Usenix 2012: Beobachtungen zu den Bedrohungstrends

Originalartikel Paul Ferguson, Senior Threat Researcher

Auf der Usenix LEET 2012 in San Jose, Kalifornien, präsentierte Trend Micros Threat Research Group einen Überblick über die aktuellen Bedrohungen und die diesbezüglich wichtigsten Entwicklungen. Dies sind die Haupttrends im Bereich der Bedrohungen:

Entwicklung und Professionalisierung von Exploit Kits

Exploit Kits, wie das beliebte Black Hole Exploit Kit, haben sich zur meist genutzten „Waffe“ entwickelt und dienen dazu, die Angriffsfläche enorm zu erweitern. Dies und auch die Tatsache, dass sie einfach im kriminellen Untergrund gehandelt werden, lässt darauf schließen, dass ihre Anwendung noch weiter an Popularität gewinnen wird.

Zunehmende Reife der Traffic Direction Systems (TDS)

TDS, wie Sutra TDS, dienen dazu, den Datenverkehr der Opfersysteme auf verschiedene Zielseiten umzuleiten, etwa solche mit Exploit Kits, gefälschter Antivirussoftware, vorgebliche Pharmaseiten und andere, — je nach Ziel der Kampagne (Pay-per-Click, Pay-per-Install oder damit verbundene Kampagnen). Die TDS sind sehr effizient und werden zunehmend genutzt.

Kleinere, diversifizierte Botnetze

Statt wie bisher große, monolithische Botnetze aufzubauen, wechseln die Cyberkriminellen zu kleineren, unterschiedlicheren Botnetzen. Der Grund: Damit vermeiden sie, ihre gesamte Infrastruktur zu verlieren, falls eines der Netze abgeschaltet wird, sei es weil Domänen gesperrt, Kommunikationsdienste unterbrochen werden oder die Polizei Computer beschlagnahmt.

Modularisierung

Vor allem Bank-Trojaner wie ZeuS, SpyEye oder Carberp, werden modularer gestaltet, wobei spezielle Plugins hinzukommen, die bei Bedarf angesteckt werden. Beispielsweise stellen Plugins für Screen Grabber, Back Connect oder Web Injects Funktionssets dar, die sich einzeln hinzu kaufen lassen. So entsteht ein Markt für spezialisierte Kriminalität.

Aufkommen mobiler Gefahren

Unabhängig von der schieren Anzahl mobiler Gefahren, die in den verschiedenen Marketplaces auftauchen, handelt es sich dabei vor allem um Proof-of-Concepts. Natürlich sind sie bösartig, können Informationen stehlen, Konten kapern, Premium SMS versenden und so weiter, doch stellen sie derzeit noch keine „signifikante Kriminalität“ dar. Auch gibt es keine tatsächlichen gemeinsamen Versuche, E-Commerce Bankanwendungen anzugreifen. Die Experten erwarten jedoch mit der nächsten Generation der Geräte, die NFC (Near Field Communications) vollständig unterstützen, diesbezüglich eine dramatische Wende. Dann werden nämlich viel mehr Verbraucher den E-Commerce und Finanzanwendungen nutzen – somit lohnt sich dann auch der Angriff.

Weitere Angriffe auf soziale Netzwerke

Soziale Netzwerke sind ein leichtes Ziel für Cyberkriminelle, den die Nutzer sind häufig naiv und veröffentlichen viel zu viele persönliche Informationen. Zudem lassen sie sich leicht dazu verführen, auf Köder-Links zu klicken. Es gibt wenig Hoffnung, dass sich hier etwas ändert.

Angriffe auf kritische Infrastrukturen

Die Betreiber von Netzwerken, die als kritische Infrastruktur bezeichnet werden, sind private Unternehmen, die nicht immer die besten betrieblichen Sicherheitsentscheidungen treffen, deren Sicherheitsbewusstsein häufig zu wünschen übrig lässt und die somit Angreifern ein leichtes Ziel bieten. So lange sich hier nichts ändert werden die Angriffe auch weiter gehen.

Angriffe durch HTML5

Die weitere Verbreitung von HTML5 ermöglicht eine homogene Angriffsfläche. Einzelne Fälle der Ausnutzung von Schwachstellen über JavaScript, Websockets, Cross-Site Scripting und Cross-Site Request-Fälschung sowie Java und andere gibt es bereits. Doch HTML5 ermöglicht die Ausnutzung von Browsern-Schwachstellen, unabhängig vom darunter liegenden Betriebssystem, um so genannte Browser-Botnetze aufzubauen. Weitere Informationen dazu liefert die Serie HTML5 – Die größten Gefahren und Gefahren und kein Ende..

Mehr Datendiebstähle über gezielte Angriffe

Advanced Persistent Threats (APT) funktionieren, weil Social Engineering wirkt. Anscheinend muss die Technik nicht sehr ausgeklügelt sein, um zu funktionieren. Über diese Methode kommen die meisten Dateneinbrüche und –diebstähle, Spionagefälle usw.

Schwer zu fassende Cyberkriminalität

Schlaue Cyberkriminelle wissen, wie sie ihre Chancen am besten nützen können. Sie wissen welche Domänen-Registrare (oder Reseller) und Hosting Provider sie unbedenklich wählen können, weil sie auf Missbrauch nur sehr langsam reagieren. Auch verstehen sie es, unauffällig zu handeln und ihre „Dienste“ so zu platzieren, dass sie ihre Betriebsdauer maximieren. Dazu gehört auch, in aufstrebenden Märkten zu agieren, wo es noch keine effektiven Organisationen für Gegenmaßnahmen gibt, etwa nationale oder regionale CERTs.

In den letzten neun Monaten sind einige transozeanische Kommunikationskabel nach Afrika gelegt worden – ergibt unter Umständen einen völlig neuen Markt für Internetdienste. Viele davon werden mobil sein, doch die Infrastruktur und das Hosting bleibt am Boden verankert. Wichtig in diesem Zusammenhang ist es, parallel ein Framework aufzusetzen, um die Cyberkriminalität dort in den Griff zu bekommen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*