Kneber zu kaufen oder zu mieten

Originalartikel von Rik Ferguson (Solutions Architect bei Trend Micro)

Mir ist bewusst, dass ich allmählich in den Ruf eines Nörglers gerate, immer bereit, einen Eimer kalten Wassers über den Sicherheits-Hype auszugießen. Dennoch, auch diesmal muss ich es wieder tun!

Die Medien zeigten in letzter Zeit entsetzt über die Ausmaße eines “neuen” Botnetzes namens Kneber. Einem Bericht von NetWitness zufolge hat ein bestimmtes Botnet, dass ZeuS-Crimeware nutzt, Tausende Unternehmen und Zehntausende Computer erfolgreich infiziert. Natürlich ist dies für die betroffenen Firmen eine schreckliche Nachricht, und sicherlich lassen sich eine Menge Security-Lehren aus solchen Erfahrungen ziehen.

Dennoch möchte ich betonen, dass es nichts „Neues“ oder „mie da Gewesenes“ ist, wenn ein Botnet Zeus nutzt oder diese Ausmaße annimmt. ZeuS (oder ZBot) gibt es seit mindestens 2007, und es gilt im Online-Untergrund als Commodity-Crimeware. Die Malware wird in Online-Foren offen gehandelt, sowohl als Software-Produkt als auch in Form von vorinfizierten Botnetzen. Die Anbieter gehen mittlerweile dazu über, Services mit ihren kriminellen Offerten zu bündeln – sozusagen Crimeware as a Service.

Screenshot eines Untergrund-Forums

Ältere Versionen der Software können kostenlos herunter geladen werden, allerdings werden diese häufig von anderen Kriminellen mit Backdoors versehen. Es gibt keine Ehre unter den Dieben! Tatsächlich ist das Angebot von Botnets so reichhaltig, dass der Preis für vorinfizierte Maschinen überraschend niedrig ist.

175 000 Bots zum Verkauf … weltweit

Natürlich können diejenigen, die die Mittel nicht zur Verfügung haben oder auch einfach keine Lust dazu, ihr eigenes Botnet zu betreiben, lediglich den Output kaufen.

Logs zum Verkauf

Sicherheitsforscher haben nahezu 1300 Command&Control-Server für verschiedene ZeuS-Botnets im Visier, von denen etwa die Hälfte derzeit online sind. Es zeigt sich auch, dass die durchschnittliche binäre Entdeckungsrate (wie die Antivirus-Produkte Malware aufspüren mithilfe von Pattern-Dateien und Signaturen) bei nur 49,62 Prozent liegt – was den Erfolg der Infektionsraten zum Teil erklärt.

Es ist allgemein bekannt, dass Malware-Autoren und andere Kriminelle bereits Wege gefunden haben, wie herkömmlicher Malware-Schutz, der sich auf Pattern oder Signaturen verlässt, zu umgehen ist: Sie verändern einfach ihren Code so oft wie möglich. Schätzungen zufolge gibt es derzeit jede 1,5 Sekunde ein einzigartiges bösartiges Binary.

Daher lautet die erste Sicherheitslehre aus der aktuellen Berichterstattung: Stellen Sie sicher, dass sich Ihre Anti-Malware-Lösung nicht lediglich auf die Infektionsschicht verlässt, nach dem Motto „wie die Datei aussieht“. Stellen Sie sicher, dass die Lösung auch die exponierte Schicht prüft, woher die Datei kommt und wohin sie zurück berichtet. Wenn die Sicherheitsindustrie weiß, wo die Server der Bad Guys sind, so sollte dies auch jeder Ihrer Endpunkte wissen. Damit ist das Aussehen des Binaries nebensächlich. Trend Micros Smart Protection Network schützt Sie mithilfe von Reputationsdiensten über alle diese Schichten hinweg und vor all diesen Gefahren.

Auch können Anwender mit dem kostenlosen RUBotted prüfen, ob der eigene Rechner Teil eines Botnetzes ist.

2 Gedanken zu „Kneber zu kaufen oder zu mieten

  1. Markus Kohler

    Solche Angriffe sind immer sehr unangehem. Wir wurden bislang auch davon verschont und hatten auch sonst keine größeren Probleme. Es ist halt immer mit einem enormen Zeitaufwand verbunden, bis alle Systeme wiederso laufen wie man es gewohnt ist.

  2. Markus Kohler

    Vielen Dankfür den interessanten Hinweis. Gott sei dank wurde unsere Firma bislang von einem solchen Angriff verschont. Wir werden aufgrund dieses Artikels unser Sicherheitsvorkehrungen verbessern.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>