Malware – Diese neuen Angriffsflächen werden ausgenutzt

Ransomware und andere Angreifer werden für Netzwerke immer gefährlicher. Malware nutzt immer schneller aktuelle Sicherheitslücken aus. Aus diesem Grund sollten Administratoren sich vorbereiten und das Netzwerk schützen. Anwender müssen darüber informiert werden, wie sie sich vor Phishing und anderen Technologien schützen.

Malware wird nach einer aktuellen Studie des Sicherheitsspezialisten Cofense immer raffinierter. Angreifer nutzen neue Sicherheitslücken schneller aus, und verwenden neue Angriffsflächen für das Eindringen in Computersysteme. Wir geben einen Überblick welche Gefahren drohen und auf was Anwender und Profis in den nächsten Jahren reagieren müssen, um sicherzustellen, dass Malware keinen großen Schaden im Netzwerk anrichtet.

Malware (Bild Shutterstock)

Bei den Angriffen auf Netzwerke und Computer spielen auch immer mehr öffentlich zugängliche Daten eine wichtige Rolle. Bereits 2017 wurden weltweit gravierende Sicherheitseinbrüche und Malware-Attacken gemeldet. Dazu gehören zum Beispiel auch WannaCry, NotPetya und Shamoon. Diese Angreifer stellen aber nur einen Teil der Gefahren dar. Zwar wurden WannaCry, NotPety und Shamoon stark ins Rampenlicht gesetzt, was aber nicht bedeutet, dass es nicht hunderte weitere Malware gibt, die derzeit noch nicht so stark bekannt sind. Aber auch unbekannte Malware stellt eine Gefahr da und hat bereits erfolgreiche Angriffe zu verzeichnen.

Datendiebstahl und Phishing-Angriffe weiten sich aus

Vor allem Phishing-Angriffe werden durch die Verbreitung sozialer Netzwerke immer raffinierter und erfolgreicher. Durch das Fortschreiten von Kryptowährungen und Blockchains gibt es darüber hinaus neue Angriffsflächen, die natürlich von Angreifern ausgenutzt werden. Das gilt auch für die immer stärkere Verbreitung von Cloud-Diensten. Auch hier gibt es neue Angriffsflächen, um sensible Daten von Unternehmen, aber auch von Privatpersonen zu stehlen. Dazu kommt, dass Phishing-Mails auch internationalisiert werden. Anwender erhalten nicht nur englischsprachige E-Mails, sondern immer häufiger E-Mails in der eigenen Landessprache. Dadurch werden Phishing-Mails authentischer.

In Zukunft werden aber auch bereits bekannte Angriffe weiter ausgebaut werden. Für die Produktivität in Unternehmen ist es zum Beispiel wichtig, dass bestimmte Technologien in Microsoft Office von Anwendern in Unternehmen genutzt werden. Diese Techniken sind aber wiederum auch häufige Einfallstore für Malware. Aus diesem Grund gilt es einen Kompromiss zu finden. Im nächsten Abschnitt beschreiben wir diese Techniken und die damit verbundenen Gefahren erneut.

Microsoft Office kann für Angriffe missbraucht werden

Um Phishing-Angriffe durchzuführen nutzen Angreifer generell verschiedene Methoden aus. Zunächst werden herkömmliche Anwendungen infiziert, um an Daten von Benutzern zu gelangen. Beispiel dafür ist das Nutzen von Microsoft Office um an Daten von Anwendern zu gelangen. In einem solchen Szenario werden Teile von Office übernommen, um an die Daten von Unternehmen oder Benutzern zu gelangen.

Ein häufiges Szenario, dass Angreifer nutzen, um über Microsoft Office an Daten von Benutzern oder Unternehmen zu gelangen, ist das Ausnutzen von „Object Linking and Embedding (OLE)“ in Microsoft Office. OLE dient dazu Dokumente und Anwendungen miteinander zu verknüpfen. Kompromittierte Office-Dokumente, die diese Technik nutzen, sind häufig schwer zu erkennen. Vor allem Makros werden hier oft verwendet, um Daten zu übernehmen.

Auch der dynamische Datenaustausch (Dynamic Data Exchange, DDE) von Microsoft Office kann missbraucht werden, um mit Makros oder anderen Funktionen Daten von Anwendern zu stehlen. Bei dieser Technik werden Daten zwischen verschiedenen Office-Dokumenten ausgetauscht. Das wird von Malware dazu verwendet, um über kompromittierte Dokumente Daten von anderen Dokumenten auszulesen.  Ein verseuchtes Word-Dokument kann dadurch zum Beispiel auch unerlaubt Daten aus einer Excel-Tabelle auslesen, die wiederum wichtige und sensible Daten enthält. Solche Angriffe werden häufig dadurch gestartet, indem ein kompromittiertes Office-Dokument per Mail verschickt wird. Sobald Anwender das Dokument öffnen, kann die Malware beginnen Daten auszulesen. OLE und DDE werden häufig über schädliche PowerShell-Skripte ausgenutzt.

