McAFEE LABS THREAT

Transcrição

McAFEE LABS THREAT

McAfee Labs
Threat-Report
Juni 2014
Bericht
McAfee Labs Threat-Report | Juni 2014
1
Informationen zu McAfee Labs
McAfee Labs ist weltweit führend bei Bedrohungsforschung sowie Bedrohungs
analysen und gilt als Vordenker im Bereich Internetsicherheit. Dank der Daten
von Millionen Sensoren für alle wichtigen Bedrohungsvektoren (Dateien, Web,
Nachrichten und Netzwerke) bietet McAfee Labs Echtzeit-Bedrohungsdaten,
wichtige Analysen und Expertenwissen für besseren Schutz und Risikominimierung.
www.mcafee.com/de/mcafee-labs.aspx
Einführung
Die von McAfee verfassten
Berichte spiegeln unser
Engagement wieder,
Internetspionage-Ereignisse
zu untersuchen und
zu erklären.
Der schottische Autor Robert Burns schrieb 1785 in seinem Gedicht „To A Mouse“
(An eine Maus): Der beste Plan, ob Maus, ob Mann, geht oftmals ganz daneben.
Mehr als 200 Jahre später hat seine Beobachtung keinesfalls an Gültigkeit verloren.
McAfee hat sich zum Ziel gesetzt, den McAfee Labs Threat-Report so kurz wie möglich
nach dem Ende jedes Quartals zu veröffentlichen. Dieses Quartal stellte jedoch eine
Ausnahme dar. Jeder Sicherheitsexperte hat davon gehört, dass die HeartbleedSchwachstelle im April veröffentlicht wurde. Zu diesem Zeitpunkt hatten wir gerade
damit begonnen, diesen Bericht zusammenzustellen. Die Aufmerksamkeit unserer
Bedrohungsforscher konzentrierte sich sofort auf Heartbleed, einerseits um diese
Schwachstelle zu verstehen und um andererseits zu gewährleisten, dass die McAfeeTechnologien unsere Kunden davor schützen würden. Aus diesem Grund verzögerte
sich die Veröffentlichung dieses Berichts. Wieder einmal ging der beste Plan daneben.
In diesem Bericht sprechen wir Heartbleed noch nicht an, da es immer noch zu früh
ist, um die Auswirkungen dieser Schwachstelle vollständig zu erfassen. Sie sollten sich
jedoch unseren nächsten Threat-Report nicht entgehen lassen. Stattdessen stellen wir
mehrere Themen vor, die viele unserer Kunden interessieren dürften. Unsere beiden
Artikel zu Mobilgeräte-Malware sprechen unterschiedliche Aspekte dieser äußerst
wandlungsfähigen Gefahr an. Wir behandeln auch ein ungewöhnliches Phänomen
beim Schürfen virtueller Währungen, bei dem nur die Verkäufer des Werkzeugs reich
werden. Und schließlich sprechen wir über den Rückgang bei neuen Rootkits und
erklären, warum sich diese Entwicklung unserer Meinung nach umkehrt.
Möglicherweise könnten Sie sich für einige andere wichtige McAfee-Berichte
interessieren, die sich um Internetspionage drehen. Im April veröffentlichte Verizon
den Verizon 2014 Data Breach Investigations Report (Untersuchungsbericht zu
Datenkompromittierungen 2014). McAfee arbeitete mit Verizon zusammen und
stellte Informationen aus unserem Bericht Analyse der Operation Troy zur Verfügung.
Anfang Juni veröffentlichten wir dann einen in Auftrag gegebenen Bericht des
CSIS (Center for Strategic and International Studies) mit dem Titel Nettoverluste:
Eine Schätzung der weltweiten Verluste durch Internetkriminalität. Diese Berichte
verdeutlichen die erheblichen Investitionen, mit denen McAfee zur branchenweit
vertrauenswürdigsten Quelle für Hintergrundinformationen und Perspektiven zu
Internetspionage geworden ist.
McAfee Labs folgen
Vincent Weafer, Senior Vice President, McAfee Labs
2
Inhalt
McAfee Labs Threat-Report
Juni 2014
Dieser Bericht wurde
von folgenden Personen
vorbereitet und geschrieben:
Benjamin Cruz
Deepak Gupta
Aditya Kapoor
Haifei Li
Charles McFarland
Francisca Moreno
François Paget
Craig Schmugar
Rick Simon
Dan Sommer
Bing Sun
James Walter
Adam Wosotowsky
Chong Xu
Kurzfassung
4
Wichtigste Themen IN DIESEM QUARTAL
Angriff der Flappy Bird-Klone 6
Kein „Goldgräber“-Problem 8
Rootkits nehmen neuen Anlauf 11
Mobilgeräte-Malware nutzt Schwachstellen,
Apps und Dienste aus 16
Statistische Bedrohungsdaten
Mobilgeräte-Malware 19
Malware 20
Internetbedrohungen 23
Gefährliche Nachrichten
25
Netzwerkbedrohungen 26
Kurzfassung
Kurzfassung
Angriff der Flappy Bird-Klone
Internetkriminelle haben
hunderte Flappy Bird-Klone
entwickelt, die Malware
enthalten. Unsere Analyse
von 300 Klonen zeigte,
dass 238 Flappy Bird-Klone
infiziert waren.
Dieses Spiel hat durchaus ernste Konsequenzen. Das Mobilgerätespiel Flappy Bird
verzeichnete im letzten Jahr sowie Anfang dieses Jahres einen kometenhaften Anstieg
bei der Beliebtheit und wurde im Februar von seinem Autor zurückgezogen. Diese
enorme Beliebtheit war für Internetkriminelle Grund genug, hunderte mit Malware
infizierte Flappy Bird-Klone zu entwickeln. McAfee Labs erfasste in einer Stichprobe
300 dieser Klone und stellte fest, dass fast 80 Prozent davon Malware enthielten.
Das von uns festgestellte Verhalten umfasste unter anderem Anrufe ohne das
Einverständnis des Benutzers, den Versand, die Aufzeichnung und den Empfang von
SMS-Nachrichten, die Erfassung von Kontaktdaten sowie die Standortüberwachung.
Im schlimmsten Fall erlangte die Malware Superuser-Zugriff und damit ungehinderte
Kontrolle über alles, was sich auf dem Mobilgerät befindet. Dies können auch
vertrauliche Geschäftsinformationen sein.
Kein „Goldgräber“-Problem
McAfee Labs geht davon aus,
dass Bot-Anbieter Schlangenöl
verkaufen, wenn sie behaupten,
dass Botnet-Betreiber virtuelle
Währungen profitabel
schürfen können.
McAfee Labs hat mehrere Berichte zu virtuellen Währungen veröffentlicht, darunter
Digitale Geldwäsche, Jackpot! Geldwäsche im Online-Glücksspiel und den McAfee Labs
Threat-Report für das dritte Quartal 2013. In diesem Quartal untersuchen wir ein
Thema des Bereichs virtuelle Währung, dem wir mit blankem Unverständnis begegnen.
Wir registrieren mittlerweile Botnets, die Funktionen zum Schürfen virtueller Währungen
enthalten. Wenn wir jedoch die Zahlen dahinter durchrechnen, halten wir es für relativ
unwahrscheinlich, dass Botnet-Betreiber damit tatsächlich Geld verdienen. Unserer
Meinung nach sind die einzigen, die wirklich Geld an dieser Funktion verdienen, die
Verkäufer der Bot-Tools.
Rootkits nehmen neuen Anlauf
Nach einem Rückgang bei
neuen Rootkits seit 2011 geht
McAfee Labs davon aus, dass
sich diese Entwicklung schon
bald umkehren wird.
In mehreren Beispielen zeigt
McAfee Labs, dass der Schutz
von Mobilgeräte-Plattformen
nicht ausreichend ist. Die
Entwickler von MobilgeräteApps müssen ihre Apps besser
schützen und die Benutzer
wachsamer sein, wenn sie Apps
Berechtigungen erteilen.
McAfee Labs folgen
Gute Neuigkeiten – dachten wir. Seit Mitte 2011 beobachtet McAfee Labs einen
Rückgang der Zahl neuer Rootkits. Tatsächlich registrierten wir im letzten Quartal
den niedrigsten Wert neuer Rootkits seit 2008. Der Grund dafür ist wahrscheinlich
der verbesserte Schutz von 64-Bit-Prozessoren und den zugehörigen 64-Bit-Betriebs
systemen. Internetkriminelle sind jedoch erfinderisch, und so verzeichneten wir in
diesem Quartal wieder einen Anstieg, der jedoch auf eine einzige 32-Bit-MalwareFamilie zurückging. Die Angreifer haben gelernt, digitale Root-Zertifikate abzufangen,
Kernel-Schwachstellen auszunutzen und 64-Bit-Sicherheitsmaßnahmen zu umgehen.
Wir glauben, dass neue 64-Bit-Umgehungstechniken schon bald zu einer Zunahme
Rootkit-basierter Angriffe führen werden.
Mobilgeräte-Malware nutzt Schwachstellen, Apps und Dienste aus
In diesem Artikel zählen wir mehrere Beispiele auf, die verdeutlichen, auf welche
Weise Malware Mobilgeräte-Plattformen missbrauchen kann. Das erste Beispiel
zeigt, wie eine App aus dem Google Play Store ohne Einwilligung des Benutzers
automatisch weitere Apps herunterlädt, installiert und startet. In diesem Beispiel hat
die heimtückische App die Malware zwar nicht selbst heruntergeladen, profitierte
jedoch durch ein Pay-to-Download-Modell. Von hier ist es nur ein kleiner Schritt
zum automatischen Download Malware-verseuchter Apps. Im zweiten Beispiel
nutzt ein Trojaner eine Sicherheitslücke in einem legitimen digitalen GeldbörsenService aus, um Geld zu stehlen. Das dritte Beispiel wiederum zeigt, wie eine
Verschlüsselungsschwachstelle in der beliebten Kurznachrichten-App WhatsApp zum
Auslesen von Konversationen und Fotos genutzt wurde. Obwohl diese Schwachstelle
geschlossen wurde, zeigt sie, dass Angreifer auch weiterhin nach Schlupflöchern in
Mobilgeräte-Plattformen suchen werden.
Im 1. Quartal 2014 knackten die Malware-Exemplare
im Bestand von McAfee Labs die Gesamtzahl von
200 Millionen Varianten.
4
Wichtigste Themen
in diesem Quartal
5
Wichtigste Themen
Angriff der Flappy Bird-Klone
Wieder einmal können wir beobachten, dass Social
Engineering in Verbindung mit einem „brandheißen Spiel“
eine Fundgrube für Malware darstellt. Die aktuelle Plage ist
eine Schar böswilliger Flappy Bird-Klone.
Das ursprüngliche Spiel „Flappy Bird“ wurde Mitte 2013
auf Apple iOS und Anfang dieses Jahres auf Android
veröffentlicht. Das Spiel wurde mit mehr als 50 Millionen
Downloads zu einem enormen Erfolg und bescherte
Entwickler Dong Nguyen eine große Bekanntheit, bevor
er die App im Februar aus dem Marktplatz zurückzog.
In den letzten Ausgaben des McAfee Labs Threat-Reports
berichteten wir von einer rasanten Zunahme bei MobilgeräteMalware. Der Hype um Flappy Bird und die nachfolgende
Malware-Welle sind ein hervorragendes Beispiel dafür, wie
Malware-Autoren die übermäßige Begeisterung mancher
Nutzer für legitime Apps oder Spiele ausnutzen. Schon vor der
Entfernung aus den Online-Marktplätzen existierten böswillige
Flappy Bird-Klone, doch infolge des Zurückziehens stieg die
Nachfrage nach Flappy Bird-ähnlichen Spielen noch weiter an.
Im ersten Quartal des Jahres 2014 wurden hunderte Flappy
Bird-Klone veröffentlicht, die zumeist böswillig waren.
Das ursprüngliche Flappy Bird-Spiel
Ein weiterer böswilliger Flappy Bird-Klon
Ein böswilliger Flappy Bird-Klon
McAfee Labs folgen
6
Wichtigste Themen
Gegen Ende des ersten Quartals untersuchte McAfee Labs
eine Probe von 300 Flappy Bird-Klonen aus unserem Mobil
geräte-Malware-Bestand. Von diesen 300 Exemplaren
mussten wir 238 als gefährlich einstufen. Angesichts
der Geschwindigkeit, mit denen diese böswilligen Apps
veröffentlicht wurden, sowie ihrer Download-Zahlen ist
die Situation Besorgnis erregend.
Wie gehen diese böswilligen Apps vor? Abgesehen davon,
dass sie Flappy Bird als Social-Engineering-Köder nutzen,
enthalten sie erheblich mehr Funktionen als das ursprüngliche
Spiel. Dadurch zeigen sie eine Vielfalt an fragwürdigem,
schädlichem und neugierigem Verhalten.
Bei der Bewertung der Gefährlichkeit einer MobilgeräteAnwendung oder eines -Pakets wird manches Verhalten
stärker gewichtet als anderes. Das folgende Beispiel
verdeutlicht dies anschaulich: com.touch18.flappybird.app
(3113ad96fa1b37acb50922ac34f04352) ist einer der vielen
böswilligen Flappy Bird-Klone.
Zu seinem böswilligen Verhalten zählt unter anderem:
• Durchführung
von Anrufen ohne Einverständnis des Benutzers
• Installation
zusätzlicher Anwendungen ohne Einverständnis
des Benutzers
• Bereitstellung
der Möglichkeit für Apps, ohne Einverständnis
des Benutzers eingehende SMS-Nachrichten zu überwachen,
sie aufzuzeichnen oder zu verarbeiten
• Versand
von SMS-Nachrichten ohne Einverständnis
des Benutzers
• Extrahierung
• Versand
von SMS-Nachrichten
von Daten an eine Mobilfunknummer per SMS
• Bereitstellung
der Möglichkeit für eine App, ohne
Einverständnis des Benutzers die Kontaktdaten einzulesen
• Extrahierung
der GPS-Standortdaten
• Erfassung
der IMEI-Nummer sowie MAC-Adresse und
Übertragung an Dritte (JSON) ohne Einverständnis
des Benutzers
• Versand
von Daten zur Benutzeraktivität an Dritte
• Bereitstellung
der Möglichkeit für eine App,
ohne Einverständnis des Benutzers die Funktion
killBackgroundProcesses(String) aufzurufen
Ein böswilliger Flappy Bird-Klon, der Superuser-Zugang zu
erlangen versucht
Wie wir an anderer Stelle in diesem Bericht zeigen, wächst die
Anzahl und Effektivität von Mobilgeräte-Malware ungebremst.
Diese Geräte sind ein leichtes Ziel für Angreifer. Wir müssen
wachsam bleiben und unser Verhalten ständig kontrollieren,
um die Installation von böswilligem Code zu vermeiden.
Software-Kontrollen (Malware-Schutz, sichere Container u. a.)
sind dabei nur einer von vielen Schritten. Machen Sie sich
bewusst, und kontrollieren Sie, von welcher Quelle Sie Apps
und Spiele herunterladen oder installieren. Wenn Sie Ihr Gerät
stets „sauber“ halten und gesunden Menschenverstand
walten lassen, haben Sie schon viel erreicht.
Der böswillige Flappy Bird-Klon com.touch18.flappybird.app
McAfee Labs folgen
7
Wichtigste Themen
Kein „Goldgräber“-Problem
Aus Sicht der Sicherheits- und Malware-Forscher hat das Geschäft rund um das
Schürfen virtueller Währungen einen weiteren interessanten Schritt getan. Wir
verzeichnen jetzt Botnets mit verschiedenen Funktionen zur Generierung virtueller
Währungen. Doch selbst wenn wir davon ausgehen, dass Hardware und Strom für
den Schürfer keine Kostenfaktoren darstellen (sie werden ja schließlich von den Opfern
getragen), wird der Gewinn durch die Komplexität der Schürf-Algorithmen und
die nicht spezialisierte Hardware, die nach der Infektion missbraucht wird, zunichte
gemacht. Letztendlich zeigt sich, dass Botnet-Anbieter Schlangenöl verkaufen, wenn
sie behaupten, dass Botnet-Käufer virtuelle Währungen profitabel schürfen können.
Mehr noch: Botnet-Betreiber müssen mit verstärkter Entdeckung rechnen, da ihre
Opfer die hohe Last durch die Schürfaktivitäten leichter bemerken können.
Die Hauptmotivation der Botnet-Malware-Anbieter ist seit Jahren der finanzielle
Gewinn. Für die Autoren von Malware, Kits und Exploits sowie für die Kriminellen,
die diese Tools kaufen und damit Botnets aufbauen, lässt sich gutes Geld verdienen.
Vor kurzem kam noch ein weiterer Faktor hinzu: das Schürfen virtueller Währungen
als Botnet-Kernfunktion. Wir stellen fest, dass diese Funktion für die beliebtesten
Plattformen (darunter Mobilgeräte) angeboten wird. Diese neue Entwicklung ähnelt
vergangenen Neuerungen bei Bots und Malware, zum Beispiel dem Aufkommen von
DDoS-Angriffen (Distributed Denial of Service), der Wiederbelebung von Installationen,
privaten Aktualisierungsmechanismen und aktiver Erkennungsumgehung.
Eine Suche in einem beliebigen Untergrund-Sicherheitsforum oder -marktplatz fördert
unzählige SHA-256- und SCRYPT-Schürfer-Botnets, Generatoren und gecrackte
Versionen kommerzieller Generatoren und Kits zutage. Hinzu kommen die üblichen
DDoS-Bots, Cryptors sowie weitere böswillige Services und Tools. Einige aktuelle
Exemplare sind beispielsweise EnvyMiner, DeadCow, SovietMiner, JHTTP, Black Puppet
und Aura, und sie stellen nur eine winzige Auswahl der angebotenen Produkte dar.
Hier einige Beispiele für Generatoren oder Services sowie die jeweiligen Preise:
• Aura
(SHA-256, SCRYPT, SCRYPT-Jane miner): 50 USD für eine lebenslange Lizenz
• Black
Puppet (Bitcoin): 10 USD pro Monat oder 20 USD für eine lebenslange Lizenz
• HTTP
(SHA-256, SCRYPT): 50 USD pro Monat oder 200 USD für eine lebenslange Lizenz
• SovietMiner
(SHA-256, SCRYPT): 15 USD pro Monat
• DeadCow
Hashing-Algorithmen
für Kryptowährungen
SHA-256: Die kryptografische
Hash-Funktion für das Schürfen
ist der NIST-Standard SHA-256.
Dies ist die komplexeste Methode.
Erfolgreiches „Schürfen“
erfordert spezialisierte oder
separate Hardware bzw.
Recheneinheiten (ASICs).
Beispiele: Bitcoin, Namecoin
SCRYPT: Eine vereinfache
Funktion zur Schlüssel
bestimmung, die beim
Schürfen eingesetzt wird. Diese
Methode ist besonders für die
Verarbeitung auf HochleistungsGPUs geeignet. Beispiele:
Litecoin, Dogecoin, Vertcoin
(SHA-256, SCRYPT): 15 USD pro Monat oder 45 USD für eine
lebenslange Lizenz
Viele dieser beliebten Schürfer-Bots und -Toolkits sind als geleakte oder gecrackte
Version verfügbar, sodass andere Kriminelle diese Tools ohne Lizenzbeschränkungen
nutzen können.
Die geleakte App Chrome Miner
McAfee Labs folgen
8
Wichtigste Themen
dieser Bots und macht ihre Aktivität auf den infizierten
Computern leichter bemerkbar.
Dadurch erklärt sich auch, warum das Schürfen virtueller
Währungen den Gewinn des Botnet-Betreibers nicht
verbessert: Der Vorgang wird immer komplizierter und
ressourcenaufwändiger, je mehr Schürfer sich daran beteiligen.
Angesichts der aktuellen Komplexität ist es unwahrscheinlich,
dass ein Botnet-Betreiber durch das Einbinden der Schürf
funktion in seine Angriffe größere Gewinne erzielen kann.
Die Rentabilität des Schürfens virtueller Währungen wird durch
eine Reihe von Variablen bestimmt, darunter die zunehmende
Schwierigkeit1, die Hash-Rate2, der Marktwert der virtuellen
Währung sowie der Ausfall der Schürfer. Mit Ausfall ist in
diesem Kontext gemeint, dass die Bot-Malware entdeckt bzw.
aufgrund ihrer sichtbaren Auswirkungen auf das System des
Opfers entfernt wurde.
Die geleakte App Aura Miner
Bei den meisten Kits und Generatoren ist die Funktion zum
Schürfen virtueller Währungen anpass- und konfigurierbar.
Sie lässt sich sogar derart fein einstellen, dass die maximale
CPU-Temperatur während des Schürfens festgelegt
werden kann. Das Schürfen per GPU oder CPU ist ein sehr
ressourcenaufwändiger Vorgang, sodass diese Funktion
zumindest teilweise gedrosselt werden muss, um nicht zu sehr
aufzufallen. Diese Beschränkung senkt die Gesamtrendite
Die Gewinne der Botnet-Betreiber können berechnet werden,
indem die durchschnittliche Hash-Rate (privater und beruflich
genutzter GPUs und CPUs), die Ausfälle, der geschätzte
Anstieg der Schwierigkeit und die Anzahl der Infektionen
sowie weitere Faktoren berücksichtigt werden.
Das folgende Diagramm zeigt ein Botnet zum Schürfen
virtueller Währungen mit 10.000 dauerhaften Bots,
die mit einer durchschnittlichen Gesamt-Hash-Rate
von 100 Megahashes pro Sekunde arbeiten, wobei bei
jedem Schwierigkeitszyklus 5 Prozent der Bots aufgrund
von Erkennung oder Beseitigung entfernt werden.
Der angenommene Bitcoin-Wert liegt bei 500 US-Dollar.
McAfee Labs folgen
9
Wichtigste Themen
Die vorherige Abbildung zeigt den potenziellen Rentabilitätsunterschied
zwischen einem Botnet mit und ohne Bitcoin-Mining als zusätzliche Funktion.
Der Gewinnunterschied wird über mehrere Bitcoin-Schwierigkeitszyklen hinweg
dargestellt, die im Durchschnitt etwa alle zwei Wochen um eine Stufe steigen.
In diesem Beispiel verringert die zusätzliche Funktion zum Schürfen virtueller
Währungen den potenziellen Gewinn durch höhere Bot-Ausfälle sowie die Zeit,
die für die Durchführung anderer, profitablerer Aufgaben (z. B. Diebstahl von
Kennwörtern oder Kreditkartennummern) zur Verfügung steht. Des Weiteren wird
in der Grafik davon ausgegangen, dass der Bot-Verlust gerade einmal 5 Prozent
beträgt – ein unrealistisch niedriger Wert. SCRYPT-basiertes Schürfen virtueller
Währungen wie Litecoin und Dogecoin zeigt ähnliche Probleme.
Die fehlende Möglichkeit zur Generierung von Gewinnen mit Bots zum Schürfen
virtueller Währungen zeigt sich bei Mobilgeräte-Plattformen noch deutlicher. Aktuelle
Beispiele für das Schürfen unter Android sind Zorenium, BadLepricon und Songs.
Mobilgeräte-Plattformen sind doppelt getroffen: Erstens sind die MobilgeräteProzessoren langsamer als privat genutzte Desktop- oder Laptop-Prozessoren und
zweitens ist die Ausfallrate auf Mobilgeräte-Plattformen erheblich höher. Der Grund
dafür ist die begrenzte Akkulaufzeit von Mobilgeräten sowie das größere Risiko von
Hardware-Ausfällen aufgrund der erhöhten Rechenlast. Dadurch sind nennenswerte
Gewinne unmöglich, sofern das Botnet nicht unrealistisch niedrige Ausfallraten aufweist.
In einem hypothetischen Beispiel mit einem Botnet, das aus 10.000 Geräten
aufgebaut ist, liegt der Gewinn ohne Schürfen bei 11.000 US-Dollar, mit aktivierter
Schürffunktion dagegen bei 11.007,61 US-Dollar – eine Differenz von gerade einmal
7,61 US-Dollar. Dabei wird sogar noch eine unrealistisch niedrige Ausfallrate von
0,25 Prozent angenommen. Eine mit 30 Prozent realistische Ausfallrate würde zu
einem Verlust von 3.265 US-Dollar an potenziellen Einnahmen führen.
Das Schürfen virtueller Währungen per Botnet ist keine exotische Methode mehr.
Diese Funktion ist mittlerweile in zahlreichen Toolkits und Generatoren für verschiedene
Plattformen verfügbar. Angesichts der Ressourcenintensität der Schürfalgorithmen
bestehen jedoch berechtigte Zweifel an der Rentabilität dieses Ansatzes. Ungeachtet
dessen lassen sich böswillige Malware-Anbieter keinesfalls daran hindern, jeden nur
möglichen Profit aus ihrer Arbeit zu ziehen.
Die Android-Schürf-App Songs
Bitcoin-Schwierigkeitszyklen
Mit der Schwierigkeit
wird ausgedrückt, wie viel
Rechenaufwand erforderlich
ist, um einen neuen Block zu
generieren. Das Konzept von
Bitcoin hebt die Schwierigkeit aller
2.016 Blöcke (ca. 2 Wochen) an.
McAfee Labs folgen
10
Wichtigste Themen
Rootkits nehmen neuen Anlauf
Anfang 2011 erreichte Rootkit-Malware Rekordhöhen. Seit dieser Zeit beobachtete
McAfee Labs einen Rückgang auf moderatere Wachstumsraten, wobei das letzte
Quartal den niedrigsten Wert seit 2008 aufwies. Die Ursache dafür ist unserer
Meinung nach die zunehmende Nutzung von 64-Bit-Mikroprozessoren, die Angriffe
auf den Betriebssystem-Kernel erschweren. Die Angreifer suchen jedoch nach
Möglichkeiten, die 64-Bit-Schutzmaßnahmen zu überwinden. In diesem Quartal stieg
die Zahl der neue Rootkit-Infektionen erneut, was jedoch hauptsächlich auf eine
einzige 32-Bit-Familie zurückgeht, die eine Anomalie darstellen kann. Möglichkeiten
zur Umgehung von 64-Bit-Schutzmaßnahmen sind die Übernahme digitaler
Zertifikate, Ausnutzung von Kernel-Schwachstellen, Gründung von Tarnfirmen zur
digitalen Signierung von Rootkit-Malware sowie der Angriff auf die integrierten
Sicherheitsfunktionen der Betriebssysteme. Wir gehen davon aus, dass diese und
andere Techniken zu einer Zunahme Rootkit-basierter Angriffe führen werden.
Plattformsicherheit: eine vermeintliche Hürde für Rootkits
Der starke Rückgang vor einigen Jahren bei neuen Rootkit-Varianten, die auf
Windows abzielten (siehe Abbildung), wird zumeist der stärkeren Verbreitung der
64-Bit-Plattform zugeschrieben. Die 64-Bit-Mikroprozessoren und Betriebssysteme
verbessern die Systemsicherheit durch die erzwungene Überprüfung digitaler
Signaturen sowie den Kernel-Patch-Schutz für Software, die die höchste
Berechtigungsstufe im Kernel anfordert.
Die Anzahl der neuen RootkitVarianten, die von McAfee
Labs entdeckt wurden, sank
von 2011 zu 2012 und blieb
seither relativ konstant.
Wir gehen davon aus, dass
immer mehr neue RootkitVarianten erscheinen werden,
da die Angreifer irgendwann
einen Weg finden werden, die
Sicherheitsmaßnahmen von
64-Bit-Systemen zu umgehen.
64-Bit-Mikroprozessoren fanden
ab dem Jahr 2000 ihren Weg in
den Massenmarkt und sind heute
Bestandteil der meisten Systeme.
Auch die Intel-Mikroprozessoren
Core i3, i5 und i7 nutzen den
64-Bit-Befehlssatz.
McAfee Labs folgen
11
Wichtigste Themen
Neben der langsameren Zunahme neuer Varianten verzeichneten wir auch einen
erheblichen Rückgang bei Techniken, die Rootkits zum Erlangen von KernelBerechtigungen einsetzen. Die Angreifer können sich nicht mehr ohne weiteres
in den Kernel einklinken oder gar böswillige Gerätetreiber installieren. Diese
Schutzmaßnahmen haben ohne Zweifel die Kosten für die Entwicklung und
Verteilung von Rootkits auf 64-Bit-Plattformen in die Höhe getrieben.
Was macht Rootkits so gefährlich? Die heimliche Vorgehensweise dieser MalwareFamilie bei der Systeminfektion ermöglicht es ihr, über einen längeren Zeitraum
verborgen zu bleiben und potenziell wertvolle Informationen zu stehlen. Je länger
der Infektionszeitraum, desto größer ist die Wahrscheinlichkeit, dass die Angreifer
geschäftliche und private Daten kompromittieren oder zerstören können.
Hindernislauf
Die Schutzmaßnahmen von 64-Bit-Systemen stellen für gut ausgerüstete Angreifer,
die bereits Einfallstore in den Kernel gefunden haben, keine wirklichen Hindernisse
mehr dar.
Das jüngste Beispiel einer böswilligen Umgehung ist das Rootkit Uroburos3, das sich
drei Jahre lang verbergen konnte. Uroburos nutzte einen alten VirtualBox-KernelTreiber aus, der eine gültige digitale Signatur sowie eine bekannte Schwachstelle
aufwies. (VirtualBox ist eine virtuelle Maschine von Oracle.) Das Rootkit nutzte diese
Schwachstelle aus, um die Prüfung des digitalen Zertifikats durch das Betriebssystem
auszuhebeln und seine unsignierte Malware zu laden. Sobald die Malware im Kernel
geladen ist, deaktiviert sie dessen Patch-Schutz (PatchGuard), der mit der 64-BitVersion von Windows eingeführt wurde. PatchGuard soll das Patchen des Kernels,
eine häufig bei Angriffen genutzte Technik, verhindern.
McAfee Labs folgen
12
Wichtigste Themen
Vertrauensmissbrauch
Doch die Angreifer nutzen nicht nur von Schwachstellen in Drittanbieter-Treibern für
den Kernel-Zugriff aus, sondern stehlen auch private Schlüssel, um ihren böswilligen
Code auf 64-Bit-Systemen auszuführen. Eine gültige digitale Signatur ist auch bei der
Umgehung von Sicherheitsmaßnahmen nützlich. Wir haben einen starken Anstieg bei
böswilligen Binärdateien aller Kategorien registriert, die digitale Signaturen einsetzen
(siehe Abbildungen).
Neue böswillige signierte
Binärdateien bleiben auch
weiterhin eine häufig genutzte
Angriffsmethode und nahmen in
diesem Quartal um 46 Prozent zu.
McAfee Labs folgen
13
Wichtigste Themen
Wir analysierten die Daten der letzten zwei Jahre, um herauszufinden, wie viele
64-Bit-Rootkits gestohlene Signaturen einsetzten. Die Untersuchung zeigte
folgende Ergebnisse:
• Seit
Januar 2012 nutzten mindestens 21 eindeutige 64-Bit-Rootkit-Varianten
gestohlene Zertifikate.
• Die
Malware W64/Winnti missbrauchte seit 2012 mindestens fünf private Schlüssel
legitimer Anbieter, um ihr Rootkit auf 64-Bit-Systemen zu installieren. Zwei dieser
fünf kompromittierten Zertifikate wurden noch nicht zurückgezogen und können
für legitime sowie für böswillige Zwecke genutzt werden.
• Mindestens
ein Rootkit (W64/Korablin) kam beim Zero-Day-Exploit CVE-2013-0633
zum Einsatz und wurde möglicherweise in staatlichem Auftrag verwendet.
Berechtigungserhöhung: Zero Day für den Kernel
In den letzten Jahren steigt die Zahl der Vorfälle, bei denen Berechtigungen erhöht
werden. Dies gilt selbst für die besser abgesicherten 64-Bit-Kernel (siehe Abbildung).
Doch auch die Methoden der Sicherheitsforscher bei der Suche nach Zero-DaySchwachstellen im Kernel-Code werden besser. Die Forscher entwickeln gezielte Tools
wie „Double Fetch Race Conditions“ (Race-Bedingung mit Doppelabruf), um hier
Fehler zu finden. Wie die Erfahrung zeigt, finden die Ergebnisse der Forscher zeitnah
den Weg in die Bedrohungen.
Nach Angaben der USamerikanischen Schwachstellen
datenbank National Vulnerability
Database stieg die Anzahl
neuer Kernel-Schwachstellen in
allen Versionen von Windows
im Jahr 2013 um mehr als
33 Prozent.
McAfee Labs folgen
14
Wichtigste Themen
Die oben dargestellten Daten beziehen sich nur auf den Kernel sowie die zugehörigen
Microsoft-Komponenten. Kernel-Komponenten von Drittanbietern mit gültigen digitalen
Signaturen weisen ebenfalls zahlreiche Schwachstellen auf. Wir gehen davon aus, dass
eine neue Welle von Rootkit-Angriffen diese zunehmenden Schwachstellen ausnutzen
werden, um Zugang zum Kernel zu erhalten und die Kontrolle zu übernehmen.
Obwohl mit 64-Bit-Mikroprozessoren und 64-Bit-Windows-Versionen zahlreiche
neue Sicherheitsmaßnahmen eingeführt wurden, ist kein Sicherheitssystem hundert
prozentig sicher. Mit genügend Geld und Motivation kann jedes System geknackt
werden. Wir sagen voraus, dass 64-Bit-Systeme in Zukunft häufiger durch signierte
Malware mit gültigen digitalen Zertifikaten angegriffen werden, da es vergleichsweise
einfach ist, gestohlene digitale Zertifikate auszunutzen.
Es ist gefährlich, sich ausschließlich auf Mikroprozessoren oder das Betriebssystem zu
verlassen, um Malware Hindernisse in den Weg zu legen, denn diese werden früher
oder später umgangen. Die beste Möglichkeit zur Abwehr von Kernel-Angriffen sind
umfassende Schutzmaßnahmen, die Soft- und Hardware kombinieren und durch
verschiedene Netzwerk- und Endgeräte-Sicherheitslösungen ergänzt werden.
15
Wichtigste Themen
Mobilgeräte-Malware nutzt Schwachstellen, Apps und Dienste aus
Die meisten Mobilgeräte-Malware-Varianten versuchen,
durch Ausnutzung von Standard-Plattform-APIs auf sensible
Informationen zuzugreifen oder Premium-SMS-Nachrichten
zu versenden. Mit anderen Worten: Malware missbraucht
die offiziellen Funktionen der Plattform. Vor kurzem haben
Malware-Entwickler damit begonnen, sich beim Missbrauch
von Funktionen oder Ausnutzen von Schwachstellen nicht
mehr nur die Plattform, sondern auch legitime Apps und
Services ins Visier zu nehmen.
App missbraucht Google-Kontoauthentifizierung
und -autorisierung
McAfee entdeckte im Google Play Store die verdächtige
App Android/BadInst.A, die ohne Einwilligung des Benutzers
automatisch andere Apps herunterlädt, installiert und startet.
Diese Einwilligung ist normalerweise erforderlich, wenn
Apps aus dem Google Play Store manuell installiert werden.4
Da diese Bestätigung bei der Installation eine wichtige Rolle
für die Absicherung einer Mobilgeräte-Plattformen spielt, stellt
das Überspringen dieses Prozesses ein erhebliches Risiko für
den Benutzer dar. Dadurch wäre es beispielsweise möglich,
gefährliche Malware im Hintergrund zu installieren.
Das Kommunikationsprotokoll, das zwischen dem Google
Play-Server und der Dienst-App auf dem Mobilgerät für
den automatischen Download und die Installation von
Apps zum Einsatz kommt, ist nicht dokumentiert. Diese
inoffizielle Methode ist nicht für Drittanbieter-Apps bestimmt.
Wir vermuten, dass der Entwickler von Android/BadInst.A
das Protokoll per Reverse Engineering untersucht und die
gleichen Prozeduren in der verdächtigen App implementiert
hat. Sicher ist, dass die erlangten Autorisierungs-Token
auch für andere Services als Google Play verwendet werden
können. Wenn die Malware also diesen Mechanismus zur
Google-Kontoautorisierung missbraucht, kann sie problemlos
Benutzerinformationen erfassen und Benutzeraktionen in
verschiedenen Google-Services vorgaukeln.
Android/BadInst.A ruft den Google-Kontonamen des Geräts
ab und fordert den Benutzer anschließend auf, den Zugang
zu verschiedenen Google-Diensten zu autorisieren. Dabei
kommt mit AccountManager eine standardmäßige AndroidFramework-API zum Einsatz, wobei die entsprechenden
Berechtigungen gewährt wurden. Anschließend kommuniziert
die App mit dem Google Play-Server, nutzt die gewährten
Autorisierungs-Token jedoch nicht auf die eigentlich gedachte
Weise. Nun kann die App andere Apps aus dem Google Play
Store herunterladen, installieren und starten, ohne dass dazu
die Einwilligung des Benutzers erforderlich ist.
Die Malware Android/BadInst.A in japanischer Sprache fordert
die Benutzer auf, den Zugriff auf verschiedene Google-Services
zu autorisieren.
16
Wichtigste Themen
Malware nutzt digitalen Geldbörsen-Service und
beliebte Nachrichten-App aus
Der Trojaner Android/Waller.A nutzt eine Sicherheitslücke in
einem legitimen digitalen Geldbörsen-Service aus, um Geld
zu stehlen.5 Diese Malware nutzt das von Visa QIWI Wallet
verwendete Geldüberweisungsprotokoll aus, tarnt sich als
Update für Adobe Flash Player oder eine andere legitime App
und wird nach der Installation nicht auf dem Hauptbildschirm
angezeigt. Im Hintergrund überprüft die Malware, ob auf dem
Gerät ein Konto für eine digitale Geldbörse eingerichtet und
diese gefüllt ist. Sie fängt die Bestätigungsantwort ab und sendet
schließlich das Geld an den Server des Angreifers. In diesem Fall
nutzt die Malware das Protokoll aus, das diese Schritte über SMSNachrichten ohne ausreichende Authentifizierung durchführt,
und gibt sich effektiv als offizielle App aus.
McAfee Labs entdeckte auch den Trojaner Android/
Balloonpopper.A, der eine Verschlüsselungsschwachstelle
in der beliebten Kurznachrichten-App WhatsApp ausnutzt.6
Diese Malware tarnt sich als Spiele-App „BalloonPop“, greift
dann jedoch auf WhatsApp-Konversationen sowie Bilder zu,
die auf dem Gerät gespeichert sind. Anschließend sendet sie
diese Daten an den Remote-Server des Internetkriminellen,
wo sie entschlüsselt und später auf der Webseite des
Angreifers veröffentlicht werden.7 Obwohl diese Schwachstelle
mittlerweile geschlossen wurde, können wir uns leicht
vorstellen, dass Internetkriminelle nach weiteren Lücken in
dieser beliebten App suchen.
Die Webseite des Angreifers kann erfasste WhatsAppKonversationen veröffentlichen.
Schutzbedürftige Plattform und Apps
Diese Beispiele zeigen, dass Mobilgeräte-Malware seit kurzem
neben den Standardfunktionen einer Plattform legitime Apps
und Services missbraucht, um die herkömmliche Kontrolle durch
App-Stores und Sicherheitsprodukte zu umgehen. Aus diesem
Grund genügt der ausschließliche Schutz der zugrunde
liegenden Plattform nicht mehr. Wir sind der Meinung, dass
Entwickler ihre Apps und Services besser vor nicht autorisierter
und böswilliger Benutzung schützen müssen. Zudem müssen
die App Stores sicherstellen, dass sämtliche Datenzugriffe
ausschließlich von authentifizierten und autorisierten ClientApps stammen. Wenn eine App höhere Berechtigungen als
üblich besitzt oder Online-Banking-, Transaktions- und andere
äußerst vertrauliche Daten verarbeitet, sind diese Schritte
unumgänglich. Auch die Benutzer sind gefordert, bei der
Installation und Ausführung von Apps keine zu weit gefassten
oder unbekannten Berechtigungen zu gewähren. Ebenso sollten
sie ihre Apps regelmäßig aktualisieren, um Sicherheitsprobleme
zu beheben, sobald Schwachstellen gefunden werden, und als
unsicher bekannte Apps unbedingt meiden.
Die Malware Android/Waller.A, die sich als Adobe Flash Player tarnt.
17
Statistische
Bedrohungsdaten
18
STATISTISCHE
BEDROHUNGSDATEN
Mobilgeräte-Malware
Innerhalb eines einzigen Jahres
stieg die Anzahl der MalwareExemplare um 167 Prozent.
Seit dem McAfee Labs ThreatReport vom dritten Quartal 2013
dokumentieren wir MobilgeräteMalware nicht mehr nach
Malware-Familien, sondern
nach eigenständigen Varianten
(nach Hash-Wert). Für diesen
Wechsel gibt es zwei Gründe:
Zum einen möchten wir für
Mobilgeräte-Malware die gleiche
Zählweise verwenden wie für
alle anderen Malware-Formen.
Zum anderen sind wir der
Meinung, dass wir mit Angaben
zur Gesamtanzahl der Varianten
statt der Mobilgeräte-MalwareFamilien besser verdeutlichen
können, wie Mobilgerätenutzer
durch Mobilgeräte-Malware
gefährdet werden.
McAfee Labs folgen
19
STATISTISCHE
BEDROHUNGSDATEN
Malware
Es geht ungebrochen weiter
aufwärts. Im 1. Quartal 2014
knackten die MalwareExemplare im Bestand von
McAfee Labs die Gesamtzahl
von 200 Millionen Varianten.
McAfee Labs folgen
20
STATISTISCHE
BEDROHUNGSDATEN
Die Anzahl neuer RansomwareExemplare befindet sich seit
drei Quartalen im Sinkflug.
McAfee Labs konnte bestätigen,
dass diese Entwicklung nicht
das Ergebnis einer Anomalie ist.
Wir haben mehrere Theorien
dafür, was die Ursache sein
könnte, haben den genauen
Grund jedoch noch nicht
gefunden. Ebenso ist es möglich,
dass wir eine Flaute erleben,
die einem neuen Anstieg
vorangeht. Wir konnten dies
bereits bei anderen MalwareFormen beobachten.
McAfee Labs folgen
21
STATISTISCHE
BEDROHUNGSDATEN
Neue Bedrohungen, die den
Master Boot Record angreifen,
haben in diesem Zeitabschnitt
um 49 Prozent zugenommen und
einen historischen Höchststand
für ein einziges Quartal erreicht.
McAfee Labs folgen
22
STATISTISCHE
BEDROHUNGSDATEN
Internetbedrohungen
Bei der Zählung neuer,
verdächtiger URLs durch
McAfee Labs stellten wir
mit 18 Millionen einen
Dreimonatsrekord fest.
Dies entspricht einem Anstieg
von 19 Prozent gegenüber dem
4. Quartal sowie dem vierten
Quartalsanstieg in Folge.
McAfee Labs folgen
23
STATISTISCHE
BEDROHUNGSDATEN
McAfee Labs folgen
24
STATISTISCHE
BEDROHUNGSDATEN
Gefährliche Nachrichten
McAfee Labs folgen
25
STATISTISCHE
BEDROHUNGSDATEN
Netzwerkbedrohungen
McAfee Labs folgen
26
Informationen zu McAfee
McAfee ist ein Geschäftsbereich von Intel Security und ein hundertprozentiges
Tochterunternehmen der Intel Corporation (NASDAQ: INTC) und ermöglicht
Unternehmen, Organisationen der öffentlichen Verwaltung und Privatanwendern
die sichere Nutzung des Internets. Seinen Kunden liefert McAfee präventive,
praxiserprobte Lösungen und Dienstleistungen, die Computer, ITK-Netze und
Mobilgeräte auf der ganzen Welt vor Angriffen schützen und es Anwendern
ermöglicht, Verbindung mit dem Internet aufzunehmen und sich im World Wide Web
zu bewegen. Unterstützt von der Security Connected-Strategie, dem innovativen
Ansatz für Hardware-unterstützte Sicherheit, und der einzigartigen Global Threat
Intelligence-Technologie entwickelt McAfee innovative Produkte, die Privatnutzern,
Firmen und Behörden helfen, ihre Daten zu schützen, einschlägige Gesetze
einzuhalten, Störungen zu verhindern, Schwachstellen zu ermitteln und die Sicherheit
ihrer Systeme laufend zu überwachen und zu verbessern. McAfee ist stets auf der
Suche nach neuen Möglichkeiten, seine Kunden zu schützen.
http://www.mcafee.com/de
1Mit der Schwierigkeit wird ausgedrückt, wie viel Rechenaufwand erforderlich ist, um
einen neuen Block zu generieren. Das Konzept von Bitcoin hebt die Schwierigkeit aller
2.016 Blöcke (ca. 2 Wochen) an.
2Die Hash-Rate gibt die Leistung der Hardware an, die Operationen im
Schürfernetzwerk durchführt.
3http://blogs.mcafee.com/mcafee-labs/analyzing-uroburos-patchguard-bypass
4http://blogs.mcafee.com/mcafee-labs/automatic-app-installation-google-play-store-posesbig-risk
5http://home.mcafee.com/virusinfo/virusprofile.aspx?key=7358408
6http://blogs.mcafee.com/mcafee-labs/androidballoonpopper-sums-up-mobile-threatlandscape-in-2013
7http://blogs.mcafee.com/consumer/whatsapp-security-flaw
Die in diesem Dokument enthaltenen Informationen werden McAfee-Kunden ausschließlich für
Fort- und Weiterbildungszwecke bereitgestellt. Die hier enthaltenen Informationen können sich
jederzeit ohne vorherige Ankündigung ändern und werden wie besehen zur Verfügung gestellt,
ohne Garantie oder Gewährleistung auf die Richtigkeit oder Anwendbarkeit der Informationen
zu einem bestimmten Zweck oder für eine bestimmte Situation.
McAfee und das McAfee-Logo sind Marken oder eingetragene Marken von McAfee, Inc. oder
der Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken
sind Eigentum der jeweiligen Besitzer. Die in diesem Dokument enthaltenen Spezifikationen und
Beschreibungen dienen lediglich Informationszwecken, können sich jederzeit ohne vorherige
Ankündigung ändern und schließen alle ausdrücklichen oder stillschweigenden Garantien aus.
Copyright © 2014 McAfee, Inc.
61158rpt_qtr-q1_0614_fnl
27

McAFEE LABS THREAT

Transcrição

Documentos relacionados

McAfee All Access 2013—Individual

McAfee Perpetual Plus

Deinstallation von McAfee (Windows XP) - ZIMT

GE DATA WEB - chiliGREEN

parents friend.de

Schutz vor Adobe Flash‑Exploits

McAfee Security Connected McAfee

vorabinformation

Phishing und Pharming: Diebstahl im Netz

Häufig gestellte Fragen zu McAfee Security Scan Plus