerwartete Rückerstattung zunutze, um
möglichst viele Adressaten zur Herausgabe vertraulicher Informationen zu
überlisten.
Der Angriff beruht auf einer simplen „Bild-im-Bild“-Technik, damit den Empfängern in
ihren Web-Browsern über entsprechende Plug-ins ein vermeintliches PDFDokument angezeigt wird. Solche „Bild-im-Bild“-Angriffe nutzen jeweils eine Reihe
von Screenshots oder erzeugen Widgets und andere Elemente grafischer Benutzeroberflächen, um das äußere Erscheinungsbild einer bestimmten SoftwareAnwendung (also beispielsweise eines PDF-Readers) oder in manchen Fällen eines
kompletten Windows-Desktops nachzustellen. Die für besagten Angriff eingerichtete
Phishing-Seite legt eine Hintergrundgrafik fest, bei der es sich um einen
bearbeiteten Screenshot eines häufig verwendeten PDF-Readers handelt.
Weiterführende Informationen zu diesem Thema liefert der Blog von MessageLabs
Intelligence unter:
http://www.symantec.com/connect/blogs/picture-picture-tax-rebate-scam
JavaScript-Angriff über Twitter
Am 21. September 2010 war auf Twitter ein auffällig hohes Traffic-Aufkommen zu
beobachten, das aus einer kurz zuvor entdeckten Sicherheitslücke in Bezug auf
JavaScript resultierte. Der Angriff machte sich zunutze, wie Twitter mit JavaScriptInhalten in Updates umgeht. In den meisten Fällen kam der sogenannte
„onmouseover“-Trigger zum Einsatz. Konkret heißt dies, dass ein Empfänger
lediglich die Maus über eine Twitter-Kurznachricht bewegen musste, und schon lief
automatisch der verborgene Schadprogramm-Code ab. Dieser sorgte dann zumeist
dafür, dass einfach derselbe Tweet auf die Twitterwall des betroffenen Users zurückgeschickt wurde und dann eine Weiterleitung auf eine andere Website erfolgte. Es
gab auch einige Fälle, in denen Anwender dabei auf Pornoseiten landeten.
Bezeichnend für diesen Angriff war, dass ein User nichts weiter tun musste, als
einen Cursor zu bewegen, um die Malware zu aktivieren. Das hat dazu geführt, dass
sich der Angriff mit einem immensen Tempo bereits rund um den Erdball verbreitet
hatte, bevor überhaupt jemand wusste, was genau da vor sich ging.
Weiterführende Informationen zu diesem Thema liefert der Blog von MessageLabs
Intelligence unter:
http://www.symantec.com/connect/blogs/javascript-exploit-twitter
Gezielte Zero-Day-Attacke über verseuchtes PDF-Dokument bleibt
wegen „HereYouHave“-Virus praktisch unbemerkt
Im September wurde die Welt der Internetsicherheits-Experten Zeuge von zwei
großen Angriffen, die sich etwa zur selben Zeit abspielten. Die erste Bedrohung
resultierte, wie bereits im MessageLabs Intelligence Report des Vormonats
berichtet, aus dem Massenmailer-Wurm IMSOLK.B, die zweite, weniger bekannte
Attacke nutzte eine neue, noch nicht per Patch gestopfte Sicherheitslücke im
15
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
Dateiformat PDF (CVE-2010-2883).In beiden Fällen gelang es Symantec Hosted
Services über die MessageLabs-Dienste, alle Kunden aktiv und vorausschauend zu
schützen, sodass diese jeweils die Oberhand über ihre Möchtegern-Angreifern
behielten.
Als die weltweite Internet-Gemeinde am 9. September vom Ausbruch des
„HereYouHave“-Virus erfuhr, vollzog sich im Schatten dieses Ereignisses beinahe
unbemerkt eine gezielte Attacke, die tatsächlich schon eine Woche zuvor begonnen
hatte. Am 1. September 2010 um 7:30 Uhr nach GMT konnte Symantec Hosted
Services über proaktive Sicherheits-Technologien einige verdächtige E-Mails
aufspüren und aufhalten, in deren PDF-Attachments sich schadprogrammverseuchter JavaScript-Code verbarg. An diesem Tag, an dem der Angriff
ursprünglich seinen Ausgang nahm, hat MessageLabs zunächst neun Exemplare
dieser gefährlichen Nachricht abgefangen. Eine Woche später waren es am
8.September auf dem Höhepunkt der besagten Attacke, als die Sicherheitslücke
dann erstmals öffentlich bekanntgemacht wurde, weitere elf Angriffs-Mails.
Der Dateityp PDF bietet nicht nur den Vorteil eines portablen Dokumentenformates,
sondern auch die Möglichkeit, komplexen JavaScript-Code einzubetten. Diese
Option hat PDF-Attachments in den vergangenen Jahren zur bevorzugten Waffe von
Hackern gemacht. Insbesondere wenn es um den Aufbau und die Verbreitung
gezielter Malware-Attacken geht, können sich die Skriptsprache JavaScript und das
Dateiformat PDF als eine Kombination mit tödlicher Wirkung erweisen.
Weiterführende Informationen zu diesem Thema liefert der Blog von MessageLabs
Intelligence unter:
http://www.symantec.com/connect/blogs/pdf-zero-day-targeted-attack-practicallyunnoticed-due-here-you-have-virus
16
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
GLOBALE TREND- UND CONTENT-ANALYSE
Symantec Hosted Services konzentriert sich auf die Identifikation, Erkennung und
Abwehr von Internet-Attacken in Form von Viren, Spam, Spyware und anderen
unerwünschten Inhalten. Im Rahmen dieser Sicherheitsdienste werden tagtäglich
Milliarden von Nachrichten und Millionen von Angriffen bearbeitet. Die auf diese
Weise zusammengetragenen Informationen ergeben eine der weltweit
vollständigsten und aktuellsten Wissensdatenbanken rund um die Gefahrensituation
im Web.
Spam-Schutz mit Skeptic™: Im Oktober 2010 sank der Anteil von SpamNachrichten am weltweiten E-Mail-Verkehr gegenüber dem Vormonat um 4,2
Prozentpunkte auf 87,5 Prozent (oder eine von 1,14 E-Mails).
Spam Rate
94.9% Luxembourg
94.5% Hungary
87.5%
Last Month:
Six Month Avg.:
93.9% China
92.3% Accom/Catering
93.6% Oman
91.7%
90.0%
91.2% 1-250
93.5% Automotive
92.4% Marketing/Media
92.0% 1501-2500
92.1% Agriculture
Top 5 Geographies
Top 5 Verticals
251-500
501-1000
91.4% 1001-1500
92.2% Engineering
93.3% Denmark
91.5%
91.5%
91.4% 2501+
By Horizontal
87.5%
2005
2006
2007
2008
2009
2010
October 2010
Während die Spam-Belastung insgesamt zurückging, setzte sich Luxemburg im
Oktober mit einer Spam-Quote von 94,9 Prozent an die Spitze der Länder, die
weltweit am meisten unter unerwünschten Werbe-Mails zu leiden hatten.
In den USA belief sich die Spam-Quote auf 91,6 Prozent, in Kanada auf 91,3
Prozent und in Großbritannien auf 91,1 Prozent. In den Niederlanden entfielen 92,3
Prozent des E-Mail-Aufkommens auf Spam, in Deutschland betrug dieser Anteil
91,6 Prozent, in Dänemark 93,3 Prozent und in Australien 90,8 Prozent. In
Hongkong belief sich die Spam-Quote auf 93,3 Prozent, in Singapur auf 90,2
Prozent, in Japan auf 89,6 Prozent und in China auf 93,8 Prozent. Für Südafrika
waren 91,0 Prozent des E-Mail-Verkehrs als Spam einzuordnen.
Die Automobilindustrie sah sich im Oktober mit einer Spam-Quote von 93,5 Prozent
konfrontiert und stand damit wie bereits im Vormonat stärker unter Beschuss von
unaufgefordert zugesandten Werbe-Mails als jede andere Branche. Der Bildungssektor verzeichnete eine Spam-Quote von 92,1 Prozent und die Chemie- und
Pharma-Industrie von 91,8 Prozent. Bei IT-Dienstleistern belief sich dieser Wert auf
91,6 Prozent, im Einzelhandel auf 91,5 Prozent, bei Behörden auf 91,0 Prozent und
in der Finanzindustrie auf 90,5 Prozent.
17
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
Viren- und Trojaner-Abwehr mit Skeptic™: Der weltweite Anteil von per E-Mail
verbreiteten Viren am gesamten E-Mail-Verkehr belief sich im Oktober auf 1 zu
221,9 (bzw. 0,451Prozent). Das waren 0,01 Prozentpunkte weniger als noch im
September.
23,1 Prozent der auf E-Mails basierenden Malware-Belastung entfielen im Oktober
auf Links zu gefährlichen Websites – eine Steigerung um 15,5 Prozentpunkte im
Vergleich zum Vormonat.
Virus Rate
1 in 127.1 United Kingdom
1 in 221.9
Last Month:
Six Month Avg.:
Gov/Public
1 in 43.2 Sector
1 in 113.7 South Africa
1 in 157.0 Hong Kong
1 in 215.7 Denmark
1 in 218.7
1 in 260.4
1 in 211.1 1-250
1 in 216.6
1 in 71.6 Engineering
1 in 282.5
1 in 167.6 Education
1 in 261.5 1001-1500
1 in 188.4 Chem/Pharm
1 in 219.3 Germany
1 in 229.7 1501-2500
1 in 195.3 Marketing/Media
Top 5 Geographies
Top 5 Verticals
251-500
501-1000
1 in 214.3 2501+
By Horizontal
1 in 221.9
2005
2006
2007
2008
2009
2010
October 2010
In Südafrika war im Oktober eine von 113,7 E-Mails mit einem Schadprogramm
verseucht. Das bedeutet weiterhin den ersten Platz im weltweiten Viren-Ranking.In
Großbritannien enthielt derweil eine von 127,1 E-Mails eine Malware. In den
Vereinigten Staaten belief sich der Anteil verseuchter E-Mails auf 1 zu 425,3 und in
Kanada auf 1 zu 254,5. In Deutschland betrug das entsprechende Verhältnis 1 zu
219,3, in Dänemark 1 zu 215,7 und in den Niederlanden 1 zu 278,9. Für Australien
hat MessageLabs Intelligence eine Viren-Quote von 1 zu 474,5 ermittelt, in
Hongkong waren es 1 zu 157,0, in Japan 1 zu 738,1 und in Singapur 1 zu 576,4.
Bei Behörden wurde im Oktober im Durchschnitt eine von 43,2 E-Mails zurückgewiesen, weil sie eine Malware enthielt. Damit belegte die öffentliche Hand
weiterhin den ersten Platz in der Rangliste der Wirtschaftssektoren, die dem
höchsten Anteil an verseuchten E-Mails ausgesetzt waren. In der Chemie- und
Pharma-Industrie belief sich die Viren-Quote auf 1 zu 188,4, bei IT-Dienstleistern
auf 1 zu 224,4, bei Einzelhandelsunternehmen auf 1 zu 386,0, im Bildungswesen
auf 1 zu 167,7 und bei Finanzinstituten auf 1 zu 361,3.
Die folgende Tabelle listet auf, welche per E-Mail verbreiteten Schadprogramme im
Oktober am häufigsten abgefangen wurden.
Virus
Exploit/SpearPhish
VBS/Generic
W23/NewMalware-e427
Trojan.Webkit!html
Trojan.Malscript!html
VBS/Generic-0496
W32/Generic-dd43
JS/Decoder
% of virus
14.9%
4.7%
4.2%
4.2%
4.0%
3.6%
3.5%
3.5%
18
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
JS/Selfaltering.TxSp
JS/Decoder-56b9
2.4%
2.3%
Phishing: Der Oktober brachte im Vergleich zum Vormonat einen Rückgang der
Phishing-Quote um 0,06 Prozentpunkte. Bei einer von 488,0 E-Mails (bzw. 0,205
Prozent) handelte es sich um einen Versuch zum Auskundschaften von
Authentisierungsdaten.
Phishing Rate
1 in 46.1 South Africa
1 in 227.5 United Kingdom
1 in 488.0
Last Month:
Six Month Avg.:
1 in 224.0 Education
1 in 285.2 Oman
1 in 382.0
1 in 443.7
Gov/Public
1 in 112.0 Sector
1 in 358.5 1-250
1 in 616.3
1 in 145.1 General Services
1 in 466.7 Brazil
1 in 259.6 Accom/Catering
1 in 491.5 United Arab Emirates
1 in 266.3 Recreation
Top 5 Geographies
Top 5 Verticals
1 in 802.5
251-500
501-1000
1 in 755.8 1001-1500
1 in 746.8 1501-2500
1 in 469.2 2501+
By Horizontal
1 in 488.0
2005
2006
2007
2008
2009
2010
October 2010
Mit einer Phishing-Quote von 1 zu 46,1 stand Südafrika im Oktober wie bereits im
Monat zuvor an der Spitze jener Länder, die weltweit am stärksten unter E-MailAttacken zum Auskundschaften von Authentisierungsdaten zu leiden hatten. In
Großbritannien verbarg sich hinter einer von 227,5 E-Mails ein Phishing-Versuch,
in den USA betrug dieses Verhältnis 1 zu 1.108 und in Kanada 1 zu 784,0. In
Deutschland belief sich die Phishing-Quote auf 1 zu 1.738, in Dänemark auf 1 zu
1.640 und in den Niederlanden auf 1 in 564,7. Für Australien wurde ein Anteil von
Phishing-Nachrichten am E-Mail-Verkehr von 1 zu 942,3 ermittelt, für Hongkong von
1 zu 812,9, für Japan von 1 zu 5.266 und für Singapur von 1 zu 2.800.
In der Rangliste der am schwersten unter Beschuss solcher Angriffe stehenden
Wirtschaftszweige nahmen Behörden im Oktober mit einer Phishing-Quote von 1 zu
112,0auch weiterhin den ersten Platz ein. In der Chemie- und Pharma-Industrie
belief sich der Anteil von E-Mails zum Auskundschaften von Authentisierungsdaten
auf 1 zu 953,2, bei IT-Dienstleistern auf 1 zu 811,8, im Einzelhandel auf 1 zu 820,0,
im Bildungssektor auf 1 zu 224,0 und bei Finanzinstituten auf 1 zu 486,8.
Skeptic™ Web Security Version 2.0: Im Oktober hat MessageLabs Intelligence
pro Tag durchschnittlich 2.280 Internetseiten aufgespürt, auf denen Malware und
andere möglicherweise unerwünschte Programme wie etwa Spyware und Adware
hinterlegt waren. Das waren 23,9 Prozent weniger als noch im September.
Weitergehende Analysen ergaben, dass 51,3 Prozent aller Domains, auf die im
Oktober der Zugriff wegen Malware-Gefahr unterbunden wurde, neu waren – eine
Steigerung um 17,7Prozentpunkte seit September. Der Anteil der abgefangenen
und über das Surfen im Internet verbreiteten Malware, die erstmals aufgetreten ist,
legte im selben Zeitraum um 2,9 Prozentpunkte auf 24,7 Prozent zu. Dieser Anstieg
ist vor allem auf die zunehmende Zahl von Fällen zurückzuführen, in denen der
Zugriff auf einen in JavaScript programmierten Weiterleitungs-Trojaner unterbunden
wurde.
19
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
Web Security Services (Version 2.0) Activity:
6,000
New Malware Sites per Day
New sites with
web viruses
5,000
29/day
4,000
New sites with web viruses
2,251/day
3,000
Total
2,280/day
2,000
New sites with spyware
1,000
New sites with
J
F M A M J J A S O N D J F M A M J
spyware
J A S O N D J
F M A M J J A S O
October 2010
Das obenstehende Kurvendiagramm veranschaulicht, wie sich im Oktober das
Aufkommen an täglich neu zu sperrenden Viren- und Trojaner-Seiten im Vergleich
zur entsprechenden Zahl der pro Tag blockierten Websites mit Spyware und
Adware entwickelt hat.
Die Website-Kategorie „Werbung & Popups“ war im Oktober mit einem Anteil von
45,9 Prozent der häufigste Auslöser von regel- und richtliniengesteuerten
Filterungsaktivitäten, die im Rahmen des Dienstes MessageLabs Hosted Web
Security für Geschäftskunden erfolgt sind. Auf Platz zwei in der Rangliste der am
häufigsten unterbundenen Website-Zugriffe folgte mit einem Anteil von 9,8 Prozent
die Kategorie „Streaming Media“.
Web Security Services (Version 2.0) Activity:
Policy-Based Filtering
Advertisements and Popups
Streaming Media
Personals and Dating
Blogs and Forums
Downloads
Chat
Adult/Sexually Explicit
Search Engines
Games
Infrastructure
45.8%
9.8%
6.2%
5.5%
4.8%
2.8%
2.8%
2.7%
2.5%
2.2%
Web Viruses and Trojans
Trojan:JS/Redirector.CM
W32.Jeefo
Trojan.Gen
Gen:Variant.NaviPromo.2
Downloader
New Unclassified Trojan
Trojan:JPG/GIFrame.gen!B
W32.IRCBot
Trojan.JS.Iframe.AEC
Packed.Generic.303
54.6%
6.0%
4.2%
3.6%
2.0%
1.4%
1.1%
1.1%
1.0%
1.0%
Potentially Unwanted Programs
PUP:W32/MyWebSearch.AB
PUP:Generic.59456
PUP:W32/MyWebSearch.G
PUP:W32/Realvnc.A
PUP:Generic.62006
PUP:Heur.ou9@RmZsN6di
PUP:Redir
PUP:9231
PUP:Heur.ou9@RyZN6Hbi
PUP:GameVance.C
16.9%
13.5%
10.0%
7.7%
5.5%
5.4%
4.4%
2.9%
2.8%
2.2%
October 2010
In die Kategorie „Nicht klassifiziert“ fallen neue und bisher noch nicht eingeordnete
Internetpräsenzen. Zwar können solche Domains für zweifelhafte Zwecke wie etwa
das Hosting von Phishing- und Spam-Seiten verwendet werden, jedoch besteht
auch die Möglichkeit, dass sie von seriösen Organisationen neu ins Leben gerufen
wurden und aus diesem Grund noch nicht klassifiziert worden sind.
Im Oktober stieg der Anteil nicht klassifizierter Domains an den verhinderten
Website-Aufrufen um 0,9 Prozentpunkte auf 2,1 Prozent. Kunden von Symantec
Hosted Services haben den Vorteil, für solche Seiten einen deutlich flexibleren
Umgang finden zu können. Denn alle Inhalte, die sie oder ihre Mitarbeiter aus dem
Internet herunterladen, werden automatisch auf Grundlage einer einzigartigen
Kombination aus Skeptic™-Technologien und kommerziellen Antiviren-Tools im
Hinblick auf eine etwaige Malware-Belastung durchleuchtet. Infolgedessen müssen
Kunden dieses Services solche neuen Seiten nicht allesamt vorbeugend sperren
lassen, um ihre Internet-Sicherheit aufrechtzuerhalten, wie es ansonsten der Fall
sein könnte.
20
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
Endpoint-Sicherheit: Die Geräte, die innerhalb der IT-Infrastruktur die Endpunkte
darstellen, sind auch im Bezug auf die Abwehr von Online-Angriffen häufig die letzte
Verteidigungsreihe und Analyseebene. Attacken, die an dieser Stelle aufgespürt
werden, werfen in vielen Fällen ein genaueres Licht auf die Natur der Bedrohungen,
denen Unternehmen tatsächlich ausgesetzt sind. Das gilt insbesondere für solche
Gefahren, in denen mehrere Angriffsformen verschmelzen. Erreicht eine Malware
ein Endpoint-Gerät, ist die Wahrscheinlichkeit hoch, dass es ihr zuvor bereits
gelungen ist, andere eingesetzte Abwehrebenen zu umgehen – zum Beispiel
Virenfilter am Eingang zum Firmennetzwerk.
Die folgende Tabelle listet auf, welche Schadprogramme im Oktober am häufigsten
auf Endpunkt-Ebene abgefangen wurden. Eingeflossen sind in die Erhebungen die
Daten von entsprechenden Geräten in aller Welt, die durch Symantec-Technologien
geschützt sind. Dazu gehören auch die Endpoint-Systeme solcher Kunden, die nicht
gleichzeitig auch auf anderen Ebenen noch Sicherheitslösungen wie die Services
MessageLabs Hosted Web Security oder MessageLabs HostedEmail Security
nutzen.
Malware
1
Trojan Horse*
W32.Sality.AE
Downloader*
W32.Downadup.B
W32.Mabezat.B
W32.SillyFDC
Trojan.Malscript!html
W32.Almanahe.B!inf
Backdoor.Trojan*
Trojan.Webkit!html
17.0%
11.7%
8.1%
5.7%
3.8%
3.8%
3.4%
2.9%
2.7%
2.3%
Im vergangenen Monat war „W32.Sality.AE“ das am häufigsten abgefangene
Schadprogramm. Dieser Virus breitet sich aus, indem er Programmdateien infiziert
und versucht, möglicherweise gefährliche Dateien aus dem Internet herunterzuladen. Das wichtigste Ziel von „Sality.AE“ ist es, weitere infizierte Software aus
dem Netz zu laden und auf dem Rechner des Opfers zu installieren. Darüber hinaus
unterbindet das Schadprogramm den Aufruf diverser sicherheitsrelevanter WebAdressen und Dienste und löscht Dateien, die der Virenabwehr dienen. Weiterhin
infiziert „Sality.AE“ auch die exe- und scr-Dateien auf der lokalen Festplatte des
Zielrechners sowie auf allen Ressourcen im jeweiligen Netzwerk, auf die sich mit
Schreibberechtigung zugreifen lässt. Die Malware vermehrt sich, indem sie sich
selbsttätig auf die angeschlossenen Wechseldatenträger kopiert.
*
Viele der neuen Viren und Trojaner basieren auf früheren Schadprogrammen, sind
also entstanden, weil Malware-Code bewusst kopiert oder umgebaut wurde, um
neue Stämme oder Varianten heranzuzüchten. Häufig werden diese Abkömmlinge
mit Hilfe spezieller Toolkits erstellt. Aus einem einzigen Schadprogramm lassen sich
damit gut und gerne hunderte oder tausende neue Varianten erzeugen. Diese
1
Weiterführende Informationen zu diesen Schadprogrammen lassen unter folgender Adresse auf der Symantec-Website nachlesen::
http://www.symantec.com/business/security_response/landing/threats.jsp
21
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
Taktik ist mittlerweile deshalb so populär, weil sie dazu beiträgt, Abwehrtools
umgehen zu können, die mittels Signaturabgleich arbeiten. Schließlich erfordert bei
herkömmlichen Virenfiltern jede neue Malware-Variante ihre eigene Signatur, um
sie korrekt identifizieren und abfangen zu können.
Durch den Rückgriff auf ausgereiftere Techniken, zu denen heuristische Analysen
und die generische Erkennung zählen, ist es jedoch möglich, diverse Varianten ein
und derselben Malware auf einen Schlag zu identifizieren und auszuschalten.
Ebenso erlauben diese Methoden durch das Aufspüren von Mischviren mit Hilfe
einer einzelnen Signatur auch die Identifikation neuer Formen von Malware-Code,
die bestimmte Sicherheitslücken ausnutzen wollen. Rund 29,7 Prozent der am
häufigsten abgefangenen Schadprogramme wurden auf diese Weise durch
Sicherheitskontrollen auf Endpoint-Ebene aufgespürt.
22
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
TRAFFIC-MANAGEMENT
Mittels Traffic-Management gelingt es fortwährend, die Gesamtmenge der
übermittelten Nachrichten durch Techniken zu senken, die auf Protokoll-Ebene aktiv
sind. Dabei werden unerwünschte Absender identifiziert und die entsprechenden
Mail-Server-Verbindungen über Funktionen, die in das TCP-Protokoll eingebettet
sind, gezielt verlangsamt. Auf diese Weise werden bekannte Spam-Formen auf
Seiten der Empfänger erheblich ausgebremst, während die reibungslose
Übermittlung aller zulässigen E-Mails gewährleistet bleibt.
Im Oktober wurden im Rahmen der Dienste von Symantec Hosted Services
durchschnittlich 3,7 Milliarden SMTP-Verbindungen pro Tag verarbeitet. Davon
wurden 63,5 Prozent im Zuge des Traffic-Managements gedrosselt, weil es sich um
eindeutig schädlichen und unerwünschten E-Mail-Verkehr handelte. Der Rest der
Verbindungen hatte anschließend die Prüftechnologien von MessageLabs
Connection Management und MessageLabs Skeptic™ zu durchlaufen.
Dropped at
stage
63.5% Traffic management
Known
Bad Messages
Dropped
49.1% Connection management
5.3% User management
0.5% Skeptic Anti-virus
Malware
and Spam
Quarantined
29.0% Skeptic Anti-spam
Good Mail
Delivered
to clients
Clean mail delivered
Connection-Management
Das Connection-Management erweist sich als ein sehr effektives Instrument, um
insbesondere eine Adressbücher-Plünderung, Brute-Force-Attacken und E-Mailbasierende Denial-of-Service-Angriffe zu stoppen – also solche Techniken, bei
denen unerwünschte Massen-Mails ein Unternehmen überfluten und auf diese
Weise dessen Geschäftskommunikation stören sollen. Aktiv ist das ConnectionManagement auf SMTP-Ebene, und es verwendet dabei Verfahren zur SMTPValidierung, um zu überprüfen, inwieweit aufzubauende Mail-Server-Verbindungen
tatsächlich legitim sind. Dabei ist es möglich, unerwünschte E-Mails von Urhebern
zu erkennen, die bereits für den Versand von Spam und Viren bekannt sind. Solche
Quellen werden eindeutig als offene Proxy-Speicher oder als Botnets identifiziert,
und die Verbindungsabfrage wird entsprechend zurückgewiesen. Im Oktober
wurden auf diese Weise durchschnittlich 49,1 Prozent aller eingehenden Mails
abgefangen, da diese von Botnets oder anderen bekannten SchadprogrammQuellen stammten, und infolgedessen aussortiert.
User-Management
Eine Adress-Prüfung der registrierten Anwender senkt die Gesamtmenge an
E-Mails, die an eingetragene Domains übermittelt werden. Denn das Verfahren
verwirft alle Verbindungen, die an ungültige oder nicht existierende Einzelempfänger
23
www.messagelabs.com
[email protected]
MESSAGELABS INTELLIGENCE
gerichtet sind. Im Oktober wurden durchschnittlich 5,3 Prozent der eingehenden
Mails wegen ungültiger Adressen abgefangen. Dahinter verbargen sich versuchte
Directory-Attacken auf Domains, die somit verhütet werden konnten.
Über MessageLabs Intelligence
MessageLabs Intelligence ist ein angesehener Anbieter von Daten und Analysen zu
Themen, Trends und Statistiken rund um die Sicherheit von Internet-, E-Mail- und
Instant-Messaging-Anwendungen. Mit Hilfe von 14 Rechenzentren in aller Welt, die
pro Woche mehrere Milliarden Mails überprüfen, erfasst MessageLabs Intelligence
fortwährend Live-Daten und veröffentlicht auf dieser Grundlage vielfältige
Informationen zur aktuellen globalen Bedrohungssituation. Zum MessageLabs
TM
Team Skeptic gehören zahlreiche weltweit anerkannte Malware- und SpamExperten, die über die Grenzen einzelner Kommunikationskanäle hinweg ein
umfassendes Verständnis der Online-Gefahren mitbringen. Diese besondere
Expertise stützt sich auf exakte Daten zu den Milliarden von Websites, E-Mails und
Instant-Messaging-Nachrichten, die sie tagtäglich im Auftrag von 30.000 Kunden
aus mehr als hundert Ländern überprüfen. Weiterführende Informationen finden sich
im Internet unter www.messagelabs.com/intelligence.
Über Symantec
Symantec ist ein weltweit führender Anbieter von Infrastuktur-Software, mit der sich
Unternehmen und Privatpersonen sicher und vertrauensvoll in einer vernetzen Welt
bewegen können. Das Unternehmen unterstützt Kunden beim Schutz ihrer
Infrastrukturen, Informationen und Interaktionen durch Software und
Dienstleistungen, die Risiken der IT-Sicherheit, Verfügbarkeit, Compliance und
Leistungsfähigkeit adressieren. Symantec hat seinen Hauptsitz in Cupertino,
Kalifornien und betreibt Niederlassungen in mehr als 40 Ländern. Mehr
Informationen unter www.symantec.de.
Copyright © 2010 Symantec Corporation. Alle Rechte vorbehalten.
Symantec, das Symantec-Logo und MessageLabs sind Schutzmarken oder
eingetragene Warenzeichen
der Symantec Corporation oder ihrer Partner in den USA und in anderen Ländern.
Bei weiteren Produkt- und Firmennamen handelt es sich möglicherweise um
Warenzeichen ihrer jeweiligen Besitzer.
OHNE GEWÄHR. Die in diesem Dokument enthaltenen Informationen werden ohne
jegliche Gewährleistung bereitgestellt. Die Symantec Corporation übernimmt
keinerlei Garantie hinsichtlich deren Richtigkeit und Verwendung. Wer in diesem
Dokument enthaltene Informationen gebraucht, trägt dafür allein alle Risiken. Unter
Umständen kann dieser Bericht technische und sonstige Ungenauigkeiten oder
Tipp- bzw. Druckfehler enthalten. Symantec behält sich das Recht vor,
Informationen ohne vorherige Ankündigung zu ändern. Kein Teil dieser
Veröffentlichung darf ohne ausdrückliche schriftliche Genehmigung durch die
Symantec Corporation (20330 Stevens Creek Blvd.,Cupertino, CA 95014, USA)
vervielfältigt werden.
24
www.messagelabs.com
[email protected]