Archiv des Autors: Andreas Pelka

„Linsanity“ führt zu gerichteten Malware Attacken

Cyberkriminielle stürzen sich bewusst auf Medienereignisse um Ihre Schadsoftware zu verbreiten – so wie letztens beim Tod von Whitney Housten. Seit neustem nutzen Sie die Popularität von Jeremy Linn aus. Als Köder dient diesmal ein Dokument mit Informationen über seinen Werdegang.

Esthost unschädlich gemacht – größter Schlag aller Zeiten gegen Cyber-Kriminalität

Originalartikel von Feike Hacquebord (Senior Threat Researcher)

Am 8. November konnten das FBI und die estnische Polizei in Zusammenarbeit mit Trend Micro und einer Reihe anderer Branchenpartner ein langlebiges Bot-Netz aus mehr als 4.000.000 Bots außer Gefecht setzen.

Im Rahmen der vom FBI als „Ghost Click“ bezeichneten Operation wurden zwei Rechenzentren in New York City und Chicago durchsucht und eine C&C-Infrastruktur (Command & Control) aus über 100 Servern abgeschaltet. Zur gleichen Zeit nahm die estnische Polizei in der Stadt Tartu in Estland mehrere Mitglieder fest. Unter diesem Link finden Sie die Pressemitteilung des FBI (in englischer Sprache).

Das Bot-Netz bestand aus infizierten Computern, deren DNS-Einstellungen so manipuliert worden waren, dass sie auf ausländische IP-Adressen zeigten. DNS-Server lösen menschenlesbare Domänennamen in IP-Adressen auf, die bestimmten Computerservern im Internet zugewiesen sind. Die meisten Internet-Benutzer verwenden automatisch die DNS-Server ihrer Internet-Service-Provider.

DNS-modifizierende Trojaner ändern die Computereinstellungen still und heimlich,‏ so dass ausländische DNS-Server verwendet werden. Diese DNS-Server werden von bösartigen Dritten installiert und übersetzen bestimmte Domänen in bösartige IP-Adressen. Das Ergebnis: Die nichts ahnenden Opfer werden unbemerkt auf potenziell bösartige Websites umgeleitet.

Kriminelle verwenden eine ganze Palette von Methoden, um aus dem DNS Changer-Bot-Netz Geld zu schlagen. Beispielsweise ersetzen sie Werbeanzeigen auf Websites, die von den Opfern geladen werden, „entführen“ Suchergebnisse und verbreiten zusätzliche Malware.

Zum Vergrößern klicken

Wir bei Trend Micro wussten bereits seit 2006, wer mit aller Wahrscheinlichkeit hinter diesem Bot-Netz steckt, doch wir beschlossen, gewisse Daten und Einblicke unter Verschluss zu halten, um die Arbeit der Strafverfolgungsbehörden nicht zu behindern.

Jetzt, da die Hauptverantwortlichen festgenommen wurden und das Bot-Netz abgeschaltet wurde, können wir einige der von uns in den vergangenen fünf Jahren gesammelten Daten veröffentlichen.

Rove Digital

Die cyber-kriminelle Gruppe, die jeden Schritt von der Infizierung mit Trojanern bis hin zur Monetarisierung der infizierten Bots kontrollierte, war das estnische Unternehmen Rove Digital. Dabei handelt es sich um einen Mutterkonzern, dem eine Reihe anderer Unternehmen wie Esthost, Estdomains, Cernel, UkrTelegroup und weniger bekannte Mantelgesellschaften unterstellt waren.

Rove Digital ist ein scheinbar rechtmäßiges IT-Unternehmen mit Sitz in Tartu. In den Büros des Hauptsitzes gehen die Menschen tagtäglich ihrer ganz „normalen“ Beschäftigung nach – wie in Tausenden anderen Unternehmen auch. In Wirklichkeit aber steuert die Zentrale in Tartu Millionen infizierter Hosts rund um den Globus und macht Jahr für Jahr unrechtmäßig erworbene Millionengewinne mit ihren Bots.

Esthost, ein Reseller von Webhosting-Services, tauchte bereits im Herbst 2008 in der Presse auf. Damals ging das Unternehmen offline, als sein Provider Atrivo in San Francisco aufgrund von Klagen durch Privatpersonen dazu gezwungen wurde, vom Netz zu gehen. Zur gleichen Zeit verlor ein Domänenregistrierungsunternehmen von Rove Digital – Estdomains – seine ICANN-Akkreditierung, da der Eigentümer, Vladimir Tsastsin, in seiner Heimat Estland wegen Kreditkartenbetrugs verurteilt wurde.

Zum Vergrößern klicken

Diese Aktionen waren das Ergebnis öffentlichen Drucks, der aus dem Verdacht entstand, dass Esthost in erster Linie mit Kriminellen Geschäfte machte. Rove Digital wurde gezwungen, die von Esthost bereitgestellten Hosting-Services einzustellen, nichtsdestotrotz aber setzte das Unternehmen seine kriminellen Machenschaften fort. Ihre Lektion lernten die Köpfe, die hinter Rove Digital steckten, erst, als sie die C&C-Infrastruktur weltweit verbreiteten und einen Großteil der zuvor bei Atrivo gehosteten Server zum Rechenzentrum Pilosoft in New York City verschoben, wo bereits einige ihrer Server gehostet wurden.

Im Jahr 2008 war es kein Geheimnis mehr, dass viele der Kunden von Esthost Kriminelle waren. Nicht bekannt aber war, dass sowohl Esthost als auch Rove Digital intensiv in cyber-kriminelle Machenschaften verwickelt waren.

Trend Micro war bekannt, dass Rove Digital nicht nur Trojaner hostete, sondern auch C&C-Server und bösartige DNS-Server sowie die Infrastruktur steuerte, über die aus den betrügerischen Klicks des DNS Changer-Bot-Netzes Geld gemacht wurde. Neben den DNS-modifizierenden Bot-Netzen verbreiteten Esthost und Rove Digital auch FAKEAV- und Trojaner-Klicker. Außerdem waren die Unternehmen in den Online-Verkauf fragwürdiger Medikamente und andere Cybercrimes verwickelt, die in diesem Blog nicht weiter erläutert werden.

Die Beweise, die wir in den letzten Jahren zusammengetragen haben, lassen keinen Zweifel daran, dass Esthost und Rove Digital unmittelbar in Cybercrime und Betrug zu tun haben. Erste Verdachtsmomente basierten auf schlichten aber eindeutigen Hinweisen:

Indikatoren für cyber-kriminelle Aktivitäten

Im Jahr 2006 bemerkten wir zunächst, dass es sich bei zahlreichen C&C-Servern des DNS-Changer-Netzwerks um Unterdomänen von Esthost.com handelte; beispielsweise die ausländischen, bösartigen DNS-Server, deren IP-Adressen in DNS-Changer-Trojanern hartkodiert waren und die auf „dns1.esthost.com“ bis „dns52.esthost.com“ gehostet wurden (52 Domänennamen).

Ein Backend-Server, der alle bösartigen DNS-Server gleichzeitig aktualisieren konnte, befand sich unter dns-repos.esthost.com. Ein Backend-Server für Trojaner mit gefälschtem Codec befand sich unter codecsys.esthost.com. Sofern die Domäne esthost.com nicht gehackt wird, kann nur Esthost diese sehr vielsagenden Unterdomänen zum Domänennamen hinzufügen. Als die Domäne esthost.com abgeschaltet wurde, begannen die C&C-Server von Rove Digital, private Domänennamen mit der Endung „.intra“ zu nutzen. Es gelang uns, die vollständige .intra-Bereichsdatei von einem der Server von Rove Digital in den USA herunterzuladen.

2009 erhielten wir eine Kopie der Festplatten zweier C&C-Server, die Werbeanzeigen auf Websites ersetzten, sobald sie von Opfern des DNS-Changers geladen wurden. Auf den Festplatten fanden wir öffentliche SSH-Schlüssel von diversen Rove Digital-Mitarbeitern. Mithilfe dieser Schlüssel konnten sich die Mitarbeiter auf den C&C-Servern ohne Kennwort anmelden – sie benötigten lediglich ihren persönlichen Schlüssel. Aus den Protokolldateien auf den Servern konnten wir darauf schließen, dass die C&C-Server über die Zentrale von Rove Digital in Tartu gesteuert wurden.

Darüber hinaus unterhielt Rove Digital ein FAKEAV- bzw. ein bösartiges DNS-Partnerprogramm namens Nelicash. Es gelang uns, ein Schema der Infrastruktur für den FAKAV-Bereich herunterzuladen. Über einen Nelicash-C&C-Server entdeckten wir Informationen über Opfer, die gefälschte Antiviren-Software erworben hatten.

Zum Vergrößern klicken Zum Vergrößern klicken

Unter diesen Käufen befanden sich zahlreiche Testbestellungen von Mitarbeitern von Rove Digital über IP-Adressen, die von Rove Digital in Estland und den USA kontrolliert wurden. Dies zeigt, dass Rove Digital direkt in den Verkauf von FAKEAV involviert war.

Über denselben Nelicash-C&C-Server könnten wir außerdem einen detaillierten Plan zur Entwicklung neuer bösartiger DNS-Server für 2010 und 2010 herunterladen. Tag für Tag verbreitete Rove Digital eine neue Malware, die die DNS-Einstellungen von Systemen in ein einzelnes Paar ausländischer Server änderte. Wir überprüften Trojaner von DNS-Changer einige Tage lang und stellten fest, dass diese Trojaner die DNS-Einstellungen der Opfer genau nach diesem Plan modifizierten.

Zum Vergrößern klicken

Es würde den Rahmen sprengen, wenn wir an dieser Stelle die Vielzahl weiterer, von uns gesammelter Beweise aufführen würden. Alle Ergebnisse weisen darauf hin, dass Rove Digital tatsächlich Cybercrime im großen Maßstab durchführt und unmittelbar verantwortlich für das riesige DNS Changer-Bot-Netz ist.

Angesichts dieser Tatsache freuen wir uns sehr, Ihnen mitteilen zu können, dass die enge Zusammenarbeit zwischen dem FBI, der estnischen Polizei, Trend Micro und anderen Branchenpartnern zur Abschaltung dieses gefährlichen Bot-Netzes geführt hat. Außerdem konnten die Hauptverantwortlichen festgenommen werden, und das, obwohl das Unschädlichmachen von Rove Digital kompliziert und extrem aufwändig war.

Trend Micro konnte die C&C-Infrastruktur von Rove Digital sowie die Backend-Infrastruktur bereits frühzeitig erfolgreich identifizieren und überwachte die C&C-Infrastruktur auch weiterhin bis zum 8. November 2011. Andere Branchenpartner stellten sicher, dass die Abschaltung des Bot-Netzes kontrolliert und ohne größere Störungen für die infizierten Kunden verlief, und leisteten somit einen überragenden Beitrag zur gesamten Operation bei.

Die folgenden Links befassen sich ebenfalls mit diesem Thema:

Weitere Informationen finden Sie im Beitrag von Rik Ferguson. Er beschreibt wie Sie prüfen können, ob auch Sie ein Opfer dieser Cyber-Kriminellen sind.

Zusätzlicher Text von Paul Ferguson

Hier könnte ihre Werbung stehen – mit Bild

Bilder sagen mehr als Worte – dachte sich wohl auch LinkedIn und hat bei den Standardeinstellungen Änderungen vorgenommen. Sie führen dazu, dass die persönlichen Daten der Mitglieder an Dritte weitergegeben werden dürfen – inklusive ihrer Bilder.

Wer nicht will, dass sein Foto auf der nächsten Produktwerbung erscheint, sollte folgende Änderungen vornehmen: Nach dem Einloggen ins Netzwerk erscheint rechts oben der eigene Name. Wer mit der Maus darauf hält, bekommt ein Drop-down-Menü mit dem Eintrag „Settings“ zu sehen. Einmal anklicken und die Oberfläche mit den Einstellungen öffnet sich. Nach dem Anklicken des Reiters „Account“ links unten erscheinen etwa in der Bildschirmmitte unter der Überschrift „Privacy Controls“ zwei Links mit den Bezeichnungen „Manage Social Advertising“ und „Turn on/off enhanced advertising“. Beim Anklicken des ersten Links öffnet sich ein Fenster mit Angaben zur Verwendung persönlicher Informationen von LinkedIn-Mitgliedern im Rahmen von Werbung durch Dritte. Gleichzeitig ist die Zustimmung dazu voreingestellt. Ein Klick auf das Kästchen mit dem Haken, und die Zustimmung ist entfernt. Bitte nicht vergessen, anschließend die Einstellungsänderung zu speichern.

Nach Anklicken des zweiten Links wird der Anwender darüber informiert, dass LinkedIn sich im Standard das Recht gibt, Werbung von Partnern auf den Profilseiten der Mitglieder anzuzeigen, die nach Analyse der Mitgliederinformationen auf das jeweilige Profil zu passen scheint. Wer solche Werbung nicht erhalten möchte, muss den Zustimmungshaken entfernen.

Generell sollten Nutzer sozialer Netzwerke ihre Profileinstellungen regelmäßig überprüfen und eher zu restriktiv mit der Weitergabe ihrer persönlichen Informationen umgehen. Zudem sollten sie stets sorgsam überlegen, welche Informationen sie in soziale Netzwerke einstellen.

Weitere Informationen sind in Rik Fergusons „Countermeasures-Blog“ erhältlich.

Consumerization im Aufwind

Originalartikel von Cesare Garlati (Sr. Director of Consumerization, Trend Micro)

Unternehmen sollten sich dem Trend nicht widersetzen, sondern auf „Consumerization“ (Konsumerisierung) setzen, um ihr Geschäftspotential voll auszuschöpfen. Dazu bedarf es eines strategischen Ansatzes, flexibler Richtlinien sowie entsprechender Sicherheits- und Managementtools.

Die Consumerization der IT ist der einflussreichste Technologietrend dieses Jahrzehnts. Unternehmen haben diesen Trend bereits wahrgenommen, da sie sich mit der gehäuften Zunahme und dem Einfluss von Smartphones, Tablets, Facebook, Twitter usw. auseinandersetzen müssen. Diese „Bring Your Own Device“-Bewegung (BYOD) erinnert stark an die Anfänge des Computers in den späten 70er und frühen 80er Jahren, als Mitarbeiter sich ihren eigenen Apple II oder IBM PC kauften und diesen mit zur Arbeit brachten, um damit Tabellenkalkulationen (mit Visicalc bzw. Lotus 1-2-3) zu bearbeiten. So konnten sie Daten sofort verarbeiten und mussten nicht warten, bis die IS-Abteilung Lochkarten, Bänder oder sonstige E/A verarbeitet hatte. Schließlich mussten sich die Leiter der IS-Abteilungen geschlagen geben und auf der Computerwelle mitschwimmen – der Rest ist bekanntlich Geschichte.

Dieser neue wachsende BYOD-Trend bringt zwar Risiken mit sich, viele Unternehmen machen jedoch den Fehler, sich diesem Eindringen der Consumer-IT zu widersetzen. Mit welchen Lösungen und Best Practices kann ein Unternehmen also die Consumerization als Wettbewerbsvorteil nutzen?

Erstens: Legen Sie sich einen Plan zurecht. Gehen Sie strategisch an die Consumerization heran, und entwickeln Sie einen organisationsübergreifenden Plan. Dieser Prozess darf sich nicht nur auf die IT-Abteilung beschränken, sondern muss Führungskräfte aus Marketing, Vertrieb, Personal und Produktentwicklung sowie Kunden, Partner und interne Mitarbeiter, die eine Vorreiterrolle einnehmen, einbeziehen. Beim Planen der Übernahme neuer Consumer-Technologien sollten IT-Manager die versiertesten Benutzer befragen, um herauszufinden, welche Geräte und Anwendungen bevorzugt werden und bei den täglichen Arbeitsabläufen am hilfreichsten sind. Auf diese Weise kann die IT-Abteilung von den Erfahrungen der Benutzer profitieren, statt ihnen Ansichten aufzuzwingen.

Zweitens: Sagen Sie ja – aber nicht zu allem und jedem. Entwickeln Sie eine Reihe von Richtlinien, die eindeutig festlegen, welche Geräte und Anwendungen als Unternehmensstandard (voll unterstützt durch IT-Abteilung), als lediglich toleriert (gemeinsam mit dem Anwender unterstützt) oder als missbilligt (vollständige Haftung durch den Anwender) gelten. Darüber hinaus sollte die IT-Abteilung für alle Mitarbeiter anhand relevanter Attribute, wie Rolle, Geschäftszweig und Standort, ein Profil erstellen. Anschließend werden die Technologien den Anwenderprofilen zugeordnet und für die verschiedenen Schnittmengen SLAs erstellt.

Drittens: Setzen Sie die richtige Infrastruktur ein. Stellen Sie die richtigen IT-Tools bereit, die speziell für den Schutz und die Verwaltung der Verbrauchertechnologie im Unternehmen entwickelt wurden. Beachten Sie dabei, dass sich zwar in bestimmten Produktsegmenten bereits einige Lösungen herauskristallisiert haben, dennoch kann kein einzelner Anbieter eine Lösung anbieten, die sämtliche funktionalen Anforderungen über alle Plattformen hinweg abdeckt. Anbieter versuchen, diese neue Marktlücke mit Lösungen zu füllen, die ursprünglich für benachbarte Produktsegmente entwickelt wurden. Doch die meisten Lösungen bieten sich überschneidende Kernfunktionen und unterstützen gleichzeitig nicht alle Plattformen, was jedoch entscheidend ist, um das Gesamtspektrum an Consumer-Technologien zu schützen und zu verwalten. Das hat zur Folge, dass die IT gleich mehrere Komponenten über unterschiedliche Produktkategorien hinweg einbeziehen muss: Sicherheitslösungen für Internet Content Security, mobilen Malware-Schutz und Schutz für mobile Daten, Verwaltungstools für mobile Geräte für Systembereitstellung und Anwendungsverwaltung sowie Verwaltungsstellen zur Überwachung von Telekommunikationsausgaben für die Bereitstellung, Unterstützung und Kostenkontrolle von Voice- und Datenservices.

Fazit: Unternehmen sollten auf Consumerization setzen, um ihr Geschäftspotential voll auszuschöpfen. Das erfordert einen strategischen Ansatz, flexible Richtlinien und angemessene Sicherheits- und Verwaltungstools.

Haben Sie festgestellt, dass diese Strategie in Ihrem Unternehmen gut funktioniert? Oder ist das Gegenteil der Fall? Lassen Sie es uns wissen.

Und was ist mit den Mitarbeitern? Consumerization als Eisbrecher einsetzen!

Originalartikel von Jamie Haggett (Global Solutions Manager, Trend Micro)

Ich habe in letzter Zeit an vielen Veranstaltungen, Foren, Kundengesprächen und Podiumsdiskussionen zur Consumerization und deren zukünftigem Einfluss auf Unternehmen teilgenommen. Dabei werden immer wieder Fragen gestellt wie „Wie können wir diese Geräte verwalten?“ oder „Wie können wir unsere Daten auf diesen Geräten schützen?“ Die Frage, die ich vermisse, ist „Wie können wir unsere Mitarbeiter schützen?“

Mir scheint, Unternehmen reagieren lediglich darauf, dass Verbraucher diese Geräte in die Unternehmen bringen, statt sich wirklich darauf einzulassen, wie sie behaupten. Um sich wirklich voll auf die Consumerization einzulassen, müssen Unternehmen einen Schutz bereitstellen, der nicht einseitig ist. Bei der Einführung der Consumerization ist ganz entscheidend, dass die Mitarbeiter akzeptieren, dass das Unternehmen zu einem gewissen Maß die Kontrolle über ihre Geräte übernimmt. Sie müssen das Gefühl haben, dass der Schutz in beide Richtungen funktioniert.

„Wie kann ich sicherstellen, dass mein Arbeitgeber nicht auf meine Fotos zugreifen kann?“ „Wie kann ich sicherstellen, dass mein Chef private E-Mails auf meinem Gerät nicht liest oder durchsucht?“ „Wie kann das angehen, dass mein Arbeitgeber alles auf meinem privaten Gerät löschen kann, inkl. meiner privaten Anwendungen und Fotos?“ Diese und ähnliche Fragen werden von Mitarbeitern häufig bei Ideen-Workshops zur Consumerization gestellt.

Der erfolgreichste und empfehlenswerteste Sicherheitsansatz besteht seit jeher darin, den gesamten Mitarbeiterstamm einzubeziehen. Ideen-Workshops zur Consumerization sind ein ideales Mittel, um das Eis zwischen Ihnen und Ihren Mitarbeitern zu brechen und sie in den Planungsprozess einzubeziehen. Gleichzeitig kann das Schulungspersonal über die Bedeutung der Sicherheit informieren. Das gibt Mitarbeitern nicht nur das Gefühl, dass sie eine wichtige Rolle spielen, sondern erleichtert auch die Einführung von Sicherheitsrichtlinien und -technologien, mit denen diese Geräte verwaltet und geschützt werden.

Beziehen Sie also die Anwender in Ihrem Unternehmen mit ein. Sie werden überrascht sein, wie gut das ankommt. Wenn Ihre Mitarbeiter das Gefühl haben, dass sie Bestandteil des Prozesses sind, entsteht eine Loyalität von unschätzbarem Wert. Das Wissen, wie Ihr Unternehmen diese Geräte genau nutzt, kann sehr aufschlussreich sein. Der Faktor Mensch ist das schwächste Glied in jedem Sicherheitsprogramm. Und genau an diesem Punkt müssen Sie ansetzen.