Symantec: Message Labs Intelligence Report für März 2010
RAR-Archive gelten bei Experten als gefährlichste Attachments
Symantec hat den neuen Message Labs Intelligence Report für März 2010 vorgelegt. Die aktuellen Analysen zur weltweiten Online-Sicherheit förderten einige bemerkenswerte Erkenntnisse zur Herkunft gezielter Attacken zutage.
Dabei handelt es sich um E-Mails, die mit Schadprogrammen belastet sind und von
Online-Kriminellen in kleinen Stückzahlen verbreitet werden, um sich Zugriff auf vertrauliche
Geschäftsdaten zu verschaffen. Legt man den jeweiligen Server-Standort zugrunde, hatte mit einem
Anteil von 36,6 Prozent das größte Aufkommen solcher gezielten Angriffe seinen Ursprung in den
Vereinigten Staaten.
Ein anderes Bild ergab hingegen die Auswertung derartiger Attacken nach der geografischen
Herkunft der Absender. Demnach war China mit 28,2 Prozent das wichtigste Ausgangsland, gefolgt von
Rumänien mit 21,1 Prozent und den USA mit 13,8 Prozent.
„Betrachtet man weniger den reinen Standort des E-Mail-Servers, sondern vielmehr die
tatsächliche Herkunft des Absenders, werden in der Realität wesentlich weniger E-Mails für gezielte
Angriffe aus Nordamerika verschickt, als es auf den ersten Blick den Anschein haben mag“,
kommentiert Paul Wood, Message Labs Intelligence Senior Analyst bei Symantec Hosted Services, und
ergänzt: „Ein großer Teil der gezielten Attacken wird heute über rechtmäßige Webmail-Accounts bei
Anbietern verbreitet, die in den Vereinigten Staaten ansässig sind. Vor diesem Hintergrund ergeben
sich aus der IP-Adresse des für den Versand verwendeten Mail-Servers kaum aussagekräftige
Rückschlüsse darüber, wo ein solcher Angriff tatsächlich seinen Ursprung genommen hat. Der wahre
Ausgangsort offenbart sich also vielmehr erst, wenn man die IP-Adressen der Absender und nicht jene
der E-Mail-Server unter die Lupe nimmt.“
Eine weiterführende Analyse der gezielten Angriffe im Hinblick auf die Adressaten und deren
Position im jeweiligen Unternehmen ergab, dass folgende fünf Personenkreise am häufigsten derartige
E-Mails erhalten: Firmenchefs, Vorstandsvorsitzende, deren Stellvertreter, höhere Beamte, Manager
und Geschäftsführer. Die meisten derartigen Malware-Angriffe richten sich dabei gegen Mitarbeiter
und Entscheidungsträger, die mit Außenhandel und Verteidigungspolitik befasst sind, und zwar
insbesondere wenn die grenzüberschreitenden Kontakte Länder aus dem asiatischen Raum betreffen.
Bezogen auf alle Malware-belasteten E-Mails sind XLS und DOC die gängigsten Formate, die als
Attachments verschickt werden. Als gefährlichster Dateityp erwiesen sich jedoch verschlüsselte
RAR-Ordner, ein Format zur Archivierung, das auf einem proprietären Kompressionsverfahren
beruht.
Auf XLS und DOC entfielen im März jeweils 15,4 Prozent aller Dateianhänge von E-Mails, und die
vier am häufigsten verwendeten Formate, zu denen darüber hinaus auch ZIP-Ordner und PDF-Dokumente
zählen, vereinten 50 Prozent aller E-Mail-Attachments auf sich. Im Durchschnitt bei einer von 312
(0,32 Prozent) aller angehängten Schadprogrammdateien handelte es sich im März um verschlüsselte
RAR-Archive. Zwar findet dieses Attachment-Format relativ selten Verwendung, jedoch sind
verschlüsselte RAR-Dateien auch in 96,8 Prozent der Fälle manipuliert, wenn sie im Anhang einer
E-Mail verschickt werden.
„Im Vergleich dazu repräsentieren unverschlüsselte RAR-Ordner, die in 1,1 Prozent der E-Mails
auftauchen, nur selten einen Malware-Angriff“, betont Paul Wood. „Sie sind zwar deutlich
gebräuchlicher als verschlüsselte RAR-Archive, aber gleichzeitig auch mit wesentlich geringerer
Wahrscheinlichkeit in schadprogrammverseuchten E-Mails zu finden.“
Von allen denkbaren Formaten für E-Mail-Anhänge wecken EXE-Dateien generell am ehesten den
Verdacht seitens des Empfängers, dass es sich um ein Schadprogramm handeln könnte. Dennoch
entfielen im März immerhin 6,7 Prozent aller E-Mail-Attachments auf ausführbare Dateitypen, und
diese waren in 15 Prozent der Fälle in irgendeiner Weise manipuliert. Gleichzeitig gibt es zwar ein
enormes Aufkommen an Malware-E-Mails, die sich der gängigsten Dateiendungen XLS, DOC, ZIP und PDF
als Attachments bedienen, jedoch werden diese noch weitaus öfter im Anhang von Nachrichten
verschickt, die sich als völlig unbedenklich erweisen.
Und schließlich hat Message Labs Intelligence im März auch die Beobachtung gemacht, dass das
Botnet Rustock spürbar mehr Spam unter Rückgriff auf TLS (Transport Layer Security) verschickte. Im
Berichtsmonat nutzten 77 Prozent der von Rustock verbreiteten Werbe-Mails sichere
TLS-Verbindungen.
Im Durchschnitt beläuft sich bei Nachrichten, die per TLS verschickt werden, der zusätzlich
Inbound- und Outbound-Verkehr auf rund 1 KByte. Das ist deshalb bemerkenswert, weil das
Datenvolumen vieler E-Mails im Allgemeinen oft deutlich weniger als 1 KByte beträgt. Im März
vereinten über TLS-Verbindungen verbreitete E-Mails rund 20 Prozent des gesamten Spam-Aufkommens
auf sich, wobei dieser Anteil seinen Höchstwert mit 35 Prozent am 10. März erreichte.
„TLS ist ein beliebtes Verfahren, um E-Mails über einen verschlüsselten Kanal zu versenden“,
erläutert Paul Wood und fügt hinzu: „Jedoch beanspruchen solche Nachrichten erheblich mehr
Server-Ressourcen, werden zudem deutlich langsamer übermittelt als reine Text-Mails und erfordern
auch stets eine zusätzliche Übertragung von Daten – sowohl eingehend als auch ausgehend. Gerade der
Outbound-Traffic ist in der Regel signifikant größer als die Spam-Nachricht selbst und kann die
E-Mail-Server von Unternehmen und deren Lastgrenzen in erheblichem Maße strapazieren.“
Weitere Ergebnisse im Überblick:
Spam: Im März 2010 betrug der weltweite Anteil von Spam-Nachrichten am E-Mail-Verkehr aus neuen
oder bisher nicht als bösartig bekannten Quellen 90,7 Prozent (eine von 1,10 E-Mails). Das waren
1,5 Prozentpunkte mehr als noch im Februar.
Viren: Auf 1 zu 358,3 (0,28 Prozent) belief sich im März der Anteil virenverseuchter Nachrichten
am gesamten E-Mail-Verkehr, der von neuen oder bis dato nicht als gefährlich bekannten
Absenderadressen stammte. Im Vergleich zum Vormonat bedeutet dies einen Rückgang um 0,05
Prozentpunkte. Insgesamt 16,8 Prozent der via E-Mail verbreiteten Schadprogramme enthielten im März
einen Link zu gefährlichen Websites – ein Minus von 13,7 Prozentpunkten gegenüber Februar.
Phishing: Hinter einer von 513,7 E-Mails (0,19 Prozent des gesamten Mail-Aufkommens) verbarg
sich im März ein Phishing-Versuch. Die Belastung mit derartigen Attacken hat demnach im Vergleich
zum Februar um 0,02 Prozentpunkte abgenommen. Der Anteil von Phishing-Nachrichten an allen
abgefangenen, per E-Mail verbreiteten Malware-Gefahren wie beispielsweise Viren und Trojanern legte
hingegen im März um 8,4 Prozentpunkte auf 64,6 Prozent zu.
