Originalartikel von Aisa Escober, Threat Response Engineer
Es hat keine 24 Stunden gedauert, bis die Cyberkriminellen die Explosionen während des Boston Marathon für ihre fiesen Zwecke missbraucht haben. Trend Micro zählte mehr als 9.000 Spam-Nachrichten, die das Blackhole Exploit Kit umfassten und die tragischen Ereignisse von Montag als Köder ausnützten.
Weiterlesen
Originalartikel von Abigail Picher, Technical Communictions
Jeder scheint heute Teil des einen oder anderen sozialen Netzwerks zu sein. Allein Facebook berichtet von monatlich 955 Millionen aktiven Nutzern und 543, die das soziale Netzwerk mobil nutzen. Die Teilnahme am Online-Geschehen ist zum Muss geworden, und die Teilnehmer werden aufgefordert, jede Einzelheit ihrer Existenz mit anderen zu teilen.
Doch die ständige Nutzung der Netzwerke kann dazu führen, dass die Menschen nicht mehr richtig beurteilen können, was sie online preisgeben sollen und was nicht. Einer Studie von Trend Micro zufolge veröffentlichen 63 Prozent der Nutzer ihren Geburtstag und weitere 61 Prozent geben an, auf welcher Schule sie waren. Auch führen 51 Prozent ihre Familienmitglieder an und 48 Prozent ihre Heimatstädte. Zwar scheinen diese Details für sich genommen harmlos, doch sollten Nutzer wissen, dass sie häufig als Antwort auf Sicherheitsfragen für Online-Konten dienen. Lesen nun Cyberkriminelle diese Daten, so kommen sie damit dem Hacking von Konten einen Schritt näher.
Das Veröffentlichen von zu vielen Informationen kann unangenehme Folgen haben, so etwa den Diebstahl persönlicher Daten. Trend Micro hat herausgefunden, dass einer von drei Nutzern jemand kennt, der bereits Opfer eines Identitätsdiebstahls geworden ist. 13 Prozent der Befragten gab zu, einem Identitätsdiebstahl zum Opfer gefallen zu sein. Diese Zahlen beweisen, dass User ihre Online-Vertraulichkeit sehr sorgfältig hüten müssen. Weitere Informationen zu Risiken bei der Veröffentlichung von eigenen Daten online gibt es in der neuen Infografik “Public or Private? The Risks of Posting in Social Networks”.
Originalartikel von David Sancho, Senior Threat Researcher
Im Grunde genommen sind mobile Anwendungen “Browser in einer Box”. Für diese Behauptung spricht einiges: Öffnet der Anwender eine App, so ist die Wahrscheinlichkeit hoch, dass sie versucht, auf eine bestimmte Webseite zuzugreifen und die Ergebnisse in irgendeiner Art und Weise darstellt. Nicht nur Anwendungen wie Amazon oder eBay verhalten sich wie Browser (die solche Anfragen auf ihre eigenen Server einschränken), sondern auch Apps wie Flipboard, das „Soziale Nachrichtenmagazin“ für iPad und iPhone, greifen im Prinzip lediglich auf Facebook und Twitter zu, um die Ergebnisse auf eine sehr hübsche Weise darzustellen.
Macht dies Apps angreifbarer für Verhaltensweisen, die reguläre Browser von den Nutzern erwarten? Führt beispielsweise eine App eingeschränkte Anfragen an eine einzelne Site aus, so könnte doch ein Angreifer dieses Verhalten für die Kompromittierung der App oder Site missbrauchen.
Mithilfe einer Testumgebung, die den an- und ausgehenden Verkehr von mobilen Anwendungen – sowohl Android als auch iPhone/iPad – überwachte, wollte der Autor herausfinden, ob Apps tatsächlich wie Browser abzusichern sind. Die Suche nach ausnutzbaren Mechanismen oder Lücken war erfolgreich. Unter anderem gibt es ein Spiel, das immer wieder Kennwörter vergibt und ändert, um den Spielern den Zugang zu neuen Ressourcen zu öffnen. Diese Kennwörter aber werden als unverschlüsseltes http angefordert und gesendet. Einen Angriff auf die involvierten Server zu fingieren war ein Kinderspiel! Die klare Schlussfolgerung: unverschlüsselte, vorgefertigte http-Übertragungen sind nicht vertrauenswürdig. Auch weitere Probleme mit verschiedenen Anwendungen traten zutage: Eine App, die regelmäßig XML-Dateien mit Links zu Bildern und Audio-Dateien verschickt, tat dies ebenfalls in reinem Text über unverschlüsseltes http.
Die entdeckten Probleme waren jedoch so vielfältig, dass es schwierig wurde, dieses Projekt von jedem anderen Webanwendungs-Penetrationstest abzugrenzen. Das heißt, die Clients sind mobile Anwendungen, doch eigentlich bezogen sich die Nachforschungen auf den unsicheren Webcode eines Entwicklers.
Fazit: Die Anfangsthese stimmt: Alle mobilen Apps sind Webclients und daher genauso so unsicher wie ein Browser – und wie ein Browser müssen sie auch gesichert sein.
Originalartikel von Cris Pantanilla, Threat Response Engineer
In letzter Zeit machten in Facebook Nachrichten die Runde, die einen Link verteilen, der in Form einer verkürzten URL auf eine Archivdatei “May09-Picture18.JPG_www.facebook.com.zip” verweist. Dieses Archiv wiederum enthält eine bösartige Datei namens “May09-Picture18.JPG_www.facebook.com”.
Sobald der Schädling (WORM_STECKCT.EVL) ausgeführt wird, beendet er Antivirus-bezogene Dienste und Prozesse und setzt so AV-Software außer Kraft. Der Wurm verbindet sich auch mit bestimmten Websites, um dahin Informationen zu senden und welche zu empfangen.
Des weiteren lädt der Wurm einen nächsten Wurm (WORM_EBOOM.AC) herunter und führt ihn aus. Dieser zweite Schädling kann die Browser-Aktivitäten des Opfers überwachen, so etwa das Veröffentlichen oder Löschen von Nachrichten sowie die privaten Nachrichten, die an Websites wie Facebook, Myspace, Twitter, WordPress und Meebo geschickt werden. Auch kann er sich über besagte Seiten durch die Veröffentlichung von Nachrichten, die einen Link auf eine Kopie seiner selbst enthalten, verbreiten.
Nutzer sozialer Medien sollten sich gut über die Risiken und deren Vermeidung informieren, etwa im „A Guide to Threats on Social Media“. Aufgrund der neuen Partnerschaft von Trend Micro mit Facebook sind die Anwender über das Smart Protection Network vor diesen Gefahren geschützt, denn die Sicherheitsinfrastruktur blockt den Zugriff auf die damit in Zusammenhang stehenden bösartigen Links. Zudem erkennt und löscht der Datei-Reputationsdienst beide Schädlinge.
Originalartikel Paul Ferguson, Senior Threat Researcher
Auf der Usenix LEET 2012 in San Jose, Kalifornien, präsentierte Trend Micros Threat Research Group einen Überblick über die aktuellen Bedrohungen und die diesbezüglich wichtigsten Entwicklungen. Dies sind die Haupttrends im Bereich der Bedrohungen:
Entwicklung und Professionalisierung von Exploit Kits
Exploit Kits, wie das beliebte Black Hole Exploit Kit, haben sich zur meist genutzten „Waffe“ entwickelt und dienen dazu, die Angriffsfläche enorm zu erweitern. Dies und auch die Tatsache, dass sie einfach im kriminellen Untergrund gehandelt werden, lässt darauf schließen, dass ihre Anwendung noch weiter an Popularität gewinnen wird.
Zunehmende Reife der Traffic Direction Systems (TDS)
TDS, wie Sutra TDS, dienen dazu, den Datenverkehr der Opfersysteme auf verschiedene Zielseiten umzuleiten, etwa solche mit Exploit Kits, gefälschter Antivirussoftware, vorgebliche Pharmaseiten und andere, — je nach Ziel der Kampagne (Pay-per-Click, Pay-per-Install oder damit verbundene Kampagnen). Die TDS sind sehr effizient und werden zunehmend genutzt.
Kleinere, diversifizierte Botnetze
Statt wie bisher große, monolithische Botnetze aufzubauen, wechseln die Cyberkriminellen zu kleineren, unterschiedlicheren Botnetzen. Der Grund: Damit vermeiden sie, ihre gesamte Infrastruktur zu verlieren, falls eines der Netze abgeschaltet wird, sei es weil Domänen gesperrt, Kommunikationsdienste unterbrochen werden oder die Polizei Computer beschlagnahmt.
Modularisierung
Vor allem Bank-Trojaner wie ZeuS, SpyEye oder Carberp, werden modularer gestaltet, wobei spezielle Plugins hinzukommen, die bei Bedarf angesteckt werden. Beispielsweise stellen Plugins für Screen Grabber, Back Connect oder Web Injects Funktionssets dar, die sich einzeln hinzu kaufen lassen. So entsteht ein Markt für spezialisierte Kriminalität.
Aufkommen mobiler Gefahren
Unabhängig von der schieren Anzahl mobiler Gefahren, die in den verschiedenen Marketplaces auftauchen, handelt es sich dabei vor allem um Proof-of-Concepts. Natürlich sind sie bösartig, können Informationen stehlen, Konten kapern, Premium SMS versenden und so weiter, doch stellen sie derzeit noch keine „signifikante Kriminalität“ dar. Auch gibt es keine tatsächlichen gemeinsamen Versuche, E-Commerce Bankanwendungen anzugreifen. Die Experten erwarten jedoch mit der nächsten Generation der Geräte, die NFC (Near Field Communications) vollständig unterstützen, diesbezüglich eine dramatische Wende. Dann werden nämlich viel mehr Verbraucher den E-Commerce und Finanzanwendungen nutzen – somit lohnt sich dann auch der Angriff.
Weitere Angriffe auf soziale Netzwerke
Soziale Netzwerke sind ein leichtes Ziel für Cyberkriminelle, den die Nutzer sind häufig naiv und veröffentlichen viel zu viele persönliche Informationen. Zudem lassen sie sich leicht dazu verführen, auf Köder-Links zu klicken. Es gibt wenig Hoffnung, dass sich hier etwas ändert.
Angriffe auf kritische Infrastrukturen
Die Betreiber von Netzwerken, die als kritische Infrastruktur bezeichnet werden, sind private Unternehmen, die nicht immer die besten betrieblichen Sicherheitsentscheidungen treffen, deren Sicherheitsbewusstsein häufig zu wünschen übrig lässt und die somit Angreifern ein leichtes Ziel bieten. So lange sich hier nichts ändert werden die Angriffe auch weiter gehen.
Angriffe durch HTML5
Die weitere Verbreitung von HTML5 ermöglicht eine homogene Angriffsfläche. Einzelne Fälle der Ausnutzung von Schwachstellen über JavaScript, Websockets, Cross-Site Scripting und Cross-Site Request-Fälschung sowie Java und andere gibt es bereits. Doch HTML5 ermöglicht die Ausnutzung von Browsern-Schwachstellen, unabhängig vom darunter liegenden Betriebssystem, um so genannte Browser-Botnetze aufzubauen. Weitere Informationen dazu liefert die Serie HTML5 – Die größten Gefahren und Gefahren und kein Ende..
Mehr Datendiebstähle über gezielte Angriffe
Advanced Persistent Threats (APT) funktionieren, weil Social Engineering wirkt. Anscheinend muss die Technik nicht sehr ausgeklügelt sein, um zu funktionieren. Über diese Methode kommen die meisten Dateneinbrüche und –diebstähle, Spionagefälle usw.
Schwer zu fassende Cyberkriminalität
Schlaue Cyberkriminelle wissen, wie sie ihre Chancen am besten nützen können. Sie wissen welche Domänen-Registrare (oder Reseller) und Hosting Provider sie unbedenklich wählen können, weil sie auf Missbrauch nur sehr langsam reagieren. Auch verstehen sie es, unauffällig zu handeln und ihre „Dienste“ so zu platzieren, dass sie ihre Betriebsdauer maximieren. Dazu gehört auch, in aufstrebenden Märkten zu agieren, wo es noch keine effektiven Organisationen für Gegenmaßnahmen gibt, etwa nationale oder regionale CERTs.
In den letzten neun Monaten sind einige transozeanische Kommunikationskabel nach Afrika gelegt worden – ergibt unter Umständen einen völlig neuen Markt für Internetdienste. Viele davon werden mobil sein, doch die Infrastruktur und das Hosting bleibt am Boden verankert. Wichtig in diesem Zusammenhang ist es, parallel ein Framework aufzusetzen, um die Cyberkriminalität dort in den Griff zu bekommen.