Erfahren Sie mehr (PDF) - Trend Micro

trendmicro.de

Erfahren Sie mehr (PDF) - Trend Micro

The

SicherheitSbericht

Trend Micro

– 1. Quartal 2013:

Massive Zero-Day-Angriffe

Custom Defense Solution

zum Jahresanfang


Inhalt

Sicherheitslücken und Exploits:

Mehrere Zero-Day-Exploits in weit verbreiteter Software....................2

Cybercrime: Die alten Bedrohungen kommen wieder ........................4

Sicherheit im digitalen Leben...........................................................................9

Mobile Bedrohungen:

Web-Bedrohungen auch für mobile Nutzer........................................11

APTs und gezielte Angriffe: Im Stealth-Modus...................................15

Trend Micro stellt diese Ausführungen lediglich zur Information über eigene Untersuchungen zur Verfügung und übernimmt keinerlei

Haftung für deren Richtigkeit oder etwa hierin ausgesprochene Empfehlungen. Diese Hinweise sind lediglich allgemeiner Art

und können weder eine Untersuchung des jeweiligen Einzelfalls noch eine Rechtsberatung durch eine interne Rechtsabteilung

beziehungsweise einen Rechtsanwalt ersetzen. Trend Micro übernimmt keinerlei Haftung für die Richtigkeit und Vollständigkeit dieser

Hinweise. Die in diesem Dokument enthaltenen Informationen können sich ohne vorherige Ankündigung ändern.


Nutzer kennen zwar das Problem der Exploits und

Sicherheitslücken gut, doch Zero-Day-Exploits in beliebten

Anwendungen kommen normalerweise eher selten vor.

Das war im ersten Quartal 2013 anders: Über einige

Zero-Day-Exploits griffen Cyberkriminelle weit verbreitete

Anwendungen wie Java oder Adobe Flash Player,

Adobe Acrobat und Adobe Reader an.

Zusätzlich stellten Trend Micros Sicherheitsforscher fest, dass

bereits bekannte Bedrohungen wie Spam-Botnetze, Banken-

Trojaner und verfügbare Exploit-Kits verfeinert wurden.

Zu den weiteren wesentlichen Sicherheitsvorfällen zählten

die Cyberangriffe in Südkorea im März, welche die Gefahr

der gezielten Angriffe nochmals verdeutlichten.

Im mobilen Bereich wiederum stellten gefälschte Versionen

beliebter Apps das größte Problem dar, und Phisher fanden

ein neues Ziel – die mobilen Browser.

seite 1 | SicherheitSbericht – 1. Quartal 2013


Sicherheitslücken und Exploits: Mehrere

Zero-Day-Exploits in weit verbreiteter Software

Java im Rampenlicht

• Im ersten Quartal stand Java wegen einiger Zero-Day-

Angriffe erneut im Mittelpunkt der Aufmerksamkeit.

• Ein Zero-Day-Exploit in Verbindung mit REVETON- und

Ransomware-Varianten zeigte, dass auch vollständig

gepatchte Systeme manchmal vor einem Exploit nicht gefeit

sind. 1

• Innerhalb weniger Tage veröffentlichte Oracle ein Sicherheits-

Update, um das Problem aus der Welt zu schaffen. Doch

stattdessen kamen noch mehr Fragen auf, und schließlich

empfahlen einige Gruppen – einschließlich des „US

Department of Homeland Security“ und des Bundesamtes

für Sicherheit in der Informationstechnik (BSI) –, Java zu

deinstallieren. 2

Herausforderung für Adobe

Auch Adobe war von den Zero-Day-Angriffen nicht

ausgenommen. Im Februar wurden Adobe Flash Player und

Adobe Reader zum Opfer von Zero-Day-Exploits.

• Die Angreifer nutzten zwei kritische Sicherheitslücken in

Adobe Flash Player und infizierten darüber die Computer

ihrer Opfer.

• Adobe Reader (in den Versionen 9, 10 und 11) war ebenfalls

von einem Zero-Day-Angriff betroffen. Damit zeigte sich, dass

auch die Sandbox-Technologie des Anbieters angreifbar ist. 3

3 http://blog.trendmicro.com/trendlabs-security-intelligence/zero-day-vulnerabilityhits-adobe-reader/

1 http://blog.trendmicro.de/java-zero-day-exploits-verteilen-schadsoftware/

2 http://blog.trendmicro.de/java-selektiv-nutzen/

CVSS-Bewertung der Sicherheitslücken

Quelle: CVE-Datenbank (cve.mitre.org)

Hoch

(Bewertung 7–10)

36%

Mittel

(Bewertung 4–6,9)

52%

Niedrig

(Bewertung 0–3,9)

12%

Das Risiko der meisten im ersten Quartal gefundenen Sicherheitslücken wurde

als „mittel“ eingestuft, etwa ein Drittel als „hoch“.

seite 2 | SicherheitSbericht – 1. Quartal 2013


Zeitschiene der Adobe- und Java-Exploit-Angriffe seit dem Adobe Reader X

Oracle veröffentlicht eine neue Java-Version,

um einen sich im Umlauf befindlichen Zero-

Day-Exploit zu stoppen. Der Anbieter schränkt

auch die Standard-Einstellungen für Java ein.

13. Januar 2013

Ein Zero-Day-Exploit für

Adobe Flash Player taucht

auf.

8. Februar 2013

!

Ein Zero-Day-Exploit für eine Sicherheitslücke

im Adobe Reader X wird mit einem

gezielten Angriff in Verbindung gebracht.

14. Dezember 2011

Adobe veröffentlicht die

überarbeitete Funktion des

geschützten Modus („Protected

Mode“) im Adobe

Reader XI und Acrobat XI.

17. Oktober 2012

Adobe veröffentlicht Adobe Reader

X mit der Funktion des geschützten

Modus („Protected Mode“).

22. November 2010

Ein Zero-Day Exploit für Java greift

Java 7 an, verschont aber Java 6 – und

zwingt Oracle, einen Patch außer

der Reihe zu veröffentlichen.

28. August 2012

Oracle veröffentlicht ein

Sicherheits-Update für 50

Schwachstellen, einschließlich

derer, die vom Zero-Day Exploit

für Java im Januar angegriffen

worden waren.

5. Februar 2013

Ein Zero-Day Exploit

für Java wird vom „Cool

Exploit Kit“ und dem

„Blackhole Exploit Kit“

aktiv eingesetzt,, um

REVETON und weitere

Ransomware-Varianten

zu verbreiten.

10. Januar 2013

Ein Zero-Day Exploit für Java

zielt auf verschiedene

Versionen des Adobe Reader.

13. Februar 2013

Adobes Schutzfunktionalität kann die Cyberkriminellen während des Jahres 2012 zum Großteil in Schach halten – doch 2013 gelingt es

ihnen, diesen Schutzwall zu durchbrechen.

Währenddessen wird Java von allen Seiten angegriffen und rückt in die Rangliste der heute am meisten ausgenützten Software auf.

Adobes monatlicher Patching-Zyklus (Oracle patcht nur quartalsweise) ermöglichte es dem Anbieter, schneller auf Kundenberichte

über Sicherheitslücken zu reagieren. Trotz dieser Gegenmaßnahmen durch die Anbieter brachten die vielen Zero-Day-Exploits die

Sicherheitslandschaft durcheinander. Sie führten nochmals die Bedeutung des vorsichtigen Umgangs mit dem Internet und des Einsatzes

proaktiver Lösungen vor Augen.

seite 3 | SicherheitSbericht – 1. Quartal 2013


Cybercrime: Alte Bedrohungen kehren zurück

Exploit Kits mischen die Szene nochmals auf

• Das „Blackhole Exploit Kit“ umfasst nun Exploits für

Java-Sicherheitslücken. 4

• Das „Whitehole Exploit Kit“ (so genannt wegen der

Übernahme des „Blackhole Exploit Kit“-Codes mit

bemerkenswerten Unterschieden) tauchte ebenfalls in

diesem Quartal auf. 5

• Dann gab es noch das „Cool Exploit Kit“, das als High-

End-Version des „Blackhole Exploit Kit“ gilt.

„Browser Crasher“ wird plattformübergreifend

• Mit einer weiteren Bedrohung hatten Nutzer zu kämpfen:

Der „Browser Crasher“ lässt Browser hängenbleiben

oder abstürzen und funktioniert auf mehreren

Betriebssystemen. 6

• Über Tweets mit Links auf eine Webseite, die bösartigen

JavaScript-Code umfasst, köderten die Cyberkriminellen

die Nutzer, die danach Pop-up-Nachrichten in einer

Endlosschleife erhielten.

4 http://blog.trendmicro.de/blackhole-exploit-kit-greift-erneut-an/

5 http://blog.trendmicro.de/neu-whitehole-exploit-kit-tritt-in-die-stapfen-vonblackhole/

6 http://blog.trendmicro.com/trendlabs-security-intelligence/browser-crashers-hitjapanese-users/

Spam-Botnets verfeinern ihre Techniken

• Asprox, seit 2007 berüchtigt für die Unmengen

versandten Spams und angeblich seit 2008 nicht mehr

am Netz, ist mit einem modularen Framework wieder

präsent. 7

• Im Gegensatz zu früher nutzt Asprox jetzt

kompromittierte, legitime E-Mail-Konten, um Spam-

Filter zu umgehen, und außerdem die KULUOZ-

Malware als Dropper. 8

• Das Andromeda-Botnet, 2011 entdeckt, tauchte in

diesem Quartal wieder auf, und verschickte Spam

mit Links zu kompromittierten Websites mit dem

„Blackhole Exploit Kit“. 9 Neue Andromeda-Varianten

verbreiteten sich über Wechsellaufwerke und legten

Komponentendateien ab, um der Entdeckung zu

entgehen.

CARBERP zeigt wieder sein hässliches Gesicht

• Banktrojaner, als CARBERP-Varianten bekannt, tauchten

zum ersten Mal 2010 auf.

• Nachdem 2010 ein CARBERP Command-and-Control-

Server mittels „Sinkholing“ versenkt wurde, erschienen

Varianten der Schadsoftware, die neue Plug-Ins

herunterladen, um den Datenklau zu unterstützen. 10

• Auch mobile Versionen der Schadsoftware gab es, weil

immer mehr Menschen ihre Telefone und Tablet-PCs

auch für Banktransaktionen benützen. 11

10 http://blog.trendmicro.com/trendlabs-security-intelligence/carberp-banking-malwaremakes-a-comeback/

11 http://blog.trendmicro.com/trendlabs-security-intelligence/carberp-banking-malwaremakes-a-comeback/

7 http://blog.trendmicro.com/trendlabs-security-intelligence/asprox-reborn/

8 http://blog.trendmicro.com/trendlabs-security-intelligence/bkdr_kuluoz-at-a-spamnear-you/

9 http://blog.trendmicro.com/trendlabs-security-intelligence/carberp-sinkholefindings/

Anzahl der pro Monat entdeckten Botnetz-C&C-Server

Im März wurden die meisten

C&C-Server entdeckt. Es war die

bei weitem höchste Zahl an C&C-

Servern seit Juni 2012.

Die Angaben in diesem Diagramm

spiegeln die Zahl der bis zum

10. April 2013 beobachteten

Botnetz-C&C-Server wider.

MÄRZ

FEBRUAR

JANUAR

854

881

1.078

seite 4 | SicherheitSbericht – 1. Quartal 2013


Die zehn Länder mit der höchsten Anzahl an Botnetz-C&C-Servern

Vereinigte Staaten: 35,66%

Großbritannien: 2,60%

Deutschland: 3,41%

Italien: 2,28%

China: 5,72%

Südkorea: 6,51%

Taiwan: 2,17%

Brasilien: 2,35%

Australien: 10,88%

Wie bereits 2012 sind auch

im ersten Quartal 2013 in

den Vereinigten Staaten die

meisten Botnetz-C&C-Server

aktiv.

Chile: 1,71%

Wichtiger Hinweis: Das

Land, in dem der Botnetz-

C&C-Server gehostet

wird, ist nicht zwangsläufig

auch der Ort des aktiven

Bedrohungsvektors.

Anzahl der mit dem Botnetz verbundenen Computer, die pro Monat identifiziert wurden

Im März war die Zahl der

Computer, die C&C-Server

kontaktierten, am größten.

Allerdings handelte es sich

um Verbindungen zu C&C-

Servern, die schon vor März

entdeckt worden waren.

Botnetze können in einem

Monat weniger aktiv sein

und im nächsten wieder

mehr Aktivität zeigen – je

nach den Absichten des

Botnetz-Betreibers.

MÄRZ

FEBRUAR

JANUAR

1,4 Millionen

1,2 Millionen

2,5 Millionen

seite 5 | SicherheitSbericht – 1. Quartal 2013


Die zehn Länder mit der größten Anzahl von mit dem Botnetz verbundenen Computern

Österreich: 2,52%

Russland: 2,59%

Vereinigte Staaten: 28,12%

Italien: 10,46%

Südkorea: 21,27%

Macau: 6,40%

Japan: 2,82%

Taiwan: 2,49%

Indien: 1,75% Malaysia: 8,88%

Die Vereinigten Staaten

wiesen in den ersten

beiden Monaten des

Jahres die höchste Anzahl

an Computern auf, die

auf C&C-Server zugriffen.

Doch im März überholte

Südkorea die Vereinigten

Staaten, möglicherweise

als Folge der politischen

Spannungen in dem

Monat.

Gesamtzahlen aus Trend Micros „Smart Protection Network“

9B

8B

7B

430M

437M

Trend Micro schützte

die Anwender in diesem

Quartal vor durchschnittlich

2.400 Bedrohungen

pro Sekunde.

6B

5B

4B

3B

2B

390M

443M

4,7B

367M

414M

5,1B

7,3B

Anzahl des

blockierten Spams

Anzahl der blockierten

bösartigen Websites

Anzahl der blockierten

bösartigen Dateien

1B

5,6B

2.075

JANUAR

5,9B

2.211

FEBRUAR

8,2B

3.055

MÄRZ

Gesamtzahl der

blockierten Bedrohungen

Entdeckungsrate

(Zahl der pro Sekunde

blockierten Bedrohungen)

seite 6 | SicherheitSbericht – 1. Quartal 2013


Die drei größten Schädlinge

WORM_DOWNAD TROJ_ZACCESS/SIREFEF ADW_PRICEGONG

100.000

1.000

100

10

0

100.000

1.000

100

10

0

100.000

1.000

100

10

0

WORM_DOWNAD besetzte genau wie im vergangenen Jahr auch

in diesem Quartal wieder den Spitzenplatz, gefolgt von TROJ_

ZACCESS/SIREFEF. Die Anzahl der Adware stieg stark, allen voran

ADW_PRICEGONG. Diese Adware landete auf dem dritten Platz

und verdrängte die 2012 ergiebigste Schadsoftware PE_SALITY.

WORM_DOWNAD - 741K

TROJ_ZACCESS/SIREFEF - 274K

ADW_PRICEGONG - 234K

Große Unternehmen Kleine und mittlere Unternehmen Endverbraucher

NAME VOLUMEN NAME VOLUMEN NAME VOLUMEN

WORM_DOWNAD 364K WORM_DOWNAD 81K TROJ_ZACCESS/SIREFEF 163K

PE_SALITY 81K PE_SALITY 17K CRCK_KEYGEN 162K

PE_VIRUX 34K TROJ_ZACCESS/SIREFEF 14K ADW_PRICEGONG 157K

Die zehn größten blockierten bösartigen Domänen

Nahezu alle in diesem

Quartal blockierten Domänen

sind in bösartige Aktivitäten

verstrickt, vor allem Hosting

und die Verbreitung

von Malware. Lediglich

eine aus den Top-Ten

wurde wegen bösartigen

Inhalten in Verbindung mit

Kindesmissbrauch blockiert.

DOMÄNE

trafficconverter . biz

pu . plugrush . com

ads . alpha00001 . com

am10 . ru

www . trafficholder . com

www . funad . co . kr

www . ody . cc

cdn . bispd . com

h4r3k . com

www . dblpmp . com

GRÜNDE

bekannt für das Hosten und Verteilen von Würmern

schlechte Reputation

als C&C-Server bekannt, leitet um auf eine weitere

bösartige Website: enterfactory.com

ist bekannt für Pop-up-Nachrichten und Adware

wird in Verbindung gebracht mit Kindesmissbrauch

wird in Verbindung gebracht mit einem ADW_SEARCH-

SCOPE

wird in Verbindung gebracht mit verdächtigen Skripts

sowie Websites, die BKDR_HPGN.B-CN hosten

leitet um auf eine bösartige Website und wird in

Verbindung gebracht mit bösartigen Dateien, die

Schadsoftware verteilen

verteilt Trojaner

umfasst Spam und Schadsoftware

seite 7 | SicherheitSbericht – 1. Quartal 2013


Die zehn Länder als Quellen für die meisten bösartigen URLs

Mehr als 20 Prozent der

blockierten bösartigen

Domänen wurden in den

Vereinigten Staaten gehostet,

genauso wie schon 2012.

In den Vereinigten Staaten

und in Deutschland wurden

die meisten der blockierten

Domänen gehostet.

Diese Daten beziehen

sich auf die Anzahl der in

den Ländern gehosteten

bösartigen Sites. Die Besitzer

der bösartigen Sites stammen

nicht zwangsläufig aus den

identifizierten Ländern, haben

möglicherweise aber ihre

Domänen dort angemeldet.

24,63% Vereinigte Staaten

4,32% Deutschland

3,57% Niederlande

3,33% China

2,99% Südkorea

2,38% Russland

1,97% Japan

1,58% Frankreich

1,28% Großbritannien

0,63% Kanada

53,32% Andere

Die zehn gängigsten Spam-Sprachen

Der Großteil des Spams ist

in Englisch verfasst, da es

die am weitesten verbreitete

Sprache im Geschäftsleben,

im Handel und in der

Unterhaltung ist.

Deshalb versprechen sich

Spammer mehr Erfolg von

englischsprachigem Spam.

89,32%

1,59%

1,44%

1,36%

1,29%

0,48%

0,37%

0,32%

0,30%

0,15%

3,38%

Englisch

Chinesisch

Japanisch

Deutsch

Russisch

Italienisch

Portugiesisch

Spanisch

Slowakisch

Französisch

Andere

seite 8 | SicherheitSbericht – 1. Quartal 2013


Die zehn Länder, die den meisten Spam versenden

Indien, die Nummer Eins

im vergangenen Jahr beim

Versenden von Spam, fällt auf

den zweiten Platz hinter die

Vereinigten Staaten zurück.

Einige Länder der früheren

Top-Ten-Listen sind in

diesem Quartal komplett

herausgefallen. Dennoch ist

klar, dass Spamming weiterhin

ein weltweites Problem darstellt.

11,64% Vereinigte Staaten

7,70% Indien

4,28% China

3,97% Spanien

3,93% Taiwan

3,62% Peru

3,42% Russland

3,29% Vietnam

3,18% Weißrussland

2,68% Kolumbien

52,29% Andere

Sicherheitsprobleme

des digitalen Lebens

Feiertage und bedeutende Ereignisse

bleiben weiterhin effiziente Köder

• Ereignisse von großer historischer Bedeutung wie das

Konklave zur Wahl des neuen Papstes sowie dessen

Ankündigung wecken hohes Interesse – und das

lassen sich auch die Spammer und Hintermänner des

„Blackhole Exploit Kit“ nicht entgehen. 12

• Mit dem Forschungsprojekt „Google Project Glass“ im

Februar gingen auch neue Web-Bedrohungen einher,

einschließlich bösartiger Links auf betrügerische

Gewinnspiele. 13

• Das Spam-Aufkommen und die Zahl der bösartigen

Domänen stiegen kurz vor dem Valentinstag

ebenfalls schlagartig an – ein Beweis dafür, dass die

Cyberkriminellen immer noch aus diesen Ereignissen

Profit schlagen können. 14

12 http://blog.trendmicro.com/trendlabs-security-intelligence/spammers-bless-newpope-with-spam/

13 http://blog.trendmicro.com/trendlabs-security-intelligence/cybercriminals-hop-onthe-google-project-glass-bandwagon/

14 http://blog.trendmicro.com/trendlabs-security-intelligence/love-bugs-how-arevalentine-threats-looking-up/

Hacking haucht Zombies Leben ein

• Das Notrufsystem „Montana Emergency Alert System“

wurde gehackt – und „warnte“ Nutzer davor, dass „die

Körper der Toten sich aus den Gräbern erheben und

die Lebenden angreifen” 15

• Angriffe wie dieser zeigen, dass alles, was mit dem

Internet verbunden ist kompromittiert werden kann,

sogar öffentliche Infrastrukturen.

15 http://blog.trendmicro.com/trendlabs-security-intelligence/zombies-are-funnyuntil-someone-loses-an-eye/

seite 9 | SicherheitSbericht – 1. Quartal 2013

Das digitale Leben: Darunter

fällt das gesamte Ökosystem der

Online-Aktivitäten der Menschen

– wie beispielsweise Verhalten,

Identitäten, Privatsphäre, Social-

Engineering und soziale Netzwerke.

Der Verkauf von Nutzerdaten folgt seinem

eigenen Geschäftsmodell

• “Fullz” bezieht sich auf eine Sammlung von kritischen

Informationen, die über Namen, Adressen und

Kreditkartendaten hinausgehen. Typischerweise

werden sie gutgläubigen Nutzern gestohlen und von

Betrügern in Untergrundforen verkauft. 16

• Kriminelle nutzen verschiedene Tools und Techniken

für den Datendiebstahl. Zu den Techniken gehören die

Verbreitung von Schadsoftware für den Datenklau, die

Infektion von lohnenden Zielorganisationen und das

Beschaffen von leichtsinnig veröffentlichten Daten. 17

• Betrüger, die Nutzerinformationen verkaufen, agieren in

bestimmtem Rahmen, um neue Kunden zu gewinnen

und alte zu halten. 18

16 http://blog.trendmicro.com/trendlabs-security-intelligence/what-would-scammerswant-with-my-information/

17 http://blog.trendmicro.com/trendlabs-security-intelligence/business-modelsbehind-information-theft/

18 http://blog.trendmicro.com/trendlabs-security-intelligence/your-data-and-thebusiness-of-online-scam/


Nachrichten zu (tages-)aktuellen

Ereignissen waren im ersten

Quartal die am häufigsten

eingesetzten Köder – so etwa

die Papst-wahl, die die meisten

Schlagzeilen produzierte.

Technologiethemen wie „Google

Glass“ und „Windows 8“ gehörten

ebenfalls dazu.

Verwendete Social-Engineering-Köder

Candy Crush

Papst Franziskus

Google Glass

Windows 8

Valentinstag

Angebote des cyberkriminellen Untergrunds und Preise

(Am 16. Januar 2013)

PERSÖNLICHE DATEN

PREIS

LOG-IN-DATEN FÜR BankEN

Bank- und eCommerce-

Einwahldaten erzielen hohe

Preise im Untergrund – im

Vergleich zu denen für soziale

Medien. Außer dem Verkauf

von gestohlenen Daten bieten

Cyberkriminelle auch Dienste wie

das Ausliefern von Geräten an.

Bank of America

7.000 Dollar Saldo 300 US-Dollar

14.000 Dollar Saldo 500 Dollar

18.000 Dollar Saldo 800 Dollar

HSBC U.S.A.

12.000 Dollar Saldo 400 Dollar

28.000 Dollar Saldo 1.000 Dollar

HSBC Großbritannien

8.000 Dollar Saldo 300 Dollar

17.000 Dollar Saldo 700 Dollar

AUSLIEfern von Geräten

Laptop

Apple

240 Dollar

HP/Dell/Toshiba/Samsung

120 Dollar

Vaio

200 Dollar

Mobiltelefone/Tablets

iPhone 3GS

120 Dollar

iPhone 4G

150 Dollar

iPhone 4GS/iPad 2

180 Dollar

BlackBerry 130 Dollar

VERIFIZIERTES PAYPAL-KONTO (E-Mail und Kennwort)

1.500 Dollar Saldo 150 Dollar

2.500 Dollar Saldo 200 Dollar

4.000 Dollar Saldo 300 Dollar

7.000 Dollar Saldo 500 Dollar

seite 10 | SicherheitSbericht – 1. Quartal 2013


Mobile Bedrohungen: Web-Bedrohungen

betreffen auch mobile Nutzer

Phishing-Haken für mobile Nutzer

• Phishing ist im mobilen Bereich neu. 19

• 2012 waren Banken-Websites die am häufigsten

gefälschten mobilen Websites. 20

• Websites für Finanzdienstleistungen wurden in diesem

Quartal am häufigsten gefälscht. Dies zeigt, dass

Phisher immer dorthin gehen, wo Geld zu holen ist

– unabhängig davon, ob dies auf Computern oder

mobilen Geräten der Fall ist.

19 http://about-threats.trendmicro.com/us/mobilehub/mobilereview/rpt-monthlymobile-review-201302-mobile-phishing-a-problem-on-the-horizon.pdf

20 http://blog.trendmicro.de/phishing-wird-mobil/

Gefälschte Gaming-Apps werden zur

Bedrohung

Mobile Backdoors infizieren eine

Million Smartphones

• Eine Android-Schadsoftware-Variante, die Befehle

versenden und empfangen kann, wurde auf einer

Million Smartphones entdeckt. 21

• Die Malware kann ihre Skripte aktualisieren, um der

Entdeckung durch Anti-Malware-Systeme zu entgehen.

Mithilfe der Hintertür-Routinen können böswillige

Nutzer die infizierten Geräte kontrollieren.

Trend Micro hat diese Schadsoftware bereits im Juli

2012 aufgespürt.

21 http://blog.trendmicro.de/android-schadsoftware-fuhrt-remote-befehle-aus/

• Mobile Malware hat auch in diesem Quartal beliebte

Gaming-Apps missbraucht.

Trend Micro entdeckte gefälschte Versionen von

„Temple Run 2“ und nachgemachte Apps, die

Betrugsmöglichkeiten beim Spiel „Candy Crush Saga“

anbieten. 22 Diese Apps pushen aggressive Werbung

auf die infizierten mobile Geräte und sammeln

gleichzeitig persönliche Informationen der Besitzer.

22 http://blog.trendmicro.com/trendlabs-security-intelligence/fake-versions-oftemple-run-2-sprint-their-way-to-users/;

http://blog.trendmicro.com/trendlabssecurity-intelligence/dubious-developers-cash-in-on-candy-crush/

Arten entdeckter Mobile-Phishing-Websites

Finanz-Webseiten stellten

weiterhin die beliebtesten

Phishing-Ziele dar, auch im

mobilen Bereich. Die Anzahl

der mobilen Phishing-URLs

stieg um 54 Prozent – von

etwa 500 im ersten Quartal

2012 auf nahezu 800 im

Vergleichsquartal 2013.

Die Daten in diesem

Diagramm beziehen sich

auf die Anzahl bösartiger

URLs, die auf Webseiten mit

Schlüsselbegriffen aus dem

mobilen Bereich zeigen.

0,13%

0,39%

Geschäftscomputer

Internet-

Dienstleistungen

Finanzdienstleistungen

Grundstücke

Shopping

Social-Networking

Webmail-Services

26,90%

1,05%

3,41%

0,79%

0,39%

66,94% Andere

seite 11 | SicherheitSbericht – 1. Quartal 2013


Anstieg des Bedrohungsvolumens bei Android

600K

Trend Micro hatte

prognostiziert, dass Android-

Bedrohungen 2013 die

Millionenmarke überschreiten

werden – bereits Ende März

wurde die Hälfte überschritten.

Das beweist das anhaltende

Interesse der Cyberkriminellen

am mobilen Bereich. Ein Grund

für den Anstieg könnte auch

darin liegen, dass Google

mehr als die Hälfte der Anteile

am weltweiten mobilen

Gerätemarkt hält.

500K

400K

425K

Januar

462K

Februar

509K

März

Verteilung der Android-Bedrohungstypen

Wie schon 2012 sind auch in

diesem Quartal der Missbrauch

von Bezahldiensten und

Adware die größten

Android-Bedrohungen.

Beim Missbrauch von

Bezahldiensten geht es

darum, Nutzer für Dienste zu

registrieren, die überteuert

sind, während Adware

aggressiv Werbung auf die

infizierten Geräte pusht und

unter Umständen sogar

persönliche Informationen

–ohne Einwilligung des

Besitzers – einsammelt.

MISSBRAUCH

VON BEZAHL-

DIENSTEN

ADWARE

DatEN/

InformationS-

DIEBSTAHL

BÖSARTIGE

downloader

HackINGtoolS

BACKDOOR/

FERN-

STEUERUNG

ANDERE

47,72% 31,99% 11,34% 6,41% 2,09% 2,58% 1,08%

Die Verteilungsdaten beruhen

auf den 20 am weitesten

verbreiteten mobilen

Schädlings- und Adware-

Familien, die 88 Prozent

der mobilen Bedrohungen

ausmachen, die durch

Trend Micros „Mobile App

Reputation Service“ in den

ersten drei Monaten 2013

gefunden wurden. Eine mobile

Bedrohungsfamilie kann das

Verhalten von mehr als einem

Bedrohungstypus aufweisen.

seite 12 | SicherheitSbericht – 1. Quartal 2013


Die zehn gängigsten Android-Malware-Familien

Gefälschte Apps stellen

weiterhin eine erhebliche

mobile Gefahr dar. Bösartige

Apps, die zu den FAKEINSTund

OPFAKE-Familien

gehören, sind dafür bekannt,

beliebte Apps zu imitieren, um

Nutzer dazu zu verführen, sie

herunterzuladen.

31,50%

27,04%

5,65%

2,73%

2,70%

2,38%

2,38%

2,27%

1,53%

1,49%

20,33%

FAKEINST

OPFAKE

GINMASTER

BOXER

SNDAPPS

JIFAKE

KUNGFU

FAKEDOC

KMIN

KSAPP

Andere

Länder mit dem höchsten Risiko einer Datenschutzverletzung durch Apps

Saudi-Arabien

Indien

Myanmar (Burma)

Philippinen

Malaysia

Brasilien

Hongkong

China

Frankreich

Türkei

5,53%

4,61%

4,48%

10,78%

7,58%

4,92%

7,26%

5,74%

5,11%

6,05%

Für Android-Nutzer aus Saudi-Arabien war das Risiko einer Datenschutzverletzung

am höchsten. Das könnte auch daran liegen, dass nahezu alle mobilen Nutzer in dem

Land auf mobile Werbung „anspringen“ – und die kann von Entwicklern kommen, die

damit Geld verdienen wollen.

Die Rangliste beruht auf dem Prozentsatz der Apps, die mit „Risiko für die

Vertraulichkeit” eingestuft wurden – im Vergleich zur Gesamtzahl der gescannten

Apps pro Land. Die Rangliste beschränkt sich auf Länder mit mindestens 10.000

Scans. Die Bewertungen beruhen auf der vierteljährlichen Analyse der in Echtzeit

entdeckten Bedrohungen über „Trend Micro Mobile Security Personal Edition“.

seite 13 | SicherheitSbericht – 1. Quartal 2013


Länder mit den meisten Downloads bösartiger Android-Apps

5,98%

6,06%

Myanmar (Burma)

Indien

Saudi-Arabien

Russland

Ukraine

Malaysia

Philippinen

Türkei

Indonesien

Italien

3,03%

3,50%

7,19%

7,25%

5,26%

9,50%

3,11%

4,10%

Der Großteil der Länder, in denen das Risiko des Downloads von bösartigen Apps sehr

hoch ist, befindet sich in Asien, an erster Stelle steht Myanmar (Burma).

Die Rangliste beruht auf dem Prozentsatz von Apps, die als „bösartig“ eingestuft

wurden, im Vergleich zur Gesamtzahl der gescannten Apps im jeweiligen Land. Die Liste

beschränkt sich auf Länder mit mindestens 10.000 Scans. Die Bewertungen beruhen auf

der vierteljährlichen Analyse der in Echtzeit aufgespürten Bedrohungen mithilfe von „Trend

Micro Mobile Security Personal Edition“.

Länder mit den meisten Downloads von Apps mit hohem Akku-Verbrauch

35,45%

33,13%

36,11%

31,94%

35,76%

31,90%

Algerien

Großbritannien

China

Kanada

Indien

Vereinigte Staaten

Irland

Deutschland

Philippinen

Japan

34,58%

42,39%

34,94%

31,90%

Die Nutzer aus Algerien luden die meisten Apps mit hohem Akku-Verbrauch herunter, dicht gefolgt von denen aus Großbritannien und China. Algerien

steht in Afrika an neunter Stelle bezüglich der Internetnutzung und wird deshalb wahrscheinlich zu einem lohnenden Ziel für Webbedrohungen.

Die Rangliste beruht auf dem Prozentsatz an Apps, die als „Stromfresser” eingestuft wurden im Vergleich zur Gesamtzahl der pro Land gescannten

Apps. Die Liste beschränkt sich auf Länder mit mindestens 10.000 Scans. Die Bewertungen beruhen auf der vierteljährlichen Analyse der in Echtzeit

mithilfe von „Trend Micro Longevity“ entdeckten Bedrohungen.

seite 14 | SicherheitSbericht – 1. Quartal 2013


APTs und gezielte Angriffe: Im Stealth-Modus

„MBR Wiper“ greift gezielt Südkorea an

• Mitte März wurden bestimmte südkoreanische Ziele

von einem Trojaner angegriffen, der den „Master Boot

Record“ (MBR) löscht. 23

• Die Angriffe unterbrachen die Geschäftstätigkeit der

Zielorganisationen, indem sie sowohl die Client-

Rechner als auch die Server herunterfuhren und ein

Hochfahren nicht mehr möglich war.

• Die Analyse der gefundenen Samples zeigte, dass

der MBR der infizierten Computer entweder mithilfe

verschiedener Zeichenfolgen überschrieben wurde,

oder bestimmte Dateien/Verzeichnisse gelöscht

worden waren. Die Folge war, dass auf die betroffenen

Computer entweder nur sehr beschränkt oder gar nicht

mehr zugegriffen werden konnte.

„FAKEM RAT“ mischt sich mit dem

normalen Netzwerkverkehr

• Wie die meisten „Remote-Access-Trojaner“ (RATs)

umgeht auch FAKEM die Entdeckung, indem er sich

unter den normalen Netzwerkverkehr mischt. 24

• Anders als andere RATs jedoch imitiert FAKEM-

Netzwerkverkehr den von Windows Messenger, Yahoo!