Web-Sicherheit: Die Analyse der zur Web-Sicherheit erfolgten Maßnahmen ergab, dass es sich bei
14,9 Prozent der über das Surfen im Internet verbreiteten Malware, die im März abgefangen wurde, um
neue Schadprogramme gehandelt hat. Das waren 1,6 Prozentpunkte mehr als im Monat zuvor. Weiterhin
hat Message Labs Intelligence pro Tag durchschnittlich 1.919 neue Websites aufgespürt, über die
Malware oder andere möglicherweise unerwünschte Programme etwa in Form von Spyware und Adware ins
Netz gestellt wurden – ein Rückgang um 61,6 Prozent im Vergleich zum Februar.
Die wichtigsten Ländertrends:
Nach einem Anstieg der Spam-Quote auf 95,7 Prozent war Ungarn im März das Land, das weltweit am
meisten unter unerwünschten Werbe-Mails zu leiden hatte.
In den USA stieg die Spam-Quote auf 91,1 Prozent, in Kanada auf 89,5 Prozent und in
Großbritannien auf 90,1 Prozent.
In den Niederlanden entfielen 93,0 Prozent des E-Mail-Aufkommens auf Spam, während dieser Anteil
in Australien auf 90,1 Prozent zulegte und in Deutschland unverändert 91,3 Prozent betrug.
Hongkong sah sich mit einem Anstieg der Spam-Quote auf 92,0 Prozent konfrontiert, während sich
dieser Anteil in Japan auf 87,5 Prozent belief.
In Taiwan war im Februar eine von 90,9 E-Mails mit einer Malware verseucht. Das bedeutet im
Hinblick auf die Belastung mit per E-Mail verbreiteten Schadprogrammen den ersten Platz im
weltweiten Viren-Ranking.
In den Vereinigten Staaten belief sich der Anteil Malware-belasteter E-Mails auf 1 zu 551,4 und
in Kanada auf 1 zu 492,8. In Deutschland betrug das entsprechende Verhältnis 1 zu 462,0 und in den
Niederlanden 1 zu 834,7. Für Australien hat MessageLabs Intelligence eine Viren-Quote von 1 zu
351,6 ermittelt, in Hongkong waren es 1 zu 505,5, in Japan 1 zu 1.063,3 und in Singapur 1 zu
504,1.
Mit einer Phishing-Quote von 1 zu 254,8 hatte Großbritannien im März stärker als alle anderen
Länder unter E-Mail-Attacken zum Auskundschaften von Authentisierungsdaten zu leiden.
Die wichtigsten Branchentrends:
Maschinenbauunternehmen sahen sich im März mit einer Spam-Quote von 94,7 Prozent konfrontiert
und standen damit stärker unter Beschuss von unaufgefordert zugesandten Werbe-Mails als jede andere
Branche.
Der Bildungssektor verzeichnete eine Spam-Quote von 91,9 Prozent und die Chemie- und
Pharma-Industrie von 91,1 Prozent. Bei IT-Dienstleistern belief sich dieser Wert auf 91,6 Prozent,
im Einzelhandel auf 91,8 Prozent, bei Behörden auf 89,1 Prozent und in der Finanzindustrie auf 89,5
Prozent.
Bei Behörden wurde im März im Durchschnitt eine von 77,1 E-Mails zurückgewiesen, weil sie eine
Malware enthielt. Damit belegte die öffentliche Hand weiterhin Platz eins in der Rangliste der
Wirtschaftssektoren, die sich mit dem höchsten Anteil an verseuchten E-Mails konfrontiert
sahen.
In der Chemie- und Pharmaindustrie belief sich die Virenquote auf 1 zu 642,9, bei
IT-Dienstleistern auf 1 zu 510,9, bei Einzelhandelsunternehmen auf 1 zu 728,6, im Bildungswesen auf
1 zu 189,1 und bei Finanzinstituten auf 1 zu 301,8.
Der Message Labs Intelligence Report für den März 2010 liefert weiterführende Daten und Analysen
zu den in dieser Pressemitteilung erläuterten Trends und Zahlen sowie detaillierte Informationen
zur Entwicklung in den einzelnen Ländern und Branchen.
Der komplette Bericht steht hier zum Download bereit:
www.messagelabs.com/intelligence.aspx.
LANline/jos
Lesen Sie mehr zum Thema
