McAFEE LABS THREAT
Transcrição
McAFEE LABS THREAT
McAfee Labs Threat-Report Juni 2014 Bericht McAfee Labs Threat-Report | Juni 2014 1 Informationen zu McAfee Labs McAfee Labs ist weltweit führend bei Bedrohungsforschung sowie Bedrohungs analysen und gilt als Vordenker im Bereich Internetsicherheit. Dank der Daten von Millionen Sensoren für alle wichtigen Bedrohungsvektoren (Dateien, Web, Nachrichten und Netzwerke) bietet McAfee Labs Echtzeit-Bedrohungsdaten, wichtige Analysen und Expertenwissen für besseren Schutz und Risikominimierung. www.mcafee.com/de/mcafee-labs.aspx Einführung Die von McAfee verfassten Berichte spiegeln unser Engagement wieder, Internetspionage-Ereignisse zu untersuchen und zu erklären. Der schottische Autor Robert Burns schrieb 1785 in seinem Gedicht „To A Mouse“ (An eine Maus): Der beste Plan, ob Maus, ob Mann, geht oftmals ganz daneben. Mehr als 200 Jahre später hat seine Beobachtung keinesfalls an Gültigkeit verloren. McAfee hat sich zum Ziel gesetzt, den McAfee Labs Threat-Report so kurz wie möglich nach dem Ende jedes Quartals zu veröffentlichen. Dieses Quartal stellte jedoch eine Ausnahme dar. Jeder Sicherheitsexperte hat davon gehört, dass die HeartbleedSchwachstelle im April veröffentlicht wurde. Zu diesem Zeitpunkt hatten wir gerade damit begonnen, diesen Bericht zusammenzustellen. Die Aufmerksamkeit unserer Bedrohungsforscher konzentrierte sich sofort auf Heartbleed, einerseits um diese Schwachstelle zu verstehen und um andererseits zu gewährleisten, dass die McAfeeTechnologien unsere Kunden davor schützen würden. Aus diesem Grund verzögerte sich die Veröffentlichung dieses Berichts. Wieder einmal ging der beste Plan daneben. In diesem Bericht sprechen wir Heartbleed noch nicht an, da es immer noch zu früh ist, um die Auswirkungen dieser Schwachstelle vollständig zu erfassen. Sie sollten sich jedoch unseren nächsten Threat-Report nicht entgehen lassen. Stattdessen stellen wir mehrere Themen vor, die viele unserer Kunden interessieren dürften. Unsere beiden Artikel zu Mobilgeräte-Malware sprechen unterschiedliche Aspekte dieser äußerst wandlungsfähigen Gefahr an. Wir behandeln auch ein ungewöhnliches Phänomen beim Schürfen virtueller Währungen, bei dem nur die Verkäufer des Werkzeugs reich werden. Und schließlich sprechen wir über den Rückgang bei neuen Rootkits und erklären, warum sich diese Entwicklung unserer Meinung nach umkehrt. Möglicherweise könnten Sie sich für einige andere wichtige McAfee-Berichte interessieren, die sich um Internetspionage drehen. Im April veröffentlichte Verizon den Verizon 2014 Data Breach Investigations Report (Untersuchungsbericht zu Datenkompromittierungen 2014). McAfee arbeitete mit Verizon zusammen und stellte Informationen aus unserem Bericht Analyse der Operation Troy zur Verfügung. Anfang Juni veröffentlichten wir dann einen in Auftrag gegebenen Bericht des CSIS (Center for Strategic and International Studies) mit dem Titel Nettoverluste: Eine Schätzung der weltweiten Verluste durch Internetkriminalität. Diese Berichte verdeutlichen die erheblichen Investitionen, mit denen McAfee zur branchenweit vertrauenswürdigsten Quelle für Hintergrundinformationen und Perspektiven zu Internetspionage geworden ist. McAfee Labs folgen Vincent Weafer, Senior Vice President, McAfee Labs McAfee Labs Threat-Report | Juni 2014 2 Inhalt McAfee Labs Threat-Report Juni 2014 Dieser Bericht wurde von folgenden Personen vorbereitet und geschrieben: Benjamin Cruz Deepak Gupta Aditya Kapoor Haifei Li Charles McFarland Francisca Moreno François Paget Craig Schmugar Rick Simon Dan Sommer Bing Sun James Walter Adam Wosotowsky Chong Xu Kurzfassung 4 Wichtigste Themen IN DIESEM QUARTAL Angriff der Flappy Bird-Klone 6 Kein „Goldgräber“-Problem 8 Rootkits nehmen neuen Anlauf 11 Mobilgeräte-Malware nutzt Schwachstellen, Apps und Dienste aus 16 Statistische Bedrohungsdaten Mobilgeräte-Malware 19 Malware 20 Internetbedrohungen 23 Gefährliche Nachrichten 25 Netzwerkbedrohungen 26 Kurzfassung Kurzfassung Angriff der Flappy Bird-Klone Internetkriminelle haben hunderte Flappy Bird-Klone entwickelt, die Malware enthalten. Unsere Analyse von 300 Klonen zeigte, dass 238 Flappy Bird-Klone infiziert waren. Dieses Spiel hat durchaus ernste Konsequenzen. Das Mobilgerätespiel Flappy Bird verzeichnete im letzten Jahr sowie Anfang dieses Jahres einen kometenhaften Anstieg bei der Beliebtheit und wurde im Februar von seinem Autor zurückgezogen. Diese enorme Beliebtheit war für Internetkriminelle Grund genug, hunderte mit Malware infizierte Flappy Bird-Klone zu entwickeln. McAfee Labs erfasste in einer Stichprobe 300 dieser Klone und stellte fest, dass fast 80 Prozent davon Malware enthielten. Das von uns festgestellte Verhalten umfasste unter anderem Anrufe ohne das Einverständnis des Benutzers, den Versand, die Aufzeichnung und den Empfang von SMS-Nachrichten, die Erfassung von Kontaktdaten sowie die Standortüberwachung. Im schlimmsten Fall erlangte die Malware Superuser-Zugriff und damit ungehinderte Kontrolle über alles, was sich auf dem Mobilgerät befindet. Dies können auch vertrauliche Geschäftsinformationen sein. Kein „Goldgräber“-Problem McAfee Labs geht davon aus, dass Bot-Anbieter Schlangenöl verkaufen, wenn sie behaupten, dass Botnet-Betreiber virtuelle Währungen profitabel schürfen können. McAfee Labs hat mehrere Berichte zu virtuellen Währungen veröffentlicht, darunter Digitale Geldwäsche, Jackpot! Geldwäsche im Online-Glücksspiel und den McAfee Labs Threat-Report für das dritte Quartal 2013. In diesem Quartal untersuchen wir ein Thema des Bereichs virtuelle Währung, dem wir mit blankem Unverständnis begegnen. Wir registrieren mittlerweile Botnets, die Funktionen zum Schürfen virtueller Währungen enthalten. Wenn wir jedoch die Zahlen dahinter durchrechnen, halten wir es für relativ unwahrscheinlich, dass Botnet-Betreiber damit tatsächlich Geld verdienen. Unserer Meinung nach sind die einzigen, die wirklich Geld an dieser Funktion verdienen, die Verkäufer der Bot-Tools. Rootkits nehmen neuen Anlauf Nach einem Rückgang bei neuen Rootkits seit 2011 geht McAfee Labs davon aus, dass sich diese Entwicklung schon bald umkehren wird. In mehreren Beispielen zeigt McAfee Labs, dass der Schutz von Mobilgeräte-Plattformen nicht ausreichend ist. Die Entwickler von MobilgeräteApps müssen ihre Apps besser schützen und die Benutzer wachsamer sein, wenn sie Apps Berechtigungen erteilen. McAfee Labs folgen Gute Neuigkeiten – dachten wir. Seit Mitte 2011 beobachtet McAfee Labs einen Rückgang der Zahl neuer Rootkits. Tatsächlich registrierten wir im letzten Quartal den niedrigsten Wert neuer Rootkits seit 2008. Der Grund dafür ist wahrscheinlich der verbesserte Schutz von 64-Bit-Prozessoren und den zugehörigen 64-Bit-Betriebs systemen. Internetkriminelle sind jedoch erfinderisch, und so verzeichneten wir in diesem Quartal wieder einen Anstieg, der jedoch auf eine einzige 32-Bit-MalwareFamilie zurückging. Die Angreifer haben gelernt, digitale Root-Zertifikate abzufangen, Kernel-Schwachstellen auszunutzen und 64-Bit-Sicherheitsmaßnahmen zu umgehen. Wir glauben, dass neue 64-Bit-Umgehungstechniken schon bald zu einer Zunahme Rootkit-basierter Angriffe führen werden. Mobilgeräte-Malware nutzt Schwachstellen, Apps und Dienste aus In diesem Artikel zählen wir mehrere Beispiele auf, die verdeutlichen, auf welche Weise Malware Mobilgeräte-Plattformen missbrauchen kann. Das erste Beispiel zeigt, wie eine App aus dem Google Play Store ohne Einwilligung des Benutzers automatisch weitere Apps herunterlädt, installiert und startet. In diesem Beispiel hat die heimtückische App die Malware zwar nicht selbst heruntergeladen, profitierte jedoch durch ein Pay-to-Download-Modell. Von hier ist es nur ein kleiner Schritt zum automatischen Download Malware-verseuchter Apps. Im zweiten Beispiel nutzt ein Trojaner eine Sicherheitslücke in einem legitimen digitalen GeldbörsenService aus, um Geld zu stehlen. Das dritte Beispiel wiederum zeigt, wie eine Verschlüsselungsschwachstelle in der beliebten Kurznachrichten-App WhatsApp zum Auslesen von Konversationen und Fotos genutzt wurde. Obwohl diese Schwachstelle geschlossen wurde, zeigt sie, dass Angreifer auch weiterhin nach Schlupflöchern in Mobilgeräte-Plattformen suchen werden. Im 1. Quartal 2014 knackten die Malware-Exemplare im Bestand von McAfee Labs die Gesamtzahl von 200 Millionen Varianten. McAfee Labs Threat-Report | Juni 2014 4 Wichtigste Themen in diesem Quartal McAfee Labs Threat-Report | Juni 2014 5 Wichtigste Themen Angriff der Flappy Bird-Klone Wieder einmal können wir beobachten, dass Social Engineering in Verbindung mit einem „brandheißen Spiel“ eine Fundgrube für Malware darstellt. Die aktuelle Plage ist eine Schar böswilliger Flappy Bird-Klone. Das ursprüngliche Spiel „Flappy Bird“ wurde Mitte 2013 auf Apple iOS und Anfang dieses Jahres auf Android veröffentlicht. Das Spiel wurde mit mehr als 50 Millionen Downloads zu einem enormen Erfolg und bescherte Entwickler Dong Nguyen eine große Bekanntheit, bevor er die App im Februar aus dem Marktplatz zurückzog. In den letzten Ausgaben des McAfee Labs Threat-Reports berichteten wir von einer rasanten Zunahme bei MobilgeräteMalware. Der Hype um Flappy Bird und die nachfolgende Malware-Welle sind ein hervorragendes Beispiel dafür, wie Malware-Autoren die übermäßige Begeisterung mancher Nutzer für legitime Apps oder Spiele ausnutzen. Schon vor der Entfernung aus den Online-Marktplätzen existierten böswillige Flappy Bird-Klone, doch infolge des Zurückziehens stieg die Nachfrage nach Flappy Bird-ähnlichen Spielen noch weiter an. Im ersten Quartal des Jahres 2014 wurden hunderte Flappy Bird-Klone veröffentlicht, die zumeist böswillig waren. Das ursprüngliche Flappy Bird-Spiel Ein weiterer böswilliger Flappy Bird-Klon Ein böswilliger Flappy Bird-Klon McAfee Labs folgen McAfee Labs Threat-Report | Juni 2014 6 Wichtigste Themen Gegen Ende des ersten Quartals untersuchte McAfee Labs eine Probe von 300 Flappy Bird-Klonen aus unserem Mobil geräte-Malware-Bestand. Von diesen 300 Exemplaren mussten wir 238 als gefährlich einstufen. Angesichts der Geschwindigkeit, mit denen diese böswilligen Apps veröffentlicht wurden, sowie ihrer Download-Zahlen ist die Situation Besorgnis erregend. Wie gehen diese böswilligen Apps vor? Abgesehen davon, dass sie Flappy Bird als Social-Engineering-Köder nutzen, enthalten sie erheblich mehr Funktionen als das ursprüngliche Spiel. Dadurch zeigen sie eine Vielfalt an fragwürdigem, schädlichem und neugierigem Verhalten. Bei der Bewertung der Gefährlichkeit einer MobilgeräteAnwendung oder eines -Pakets wird manches Verhalten stärker gewichtet als anderes. Das folgende Beispiel verdeutlicht dies anschaulich: com.touch18.flappybird.app (3113ad96fa1b37acb50922ac34f04352) ist einer der vielen böswilligen Flappy Bird-Klone. Zu seinem böswilligen Verhalten zählt unter anderem: • Durchführung von Anrufen ohne Einverständnis des Benutzers • Installation zusätzlicher Anwendungen ohne Einverständnis des Benutzers • Bereitstellung der Möglichkeit für Apps, ohne Einverständnis des Benutzers eingehende SMS-Nachrichten zu überwachen, sie aufzuzeichnen oder zu verarbeiten • Versand von SMS-Nachrichten ohne Einverständnis des Benutzers • Extrahierung • Versand von SMS-Nachrichten von Daten an eine Mobilfunknummer per SMS • Bereitstellung der Möglichkeit für eine App, ohne Einverständnis des Benutzers die Kontaktdaten einzulesen • Extrahierung der GPS-Standortdaten • Erfassung der IMEI-Nummer sowie MAC-Adresse und Übertragung an Dritte (JSON) ohne Einverständnis des Benutzers • Versand von Daten zur Benutzeraktivität an Dritte • Bereitstellung der Möglichkeit für eine App, ohne Einverständnis des Benutzers die Funktion killBackgroundProcesses(String) aufzurufen Ein böswilliger Flappy Bird-Klon, der Superuser-Zugang zu erlangen versucht Wie wir an anderer Stelle in diesem Bericht zeigen, wächst die Anzahl und Effektivität von Mobilgeräte-Malware ungebremst. Diese Geräte sind ein leichtes Ziel für Angreifer. Wir müssen wachsam bleiben und unser Verhalten ständig kontrollieren, um die Installation von böswilligem Code zu vermeiden. Software-Kontrollen (Malware-Schutz, sichere Container u. a.) sind dabei nur einer von vielen Schritten. Machen Sie sich bewusst, und kontrollieren Sie, von welcher Quelle Sie Apps und Spiele herunterladen oder installieren. Wenn Sie Ihr Gerät stets „sauber“ halten und gesunden Menschenverstand walten lassen, haben Sie schon viel erreicht. Der böswillige Flappy Bird-Klon com.touch18.flappybird.app McAfee Labs folgen McAfee Labs Threat-Report | Juni 2014 7 Wichtigste Themen Kein „Goldgräber“-Problem Aus Sicht der Sicherheits- und Malware-Forscher hat das Geschäft rund um das Schürfen virtueller Währungen einen weiteren interessanten Schritt getan. Wir verzeichnen jetzt Botnets mit verschiedenen Funktionen zur Generierung virtueller Währungen. Doch selbst wenn wir davon ausgehen, dass Hardware und Strom für den Schürfer keine Kostenfaktoren darstellen (sie werden ja schließlich von den Opfern getragen), wird der Gewinn durch die Komplexität der Schürf-Algorithmen und die nicht spezialisierte Hardware, die nach der Infektion missbraucht wird, zunichte gemacht. Letztendlich zeigt sich, dass Botnet-Anbieter Schlangenöl verkaufen, wenn sie behaupten, dass Botnet-Käufer virtuelle Währungen profitabel schürfen können. Mehr noch: Botnet-Betreiber müssen mit verstärkter Entdeckung rechnen, da ihre Opfer die hohe Last durch die Schürfaktivitäten leichter bemerken können. Die Hauptmotivation der Botnet-Malware-Anbieter ist seit Jahren der finanzielle Gewinn. Für die Autoren von Malware, Kits und Exploits sowie für die Kriminellen, die diese Tools kaufen und damit Botnets aufbauen, lässt sich gutes Geld verdienen. Vor kurzem kam noch ein weiterer Faktor hinzu: das Schürfen virtueller Währungen als Botnet-Kernfunktion. Wir stellen fest, dass diese Funktion für die beliebtesten Plattformen (darunter Mobilgeräte) angeboten wird. Diese neue Entwicklung ähnelt vergangenen Neuerungen bei Bots und Malware, zum Beispiel dem Aufkommen von DDoS-Angriffen (Distributed Denial of Service), der Wiederbelebung von Installationen, privaten Aktualisierungsmechanismen und aktiver Erkennungsumgehung. Eine Suche in einem beliebigen Untergrund-Sicherheitsforum oder -marktplatz fördert unzählige SHA-256- und SCRYPT-Schürfer-Botnets, Generatoren und gecrackte Versionen kommerzieller Generatoren und Kits zutage. Hinzu kommen die üblichen DDoS-Bots, Cryptors sowie weitere böswillige Services und Tools. Einige aktuelle Exemplare sind beispielsweise EnvyMiner, DeadCow, SovietMiner, JHTTP, Black Puppet und Aura, und sie stellen nur eine winzige Auswahl der angebotenen Produkte dar. Hier einige Beispiele für Generatoren oder Services sowie die jeweiligen Preise: • Aura (SHA-256, SCRYPT, SCRYPT-Jane miner): 50 USD für eine lebenslange Lizenz • Black Puppet (Bitcoin): 10 USD pro Monat oder 20 USD für eine lebenslange Lizenz • HTTP (SHA-256, SCRYPT): 50 USD pro Monat oder 200 USD für eine lebenslange Lizenz • SovietMiner (SHA-256, SCRYPT): 15 USD pro Monat • DeadCow Hashing-Algorithmen für Kryptowährungen SHA-256: Die kryptografische Hash-Funktion für das Schürfen ist der NIST-Standard SHA-256. Dies ist die komplexeste Methode. Erfolgreiches „Schürfen“ erfordert spezialisierte oder separate Hardware bzw. Recheneinheiten (ASICs). Beispiele: Bitcoin, Namecoin SCRYPT: Eine vereinfache Funktion zur Schlüssel bestimmung, die beim Schürfen eingesetzt wird. Diese Methode ist besonders für die Verarbeitung auf HochleistungsGPUs geeignet. Beispiele: Litecoin, Dogecoin, Vertcoin (SHA-256, SCRYPT): 15 USD pro Monat oder 45 USD für eine lebenslange Lizenz Viele dieser beliebten Schürfer-Bots und -Toolkits sind als geleakte oder gecrackte Version verfügbar, sodass andere Kriminelle diese Tools ohne Lizenzbeschränkungen nutzen können. Die geleakte App Chrome Miner McAfee Labs folgen McAfee Labs Threat-Report | Juni 2014 8 Wichtigste Themen dieser Bots und macht ihre Aktivität auf den infizierten Computern leichter bemerkbar. Dadurch erklärt sich auch, warum das Schürfen virtueller Währungen den Gewinn des Botnet-Betreibers nicht verbessert: Der Vorgang wird immer komplizierter und ressourcenaufwändiger, je mehr Schürfer sich daran beteiligen. Angesichts der aktuellen Komplexität ist es unwahrscheinlich, dass ein Botnet-Betreiber durch das Einbinden der Schürf funktion in seine Angriffe größere Gewinne erzielen kann. Die Rentabilität des Schürfens virtueller Währungen wird durch eine Reihe von Variablen bestimmt, darunter die zunehmende Schwierigkeit1, die Hash-Rate2, der Marktwert der virtuellen Währung sowie der Ausfall der Schürfer. Mit Ausfall ist in diesem Kontext gemeint, dass die Bot-Malware entdeckt bzw. aufgrund ihrer sichtbaren Auswirkungen auf das System des Opfers entfernt wurde. Die geleakte App Aura Miner Bei den meisten Kits und Generatoren ist die Funktion zum Schürfen virtueller Währungen anpass- und konfigurierbar. Sie lässt sich sogar derart fein einstellen, dass die maximale CPU-Temperatur während des Schürfens festgelegt werden kann. Das Schürfen per GPU oder CPU ist ein sehr ressourcenaufwändiger Vorgang, sodass diese Funktion zumindest teilweise gedrosselt werden muss, um nicht zu sehr aufzufallen. Diese Beschränkung senkt die Gesamtrendite Die Gewinne der Botnet-Betreiber können berechnet werden, indem die durchschnittliche Hash-Rate (privater und beruflich genutzter GPUs und CPUs), die Ausfälle, der geschätzte Anstieg der Schwierigkeit und die Anzahl der Infektionen sowie weitere Faktoren berücksichtigt werden. Das folgende Diagramm zeigt ein Botnet zum Schürfen virtueller Währungen mit 10.000 dauerhaften Bots, die mit einer durchschnittlichen Gesamt-Hash-Rate von 100 Megahashes pro Sekunde arbeiten, wobei bei jedem Schwierigkeitszyklus 5 Prozent der Bots aufgrund von Erkennung oder Beseitigung entfernt werden. Der angenommene Bitcoin-Wert liegt bei 500 US-Dollar. McAfee Labs folgen McAfee Labs Threat-Report | Juni 2014 9 Wichtigste Themen Die vorherige Abbildung zeigt den potenziellen Rentabilitätsunterschied zwischen einem Botnet mit und ohne Bitcoin-Mining als zusätzliche Funktion. Der Gewinnunterschied wird über mehrere Bitcoin-Schwierigkeitszyklen hinweg dargestellt, die im Durchschnitt etwa alle zwei Wochen um eine Stufe steigen. In diesem Beispiel verringert die zusätzliche Funktion zum Schürfen virtueller Währungen den potenziellen Gewinn durch höhere Bot-Ausfälle sowie die Zeit, die für die Durchführung anderer, profitablerer Aufgaben (z. B. Diebstahl von Kennwörtern oder Kreditkartennummern) zur Verfügung steht. Des Weiteren wird in der Grafik davon ausgegangen, dass der Bot-Verlust gerade einmal 5 Prozent beträgt – ein unrealistisch niedriger Wert. SCRYPT-basiertes Schürfen virtueller Währungen wie Litecoin und Dogecoin zeigt ähnliche Probleme. Die fehlende Möglichkeit zur Generierung von Gewinnen mit Bots zum Schürfen virtueller Währungen zeigt sich bei Mobilgeräte-Plattformen noch deutlicher. Aktuelle Beispiele für das Schürfen unter Android sind Zorenium, BadLepricon und Songs. Mobilgeräte-Plattformen sind doppelt getroffen: Erstens sind die MobilgeräteProzessoren langsamer als privat genutzte Desktop- oder Laptop-Prozessoren und zweitens ist die Ausfallrate auf Mobilgeräte-Plattformen erheblich höher. Der Grund dafür ist die begrenzte Akkulaufzeit von Mobilgeräten sowie das größere Risiko von Hardware-Ausfällen aufgrund der erhöhten Rechenlast. Dadurch sind nennenswerte Gewinne unmöglich, sofern das Botnet nicht unrealistisch niedrige Ausfallraten aufweist. In einem hypothetischen Beispiel mit einem Botnet, das aus 10.000 Geräten aufgebaut ist, liegt der Gewinn ohne Schürfen bei 11.000 US-Dollar, mit aktivierter Schürffunktion dagegen bei 11.007,61 US-Dollar – eine Differenz von gerade einmal 7,61 US-Dollar. Dabei wird sogar noch eine unrealistisch niedrige Ausfallrate von 0,25 Prozent angenommen. Eine mit 30 Prozent realistische Ausfallrate würde zu einem Verlust von 3.265 US-Dollar an potenziellen Einnahmen führen. Das Schürfen virtueller Währungen per Botnet ist keine exotische Methode mehr. Diese Funktion ist mittlerweile in zahlreichen Toolkits und Generatoren für verschiedene Plattformen verfügbar. Angesichts der Ressourcenintensität der Schürfalgorithmen bestehen jedoch berechtigte Zweifel an der Rentabilität dieses Ansatzes. Ungeachtet dessen lassen sich böswillige Malware-Anbieter keinesfalls daran hindern, jeden nur möglichen Profit aus ihrer Arbeit zu ziehen. Die Android-Schürf-App Songs Bitcoin-Schwierigkeitszyklen Mit der Schwierigkeit wird ausgedrückt, wie viel Rechenaufwand erforderlich ist, um einen neuen Block zu generieren. Das Konzept von Bitcoin hebt die Schwierigkeit aller 2.016 Blöcke (ca. 2 Wochen) an. McAfee Labs folgen McAfee Labs Threat-Report | Juni 2014 10 Wichtigste Themen Rootkits nehmen neuen Anlauf Anfang 2011 erreichte Rootkit-Malware Rekordhöhen. Seit dieser Zeit beobachtete McAfee Labs einen Rückgang auf moderatere Wachstumsraten, wobei das letzte Quartal den niedrigsten Wert seit 2008 aufwies. Die Ursache dafür ist unserer Meinung nach die zunehmende Nutzung von 64-Bit-Mikroprozessoren, die Angriffe auf den Betriebssystem-Kernel erschweren. Die Angreifer suchen jedoch nach Möglichkeiten, die 64-Bit-Schutzmaßnahmen zu überwinden. In diesem Quartal stieg die Zahl der neue Rootkit-Infektionen erneut, was jedoch hauptsächlich auf eine einzige 32-Bit-Familie zurückgeht, die eine Anomalie darstellen kann. Möglichkeiten zur Umgehung von 64-Bit-Schutzmaßnahmen sind die Übernahme digitaler Zertifikate, Ausnutzung von Kernel-Schwachstellen, Gründung von Tarnfirmen zur digitalen Signierung von Rootkit-Malware sowie der Angriff auf die integrierten Sicherheitsfunktionen der Betriebssysteme. Wir gehen davon aus, dass diese und andere Techniken zu einer Zunahme Rootkit-basierter Angriffe führen werden. Plattformsicherheit: eine vermeintliche Hürde für Rootkits Der starke Rückgang vor einigen Jahren bei neuen Rootkit-Varianten, die auf Windows abzielten (siehe Abbildung), wird zumeist der stärkeren Verbreitung der 64-Bit-Plattform zugeschrieben. Die 64-Bit-Mikroprozessoren und Betriebssysteme verbessern die Systemsicherheit durch die erzwungene Überprüfung digitaler Signaturen sowie den Kernel-Patch-Schutz für Software, die die höchste Berechtigungsstufe im Kernel anfordert. Die Anzahl der neuen RootkitVarianten, die von McAfee Labs entdeckt wurden, sank von 2011 zu 2012 und blieb seither relativ konstant. Wir gehen davon aus, dass immer mehr neue RootkitVarianten erscheinen werden, da die Angreifer irgendwann einen Weg finden werden, die Sicherheitsmaßnahmen von 64-Bit-Systemen zu umgehen. 64-Bit-Mikroprozessoren fanden ab dem Jahr 2000 ihren Weg in den Massenmarkt und sind heute Bestandteil der meisten Systeme. Auch die Intel-Mikroprozessoren Core i3, i5 und i7 nutzen den 64-Bit-Befehlssatz. McAfee Labs folgen McAfee Labs Threat-Report | Juni 2014 11 Wichtigste Themen Neben der langsameren Zunahme neuer Varianten verzeichneten wir auch einen erheblichen Rückgang bei Techniken, die Rootkits zum Erlangen von KernelBerechtigungen einsetzen. Die Angreifer können sich nicht mehr ohne weiteres in den Kernel einklinken oder gar böswillige Gerätetreiber installieren. Diese Schutzmaßnahmen haben ohne Zweifel die Kosten für die Entwicklung und Verteilung von Rootkits auf 64-Bit-Plattformen in die Höhe getrieben. Was macht Rootkits so gefährlich? Die heimliche Vorgehensweise dieser MalwareFamilie bei der Systeminfektion ermöglicht es ihr, über einen längeren Zeitraum verborgen zu bleiben und potenziell wertvolle Informationen zu stehlen. Je länger der Infektionszeitraum, desto größer ist die Wahrscheinlichkeit, dass die Angreifer geschäftliche und private Daten kompromittieren oder zerstören können. Hindernislauf Die Schutzmaßnahmen von 64-Bit-Systemen stellen für gut ausgerüstete Angreifer, die bereits Einfallstore in den Kernel gefunden haben, keine wirklichen Hindernisse mehr dar. Das jüngste Beispiel einer böswilligen Umgehung ist das Rootkit Uroburos3, das sich drei Jahre lang verbergen konnte. Uroburos nutzte einen alten VirtualBox-KernelTreiber aus, der eine gültige digitale Signatur sowie eine bekannte Schwachstelle aufwies. (VirtualBox ist eine virtuelle Maschine von Oracle.) Das Rootkit nutzte diese Schwachstelle aus, um die Prüfung des digitalen Zertifikats durch das Betriebssystem auszuhebeln und seine unsignierte Malware zu laden. Sobald die Malware im Kernel geladen ist, deaktiviert sie dessen Patch-Schutz (PatchGuard), der mit der 64-BitVersion von Windows eingeführt wurde. PatchGuard soll das Patchen des Kernels, eine häufig bei Angriffen genutzte Technik, verhindern. McAfee Labs folgen McAfee Labs Threat-Report | Juni 2014 12 Wichtigste Themen Vertrauensmissbrauch Doch die Angreifer nutzen nicht nur von Schwachstellen in Drittanbieter-Treibern für den Kernel-Zugriff aus, sondern stehlen auch private Schlüssel, um ihren böswilligen Code auf 64-Bit-Systemen auszuführen. Eine gültige digitale Signatur ist auch bei der Umgehung von Sicherheitsmaßnahmen nützlich. Wir haben einen starken Anstieg bei böswilligen Binärdateien aller Kategorien registriert, die digitale Signaturen einsetzen (siehe Abbildungen). Neue böswillige signierte Binärdateien bleiben auch weiterhin eine häufig genutzte Angriffsmethode und nahmen in diesem Quartal um 46 Prozent zu. McAfee Labs folgen McAfee Labs Threat-Report | Juni 2014 13 Wichtigste Themen Wir analysierten die Daten der letzten zwei Jahre, um herauszufinden, wie viele 64-Bit-Rootkits gestohlene Signaturen einsetzten. Die Untersuchung zeigte folgende Ergebnisse: • Seit Januar 2012 nutzten mindestens 21 eindeutige 64-Bit-Rootkit-Varianten gestohlene Zertifikate. • Die Malware W64/Winnti missbrauchte seit 2012 mindestens fünf private Schlüssel legitimer Anbieter, um ihr Rootkit auf 64-Bit-Systemen zu installieren. Zwei dieser fünf kompromittierten Zertifikate wurden noch nicht zurückgezogen und können für legitime sowie für böswillige Zwecke genutzt werden. • Mindestens ein Rootkit (W64/Korablin) kam beim Zero-Day-Exploit CVE-2013-0633 zum Einsatz und wurde möglicherweise in staatlichem Auftrag verwendet. Berechtigungserhöhung: Zero Day für den Kernel In den letzten Jahren steigt die Zahl der Vorfälle, bei denen Berechtigungen erhöht werden. Dies gilt selbst für die besser abgesicherten 64-Bit-Kernel (siehe Abbildung). Doch auch die Methoden der Sicherheitsforscher bei der Suche nach Zero-DaySchwachstellen im Kernel-Code werden besser. Die Forscher entwickeln gezielte Tools wie „Double Fetch Race Conditions“ (Race-Bedingung mit Doppelabruf), um hier Fehler zu finden. Wie die Erfahrung zeigt, finden die Ergebnisse der Forscher zeitnah den Weg in die Bedrohungen. Nach Angaben der USamerikanischen Schwachstellen datenbank National Vulnerability Database stieg die Anzahl neuer Kernel-Schwachstellen in allen Versionen von Windows im Jahr 2013 um mehr als 33 Prozent. McAfee Labs folgen McAfee Labs Threat-Report | Juni 2014 14 Wichtigste Themen Die oben dargestellten Daten beziehen sich nur auf den Kernel sowie die zugehörigen Microsoft-Komponenten. Kernel-Komponenten von Drittanbietern mit gültigen digitalen Signaturen weisen ebenfalls zahlreiche Schwachstellen auf. Wir gehen davon aus, dass eine neue Welle von Rootkit-Angriffen diese zunehmenden Schwachstellen ausnutzen werden, um Zugang zum Kernel zu erhalten und die Kontrolle zu übernehmen. Obwohl mit 64-Bit-Mikroprozessoren und 64-Bit-Windows-Versionen zahlreiche neue Sicherheitsmaßnahmen eingeführt wurden, ist kein Sicherheitssystem hundert prozentig sicher. Mit genügend Geld und Motivation kann jedes System geknackt werden. Wir sagen voraus, dass 64-Bit-Systeme in Zukunft häufiger durch signierte Malware mit gültigen digitalen Zertifikaten angegriffen werden, da es vergleichsweise einfach ist, gestohlene digitale Zertifikate auszunutzen. Es ist gefährlich, sich ausschließlich auf Mikroprozessoren oder das Betriebssystem zu verlassen, um Malware Hindernisse in den Weg zu legen, denn diese werden früher oder später umgangen. Die beste Möglichkeit zur Abwehr von Kernel-Angriffen sind umfassende Schutzmaßnahmen, die Soft- und Hardware kombinieren und durch verschiedene Netzwerk- und Endgeräte-Sicherheitslösungen ergänzt werden. McAfee Labs Threat-Report | Juni 2014 15 Wichtigste Themen Mobilgeräte-Malware nutzt Schwachstellen, Apps und Dienste aus Die meisten Mobilgeräte-Malware-Varianten versuchen, durch Ausnutzung von Standard-Plattform-APIs auf sensible Informationen zuzugreifen oder Premium-SMS-Nachrichten zu versenden. Mit anderen Worten: Malware missbraucht die offiziellen Funktionen der Plattform. Vor kurzem haben Malware-Entwickler damit begonnen, sich beim Missbrauch von Funktionen oder Ausnutzen von Schwachstellen nicht mehr nur die Plattform, sondern auch legitime Apps und Services ins Visier zu nehmen. App missbraucht Google-Kontoauthentifizierung und -autorisierung McAfee entdeckte im Google Play Store die verdächtige App Android/BadInst.A, die ohne Einwilligung des Benutzers automatisch andere Apps herunterlädt, installiert und startet. Diese Einwilligung ist normalerweise erforderlich, wenn Apps aus dem Google Play Store manuell installiert werden.4 Da diese Bestätigung bei der Installation eine wichtige Rolle für die Absicherung einer Mobilgeräte-Plattformen spielt, stellt das Überspringen dieses Prozesses ein erhebliches Risiko für den Benutzer dar. Dadurch wäre es beispielsweise möglich, gefährliche Malware im Hintergrund zu installieren. Das Kommunikationsprotokoll, das zwischen dem Google Play-Server und der Dienst-App auf dem Mobilgerät für den automatischen Download und die Installation von Apps zum Einsatz kommt, ist nicht dokumentiert. Diese inoffizielle Methode ist nicht für Drittanbieter-Apps bestimmt. Wir vermuten, dass der Entwickler von Android/BadInst.A das Protokoll per Reverse Engineering untersucht und die gleichen Prozeduren in der verdächtigen App implementiert hat. Sicher ist, dass die erlangten Autorisierungs-Token auch für andere Services als Google Play verwendet werden können. Wenn die Malware also diesen Mechanismus zur Google-Kontoautorisierung missbraucht, kann sie problemlos Benutzerinformationen erfassen und Benutzeraktionen in verschiedenen Google-Services vorgaukeln. Android/BadInst.A ruft den Google-Kontonamen des Geräts ab und fordert den Benutzer anschließend auf, den Zugang zu verschiedenen Google-Diensten zu autorisieren. Dabei kommt mit AccountManager eine standardmäßige AndroidFramework-API zum Einsatz, wobei die entsprechenden Berechtigungen gewährt wurden. Anschließend kommuniziert die App mit dem Google Play-Server, nutzt die gewährten Autorisierungs-Token jedoch nicht auf die eigentlich gedachte Weise. Nun kann die App andere Apps aus dem Google Play Store herunterladen, installieren und starten, ohne dass dazu die Einwilligung des Benutzers erforderlich ist. Die Malware Android/BadInst.A in japanischer Sprache fordert die Benutzer auf, den Zugriff auf verschiedene Google-Services zu autorisieren. McAfee Labs Threat-Report | Juni 2014 16 Wichtigste Themen Malware nutzt digitalen Geldbörsen-Service und beliebte Nachrichten-App aus Der Trojaner Android/Waller.A nutzt eine Sicherheitslücke in einem legitimen digitalen Geldbörsen-Service aus, um Geld zu stehlen.5 Diese Malware nutzt das von Visa QIWI Wallet verwendete Geldüberweisungsprotokoll aus, tarnt sich als Update für Adobe Flash Player oder eine andere legitime App und wird nach der Installation nicht auf dem Hauptbildschirm angezeigt. Im Hintergrund überprüft die Malware, ob auf dem Gerät ein Konto für eine digitale Geldbörse eingerichtet und diese gefüllt ist. Sie fängt die Bestätigungsantwort ab und sendet schließlich das Geld an den Server des Angreifers. In diesem Fall nutzt die Malware das Protokoll aus, das diese Schritte über SMSNachrichten ohne ausreichende Authentifizierung durchführt, und gibt sich effektiv als offizielle App aus. McAfee Labs entdeckte auch den Trojaner Android/ Balloonpopper.A, der eine Verschlüsselungsschwachstelle in der beliebten Kurznachrichten-App WhatsApp ausnutzt.6 Diese Malware tarnt sich als Spiele-App „BalloonPop“, greift dann jedoch auf WhatsApp-Konversationen sowie Bilder zu, die auf dem Gerät gespeichert sind. Anschließend sendet sie diese Daten an den Remote-Server des Internetkriminellen, wo sie entschlüsselt und später auf der Webseite des Angreifers veröffentlicht werden.7 Obwohl diese Schwachstelle mittlerweile geschlossen wurde, können wir uns leicht vorstellen, dass Internetkriminelle nach weiteren Lücken in dieser beliebten App suchen. Die Webseite des Angreifers kann erfasste WhatsAppKonversationen veröffentlichen. Schutzbedürftige Plattform und Apps Diese Beispiele zeigen, dass Mobilgeräte-Malware seit kurzem neben den Standardfunktionen einer Plattform legitime Apps und Services missbraucht, um die herkömmliche Kontrolle durch App-Stores und Sicherheitsprodukte zu umgehen. Aus diesem Grund genügt der ausschließliche Schutz der zugrunde liegenden Plattform nicht mehr. Wir sind der Meinung, dass Entwickler ihre Apps und Services besser vor nicht autorisierter und böswilliger Benutzung schützen müssen. Zudem müssen die App Stores sicherstellen, dass sämtliche Datenzugriffe ausschließlich von authentifizierten und autorisierten ClientApps stammen. Wenn eine App höhere Berechtigungen als üblich besitzt oder Online-Banking-, Transaktions- und andere äußerst vertrauliche Daten verarbeitet, sind diese Schritte unumgänglich. Auch die Benutzer sind gefordert, bei der Installation und Ausführung von Apps keine zu weit gefassten oder unbekannten Berechtigungen zu gewähren. Ebenso sollten sie ihre Apps regelmäßig aktualisieren, um Sicherheitsprobleme zu beheben, sobald Schwachstellen gefunden werden, und als unsicher bekannte Apps unbedingt meiden. Die Malware Android/Waller.A, die sich als Adobe Flash Player tarnt. McAfee Labs Threat-Report | Juni 2014 17 Statistische Bedrohungsdaten McAfee Labs Threat-Report | Juni 2014 18 STATISTISCHE BEDROHUNGSDATEN Mobilgeräte-Malware Innerhalb eines einzigen Jahres stieg die Anzahl der MalwareExemplare um 167 Prozent. Seit dem McAfee Labs ThreatReport vom dritten Quartal 2013 dokumentieren wir MobilgeräteMalware nicht mehr nach Malware-Familien, sondern nach eigenständigen Varianten (nach Hash-Wert). Für diesen Wechsel gibt es zwei Gründe: Zum einen möchten wir für Mobilgeräte-Malware die gleiche Zählweise verwenden wie für alle anderen Malware-Formen. Zum anderen sind wir der Meinung, dass wir mit Angaben zur Gesamtanzahl der Varianten statt der Mobilgeräte-MalwareFamilien besser verdeutlichen können, wie Mobilgerätenutzer durch Mobilgeräte-Malware gefährdet werden. McAfee Labs folgen McAfee Labs Threat-Report | Juni 2014 19 STATISTISCHE BEDROHUNGSDATEN Malware Es geht ungebrochen weiter aufwärts. Im 1. Quartal 2014 knackten die MalwareExemplare im Bestand von McAfee Labs die Gesamtzahl von 200 Millionen Varianten. McAfee Labs folgen McAfee Labs Threat-Report | Juni 2014 20 STATISTISCHE BEDROHUNGSDATEN Die Anzahl neuer RansomwareExemplare befindet sich seit drei Quartalen im Sinkflug. McAfee Labs konnte bestätigen, dass diese Entwicklung nicht das Ergebnis einer Anomalie ist. Wir haben mehrere Theorien dafür, was die Ursache sein könnte, haben den genauen Grund jedoch noch nicht gefunden. Ebenso ist es möglich, dass wir eine Flaute erleben, die einem neuen Anstieg vorangeht. Wir konnten dies bereits bei anderen MalwareFormen beobachten. McAfee Labs folgen McAfee Labs Threat-Report | Juni 2014 21 STATISTISCHE BEDROHUNGSDATEN Neue Bedrohungen, die den Master Boot Record angreifen, haben in diesem Zeitabschnitt um 49 Prozent zugenommen und einen historischen Höchststand für ein einziges Quartal erreicht. McAfee Labs folgen McAfee Labs Threat-Report | Juni 2014 22 STATISTISCHE BEDROHUNGSDATEN Internetbedrohungen Bei der Zählung neuer, verdächtiger URLs durch McAfee Labs stellten wir mit 18 Millionen einen Dreimonatsrekord fest. Dies entspricht einem Anstieg von 19 Prozent gegenüber dem 4. Quartal sowie dem vierten Quartalsanstieg in Folge. McAfee Labs folgen McAfee Labs Threat-Report | Juni 2014 23 STATISTISCHE BEDROHUNGSDATEN McAfee Labs folgen McAfee Labs Threat-Report | Juni 2014 24 STATISTISCHE BEDROHUNGSDATEN Gefährliche Nachrichten McAfee Labs folgen McAfee Labs Threat-Report | Juni 2014 25 STATISTISCHE BEDROHUNGSDATEN Netzwerkbedrohungen McAfee Labs folgen McAfee Labs Threat-Report | Juni 2014 26 Informationen zu McAfee McAfee ist ein Geschäftsbereich von Intel Security und ein hundertprozentiges Tochterunternehmen der Intel Corporation (NASDAQ: INTC) und ermöglicht Unternehmen, Organisationen der öffentlichen Verwaltung und Privatanwendern die sichere Nutzung des Internets. Seinen Kunden liefert McAfee präventive, praxiserprobte Lösungen und Dienstleistungen, die Computer, ITK-Netze und Mobilgeräte auf der ganzen Welt vor Angriffen schützen und es Anwendern ermöglicht, Verbindung mit dem Internet aufzunehmen und sich im World Wide Web zu bewegen. Unterstützt von der Security Connected-Strategie, dem innovativen Ansatz für Hardware-unterstützte Sicherheit, und der einzigartigen Global Threat Intelligence-Technologie entwickelt McAfee innovative Produkte, die Privatnutzern, Firmen und Behörden helfen, ihre Daten zu schützen, einschlägige Gesetze einzuhalten, Störungen zu verhindern, Schwachstellen zu ermitteln und die Sicherheit ihrer Systeme laufend zu überwachen und zu verbessern. McAfee ist stets auf der Suche nach neuen Möglichkeiten, seine Kunden zu schützen. http://www.mcafee.com/de 1Mit der Schwierigkeit wird ausgedrückt, wie viel Rechenaufwand erforderlich ist, um einen neuen Block zu generieren. Das Konzept von Bitcoin hebt die Schwierigkeit aller 2.016 Blöcke (ca. 2 Wochen) an. 2Die Hash-Rate gibt die Leistung der Hardware an, die Operationen im Schürfernetzwerk durchführt. 3http://blogs.mcafee.com/mcafee-labs/analyzing-uroburos-patchguard-bypass 4http://blogs.mcafee.com/mcafee-labs/automatic-app-installation-google-play-store-posesbig-risk 5http://home.mcafee.com/virusinfo/virusprofile.aspx?key=7358408 6http://blogs.mcafee.com/mcafee-labs/androidballoonpopper-sums-up-mobile-threatlandscape-in-2013 7http://blogs.mcafee.com/consumer/whatsapp-security-flaw Die in diesem Dokument enthaltenen Informationen werden McAfee-Kunden ausschließlich für Fort- und Weiterbildungszwecke bereitgestellt. Die hier enthaltenen Informationen können sich jederzeit ohne vorherige Ankündigung ändern und werden wie besehen zur Verfügung gestellt, ohne Garantie oder Gewährleistung auf die Richtigkeit oder Anwendbarkeit der Informationen zu einem bestimmten Zweck oder für eine bestimmte Situation. McAfee und das McAfee-Logo sind Marken oder eingetragene Marken von McAfee, Inc. oder der Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. Die in diesem Dokument enthaltenen Spezifikationen und Beschreibungen dienen lediglich Informationszwecken, können sich jederzeit ohne vorherige Ankündigung ändern und schließen alle ausdrücklichen oder stillschweigenden Garantien aus. Copyright © 2014 McAfee, Inc. 61158rpt_qtr-q1_0614_fnl McAfee Labs Threat-Report | Juni 2014 27