Exploit-Kits künftig rückläufig, altmodische Attacken mit Makro-Malware nehmen zu

Bedrohungen & Hacks, Sicherheit & Privatsphäre

Der F-Secure Threat Report bietet einen exklusiven Blick auf die Trends und Ereignisse in der digitalen Bedrohungslandschaft im letzten Jahr. Statistiken, Zeitlinien, Diagramme und Grafiken geben einen Einblick in die lukrative, beängstigende und sich ständig weiterentwickelnde Welt der Online-Kriminalität und deren Bekämpfung.

top_malware_families_prevalence

 

Sie können den kompletten Report hier runterladen

Im letzten Threat Report 2014 (PDF) berichtete F-Secure Labs, dass Erkennungen des Exploit-Kits Angler „in die Höhe geschossen“ sind. Bedrohungen wie Angler und Nuclear, die wiederum 2015 prominent vertreten waren, benötigen veraltete Software, um zu gedeihen. Eine der bevorzugten Anwendungen, die ausgenutzt wurden, war Adobe Flash.

Laut F-Secure-Sicherheitsberater Sean Sullivan werden Exploit-Kits wie Angler jedoch künftig nicht mehr in der Lage sein, Flash in gleichem Maße auszunützen, wie sie es in den letzten paar Jahren getan haben. Neue Entwicklungen ermöglichen es den Softwareverlegern, sich von Flash wegzubewegen, so dass das problematische Plug-in mittlerweile unnötig ist für viele Websites. Flash fand zudem nie seinen Weg in das isolierte Biotop von Apple iOS und die Flash-Entwicklung für Android-Geräte wurde im Jahr 2012 eingestellt.

„Flash ist seitdem im Desktop-Markt hängengeblieben, aber wohin man sieht, ist es abgeschrieben“, so Sullivan im Threat Report. „Im August 2015 kündigte Amazon an, ab 1. September keine Flash-Anzeigen mehr zu übernehmen. „Google folgte Amazon im Februar 2016. Ihre Ad-Netzwerke, AdWords und DoubleClick, werden ab 30. Juni 2016 keine Flash-basierten Display-Anzeigen mehr akzeptieren und bestehende Flash-basierte Anzeigen am 2. Januar 2017 deaktivieren.

Dies ist ein Trend, der sich Sean Sullivan zufolge fortsetzen wird und zu einem großen Teil auf HTML 5 zurückgeht. Er sagt voraus, dass im Frühjahr 2017, nachdem Googles Ad-Netzwerke die Flash-Unterstützung einstellen, andere Dienste folgen werden. „Googles Chrome-Browser wird User zwingen, Websites, die irgendeine Art von Flash erfordern, auf die Whitelist zu setzen. Mozilla Firefox und Microsoft Edge werden das Gleiche tun – und bis zum Frühjahr 2017 wird Flash soweit an Bedeutung verlieren, dass auch die entsprechenden Exploit-Kits betroffen sein werden.“

Könnte das Verschwinden von Flash zusammen mit automatischen Updates moderner Browser das Ende für Exploit-Kits im Allgemeinen bedeuten? „Wir hoffen, dass sie aussterben“, sagt Sean Sullivan. „Es wäre nicht das erste Mal, dass ein Geschäftsmodell in der Malware-Szene zusammenbricht. Oder die Hacker würden sich auf Browser konzentrieren, aber dann müssten sie Zero-Day-Schwachstellen finden.“

Und ebenso schnell wie eine Bedrohung verschwindet, entsteht bereits eine andere.

Makro-Malware, also ein Dokument, das versteckten schädlichen Code enthält, war dem Bericht zufolge eine große Bedrohung in den späten 90er Jahren bis Anfang der 2000er Jahre. „Aber als Microsoft sein Office 2003 veröffentlichte, wurden die Standard-Sicherheitseinstellungen geändert. Die automatische Ausführung von Makros, wenn ein Dokument geöffnet wird, wurde gestoppt. Dadurch gelang es, Angreifer erheblich darin einzuschränken, Malware mit dieser Methode zu verbreiten.“

Das Wort „Makro“ in Zusammenhang mit Cyberbedrohungen war seitdem höchstens ein Fall fürs Malware-Museum; bis zum Juli 2015, als Makro-Malware in mehreren europäischen Ländern wieder in Erscheinung trat, da Kriminelle eine neue Chance erkannt haben. „Sie wird in der Regel über bösartige Dokumente verteilt, die an E-Mails angehängt sind. Es kommen Social-Engineering-Techniken zum Einsatz, um Benutzer dazu zu bringen, dass sie die Dokumente öffnen, so dass der Schadcode ausgeführt werden kann.“ Makro-Angriffe waren bei der Verbreitung des Banking-Trojaner Dridex beteiligt und Crypto-Ransomware wurde verwendet, um wochenlang ein Krankenhaus in Kalifornien als Geisel zu halten.

Sowohl Exploit-Kits als auch Ransomware sind im Allgemeinen auf alte Software zusammen mit Fehlbedienung der User angewiesen. Durch Klicken auf einen Anhang oder auf ein „Ok“ in einem Pop-up-Fenster werden Kriminelle geradezu in die Systeme eingeladen. Aber das ist nur der Anfang der Kompromittierung.

Wie funktionieren Cyberangriffe und wie können sie verhindert werden, um den Schaden zu minimieren? Um Ihnen hierzu ein besseres Verständnis zu geben, präsentiert der Threat Report 2015 ein neues Arbeitsmodell, das die Denkweise in Sachen Online-Bedrohungen verändert.

Es handelt sich dabei um die „Kette der Kompromittierung“, die sich aus vier „In-s“ zusammenfügt.

  • coc_gearsInception
    Die Phase, in der ein System oder ein Gerät einer potentiellen Gefahr ausgesetzt wird.
  • Intrusion
    Die Phase, in der ein Angreifer erfolgreich Zugang zu einem System erhält.
  • Infection
    Die Phase, in der ein Angreifer erfolgreich eine potentiell gefährliche Nutzlast in einem exponierten System installiert.
  • Invasion
    Die Phase, in der eine böswillige Nutzlast über die anfängliche Infektion hinaus weiterhin besteht, woraus oftmals eine Eskalation der Angriffsfolgen hervorgeht.

„Unternehmen, auch kleine“, so argumentiert der Bericht, „sollten Lösungen im Einsatz haben, die einen Angriff an einer beliebigen Stelle in der Angriffskette stören können, sowie einen Plan, wie sich begrenzen lässt, dass sich Angreifer entlang dieser Kette bewegen, um ihre Ziele zu erreichen.“

Und wir alle müssen verstehen, wie diese Angriffe ablaufen. Eine Sache, wie man sich vor Angriffen schützen kann, ist es E-Mail-Regeln einzurichten, so Sean Sullivan.

Rules Wizard

„Die Leute erhalten in der Regel bösartige Makros durch E-Mail-Anhänge. Indem sie eine Regel einrichten, damit E-Mails mit Anhängen in einem separaten Ordner landen, können Sie dort verdächtige E-Mails sorgfältiger begutachten. Sie können auch eine Whitelist anlegen mit Absendern, denen Sie vertrauen. Dies ist bereits eine gute vorbeugende Maßnahme, die eine Menge Ärger erspart.“

Die Angriffe zu verstehen, ist auch von entscheidender Bedeutung, um globale Konflikte zu verstehen, dies gibt F-Secure-Forschungsleiter Mikko Hypponen im Vorwort des Reports zu verstehen. Das Internet selbst wurde aus dem Kalten Krieg geboren, wie er sagt „und öffnete die Büchse der Pandora, wo materielle Grenzen und erkennbare Feinde aufgehört haben zu existieren.“

In dieser Welt können wir von jemandem gehackt werden, der Tausende von Meilen entfernt lebt. Der Angreifer hat es auf unsere Bankdaten abgesehen – oder unsere PCs werden für digitalen Aktivismus benutzt, um im Ausland die Stromversorgung zu unterbrechen. Zu verstehen, wie wir beeinflusst werden können, ist wesentlich, um zu verstehen, wie wir geschützt werden können.

„Es ist eine komplexe Welt der Online-Konflikte“, schreibt Mikko Hypponen. „Und das einzige, worüber wir uns wirklich im Klaren sein können, ist, dass wir gerade den Anfang des nächsten Wettrüstens beobachten: mit Cyberwaffen.“

Diesen Beitrag bewerten

0 Bewertungen

4 Kommentare

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Könnte Ihnen ebenfalls gefallen