Exploit Kits: Dem Übel an die Wurzel gehen

Risiken müssen neutralisiert werden, bevor sie außer Kontrolle geraten

Von unserem Gastauto Hadi Jaafarawi, Managing Director, Middle East Qualys

[datensicherheit.de, 07.12.2016] Obwohl Exploit Kits  nun schon seit fast zehn Jahren existieren, wissen viele immer noch nicht genau, wie sie funktionieren. Im Kern ist ein Exploit Kit ein Tool, mit dessen Hilfe Cyber-Kriminelle die Fehler in einem System ausnutzen und es mit Malware infizieren.

Ein solches Kit erfüllt eine dreifache Funktion:

• Erstens scannt es das System des Opfers auf Schwachstellen,
• zweitens lädt es Schadcode herunter und
• drittens installiert es Malware und führt sie aus.

Typischerweise zielen Exploit Kits auf Webbrowser sowie populäre Programme ab, wie etwa Adobe Reader, Java Runtime Environment oder Adobe Flash Player. Sobald der Einbruch in ein System gelungen ist, können Rootkits es zu anormalem Verhalten zwingen und die Aktivitäten der Software, Hardware und aller anderen elektronischen Komponenten stören.

Die leichte Verfügbarkeit und Handhabbarkeit von Rootkits gibt ebenfalls Anlass zur Sorge. Hacker können problemlos Rootkits kaufen oder mieten, um damit die Computer der Nutzer anzugreifen, die sie mittels Phishing-Kampagnen, böswilliger Werbung oder kompromittierter Webseiten auf ihre eigenen betrügerischen Websites gelockt haben. Sobald die Hacker die Kontrolle über die kompromittierten Geräte übernommen haben, entwenden sie Daten für Identitätsdiebstähle, kapern Online-Konten, erpressen Geld für die Entschlüsselung von Dateien (Ransomware) und so weiter.

Bild: Qualys

Hadi Jaafarawi, Managing Director, Middle East Qualys

Aus diesen Gründen erfreuen sich Rootkits in letzter Zeit bei den Angreifern immer größerer Beliebtheit, und ihre technische Raffinesse nimmt extrem schnell zu, sehr zum Leidwesen der CISO. Die Namen der besonders berüchtigten Rootkits sind wohlbekannt: Angler, BlackHole, Neutrino. Im Lauf der Jahre haben sie bereits Millionen von Nutzern und Unternehmen befallen. Und leider wird die Bedrohung durch Exploit Kits immer größer: Ihr Komfort und ihre Effektivität lassen sie zu einer der bevorzugten Waffen von Kriminellen werden, die mit ihnen Malware-Angriffe in großem Stil durchführen und die Ausnutzung von Schwachstellen automatisieren können.

Im vierten Quartal 2015 verdoppelte sich im Vergleich zum Vorjahr die Zahl der Besuche auf Exploit-Kit-URLs, die von Trend Micro-Produkten blockiert wurden. Und da die Exploit Kits immer destruktiver werden, ist es für Unternehmen unerhört wichtig, die Sicherheitslücken in ihren IT-Assets zu schließen. Die Beseitigung von Schwachstellen ist der beste Schutz gegen Cyber-Angriffe und insbesondere diejenigen Attacken, für die Exploit Kits eingesetzt werden. Um entscheiden zu können, welche Lücken sofort geschlossen werden müssen, müssen die IT-Abteilungen allerdings Berge von internen und externen Bedrohungsdaten durchforsten und korrelieren und zahlreiche Risikokriterien abwägen. Ein Element, das diese Berechnungen zur Prioritätensetzung durchgehend beeinflusst, sind die Schwachstellen, die von Rootkits angegriffen werden.

Das mag nach einer gewaltigen Aufgabe klingen, doch gibt es eine Reihe von Schritten, die die Sicherheitsteams unternehmen können, um ihre Netzwerke besser vor Exploits zu schützen. Eine der effektivsten Maßnahmen besteht darin, präventiv statt reaktiv zu handeln. Nötig ist dazu eine robuste Lösung für Schwachstellenmanagement, die Angriffe kontinuierlich erkennt und abwehrt, wann und wo immer sie sich ereignen. Zudem muss genau auf verdächtige Aktivitäten geachtet werden, und wenngleich Rootkits keine aktiven Anzeichen dafür erkennen lassen, dass Sie kompromittiert sind, gibt es dennoch Möglichkeiten, dies festzustellen. Wenn Ihnen zum Beispiel aus mehreren Quellen gemeldet wird, dass Sie Spam versenden, dann ist Ihr System mit großer Wahrscheinlichkeit von einem Botnet infiziert, was wiederum direkt auf ein Rootkit zurückzuführen ist.

Eine weitere einfache, aber bewährte Methode besteht darin, einen Rechner herunterzufahren, wenn er infiziert wurde. Auf diese Weise können Sie verhindern, dass sich die Malware ausbreitet und weitere Schäden anrichtet. Das gibt Ihnen Zeit zu entscheiden, wie Sie nun am besten vorgehen. Für diejenigen, die ausreichende technische Kenntnisse besitzen, ist auch ein Speicherauszug eine Option. In einer solchen Ausgabe des Speicherinhalts wird jedes Rootkit erfasst, das am Werk ist. Der Speicherauszug kann dann mit einem Debugging-Tool untersucht werden. Bei dieser Analyse kann das Rootkit seine Aktionen nicht verbergen und wird identifiziert, sodass Sie die nötigen Schritte einleiten können, um das bösartige Programm vollständig zu entfernen.

Fazit: Um Korrekturmaßnahmen an ihren IT-Assets richtig priorisieren zu können, müssen alle Mitglieder des IT-Sicherheitsteams stets über die Vorgänge in den finsteren Ecken des Internets im Bild bleiben, in denen jene Softwarepakete entwickelt werden. Angriffen mit Exploit Kits ganz zu entgehen ist zwar schwierig, doch eine sehr wirksame Maßnahme zu ihrer Entschärfung besteht darin, die Sicherheitslücken zu schließen, auf die sie abzielen, und damit Risiken zu neutralisieren, bevor sie außer Kontrolle geraten.

Weitere Informationen zum Thema:

datensicherheit.de, 21.10.2016
Individueller Netzwerkschutz: Große Nachfrage auf der „it-sa 2016“

datensicherheit.de, 07.07.2016
Unternehmen: Wirksame IT-Sicherheitsprogramme nur mit qualifizierten Experten