Content Security mit neuen Herausforderungen
Verteilungsmethoden von Malware
Content Security steht unter neuen Vorzeichen. Die Methoden zur Verbreitung von Malware sind ausgefeilter worden, und die professionell kriminellen Malware-Verteiler haben neue Ziele. Sie wollen über einen längeren Zeitraum die Kontrolle über die Computer der Opfer behalten, möglichst wenig sichtbaren Schaden hinterlassen und deshalb vorhandene Sicherheitslösungen wie Antivirensoftware umgehen.
Ein heute immer häufiger beschrittener Weg der Malware-Verteilung ist das Modifizieren eines Trojaners mithilfe von speziellen Packern, um die Erkennung durch signaturbasierte Antivirensoftware (AV-Software) zu erschweren. Dies hat dazu geführt, dass derzeit monatlich etwa 700.000 neue Varianten diverser Exemplare von Schadsoftware auftauchen. Eine Anpassung der von AV-Software verwendeten Technik tut daher Not. Die Entwicklung besserer heuristischer Erkennungen, die verdächtige Dateien nicht anhand einer spezifischen Signatur, sondern durch eine Analyse jeder Datei auf charakteristische Merkmale und Verhalten erkennt, ist ein Schritt, um den Schutz zu verbessern. Andere Ansätze gehen dahin, den Signaturabgleich durch zusätzliche Erkennungsmethoden zu ergänzen, um das Zeitfenster zwischen der Erstellung neuer Signaturdateien und der Verteilung dieser Dateien in einem Netzwerk zu verringern. Mit verhaltensbasierten Schutzsystemen wiederum wird das Ausführen von Dateien und damit die mögliche Installation eines Trojaners unterbunden.
Customized Malware
Unter den Methoden, mit denen die Kriminellen ihre Schadprogramme zu ihren potenziellen Opfern transportieren, ist der einfachste Weg auch weiterhin ein massenhafter Versand eines Trojaners via E-Mail. Der Text der Mail wird dabei immer geschickter verfasst, um dem Benutzer einen Anreiz zu geben, die angehängte Datei zu öffnen und damit auszuführen. Zum Beispiel wird der Trojaner als eine vermeintliche Rechnung verschickt, oder es wird auf aktuelle Großereignisse Bezug genommen, wie kürzlich auf die olympischen Spiele.
Hier führte etwa eine vermeintlich harmlose Powerpoint-Slideshow die einzelnen Austragungsorte vor. Wenn der neugierige Empfänger diese Präsentation öffnete, bekam er zwar tatsächliche eine Show mit sehr eindrucksvollen Bildern zu sehen, im Hintergrund installierte sich allerdings ein Trojaner.
Ein anderer, besonders perfider Fall ist zur Zeit eine E-Mail, die behauptet, man habe das Kind des Empfängers entführt und fordere nun 50.000 Dollar an Lösegeld. Als Beweis ist eine vermeintliche Bilddatei des Kindes angefügt, die aber in Wirklichkeit der Trojaner ist.
Abgesehen vom massenhaften Versand gehen einige Angreifer mittlerweile gezielter vor. E-Mail werden für die Empfänger maßgeschneidert, oft mit persönlichen Informationen, die zum Beispiel auf Social-Networking-Seiten zu finden sind. Häufig werden vor allem Personen aus der Führungsebene von Unternehmen auf diese Weise angegriffen. Bekannt sind solche Angriffe unter dem Namen "Spear Phishing" oder auch "Whaling".
Vorbereitete Link-Fallen
Eine alternative Methode zum direkten Versand der Schadsoftware als Dateianhang sind E-Mails, die einen Link zu einer Webseite enthalten. Öffnet der Benutzer diesen im Browser, wird ihm die Schadsoftware zum Download angeboten. Teilweise wird versucht, über die Webseite auch im System des Empfängers Schadsoftware zu installieren, indem man Sicherheitslücken ausnutzt. Durch den Versand von E-Mails ohne Dateianhang versucht der Angreifer, Content-Security-Systeme am Gateway von Unternehmen zu umgehen, die E-Mails mit ausführbaren Dateianhängen pauschal blockieren. Außerdem kann der Angreifer jederzeit die Dateien auf der Webseite durch neue ersetzen. Letzteres geschieht teilweise sogar automatisch, sodass jedes Mal, wenn ein Benutzer die Datei herunterlädt, diese vorher neu gepackt und verschlüsselt wird, um AV-Software zu täuschen. Das generelle Blockieren von ausführbaren Dateien am Gateway stellt dabei in der Tat die effektivste Schutzmöglichkeit dar. Leider hat sich dies noch nicht weit genug durchgesetzt, und häufig werden nur ausführbare Dateien als Mailanhang geblockt, nicht aber das Herunterladen aus dem Web. Recht effektiv sind auch Spam-Filter, die auf E-Mails ansprechen, die massenhaft versendet wurden. Mit einem URL-Filter lässt sich verhindern, dass ein Benutzer einem Link in einer E-Mail zu einer bösartigen Webseite folgt.
