Malwareanalyse und Verteidigung

Malwareanalyse und Verteidigung

Dritter Teil des Mehrteilers “Verteidigung gegen Malware”

Die Arbeitsplätze unserer Malware Analysten unterscheiden sich nicht von anderen in den Büroräumen von Hornetsecurity, auch wenn vom Security Lab als „Labor“ gesprochen wird. Erlenmeyerkolben, Reagenzgläser und Bunsenbrenner sind jedenfalls keine zu finden, sondern ganz normale Computer. Die Arbeit geht vielmehr virtuell vonstatten, zum Beispiel in Sandboxes oder durch die Analyse des Datenverkehres. Nichtsdestotrotz ist die Bedeutung der Malware Analysten nicht zu unterschätzen, sorgt sie doch unter anderem dafür, dass die Abwehrsysteme von Hornetsecurity ständig so aktuell wie möglich sind. – nur so lässt sich der hohe Qualitätsstandard halten.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Aber wie ist das Vorgehen bei der Analyse von Schadsoftware? In der Regel liegt ein sehr großer, andauernder Strom an Daten vor, den es zu analysieren gibt. Diesen Rohdaten die wertvollen Informationen zu entziehen, ist die Hauptaufgabe – sie werden aufbereitet, „intelligent“ gemacht. Hierzu verwenden die Analysten verschiedene Tools und Programme, um bestimmte Fragestellungen beantworten: Welches sind die Ziele der Malware? Welche Merkmale sind typisch für die untersuchte Schadsoftware? Gibt es Hinweise auf den oder die Angreifer? Aus den gewonnenen Erkenntnissen lassen sich im Idealfall Handlungen ableiten, zum Beispiel das Schreiben von neuen Filterregeln oder das Erstellen von Algorithmen.

Zwei verschiedene Arten der Analyse

Zwei Arten, Malware zu analysieren, sollen hier ein wenig näher vorgestellt werden. Bei der statischen Analyse erfolgt die reine Betrachtung des Codes selbst ohne Ausführen der Malware, während bei der dynamischen Analyse das Verhalten des Schadcodes in sicherer Umgebung verfolgt wird.

In der statischen Analyse zerlegen die Analysten die Malware bis ins kleinste Detail, um Rückschlüsse aus dem Code selbst ziehen zu können. Hierzu werden zum Beispiel signifikante Strings extrahiert oder Shell-Skripte gestartet und mit Disassemblern weitere Ergebnisse generiert. Hier finden sich Hinweise auf die Aktivitäten der Schadsoftware und welche Merkmale sie zeigt – sogenannte Indicators of Compromise (IoC). Auf Basis der gewonnenen Erkenntnisse lassen sich die einzelnen Filtersysteme auf den neuesten Stand bringen, um weitere Angriffe durch diese und diesen ähnelnde Malware möglichst schnell zu unterbinden.

Eine Möglichkeit bei der dynamischen Analyse ist, den Schadcode in der sicheren Umgebung einer Sandbox ihrer Aufgabe nachgehen zu lassen. Diese Methode ist gut zu automatisieren, um daraus bestimmte Ergebnisse zu gewinnen. Auf diesen wiederum lassen sich anschließend die Filtersysteme aktualisieren. Verändert der Code bestimmte Dateien, nimmt er Änderungen in der Registry vor oder hat er generell Systemeinstellung etwa an DNS-Servern angepasst? Mit wem nimmt die Schadsoftware Kontakt auf? Diese und andere Fragen lassen sich so beantworten.

Verschiedenste Nutzungsmöglichkeiten

Die augenscheinlichste Anwendung der aus der Malwareanalyse gewonnenen Daten liegt für IT-Security-Unternehmen darin, ihre Abwehrmethoden zu verbessern und somit auch ihre Kunden besser vor Angriffen zu schützen. Hierzu extrahieren die Analysten bestimmte Binärmuster und erstellen daraus sogenannte Yara-Regeln, mit denen sich Malware-Samples finden, kategorisieren und gruppieren lassen. Verhaltenssignaturen, die in der Sandbox angewendet werden, können bestimmte Verhaltensmuster von Schadcode erkennen und diese kategorisieren.

Ein Beispiel: In der Sandbox wird ein sich im Dateianhang befindliches Office-Dokument geöffnet. Dort erkennen die Verhaltenssignaturen, dass das zu untersuchende Dokument damit beginnt, Informationen über Benutzeraccounts zu sammeln und diese zu verschicken. Findet diese Analyse in einer cloudbasierten Umgebung statt, ist es anschließend möglich, die auffälligen E-Mails abzufangen und damit die Angriffe komplett zu blockieren. All diese und etliche weitere Abwehrmaßnahmen sollen dabei helfen, einen Angriff an möglichst früher Stelle abfangen und unterbinden zu können, damit die entstehenden Schäden durch Malware so gering wie möglich sind oder besser noch gar nicht erst auftreten.

Viele durch Malwareanalyse gewonnenen Rohdaten und daraus abgeleiteten Erkenntnisse sind zudem für die allgemeine Prävention nützlich. Forschungsvorhaben können davon profitieren und ihre wissenschaftlich fundierten Ergebnisse wiederum der Allgemeinheit zur Verfügung stellen. Daneben dient die Veröffentlichung von Malwareanalysen auch der Aufklärung der Allgemeinheit. Die Wissenserweiterung über Herangehensweisen von Cyberattacken und Malwareangriffen helfen dabei, deren Erfolgsraten einzugrenzen.

EFAIL: (K)eine Schwachstelle in den Verschlüsselungsmethoden PGP und S/MIME

EFAIL: (K)eine Schwachstelle in den Verschlüsselungsmethoden PGP und S/MIME

+++++ UPDATE vom 16.5.2018 +++++

 

Um  auch unsere Unternehmenskunden, die ihre E-Mails noch über eine in-House-Lösung ver- und entschlüsseln und noch nicht den Hornetsecurity Encryption Service gebucht haben, proaktiv vor EFAIL zu schützen, haben wir zudem eine gesonderte Filterstufe für Angriffe nach dem EFAIL-Muster entwickelt. Voraussetzung hierfür ist lediglich, dass ihre E-Mail-Kommunikation über die Hornetsecurity-Server läuft, was bei unseren E-Mail-Security Produkten generell der Fall ist.

 

Die Filterstufe ist bei allen unseren Kunden, die mindestens den Hornetsecurity Spamfilter Service gebucht  haben, standardmäßig für alle ein- und ausgehenden E-Mails bereits aktiviert worden und schützt nicht nur vor EFAIL, sondern auch von künftigen Angriffen, die ähnliche Muster aufweisen.

 

+++++

 

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Eine bekannte Schwachstelle wird auf die Protokolle PGP und S/MIME übertragen und bringt die Manipulation von E-Mails auf eine neue Ebene. Kein Problem für Hornetsecurity.

 

Am Montag, den 14.05.2018, veröffentlichte ein Team aus Sicherheitsforschern der Fachhochschule Münster, der Ruhr Universität Bochum und der Universität Leuven (Belgien) ein Paper, das die Sicherheit der Verschlüsselungsstandards PGP und S/MIME infrage stellt und damit weltweites Aufsehen erregt.

Die aufgedeckten Sicherheitslücken (CVE-2017-17688 und CVE-2017-17689) betreffen jedoch nicht die Protokolle selbst, sondern nutzen eine bereits länger bekannte Schwachstelle, um verschlüsselte E-Mails durch den Mail-Client zu entschlüsseln und dem Angreifer zuzustellen.

Voraussetzung für die Ausführung der Angriffe ist, dass die E-Mails bereits in verschlüsselter Form beim Angreifer vorliegen. Dafür müssen die E-Mails auf dem Transportweg abgefangen werden.

Der Angreifer muss zuvor eine Man-In-The-Middle-Attacke (MitM) ausgeführt oder einen Mailserver kompromittiert haben, um Zugang zu den E-Mails zu bekommen, die über ihn oder den Server laufen. Nur wenn diese Voraussetzungen erfüllt sind, kann der Angreifer einen der im Paper beschrieben EFAIL-Angriffe ausführen.

Die Autoren des Papers zeigen zwei ähnliche Angriffsmethoden auf, um E-Mails mit vorhandener PGP- oder S/MIME-Verschlüsselung zu entschlüsseln.

