Evolution von Exploit Kits
Transcrição
Evolution von Exploit Kits
Trend Micro Forschungsbericht Evolution von Exploit Kits Vergangene Trends und aktuelle Verbesserungen Autoren: Joseph C. Chen und Brooks Li Trend Micro | Evolution von Exploit Kits Inhalt Einleitung3 Exploit Kit-Angriffsszenario 3 Kontakt3 Umleitung4 Exploit und Infektion 4 Evolution der Exploit Kits 4 Frühe Versionen 4 Weiterentwicklung5 Aktuelle Trends bei Exploit Kits 5 Top Exploit Kits 5 Top Ziele 6 Verwendete Exploits 6 Umgehungstechniken: Entdecken von Antivirus-/Virtualisierungsprodukten 6 Umgehungstechniken: Dateiverschleierung 7 Exploit Kits in 2015 8 Lösungen von Trend Micro 8 Anhang9 Referenzen10 Trend Micro Forschungsbericht | 2 Trend Micro | Evolution von Exploit Kits Einleitung Ein Exploit Kit, oder auch Exploit Pack genannt, ist eine Art von Hacking Toolkit, die sich in den letzten Jahren wachsender Beliebtheit bei Cyberkriminellen erfreut, dient sie doch als Mittel, um Schadsoftware über webbasierte Angriffe zu verbreiten. Es wurden mehrere Kits entwickelt und im Untergrundmarkt als kommerzielle Produkte verkauft oder vermietet. Das erste Toolkit dieser Art wurde 2006 im CrimewareMarkt entdeckt. [18] Ein typisches Exploit Kit bietet normalerweise eine Managementkonsole, eine Reihe von Schwachstellen für verschiedene Anwendungen und mehrere Add-on-Funktionen, die es Cyberkriminellen erleichtern, einen Angriff zu starten. Die steigende Nachfrage nach Exploit Kits in den Untergrundmärkten führte dazu, dass die Entwickler die Effizienz ihrer Produkte und Verschleierungstechniken verbesserten. Derzeit sind 70 verschiedene Exploit Kits im Umlauf, die mehr als hundert Schwachstellen ausnützen. Dieses Whitepaper zeigt auf, was ein Exploit Kit kann, wie es funktioniert, und wie sich die Kits mit der Zeit verändert haben. CONTACT REDIRECT Normal Website Malicious Advertisement Compromised Website Traffic Direction System Spammed Link Bild 1. Vier Phasen einer Exploit Kit-Infektionskette Trend Micro Forschungsbericht | 3 Angriffs-Szenario mit Exploit Kit Ein Erfolgsfaktor der Exploit Kits besteht in der Tatsache, dass viele ihrer Routinen automatisch ausgeführt werden. Als Illustration dessen haben die Bedrohungsforscher ein typisches Angriffsszenario in seine einzelnen Phasen zerlegt und zeigen auf, wie diese funktionieren. Kontakt Mit dem Kontakt beginnt die Infektion. Der Angreifer versucht, potenzielle Opfer dazu zu verführen, einem Link zu folgen, der zum Exploit Kit-Server führt. Der Kontakt wird häufig über Spam-Mails hergestellt, wobei die Empfänger über Social Engineering-Köder dazu gebracht werden sollen, einen Link anzuklicken. [2] Des Weiteren werden häufig auch kompromittierte Websites als Kontaktpfad eingesetzt. Angreifer fügen dort bösartigen Code ein, der dann die SiteBesucher zum Exploit Kit umleitet. EXPLOIT INFECT Ransomware Exploit Server Kit Banking Trojan Malware Trend Micro | Evolution von Exploit Kits Malvertisement stellt eine andere Form fortgeschrittener Angriffe dar, wobei hier die WebWerbung die Besucher zum Exploit Kit-Server weiterleitet. [3, 4] Diese Technik macht jede Website, die die bösartige Werbung anzeigt, zum möglichen Infektionsvektor. Umleitung Ein Verkehrsumleitungssystem (Traffic Redirect System) bezeichnet die Fähigkeit, mithilfe deren der Exploit Kit-Anwender seine Opfer auf Basis bestimmter Bedingungen screenen kann. Diese Aufgabe übernehmen Traffic Direct Systems, wie SutraTDS oder KeitaroTDS, die den umgeleiteten Verkehr filtern oder aggregieren, bevor der Zugriff