[datensicherheit.de, 09.07.2020] Nach eigenen Angaben haben kaspersky-Experten über tausend inaktive Domains identifiziert, welche Anwender auf unerwünschte URLs weiterleiten, womit Cyber-Kriminelle Profit erzielen könnten. Viele dieser „Second-Stage-Seiten“ enthielten zudem schädliche Inhalte. Die entdeckten kompromittierten Domains werden demnach auf einem der größten Marktplätze für den Domain-Handel zum Verkauf angeboten.

Kaspersky-Experten erforschen neue cyber-kriminelle Vorgehensweise

Wenn Unternehmen nicht mehr für einzelne ihrer Domains zahlen, werden diese laut kaspersky manchmal von einem Dienstleister aufgekauft und auf dedizierten Marktplätzen zum Verkauf angeboten. Nutzer, die auf eine solche inaktive Webseite zugreifen möchten, würden dann auf Auktions-Webseiten weitergeleitet, „auf denen ihnen mitgeteilt wird, dass die Seite zum Verkauf steht“. Cyber-Kriminelle könnten dieses Vorgehen jedoch für sich missbrauchen und Profit daraus schlagen, indem sie die Webseite beispielsweise mit einem schädlichen Link austauschten.
Bei der Untersuchung eines Assistant-Tools, das zu einem populären Online-Spiel gehöre, habe die Anwendung versucht, die kaspersky-Experten auf eine unerwünschte URL zu leiten, welche auf dem weltweit ältesten und größten Marktplatz für Domains zum Verkauf angeboten worden sei. Die Experten seien allerdings nicht auf die reguläre Auktions-Seite weitergeleitet worden, sondern über einen zweistufigen Redirect auf eine auf der Sperrliste stehende Webseite.

Shlayer – laut kaspersky weitverbreiteter macOS-Trojaner

Bei der weiteren Analyse hätten rund 1.000 Webseiten identifiziert werden können, welche auf dem Marktplatz zum Verkauf gestanden hätten und bei denen die Besucher über einen zweistufigen Redirect auf über 2.500 unerwünschte URLs geführt worden seien. Bei vielen sei daraufhin der Trojaner „Shlayer“ heruntergeladen worden. Dabei handelt es sich laut kaspersky um eine weitverbreitete macOS-Malware, welche auf den infizierten Geräten Adware installiere und üblicherweise über Webseiten mit schädlichem Inhalt verbreitet werde.
Zwischen März 2019 und Februar 2020 habe der Großteil (89 Prozent) dieser „Second-Stage-Redirects“ auf Werbe-Seiten geführt. Bei den restlichen elf Prozent der Weiterleitungen hätten die Seiten selbst schädlichen Code enthalten oder die Nutzer aufgefordert, infizierte „MS-Office“- und PDF-Dateien herunterzuladen.

kaspersky identifiziert neue, lukrative Malvertising-Methode

Hinter dieser neuen Methode stecke ein „profitables Geschäftsmodell“. Denn die Cyber-Kriminellen erhielten eine Provision für die Weiterleitung auf unerwünschte Seiten – unabhängig davon, ob diese nun legitime Werbeseiten oder schädliche Websites sind. Man spreche hierbeo von „Malvertising“. Bei einer dieser schädlichen Seiten seien beispielsweise 600 solcher Redirects in zehn Tagen registriert worden.
kaspersky geht davon aus, „dass die Cyber-Kriminellen eine Provision auf Basis der Anzahl der Visits erhalten haben“. Im Fall des Trojaners „Shlayer“ dürften die Verbreiter der Malware für jede Installation auf einem der Geräte bezahlt worden sein. Es sei „wahrscheinlich, dass die Masche auf Fehler bei der Anzeigenfilterung für das Modul zurückzuführen ist, das den Inhalt des Werbenetzwerks eines Drittanbieters anzeigt“.

Kaspersky warnt: Nutzer kann fast nichts tun, um Redirect auf schädliche Seiten zu entgehen

„Leider können Nutzer fast nichts tun, um einem Redirect auf schädliche Seiten zu entgehen“, so Dmitry Kondratyev, „Junior Malware Analyst“ bei kaspersky. Domains, die solche Redirects auslösen, seien früher legitime Ressourcen gewesen, welchen von den Anwendern unter Umständen recht häufig aufgesucht worden seien. Kondratyev betont: „Es gibt keine Möglichkeit festzustellen, ob diese Domains die Anwender jetzt auf Seiten zum Download von Malware weiterleiten oder nicht.“
Hinzu kommt laut Kondratyev, dass die Weiterleitung auf schädliche Webseiten nicht zwangsweise erfolgt: So könnte ein Zugriff auf diese Seiten von Russland aus keine Folgen haben, während der Zugriff über ein VPN den Download von „Shlayer“ nach sich ziehen könnte. Diese Art von Malvertising sei im Allgemeinen recht komplex und damit nur sehr schwer vollständig aufzudecken. Die beste Strategie sei daher die Installation einer umfassenden Sicherheitslösung auf den Geräten.

kaspersky-Tipps zum Schutz vor einer Infektion mit Trojanern beim Aufruf schädlicher Websites:

• Programme und Updates nur aus vertrauenswürdigen Quellen installieren.
• Webseiten hinsichtlich deren Seriosität durch vorherige Recherche überprüfen.
• Eine zuverlässige Sicherheitslösung (wie z.B. „Kaspersky Security Cloud“) verwenden, die sowohl Mac als auch PC sowie mobile Geräte schützt.

Weitere informationen zum Thema:

kaspersky SECURELIST, Dmitry Kondratyev, 08.07.2020
Research / Redirect auction

kaspersky, 23.01.2020
Tausende von Websites verbreiten macOS-Malware / Deutschland mit 14 Prozent international am zweithäufigsten von der Trojaner-Familie Shlayer betroffen

datensicherheit.de, 28.05.2020
Kaspersky ICS CERT: Angriffe auf Zulieferer für Industrieunternehmen identifiziert

[datensicherheit.de, 19.05.2020] Die Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI), Adblocking zum Schutz vor Tracking und Malvertising einzusetzen, kommentiert Till Faida, „CEO“ von eyeo, in seiner aktuellen Stellungnahme:

Werbebanner können Schadprogramme ausliefern

Das BSI empfiehlt Internetnutzern, ihre Privatsphäre durch Verwendung eines Adblockers zu schützen: Damit könne über das Blockieren von Werbung nicht nur Tracking verhindern werden, sie sind demnach außerdem „eine Möglichkeit, sich vor Schadprogrammen zu schützen, die über Werbebanner ausgeliefert werden“.

BSI-Checkliste zur Beurteilung von Adblocking-Produkten

Faida: „Doch auch zwischen verschiedenen Adblocking-Produkten gibt es Unterschiede.“ Das BSI habe eine Checkliste erstellt, welche Nutzern helfen solle, einen Adblocker anhand von fünf Kategorien einzuschätzen. eyeo lege großen Wert auf die dort genannten Aspekte „Transparenz, Datenschutz und IT-Sicherheit, Integrität, regelmäßige Updates und die Individualisierbarkeit der Produkte“. Deshalb würden diese fünf Kriterien bei der eigenen Produktentwicklung schon von Anfang an mit berücksichtigt.

Integrität der Webseiten muss in vollem Umfang gewährleistet werden

Faida führt als Beispiel die Eigenschaften des eigenen Angebots an: So ermögliche z.B. „Adblock Plus“ weder das Einfügen von Quellcode durch externe Quellen, noch ersetze es in Webseiten eingebundene Werbeanzeigen durch andere Inhalte. „Die Integrität der Webseiten wird in vollem Umfang respektiert“, verspricht Faida.

Übersicht bekannter Informationen zu auswählbaren Filterlisten sollte transparent einsehbar sein

Als sogenannte Blacklist sei unter anderem die „EasyList“ voreingestellt. Diese werde von unterschiedlichen, überwiegend ehrenamtlichen Autoren betreut und aktualisiert. Eine Übersicht der bekannten Informationen zu den auswählbaren Filterlisten sei transparent einsehbar. Zudem könnten Nutzer fehlerhaft geblockte Werbung über den „Issues Reporter“ melden.

Regelmäßige Updates und Open Source Code als Selbverständlichkeit

Regelmäßige Updates und „Open Source Code“ sollten für Adblocker selbstverständlich sein, genauso wie der Schutz der Privatsphäre der Nutzer. Alle Nutzerdaten würden ausschließlich lokal im Browser gespeichert, denn die Daten gehörten nur den Nutzern, erläutert Faida.

Internetnutzer sollten volle Kontrolle über ihre Online-Erfahrung erhalten

Neben der Privatsphäre und Sicherheit sollte eines der Kernziele sein, Internetnutzern volle Kontrolle über ihre Online-Erfahrung zu geben. Deshalb könne jeder Nutzer ganz individuell entscheiden, welche Black- und Whitelists im persönlichen Adblocker aktiviert sind. Die individuell auswählbaren Filterlisten böten außerdem viele weitere Gestaltungsmöglichkeiten, „zum Beispiel das Ausblenden von Kommentarspalten“.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Empfehlungen: Adblocker & Tracking / Bannerwerbung im Internet

datensicherheit.de, 15.04.2020
BSI: Sicherheitsanforderungen für Gesundheits-Apps veröffentlicht

[datensicherheit.de, 21.04.2017] Nach aktuellen Erkenntnissen von Malwarebytes macht derzeit eine Serie an Malvertising-Angriffen die Runde, welche sich über Köder-Webseiten verbreitet. Da sich diese Attacken vornehmlich auf Websites von Handelsgesellschaften konzentrierten, habe man diese Malvertising-Kampagne „Binary Options“ genannt.

In einem aktuellen Fall sei bei einer Attacke das Webtemplate der Internetseite von Capital World Option gestohlen worden. Dieses Unternehmen biete eine Handelsplattform für „Binary Options“, auf der Teilnehmer zeitliche Vorhersagen für Anlagenkurse abgeben und damit Gewinne erzielen könnten. Das Spekulieren auf „Binary Options“ habe in letzter Zeit einen schlechten Ruf erlangt und sei in manchen Ländern gar verboten.

Besucht ein vom Angreifer als legitim eingestufter Nutzer die Internetseite von „Capital World Option“, werde er über Pop-Ads auf die gefälschte und schwer vom Original unterscheidbare Seite weitergeleitet, auf der ein Banking-Trojaner vom Typ ISFB („Dreambot“, „Gozi“, „Usrnif“) verbreitet werde. Der Trojaner speise unter anderem unerwünschte Software ein und sei in der Lage dazu, Screenshots und Videos des geenterten Rechners aufzunehmen.

Weitere Informationen zum Thema:

Malwarebytes LABS. 20.04.2017
Binary Options malvertising campaign drops ISFB banking Trojan

datensicherheit.de, 11.10.2016
Proofpoint auf der „it-sa 2016“: Neue Rechercheergebnisse zu Ransomware- und Banking-Trojanern

[datensicherheit.de, 08.06.2016] Werbung im Internet erweist sich mehr und mehr als ein einträgliches Geschäft, doch leider gilt dies auch für Cyber-Kriminelle – je mehr Klicks auf eine Werbung desto lohnenswerter. Ein aktueller Fall zeigt laut Malwarebytes, dass Betrüger immer kreativer werden, um Klicks zu generieren.

Aussicht auf anzügliche Videos als Köder

Malvertising sei nicht nur ein beliebtes Mittel, um Nutzern ungewollte Downloads unterzujubeln oder Fake-Software-Updates vorzuschlagen. Zurzeit lockt nach Angaben von Malwarebytes eine Malvertising-Kampagne auf der Werbeplattform „TrafficHolder“ Opfer in die Falle, indem sie anzügliche Videos verspricht.
Der angewandte Trick sei „simpel und dennoch sehr effektiv“. Während die Nutzer im Netz surften, würden sie automatisch auf eine Webseite weitergeleitet, die wie „YouTube“ mit erotischem Inhalt aussehe, dabei liege ein großer Screenshot über einer „normalen“ Webseite auf „WordPress“-Basis.

Legitim aussehende Klicks auf Werbeanzeigen generieren

Ließen sich Nutzer zu einem Klick auf den Play-Button hinreißen, starte nicht etwa ein Video, sondern es erscheine eine bezahlte Werbung von „Google DoubleClick“. Diese Technik nenne sich „Clickjacking“ und erfreue sich großer Beliebtheit. Das Ziel sei, legitim aussehende Klicks auf Werbeanzeigen zu generieren.
Eine Vielzahl der Webseiten hinter den Bilder wurden von Malwarebytes nach eigenen Angaben als „hochverdächtig“ eingestuft und beinhalteten mit hoher Wahrscheinlichkeit weitere Inhalte, die schädlich sein könnten.

Weitere Informationen zum Thema:

Malwarebytes LABS, 06.06.2016
Malvertising campaign leads to DoubleClick ad fraud

[datensicherheit.de, 05.02.2015] „Malvertising“ – also den Missbrauch von Webwerbung zum Datendiebstahl oder gar der Übernahme von Rechnern – befindet sich nach jüngsten Erkenntnissen von Palo Alto Networks im Aufwind. Im Oktober 2014 seien mit AOL und Yahoo bereits zwei Internetriesen und deren Nutzer betroffen gewesen. Anfang 2015 sei herausgekommen, dass weitere bekannte Websites, darunter auch „FHM“ und „Huffington Post“ für Malvertising-Kampagnen genutzt worden seien, ohne dass die Betreiber davon etwas mitbekommen hätten.

Global Hunderte Millionen von Nutzern gefährdet

Die Zunahme von „Malvertising“ beschäftige sie derzeit mehr als die sonstigen gängigen Angriffsmethoden, erklärt Thorsten Henning, „Senior Systems Engineering Manager Central & Eastern Europe“ bei Palo Alto Networks.
Demnach werden für „Malvertising“ auf nahezu jeder Website Werbeflächen genutzt, die als Hosting-Plattform für Drittanbieter-Werbung dient. Die potenzielle Reichweite ist dabei groß, denn jeder Internetnutzer auf der ganzen Welt kommt ständig in Kontakt mit Werbung – auf jeder Website, die aufgerufen wird, etwa um Nachrichten zu lesen oder nach einem Film zu suchen, taucht Werbung auf. Der durchschnittliche Internetnutzer sei laut Statistik von Comscore bereits im Jahr 2012 mit mehr als 1.700 Anzeigen pro Monat konfrontiert worden, Tendenz steigend. Durch „Malvertising“ können die Angreifer somit Hunderte Millionen von Nutzern erreichen.

Gefährliche Werbeeinblendungen schwer zu identifizieren

„Malvertisements“ sind kaum von legitimen Anzeigen zu unterscheiden. Selbst mit geschärftem Blick für Cyber-Bedrohungen fällt es schwer, auf den ersten Blick die gefährlichen Werbeeinblendungen als solches zu identifizieren.
Eine simple No-Click-Regel sei nicht genug, um Nutzer zu schützen, weil einige „Malvertisements“, wie Pop-up-Anzeigen, nicht einmal die Interaktion des Anwenders erforderten. Die Malware werde nebenbei installiert, wenn die Anzeige auf der Seite geladen wird – und als Malware komme alles in Frage, von Botnetzen, die sich fremde Computer als Zombie-Computer aneignen, bis hin zu Ransomware, die Daten verschlüsselt, um dann „Lösegeld“ für die Entschlüsselung zu fordern.
Konsequenzen hätten die „Malvertising“-Akteure kaum zu befürchten, da die Hosting-Website keine Kontrolle über die Anzeigen habe. Angreifer nutzten die Möglichkeit, auf die Werbenetzwerk-Funktionen mit ihren niedrigen Preisen und automatischen Bieterverfahren zurückzugreifen. Damit erschlössen sie sich das Potenzial sehr großer Zielgruppen, die sich über „vertrauenswürdigen“ Quellen – wie eben AOL oder Yahoo – erreichen lassen.

Automatisierung nützt Angreifern

Der Angreifer stellt bei einem Ad-Publisher seinen Anzeigen-Programmcode und nennt den höchsten Preis, den für die Veröffentlichung seiner Werbeanzeige zahlen will – so wie legitime Anzeigenkunden. Der Ad-Publisher nutzt ein Ad-Netzwerk, um für Werbeflächen auf fremden Websites zu bieten; das Angebot geht an den Meistbietenden.
Dies sei ein automatischer Verkaufsprozess, der nur einige Millisekunden dauere. Die Preise würden in der Regel weniger als einen US-Dollar betragen. Der Code der vermeintlichen Anzeige werde dann auf der Website platziert.
Die Angreifer versuchten meist, sich einen „guten Ruf“ zu verschaffen, indem sie für ein paar Monate Anzeigen mit sauberem Code platzierten, bevor die Anzeigen mit Angriffscode versehen werden. Sobald dies geschieht, erziele der Angriff eine breite Reichweite und es bestehe die Möglichkeit, Hunderttausende von Benutzern zu infizieren und Einnahmen im sechsstelligen Bereich zu generieren – für eine anfängliche Investition, die nur einen Bruchteil davon beträgt.
Die bösartige Werbeanzeige muss nur für ein paar Tage oder ein paar Stunden gebucht werden, bis der Angreifer seine Mission erfüllt hat und die Anzeige wieder entfernt.

Kein Interesse an schneller Aufklärung

Damit die Branche dem „Malvertising“-Problem entschieden entgegentreten kann, wäre eine koordinierte Anstrengung von Werbenetzwerken und Publishern sowie mehr Druck von Ad-Hosting-Websites nötig. Eine solche Zusammenarbeit zwischen vielen Beteiligten sei schwer zu orchestrieren, zudem gehe es um Gewinne. Da Werbenetzwerke von den Angreifern immer noch für Werbefläche bezahlt werden, bestehe kein Interesse an einer schnellen Aufklärung.
Die Angreifer mache sich diese Taktik zunutze, weil sie einfach sei und funktioniere. „Malvertising“ sei gegenüber Spear-Phishing und Packet-Sniffing eine völlig andere, fast schon legitime Methode, weil es einen echten Geschäftsprozess nutze, statt Malware mit großem Aufwand wie etwa Social Engineering in Stellung zu bringen.

Ausnutzung von Schwachstellen alltäglicher Geschäftsprozesse

Die Zeiten, in denen Malware nur auf zwielichtigen Websites präsent gewesen sei, seien vorbei. Cyber-Bedrohungen agierten heute in „freier Wildbahn“, versteckt auf echten Websites, denen wir vertrauten und die wir häufig besuchten. Die Angreifer arbeiteten mit Methoden, die ehrliche Leute absichtlich geschaffen hätten, um Geschäftspotenziale zu erschließen.
Wir müssten daher unsere Anstrengungen, um Cyber-Werte zu schützen, anpassen. Angreifer gingen dazu über, Schwachstellen in alltäglichen Geschäftsprozessen für ihre unlauteren Zwecke zu nutzen, warnt Thorsten Henning von Palo Alto Networks.

Abwehmaßnahmen von Palo Alto Networks

Palo Alto Networks setzt nach eigenen Angaben auf verschiedene Maßnahmen, um „Malvertising“-Angriffe zu vereiteln:

• Drive-by-Download-Schutz warnt die Benutzer, dass ein Download-Versuch stattfinden soll. Diesen muss der Benutzer entweder erlauben oder verweigern. Wenn ein „Malvertisement“ versucht, das automatische Herunterladen von Malware zu starten, gibt dieser Mechanismus dem Benutzer die Möglichkeit hier einzugreifen, bevor etwas passiert.
• File-Blocking-Profile schränken die Arten von herunterladbaren Dateien ein auf nur die Dateien, die erforderlich sind oder die der Benutzer erwartet.
• Der Cloud-basierte Anti-Malware-Dienst „WildFire“ von Palo Alto Networks soll für stets aktuellen Antivirus-Schutz gegen unbekannte Malware, unmittelbar nachdem sie von „WildFire“ entdeckt wurde, sorgen. „Malvertisements“, die versuchen, bekannte oder unbekannte Malware zu aktivieren, werden demnach erkannt und abgewehrt.
• URL-Filterung stoppt den Verkehr zu bekannten bösartigen oder nicht kategorisierten Websites. Wenn ein „Malvertisment“ angeklickt wird, wird die entsprechende Webseite blockiert.
• Selbst wenn der Download der Malware auf den PC erfolgreich war, soll Palo Alto Networks´ Abo-Dienst „Traps“ die Installation der Malware verhindern.

B2B-Prozesse müssen sicherer werden!

Sicherheit sei nicht etwas, das sich auf Netzwerkarchitektur und Programmierpraktiken beschränke. Business-to-Business-Prozesse müssten auch sicherer werden. Alle Prozesse, die das Internet oder Intranet nutzen, müssten in die Liste möglicher Angriffsvektoren aufgenommen werden. Er empfehle dabei, sich in die Rolle des Hackers zu versetzen und zu überlegen, wie man vorgehen würde. Daraufhin gelte es Schutzmaßnahmen gegen diese potenziellen Angriffstaktiken aufzustellen, rät Thorsten Henning.

Weitere Informationen zum Thema:

datensicherheit.de, 23.01.2015
Adobe Flash: Warnung vor Zero-Day-Sicherheitslücke

datensicherheit.de, 03.02.2015
Adobe Flash Player: Weitere Zero-Day-Sicherheitslücke entdeckt

[datensicherheit.de, 03.02.2015] Mitarbeiter des japanischen IT-Sicherheitsanbieters Trend Micro haben eine neue kritische Zero-Day-Sicherheitslücke (CVE-2015-0313) entdeckt, die alle Versionen von „Adobe Flash Player“ auf „Microsoft Windows“ und „Apple Mac OSX“ betrifft. Die aktiven Angriffe nutzen Banner-Werbung zur Verbreitung der Schadsoftware („malvertisements“), die auf Windows-Systeme abzielt. Adobe hat die Sicherheitslücke bestätigt und arbeitet mit Trend Micro an der Erstellung eines Sicherheits-Patches, der noch in dieser Woche verfügbar sein soll. Solange dieser Patch noch nicht verfügbar ist, rät Trend Micro Anwendern, den „Flash Player“ zu deaktivieren. Erst vor wenigen war eine andere Zero-Day-Sicherheitslücke entdeckt worden, die ebenfalls „Adobe Flash“ angegriffen hat; Angreifer konnten dadurch Code auf Windows-Rechnern ausführen und Malware installieren, ohne dass die Anwender es bemerkten.

Schadhafte Banner-Werbung („Malvertising“) wirkt sich nicht auf eine einzige Website, sondern ein ganzes Werbenetzwerk aus. Dadurch kann sich die Schadsoftware auf einfache Weise über eine große Anzahl seriöser Websites verbreiten, ohne diese Websites direkt zu kompromittieren. Erkenntnissen des „Smart Protection Network“ zufolge befindet sich die Mehrheit der Anwender, die auf die Server mit Schadsoftware zugegriffen haben, in den Vereinigten Staaten.

Weitere Informationen zum Thema:

blog.trendmicro.de
Schon wieder ein Zero-Day Exploit in Adobe

datensicherheit.de, 23.01.2015
Adobe Flash: Warnung vor Zero-Day-Sicherheitslücke

[datensicherheit.de, 04.12.2014] Palo Alto Networks geht für das Jahr 2015 von drei großen Trends im Bereich „Threat-Prevention“ aus. Einer davon sei die Zunahme von „Malvertising“ – also die Verbreitung von Malware über Online-Werbung. Mindestens von gleichbleibender wenn nicht gar eher zunehmender Bedeutung werde die Zahl der „Common Vulnerabilities and Exposures“ (CVEs), also bekannter Schwachstellen und Sicherheitslücken, sein. Des Weiteren sieht Palo Alto Networks im Enterprise-Security-Markt einen Trend zu integrierten Plattformlösungen anstelle von Standolone- und UTM-Sicherheitslösungen (Unified Threat Management).

Einsatz vermeintlich legitimer Mittel für umfassende Angriffe

„Malvertising“ als Angriffsmethode gibt es schon seit einigen Jahren. Zuletzt wurden im September und Oktober 2014 die Internetriesen Yahoo! und AOL kompromittiert. Den Angreifern gelang es so, mehrere Tausend US-Dollar pro Tag zu erbeuten.
Die Verwendung von „Malvertising“ als Angriffsmethode deutet auf eine Abkehr von aufwändiger Trickserei wie „Spear-Phishing“ und „Packet-Sniffing“ zugunsten einer Technik hin, die einen legitimen Geschäftsprozess für die Verbreitung von Malware nutzt, erläutert Palo Alto Networks. Dieses Verfahren ermögliche Angreifern den Zugriff auf potenziell Millionen von Benutzern – mit minimalem Aufwand. Weit verbreitete Geschäftskanäle mit wenig bis gar keiner Sicherheit würden daher verlockende Ziele für die Angreifer darstellen. Es werde eine sorgfältige Koordination erfordern, um diese Kanäle sicherer zu machen.

Zunahme bei Zero-Day-Exploits mit dem Fokus auf Legacy-Code

Sichere Programmiertechniken gehörten mittlerweile zum Alltag der Softwareentwickler – mittels statischer und dynamischer Analyse würden Schwachstellen in Code und Geschäftslogik identifiziert und behoben, bevor die Anwendung veröffentlicht oder aktualisiert wird. Klar sei laut Palo Alto Networks, dass Sicherheitslücken die Anwendungsintegrität beeinträchtigen und damit das Vertrauen der Kunden und deren Geschäft. Es sei daher einfacher und viel billiger, Schwachstellen bereits im Entwicklungszyklus zu beheben. Allerdings bedeute dies auch, dass „Legacy-Code“ viel teurer zu warten sei, auch wenn eine Sicherheitslücke noch nicht in „freier Wildbahn“ ausgenutzt wurde. Da Black-Hat-Hacker zudem immer kreativer würden, werde die Zahl der CVEs im Jahr 2015 auf hohem Niveau von 2014 bleiben, wenn nicht sogar steigen.

Stärkere Verschmelzung von IPS- und Firewall-Funktionalität

Da im Enterprise-Markt zunehmend die Vorteile eines echten plattformbasierten Sicherheitsansatzes erkannt würden, sei ein zunehmender Abschied der Anbieter von Standalone- und UTM-Sicherheitslösungen zu erwarten.
Es gebe ohnehin keinen besseren Weg, um die Wirksamkeit von IPS-Lösungen (Intrusion Prevention System) zu erhöhen, als die Kombination mit anderen defensiven Techniken wie Entschlüsselung, Dekomprimierung, Anwendungs-ID, Benutzer-ID, Data-Loss Prevention und „Sandboxing“. Der Marktwandel vom herkömmlichen IPS zum „Next-Generation-IPS“ und zur „Next-Generation-Firewall“ plus „-IPS“ habe bereits begonnen, aber es würden noch mehr Innovationen erforderlich sein, um mit „den Bösen“ Schritt halten zu können. Damit werde die integrierte Alleskönner-Plattform, die keine Benutzerinteraktion erfordert und sowohl in Rechenzentren als auch in der Cloud eingesetzt werden kann, zunehmend attraktiver, so Palo Alto Networks‘ Prognose.

Weitere Informationen zum Thema:

datensicherheit.de, 20.02.2014
Managed Security Services: NTT Com Security und Palo Alto Networks schließen globale Vereinbarung

[datensicherheit.de, 23.10.2012] Halb Malware, halb Advertising: Eine bösartige Werbung sorgt seit einigen Stunden in Yahoo Messenger-Fenstern weltweit für Aufruhr. Dieses „Malwaretising“ leitete User auf eine vietnamesische Webseite um. Für Antivirus-Experte Bitdefender deutet alles darauf hin, dass der Yahoo Messenger-Client dazu angewiesen wurde, ein Banner mit einem Link zu der vietnamesischen Webseite Laban.vn anzuzeigen.
Aktuell ist noch nicht klar, ob das Banner Yahoo Messenger-Nutzer durch eine seriöse Werbekampagne erreicht hat, die von der werbenden Person später verändert wurde, oder ob es sich um einen Angriff handelt, der einen Fehler in den Yahoo Ad-Services ausnutzte. Eines ist jedoch sicher: Benutzer, die dem geschickt gestalteten Banner (eine neuartige Erscheinung, die Yahoo Messenger-Nutzer dazu verleitet, einfach auszuprobieren, was dahinter steckt) folgten, wurden auf die Adresse Laban.vn geleitet. Dort werden sie aufgefordert, eine EXE-Datei zu installieren.
Die Anwendung sucht nach installierten Browsern und hijackt deren Startseiten, indem sie diese mit der Adresse hxxp://laban.vn ersetzt. Sie verhält sich wie ein herkömmliches Browser-Add-on oder eine Toolbar. Jedoch ist die Anwendung noch auf andere Weise aktiv: Sie fügt sich selbst zu den Windows Systemstart-Einträgen hinzu, so dass die Applikation bei jedem Systemstart automatisch ausgeführt wird. Nach dem Neustart hijackt sie die Browser-Startseite immer wieder neu.
Sobald Nutzer die entsprechende EXE-Datei von der vietnamesischen Webseite installiert haben, reicht es für sie nicht mehr aus, die Startseite des Browsers einfach zu ändern.
Bitdefender bietet daher ein kostenloses Tool an, dass alle Spuren des „Laban.vn-Hijacker“ beseitigt und die Browser-Startseite auf about:blank zurücksetzt. Das Removal Tool steht auf der Bitdefender Labs Downloads Area zum kostenlosen Download bereit. Es ist sowohl für 32-Bit- als auch für 64-Bit-Versionen von Windows kompatibel.