Liebe Leser,
wir machen eine kurze Weihnachtspause und sind ab dem 4. Januar wieder mit aktuellen Berichten für Sie da.
Ihr Trend Micro Blog Team
Frohe Weihnachten und ein gesundes, erfolgreiches Jahr 2010
Hinterlassen Sie eine Antwort
Archiv für den Monat: Dezember 2009
MP3-Spam ist wieder da
Originalartikel von Bernadette Irinco (Technical Communications bei Trend Micro)
Alte Trends kommen immer wieder. Diesmal sind es Spam-Nchrichten, die einen MP3-Anhang haben, und die zuletzt vor zwei Jahren gesehen wurden.
Trend Micro Sicherheitsforscher haben Spam-Nachrichten entdeckt, die kein Betreff und auch keinen Inhalt haben. Sie umfassen lediglich eine MP3-Datei. Wird diese ausgeführt, so ertönt eine Stimme, die Viagra und andere Potenzmittel anpreist und die „Hörer“ auffordert eine bestimmte URL zu besuchen, die auf die nur allzu bekannten kanadischen Apotheken-Sites zeigt.
Trend Micro hat bereits in der Vergangenheit vor Cyberkriminellen gewarnt, die MP3-Dateien nutzen, um ihre bösartigen Aktivitäten durchzuführen. Zum Beispiel die folgenden zwei Einträge drehen sich um diese Art von Spam:
Nutzern wird dringendst empfohlen, angehängte Dateien von unbekannten Absendern nicht zu öffnen oder auszuführen. Trend Micros Smart Protection Network schützt die Anwender, denn es blockiert besagte Spam-Nachrichten.
Twitter von Iranian Cyber Army (nicht) gehackt
Originalartikel von Rik Ferguson (Solutions Architect bei Trend Micro)
Banner der gehackten Site
Heute Morgen hat eine Gruppe namens „Iranian Cyber Army“ (ob sie sich wohl der Ähnlichkeit zu CIA bewusst ist) eine DNS-Hijacking-Attacke auf Twitter gestartet.
Die gehackte Seite
Viele Nutzer waren durch den Angriff verwirrt, denn es gab das breit gestreute Gerücht, die Twitter-Server selbst seien infiziert. Dies scheint sich jedoch nicht bewahrheitet zu haben. Der neueste Twitter-Blog-Eintrag lautet:
„Twitters DNS-Records waren heute Nacht zeitweise kompromittiert, sind aber mittlerweile wieder in Ordnung. Wie einige feststellen mussten, wurde Twitter.com für eine Weile umgeleitet, doch API und die Plattformanwendungen funktionierten. Weitere Informationen und Details werden folgen, sobald wir weitere Nachforschungen abgeschlossen haben.“
Diese Art des DNS-Hijacking schließt üblicherweise die Kompromittierung des für die DNS-Records der Opferfirma verantwortlichen Registrars mit ein. Dann führen die Angreifer nicht autorisierte Änderungen der DNS-Records durch. Diese Änderungen bewirken, dass der Nutzer nach dem Eingeben der Adresse einer Website in den Browser auf eine andere, von den Hackern (in diesem Fall die Iranian Cyber Army) aufgesetzte Site umgeleitet wird. Der erzielte Effekt besteht darin, dass es so aussieht, als ob, wie in diesem Fall, die Twitter-Server kompromittiert scheinen, während sie tatsächlich sauber sind.
Angriffe dieser Art lassen sich im Allgemeinen einem gewissen „Hacktivismus“ zuordnen, doch man mag sich gar nicht vorstellen, welches Potenzial sich den Kriminellen damit erschließt, wenn sie diesen Angriff gegen jede beliebige Site , die Login-Daten erfordert, starten können – etwa PayPal, eBay, MSN oder Facebook. Man fragt sich, wie schnell ein Angriff bemerkt würde, wenn die Dummy-Site eine genaue Replik des Opfers wäre und nur dem Zweck diente, persönliche Daten zu sammeln und den Nutzer dann auf die echte Site zu leiten. Solche, Pharming genannten Angriffe passieren heute mithilfe von lokaler Malware, die einzelne PCs modifiziert, und nicht über die Kompromittierung von weltweiten DNS-Records. Unternehmen sollten ihre DNS-Auflösung auf mehreren Servern gut monitoren, um möglichst früh einen derartigen Angriff zu entdecken.
Twitter war nicht die einzige Website, die diesen Aktivitäten ausgesetzt war. Eine Suchanfrage förderte weitere Sites mit demselben Inhalt zutage.
Google Suchergebnisse
Im Fall von High-Profile-Zielen kann es passieren, dass der Registrar die Schwachstelle im Schutzschild darstellt. Zone-H stellte fest, dass Registrare in den letzten Monaten eines der Hauptangriffsziele waren.
Wenn Angriffe wie dieser überhaupt einen Zweck haben, dann dienen sie wahrscheinlich als Mahnung, dass wir alle sicherstellen müssen, dass unsere Geschäftspartner unsere eigenen Sicherheitsstandards erfüllen müssen und zwar sowohl On- als auch Offline.
Wie generiert KOOBFACE Profit?
Originalartikel von Ryan Flores (Advanced Threats Researcher bei Trend Micro) Malware existiert, weil die Autoren das so wollen. Sie kann das Produkt eines gelangweilten Hirns sein oder eines Experiments oder — wie immer häufiger heutzutage – ein Mittel zum Geldverdienen. Niemand macht sich die Mühe, ein so kompliziertes Botnet wie KOOBFACE aus reinem Vergnügen aufzusetzen. Daher die berechtigte Frage: Wozu dient KOOBFACE? 
Antworten gibt die dritte (und hoffentlich letzte) Ausgabe des Trend Micro Forschungspapiers zu diesem Schadcode. Wir analysieren darin die verschiedenen Mechanismen, die KOOBFACE nutzt, um mit dem Botnet Geld zu machen. Zudem bieten wir Einblicke in die Art und Weise, wie heutige Cyberkriminelle arbeiten, und zeigen auf, vor welchen Herausforderungen sie dabei stehen. Interessierte können “Show Me the Money! The Monetization of KOOBFACE” hier herunter laden.
Trend Micro zu den neuen Richtlinien für die Domänenregistrierung in China
Originalartikel von Trend Micro
Kürzlich kündigte das China Internet Network Information Center (CNNIC) an, dass diejenigen, die eine .CN-Domäne beantragen wollen, jetzt zusätzlich zu dem Online-Antrag ihre Dokumente auch in Papierform einreichen müssen, um die Legitimität ihrer Anfrage zu beweisen. Besagte Dokumente (Originalantragsformular mit Unternehmensstempel, Fotokopien der Firmenlizenz und Registrierungsnummer) müssen innerhalb von fünf Tage nach dem Online-Antrag beigebracht werden. Des weiteren müssen die Dokumente bestimmten Anforderungen entsprechen, bevor sie bewilligt werden. Sollte ein Antragsteller sich weigern, die nötigen Dokumente einzureichen oder sollte er den Anforderungen nicht entsprechen, so wird die beantragte Domäne entfernt. Diese neue Richtlinie soll dazu dienen, den Registrierungsprozess für Domänennamen auf den Weg zu bringen und auch die Genauigkeit der Informationen bezüglich der Domänen zu verbessern.
Trend Micro begrüßt diese Richtlinie des CNNIC, denn sie geht in die richtige Richtung bei der Überprüfung von CN-Domänen. Zu China gehörige Domänen waren in der Vergangenheit berüchtigt wegen in Umlauf gebrachter bösartiger Dateien und auch als Site-Hoster für Exploits. Dennoch zeigt unsere Erfahrung bei der Überwachung von heutigen Bedrohungen, dass die fünftägige Frist Cyberkriminellen immer noch genügend Zeit lässt, um ihre Machenschaften weiter zu betreiben.
Bösartige URLs können eine hohe Anzahl von Nutzern infizieren, indem sie innerhalb weniger Minuten auf kompromittierte Sites geleitet werden. Somit profitieren die Kriminellen von URLs, auch wenn diese nur wenige Stunden offen sind. Umso mehr sind 120 Stunden viel zu lang, um die Verbrechen zu verhindern. Die neue Policy ist sicherlich ein guter Anfang, wenn auch nicht genug, um heutige Gefahren zu bekämpfen.