Sonntag, April 20, 2014
Text Size
++++++  ARCHIV  ++++++  ARCHIV  ++++++  ARCHIV  ++++++  ARCHIV  ++++++  ARCHIV  ++++++
Alerts / Sicherheitswarnungen
Freitag, den 01. Oktober 2010 um 09:57 Uhr

F-Secure Labs: Fragen und Antworten zu Stuxnet


- Die F-Secure Labs berichten im eigenen Weblog über die wichtigsten Fragen zum Stuxent Wurm - natürlich mit den entsprechenden Antworten -

Stuxnet bleibt seit einiger Zeit ein sehr heisses Thema in den Medien. Die F-Secure Labs haben einige der diesbezüglich am Häufigsten gestellten Fragen zusammengefasst:

Frage: Was ist eigentlich Stuxnet?

Antwort: Stuxent ist ein Windows Wurm, der sich über USB Sticks verbreitet. Wenn sich der Wurm einmal innerhalb eines Netzwerkes befindet, dann verbeitet er sich (mittels Selbstkopie) zudem über gemeinsame Netzwerklaufwerke, die nur schwache Passwörter besitzen.


Frage: Kann sich der Wurm nur über USB Sticks oder auch über andere Wechselmedien verbreiten?

Antwort: Der Wurm kann sich über alles verbreiten, was man an einen Rechner als Laufwerk anschliessen kann - wie bspw. ein externes USB Laufwerk, ein Mobiltelefon, einen digitalen Bilderrahmen etc...


Frage: Was macht der Wurm, wenn er sich auf einem Rechner/System befindet?

Antwort: Er infiziert das System, versteckt sich selbst mittels eines Rootkits und überprüft, ob der infizierte Rechner mit dem Siemens Simatic (Step7) Industriesystem verbunden ist.


Frage: Was passiert durch Stuxnet mit dem Simatic System?

Antwort: Stuxnet modifiziert die Befehle, die vom Windows Computer an ein PLC (PLC sind grob gesagt Minicomputer, die sich direkt auf einer Steuerungsanlage befinden und über den Rechner mit dem Simatic System verwaltet werden) gesendet werden. Wenn der Wurm auf einen PLC gelangt, dann sucht er nach einer speziellen industriellen Ausstattung. Findet Stuxnet diese spezielle Ausstattung nicht, dann wird er auch nicht weiter aktiv.

F_Secure_simatic_stuxnet


Frage: Nach welchen speziellen Industrieanlagen / industriellen Umgebungen hält denn der Wurm Ausschau?

Antwort: Das ist nicht näher bekannt.


Frage: Hat der Wurm die speziellen Industrieanlagen, nach denen er Ausschau halten soll, bereits gefunden?

Antwort: Auch hierüber ist nichts bekannt.


Frage: Was würde Stuxnet machen, wenn er eine solche spezielle Industrieanlage gefunden hätte?

Antwort: Stuxnet würde sehr komplexe Veränderungen am System vornehmen. Die Auswirkungen dieser Veränderungen können nicht prognostiziert werden, da diese spezielle Industrieumgebung nicht bekannt ist. Entsprechend kann man hier nur spekulieren.


Frage: Nur theoretisch - was könnte passieren?

Antwort: Stuxnet könnte Motoren überhitzen, Förderbänder anhalten oder Pumpen abschalten. Er könnte eine ganze Fabrik deaktivieren. Mit den richtigen Einstellungen kann Stuxnet auch Dinge zum Explodieren bringen.


Frage: Warum wird die Stuxent Programmierung als sehr komplex angesehen?

Antwort: Stuxnet nutzt gleichzeitig mehrere Schwachstellen für die Infektion eines Systems aus und nutzt zudem seine eigenen Treiber auf einem infizierten System.


Frage: Wie kann Stuxnet einen eigenen Treiber installieren? Müssen solche Treiber-Dateien nicht bei Microsoft Betriebssystemen signiert sein, damit bei der Installation keine Frage an den Nutzer auf dem Bildschirm erscheint, ob dieser einen unsignierten Treiber installieren will?

Antwort: Der Stuxnet Treiber wurde mit gestohlenen Zertifikaten der Realtek Semiconductor Corporation signiert.


Frage: Wurde das gestohlene Zertifikat mittlerweile gesperrt?

Antwort: Ja. Verisign hat das gestohlene Zertifikat am 16. Juli 2010 für ungültig erklärt. Es ist aber bereits eine modifizierte Variante von Stuxnet mit einem ebenfalls gestohlenen Zertifikat von der JMicron Technology Corporation am 17. Juli 2010 aufgetaucht.


Frage: Warum genau diese beiden Unternehmen? Gibt es Verbindungen zwischen diesen Unternehmen?

Antwort: Eigentlich nicht. Ausser, dass die Firmenhauptsitze dieser beiden Unternehmen im selben Bürogebiet in Taiwan liegen.


Frage: Welche Schwachstellen nutzt Stuxnet für die Infektion von Systemen aus?

Antwort: Insgesamt nutzt Stuxnet fünf Schwachstellen aus, von denen vier lange Zeit als Zero-Day Exploits galten:
  • LNK (MS10-046)
  • Print Spooler (MS10-061)
  • Server Service (MS08-067)
  • Ausnutzung von Nutzer-Privilegien über die Tastatur-Layout Datei
  • Ausnutzung von Nutzer-Privilegien über den Aufgaben-Zeitplaner


Frage: Wurde diese Schwachstellen mittlerweile alle von Microsoft behoben?

Antwort: Bis auf die beiden "Ausnutzung von Privilegien" Schwachstellen schon.


Frage: Warum hat es so lange gedauert, bis Stuxnet im Detail analysiert werden konnte?

Antwort: Stuxnet ist wirklich sehr komplex und zudem noch ungewöhnlich groß (über 1,5 MB).


Frage: Wann konnten die ersten Stuxnet Infektionen beobachtet werden?

Antwort: Man vermutet mittlerweile, dass die ersten Infektionen bereits im Juni 2009 stattgefunden haben. Eine der Komponenten von STuxnet wurde beispielsweise schon im Januar 2009 kompiliert.


Frage: Und wann wurde der Wurm erstmals entdeckt?

Antwort: Ungefähr ein Jahr später - im Juni 2010.


Frage: Warum hat dies so lange gedauert?

Antwort: Gute Frage.... (Anmerkung: Großflächig angelegte Attacken im Internet werden sehr schnell entdeckt und entsprechent analysiert / bekämpft. Sehr zielgerichtete Attacken auf spezifische, abgeschlossene Systeme können deutlich länger unendeckt bleiben - wie Stuxnet eindrucksvoll zeigt)


Frage: Wurde Stuxnet von einer Regierung in Auftrag gegeben?

Antwort: Wie es derzeit aussieht - Ja.


Frage: Wie können Regierungen so etwas komplexes wie Stuxnet erzeugen?

Antwort: (Schmunzel - das kann man sich bei einigen Regierungen wirklich fragen...). Nächste Frage.


Frage: War es Israel, Ägypten, Saudi Arabien, die USA, der Iran?

Antwort: Es ist nicht bekannt, welche Regierung Stuxnet in Auftrag / in Umlauf gebracht hat.


Frage: Stimmt es, dass ein biblisches Zitat im Stuxnet Code entdeckt wurde?

Antwort: Es gibt zumindet einen Hinweis auf Myrten (die Myrte Pflanze). Und dieser Hinweis ist im Code auch nicht versteckt. Es handelt sich eher um ein Artefakt während der Compilierung des Codes. Dies gibt einen Anhaltspunkt darüber, wo der/die Erschaffer von Stuxnet den Code auf ihrem System gespeichert haben. Die spezifische Pfadangabe innerhalb von Stuxnet lautet: \myrtus\src\objfre_w2k_x86\i386\guava.pdb. Die Autoren von Stuxnet wollten vielleicht gar nicht, dass bekannt wird, dass der Codename von Stuxnet "Myrte" war. Dank dieses Artefaktes wissen wir es aber. Solche Artefakte sind nicht selten bei Malware. Die "Operation Aurora" Attacke gegen Google wurde so getauft, weil der folgende Pfad innerhalb einer der Aurora Binaries gefunden wurde: \Aurora_Src\AuroraVNC\Avc\Release\AVC.pdb.


Frage: Warum wird der Verweis auf "Myrten" als biblische Referenz bezeichnet?

Antwort: Keine Ahnung - aber viele Medien fassen es so publikumswirksam auf.


Frage: Wie erkennt Stuxent, ob er schon einen Rechner infiziert hat?

Antwort: Stuxnet platziert einen Registrierungsschlüssel mit dem Wert "19790509" als Infektionsmarkierung.


Frage: Warum "19790509"?

Antwort: Es ist ein Datum - der 09. Mai 1979


Frage: Was passierte am 09. Mai 1979?

Antwort: Keine Ahnung. Vielleicht war es der Geburtstag einer der Autoren von Stuxnet. Und an diesem Tag wurde auch ein Jüdisch-Iranischer Geschäftsmann mit dem Namen Habib Elghanian im Iran wegen angeblicher Industriespionage für Israel exekutiert (und wieder Spekulationen).


Frage: Lässt dies nicht doch eine Schluss auf die Regierung zu, die hinter Stuxnet stehen könnte?

Antwort: Tatsache ist, dass derzeit niemand weiss, wer genau hinter der Stuxnet Attacke steckt. Entsprechend werden die Spekulationen in den Medien in alle Richtungen angeheizt. Die F-Secure Labs möchten sich an solchen irrwitzigen Spekulationen nicht beteiligen.


Frage: Gibt es eine Verbindung zwischen Stuxnet und Conficker?

Antwort: Möglicherweise. Conficker trat im Zeitraum November 2008 bis April 2009 auf. Die erste Variante von Stuxnet scheint kurz darauf in den Umlauf gekommen zu sein. Beide Schädlinge nutzen die MS08-067 Schwachstelle für ihre Verbeitung. Beide Schädlingen können sich über USB-Sticks und mit schwachen Paswörtern geschützte Netzlaufwerke verbreiten. Und beide Schädlinge sind sehr komplex, was auch eher selten bei Malware ist.


Frage: Gibt es auch Verbindungen zu anderen Malware-Arten?

Antwort: Einige Zlob Varianten waren die ersten Schädlinge, die die LNK Schwachstelle auszunutzen versuchten.


Frage: Eine Deaktivierung der AutoRun Funktion unter Windows kann den Wurm stoppen. Ist das richtig?

Antwort: Falsch. Es gibt verschiedene Verbreitungsmechanismen, die der Wurm nutzt. Mittels der LNK Schwachstelle kann ein Rechner auch infiziert werden, wenn AutoRun und AutoPlay unter Windows deaktiviert wurde.


Frage: Wird sich Stuxnet immer weiter verbreiten?

Antwort: Die aktuellen Stuxnet Versionen haben ein "Ablaufdatum" zum 24. Juni 2012 implementiert. Der Wurm wird sich nach diesem Datum nicht mehr weiterverbreiten.


Frage: Wie viele Computer wurden bis jetzt infiziert?

Antwort: Man geht von einigen Hundertausenden aus.


Frage: Siemens hat veröffentlicht, dass nur 15 Fabriken infiziert sind?

Antwort: Siemens spricht in diesem Zusammenhang von Fabriken. Die meisten der infizierten Maschinen sind Kollateral-Infektionen - z.B. normale Heim- und Bürorechner, die nicht in Verbindung mit SCADA Systemen stehen.


Frage: Wie konnte es den Angreifern gelingen, einen derart ausgereiften Trojaner in die Hochsicherheitssysteme von Fabriken einzuschleusen?

Antwort: Da ist schon möglich. Denken Sie zum Beispiel an einen Einbruch in das Haus eines Mitarbeiters rein mit dem Zweck, USB Sticks mit Stuxnet zu infizieren. Dann muss man nur darauf warten, dass dieser Angestellte einen der Sticks einmal ins Büro mitnimmt und diesen an den Rechner im Büro anschliesst. Die Infektion wird sich dann innerhalb des Netzwerkes weiter über USB Sticks ausbreiten und irgendwann das gewünschte Ziel finden. Als Nebeneffekt nutzt Stuxnet ja auch andere Verbeitungswege. Darum ist Stuxnet ja mittlerweile auch weltweit zu finden.


Frage: Gibt es theoretsich noch andere Möglichkeiten, was Stuxnet anstellen könnte?

Antwort: Siemens hat letztes Jahr angekündigt, dass Simatic auch zukünftig in der Lage sein soll, Alarmanlagen, Zutrittssysteme und elektronische Türen zu kontrollieren. Theoretisch könnte Stuxnet also auch genutzt werden, um sich Zutritt zu geheimen Bereichen zu verschaffen. Denken Sie beispielsweise nur an den Film "Mission Impossible" mit Tom Cruise....


Frage: War Stuxnet für den Untergang der "Deepwater Horizon" und die nachfolgende Ölkatastrophe im Mexikanischen Golf verantwortlich?

Antwort:
Wir glauben eher nicht. Obwohl anscheinend auch auf der Deepwater Horizon Ölplattform Siemens PLC Systeme im Einsatz waren - was aber wirklich gar nichts bdedeutet.


Frage:
Erkennen die Schutzlösungen von F-Secure den Stuxnet Wurm?

Antwort:
Ja - natürlich.


Die Fragen und Antworten wurden von den F-Secure Labs in etlichen Disskussionsrunden mit den IT-Sicherheitsforschern von Microsoft, Kaspersky Lab, Symantec und anderen Anbietern zusammengefasst.

Hier noch ein sehr interessantes Video von YouTube von der Virus Bulletin Konferenz 2010, in dem der Symantec Sicherheitsexperte Liam O´Murcho eine Proof-of-Concept Stuxnet-ähnliche SCADA Modifikation vorführt, bei der die Funktionsweise einer Luftpumpe verändert wird:


Anmerkung: Das Info-Point-Security Team hat die sehr interessanten Analysen über Stuxnet der Symantec Security Response Labs in einem komprimierten Beitrag hier zusammengefasst.

Quelle: F-Secure Labs

Weitere Artikel über Stuxnet hier auf Info-Point-Security:

Veröffentlicht in Hersteller News

- Lizenzänderung ermöglicht den Einsatz der Sicherheitssoftware auf bis zu zehn PCs -

Microsoft weitet die kostenlose Lizenz für seine Sicherheitssoftware "Security Essentials" ab sofort auf kleine Firmen aus. Während das Programm bislang nur für Einzelplatzrechner in Privathaushalten kostenlos verfügbar war, können jetzt auch kleine Betriebe Microsoft Security Essentials gratis für bis zu zehn Windows-Rechner einsetzen. Unternehmen, die Virenschutz für mehr als zehn Computer benötigen, bietet Microsoft weiterhin seine kostenpflichtigen Forefront-Produkte an.

Gerade kleine Betriebe haben nicht immer die Ressourcen, sich nachhaltig um die Sicherheit ihrer Computer zu kümmern. Microsoft unterstützt diese Unternehmen daher ab sofort mit einer Gratislizenz für die Sicherheitssoftware Security Essentials, die sie auf bis zu zehn PCs vor Viren, Würmern und anderer bösartiger Malware schützt. Einmal installiert, kontrolliert ein regelmäßiger Virenscan von Microsoft Security Essentials alle heruntergeladenen Daten und E-Mail-Anhänge, alle laufenden Prozesse sowie alle Dateien, auf die zugegriffen wird. Schadprogramme haben somit keine Chance, sich auf dem Rechner auszubreiten.

Microsoft_Security_Essentials_09_2010

Screenshot Computerstatus Protected

Die Überwachung des Systems erfolgt mit Microsoft Security Essential in Echtzeit und läuft im Hintergrund. Wurde ein Schädling gefunden, entfernt die Sicherheitssoftware diesen von der Festplatte. Mit Hilfe des so genannten Dynamic Signature Services werden Dateien, die verdächtige Aktivitäten aufweisen, an einen Server gesandt. Ist dort bereits etwas über diese Datei bekannt, wird der Nutzer darüber informiert. Microsoft Security Essentials ist für Windows XP, Windows Vista und Windows 7 erhältlich und steht unter http://www.microsoft.com/security_essentials/default.aspx?mkt=de-de zum kostenlosen Download zur Verfügung.

Über Microsoft Deutschland GmbH
Die Microsoft Deutschland GmbH ist die 1983 gegründete Tochtergesellschaft der Microsoft Corporation/Redmond, U.S.A., des weltweit führenden Herstellers von Standardsoftware, Services und Lösungen mit 62,48 Mrd. US-Dollar Umsatz (Geschäftsjahr 2010; 30. Juni 2010). Der operative Gewinn im Fiskaljahr 2010 betrug 24,10 Mrd. US-Dollar. Neben der Firmenzentrale in Unterschleißheim bei München ist die Microsoft Deutschland GmbH bundesweit mit sechs Regionalbüros vertreten und beschäftigt rund 2.700 Mitarbeiterinnen und Mitarbeiter. Im Verbund mit rund 31.500 Partnerunternehmen betreut sie Firmen aller Branchen und Größen. Das European Microsoft Innovation Center (EMIC) in Aachen hat Forschungsschwerpunkte in IT-Sicherheit, Datenschutz, Mobilität, mobile Anwendungen und Web-Services.

Veröffentlicht in Datensicherheit
Donnerstag, den 16. September 2010 um 09:40 Uhr

BitDefender stellt kostenloses Z-Bot-Removal-Tool zum Download bereit


- Neue Schadsoftware spioniert Bankdaten und Systeminformationen aus -

Der Virenschutzexperte BitDefender hat ein Removal-Tool für ZBot entwickelt, einen der zurzeit gefährlichsten Trojaner. Der digitale Schädling - offizielle Bezeichnung "Gen:Variant.Zbot.13" - späht private Daten des Nutzers aus und erstellt Screenshots auf dem kompromittierten Rechner. Das Removal-Tool steht unter www.malwarecity.com kostenfrei zum Download zur Verfügung.

ZBot - auch ZeusBot genannt - ist kein Unbekannter: Beispielsweise erscheint der Schädling im aktuellen BitDefender E-Threat-Report für Deutschland. Der Trojaner verbreitet sich überwiegend über Spam-Mails und bösartige Webseiten. Sobald sich ZBot auf dem Rechner eingenistet hat, spioniert er Onlinebanking-Daten, Systeminformationen des Rechners und andere sensible Daten aus. Zusätzlich generiert er Screenshots des Desktops. Die neuen Varianten des Trojaners sind außerdem dazu in der Lage, den Verlauf besuchter Webseiten sowie online eingegebene Daten auszuspähen.

Für User, deren Computer bereits infiziert ist, hat BitDefender das ZBot Removal-Tool entwickelt. Es überprüft den PC auf diese Art von Malware und erkennt dabei auch zahlreiche Varianten des Trojaners. Sobald das Tool eine Kompromittierung feststellt, entfernt es den Schädling vom Rechner.

"Weil sich ZBot sehr schnell verbreitet und täglich neue Formen auftreten, empfiehlt BitDefender den Usern, regelmäßig Updates des Removal-Tools zu installieren. Benutzer unserer Antivirenprogramme sind hinsichtlich der Malware-Abwehr schon auf dem neuesten Stand", sagt Catalin Consoi, Head of Online Threats Labs von BitDefender.

Weitere Informationen unter www.bitdefender.de.

Über BitDefender GmbH

BitDefender ist Softwareentwickler einer der branchenweit schnellsten und effizientesten Produktlinien international zertifizierter Sicherheitssoftware. Seit der Gründung des Unternehmens im Jahr 2001 hat BitDefender permanent neue Standards im Bereich des proaktiven Schutzes vor Gefahren aus dem Internet gesetzt. Tagtäglich beschützt BitDefender viele Millionen Privat- und Geschäftskunden rund um den Globus und gibt ihnen das gute Gefühl, dass ihr digitales Leben sicher ist. BitDefender vertreibt seine Sicherheitslösungen in mehr als 100 Ländern über ein globales VAD- und Reseller-Netzwerk. Ausführlichere Informationen über BitDefender und BitDefender-Produkte sind online im Pressecenter verfügbar. Zusätzlich bietet BitDefender in englischer Sprache unter www.malwarecity.com Hintergrundinformationen und aktuelle Neuigkeiten im täglichen Kampf gegen Bedrohungen aus dem Internet.
Veröffentlicht in Alerts / Sicherheitsanalysen

- Der IT-Security Experte Kevin Haley beschreibt im Weblog von Symantec Connect, welche Bedrohungen auch auf kleine Unternehmen im Internet lauern -


Jäger und Sammler. Die meisten Leute denken, das Cybercrime gegen Unternehmen folgendermassen funktioniert: Erst nehmen die Jäger (die Cyberkriminellen) ein Unternehmen ins Visier, dann infiltrieren sie das Unternehmen und stehlen anschliessend Informationen / Bankzugangsdaten / Kreditkarten etc. aus diesen Unternehmen. Wenn man die Medien verfolgt, dann gelangt man schnell zu der Überzeugung, dass diese Gefahr nur großen und bekannten Unternehmen und kleinen Unternehmen kaum Gefahr durch diese zielgerichteten Attacken droht. Darüber später mehr... Die Mehrheit der Cyberkriminellen kann allerdings eher als Sammler beschrieben werden. Sie werfen sehr große Netze im Internet aus und nutzen alles als potentielles Opfer, was so in ihren Netzen landet. Kleine Unternehmen sollten vor allem auf solche Sammler achten.

Da die Einstiegsbarriere sehr niedrig ist, gibt es entsprechend viele Sammler. Ein Sammler muss kein kriminelles Genie sein. Sie/er braucht nicht einmal überdurchschnittliche EDV-Kenntnisse zu besitzen. Sammler müssen eigentlich über gar keine besonderen Qualifikationen verfügen - ausser das sie wissen müssen, wo man ein Toolkit kaufen kann. Toolkits ermögliches es Cyberkriminellen mit limitierten Fähigkeiten, in das "Sammler-Spiel" einzusteigen und Informationen zu verkaufen.

Symantec_SMB_1

Abbildung 1: Über 3/4 aller Malware enthält mehr als einen Attackentyp

Die obige Abbildung zeigt den Effekt, den Toolkits auf die Internutzer haben. Im Jahr 2009 berichtete Symantec, dass über 75 Prozent der entdeckten Malware in der Lage war, fünf verschiedene Attacken auf einem infizierten Rechner zu starten. Ein typisches, heutiges Toolkit ist derart konstruiert, dass es den Kriminellen erlaubt, einen infizierten Rechner mit den unterschiedlichsten Varianten zu monetarisieren. Es können nicht nur alle Informationen, die ein Nutzer auf einem Rechner eingibt, abgehört werden (Tastatureingaben-Logger - ein sehr einfacher Weg, um an die verschiedenen Passwörter eines Nutzers zu kommen), sondern auch alle auf dem Rechner befindlichen Email-Adressen gestohlen und weitere Malware jederzeit auf den infizierten Rechner geladen (der Remote-Zugriff ermöglicht es den Kriminellen, auf dem infizierten Rechner jede gewünschte Datei herunterzuladen und auszuführen) werden. Somit können die Kriminellen auch immer neue Malware auf einem Rechner platzieren. Typischerweise handelt es sich bei dieser "neuen" Malware dann um ein nutzloses, falsches AntiVirus Produkt und/oder einen Spam-Bot.

Diese Attackenarten sind für jeden Internetnutzer äußerst bedenklich. Es gibt aber drei Attackenarten, die vor allem für kleine Unternehmen einen verheerenden Einfluß auf den Geschäftsbetrieb haben können. Hier also einige der Möglichkeiten, wie die sogenannten Cybercrime-Sammler vorgehen, um an die Werte eines kleinen Unternehmens zu gelangen.

1. Das Geld von Ihrem Bankkonto stehlen

Banking- Trojaner

Eines der gängigsten Toolkits, das eine besorgniserregende Bedrohung für kleine Unternehmen darstellt. Der Name des Toolkits ist Zeus.

Obwohl ein Anwender des Zeus Toolkits alle oben beschriebenen Dinge mit einem infizierten Rechner anstellen kann, so konzentriert sich die Hauptaktivität auf das Stehlen von Online-Banking Zugangsdaten. Das ist das lukrativste Verbrechen - und unglücklicherweise sind die lukrativsten Opfer dafür kleine Unternehmen.

Warum ist dies so? Ein kleines Unternehmen hat meist mehr Geld auf dem Konto als eine Privatperson. Und ähnlich wie bei Privatpersonen hat ein kleines Unternehmen in der Regel niedrige Sicherheitsmassnahmen ergriffen, um die eigenen finanziellen Transaktionen abzusichern.

Es steckt auch keine einzelne Person oder eine einzelne Gruppe hinter Zeus. Das Toolkit ist weit verbreitet und kann im Untergrund (der Cybercrime-Schattenwirtschaft) für weniger als 700,-- US$ gekauft werden. Es kann aber auch getauscht oder einfach selbst gestohlen werden. Es macht den Eindruck, als hätten die Cyberkriminellen in ihrem Untergrund mit denselben Problemen wie Software-Piraterie und illigalen Software-Anbietern zu kämpfen, wie die "normale" Welt.

Nach den Angaben im Symantec Internet Security Threat Report XV konnten im Jahr 2009 über 90.000 verschiedene Zeus Binaries gezählt werden. Das bedeutet nicht, dass 90.000 verschiedene Gangs hinter den Zeus Attacken stecken - es zeigt viel mehr, dass die Gangs, die Zeus nutzen, Tausende unterschiedliche Versionen dieser Bedrohung kreiert haben. Und sie können sich vielleicht vorstellen, wie hart die seriösen IT-Sicherheitsanbieter arbeiten müssen, um vor diesen Bedrohungen mit ihren Lösungen schützen zu können.

Es gibt viele Wege wie Zeus versucht, Sie um ihr sauer verdientes geld zu bringen. Die Sammlung von Login- und Passwort-Informationen auf ihrem Rechner gehört zu den einfachsten Aufgaben. Zunächst einmal wird nach allen Passworten gesucht, die sich auf einem infizierten Rechner befinden. Email Passwörter und alle Passwörter, die im Internet Explorer abgespeichert wurden, werden gesammelt und an die Cyberkrimineller geschickt. Aber Zeus muss gar nicht nach den Online-Banking Informationen auf einem infizierten Rechner suchen. Zeus frägt Sie direkt nach den Zugangsdaten.

Nehmen wir einmal an, man hätte einen kriminellen Bekannten, der sehr gut im Ausrauben von Bankautomaten ist. Wenn es jemanden möglich wäre, an die Bankzugangsdaten und die PIN-Nummer eines Fremden zu gelangen, so könnte dieser Bekannte sehr schnell z.B. eine EC-Karte erstellen, mit dieser zu einem Bankautomaten gehen und das Konto leerräumen. Das Problem ist die PIN Nummer. Diese PIN Nummer wird in der Regel nicht auf einem Rechner gespeichert. Wie kommen nun die Cyberkriminellen an diese PIN Nummer? Nun - in dem sie Sie einfach danach fragen. Das Zeus Toolkit ist mit einer Funktionalität ausgestattet, dass in eine aufgerufene Webseite bestimmte Dinge eingefügt werden können. Entsprechend wartet Zeus einfach auf einem infizierten Rechner, bis dessen Nutzer die eigene Online-Banking Webseite in seinem Browser aufruft. Dann, wenn die LogIn Seite erscheint, ergänzt Zeus die üblichen Abfrageinformationen wie Benutzername und Passwort auf der Seite einfach um eine Abfrage der PIN Nummer.

Symantec_SMB_2

Die meisten Cyberkriminellen, die Zeus nutzen, wollen nur ihre Online-Banking Zugangsdaten (Benutzername, Passwort). Wenn Sie diese nicht auf ihrem Computer gespeichert haben (gut für Sie!!!), dann wird die Malware warten, bis Sie ihre Online-Banking Webseite aufrufen und die Daten eingeben. Dies nennt man Keystroke-Logging (Tatstatureingaben-Aufzeichnung), da jede Tastatureingabe an die bösen Jungs übermittelt wird. Da Sie aber täglich sehr viele Informationen über die Tastatur eingeben, so warten die Kriminellen einfach, bis Sie die Webadresse ihrer Bank in den Browser eingeben und starten dann erst die Aufzeichnung der Tastatureingaben. Wenn die Cyberkriminellen einmal ihre Online-Banking Zugangsdaten haben, dann können Sie sich auf ihr Online-Konto einloggen und im schlimmsten Fall das Konto leerräumen.

2. Stehlen von geistigen Eigentum und Kundendaten

Datenverluste

Vielleicht können Sie sogar legitim argumentieren, dass niemand auf der ganzen Welt ein Interesse hat, eine Cyberattacke gegen ihr Unternehmen zu starten. Sie haben keine Mitbewerber, die sich für ihre intellektuellen Informatuinen interessieren könnten. Sie speichern keine Kundeninformationen und es gibt auch sonst keine wertvollen Informationen auf den Rechnern ihres Unternehmens. Zudem ist ihr Bankkonto eh dauernd leer. Dann sind Sie wirklich einer der wenigen uninteressanten Internetnutzer (und werden wahrscheindlich dennoch angegriffen).

Aber es gibt so viele wertvolle Informationen, die heute auf einem Computer gespeichert und gesammelt werden. Es die Art und Weise, wie wir alle mittlerweile arbeiten. Entsprechend sollten auch kleine Unternehmen sehr nervös darüber werden, wie sie ihre wichtige Informationen absichern können. Tatsächlich, wie es auch die aktuelle Symantec SMB Information Protection Umfrage zeigt, sind 3/4 aller kleinen udn mittleren Unternehmen in irgendeiner Weise über den möglichen Verlust geschäftskritischer Informationen besorgt. Dies ist nicht überraschend wenn man bedenkt, dass 42 Prozent dieser Unternehmen bereits in der Vergangenheit geheime und/oder wichtige Informationen verloren haben.

Wenn ihre wertvollen, wichtigen Daten verloren oder gestohlen werden, dann nennt dies die IT-Sicherheitsindustrie einen Datenverlustsvorfall. Und da Hacker für die meisten gestohlenen Kreditkarteninformationen verantwortlich sind, so sollten auch kleine und mittlere Unternehmen sehr vorsichtig sein, wie sie mit ihren Kunden- und den eigenen finanziellen Daten umgehen. In derselben Umfrage haben die kleinen und mittleren Unternehmen, die bereits Kundeninformationen verloren haben, angegeben, dass dieser Verlust Umsatzeinbussen oder sonstige finanzielle Schäden nach sich gezogen hat.

