[datensicherheit.de, 11.08.2019] Beim Angriff mit neuer Malware reicht das Zeitfenster von deren Auftauchen beim Opfer bis zur Erkennung – und seien es nur Minuten – offensichtlich aus, um bereits Schaden anzurichten. Also nur auf Detektion zu setzen, könne folglich nicht der „Heilige Gral der IT-Sicherheit“ sein, so Bromium. Bis neue Schadsoftware überhaupt erkannt wird, vergehe immer Zeit. Bromium hat diese Problematik nach eigenen Angaben am Beispiel eines Kunden detailliert untersucht.

35 isolierte Threats – 29 definitiv bösartig, der Rest unbekannt oder verdächtig

Im Juni 2019 seien bei diesem Kunden mit der Bromium-Lösung „Secure Platform“, welche laut Bromium „Applikations-Isolation mittels Micro-Virtualisierung bietet“, genau 35 Threats isoliert worden. Davon seien 29 definitiv bösartig gewesen, die restlichen entweder noch unbekannt oder Alarmierungen aufgrund eines verdächtigen Verhaltens.
Konkret seien 25 verschiedene Malware-Typen identifiziert worden, wobei bei acht zum Zeitpunkt der Isolation eine Hash-basierte Erkennung noch nicht möglich gewesen sei. „Bis sie letztlich überhaupt erkennbar waren, vergingen dann nach Bromium-Untersuchungen zwischen 27 Minuten und 31 Stunden.“

Unternehmen und Behörden fokussieren immer noch hauptsächlich auf Detektion von Angriffen

„Und genau an diesem Punkt zeigt sich das ‚Window of Opportunity’ für die Angreifer, die sehr wohl wissen, dass sich viel zu viele Unternehmen und Behörden immer noch hauptsächlich mit der Detektion von Angriffen beschäftigen“, erläutert Jochen Koehler, „Regional VP Sales Europe“ bei Bromium in Heilbronn.
Koehler ergänzt: „Die logische Konsequenz lautet, potenziell gefährliche User-Aktivitäten strikt zu isolieren, anstatt weiterhin nur auf Erkennung zu setzen.“

Foto: Bromium

Jochen Koehler, „Regional VP Sales Europe“ bei Bromium

Micro-Virtualisierungstechnologie – effektivste Möglichkeit zur Isolation von Gefahren

Die derzeit effektivste Möglichkeit für die Isolation von Gefahren bietet demnach die Micro-Virtualisierungstechnologie. Diesen Ansatz verfolge Bromium seit Einführung seiner Software „Secure Platform“. Diese Lösung schließe die zeitliche Lücke zwischen Auftreten und Erkennung von Schadsoftware.
Zentrale Lösungsbestandteile seien „ein ,Xen‘-basierter, speziell im Hinblick auf Sicherheit entwickelter Hypervisor und die integrierten Virtualisierungsfeatures aller aktuellen CPU-Generationen“.

Micro Virtual Machines kapseln riskante Anwenderaktivitäten mit Daten fremder Quellen

Basierend auf dieser Technologie würden Hardware-isolierte „Micro Virtual Machines“ (VMs) realisiert, die alle riskanten Anwenderaktivitäten mit Daten aus fremden Quellen kapselten.
Dazu gehörten das Aufrufen einer unternehmensfremden Webseite über einen Link in Dokumenten oder E-Mails, das Herunterladen einer Datei von solchen Webseiten, das Öffnen und Bearbeiten eines E-Mail-Anhangs oder der Zugriff auf die Daten eines portablen Speichermediums.

Mögliche Schädigungen auf jeweilige virtuelle Instanz begrenzen

Mögliche Schädigungen durch bisher unbekannte Malware blieben immer auf die jeweilige virtuelle Instanz begrenzt, die zudem nach Beendigung einer Aktivität, etwa dem Speichern eines Files oder Schließen eines Browser-Tabs, automatisch gelöscht werde.
Eine Infizierung des Endgeräts mit Schadsoftware und nachfolgend des Unternehmens- oder Behördennetzes über einen dieser Wege sei damit „nahezu ausgeschlossen“.

Neuaufsetzen kompletter System infolge einer Malware-Infektion überflüssig

Gegenüber traditionellen, erkennungsbasierten Sicherheitslösungen biete ein Einsatz der Bromium-Isolationslösung noch weitere positive Nebeneffekte:
Der mit „False Positives“ verbundene Analyseaufwand entfalle und „False Negatives“ blieben ohne Auswirkungen, da Bedrohungen isoliert seien. Nicht zuletzt werde auch das Neuaufsetzen kompletter System infolge einer Malware-Infektion überflüssig.

Threat Intelligence im Interesse der Sharing Community

Zum Serviceangebot von Bromium gehöre auch die Erstellung eines regelmäßigen „Threat Insights Report“ mit einer Auswertung von bei Kunden isolierten Threats:
„Immer mehr Anwender stellen dafür ihre Daten bereit“, berichtet Koehler, „und von dieser ,Threat Intelligence‘ profitieren dann unmittelbar alle anderen Mitglieder der ,Bromium Threat Sharing Community‘.“

Weitere Informationen zum Thema:

datensicherheit.de, 23.07.2019
Unerwünschtes Déjà-vu: Malware-Attacke auf Krankenhäuser

datensicherheit.de, 09.05.2019
Ransomware: Deutschlands Unternehmen und Behörden haben ein neues altes Problem

[datensicherheit.de, 29.05.2012] Spezialisten von Kaspersky Lab und Symantec haben ein neuartiges, hochentwickeltes Schadprogramm entdeckt, das als Cyberwaffe missbraucht wurde um Computersyteme in zahlreichen Ländern anzugreifen. Die Qualität des Schadcodes reicht dabei an die zuvor viel beachtetenen Programme Duqu und Stuxnet heran  Wie seine beiden Vorgänger wurde der Code wohl nicht von Einzelpersonen, sondern von einer gut organisierten und finanzierten Gruppe unter klaren Vorgaben entwickelt.
Die Komplexität, die Funktionalität und das diskrete Agieren der Malware Flame übertreffen dabei alle bisher bekannten Cyberbedrohungen.

Bild: Kaspersky Labs

Flame verbreitet sich über zahlreiche Wege

Das Schadprogramm, von den IT-Sicherheitsexperten „Flame“ genannt, wurde unter anderem von Kaspersky Lab während einer Untersuchung im Auftrag der zur UNO gehörenden Internationalen Fernmeldeunion (International Telecommunication Union – ITU) als Worm.Win32.Flame entdeckt. Die ersten Telemetriedaten zeigen, dass sich die primären Ziele des Schadcodes in der West Bank in Palästina, Ungarn, dem Iran und dem Libanon befinden. Zu den anderen Zielen gehören Russland, Österreich, Hong Kong und die Vereinigten Arabischen Emirate.

Bild: Kaspersky Labs

Ziele bisher primär im Nahen Osten

Zu Industriesektoren oder den Hintergründen individueller Zielpersonen lässt sich aktuell noch nichts Konkretes sagen.
Die Malware ist auf Cyberspionage ausgerichtet und kann wertvolle Informationen stehlen, inklusive Bildschirminhalten, gespeicherten Dateien, Kontaktdaten sowie Mitschnitten von Audio-Konversationen.

Erste Untersuchungen haben ergeben, dass Flame seit über zwei Jahren (mindestens seit März 2010) „in freier Wildbahn“ existiert. Da das Programm sehr komplex ist und äußerst zielgerichtet eingesetzt wurde, konnte es bisher nicht von Sicherheitssoftware entdeckt werden.

BitDefender Labs bieten nach eigenen Angaben Removal-Tools in einer 32-Bit und einer 64-Bit-Version an (siehe unten).

