Archiv für den Monat: Januar 2010

Google, China und Cyber-Armageddon

Hinterlassen Sie eine Antwort

Originalartikel von Rik Ferguson (Solutions Architect bei Trend Micro)

Im Zusammenhang mit den „sehr raffinierten und gezielten“ Angriffen auf Google haben mindestens drei Regierungen ihren Bürgern empfohlen, auf einen anderen Browser als den Internet Explorer von Microsoft auszuweichen. Ein wohlbekanntes Sicherheitsunternehmen hat in die eigene Website eine Grafik „Operation Aurora“ eingefügt, die Links zu Trial-Downloads für vorhandene Software enthält. Die Angriffe wurden vom CTO dieses Anbieters als „weltverändernd“ beschrieben und von Google als „etwas ganz Anderes“. Wie viel von der ganzen Aufregung ist tatsächlich berechtigt und angemessen?

Was wissen wir bislang? Google schreibt folgendes: „Mitte Dezember entdeckten wir einen sehr raffinierten und gezielten Angriff auf unsere Unternehmensinfrastruktur, der von China ausging und bei dem geistiges Eigentum von Google gestohlen wurde.“ Und weiter: „Im Rahmen unserer Nachforschungen entdeckten wir, dass mindestens zwanzig weitere große Unternehmen auf verschiedenen Branchen, einschließlich Internet, Finanzen, Technologie, Medien und der Chemie, Opfer ähnlicher Attacken geworden waren. Derzeit sind wir dabei, diese Unternehmen davon in Kenntnis zu setzen.“ iDefense hat Kunden, die von der Zero-Day-Schwachstelle in Acrobat Reader betroffen sind, und nennt 33 Unternehmen als Opfer.

Die nachfolgenden Vermutungen, Kommentare und Analysen wiesen die Schuld einer nicht gepatchten Schwachstelle im Internet Explorer und im Acrobat Reader zu. Die damit zusammenhängende Malware wurde sowohl als Varianten der Hydraq Trojans und einer neuen Malware, die McAfee Roarur.dr und TROJ_PIDIEF.SHK bezeichnete. Die Angriffsvektoren sind eine Mail mit bösartigen PDF-Anhängen und Drive-by-Downloads.

Als Motivation für die Angriffe wird sowohl der Versuch geistiges Eigentum zu stehlen als auch die Sicherheit von E-Mail-Konten chinesischer Menschenrechtler zu durchbrechen, genannt. Die Attacken sollen laut James Mulvenon, Director des Center for Intelligence Research and Analysis bei der Defense Group, von mindestens sechs Internet-Adressen in Taiwan ausgegangen sein.

Sind sie weltverändernd? Ich glaube nicht. Es sind nicht die ersten Angriffe über Zero-Day-Schwachstellen, und tatsächlich werden in den meisten Fällen Zero-Day-Exploit zuerst für gezielte Attacken genutzt, bevor sie sich weiter verbreiten. Auch sind es nicht die ersten Angriffe, die Drive-by-Downloads oder bösartige PDF-Anhänge einsetzen, um zum Ziel zu kommen. Weder ist es das erste Mail, dass Empfehlungen für einen anderen Browser ausgesprochen wurden, bis die Patches verfügbar sind, noch dass die Welt mit dem Finger auf China zeigt, bei einem breitangelegten Spionageangriff. Schließlich sind die Attacken nicht die komplexesten, viele Komponenten umfassende Systeme, die die Welt je gesehen hat – man denke nur an Koobface.

Es besteht kein Zweifel daran, dass diese Attacken eine ausgeklügelte Methodik enthalten. Die „Bad Guys“ waren auch sichtbar erfolgreich in der Auslieferung ihrer bösartigen Fracht an die richtigen Leute in den richtigen Unternehmen, um an Dinge wie Source Code oder E-Mail-Konten heranzukommen. Dennoch sehe ich dabei nichts, was die Welt verändern könnte. Social Engineering, fehlendes Sicherheitsbewusstsein, die Bereitschaft zu viel Information mit anderen zu teilen sowie die hoch entwickelte Schattenwirtschaft haben zum Erfolg der bösartigen Aktivitäten beigetragen.

Was können Unternehmen und Einzelpersonen tun, um zu vermeiden, dieser Art von Angriff zum Opfer zu fallen?

  • Erziehung zu einem sicherem Verhalten: Das Anklicken eines Links oder das Öffnen eines PDFs reicht aus, um sich zu infizieren, auch in einem vollständig gepatchten System.
  • Sicherstellen, dass alle Anwendungen und Systeme auf aktuellem Stand sind: Falls dies nicht möglich ist, empfiehlt sich die Nutzung von Host-basierter Intrusion Prevention, um „virtuelles Patchen“ von Systemen durchzuführen und einen Schutz gegen Zero-Day-Exploits zu haben.
  • Wird eine nicht gepatchte Schwachstelle entdeckt, so sollten Anwender den Empfehlungen der Anbieter folgen, um so schnell wie möglich die Risiken zu minimieren.
  • Verschlüsselung von wichtigen persönlichen Daten und geistigem Eigentum auf Dateiebene hilft, denn auch wenn diese Informationen gestohlen werden, so ist ihr Wert für den Dieb doch minimal.
  • Es empfiehlt sich die Einführung von Data Leakage Prevention Technologie, denn sie erkennt und stoppt das Ausführen von kritischen Inhalten aus dem Netzwerk.
  • Überdenken des Sicherheitsmodells von einem Von-außen-nach-innen-Ansatz zu einem der von innen nach außen geht – sichere Daten, sichere Zugriffsrechte, sichere Anwendungen. Der Perimeter existiert lediglich auf einem Netzwerkdiagramm.