Webseite mit eingewobener Gefahr
Eine andere aktuell verbreitete Methode ist ein Angriff über infizierte Webseiten, die so genannte "Surf-by-Infection". Dabei werden sofort beim Ansurfen einer Webseite Webbrowser und Multimedia-Applikationen angegriffen. Diese Angriffe zielen sowohl auf bekannte Sicherheitslücken als auch auf Zero-Day-Exploits, für die es noch keinen Hotfix gibt. Für Informationen über solche brandneue Lücken existiert ein kompletter Markt im Untergrund. Für besonders interessante Sicherheitslücken werden inzwischen viele Tausend Dollar geboten. Nach einem erfolgreichen Angriff auf das System des Benutzers wird dann Schadsoftware installiert.
Um solche Angriffe auszuführen, gibt es inzwischen komplette Toolkits zum Kauf. Diese werden auf einem eigenen Server installiert. Auf diesen Server verweist dann ein Skript oder ein Iframe innerhalb einer Webseite. Das Toolkit fragt beim Besuch der Website ab, welches Betriebssystem, welchen Browser und weitere Software das System des Internet-Users verwendet, und sucht gezielt wirksame Angriffe aus.
Die Webseiten, von denen auf diese Toolkits verlinkt wird, sind entweder eigene Seiten der Angreifer, manipulierte Links auf den interaktiven Seiten der Web-2.0-Anwendungen oder gehackte Webserver, auf denen die Seiten entsprechend manipuliert werden. Bei eigenen Seiten der Angreifer übernehmen diese auch gleich die Suchmaschinenoptimierung, um bei der Suche nach populären Begriffen auf Such-Engines weit oben aufzutauchen. Teilweise wird auch einfach dafür bezahlt, um bei der Suche aufgelistet zu werden. Hilfreich bei der Erkennung solcher Seiten vor dem Ansurfen sind neue Lösungen, die Webseiten auf bösartige Inhalte hin untersuchen und den Benutzer schon vorab vor möglicherweise schädlichen Seiten warnen können. Diese laufen entweder auf dem Gateway oder als Plug-in für den Browser auf dem Endsystem. Mittlerweile bieten auch einige Suchmaschinen als weiteren Dienst die Anzeige von Warnungen bei den Suchergebnissen an.
Onlinemarketing für Malware
Die massenhafte Verbreitung von Schadsoftware über gehackte Webseiten ist eine neue Entwicklung seit Anfang dieses Jahres, die sehr schnell große Dimensionen angenommen hat. Die dazu nötigen Angriffe auf Webseiten werden komplett automatisiert, damit eigentlich harmlose Webseiten für die Verteilung von Malware in hoher Zahl modifiziert werden können. Schätzungen zufolge sind den Angriffen bereits mindestens 500.000 Webseiten zum Opfer gefallen. Neben der Erkennung der Schadsoftware selbst und der Erkennung der Angriffe durch die Toolkits mithilfe von AV-Software sind gegen diese Gefahr wiederum Content-Sicherheitslösungen auf dem Gateway wirksam, die generell das Herunterladen ausführbarer Programm via Webbrowser blockieren. Auch URL-Filter sind hilfreich, mit denen der Zugriff auf die verlinkten Toolkits verhindert wird.
Mehr als nur Musik drin
Eine weitere recht neue Verbreitungsmethode für Trojaner ist die Manipulation von Multimedia-Dateien und deren Verbreitung über P2P-Tauschbörsen. Dabei werden Dateien in ein Format konvertiert, das beim Öffnen den automatischen Zugriff auf Dateien über das Internet erlaubt. Im Sommer dieses Jahres gab es eine Welle von derart manipulierten Dateien in den Tauschbörsen. Zurzeit lässt sich außerdem beobachten, dass solche Dateien gezielt auf so genannte "Sharehoster" hochgeladen werden und dann wiederum in Spam-E-Mails verlinkt werden.
Zusätzlich spielen auch Instant Messenger und die Messaging-Funktionalität innerhalb von Webseiten sozialer Netzwerke eine zunehmend große Rolle bei der Verbreitung von Schadsoftware. Dabei sind meist Links im Spiel, die massenweise an Kontakte verschickt werden.
Lesen Sie mehr zum Thema