Messenger oder HTML, um sich zu verstecken. 25

24 http://blog.trendmicro.de/fakem-remote-access-trojaner-protokolle-als-versteck/

25 http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/whitepapers/wp-fakem-rat.pdf

23 http://blog.trendmicro.de/der-koreanische-mbr-wiper-angriff-startete-mit-einerspam-mail/

RARSTONE-Hintertürschädling imitiert

PlugX

• Wie auch PlugX lädt der RARSTONE-

Hintertürschädling eine ausführbare Datei in den

Hauptspeicher eines infizierten Computers. Außerdem

hat er noch eine Reihe eigener Tricks auf Lager. 26

• RARSTONE verschleiert seine ausführbaren Dateien,

indem er einen Backdoor-Schädling direkt in den

Hauptspeicher lädt, statt ihn auf dem Computer

abzulegen. Anders als PlugX jedoch kommuniziert er

über SSL (Secure Socket Layer) mit verschlüsseltem

Datenverkehr, und mischt sich somit unter den

normalen Verkehr.

26 http://blog.trendmicro.de/ein-neuer-hintertur-trojaner-phisht

seite 15 | SicherheitSbericht – 1. Quartal 2013


FAKEM versus RARSTONE: RAT-Techniken

FAKEM

RARSTONE

kommt über

Spearphishing-

E-Mails

kommt über

Spearphishing-

E-Mails

Trotz einiger Unterschiede in

den Routinen haben sowohl

FAKEM als auch RARSTONE

neue Mittel, um einer

Entdeckung durch die meisten

Anti-Malware-Lösungen zu

entgehen.

EXE

HTML

üblicherweise getarnt

als Dateien, die häufig

im Unternehmen

verwendet werden

(beispielsweise

.DOC, .XLS und

.PDF)

legt eine .EXE-

Datei ab, die eine

verschlüsselte

Kommunikation mit

C&C-Servern startet

erzeugt Netzwerkverkehr,

der Yahoo!

Messenger-, Windows

Messenger,- und

HTML-Verkehr imitiert

üblicherweise

getarnt als Dateien,

die häufig

im Unternehmen

verwendet werden

(beispielsweise .DOC,

.XLS und .PDF)

legt eine .EXE-

Datei ab, die eine

Kopie hinterlässt,

DLL

die dann einen

versteckten Prozess

im Internet Explorer öffnet

und bösartigen Code in den

Computer-Hauptspeicher

einschleust. Der Code

entschlüsselt sich selbst

und lädt eine .DLL-Datei

von einem C&C-Server

herunter und legt sie im

Hauptspeicher ab.

kommuniziert mit

einem C&C-Server

über SSL

SSL

seite 16 | SicherheitSbericht – 1. Quartal 2013


Über Trend Micro

Über TRENDLABS

Trend Micro, der international führende Anbieter für Cloud-

Security, ermöglicht Unternehmen und Endanwendern den

sicheren Austausch digitaler Informationen. Als Vorreiter

bei Server-Security mit mehr als zwanzigjähriger Erfahrung

bietet Trend Micro client-, server- und cloud-basierte

Sicherheitslösungen an. Diese Lösungen für Internet-Content-

Security und Threat-Management erkennen neue Bedrohungen

schneller und sichern Daten in physischen, virtualisierten und

Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-

Infrastruktur des Trend Micro Smart Protection Network

basierenden Technologien, Lösungen und Dienstleistungen

wehren Bedrohungen dort ab, wo sie entstehen: im Internet.

Unterstützt werden sie dabei von mehr als 1.000 weltweit

tätigen Sicherheits-Experten. Trend Micro ist ein transnationales

Unternehmen mit Hauptsitz in Tokio und bietet seine

Sicherheitslösungen über Vertriebspartner weltweit an.

TrendLabs ist ein multinationales Forschungs-, Entwicklungsund

Support-Zentrum mit einer flächendeckenden regionalen

Präsenz. TrendLabs überwacht rund um die Uhr Bedrohungen,

verhindert Angriffe und stellt erforderliche Lösungen zeitnah

und lückenlos bereit. In den Laboren arbeiten weltweit mehr als

1.000 Bedrohungsexperten und Support-Techniker. Dadurch

kann Trend Micro die Bedrohungslandschaft rund um die Welt

ständig überwachen, Echtzeitdaten zur Erkennung, Abwehr und

Prävention von Angriffen liefern, Technologien zur Bekämpfung

neuer Bedrohungen erforschen und analysieren, gezielte

Bedrohungen in Echtzeit abwehren und Kunden weltweit darin

unterstützen, Schäden auf ein Minimum zu begrenzen, Kosten zu

reduzieren und Betriebsabläufe zu stabilisieren.

http://www.trendmicro.de/

http://blog.trendmicro.de/

http://www.twitter.com/TrendMicroDE

©2013 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro

Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.

Weitere Magazine dieses Users
Ähnliche Magazine