auf den Exploit Kit-Server erfolgt. [5] Die Quelle der Verkehrsumleitung wird nicht immer direkt vom Exploit Kit-Anwender verwaltet, sondern auch vom Verkehrs-Provider, der den Verkehr im Untergrundmarkt verkauft. Der Traffic Subscriber, in diesem Fall der Exploit Kit-Anwender, kann sein Ziel angeben und die Opfer ausfiltern, die bestimmten Anforderungen nicht genügen. Beispielsweise könnte ein Exploit Kit-Anwender ein bestimmtes Land anvisieren, indem er Client IP-Adressen nach Ortung filtert. Exploit und infizieren Sobald Nutzer in der Kontakt-Phase dazu gebracht worden sind, einen Link zum Exploit Kit-Server anzuklicken, dann nach bestimmten Kriterien überprüft worden sind, werden sie auf die Landing Page des Exploit Kits weitergeleitet. Diese Seite führt das Profiling der ClientUmgebung durch und entscheidet, welche Sicherheitslücken für den Angriff genutzt werden sollen. Wenn die angreifbaren Anwendungen feststehen, schickt die Seite Anfragen an den Exploit Kit-Server, um Dateien herunterzuladen, die die Anwendungen angreifen. Die in Web Browsern, Java™, Adobe® Flash® Player und Adobe Acrobat® sowie Reader® gefundenen Sicherheitslücken werden von Exploit Kits am häufigsten anvisiert. Ist die Sicherheitslücke erfolgreich missbraucht worden, kann der Angreifer Schadsoftware herunterladen und in Trend Micro Forschungsbericht | 4 der Umgebung des Opfers ausführen. In Exploit Kit-Angriffen wird verschiedene Schadsoftware heruntergeladen, wobei am häufigsten Online Banking Malware [6] und Ransomware eingesetzt wird. [7] Evolution von Exploit Kits Frühe Versionen Der erste Exploit Kit-Angriff wurde 2006 entdeckt und nutzte das WebAttacker Kit. Es war das erste Exploit Kit, das im russischen Untergrundmarkt gefunden wurde. [1] Das Angebot umfasste auch technischem Support und kostete 20 Dollar. Der Umleitungslink von WebAttacker wurde über Spam und kompromittierte Websites verbreitet. Das Kit hatte mehrere Sicherheitslücken in Microsoft™ Windows®, Mozilla Firefox® und Java-Anwendungen im Visier, um die Schadsoftware zu streuen. Das zweite Exploit Kit, Mpack, wurde von drei russischen Programmierern Mitte 2006 entwickelt. Die erste komplette Version erschien im Dezember desselben Jahres und kostete 1000 Dollar. Im Vergleich zu WebAttacker bot das Control Panel von Mpack detailliertere Daten zu den Opfern, wie etwa deren Standort. Mehr als 3000 kompromittierte Websites enthielten Umleitungslinks von Mpack. Auch 2007 wurden mehrere Exploit Kits in den Untergrundmärkten veröffentlicht. [8] Dies waren NeoSploit, [9] Phoenix, Tornado und Armitage Exploit Kits, doch wurde Mpack als die größte Bedrohung in jenem Jahr gesehen. [7] EL Fiesta, AdPack und FirePack Exploit Kits erschienen 2008 und das berüchtigte Blackhole Exploit Kit 2010 [2]. Der Erfolg dieser frühen Exploit Kits führte zur weiteren Erstellung von Kits. Bild 2 zeigt die Zahl der aktiven Exploit Kits und die seit 2006 in jedem Jahr neu entdeckten. Von 2006 an zeigte die Richtung immer nach oben bis 2013, wobei allein in 2012 20 neue Kits entdeckt wurden. 