Makro-Viren auch in PDFs gefährlich

Zu den Angriffen in Microsoft Office kommt als drittes Einfallstor auch das Ausnutzen von nicht geschlossenen Sicherheitslücken oder der Verwendung von veralteter Software. Malware wie Dridex, Locky, Jaff und TrickBot verbreiten sich zum Beispiel über kompromittierte PDF-Dateien, um Schwachstellen in Microsoft-Office zu nutzen. Häufig werden Dokumente kennwortgeschützt verschickt. In der Phishing-Mail, die Anwendern zugeht, ist das Kennwort in Klartext enthalten. So kann der Anwender das verschlüsselte Dokument öffnen, und der Angriff der Malware startet.

URL-Verkürzungen und Weiterleitungen werden häufig ausgenutzt

Neben verseuchten PDF- oder Office-Dokumenten werden häufig auch URLs verwendet, die von URL-Verkürzungsdiensten stammen. Werden Dienste wie bit.ly, goo.gl und ow.ly verwendet, ist es für Anwender schwer zu erkennen, ob die URL, die hinter der Verkürzung steht, gefährlich ist. Außerdem werden dadurch einige Sicherheitssysteme umgangen, da so gefährliche Domänen nicht immer erkannt werden. Häufig wird die URL-Umleitung mit mehreren Weiterleitungen kombiniert, sodass es noch schwerer ist, die tatsächliche URL vor dem Anklicken zu identifizieren. In vielen Fällen werden mehrere URL-Verkürzungsdienste miteinander verbunden, um die URL jeweils weiterzuleiten.

Neue Angriffsmethoden sind gefährlich

Eine weitere Variante von Phishing-Angriffen ist das regelmäßige Entwickeln neuer Angriffsmethoden für das Phishing. Diese passen sich an neue Technologien und Clouddienste an. Neue Angriffsmethoden werden häufig mit bereits bekannten Malware-Angriffen kombiniert. So werden zum Beispiel Sicherheitslücken im bereits erwähnten DDE von PowerShell-Skripten dazu verwendet, mehrere Arten von Malware zu verbreiten. Dazu gehören Bots, Ransomware und Malware, die Informationen ausliest. VBScripte mit mit PowerShell-Befehlen können zum Beispiel schädliche Microsoft Office-Rich-Text-Format (RTF)-Dokumente herunterladen, um Angriffe durchzuführen. Sicherheitslücken in der Remotecodeausführung von Microsoft Office-Software sind dabei besonders häufig anzutreffen. Dabei kann Software zum Beispiel nicht richtig mit Objekten im Speicher umgehen, die unter dem Namen „CVE-2017-11882“ bekannt sind.

SMB-Zugriffe von Malware unterbinden

Auch Sicherheitslücken des Server Message Block (SMB) sind gefährlich. So konnten zum Beispiel WannaCry und NotPetya in Netzwerke eindringen. Vor allem, wenn Server und Arbeitsstationen nicht aktuell gehalten werden, und keine Sicherheitsupdates erhalten, drohen erfolgreiche Angriffe im Netzwerk. Hier ist es wichtig, dass Unternehmen darauf achten Sicherheitslücken zu schließen, indem aktuelle Windows-Versionen zum Einsatz kommen, und diese Systeme auch gepatcht werden.

Cloud-Dienste eröffnen neue Angriffsmethoden

Durch die starke Verbreitung von Clouddiensten, werden auch die Angriffsmethoden raffinierter. Dazu kommt, dass Angreifer selbst Clouddienste, wie Google Documents, DropBox und Cubby zur Verteilung von Malware nutzen. Die Malware „Zeus Panda“ nutzt zum Beispiel Hyperlinks zu Google Docs. Hier werden Word-Dokumente mit Makroskripten heruntergeladen, die wiederum die Malware im Netzwerk startet. Andere Angriffe zielen auf Anmeldedaten der Opfer ab. Auch hier spielen vor allem Clouddienste eine Rolle. Diese Angriffe verdeutlichen die Gefahr der Verwendung von E-Mails bei Angriffen auf Clouddienste. Manche Angreifer erstellen eine fingierte Anmeldeseite, um Anmeldedaten von Anwendern oder Administratoren zu erhalten. Bei Office 365 liegt ein starker Anstieg gezielten Anmeldedaten-Phishings vor. Microsoft hat hier reagiert und bietet Lösungen für das Sensibilisieren von Anwendern.

Cofense Triage (Bild Cofense)Cofense Triage bietet eine Echtzeitanzeige und schnelle Verifizierung
von laufenden Angriffen (Bild: Cofense).

Bei Spear-Phishing-Attacken versuchen Angreifer gezielt Anmeldedaten oder andere vertrauliche Informationen von Anwendern aus einer Organisation, Abteilung oder sogar von einzelnen Personen zu erhalten. Die Angreifer versuchen über Phishing-Mails Anwender auf eine manipulierte Seite umzuleiten. Auf dieser Seite müssen die Anwender ihre Anmeldedaten eingeben. Die Angreifer erhalten dadurch Zugriff auf diese Daten.

Ähnliche Konzepte auf Banking-, E-Mail- und andere Cloud-Dienst-Konten ab. Meist werden Links zu Webseiten, auf denen Anmeldedaten erschlichen werden, über Phishing-E-Mails verbreitet, die passend zu den gewünschten Anmeldedaten gestaltet sind. Netzwerkadministratoren müssen Benutzer über diese neue Angriffsfläche informieren und ihnen beibringen, wie Anmeldedaten-Phishing-Angriffe zu erkennen sind.

Ransomware entwickelt sich weiter – Ransomware-as-a-Service

Auch wenn immer mehr Schutz gegen Ransomware entwickelt wird, lässt sich diese Art von Angriffen nicht schnell ausmerzen. Cerber-Ransomware-Kampagnen übertrafen die von Locky und wurden am häufigsten durch Phishing verbreitet. Locky selbst ist aber noch immer aktiv. Neu sind Angreifer im Stil von „Ransomware-as-a-Service“. Dabei wird Ransomware bereitgestellt und kann von Angreifern dazu verwendet werden, eigene Attacken zu starten.  Dadurch sind auch Anfänger in der Lage Ransomware wie „Cerber“ zu verbreiten.

Ransomware-Angreifer nutzen nicht mehr nur Archivdateien und Skriptanwendungen in Jscript oder Visual Basic, die per Mail verschickt werden. Auch Mails, die URLs enthalten, können zu Infizierung mit Ransomware führen. Einmal angeklickt, senden diese URLs eine HTTP-GET-Anfrage an ein PHP-Skript, das den Browser des Opfers nutzt. Hier wird ein Archiv heruntergeladen, das die JavaScript-Anwendung enthält. So wird zum Beispiel Locky verbreitet. Auch das bereits erwähnte DDE-Feature von Microsoft Office wird dazu missbraucht, um Locky zu verbreiten.

In einer im Juli 2017 durchgeführten Ransomware-Kampagne mit dem Namen „Karo“ wurden die Opfer in einer Nachricht damit bedroht, dass bei Nichtzahlung private Informationen öffentlich gemacht würden. Hier geht es also nicht nur darum, dass Dokument verschlüsselt werden, sondern dass sensible Daten an die Öffentlichkeit gelangen. Dazu gehören persönliche und finanzielle Daten, aber auch Nacktfotos und andere sehr private Daten.

Die Verschlüsselungs-Ransomware „Philadelphia“ verschlüsselt nicht nur Daten, sondern füllt den Festplattenplatz komplett aus, sodass kein Speicherplatz mehr zur Verfügung steht. Dadurch ist es dem Opfer nur in sehr begrenztem Maße möglich, seinen Computer weiter zu verwenden.

Botnets und Malware-Programme zum Datenraub

Auch die Verbreitung von Botnets vergrößert sich stetig. Ursnif, TrickBot, DELoader und Zeus Panda sind nur einige Beispiele solcher Malware. Bots, die auf Finanzkriminalität ausgelegt sind, und Banking-Trojaner, übertreffen bereits die Ransomware-basierten Malware-Kampagnen. Viele Banking-Trojaner und Datenräuber haben modulare Eigenschaften und sind anpassbar.

Stichproben von Ursnif enthielten einen Keylogger. Dieser protokolliert jeden Tastenanschlag, der an einem betroffenen Computer vorgenommen wird, um detaillierte Informationen zu sammeln. Malware wie „Ursnif“ verbreiten passwortgeschützte Dokumente. Einmal geöffnet, erfordern sie Zugriff auf eingebettete Objekte und lösen ein OLE-Paket aus. In einigen wenigen Fällen wurde Ursnif durch den Missbrauch von SVG-Grafikdateien verbreitet.

Auch die Windows-Skriptkomponente (Windows Script Component, WSC) wird verwendet, um Malware zu verbreiten und Virenscanner zu umgehen. Die WSC hat eine sehr geringe Größe, weil sie nur Anweisungen, die im XML-Skript eingebettet sind, zum Erlangen von zusätzlichen Befehlen enthält. In diesen Fällen wird XML verwendet, um weitere Daten zu laden. Dabei kann die verwendete Malware und deren Zweck auch jederzeit geändert werden.

TrickBot-Module und -Plug-Ins beinhalteten ein Erkundungs-Tool zur Sammlung von Daten über infizierte Hosts, um dem Angreifer die Festlegung der nächsten Schritte zu ermöglichen. Zeus Panda kann zum Beispiel die im Cookie-Cache des Browsers oder Passwort-Safe gespeicherten Kennwörter auslesen. Sobald das geschehen ist, kann ein anderer Angreifer diese Daten aktiv nutzen. Darüber hinaus ermöglicht Zeus Panda es, infizierte Rechner als Netzwerkproxy oder zur Umleitung des Datenverkehrs zu missbrauchen. Hierbei ermöglichen VNC-Module die vollständige Fernsteuerung infizierter Hosts.

Bitcoin-Miner immer verbreiteter

Zyklon HTTP kann Webbrowser-Daten, E-Mail-Anmeldeinformationen, Details von FTP-Authentifizierungen, Videospiel- und Softwarelizenzen und Bitcoin-Wallets finden und stehlen. Die Malware kann einen Bitcoin-Miner beauftragen und den anonymen Browsing-Dienst „Tor“ steuern.

Phishing von Software für das Mining von Kryptowährung, auch als Crypto-Miner-Botnets bekannt, finden eine immer größere Verbreitung. Diese missbrauchen infizierte Computer für das Mining von Kryptowährungen. Dies ist ein rechenintensiver Prozess, der große Mengen von Computerressourcen benötigt. Infizierte Computer werden also dazu verwendet, Kryptowährung für den Angreifer zu generieren, ohne dass der Besitzer des Geräts darüber Bescheid weiß. Die Leistung  infizierter Geräte wird dabei reduziert.

Hierzu werden zum Beispiel Makro-Skripte verbreitet, die einen Crypto-Miner-Host herunterladen und ausführen. Das Makro-Skript stellt der Anwendung Anweisungen, zu welchem Mining-Pool sie gehört, zur Verfügung. Auch wohin die erstellte Währung  gesendet werden soll, und verschiedene Laufzeitvariablen, wie die maximale CPU-Auslastung werden gesteuert.

Was Anwender und Profis tun können

Angreifer werden sich mit hoher Wahrscheinlichkeit weiterhin auf simple Skripte und flexible Payloads verlassen. Diese sind einfach anzupassen und zu modularisieren. Die Beliebtheit des DDE-Missbrauchs in Microsoft Office zeigt, wie begierig  und schnell Angreifer sind, solche Gelegenheiten zu nutzen. Im Rahmen der Entwicklung der Bedrohungslandschaft führen neue Technologien zum Aufkommen neuer Angreifer. Unternehmen müssen eine ganzheitliche Strategie zur Bekämpfung der zahlreichen Bedrohungen für ihre Infrastruktur entwickeln. Alle Daten müssen inventarisiert und gesichert werden, sodass ein Unternehmen im Falle eines erfolgreichen Ransomware-Angriffs oder einer anderen destruktiven Attacke besser in der Lage ist, seine Daten angemessen wiederherzustellen.

Netzwerkadministratoren von Unternehmen müssen sich laufend über die Entwicklung von Malware-Kampagnen informieren. Besonders wichtig ist, dass Sicherheitsexperten umfassende Sicherheitsstrategien zur Bekämpfung von Phishing umsetzen. Phishing ist die zuverlässigste, flexibelste und gängigste Angriffsmethode.

Administratoren sollten Benutzer regelmäßig über Bedrohungen aufklären und eine Möglichkeit zum Melden von Phishing-Emails zur Verfügung stellen. Unternehmen sollten ihren Benutzern die Möglichkeit geben Phishing-E-Mails zu identifizieren und zu melden. So erhalten Administratoren Einblicke in alle Angriffsversuche auf ihre Organisation.

Um sich auf zukünftige Angriffe einzustellen, sollten die Computersysteme im Unternehmen aktuell gehalten werden. Sicherheitspatches sollten so schnell wie möglich zum Einsatz kommen. Anwender, Administratoren und Sicherheitsbeauftragte müssen eng zusammenarbeiten, um auch in Zukunft sicherzustellen, dass Malware-Angriffe eingeschränkt werden.

Weiterführende Links

Themenseiten: Cofense Anti-Phishing-Lösungen, Malware, Phishing, Ransomware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen: