Trend Micro - Securing Your Journey to the Cloud

one site fits all
Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken

Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken

Anfang 2015 standen wir vor einer paradoxen Situation: Keine der vorherrschenden Bedrohungen war neu – die Konzepte und Angriffe, die wir beobachten konnten, nutzten weit verbreitete cyberkriminelle Taktiken – und doch waren diese Bedrohungen enorm effektiv. Egal, wie gut sich Privatpersonen und Unternehmen durch grundlegende Sicherheitsmaßnahmen schützten: Es war einer der simpelsten blinden Flecken, von dem die Gefahr ausging. Denn wer hätte gedacht, dass Werbeanzeigen im Internet und auf mobilen Portalen, Transaktionen im Internet und selbst einfache Word-Dokumente so viel Ärger mit sich bringen könnten?


Angriffe über Onlinewerbung zerstören das Vertrauen in die „Lieferkette“

Blindes Vertrauen in Drittanbieter oder Dienstleister kann Anwender im Internet ernsthaft in Gefahr bringen. Cyberkriminelle nutzten infizierte Online-Werbeanzeigen („Bad Ads“), um die BEDEP-Malware zu injizieren, die sich automatisch selbst herunterlädt, sobald die Werbung angezeigt wird. Lenovo® lieferte beispielsweise seine Consumer-Laptops mit der vorinstallierten Software Superfish aus, einer visuellen Suchtechnologie, die Adware-Verhaltensweisen aufweist, und ließ damit indirekt sogenannte Man-in-the-Middle (MiTM)-Angriffe zu. Zeitgleich versteckten mobile Angreifer die Adware „MobiDash“ oder „MDash“ auf Google Play™, mit deren Hilfe sie Werbung anzeigen konnten, die die mobile Sicherheit der Anwender gefährdet.

Diese Angriffe nutzen Online-Werbesysteme und bringen Sicherheitslücken in der Lieferkette zum Vorschein. Das wiederum setzt Besucher Bedrohungen aus und kann den guten Ruf von Webadministratoren schädigen.

[Lesen Sie: Malvertising: Wenn Onlinewerbung zum Angriff bläst (engl.)]

So funktioniert Malvertising


Früher
Jetzt
Jetzt
Diagramm „So funktioniert Malvertising“

Jetzt
Diagramm „So funktioniert Malvertising“

Für Otto Normalverbraucher stellt das Malvertising (aus dem Englischen „malicious“ = bösartig und „advertising“ = Werbung) eine der gefährlichsten Internetbedrohungen dar. Denn mehr noch als andere Bedrohungen können Malvertisements Schaden anrichten, selbst wenn man als Nutzer alles richtig macht. Es kann Menschen treffen, die auf keine Links klicken, die alle Sicherheitspatches installiert haben und die nur vertrauenswürdige Websites besuchen. Anders gesagt: Es gibt keine Vorsichtsmaßnahme, die vor Malvertising schützt. Ob man verschont bleibt, ist reine Glückssache. – Christopher Budd (Global Threat Communications Manager)

Crypto-Ransomware dringt in das Unternehmen ein

Crypto-Ransomware nimmt ungebremst zu. Die Infektionsrate hat sich vom 1. Quartal 2014 (1.540) bis zum 1. Quartal 2015 (7.844) vervierfacht. Infektionen mit Crypto-Ransomware machten fast die Hälfte (49 %) aller Ransomware-Infektionen aus, die im vergangenen Quartal entdeckt wurden.


Zahl der Ransomware-Infektionen

Der Anstieg bei Ransomware-Infektionen wird sich sehr wahrscheinlich fortsetzen. Über Ransomware lässt sich aus Malware-Infektionen schnelles Geld machen. Im Vergleich zu einer Angriffsstrategie, bei der die Angreifer aus infizierten Computern ein Botnetz aufbauen, mit dessen Hilfe sie Bankdaten entwenden und letztendlich Geld von Bankkonten stehlen, lässt sich aus Ransomware-Infektionen schneller Gewinn schlagen. Im Durchschnitt fällt damit der Gewinn pro Malware-Infektion deutlich höher aus.
Jon Oliver (Senior Architecture Director)

Besonders häufig werden Arbeitsdateien blockiert, um Unternehmen zur Zahlung von Geldbeträgen zu zwingen. Bestimmte Varianten der Crypto-Ransomware arbeiten mit Routinen, die direkt auf Unternehmen abzielen. TorrentLocker, ein Imitat von CryptoFortress, kann Dateien in Netzwerk-Freigabeordnern verschlüsseln und weist damit ein Ressourcenfreigabeverhalten auf, das normalerweise in Unternehmensnetzwerken eingesetzt wird.

Die Variante Ransomweb (CRYPWEB) kann Websites und Webserver verschlüsseln. Obwohl wir ähnliche Routinen bereits im letzten Jahr beobachten konnten, rücken Unternehmen mit dem Auftauchen dieser beiden neuen Varianten noch stärker ins Visier von Crypto-Ransomware.

Eine neue Crypto-Ransomware-Variante, CRYPAURA, ist in der Lage mehr als hundert Dateitypen verschlüsseln, während es Teslacrypt auf Online-Gamer abgesehen hat. Mithilfe des „Freemium“-Modells konnten Cyberkriminelle das Vertrauen der Gamer gewinnen, ehe sie zum Angriff übergingen.

[Lesen Sie: Crypto-Ransomware – Beobachtungen und Trends für das 1. Quartal 2015 (engl.)]

Angesichts des Anstiegs von Crypto-Ransomware-Infektionen und ihrer offensichtlichen Ausweitung auf Unternehmensziele, sollten Privatpersonen und Unternehmen ihre Backup-Systeme noch besser aufrüsten und darauf achten, dass ihre Dateien geschützt sind.

[Machen Sie unser Quiz: Wie würden Sie bei einem echten Datendesaster abschneiden? (engl.)]




Makro-Malware – Musterbeispiel für Bedrohungen von gestern vs. Anwender von heute

Gut gewusst ist halb gewonnen. Der kontinuierliche Anstieg von Makro-Malware lehrt die neuen Generationen, alte Bedrohungen unter die Lupe zu nehmen. Denn wer diese Bedrohungen nicht kennt, kann schnell zum Opfer werden. Mit Makros können sich wiederholende Aufgaben in Microsoft Office® automatisiert werden, um Zeit zu sparen. In Office 2003 sind diese Makros standardmäßig deaktiviert, um einen Missbrauch durch Malware zu verhindern.


Zahl der Infektionen mit Makro-Malware, Stand: 1. Quartal 2015

Beim Upgrade vom .DOC- auf das .DOCX-Format hat Microsoft die Implementierung von Makros in Office-Dokumenten zwar geändert, doch Makros sind nach wie vor ausführbar. In der Vergangenheit nutzten Cyberkriminelle Social-Engineering-Techniken, um Anwender zum Ausführen bösartiger Makros in Dokumenten zu bringen. Heute nutzen sie darüber hinaus Schwachstellen in Office, um das Makro auszuführen. – Numaan Huq (Senior Threat Researcher)

Damit die Malware wirksam wird, müssen Anwender die Makro-Funktion aktivieren. Im vergangenen Quartal nutzten Cyberkriminelle E-Mail-Anhänge und wiesen ihre nichts ahnenden Opfer an, Makros zu aktivieren, um diese Anhänge lesen zu können. Dadurch wurde der Download der Banking-Malware VAWTRAK initiiert. Der Trojaner BARTALEX verwendete außerdem Spam-Nachrichten und eingebettete Makros, um sich in den Systemen der Benutzer zu verbreiten.

Der Einsatz von Makros kann auch als Versuch der Bedrohungen betrachtet werden, herkömmliche Anti-Malware-Lösungen zu umgehen. Nicht selten sind die in diesen Bedrohungen eingesetzten Makros verschleiert, sodass sie Spam-Filter und -Scanner überlisten, da diese sich besser für die Erkennung ausführbarer Programme als für die Erkennung von Makros eignen. Auch Makros, die sich mithilfe von Batch-Dateien aktivieren lassen, sind schwer zu erkennen. Auch die Sandboxing-Technologie funktioniert möglicherweise aufgrund der Verschleierung nicht, oder weil die Anwender explizit aufgefordert werden, dem Öffnen des Makros zuzustimmen, und damit unwissentlich Malware auf ihrem System erlauben.


Die Sicherheitslücke FREAK macht das Problem fehlender Sicherheitspatches deutlich

FREAK folgte den berühmten Schwachstellen des vergangenen Jahres, Shellshock, Heartbleed und POODLE. Die Schwachstelle FREAK betrifft das Authentifizierungsprotokoll TLS/SSL (Transport Layer Security/Secure Sockets Layer), das von zahllosen Websites und Browsern genutzt wird, einschließlich etwa 10 % der Top-Domains sowie von den Webbrowsern Android und Safari. Der von den Factoring RSA Export Keys (FREAK) entdeckte und nach ihnen benannte Bug zwingt sichere Verbindungen dazu, eine schwächere Verschlüsselung zu nutzen, und ermöglicht damit Cyberkriminellen das Entschlüsseln sensibler Daten.

Die Tatsache, dass FREAK seit Jahrzehnten existiert und Code verwendet, der bereits vor Jahren geschrieben wurde, macht das Thema Offenlegung von Schwachstellen brandaktuell. Dadurch, dass keine direkte Verantwortlichkeit für das Patchen dieser Schwachstellen besteht, ist es für IT-Administratoren schwerer, Risiken einzudämmen. Derartige Probleme schreien geradezu nach Lösungen von Drittanbietern, die Schwachstellen in bestehenden Systemen unabhängig und proaktiv untersuchen, um Schwachstellen zeitnah abzuschirmen und deren Ausnutzung zu verhindern.

[Lesen Sie: Zeitloser Schutz: nicht nur für Zero-Day-Angriffe und altbekannte Sicherheitslücken (engl.)]

Im vergangenen Quartal feierte auch Ghost sein Debüt, eine Pufferüberlauf-Schwachstelle im Linux-Betriebssystem. Obwohl diese Sicherheitslücke zunächst für eine ernste Gefahr gehalten wurde, ist sie mittlerweile gepatcht, sodass die Angriffsfläche nur noch sehr klein ist.


Die größten Schwachstellen in Webanwendungen, die im 1. Quartal 2015 gefunden wurden



BEWERTUNG DES SCHWEREGRADS:

  • Veröffentlichung interner IP-Adressen
    Kann Informationen über das Vergabeschema interner Netzwerk-IP-Adressen offenlegen

    Schweregrad:
    NIEDRIG
  • Offenlegung lokaler Pfade
    Kann Angreifern einen Hinweis zu Webroot-Ordnern usw. geben, mit dem sie individuelle Angriffe erstellen können

    Schweregrad:
    NIEDRIG
  • Offenlegung von eingebundenen Datei-Quellcodes
    Ermöglicht Angreifern, auf sensible Informationen zur Anwendungslogik in Quellcodes zuzugreifen und diese zu missbrauchen

    Schweregrad:
    NIEDRIG
  • Verzeichnisindizierung
    Betrifft Webserver, die beim Zugriff durch User-Agents die Indexseite ihres virtuellen Verzeichnisses/Unterverzeichnisses anzeigen

    Schweregrad:
    MITTEL
  • Detaillierte Fehlermeldungen von Anwendungen
    Ermöglicht Angreifern den Zugriff auf sensible Daten, darunter die interne Webanwendungslogik

    Schweregrad:
    MITTEL
  • Übertragung sensibler Formulardaten ohne Secure Sockets Layer (SSL)
    Ermöglicht Angreifern, auf sensible Daten zuzugreifen, die über Anwendungen ohne SSL-Verschlüsselung übertragen werden

    Schweregrad:
    MITTEL
  • Nicht persistentes Cross-Site-Scripting (XSS)
    Angreifer können bösartige Skripts (in der Regel auf Client-Seite) in Webanwendungen einschleusen

    Schweregrad:
    HOCH
  • Path Traversal
    Nutzt unzureichende Sicherheitsvalidierungen in Webanwendungen aus; auch bekannt unter der Bezeichnung „Dot Dot Slash“ oder „Directory Traversal“-Angriff

    Schweregrad:
    HOCH
  • Erkennung potenziell sensibler Ressourcen
    Angreifer können auf Informationen zu Ressourcen zugreifen, die möglicherweise mit der Struktur von Anwendungen verknüpft sind (alte Backups, Serverkonfiguration, Server-/Datenbankprotokolle, Datenbankkonfiguration usw.)

    Schweregrad:
    HOCH
  • SQL Injection
    Ernsthafte Bedrohung für alle datenbankbasierten Webanwendungen

    Schweregrad:
    KRITISCH






iOS-Geräte und Gesundheitswesen im Mittelpunkt aktueller Cyberangriffe und Datenlecks

Im vergangenen Quartal konnten wir im Bereich der gezielten Angriffe und Datenlecks zwei auffallende Trends beobachten: Gesundheitsorganisationen wurden gezielt angegriffen und iOS™-Geräte wurden als Angriffsvektoren eingesetzt.

Den Angreifern, die die Krankenversicherer Anthem und Premera Blue Cross ins Visier nahmen, war nicht entgangen, wie wertvoll Gesundheitsdaten sind. Die Angreifer entwendeten die Namen, E-Mail-Adressen und weitere persönliche Daten von Millionen von Kunden und Patienten der beiden Krankenkassen.


Zeitleiste bekannter Datenlecks im Gesundheitswesen

Ort

Anthem

Land: USA
Entwendete Datensätze: 80 Millionen
Art der entwendeten Informationen: Namen, Geburtsdaten, Mitgliedsnummern, Sozialversicherungsnummern, Adressen, Telefonnummern, E-Mail-Adressen, Beschäftigungsdaten


Premera Blue Cross

Land: USA
*entdeckt im Januar 2015, möglicherweise aber schon im Mai 2014 aufgetreten
Entwendete Datensätze: 11 Millionen
Art der entwendeten Informationen: Namen, Geburtsdaten, E-Mail-Adressen, Adressen, Telefonnummern, Sozialversicherungsnummern, Mitgliedsnummern, Kontodaten, Informationen zu Versicherungsansprüchen, klinische Informationen

2015
Ort

Community Health Systems

Land: USA
Entwendete Datensätze: 4,5 Millionen
Art der entwendeten Informationen: Patientendaten, Namen, Adressen, Sozialversicherungsnummern aus fünf Jahren

2014
Ort

Advocate Medical Group

Land: USA
Entwendete Datensätze: 4 Millionen
Art der entwendeten Informationen: Namen, Adressen, Geburtsdaten, Sozialversicherungsnummern

2013
Ort

National Health Service (NHS)

Land: Vereinigtes Königreich
Entwendete Datensätze: 8,3 Millionen
Art der entwendeten Informationen: Unverschlüsselte Patientendaten

2011
Ort

Virginia Department of Health

Land: USA
Entwendete Datensätze: 8,3 Millionen
Art der entwendeten Informationen: Patientendaten, Rezepte

2009

Millionen von iOS-Geräten mit iOS 7 waren ebenfalls Risiken durch Apps ausgesetzt, die im Rahmen der Angriffskampagne Operation Pawn Storm eingesetzt wurden. Forscher fanden zwei Spyware-Apps, die mit iOS 7 kompatibel sind und infizierte Geräte zum Ausspähen missbrauchen. Betroffen waren sowohl Geräte, auf denen ein Jailbreak durchgeführt wurde, als auch Geräte ohne Jailbreak, da diese Apps via unternehmenseigener Bereitstellung heruntergeladen werden können.

Im gleichen Zeitraum wurde festgestellt, dass Operation Woolen Goldfish, eine auch im letzten Quartal aktive, politisch motivierte Kampagne, eine Reihe öffentlicher und privater israelischer und europäischer Organisationen mithilfe einer bösartigen Datei in Microsoft OneDrive® angegriffen hatte. Operation Woolen Goldfish ist eine von zwei Kampagnen, die von der cyberkriminellen Gruppe Rocket Kitten durchgeführt wurde. Die andere ist die Malware-Kampagne GHOLE.

Auch Händler bleiben im Visier von Cyberangriffen, da Point-of-Sale-Malware (PoS) weiterhin auf dem Vormarsch ist. Die von einem einzelnen Angreifer gestartete PoS-Malware-Kampagne FighterPOS entwendete zwischen Ende Februar bis Anfang April 2015 mehr als 22.000 Kreditkartennummern.

Währenddessen fand man heraus, dass die relativ alte, aber erst kürzlich entdeckte PwnPOS-Malware, die vermutlich schon seit 2013 im Umlauf ist, einen RAM-Scraper nutzte, um nach Daten zu suchen und sich mit SMTP zu verbinden, um wertvolle Daten zu stehlen.


Wenn es um Datendiebstahl geht, sind Gesundheitsdaten sozusagen der Heilige Gral. Gestohlene Kreditkartendaten beispielsweise können nur so lange profitabel genutzt werden, bis die entsprechende Kredit- oder Debitkarte gesperrt wird. Wie aber lassen sich Sozialversicherungsnummern „sperren“? Die Antwort lautet: gar nicht. Gesundheitsdaten können mehr als einmal für finanzielle Betrügereien verwendet werden, da die Kriminellen im Namen der Opfer ein Konto nach dem anderen eröffnen können. Dabei spielt nicht nur der Name eine Rolle: Gesundheitsdaten enthalten genügend Informationen, um den Identitätsdiebstahl zu vereinfachen – und zwar nicht nur in Bezug auf die Identität des Opfers, sondern auch seiner Angehörigen, wie Ehepartner oder Kinder. Erpressung ist ein weiterer Bereich, in dem sich traditionelle verbrecherische Taktiken zur Cyberkriminalität hin verlagern. – Christopher Budd (Global Threat Communications Manager)

Neue und weiterentwickelte Exploit-Kits sind im Internet weit verbreitet

Exploit-Kits, berüchtigt für ihre Fähigkeit, webbasierte Angriffe wirksam zu starten, gibt es bereits seit 2006. Seitdem haben sie sich weiterentwickelt und ihre Routinen an neue Technologien angepasst. Auf dem Schwarzmarkt werden Exploit-Kits als praktische Internetbedrohungsprogramme für „unterwegs“ angeboten.

Im Vergleich zum Vorjahresquartal stellten wir bei Angriffen, die Exploit-Kits nutzen, einen Anstieg von 30 % fest. Bei den meisten dieser Angriffe waren Java™, Adobe® und Internet Explorer die am häufigsten ausgenutzten Anwendungen.

Gleichzeitig wurde ein deutlicher Einbruch bei der Zahl neu veröffentlichter Exploit-Kits festgestellt. Trotzdem belegt die weit verbreitete Nutzung alter und raffiniert ausgeklügelter Exploit-Kits, dass Internetnutzer auch im weiteren Verlauf des Jahres und darüber hinaus mit entsprechenden Infektionen rechnen müssen.

