TrendLabs Bericht zur Sicherheitslage im 3. Quartal 2013

Transcription

TrendLabsSM Bericht zur Sicherheitslage im 3. Quartal 2013
Das unsichtbare Web
enttarnt
TREND MICRO | TrendLabsSM Bericht zur Sicherheitslage im 3. Quartal 2013
Inhalt
4|
CYBERKRIMINALITÄT:
9|
MOBIL:
Verhaftungen, Bank-Trojaner,
Website-Infektionen und
Verbesserte Schadsoftware-Techniken
Eine Million mobile Schadsoftware und
hochriskante Apps
13 |
DIGITALES LEBEN:
15 |
EXPLOITS UND SCHWACHSTELLEN:
16 |
ZIELGERICHTETE ANGRIFFE:
Über Privatsphäre und Datendiebstahl:
eine neue “Identitätskrise”
Java-Schwachstellen bereiten weiterhin
große Sorgen
Sykipot hat Flugdaten im Visier
18 | Anhang
23 | Referenzen
Einleitung
In den letzten Monaten machten eine
Menge Nachrichten zu Cyberkriminalität
die Runde. Dazu gehörten die Schließung
von Liberty Reserve, dem illegalen System
für digitale Währung, aber auch des OnlineSchwarzmarkts Silk Road.1 Die Verhaftung
des mutmaßlichen Autors des Blackhole
Exploit Kits im Oktober führte vor, dass
Cyberkriminalität tatsächlich ein Geschäft
ist, das unmittelbar unter unseren Augen
floriert.2
Die Cyberkriminellen nutzten auch dieses
Quartal, um ihre Techniken weiter zu
verfeinern. In einigen Teilen der Welt, wie in
den Vereinigten Staaten und Japan, nahmen
die Infektionen von Online Banking-Konten
mit Schadsoftware zu. Zudem erhielten die
Sicherheitsforscher einen kurzen Einblick
in die Ausmaße der kompromittierten Sites.
Die Untersuchung von BKDR_FIDOBOT
ergab, dass der Backdoor-Schädling beim
Angriff auf mehr als 17.000 Domänen an
einem Tag genutzt wurde. Des Weiteren
haben die Kriminellen das Handling der
Schadsoftware verbessert, beispielsweise
nutzt EXPIRO Styx Exploit Kit und
MEVADE das TOR (The Onion Router)
Netzwerk.
Auch von der mobilen Front gibt es
Neuigkeiten: Die Zahl der bösartigen und
hochriskanten Android-Apps hat – wie
vorhergesagt – die Millionenmarke geknackt.
Ein Großteil dieser gefährlichen Apps
zeigten sich entweder als gefälschte oder
mit einem Trojaner versehene Versionen
beliebter Apps.
Internet Explorer®- und Java-Sicherheitsprobleme setzten auch in den letzten
Monaten Computer Risiken aus, und die
Sicherheitsforscher entdeckten auch eine
Reihe von Zero-Day-Exploits. Dokumenten-Exploits blieben weiterhin das
am häufigsten eingesetzte Mittel in
Spear- Phishing-Angriffen. Die Experten
entdeckten Verbesserungen in der SykipotSchädlingsfamilie, die nun auf Informationen
aus der zivilen Luftahrt abzielt.
CYBERKRIMINALITÄT
Verhaftungen, Bank-Trojaner,
Website-Infektionen und verbesserte
Schadsoftware-Techniken
Die Polizeibehörden konnten einige Erfolge
für sich verbuchen. Infolge der Schließung
von Liberty Reserve waren Cyberkriminelle
gezwungen, schnell nach anderen Währungsquellen zu suchen und mussten auf Mittel wie
Bitcoins zurückgreifen, um ihre Tätigkeiten
weiterführen zu können. Die Schließung der
berüchtigten Silk Road wiederum deckte
die verborgene aber nichtsdestoweniger
schändliche Seite der Cyberkriminalität auf,
vor allem die Nutzung des Deep Web, um
illegale Netzwerke zu verstecken.
Schließlich machte auch der mutmaßliche
Autor des Blackhole Exploit Kits, als “Paunch”
bekannt, Schlagzeilen, denn er wurde Anfang
Oktober verhaftet.3 Diese Erfolge der Polizeibehörden haben den Blick der InternetNutzer stärker auf den cyberkriminellen
Untergrund gelenkt und auf Elemente, die
die Öffentlickeit bislang nicht kannte.4
Allgemeine Daten aus dem Trend Micro™ Smart Protection Network™
8B
7B
2,876
7.5B
2,817
7.5B
574M
495M
606M
414M
6B
2,697
7.2B
586M
392M
Gesamtzahl der
blockierten Bedrohungen
5B
4B
3B
Zahl der pro Sekunde
blockierten Bedrohungen
6.4B
6.5B
6.2B
Zahl der blockierten
bösartigen Dateien
Zahl der blockierten
bösartigen URLs
2B
1B
Zahl der blockierten IP-Adressen,
die Spam verschicken
0
JUL
AUG
SEP
Trend Micro konnte in diesem Quartal seine Kunden vor durchschnittlich 2.797 Bedrohungen pro Sekunde schützen.
4 | Cyberkriminalität
DOWNAD/Conficker besetzte auch in
diesem Quartal den ersten Platz der
Malware-Liste. Adware, gebündelt mit
gefälschten Softwareangeboten, suchte auch
weiterhin die Internetnutzer heim. Trotz des
Spitzenplatzes ging die Zahl der DOWNAD/
Conficker-Infektionen von 509.000 im
letzten Quartal auf 345.000 zurück. Das
lag möglicherweise an der Vielzahl der
Nutzer, die ihre Betriebssysteme wegen der
bevorstehenden Abkündigung des Supports
für Windows® XP aktualisiert haben.
Top Schadsoftware
WORM_DOWNAD.AD
345K
ADW_BPROTECT
246K
ADW_BHO
238K
100.000
1.000
100
10
1
DOWNAD/Conficker stand drei Quartale in Folge auf Platz 1 der Malware-Rangliste,
während Adware hinterher “hinkt”..
Top Malware nach Unternehmensgröße
GROSSE UNTERNEHMEN
NAME
KLEINE UNTERNEHMEN
MENGE
WORM_DOWNAD.AD
205K
NAME
VERBRAUCHER
MENGE
WORM_DOWNAD.AD
33K
NAME
MENGE
ADW_BHO
158K
138K
ADW_BPROTECT
28K
HKTL_PASSVIEW
7K
ADW_BPROTECT
PE_SALITY.RL
17K
TROJ_FAKEAV.BMC
5K
TROJ_FAKEAV.BMC
87K
Verbraucher laden Adware wahrscheinlich deswegen am häufigsten herunter, weil sie oft mit kostenloser
(gefälschter) Software einhergeht. Große Unternehmen sowie mittlere und kleine Firmen waren von DOWNAD/
Conficker am meisten betroffen.
Menge der Banking-Trojaner steigt
Die Masse der Online Banking-Schadsoftware
hat in diesem Quartal zugenommen. Die
Schädlinge verbreiteten sich rund um die
Welt und konzentrierten sich nicht mehr auf
einzelne Regionen wie Europa oder Amerika.
Die Zahl der Infektionen stieg auf mehr als
200.000, die höchste Marke seit 2002.
Online Banking Malware-Infektionen
250K
200K
202K
150K
100K
131K
146K
113K
2013
132K
125K
2012
110K
50K
0
Q1
Q2
Q3
Q4
Es gab 200.000 Online Banking-Malware-Infektionen in diesem Quartal – die höchste Zahl seit 2002.
Länder mit den meisten Online
Banking-Opfern
Ein Großteil der Infektionen mit Online
Banking-Malware ging auf das Konto von
ZeuS/ZBOT-Trojanern. ZeuS/ZBOT-Varianten stellten den größten Teil der über
Spam verbreiteten Schädlinge. Neue ZBOTVarianten tauchten auf, vor allem KINSSchadsoftware, die Anti-Debugging- und
Anti-Analyse-Routinen umfasst.
Citadel-Varianten suchten auch weiterhin
Japan heim und hatten vor allem Finanzinstitute und verschiedene Webmail-Services
wie Yahoo!® Japan und Gmail™ im Visier.5
LAND
ANTEIL
USA
23%
Brasilien
16%
Japan
12%
Indien
6%
Australien
3%
Frankreich
3%
Deutschland
2%
Vietnam
2%
Taiwan
2%
Mexiko
2%
Andere
29%
Die USA und Brasilien waren auch in diesem Quartal von Online Banking-Schädlingen am meisten betroffen.
Japan rückte infolge des Anstiegs der Infektionen mit Citadel vom fünften auf den dritten Platz vor.
Sind kompromittierte Websites die Norm?
Cyberkriminelle nutzen kompromittierte
Websites, um ihre Spuren zu verwischen und
um Schadsoftware, Spam-Templates und
Redirection Tools zu hosten. Spambots wie
Stealrat nutzten kompromittierte Websites,
um bösartige Aktionen zu verschleiern.6
Wie Nutzer auf kompromittierte Sites kommen
Die an die kompromittierte Site A gesendeten Daten werden zum Erstellen eines
E-Mail-Templates verwendet
Opfer sammeln Spam-Daten* von einem
Spam-Server und senden sie dann an die
kompromittierte Site A
Nutzer erhält Spam, der Links zur
kompromittierten Site B umfasst.
* Spam-Daten umfassen die URL des Backup E-Mail-Servers, den Absendernamen, den Empfängernamen und das E-Mail-Template.
Die Erforschung von BKDR_ FIDOBOT
verschaffte den Sicherheitsforschern einen
kurzen Einblick in das Ausmaß der SiteKompromittierung.
Dieser
Backdoor
verschaffte sich den Zugang zu Sites,
die entweder Joomla!™ oder WordPress
beinhalteten und wurde für den Angriff auf
mehr als 17.000 Domänen an einem Tag
genutzt.7 Die Mehrheit der betroffenen Sites
gehörten entweder Einzelpersonen oder
kleinen Firmen und wurden in den USA
gehostet.
Verfeinerte Schadsoftware-Techniken und versteckte Netzwerke
Eine weitere Schadsoftware, die das Quartal
prägte, ist EXPIRO.8 Die Schadsoftware trat
zum ersten Mal 2010 auf und diente der
Infektion von Dateien. Neuere Varianten, die
in diesem Quartal aufkamen, stahlen FTPZugangsdaten. Die EXPIRO-Varianten, die
in den Angriffen im Juli genutzt wurden,
verbreiteten sich auch über das Styx
Exploit Kit.9
Ende August entdeckten die Sicherheitsforscher, dass die MEVADE-Schadsoftware eine TOR-Komponente herunter
lud, um breit gestreute Verbindungen zu
bestimmten Sites aufzusetzen.10 Deshalb
kam es auch zum Anstieg der Anzahl der
TOR-Nutzert:11 TOR ermöglicht es Cyberkriminellen, ihre Command-and-Control
(C&C)-Server effizienter zu verstecken.
Auch ist es fast unmöglich, einen mit
TOR verschleierten Service vom Netz zu
nehmen. Die MEVADE-Software verbreitet
gleichzeitig bestimmte Adware-Varianten
über einen Downloader, der sich als Adobe®
Flash® Player Update tarnt.12
Geschichte verbreiteter Online Banking-Crimeware
ZeuS
Gozi
2006
2007
Cridex,
Shylock,
Tatanga, Tinba,
Carberp Ice IX,
Zitmo,
and
and
and
SpyEye Citadel Spitmo
2009
2010
2011
KINS
2013
Dieses Quartal erlebte eine Wiederbelebung der Banking-Schadsoftware, die mit der Einführung des
ZeuS Toolkits 2006 bereits für Schlagzeilen sorgte.
MOBIL
Eine Million mobile Schadsoftware
und hochriskante Apps
Noch vor Ende 2013 erreichten die
bösartigen und hochriskanten Apps, die
die Android-Plattform zum Ziel haben,
die Millionenmarke. 80% davon waren
bösartig; die meisten davon missbrauchen
Bezahldienste. Diese so genannten Premium
Service Abusers versenden nicht autorisierte
Textnachrichten an bestimmte Nummern und
registrieren Nutzer bei den Bezahldiensten.
Sie sind vor allem in Russland sehr verbreitet,
wahrscheinlich weil es hier keine “Standard”
App Stores gibt.13
Die verbleibenden 20% gelten als hochriskante Apps, einschließlich der Adware
genannten, die aggressiv Werbung auf
die Geräte der Nutzer schieben. AdwareInfektionen führen letztendlich auch zum
Geräteinformationsdiebstahl.
Anstieg der Menge an AndroidBedrohungen
SEP
1M
AUG
JUL
851K
1M
820K
.5M
0
Die Zahl der bösartigen und hochriskanten Apps
stieg zwischen Juli und September stetig an und
erreichte im September eine Million.
60%
55%
40%
Verteilung der Top-Bedrohungsarten
27%
22%
20%
12%
9%
2%
0
PREMIUM
SERVICE ABUSER
ADWARE
DATA STEALER
REMOTE
CONTROLLER
MALICIOUS
DOWNLOADER
HACKING
TOOL
Die Premium Service Abusers machten die Hälfte der mobile Bedrohungen des dritten Quartals aus, gleichzeitig
stieg die Zahl der Adware an und stellte somit die zweihäufigste mobile Bedrohung dar.
9 | Mobil
Top Android Malware-Familien
1. OPFAKE
27%
2. FAKEINST
24%
3. GOYEAR
10%
4. GINMASTER
7%
5. JIFAKE
6%
6. MSEG
4%
7. ADPANDA
3%
8. ADTGPTT
3%
9. BOXER
2%
10. SMSREG
2%
Others
12%
Plattformübergreifende Bedrohungen gefährden
die mobile Sicherheit
Neben bösartigen Apps gefährdeten auch
plattformübergreifende Bedrohungen die
mobilen Geräte. Dazu gehören gefälschte
WhatsApp-Mails, die einen Link enthalten,
der auf eine Site mit einem Premium Service
Abuser führt. 14
Es ist nicht das erste Mal, dass Mobilgeräte im
Visier der plattformübergreifenden Bedrohungen stehen. Diesmal jedoch wählten die
Angreifer Spam als Infektionsüberbringer
statt wie bisher den direkteren Ansatz etwa
10 | Mobil
über Blackhat Search Engine Optimization
(SEO) oder Missbrauch von sozialen Medien.
Auch die Zahl der Phishing Sites, die speziell
auf mobile Geräte ausgerichtet sind, stieg.
Daten, die Trend Micro seit Januar gesammelt
hat zeigen, dass es einen Anstieg um 53% im
Vergleich zum Vorjahreszeitraum gegeben
hat. In diesem Quartal ahmten 42% die Sites
von Banken und anderen Finanzinstituten
nach. 15
Die Kombination aus Schwachstellen und Exploits
verschlimmern die Gefahr
Die Entdeckung der “Master Key”-Schwachstelle im letzten Quartal verdeutlicht die
Fähigkeit der Cyberkriminellen, Wege zu
finden, um legitime Apps mit bösartigem
Code zu „aktualisieren“ und damit
nahezu jedes Android-Gerät zu treffen.
In den vergangenen Monaten wurde diese
Schwachstelle wiederholt missbraucht und
eine weit verbreitete Online Banking-App
mit einem Trojaner versehen. 16
Sprache. Ein Fehler in einer SIM-Karte gibt
Angreifern die Möglichkeit, den digitalen
Schlüssel für das Gerät abzugreifen.
Forscher vom Georgia Institute of
Technology präsentierten einen Proof-ofConcept (POC) für ein Ladegerät, über das
Angreifer bösartige Befehle aus der Ferne
auf einem Gerät mit der neuesten iOSVersion ausführen können.17
Auf der Black Hat-Konferenz im Juli kamen
weitere Aspekte der mobilen Sicherheit zur
Wo Nutzer auf bösartige und hochriskante Apps treffen
SITES
APP STORES
80%
27%
ANDERE
1%
27% der bösartigen und hochriskanten Apps stammen aus App Stores, doch findet man sie auch anderswo,
etwa auf bösartigen Sites. Achtung: Die hier gezählten Apps stellen lediglich 42 % der Gesamtzahl der
bösartigen Apps dar, die von August 2010 bis September 2013 gefunden wurden.
11 | Mobil
Was Premium Service Abusers tun
DATEN LÖSCHEN
96%
92%
SD-Kartendaten
NACHRICHTEN
ÜBERWACHEN
Nachrichten
DEFAULT-NACHRICHTEN
SENDEN
86%
AUF KONTAKTE ZUGREIFEN
48%
Kontaktliste
STANDORTE TRACKEN
14%
können den
Standort nachvollziehen
Vordefinierte
Nachrichten
Mobile Geräte sind bei Infektionen durch Premium Service Abuser für Bedrohungen wie Informationsdiebstahl
offen. Diese Abuser stellten den Top-Bedrohungstypus im mobilen Bereich dar. Die Zahlen beruhen auf
Untersuchungen zwischen November 2012 und Mai 2013.
12 | Mobil
DIGITALES LEBEN
Über Privatsphäre und Datendiebstahl: eine neue “Identitätskrise”
Die jüngsten Ereignisse und Bedrohungen
rund um soziale Medien und persönliche
Informationen trugen zum Wiederaufleben
der Diskussion um Datensicherheit bei, auch
bekannt als eine neue Art der „Identitätskrise“.
Internet-Nutzer stehen immer noch vor
der permanenten Herausforderung, ihre
persönlichen Daten zu verwalten und zu
verhindern, dass diese in die Hände der
Cyberkriminellen fallen.
Unter den vielen Bedrohungen, die darauf
ausgerichtet sind, persönliche Informationen
zu stehlen, stach in diesem Quartal PhishingBetrug hervor; und zwar gab es einen
massiven Anstieg an Phishing-Sites, die auf
Apple-Nutzer abzielen.18
Der Grund für diesen Anstieg lag sicherlich
auch in der öffentlichen Diskussion rund
um die neuesten Apple-Produkte und die
Entwicklungen in den letzten Monaten,
wie etwa das Release von iOS7. Ein
weiterer Anstieg der Zahl der PhishingSites war im Juni und Juli zu beobachten,
als die Gerüchte um iPhone 5c die Runde
machten. Im September dann entdeckten die
Forscher eine Spam-Kampagne, die die eben
veröffentlichten iPhone-Modelle als Köder
für den Datenklau nutzte.19
Anstieg der Apple-bezogenen Phishing-Seiten
5,800
6K
5K
4,100
4K
2,500
3K
1,900
1,800
2K
500
1K
300
100
300
MAR
APR
0
JAN
FEB
MAI
JUN
JUL
AUG
Die Zahl der Apple-bezogenen Phishing-Seiten stieg kontinuierlich auch nach dem Peak im Mai.
13| Digitales Leben
SEP
Auch Mobile Banking-Nutzer waren von
Angriffen mit ähnlichen Social EngineeringTaktiken betroffen. Die Sicherheitsforscher
entdeckten eine Phishing Seite, die die Site
eines bekannten Finanzinstituts nachahmte
und so wichtige Daten wie Login-Informationen, E-Mail-Adressen und sogar Ausweisscans einsammeln konnte.20
Die Sicherheitsbedrohungen für soziale
Medien gab es auch in diesem Quartal, vor
allem solche, die Nutzer mit einem intensiven
digitalen Leben im Visier hatten. Betrug mit
“kostenlosen Followern” zeigte, wie die
Cyberkriminellen schnelles Geld verdienen,
indem sie falsche Follower, “Likes“ und
„Retweets“ anbieten.21
Es gab auch Schadsoftware, die sich als Video
Player-Update tarnte. Sobald diese installiert
wurde, kaperte die Malware die Login-Daten
des entsprechenden Nutzerkontos, vor allem
die für Facebook, Google+ und Twitter.22
Die Nutzer wurden in diesem Quartal auch
von einer Reihe gefälschter Twitter-Konten
heimgesucht, die die Follower auf Seiten
lockten, die vorgeblich Hacking-Tools
sowohl für Facebook als auch für Twitter
hosteten, Interessierte jedoch stattdessen auf
eine betrügerische Seite umleiteten.23
Es gibt aber auch positive Entwicklungen zu
vermelden, die das Management von OnlineKonten betreffen. So hat Apple den Touch
ID Fingerprint-Sensor auf dem iPhone 5s
eingeführt, einen Sicherheitsmechanismus,
der im Vergleich zum PIN-Code den
Vorgang des Entsperrens eines Geräts
vereinfachen soll.24 Diese Neuerung ist
zwar lobenswert, doch sollte sie nicht als
Allheilmittel für die Sicherheit gesehen
werden, denn das Nutzerverhalten ist immer
noch entscheidend in puncto Sicherheit.
Häufig benutzte Social Engineering-Köder
SUMMER
WHATSAPP MOVIES
OBAMACARE
ENDER’S GAME
PLANTS vs. ROYAL BABY
ZOMBIES
iPHONE 5s and 5c
14| Digitales Leben
EXPLOITS UND SCHWACHSTELLEN
Java-Schwachstellen bereiten
weiterhin große Sorgen
Nach einigen Zero-Day-Angriffen zu Beginn
des Jahres bereiten Java-Schwachstellen auch
weiterhin Sorgen. In diesem Quartal ist ein
Java 6-Schwachstellen-Exploit ins Neutrino
Exploit Kit aufgenommen worden.25, 26 Da
Oracle diese Version nicht länger unterstützt,
erhält die entsprechende Software auch keine
Sicherheits-Updates und Fixes mehr. Das
gilt auch für den kürzlich entdeckten Fehler.
Schlimmer noch, die Oracle-Ankündigung
bedeutet, dass etwa 31 veröffentlichte
Schwachstellen nie gepatcht werden.
Knapp eine Woche nach dem September
Patch Tuesday ist ein Zero-Day Internet
Explorer-Exploit aufgetaucht, der auch die
neueste Version betrifft.27 Microsoft hat sofort
einen Fix für das Problem veröffentlicht.
Alte Schwachstellen bleiben eines der
beliebtesten Ziele der Cyberkriminellen.
Das zeigt die Trend Micro-Forschung zu
Apache Struts.28 Die Untersuchtung ergab,
dass der chinesische Untergrund nur drei
Tage nach der Veröffentlichung der Fehler
automatisierte Tools für den Missbrauch von
Fehlern in älteren Versionen von Apache
Struts erstellt hat.
Wie Exploits die Sicherheit umgehen
1 Crawl URL A
4 Site Loads
2 Prüfen, ob die IP-Adresse in
der Datenbank ist
MALICIOUS SITE A
3 Ist die IPAdresse
nicht in der
Datenbank
*Angreifer halten eine Liste von IP-Adressen vor,
von denen sie glauben, dass die Forscher
sie nutzen und den Zugriff darauf blockieren.
RESEARCHER
BACKEND DATABASE
6 Prüfen, ob die
