Den Online Banking-Krieg gewinnen

Originalbeitrag von Trend Micro

Banking-Schadsoftware zu erkennen ist zu einem wichtigen Teil der Arbeit der Sicherheitsbranche geworden. Aber auch die Cyberkriminellen sind stetig bemüht, im Kampf gegen die Finanzbranche und Sicherheitsanbieter die Oberhand zu behalten. In seiner Präsentation „Winning the Online Banking War“ auf der BlackHat-Konferenz im letzten Jahr schlug Sean Park vor, ein neues Online Banking-Sicherheits-Framework zu nutzen, „Malware Inject Prevention System“ genannt.

Das Erscheinen von ZeuS vor ein paar Jahren markierte den Beginn der Wiederkehr der Banking-Trojaner. Das Bekanntwerden des ZeuS-Codes ermöglichte es der Untergrundgemeinschaft, neue Varianten zu entwickeln und sogar weitere Trojaner-Familien wie Carberp zu erstellen. Dieser Boom war möglich, weil das ZeuS-Modell (‚webinject‘ oder manchmal ‚injects‘ oder ‚injections‘ genannt) modular war und die Schadsoftware von der Logik seiner Gelddiebstahls-Webanwendung separiert. Damit können die Cyberkriminellen Online Banking-Zugangsdaten stehlen, Transaktionen manipulieren und dabei Zwei-Faktorauthentifizierung umgehen.

Zwar bezieht sich ein Großteil des Katz- und Maus-Spiels zwischen der Sicherheitsindustrie und den Cyberkriminellen auf das Erkennen von Schadsoftware-Binaries und das Verhindern der Erkennung, doch das Erkennen von webinjects und die darauf folgende Erstellung von Verschleierungtaktiken ist zum neuen Kriegsschauplatz geworden.

Der DOM-Raum als Schlachtfeld

Derzeit verlassen sich viele Sicherheitsprodukte und auch die Finanzinstitute auf Integritätsprüfungen der Online-Bankingseiten, um damit vorhandene Banking Malware aufzuspüren. Diese Technik funktioniert dank der inhärenten Funktionsweise der Malware, die sich selbst in den Document Object Model (DOM)-Raum des Browsers einfügt. Es passiert beispielsweise ziemlich häufig, dass ein Online Banking-Opfer den Secure Code preisgibt, wenn es während einer Banking-Sitzung untere Nachricht sieht:


Bild. Beispiel für ein webinject

Der Bildschirminhalt kommt durch eine HTML-Nachricht zustande, die in Kombination mit einem JavaScript-Code von der Banking-Schadsoftware eingefügt wird. Dieses JavaScript nutzen viele Banken und Anbieter als Artefakt, um infizierte Banking-Sitzungen über DOM-Scan zu erkennen. Diese rein webbasierte DOM-Scan-Methode kann auf vielerlei Art unterlaufen werden (Einzelheiten zu den einzelnen Methoden liefert der Originaleintrag):

  • Ausnützen von nicht validen Memory-Referenzmustern
  • Umgehen der Script-Erkennung
  • Einsatz von Rootkits

Notwendigkeit eines Paradigmenwechsels

Jeder komplexe Code im Erkennungs-Skript ist den Angreifern gegenüber exponiert und damit anfällig für Reverse Engineering und nachgeschobene Verhindungstechniken. Einen Schutz davor bietet das so genannte Randomization des Erkennungs-Skripts mit vom Algorithmus her heterogenen Implementierungen. Ziel ist dabei, die Angriffskosten pro Randomization zu erhöhen. Eigentlich wird das Erkennungs-Skript vor dem Angreifer verborgen, und Versuche, die Verschleierung wieder zu entfernen, erfordern erhebliche Rechenleistung.

Die einfache Anwendung herkömmlichen Metamorphismus und Polymorphismus hilft nicht dabei, einen Angriff zu erschweren. Es bedarf sorgfältig aufgesetzter strategischer Schutzmechanismen für jeden Angriffsvektor. Zudem ist es wichtig, eine korrekte Systemsicht zu haben und sicherzustellen, dass die vorhandenen Schutzmechanismen nicht unterlaufen werden. Erkennung von Rootkits und Code-Integritätsprüfungen können hilfreich sein.

Fazit

Banken müssen sich einer Reihe strenger Tests unterziehen, bevor eine Änderung tatsächlich gemacht wird, und das kann eine längere Zeit in Anspruch nehmen als der Release-Zyklus des Banking-Malware webinject. Um den Online Banking-Krieg zu gewinnen, ist es essenziell, eine strategische Verteidigung aufzusetzen statt kurzfristiges Patching zu betreiben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.