Symantec_SMB_3

3. Ihre Kunden stehlen

Reputation des Unternehmens und der Unternehmensmarken

Vor allem kleine Unternehmen sind der Meinung, dass Social Networking und andere "Web 2.0" Lösungen eine ideale Möglichkeit sind, neue Kunden zu finden und mit bestehenden Kunden in Kontakt zu bleiben. Wenn sie hierbei wie die grossen Unternehmen vorgehen, dann bauen sie sich quasi eine eigene Marke bei ihren Online-Bestrebungen auf. Unglücklicherweise kann diese mühsam aufgebaute Marke sehr schnell zu einem unangennehmen Bumerang werden, wenn Cyberkriminelle ihre Web 2.0 Accounts kapern.

Im obigen Text wurde bereits ausführlich beschrieben, wie Zeus die LogIn und Passwort Informationen sammeln kann. Facebook und Twitter Accounts gehören zu den am meisten gestohlenen Zugangsdaten bei diesen Attacken. Dies liegt natürlich auch an der großen Anzahl an Personen, die über solche Accounts verfügen. Dies ist ein gutes Beispiel, wie die Cyberkriminellen an solche Account-Informationen gelangen können. Aber es ist nicht einmal die einfachste Möglichkeit. Die einfachste Möglichkeit ist eine Phishing Attacke.

Seit dem ersten Online-Tag von Facebook haben die Nutzer von Facebook Emails mit folgenden Inhalten bekommen:

Symantec_SMB_4

Facebook selbst hat keine einzige dieser Nachrichten verschickt. Facebook würde niemals seinen Nutzern Emails senden, in denen die Nutzer aufgefordert werden, dass Passwort zu ändern. Hierbei handelt es sich um eine Phishing Attacke. Die Links in der Email führen auf eine Webseite, die genau wie Facebook aussieht, aber von Cyberkriminellen nur aus dem Zweck betrieben wird, die Zugangsdaten von Facebook Nutzern zu stehlen.

Ein weiterer populärer Trick ist die Infektion eines Rechners mit Malware, die sich quasi Huckepack auf einen Account draufsetzt. Die Malware befindet sich auf dem Rechner und veröffentlich über den Twitter oder Social Network Account, was sie will.

Warum? Die Cyberkriminellen wollen seriöse Accounts nutzen, um betrügerische Emails oder Spam zu versenden oder andere Nutzer mit Malware zu infizieren. So könnte der Account ihres kleinen Unternehmens sehr schnell dazu missbraucht werden, den eigenen Kunden plötzlich mysteriöse Diätpläne anzubieten oder den Kunden unerwünschte Software anzubieten, nachdem SIE Ihnen eine Nachricht mit einem Link auf ein Video geschickt haben, dass sie angeblich sehr lustig finden.

Symantec_SMB_5

Als Inhaber eines kleinen Unternehmens wissen Sie bestimmt, wie wichtig der richtige Standort ist. Die Kunden werden kaum in einen Laden kommen, der sich in einem verrufenen Gebiet in einer Stadt befindet. Nun - genauso werden Online-Kunden wohl kaum bei einem Unternehmen kaufen oder sich für ein Unternehmen interessieren, dass Spams versendet oder die Rechner der Kunden mit Malware infiziert. Vielleicht werden einige ihrer Kunden verstehen, dass sie nichts für das Versenden dieser unerwünschten Nachrichten konnten. Aber dies wird die Kunden nicht davon abhalten, die Verbindung zu ihrem Unternehmen abzubrechen und zukünftig lieber keine Nachrichten mehr von ihnen zu erhalten. Die Online-Marke, die sie sich mühsam aufgebebaut haben, wurde von einer Handvoll Phisher zerstört.

Symantec´s Empfehlungen zum Schutz kleiner Unternehmen:
  • Informieren Sie ihre Angestellten über die drohenden Gefahren: Entwickeln Sie Internetrichtlinien und klären Sie ihre Angestellten über eine sichere Nutzung des Internets, Sicherheit und die aktuellen Bedrohungen auf. Ein Teil des Trainings sollte auch die Wichtigkeit der regelmäßigen Passwortänderung und dem Schutz mobiler Geräte gelten.
  • Schützen Sie die wichtigen, geschäftlichen Informationen: Der Schutz wichtiger Informationen ist für Unternehmen jeglicher Größe extrem wichtig und auch kleine Unternehmen dürfen sich vor dieser Tatsache nicht verstecken. Ein bekannt gewordener Datenverlust kann den finanziellen Ruin für ein kleines Unternehmen bedeuten. Implementieren Sie eine entsprechende Sicherheitslösung neben traditionellen Virenschutzlösungen, um ihr geistiges Eigentum und die Daten ihrer Kunden zu schützen - egal ob es sich um Kreditkarteninformationen, Kundendaten oder Mitarbeiterdaten handelt. Das ist definitv sicherer.
  • Implemetieren Sie eine Backup Lösung und stellen Sie einen Notfallplan auf: Ein wirkungsvoller Schutz der Informationen übersteigt die reine Implementierung einer AntiVirus Lösung. Backup und Wiederherstellung ist eine kritische Komponente eines umfassenden Informationsschutzes, damit die Rechner, Server und Applikationen auch im Falle einer ungewollten Unterbrechung - egal ob es sich um eine Flut, ein Erdbeben, einen Virus oder einfach einen Systemfehler handelt - nicht alle Daten verlieren. Ein einziger Ausfall kann zu einer enormen Unzufriedenheit bei Kunden und zu einem Arbeitsausfall im Unternehmen führen, der sich katastrophal auf das Unternehmen auswirkt.
  • Sichern Sie ihre Email und Werte im Internet: Wählen Sie eine Email und Web-Security Lösung, die Spam- und Email Bedrohungen wirksam verhindert, damit das Unternehmen die sensiblen Daten schützen kann und die Mitarbeiten mehr Zeit für ihre täglichen Aufgaben haben. Spammer und Phisher werden aktuelle, medienwirksame Ereignisse und Social Engineering Taktiken verwenden, um an die persönlichen Informationen wie Kreditkartendaten und Bankinformationen zu gelangen.

Quelle: Kevin Haley´s Blog auf Symantec Connect

Veröffentlicht in Alerts / Sicherheitsanalysen
Montag, den 06. September 2010 um 12:37 Uhr

Sophos: Die 10 Mythen der Internetsicherheit


- Die 10-Mythen Kampagne von Sophos verrät Unternehmen vor welchen Bedrohungen sie sich tatsächlich in Acht nehmen müssen -


Das IT- und Datensicherheitsunternehmen Sophos räumt in einer eigens initiierten Kampagne mit den 10 Ammenmärchen der Internetsicherheit auf. Die Kampagne soll den Blickwinkel von IT- und Datensicherheitsverantwortlichen in Unternehmen erweitern, indem zehn beispielhafte Missverständnisse zeigen, vor welchen Bedrohungen im und aus dem Internet sie sich tatsächlich in Acht nehmen müssen. Um ihr Netzwerk dauerhaft zu schützen, sollten Unternehmen jetzt handeln. Sophos hat deshalb einige einfache Schritte zusammengestellt, wie Firmen auch den neuesten Bedrohungen immer einen Schritt voraus sind:
  1. Regelmäßige Aktualisierung und Patches der Systeme, Browser und Plug-Ins.
  2. Die Verwendung schwer zu knackender und unterschiedlicher Kennwörter.
  3. Die Implementierung einer unternehmensweiten Nutzungsrichtlinie für das Internet.

Zu den fünf wichtigsten Mythen der Internetsicherheit zählen nach Einschätzung von Sophos:
  1. Unsere PCs sind noch nie angegriffen worden, also sind sie sicher.
  2. Mitarbeiter surfen nur auf unbedenklichen Webseiten.
  3. Unsere Kontrollen sind stark genug, und werden nicht umgangen.
  4. Nur unseriöse Webseiten sind gefährlich.
  5. Nur naive Benutzer infizieren sich mit Malware und Viren.

Warum es sich bei diesen Aussagen um Mythen handelt, welche weiteren fünf Mythen kursieren und welchen Risiken Unternehmen tatsächlich ausgesetzt sind, steht in dem Sophos 10 Mythen White Paper unter:
http://www.sophos.de/security/topic/web-security-myths.html

Die meisten Internetnutzer sind sich der Gefahren im Netz nicht bewusst. Viele sind sogar der Meinung, sie seien noch nie Opfer einer Malware-Attacke geworden. Einige Angriffe aus dem Internet sind aber gar nicht darauf ausgelegt, den Rechner als solchen zu infizieren, sondern ergaunern lautlos Kreditkartennummern, vertrauliche Daten oder valide E-Mail-Adressen, um sie für Phishing- oder Spam-Attacken zu verwenden. Bei sogenannten Drive-By-Downloads beispielsweise gelangt über scheinbar harmlose Webseiten Schadcode auf die Rechner der Internetnutzer. Nicht mehr nur Porno-oder Glückspiel-Seiten, sondern auch seriös wirkende Seiten können Schadsoftware beherbergen.

SEO Poisoning


Beliebt bei Hackern ist das sogenannte SEO Poisoning. Häufig werden aggressive Techniken der Suchmaschinenoptimierung (SEO) eingesetzt, um infizierte Seiten an die Spitze der Suchergebnisse zu bringen. Dabei werden Trendthemen, wie beispielsweise Todesnachrichten Prominenter, genutzt, um von Nutzern stark nachgefragte Inhalte automatisch erstellen zu können. Durch die Manipulation der Suchmaschinen erscheinen die mit Schadprogrammen verseuchten Webseiten höher gelistet in den Suchergebnissen. Folglich wird der Traffic auf diese infizierten Seiten erhöht und weitere Internetnutzer werden infiziert.

Gefahrenherd soziale Netzwerke


Hinzu kommt der weiter ungebrochene Trend von Cyberattacken auf Mitglieder sozialer Netzwerke. Die Tricks der Kriminellen werden noch perfider. Nahezu täglich verbreiten sich über Facebook, Twitter und Co Meldungen, in denen Nutzer aufgefordert werden, unbekannten Links zu folgen. Hinter den Links verbirgt sich meist Schadsoftware, die sich unbemerkt Zugriff auf das Profil oder den ganzen Rechner des Anwenders verschafft.

Über Sophos:
Mehr als 100 Millionen Anwender in 150 Ländern verlassen sich auf Sophos als den besten Schutz gegen komplexe IT-Bedrohungen und Datenverlust. Sophos bietet dafür Security- and Data- Protection-Lösungen an, die einfach zu verwalten, zu installieren und einzusetzen sind und dabei den branchenweit niedrigsten Total Cost of Ownership bieten. Sophos bietet preisgekrönte Verschlüsselungs- und Endpoint-Security-Produkte, darüber hinaus Lösungen für Web- und E-Mail-Sicherheit sowie Network Access Control (NAC). Das Angebot wird von einem weltweiten Netzwerk eigener Analysezentren, den SophosLabs, unterstützt. Mit mehr als 20 Jahren Erfahrung gehört Sophos laut der Top-Analystenhäuser zu den führenden Unternehmen für IT-Sicherheit und Datenschutz und hat zahlreiche
Branchenauszeichnungen erhalten.

Durch die Übernahme des weltweit führenden Datensicherheitsspezialisten Utimaco Safeware erweiterte Sophos im Jahr 2009 sein Leistungsspektrum um Datensicherheitslösungen, mit denen sich mittelständische Firmen und Großunternehmen vor vorsätzlichem Datendiebstahl sowie unbeabsichtigtem Datenverlust schützen und die Einhaltung geltender Datenschutzbestimmungen sicherstellen können. Die in das Sophos Produktportfolio integrierten Utimaco SafeGuard Lösungen bieten dabei einen umfassenden Rundum-Schutz aller Daten.

Veröffentlicht in Alerts / Sicherheitsanalysen

PC Pitstop hat rund 50.000 PCs auf Malware untersucht:  Auf 14 Prozent der Systeme befand sich gefährliche Malware.

PC Pitstop, der führende Anbieter von Software für PC-Optimierung, -Sicherheit und -Diagnose, hat durch seine webbasierten Diagnose-Tools einen umfassenden Einblick in die technische Ausstattung von Windows-PCs unterschiedlicher Hersteller.

Eine im April 2010 durchgeführte Untersuchung von über 50.000 Windows-PCs zeigte, dass 25 Prozent aller PCs über keinen aktiven Schutz vor Schadsoftware verfügen.  

Bei 14 Prozent der Rechner wurden sehr schwerwiegende Gefährdungen festgestellt. Die größte Bedrohung geht dabei von Spyware aus, 10,5 Prozent der Computer waren davon betroffen. Rogue Security Software - Anwendungen, die vortäuschen, Anti-Malware-Software zu sein, tatsächlich aber ohne Funktion sind -  ist deutlich auf dem Vormarsch und wurde auf 8,4 Prozent der Rechner gefunden. Auf 1,8 Prozent entdeckte PC Pitstop Viren und auf 1,5 Prozent Keylogger.

Der Untersuchung zufolge schützt Security-Software in ganz unterschiedlicher Weise vor Malware: So bietet Symantec Norton Antivirus den besten Schutz vor Spyware: Nur bei 9 Prozent der mit dieser Security-Software geschützten Rechner war Spyware zu finden. Den besten Schutz vor Rogue Security Software bieten die Tools von Kaspersky: 6,7 Prozent der damit gesicherten PCs wiesen diese Art der Malware auf. Kaspersky hat auch bei Viren die Nase vor: Nur 0,9 Prozent der damit geschützten PCs hatten Viren. Vor Keyloggern schützt TrendMicro am besten: Auf 0,9 Prozent der mit TrendMicro gesicherten PCs konnte PC Pitstop Keylogger entdecken.

"Mit 50.000 untersuchten PCs weist diese Studie eine sehr große Datenbasis auf", erklärt Ralf Biesemeier, bei PC Pitstop in Castrop-Rauxel für das europäische Geschäft verantwortlich. "Bemerkenswert ist dabei, dass wir Malware in erheblichem Umfang auch auf Rechnern gefunden haben, die mit Security-Tools führender Hersteller geschützt waren. Auch wenn das eigene Virenschutzprogramm keinen Alarm schlägt, muss das noch nicht heißen, dass der Rechner tatsächlich sauber ist."

Die detaillierten Ergebnisse sind unter http://techtalk.pcpitstop.com/2010/05/13/the-state-of-pc-security/ abzurufen.
Veröffentlicht in Datensicherheit

- 15. Auflage des Internet Security Threat Reports von Symantec dokumentiert neue Qualität der Internetgefahren - 

Deutschland ist Botnetz-Land Nummer eins in Europa
Symantec präsentiert heute den 15. Internet Security Threat Report, der die brisante Entwicklung der Internetkriminalität im Jahr 2009 auswertet – dem Jahr, das mit Conficker zu Beginn und Hydraq zum Ende hin zwei prominente Angriffe erlebte. Wichtigste Erkenntnis: Cybercrime zeigt sich krisenresistent, Angriffe nehmen zu und werden immer raffinierter.

Symantec_Threat_Report_2010Ist Deutschland ein Land von Schmuddelcomputern? Das Land der Dichter und Denker ist im europäischen Vergleich die Nummer eins hinsichtlich Schadcode-Verbreitung. Zwölf Prozent der gesamten Schadcode-Aktivitäten stammen aus Deutschland (weltweit fünf Prozent). Zudem ist das Land Spitzenreiter hinsichtlich Bot-infizierter Rechner in der EMEA-Region. Weltweit stellt Deutschland sogar sieben Prozent aller Rechner, die Teil eines Botnetzes sind. Die zehn größten Botnetze wie Cutwail, Rustock und Mega-D kontrollieren mindestens fünf Millionen infizierte Rechner. Diese werden von Cyberkriminellen bereits ab drei US-Cent je Gerät für missbräuchliche Zwecke angeboten. Von den täglich 107 Milliarden verbreiteten Spam-Mails stammen 85 Prozent aus diesen Botnetzen.

Infizierte Rechner abklemmen?
Der Staat und Internet Service Provider wollen das Internet sicherer machen, indem sie Initiativen gegen diese Botnetze ergreifen. Die Pläne sehen unter anderem einen kostenlosen Bot-Entfernungsservice vor. Als letzten Schritt wollen die Initiatoren infizierte Teilnehmer vom Netz nehmen - sofern diese selbst nichts unternehmen, um ihre Computer zu säubern. "Die Sicherheit im Netz ist eine Gemeinschaftsleistung von Industrie und Regierung. Sie müssen sich zusammen dieser Herausforderung stellen. Doch auch der Nutzer ist verpflichtet, seinen Rechner zu schützen - ebenso wie es selbstverständlich ist, die eigene Haustür abzuschließen", so Ilias Chantzos, als Director bei Symantec für Government Relations in Europa und Asien zuständig.

Die Verträge zwischen Anwender und Internet-Provider lassen solche drastischen Maßnahmen rechtlich zu, da prinzipiell eine Sicherheitsverletzung vorliegt. Noch ist jedoch unklar, wie diese Prozedur in der Praxis umgesetzt werden soll und wer die entstehenden Kosten trägt. Ilias Chantzos gibt zu bedenken: "Botnetze zu eliminieren ist eine hoch komplexe Aufgabe. Hierbei kann sich das Entfernen von Computern aus dem Netz je nach Situation auch als unverhältnismäßig erweisen. Allerdings steckt der Teufel im Detail. Das Wichtigste in diesem Prozess ist die Sensibilisierung und Aufklärung der Nutzer. Sie könnten sich in trügerischer Sicherheit wiegen, wenn sie wissen, dass infizierte Rechner vom Netz genommen werden. Dabei werden die Anwender von viel komplexeren Cybergefahren bedroht als von Botnetzen."

Jedes Unternehmen im Fadenkreuz
Weitere Erkenntnis des aktuellen Symantec-Sicherheitsreports: Angreifer haben das Gewinnpotential gestohlenen geistigen Eigentums erkannt und nehmen verstärkt Unternehmen ins Visier. Dabei missbrauchen sie frei zugängliche persönliche Informationen auf Social Networking-Plattformen, um Mitarbeiter bestimmter Unternehmen per Social Engineering gezielt zu attackieren. 60 Prozent aller Datenvorfälle, bei denen Identitäten preisgegeben wurden, lassen sich auf Hacking zurückführen. Im Fokus der Angriffe stehen nicht nur Großunternehmen: Dreiviertel aller untersuchten Unternehmen wurden dem Symantec State of Enterprise Security Report 2010 zufolge im Jahr 2009 Opfer einer Internetattacke. Der Trojaner Hydraq Anfang 2010 war der jüngste in einer Serie zielgerichteter Angriffe, zu denen auch Shadow Network aus dem Jahr 2009 und Ghostnet aus dem Jahr 2008 zählen.

Toolkits erleichtern Einstieg ins Cybercrime
Auch ohne spezielle Kenntnisse können Angreifer heute mit vorgefertigten Toolkits Attacken starten, Rechner manipulieren und Informationen stehlen. So erzeugt das für rund 700 US-Dollar erhältliche Toolkit Zeus (Zbot) automatisch spezielle Malware zum Diebstahl persönlicher Informationen. Auf diese Weise sind im Jahr 2009 Millionen neuer Schadcodevarianten entstanden. Mit dieser Vielfalt soll das Aufspüren der Schadcodes durch Sicherheitssoftware erschwert werden.

Web-basierte Angriffe unvermindert auf Wachstumskurs
Mittels Social Engineering locken Angreifer ahnungslose Nutzer auf schadcodehaltige Webseiten. Diese attackieren dann Web-Browser sowie ungeschützte Plug-ins, mit denen die Opfer normalerweise Videos ansehen und Dokumente öffnen. Top-Ziel der Kriminellen waren im Jahr 2009 PDF-Viewer, auf die sich 49 Prozent aller Web-basierten Angriffe richteten. Im Vorjahr lag deren Anteil noch bei rund 11 Prozent.

Schwellenländer attraktiv für Schadcodeaktivitäten
Wie der Symantec-Report weiter feststellt, werden Schadcodeaktivitäten zunehmend von Ländern aus initiiert, beziehungsweise zielen auf diese ab, deren Breitband-Infrastruktur gerade im Aufbau ist. Beispiele sind Brasilien, Indien, Polen, Vietnam und Russland, die in der Statistik im Vergleich zum Vorjahr deutlich nach vorne gerückt sind. Ein möglicher Grund für diese Entwicklung könnte das härtere Vorgehen der Regierungen von Industriestaaten gegen Internetkriminalität sein. So verlagern Cybergangster ihre Aktivitäten in Regionen, in denen sie weniger Konsequenzen zu befürchten haben.

Weitere Trends aus dem aktuellen Symantec Sicherheitsreport:

Schadcode-Wildwuchs im Web: 2009 identifizierte Symantec mehr als 240 Millionen verschiedene neue Schadcodevarianten – doppelt so viele wie 2008.

Downadup (Conficker) unvermindert gefährlich: Schätzungen zufolge waren Ende 2009 mehr als 6,5 Millionen PCs mit Downadup infiziert. Auch wenn diese Rechner bislang nicht für schwerwiegende kriminelle Aktivitäten missbraucht wurden - die Bedrohung bleibt weiterhin bestehen.

Top-Bedrohungen 2009: Die am häufigsten von Symantec Sicherheitssoftware abgeblockten Bedrohungen im Jahr 2009 waren der Virus Sality.AE, der Trojaner Brisv und der Wurm SillyFDC.

Über den Symantec Internet Security Threat Report
Der Internet Security Threat Report (ISTR) basiert auf Daten, die Symantec von Millionen Internetsensoren, aus eigener Forschung sowie der Überwachung von Hacker-Kommunikation bezieht. Er bietet einen Überblick über die globale aktuelle Lage der Internetsicherheit. Der 15. Internet Security Threat Report bezieht sich auf den Zeitraum von Januar bis Dezember 2009.

Über Security Technology and Response
Der "Symantec Internet Security Threat Report" wird von der Abteilung Symantec Security Technology and Response (STAR) erstellt. STAR, das auch Security Response umfasst, ist ein weltweites Team von Sicherheitsingenieuren, Bedrohungsanalysten und Forschern, das die Funktionalität, die Inhalte und das fachliche Expertenwissen für alle Geschäfts- und Endverbraucher-Sicherheitsprodukte von Symantec stellt. In seinen weltweiten Response Centern verfolgt STAR Schadcode-Reports von mehr als 133 Millionen Systemen im Internet, wertet Daten von 240.000 Netzwerksensoren in über 200 Ländern aus und überwacht mehr als 35.000 Schwachstellen, die über 80.000 Technologien von über 11.000 Anbietern betreffen.

Über Symantec
Symantec ist ein weltweit führender Anbieter von Sicherheits-, Storage- und Systemmanagement-Lösungen. Damit unterstützt Symantec Privatpersonen und Unternehmen bei der Sicherung und dem Management von Informationen. Unsere Software und Dienstleistungen schützen effizient und umfassend gegen Risiken, um überall dort Vertrauen zu schaffen, wo Informationen genutzt und gespeichert werden. Mehr zu Symantec finden Sie unter www.symantec.de
Veröffentlicht in Alerts / Sicherheitsanalysen
Dienstag, den 30. März 2010 um 08:12 Uhr

Symantec: Conficker feiert Geburtstag


Es hätte einer der schlechtesten Aprilscherze im Internet werden können. Der 1. April vor fast genau einem Jahr war als Starttermin für „Downadup Conficker" angesetzt, an dem dieser Wurm mit seinen unheilsamen Aktionen hätte beginnen sollen. Zum Glück hat er das ihm zugesprochene zerstörerische Potenzial nicht ausgeschöpft. Trotz allem ist sein Einfluss beachtlich. Noch heute haben die Conficker-Macher Zugriff auf 6,6 Millionen infizierte Rechner, weil sie von ihren Nutzern noch nicht repariert wurden.

Anfang 2009 taucht Conficker erstmals im World Wide Web auf - auf der Suche nach einem bestimmten Schlupfloch im Betriebssystem Windows. Zwar hatte Microsoft bereits Ende 2008 für diesen Fehler eine Reperaturdatei geschrieben und veröffentlicht. Trotzdem konnte Conficker noch Millionen von Computern finden, auf denen weder der aktuelle Patch noch eine zuverlässige Sicherheitssoftware aufgespielt waren. Hat sich der Wurm über diese Lücke erst einmal auf dem Rechner eingenistet, können Kriminelle unbemerkt und zu jeder Zeit auf den befallenen PC zugreifen.

Wie ein Damoklesschwert mahnt Conficker Konsumenten und Unternehmen daran, was die Securityindustrie seit Jahren empfiehlt:

Installieren Sie regelmäßig Securitypatches! Das trifft nicht nur auf Patches für das Betriebssystem, sondern alle Aplikationen wie auch Plug-ins zu. Conficker konnte sich deswegen so weit verbreiten, weil Anwender es vernachlässigt haben, ihren Computer mit dem adäquaten Securitypatch zu versorgen. Angesichts der komplexen Infrastruktur in den meisten Unternehmen rät Symantec den Verantwortlichen, Patch-Management-Lösungen zu installieren. Mit deren Hilfe lassen sich alle Sicherheitslücken zentral und zeitnah schließen.

Verwenden Sie eine zuverlässige Sicherheitssoftware, die ihren Rechner mit mehreren Schutzschichten überzieht! Achten Sie darauf, dass das Programm immer aktiv ist und sich regelmäßig aktualisiert. In vielen Fällen verbreitet sich der Wurm über infizierte mobile Geräte wie USB-Sticks, die als Überträger fungieren. In fast allen Fällen wird eine aktuelle Sicherheitssoftware die Gefahr erkennen, bevor sie den Rechner erreicht.

Sollte Ihr Rechner bereits mit Conficker infiziert sein, nutzen Sie Tools seriöser Anbieter, um den Wurm zu entfernen!

Weiter Hintergrundinformationen zu Conficker und seiner Verbreitung, darunter ein Video, finden Sie im Symantec Blog unter: http://www.symantec.com/connect/fr/blogs/downadupconficker-and-april-fool-s-day-one-year-later

Veröffentlicht in Web-Sicherheit
Freitag, den 12. März 2010 um 09:26 Uhr

F-Secure: Allaple Virus Autor verurteilt


- Der estländische Virus Schreiber Artur Boiko (44) wurde jetzt zu 2 Jahren und 7 Monaten Gefängnis verurteilt. -

Boiko schrieb den Allaple Virus. Ein sehr komplexer Wurm mit polymorpher Verschlüsselungstechnik. Dieser verteilt sich über das LAN und modifiziert dabei lokale HTML Dateien. Falls diese manipulierte HTML Datei auf eine öffentliche Webseite geladen wird, verbreitet sich die Infektion über diese Webseite.

Anscheinend hatte Boiko einen Autounfall, bei dem es folgend mit der Versicherung „If Insurance“ zu einem Streit kam. Aus Rache setzte er dann seinen Wurm für DDos Angriffe gegen die Webseite der Versicherung ein.

www.if.ee (Website der Versicherung)
www.online.if.ee (Kunden Online-Interface der Versicherung)
www.starman.ee (Webseite des ISP)

Die DDoS Attacken waren überaus erfolgreich

F-Secure hat mehrere Varianten des Allaple zwischen 2006 und 2007 entdeckt. Das Problem dabei: es handelt sich nicht um ein botnet – dieser Wurm benutzt keine C&C Server.
Die infizierten Rechner attackieren die Ziele solange bis der Wurm auf dem Rechner desinfiziert wurde.

Von diesen infizierten Maschinen sind allerdings noch Tausende aktiv, die ihre Ziele attackieren. Der Wurm verbreitet sich nach wie vor über das Internet, während Boiko nun seine Haftstrafe antritt.

Das Bild zeigt die letzten Samples:

F-Secure_allaple


Zudem wurde er noch zu weiteren Schadensersatzzahlungen verurteilt:

An die Versicherung “If Insurance”: 5.1 Million Estonian Kroons (ca.  330.000 Euros oder 450.000 USD)
An den ISP Starman: 1.4 Million Estonian Kroons (ca. 91.000 Euros oder 130.000 USD)
Veröffentlicht in Hersteller News

Der Vorfall „Operation Aurora“ hat gezeigt, dass gerade diese komplexe, direkte und erfolgreiche Form des Angriffs auch in Zukunft immer mehr zunehmen wird. Hinter dieser Art, auch als Advanced Persistent Threats (APT) genannte Form des Angriffs, steckt eine Menge ausgeklügelter Technik, die sich meist aus mehreren miteinander verbundenen Einzelschritten, zusammensetzt.   

Operation Aurora ist in der Lage sehr gezielt, hochsensitive Informationen von den Opfern zu Erlangen, die dann für den meist erfolgreichen Angriff die Basis schaffen.

Diese White Paper von McAfee analysiert die Aurora Technik und soll dabei helfen, wie man sich in Zukunft vor diesen Attacken schützen könnte.

McAfee_Aurora_StepsDie Arbeitsweise von Aurora:
Die Operation Aurora beinhaltet mehrere Einzelschritte, die vom User scheinbar nicht bewusst als bevorstehender Angriff wahrgenommen werden. Das Schaubild zeigt die 6 wesentlichen Vorgänge, die zunächst keine Zeichen von gefährlichen Aktionen andeuten.

1.  Ein gezielt ausgesuchter User erhält einen E-Mail Link aus einer sehr vertrauensvollen Quelle.

2.  Der User klickt auf den Link und wird auf eine in Taiwan gehosteten Seite geleitet, die einen manipulierten JavaScript Payload beherbergt.

3.  Der Browser des Nutzers lädt und führt das verseuchte JavaScript aus, das zudem einen Zero-Day Exploit für den Internet Explorer beinhaltet.

4.  Der Exploit lädt ein Binary, das als Bild getarnt ist, vom Taiwan Server und führt den manipulierten Payload aus.

5.  Der Payload initialisiert ein Backdoor und verbindet sich zu den Command &Control (C&C) Servern in Taiwan

6. Als Ergebnis hat nun der Angreifer vollen Zugriff auf den infizierten Rechner und kann die für ihn wichtigen Informationen, wie installierte Software und die Konfiguration, auslesen. Ab dem Zeitpunkt kann dieser Rechner auch als ein weiterer „Helfer“ für die Angreifer agieren und zur weiteren Penetration des Netzwerkes genutzt werden.

Inhaltsverzeichnis:

  • Executive Summary
  • How Aurora Worked
  • What We Learned
  • Intellectual Property
  • Software Confguration Management (SCM)
  • Intellectual Property Repositories Exposed
  • Countermeasures
  • Perforce-Specifc Recommendations
  • McAfee Protection
  • Conclusions
  • Credits and Acknowledgements

Das vollständige White Paper von McAfee können Sie sich HIER herunterladen

Mehr Informationen zu Aurora finden Sie auch HIER





Veröffentlicht in Hersteller News
Seite 1 von 11
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6