Durch eine Systemumstellung ist eine Neu-Registrierung für ALLE Kunden notwendig! Bei Fragen wenden Sie sich bitte an unsere Hotline (+49) 030 52 10 788 20

unsere Highlights

Schutz vor aktueller Malware – Sicherheitsstrategien anpassen

Attacken durch Malware haben in der letzten Zeit noch einmal zugenommen. Die Strategien der Angreifer werden dabei immer perfider. Schadhafte Scripte kommen versteckt in Software-Updates, getarnt in Bilddaten oder immer häufiger auch durch Krypto Miner, welche die Systemleistung blockieren. IT-Administratoren müssen ihre Strategien an die neuartigen Bedrohungen anpassen und gegebenenfalls zusätzliche Such- und Schutzmöglichkeiten einsetzen. Wir haben die aktuellsten Bedrohungen gesammelt und zeigen, auf welche Art und Weise sie funktionieren.


Slingshot – Malware über den Router

Unter dem Namen Slingshot ist jüngst eine Malware entdeckt worden, die in der Lage ist, Computersysteme umfassend auszuspionieren. Experten haben die schädliche Software auf der Fachkonferenz Kaspersky Security Analyst Summit (SAS) in Mexiko vorgestellt.

Malware1

© Gorodenkoff | Fotolia


Tatsächlich soll sie bereits seit 2012 im Umlauf sein – die aktuelle Version 6.x‘ bestätigt ein längeres Bestehen. Die Hacker nutzen bei einigen Angriffen dabei den Router als Zugang, indem der Datenstrom mit infizierten DLL Dateien infiltriert wird. Sie dienen als Bindeglied zum Herunterladen von weiteren schadhaften Modulen, die dann zum Ausspionieren eingesetzt werden können. Zwei Komponenten gehören dabei zu dem ausgefeilten System: Die sogenannte GollumApp, die fast 1.500 verschiedene Spionageanwendungen möglich macht und ein Modul namens Cahnadr – das sogar in den Kernelmodus eindringen kann. Dort ist ohne Zweifel jegliche Kontrolle des Systems denkbar. Die Malware ist mit umfangreichen Möglichkeiten ausgestattet, sich vor dem Aufspüren zu schützen. Dabei werden eigene Verschlüsselungsmethoden ebenso eingesetzt, wie das direkte Ansprechen der Systemkomponenten um Sicherheitsmechanismen zu unterwandern. Zudem ist die Malware in der Lage, eigene Komponenten gezielt abzuschalten, um sie zu verstecken.


Bislang wurden folgende Schwachstellen genutzt, um die Malware zu platzieren:

  • Treiber: CVE 2007 5633 (Speedfan), CVE 2010 1592 (SiSoftware Sandra), CVE 2009 0824 (Elaborate Bytes ElbyCDI.sys, SlySoft AnyDVD, Virtual CloneDrive, CloneDVD, CloneCD)
  • Router (Mikrotic)

Die neueste Software-Version des betroffenen Routers schützt Nutzer jetzt vor den bekannten Risiken. Nutzer der betroffenen Treiber, die als Schwachstellen identifiziert sind, sollten ebenfalls ein Upgrade zur aktuellsten Version vornehmen.


Mal- und Ransomware – Infizierung über Updates

Getarnt als Softwareupdate – dieser Weg wird häufig genutzt um Schadsoftware zu installieren und dem Verbraucher ein vertrautes Produkt vorzugaukeln. Hier gibt es Beispiele aus den unterschiedlichsten Bereichen. Beim CCleaner von Piriform, der normalerweise dafür zuständig ist Datenmüll vom PC zu entfernen, (32 Bit Versionen 5.33.6162 und 1.07.3191 Cloud) ist auf diese Weise im Zeitraum vom 15. August bis 12.September, Malware verbreitet worden. Sie war in der Lage, Informationen der Nutzer zu sammeln und eine weitere schädliche Software auf die betroffenen Rechner herunterzuladen. Im aktuellen Update ist die Sicherheitslücke behoben, zudem wurden insgesamt die Sicherheitsvorkehrungen angehoben. Die Buchhaltungssoftware M.E.Doc eines ukrainischen Herstellers wurde für einen Hackerangriff auf verschiedene Unternehmen genutzt. Dabei wurden im April, Mai und Juni 2017 Updates bereitgestellt, die mit der Schadsoftware infiziert waren. Die so eingeschleuste Ransomware Petya sorgte im Juni für umfangreiche Ausfälle auch in größeren Konzernen in Deutschland (Beiersdorf, Mondelez). Einmal mehr wurde hier der Exploit EternalBlue genutzt, der auch schon zur Verbreitung des Trojaners WannaCry verwendet wurde; sowie einer der drei Exploits, die mit der NSA zusammenhängen – EternalRomance. Das Besondere an der neuesten Generation der Ransomware: Anders als Wannacry, werden von Petya nicht nur die Dateien auf der Festplatte verschlüsselt, der Boot-Record wird ebenfalls angegriffen und zerstört – der Rechner lässt sich nicht mehr hochfahren. Auch, wenn nicht auf die Lösegeldforderungen eingegangen wurde, bedeutete der Angriff für die Betroffenen einen großen finanziellen Verlust.

Häufig kommt der Angriff heute auch über mobile Anwendungen. Die Schadsoftware Marcher – eine ausgeklügelte Banking Malware wird seit 2013 über immer neue Wege verbreitet. Meist geschieht dies nicht über die offiziellen App-Stores, sondern über Seiten von Drittanbietern. Auch über E-Mail-Anhänge wurden frühere Versionen schon in Umlauf gebracht. Im Juni 2017 versuchte eine neue Version des Trojaners über ein Update für Adobes Flash Player auf die Mobilgeräte der Anwender zu gelangen. Marcher kann über gefälschte Anmeldeseiten beim Online-Banking relevante Sicherheitsdaten der Nutzer abfangen und weiterleiten. Vor allem Daten von Amazon, PayPal, Walmart, Western Union, Citibank, TD Bank, aber auch von Facebook und Gmail sind über die Malware abgefragt worden. Frühere Versionen von Marcher nutzten bereits unter anderem ein Firmware-Update für Android für den Angriff. Durch die häufigen Veränderungen und neuen Versionen ist es schwierig, die Schadsoftware stets zeitnah durch ein Virenschutzprogramm erkennen zu können. Zudem nutzt Marcher inzwischen ebenfalls Möglichkeiten, sich durch verschleierten Code unsichtbar zu machen.


Malware2

© Paolo | Fotolia


Krypto-Miner – Abgraben von Systemleistung

Durch die große Nachfrage nach Kryptowährungen hat die Bedrohung von unbemerkten Krypto-Minern in den letzten Monaten stetig zugenommen. Auch hier ist zu beobachten, dass die Vorgehensweisen dabei immer raffinierter werden. Bei einem Angriff durch den XMRig Miner wurde etwa der bekannte Java Deserialization Exploit CVE-2017-1000353 genutzt. Die ständige Erweiterung und Verbesserung des schädlichen Codes hält die IT-Administratoren auf Trab. Hier gilt es ständig am Ball zu bleiben. Vor allem die öffentlichen Cloud-Umgebungen von Unternehmen sind für die Hacker ein willkommenes Ziel, um die Scripte einzuschleusen. Über den Dienst Cloudflare wurde jüngst der amerikanische Tesla-Konzern Opfer eines Angriffs, bei dem ein ungesichertes Kubernetes-System unterwandert wurde. Von ICS Sans wurde zuletzt ein Krypto-Miner aufgedeckt, der zudem in der Lage ist, andere Miner zu identifizieren und gezielt auszuschalten, um Rechenkapazitäten ganz alleine nutzen zu können. Wie genau die Infizierung vonstattengeht, konnte bislang noch nicht herausgefunden werden. Dennoch wird die schädliche Software mittlerweile von den meisten Viren-Scannern erkannt. Hinweise auf eine Infizierung zeigen sich zudem oft in einschlägigen Prozessen im Task-Manager, die mit dem Krypto-Mining in Zusammenhang stehen. Auch Webanwendungen wie CoinHive, werden zum unerwünschten Schürfen eingesetzt. Inzwischen sind auch schon Apps mit dem Script infiltriert. In der Regel ist es möglich, sich hier mit Hilfe von AdBlockern vor dem Ausnutzen der eigenen Systemleistung zu schützen. Der Nachteil: Möglicherweise wird so der Zugriff zu Seiten verwehrt, die sich durch Kryptomining teilweise mitfinanzieren.


Malware3

© CandyBox Images | Fotolia


Malvertising – Malware über Werbebanner

Ebenfalls auf dem Vormarsch sind Angriffe, die sich in Online-Werbeanzeigen verstecken. ESET hatte bereits 2016 das sogenannte Stegano Exploit Kit entdeckt. Dabei war im Alphakanal der Werbebanner ein schädliches Script platziert. Genutzt wurde dabei unter anderem eine Sicherheitslücke des Internet Explorers (CVE 2016 0162). Über einen TinyURL Dienst wird die Anfrage zur infizierten Zielseite weitergeleitet, wo eine Flash Datei heruntergeladen wird. Diese nutzt wiederum weitere Exploits (CVE-2015-8651, CVE-2016-1019, CVE-2016-4117 – u.a. Flash Player) um Banking Trojaner, File Stealer oder Spyware zu platzieren. Bisher wurden verschiedene Anwendungen im Rahmen von Ursnif oder Ramnit Malware entdeckt. Im Fokus der Angriffe standen bislang vor allem Unternehmen und hier wiederum verschiedene Zahlungsdienste.

Die Malware ist zudem in der Lage, einen Identifikationsversuch zu erkennen und das Exploit Kit dann gezielt abzuschalten. Zur Erkennung der neuartigen Bedrohung sorgen die Anbieter von Browserschutzprodukten um entsprechende Erweiterungen bei ihren AdBlockern. Auch die Browsererweiterung NoScript kann hier eine zusätzliche Lösung sein.


Fazit

Bedrohungen werden immer vielschichtiger und nutzen die verschiedensten Kanäle um sich Zugang zu verschaffen. Laut Vorhersagen etwa von Kaspersky müssen sich IT-Administratoren künftig noch stärker auf Angriffe auf die Supply Chain gefasst machen. Vorgänge wie die Backdoor Attacke über den CCleaner oder die Weiterentwicklungen von Petya (ExPetr, NotPetya) werden dabei in Zukunft noch schwerer zu identifizieren sein. Zudem werden auch im mobilen Bereich die Bedrohungen unter anderem durch APT Malware zunehmen. Modems und Router als Zugangstor könnten dabei noch mehr in den Fokus der Hacker geraten. Erkennungssoftware muss in der Lage sein, Bedrohungen zu erkennen, welche gleichzeitig die unterschiedlichsten Prozesse nutzen und unterwandern. Cloud-basierte Anwendungen überzeugen dabei durch ihre Schnelligkeit, neue Gefahren zu erkennen, zusätzlich können Verhaltensanalyse-Tools das Sicherheitspaket sinnvoll unterstützen.