Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Montag, April 15, 2019 22:52 - noch keine Kommentare
Malware – Das Böse kommt immer öfter per Dokumentenanhang
Seit Jahresbeginn ein deutlicher Anstieg dokumentenbasierter Schadsoftware zu verzeichnen
Von Klaus Gheri, VP und GM Network Security bei Barracuda Networks
[datensicherheit.de, 15.04.2019] „Das Böse ist immer und überall!“ warnt das Lied einer bekannten österreichischen Popgruppe. Das sollte E-Mail-Nutzer zwar nicht dauerhaft verunsichern, aber sie sollten stets wachsam sein, was da an Dokumenten so alles mitgeschickt wird. Denn die Security-Analysten von Barracuda Networks verzeichnen seit Jahresbeginn einen deutlichen Anstieg dokumentenbasierter Malware. Eine aktuelle E-Mail-Analyse, die das Unternehmen vornahm, offenbarte, dass es sich im ersten Quartal 2019 bei 59 Prozent aller entdeckten bösartigen Dateien um Dokumente handelte. Im gleichen Zeitraum des Vorjahres waren es noch 41 Prozent. In den letzten 12 Monaten kamen 48 Prozent aller entdeckten bösartigen Dateien als Dokument daher. Über 300.000 Dokumente ließen sich als eindeutig und bösartig identifizieren.
Bei einem Angriff mittels dokumentenbasierter Malware nutzen Cyberkriminelle E-Mails, um ein Dokument mit bösartiger Software auf den Weg zu seinen Opfern zu schicken. Üblich ist es, die Malware entweder direkt im Dokument selbst zu verstecken oder aber ein eingebettetes Skript lädt sie von einer externen Website herunter. Und schon starten Viren, Trojaner, Spyware, Würmer und Ransomware ihr bösartiges Vorhaben.
Was macht etwas bösartig? – Das ist heutzutage die Frage
Nachdem man sich in der Vergangenheit auf signaturbasierte Methoden verlassen hatte, die Malware erst stoppen konnten, nachdem eine Signatur daraus abgeleitet wurde, denken Sicherheitsunternehmen heute diffiziler über Malware-Erkennung nach: Man fragt: „Was macht etwas bösartig?“ und nicht „Wie erkenne ich Dinge, von denen ich weiß, dass sie bösartig sind“? Ziel dieser aktuellen Sichtweise ist es, frühe Anzeichen dafür zu erkennen, dass eine Datei Schaden anrichten könnte, noch bevor sie überhaupt als schädlich eingestuft wird.
Cyber Kill Chain: Phasen eines Angriffsszenarios
Ein gängiges Modell zum besseren Verständnis von Angriffen heißt Cyber Kill Chain. Es baut darauf auf, Angreifer, bevor sie richtigen Schaden anrichten können, zu erkennen und unschädlich zu machen.
Das siebenstufige Modell ist der militärischen Abwehr entlehnt, wonach Angriffe unmittelbar zu analysieren, zu strukturieren und in einzelne Schritte zu zerlegen seien:
- Erkundung zur Zielauswahl und -einordnung
- Waffen individuell auf das Ziel abstimmen, d.h., die geeignete Angriffsmethode finden
- Gezielter Angriff
- Brückenkopf bilden, d.h., in der erkannten Schwachstelle wird mittels Exploits ein Programm hinterlegt, das einen Zugriff von außen ermöglicht
- Installation schafft Persistenz innerhalb des Zielsystems
- Steuerung und Kontrolle – Nutzung der Persistenz von außerhalb des Netzwerks
- Maßnahmen zur Erreichung des Ziels, das Zweck des Angriffs war; oft Exfiltration von Daten
Das Gros an bösartiger Schadsoftware wird als Spam an weit verbreitete E-Mail-Listen gesendet. Diese werden verkauft, gehandelt, aggregiert und überarbeitet, während sie sich durch die Untiefen des Netzes bewegen. Ein Beispiel für diese Art der Listenaggregation und -nutzung sind etwa Kombilisten, wie sie in den gegenwärtig sehr beliebten Sextortion-Angriffen verwendet werden. Bei einem Sextortion-Angriff geben Cyberkriminelle vor, im Besitz eines kompromittierenden Videos zu sein, das angeblich auf dem Computer des Opfers aufgezeichnet wurde, und drohen, es mit allen Kontakten des Opfers zu teilen – es sei denn, die Zielperson bezahlt.
Klaus Gheri, VP & GM Network Security bei Barracuda Networks
Obacht bei Microsoft- und Adobe-Dateitypen
Sobald der Angreifer über eine Liste potenzieller Opfer verfügt, schickt er die Malware-Kampagne auf ihren verbrecherischen Weg. Immer häufiger kommt dabei Social Engineering zum Einsatz, um Benutzer zu beeinflussen, ein angehängtes bösartiges Dokument zu öffnen. Aus nachvollziehbaren Gründen erfreuen sich Microsoft- und Adobe-Dateitypen bei den Kriminellen einer zweifelhaften Beliebtheit für dokumentenbasierte Malwareangriffe. Word-, Excel-, PowerPoint-, Acrobat- und PDF-Dateien werden eben allzu häufig verwendet. Öffnet nun der Benutzer das Dokument, installiert sich die Malware entweder automatisch oder es wird ein stark verschleiertes Makro/Skript verwendet, um es von einer externen Quelle herunterzuladen und zu installieren.
Archivdateien und Skriptdateien sind die beiden anderen am häufigsten verwendeten anlagenbasierten Verteilungsmethoden für Malware. Oft versuchen Angreifer Benutzer mit verwirrenden Dateierweiterungen hereinzulegen, um das Öffnen eines bösartigen Dokuments zu erzwingen.
Lösungen zum Schutz vor dokumentenbasierter Malware
Moderne Malware-Angriffe sind komplex und mehrschichtig. Die Lösungen, die solche Attacken erkennen und blockieren sollen, sollten es auch sein.
- Blacklisting: Mit zunehmend limitierten IP-Adressbereichen nutzen Spammer häufiger ihre eigene Infrastruktur. Gleiche IPs werden daher lange genug verwendet, so dass die Software sie erkennen und auf die schwarze Liste setzen kann. Selbst bei gehackten Websites und Botnetzen ist es möglich, Angriffe über IP vorübergehend zu blockieren, sobald ein ausreichend großes Volumen an Spam erkannt wurde.
- Spam-Filter/Phishing-Detection-Systeme: Während viele bösartige E-Mails auf den ersten Blick überzeugend erscheinen, können Spam-Filter, Phishing-Detection-Systeme und zugehörige Sicherheitssoftware subtile Hinweise aufnehmen und helfen, potenziell gefährliche Nachrichten und Anhänge daran hindern, in E-Mail-Posteingänge zu gelangen.
- Malware-Erkennung: Bei E-Mails mit bösartigen Dokumentenanhängen können sowohl statische als auch dynamische Analysen erkennen, dass über das infizierte Dokument versucht wird, eine kompromittierte Datei herunterzuladen und auszuführen. Die URL für die ausführbare Datei lässt sich oft heuristisch oder mittels Threat Intelligence-Systemen identifizieren. Die durch die statische Analyse erkannte Verschleierung lässt auch erkennen, ob ein Dokument überhaupt verdächtig sein könnte.
- Erweiterte Firewall: Öffnet ein Benutzer eine bösartige Anlage oder klickt auf einen Link zu einem Drive-by-Download, ermöglicht es eine erweiterte Netzwerk-Firewall, die in der Lage ist, Malware-Analysen durchzuführen, den Angriff zu stoppen, indem sie die ausführbare Datei kennzeichnet.
Am überall gegenwärtigen Bösen lässt sich vermutlich nicht viel ändern. Aufmerksame Kolleginnen und Kollegen sowie eine ausgereifte IT-Security können aber dabei helfen, dass das Gute in den meisten Fällen die Oberhand behält.
Weitere Informationen zum Thema:
datensicherheit.de, 11.03.2019
Sextortion: Cybererpressung mit angeblich kompromittierenden Videos
datensicherheit.de, 11.03.2019
Cyberangriffe: Sicherheitsteams brauchen besseren Ansatz zur Erkennung und Abwehr
datensicherheit.de, 21.02.2019
Digital Shadows-Report: Cyber-Erpressung auf Management-Ebene
datensicherheit.de, 11.12.2018
Sextortion: Erpressung und Ransomware-Angriff
Aktuelles, Experten - Nov 20, 2024 21:07 - noch keine Kommentare
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
weitere Beiträge in Experten
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
- it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
Aktuelles, Branche, Studien - Nov 20, 2024 20:59 - noch keine Kommentare
Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
weitere Beiträge in Branche
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
- NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren