WatchGuard veröffentlicht Internet-Security-Report
Ohne mehrschichtiges Sicherheitskonzept besteht Gefahr
Fortsetzung des Artikels von Teil 1
Ergebnisse des Security-Reports
Die wichtigsten Ergebnissen des Berichts sind in den nachfolgenden Abschnitten beschrieben. Zuvor ein Hinweis von WatchGuard: Leser sollten keinen der bösartigen Links aufrufen, die in diesem Bericht genannt sind. Damit diese nicht automatisch anklickbar sind, befinden sich Klammern um die Punkte in der URL gesetzt (z.B. www[.]site[.]com).
Zero-Day-Malware machte im zweiten Quartal mehr als zwei Drittel aller registrierten Malware-Attacken aus. Der Anteil von Angriffen, gesendet über HTTPS-Verbindungen, lag bei 34 Prozent. Organisationen, die nicht in der Lage sind, diese verschlüsselten Datenübertragungen zu überprüfen, agieren somit bei einem guten Drittel der darüber eingehenden Bedrohungen praktisch im Blindflug. Vor allem das Volumen der HTTPS-verschlüsselten Malware stieg in dem Zusammenhang an. Es hat sich auch gezeigt, dass sich der Gesamtanteil der verschlüsselungsbasierten Gefahren verringert. Das deutet darauf hin, dass immer mehr Administratoren die HTTPS-Prüfung in ihren Firebox-Appliances aktivieren – trotzdem zeigen die 34 Prozent, dass es in diesem Bereich durchaus noch Luft nach oben gibt.
Das Scam-Script Trojan.Gnaeus hat sein Debüt an der Spitze der WatchGuard-Top-10-Malware-Liste für das zweite Quartal gegeben und war für fast jede fünfte Malware-Erkennung verantwortlich. Gnaeus-Malware ermöglicht es Angreifern, mit verschleiertem Code die Kontrolle über den Browser des Opfers zu übernehmen. Anschließend erfolgt eine gewaltsame Umleitung der eingegebenen Web-Adresse zu Domains, die unter der Kontrolle des Angreifers sind. Berühmtheit erlangte darüber hinaus ein weiterer Popup-ähnlicher JavaScript-Angriff: J.S. PopUnder. Hierbei erfolgt über ein verschleiertes Script der Scan der Systemeigenschaften eines Rechners und die Blockade von Debugging-Versuchen. Zum Schutz gegen diese Art von Bedrohungen sollten Unternehmen ihre Anwender daran hindern, Browser-Erweiterungen aus unbekannten Quellen zu installieren. Darüber hinaus ist wichtig, dass sowohl die Browser als auch die Anti-Malware-Engine stets auf dem aktuellen Patch-Stand sind und nur seriöse Adblocker zum Einsatz kommen.
XML-Trojan.Abracadabra ist ein Neuzugang in der Liste der Top 10 der Malware-Erkennungen von WatchGuard. Seit dem erstmaligen Auftauchen der Technik im April hat sie rapide an Popularität zugenommen. Bei Abracadabra handelt es sich um eine Malware-Variante, ausgeliefert als verschlüsselte Excel-Datei mit dem Standard-Passwort für Excel-Dokumente „VelvetSweatshop“. Nach dem Öffnen entschlüsselt Excel die Datei automatisch, ein VBA-Makro-Script innerhalb des Arbeitsblatts lädt eine Datei herunter und führt sie aus. Aufgrund der Verwendung eines Standardkennworts umgeht diese Malware viele grundlegende Antiviren-Lösungen, da Excel die Datei direkt verschlüsselt und dann entschlüsselt. Unternehmen sollten daher niemals Makros aus nicht vertrauenswürdigen Quellen zulassen und Cloud-basiertes Sandboxing einsetzen. Damit lässt sich das Verhalten potenziell gefährlicher Dateien sicher verifizieren, bevor sie eine Infektion verursachen.
Eine sechs Jahre alte DoS-Schwachstelle (Denial-of-Service) in WordPress und Drupal tauchte im zweiten Quartal auf der WatchGuard-Liste der zehn volumenmäßig häufigsten Netzwerkangriffe auf. Diese Schwachstelle ist besonders schwerwiegend, da sie jede ungepatchte WordPress- und Drupal-Installation betrifft. Damit lassen sich DoS-Szenarien erzeugen, die von der zugrundeliegenden Hardware eine hohe CPU- und Speicherlast abverlangen. Trotz des hohen Volumens dieser Angriffe ließ sich der Fokus auf ein paar Dutzend Netzwerke in Deutschland eingrenzen. Da derartige DoS-Szenarien eine permanente Verbindung erfordern, haben die Angreifer ihre Ziele mit großer Wahrscheinlichkeit absichtlich ausgewählt.
WatchGuard nahm in der Liste der Top-Malware-Domains im zweiten Quartal zwei neue Ziele auf. An der Spitze stand die Website findresults[.]site, die einen C&C-Server für eine Dadobra-Trojaner-Variante verwendet. Dabei kommt eine verschleierte Datei samt zugehörigem Registry-Eintrag zum Einsatz. Dies stellt sicher, dass der Angriff beim Start des Windows-Systems erfolgt. Ein Benutzer meldete dem WatchGuard-Team zudem die Domäne Cioco-froll[.]com. Dahinter verbirgt sich ein C&C-Server, der die Asprox-Botnet-Variante unterstützt, welche oft in PDF-Dokumenten mitreist. Ein zugehöriger C&C-Beacon informiert den Angreifer, wenn der Übergriff erfolgreich war und einer Teilnahme am Botnetz nichts mehr im Wege steht. DNS-Firewalling kann Organisationen dabei helfen, diese Art von Bedrohungen unabhängig vom Anwendungsprotokoll zu erkennen und zu blockieren.
Weitere Informationen stehen unter www.watchguard.de zur Verfügung.
- Ohne mehrschichtiges Sicherheitskonzept besteht Gefahr
- Ergebnisse des Security-Reports
Lesen Sie mehr zum Thema
