Malware-Trends Agenda. !! Kurzvorstellung G DATA Security Labs!! Malware-Report Juli Dezember 2008!! Neue Verbreitungswege von Malware

Transkript

1 Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Geschützt. Geschützter. G DATA. Agenda!! Kurzvorstellung G DATA Security Labs!! Malware-Report Juli Dezember 2008!! Neue Verbreitungswege von Malware! & Spam! Webseiten!! Botnetze

2 Security Labs: Aufgaben!! Entwicklung von Schutzkonzepten!! Integration in Schutzsoftware!! Risiko-Szenarien!! Kundeninformationen!! Tests! Lizenzprodukte! Eigene Technologien Malware sammeln Spamtraps WebCrawler Honeypots Tauschprg. Kunden

3 Zahlen zur Malwaresammlung!! Samples: !! Malware: !! Zum Vergleich: AV-Test!! aktive Schädlinge letzte Woche in D!! aktive Schädlinge letzte Woche weltweit Malware sammeln Monat Viren Samples SigKAV SigAVA Summe

4 Malware analysieren Manuelle Detailanalyse Datei -eigenschaften Statische Dynamische Analyse/ Graphen Analyse/ Sandbox Multiscanner Datenbank Malware analysieren!! Zweckgebunden!! Weitgehend automatisiert!! Tools zum Ermitteln von Oberflächeninformationen!! Dynamische Analyse mit CWSandbox!! Statische Analyse u.a. mit Graphen

5 Agenda!! Kurzvorstellung G DATA Security Labs!! Malware-Report Juli Dezember 2008!! Neue Verbreitungswege von Malware! & Spam! Webseiten!! Botnetze Malware-Report 2008 H2!! 2008: neue Schädlinge ca. 6,7 Mal mehr als 2007!! neue Schädlinge im 2. Halbjahr Steigerung um das 1,8 fache gegenüber dem ersten Halbjahr

6 Malware-Report 2008 H2 Malware-Report 2008 H2

7 Malware-Report 2008 H2!! JavaScript Malware nimmt ab (1910 vs 2650)!! Flash-Malware nimmt zu (321 vs 231) Flash-Phishing

8 Agenda!! Kurzvorstellung G DATA Security Labs!! Malware-Report Juli Dezember 2008!! Neue Verbreitungswege von Malware! ! Webseiten!! Botnetze Verbreitungswege von Malware!! !! Webseiten! Download! Drive-By Infektion!! Net-Worm!! Instant Message WLAN!! USB-Datenträger!! CDs, DVDs!! P2P

9 GetCodec im Media Player GetCodec im MediaPlayer!! WMV/WMA enthalten eine Sektion, die den erforderlichen Codec bestimmen.!! Diese Sektion wird so manipuliert, dass der Media Player einen Codec verlangt.!! Spätere Varianten auch mit MP3 und MP2 Dateien.

10 Der Trick mit den Links!! Rechnung.zip enthält! Rechnung.txt.lnk! Zertifikat.ssl!!

11 Schlagzeilen Top 10 CNN-News 1. SUSPECT IN BEHEADING IDENTIFIED 2. JUDGE TAKEN OFF LAST JENA 6 CASES 3. PEOPLE MAG GETS PITT-JOLIE PIX 4. ATTACK IN TORONTO CALLED RACIAL 5. IREPORTERS' UNUSUAL NAMES 6. MOTHER PLEADS FOR CHILD'S RETURN 7. KARADZIC: I MADE DEAL WITH U.S. 8. SUSPECT ARRESTED IN SWIM KILLINGS 9. ANTHRAX SUSPECT APPARENT SUICIDE 10. MCCAIN: OBAMA CRITICISM 'FAIR' Videos Top 10 CNN-News 1. MONTAUK 'MONSTER' 2. RACY PHOTOS OF TODDLER'S MOM 3. NEWS OF THE ABSURD EPISODE POLICE BEATING DISPUTE 5. MOM PLEADS FOR GIRL'S RETURN 6. DEFENDANT FAKES HEART ATTACK 7. KILLER CARRIED VICTIM'S HEAD 8. MURDER CONFESSION RECANTED 9. ANTHRAX SUSPECT'S HOME 10. HECKLERS INTERRUPT OBAMA TALK

12 Promi-Spam Promi-Spam Femmes % Angelina Jolie 18 % Britney Spears 9,8 % Paris Hilton 8,8 % Madonna 2 % Pamela Anderson 1,9 % Hommes % Osama bin Laden 3,4 % Brad Pitt 1,8% John McCain 1,4 % Georg W. Bush 1,2 % Barack Obama 1,1 %

13 Falsche Freunde Spam-Trends! Täglich ca. 130 Mia. Spam-Mails! 85% Spam per Botnetz! Spam Phishing! Spam Malware (Dateien oder URLs)! Spam-Schutz = Malware-Schutz

14 Spam: Zahlen und Daten 2007: 84.6 % 2008: 74 % Spam-Trends! 80% aller Spam-Mails werden von 110 Gangs verschickt! 6 der Top 10 Spammer agieren in Osteuropa (Russland, Ukraine)

15 Top Spam Gangs Rang Land # 1 USA 62 2 Russland 9 2 Canada 9 4 China 4 5 Brasilien, Indien, Japan, Ukraine Insgesamt: 110 Gangs für 80% aller Spam-Mails 3 spamhaus.org, 12.Nov 2008 Spamerkennung! Absender! Whitelist & Blacklist! Realtime Blackhole List von Spam-Relays! Inhaltsfilter! Schlüsselwörter in Betreff oder Text! URL-Blocking! Eigenschaften (Heuristik)! Bayes-Filter erkennt Worthäufigkeiten! Meta! Greylisting! Hash database

16 Spamschutz: Textfilter Spamschutz: Textfilter

17 HTML TABLE <table border="0" width="74"> <TR valign=bottom> <td rowspan="2" nowrap>ne</td><td><font color="#ddc3eb">9</font></td> <td rowspan="2" nowrap> </TD><TD></TD> <td rowspan="2" nowrap>n</td> <TD><font color="#ebc3c5">s</font></td> <td rowspan="2" nowrap>! WE</TD> <TD><font color="#e3c3eb">r</font></td> <td rowspan="2" nowrap>m</td> <TD></TD> <td rowspan="2" nowrap>8</td> <TD></TD> <td rowspan="2" nowrap>0</td> <TD><font color="#c3ebc3">o</font></td></tr> <tr valign=bottom> <td nowrap>w</td> <td nowrap>casi</td> <td nowrap>o</td> <td nowrap>lco</td> <td nowrap>e BONUS $1</TD> <td nowrap>0</td> <td nowrap>!!!</td></tr></table>

18 Reputation unterlaufen!! CAPTCHAs von Fre ern knacken!! -Zugangsdaten per Phishing oder Spyware stehlen!! Missbrauch legitimer Hosting-Sites!! Seit Jan 2007 Google Docs-Spam!! Link zu Google Docs

19 Legitime Bildquellen!! Flickr!! ImageShack!! Live.com!! BlogSpot URL Redirection!! EXP=3D.../**http%3a//SPAMSITE.com/!! l&...&adurl=

20 Agenda!! Kurzvorstellung G DATA Security Labs!! Malware-Report Juli Dezember 2008!! Neue Verbreitungswege von Malware! & Spam! Webseiten!! Botnetze

21 Scareware

22

23

24

25

26 !"#!!$%&'()*+,-./!$%&'()*!".!**'.-+,-./ #!((0&'()*+,-./,-.1)20(&!32+,-./ 4'3'2!"0(*,5)26+,-./ #0((!.0$2!$%&'()*+,-./ 7"20(1(-3(!.+,-./ 7"2(040&'()*+,-./ 300$'$#0,%0+,-./ 5!(44('&07"20(+,-./ 80'$0'$#08%-$0$+,-./ "-$3)0&'01,+,-./ $-$*2-1!$%&'()*+,-./ 1,!$%&'(0$"-0*)$3+,-./

27 Aktionen Scareware Ihr PC ist infiziert

28 Scareware Scareware Auswahl!! Advanced Cleaner Free!! AntiMalware 2009!! AntiSpyware Pro XP!! Antivirus 2008 XP!! Antivirus 2010!! Antivirus Lab 2009!! Antivirus Security!! Antivirus XP 2008!! Drive Cleaner!! eantiviruspro!! ekerberos!! Error Digger!! Error Safe!! Internet Antivirus!! Micro Antivirus 2009!! MS Antivirus!! Online PC Guard!! Personal Antispy!! Power Antivirus!! Power Antivirus 2009!! Privacy Protector!! Rapid Antivirus!! Smart Antivirus 2009!! System Antivirus 2008!! Total Secure 2009!! Virus Remover 2008!! Virus Response Lab 2009!! Win AntiVirusPro 2007!! Win Fixer!! Windows Antivirus!! WinX Security Center!! XP Antispyware 2009!! XP Antivirus!! XP Protector 2009 Scareware verboten!! 11. Dezember 2008: FTC untersagt Innovative Marketing, Inc. und ByteHosting Internet Services, LLC den Verkauf ihrer angeblichen Schutzprogramme Das Vermögen der Firmen wird eingefroren.

29 Cross Site Scripting (XSS) Funktionsweise XSS!! nachname=&strasse=&plz=&ort=&mailadresse=&anfragetext= &eintrag=ok&send=abschicken&vorname=%22%3e%3cdiv %20style%3Dposition%3Arelative%3Bleft%3A-12pt %3Btop%3A-413pt%3Bbackground-color%3Awhite %3Bwidth%3A95%25%3B%3E %3Ch2%3EDie %20Linke%20stimmt%20f%C3%BCr%20Hotte%20K %C3%B6hler%3C%2Fh2%3ESelbstverst%C3%A4ndlich %20wurde%20auch%20diese%20Meldung %20%C3%BCber%20eine%20XSS-L%C3%BCcke %20eingeschmuggelt.%3C%2Fdiv%3E%3Cdiv%3E

30 XSS Cheat Sheet!! <SCRIPT SRC= <IMG SRC=javascript:alert('XSS')>!! <IMG SRC=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69& #x70&#x74&#x3a&#x61&#x6c&#x65&#x72&#x74&#x28& #x27&#x58&#x53&#x53&#x27&#x29>!! <BODY BACKGROUND="javascript:alert('XSS')">!! <BGSOUND SRC="javascript:alert('XSS');">!! <BODY ONLOAD=alert('XSS')> Vgl.: XSS - potential!! Defacements!! Daten aus Formularen stehlen (e.g. Login-Seiten, Online Banking)!! Cookies stehlen (z.b. auf einer Webseite Befehle im Namen des Cookie-Eigentümers ausführen)!! Wurm!! JavaScript Proxy!! Port Scanner

31 ClickJacking!! Einstellungen von Flash so ändern, dass die Webcam angeschaltet wird Funktionsweise Drive-by Infektion!! <iframe src=" visibility="hidden"...>!! <script... src="boese.js">!! <img... src="boese.js">!! JavaScript nutzt Sicherheitslücken im Browser und Browser-Plugins

32 !! search item: "foo" SQL Injection!! SELECT info, title FROM mytable WHERE s like '%foo%' SQL Injection!! search item "foo' ; GO EXEC cmdshell('format C') --"!! SELECT info, title FROM mytable WHERE s like '%foo' ; GO EXEC cmdshell('format C') --%'!! This command would delete everything on drive C:

33 SQL Injection - potential!! Spy on data!! Data manipulation (e.g. insert malicious IFRAME to resulting web page)!! Create new users!! Access to file system = compromise database machine!! "<sc" + "rip" + "t>" Code Verschleierung!! var oiwetdkfjer = decode; var rierjwtlkjfre = oiwetdkfjer rierjwtlkjfre("%3c %73%63%72%69%70%74%3E");!! Whitespace (0x0A, 0x0D)!! document.write(unencode("% 3C %73%63%72%69%70%74%3E ");

34 Code Verschleierung unescape('%3c%73%63%72%69%70%74'); <script> var s='3c '; var o=''; for(i=0;i<s.length;i=i+2) { o=o+'%'+s.substr(i,2);} document.write(unescape(o)); </script> Code-Verschleierung!! xml var if function document domain send return path wdate select name begin new index www dc expires encodeuricomponent http com POST script wormdoorkut div end getcookie orkut

35 JavaScript Encoder - Input <SCRIPT> alert('xss'); </SCRIPT> JavaScript Encoder - Output <script language=javascript> document.write(unescape('%3c%73%63%72%69%70%74%20%6c%61%6e %67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E %66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B %76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E %73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D %31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F %72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B %69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D %43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F %64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E %6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D %65%6E%74%2E%77%72%69%74%65%28%75%6E %65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F %73%63%72%69%70%74%3E')); df('%264dtdsjqu%264f%2631bmfsu%2639%2638ytt%2638%263%3a%264c %2631%264D0TDSJQU%264F%261B1') </script>

36 JavaScript Encoder dekodiert <script language="javascript"> function df(s) { var s1=unescape(s.substr(0,s.length-1)); var t=''; for(i=0;i<s1.length;i++)t +=String.fromCharCode(s1.charCodeAt(i)- s.substr(s.length-1,1)); document.write(unescape(t));} </script>')); df('&4dtdsjqu&4f&31bmfsu&39&38ytt&38&3:&4c&31 &4D0TDSJQU&4F&1B1') </script> JavaScript Packer!! Dojo Shrink Safe!! MOOtools!! Dean Edwards Packer Überblick auf.:

37 Agenda!! Kurzvorstellung G DATA Security Labs!! Malware-Report Juli Dezember 2008!! Neue Verbreitungswege von Malware! ! Webseiten!! Botnetze Cybercrime-Ökonomie Infrastruktur!! Handelsplattform!! Botnetze!! Hosting Zulieferer!! Malware!! Exploits!! AntiDetection!! Tools!! Daten Anbieter!! Spam!! DDoS!! Phishing!! Adware!! Ransomware!! etc... Kunden Dealer Werbung Cashing!! MoneyMule!! Carder!! Drops!! etc...

38 Botnetze Botnetze Größe : shadowserver.org

39 Botnetze C&C : shadowserver.org Geografische Verteilung : shadowserver.org

40 Botnetze C&C Locations Quelle: Shadowserver.org Zombie Activity Level

41 Zombie static vs. dynamic Botnetze!! Q4 2008: neue Zombies pro Tag

42 Top 5 Spam Botnetze Pos Name #Bots #Spam 1 Srizbi Mia/d 2 Bobax/ Kraken Mia/d 3 Rustock Mia/d 4 Cutwail Mia/d 5 Storm Mia/d Quelle: Malware-Report 2008 H2

43 Erpressung!! Verteilte Überlastangriffe (DDoS)! Mailserver! Webserver : shadowserver.org Malware-Report 2008 H2

44 Geschützt. Geschützter. G DATA