Weitere Informationen unter:

Kaspersky Lab
Kaspersky Lab and ITU Research Reveals New Advanced Cyber Threat

Symantec Connect Community
Flamer: Highly Sophisticated and Discreet Threat Targets the Middle East

BitDefender Labes
Cyber Espionage Reaches New Levels with Flamer

[datensicherheit.de, 24.02.2012] Laut G DATA verbreiten Kriminelle aktuell gefälschte Geschenkkarten für Starbucks über facebook – bei der weltweiten Kampagne in englischer Sprache werden demnach die Nutzer aufgefordert, die Nachricht auf die eigene Pinnwand zu stellen und den „Gefällt mir“-Button anzuklicken:
Der Klick auf den Button starte eine Weiterleitung über mehrere Webseiten und öffne ein Pop-Up Fenster, welches vorgaukelet, dass der Anwender der heutige Gewinner sei. Der Text erscheine in der Sprache des vermeintlichen Gewinners.
Das Pop-Up-Fenster zeige eine Reihe von Gewinnen, u.a. ein „iPad“ oder Bargeld, unter denen der Anwender einen aussuchen solle. Um den Druck zu erhöhen, enthielten die Seiten einen Sekundenzähler, der rückwärts zähle. Von der Starbucks-Geschenkkarte sei dort allerdings keine Rede mehr.
Wird einer der vermeintlichen Gewinne ausgewählt, lande der ahnungslose Nutzer auf einer Quiz- oder Spiele-Website und werde dort aufgefordert, seine persönlichen Daten anzugeben. Nach den Analysen der „G Data SecurityLabs“ enthalten einige dieser Seiten Java-Skript-Code, der Internetnutzer auf Webseiten mit beliebigem Schadcode oder Phishing-Formularen umleitet. Bei den Analysen fanden die Sicherheitsexperten von G DATA weitere, ähnlich angelegte Betrugs-Kampagnen.

Weitere Informationen zum Thema:

G DATA SecurityBlog, 23.02.2012
Gift card mania: Fake Starbucks gift cards spreading on Facebook can lead to malware

[datensicherheit.de, 30.11.2011] Mit dem Beginn der Adventszeit 2011 kaufen viele die ersten Weihnachtsgeschenke – nach Angaben des BITKOM erledigt jeder dritte Deutsche seine Einkäufe im Internet.
Cyber-Kriminelle nutzen diese Tendenz und greifen Internetnutzer bei der Geschenkesuche gezielt an. Dabei erhalten Anwender u.a. gefälschte E-Weihnachtskarten oder -Mails mit vermeintlich günstigen Angeboten von Luxus-Uhren oder teuren Designer-Schuhen. Klickt der Nutzer die in der E-Mail eingebundenen Links oder Dateianhänge an, tappt er direkt in die Schadcodefalle. Die Kriminellen hätten es dabei insbesondere auf persönliche Informationen, wie Benutzerkonten von Online-Banking-Seiten oder Kreditkartendaten, abgesehen, warnt G DATA:
Cyber-Kriminelle machten in der Vorweihnachtszeit gezielt Jagd auf Internetnutzer, erklärt Ralf Benzmüller, Leiter der „G Data SecurityLabs“. Dabei wendeten sie verschiedene Maschen an, um ahnungslose Anwender mit Schadprogrammen zu infizieren und deren persönliche Daten, z.B. Online-Banking- oder Kreditkarteninformationen auszuspionieren. Nutzer sollten daher u.a. auf den Einsatz einer effektiven und umfassenden Sicherheitslösung achten und Online-Shops vor dem Bestellvorgang genau auf Seriosität und Sicherheit prüfen.

[datensicherheit.de, 28.10.2011] Mit Schadcodes für das „Android“-Betriebssystem erwirtschaften Cyber-Kriminelle derzeit noch wenig Ertrag – so ein Ergebnis aus dem Whitepaper „Motivations of Recent Android Malware“, in dem Symantec die aktuellen und künftigen finanziellen Anreize und das Gefahrenpotenzial bei Android-Plattformen auswertet. Mit einem signifikanten Anstieg von Schadcode sei trotzdem zu rechnen:
Denn die Verkaufszahlen bei Smartphones hätten 2010 bereits um 55 Prozent zugelegt – das schaffe mehr potenzielle Ziele. Zudem wickelten immer mehr Anwender Geldgeschäfte direkt über ihr mobiles Gerät ab.

Das Whitepaper untersucht insgesamt sieben verschiedene Methoden, mit denen Kriminelle mit Schadcodes für mobile Geräte Geld verdienen:

• Betrug mit Rechnungsnummern
• Schadcodes zum Ausspionieren von Daten
• Infiltrieren von Suchmaschinen
• Pay-per-click-Betrug
• Pay-per-install-Betrug
• Adware
• Diebstahl von TAN-Nummern

Weitere Informationen zum Thema:

Symantec
Whitepaper / Motivations of Recent Android Malware

[datensicherheit.de, 21.10.2011] Symantec hat nach eigenen Angaben mit „Duqu“ einen neuen Schadcode entdeckt und untersucht, der dem berüchtigten Trojaner Stuxnet stark ähneln soll:
Auffällig daran sei, dass die Autoren des neuen Schadprogramms Zugriff auf den Quellcode von „Stuxnet“ gehabt hätten – und nicht etwa nur auf dessen Binärdateien. Es sei laut Symantec möglich, dass auch „Duqu“ von den „Stuxnet“-Entwicklern programmiert worden sei.
Der Zweck von „Duqu“ sei es, Daten und Systeme auszuspähen, unter anderem von Herstellern industrieller Kontrollsysteme. Die Angreifer hätten dabei gezielt nach Informationen wie Konstruktionsplänen gesucht, mit denen sie einen künftigen Angriff gegen industrielle Kontrollanlagen vorbereiten könnten. Daher dürfe „Duqu“ als Vorläufer eines neuen „Stuxnet“ bezeichnet werden.

Weitere Informationen zum Thema:

Symantec, Official Blog, 19.10.2011
W32.Duqu: The Precursor to the Next Stuxnet

[datensicherheit.de, 05.07.2011] Die meisten Surfer hätten nur wenig Wissen über die lauernden Gefahren im Internet, so lautet das beunruhigende Ergebnis der internationalen „G Data Security Studie 2011“ mit dem Titel „Wie schätzen Nutzer die Gefahren im Internet ein?“:
Demnach verfügen die Nutzer verfügen über ein veraltetes Wissen und kennen die aktuellen Online-Bedrohungen und Risiken kaum – so seien über 92 Prozent der international Befragten beispielsweise der Meinung, dass eine Infektion des eigenen PCs für sie ersichtlich sei. In der Vergangenheit wurden Schädlinge von Programmierern geschrieben, die ihre technischen Fähigkeiten unter Beweis stellen wollten. Gelang eine Infektion, war diese für das Opfer auch ersichtlich und zwar in Form von Popups, Funktionsausfällen oder durch den plötzlichen Absturz des PC.
Offenbar erinnern sich viele Internetnutzer noch gut daran. Heute aber werden Computerschädlinge so geschickt programmiert, dass eine Infektion nicht erkennbar wird – denn das Ziel der Täter besteht u.a. darin, möglichst viele und wertvolle Daten (u.a. Kreditkarteninformationen) zu stehlen, um diese in Untergrundforen gewinnbringend zu verkaufen. Eine andere Möglichkeit ist das Kapern und anschließende Einbinden in ein Botnetz. So können die Betrüger den Rechner u.a. für DDoS-Angriffe nutzen. „Cyber-Kriminelle“ sind daher also nicht daran interessiert, dass ihr Schadcode entdeckt und entfernt wird.

Foto: G Data Software AG, Bochum

„G Data Security Studie 2011“: Zu geringes Anwenderwissen über Online-Kriminalität, Angriffe auf persönliche Daten und Bedrohungspotenziale

Täglich berichten Medien über neue Angriffe auf Internetnutzer und Unternehmen, über Datendiebstahl, neue Computerschädlinge und die Strukturen der „eCrime-Kartelle“. Privatanwender geraten dabei stärker in den Fokus der Täter und werden immer häufiger Opfer der weltweit agierenden „Cyber-Banden“. Der Schutz der digitalen Identität ist im Zeitalter des Internets daher gesellschaftsübergreifend von elementarer Bedeutung. Die deutschen Anwender schnitten im internationalen Vergleich gar noch am besten ab. Das Wissen über Online-Kriminalität, Angriffe auf persönliche Daten und Bedrohungspotenziale sei aber auch bei den Befragten aus Deutschland nicht ausreichend, um sich effektiv dagegen schützen zu können.
Mehr als 15.000 Internetnutzer aus elf Ländern hat G Data hierfür eingehend über Virenschutz, Computerschädlinge oder über ihr Verhalten in Sozialen Netzwerken befragt. Die Ergebnisse wurden ausgewertet und mit der aktuellen und tatsächlichen Bedrohungslage im Internet verglichen.

Weitere Informationen zum Thema:

G DATA
G Data Security Studie 2011 / Wie schätzen Nutzer die Gefahren im Internet ein?

G DATA, 05.07.2011
Anwender wissen zu wenig über die Gefahren im Internet / G Data veröffentlicht internationale Sicherheitsstudie

[datensicherheit.de, 09.02.2011] Durchschnittlich alle 15 Sekunden hätten Onlinekriminelle 2010 einen neuen Schädling für Windows-PCs veröffentlicht. Die größte Zuwachsrate verzeichnet G DATA bei Malware, die Sicherheitslücken in Java-Plattformen ausnutzt. Dieser Trend werde sich nach Einschätzung von G DATA 2011 weiter fortsetzen:
Bei der Verbreitung von Schadcode und für zielgerichtete Angriffe setzten die Täter dabei zunehmend auf Soziale Netzwerke. Die Verbreitung von Java sei enorm – weltweit hätten 79 Prozent aller Rechner ein Java-Plugin installiert. Den Tätern böten entsprechende Sicherheitslücken technisch viel Potenzial zur Verbreitung von Schadcode, so Ralf Benzmüller, Leiter der „G Data Security Labs“. In den kommenden Monaten rechneten diese daher mit einer wachsenden Anzahl von Malware für Java-Plattformen. Anwender sollten die Updates daher immer umgehend installieren, um bestehende Sicherheitslücken schnell zu schließen.
Zusätzlich zu den bekannten Gefahren prognostiziere G DATA für das laufende Jahr eine Zunahme politisch motivierter Angriffe auf Unternehmen durch sogenannte „Hacktivisten“.

Weitere Informationen zum Thema:

G DATA
Java rückt stärker in den Fokus von Cyber-Kriminellen / G Data veröffentlicht Sicherheitsreport zu aktuellen Gefahren

[datensicherheit.de, 03.12.2209] Laut eines Hintergrundartikels  mit dem Titel „Akute Gefahr: infizierte Webseiten“ des Sicherheitsdienstleisters Kaspersky Lab verbreiten Cyberkriminelle Schadcode zunehmend über infizierte Websites statt über E-Mails. Der Hersteller von Antiviren-Software hat in den vergangenen drei Jahren nach eigenen Angaben zwischen 100.000 und 300.000 Webauftritte beobachtet. Im Jahr 2006 sei ungefähr eine von 20.000 Websites von Schädlingen befallen gewesen; aktuell sei etwa eine von 150 Sites infiziert – ein kräftiger Anstieg. Die Websites, auf denen „Viren, Würmer und Trojaner“ lauerten, seien ansonsten sauber und seriös. Die Betreiber wüssten von der Gefahr, die von ihren Seiten ausgehe, gewöhnlich nichts.
Abschließend gibt der Autor, Costin G. Raiu, Tipps für Heimanwender und Webmaster, was bei der Infizierung einer Webseite zu tun ist und wie man sich davor schützen kann.

Weitere Informationen zum Thema:

Viruslist.com
Hintergrundartikel „Akute Gefahr: infizierte Webseiten“

datensicherheit.de, 13.10.2009
Drive-by-Download: Gekaperte seriöse Websites werden zunehmend zur Malware-Quelle / Kriminelle missbrauchen gezielt Internetauftritte namhafter Unternehmen