Backdoor Xtrat ist nach wie vor aktiv
Zscaler: Antivirus-Systeme übersehen Bedrohung
Das Research-Team von Zscaler Threatlabz konnte nach eigenen Angaben über einen aktuellen Zulu-Web-Seiten-Check nachweisen, dass die Backdoor Xtrat nach wie vor aktiv ist. Dabei handelt es sich um eine bekannte und schon vergleichsweise lange im Umlauf befindliche Bedrohung. Allerdings ist sie auch eine derjenigen, die immer wieder unentdeckt durch das Netz der Antiviren-(AV-)Technik schlüpfen, so die Security-Experten.
Was die Analysten des Threatlabz-Teams aufspüren konnten, ist ein Beispiel für eine aktive Xtrat-Backdoor. Zulu stufte eine Website, die auf böswillig veränderte Inhalte verwies, mit hohem Sicherheitsrisiko ein. Eine genauere Analyse zeigte, dass die heruntergeladene ZIP-Datei auf eine PHP-Datei der Domain stisanic.com führte. Dass die Bedrohung noch äußerst rege tätig ist, zeigt sich ebenfalls an der Tatsache, dass in den Threatlabz täglich neue CnC-Domains beobachtet werden, die genau mit dieser Attacke zu tun haben.
Das Problem als solches sei nicht neu, so die Experten, werde aber durch die Mechanismen der gängigen AV-Hersteller nicht immer erkannt. Deshalb hat sich Zscaler im Gegensatz zu gängigen AV-Ansätzen für eine andere Methode entschieden. Die für die sogenannte Behavioral Analysis (also Verhaltensanalyse) entwickelte Engine ist in der Lage, verdächtige Traffic-Muster aufzuspüren. Sie ist integraler Bestandteil von Zscaler for APT, einer Cloud-basierenden Sicherheitslösung zum Schutz vor Advanced Persistent Threats (APT) und Advanced Targeted Attacks (ATA), die den gesamten Lebenszyklus eines Angriffs inklusive Erkennung und Beseitigung betrachtet.
Im kompletten Blog-Beitrag von Threatlabz gibt es weitere Informationen zu den technischen Details research.zscaler.com/2014/05/backdoor-xtrat-continues-to-evade.html.
Cirosec: IT-Sicherheit braucht Risiko-Management
Tenable-Studie: Scheinsicherheit durch falsche Kennzahlen
Watchguard: Besserer Überblick über die Bedrohungslage
Lesen Sie mehr zum Thema