5 Crawl URL B
8 Site lädt nicht
15 | Exploits und Schwachstellen
IP-Adresse in der
Datenbank ist
MALICIOUS SITE B
7 Ist die IP-Adresse in der Datenbank
TREND MICRO | TrendLabs 3Q 2013 Security Roundup
ZIELGERICHTETE ANGRIFFE
Sykipot zielt auf Informationen
der Luftfahrt
Zielgerichtete Angriffskampagnen suchen
sich ihre Opfer weiterhin bei Behörden,
großen Unternehmen und Organisationen.
Die Angreifer wollen typischerweise bei ihren
Opfern Daten abziehen oder stehlen. Eine
solche Kampagne ist Sykipot, die kürzlich
einige Änderungen erfahren hat.
Sykipot tauchte erstmals 2007 auf und
ist nach wie vor aktiv. Die Kampagne
zielte ursprünglich auf Branchen wie
Telekommunikation,
Computerindustrie,
Behörden und Luftfahrt.29 Doch kürzlich
sind einige Änderungen durchgeführt
worden, so etwa ein Update der Identifier,
der vewendeten Drive-by-Exploits, Dynamic
Link Librarys (DLL) und Process Injections.
Auch nimmt Sykipot nun die Daten der
zivilen Luftfahrt ins Visier.
Beim Monitoring zielgerichteter Angriffe
stellten die Forscher fest, dass noch immer
alte, gepatchten Schwachstellen bei Spear
Phishing-Angriffen ausgenutzt werden.
16 | Zielgerichtete Angriffe
Eine häufig missbrauchte Schwachstelle ist
MSCOMCTL.OCX RCE Vulnerability, auch
bekannt als “CVE-2012-0158” (Microsoft
hatte bereits im April den Patch MS12-027
veröffentlicht).30
Nach der Veröffentlichung der neuesten
Apache Struts-Version haben die Trend
Micro-Forscher
automatisierte
Tools
gefunden, die Schwachstellen aus älteren
Versionen der Software missbrauchen und
die im Untergrund zum Verkauf angeboten
werden. Auch in Asien missbrauchten
zielgerichtete Angriffe besagten Fehler.
Die am häufigsten in Bedrohungen über
Spear Phishing eingesetzten Dateiformate
waren .PKZIP und .MIME., aber auch
Dokumente und Spreadsheets wurden
verwendet, um sich in die gewünschten
Netzwerke einzuschleichen.
TREND MICRO | TrendLabs 3Q 2013 Security Roundup
In Spear Phishing-Mails verwendete Dateitypen
MIME
PKZIP
RAR
RTF
JUL
PPS/PPT
AUG
DOC
SEP
EXE/DLL
XLS
ZIP
PDF
0
10%
20%
Regierungsbehörden stellten in diesem
Quartal die meisten Angriffsziele, gefolgt von
Telekommunikations- und IT-/Software-
17 | Zielgerichtete Angriffe
30%
40%
50%
Unternehmen. Organisationen sollten den
Schutz ihrer Netzwerke verstärken, um den
Erfolg gezielter Angriffe zu verhindern.
Anhang
Top Spam-Sprachen
1. Englisch
89.39%
2. Chinesisch
2.49%
3. Japanisch
1.88%
4. Deutsch
0.95%
5. Russisch
0.70%
6. Portugiesisch 0.24%
7. Spanisch
0.16%
8. Französisch
0.08%
9. Isländisch
0.07%
10. Türkisch
Weitere
0.05%
3.99%
Englisch ist auch weiterhin die Spam-Sprache der Wahl, wohl weil die Sprache weltweit genutzt wird.
Top Spam versendende Länder
1. USA
9.16%
2. Argentinien
6.71%
3. Italien
6.69%
4. Spanien
6.45%
5. Indien
6.16%
6. Taiwan
4.31%
7. Kolumbien
4.26%
8. Peru
3.97%
9. Mexiko
3.82%
10. Deutschland
3.27%
Weitere
45.20%
Im Einklang mit der Top Spam-Sprache versendet die USA den meisten Spam. Aber auch die
lateinamerikanischen Länder wie Argentinien, Kolumbien und Peru gehören zu den Top 10.
18 | Anhang
Blockierte Top bösartige Domänen
DOMÄNEN
GRÜNDE
ads.alpha00001.com
Kapert bekannte Webbrowser, um Nutzer auf gefälschte Sites
umzuleiten, einschließlich Werbeseiten
trafficconverter.biz
Hostet und verbreitet Würmer, vor allem
DOWNAD/Conficker
http :// adsgangsta . com
Steht in Zusammenhang mit Exploit Kit-Aktivitäten
http :// www . ody . cc
Steht in Zusammenhang mit Sites, die
BKDR_HPGN.B-CN hosten
az7t8.com
Ist in Angriffe von Sites mit hohem Besucheraufkommen
verwickelt
ckstatic.com
Ist in Angriffe von Sites mit hohem Besucheraufkommen
verwickelt
announce.opensharing.org
Hostet Hacking-Software und wird in Peer-to-Peer verwendet
promos.fling.com
Steht in Zusammenhang mit einem Zombie-Netzwerk, das von einer
pornografischen Kontaktseite verbreitet wird
http :// labambaka . com
Hostet und verbreitet Schadsofltware in Zusammenhang mit
Spamming
international-spcsz.ru
Hostet und verbreitet Schadsofltware in Zusammenhang mit
Spamming
Die bösartigen Top-Domänen hosteten Sites, die Webbrowser kapern, um Nutzer auf gefälschte Werbeseiten
umzuleiten. Diese Aktivitäten führten wahrscheinlich zu dem Anstieg der Menge an Adware in diesem Quartal.
Anzahl der monatlichen Verbindungen zu Botnets
12.7M
JULI
10.7M
AUGUST
13.9M
SEPTEMBER
0
2M
4M
6M
8M
10M
12M
Die Anzahl der Verbindungen zu Botnets erhöhte sich im Juli und nahm im August wieder ab,
bevor sie im September wieder stieg.
19 | Anhang
14M
Länder als Quelle bösartiger URLs
LAND
ANTEIL
1
USA
24%
2
Niederlande
3%
3
China
3%
4
Deutschland
3%
5
Frankreich
3%
6
Südkorea
2%
7
Großbritannien
2%
8
Russland
1%
9
Japan
1%
10
Kanada
1%
Weitere
57%
Wie schon im letzten Quartal kam auch in diesem ein Großteil der bösartigen URLs aus den USA.
Länder mit den meisten Zugriffen auf bösartige URLs
LAND
ANTEIL
1
USA
35%
2
Japan
14%
3
China
7%
4
Indien
4%
5
Taiwan
4%
6
Südkorea
4%
7
Deutschland
3%
8
Australien
3%
9
Russland
2%
10
Großbritannien
2%
Weitere
22%
Die meisten Zugriffe auf bösartige URLs kamen aus den USA.
20 | Anhang
Länder mit den meisten Botnet-Verbindungen
LAND
ANTEIL
1
USA
25%
2
Malaysia
19%
3
Portugal
4%
4
Russland
4%
5
Kanada
4%
6
Südkorea
4%
7
Belgien
3%
8
Kolombien
2%
9
Deutschland
2%
10
Niederlande
2%
Weitere
31%
Die USA wiesen die höchste Anzahl von Botnet-Verbindungen auf. Malaysia fiel zurück auf den zweiten Platz,
nachdem die politischen Spannungen im Land nachgelassen hatten.
Länder mit den meisten Downloads bösartiger Android-Apps
1. Ukraine
13%
2. Myanmar [Burma]
10%
3. Libyen
9%
4. Nigeria
7%
5. Vietnam
5%
6. Russland
4%
7. Argentinien
4%
8. Antigua und Barbados
4%
9. Kanada
3%
10. Indien
9
6
1
3
8
4
10
2 5
7
3%
Die Ukraine hatte die meisten Downloads bösartiger Apps und überholte die Vereinigten Arabischen Emirate,
die damit aus der Liste herausfielen. Möglicherweise ist diese Entwicklung der steigenden Beliebtheit von
Smartphones in Osteuropa geschuldet. Das Wachstum im mobilen Bereich ist wohl der Grund, warum Nigeria
und Brasilien in die Liste aufgenommen wurden. Das Ranking beruht auf dem Prozentanteil der Apps, die als
“bösartig” eingestuft werden, im Vergleich zur Gesamtzahl der pro Land gescannten Apps. Das Ranking bezieht
nur Länder mindestens 10.000 Scans ein.
21 | Anhang
Länder, in denen von der App-Nutzung die größte Gefahr
für den Schutz der Vertraulichkeit ausgeht
1. Kasachstan
26%
2. Uganda
20%
3. Ukraine
11%
4. Indien
10%
5. Argentinien
9%
6. Philippinen
7%
7. Antigua und Barbados
7%
8. Thailand
7%
9. Kanada
7%
10. Myanmar [Burma]
3
9
7
2
1
4
10
8
6
5
6%
In diesem Quartal standen auf den ersten Plätzen der Liste der Länder, die dem größten Risiko bezüglich
der Verletzung der Privatsphäre ausgesetzt sind, Neuzugänge wie Kasachstan, Uganda und die Ukraine.
Möglicherweise ist diese Entwicklung teilweise der steigenden Beliebtheit von Smartphones in diesen Ländern
geschuldet. Das Ranking beruht auf dem Prozentanteil der Apps, die als “Risiko für die Vertraulichkeit”
eingestuft werden, im Vergleich zur Gesamtzahl der pro Land gescannten Apps. Das Ranking bezieht nur Länder
mindestens 10.000 Scans ein.
22 | Anhang
Referenzen
1.
Trend Micro Incorporated. (July 16, 2013). TrendLabs Security Intelligence Blog. “Post Liberty Reserve Shutdown—What Is Next?”,
http://blog.trendmicro.com/trendlabs-security-intelligence/post-liberty-reserve-shutdown-whats-next/.
2.
Charlie Osborne. (October 9, 2013). ZDNet. “Blackhole Malware Toolkit Creator ‘Paunch’ Suspect Arrested.”,
http://www.zdnet.com/blackhole-malware-toolkit-creator-paunch-arrested-7000021740/.
3.
Merianne Polintan. (September 16, 2013). TrendLabs Security Intelligence Blog. “August im Zeichen von ZeuS/ZBOT-Spam.”,
http://blog.trendmicro.de/august-im-zeichen-von-zeuszbot-spam/.
4.
Gelo Abendan. (August 20, 2013). TrendLabs Security Intelligence Blog. “Can KINS Be the Next ZeuS?”,
http://blog.trendmicro.com/trendlabs-security-intelligence/can-kins-be-the-next-zeus/.
5.
Trend Micro Incorporated. (September 2, 2013). TrendLabs Security Intelligence Blog. “Citadel Makes a Comeback, Targets Japan Users.”,
http://blog.trendmicro.com/trendlabs-security-intelligence/citadel-makes-a-comeback-targets-japan-users/.
6.
Jessa De La Torre. (August 5, 2013). TrendLabs Security Intelligence Blog. “How to Check If Your Website Is Part of the Stealrat Botnet.”,
http://blog.trendmicro.com/trendlabs-security-intelligence/how-to-check-if-your-website-is-part-of-the-stealrat-botnet/.
7.
Philippe Lin. (September 5, 2013). TrendLabs Security Intelligence Blog. “Joomla! and WordPress Sites Under Constant Attack from Botnets.”,
http://blog.trendmicro.com/trendlabs-security-intelligence/joomla-and-wordpress-sites-under-constant-attack-from-botnets/.
8.
Rhena Inocencio. (July 15, 2013). TrendLabs Security Intelligence Blog. “File Infector EXPIRO Hits U.S., Steals FTP Credentials.”,
http://blog.trendmicro.com/trendlabs-security-intelligence/file-infector-expiro-hits-us-steals-ftp-credentials/.
9.
Trend Micro Incorporated. (July 19, 2013). TrendLabs Security Intelligence Blog. “More Details on EXPIRO File Infectors.”,
http://blog.trendmicro.com/trendlabs-security-intelligence/more-details-on-expiro-file-infectors/.
10.
Feike Hacquebord. (September 5, 2013). TrendLabs Security Intelligence Blog. “The Mysterious MEVADE Malware.”,
http://blog.trendmicro.com/trendlabs-security-intelligence/the-mysterious-mevade-malware/.
11.
Roger Dingledine. (August 27, 2013). Tor Project. “Many More TOR Users in the Past Week?”,
https://lists.torproject.org/pipermail/tor-talk/2013-August/029582.html.
12.
Roddell Santos. (September 6, 2013). TrendLabs Security Intelligence Blog. “Adware Spread Alongside MEVADE Variants, Hits Japan and U.S.”,
http://blog.trendmicro.com/trendlabs-security-intelligence/us-taiwan-most-affected-by-mevade-malware/.
13.
Rowena Diocton. (September 17, 2013). TrendLabs Security Intelligence Blog. “Connecting the Dots: Fake Apps, Russia, and the Mobile Web.”,
http://blog.trendmicro.com/trendlabs-security-intelligence/connecting-the-dots-fake-apps-russia-and-the-mobile-web/.
14.
Peter Yan. (September 13, 2013). TrendLabs Security Intelligence Blog. “Spam als Verteiler von mobilen Bedrohungen.”,
http://blog.trendmicro.de/spam-als-verteiler-von-mobilen-bedrohungen/
15.
Trend Micro Incorporated. (2013). Monthly Mobile Review. “A Look at Mobile Banking Threats.”,
http://about-threats.trendmicro.com/us/mobile/monthly-mobile-review/2013-08-mobile-banking-threats.
16.
Peter Yan. (August 2, 2013). TrendLabs Security Intelligence Blog. “Master Key Android Vulnerability Used to Trojanize Banking App.”,
http://blog.trendmicro.com/trendlabs-security-intelligence/master-key-android-vulnerability-used-to-trojanize-banking-app/.
17.
Gelo Abendan. (August 8, 2013). TrendLabs Security Intelligence Blog. “Die andere Seite der mobilen Bedrohungen”,
http://blog.trendmicro.de/die-andere-seite-der-mobilen-bedrohungen/.
18.
Paul Pajares. (October 1, 2013). TrendLabs Security Intelligence Blog. “Apple Spikes as Phishing Target.”,
http://blog.trendmicro.com/trendlabs-security-intelligence/apple-spikes-as-phishing-target/.
19.
Merianne Polintan. (September 10, 2013). TrendLabs Security Intelligence Blog. “iPhone 5s Phishing Mail Arrives in Time for Launch.”,
http://blog.trendmicro.com/trendlabs-security-intelligence/iphone-5s-phishing-mail-arrives-in-time-for-launch/.
23 | Referenzen
20.
Arabelle Ebora. (August 13, 2013). TrendLabs Security Intelligence Blog. “Mobile Phishing Attack Asks for Government IDs.”,
http://blog.trendmicro.com/trendlabs-security-intelligence/mobile-phishing-attack-asks-for-users-government-ids/.
21.
Karla Agregado. (August 1, 2013). TrendLabs Security Intelligence Blog. “Der Kauf von Followern – ein zweifelhaftes Geschäft.”,
http://blog.trendmicro.de/der-kauf-von-followern-ein-zweifelhaftes-geschaeft/.
22.
Don Ladrones. (July 30, 2013). TrendLabs Security Intelligence Blog. “Malware Hijacks Social Media Accounts Via Browser Add-Ons.”,
http://blog.trendmicro.de/malware-kapert-social-media-konten-ueber-browser-plugins/.
23.
Jonathan Leopando. (October 20. 2013). TrendLabs Security Intelligence Blog. “Twitter Still Being Used by Shady Hackers.”,
http://blog.trendmicro.com/trendlabs-security-intelligence/twitter-still-being-used-by-shady-hackers/.
24.
Paul Oliveria. (September 17, 2013). TrendLabs Security Intelligence Blog. “Fingerprint Scans, Passwords, and Managing Online Accounts.”,
http://blog.trendmicro.com/trendlabs-security-intelligence/fingerprint-scans-passwords-and-managing-online-accounts/.
25.
Gelo Abendan. (August 27, 2013). TrendLabs Security Intelligence Blog. “Zero-Day-Exploit für Java 6: Oracle patcht diese Version nicht mehr.”,
http://blog.trendmicro.de/zero-day-exploit-fuer-java-6-oracle-patcht-diese-version-nicht-mehr/.
26.
Anthony Melgarejo. (March 12, 2013). TrendLabs Security Intelligence Blog. “Das neue Exploit Kit Neutrino.”,
http://blog.trendmicro.de/das-neue-exploit-kit-neutrino/.
27.
Pavan Thorat. (September 18, 2013). TrendLabs Security Intelligence Blog. “Zero-Day-Lücke im IE wird für gezielte Angriffe missbraucht”,
http://blog.trendmicro.de/zero-day-luecke-im-ie-wird-fuer-gezielte-angriffe-missbraucht/.
28.
Noriyaki Hayashi. (August 14, 2013). TrendLabs Security Intelligence Blog. “Chinese Underground Creates Tool Exploiting Apache Struts Vulnerability.”,
http://blog.trendmicro.com/trendlabs-security-intelligence/chinese-underground-creates-tool-exploiting-apache-struts-vulnerability/.
29.
Darin Dutcher. (September 4, 2013). TrendLabs Security Intelligence Blog. “Sykipot Now Targeting U.S. Civil Aviation Sector Information.”,
http://blog.trendmicro.com/trendlabs-security-intelligence/sykipot-now-targeting-us-civil-aviation-sector-information/.
30.
Trend Micro Incorporated. (2012) Threat Encyclopedia. “MSCOMCTL.OCX RCE Vulnerability (CVE-2012-0158).”,
http://about-threats.trendmicro.com/us/vulnerability/2580/mscomctlocx%20rce%20vulnerability%20cve20120158 .
24 | Referenzen
Entwickelt von:
Global Technical Support & R&D Center of TREND MICRO
HAFTUNGSAUSSCHLUSS
Die in diesem Dokument bereitgestellten Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie
stellen keine Rechtsberatung dar und sind nicht als solche auszulegen. Die in diesem Dokument bereitgestellten Informationen finden
womöglich nicht auf alle Sachverhalte Anwendung und spiegeln womöglich nicht die jüngsten Sachverhalte wider. Die Inhalte in diesem
Dokument sind ohne eine Rechtsberatung auf der Grundlage der vorgestellten besonderen Fakten und Umstände nicht als verlässlich
oder als Handlungsanweisungen zu verstehen und nicht in anderer Weise auszulegen. Trend Micro behält sich das Recht vor, die Inhalte
dieses Dokuments zu jeder Zeit und ohne Vorankündigung zu ändern.
Übersetzungen in andere Sprachen sind ausschließlich als Unterstützung gedacht. Die Genauigkeit der Übersetzung wird weder
garantiert noch stillschweigend zugesichert. Bei Fragen zur Genauigkeit einer Übersetzung lesen Sie bitte in der offiziellen Fassung des
Dokuments in der Ursprungssprache nach. Diskrepanzen oder Abweichungen in der übersetzten Fassung sind nicht bindend und haben
im Hinblick auf Compliance oder Durchsetzung keine Rechtswirkung.
Trend Micro bemüht sich in diesem Dokument im angemessenen Umfang um die Bereitstellung genauer und aktueller Informationen,
übernimmt jedoch hinsichtlich Genauigkeit, Aktualität und Vollständigkeit keine Haftung und macht diesbezüglich keine Zusicherungen.
Sie erklären Ihr Einverständnis, dass Sie dieses Dokument und seine Inhalte auf eigene Gefahr nutzen und sich darauf berufen.
Trend Micro übernimmt keine Gewährleistung, weder ausdrücklich noch stillschweigend. Weder Trend Micro noch Dritte, die an der
Konzeption, Erstellung oder Bereitstellung dieses Dokuments beteiligt waren, haften für Folgeschäden oder Verluste, insbesondere
direkte, indirekte, besondere oder Nebenschäden, entgangenen Gewinn oder besondere Schäden, die sich aus dem Zugriff auf, der
Verwendung oder Unmöglichkeit der Verwendung oder in Zusammenhang mit der Verwendung dieses Dokuments oder aus Fehlern
und Auslassungen im Inhalt ergeben. Die Verwendung dieser Informationen stellt die Zustimmung zur Nutzung in der vorliegenden
Form dar.
Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht
Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen.
Als Vorreiter bei Server-Security mit mehr als zwanzigjähriger Erfahrung bietet
Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese
Lösungen für Internet-Content-Security und Threat-Management erkennen neue
Bedrohungen schneller und sichern Daten in physischen, virtualisierten und
Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des
Trend Micro Smart Protection Network basierenden Technologien, Lösungen und
Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet.
Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen SicherheitsExperten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio
und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an.

TrendLabs Bericht zur Sicherheitslage im 3. Quartal 2013

Transcription

Similar documents

EinschÃ¤tzung des IAB zur wirtschaftlichen Lage

Kann ich Pflaster fÃ¼r mein Handy Frau Steinbeck 2

Paid Reviews - How To Maintain Your Integrity As a Blogger feedjournal.com

Zum iGZ-Mittelstandsbarometer kompakt

Großflächige Produktion komplexer Mikrooptiken

Adrian Hrinni

Oru THE BLOG

Profil Patrick Sauer IT

dcif-Impulsveranstaltung 20.04.2015

cyber and information security showcase

Group Controller BI (m/w)

Geld verdienen mit Blogs! Hinweis:

Umwelterklärung - Universität Tübingen

trainings 2016 - Sirona Dental Academy

lookbook - Gulickx Schoenen

Aesculap Surgical Instruments

zum e-book - Blog Arbeit & Wirtschaft

für ihre gesundheit kursprogramm januar - juni

media kit - GIT

Unvollkommene Ausgleichsprozesse am Arbeitsmarkt

pdf, 1.002 KB, barrierefrei - Bundesamt für Migration und Flüchtlinge

Document 6548005