Studie von Blue Coat über die größten Malware-Delivery-Networks
Report untersucht Malware-Ökosystem
Der "2011 Mid-Year Web Security Report" von Blue Coat, seines Zeichens Anbieter von Lösungen für Web-Sicherheit und WAN-Optimierung, beleuchtet Web-basierte Strukturen zur Verbreitung von Schadsoftware, so genannte Malware-Ökosysteme oder Malware Delivery Networks. Diese Netze sind typischerweise auf viele Rechner verteilt und starten von dort aus dynamische Angriffe auf nichtsahnende Web-Nutzer. Der Report diskutiert die Interaktionen zwischen Malware-Ökosystemen, das Verhalten von Anwendern, die Sites sowie die Verteilernetze.
Das führende Malware-Verbreitungsnetz war im ersten Halbjahr 2011 aufgrund seiner Größe wie auch Effektivität das „“Shnakule““-Netz, so der Report. Im Untersuchungszeitraum gehörten dazu durchschnittlich 2.000 individuelle Rechner pro Tag. Das Maximum lag bei mehr als 4.300 Rechnern an einem Tag.
Gleichzeitig konnte dieses Netzwerk laut Blue Coat auch am geschicktesten die Benutzer anlocken. Dies habe sich an durchschnittlich mehr als 21.000 Requests pro Tag bei einem Maximum von 51.000 Requests an einem einzigen Tag gezeigt. Shnakule ist ein breit angelegtes Malware-Delivery-Network, das unter anderem Drive-by-Downloads, gefälschte Antiviren-Software und Codecs, falsche Flash- und Firefox-Updates, fingierte Raubkopien sowie Kontrollsoftware für Bot-Netze verbreitet. Weitere Aktivitäten kommen aus den Bereichen Pornografie, Glückspiel, Pharmazeutika, Link-Farmen und Betrügereien mit falschen Angeboten zur Heimarbeit.
Shnakule ist laut dem Report nicht nur ein weitreichendes Malware-Delivery-Network, sondern umfasse auch viele weitere große Netze zur Auslieferung von Malware-Komponenten. So seien die Malware-Netze Ishabor, Kulerib, Rabricote und Albircpana – alle auf der Top-10-Liste des größten Malware-Delivery-Networks – eigentlich Teile von Shnakule und dehnten dessen Aktivitäten auf Malware mit Glückspielthemen und verdächtige Link-Farmen aus.
Im ersten Halbjahr 2011 war dabei die „Vergiftung“ von Suchmaschinen (Search Engine Poisoning) der beliebteste Angriffsvektor: In fast 40 Prozent aller Malware-Vorfälle waren Suchmaschinen oder Portale der Einstiegspunkt in die Verteilernetze von Malware. Suchmaschinen und Portale waren der am meisten nachgefragte Webinhalt in diesem Zeitraum. Soziale Netze belegten nur Platz fünf der häufigsten Einstiegspunkte in Malware-Delivery-Networks, waren dabei aber der am dritthäufigsten angefragte Inhalt.
Der Report kommt zu folgenden Ergebnissen:
Malware-Hosting findet oft in Bereichen wie Online-Storage und Software-Downloads statt, die Unternehmen normalerweise in Rahmen ihrer Richtlinien zur Internetnutzung zulassen. Unternehmen sollten durchweg die Kategorien Pornografie, Platzhalter (in Erstellung befindliche Websites, geparkte Domains etc.), Phishing, Hacking, Online-Spiele und illegale/fragwürdige Inhalte bekämpfen oder blockieren.
Die Suche nach Bildern und raubkopierten Medien steht ganz oben auf der Liste der möglichen Wege zur Verbreitung von Malware. Wer solchen Aktivitäten nachgeht, ist daher besonders gefährdet.
Eine einzige Verteidigungslinie wie eine Firewall oder Antiviren-Software reicht nicht aus, um sich vor der dynamischen Beschaffenheit von Malware und der großflächigen Infrastruktur von Malware-Delivery-Netzwerken zu schützen. Unternehmen benötigen stattdessen in Echtzeit das Wissen und den Schutz einer Cloud-basierten Abwehr, die sich schnell erweitern lässt und an neue Bedrohungen anpasst.
Weitere Informationen über die Malware-Ökosysteme finden sich im vollständigen „“2011 Mid-Year Web Security Report““ von Blue Coat in englischer Sprache unter www.bluecoat.com/doc/16622.
Lesen Sie mehr zum Thema
