Halbjahresbericht zur Websicherheit 2011 Blue Coat Systems, Inc. 30. Juni 2011

Transkript

1 Halbjahresbericht zur Websicherheit 2011 Blue Coat Systems, Inc. 30. Juni Übersicht Innovation schafft Gelegenheit, auch für den Untergrund. Web- und Mobilitätsinnovationen zielen auf Benutzerfreundlichkeit, Verfügbarkeit und die Erreichung eines großen Zielpublikums ab, schaffen dabei aber auch Gelegenheiten für Cyberkriminalität. Denn die Sicherheit kommt meist an zweiter Stelle und rückt erst in den Vordergrund, nachdem bereits über längere Zeit hinweg Angriffe und Sicherheitsprobleme aufgetreten sind. In genau dieser Phase befinden wir uns Mitte des Jahres Die Mehrheit der Webbedrohungen wird nun über vertrauenswürdige und beliebte Websites verbreitet, die von Hackern benutzt werden. Reputationsbasierte Schutzmechanismen werden daher zunehmend wirkungslos. Die einst versteckte Linkfarm zur Manipulation von Suchmaschinen ist nun innerhalb beliebter Websites zu finden. Linkfarmen verbergen sich nur noch ausnahmsweise hinter zwielichtigen Domänen oder exotischen Webstandorten. Phishing-Angriffe gehen in großer Zahl von beliebten und vertrauenswürdigen Websites aus, die von Cyberkriminellen gehackt wurden. Dass zunehmend Benutzeridentitäten und -IDs in großem Umfang von Cyberkriminellen gesammelt werden, bekräftigt die Befürchtungen hinsichtlich Phishing-Angriffen und Advanced Persistent Threats (APTs), die Organisationen und Benutzer gezielt angreifen. Die Vergiftung von Suchmaschinen (Search Engine Poisoning, SEP) gilt derzeit als Nummer eins unter den Verbreitungsmethoden für Webbedrohungen. Dabei haben Bildersuchen als mittlerweile häufigster Malware-Überträger die Textsuchen überholt. Raubkopierte Filme und Spiele sowie nicht jugendfreie Inhalte sind ideale Lockmittel, da neue Geräte eine hochauflösende Entertainment-Umgebung für Benutzer bieten. Häufig werden Webseiten dynamisch für SEP-Angriffe erstellt, was zeigt, wie wichtig Schutzmechanismen auf der Basis von Inhaltsklassifizierungen und Bedrohungsanalysen in Echtzeit sind. Auch Spam-Nachrichten über raubkopierte Filme und Spiele erleben ein Comeback. Sie enthalten gefälschte Codecs oder Warez, die zu Malware führen. Die Websites, denen wir vertrauen, sind für Cyberkriminelle das Tor in unser Leben. Da Websites heute Tausende dynamische Weblinks zu verschiedensten Inhaltstypen und Quellen enthalten, haben sich Neuerungen wie Malvertising Mitte 2011 als zweithäufigste Verbreitungsmethode für Webbedrohungen etabliert. Dabei wartet das Cyberverbrechen in mehrschichtigen Ad-Server-Netzwerken geduldig ab, wählt Ziele selektiv aus und bewertet Schwachstellen. Wenn sich eine gute Gelegenheit ergibt, wird zugeschlagen. Geduld und selektive Analyse erzielen größere Effekte als die Massenverseuchungen der letzten Jahre. Wöchentliche Analysen zeigen ein konstantes SEP-Volumen mit gezeitenartigen Höchst- und Tiefständen. Beim Malvertising verzeichnen die Diagramme viele Spitzen und Täler, da das Angriffsvolumen von Tag zu Tag oft auch innerhalb von 24 Stunden stark schwankt. Untersuchungen zu dynamischen Weblinks ergeben, dass die Cyberkriminalität rasch auf neue Domänen und IP-Adressen übergeht, und zwar schneller als in den vergangenen Jahren. Auch wenn einige langlebige kriminelle Sites bestehen bleiben, geht der Trend dahin, schnell zu neuen Identitäten und Orten zu wechseln, um einer Erkennung zu entgehen.

2 Bei der Betrachtung der User-Agents gibt es zwar einige Mac-Benutzer, die nach raubkopierten Produkten und nach Bildern suchen und so mit bekannten Malware-Überträgern in Berührung kommen. Da sich die Angreifer derzeit jedoch hauptsächlich auf Windows-Benutzer konzentrieren, fühlen sich viele Mac-Benutzer sicher vor Cyberkriminalität. Sobald sich der Fokus der Cyberkriminellen auf den Mac verschiebt, werden diese Benutzer ungesichert dastehen. Es wäre nicht überraschend, wenn noch vor Ende des Jahres 2011 auch Mac-Benutzer mit dem Problem der Webbedrohungen zu kämpfen hätten. Nachverfolgung von Malware-Netzen Die verwendeten Köder sind dynamisch, ebenso wie die eigentliche Schadsoftware. Aber auch die Verwaltung und der Betrieb der Infrastruktur der Netzwerke zur Malware-Verbreitung sind (zeit- )aufwendig. Während es einfach ist, unsere Aufmerksamkeit mit Sensationsmeldungen oder Klatschgeschichten zu erlangen, setzt die Nutzung solcher Nachrichten als Lockmittel ein Malware- Netzwerk voraus, das in der Lage ist, Web-Nutzer effektiv zu kanalisieren. Die folgende Abbildung des Cloud-Sicherheitsdienstes Blue Coat WebPulse, der von den Blue Coat Security Labs betrieben wird, zeigt Websites, die für die Verbreitung von Webbedrohungen bekannt sind, sowie ihre Verflechtung untereinander. Netzwerke zur Malware-Verbreitung (Malware Delivery Networks, MDN) erstrecken sich über mehrere Websites viele davon populär und vertrauenswürdig, um der Erkennung durch Reputationsanalysen zu entgehen. Es ist heute an der Tagesordnung, dass sich Überträger von Webbedrohungen und Phishing-Angriffen in gängigen Websites verstecken. Und nur selten sind dabei alle Angriffselemente innerhalb einer einzigen Website positioniert. Abbildung 1: Netzwerke zur Malware-Verbreitung und ihre verknüpften Websites

3 Die grafische Darstellung veranschaulicht sehr gut, wie das große Malvertising-Netzwerk in der Bildmitte ahnungslose Benutzer in den Angriff hineinzieht. Man sieht auch, wie andere kleine Kreise aus verknüpften Websites dynamisch zusammenarbeiten, um Benutzer zu erfassen und Webbedrohungen zu verbreiten. Die vertikalen Reihen von ovalen Feldern (Websites) oben in der Mitte sind sogenannte Pornografieleitern. Die Anzahl der einzelnen Malware-Netze variiert von Tag zu Tag. Im ersten Halbjahr 2011 lag die Zahl der an einem einzelnen Tag aktiven Malware-Netze zwischen knapp 100 und weniger als 25. Diagramm 1: Anzahl der aktiven Netzwerke zur Malware-Verbreitung pro Tag Diagramm 1 zeigt die Anzahl der einzelnen Malware-Netze, die am jeweiligen Tag erkannt wurden. Auffällig ist dabei der Rückgang Mitte Mai, als sich viele Netzwerke verlagerten und zusammengelegt wurden.. Insgesamt wurden Ende Mai 395 einzelne Malware-Netze beobachtet. In den letzten 30 Tagen des Diagrammzeitraums wurden durchschnittlich 50 Malware-Netze pro Tag erfasst. In Tabelle 1 sind die Netzwerke zur Malware-Verbreitung nach der Anzahl der Angriffs-Hosts sortiert. Die Tabelle zeigt sowohl die durchschnittliche Anzahl der Knoten als auch die minimale und maximale Anzahl an Knoten im Verlauf des ersten Halbjahrs, was die Dynamik dieser Netzwerke ver deutlicht. Tabelle 1: Die 10 größten Netzwerke zur Malware-Verbreitung nach Anzahl der eindeutigen Hostnamen Netzwerk zur Malware- Verbreitung Anzahl der Hosts Durchsc hnitt Min. Max. Primäre schädliche Aktivitäten

4 Shnakule Drive-by-Downloads, gefälschte Antivirensoftware, Codecs, Flash-Updates, Warez und Firefox-Updates sowie Botnetz-/C&C-Kontrollsoftware HINWEIS: Verknüpfte Aktivitäten sind Pornografie, Glücksspiele, Medikamente, Linkfarmen und Heimarbeit-Scams. Ishabor Gefälschte Antivirensoftware Cinbric Pornografie-bezogene Ransomware Naargo Pornografie-bezogenes Netzwerk HINWEIS: Obwohl es sich um kein ausdrückliches Malware-Netzwerk handelt, wird es aufgrund seiner verdächtigen Natur kontinuierlich überwacht und untersucht. Vidzeban Gefälschte Warez HINWEIS: Dieses Netzwerk umfasst viele russischsprachige Seiten. Thonaki Gefälschte Antivirensoftware Kulerib Drive-by-Downloads und Malware mit Glücksspiel-Thematik HINWEIS: Verknüpfte Aktivitäten sind Pornografie, Glücksspiele, Medikamente und Heimarbeit-Scams. Rabricote Verdächtige Linkfarmen Ananghee Gefälschte Antivirensoftware Albircpana Gefälschte Antivirensoftware und Drive-by-Downloads Ishabor, Kulerib, Rabricote und Albircpana wurden ursprünglich als selbständige Netzwerke eingestuft, inzwischen hat sich jedoch herausgestellt, dass sie Komponenten des größeren Shnakule-Netzwerks sind. Um zu veranschaulichen, wie die Größe der Netzwerke zur Malware-Verbreitung von Tag zu Tag schwankt, zeigt Diagramm 2 die Anzahl der eindeutigen Hostnamen (oder eindeutigen Angriffshosts), die pro Tag im April und Mai generiert wurden.

5 Diagramm 2: Eindeutige Hostnamen pro Tag bei den 10 größten Netzwerken zur Malware-Verbreitung Shnakule ist das wichtigste Netzwerk zur Malware-Verbreitung, während Cinbric und Vidzeban kleiner geworden sind. Ishabor war nur kurzlebig, zeigte jedoch in nur zwei Tagen über eindeutige Hostnamen, bevor es Teil von Shnakule wurde, um ein größeres Netzwerk zur Malware-Verbreitung zu bilden. Die dynamische Natur der Webangriffe ist in den Diagrammen und Tabellen deutlich zu erkennen. So wie Google Earth Städte, Straßen und Gebäude abbildet, veranschaulicht der Cloud-Sicherheitsdienst Blue Coat WebPulse Netzwerke zur Malware-Verbreitung. Im Gegensatz zu Gebäudeadressen ändern sich die Hostnamen jedoch sehr schnell. In Tabelle 2 sind die Malware-Netzwerke nach der Anzahl der Erstanfragen pro Tag (über einen Zeitraum von 60 Tagen) sortiert, die automatisch bei WebPulse-Klassifizierungsservern über Blue Coat ProxySG- Appliances eingingen. Während es in Tabelle 1 um die Größe der Netzwerke ging, bewertet diese Tabelle die Effektivität der Netzwerke bei der Gewinnung von Benutzern. Tabelle 2: Die 10 effektivsten Netzwerke zur Malware-Verbreitung nach Erstanfragen beim Klassifizierungsserver Netzwerk zur Malware- Verbreitung Anzahl der Anfragen Durchsc hnitt Min. Max. Primäre schädliche Aktivitäten Shnakule Ishabor Siehe Tabelle Siehe Tabelle 1

6 Shangvos Schädliche Downloads Tonenuro Gefälschte Antivirensoftware Ostroka Thonaki Siehe Tabelle 1 Vidzeban Siehe Tabelle 1 Ananghee Siehe Tabelle 1 Verdächtige Facebook-Umfragen und Scams Nakinakindu Drive-by-Downloads HINWEIS: Vermutlich eine Komponente von Shnakule Abewesban Gefälschte Antivirensoftware Für die Tabellen 1 und 2 wurden 15 Netzwerke zur Malware-Verbreitung ausgewählt. Dies ist jedoch nur ein kleiner Anteil der nahezu 400 Netzwerke zur Malware-Verbreitung, die unter der Beobachtung der Blue Coat-Security-Labs im ersten Halbjahr 2011 standen. Im folgenden Diagramm wurden Netzwerke zur Malware-Verbreitung nach der Anzahl der Erstanfragen an Klassifizierungsserver bewertet. Die Ergebnisse sind in Diagramm 3 dargestellt. Diagramm 3: Erstanfragen an Klassifizierungsserver pro Tag für die 10 wichtigsten Netzwerke zur Malware- Verbreitung

7 Das Diagramm zeigt die Anzahl der Web-Erstanfragen an Malware-Sites, die von den Cloud-basierten WebPulse-Klassifizierungsservern erfasst wurden. Die Klassifizierung wird in Echtzeit bereitgestellt und anschließend im Cache installiertierter ProxySG-Appliances gespeichert. Nachfolgende Webanfragen werden von den ProxySG mithilfe des URL-Klassifizierungscache lokal am Kundenstandort bewertet. Daraus folgt, dass die tatsächliche Anzahl der Webanfragen an diese Malware-Netze durch Benutzer hinter ProxySG-Appliances viel höher ist. Die Diagramme, Tabellen und Beschreibungen der Netzwerke zur Malware-Verbreitung sind zwar interessant und zeigen die Dynamik und den Umfang der Webbedrohungen, aber sie beantworten nicht die Frage, durch welche Aktionen die Benutzer diesen Netzen in die Falle gehen. Diagramm 4 zeigt die fünf wichtigsten Kategorien (oder Quellen), durch die ahnungslose Benutzer in die beobachteten Malware-Netze gelangen. Diagramm 5: Die fünf wichtigsten Kategorien für Eingangstore in Malware-Netzwerke Die Vergiftung von Suchmaschinen war im ersten Halbjahr 2011 der wichtigste Angriffsvektor. Malvertising beschränkt sich nicht auf bestimmte Kategorien und wird daher in Diagramm 5 nicht dargestellt, aber die Methode ist laut Untersuchungen der zweitwichtigste Malware-Einstiegspunkt. Konservative Netzwerke oder Hochsicherheitsnetzwerke entscheiden sich oft für die Blockierung von nicht klassifizierten Webanfragen, da diese der dritthäufigste Eintrittspunkt in Netzwerke zur Malware- Verbreitung sind. Soziale Netzwerke, Pornografie und s reihen sich an vierter Stelle ein. Tabelle 3 zeigt, welche Bedeutung die einzelnen Kategorien als Eintrittspunkte in die beobachteten Netzwerke zur Malware-Verbreitung haben. Tabelle 3: Die fünf wichtigsten Kategorien für Eingangstore in Malware-Netze nach Prozentanteil der Anfragen Durchschnitt Min. Max. Suchmaschinen/Suchportale 39,20 22,07 49,11 Nicht klassifiziert 10,53 1,16 20,10 6,90 2,04 20,19

8 Pornografie 6,70 1,59 11,85 Soziale Netzwerke 5,16 0,21 18,19 Die Tabelle macht deutlich, dass Suchanfragen nach nicht jugendfreien oder pornografischen Bildern eine wichtige Kategorie von Webanfragen sind, die es zu blockieren gilt. Menschen sehen sich nun einmal gern andere Menschen an, und das wird sich wahrscheinlich niemals ändern. Wie im Bericht zur Websicherheit 2011 von Blue Coat (Februar 2011) erwähnt, lag Pornografie bei der Verbreitung von Malware und Webbedrohungen an dritter Stelle. Der Bericht wies außerdem auf Spitzen von bis zu neuen Pornografie-Sites an einem einzigen Tag hin. Dies unterstreicht, wie wichtig ein Echtzeit- Webschutz ist, der neue Webinhalte klassifiziert und dynamische Weblinks zu bekannten Netzwerken zur Malware-Verbreitung oder auch völlig neue Webbedrohungen erkennt. Botnetz-Analyse: Gemeinsame Nutzung nachgewiesen Meldungen über zahlreiche Angriffe, gestohlene Identitäten, potenziellen Diebstahl von Quellcode und finanziellen Betrug rückten im ersten Halbjahr 2011 das Thema Sicherheit in den Vordergrund. Dies wird Änderungen an Schutzmechanismen, Richtlinien und Risikoprofilen vorantreiben. Die Trends hin zur gemeinsamen Nutzung von Ressourcen unter Cyberkriminellen und zu Malware für Massenmärkte sind ernst zu nehmende Entwicklungen, die auch eine Weiterentwicklung der Websicherheit erfordern. Tabelle 4 listet die Botnetze, C&C-Netzwerke (Command-and-Control), Trojaner und Würmer auf, die in den ersten fünf Monaten des Jahres 2011 am häufigsten entdeckt wurden. ZEUS ist bekannt für Finanzbetrug durch Key-Logging der Anmeldedaten für Online-Bankkonten. SALITY wird mit Daprosy in Verbindung gebracht, einem der zerstörerischsten Würmer der vergangenen zehn Jahre. KOOBFACE (ein Anagramm für Facebook) wird über soziale Netzwerke verbreitet und befällt Windows- und Mac- Systeme und in begrenztem Ausmaß sogar Linux-Systeme. Tabelle 4: Die produktivsten Botnetze, C&C-Netzwerke, Trojaner und Würmer 1. TROJAN-REGISTRY-DISABLER/Gen:Trojan.Heur.VB.dm0@gWscL@gi 2. ZEUS/MUROFET/SPYEYE 3. SALITY 4. Trojan-Downloader.Win32.Agent.eckq 5. Ein vermutlicher Spam-Trojaner (mittels Web-Reputation berechnet) 6. WALEDAC* 7. MEBROOT/SINOWAL/TORPIG 8. DELSNIF 9. HILOTI 10. TROJAN-PROXY/Trojan.Win32.Agent.didu/Win32/SpamTool 11 KOOBFACE 12 TDSS 13 PUSHDO/CUTWAIL/PANDEX 14 CARBERP 15 KAZY* 16 BREDOLAB*

9 *Viele der infizierten Knoten dieser Botnetze verwenden den gleichen Botnetz-Raum. (Das bedeutet, die Endbenutzersysteme sind mit mehreren Trojanern infiziert, die Botnetze generieren. Jeder Exploit führt Call-Home-Anfragen entsprechend seiner jeweiligen Funktion aus.) Es besteht also eine gemeinsame Nutzung von Botnetz-Räumen. Es ist bekannt, dass viele Botnetze ihre infizierten Knoten in einer symbiotischen Beziehung freigeben bzw. teilen (und zwar mit profitablerer Malware wie Ransomware, Pharmazie-Spams, Scams und verschiedenen anderen Exploits). Die Stichproben, die von den Blue Coat Security Labs analysiert und im Sandbox-Verfahren untersucht wurden, weisen dieses Merkmal auf. Websites durch die Prüfung von Zertifikaten zu bewerten und die Benutzer vor Sites mit nicht autorisierten Zertifikaten zu warnen, ist eine sinnvolle Vorgehensweise. Die Website des VirusTotal- Service, der von vielen Experten und Endbenutzern genutzt wird, um Dateien oder URLs mithilfe von mehr als 40 Anti-Malware-Engines auf Bedrohungen zu überprüfen, wurde laut Angaben von Kaspersky Lab Anfang Juni 2011 gefälscht. Die gefälschte Site verbreitet einen Wurm, der Benutzersysteme in ein Botnetz für DDoS-Angriffe (Distributed Denial of Service) einbindet. Gemäß Berichten, die Ende Mai von Net-security.org veröffentlicht wurden, kommuniziert die Site außerdem mit C&C-Servern (Commandand-Control), die Host-Eigenschaften aufweisen. Weitere Meldungen besagen, dass VirusTotal bereits im Februar 2010 imitiert wurde, um Scareware zu verbreiten. Analyse von Webfilterkategorien Eine Mitte 2011 durchgeführte Analyse der 20 häufigsten angefragten Kategorien basierend auf Daten der WebPulse-Community aus über 75 Millionen Benutzern zeigt, dass sich die Rangfolge verglichen mit 2010 bis auf einige Ausnahmen kaum geändert hat. Tabelle 5: Die 20 häufigsten angefragten Webkategorien Januar Mai Suchmaschinen/Suchportale Suchmaschinen/Suchportale 2. Computer/Internet Webanzeigen 3. Soziale Netzwerke Computer/Internet 4. Webanzeigen Soziale Netzwerke 5. Inhaltsserver Inhaltsserver 6. Audio-/Videoclips Audio-/Videoclips 7. Offene/gemischte Inhalte Nachrichten/Medien 8. Nachrichten/Medien Einkaufen