Der erste Angriff ist recht simpel auszuführen, dafür aber auf bestimmte Mail-Clients (Apple-Mail, iOS-Mail, Mozilla Thunderbird) und ggf. dort installierte Plugins von Drittanbietern beschränkt:

Dazu erstellt der Angreifer eine E-Mail mit drei Body-Parts. Der erste Part formatiert die E-Mail als HTML und fügt zudem ein Image-Tag mit einer Ziel-Website ein. Die Anführungszeichen und der Image-Tag werden nicht geschlossen. Darauf folgt im zweiten Body-Part der mit PGP oder S/MIME verschlüsselte Text. Der dritte Part besteht wieder aus einer HTML-Formatierung und schließt den Image-Tag aus Part eins.

(Bild Quelle: EFAIL-Angriffe, Stand: 14.05.18)

Stellt der Angreifer diese E-Mail dem Absender der verschlüsselten Nachricht zu, ist es möglich, dass die Nachricht entschlüsselt und an die hinterlegte Website übertragen wird. Dazu muss der Mail-Client so konfiguriert sein, dass er automatisch externe Bilder herunterlädt, ohne den Nutzer danach zu fragen.

Die zweite Möglichkeit, um PGP oder S/MIME verschlüsselte E-Mails auszulesen, besteht aus einer schon länger bekannten Methode zum Extrahieren von Plaintext in Blöcken verschlüsselter Nachrichten.

Das für S/MIME CBC-Angriff und für PGP CFB-Angriff genannte Angriffsszenario ermittelt in einer verschlüsselten Nachricht einen bekannten Textanteil und überschreibt anschließende Blöcke mit eigenen Inhalten. Bei dem EFAIL-Angriff wird, wie im ersten Teil beschrieben, wieder ein Image-Tag mit einer Zielwebsite in den verschlüsselten Text eingefügt. Wird die Nachricht danach an den eigentlichen Empfänger der verschlüsselten Nachricht zugestellt, ist es möglich, dass die Nachricht entschlüsselt und an den Angreifer übertragen wird.

Die von Hornetsecurity verschlüsselten E-Mails sind per Design vor Angriffen dieser Art geschützt, da Hornetsecurity die für den Angriff vorausgesetzten unterschiedlichen Content-Types (Multipart/Mixed) gar nicht erst zulässt.

Die Verschlüsselungsmethoden selbst – S/MIME und PGP – wurden nicht gebrochen; vielmehr wurden Schwachstellen in E-Mail-Clients für HTML-Mails gefunden, die diese Verschlüsselungstechniken umgehen. Zudem widersprechen wir der Empfehlung diverser Sicherheitsforscher nach genereller Deaktivierung von Inhaltsverschlüsselung: PGP und S/MIME sind auch nach dieser Veröffentlichung weiterhin nicht per se unsicherer als keine oder eine reine transportverschlüsselte Übertragung. Da der Angriff eine MitM-Attacke, also ein Aufbrechen der eventuellen Transportverschlüsselung voraussetzt, wäre ein generelles Aushebeln von Inhaltsverschlüsselung fatal: Eventuelle Angreifer könnten den E-Mail-Verkehr dann sogar direkt mitlesen!

„Die gestern verbreitete Darstellung, PGP und S/MIME seien nicht mehr sicher, ist barer Unsinn“, ergänzt Daniel Hofmann, Geschäftsführer bei Hornetsecurity. „Sie führt zur Verunsicherung der Anwender und läuft dadurch allen Bemühungen zuwider, die IT-Sicherheit durch konsequenten Einsatz von Verschlüsselung zu verbessern. Die Empfehlung diverser Sicherheitsforscher nach genereller Deaktivierung von Inhaltsverschlüsselung kann ich nicht nachvollziehen.“

 

Der gegen EFAIL immunen Hornetsecurity Encryption Service benötigt keinerlei Client-Plugins: Die Ver- und Entschlüsselung erfolgt vollautomatisiert durch Hornetsecurity in der Cloud – es sind keine Installation, Wartung oder Nutzerinteraktion erforderlich – einfach sicher!

Weiterführende Informationen:

Pflichtangaben in E-Mail-Signaturen leicht gemacht

Pflichtangaben in E-Mail-Signaturen leicht gemacht

Hornetsecurity erweitert Advanced E-Mail Signature and Disclaimer mit neuen Features

Hannover, den 08.05.2018 – Die Signatur am Ende einer geschäftlichen E-Mail ist wie die digitale Visitenkarte von Mitarbeitern und somit ein Aushängeschild für jedes Unternehmen. Gesetzlich vorgeschrieben sind zudem gewisse Pflichtangaben. Mit Advanced E-Mail Signature and Disclaimer bietet Hornetsecurity eine elegante Lösung, wie sich diese Inhalte firmenweit einheitlich anlegen lassen. Der IT-Security-Spezialist aus Hannover hat dem Service jetzt neue Features hinzugefügt, die die Einsatzmöglichkeiten deutlich erweitern. So lassen sich neben der Nutzung von Untersignaturen nun auch ganze Zeilen mit ansonsten leeren AD-Feldern ausblenden und Signaturen für Plain-Texte anlegen. Die neuen Features stehen ab sofort zur Verfügung.

Advanced E-Mail Signature and Disclaimer Editor

Advanced E-Mail Signature and Disclaimer Editor

Advanced E-Mail Signature and Disclaimer Leere Felder im Editor ausblenden

Advanced E-Mail Signature and Disclaimer Leere Felder im Editor ausblenden

Advanced E-Mail Signature and Disclaimer holt sich alle persönlichen Daten für die dynamischen Komponenten direkt aus dem Active Directory (AD) eines Unternehmens. Von dort aus erfolgt die Synchronisation per LDAP und die Ausspielung der einzelnen Inhalte über die AD-Variablen, die der IT-Administrator vorab in der E-Mail-Signatur angelegt hat. Der Vorteil: Egal ob vom PC, Tablet oder Handy, die Signaturen werden immer in gleicher Form angehängt.

Advanced E-Mail Signature and Disclaimer Editor

Advanced E-Mail Signature and Disclaimer Editor

Bei manchen Signaturen sorgt dies jedoch dafür, dass bestimmte Felder leer bleiben: So geben Vertriebsmitarbeiter etwa ihre Mobilfunknummer an; ein Mitarbeiter in der Personalabteilung hingegen besitzt kein Firmenhandy. Bislang blieb diese Angabe in der Signatur leer, nun lassen sich solche Felder einfach ausblenden.

Advanced E-Mail Signature and Disclaimer Mobile Ansicht

Advanced E-Mail Signature and Disclaimer Mobile Ansicht

Advanced E-Mail Signature and Disclaimer Mobile Ansicht bei leeren Feldern

Advanced E-Mail Signature and Disclaimer Mobile Ansicht bei leeren Feldern

Mit dem erweiterten Advanced E-Mail Signature and Disclaimer können die für den E-Mail-Verkehr zuständigen Mitarbeiter zusätzlich Untersignaturen erstellen, die sie anschließend in die bestehenden Signaturen einpflegen. Dies können Slogans sein, Logos oder Banner, die zum Beispiel für Messen oder neue Produkte werben. Diese Untersignaturen lassen sich auf Gruppenbasis aktivieren, zentral steuern und ideal für gezielte Marketingaktionen nutzen.

Advanced E-Mail Signature and Disclaimer Editor Untersignaturen

Advanced E-Mail Signature and Disclaimer Editor Untersignaturen

Ebenfalls neu ist die Möglichkeit, Signaturen und Disclaimer nicht mehr nur in HTML-Mails einzubinden, sondern auch in Plain-Mails. Obwohl sich ausschließlich reine Textinhalte anfügen lassen, erhöht dies die Konsistenz und den professionellen Auftritt des unternehmerischen E-Mail-Verkehrs deutlich. Auch hier lassen sich AD-Attribute nutzen, um die entsprechenden Angaben automatisiert einzupflegen.

Advanced E-Mail Signature and Disclaimer

Advanced E-Mail Signature and Disclaimer bei E-Mails mit Plain Text

„Alle unsere Lösungen sollen anwenderfreundlich und einfach bedienbar sein – das ist unser Anspruch“, sagt Oliver Dehning, Geschäftsführer von Hornetsecurity. „Mit den neu hinzugekommenen Features erhalten IT-Administratoren, aber auch Marketers neue Möglichkeiten, über die Signaturen und Disclaimer auf einfache Art und Weise das Erscheinungsbild eines Unternehmens stärker zu prägen.“

Weiterführende Informationen zu Hornetsecurity Advanced E-Mail Signature and Disclaimer:

RSA Conference: Kraftwerk der IT-Security mit Hang zur Show

RSA Conference: Kraftwerk der IT-Security mit Hang zur Show

42.000 Besucher – was für eine Zahl! Ich habe in meiner Karriere bereits an etlichen Security-Konferenzen teilgenommen, aber die RSA Conference in San Francisco ist der Superlativ und mein Besuch dort war für mich ein absolutes Highlight. Entsprechend der Größe der Veranstaltung ist das Spektrum der Themen sehr breit und somit auch eine gute Vorbereitung notwendig: Mal eben die Session wechseln war bei der Verteilung über vier Gebäude nicht möglich, eine vorausschauende Planung zur optimalen Nutzung des hochpreisigen Full Conference Passes unerlässlich.

Ich hatte mir eine gute Mischung aus technischen Sessions und Keynotes zusammengestellt und zudem einen Tag für den ebenfalls hochwertigen Ausstellungsbereich aller namenhaften Security-Anbieter eingeplant. Mit Hornetsecurity waren wir auf dem „German Pavillon“ ebenfalls vertreten und konnten feststellen, dass IT-Security „Made in Germany“ für Amerikaner einen hohen Stellenwert besitzt. Welche aktuellen Trends und Erkenntnisse konnte ich noch von der RSA mitnehmen?

Spannende Mischung aus Sessions und Vorträgen

Gleich die erste Session der Konferenz hatte es in sich: Der Entdecker der Schadsoftware Black Mamba berichtete, wie er quasi blind im Auftrag eines angegriffenen Unternehmens bei der damals unbekannten Malware die Incident Response übernahm, Indicators of Compromise ableitete und diese weltweit zur „Impfung“ bereitstellte. Trotz seiner Veröffentlichung wurde Muni, das öffentliche Nahverkehrssystem in San Francisco am Black Friday von Black Mamba angegriffen.

Mehrfach Erwähnung fand die Sucker’s List: In dieser veröffentlichen Kriminelle die Unternehmen, die bei Erpressungsversuchen gezahlt haben. Das heißt, bei Zahlung steigt die Wahrscheinlichkeit, nicht nur vom Täter selbst, sondern auch noch von Anderen angegriffen zu werden. Ein weiterer Grund, unserer Empfehlung zu folgen und bei Erpressungsversuchen durch Ransomwareangriffe nicht zu bezahlen.

Die Einschätzung des SANS Instituts zu den gefährlichsten Attacken deckt sich mit unserer Vorhersage: Genau wie unsere sind auch die dortigen Security-Experten überzeugt, dass in Zukunft verstärkt Miner-Programme statt Datendiebstahl in den Fokus rücken werden: Diese verwenden CPU, Network-Traffic und Strom ihrer Opfer, wobei neuere Anwendungen nur einen relativen Anteil der CPU-Zeit nutzen, um nicht aufzufallen. Zudem versuchen die Angreifer, eine Entdeckung über eigene private Proxys, andere Protokolle und weitere Methoden zu verhindern. Glücklicherweise können unsere ATP-Verfahren derartige Miner zuverlässig verhaltensbasiert erkennen, bevor die Malware den Kunden erreicht.

Das SANS Institute sah zudem den Trend zur Zunahme von Malware, die kritische Infrastrukturen und deren Safety-Systeme gezielt und nicht zufällig angreift, gegebenenfalls auch in Form von Schwester-Attacken oder mehreren orchestrierten Angriffswellen.

Hardwarelücken auch weiterhin im Fokus

Nach Spectre und Meltdown ist sich die Security-Community sicher: Auch zukünftig werden voraussichtlich hardwarebezogene Sicherheitslücken gefunden und veröffentlicht. Gerade dort, wo Abkürzungen aus Performancegründen genommen werden (Speculative Execution, aber auch Caching-Verfahren) entstehen oftmals Security-Risiken und neue Angriffsmöglichkeiten.

Mehrere Experten prognistizierten zudem, dass Angriffe auf Repositories und Cloud Storage Leaks zunehmen werden. Eine falsche Konfiguration der Repositories wie beim prominenten Beispiel Uber (meinem zweiten Fortbewegungsmittel in San Fransisco), aber auch die Verwendung von falschen Repositories durch Benutzer sind hier die üblichsten Ursachen. Als empfehlenswerte Gegenmaßnahmen wurde angeregt, eine Data Curator Rolle im Unternehmen zu etablieren oder Open Source Tools Git-seekret und git-secrets, gitrob zu nutzen.

Obwohl der Fokussierung der RSA Conference klar auf dem US-Markt liegt, war die demnächst in Kraft tretende EU-Verordnung GDPR ein starkes Thema – erstmalig diktiert die EU Standards, die von US-Unternehmen akzeptiert, implementiert und sogar beworben werden.

Neben den technischen Sessions waren die Keynotes für mich ein Highlight: Die perfekt inszenierten strategischen Vorträge der Global Player im Security-Bereich gaben mir eine unglaubliche Inspiration.

Durch die vielen positiven Gespräche sowie die unzähligen neuen Eindrücke und Ideen nehme ich vor Ort jedoch vor allem eine weitere wichtige Erkenntnis mit: Hornetsecurity spielt auch international in der ersten Liga!

Hier noch einige Impressionen von der RSA Conference:

 

Viren, Würmer, Trojaner – Licht ins Dunkel der Namensverwirrung

Viren, Würmer, Trojaner – Licht ins Dunkel der Namensverwirrung

Malware, Cyberangriffe und wie man sich davor schützen kann – diese Thematik beschäftigt sowohl Einzelpersonen als auch IT-Verantwortliche. Wir möchten daher in loser Abfolge eine Reihe an grundlegenden Informationen zu diesem Thema bereitstellen. Im ersten Beitrag geben wir eine Definition und Klassifikation von Malware im Allgemeinen. Diese erhebt keinesfalls den Anspruch auf Vollständigkeit, deckt jedoch einige der wichtigsten Arten an Malware ab.

Es gibt sie bereits seit Jahrmillionen – Viren. Verglichen mit diesem Zeitraum sind sie der Menschheit erst seit einem Wimpernschlag bekannt, denn wissenschaftliche Nachweise von Viren glückten nicht vor Ende des 19. Jahrhunderts. Viren sind für eine Vielzahl an Erkrankungen verantwortlich, und in der Natur wogt ein ewiger Kampf zwischen der Evolution von Viren und der Abwehr selbiger.

Nahezu identisch verhält es sich im Bereich der Informationstechnologie. Auch dort gibt es eine Vielzahl an bösartiger Schadsoftware, und die Anbieter von Abwehrsoftware müssen ständig neue Abwehrmethoden entwickeln, um ein Eindringen und damit negative Auswirkungen auf die IT-Systeme oder sensible Daten zu verhindern.

Bei der begrifflichen Benennung dieser Schadcodes findet in der Regel der Begriff „Virus“ Verwendung. Dies ist aus der historischen Betrachtungsweise heraus vollkommen nachvollziehbar, als ursprünglich nur Viren und Würmer als Bedrohung auftauchten, angesichts des Variantenreichtums heutzutage jedoch unzureichend ist.

Wir möchten daher ein wenig Licht ins Dunkel bringen und einen Überblick darüber geben, welche Terminologien eigentlich korrekt und welche Schadcodes heute am gebräuchlichsten sind.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Der Klassiker: Virus

 

Der Begriff „Virus“ wird häufig falsch eingesetzt, denn er steht oftmals sinnbildlich für den allgemeineren Term „Malware“. Dies ist jedoch nicht korrekt, denn Malware umfasst die Gesamtheit aller Schadsoftware.

Das Wort „Virus” bezeichnet nur den spezifischen Verbreitungsweg einer bestimmten Malwareart. Diese infiziert einen definierten Dateitypen und schleust dort ihren Teil des Schadcodes ein. Die so infizierte Datei trägt anschließend den Virus weiter, indem sie weitere Dateien gleichen Typs erkennt und diese wiederum auch infiziert.

Ein Sprung von Rechner zu Rechner erfolgt bei Viren jedoch nicht aktiv, sondern über externe Speichermedien, E-Mails oder innerhalb von Netzwerken.

Der Selbständige: Wurm

Der Typus des „Wurms“ steht wie der Virus für eine bestimmte Art der Verbreitung. Der Schadcode verbreitet sich dabei im Gegensatz zum Computervirus unter Ausnutzung vorhandener Sicherheitslücken aktiv und selbständig weiter. Ein aktuelles Beispiel ist ein Wurm, der sich vor allem im Bereich Internet of Things (IoT), also bei internetfähigen Geräten, über offene Android Debugging-Ports ausbreitet.

Im Gegensatz zu einer Erpressersoftware, die als eindeutiges Ziel hat, Rechnerdaten zu verschlüsseln und ein Lösegeld zu fordern, hat ein Computerwurm keine klare definierte Zielaufgabe. Er kann beispielsweise Veränderungen am System selbst vornehmen und kompromittieren, für eine sehr starke Auslastung der Internet-Infrastruktur sorgen oder auch DDoS-Attacken auslösen.

Undercover: Trojaner / Trojanische Pferde

Ein Großteil der Malware, die heutzutage im Umlauf ist, lässt sich als „Trojanisches Pferd“ bezeichnen. Der Begriff ist recht generisch und besagt aus, dass sich die Malware als gutartig tarnt. Das heißt, der User sieht nur die positive Anwendung, erkennt das negative Anwendungsresultat nicht und kann daher auch keinen Einfluss auf die Auswirkungen nehmen.

Der Name „Trojanisches Pferd“ geht auf die legendäre Überlistungsstrategie der griechischen Mythologie zurück, bei der die griechischen Angreifer die Bewohner Trojas mithilfe eines Holzpferdes überlisteten. Aus diesem Grund ist auch die im Sprachgebrauch geläufige Terminologie „Trojaner“ falsch, da beim historischen Vorbild Trojaner die Bewohner der Stadt waren und somit angegriffen wurden. Das Pferd wiederum war der Angreifer.

Vielzahl neuer Bedrohungstypen

Neben diesen am häufigsten auftauchenden Begrifflichkeiten von Schadsoftware gibt es noch eine hohe Zahl an Malware, die sich in einige der folgenden Kategorien aufteilen lässt.

  • RAT bzw. Remote Access Trojans: Diese Art von Malware ermöglicht es Angreifern, Rechner zu übernehmen und fernzusteuern. Sie können so Kommandos auf den Systeme des Opfers ausführen und das RAT auf andere Computer zu verteilen mit dem Ziel, ein Botnetz aufzubauen.
  • Backdoor: Eine Backdoor-Malware setzt auf eine ähnliche Zielvorstellung wie ein RAT, nutzt jedoch eine andere Herangehensweise. Die Angreifer nutzen bei einem Backdoor sogenannte Hintertüren aus, die teilweise bewusst in Programme oder Betriebssysteme platziert wurden. Sie können jedoch auch heimlich installiert worden sein. Die Besonderheit von Backdoors ist die Tatsache, dass sich hierüber die üblichen Abwehrmechanismen umgehen lassen und daher für Cyberkriminelle sehr attraktiv sind, zum Beispiel sind sie sehr beliebt zum Anlegen von Botnetzen.
  • Botnetze und ZombiesBotnetze sind große Ansammlungen an infizierten Rechnern, die sich der Angreifer aufbaut. Zombies werden die betroffenen Rechner genannt, also die einzelnen Teile der Botnetzes. Der Angreifer kann Kommandos an alle Rechner gleichzeitig senden, um so Aktivitäten auszulösen, etwa, um DDoS-Attacken durchzuführen oder um Bitcoins mit Hilfe der Zombierechner zu schürfen. Das Perfide dabei ist, dass die Besitzer der Rechner die „Mitgliedschaft“ in einem Botnetz frühestens dann bemerken, wenn dieser bereits die fremdgesteuerten Aktivitäten ausführt.
  • Spyware: Hierbei handelt es sich um Malware, die Informationen auf dem Rechner des Opfers sammelt. Dies können sogenannte Credential Stealers sein, die die Zugangsdaten von Benutzer-Accounts wie dem eigenen E-Mail-Postfach, Amazon oder Google entwendet. Keylogger wiederum schneiden mit, was Benutzer sprechen oder schreiben und fertigen oftmals auch Screenshots an. Bitcoinstealer suchen nach Bitoin Wallets und rauben diese aus.
  • Downloader/Dropper: Downloader oder Dropper sind kleine Programme, die nur einen Zweck erfüllen – weitere Malware aus dem Internet nachladen. Das Opfer kann dabei zunächst nicht erkennen, welche Inhalte heruntergeladen werden, da lediglich eine URL sichtbar ist. Der große Vorteil des Angreifers an dieser Methode wiederum ist, dass er ständig neue Malware zum Download bereitstellen kann und somit aktuelle und nur schwer erkennbare Schadsoftware verteilen kann.
  • Rootkit: Bei Rootkits handelt es sich um die gefährlichste Art an Malware, wobei es sich eigentlich gar nicht unbedingt um Schadsoftware handelt. Vielmehr lässt sich mit einem Rootkit Schadcode vor der Entdeckung verstecken. Bei dieser Form eines Angriffs dringt der Angreifer tief in das Computersystem vor, gelangt an Root-Privilegien und erhält dadurch allgemeine Zugriffsrechte. Die Cyberkriminellen ändern anschließend das System so um, dass der Nutzer nicht mehr erkennt, wenn Prozesse und Aktivitäten gestartet werden. Angriffe basierend auf den Rootkit-Verschleierungen sind dadurch nur sehr schwer auffindbar.

Selbstverständlich gibt es noch weitere Kategorien und Definitionen von Malware, die hier jedoch nicht aufgeführt sind. Es soll jedoch ergänzt werden, dass die derzeit kursierende Malware zum überwiegenden Teil eine Mischung aus verschiedenen Typen ist. So gibt es etwa Trojanische Pferde, die auch ein Backdoor beinhalten.

Oftmals lassen sich die unterschiedlichen Angriffstypen dynamisch nach dem Baukastenprinzip zusammenbauen. Die heutzutage gefundene Malware lässt sich daher nicht mehr eindeutig einer der oben genannten Kategorien zuordnen.

Weiterführende Informationen:

  1. Direkt zu Teil 2: Das Who is Who der Cyberkriminellen
  2. Sie möchten nähere Details zu Advanced Threat Protection erhalten? Jetzt mehr erfahren.
  3. Informationen zu Managed Security Services in Unternehmen: Direkt zur Security Automation Studie 2017.
  4. Informationen zu IT-Sicherheitsthemen finden Sie ab sofort in der Hornetsecurity Wissensdatenbank.
Hornetsecurity holt ersten U.S. Distributor ins Boot

Hornetsecurity holt ersten U.S. Distributor ins Boot

Value-Added-Distributor Contronex nimmt die Cloud-Security-Lösungen von Hornetsdecurity in sein Portfolio auf

 

Hornetsecurity hat mit Contronex seinen ersten Value-Added-Distributor unter Vertrag genommen. Mit dem in Naples, Florida ansässigen Unternehmen baut Hornetsecurity seine Reichweite in den USA und Kanada deutlich aus.

 

“Mit Contronex haben wir den perfekten Partner gefunden”, sagt Oliver Dehning, CEO von Hornetsecurity. „Sie haben eine hohe Erfahrung darin, die besten Security-Lösungen auf dem IT-Markt bereitzustellen. Zudem verfügen sie über ein umfassendes Netzwerk an Resellern, die geübt darin sind, hochwertige Security-Produkte zu verkaufen. Wir sind daher sehr glücklich, mit solch einem erfahrenen Partner in den USA zusammenarbeiten zu können.”

 

“Als stetig wachsender Value-Added-Distributor nehmen wir regelmäßig neue Anbieter in unser Programm auf, um unser Produktportfolio auszubauen“, ergänzt Beat Kramer, CEO von Contronex. „Mit Hornetsecurity verlief dieser Onboardingprozess schneller als jemals zuvor.”

 

Hornetsecurity ist ein führender europäischer Anbieter von Cloud Security Services und sorgt mit seinem umfassenden Portfolio an Mail-Security-Lösungen für den Schutz von Unternehmen jeglicher Größe vor Malware, Phishingangriffen und Datenverlust aller Art – all dies ohne zusätzliche Soft- oder Hardware und ohne administrativen Aufwand.

 

Contronex wurde im Jahr 1990 in Naples, Florida gegründet und ist auf die Distribution von IT-Security-Lösungen spezialisiert. Dabei folgt das Unternehmen drei einfachen Grundsätzen: Integrität, Verlässlichkeit und Bekenntnis zum Service – ein Ansatz, der perfekt zu Hornetsecurity passt. Contronex hat ein einzigartiges Partnerprogramm für Reseller und Managed Service Provider entwickelt, mit dem diese speziell auf die Bedürfnisse ihrer Kunden zugeschnittene Produkte vertreiben können.