Es gibt viele Arten der Untersuchung einer Bedrohung mithilfe unterschiedlicher Sachkenntnis – vor allem, wenn es sich um eine Gefahr handelt, die mehrere Schädlinge einbezieht und eine ziemlich robuste C&C (Command & Control)-Infrastruktur verwendet. Doch unabhängig davon, ob Reverse Engineering oder die Analyse der Botnet-Infrastruktur eingesetzt wird, das wichtigste Ziel ist, die Bedrohung an sich zu verstehen.

Trend Micro ist in der glücklichen Lage, einige Experten in seinen Reihen zu haben, die diese Herausforderung mit verschiedenen Mitteln angehen können. Deren technische Analyse und die benötigte Sorgfalt bei der Überwachung der Koobface-Aktivitäten führte zu einem gründlichen Verständnis des Botnets. Somit war Trend Micro in der Lage, zu reagieren und eine angemessene Lösung für den Schutz der Kunden zu liefern.

Koobface auf dem Höhepunkt

Zu seinen besten Zeiten, war Koobface als Schadsoftware bekannt, die sich ĂĽber das sich (zu der Zeit) rasant entwickelnde soziale Netzwerk Facebook verbreitete. Doch natĂĽrlich steckte mehr dahinter.
2008 bis 2009 war Facebook gerade dabei, sich von den anderen sozialen Netzwerken wie Myspace, Twitter, Friendster oder myyearbook abzugrenzen und die Vorherrschaft zu übernehmen. Trend Micros erstes Forschungspapier zu Koobface lieferte eine detaillierte Darstellung dazu, dass der Schädling nicht allein Facebook für seine Verbreitung nutzte, sondern auch andere damals beliebte soziale Netzwerke. Auch zeigten die Sicherheitsforscher auf, wie ein mit dem Koobface-Schädling infiziertes System weitere Malware installiert, die dann entweder dazu genützt wird, um infizierten Nutzer-Verkehr zu Geld zu machen oder um die betroffene Maschine in die Koobface C&C-Infrastruktur mit einzubinden.

Koobface und das C&C

Trend Micros zweites Forschungspapier beschäftigte sich ausführlich mit der C&C-Infrastruktur und -Kommunikation. Die Experten konnten die verschiedenen Kontrollebenen in der Koobface-Bande nachvollziehen – von der feingranularen Kontrolle der Social Engineering-Nachrichten, die der infizierte Nutzer als Spam verschickte, bis zu den verschiedenen Komponenten, Konten, Infrastrukturen und Befehlen, die der Bande zur Verfügung standen.

In dieser Phase gelang es den Sicherheitsforschern von Trend Micro, das C&C-Protokoll sowie die Befehle zu entziffern und die Botnet-Aktivitäten zu überwachen. Sie entdeckten die Facebook- und Google-Konten, die die Kriminellen kontrollierten und entkräfteten die Theorie, dass die Bad Guys billige Arbeitskräfte in Indien für das Knacken von CAPTCHAS beschäftigen. Auch stellten sie fest, dass die Leute hinter Koobface jeden Versuch, das Botnet kaltzustellen, unterliefen.

Noch fehlte aber die Antwort auf die zentrale Frage nach den Vorteilen fĂĽr die Gang.

Koobface als Goldesel

Die Antwort auf diese Frage kam durch den Beweis, dass die Koobface-Bande in kriminelle Machenschaften verwickelt war, so etwa FakeAV-Installationen, Click-Betrug, Informationsdiebstahl und Online-Dating.

An diesem Punkt der Untersuchung wandten sich die Forscher für eine Zusammenarbeit an die breitere Sicherheits-Community, denn eine so große Aktion wie die um Koobface bedarf auch der Kenntnisse anderer Forscher, Ermittler und Organisationen. Trend Micro arbeitete mit unabhängigen Ermittlern wie Jan Droemer zusammen, ebenso mit Facebook und Google oder auch mit den Sicherheitsforschern von Kaspersky und Sophos. Dass auch mehrere Polizeibehörden involviert waren, ist selbstverständlich.

Die Entwicklung von Koobface

Ein nächstes Forschungspapier beschrieb, wie die Koobface-Bande die C&C-Architektur und die Malware-Binaries veränderte sowie die Backend-Dienste verbesserte, um sich gegen Schließungen und das Aufdecken ihrer Aktivitäten zu schützen.

Vor ein paar Wochen dann kam das bislang letzte Papier heraus, das zeigte, wie die Kriminellen sich den strengen Sicherheits-Checks von Facebook anpassen, indem sie auf Twitter und Blogspot umschwenken und TDS (Traffic Direction Systems) fĂĽr ihre Zwecke nutzen.

Verfrühte Veröffentlichung

Die Beteiligten hielten die ganzen Daten zu den Untersuchungen und Nachforschungen geheim, um die laufenden Ermittlungen nicht zu gefährden. Doch leider veröffentlichte ein Blogger wichtige Informationen bezüglich der Koobface-Ermittlung, und zwar ohne sich mit den Beteiligten abzusprechen. Dies geschah, bevor es zu den gewünschten Ergebnissen kommen konnte (etwa Verhaftungen).  Die langsamen Ermittlungen sind verständlich, geht es doch um Beweise, die vor Gericht Bestand haben müssen. Es bleibt zu hoffen, dass trotz der aktuellen Situation die Ermittlungen zu einem guten Ende kommen und die Kriminellen ihrer gerechten Strafe nicht entgehen.

Trend Micro-Forscher Jonell Baltazar, Ryan Flores, Joey Costoya und Nart Villenueve haben erhebliche Anstrengungen unternommen, um die Koobface-Bedrohung zu untersuchen.  In diesem Whitepaper beschreibt Sophos ebenfalls die Entwicklung der Aktion Koobface.

Das KOOBFACE-Botnetz ist dafür berüchtigt, mit dem Pay-per-Install (PPI) und Pay-per-Click (PPC)-Geschäftsmodell Geld zu machen. Allein 2009 verdiente die Bande mehr als zwei Millionen US-Dollar. Doch das scheint nicht genug gewesen zu sein, denn die Kriminellen rüsteten ihr Botnetz-Framework mit einem ausgeklügelten Traffic Direction System (TDS) auf, das den Internet-Verkehr auf von ihnen angegebene Sites lenkt. Darüber hinaus fügten sie neue Komponenten hinzu, um die Menge des Internetverkehrs in Richtung ihres TDS zu steigern. TDS lenkt den Verkehr hauptsächlich auf Werbeseiten um, wofür die Kriminellen nach Anzahl der Clicks bezahlt werden. Folgende Schautafel zeigt die Schritte, über die TDS den Kriminellen Geld in die Kasse spült:

1. Erzeugen und Registrieren von E-Mail-Adressen: Nachdem KOOBFACE nicht länger automatisch Google-Konten für die bösartigen Aktivitäten erzeugen kann, sind die Kriminellen nun auf Yahoo! Mail-Konten umgestiegen, um so die benötigten Google-Konten zu kreieren.
2. Erzeugen von Konten in sozialen Netzwerken: Die von KOOBFACE generierten E-Mail-Adressen werden dafür genutzt, um sich bei sozialen Netzwerken wie Twitter, Tumblr, FriendFeed3, FC24, livedoor5, So-net6 und Blogger anzumelden. Einige Konten wurden auch in altervista.org7 generiert. Die vom Botnetz erzeugten Domänen der Blog-Konten enthielten Wörter wie „news“ oder „2011 news“.
3. Bilder sammeln: Das Botnetz wurde auch um eine neue binäre Komponente angereichert, die vor allem pornografische Bilder, Fotos von Berühmtheiten, Hochzeiten, Tattoes und Autos sowie Hintergrundbilder von Googles Image-Suche sammelt. Diese nutzen die Kriminellen dann in ihren Blog-Veröffentlichungen.
4. Erstellen von Blog-Veröffentlichungen: Die Bande missbraucht beliebte japanische Blogging-Plattformen wie FC2, Livedoor, So-net, Jugem und Cocolog. Daneben nutzen sie aber auch die bewährte Google Blogger-Site mithilfe einer darauf zugeschnittenen Schadsoftware-Komponente, die Blog-Konten generiert, während andere Inhalte oder Veröffentlichungen von dem Proxy C&C-Server abzieht. Diese Posts werden automatisch auf die Zielplattformen hochgeladen. Sie enthalten Bilder, Links und Schlüsselwörter, die dem SEO-Ranking der entsprechenden Sites zuträglich sind. Zusätzlich verbergen sie auch JavaScript-Code, der auf die TDS-Domäne des Botnetzes weist. So kann das TDS die Zahl der Besuche der einzelnen Blog-Veröffentlichungen nachverfolgen und die Besucher auf die gewünschten Sites umlenken. Das Botnetz verdient Geld mit den Umlenkungen und der Anzahl der Clicks der Opfer während des Lesens der Veröffentlichungen.
5. Links auf Posts mit möglichst vielen teilen: Die Bande erhöht den Verkehr zu den bösartigen Blog-Veröffentlichungen auch, indem sie aktiv Schlüsselwörter dazu im Web verteilt und besagte Posts über soziale Netzwerke bewirbt.

