Malware und Watering Hole

IT-Angriffe werden immer raffinierter

07.10.2013 von Andreas Schaffry

Ob mobile Malware oder Watering Hole: Die Methoden von IT-Kriminellen, sich Zugriff auf Business-Applikationen und Daten zu verschaffen, werden immer ausgefeilter.

Unternehmen und Behörden meldeten in der ersten Hälfte des Jahres 2013 rund 4100 Security-Vorfälle. Hält dieser Trend weiter an, dann wird in diesem Jahr die Anzahl der Sicherheitsverletzungen den Vorjahreswert von 8100 Fällen leicht übersteigen. Das prognostiziert der IT-Konzern IBM in seinem "X-Force 2013 Mid-Year Trend and Risk Report". Positiv daran ist, dass im Jahr 2013 die Anzahl der Sicherheitsvorfälle im Vergleich zu 2012 nur geringfügig ansteigen soll. Ansonsten sind die Aussichten in puncto IT-Sicherheit trüb. So fanden die IBM-Security-Experten heraus, dass 46 Prozent aller von Drittanbietern entwickelten Plug-Ins für Content-Management-Systeme (CMS) nur unzureichend abgesichert sind. Die Plug-Ins bieten Angreifern ein ideales Einfallstor, weil bekannte Schwachstellen nicht durch Patches geschlossen wurden.

Das ist insofern relevant, da im ersten Halbjahr 31 Prozent der Cyber-Attacken auf Web-Anwendungen entfielen, zu denen eben auch CMS-Systeme zählen. Allerdings ist der Anteil im Vergleich zum Vorjahreszeitraum deutlich gesunken. Dort lag er bei 42 Prozent. Die bevorzugte Angriffsmethode gegen Web-Anwendungen ist das Cross-Site-Scripting (XSS), gefolgt von SQL-Injections. Der Anteil von XSS-Attacken lag im ersten Halbjahr 2013 bei etwas mehr als 50 Prozent und damit ähnlich hoch wie im Vorjahresvergleich.

Laut dem X-Force-Report verfolgen 28 Prozent der Attacken das Ziel, durch die Ausnutzung von Schwachstellen Zugriff auf die Backend-Systeme zu bekommen und diese zu kontrollieren. Geografisch gesehen stammt die meiste Malware aus den USA. Dort werden 42 Prozent aller gemeldeten Schädlinge gehostet. Mit weitem Abstand folgt Deutschland mit knapp zehn Prozent auf Platz zwei noch vor China und Russland.

Attacken auf mobile Apps und iOS legen zu

In diesem Jahr geraten mobile Anwendungen und Betriebssysteme immer mehr ins Visier von Angreifern. Seit 2009 hat sich deren Anzahl signifikant erhöht Der Grund liegt darin, dass immer mehr Mitarbeiter ihre Arbeitsaufgaben inzwischen per Smartphone oder Tablet-PC erledigen. Der Anteil der gemeldeten Angriffe auf mobile Devices liegt, gemessen an allen von IBM analysierten Security-Vorfällen, derzeit bei vier Prozent. 2009 waren es weniger als ein Prozent.

IBM X-Force Halbjahr 1-2013

Malware
Im X-Force-Report für das erste Halbjahr 2013 prognostiziert IBM nur eine geringe Zunahme von Malware-Attacken gegenüber dem Vorjahr.

Angriffe auf Web-Anwendungen
Bei Angriffen auf Web-Anwendungen , wie etwa CMS-Systeme, sind Methoden wie Cross-Site-Scripting (XSS) und SQL-Injections besonders beliebt.

Plug-In-Attacken
Angreifern wird das Eindringen in CMS-Systeme einfach gemacht, da bei Plug-Ins von Drittanbietern die Schwachstellen nur schlecht abgesichert sind.

Mobile Angreifer
Die Zahl von Schädlingen für mobile Apps und Betriebssysteme hat sich in den letzten vier Jahren vervierfacht. Besonders bei Android-Malware wird ein starker Anstieg registriert.

Sicherheitsbericht
IBM stellt in seinem Sicherheitsbericht die Malware-Attacken nach Angriffstyp und -zeit sowie deren Auswirkung dar.

Ein interessantes Detail ist, dass im ersten Halbjahr 2013 knapp 30 Prozent der Cyber-Attacken auf mobile Apps und Betriebssysteme über genau die Schwachstellen erfolgten, die zuvor im Internet veröffentlicht und diskutiert wurden. Insbesondere Android-Geräte sind ein bevorzugtes Angriffsziel wie der Bericht unter Berufung auf weitere Studien feststellt. Demnach soll sich die Zahl der entdeckten Android-Malware im Vergleich zum Vorjahr um 600 Prozent erhöht haben, sodass sich die Gesamtzahl bis heute auf rund 276.000 Schädlinge summiere. Laut einer Meldung des Sicherheitsanbieters Trend Micro soll die Anzahl bösartiger Apps für mobile Android-Geräte aktuell schon bei über einer Million liegen.

Auch die Angriffsmethoden, ob auf mobile oder stationäre Systeme, werden immer raffinierter. So lassen sich mit der im April 2013 entdeckten mobilen Android-Malware "Chuli" Angriffe sehr zielgerichtet gegen einzelne Personen oder eine bestimmte Personengruppe durchführen. Chuli verlinkt sich mit dem SMS Service von Android, fängt eingehende Nachrichten ab und sendet diese an den Command-and-Control-Server (C&C) eines Botnets. Gleichzeitig werden SMS- und Rufhistorie, Kontakte und Geolocation-Informationen an den C&C-Server gesendet. Ein besonders ausgefuchster Schädling ist auch der Android-Trojaner "Obad". Dieser stiehlt nicht nur Daten und verschickt Premium-SMS, sondern versteckt sich auch geschickt, indem er seinen Programmcode verschleiert und Administrator-Rechte okkupiert. Zudem hat Obad die Fähigkeit, sich selbst über Bluetooth zu verbreiten.

Watering-Hole-Angriff auf Apple und Facebock

Darüber hinaus konzentrieren sich IT-Kriminelle inzwischen verstärkt auf zentrale, strategische Ziele, wie etwa Special-Interest-Webseiten (= Water Holes), die von potenziellen Zielpersonen häufig frequentiert werden. Meist haben solche Watering Hole genannten Attacken die Webseiten von großen Unternehmen aus der Nahrungsmittel-, Elektronik-, Unterhaltungs- oder Automobilindustrie im Visier. Dabei werden in der Regel Browser-Schwachstellen ausgenutzt, um Trojaner und andere Schädlinge auf den ausgewählten Webseiten einzuschleusen. Laut IBM setzen solche Water Holes nicht in jedem Fall die erforderlichen starken Security-Lösungen und -Practices ein, um die Angriffe abwehren zu können.

Sind die Angreifer erfolgreich, fallen ihnen häufig sensible Kundendaten in die Hände. Abgesehen davon erleiden die betroffenen Firmen einen massiven Imageverlust und müssen zudem mit einem Nachspiel vor Gericht rechnen. Selbst Firmen wie Apple und Facebook zählen zu den Opfern von Watering-Hole-Attacken. Beide Firmen berichteten Angriffe auf ihre Mitarbeiter über kompromittierte Entwickler-Webseiten. 16,5 Prozent der bösartigen Links im Internet sind auf solchen Special-Interest-Webseiten oder -Blogs angesiedelt. Die meisten, nämlich 23 Prozent, gibt es übrigens auf Pornografie-Webseiten.

Mehr Internetsicherheit: 3 Tipps von IBM

Die IBM-Sicherheitsexperten analysieren nicht nur den Status-Quo der Malware-Attacken auf Firmen und Behörden, sondern geben diesen obendrein noch folgende drei Tipps, Web-Server und -Applikationen besser abzusichern

Die Server "härten" (= Server Hardening): Bestandteile und Funktionen, die nicht zwingend zur Erfüllung einer Aufgabe benötigt werden, sind vom Betriebssystem und der Software zu entfernen. Allgemeine Richtlinien dafür liefert der "Guide to General Server Security", den in den USA das National Institute of Standards and Technology (NIST) veröffentlicht, oder der "Leitfaden Informationssicherheit" vom Bundesamt für Sicherheit in der Informationstechnik (BSI).
Software und Web-Apps aktuell halten: Web-Anwendungen und Software, die auf Servern installiert ist, sollte immer aktuell gehalten werden. Firmen, die Web Apps in Eigenregie entwickeln, erhalten über das Open Web Application Security Project (OWASP) Richtlinien zu deren Absicherung.
Server und Clients mit starken Passwörtern absichern: Auch durch gestohlene Zugangsberechtigungen für Server werden Webseiten kompromittiert. Ein Grund dafür liegt darin, dass die Client-Maschine, über die ein User oder Administrator sich am Server anmeldet, bereits infiziert ist. Analog zu den Servern sollten diese ebenfalls "gehärtet" werden. Nicht zuletzt gehört es zu den Best Practices, sehr starke Passwörter zu nutzen und für jeden Account ein eigenes Passwort anzulegen.

Für den X-Force-Report beobachtet IBM seit 14 Jahren laufend neue Web-Content-Daten und wertet jeden Monat 150 Millionen neue Web-Pages und Images aus. Bis heute wurden 20 Milliarden Pages und Images analysiert und klassifiziert.