Cyber-Angriffe auf Google und andere – Wer ist wirklich gefährdet?

Hinterlassen Sie eine Antwort

Originalartikel von Ria Rivera (Technical Communications bei Trend Micro)

Die kürzlich stattgefundenen Angriffe auf Google und weitere Organisationen sind in den Medien ausführlich diskutiert worden, vor allem wegen ihrer Ausmaße und der Bedeutung der betroffenen Unternehmen. Sie zeigen aber auch deutlich die wahre Komplexität und Raffinesse der Computerbedrohungen sowie die Tatsache, dass alle Anwender und Unternehmen jeder Größe potenziell in Gefahr sind.

Obwohl die Angriffe darauf abgestimmt waren, bestimmte Gruppen oder Organisationen zu treffen, könnte jeder Computer ihnen zum Opfer fallen. Daher rät Trend Micro Anwendern eindringlich, ihre Systeme mit den neuesten Patches auf aktuellem Stand zu halten und die erforderlichen Workaround-Fixes für die angenommene Schwachstelle im Internet Explorer (IE) anzubringen. Diese Aktualisierungen sind auf der Microsoft Security Advisory Seite zu finden.

Die Angriffe, die verschiedene Vektoren nutzen, scheinen vor allem über bösartige Websites zu kommen. Nutzer von nicht geschützten Systemen könnten unwissentlich eine Java Script-Malware herunterladen, die Trend Micro als JS_DLOADER.FIS identifiziert hat. Diese spezielle Malware nutzt eine bestimmte Schwachstelle im IE aus, sodass dieser nicht mehr in der Lage ist, Objekte im Hauptspeicher korrekt zu handhaben. Als Folge davon lässt sich Code remote ausführen (außer in IE 5.01), indem der Zugriff auf eine nicht valide Pointer-Referenz innerhalb des Browsers möglich wird, auch wenn ein Objekt bereits gelöscht wurde. Um dieses Problem zu umgehen, empfiehlt Microsoft, die IE 7 Browser in den „Protected Mode“ zu setzen, falls der Browser unter Windows Vista läuft, und “Data Execution Prevention (DEP)” zu aktivieren.

Wird dem Angriff nicht vorgebeugt, so verbindet sich Java Script mit einer URL und lädt eine verschlüsselte Malware herunter, die Trend Micro als TROJ_HYDRAQ.SMA identifiziert hat, ist auch als „Aurora“ bekannt. Sobald diese entschlüsselt und auf dem System ausgeführt wurde, führt der Trojaner Backdoor-Routinen aus. Er ist in der Lage, weitere Dateien auszuführen, Dienste und Prozesse zu beenden und noch wichtiger, Informationen von den betroffenen Systemen zu stehlen. Die relevanten gesammelten Daten werden dann an einen Remote-Anwender für die weitere Verwendung in kriminellen Aktivitäten gesendet.

Trend Micro schützt die Anwender über das Smart Protection Network vor dieser Art von Angriffen, denn es verhindert den Download aller entdeckten bösartigen Dateien und blockiert den Zugriff auf bösartige Sites. Auch schützt die Trend Micro™ Intrusion Defense Firewall und Deep Security vor Schwachstellen.

Zusätzlicher Text von Oscar Abendan, Carolyn Guevarr und Elizabeth Bookman

Twitterbuilding.com stiehlt pro Tweet ein Kennwort

Hinterlassen Sie eine Antwort

Originalartikel von Robert McArdle (Senior Malware Researcher bei Trend Micro)

Ich selbst bin ein großer Twitter-Fan, doch bin ich rigoros bei der Wahl meiner Freunde und den Tweet-Inhalten, denen ich folge. Content wie den folgenden würde ich sofort löschen:

In McDonalds—should I get a cheeseburger or a big mac?

4 minutes ago from iPhone by InaneTwit

So confused—must decide soon—1 person in front of me in Q!

3 minutes ago from iPhone by InaneTwit

I got the cheeseburger!

2 minutes ago from iPhone by InaneTwit

Eine Ausnahme würde ich lediglich bei meinem jüngeren Bruder machen. Deshalb war ich nicht überrascht, als ich folgenden Tweet sah:

This site is AWESOME!!!—http://TwitterBuilding.com
about 2 hours ago from API

Ich folgte dem Link und kam auf folgende Seite:

Diese Page erweckte nicht unbedingt einen vertrauenswürdigen Eindruck. Eine schneller Suchlauf des Webs zeigte tausende identischer Tweets von tausenden von Leuten, die bereitwillig ihre Kennwörter auf dieser Website preisgegeben hatten – wahrscheinlich dasselbe Kennwort, das sie überall verwenden, einschließlich ihrer Mail-Konten (siehe auch den Post vom Februar 2009).

Welche Lehre ziehen wir daraus? „Denke, bevor zu klickst!“

Würden Sie ihr Twitter-Kennwort einem beliebigen Menschen auf der Straße mitteilen? Bestimmt nicht. Warum also einer beliebigen Website? Alle, die dies dennoch getan haben, müssen jetzt dringend ihr Kennwort ändern!!

Suchergebnisse für Microsoft-Site können zu FAKEAV führen

Hinterlassen Sie eine Antwort

Originalartikel von Oscar Abendan (Technical Communications bei Trend Micro)

Trend Micro hat jüngst eine Bedrohung aufgedeckt, die von infizierten Suchergebnissen auf der Microsoft Office Site ausgeht. Das Ziel sind Nutzer, die dort Tipps und Hilfsinformationen zur Microsoft Office-Produkten suchen, vor allem zum Löschen von Meeting-Ankündigungen, ohne die anderen Teilnehmer zu benachrichtigen.

Die Eingabe der Suchanfrage „delete meeting without notifying invitees” scheint die Nutzer zu bösartigen Ergebnissen zu führen, und zwar zum Download von zwei bösartigen Dateien webvirusscanner77.com.htm-1 (von Trend Micro als HTML_FAKEALE.JD identifiziert) und Setup102_2045-10.exe-1 oder Setup111060_2045-10.exe-1 (TROJ_FAKEXPA.IA). Beide Dateien sind FAKEAV-Varianten, die bei Ausführung gefälschte Scanning-Ergebnisse zeigen sowie den Nutzer auffordern, eine gefälschte Antivirus-Software zu kaufen.

Der Trend Micro Bedrohungsforscher Normal Ingal stellte fest, dass die Eingabe der Suchanfrage auf der Site nicht nur Ergebnisse von besagter Site liefert sondern aus dem gesamten Web. Dieser Angriff ist vor allem deshalb gefährlich, weil die von der Suchanfrage generierten URLs mit http://office.microsoft.com beginnen und damit den Nutzern Sicherheit vorgaukeln. Mittlerweile hat sich Microsoft des Problems angenommen.

Das Smart Protection Network schützt die Anwender von Trend Micro-Produkten, indem es die Nutzer daran hindert, auf die bösartigen Sites zuzugreifen und auch den Download aller damit zusammenhängender Malware blockiert.

Deutschland auf Spitzenplatz bei Infektionen

Hinterlassen Sie eine Antwort

Artikel von Alice Decker (Senior Threat Researcher bei Trend Micro)

Deutschland kann mit einem traurigen Rekord aufwarten: Die Sicherheitsanalysten von Trend Micro haben festgestellt, dass Deutschland mit heute 226.430 infizierten URLs die drittgrößte Quelle (nach den Niederlanden mit 371.606 und Russland mit 257.395) für diese Bedrohung ist. Weltweit rangiert Deutschland damit auf Platz fünf hinter den USA (2.038.513), China (1.104.691), den Niederlanden und Russland.

Erstaunlicherweise stellt Deutschland auch die zweitgrößte Quelle von Spam in Europa dar mit 1765.695 E-Mails pro Tag nach Russland mit täglich 2.427.844 Mails. Weltweit sind die deutschen Rechner damit für drei Prozent des gesamten Spamaufkommens zuständig. Gleichzeitig aber ist es  auch das Land, das nach Frankreich die meisten Angriffe bezüglich der Anzahl der infizierten Links in Europa zu verzeichnen hat – sei es über E-Mail oder über tagtägliche Internetaktivitäten. Nicht nur die schiere Masse ist beunruhigend, Dave Rand, Chief Technologist bei Trend Micro, stellte für das erste Halbjahr 2009 fest, dass die kompromittierten Maschinen durchschnittlich 300 Tage lang infiziert bleiben – manche sogar bis zu drei Jahren. Rand zufolge führt China mit einer Infektionsdauer von bis zu zehn Jahren, aber auch in Deutschland gibt es Computer, die bis zu zwei Jahren infiziert waren.

Diese „Spitzenplätze“ könnten die Deutschen 2010 jedoch wieder abgeben, so die Prognose von Trend Micro, denn mit steigendem Zugang der Menschen aus den verschiedenen Ländern wird mehr und mehr Content in Sprachen wie Hindi Chinesisch, Russisch und Portugiesisch ins Internet gestellt.

Trend Micro schützt die Anwender über das Smart Protection Network. Diese intelligente Content-Sicherheitsinfrastruktur erkennt und blockiert verdächtige URLs, Dateien und E-Mails bevor sie die Systeme der Nutzer erreichen.