Aktuelles, Branche, Studien - geschrieben von am Donnerstag, Februar 5, 2015 21:09 - noch keine Kommentare

Malvertising im Aufwind: Anstieg bei gefährlicher Webwerbung

Palo Alto Networks fordert Absicherung von Business-to-Business-Prozessen

[datensicherheit.de, 05.02.2015] „Malvertising“ – also den Missbrauch von Webwerbung zum Datendiebstahl oder gar der Übernahme von Rechnern – befindet sich nach jüngsten Erkenntnissen von Palo Alto Networks im Aufwind. Im Oktober 2014 seien mit AOL und Yahoo bereits zwei Internetriesen und deren Nutzer betroffen gewesen. Anfang 2015 sei herausgekommen, dass weitere bekannte Websites, darunter auch „FHM“ und „Huffington Post“ für Malvertising-Kampagnen genutzt worden seien, ohne dass die Betreiber davon etwas mitbekommen hätten.

Global Hunderte Millionen von Nutzern gefährdet

Die Zunahme von „Malvertising“ beschäftige sie derzeit mehr als die sonstigen gängigen Angriffsmethoden, erklärt Thorsten Henning, „Senior Systems Engineering Manager Central & Eastern Europe“ bei Palo Alto Networks.
Demnach werden für „Malvertising“ auf nahezu jeder Website Werbeflächen genutzt, die als Hosting-Plattform für Drittanbieter-Werbung dient. Die potenzielle Reichweite ist dabei groß, denn jeder Internetnutzer auf der ganzen Welt kommt ständig in Kontakt mit Werbung – auf jeder Website, die aufgerufen wird, etwa um Nachrichten zu lesen oder nach einem Film zu suchen, taucht Werbung auf. Der durchschnittliche Internetnutzer sei laut Statistik von Comscore bereits im Jahr 2012 mit mehr als 1.700 Anzeigen pro Monat konfrontiert worden, Tendenz steigend. Durch „Malvertising“ können die Angreifer somit Hunderte Millionen von Nutzern erreichen.

Gefährliche Werbeeinblendungen schwer zu identifizieren

„Malvertisements“ sind kaum von legitimen Anzeigen zu unterscheiden. Selbst mit geschärftem Blick für Cyber-Bedrohungen fällt es schwer, auf den ersten Blick die gefährlichen Werbeeinblendungen als solches zu identifizieren.
Eine simple No-Click-Regel sei nicht genug, um Nutzer zu schützen, weil einige „Malvertisements“, wie Pop-up-Anzeigen, nicht einmal die Interaktion des Anwenders erforderten. Die Malware werde nebenbei installiert, wenn die Anzeige auf der Seite geladen wird – und als Malware komme alles in Frage, von Botnetzen, die sich fremde Computer als Zombie-Computer aneignen, bis hin zu Ransomware, die Daten verschlüsselt, um dann „Lösegeld“ für die Entschlüsselung zu fordern.
Konsequenzen hätten die „Malvertising“-Akteure kaum zu befürchten, da die Hosting-Website keine Kontrolle über die Anzeigen habe. Angreifer nutzten die Möglichkeit, auf die Werbenetzwerk-Funktionen mit ihren niedrigen Preisen und automatischen Bieterverfahren zurückzugreifen. Damit erschlössen sie sich das Potenzial sehr großer Zielgruppen, die sich über „vertrauenswürdigen“ Quellen – wie eben AOL oder Yahoo – erreichen lassen.

Automatisierung nützt Angreifern

Der Angreifer stellt bei einem Ad-Publisher seinen Anzeigen-Programmcode und nennt den höchsten Preis, den für die Veröffentlichung seiner Werbeanzeige zahlen will – so wie legitime Anzeigenkunden. Der Ad-Publisher nutzt ein Ad-Netzwerk, um für Werbeflächen auf fremden Websites zu bieten; das Angebot geht an den Meistbietenden.
Dies sei ein automatischer Verkaufsprozess, der nur einige Millisekunden dauere. Die Preise würden in der Regel weniger als einen US-Dollar betragen. Der Code der vermeintlichen Anzeige werde dann auf der Website platziert.
Die Angreifer versuchten meist, sich einen „guten Ruf“ zu verschaffen, indem sie für ein paar Monate Anzeigen mit sauberem Code platzierten, bevor die Anzeigen mit Angriffscode versehen werden. Sobald dies geschieht, erziele der Angriff eine breite Reichweite und es bestehe die Möglichkeit, Hunderttausende von Benutzern zu infizieren und Einnahmen im sechsstelligen Bereich zu generieren – für eine anfängliche Investition, die nur einen Bruchteil davon beträgt.
Die bösartige Werbeanzeige muss nur für ein paar Tage oder ein paar Stunden gebucht werden, bis der Angreifer seine Mission erfüllt hat und die Anzeige wieder entfernt.

