Smartphones erfreuen sich wachsender Beliebtheit. Eine von Google in fünf Ländern durchgeführte Umfrage beweist dies: In Deutschland etwa stieg die Zahl der Smartphone-Besitzer von Januar 2011 bis Oktober um fünf Prozent auf insgesamt 23 Prozent der Bevölkerung.
Entsprechend diesem Trend nehmen auch die Gefahren für die mobilen Geräte zu. Mittlerweile gelten für die Mobilgeräte und Tablets dieselben Gefährdungsszenarien wie man sie aus der PC-Welt kennt. Die folgenden fünf Angriffsmuster zeigen die Ähnlichkeiten auf:

• Vor mehr als fünf Jahren nutzten Cyberkriminelle umkonfigurierte Modems, um Bezahldienste und Ferngespräche für ihre Zwecke zu nutzen. Heute versucht mobile Schadsoftware häufig, Nutzer dazu zu verleiten, solche Bezahldienste zu abonnieren.
• Etwa zwanzig Jahre lang verbreiteten vor allem Viren Angst und Schrecken, danach waren es Würmer, und heute sind es in erster Linie Trojaner-Downloader für den einmaligen Gebrauch. All diese Mittel hatten nur ein Ziel, die Opfersysteme möglichst dauerhaft zu infizieren und zu kompromittieren. Auf den mobilen Plattformen gibt es bereits Trojaner für den Datendiebstahl, die sich als nützliche App tarnen und im Stillen Daten sammeln und weiterleiten.
• Mehrstufige und zwischen PC und mobilen Geräten wechselnde Bedrohungen gibt es bereits. Einige Varianten des Bank-Schädlings ZeuS überwacht den PC und die Online-Transaktionen. Entdeckt er eine Anfrage für eine zweite Überprüfung schickt er einen Facebook-Link an das Smartphone des Opfers, um so Daten abzuziehen und einen vollständigen Zugriff auf die Online-Finanzdaten zu erhalten.
• Fast jeder Nutzer empfängt in der einen oder anderen Form E-Mails auf seinem Mobilgerät, die im Prinzip die Aktivitäten auf dem Desktop widerspiegeln. Daher sind auch diese Mails denselben Phishing- und Spam-Attacken ausgesetzt wie auf dem PC.
• Von Exploits und Angriffen wie Man-in-the-Middle und solche auf SSL-Verbindungen ist in Verbindung mit PCs immer wieder die Rede. Da heutige Smartphones viel schneller sind als die „alten“ PCs, kleinere Bildschirme haben, und es keine „ausgewachsenen“ Werkzeuge gibt, die erforschen können, was im Hintergrund läuft, merken die Nutzer von Tablets oder Smartphones meist nicht, wenn sie angegriffen werden.

Im Zuge der BYOD (Bring-Your-Own-Device)-Strategien kommen die mobilen Geräte in die Unternehmen. Doch werden sie nicht mit derselben Sorgfalt gesichert wie PCs, Laptops oder Desktops, deren Nutzung von Policies und Richtlinien geregelt wird.

Um nicht zum Opfer zu werden, ist Nutzern dringend zu empfehlen, auch ihre mobilen Geräte mit Anti-Malware- und Content-Filtering-Lösungen zu schützen. Ebenso wichtig ist es , die Firmware und die mobilen Apps auf aktuellem Stand zu halten. Weitere Gedanken und Tipps zum Thema bieten die Einträge: „Die Gefahr durch Android-Malware wächst auch 2012“ sowie „2011 in Review: Mobile Malware“.