10 9. Nicht zugänglich Referenzen 10. Einkaufen Offene/gemischte Inhalte 11. Referenzen Wirtschaft 12. Wirtschaft Chat/Instant Messaging 13. Unterhaltung Unterhaltung 14. Persönliche Seiten/Blogs Nicht zugänglich 15. Chat/Instant Messaging Persönliche Seiten/Blogs Die erste Ausnahme sind soziale Netzwerke. Sie haben die Webanzeigen überholt und liegen nun auf Platz drei. Das ist beachtlich, wenn man bedenkt, dass die ersten drei Kategorien den Ausgangspunkt für die Kategorisierung des Webdatenverkehrs und das Fundament des gesamten Anfragevolumens bilden und sich nur selten ändern. Soziale Netzwerke entwickeln sich zu einem eigenen Ökosystem für Webkommunikation. Blue Coat WebFilter bietet bis zu vier Klassifizierungskategorien pro Webanfrage und mehr als 45 sekundäre Klassifizierungskategorien innerhalb der Kategorie Soziale Netzwerke. Dies ermöglicht die Poicybasierte Kontrolle von Spielen, IM/Chat, und anderen Kategorien innerhalb der sozialen Netzwerke oder von bestimmten Domänen wie Facebook.com. Neue Kontrollmechanismen gehen noch einen Schritt weiter und ermöglichen Richtlinien für spezifische Webanwendungsnamen und Vorgänge. Beispiele für Vorgänge sind das Hochladen von Videos oder Bildern, das Hochladen oder Herunterladen von Anhängen, das Posten einer Nachricht oder das Senden einer . Die zweite interessante Ausnahme im ersten Halbjahr 2011 sind offene/gemischte Inhalte, die um drei Positionen auf Platz sieben aufgestiegen sind. Bedenklich ist dabei, dass offene/gemischte Inhalte die höchste Wachstumsrate beim Malware-Hosting aufweisen 29 Prozent seit der Analyse Beispiele für offene/gemischte Inhalte sind Bilderseiten (z. B. istockphoto.com, fotosearch.com, imagebarn.com ) und Video-Hosting-Sites (z. B. google.video.com und youtube.com ). Allgemein enthalten Sites mit offenen/gemischten Inhalten zufällige, nicht anstößige Inhalte, die sich keiner bestimmten Kategorie zuordnen lassen. Es können jedoch auch anstößige Inhalte dabei sein. K9 Web Protection ist eine kostenlose Websicherheitslösung von Blue Coat für private Benutzer. Obwohl die K9-Benutzer nur knapp fünf Prozent der gesamten WebPulse-Community ausmachen, liefern sie mehr als 15 Prozent der Beispiele für Webbedrohungen und nicht klassifizierte Inhalte an WebPulse und sind somit die bei Weitem interessanteste Benutzergruppe für Analysen. Tabelle 6: Die 20 häufigsten angefragten Webkategorien bei Benutzern von K9 Web Protection Januar Mai

11 1. Computer/Internet Computer/Internet 2. Software-Downloads Suchmaschinen/Suchportale 3. Nicht zugänglich Audio-/Videoclips 4. Online-Speicher Online-Speicher 5. Suchmaschinen/Suchportale Software-Downloads 6. Soziale Netzwerke Nicht zugänglich 7. Chat/Instant Messaging Bildung 8. Webanzeigen Referenzen 9. Inhaltsserver Offene/gemischte Inhalte 10. Nicht klassifiziert Einkaufen 11. Offene/gemischte Inhalte Soziale Netzwerke 12. Nachrichten/Medien Inhaltsserver 13. Audio-/Videoclips Nachrichten/Medien 14. Online-Spiele Pornografie 15. Einkaufen Finanzdienstleistungen Interessanterweise liegen Software-Downloads und Online-Speicher bei privaten K9-Benutzern an zweiter und vierter Stelle der am häufigsten angefragten Kategorien. Die Kategorie Online-Speicher ist hinsichtlich Malware-Hosting im Jahresverlauf seit der Analyse 2010 um 13 Prozent gewachsen. Nicht zugängliche Sites sind oft Verfolgungstracking- und Webanalyse-Sites, deren Inhalte sich nicht in Webbrowsern anzeigen lassen. Aber auch solche Anfragen werden von WebPulse erfasst. Im Durchschnitt interessieren sich Benutzer am Arbeitsplatz stärker für die Kategorien Nachrichten/Medien, Wirtschaft und Referenzen als private K9-Benutzer, was nicht überraschend ist. Interessant ist, dass Pornografie bei den Geschäftsbenutzern in den Top-20 liegt, nicht jedoch bei den K9-Heimbenutzern. Es kann natürlich sein, dass Pornografieseiten mit K9 Web Protection zu Hause blockiert werden und die Benutzer daher versuchen, solche Seiten am Arbeitsplatz aufzurufen. K9 Web Protection ist unter zum Download verfügbar und kann auf ios- Geräten (ipads, iphones) sowie Mac- und Windows-Systemen (PC oder Tablet) verwendet werden.

12 Malware-Hosting Wie bereits erwähnt, verbergen sich Netzwerke zur Malware-Verbreitung mittlerweile in seriösen Sites, die in Nutzungsrichtlinien normalerweise als zulässig gelten. Tabelle 6 zeigt die führenden Kategorien für das Hosting (nicht die Verbreitung) von Malware im ersten Halbjahr Tabelle 6: Die 10 wichtigsten Kategorien für Malware-Hosting Januar Mai Online-Speicher Verdächtig 2. Software-Downloads Online-Speicher 3. Pornografie* Pornografie* 4. Offene/gemischte Inhalte Computer/Internet 5. Computer/Internet Suchmaschinen/Suchportale 6. Platzhalter* Offene/gemischte Inhalte 7. Phishing* Kontaktanzeigen/Dating 8. Hacking* Web-Hosting 9. Online-Spiele* Software-Downloads 10. Illegal/rechtlich fragwürdig* Phishing* Die mit einem * Sternchen markierten Kategorien sollten gemäß Best Practices für Webfilterung und Sicherheit blockiert werden. Vier der Top-5-Kategorien werden üblicherweise als akzeptabel eingestuft und werden von den IT- Richtlinien der meisten Unternehmen zugelassen. Das Wachstum der Kategorien Offene/gemischte Inhalte und Online-Speicher ist besorgniserregend, wie auch schon im Bericht zur Websicherheit 2011 von Blue Coat erwähnt. Zusammenfassung Die Ergebnisse lassen sich in einigen Kernpunkten zusammenfassen: Malware-Hosting findet häufig innerhalb von Kategorien statt, die als zulässig gelten. Nummer eins bei der Malware-Verbreitung sind vergiftete Suchmaschinen, gefolgt von Malvertising und nicht klassifizierten Sites. Soziale Netzwerke, Pornografie und liegen auf gleicher Höhe.

13 Pornografie hält sich als letztes traditionelles Lockmittel. Da täglich neue Websites mit nicht jugendfreien Inhalten generiert werden, sind Analysen von Webinhalten und Bedrohungserkennung in Echtzeit unverzichtbar. Benutzer, die nach Bildern und raubkopierten Medien suchen, sind besonders gefährdet. Aktivitäten dieser Art liegen an erster Stelle, wenn es um die Verbreitung von Malware geht. Mit dem Diebstahl von Benutzeridentitäten liegt auch das Phishing weit vorne, ebenso wie Rich- Media-Spams, gefälschte Codec-Updates und gefälschte Warez. Als übergreifende Schlussfolgerung lässt sich sagen, dass eine einzelne Verteidigungsebene nicht mehr ausreicht und dass Echtzeit-Schutzmechanismen benötigt werden. Zur Veranschaulichung dient ein Vergleich mit Google Earth: Die Anwendung stellt Karten von Städten, Straßen und Gebäuden zur Verfügung, während ein Echtzeit-Webschutz Karten von Netzwerke zur Malware-Verbreitung abbildet und die Verflechtung von dynamischen Ködern, Verbreitungswegen und dynamischer Malware korreliert. Der derzeitige Stand ist, dass sich Webbenutzer häufig nur mit Virenschutzsoftware und einer einfachen URL-Filterung für bekannte statische Sites schützen. In einer Zeit der bedeutendsten Cyberverbrechen der Geschichte sollte Echtzeit-Webschutz als Teil eines mehrschichtigen Schutzsystems nicht mehr fehlen. Cloud-basierte Schutzsysteme lassen sich schneller an neue Webbedrohungen anpassen als lokale Systeme, und sie profitieren von kollaborativen Echtzeit-Inputs, durch die neue Webbedrohungen schneller bekannt werden. Cloud-Sicherheitsfunktionen können an Webgateways und für Remotebenutzer in einer Echtzeit-Hybridarchitektur implementiert oder als Cloud-Security as a Service bereitgestellt werden. Ein einziger Klick kann die Tür für Cyberkriminelle öffnen. Jeder einzelne dynamische Weblink muss daher in Echtzeit analysiert werden, um Ihre Benutzer, Ihre Ressourcen und Ihren Ruf zu schützen. Verfasser Dieser Bericht wurde von Tom Clare verfasst und von Craig Kensek redigiert. Forschungsbeiträge zum Thema Sicherheit stammen von Roger Harrison, Chris Larsen, Tim van der Horst, Tyler Anderson, Patrick Cummins und Ben Hanks. Anhang Die neue Bedrohung durch Malvertising Praktisch alle kostenlosen Web-Services, die wir regelmäßig nutzen, von Suchanfragen über , Karten und soziale Netzwerken bis hin zu Spielen und Videos, sind nur deshalb kostenlos, weil sie durch Online-Werbung finanziert werden. Online-Werbung ist ein riesiges, milliardenschweres Geschäft, das sich auf eine umfangreiche, mehrschichtige Infrastruktur aus Werbenetzwerken stützt. Diese wird jedoch nicht nur von legitimen Werbekunden genutzt, sondern auch von Cyberkriminellen. Wie im Bericht zur Websicherheit 2011 des Sicherheitsanbieters Blue Coat Systems erläutert, ist das Malvertising (abgeleitet von Malware und Advertising ) sozusagen aus dem Nichts auf Platz drei der

14 SEITENLEISTE Anatomie eines Malware-Angriffs Im Folgenden wird ein typischer Malware-Vorfall beschrieben, wie er von den Blue Coat Security Labs kürzlich in Indien beobachtet wurde. Wie die meisten kostenlosen Nachrichtenseiten weltweit, finanziert sich auch eine der wichtigsten Nachrichten-Websites Indiens im Unterhaltungsbereich screenindia.com durch Werbung. Einer der Drittanbieter-Links für Werbeanzeigen führte zu doubleclick.net, einer bekannten und renommierten großen Werbedomäne. Die Werbeanzeige stellte sich in diesem Fall als infizierte vertrauenswürdige Anzeige heraus. Von doubleclick.net führte ein JavaScript zu daniton.com, einem scheinbar vertrauenswürdigen Teil des Affiliate-Netzwerks. Beim ersten Besuch auf daniton.com erfolgte keine Aktion, aber bei einem weiteren Besuch übertrug die Werbeseite ein stark verschlüsseltes JavaScript. Das JavaScript von daniton.com erwies sich als iframe-tag- Einschleusung auf der ursprünglichen Hostseite. Das iframe forderte den Webbrowser des Benutzers unbemerkt auf, den echten Malware-Host zu kontaktieren (der interessanterweise täglich seinen Standort änderte) und eine PDF- Exploitdatei herunterzuladen. Ebenfalls interessant: Eine der Funktionen des iframes bestand darin, die Acrobat Reader-Version des Benutzers herauszufinden, um den passenden Exploit zu ermitteln und so einen optimalen Effekt zu erzielen. 10 häufigsten Methoden für Webangriffe im Jahr 2010 eingestiegen. Es lohnt sich also ein Blick darauf, wie dieses neue Phänomen funktioniert und wie es am besten bekämpft werden kann. Online-Werbung und Malvertising Werbenetzwerke funktionieren nach einem Affiliate-Marketing- Modell, bei dem Werbekunden ihre Kampagnen über zahlreiche große und kleine Publisher veröffentlichen, die dafür anhand von messbaren Aktionen, die den Datenverkehr zum Werbekunden verfolgen, Gebühren erhalten. Das komplexe Affiliate-Netzwerk dient als Vermittler zwischen Publishern und Affiliate-Programmen B2B-Vereinbarungen, bei denen nach der Anzahl der Personen abgerechnet wird, die die Seite mit der Online-Werbung besuchen, sehen oder auf den Call-to-Action in der Werbeanzeige klicken. Diese Infrastruktur ist groß und komplex und umfasst enorme Mengen an winzigen Transaktionen, Geschäftsbeziehungen und Verlinkungen zwischen Werbeanzeigen und Click-Through-Zielen. Große, bekannte und vertrauenswürdige Werbenetzwerkdomänen lagern mitunter Bereiche an kleinere, neuere und vielleicht nicht ganz so vertrauenswürdige Werbedomänen aus. Durch die vielen automatisierten Stufen zwischen dem Werbekunden und dem Ort, an dem die Anzeige schließlich platziert wird, werden Reputationen und Vertrauensbewertungen oft von Schicht zu Schicht des Affiliate- Netzwerks weitergegeben bzw. übernommen. Cyberkriminelle nutzen gern die Vertrauenswürdigkeit und Reputation sowie die Infrastruktur von Personen aus, um schädliche Software an möglichst viele Menschen zu verteilen. Durch die Einschleusung einer verseuchten Werbeanzeige in ein seriöses Werbenetzwerk kann ein sehr großes Netz erreicht werden, ohne zwangsläufig Aufsehen zu erregen und erkannt zu werden. Cyberkriminelle nutzen dazu eine der folgenden Vorgehensweisen: Es wird eine harmlose neue Werbeanzeige oder Werbedomäne erstellt, die sobald sie als vertrauenswürdig gilt und von den meisten Schutzmechanismen zugelassen wird sich in etwas Schädliches verwandelt. Oder es wird die vertrauenswürdige Internetwerbung eines Dritten ausgenutzt, wobei dieselben Einschleusungsmethoden wie bei der Infizierung vertrauenswürdiger Websites verwendet werden. Eine kriminelle Malvertising-Kampagne läuft ähnlich ab wie eine normale Werbekampagne, aber beim Malvertising geht es darum, die Anzeige selbst oder ihr Click-Through-Ziel möglichst schnell und unbemerkt neu zu vernetzen, um eine Malware zu verbreiten. Die

15 Malware infiziert dann den Computer des Benutzers und stiehlt Anmeldeinformationen und Kennwörter oder auch Geld oder Daten des Arbeitgebers. Sehen wir uns zunächst an, wie Werbeanzeigen vom Affiliate-Netzwerk auf die Webseite gelangen und wie Angreifer die Affiliate-Netzwerkinfrastruktur nutzen, die für Online-Werbung charakteristisch ist. Normalerweise stellt ein Website-Eigentümer einem primären Werbeanbieter mit dem er in Geschäftsbeziehung steht Werbeflächen zur Verfügung. Dabei läuft alles automatisiert ab. Wenn also beispielsweise ein neuer Nachrichtenartikel auf einer Seite platziert wird, werden Schlagwörter aus dem Artikel an die Software des primären Werbeanbieters übergeben. Mit den Schlagwörtern Golf, Florida und Luxus werden beispielsweise Personen angesprochen, die sich für hochpreisige Golf- Urlaube auf den Florida Keys interessieren. Die Software ermittelt, ob eine Anzeige mit hoher Relevanz vorhanden ist, die hier verwendet werden kann. Wenn der primäre Werbeanbieter keine Anzeige für diese Zielgruppe besitzt oder deren Platzierung eine Kostengrenze des Kunden überschreitet, greift die Software auf eine weniger relevante Werbeanzeige (zu einem niedrigeren Preis) von einem Affiliate zurück. Besitzt der Affiliate keine entsprechende Anzeige oder möchte er auch den niedrigeren Preis nicht bezahlen, kann er eine billige allgemeine Anzeige von einem seiner Affiliates verwenden. Und so setzt sich die Kette weiter fort. Es leuchtet ein, dass dieses Geflecht aus Affiliate-/Partner-/Sub-Affiliate-Vereinbarungen und schwer nachvollziehbarer Verantwortlichkeit zwischen den Werbenetzwerken hervorragend geeignet ist, um schädliche Werbeanzeigen oder eine schädliche Werbedomäne durchschlüpfen zu lassen. Wie jede Online-Werbung können natürlich auch Malvertising-Anzeigen auf Zielgruppen ausgerichtet werden (mit Schlagwörtern wie Clearinghaus oder Datenschutz ), um ihre Effektivität zu maximieren. Und sie können selbst eine Art dynamische, aber zielgerichtete Verknüpfung zwischen Sites erstellen, um einen bestimmten Benutzertyp zu erreichen. Transformations- und Timingstrategien zur Umgehung von Sicherheitsmechanismen Eine wesentliche Eigenschaft von Malvertising-Angriffen ist, dass die schädliche Werbeanzeige oder Werbedomäne zunächst als harmlos auftritt, um mehrfache Prüfungen durch Sicherheitssoftware zu bestehen und so eine einwandfreie Klassifizierung und eine gute Reputation zu erhalten. Wie bei einer Schläferzelle in einem Spionageroman zahlt sich auch hier Geduld aus. Der Angreifer muss sich die Zeit nehmen, um innerhalb der Werbenetze eine gute Reputation zu entwickeln und Malware-Prüfungen zu bestehen. Auf diese Weise baut er sich eine vertrauenswürdige Position innerhalb der Online-Werbestrukturen auf, von der aus er dann Angriffe als sehr erfolgreiche Kampagnen starten kann. Wenn der Schläfer erwacht, werden die Weiterleitungspfade hinter der Werbeanzeige verändert, so dass die Anzeige oder das Click-Through-Ziel zu einem Malware-Host führt. Nun können die Malware-Verbindungen in ihrer Zielkampagne schlimmsten Schaden anrichten. Am nächsten Tag sind sie wieder verschwunden. Malvertising-Angriffe werden häufig am Wochenende gestartet, da zu dieser Zeit wenig IT-Ressourcen aktiv sind, Sicherheitsupdates auf ihre Implementierung warten und Angriffe nicht so leicht bemerkt werden. Schließlich sind klassische Websicherheitssysteme von Updates abhängig bevor also eine neue Bedrohung erkannt wird, muss erst eine neue Datenbasis zur Verfügung gestellt werden.