2013 gingen die Zahlen etwas zurück und 2014 zeigte die Richtung steil nach unten. Auch die Zahl der aktiven Kits ging 2014 zurück. Die Verhaftung von Paunch, Autor des Blackhole Exploit Kit, im Oktober 2013 könnte Trend Micro | Evolution von Exploit Kits The Timeline Record of Exploit Kits 30 28 26 16 20 15 13 13 11 6 2 0 7 11 6 5 2 2006 14 5 3 2007 2008 3 2009 Number of Active Exploit Kit 2010 2011 2012 2013 2014 Number of New Released Exploit Kit Bild 2. Die Entwicklung der Exploit Kits über die Jahre hinweg Aktuelle Trends bei Exploit Kits ein eindeutiges Signal an den Untergrundmarkt gewesen sein, glaubt man den Zahlen. Blackhole war 2012 und 2013 das am meisten genutzte Top Exploit Kits Exploit Kit und bedeutete eine ernsthafte Bedrohung für die Nutzer. Das Blackhole Exploit Kit rückte mehr in den Hintergrund, als sein Autor Pauch verhaftet wurde. Stattdessen entstanden mehrere Exploit Kits, die seinen Platz im Scheinwerferlicht einnahmen. Bild 3 zeigt Evolution die Verteilung der Exploit Kit-Angriffe in 2014. SweetOrange, ein Kit, das in Malvertisement-AngrifTrotz des Rückgangs der Aktivitäten hat sich fen zur Verteilung von Ransomware vewendet die Bedrohung, die von Exploit Kits ausgeht, wurde [9], beherrschte 35% des Untergrundmarkts. nicht geändert. Mehrere Kits wurden 2014 Das Angler Exploit Kit nahm den zweiten Platz ein noch genutzt, so etwa EL Fiesta, Nuclear, und rangiert heute noch unter den aktivsten Kits. SweetOrange, [4] Styx, [10] FlashPack, [11] Neutrino, Magnitude, [12] Angler und Rig. EL Fiesta ist die 2013 entdeckte neuere Version von NeoSploit. Nuclear wurde 2010 entdeckt, doch 2013 gab es ein Upgrade auf die Version 3 mit neuen Exploits. SweetOrange, Styx und FlashPack wurden 2012 zuerst in Angriffen verwendet. Neutrino, Magnitude und Angler wurden 2013 entdeckt; Rig wiederum im April 2014. Bild 3. Verteilung der Exploit Kit-Angriffe Trend Micro Forschungsbericht | 5 Trend Micro | Evolution von Exploit Kits Top Ziele ein Major Security Bulletin veröffentlicht hatte, das eine erhebliche Verbesserung bezüglich Bezüglich der Auswirkungen ist die USA am der Schließung der UAF (User After Free)stärksten betroffen, weil das Land Ziel von fast Sicherheitslücke beinhaltete. [13] Daraufhin gab 60% der Angriffe über Exploit Kits war (siehe Bild 4) es nur noch einen Internet Explorer Exploit in Exploit Kits, CVE-2014-6332, und auch hier kam sofort ein Patch von Microsoft. Diese Änderung scheint die Angreifer hin zu Adobe Flash Player getrieben zu haben, der bald das Hauptziel darstellte. Die folgenden Exploits wurden daraufhin in Exploit Kits entdeckt: CVE-20140497, CVE-2014-0515, CVE-2014-0569, CVE2014-8439, CVE-2015-0311 und CVE- 2015-0313 Bild 4. Die zehn am meisten angegriffenen Länder in 2014 Umgehungstechniken: Erkennen von Antivirus-/VirtualisierungsProdukten Verwendete Exploits Exploit Kits erhielten eine neue Funktionalität zum Erkennen installierter Sicherheitssoftware. Das bedeutet, dass das Exploit Kit die eigene Ausführung stoppt, wenn bestimmte Sicherheitsprodukte auf dem System installiert sind. Es geht hier sowohl um Antiviruslösungen als auch um Schutzsoftware für virtuelle Maschinen. Die Effizienz von Exploit Kits hängt vom eingesetzten Exploit ab. Ein Exploit für eine neue Schwachstelle kann zu mehreren Schadsoftwareinfektionen führen, weil die Lücke voraussichtlich von den Anwendern erst später gepatcht wird. Das aber bedeutet, dass die Besitzer von Exploit Kits ihre Exploits ständig aktualisieren müssen, damit die Infektionsrate hoch bleibt. Infektionsraten sind wichtig für die Entwickler von Exploit Kits, weil sie als Schlüsselfähigkeit gelten. Entwickler nutzen sie, um die Zuverlässigkeit ihres Produkts zu demonstrieren und damit mehr Geschäft zu machen. Exploit Kit Angler Evasion Target (Anti-Virus or Virtualization Software) Kaspersky Nuclear Kaspersky Rig Styx Kaspersky Kaspersky Trend Micro Trend Micro Trend Micro Trend Micro VMWare VirtualBox Parallels Desktop Es wurden seit 2006 mehr als hundert Sicherheitslücken