Im Laufe des Jahres 2011 wurde über viele Angriffe berichtet, so etwa über den auf RSA, wobei Daten zu RSA’s Secure ID gestohlen und für weitere Attacken genutzt wurden. Des Weiteren gab es Berichte zur Operation ShadyRAT, welche die Langlebigkeit von Command & Control-Infrastrukturen demonstrierte, oder zu Nitro und Night Dragon, die zeigten, dass Angreifer sich auf bestimmte Industriezweige konzentrieren.
Auch über Trend Micros Erforschung der Lurid-Angriffe wurde viel geschrieben. Diese Attacken führten vor, dass Angreifer an Zielen außerhalb der USA interessiert sind und vor allem, dass es keine Einzelangriffe mehr sind, sondern „Kampagnen“.
Daneben jedoch sind noch viele APT-Gefahren erforscht worden, über die nicht öffentlich geschrieben wurde. Hier sind die Top-Themen:

• Die “Contagio Dump”- und “Targeted Email Attacks”-Blogs – Mila Parkour und Lotta Danielsson-Murphy haben viele Informationen zu der Forschung in diesem Bereich veröffentlicht. Während bösartige Binaries häufig für eine Analyse zur Verfügung stehen, ist der Inhalt der mit Social Engineering-Techniken infizierten E-Mails meist schwer nachvollziehbar. Diese Blogs liefern einzigartige Einsichten in diese Art von gezielten Angriffen.
• Der CyberESI-Blog – Hier gibt es detaillierte Analysen einiger der erfolgreichsten Malware-Familien.
• “Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kiill Chains” – Hutchins, Cloppert, und Amin erklären hier – allerdings sehr akademisch – wie die Phasen eines Angriffs nachvollzogen werden können und wie mehrfache Vorfälle in eine Kampagne einzuordnen sind. Für jeden, der APT-Angriffe erforschen will, eine Pflichtlektüre.
• „1.php“ – ist ein Bericht von Zscaler über eine bestimmte Kampagne. Die Autoren analysieren die C & C-Infrastruktur und präsentieren die Ergebnisse als Grundlage für Verteidigungsmaßnahmen.
• Sykipot – AlienLabs dokumentiert die Trends, die sich aus der Kampagne ableiten lassen, beschreibt aber auch die Exploits, die Schädlinge und die von den Angreifern genutzte C & C-Infrastruktur. Interessant an diesem Bericht sind auch die Spekulationen über einen Cyberkrieg Chinas gegen die USA – oder anders rum?
• “What is an APT without a sensationalist name?” – Seth Hardys Präsentation auf der SecTor 2011 lieferte einen längst überfälligen kritischen Blick auf den Hype rund um APT, aber auch eine detaillierte technische Analyse des Schädlings “SharkyRAT”.
• “Moli Hua” – Greg Walton dokumentierte einen Angriff auf Journalisten, be idem Facebook und ein MHTML-Exploit für Gmail genutzt wurden, über den die Angreifer ihre eigenen E-Mail-Adressen als “delegierte Konten“ hinzufügen konnten

OpenDNS hat ein Vorschau-Release auf das neue Tool DNSCrypt veröffentlicht und es als großen Schritt hin zu Vertraulichkeit und Sicherheit im Internet bezeichnet. Dahinter steckt das einfache Konzept, den gesamten DNS-Verkehr zwischen dem Nutzer und dem rekursiven Resolver zu verschlüsseln. So gut die Idee auch sein mag, sie trifft den Kern des Problems nicht.

Dem Dienst zufolge stellt der Code die erste tatsächliche Implementierung des DNSCurve-Schemas dar. Ziel des Ganzen sei es, den Datenschutz und die Authentizität einer gesamten DNS-Transaktion zu gewährleisten. Doch so einfach ist dies nicht, denn eine verschlüsselte Hülle um ein vorhandenes Protokoll zu legen, reicht nicht aus, um mehr Sicherheit zu erreichen. Man muss das gesamte Ökosystem im Blick haben. Die DNS-Abfrage eines Nutzers ist zwar privat und für andere in demselben Netzwerk unsichtbar – doch eben nur dort. Das Problem beginnt ein paar Millisekunden, nachdem der User das Ergebnis erhält: Die Vertraulichkeit durch den verschlüsselten DNS-Verkehr verflüchtigt sich nämlich, sobald der Browser seine Anfrage an den Server stellt. Ein Angreifer, der den DNS-Verkehr des Nutzers sehen kann, wird höchstwahrscheinlich auch Einsicht in weitere Formen des Datenverkehrs haben.

Wer sich mehr um die Authentizität der Daten als um die Vertraulichkeit sorgt, hat bessere Möglichkeiten diese sicherzustellen. DNSSEC (DNS Security Extensions) steht dafür bereit. Ein großer Vorteil dieser IETF-Spezifikation besteht darin, dass DNSSEC für manche Top Level Domains die Ergebnisse bis zur Root authentifizieren kann. Laut den DNSCrypt Frequently Asked Questions bei OpenDNS arbeiten die beiden Techniken perfekt zusammen.

Als interessanter Nebeneffekt leitet DNSCrypt mehr Verkehr an die OpenDNS-Infrastruktur. Zwar haben sie den Client-Code unter Open Source gestellt, doch derzeit besitzen sie die einzige funktionierende Server-Implementierung. Ist die Sorge darüber, dass ein ISP im DNS-Verkehr seiner Nutzer schnüffelt, bei OpenDNS weniger berechtigt?

Falls ein Nutzer den Verdacht hegt, jemand schnüffelt in seinen Datenpaketen und verfolgt somit seine Internet-Aktivitäten, gibt es das quelloffene Programm Tor zur Anonymisierung von Verbindungsdaten oder andere VPN/Proxy-Dienste.

Quelle: flickr

Ein neuer Report des Ponemon Institutes zeigt den Graben, der sich zwischen den IT-Sicherheits- und Compliance-Verantwortlichen auftut, wenn es um das Management von Clouds geht. Für ihre Studie hatten die Analysten in den USA 1000 Verantwortliche dieser beiden Gruppen zu den möglichen Herausforderungen bezüglich der Wolkensicherheit befragt, wobei weniger als die Hälfte der Ansicht ist, in ihren Unternehmen sei adäquate Sicherheitstechnologie für ihre Cloud-Infrastrukturen vorhanden.

Doch bei den Fragen, ob die Cloud genauso sicher ist wie das Onpremise-Datacenter, wer für die Cloud-Sicherheit die Verantwortung tragen sollte sowie welche Sicherheitsmaßnahmen erforderlich sind, gehen die Meinungen der beiden Gruppen von Verantwortlichen deutlich auseinander. Lediglich ein Drittel der IT-Sicherheitsfachleute glaubt, Cloud-Infrastrukturumgebungen seien genauso sicher wie das traditionelle Datacenter. Die Hälfte der Compliance Officer dagegen glaubt an die Sicherheit der IaaS (Infrastructure as a Service)-Umgebungen.

Auch bezüglich der Sicherheitsverantwortlichkeiten gibt es unterschiedliche Ansichten: 21 Prozent der Compliance-Manager sehen sich selbst in der Rolle derer, die die Security-Anforderungen definieren. Demgegenüber stehen 22 Prozent der IT-Fachleute, die diese Aufgabe bei sich sehen.

Für die wichtigste Sicherheitsmaßnahme bezüglich der Cloud halten die IT-Verantwortlichen den Einsatz von Verschlüsselung, sodass die Daten für Service Provider nicht lesbar sind. Compliance-Fachleute wiederum sehen die Verwendung von Verschlüsselung eher bei der Trennung der unterschiedlichen Aufgaben, um etwa IT-Administratoren den Zugang zu Daten, die sie nicht für ihre Jobs benötigen, zu verwehren. Insgesamt ist es jedoch nur einem Drittel der Unternehmen wichtig, ihre Daten, die in der Cloud gespeichert sind und auf die dort zugegriffen wird, über Verschlüsselung zu schützen.

„Uns hat die unterschiedliche Haltung zur Cloud-Sicherheit bei den IT-Sicherheits- und Compliance-Verantwortlichen überrascht“, stellte Ponemon Institute Vorsitzender und Gründer Larry Ponemon fest. „Doch zeigt die Befragung, dass die Security-Belange beide Gruppen betrifft, auch wenn es Besorgnis erregend ist, dass die Verantwortlichkeiten für die Cloud-Sicherheit über das gesamte Unternehmen verteilt sind.“

Ganz gleich, welche Abteilung schließlich die Verantwortung für den Schutz der Cloud übernimmt, wichtig ist, dass Unternehmen schnell handeln und eine Sicherheitsstrategie entwickeln.

Trend Micro ist in den letzten Monaten schon des Öfteren auf Malware gestoßen, wie etwa Ice IX und ZeuS 2.3.2.0, die aus dem im Frühjahr öffentlich gewordenen ZeuS-Code hervorgegangen ist. Nun gibt es seit Ende September eine neue Variante, die anscheinend auch auf dem ZeuS-Code beruht. Obwohl es keine Referenz auf eine Versionsnummer gibt, gehen die Sicherheitsforscher davon aus, dass sie von denselben Kriminellen entwickelt wurde, die auch hinter LICAT stehen.

Die derzeitigen Angriffe zielen momentan auf australische Nutzer, doch lässt der Inhalt der entschlüsselten Konfigurationsdatei darauf schließen, dass der Schädling auch in einer weltweiten Kampagne in den USA, Europa und sogar Asien genutzt werden kann.

Die neue Version (TSPY_ZBOT.SMQH) verbreitet sich über Spam, der vorgibt, vom ATO (Australian Taxation Office) zu kommen. Die infizierte Nachricht enthält einen bösartigen Link, der auf eine infizierte Website zeigt. Diese wiederum bedient das BlackHole Exploit Kit, das dann diese neue ZeuS-Variante herunterlädt.

Anders als frühere ZeuS-Versionen, die ihre Konfigurationsdatei über http herunterladen, öffnet die neue einen beliebigen UDP-Port und nimmt Verbindung zu einer hart codierten Liste mit IP-Adressen auf, um die entsprechende Datei herunter zu laden. Weitere technische Details zur Vorgehensweise gibt es hier.

Trend Micros Smart Protection Network schützt die Anwender vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur mittels des Email Reputation Service die Spam-Nachrichten blockiert, noch bevor sie die Inbox des Nutzers erreichen. Der Web Reputation Service wiederum verhindert den Zugriff auf bösartige Sites und Domänen, die Malware-infizierte Dateien enthalten. Der File Reputation Service erkennt diese Dateien als Schädlinge

Quelle: ky_olsen’s Flickr stream

Software as a Service (SaaS) erfreut sich wachsender Beliebtheit. Laut Gartner erreichte der weltweite Umsatz mit diesem Cloud-Modell im letzten Jahr 10 Milliarden Dollar, und die Analysten erwarten für 2011 eine Steigerung von mehr als 20 Prozent.

Im Zusammenhang mit SaaS wird meistens Salesforce.com als Beispiel genannt, doch gibt es eine ganze Reihe verschiedener Anwendungen, die als Dienst genutzt werden können: Dazu gehören Customer Relationship Management, Human Resource Management, Cloud-Backup, Collaboration-Plattformen, Buchhaltungssysteme, Helpdesk Management und Web- oder E-Mail-Filtering.

Die wirtschaftlichen und auch technischen Vorteile des Abo-Modells sind hinlänglich bekannt, doch können sie sich auch leicht in ihr Gegenteil verkehren. Anwender entscheiden lediglich, welche Daten sie in die Cloud laden, alles andere nimmt ihnen der Anbieter aus der Hand – abgesehen natürlich von der rechtlichen Verantwortung für die Sicherheit ihrer Daten. Der Provider hat, wenn er will, Zugriff auf alle Kundendaten. Zudem besteht aufgrund der Mehrmandanten-Umgebung die Gefahr, dass eine Schwachstelle bei einem Kunden auch Auswirkungen auf die anderen hat. Das hat sich auch beim jüngsten Beispiel eines Einbruchs beim E-Mail-Provider Epsilon gezeigt, denn betroffen waren viele Fortune 500-Kunden des Anbieters.

Unternehmen, die erwägen, Anwendungen aus der Cloud zu beziehen, sollten den zur Wahl stehenden Providern die richtigen Fragen zur Sicherheit stellen:

1. Gibt es Penetrationstests für die Umgebung? Wie oft werden diese durchgeführt und gibt es eine Möglichkeit, Pen-Tests für den eigenen Teil der Umgebung zu fahren? Einsicht in seine aktuelle Sicherheitslage erhält ein Anwender nur mithilfe von regelmäßigen, tief gehenden Tests.
2. Wie sorgt der Provider für die Datensicherheit? Werden Daten im Speichermedium verschlüsselt abgelegt und auch verschlüsselt über die gemeinsam genutzten Ressourcen des Datencenters des Providers übertragen? Wer hat Zugriff auf die Schlüssel? Wird die Trennung der Aufgaben, Schlüssel und Daten beachtet? Und kann der Provider einen Report nach Auditing-Standard SAS 70 vorweisen?
3. Gibt es die Option eines Einzelmandanten-Hostings? Und wenn ja, umfasst diese lediglich die Anwendung oder auch die Datenspeicherung?
4. Welche Backup- und Recovery-Prozeduren wendet der Provider im Fall eines katastrophalen Ausfalls oder eines Datenverlusts nach einem Einbruch an? Und auch die Frage nach dem Speicherort der gesicherten Daten (und erneuter Verschlüsselung) ist wichtig.
5. Wie funktioniert die Benutzerauthentifizierung für die SaaS-Anwendung? Gibt es eine Mehrfaktoren-Authentifizierung, und lässt sich die Anmeldung mit den beim Anwender vorhandenen Authentifizierungsstrukturen integrieren?

Quelle: flickr

Gartners kürzlich veröffentlichter Hype Cycle for Cloud Computing 2011 (eine Zusammenfassung gibt es hier) enthält eine ganze Reihe guter Analysen zum Thema. Doch die Position, welche die Analysten Cloud-Sicherheit zuschreiben, darf angezweifelt werden. In der Hype Cycle-Darstellung steht Cloud-Sicherheit kurz davor, in das berühmte „Tal der Desillusionierung“ (Trough of Disillusionment) abzufallen. Nahezu jedes andere Element im Cycle hängt von Cloud Security ab, und zwar so sehr, dass sich das Wort „Cloud“ auch streichen lassen und das Ganze lediglich „Security“ heißen könnte. Und Security ist bestimmt nicht dabei, in das„Tal der Desillusionierung“ abzurutschen!

Die Gartner-Analysten haben sicherlich Recht mit der Behauptung, dass die meisten Unternehmen Cloud-Strategien haben, während nur wenige Cloud-zentrische Strategien verfolgen. Trend Micro hat eine echte Cloud-zentrische Strategie: Das Smart Protection Network ist eine Cloud, die Milliarden Transaktionen täglich verwaltet, und die sehr zielgerichteten Virtualisierungs- und Cloud-Verschlüsselungsprodukte setzen zu 100 Prozent auf die Cloud.

Wie alle anderen hört auch Gartner widersprüchliche Ansichten zu hybriden Wolken, denn im Grunde genommen sind eine Vielzahl privater Wolken verbunden mit der öffentlichen – und umgekehrt. Der Begriff wird von den Marketingleuten ständig missbraucht. Bei Trend Micro gibt es jedoch eine Reihe von Beispielen hybrider Clouds, etwa Web Gateways On-premise mit Anbindung an den Trend Micro Cloud Service oder der SaaS Verschlüsselungsdienst, der Schlüssel für eine private Wolke liefert.

Hingegen positioniert Gartner Big Data völlig zu recht an einen Punkt kurz vor dem Abfallen in den Trough of Disillusionment, obwohl die Analysten dann wieder Öl ins Hype-Feuer gießen, indem sie behaupten, die Anwender von Big Data und extremem Informationsmanagement werden ihre Konkurrenten um 20 Prozent in jeder Finanzmetrik überflügeln. Auch stimmt die Ansicht der Marktforscher, dass Verwirrung bezüglich PaaS (Platform as a Service) herrsche, weil der Begriff missverstanden wird.

Schließlich ist es erfrischend zu lesen, dass SaaS in den ersten zwei Jahren kostengünstiger sei als Anwendungen im eigenen Haus vorzuhalten, um dann mit der Zeit teurer zu werden als On-premise. Deshalb ist SaaS eine großartige Möglichkeit für Startups, doch sollten größere Firmen besser die On-premise-Variante wählen.

Doch Achtung: Alle hier diskutierten Bereiche und Möglichkeiten erfordern eine funktionierende Sicherheit, um erfolgreich zu sein. Deshalb passt Cloud Security nicht auf dieselbe Weise in die Darstellung wie die anderen Technologien für die Cloud. Cloud-basierte Sicherheit passt sehr wohl, doch nicht Sicherheit für die Cloud – eine kritische Unterscheidung, die bedacht sein will!

Drei Hauptentwicklungen hat es 2010 bei den “Informationsdieben” gegeben. Die ZeuS/ZBOT-Familie der Software für den Informationsdiebstahl veröffentlichte im ersten Halbjahr eine neue Version. ZeuS 2.0 umfasste wichtige Änderungen an der bereits sehr erfolgreichen Malware-Familie, wenngleich diese für den tatsächlichen Informationsdiebstahl nur geringfügig waren. In der Vergangenheit war die Unterstützung für neuere Versionen von Windows wie etwa Windows Vista oder Windows 7 und für Browser wie Mozilla Firefox nicht in die Grundfunktionalität der Toolkits integriert. Mit ZeuS 2.0 ist dies Standard.

Die großen Änderungen in ZeuS 2.0 sind darauf ausgerichtet, die Schadsoftware besser zu verbergen. Während die ZeuS 1.x-Versionen feste Dateinamen nutzten (die sich gelegentlich von Version zu Version änderten), verwendet ZeuS 2.0 Zufallsnamen. In ähnlicher Weise nutzten Mutexe pseudo-zufällig generierte GUID-Namen. Als Nebeneffekt erlaubt dies auch mehrfache ZeuS-Infektionen auf einer Maschine. Auch ist die Verschlüsselung in der neuen Version verstärkt worden.

Damit hat es die Bedrohungsintelligenz der Sicherheitsanbieter schwerer, auch wenn sie natürlich seither gelernt hat, mit der höheren Raffinesse von ZeuS umzugehen.

Der Erfolg von ZeuS bereitete wahrscheinlich den Boden für seine Wettbewerber. Der Preis für ein ZeuS Toolkit stieg bis auf 8.000 Dollar für das Basispaket, ausschließlich der Zusatzfunktionen. Weitere Module und Funktionen können den Preis bis auf 20.000 Dollar hochtreiben. Kein Wunder, dass weitere Informationsdiebstahl-Tools auftauchten, allen voran SpyEye.

Der Ursprung von SpyEye geht bis 2009 zurück. Die Trend Micro-Analysten wurden auf diese Schadsoftware erst aufmerksam, als sie eine SpyEye-Variante entdeckten. Das Bemerkenswerte daran war, dass sie bekannte ZeuS-Prozesse beendete, und damit sozusagen die Konkurrenz eliminierte. Dabei ist SpyEye billiger als ZeuS: Das Basispaket kostet lediglich 1.000 Dollar und mit Zusatzfunktionen kann der Preis bis auf 2.500 Dollar steigen. Einzelheiten zu SpyEye finden Sie auch in “Die SpyEye Schnittstelle CN 1″.

Schließlich ging SpyEye als „Sieger“ hervor. Am 1. Oktober nämlich führten die Bemühungen der internationalen Operation Trident Breach zur Zerschlagung einer ZeuS-Bande und die Festnahme von mehr als hundert Mitgliedern, darunter auch einiger ihrer Anführer. Wenige Wochen danach kündigte der ZeuS-Autor, als Slavik oder Monstr bekannt, seinen „Rücktritt“ an und übergab ZeuS an den SpyEye-Autor Gribodemon oder Harderman. Zwar wurde ein offizieller Zusammenschluss angekündigt, doch ist dieser noch nicht erfolgt. Auch gibt es Gerüchte darüber, dass Slavik weiter Malware für Elite-Kunden schreibt.

Im Oktober entdeckte Trend Micro Exemplare einer neuen ZeuS-Variante TSPY_ZBOT.BYZ, die ungewöhnliche Routinen besaß. Zusätzlich zu den eigenen üblichen Routinen für den Informationsdiebstahl konnte die Variante auch ausführbare Dateien auf den Systemen infizieren, ein Verhalten, das in bisherigen Versionen von ZeuS nicht vorhanden war. Diese Dateien wiederum nutzten einen dynamischen Algorithmus zur Domänengenerierung, um bösartige Dateien von verschiedenen Websites herunter zu laden.

Dies war eine gefährliche Entwicklung, denn die letzte Malware, die diesen Algorithmus für Download-Routinen nutzte war DOWNAD/Conficker. Eine Analyse zeigte eine sehr wohlkonstruierte Bedrohung, deren Ergebnis in dem Whitepaper “File-Patching ZBOT Variants: ZeuS 2.0 Levels Up” dokumentiert ist. Es werden immer neue ZeuS-Varianten veröffentlicht, die diese Technik nutzen – ein Hinweis darauf, dass die Taktik zum Standard wird.

Bereits vor fast zwei Monaten hatte Trend Micro eine vollständige Analyse der Datei-Patching  ZeuS-Varianten veröffentlicht (siehe auch Whitepaper File-Patching ZBOT Variants: ZeuS 2.0 Levels Up). Doch nun gibt es ein neues LICAT-Sample, das mit seinem Command-and-Control Server über eine pseudo-zufällige Domäne kommuniziert. Diese Domäne war bei den vom ursprünglichen Algorithmus erzeugten nicht dabei, und deshalb analysierten die Sicherheitsforscher die Variante.

Die Analyse zeigte, dass das neue Muster immer noch alle ursprünglichen Routinen des Original-LICAT-Musters hatte. Beispielsweise generiert es pro Tag dieselbe Anzahl Domänen und nutzt dieselben Top-Level-Domänen. Dennoch gibt es einen entscheidenden Unterschied im Code der beiden Varianten: ein anderer XOR-Schlüssel wird verwendet. Die neue Variante nutzt 0xDEADC2DE als Schlüssel, während das Original 0xD6D7A4BE einsetzt:

Außerdem setzt die neue Variante auch mehrere Schlüssel ein. Während der Code zur Domänengenerierung der Original-LICAT-Variante denselben XOR-Schlüssel zweimal nutzte – einmal für den Ort, wo seine Konfigurationsdatei lagert und ein zweites Mal, für den Ort, wo aktualisierte Varianten automatisch heruntergeladen werden können – setzt die neue Variante unterschiedliche Schlüssel ein. Sie haben auch nicht dieselben Werte wie das Original. Damit verdoppelt sich die Anzahl der Domänen, die von den Forschern überwacht und blockiert werden muss.

Trend Micro geht davon aus, dass noch mehr LICAT-Varianten mit verschiedenen XOR-Schlüsseln in der nächsten Zeit auftauchen werden. Die neue Variante hat Trend Micro als PE_LICAT.B-O identifiziert und die gepatchten Dateien als PE_LICAT.B. Wie bereits erwähnt, unterscheidet sich ihr Verhalten nicht von dem der PE_LICAT.A-Variante.

Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network geschützt, denn die Sicherheitsinfrastruktur erkennt dank des Dateireputationsdienstes den Schädling und kann damit entsprechend umgehen.

In letzter Zeit sind Angriffe auf Java-Sicherheitslücken wieder stärker in den Mittelpunkt der Aufmerksamkeit gerückt. Letzte Woche beschrieb der Sicherheits-Blogger Brian Krebs, wie Exploit-Pakete Java nutzen. Auch zitierte er Microsoft, die vor einer „noch nie da gewesenen Welle“ der Java-Exploits gewarnt hatten.

Die Security Researcher von Trend Micro bestätigen ebenfalls die steigende Nutzung von so genannten FAKEAV Brückenseiten, die Java-Lücken ausnutzen. Diese Technik setzt Blackhat Engine Optimizaton (SEO) ein, um infizierte Seiten als “Türöffner” (Doorways) für die Verteilung von FAKEAV zu benutzen. Wo diese Schwachstellen nicht ausgenutzt werden können, werden PDF-Exploits stattdessen herangezogen. Trend Micro hat besagte PDF- und Java-Exploits als TROJ_PIDIEF.HLL beziehungsweise JAVA_LOADER.HLL identifizieren können.
Analysen der mit FAKEAV in Verbindung stehenden Brückenseiten zeigen, dass die bösartigen URLs, welche die Payloads hosten (Java- und PDF-Exploits) entweder das Seo Sploit Pack oder das Phoenix Exploit Pack nutzen. Außerdem wird die tatsächliche Payload nicht in den Brückenseiten gehostet. Die am Ende stehende URL ist das Ergebnis einer Reihe von Weiterleitungen, die von den Brückenseiten ausgehen. Diese Weiterleitungen ändern sich regelmäßig und bestimmen, wo sich die nächste Payload-URL befindet.

Zwei Sicherheitslücken werden auf diese Weise besonders häufig missbraucht:

• CVE-2008-5353
• CVE-2009-3867

Doch dies ist nicht die einzige Art, wie FAKEAV neuerdings in Erscheinung tritt. Browser-spezifische Payloads und Seiten sind nicht neu, doch werden diese Seiten immer mehr „aufgemöbelt“. Die Abbildungen zeigen zwei Beispiele dieser Art von Seiten – eine für den Internet Explorer und eine weitere für Firefox:

Beide Seiten ahmen die tatsächliche Schnittstelle der beiden Browser perfekt nach. Im Fall von Firefox ist nicht nur das Site-Design perfekt sondern auch die Browser-Version für ein bestimmtes System ist richtig. Damit werden Nutzer noch einfacher in die Irre geführt.

Die gefälschten Viren-Alerts selbst sind auf zwei Arten weiter entwickelt worden. Online-FAKEAV-Varianten verstecken ihren Code sehr gut und nutzen AES, um ihn zu verschlüsseln. Lokale FAKEAV-Varianten wiederum setzen auf Audio-Warnungen als Teil ihrer Verhaltensweise. Die Hauptschnittstelle hat sich nicht wirklich geändert, aber es gibt einen neuen Icon für die „Pille“.

Alle diese Entwicklungen deuten darauf hin, dass die Kriminellen hinter der gefälschten Antivirus-Software ihre Techniken weiter entwickeln, auch wenn sie nicht im Scheinwerferlicht stehen. Die Anwender der Trend Micro-Produkte sind über das Smart Protection Network vor diesen Gefahren geschützt, denn die Sicherheitsinfrastruktur erkennt mithilfe der Reputationsdienste die bösartigen Sites und Dateien, bevor diese das System des Nutzers erreichen.