Die Bedrohungsanalysten Brooks Li und Joseph Chen identifizierten außerdem ein erschreckendes Muster: „Zero-Day-Exploits werden mittlerweile direkt in bösartigen Werbeanzeigen eingesetzt, anstatt erst in gezielten Angriffen auf Unternehmen oder andere große Organisationen.“

[Lesen Sie: Exploit-Kits und Malvertising: Eine gefährliche Kombination (engl.)]


Die am schwersten von Exploit-Kit-Angriffen betroffenen Länder


Es überrascht nicht, dass Exploit-Kit-Angriffe auch nach Aufdeckung des berüchtigten Blackhole Exploit-Kits (BHEK) Ende 2013 nach wie vor zunehmen. Die Kombination aus Malvertising und Exploit-Kits ist einer der Hauptgründe für diese Zunahme. Mithilfe der kombinierten Techniken können Angreifer die Computer von Besuchern beliebter Websites wie YouTube kapern und sich Werbenetzwerke zunutze machen, um sich zu verstecken. – Joseph Chen (Threat Analyst)

Kritische Sicherheitslücken in Webanwendungen sind erstklassige Eintrittspunkte

Ähnlich den Sicherheitslücken auf Clients und Server müssen Schwachstellen in Webanwendungen gepatcht werden, da sie Angreifern mögliche Eintrittspunkte bieten. Diese Anwendungen können geschäftsrelevante Daten verarbeiten und in einer Backend-Datenbank speichern, die unter Umständen Sicherheitslücken aufweist.

Unternehmen sind anfällig für Angriffe, die Sicherheitslücken in der beliebten PHP-Plattform ausnutzen und fast alle mit serverbezogenen Schwachstellen verbunden sind. Schwachstellen dieser Art werden als hoch bis kritisch eingestuft und wurden in den letzten Versionen des Programms gepatcht.

Viele Webanwendungen sind extrem anfällig für nicht persistentes Cross-Site-Scripting (XSS) (PDF/engl.), eine ernste Sicherheitslücke, bei der Anwender lediglich eingebettete URLs besuchen müssen, damit die Angreifer auf persönliche Benutzerkonten zugreifen können. Zu den weiteren kritischen Sicherheitslücken in Webanwendungen gehören SQL Injection-Angriffe, die bösartige SQL-Anweisungen senden, um sich Zugang zu Websites zu verschaffen, und OS Commanding-Angriffe, die Befehle auf Systemebene ausführen.


BEDROHUNGSLANDSCHAFT

Das Trend Micro Smart Protection Network™ wehrte allein im 1. Quartal 2015 über 14 Milliarden oder genauer gesagt insgesamt 14.006.002.252 Bedrohungen ab.

Gesamtzahl der abgewehrten Bedrohungen

1. Quartal 2015

Erkennungsrate (Zahl der pro Sekunde abgewehrten Bedrohungen)

1. Quartal 2015

Unter diesen Bedrohungen waren SALITY (85.000), DOWNAD/CONFICKER (83.000) und KRYPTIK (71.000) die drei führenden Malware-Familien. SALITY-Varianten sind bekannt dafür, mithilfe von infizierten .EXE- und .SCR-Dateien Routinen ernsthaft zu beschädigen. DOWNAD-/CONFICKER-Varianten sind bekannt dafür, Sicherheitslücken hartnäckig auszunutzen und sich schnell zu verbreiten. KRYPTIK-Varianten sind Trojaner, die neuerdings während der Steuersaison auf Jagd gehen.

   

Die gängigsten Malware-Familien

*basierend auf der Erkennung auf PCs

Mittlerweile gibt es insgesamt 5.395.718 oder knapp 5,4 Millionen bösartige und hochriskante Apps. Das entspricht einem Anstieg von 27 % im Vergleich zum 4. Quartal 2014 (4,3 Millionen). Bei knapp der Hälfte handelt es sich um Adware-Apps, die Werbeinhalte anzeigen, und zwar in der Regel ohne das Einverständnis des Gerätenutzers.


VOLLSTÄNDIGEN BERICHT HERUNTERLADEN (PDF)