Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Mittwoch, Dezember 7, 2016 15:34 - noch keine Kommentare
Exploit Kits: Dem Übel an die Wurzel gehen
Risiken müssen neutralisiert werden, bevor sie außer Kontrolle geraten
Von unserem Gastauto Hadi Jaafarawi, Managing Director, Middle East Qualys
[datensicherheit.de, 07.12.2016] Obwohl Exploit Kits nun schon seit fast zehn Jahren existieren, wissen viele immer noch nicht genau, wie sie funktionieren. Im Kern ist ein Exploit Kit ein Tool, mit dessen Hilfe Cyber-Kriminelle die Fehler in einem System ausnutzen und es mit Malware infizieren.
Ein solches Kit erfüllt eine dreifache Funktion:
- Erstens scannt es das System des Opfers auf Schwachstellen,
- zweitens lädt es Schadcode herunter und
- drittens installiert es Malware und führt sie aus.
Typischerweise zielen Exploit Kits auf Webbrowser sowie populäre Programme ab, wie etwa Adobe Reader, Java Runtime Environment oder Adobe Flash Player. Sobald der Einbruch in ein System gelungen ist, können Rootkits es zu anormalem Verhalten zwingen und die Aktivitäten der Software, Hardware und aller anderen elektronischen Komponenten stören.
Die leichte Verfügbarkeit und Handhabbarkeit von Rootkits gibt ebenfalls Anlass zur Sorge. Hacker können problemlos Rootkits kaufen oder mieten, um damit die Computer der Nutzer anzugreifen, die sie mittels Phishing-Kampagnen, böswilliger Werbung oder kompromittierter Webseiten auf ihre eigenen betrügerischen Websites gelockt haben. Sobald die Hacker die Kontrolle über die kompromittierten Geräte übernommen haben, entwenden sie Daten für Identitätsdiebstähle, kapern Online-Konten, erpressen Geld für die Entschlüsselung von Dateien (Ransomware) und so weiter.
Hadi Jaafarawi, Managing Director, Middle East Qualys
Aus diesen Gründen erfreuen sich Rootkits in letzter Zeit bei den Angreifern immer größerer Beliebtheit, und ihre technische Raffinesse nimmt extrem schnell zu, sehr zum Leidwesen der CISO. Die Namen der besonders berüchtigten Rootkits sind wohlbekannt: Angler, BlackHole, Neutrino. Im Lauf der Jahre haben sie bereits Millionen von Nutzern und Unternehmen befallen. Und leider wird die Bedrohung durch Exploit Kits immer größer: Ihr Komfort und ihre Effektivität lassen sie zu einer der bevorzugten Waffen von Kriminellen werden, die mit ihnen Malware-Angriffe in großem Stil durchführen und die Ausnutzung von Schwachstellen automatisieren können.
Im vierten Quartal 2015 verdoppelte sich im Vergleich zum Vorjahr die Zahl der Besuche auf Exploit-Kit-URLs, die von Trend Micro-Produkten blockiert wurden. Und da die Exploit Kits immer destruktiver werden, ist es für Unternehmen unerhört wichtig, die Sicherheitslücken in ihren IT-Assets zu schließen. Die Beseitigung von Schwachstellen ist der beste Schutz gegen Cyber-Angriffe und insbesondere diejenigen Attacken, für die Exploit Kits eingesetzt werden. Um entscheiden zu können, welche Lücken sofort geschlossen werden müssen, müssen die IT-Abteilungen allerdings Berge von internen und externen Bedrohungsdaten durchforsten und korrelieren und zahlreiche Risikokriterien abwägen. Ein Element, das diese Berechnungen zur Prioritätensetzung durchgehend beeinflusst, sind die Schwachstellen, die von Rootkits angegriffen werden.
Das mag nach einer gewaltigen Aufgabe klingen, doch gibt es eine Reihe von Schritten, die die Sicherheitsteams unternehmen können, um ihre Netzwerke besser vor Exploits zu schützen. Eine der effektivsten Maßnahmen besteht darin, präventiv statt reaktiv zu handeln. Nötig ist dazu eine robuste Lösung für Schwachstellenmanagement, die Angriffe kontinuierlich erkennt und abwehrt, wann und wo immer sie sich ereignen. Zudem muss genau auf verdächtige Aktivitäten geachtet werden, und wenngleich Rootkits keine aktiven Anzeichen dafür erkennen lassen, dass Sie kompromittiert sind, gibt es dennoch Möglichkeiten, dies festzustellen. Wenn Ihnen zum Beispiel aus mehreren Quellen gemeldet wird, dass Sie Spam versenden, dann ist Ihr System mit großer Wahrscheinlichkeit von einem Botnet infiziert, was wiederum direkt auf ein Rootkit zurückzuführen ist.
Eine weitere einfache, aber bewährte Methode besteht darin, einen Rechner herunterzufahren, wenn er infiziert wurde. Auf diese Weise können Sie verhindern, dass sich die Malware ausbreitet und weitere Schäden anrichtet. Das gibt Ihnen Zeit zu entscheiden, wie Sie nun am besten vorgehen. Für diejenigen, die ausreichende technische Kenntnisse besitzen, ist auch ein Speicherauszug eine Option. In einer solchen Ausgabe des Speicherinhalts wird jedes Rootkit erfasst, das am Werk ist. Der Speicherauszug kann dann mit einem Debugging-Tool untersucht werden. Bei dieser Analyse kann das Rootkit seine Aktionen nicht verbergen und wird identifiziert, sodass Sie die nötigen Schritte einleiten können, um das bösartige Programm vollständig zu entfernen.
Fazit: Um Korrekturmaßnahmen an ihren IT-Assets richtig priorisieren zu können, müssen alle Mitglieder des IT-Sicherheitsteams stets über die Vorgänge in den finsteren Ecken des Internets im Bild bleiben, in denen jene Softwarepakete entwickelt werden. Angriffen mit Exploit Kits ganz zu entgehen ist zwar schwierig, doch eine sehr wirksame Maßnahme zu ihrer Entschärfung besteht darin, die Sicherheitslücken zu schließen, auf die sie abzielen, und damit Risiken zu neutralisieren, bevor sie außer Kontrolle geraten.
Weitere Informationen zum Thema:
datensicherheit.de, 21.10.2016
Individueller Netzwerkschutz: Große Nachfrage auf der „it-sa 2016“
datensicherheit.de, 07.07.2016
Unternehmen: Wirksame IT-Sicherheitsprogramme nur mit qualifizierten Experten
Aktuelles, Experten - Juli 18, 2025 17:27 - noch keine Kommentare
Riyadh: World’s first robotic BiVAD implantation performed at KFSHRC
weitere Beiträge in Experten
- Riad: Weltweit erste robotergestützte BiVAD-Implantation am KFSHRC durchgeführt
- Knapp ein Drittel nutzt digitalen Umzugsservice für Bankkontowechsel
- „Digitale Befähigung im Alter“ – Netzwerk in Berlin gegründet
- EUDI-Wallet: Breites Bündnis fordert mehr Einsatz der Bundesregierung für Digitale Identitäten
- Digital Networks Act: vzbv-Warnung vor Beeinträchtigung der Verbraucherrechte und Netzneutralität
Aktuelles, Branche, Studien - Juli 20, 2025 0:19 - noch keine Kommentare
Zimperium-Warnung zum Sommerurlaub 2025: Weltweit mehr als fünf Millionen ungesicherte WLAN-Netze
weitere Beiträge in Branche
- Fehlender Geschäftskontext: Trotz erhöhter Investitionen ausgebremstes Cyberrisiko-Management
- NoName057(16): Operation Eastwood wohl längst nicht das Ende der Hacktivisten
- Crowdstrike-Ausfall vom 19. Juli 2024: Eileen Haggerty erörtert Erkenntnisse
- Social Engineering weiterhin wichtigstes cyberkriminelles Einfallstor
- EU-Verhaltenskodex für KI: Fragen zur Nutzung Künstlicher Intelligenz bleiben offen
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren