Trend Micro - Securing Your Journey to the Cloud

one site fits all
Gefahr im Verzug: Aktuelle Schwachstellen bilden den Auftakt für bevorstehende Angriffe

Gefahr im Verzug: Aktuelle Schwachstellen gehen bevorstehenden Angriffen voraus

Katastrophen, ob von Menschen verschuldet oder mit natürlicher Ursache, treten häufig ohne Vorwarnung ein. Krisensituationen lassen sich jedoch vermeiden, wenn die Anzeichen im Vorfeld erkannt werden. Trend Micro hat die relevantesten Sicherheitsvorfälle des letzten Quartals untersucht und sich darüber Gedanken gemacht, inwiefern diese auf bevorstehende größere Bedrohungen mit verheerenderen Folgen schließen lassen. Diese Bedrohungen lassen sich wie Wellen auf einem Seismograph betrachten: Ausschläge, die auf ein bevorstehendes Erdbeben hindeuten. Diese Bewegungen könnten in den nächsten Monaten durchaus Erschütterungen in der Sicherheitsbranche auslösen. Ist die IT-Industrie auf diese Szenarien entsprechend vorbereitet?

Öffentlich gemachte Informationen aus Datenlecks boten Zündstoff für Erpressungen und weitere Angriffe

Im 3. Quartal 2015 wurde das Worst-Case-Sicherheitsszenario zur Realität: Informationen aus Datenlecks wurden für weitere Angriffe wie beispielsweise Erpressung genutzt.

[Lesen Sie: Weitere Zero-Day-Lücken in Adobe Flash Player tauchen auf]

Der Angriff gegen das Hacking Team, von dem bereits im Juli berichtet wurde, ist ein Beispiel eines solchen Szenarios. Die 400 GB gestohlener Daten führten zur Entdeckung von fünf wichtigen Zero-Day-Schwachstellen sowie Spionage-Tools für iOS und Android. Einige dieser Schwachstellen wurden dann in Angriffen des Exploit-Kits „Angler“ in Japan und Korea sowie beim Angriff auf die Websites der Regierungen von Taiwan und Hongkong genutzt.

Trend Micros Sicherheitsforscher gehen davon aus, dass künftig weitere dieser Kettenreaktionsangriffe zu erwarten sind. Größere und besser geschützte Unternehmen könnten Opfer von Dateneinbrüchen werden, sollte es Angreifern gelingt, Daten von kleineren, weniger geschützten Unternehmenspartnern zu entwenden. Auch die persönlichen Daten von Verbrauchern sind gefährdet, solange Unternehmen aufgrund fortschreitender lateraler Angriffe Einbrüchen zum Opfer fallen.

[Lesen Sie: Hacking Team Flash Zero-Day bei früheren Angriffen in Korea und Japan]

Organisationen und Unternehmen müssen der Sicherheit jetzt noch höhere Priorität einräumen und sich auf unvermeidbare Versuche, unrechtmäßig Daten abzuziehen, einstellen.


Das Internet ist immer häufiger Schauplatz für Straftaten. Die geschilderten Vorkommnisse waren keine Einzelfälle. Unternehmen müssen deshalb ihre Incident Response-Pläne darauf einstellen, drohende Angriffe der zweiten Phase abzuwehren – unabhängig davon, ob es sich dabei um Sekundärinfektionen handelt oder um die Nutzung gestohlener Daten für weitere Angriffe oder Erpressung der jeweiligen Nutzer-Communities. Die Unterbindung von Eindringversuchen wird zum Hauptziel von Incident Response, um die Zeitspanne, die Angreifer im Unternehmensnetzwerk verbringen, möglichst zu begrenzen. Es ist entscheidend, die Möglichkeit eines Angreifers auf Hosts zu verweilen, zu unterbrechen, um ihn wirksam an der Ausführung von Sekundärinfektionen zu hindern. Virtuelle Abschirmung, Integration von Breach Detection-Systemen mit SIEMs und die Überwachung der Dateiintegrität werden zu wesentlichen Instrumenten für die Eindämmung von Angriffen im Jahr 2016 sein. - Tom Kellermann, Chief Cybersecurity Officer

Neue Angriffe bestätigten bestehende iOS- und Android-Probleme

Das 3. Quartal 2015 war kein gutes für etablierte Mobilplattformen. In diesen Monaten wurden nicht nur wichtige Schwachstellen auf Android, sondern auch auf der iOS-Plattform von Apple bekannt. Diese neu entdeckten Sicherheitslücken führten dazu, dass zum ersten Mal beide Plattformen als ernsthalt kompromittiert eingestuft wurden.

[Lesen Sie: Lücke, die Android-Geräte zum Stillstand bringt]

Ort

Stagefright-Sicherheitslücke (CVE2015-3824)

Gemeldet im: Juli
Plattform: Android
Auswirkung: Betraf 94,1 % aller Android-Geräte
Beschreibung: Führt möglicherweise zu Malware-Installation durch MMS, eine bösartige App oder eine speziell verfasste URL.

ANDROID-21296336 Sicherheitslücke

Gemeldet im: Juli
Plattform: Android
Auswirkung: Betraf 50 % aller Android-Geräte
Beschreibung: Schaltete Geräte auf nicht empfangsbereit/stumm

Juli 2015
Ort

CVE-2015-3823 Sicherheitslücke

Gemeldet im: August
Plattform: Android
Auswirkung: Betraf 89 % aller Android-Geräte
Beschreibung: Mögliche Ausführung von willkürlichem Code und Neustart-Endlosschleifen

CVE-2015-3842 (AudioEffect-Sicherheitslücke)

Gemeldet im: August
Plattform: Android
Auswirkung: Betroffene Versionen 2.3 bis 5.1.1
Beschreibung: Mögliche Ausführung von willkürlichem Code

August 2015
Ort

Quicksand-Sicherheitslücke

Gemeldet im: August
Plattform: iOS
Beschreibung: Möglicher Datenverlust

August 2015
Ort

Entdeckung bösartiger Entwicklungstools (Xcode und Unity)

Gemeldet im: September
Plattform: iOS
Beschreibung: Führt zur Veröffentlichung bösartiger Apps im offiziellen App Store von Apple

AirDrop-Sicherheitslücke

Gemeldet im: September
Plattform: iOS
Beschreibung: Führt zur Malware-Installation durch Nahfunkdienst

September 2015

[Lesen Sie: StageFright: Angriffe nicht nur über MMS]

Alle aufgeführten Android-Sicherheitslücken betreffen Mediaserver, den Android-Dienst zum Öffnen und Anzeigen digitaler Medien (Bilder, Audio- und Videodateien) auf der Plattform. Trend Micro-Sicherheitsforscher stufen Mediaserver als eine Brutstätte für Sicherheitslücken dieses Schweregrads ein und warnen, dass in Zukunft wohl noch weitere entdeckt werden. Google hat inzwischen angekündigt, einen regelmäßigeren Patch-Aktualisierungsprozess aufzusetzen, um Sicherheitslücken effizienter zu beheben.

[Lesen Sie: Fehler in Android Media Server lässt Geräte endlos booten]

Es ist absehbar, dass Android-Sicherheitslücken nach wie vor ein hartnäckiges Problem bleiben werden. Gleichzeitig zeigen die Erkenntnisse über iOS im 3. Quartal, dass die Plattform offen ist für zukünftige Angriffe mit schwerwiegenderen Folgen.


Der steigende Marktanteil von Apple im Bereich Telefonie verleitet Angreifer dazu, sich bei der Entwicklung ihrer Exploits zukünftig mehr auf iOS-Apps zu konzentrieren. Die strengen Sicherheitsrichtlinien von Apple zur Veröffentlichung von iOS-Apps veranlassen sie jedoch dazu, noch raffiniertere Tricks wie die Infektion über Entwicklertools und -bibliotheken einzusetzen, um ihre bösartigen Pläne erfolgreich umzusetzen. In Zukunft wird es daher zunehmend mehr wie von Geisterhand gesteuerte Bedrohungen geben. Darüber hinaus werden Angreifer möglicherweise dazu übergehen, Zertifikate und APIs (Application Programming Interfaces) zu missbrauchen, um iOS-Malware zu verbreiten. Folglich wird sich Apple auf Dauer gezwungen sehen, die Richtlinien zur App-Veröffentlichung zu verschärfen.– Ju Zhu, Sicherheitsforscher für mobile Bedrohungen

Shotgun-Ansatz für PoS-Malware-Angriffe betraf zunehmend KMUs

Kleine und mittelständische Unternehmen waren im 3. Quartal 2015 stark betroffen, da PoS (Point-of-Sale)-Malware-Angriffe mit Methoden durchgeführt wurden, die sich pauschal gegen eine große Anzahl potenzieller Ziele richteten – in der Hoffnung, ein oder zwei wirklich erwünschte Ziele tatsächlich zu treffen.

[Lesen Sie: New GamaPOS threat spreads in the US via Andromeda Botnet; Spreads in 13 States]

Diese Taktik zeigte sich im Juli in einer Botnet-betriebenen Andromeda Spam-Kampagne, die eine GamaPOS-Variante installierte. Die Spam-Nachrichten wurden auch willkürlich an Ziele gesendet in der Hoffnung, auf diese Weise zufällig PoS-Geräte zu infizieren. Angreifer nutzten dann das Exploit-Kit „Angler“, um PoS-Systeme zu suchen und zu infizieren. Mithilfe von Malvertisements und infizierten Websites gelang es den Angreifern, 40 % mehr PoS-Systeme zu entdecken als im letzten Quartal.

Im September schickten Angreifer Spam-Nachrichten mit Kasidet/Neutrino-Varianten, die über PoS RAM-Scraping-Funktionen verfügten. Kasidet-Entdeckungen machten 12 % der Gesamtanzahl von PoS-Malware-Entdeckungen im 3. Quartal aus.

Die Tatsache, dass KMUs anhaltend von diesen Angriffen betroffen sind, ist durch den Wechsel größerer Unternehmen zu verbesserten Sicherheitstechnologien zu erklären. Hierdurch werden kleine und mittelständische Unternehmen mit schwächeren Sicherheitsmaßnahmen zu einem leichteren und verlockenden Ziel. Diese Tatsache in Kombination mit der nur langsam voranschreitenden Implementierung von EMV/Chip-und-Pin-Zahlungssystemen lässt darauf schließen, dass in Zukunft noch mehr KMUs Opfer von PoS-Malware werden.


PoS-Malware, die sich gegen kleine und mittelständische Unternehmen richtet, ist nichts Neues. Tatsächlich berichtete Trend Micro bereits seit einiger Zeit über dieses Thema. Neu ist allerdings, dass Cyberkriminelle von gezielten Angriffen zu herkömmlichen Masseninfektionsmethoden wie Spam, Botnetzen und Exploit-Kits übergehen.

Nach wie vor unverändert bleibt die Tatsache, dass diese Malware eine Bedrohung für den Normalverbraucher darstellt, der Zahlungen über Kreditkarte tätigt. Ein breiteres Netz ist eine riskante Strategie, da die Malware zum einen schnell erkannt und neutralisiert wird, zum anderen aber mit hoher Sicherheit auch neue Opfer trifft. Nach einem derartigen „Treffer“ und dem erfolgreichen Abfluss von Daten führen die Cyberkriminellen dann möglicherweise eine gezieltere Kampagne gegen das jeweilige Opfer durch. – Numaan Huq, Senior Threat Researcher

Politische Persönlichkeiten: Bevorzugte Ziele von Cyber-Spionage

Die Pawn Storm-Kampagne baute ihre Operationen dieses Quartal durch Angriffe auf das Militär eines NATO-Landes und eine US-Verteidigungsorganisation aus. Darüber hinaus erweiterte die Kampagne ihre Ziele auf politische Persönlichkeiten in Russland, wie Aktivisten, Medienstars und Diplomaten. Auch der CEO eines lokalen Verschlüsselungsunternehmens sowie ein Mail-Entwickler von mail.ru wurden ins Visier genommen.

[Lesen Sie: Pawn Storm zielt auf das MH17-Untersuchungsteam]

Auch wurden Angriffe von Rocket Kitten aufgedeckt. Sierichteten sich gegen eine Dozentin für Linguistik und vorislamische iranische Kultur, die Sicherheitsforscher bei einem Bericht zum Thamar Reservoir unterstützte. Die Angreifer zielten mit ihrer Kampagne darüber hinaus auf Sicherheitsexperten, insbesondere auf einen ClearSky-Forscher.

Ziele der Pawn Storm-Kampagne

Politiker in Russland und den USA sind seit 2011 Ziele der andauernden Pawn Storm-Kampagne.


Ziele von Rocket Kitten im März und September 2015

Typische Opfer von Rocket Kitten waren Mitarbeiter im diplomatischen Dienst oder im Bereich internationale Angelegenheiten sowie Politikwissenschaftler aus dem Nahen Osten.


