docBSI IT Sicherheitslage - Juli 2015
download 
Denúncia Transcrição
BSI IT Sicherheitslage - Juli 2015
TLP Green BSI IT Sicherheitslage Juli 2015 TLP Green BSI IT Sicherheitslage Juli 2015 | Inhaltsverzeichnis Inhaltsverzeichnis Zusammenfassung 2 1 3 Quellenrecherche 1.1 DDoS Erpressungen - DD4BC 3 1.2 Daten des italienischen „Hacking Team“ veröffentlicht 3 1.3 Spam-Welle mit maliziösem JAR-Attachment 4 1.4 Spamwelle fordert Nutzer auf Android App zu installieren 5 1.5 Microsoft Windows Server 2003 End of Life seit Juli 2015 6 2 Gemeldete Sicherheitsvorfälle 2.1 3 Prefix-Hijacking eines nicht genutzten IP-Adressbereiches Internetsicherheit 8 8 10 3.1 Kurz-News IT-Sicherheit 10 3.2 Spam-Herkunftsländer 11 3.3 Spam 12 3.4 Viren-E-Mails 15 3.5 Phishing-E-Mails 17 4 Statistiken 18 4.1 Gesamtaufkommen detektierter Schadprogramme 18 4.2 Informationsdiebstahl-Schadsoftware mit Fokus Deutschland 20 1 TLP Green BSI IT Sicherheitslage Juli 2015 | Zusammenfassung Zusammenfassung In der Juni-Ausgabe der BSI IT Sicherheitslage wurde über Distributed Denial-of-Service Erpressungen der Gruppierung „DD4BC" berichtet. Diese haben in den letzten Wochen auch mehrere Firmen in Deutschland angegriffen. Wie auch im Ausland, so geht die initiale Erpressungsmail, die zumeist den Betreff „DDOS“ aufweist, mit einem ersten DDoS-Angriff einher, der meistens eine Stunde andauert. Am 6. Juli 2015 berichteten Medien, dass die italienische Firma „Hacking Team“ kompromittiert worden war. Es wurden inzwischen interne E-Mails, Dateien, Quelltext im Umfang von 400 GByte über das Internet geleakt. Durch den Leak wurden wichtige Daten über Kunden und Produktimplementierungen öffentlich. Es laufen wegen des Leaks Ermittlungen gegen sechs ehemalige Mitarbeiter des „Hacking Teams“. Im Juni 2015 kam es zu Spam-Wellen mit ungewöhnlichen Anhängen: als Malware wurden maliziöse JAR-Attachments verteilt. Außerdem gab es im Juni 2015 E-Mail-Spamwellen im Namen der Postbank, die dazu aufforderten, eine Android App zu installieren. Trotz der massiven Spamwelle sind nur eine Handvoll Smartphones infiziert worden. Über die Meldestelle der Allianz für Cyber-Sicherheit wurde u. a. der folgende Vorfall gemeldet: PrefixHijacking eines nicht genutzten IP-Adressbereiches. Das Spam-Aufkommen ist im Vergleich zum Mai 2015 um rund 3,8 % gestiegen. Der Spam-Anteil sank im Juni 2015 von 56,4 % auf 55,0 %. Größere Spam-Wellen gab es zwischen dem 7. und 10. Juni 2015 sowie zwischen dem 16. und 19. Juni 2015. Am häufigsten wurden Spam-E-Mails für Dating-Scam sowie pharmazeutische Produkte gesichtet. Spam zu gefälschten Luxus-Artikeln wurde in geringem Umfang versendet. Am häufigsten wurde im Juni 2015 Spam aus den USA, Deutschland (Vormonat: Platz 3) und Spanien versendet. Bei den virenbehafteten E-Mails sieht es ähnlich aus wie im Vormonat, aus Deutschland wurden relativ wenige dieser E-Mails versendet. E-Mails mit betrügerischen Absichten wurden vermehrt registriert. Die deutsche Postbank und deren Kunden waren das häufigste Ziel der Angreifer. Bei E-Mails mit angehängter Schadsoftware gab es im Juni 2015 einen deutlichen Rückgang um 34,7 % im Vergleich zum Vormonat Mai. 2 TLP Green BSI IT Sicherheitslage Juli 2015 | Quellenrecherche 1 Quellenrecherche 1.1 DDoS Erpressungen - DD4BC In der Juni-Ausgabe der BSI IT Sicherheitslage berichteten wir über Distributed Denial-of-Service Erpressungen einer Gruppierung „DD4BC". Diese haben in den letzten Wochen auch mehrere Firmen in Deutschland angegriffen. Wie auch im Ausland, so geht die initiale Erpressungsmail, die zumeist den Betreff „DDOS“ aufweist, mit einem ersten DDoS-Angriff einher, der meistens eine Stunde andauert. Danach erhalten die betroffenen Einrichtungen üblicherweise eine zweite Mail, z. B. Betreff: IMPORTANT! We have not received your payment. But since our email from which we contacted you yesterday got suspended, we are not sure if you replied. However, just to make sure, and to be fair, we will give you some more time - another 24 hours. But if not paid until tomorrow, attack will start and price will increase, as explained in first email. Unabhängig davon, ob bezahlt wird oder nicht, scheint es bisher aber nur sehr selten weitere DDoS Angriffe über den initialen einstündigen DDoS hinaus zu geben. Für diesen DDoS werden weiterhin primär NTP und SSDP Reflection / Amplification Angriffe genutzt. Hierbei senden die Angreifer UDP-Pakete mit gefälschter Absender-IP-Adresse an NTP (UDP / 123) oder SSDP (UDP / 1900) Server, wobei üblicherweise der Absender-Port 80 oder 443 benutzt wird. Entsprechend gehen die Antworten dieser NTP oder SSDP Server an die gefälschte IP-Adresse (das Ziel das angegriffen werden soll) mit Absender-Port 123 bzw. 1900 und Ziel-Port 80 bzw. 443. Weil der Netzverkehr zu UDP-Port 80 oder 443 aber unüblich ist, sollte gegebenenfalls in Erwägung gezogen werden, entsprechende Pakete frühzeitig zu verwerfen. Da die DDoS Angriffe üblicherweise mehrere Gigabits pro Sekunde umfassen, sollte eine Filterung bei vorgelagerten-Providern stattfinden. Angedrohte Angriffe mit mehr als 200 GBit / s wurden bisher nicht beobachtet und gemeldet. 1.2 Daten des italienischen „Hacking Team“ veröffentlicht Sachverhalt Am 6. Juli 2015 berichteten Medien, dass das italienische Unternehmen „Hacking Team“ kompromittiert worden war. Es wurden interne E-Mails, Dateien, Quelltext im Umfang von 400 GByte kopiert und über das Internet geleakt. WikiLeaks veröffentlichte am 8. Juli 2015 mehr als eine Million E-Mails, die per Volltextsuche zugänglich sind und einen Einblick in die weltweiten Geschäftsabläufe geben. Der Leak enthält Daten über die Kunden von „Hacking Team“, Berichte über Schwachstellenanalysen und der entwickelten Überwachungssoftware zuzüglich bisher nicht geschlossener Schwachstellen, z. B. ein Flash 0-Day Exploit mit Shellcode für Microsoft Windows und Mac OS. Die somit inklusive Quellcode veröffentliche Überwachungs- und Spionagesoftware liegt für verschiedene Betriebssysteme (Microsoft Windows, Mac OS und Linux) sowie verbreiteten Smartphone-Betriebssystemen (Apple iOS, Android, Blackberry und Symbian) vor. Es ist davon ausgehen, dass der veröffentlichte Quelltext zukünftig als Basis für weitere Schadsoftware dient [1][3][6]. Das 2003 gegründete und in Mailand ansässige „Hacking Team“ entwickelt und verkauft weltweit Tools für IT-Angriffe und Computer-Überwachung an Regierungen, Strafverfolgungsbehörden, Polizei und andere staatliche Institutionen. Wichtigstes Produkt ist die Spionagesoftware Remote Control System (RCS). Mehr als 50 Mitarbeiter sind für das Hacking Team in Italien und in mehreren Auslandsbüros tätig, dabei werden Angriffswerkzeuge in dutzende Länder vertrieben. Das Hacking Team war schon vor dem aktuellen Leak in die Kritik geraten, weil technisch hochwertige Überwa- 3 TLP Green BSI IT Sicherheitslage Juli 2015 | Quellenrecherche chungstools für Desktops und mobile Geräte auch an staatliche Einrichtungen geliefert worden seien, denen Menschenrechtsverletzungen vorgeworfen werden. Die Produkte vom „Hacking Team“ (Remote Control System, Da Vinci, Galileo) erlauben die umfangreiche Überwachung von Online-Kommunikation, VoIP und das Brechen von verschlüsselten Daten. Zahlreiche Features sind implementiert: Keylogger; Ausspähen von E-Mails, Textnachrichten, Adressbüchern, Anruflisten, Historie von Suchausdrücken; das Erstellen von Screenshots; das Aufnehmen von Anrufen, das Umgehen der Kryptographie von Skype, Live-Mitschnitte durch das Fernaktivieren von Mikrophonen und Kameras, Zugriff auf die GPS-Daten von Smartphones, das Infizieren von Computer-Firmware durch UEFI / BIOS Rootkits, das Extrahieren von WLAN-Passwörtern sowie das Exfiltrieren von Krypto-Wallet-Dateien. Es besteht ein Innentäter-Verdacht: Ermittlungen laufen gegen sechs ehemalige Mitarbeiter vom „Hacking Team“, die auf Malta ein konkurrierendes Unternehmen unter dem Namen Reaqta gegründet haben [7]. Maßnahmen Es sollten Sicherheitspatches gegen die bekannt gewordenen Zero-Day-Exploits installiert werden. Quellen [1] http://www.itnews.com.au/News/406143,government-exploit-vendor-suffers-hack.aspx [2] http://www.zeit.de/digital/datenschutz/2015-07/hacking-team-zero-day-flash-player-update [3] http://www.tagesschau.de/wirtschaft/hacking-team-101.html [4] http://heise.de/-2784567 [5] http://taz.de/Folgen-des-Hacking-Team-Hacks/!5218981/ [6] http://heise.de/-2736160 [7] http://www.forbes.com/sites/thomasbrewster/2015/07/15/hacking-team-ex-employers-legal-fight/ 1.3 Spam-Welle mit maliziösem JAR-Attachment Üblicherweise kursieren Spam-Mails, die Schadsoftware verteilen, in Form von Attachments mit Executables (.exe, .scr usw.) oder Varianten, bei denen sich das Executable in Archiven (meistens ZIPArchiven) befindet. Wieder andere Gruppierungen verwenden lieber maliziöse Office Dokumente, zumeist .DOC oder .RTF Dokumente, die entweder über Makros oder Schwachstellen Programmcode zur Ausführung bringen oder PDF-Dokumente, die Schwachstellen im Adobe PDF Reader ausnutzen. Bisher unüblich sind Spam-Wellen, wie sie im Juni 2015 auftraten, bei denen das Mail-Attachment aus einer JAR-Datei (z. B. PO042564.jar) bestand. Ist auf dem empfangenden System Java installiert, führt ein Doppelklick auf diese JAR-Datei zur Ausführung des Java-Programmcodes. In dem vorliegenden Fall1 installiert sich die JAR-Datei als sylog-Agent.jar und kommuniziert zu einem Command & Control-Server (TCP-Port 1777 oder TCP-Port 1717). Über diesen Kanal wurden weitere Schadsoftware-Bestandteile (Plug-ins) nachgeladen, die sprechende Dateinamen aufweisen, z. B. quaverse.rat.tools.FileBrowser.jar2 und quaverse.rat.tools.EmailPasswordDumper.jar3. md5 8696468b11374950fafb9ca2749f7a6a md5 e81bc6bf78e0fc580f7509046955751c 3 md5 a0a8a5fd3cfeb6a1596f1bc1cf2a5819 1 2 4 TLP Green BSI IT Sicherheitslage Juli 2015 | Quellenrecherche 1.4 Spamwelle fordert Nutzer auf Android App zu installieren Im Juni 2015 gab es E-Mail-Spamwellen im Namen der Postbank, die dazu aufforderten eine Android App zu installieren: Betreff: Postbank Zertifikat App Sehr geehrte Postbank Kundin, sehr geehrter Postbank Kunde, Warnung! Aktuell versuchen Betrüger die Internetverbindung zu kappen,um Geld zu stehlen. Ziel sind dabei Kunden,die das OnlineBanking mit dem Sicherheitsverfahren mobileTAN nutzen. Und das Betriebssystem Android auf Ihren Geräten läuft Schützen Sie ihre Smartphones oder Tablets gleich jetzt!Postbank empfiehlt Ihnen die kostenlose und schützende SSL-Zertifikat App zu installieren. Sorgen Sie mit einer SSL-Zertifikat App für einen ausreichenden Schutz Ihres Smartphones oder Tablets.Um SSL-Zertifikat App im Android Betriebssystem zu benutzen, sind keine Vorkenntnisse nötig. Sie brauchen ledeglich ein Paar Minuten für die Installation und dem Arbeitsbeginn mit der SSL-Zertifikat App. Lade Sie unter dem folgenden Link die SSL-Zertifikat App herunter und installieren Sie diese auf auf Ihr Smartphone oder Tablet. Installieren Die SSL-Zertifikat App beginnt zu arbeiten und zu schützen nach dem ersten Start. Mit freundlichen Grüßen Ihre Postbank AG 5 TLP Green BSI IT Sicherheitslage Juli 2015 | Quellenrecherche Der Link führte zu einer Webseite, die bei einem entsprechenden Android-typischen UserAgent eine Installationsanleitung und einen Download-Link für eine EV-SSL-Zertifikat App lieferte. Wird die App installiert und ausgeführt, dann haben die Angreifer fortan die Möglichkeit eine SMSWeiterleitung zu aktivieren, um mobile-TAN-Verfahren auszuhebeln. Die notwendigen Online- Abbildung 1: Screenshots der EV-SSL-Zertifikat App Banking-Zugangsdaten werden von der App bei Ausführung abgefragt und an die Täter übermittelt. Positiv bleibt festzustellen, dass trotz der massiven Spamwelle nur eine Handvoll Smartphones mit diesem Schädling infiziert worden sind. 1.5 Microsoft Windows Server 2003 End of Life seit Juli 2015 Sachverhalt Am 14. Juli 2015 endete der sogenannte erweiterte Support für Microsoft Windows Server 2003. Damit werden keine neuen Sicherheitsupdates, keine nicht sicherheitsrelevanten Updates, keine kostenlosen oder kostenpflichtigen Supportoptionen und keine Updates zu online verfügbaren technischen Inhalten mehr bereitgestellt [1]. Die aktuellste produktiv nutzbare Windows Server Version ist „Windows Server 2012 R2“ [2], Mit dem Nachfolger „Windows Server 2016“ ist voraussichtlich Anfang 2016 zu rechnen [3]. 6 TLP Green BSI IT Sicherheitslage Juli 2015 | Quellenrecherche Bewertung Der IT-Betrieb von Systemen und Anwendungen außerhalb des Supports stellt – auch im internen Netz - ein großes Sicherheitsrisiko dar, weil keine Sicherheitsupdates mehr durch den Hersteller ausgeliefert werden, während weiterhin Exploits zur Ausnutzung von Schwachstellen veröffentlicht werden. Quellen Microsoft Support Lifecycle https://support.microsoft.com/de-de/lifecycle Wikipedia: Windows Server 2012 R2 https://de.wikipedia.org/wiki/Microsoft_Windows_Server_2012_R2 Wikipedia: Windows Server 2016 https://en.wikipedia.org/wiki/Windows_Server_2016 7 TLP Green BSI IT Sicherheitslage Juli 2015 | Gemeldete Sicherheitsvorfälle 2 Gemeldete Sicherheitsvorfälle 2.1 Prefix-Hijacking eines nicht genutzten IP-Adressbereiches Der folgende Vorfall ging über die Meldestelle der Allianz für Cyber-Sicherheit ein Sachverhalt Ein nicht verwendeter IP-Adressbereich einer Organisation wurde im Jahre 2014 dreimal durch nicht autorisierte Parteien im Internet annonciert. Die Annoncierung erfolgte dabei mithilfe des Border Gateway Protocols (BGP), über das sich die Betreiber von Autonomen Systemen (AS) für IPAdressbereiche im Internet als zuständig erklären können. Die unautorisierte Annoncierung von IPAdressbereichen wird als „Prefix-Hijacking“ bezeichnet. Eines der Autonomen Systeme, die den IP-Adressbereich der Organisation gekapert haben, ist in der Vergangenheit bereits mehrfach durch kurzzeitigen Spam-Versand aufgefallen. Für den SpamVersand kamen jeweils IP-Adressen aus den gekaperten IP-Adressbereichen zum Einsatz. Bewertung Weil der oben beschriebene IP-Adressbereich nicht im Internet durch den tatsächlichen Besitzer annonciert wurde, ist durch die Kaperung auch kein Internetverkehr entführt oder umgelenkt worden. Insofern stellt der Vorfall kein Sicherheitsrisiko dar. Es ist allerdings wahrscheinlich, dass der gekaperte IP-Adressbereich für den Spam-Versand genutzt wurde [1]. Daher ist es auch nicht auszuschließen, dass IP-Adressen aus diesem Bereich auf SpamBlacklists gelandet sind. Darunter kann die Reputation des IP-Adressbereiches leiden, was ein schlechtes Licht auf die Organisation wirft. In der Vergangenheit wurden mehrfach Fälle von Prefix-Hijacking bekannt: Cyber-Kriminelle hatten die IP-Adressen bekannter Webservices gekapert, um die angebotene Dienstleistung zu manipulieren oder unerreichbar zu machen. Meist ist die Ursache für Prefix-Hijacking jedoch kein Angriff, sondern ein Konfigurations- oder Tippfehler bei der Konfiguration von BGP-Routen. Um eine (un)beabsichtigte „Entführung“ von IP-Adressen erkennen und auf lange Sicht auch verhindern zu können, wurde mit der Resource Public Key Infrastructure (RPKI) ein System entwickelt, das die Internet Routing Infrastruktur vor derartigen Angriffen schützen kann. Das BSI hat dazu eine entsprechende Anleitung "How-To: RPKI – Maßnahmen gegen Prefix-Hijacking" verfasst, die über die Allianz für Cyber-Sicherheit bereitsteht [2]. Es gibt mehrere BGP-Monitoring-Dienstleister. Sie bieten eine Möglichkeit an, die im Internet annoncierten BGP-Routen für IP-Adressbereiche zu beobachten. Bei Bedarf kann ein Alarm ausgelöst werden, wenn ein nicht autorisiertes Autonomes System einen bestimmten IP-Adressbereich annonciert. Das BSI führt für die IP-Adressbereiche des IVBB ein BGP-Monitoring durch, um zeitnah ein mögliches Prefix-Hijacking zu erkennen. Fragen an IT-Sicherheitsverantwortliche Werden die BGP-Routen für alle eigenen IP-Adressbereiche beobachtet? Sind die eigenen IP-Adressbereiche mit RPKI geschützt (siehe [2])? 8 TLP Green BSI IT Sicherheitslage Juli 2015 | Gemeldete Sicherheitsvorfälle Werden selbst ungenutzte IP-Adressbereiche im Internet annonciert? Spam-Versender verwenden in der Regel ungenutzte IP-Adressbereiche. Achtung: Falls ein nicht genutzter IP-Adressbereich annonciert wird, kann zu diesem Bereich Traffic eingehen, der potenziell Kosten verursacht. Wurde in diesem Fall eine Absprache mit dem Internet Service Provider (ISP) getroffen, dass der für den ungenutzten Bereich eingehende Traffic direkt beim ISP verworfen werden kann? Quellen [1] Using BGP data to find Spammers http://www.bgpmon.net/using-bgp-data-to-find-spammers/ [2] How-To: RPKI - Maßnahmen gegen Prefix-Hijacking v1.0 https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/techniker/netzwerk/BSI-CS-118.html [3] Wikipedia: Border Gateway Protocol https://de.wikipedia.org/wiki/Border_Gateway_Protocol 9 TLP Green BSI IT Sicherheitslage Juli 2015 | Internetsicherheit 3 Internetsicherheit 3.1 Kurz-News IT-Sicherheit What is Wi-Fi Sense and Why Does It Want Your Facebook Account? Wi-Fi Sense ist eine Windows 10 Funktionalität. Ein Nutzer kann darüber sein eigenes WLAN mit seinen Facebook, Outlook.com und Skype Freunden teilen. Wenn diese bei diesem Nutzer zu Besuch sind, können sie sich so automatisch in das WLAN einloggen. Das Problem: Haben die Freunde des Nutzers einmal Zugang zu dem WLAN, teilen sie diese mit Ihren Facebook, Outlook.com und Skype-Freunden. Um dies zu verhindern, soll man an die SSID seines Netzwerks ein "_optout" anhängen. http://www.howtogeek.com/219700/what-is-wi-fi-sense-and-why-does-it-want-your-facebook-account Unternehmen schützen sich zu wenig vor Wirtschaftsspionage Eine repräsentative Umfrage des Hightech-Verbandes Bitkom unter mehr als 1.000 Sicherheitsverantwortlichen legte jüngst große Defizite offen. „Die Unternehmen in Deutschland verfügen bei der Absicherung ihrer IT-Systeme vor Cyberangriffen über einen guten Basisschutz, investieren aber noch zu selten in umfassende Sicherheitsmaßnahmen“, bemängelt die Organisation. http://www.faz.net/aktuell/wirtschaft/unternehmen/unternehmen-schuetzen-sich-zu-wenig-vorwirtschaftsspionage-13681606.html Hälfte der deutschen Behörden war schon Ziel von Cyberangriffen Fast die Hälfte (49 Prozent) der Behörden in Deutschland haben in den vergangenen zwei Jahren Fälle von digitaler Spionage, Sabotage oder Datendiebstahl verzeichnet. Das hat eine Umfrage im Auftrag des Digitalverbands Bitkom unter 70 Sicherheitsverantwortlichen von Behörden mit zehn oder mehr Mitarbeitern ergeben. Häufigstes Delikt ist demnach mit einem Anteil von 26 Prozent Social Engineering. Dabei geht es darum, Mitarbeiter zu manipulieren, um an bestimmte Informationen zu gelangen. Bei 23 Prozent der Behörden sind Computer oder Smartphones mit vertraulichen Daten gestohlen und bei 21 Prozent IT-Systeme sabotiert worden. Ein Fünftel der Befragten berichtet, dass vertrauliche Dokumente entwendet wurden und bei jeder zehnten Behörde sind E-Mails ausgespäht oder Gespräche abgehört worden. http://www.zdnet.de/88240660/haelfte-der-deutschen-behoerden-war-schon-ziel-von-cyberangriffent Hacker brechen in US-Klinik ein: 4,5 Millionen Datensätze betroffen Das Klinik-Netzwerk der Universität Los Angeles (UCLA Health) wurde Opfer eines Hackerangriffs. Die Angreifer hatten Zugang zu einem Rechner mit sensiblen Inhalten: Patientendaten mit medizinischen und persönlichen Informationen, Sozialversicherungsnummern sowie Daten der Angestellten der vier Kliniken und 150 Büros in Südkalifornien. http://www.heise.de/-2753687.html 10 TLP Green BSI IT Sicherheitslage Juli 2015 | Internetsicherheit 3.2 Spam-Herkunftsländer Für den gesamten E-Mail-Verkehr und die drei wichtigsten Kategorien wurden die Herkunftsländer mit dem größten Aufkommen von E-Mails der entsprechenden Kategorien ermittelt. Die folgende Tabelle führt diese Länder auf. Die Tabelle spiegelt den Stand im deutschen E-Mail-Verkehr wieder. Dies kann im Vergleich zu international erhobenen Statistiken eine Überbetonung der Beiträge aus Deutschland hervorrufen. 4 Rang 1 2 3 4 5 Spam Mails mit Schadsoftware Mails mit SchadsoftwareAusbruch-Charakter5 9,93 % (US) Vereinigte Staaten 6,14 % (DE) Deutschland 5,37 % (ES) Spanien 5,24 % (CN) China 4,91 % (IT) Italien 23,1 % (US) Vereinigte Staaten 14,4 % (IT) Italien 6,24 % (ES) Spanien 4,46 % (TR) Türkei 4,29 % (VN) Vietnam 17,1 % (IT) Italien 9,92 % (ES) Spanien 7,01 % (VN) Vietnam 6,02 % (KR) Republik Korea 5,02 % (TR) Türkei 8 18 2,35 % (DE) Deutschland 1,31 % (DE) Deutschland Tabelle 1: Spam-Herkunftsländer Stand Juni 2015 4 Spam- und vor allem Schadsoftwareversand sind innerhalb eines Landes stärker ausgeprägt, als der entsprechende Versand ins Ausland. 5 Massenhaft versendete E-Mails mit potenziell gefährlichem Anhang. Sie enthalten in fast allen Fällen eine noch nicht signaturbasiert erkannte Schadsoftware. 11 TLP Green BSI IT Sicherheitslage Juli 2015 | Internetsicherheit 3.3 Spam Sachverhalt Die umfangreichste Spam-Welle wurde in einer großen Welle zwischen dem 7. und 8. Juni 2015 registriert. Inhaltlich und thematisch ist sie mit den aus dem Mai bekannten Dating Spam identisch. Die EMails wurden mit den Betreffzeilen „hello“, „hi there“ oder auch „hey“ verschickt. Als Absender sind russische Frauennamen angegeben. Im Vergleich zum Mai änderte sich die in der E-Mail angegebe Rückantwort-Adresse von yandex.ru auf yahoo.com und rambler.ru. Es existieren weitere solcher Mailings, die sich jedoch inhaltlich kaum unterscheiden. Zusammen betragen sie rund 28 % am gesamten Spam-Aufkommen. Beispiel der aktuellen Dating-SpamNachrichten: Hi! How are you? My name is Anastasia (or shortly Nastya), and Id love to know your name. Do you visit this site oftentimes? I was hoping to talk to you in chat once butyou left all of a sudden. Could you write me your address or send me a letter some day? I believe we have a lot in common and talking to you will be much pleasure forme. My email [email protected] mailto:[email protected] Looking forward to getting your letter, Anastasia Eine weitere größere Spam-Kampagne wurde mit dem Betreff „Go buy DJRT right now!“ verschickt. Es bewarb die Internet-Seite „pennystockcrew.com“, auf der man sich für einen Newsletter für Penny-Stocks anmelden konnte. In einem anderen Fall wurden E-Mails mit dem Betreff „It is time to buy COLV“ verschickt. Die beworbene Seite war „stocktips.com“. Bei dieser Art von Spam handelt es sich um eine Variante der Pump-And-Dump Methode, bei der tiefpreisige Aktien umworben werden, die angeblich demnächst steigen sollen. Der Newsletterversender hat in der Regel die Aktie bereits zu einem noch günstigeren Preis gekauft und versucht nun den Preis durch diese Art der Manipulation in die Höhe zu treiben, um kurz darauf die Aktien gewinnbringend zu verkaufen. Für die angesprochenen Anleger bedeutet dies ein hohes Verlustrisiko. 12 TLP Green BSI IT Sicherheitslage Juli 2015 | Internetsicherheit Abbildung 2: Von Spammern beworbene Internetseite zur Anmeldung eines Newsletters für Penny Stocks. Ebenfalls häufig beworben wurden im Juni 2015 Internetseiten, auf denen pharmazeutische Produkte angeboten werden. Die Aufmachung der Newsletter hat sich in den letzten Monaten nicht geändert. Der Betreff der E-Mail enthielt zumeist blumige Umschreibungen für die Wirkung der Produkte Viagra und Cialis. In der E-Mail selbst waren ein kurzer Text sowie der Verweis auf die Internetseite angegeben. Besonderheiten Als Besonderheit fand sich ein Mailing, das gefälschte Luxus-Artikel bewirbt. Der Inhalt der Spam-EMail sieht folgendermaßen aus: no one can tell if it's a Duplicate just by looking on the surface <link> Der angegebene Verweis ist ein kodierter Weiterleitungslink von Google: http://www.google.com/url?q=ht%74%70%3A%2F%2Fj0%31%78%33%6c%69.summ%65r%63%6fol watc%68%2e%72u%2F&sa=D&sntz=1&usg=AFQjCNEpUo0gz8HUcMznSybEaQV5CUngag 13 TLP Green BSI IT Sicherheitslage Juli 2015 | Internetsicherheit Themen Rund 28 % der Spam-E-Mails sind thematisch Dating-Spam zuzuordnen. Weitere 13 % bewerben pharmazeutische Produkte, gefolgt von Penny-Stock-Spam und Job-Offerten mit etwa 4 %. Über 35 % der Spam-E-Mails konnten keinem Thema zugeordnet werden. Bewertung Insgesamt befindet sich das Spam-Aufkommen auf einem sehr niedrigen Niveau. Die in etwa gleich gebliebene Verteilung der Absenderländer könnte bedeuten, dass sich die Botnetze stabilisiert haben und sich momentan nicht viel ändern. Der Anstieg beim Phishing-Spam ist hauptsächlich durch ein größeres Mailing verursacht. Wenn dieses herausgerechnet wird, liegt der Phishing-Anteil unter dem des Vormonats Mai. 14 TLP Green BSI IT Sicherheitslage Juli 2015 | Internetsicherheit 3.4 Viren-E-Mails Sachverhalt Der umfangreichste Versand von E-Mails mit Schadsoftware im Anhang wurde am 15. und 23. Juni 2015 registriert. Die E-Mails enthalten Trojaner mit der generischen Bezeichnung TR / Crypt.XPACK.Gen6 im Anhang und wurden überwiegend aus Italien, Spanien und den Vereinigten Staaten versendet. Inhaltlich variieren die in englischer Sprache verfassten E-Mails stark, teilweise als fingierte Rechnung, als vorgebliches Fax / Scan oder auch als angebliche Antwort auf eine vorangegangene Konversation mit Skype. Bei der Schadsoftware im Anhang handelt es sich um im ZIPFormat gepackte exe- und scr-Dateien, die zum Text passende Dateinamen haben. Das zweitgrößte Mailing im Berichtszeitraum enthielt Schadsoftware der Familie W97M / Adnel.OP und wurde am 8. und 9. Juni 2015 sowie am 17. und 18. Juni 2015 beobachtet. Die E-Mails haben unterschiedliche Betreffzeilen in englischer Sprache wie „Your attention is requested : Your request has been successfully submitted.CLEARSTAR INC“, „RE: Proforma Invoice“ oder „Essential information 037764“ und enthalten sonst keinen weiteren Text. Der Anhang mit Dateinamen der Form „133/15146.doc“ enthält die genannte Schadsoftware im Format einer Microsoft Word Datei. Die EMails wurden überwiegend aus Vietnam, Indien und Italien versendet. Virenausbrüche Die größte E-Mail-Welle mit potenziell gefährlichen Anhängen richtete sich an deutschsprachige Empfänger und wurde am 24. Juni 2015 registriert. Die E-Mails haben als sichtbaren Absender „[email protected]“ und tarnen sich als angebliche Vodafone Rechnungen mit dem Betreff „Ihre Mobilfunk - Rechnung vom 24.06.2015 im Anhang als PDF“. Versendet wurden die E-Mails überwiegend aus Spanien, Italien und Vietnam. Inhaltlich sind die E-Mails kurz gehalten, sie unterscheiden sich jeweils nur im Rechnungsbetrag und verweisen auf den Anhang: Ihre neue Rechnung als PDF - 24.06.2015 Guten Tag, Ihre Rechnung vom 24.06.2015 finden Sie im Anhang als PDF. Die Summe beträgt 46,56 Euro und ist am 04.07.2015 fällig. Freundliche Grüße Ihr Vodafone-Team Der Anhang mit dem Dateinamen „Ihre Rechnung vom 24,06,2015 als PDF .zip“ enthält eine ausführbare Datei mit dem Namen „Ihre Rechnung vom 24,06,2015 als PDF .exe“, dieser konnte im Nachhinein als Trojaner TR / Spy.Zbot.213131 identifiziert werden. Die folgenden fünf größten E-Mail-Wellen mit potenziell gefährlichen Anhängen richten sich alle an polnischsprachige Empfänger und wurden im Nachhinein als Schadsoftware der Familien TR / Tinba, TR / Crypt.Xpack und TR / Injector identifiziert. 6 Virenbezeichnung nach Avira 15 TLP Green BSI IT Sicherheitslage Juli 2015 | Internetsicherheit Bewertung Der Trend zur Lokalisierung von E-Mails mit gefährlichen Anhängen hält an. Auffällig ist weiterhin der große Anteil an polnischsprachigen Anschreiben. Inhaltlich bleiben auch sprachübergreifend die bekannten Methoden vorherrschend: gefälschte Paketdienstbenachrichtigungen, vorgebliche Rechnungen, Vorladungen, Faxe / Scans und andere scheinbar offizielle Dokumente. Daneben auch angebliche persönliche Fotos und Videos. 16 TLP Green BSI IT Sicherheitslage Juli 2015 | Internetsicherheit 3.5 Phishing-E-Mails Das umfangreichste bereits in Kapitel 1.4 aufgenommene Phishing Mailing wurde mit dem Betreff „Postbank SSL-Zertifikat App“ verschickt. Es trat in zwei großen Wellen am 23. und 26. Juni 2015 auf. Im Inhalt der E-Mails wurde vor Internet-Betrügern gewarnt. Um sich als Postbank-Kunde zu schützen, sollte man die „SSL-Zertifikat App“ auf dem Smartphone installieren. Der entsprechende Link http://postbank.zertifikat-ssl.mobi/zert/ verweist auf eine Seite, die lediglich den Text „Zertifikat wurde erfolgreich Installiert.“ enthält. Nur wenn der Besucher ein Android Gerät benutzt, erscheint eine Webseite, die ihn zur Installation einer angeblichen Zertifikats-App bewegen will. Dabei enthält die Seite auch eine Anleitung, wie die Installation von Apps aus unbekannten Quellen zugelassen wird. Die App selbst fängt SMS und mTan der Kunden ab7. Andere Phishing Angriffe zielen auf Kunden von PayPal, der Sparkasse sowie „postfinance.ch“ ab. 7 http://heise.de/-2721682 17 TLP Green BSI IT Sicherheitslage Juli 2015 | Statistiken 4 Statistiken 4.1 Gesamtaufkommen detektierter Schadprogramme 2015-04 2015-05 2015-06 Gesamtanzahl neuer Malware 6.557.535 9.379.842 9.333.328 Anzahl der stealthmbrVarianten 869 757 1.247 Anzahl der Zeus-Varianten 201.883 1.002.148 302.856 Anzahl der rootkit-Varianten 49.428 41.714 44.968 Anzahl der Banker-Varianten 28.877 28.721 20.716 Anzahl der BHO-Varianten 19.998 11.679 36.494 Anzahl der ircbot-Varianten 109.651 143.847 28.032 Anzahl der proxy-Varianten 44.897 27.531 15.181 Anzahl der DNS-ChangerVarianten 381 411 525 Anzahl der fake-av-Varianten 89.565 95.914 102.014 Tendenz Quartal Tabelle 2: Statistik von Schadsoftware-Samples aufgrund ihrer Erkennung mit Anti-Viren-Software 18 TLP Green BSI IT Sicherheitslage Juli 2015 | Statistiken 2015-04 2015-05 2015-06 Gesamtanzahl neuer Malware 6.557.535 9.379.842 9.333.328 Anzahl an PE32 Samples 5.692.909 8.198.766 7.354.018 Anzahl an PE32+ Samples 50.410 60.122 63.491 Anzahl an Mach-O Samples 196 101 245 Anzahl an Linux ELF Samples 12.687 14.212 12.756 Anzahl an PDF Samples 10.619 28.922 119.390 Anzahl an Office Samples 11.628 9.483 10.436 Anzahl an Android Samples 220.482 243.144 374.699 Anzahl an Blackberry Samples 2 79 812 Anzahl an Symbian Samples 9 7 3 Anzahl an iPhone Samples 1 1 5 Anzahl an Windows Phone Samples 0 0 0 Anzahl an sonstiger Samples 558.592 825.005 1.397.473 Tendenz Quartal Tabelle 3: Statistik über erkannte Schadsoftware-Samples nach Dateitypen 19 TLP Green BSI IT Sicherheitslage Juli 2015 | Statistiken 4.2 Informationsdiebstahl-Schadsoftware mit Fokus Deutschland dyre/dy reza illi/tinb a zeus2 urlzone 2 geodo dridex vawtrak qadars spyeye 2015-04 8.362 2.934 1.389 201 82 259 211 33 5 2015-05 39.589 9.879 1.856 142 224 158 104 12 3 2015-06 28.868 2.455 2.884 30 227 124 221 15 8 Tabelle 4: Übersicht der Informationsdiebstahl-Schadprogramme die im angegebenen Zeitraum analysiert wurden Bei den in Tabelle 4 aufgeführten Schadprogrammen handelt es sich um jeweils unterschiedliche, in den jeweiligen Monaten neu entdeckte Samples, die sich jeweils den in den Spalten genannten Schadprogrammfamilien zuordnen lassen. dyre/dy reza illi/tinb a zeus2 urlzone 2 geodo dridex vawtrak qadars spyeye 2015-04 361 335 371 12 53 56 193 10 4 2015-05 333 368 499 9 150 25 293 8 3 2015-06 398 265 560 9 53 85 292 8 3 Tabelle 5: Schadsoftwarevarianten, die sich mit Command & Control-Server verbunden haben 20 Impressum Herausgeber Bundesamt für Sicherheit in der Informationstechnik Nationales IT-Lagezentrum Bezugsquelle Bundesamt für Sicherheit in der Informationstechnik Nationales IT-Lagezentrum Godesberger Allee 185 -189 - 53175 Bonn Telefon: +49 (0)228 9582 5110 Telefax: +49 (0)228 9582 7025 E-Mail: [email protected] Internet: www.bsi.bund.de www.bsi-fuer-buerger.de www.cert-bund.de Stand Juli 2015
