Malware und Spam 2008 Aktuelle Trends und Gegenmaßnahmen Ralf Benzmüller G DATA Security Labs Geschützt. Geschützter. G DATA.
Agenda G DATA AntiVirus 2008 Malware G DATA Internet Security 2008 Firewall Spam G DATA TotalCare 2008 Security Tuning
AntiVirus AntiSpyware AntiRootkit G DATA AntiVirus 2008
E-Mail Verbreitung von Malware
E-Mail - der klassische Weg Infektion im Anhang -Trojaner
Verbreitung von Malware
E-Mail Verbreitung von Malware
E-Mail Verbreitung von Malware Instant Message
Verbreitung von Malware E-Mail Instant Message P2P
Online-Gamer in Gefahr Malware in Tauschbörsen
Online-Gamer in Gefahr Malware in Tauschbörsen
Online-Gamer in Gefahr Malware in Tauschbörsen Adware 68,3% Trojan. Pferd 22,6% Backdoor 4,9% Würmer etc. 4,2%
Malware-Trends
Malware-Trends Täglich 300-400 neue Schädlinge in >20000 Dateien
Malware-Trends Täglich 300-400 neue Schädlinge in >20000 Dateien E-Mail ist out, Website ist in
Malware-Trends Täglich 300-400 neue Schädlinge in >20000 Dateien E-Mail ist out, Website ist in Die Hälfte aller Infektionen per Website
Malware-Trends Täglich 300-400 neue Schädlinge in >20000 Dateien E-Mail ist out, Website ist in Die Hälfte aller Infektionen per Website Google: Jede 10. Webseite ist infiziert
Gefährliche Webseiten E-Mail, Instant Message
Funktionsweise Drive-by Download
Funktionsweise Drive-by Download <iframe src="http://example.com/bad.php visibility="hidden"...>
Funktionsweise Drive-by Download <iframe src="http://example.com/bad.php visibility="hidden"...> Sicherheitslücken in BHOs werden ausgenutzt
Funktionsweise Drive-by Download <iframe src="http://example.com/bad.php visibility="hidden"...> Sicherheitslücken in BHOs werden ausgenutzt JavaScript nutzt Sicherheitslücken im Browser und Browser-Plugins
Was merkt der Nutzer davon?
Was merkt der Nutzer davon? Nichts!!!
Verschlüsselter JavaScript-Code
Gefährliche Webseiten E-Mail Defacements
Defacements
Defacements MySpace Seite von Alicia Keys, Aerosmith etc.
Defacements MySpace Seite von Alicia Keys, Aerosmith etc. Santa Claus Seite nur an Weihnachten
Defacements MySpace Seite von Alicia Keys, Aerosmith etc. Santa Claus Seite nur an Weihnachten Sportereignisse: Miami Dolphins, AfricaCup
Verlockungen E-Mail Defacements Werbung
Achtung Werbung
6 Monate Achtung Werbung
Achtung Werbung 6 Monate > 100.000 mal angezeigt
Achtung Werbung 6 Monate > 100.000 mal angezeigt 419 Klicks
Verlockungen E-Mail Defacements Werbung Web 2.0, das Mitmach-Web
Web 2.0
Blogs, Foren Web 2.0
Web 2.0 Blogs, Foren Xing, LinkedIn, StudiVZ
Web 2.0 Blogs, Foren Xing, LinkedIn, StudiVZ MySpace, Facebook, Flickr...
Web 2.0 Blogs, Foren Xing, LinkedIn, StudiVZ MySpace, Facebook, Flickr...
Web 2.0 Blogs, Foren Xing, LinkedIn, StudiVZ MySpace, Facebook, Flickr... Nicht alle Teilnehmer haben gute Absichten
Das Ausmaß
Das Ausmaß 6.000 10.000 neue verseuchte Seiten täglich
Das Ausmaß 6.000 10.000 neue verseuchte Seiten täglich Google: Jede 10. Seite enthält Malware
Was tun?
Was tun? Virenschutz mit HTTP-Scan
Was tun? Virenschutz mit HTTP-Scan Browser, Plugins und Betriebssystem aktuell halten
Was tun? Virenschutz mit HTTP-Scan Browser, Plugins und Betriebssystem aktuell halten JavaScript ausschalten
Was tun? Virenschutz mit HTTP-Scan Browser, Plugins und Betriebssystem aktuell halten JavaScript ausschalten Webserver und Webapplikationen regelmäßig patchen
Was tun? Virenschutz mit HTTP-Scan Browser, Plugins und Betriebssystem aktuell halten JavaScript ausschalten Webserver und Webapplikationen regelmäßig patchen Watch your click!
DoubleScan-Technology: Zwei Virenscanner Beste Erkennungsrate HTTP-Scan OutbreakShield: Optimale Erkennung von Spam- & Malware OHNE Inhaltsprüfung
G DATA AntiVirus Schnellste Reaktion auf neue Malware. Quelle: Computerbild 07/2007 G DATA Kaspersky Symantec McAfee Microsoft 16 min 43 min 8 h 16 min 14 h 32 min 41 h 28 min
G DATA InternetSecurity 2008 G DATA AntiVirus + PC-Firewall + Spamfilter + AntiPhishing + Webfilter + Kindersicherung + Datenshredder
Firewall
Firewall Schützt vor Angriffen von außen
Firewall Schützt vor Angriffen von außen Alle 38 Sekunden ein Angriff mit Bots
Firewall Schützt vor Angriffen von außen Alle 38 Sekunden ein Angriff mit Bots Verhindert, dass interne Daten unbefugt nach außen gelangen
Firewall mit Autopilot Games & more
Firewall mit Autopilot Games & more Autopilot für Online-Games
Firewall mit Autopilot Games & more Autopilot für Online-Games Warnung bei ungeschütztem WLAN
Spam: Zahlen und Daten 2007: 84.6 %
Spam: Zahlen und Daten 2007: 84.6 % 80% aller Spams von 200 Personen
Spam: Zahlen und Daten 2007: 84.6 % 80% aller Spams von 200 Personen 85% per Botnetz
Spamerkennung
Spamerkennung Absender Whitelist & Blacklist Realtime Blackhole List von Spam-Relays
Spamerkennung Absender Whitelist & Blacklist Realtime Blackhole List von Spam-Relays Inhaltsfilter Schlüsselwörter in Betreff oder Text URL-Blocking E-Mail-Eigenschaften (Heuristik) Bayes-Filter erkennt Worthäufigkeiten
Spamerkennung Absender Whitelist & Blacklist Realtime Blackhole List von Spam-Relays Inhaltsfilter Schlüsselwörter in Betreff oder Text URL-Blocking E-Mail-Eigenschaften (Heuristik) Bayes-Filter erkennt Worthäufigkeiten Meta Greylisting
Spamerkennung Absender Whitelist & Blacklist Realtime Blackhole List von Spam-Relays Inhaltsfilter Schlüsselwörter in Betreff oder Text URL-Blocking E-Mail-Eigenschaften (Heuristik) Bayes-Filter erkennt Worthäufigkeiten Meta Greylisting Hash database
42 Schreibweisen von Viagra V I @ G R A \./iagra Viiagra Vìagrä V--1.@--G.R.a V--i--a--g--r a V!agra V1agra VI.A.G.R.A vi@gra viagr.a VxIbA0G7RRA Via.gra Vriagra V+i\a\g\r\a Viag[ra Víagra V;I;A*G-R-A V-i-a-g-r-a V*I*A*G*R*A V-i-@-g-r-a VI@AGRA Vi@gr@ \/^i^ag-ra VlAGRA V\i\a.g.r.a V1@GRA v_r_i_a_g_r_a Viag*ra vi-agra Vi-ag.ra v-iagra Viagr-a V^I^A^G^G^A V'i'a'g'r'a' V*I*A,G,R.A VI.A.G.R.A... Viag\ra! Vj@GRA V-i:ag:ra V'i'a'g'r'a V/i;a:g:r:a
Einfache HTML-Texttricks
Image-Spam
Neu: PDF-Spam
Legitime Bildquellen Flickr ImageShack BlogSpot
URL Redirection
URL Redirection http://rds.yahoo.com/_ylt=3da0ge... EXP=3D.../**http%3a//SPAMSITE.com/
URL Redirection http://rds.yahoo.com/_ylt=3da0ge... EXP=3D.../**http%3a//SPAMSITE.com/ http://www.google.com/pagead/iclk?sa= l&...&adurl=http://spamsite.com
Kalender-Spam ICS Dateien Spam in Terminanfragen
Spam-Trends
Spam-Trends 85% Spam wird per Botnetz versendet Blacklists und RBLs funktionieren nicht
Spam-Trends 85% Spam wird per Botnetz versendet Blacklists und RBLs funktionieren nicht Spam im ungewöhnlichen Gewand Evolution: Image- /PDF- /Excel- /MP3- /ZIP
Spam-Trends 85% Spam wird per Botnetz versendet Blacklists und RBLs funktionieren nicht Spam im ungewöhnlichen Gewand Evolution: Image- /PDF- /Excel- /MP3- /ZIP Textbasierte Inhaltsfilter werden unterlaufen
Spam-Trends 85% Spam wird per Botnetz versendet Blacklists und RBLs funktionieren nicht Spam im ungewöhnlichen Gewand Evolution: Image- /PDF- /Excel- /MP3- /ZIP Textbasierte Inhaltsfilter werden unterlaufen Nutzung legitimer Quellen
Fazit Klassische Filtermechanismen sind wirkungslos
So funktioniert OutbreakShield E-Mails von 50 Mio. Postfächern in über 100 Ländern werden überwacht. E-Mail-Traffic wird analysiert. Anhand der Verbreitungsmuster wird ein Outbreak erkannt. Eine Abfrage der Datenbank genügt
Beispiele für Verbreitungsmuster Kommerzielle Mails 1 : n
Beispiele für Verbreitungsmuster Kommerzielle Mails 1 : n Botnetze m : n Typisch für Spam und Phishing
Beispiele für Verbreitungsmuster Kommerzielle Mails 1 : n Botnetze m : n Typisch für Spam und Phishing E-Mail-Würmer Charakteristische Netzstruktur
Verbesserte OutbreakShield-Technologie G DATA Software AG, August 2006
Verbesserte OutbreakShield-Technologie Vollautomatische Sofort-Erkennung von Outbreaks G DATA Software AG, August 2006
Verbesserte OutbreakShield-Technologie Vollautomatische Sofort-Erkennung von Outbreaks Erkennt 95% aller Viren auch Unbekannte G DATA Software AG, August 2006
Verbesserte OutbreakShield-Technologie Vollautomatische Sofort-Erkennung von Outbreaks Erkennt 95% aller Viren auch Unbekannte Unabhängig vom Inhalt der E-Mail oder dem Dateityp des Anhangs G DATA Software AG, August 2006
Erkennungsraten Erkennungsrate Spam (ermittelt von PC professionell) 100,0% 95,0% 96,0% 90,0% 89,0% 86,9% 85,0% 83,6% 80,0% AV-Firma 1 AV-Firma 2 AV-Firma 3 G DATA 2006 6.0
Erkennungsraten Erkennungsrate Spam (ermittelt von PC professionell) Erkennungsrate Phishing (ermittelt von PC professionell) 100,0% 100,0% 95,0% 96,0% 99,0% 98,0% 98,6% 98,6% 90,0% 85,0% 89,0% 86,9% 83,6% 97,0% 96,0% 95,0% 96,1% 95,1% 80,0% AV-Firma 1 AV-Firma 2 AV-Firma 3 G DATA 94,0% AV-Firma 1 AV-Firma 2 AV-Firma 3 G DATA 2006 6.0 2006 6.0
Erkennungsraten Erkennungsrate Spam (ermittelt von PC professionell) Erkennungsrate Phishing (ermittelt von PC professionell) 100,0% 100,0% 95,0% 90,0% 85,0% 89,0% 86,9% 96,0% 99,0% 98,0% 97,0% Fehlalarme: 1 : 27.900 83,6% 96,1% 96,0% 95,0% 95,1% 98,6% 98,6% 80,0% AV-Firma 1 AV-Firma 2 AV-Firma 3 G DATA 94,0% AV-Firma 1 AV-Firma 2 AV-Firma 3 G DATA 2006 6.0 2006 6.0
G DATA TotalCare 2008 G DATA InternetSecurity 2008 + BackUp & Datenrettung + Tuning NEU! SecurityTuning
Tuning
Tuning Erstes echtes Security-Tuning
Tuning Erstes echtes Security-Tuning Aktiviert Phishing-Filter im InternetExplorer.
Tuning Erstes echtes Security-Tuning Aktiviert Phishing-Filter im InternetExplorer. Aktiviert Sicherheit für Anhänge und nur-text-darstellung in Mails in Outlook / Outlook Express.
Tuning Erstes echtes Security-Tuning Aktiviert Phishing-Filter im InternetExplorer. Aktiviert Sicherheit für Anhänge und nur-text-darstellung in Mails in Outlook / Outlook Express. Insgesamt 16 Security-Tunings
Tuning
Tuning
Tuning Zusätzlich Leistungs- und Datenschutz-Tuning
Tuning Zusätzlich Leistungs- und Datenschutz-Tuning Insgesamt 70 Tuning-Optionen
Tuning Zusätzlich Leistungs- und Datenschutz-Tuning Insgesamt 70 Tuning-Optionen Erstellung von Tuning-Profilen
G DATA Business-Produkte
G DATA Business-Produkte
Geschützt. Geschützter. G DATA.