Angler: Noch immer das am häufigsten verwendete Exploit-Kit

Das Exploit-Kit "Angler" wurde Anfang Juli durch die Zero-Day-Schwachstelle ergänzt, die im Hacking Team-Datenleck entdeckt wurde. Damit baut Angler seinen Ruf als aggressivstes Exploit-Kit in Bezug auf Integration von Schwachstellen aus.

[Lesen Sie: Angler und Nuclear Exploit Kits integrieren Pawn Storm Flash Exploit]


Anzahl der in Angler integrierten Exploits nach Quartal

Verschiedene Exploit-Kits (HanJuan, SweetOrange und Fiesta) zeigten in diesem Quartal keinerlei Aktivitäten.


Außer zu PoS-Malware-Infektionszwecken wurde Angler in einer massiven Malvertising-Kampagne in Japan genutzt, der im vergangenen September 3000 renommierte Websites zum Opfer fielen.

Im September wurde das Exploit-Kit außerdem von Angreifern verwendet, um den Schlüsselaustausch des Diffie-Hellman-Protokolls dafür zu missbrauchen, ihren Netzwerkverkehr zu verstecken.


Internetfähige Geräte: Geplagt von Sicherheitsproblemen

Untersuchungen unter Einsatz des Überwachungssystems „Gaspot“ lieferten Erkenntnisse darüber, wie Angreifer die öffentliche Sicherheit durch Hijacking von Benzintanks und Manipulation deren Eigenschaften bedrohen können. Weitere Nachforschungen mithilfe von SHODAN ergaben außerdem, dass ähnliche, öffentliche Versorgungseinrichtungen wie Heizsysteme, Überwachungssysteme und Kraftwerke ebenso unsicher sind.

Sicherheitsforscher Charlie Miller und Chris Valasek konnten belegen, dass sogar Remote-Hacks von Autos möglich sind. Sie zeigten dies am Beispiel eines Jeep Cherokee, dessen Motor, Bremsen und andere Systeme sie aus der Ferne fremdsteuerten – hierzu benötigten sie einfach nur die öffentliche IP-Adresse des Fahrzeugs.


Bedrohungslandschaft

Das Trend Micro Smart Protection Network™ hat im vergangenen Quartal über 12 Milliarden Bedrohungen abgewehrt und setzt damit den Trend eines Rückgangs der insgesamt gemeldeten Bedrohungen von 20 % seit 2012 weiter fort. Die Ursache hierfür liegt möglicherweise darin, dass Cyberkriminelle es noch immer vorziehen, ihre Angriffe gegen gut ausgewählte Opfer (in der Regel KMUs und Großunternehmen) zu richten, um bessere Resultate zu erzielen.

Gesamtzahl der abgewehrten Bedrohungen

Q3 2015

Erkennungsrate (Zahl der pro Sekunde abgewehrten Bedrohungen)

Q3 2015

Unter diesen Bedrohungen waren SALITY (81.000), DOWNAD/CONFICKER (71.000) und BARTALEX (48.000) die drei führenden Malware-Familien. SALITY-Varianten sind für ihre schädigenden Routinen bekannt, zu denen unter anderem die Verbreitung infizierter .EXE- und .SCR-Dateien gehört. DOWNAD-/CONFICKER-Varianten sind dafür berüchtigt, Sicherheitslücken immer wieder auszunutzen und sich schnell zu verbreiten. DOWNAD zählt noch immer – selbst sieben Jahre nach dem ersten Auftreten – zur Liste führender Malware. Grund hierfür ist möglicherweise die Tatsache, dass Anwender (meistens Unternehmen) noch immer alte und nicht mehr unterstützte Windows-Versionen wie XP nutzen, die für diese Schwachstelle anfällig sind.

BARTALEX kam dieses Quartal aufgrund makrobasierter Angriffe im Juli zur Liste führender Malware hinzu. BARTALEX verwendet normalerweise Microsoft Word®-Dateianhänge, die als UPATRE-Downloader fungieren.


Die gängigsten Malware-Familien

*basierend auf der Erkennung auf PCs


VOLLSTÄNDIGEN BERICHT HERUNTERLADEN (PDF/engl.)


Gefahr im Verzug: Aktuelle Schwachstellen bilden den Auftakt für bevorstehende Angriffe