Mit TDS hat KOOBFACE ein exzellentes Mittel gefunden, um Star-Fans, Online-Daters, gelegentliche Porno-Surfer oder Autofans effizient anzusprechen und sie fĂĽr ihre Zwecke einzuspannen.

Die KOOBFACE-Bande ist immer noch aktiv und wird auch weiterhin ihre Opfer suchen. Deren Zielplattformen sollten deshalb ihre Sicherheitsmaßnahmen verstärken, um durch Bots automatisierte Interaktion zu unterbinden.

Die Nutzer ihrerseits sind gut beraten, Sicherheitslösungen zu implementieren, die vor solchen Gefahren schützen können. Trend Micros Smart Protection Network schützt die Anwender auch vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur mittels des Email Reputation Service die Spam-Nachrichten blockiert, noch bevor sie die Inbox des Nutzers erreichen. Der Web Reputation Service wiederum verhindert den Zugriff auf bösartige Sites und Domänen, die Malware-infizierte Dateien enthalten.

Eine Alternative wäre, einen Webbrowser einzusetzen, der die mögliche Ausführung von JavaScript-Code verhindert. Das Problem dabei ist, dass damit auch „gutartiger“ Code von legitimen Websites blockiert wird.

Weitere Informationen zu den KOOBFACE-Strategien enthält das Whitepaper “More Traffic, More Money: KOOBFACE Draws More Blood”.

Im Oktober kündigte Google an, die Suche für die Nutzer von Google Services sicherer zu gestalten. Zweierlei gehört dazu: Erstens werden die Suchanfragen und –ergebnisse jetzt über HTTPS geschickt. Dadurch sind die Suchläufe der Nutzer mit unsicheren Internetverbindungen, wie die meisten WiFI-Hotspots, auch geschützt.

Zweitens, und das ist viel interessanter, schlieĂźt Google die Suchbegriffe, die fĂĽr die Suche nach Websites verwendet werden, nicht mehr in den http Referrer Header ein. Das zeigten die von Trend Micro durchgefĂĽhrten Tests. Der Teil der URL, den Google jetzt als Referenz-URL schickt, sieht so aus:

Zu beachten ist, dass hinter dem &q= Teil, kein Suchbegriff angegeben ist. Zum Vergleich eine Standard-Suchabfrage mit folgender Referenz-URL:

Diese Änderung hat zwei Auswirkungen: Zum Einen, können legitime Website dann keine beliebten Begriffe mehr definieren, die sie für die Optimierung ihres Rankings bei Google-Suchergebnissen nutzen. Das könnte für Website-Besitzer ein schmerzlicher Verlust sein. Um dieses Ranking wieder beeinflussen zu können, müssen sie sich jetzt für Googles Analytics-Dienste anmelden.

Zum Anderen aber können Blackhat SEO (Search Engine Optimization) Sites auf diese Statistiken auch nicht mehr zugreifen. Die Statistiken waren für die Kriminellen sehr nützlich, weil sie hier sehen konnten, welche Suchbegriffe sie erfolgreich kapern konnten. Auch aus statistischen Aspekten bedeutet die Änderung ein Verlust für die „Bad Guys“. Greifen nämlich Suchmaschinen-Besucher auf diese Sites zu, so lässt sich nicht mehr feststellen, über welchen Suchbegriff sie auf die Seite kommen. Sie tappen also von nun an weitgehend im Dunkeln, was die Nützlichkeit von verschiedenen Suchbegriffen betrifft. Googles Suchlisten gewinnen an Sauberkeit und die Nutzer laufen weniger Gefahr auf infizierte Links hereinzufallen.

NatĂĽrlich funktioniert dies nur, wenn die Nutzer bereits fĂĽr die Google Services angemeldet sind. Doch angesichts der hohen Zahl von Google Mail- und Google+-Nutzern dĂĽrfte dies kein Hindernis darstellen.

Oder doch? Wenn die Leute regelmäßig nicht verschlossene http-Suchen durchführen, so veröffentlichen sie ihre Suchbegriffe, und alles bleibt beim Alten. Je mehr Nutzer HTTPS verwenden, desto weniger Informationen stehen Kriminellen zur Verfügung.

Quelle: flickr

Nachdem Facebook vor einiger Zeit eine neue Funktion zur Gesichtserkennung eingeführt hat, zieht jetzt Google nach. Der Suchmaschinen-Gigant hat „Pittsburgh Pattern Recognition“ übernommen, ein Unternehmen, das Software zur Identifizierung von Gesichtern auf Fotos und in Videos anbietet.

Zweck der Funktionalität ist es, Personen auf Fotos Identitäten zuzuordnen und Freunden Fotos vorzuschlagen, auf denen sie ihre Bekannten markieren können. Facebook war von Datenschützern für diese Fähigkeit kritisiert worden, nicht zuletzt auch deshalb, weil sie standardmäßig eingeschaltet ist.

Nun lässt sich jeder Kritik an Facebook entgegen halten, dass die Nutzer sozialer Netze ihre persönlichen Informationen, einschlieĂźlich ihrer fĂĽr sie nicht immer vorteilhaften Fotos von Parties, freiwillig veröffentlichen und damit den Schutz ihrer Privatsphäre aufs Spiel setzen. Etwas anderes ist es, wenn eine Person nur zufällig auf einem Bild zu sehen ist, das andere „Freunde“ verwenden — denn mit der Gesichtserkennungssoftware kann jeder die Identität dieser Person ĂĽber einen Abgleich im eigenen Facebook-Konto herausfinden. Vor diesem Hintergrund ist es problematisch, dass Facebook-Nutzer diese Funktion explizit deaktivieren mĂĽssen, um sich vor etwaigem Missbrauch zu schĂĽtzen.

Noch brisanter aber ist die Überlegung, warum Google oder Facebook für eine solche Technik Geld ausgeben. Die Antwort ist einfach und gleichzeitig erschreckend: Das Geschäftsmodell ist der Grund. Denn beide Unternehmen leben davon, dass ihre Nutzer „kostenlos“ Informationen über sich preisgeben, die sich dann zu Geld machen lassen. Google erhält Informationen über die Dinge die die Nutzer suchen, die sie interessieren, und die sind für Anbieter Zielgruppen für deren Produkte Gold wert. Facebook und vielleicht irgendwann auch Google Plus erfährt etwas über die Beziehungen, Hobbyes und Gefühle der Teilnehmer, also ebenfalls Werte, die sich sehr wohl „versilbern“ lassen.

Die Gefahr, die von der Gesichtserkennungssoftware ausgeht, liegt weniger in der Verletzung der Privatsphäre der Nutzer als vielmehr darin, dass die beiden Dienstleister ihre „Kernkompetenz“ stärken und mittels der Funktionalität ihr Datenpotenzial vergrößern, indem sie über identifizierte Personen auf Fotos noch mehr über deren Beziehungen und Interessen erfahren.

Fotos sollten das bleiben, was sie sind, Abbilder dessen, was wir sehen und nicht dessen, was wir wissen! Wir sollten unsere heutige Welt nicht noch mehr der Orwell’schen Vision angleichen.

Über Martin Rösler

Als „Director Threat Research“ ist Martin Rösler bei Trend Micro verantwortlich für ein Team aus weltweit tätigen Sicherheitsforschern, das täglich die Aktivitäten der Cyber-Kriminellen beobachtet und die Bedrohungslage im Internet analysiert. Dabei geht es zum einen darum, Angriffe zu verhindern und neue Abwehrmethoden zu erarbeiten, zum anderen den sicheren Austausch digitaler Daten zu ermöglichen und neue Technologien  zu entwickeln.

Quelle: Google Blog

Der Suchmaschinenbetreiber warnt auf diese Weise die Nutzer vor einer möglichen Infektion ihrer Computer mit der Variante eines Fake-AV-Schädlings. Darunter versteht man ein gefälschtes Antivirenprogramm, das vorgibt, verdächtige oder schädliche Dateien zu finden, und dann die eingeschüchterten Anwender zur Kasse bittet sowie die Rechner der Opfer unter Umständen mit weiterer bösartiger Software infiziert.

Diesen Betrugsversuch entdeckte Google, weil die damit infizierten Computer verdächtige Daten über eine Reihe von Proxy-Servern an den Suchmaschinenbetreiber geschickt hatten, woraufhin dieser zum ersten Mal seine neue Sicherheitsfunktion mit der Warnmeldung aktivierte. Das Unternehmen geht von einigen Millionen betroffener Maschinen aus.

„Die neue Sicherheitsfunktion ist auf jeden Fall ein guter Anfang, um zumindest eine bestimmte Art von Schadsoftware darüber zu erkennen“, betont Christian Klein, Senior Sales Engineer bei Trend Micro. Das Problem dabei: Anders als ein ISP, der im Falle einer Infektion von Kunden diesen eine Mail oder gar einen Brief schicken kann, hat Google nur die Möglichkeit, eine Warnung über einen Browser anzuzeigen, so der Experte. „Das bedeutet, dass Bad Guys so eine Warnmeldung fälschen können, um den Nutzern auf diesem Wege bösartige Software unterzujubeln.“ Dieses Problem hat auch Google erkannt und äußert sich dazu im eigenen Blog: „Die Warnmeldung erscheint immer oben auf der Ergebnisseite. Will jemand die Nachricht fälschen, so müsste er erst diesen Computer infizieren, also besteht keine Gefahr für weitere Nutzer.“

Googles Sicherheitsbewusstsein scheint größer zu werden. Vor kurzem erst hatte Google aus Sicherheitsgründen bereits Websites mit der Second-Level-Domäne (SLD) *.CO.CC von seinen Suchergebnissen ausgeschlossen.

Cyberkriminelle können sich 2011 auf ein sehr profitables Jahr freuen – angesichts des zunehmenden Einsatzes mobiler Geräte und der steigenden Zahl von Betriebssystemen im Unternehmenseinsatz. Verstärkt kommen auch Social-Engineering-Taktiken zum Einsatz: Anwender werden immer mehr personalisierten Attacken ausgesetzt sein, wobei die Angriffe subtiler und die Website-Infektionen „von der Stange“ abnehmen werden. Hauptquelle bleibt das Internet. Untersuchungen der Virenanalysten von Trend Micro ergaben, dass sich mehr als 80 Prozent der gängigsten Malware über das Web verbreiten und so auf die Systeme der Benutzer gelangen (Quelle: Untersuchungen der TrendLabs, des globalen Netzwerks aus Forschungs- und Support-Zentren von Trend Micro, zwischen April und September 2010).

Noch sind dank der Vielfalt mobiler Geräte nicht viele Angriffe darauf zu verzeichnen. Aber da die Marktanteile neuer Plattformen steigen, wird die Malware-Industrie auf der Suche nach Sicherheitslücken und Designfehlern in den neuen Systemen ihre Angriffe darauf konzentrieren. So gibt es beispielsweise bereits ein Proof-of-Concept für Android, auch sind erfolgreiche Angriffe auf Google Android zu erwarten. Generell lässt sich feststellen, dass es innerhalb der Szene eine weitere Konsolidierung geben wird, denn Gruppen werden sich zusammenschließen oder ihre Kräfte bündeln, während die öffentliche Aufmerksamkeit für Cyber-Attacken wachsen wird.

Cloud Computing und Virtualisierung bieten viele Vorteile und sorgen für erhebliche Kostensenkungen. Doch weil dadurch Server nach außerhalb der traditionellen Sicherheitsperimeter verlagert werden, steigen die Risiken. Es bieten sich mehr Angriffsflächen für Cyberkriminelle, und auch die Sicherheitsanforderungen an Cloud-Service-Provider steigen. Die Experten von Trend Micro erwarten für das kommende Jahr einen Anstieg bei Proof-Of-Concept-Angriffen auf Cloud-Infrastrukturen und virtuelle Systeme. Angesichts des Aufbrechens der Desktop-Monokultur werden Cyberkriminelle Angriffe auf die in der Cloud vorherrschende Monokultur starten, um herauszufinden, wie sie diese erfolgreich infiltrieren und für ihre Zwecke missbrauchen können.

Social Engineering und damit das Ausnützen menschlicher Gutgläubigkeit im Unternehmen, um an vertrauliche Informationen zu kommen, wird auch 2011 eine große Rolle bei der Verbreitung von Bedrohungen spielen. Nach Einschätzung der Experten von Trend Micro wird es im kommenden Jahr eine Zunahme an personalisierten Attacken mithilfe solcher Taktiken geben. Das heißt, die Angriffe werden subtiler, während die Website-Infektionen „von der Stange“ und die zum Anklicken verleitenden infizierten Webseiten weniger werden.

Angesichts der Browser-Vielfalt und der immer bewusster agierenden Anwender, die beispielsweise die NoScript-Option in Firefox nutzen, sind einige der herkömmlichen Angriffsvektoren nicht mehr so effektiv für die Malware-Industrie, beispielsweise Sicherheitslücken im Browser oder die Infiltration von Web-Servern. Aus diesem Grund nutzen Cyberkriminelle immer mehr Social-Engineering-Tricks und verleiten die Benutzer dazu, etwas „Sinnvolles“ herunterzuladen. So lassen sich sogar vollständig gepatchte und gesicherte Systeme infiltrieren, warnen die Experten von Trend Micro.

Immer mehr geraten auch mittelständische Unternehmen ins Fadenkreuz der Cyberkriminellen. Diese bedienen sich dabei illegaler Toolkits, deren Verbreitung im Jahr 2010 geradezu explosionsartig zunahm. Sie machen es leichter, bestimmte Unternehmensarten anzugreifen. So galten die Angriffe mit ZeuS aus dem gerade abgelaufenen Jahr in erster Linie kleinen Unternehmen. Derartig zielgerichtete und an die jeweiligen Bedingungen angepasste Angriffe werden aller Voraussicht nach weiter zunehmen und dabei immer raffinierter werden, wobei sowohl bekannte Markenunternehmen als auch wichtige Infrastrukturen Ziel sein könnten. Auch die Sicherheitsanbieter selbst werden 2011 sehr wahrscheinlich Ziel von Angriffen werden, um so Verwirrung und Unsicherheit unter den Nutzern zu stiften.

Nicht nur die Fans rund um den Globus scheinen sich für die Oscars zu interessieren. Nur wenige Tage nach der Verleihung der begehrten Trophäe haben die Sicherheitsforscher von Trend Micro FAKEAV-Varianten entdeckt, welche die Search-Seiten infizieren.

Nutzer, die mit den Stichwörtern „oscar winners 2010 live „ nach Informationen zur Verleihung suchen, fallen einem Blackhat Search Engine Optimization (SEO) Angriff zum Opfer. Nahezu 80 Prozent der Ergebnisse auf der ersten Seite führen zum Download eines FAKEAV-Binaries, das Trend Micro als TROJ_FAKEAV.ZZH identifiziert hat.

„Das Geschäft mit gefälschten Antivirenlösungen hat sich zu einer echten Webplage entwickelt“, erklärt Martin Rösler, Director Threat Research bei Trend Micro. „Denn es geht hier nicht einfach um Abzocke, wobei Anwender für ein völlig nutzloses Stück Software bezahlen sollen. Vielmehr nutzen die Kriminellen die Schadsoftware in vielen Fällen gezielt zum Identitätsdiebstahl oder zur Kontrolle der befallenen Rechner. Der Schaden für die Nutzer ist somit meistens nicht einmalig, sondern potenziert sich. Die Anwender sollten daher ganz genau die als Sucherergebnisse angezeigten Webadressen unter die Lupe nehmen und nur diejenigen anklicken, bei denen sie absolut sicher sind, dass dahinter eine ganz seriöse Seite steht. Auch hier gilt wie so oft: Weniger ist mehr.“

Besagte Variante nimmt Verbindung zu einer Remote-Website auf, um Informationen hin zu versenden und zu erhalten. Sie kann auch weitere Malware herunter laden, einschlieĂźlich von Mal_Xed-22 und TROJ_VUNDO.SMAT.

Die immer wieder auftretenden SEO-Angriffe mit dem Ziel FAKEAV zeigen deutlich, dass die Cyberkriminellen auch weiterhin die Web-Suche ausnützen wollen. Nutzer sind gut beraten, sehr vorsichtig zu sein, vor allem so lange das Interesse an den Oscars noch anhält.

Trend Micros Smart Protection Network schützt die Anwender vor diesen und ähnlichen Gefahren, indem die Content-Sicherheitsinfrastruktur den Zugriff auf alle gefährlichen bösartigen Sites mittels Web Reputation Service blockiert. Auch entdeckt das intelligente Netzwerk mittels File Reputaion Service die Malware und verhindert deren Herunterladen. Nutzer, die kein Trend Micro Produkt im Einsatz haben, können sich mithilfe von kostenlosen Tools wie dem Web Protection Add-On schützen, denn dieses verhindert den Zugriff auf potenziell bösartige Websites.

Trend Micros Web Reputation Services (WRS) Operations Team hat eine Phishing-Mail entdeckt, die vorgibt, von Blogger zu kommen, dem kostenlosen Blog-Publishing-Tool von Google (siehe Bild 1).

Die Spam-Nachricht fordert die Benutzer auf, ihre Blogger-Konten zu aktualisieren, indem sie auf den in der Nachricht eingebetteten Link klicken. Dieser führt dann auf eine gefälschte Anmeldeseite. Auf den ersten Blick scheint die URL der Site legitim zu sein. Sie beginnt mit demselben Domänennamen wie die tatsächliche Blogger-Anmeldeseite. Doch bei näherem Hinsehen fanden die TrendLabs-Fachleute heraus, dass die gefälschte Site nicht auf derselben URL gehostet wird wie die richtige. Stattdessen wurde sie auf einer Remote Site vorgehalten, ist also tatsächlich eine gefälschte Anmeldeseite oder eine Phishing Site (Bilder 2 und 3).

Die Benutzer verwenden Blogs für einen stetigen Informationsaustausch über alles mögliche, das sie interessiert. Mittlerweile verwenden auch Unternehmen Blogs, um ihre Marketingbotschaften zu verbreiten. Daher kann es für Phisher ein lohnendes Geschäft sein, über diese gefälschten Login-Seiten an Kontendaten zu kommen. Diese Angriffe können dem Diebstahl von Daten dienen aber auch dem von Identitäten.

Aus diesem Grund warnen wir die Anwender eindringlich, vorsichtig umzugehen mit verdächtig aussehenden Mails und Sites. Es schadet sicherlich nicht, übervorsichtig zu sein, um nicht auf die sich weiter entwickelnden Techniken der Cyberkriminellen hereinzufallen.

Trend Micros Smart Protection Network schützt Anwender vor dieser Art der Angriffe, indem die Content-Sicherheitsinfrastruktur mithilfe der E-Mail-Reputationsdienste die Spam-Nachrichten blockt, bevor sie die Inbox erreichen. Den Zugang zu bösartigen Sites und Domänen verhindert das SPN mithilfe der Webreputations-Services.

Wer keine Trend Micro Produkte im Einsatz hat, kann sich mithilfe von kostenlosen Tools wie dem Browser Plugin eMail ID schützen. Dieses Werkzeug hilft dabei, legitime Mail-Nachrichten zu erkennen und zu verhindern, dass der User Phishing-Mails öffnet.

Im Zusammenhang mit den „sehr raffinierten und gezielten“ Angriffen auf Google haben mindestens drei Regierungen ihren Bürgern empfohlen, auf einen anderen Browser als den Internet Explorer von Microsoft auszuweichen. Ein wohlbekanntes Sicherheitsunternehmen hat in die eigene Website eine Grafik „Operation Aurora“ eingefügt, die Links zu Trial-Downloads für vorhandene Software enthält. Die Angriffe wurden vom CTO dieses Anbieters als „weltverändernd“ beschrieben und von Google als „etwas ganz Anderes“. Wie viel von der ganzen Aufregung ist tatsächlich berechtigt und angemessen?

Was wissen wir bislang? Google schreibt folgendes: „Mitte Dezember entdeckten wir einen sehr raffinierten und gezielten Angriff auf unsere Unternehmensinfrastruktur, der von China ausging und bei dem geistiges Eigentum von Google gestohlen wurde.“ Und weiter: „Im Rahmen unserer Nachforschungen entdeckten wir, dass mindestens zwanzig weitere große Unternehmen auf verschiedenen Branchen, einschließlich Internet, Finanzen, Technologie, Medien und der Chemie, Opfer ähnlicher Attacken geworden waren. Derzeit sind wir dabei, diese Unternehmen davon in Kenntnis zu setzen.“ iDefense hat Kunden, die von der Zero-Day-Schwachstelle in Acrobat Reader betroffen sind, und nennt 33 Unternehmen als Opfer.

Die nachfolgenden Vermutungen, Kommentare und Analysen wiesen die Schuld einer nicht gepatchten Schwachstelle im Internet Explorer und im Acrobat Reader zu. Die damit zusammenhängende Malware wurde sowohl als Varianten der Hydraq Trojans und einer neuen Malware, die McAfee Roarur.dr und TROJ_PIDIEF.SHK bezeichnete. Die Angriffsvektoren sind eine Mail mit bösartigen PDF-Anhängen und Drive-by-Downloads.

Als Motivation fĂĽr die Angriffe wird sowohl der Versuch geistiges Eigentum zu stehlen als auch die Sicherheit von E-Mail-Konten chinesischer Menschenrechtler zu durchbrechen, genannt. Die Attacken sollen laut James Mulvenon, Director des Center for Intelligence Research and Analysis bei der Defense Group, von mindestens sechs Internet-Adressen in Taiwan ausgegangen sein.

Sind sie weltverändernd? Ich glaube nicht. Es sind nicht die ersten Angriffe über Zero-Day-Schwachstellen, und tatsächlich werden in den meisten Fällen Zero-Day-Exploit zuerst für gezielte Attacken genutzt, bevor sie sich weiter verbreiten. Auch sind es nicht die ersten Angriffe, die Drive-by-Downloads oder bösartige PDF-Anhänge einsetzen, um zum Ziel zu kommen. Weder ist es das erste Mail, dass Empfehlungen für einen anderen Browser ausgesprochen wurden, bis die Patches verfügbar sind, noch dass die Welt mit dem Finger auf China zeigt, bei einem breitangelegten Spionageangriff. Schließlich sind die Attacken nicht die komplexesten, viele Komponenten umfassende Systeme, die die Welt je gesehen hat – man denke nur an Koobface.

Es besteht kein Zweifel daran, dass diese Attacken eine ausgeklügelte Methodik enthalten. Die „Bad Guys“ waren auch sichtbar erfolgreich in der Auslieferung ihrer bösartigen Fracht an die richtigen Leute in den richtigen Unternehmen, um an Dinge wie Source Code oder E-Mail-Konten heranzukommen. Dennoch sehe ich dabei nichts, was die Welt verändern könnte. Social Engineering, fehlendes Sicherheitsbewusstsein, die Bereitschaft zu viel Information mit anderen zu teilen sowie die hoch entwickelte Schattenwirtschaft haben zum Erfolg der bösartigen Aktivitäten beigetragen.

Was können Unternehmen und Einzelpersonen tun, um zu vermeiden, dieser Art von Angriff zum Opfer zu fallen?

• Erziehung zu einem sicherem Verhalten: Das Anklicken eines Links oder das Ă–ffnen eines PDFs reicht aus, um sich zu infizieren, auch in einem vollständig gepatchten System.
• Sicherstellen, dass alle Anwendungen und Systeme auf aktuellem Stand sind: Falls dies nicht möglich ist, empfiehlt sich die Nutzung von Host-basierter Intrusion Prevention, um „virtuelles Patchen“ von Systemen durchzufĂĽhren und einen Schutz gegen Zero-Day-Exploits zu haben.
• Wird eine nicht gepatchte Schwachstelle entdeckt, so sollten Anwender den Empfehlungen der Anbieter folgen, um so schnell wie möglich die Risiken zu minimieren.
• VerschlĂĽsselung von wichtigen persönlichen Daten und geistigem Eigentum auf Dateiebene hilft, denn auch wenn diese Informationen gestohlen werden, so ist ihr Wert fĂĽr den Dieb doch minimal.
• Es empfiehlt sich die EinfĂĽhrung von Data Leakage Prevention Technologie, denn sie erkennt und stoppt das AusfĂĽhren von kritischen Inhalten aus dem Netzwerk.
• Ăśberdenken des Sicherheitsmodells von einem Von-auĂźen-nach-innen-Ansatz zu einem der von innen nach auĂźen geht – sichere Daten, sichere Zugriffsrechte, sichere Anwendungen. Der Perimeter existiert lediglich auf einem Netzwerkdiagramm.

Trend Micro warnt vor einer neuen Entwicklung des Koobface-Botnetzes, die den Google-eigenen Service Google Reader missbraucht. Die Google Reader-Webadressen wurden von Koobface als Spamnachrichten in sozialen Netzwerken wie Facebook, MySpace und Twitter verbreitet wurden. Dazu nutzen die Verbrecher Google-Benutzerkonten, um URLs zu hosten, die ein Image enthält, dass einem Flash-Video ähnelt. Diese URLs werden in besagten sozialen Netzwerken verteilt. Klickt ein User auf das Image oder den Titel des Contents, so landet er auf einer infizierten Website – auf der sich ein weiteres gefälschtes YouTube-Video befindet. Von dort aus wird der Rechner des Anwenders infiziert, der dadurch Teil des Koobface-Botnetzes wird.

Google Reader ist ein kostenloser Dienst, mit dem Anwender Websites nach neuen Inhalten durchsuchen sowie diese neuen Inhalte untereinander austauschen können. Diese Funktion, ist einfach zu verwenden, denn jeder kann auf seiner Reader-Seite auf den Share Icon klicken, und die Inhalte werden auf eigenen der öffentlichen Seite dargestellt. Diese Möglichkeit, Inhalte auszutauschen, wird von den Cyberkriminellen durch das Spammen von bösartigen Links missbraucht.

Bereits rund 1.300 Google Reader-Konten sind von der Koobface-Spam-Attacke auf sozialen Netzwerken betroffen. Trend Micro hat Google über diesen Vorfall unterrichtet. Das Trend Micro-Forschungs-Team beobachtet kontinuierlich die kriminellen Koobface-Aktivitäten, insbesondere das Spammen von Webadressen auf sozialen Netzwerken wie Facebook, MySpace und Twitter.

Anwender der Sicherheitslösungen von Trend Micro sind durch das Trend Micro Smart Protection Network vor dieser Attacke geschützt. Anwender, die befürchten, ihr Rechner könnte befallen sein, können die kostenlosen Trend Micro-Werkzeuge zum Aufspüren und Beseitigen von Infektionen wie HouseCall nutzen.