in Exploit Kits integriert, und diese umfassen mehr als zehn verschiedene Anwendungen. Tabelle 2. Anti-Virus Products Detected in Exploit Kits Adobe Reader- und Java-Exploits waren 2008 beliebte Ziele. Java-Exploits waren 2013 die am meisten genutzten. Doch seit 2014 wurden PDF Reader- und Java-Sicherheitslücken in Exploit Kits nicht mehr aktualisiert. Stattdessen nutzten seit Ende 2013 und im Jahr 2014 fünf Exploit Kits Microsoft Silverlight [11, 12], und machten den Browser zum Top-Ziel von Exploit Kits. Auch Internet Explorer® Exploits gelten als ein Hauptangriffsvektoren. Die Dinge änderten sich, nachdem Microsoft Die Erkennung wird über eine Sicherheitslücke in Internet Explorer (CVE-2013-7331) möglich. Darüber können Angreifer nach Dateien und Ordner auf einem betroffenen System suchen. Die Sicherheitslücke wurde bereits im Februar 2014 an Microsoft gemeldet, doch erst im September gab es einen Patch dafür (als Teil von MS14-052). Folgender Code stellt ein Beispiel für die Suche nach Antivirusprodukten dar: Trend Micro Forschungsbericht | 6 Trend Micro | Evolution von Exploit Kits Nuclear Internet Explorer CVE-20132551 Sweet Orange FlashPack CVE-20132551 CVE-20132551 CVE-20140322 CVE-20133918 CVE-20146332 CVE-20140322 Rig Angler CVE-20132551 CVE-20132551 CVE-20130074 CVE-20130074 Magnitude CVE-20132551 EL Fiesta CVE-20132551 CVE-20132551 CVE-20130074 CVE-20130074 CVE-20140497 CVE-20140515 Microsoft Silverlight CVE-20130074 Adobe Flash Player CVE-20140515 CVE-20140515 CVE-20130634 CVE-20140569 CVE-20140515 CVE-20140569 CVE-20140569 CVE-20140497 CVE-20150311 CVE-20140569 CVE-20140569 CVE-20150311 CVE-20150311 CVE-20148439 CVE-20140515 CVE-20150311 CVE-20140569 Adobe Acrobat/ Reader CVE-20100188 Oracle Java CVE-20120507 CVE-20100188 CVE-20132460 CVE-20132465 CVE-20132471 XMLDOM ActiveX CVE-20140515 Styx CVE-20137331 CVE-20120507 CVE-20142465 CVE-20137331 CVE-20137331 CVE-20137331 Tabelle 1. Sicherheitslücken, die 2014 in Exploit Kit-Angriffen verwendet wurden nutzen immer wieder verschiedene Techniken, um ihre Exploit-Datei zu verschleiern. 2014 kamen neue Techniken hinzu. So entdeckten die Bedrohungsforscher, dass Angreifer legitime Tools für die Verschleierung ihrer Dateien einsetzten. Umgehungstechnken: Dateiverschleierung Das Angler Exploit Kit etwa nutzt jetzt das Pack200-Format, um Java-Exploits zu verschleiern. Pack200 ist das von Sun entwickelte Archivformat für die Komprimierung von JARDateien. Das Tool zur Dekomprimierung dieser verschleierten Dateien gibt es im Original-Java Development Kit. Doch nicht alle Sicherheitsprodukte können diese Formate vollständig unterstützen, sodass die Entdeckung manchmal vermieden werden kann. Verschleierung ist eine in verschiedenen Angriffen häufig angewendete Technik, die verhindern soll, dass eine bösartige Payload entdeckt wird. Das Aussehen der Payload wird verändert und bei der Ausführung wiederhergestellt. Exploit Kits Ein weiteres Beispiel ist die Technik, die FlashPack- und Magnitude-Exploit Kits für Flash Player Exploits nutzen. Sie verstecken ihre Dateien mithilfe eines öffentlich erhältlichen Tools namens DoSWF. Mit dem Werkzeug können Bild 5. Beispielcode von CVE-2013-7331 bei der Suche nach Antivirus-Software Trend Micro Forschungsbericht | 7 Hanjuan CVE-20150313 Trend Micro | Evolution von Exploit Kits Entwickler die Inhalte des ActionScripts ihrer Flash-Dateien vor dem Kopieren schützen. Leider schützt dies auch vor der Entdeckung durch Sicherheitssoftware. Neben der Verschleierung von Landing Pages und Exploit-Dateien können die meisten Exploit Kits nun auch ihre Payload bzw. Schadsoftware verschleiern. Das heißt, die Payload kann verschlüsselt in einem Stream über das Internet übermittelt werden. So lässt sich die Payload bzw. Schadsoftware eines Exploit Kits unbemerkt auf die Maschine eines Opfers bringen, denn sie sieht im Netzwerkverkehr nicht wie eine ausführbare Datei aus. Daher ist die ausführbare Datei weder am „MZ Magic Code“ am Dateianfang (.EXE Datei) noch generell als Portable Executable (PE Datei) erkennbar. Das Exploit Kit entschlüsselt mit Shellcode die Payload im Hauptspeicher erst nachdem sie auf die Maschine des Opfers heruntergeladen wurde. Bild 6 zeigt sowohl das Erscheinungsbild der Payload im Netzwerkverkehr als auch nach der Entschlüsselung. Das Verschlüsseln kann die Entdeckung durch die meisten signaturbasierten IDS/IPS-Systeme verhindern. Nach dem Entschlüsseln legen einige Exploit Kits die Payload auf Festplatte ab. Doch Angler und Hanjuan Exploit Kits schreiben ihre Payload nicht auf Festplatte sondern lassen sie direkt im Hauptspeicher ablaufen, um den Antivirus Scan auf einem Dateisystem zu umgehen. Diese Technik nennt man dateilose Infektion. Die Tabelle zeigt, welche Exploit Kits PayloadVerschlüsselung nutzen und welche dateilose Infektion. Payload (PE) Encryption Fileless Infection FlashPack ✘ ✘ Rig ✔ ✘ Magnitude ✔ ✘ Nuclear ✔ ✘ EL Fiesta ✔ ✘ Angler ✔ ✔ SweetOrange ✘ ✘ GongDa ✘ ✘ Styx ✘ ✘ Hanjua ✔ ✔ Tabelle 3. Payload Evasion Summary Trend Micro Forschungsbericht | 8 Exploit Kits 2015 Exploit Kits stellen mittlerweile die in Untergrundmärkten die am meisten verbreitete Art des Webangriffswerkzeugs dar. In diesem Jahr sind noch mehr diesbezügliche Aktivitäten zu erwarten. Bereits in den ersten beiden Monaten 2015 gab es zwei Adobe Flash Player ZeroDay-Sicherheitslücken (CVE- 2015-0311 [14] und CVE-2015-0313 [15]), die von Exploit Kits anvisiert wurden. Exploit Kits umfassen häufig Zero-Day Exploits, und die Bedrohungsforscher sehen darin einen Trend für 2015. Infolge der Zero-Day Exploits werden Exploit Kits zu einer viel ernsteren Bedrohung, denn die PayloadLieferung wird damit automatisiert und kann noch mehr Anwender in kürzerer Zeit treffen. Trend Micro-Lösungen Exploit Kits stellen eine Mehrkomponenten-Bedrohung dar, deren Abwehr auch einer Lösung aus mehreren Komponenten bedarf. Anwender benötigen eine Sicherheitsstrategie, die den Schutz vor allen Bedrohungskomponenten einschließt. Verhaltensbasierte Lösungen folgen Routinen, die in Exploits gefunden wurden und blockieren sie proaktiv. Damit können diese Lösungen als Hauptabwehr gegen Exploit Kits dienen, vor allem solcher, die Zero-Day Exploits einschließen. Ein Bespiel für diese Vorgehensweise ist die Sandbox mit Script Analyzer Engine als Teil von Trend Micro Deep Discovery. Webbasierte Entdeckung über eine webbasierte Lösung wie die Browser Exploit PreventionFunktionalität in Endpoint-Produkten wie Trend Micro™ Security, Trend Micro™ OfficeScan™ und Trend Micro™ Worry-Free™ Business Security. Die Funktionalität blockiert den Exploit, sobald der Nutzer auf die URL zugreift, die den Exploit hostet. Ein Web Reputation Service kann eine weitere Sicherheitsschicht hinzufügen, um zu gewährleisten, dass die Weiterleitungskette blockiert wird, noch bevor die bösartige Payload auf das System heruntergeladen wird. Dabeibasierte Entdeckung stellt sicher, dass jede Payload, die auf das System heruntergeladen wurde, ihre Routinen nicht ausführen kann. Trend Micro | Evolution von Exploit Kits Bild 6. Ver- und Entschlüsselung der Payload Anhang Jahr Alte Exploit Kits 2006 Neue Exploit Kits MPack WebAttacker Kit 2007 MPack Armitage Exploit Pack IcePack Exploit Kit NeoSploit Exploit Kit 1.0 Phoenix Exploit Kit Tornado Exploit Kit 2008 IcePack Exploit Kit NeoSploit Exploit Kit 2.0/3.0 Phoenix Exploit Kit Tornado Exploit Kit AdPack EL Fiesta Exploit Kit FirePack Exploit Kit 2009 Phoenix Exploit Kit 2.0 Tornado Exploit Kit CrimePack 1.0 Eleonore Exploit Kit Fragus Exploit Kit Just Exploit Kit Liberty Exploit Kit Lucky Sploit Trend Micro Forschungsbericht | 9 MyPoly Sploit Neon Exploit System SPack Siberia Exploit Pack Unique Sploits Exploit Pack Yes Exploit Kit 1.0/2.0 Trend Micro | Evolution von Exploit Kits Anhang Jahr Alte Exploit Kits Neue Exploit Kits 2010 CrimePack 2.0/3.0 Eleonore Exploit Kit Phoenix Exploit Kit 2.0 Siberia Pack Yes Exploit Kit 3.0 Blackhole Exploit Kit 1.0 Bleeding Life Exploit Kit 1.0/2.0 Dragon Pack 2011 Blackhole Exploit Kit 1.1/1.2 Bleeding Life Exploit Kit 3.0 Eleonore Exploit Kit NeoSploit Exploit Kit 4.0 Nuclear Exploit Kit 1.0 Phoenix Exploit Kit 2.0 SEO Sploit Pack Siberia Pack Best Pack G01Pack Exploit Kit Katrin Exploit Pack OpenSource Exploit Kit Sava Exploit Kit 2012 Blackhole Exploit Kit 2.0 G01Pack Exploit Kit Hierarachy/Eleonore Exploit Kit NeoSploit Exploit Kit 4.0 Nuclear Exploit Kit 2.0 Phoenix Exploit Kit 3.0 Alpha Pack CK Exploit Kit Cool Exploit Kit CrimeBoss Exploit Kit CritXPack GrandSoft Exploit Kit Impact Exploit Kit KaiXin Exploit Pack Kein Exploit Pack NucSoft Exploit Pack 2013 Blackhole Exploit Kit 2.0 CK Exploit Kit CrimeBoss Exploit Kit Fiesta/NeoSploit Exploit Kit FlackPack Exploit Kit G01Pack Exploit Kit GrandSoft Nuclear Exploit Kit 3.0 Phoenix Exploit Kit 3.0 RedKit/Goon Exploit Kit Sakura Exploit Kit Sibhost/Glazunov Exploit Kit Styx Exploit Kit SweetOrange Exploit Kit Angler Exploit Kit Anonymous Exploit Kit DotkaChef Exploit Kit GongDa Exploit Kit Hello/LightsOut Exploit Kit HiMan Exploit Kit Magnitude/PopAds Exploit Kit Neutrino Exploit Kit Private Exploit Pack Red Dot Exploit Kit Safe Pack White Lotus Exploit Kit WhiteHole Exploit Kit Zuponcic Exploit Kit 2014 Angler Exploit Kit DotkaChef Exploit Kit Fiesta/NeoSploit Exploit Kit FlackPack Exploit Kit GongDa Exploit Kit Hello/LightsOut Exploit Kit RedKit/Infinity Exploit Kit Magnitude Exploit Kit Neutrino Exploit Kit Nuclear Exploit Kit 3.0 Styx Exploit Kit SweetOrange Exploit Kit Zuponcic Exploit Kit CottonCastle/Niteris Exploit Kit Rig Exploit Kit Referenzen 1. Trend Micro Incorporated (September 20, 2006). TrendLabs Security Intelligence Blog. “IE Zero Day + Web Attacker Kit2 http://blog.trendmicro.com/trendlabs-securityintelligence/ie-zero-day-2b-web-attacker-kit/ 2. Jon Oliver, Sandra Cheng; Lala Manly, Joey Zhu, Roland Dela Paz, Sabrina Sioting, and Jonathan Leopando. (2012). Trend Micro. “VBlackhole Exploit Kit: A Spam Campaign, Not a Series of Individual Spam Runs” Trend Micro Forschungsbericht | 10 Nuclear Exploit Kit 1.0 Papka Exploit Pack SEO Sploit Pack ProPack RedKit Exploit Kit Sakura Exploit Kit Serenity Exploit Pack Sibhost/Glazunov Exploit Kit Styx Exploit Kit 2.0 SweetOrange Exploit Kit Techno XPack Yang Pack ZhiZhu Exploit Kit http://www.trendmicro.com/cloud-content/ us/pdfs/security-intelligence/white-papers/ wp_blackhole-exploit-kit.pdf 3. Brooks Li (October 4, 2011). TrendLabs Security Intelligence Blog. “Facebook Malvertisement Leads to Exploits”, http://blog.trendmicro.com/ trendlabs-security-intelligence/facebookmalvertisement-leads-to-exploits/ 4. Joseph C. Chen (October 14, 2014). TrendLabs Security Intelligence Blog. “YouTube Ads Lead to Exploit Kits, Hit US Victims.” Last accessed February 24, 2015, Trend Micro | Evolution von Exploit Kits http:// blog.trendmicro.com/trendlabs-securityintelligence/youtube-ads-lead-to-exploit-kitshit-us-victims/ 13.Jack Tang (July 1, 2014) TrendLabs Security Intelligence Blog “Isolated Heap for Internet Explorer Helps Mitigate UAF Exploits” http://blog.trendmicro.com/trendlabs-security5. Maxim Goncharov. (October 2011). Trend Micro. intelligence/isolated-heap-for-internet“Traffic Direction Systems as Malware Distribution explorer-helps-mitigate-uaf-exploits/ Tools.” Last accessed February 24, 2015, http://www.trendmicro.com/cloud- content/us/ 14.Weimin Wu. (January 22, 2015) Blog. pdfs/security-intelligence/reports/ rpt_malwaretrendmicro.de “Flash geht mit einem Zero-Day distribution-tools.pdf ins neue Jahr” http://blog.trendmicro.de/flash-geht-mit-einem6. Joseph C. Chen (August 21, 2014) TrendLabs zero-day-ins-neue-jahr/ Security Intelligence Blog “Website Add-on Targets Japanese Users, Leads to Exploit Kit” 15.Peter Pi (February 2, 2015) Blog.trendmicro.de http://blog.trendmicro.com/trendlabs-security“Schon wieder ein Zero-Day Exploit in Adobe” intelligence/website-add-on-targets-japanesehttp://blog.trendmicro.de/schon-wieder-einusers-leads-to-exploit-kit/ zero-day-exploit-in-adobe/ 7. Jay Yaneza (November 17, 2014). TrendLabs Security Intelligence Blog “Flashpack Exploit Kit Used in Free Ads, Leads to Malware Delivery Mechanism”, http://blog.trendmicro.com/trendlabs-securityintelligence/flashpack-exploit-kit-used-in-freeads-leads-to-malware-delivery-mechanism/ 8. JCarolyn Guevarra (June 18, 2007). TrendLabs Security Intelligence Blog “Another Malware Pulls an Italian Job” http://blog.trendmicro.com/trendlabs-securityintelligence/another-malware-pulls-an-italian-job/ 9. Jovi Umawing. (April 2, 2008) TrendLabs Security Intelligence Blog. “Old, Known Bugs Exploited by Neosploit” http://blog.trendmicro.com/trendlabs-securityintelligence/old-known-bugs-exploited-byneosploit/ 10.Michael Du (November 24, 2014). TrendLabs Security Intelligence Blog “Obfuscated Flash Files Make Their Mark in Exploit Kits”, http://blog.trendmicro.com/trendlabs-securityintelligence/malicious-flash-files-gain-theupper-hand-with-new-obfuscation-techniques/ 16.Yuki Chen. (November 25, 2013). TrendLabs Security Intelligence Blog. “A Look at a Silverlight Exploit.” Last accessed February 24, 2015, http://blog.trendmicro.com/trendlabssecurity-intelligence/a-look-at-a-silverlightexploit/ 17.Brooks Li. (September 23, 2014). TrendLabs Security Intelligence Blog. “Nuclear Exploit Kit Evolves, Includes Silverlight Exploit.” Last accessed February 24, 2015, http://blog. trendmicro.com/trendlabs-security-intelligence/ nuclear-exploit-kit-evolves-includes-silverlightexploit/ 18.Jack Tang. (July 1, 2014). TrendLabs Security Intelligence Blog. “Isolated Heap for Internet Explorer Helps Mitigate UAF Exploits.” Last accessed February 24, 2015, http://blog. trendmicro.com/trendlabs-security-intelligence/ isolated-heap-for-internet-explorer-helpsmitigate-uaf-exploits/ 19.Weimin Wu. (January 22, 2015). TrendLabs Security Intelligence Blog. “BFlash Greets 2015 with New Zero-day.” Last accessed February 24, 2015, http://blog.trendmicro.com/ trendlabs-security-intelligence/flash-greets11.Yuki Chen (Nov. 25, 2013). TrendLabs Security 2015-with-new-zero-day/ Intelligence Blog “A Look at a Silverlight Exploit” http://blog.trendmicro.com/trendlabs-security- 20.Peter Pi. (February 2, 2015). TrendLabs intelligence/a-look-at-a-silverlight-exploit/ Security Intelligence Blog. “Trend Micro Discovers New Adobe Flash Zero-day Exploit 12.Brooks Li (September 23, 2014) TrendLabs Used in Malvertisements.” Last accessed Security Intelligence Blog “Nuclear Exploit Kit February 24, 2015, http://blog.trendmicro.com/ Evolves, Includes Silverlight Exploit” trendlabs-security-intelligence/trend-microhttp://blog.trendmicro.com/trendlabs-securitydiscovers-new-adobe-flash-zero-day-exploitintelligence/nuclear-exploit-kit-evolvesused-in-malvertisements/ includes-silverlight-exploit/ Trend Micro Forschungsbericht | 11 HAFTUNGSAUSSCHLUSS Die in diesem Dokument bereitgestellten Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie stellen keine Rechtsberatung dar und sind nicht als solche auszulegen. Die in diesem Dokument bereitgestellten Informationen finden womöglich nicht auf alle Sachverhalte Anwendung und spiegeln womöglich nicht die jüngsten Sachverhalte wider. Die Inhalte in diesem Dokument sind ohne eine Rechtsberatung auf der Grundlage der vorgestellten besonderen Fakten und Umstände nicht als verlässlich oder als Handlungsanweisungen zu verstehen und nicht in anderer Weise auszulegen. Trend Micro behält sich das Recht vor, die Inhalte dieses Dokuments zu jeder Zeit und ohne Vorankündigung zu ändern. Übersetzungen in andere Sprachen sind ausschließlich als Unterstützung gedacht. Die Genauigkeit der Übersetzung wird weder garantiert noch stillschweigend zugesichert. Bei Fragen zur Genauigkeit einer Übersetzung lesen Sie bitte in der offiziellen Fassung des Dokuments in der Ursprungssprache nach. Diskrepanzen oder Abweichungen in der übersetzten Fassung sind nicht bindend und haben im Hinblick auf Compliance oder Durchsetzung keine Rechtswirkung. Trend Micro bemüht sich in diesem Dokument im angemessenen Umfang um die Bereitstellung genauer und aktueller Informationen, übernimmt jedoch hinsichtlich Genauigkeit, Aktualität und Vollständigkeit keine Haftung und macht diesbezüglich keine Zusicherungen. Sie erklären Ihr Einverständnis, dass Sie dieses Dokument und seine Inhalte auf eigene Gefahr nutzen und sich darauf berufen. Trend Micro übernimmt keine Gewährleistung, weder ausdrücklich noch stillschweigend. Weder Trend Micro noch Dritte, die an der Konzeption, Erstellung oder Bereitstellung dieses Dokuments beteiligt waren, haften für Folgeschäden oder Verluste, insbesondere direkte, indirekte, besondere oder Nebenschäden, entgangenen Gewinn oder besondere Schäden, die sich aus dem Zugriff auf, der Verwendung oder Unmöglichkeit der Verwendung oder in Zusammenhang mit der Verwendung dieses Dokuments oder aus Fehlern und Auslassungen im Inhalt ergeben. Die Verwendung dieser Informationen stellt die Zustimmung zur Nutzung in der vorliegenden Form dar. Über TREND MICRO Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als fünfundzwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloudbasierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an. http://www.trendmicro.de/ http://blog.trendmicro.de/ http://www.twitter.com/TrendMicroDE TREND MICRO Deutschland GmbH Zeppelinstrasse 1 85399 Hallbergmoos Germany Tel. +49 (0) 811 88990–700 Fax +49 (0) 811 88990–799 TREND MICRO Schweiz GmbH Schaffhauserstrasse 104 8152 Glattbrugg Switzerland Tel. +41 (0) 44 82860–80 Fax +41 (0) 44 82860–81 TREND MICRO (SUISSE) SÀRL World Trade Center Avenue Gratta-Paille 2 1018 Lausanne Switzerland www.trendmicro.com ©2015 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.