Kein Interesse an schneller Aufklärung

Damit die Branche dem „Malvertising“-Problem entschieden entgegentreten kann, wäre eine koordinierte Anstrengung von Werbenetzwerken und Publishern sowie mehr Druck von Ad-Hosting-Websites nötig. Eine solche Zusammenarbeit zwischen vielen Beteiligten sei schwer zu orchestrieren, zudem gehe es um Gewinne. Da Werbenetzwerke von den Angreifern immer noch für Werbefläche bezahlt werden, bestehe kein Interesse an einer schnellen Aufklärung.
Die Angreifer mache sich diese Taktik zunutze, weil sie einfach sei und funktioniere. „Malvertising“ sei gegenüber Spear-Phishing und Packet-Sniffing eine völlig andere, fast schon legitime Methode, weil es einen echten Geschäftsprozess nutze, statt Malware mit großem Aufwand wie etwa Social Engineering in Stellung zu bringen.

Ausnutzung von Schwachstellen alltäglicher Geschäftsprozesse

Die Zeiten, in denen Malware nur auf zwielichtigen Websites präsent gewesen sei, seien vorbei. Cyber-Bedrohungen agierten heute in „freier Wildbahn“, versteckt auf echten Websites, denen wir vertrauten und die wir häufig besuchten. Die Angreifer arbeiteten mit Methoden, die ehrliche Leute absichtlich geschaffen hätten, um Geschäftspotenziale zu erschließen.
Wir müssten daher unsere Anstrengungen, um Cyber-Werte zu schützen, anpassen. Angreifer gingen dazu über, Schwachstellen in alltäglichen Geschäftsprozessen für ihre unlauteren Zwecke zu nutzen, warnt Thorsten Henning von Palo Alto Networks.

Abwehmaßnahmen von Palo Alto Networks

Palo Alto Networks setzt nach eigenen Angaben auf verschiedene Maßnahmen, um „Malvertising“-Angriffe zu vereiteln:

  • Drive-by-Download-Schutz warnt die Benutzer, dass ein Download-Versuch stattfinden soll. Diesen muss der Benutzer entweder erlauben oder verweigern. Wenn ein „Malvertisement“ versucht, das automatische Herunterladen von Malware zu starten, gibt dieser Mechanismus dem Benutzer die Möglichkeit hier einzugreifen, bevor etwas passiert.
  • File-Blocking-Profile schränken die Arten von herunterladbaren Dateien ein auf nur die Dateien, die erforderlich sind oder die der Benutzer erwartet.
  • Der Cloud-basierte Anti-Malware-Dienst „WildFire“ von Palo Alto Networks soll für stets aktuellen Antivirus-Schutz gegen unbekannte Malware, unmittelbar nachdem sie von „WildFire“ entdeckt wurde, sorgen. „Malvertisements“, die versuchen, bekannte oder unbekannte Malware zu aktivieren, werden demnach erkannt und abgewehrt.
  • URL-Filterung stoppt den Verkehr zu bekannten bösartigen oder nicht kategorisierten Websites. Wenn ein „Malvertisment“ angeklickt wird, wird die entsprechende Webseite blockiert.
  • Selbst wenn der Download der Malware auf den PC erfolgreich war, soll Palo Alto Networks´ Abo-Dienst „Traps“ die Installation der Malware verhindern.

B2B-Prozesse müssen sicherer werden!

Sicherheit sei nicht etwas, das sich auf Netzwerkarchitektur und Programmierpraktiken beschränke. Business-to-Business-Prozesse müssten auch sicherer werden. Alle Prozesse, die das Internet oder Intranet nutzen, müssten in die Liste möglicher Angriffsvektoren aufgenommen werden. Er empfehle dabei, sich in die Rolle des Hackers zu versetzen und zu überlegen, wie man vorgehen würde. Daraufhin gelte es Schutzmaßnahmen gegen diese potenziellen Angriffstaktiken aufzustellen, rät Thorsten Henning.

Weitere Informationen zum Thema:

datensicherheit.de, 23.01.2015
Adobe Flash: Warnung vor Zero-Day-Sicherheitslücke

datensicherheit.de, 03.02.2015
Adobe Flash Player: Weitere Zero-Day-Sicherheitslücke entdeckt



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung