Bösartige Werbeanzeigen
und Zero‑Day-Angriffe:
Das Comeback alter Bedrohungen
bringt das Vertrauen in
Lieferketten und Best Practices
aufs Neue ins Wanken
Bericht von TrendLabsSM zur Sicherheitslage im 1. Quartal 2015
Inhalt
TREND MICRO HAFTUNGSAUSSCHLUSS
Die in diesem Dokument bereitgestellten Informa­
tionen sind lediglich allgemeiner Natur und für
Aufklärungszwecke gedacht. Sie stellen keine
Rechts­beratung dar und sind nicht als solche aus­
zulegen. Die in diesem Dokument bereitgestellten
Informationen finden womöglich nicht auf alle
Sachverhalte Anwendung und spiegeln womöglich
nicht die jüngsten Sachverhalte wider. Die Inhalte in
diesem Dokument sind ohne eine Rechtsberatung
auf der Grundlage der vorgestellten besonderen
Fakten und Umstände nicht als verlässlich oder als
Handlungsanweisungen zu verstehen und nicht in
anderer Weise auszulegen. Trend Micro behält sich
das Recht vor, die Inhalte dieses Dokuments zu jeder
Zeit und ohne Vorankündigung zu ändern.
Übersetzungen in andere Sprachen sind aus­
schließlich als Unterstützung gedacht. Die Genauig­
keit der Übersetzung wird weder garantiert
noch stillschweigend zugesichert. Bei Fragen zur
Genauig­keit einer Übersetzung lesen Sie bitte in der
offiziellen Fassung des Dokuments in der Ursprungs­
sprache nach. Diskrepanzen oder Abweichungen in
der übersetzten Fassung sind nicht bindend und
haben im Hinblick auf Compliance oder Durch­
setzung keine Rechtswirkung.
Trend Micro bemüht sich in diesem Dokument
im angemessenen Umfang um die Bereitstellung
genauer und aktueller Informationen, übernimmt
jedoch hinsichtlich Genauigkeit, Aktualität und
Voll­
stän­
digkeit keine Haftung und macht dies­
bezüglich keine Zusicherungen. Sie erklären Ihr
Ein­
ver­
ständnis, dass Sie dieses Dokument und
seine Inhalte auf eigene Verantwortung nutzen
und sich darauf berufen. Trend Micro übernimmt
keine Gewährleistung, weder ausdrücklich noch
still­schweigend. Weder Trend Micro noch Dritte, die
an der Konzeption, Erstellung oder Bereitstellung
dieses Dokuments beteiligt waren, haften für
Folge­schäden oder Verluste, insbesondere direkte,
indirekte, besondere oder Nebenschäden, entgan­
genen Gewinn oder besondere Schäden, die sich
aus dem Zugriff auf, der Verwendung oder Un­
möglich­keit der Verwendung oder in Zusammen­
hang mit der Verwendung dieses Dokuments oder
aus Fehlern und Auslassungen im Inhalt ergeben.
Die Verwendung dieser Informationen stellt die
Zu­
stimmung zur Nutzung in der vorliegenden
Form dar.
4
Fehler im Geschäftsmodell für Internet­
werbung bergen potenzielle Risiken für
die Anwendersicherheit
11
Crypto-Ransomware-Infektionen treten
immer häufiger auf und bedrohen
Unternehmen
17
Makro-Malware – Comeback eines alten
Feindes
21
Die zehn Jahre alte Sicherheitslücke
FREAK stellte neue Herausforderungen
an die Patch-Verwaltung
26
Das Gesundheitswesen fiel massiven
Sicherheitsverletzungen zum Opfer,
weitere Branchen wurden durch PoSMalware-Angriffe geschwächt
30
Alte Angreifer feierten ein Comeback mit
neuen Tools, Taktiken und Verfahren für
gezielte Angriffe
32
Exploit-Kits werden immer raffinierter
36
Überblick über die Bedrohungslandschaft
Die im vergangenen Quartal aufgetretenen Bedrohungen lassen den Schluss zu,
dass auch höchste Vorsicht keinen wirksamen Schutz für Anwender bieten kann.
Cyberkriminelle und Angreifer haben es nicht mehr nötig, neue Angriffswege zu
schaffen, um ihre Opfer und Ziele zu erreichen. Das Fundament ist bereits gelegt, sie
müssen ihre Pläne lediglich in die Tat umsetzen.
Die größten Sicherheitslücken sind diejenigen, die man häufig übersieht. Bösartige
Werbeanzeigen gibt es beispielsweise schon seit geraumer Zeit. Viele Anwender
haben sich mittlerweile an sie gewöhnt. Doch obwohl sich die Anwender mit neuesten
Sicherheitslösungen und Erkenntnissen wappnen, sind sie bösartigen Werbeanzeigen
in Verbindung mit Zero-Day-Exploits völlig ausgeliefert. Der im vergangenen
Februar bei Adobe® Flash® aufgetretene Vorfall zeigte allzu deutlich, wie wirksam ein
derartiger Angriff sein kann.
Anwender von mobilen Geräten blieben ebenfalls nicht verschont. Adware stellte
auch weiterhin eine beträchtliche Bedrohung dar. Im selben Monat mussten bösartige
Apps aus dem Google Play™ Store entfernt werden. Die Geräte von Millionen
von Anwendern, die vermeintlich sichere hochriskante Apps herunterluden,
wurden allerdings schon vor der Entfernung infiziert. Es besteht kein Zweifel, dass
Anzeigennetzwerke ihre Sicherheitsmaßnahmen genauer unter die Lupe nehmen
müssen.
Viele Anwender unterschätzen außerdem die Gefahr, die weiterhin von veralteter
Technologie ausgeht. Der deutliche Anstieg bei Infektionen durch (in Microsoft™
Word®-Dateien eingebettete) Makro-Malware und die Hartnäckigkeit von OpenSSLExploits machen deutlich, in welchem Umfang sich Cyberkriminelle mithilfe alter
und bekannter Schwachstellen Zugang verschaffen können.
Die größte Branche, die in den letzten Monaten von Angriffen überrascht wurde, war
jedoch möglicherweise der Einzelhandel. Dies ist insofern interessant, als dass die
Bedrohung durch Point-of-Sale-Malware (PoS) bereits weithin bekannt ist. Ähnlich
wie Ransomware ist PoS-Malware offenbar nicht unterzukriegen und stellt ein
potenzielles Risiko für Unternehmens- und Kundendaten dar.
Ergreifen wir wirklich ausreichende Maßnahmen, um uns vor Sicherheitsbedrohungen
zu schützen? Die größten Vorfälle in den ersten drei Monaten von 2015 haben
gezeigt, dass auch die im Bereich Sicherheit äußerst versierten Anwender und
Organisationen nicht gegen diese Gefahren immun sind. Angreifer nutzen schließlich
schon die kleinste Sicherheitslücke aus, um ihr Ziel zu erreichen. In den heutigen
Datenverarbeitungsumgebungen darf es einfach keinen Raum für Fehler geben.
HINWEIS: Wird in diesem Bericht von „Erkennungen“ gesprochen, so bezieht sich dies auf Vorfälle, bei denen Bedrohungen auf den
Geräten von Anwendern gefunden und anschließend von einem Trend Micro Sicherheitsprodukt gesperrt wurden. Sofern nicht anders
angegeben, beruhen alle Statistiken in diesem Bericht auf Daten aus dem Trend Micro™ Smart Protection Network™, einer CloudSicherheitsinfrastruktur, die eine Kombination aus cloudbasierten Technologien und clientbasierten Sicherheitstechniken nutzt, um
lokale Produkte und gehostete Services zu unterstützen.
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Fehler im Geschäftsmodell für Internetwerbung
bergen potenzielle Risiken für die
Anwendersicherheit
Onlinewerbeanzeigen sind ein beliebtes Mittel für die Verbreitung von Exploits –
wahrscheinlich deshalb, weil Anwender keinen Einfluss darauf haben, welche
Werbeanzeigen ihnen präsentiert werden. Website-Inhaber kamen ebenso
wie die Website-Besucher zu Schaden, da sie nicht steuern können, welche
Werbeanzeigen letztendlich auf ihrer Website angezeigt werden.
Zero-Day-Exploits,
die
Adobe-Software
im
Sicherheit: nur vertrauenswürdige Websites zu
Visier haben, wurden kürzlich aktualisiert und in
besuchen und Anwendungen mit den aktuellen
Angriffen durch bösartige Werbung eingesetzt.
Patches auf dem neuesten Stand zu halten.
Ein Beispiel für einen solchen Angriff (CVE-20150313), der zum Exploit-Kit „Angler“ gehört, wurde
Einem Bericht des U.S. Senate Committee on
Anfang Februar dieses Jahres aufgedeckt. Er
Homeland Security and Governmental Affairs
verwendete bösartige Werbeanzeigen. Die Opfer
zufolge ist es äußerst schwierig, dieses Problem
mussten also die bösartigen Seiten nicht mehr
zu
absichtlich oder unabsichtlich aufrufen, um ihre
extrem komplex. Daher ist es schwer, die für die
Computer zu infizieren.
Schäden
umgehen.
von
„Die
Onlinewerbebranche
Malware-Angriffen
ist
verant­
wort­
lichen Organisationen zu identifizieren und zur
Kürzlich erfolgte Angriffe durch bösartige Werbung
Rechenschaft zu ziehen.“1, 2 Bösartige Werbe­
stellen aufgrund der eingebetteten Zero-Day-
anzeigen stellen nicht nur für Endbenutzer ein
Exploits eine wesentlich größere Bedrohung dar.
Problem dar, sondern auch für Website-Inhaber.
Die Kombination aus Angriffen durch bösartige
Websites können auch ohne das Wissen und
Werbung und Zero-Day-Exploits untergräbt die
Einverständnis der Betreiber mit bösartigen
zwei derzeit gängigsten Best Practices im Bereich
Werbe­anzeigen infiziert sein.
4 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Namhafte Schwachstellen im 1. Quartal 2015
CVE-2015-0310
CVE-2015-0311
Alle Versionen von
Adobe Flash bis 6.0.0.257
Alle Versionen von
Adobe Flash bis 16.0.0.287
Ausgenutzt über
SWF_ANGZIA.A (Angriffspunkt
nicht veröffentlicht)
Ausgenutzt über SWF_ANGZIA.B,
SWF_ANGZIA.C oder
SWF_ANGZIA.F über bösartige
Werbeanzeigen
22. JAN. 22. JAN. 24. JAN. 27. JAN.
22. JAN. 22. JAN. 24. JAN.
2. FEB.
CVE-2015-0313
CVE-2015-0072
Alle Versionen von
Adobe Flash bis 16.0.0.296
Microsoft™ Internet
Explorer® Version 9 bis 11
Ausgenutzt über BEDEPBackdoors über bösartige
Werbeanzeigen
Ausgenutzt mittels WebInjection in Kombination
mit bösartigen Links
2. FEB.
2. FEB.
Kennung für
bekannte Schwachstellen und
Sicherheitslücken
4. FEB.
10. FEB.
Schwachstellenerkennung
5. FEB.
Angriffserkennung
5. FEB.
SchwachstellenPatching
10. MRZ.
3. FEB.
Veröffentlichung
einer Trend Micro
Deep SecurityRegel
Zwei von vier im vergangenen Quartal enthüllten Zero-Day-Exploits
nutzten bösartige Werbeanzeigen als Infektionsweg.
5 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
So funktioniert Malvertising
Funktionsweise von Onlinewerbung
Anzeigekunden möchten
für Produkte oder Services
werben.
Anzeigennetzwerke stellen
den Kontakt zwischen
Anzeigekunden und Websites
her, die Onlinewerbeanzeigen
hosten möchten. Sie übernehmen das Zusammenstellen
und Sammeln mehrerer
Werbeanzeigen, die auf
einer Reihe von Websites
veröffentlicht werden sollen.
Die Anzeigen-Publisher
(Website-Inhaber)
integrieren Werbeanzeigen
in die Onlineinhalte der
Websites. Mehrere Anzeigen
können in unterschiedlichen Formaten angezeigt
werden.
Anwender sehen die
Anzeigen, wenn sie Websites
besuchen, die Werbung
hosten.
Funktionsweise von Malvertising
Cyberkriminelle geben sich
als Anzeigekunden aus und
laden bösartige Anzeigen
hoch.
Bösartige und legitime
Anzeigen werden beim
Senden durch Anzeigennetzwerke – vermutlich
aufgrund unzureichender
Prüfungen – vermischt.
Bösartige Werbeanzeigen
werden auf Anzeigenwebsites angezeigt.
Bösartige Werbeanzeigen
nutzen Schwachstellen
auf den Computern der
Website-Besucher aus,
um diese mit Malware
zu infizieren.
6 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Zahl von BEDEP- und ROZENA-Infektionen, die ab dem 4. Quartal 2014
bis zum 1. Quartal 2015 über bösartige Werbeanzeigen verbreitet wurden
Q4 2014
GESAMT: 2.503
4.000
Q1 2015
GESAMT: 10.031
3.568
2.385
2.480
2.000
1.858
1
0
1.660
313
106
6
5
152
0
OKT.
NOV.
DEZ.
2014
JAN.
FEB.
MRZ.
2015
BEDEP
GESAMT: 7.719
ROZENA
GESAMT: 4.815
Bösartige Werbeanzeigen leiteten Opfer auf Websites um, die ihre Computer
automatisch mit einer Reihe unterschiedlicher Malware infizierten.
Ein über bösartige Werbeanzeigen verteilter Zero-
auf mindestens 52 Lenovo® Laptop-Modellen für
Day-Exploit in Adobe Flash verbreitete die Malware
Privatanwender, die zwischen September und
BEDEP.3 Ahnungslose Anwender, die die Malware
Dezember 2014 ausgeliefert wurden, vorinstalliert
BEDEP herunterluden, liefen Gefahr, unfreiwillig
war.5, 6 Als Bloatware (unnütze Software), die
an den Botnetz-Operationen von Angreifern
viel Festplattenspeicher beansprucht und auf
teilzunehmen. Darüber hinaus bestand das Risiko,
Computern vorinstalliert ist, war Superfish in
dass sie Opfer eines Betrugs wurden und weitere
der Lage, (als Bilder angezeigte) Suchergebnisse
Malware auf ihre Geräte herunterluden.
anhand des Browserverlaufs von Anwendern zu
4
verändern.7 Sie verhielt sich nicht nur wie Adware,
Die Bedrohungen im Zusammenhang mit Werbe­
sondern gab Cyberkriminellen Zugang zu angeblich
anzeigen in diesem Quartal beinhalteten des
sicherer Kommunikation.
Weiteren Superfish, ein Browser-Add-on, das
7 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
So funktioniert Superfish
Superfish ist auf einer Reihe
von Lenovo Laptopmodellen
vorinstalliert. Daher ist es
möglich, dass es ohne das
Wissen und Einverständnis
des Anwenders operiert.
Superfish installiert ein eigenes
Root-Zertifikat, mit dem die
Bloatware sogar in HTTPS
funktioniert und so sichere
Kommunikation abfangen
kann, ohne einen Alarm
auszulösen.
Superfish Visual Search
ist ein Browser-Add-on,
das zu Anzeigen
gehörende Fotos im
Zusammenhang mit
Suchergebnissen anzeigt.
Superfish-Zertifikate
verwenden denselben privaten
Schlüssel, der über alle Laptops
an die Öffentlichkeit gelangt ist.
Die Folge sind schwache
Verschlüsselung und geringe
Sicherheit vor möglichem
Missbrauch.
Abgesehen davon, dass Superfish auf Computern vorinstalliert war und sich wie Adware verhielt,
stellte diese Bloatware eine ernsthafte Bedrohung dar. Ihr schwaches Zertifikat setzte
sogar sichere Kommunikationsmethoden großen Risiken aus.
Die Adware hatte es nicht nur wie diverse Google
infizierte
Play Apps, die das MDash Software Development
HRX) Millionen von Geräten, bevor die mit ihm
Kit (SDK) verwendeten, auf die Anwender abge­
infizierten Apps aus Google Play entfernt wurden.
sehen, sondern zeigte auf allen betroffenen
Im Play Store wurden über 2.000 Apps mit
Mobil­
geräten außerdem aggressive, schädliche
ähnlichem Verhalten gefunden.
Werbung
an.8
Nach
unseren
MDash (ANDROIDOS_ADMDASH.
Informationen
8 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Zahl von mit MDash-infizierten Apps in Google Play vor und nach der Entfernung
FEB.
3. FEBRUAR
11. MÄRZ
Berichten zufolge entfernte
Google drei Apps aus
seinem Play Store, bei
denen es sich um getarnte
Adware handelte.
Zum Zeitpunkt der Analyse
identifizierten unsere
Forscher 2.377 App
SHA-256-Hashes im
Google Play Store.
MRZ.
26. MÄRZ
31. MÄRZ
Google wurde über das
Problem informiert und
kündigte an, weitere
Untersuchungen
vorzunehmen.
Bei einer Prüfung stellten
unsere Forscher fest, dass
noch 682 Apps im Play
Store vorhanden waren.
APR.
2. APRIL
15. APRIL
Ein Blog-Post zu MDash
wurde veröffentlicht.
MAI
Bei einer erneuten Prüfung
stellten unsere Forscher
fest, dass 85 Apps auch
weiterhin im Play Store
erhältlich waren.
Ungefähr 2.000 mit MDash infizierte Apps wurden Anfang März in Google Play gefunden.
Die meisten dieser Apps wurden innerhalb eines Monats nach der Benachrichtigung entfernt.
Die
im
vergangenen
aufgetretenen
Adobe Software. Mit Superfish läuft sogar angeblich
Bedrohungen missbrauchten die Onlinewerbe­
sichere Kommunikation Gefahr, Angreifern in die
plattform, um die Datensicherheit von Anwendern
Hände zu fallen. Mit MDash und ähnlichen Apps,
und
kompromittieren.
die wertvolle Daten von Opfern stehlen, machten
Malvertising stellte sich als wirksame Möglichkeit
Angreifer erneut deutlich, dass kein Gerät vor
zum Verbreiten von Zero-Day-Exploits heraus. Ein
Bedrohungen sicher ist.
Website-Inhabern
Quartal
zu
Beispiel hierfür sind die Zero-Day-Angriffe auf
9 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
„Für gewöhnliche Anwender stellen bösartige Werbeanzeigen
eine der größten Bedrohungen dar. Denn mehr noch als andere
Bedrohungen kann Malvertising Schaden anrichten, selbst wenn
man als Nutzer alles richtig macht. Auch Anwender, die nicht
auf Links klicken, deren Sicherheitslösungen auf dem neuesten
Stand sind und die nur vertrauenswürdige Websites aufrufen,
können geschädigt werden. Kurz gesagt: Auch höchste Vorsicht
kann keinen wirksamen Schutz vor Malvertising bieten. Es ist
reine Glückssache.“
– Christopher Budd,
Threat Communications Manager
„Immer mehr Anwender entscheiden sich sowohl in Onlineals auch herkömmlichen Medien gegen Werbung. Wenn der
Trend des Missbrauchs von Werbung anhält, ist damit zu
rechnen, dass Browseranbieter künftig Werbeblocker, die derzeit
lediglich als Plug-ins externer Anbieter erhältlich sind, direkt
in ihre Produkte integrieren. Um dies zu verhindern, müssen
Anzeigennetzwerke beim Überprüfen von Inhalten wesentlich
gründlicher vorgehen, beispielsweise mithilfe von Sandboxing
vor der Veröffentlichung. Sie müssen die Websites, die sie
bedienen, effektiv authentifizieren.“
– Rik Ferguson,
Vice President of Security Research
10 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Crypto-Ransomware-Infektionen treten immer
häufiger auf und bedrohen Unternehmen
Crypto-Ransomware hat seine Zielgruppe ausgeweitet und zielt nicht mehr nur
auf Privatanwender ab, sondern nimmt auch Großunternehmen und Anwender
von Nischenanwendungen ins Visier.
Fast die Hälfte aller Ransomware-Infektoren im
Computer. Die schädlicheren Nachfolger, Crypto-
ersten Quartal 2015 gehören einem schäd­licheren
Ransom­
ware, mit der verschlüsselte Dateien
Typ an: der Crypto-Ransomware. Die heute übli­
gesperrt und erst gegen Zahlung eines Geldbetrags
chen, noch perfideren Versionen von Ransom­
wieder freigegeben werden, setzen Anwender
ware sperren nicht mehr wie ihre Vorgänger, die
wesentlich größeren Risiken aus.
Polizei-Trojaner, den Zugriff ihrer Opfer auf deren
Vergleich der bekannten Varianten von Crypto-Ransomware
1
2 (Bandarchor)
3 CryptoFortress
Verwendet ältere Methoden,
allerdings werden häufig neue
Varianten veröffentlicht
(zielt auf mehr Dateitypen ab,
zuvor auf Russisch verfasste
Lösegeldforderungen werden
jetzt auf Englisch gestellt)
Imitiert die Benutzeroberfläche
von TorrentLocker; verwendet
weitgehend Platzhalter, um
nach Dateinamenerweiterungen
zu suchen; verschlüsselt
Dateien in NetzwerkFreigabeordnern
Wird über Spam-E-Mail
und die Ausnutzung von
Schwachstellen verteilt
Im Exploit-Kit „Nuclear“
enthalten
4 TeslaCrypt
5 VaultCrypt
6 Troidesh
Verwendet eine ähnliche
Benutzeroberfläche wie
CryptoLocker; verschlüsselt
neben Dokumenten auch
Dateien von Spielen
Verschlüsselt Dateien mittels GnuPG;
lädt Hacker-Tools herunter, um die
im Browser zwischengespeicherten
Anmeldedaten zu stehlen; verwendet
sDelete 16 Mal, um zu verhindern,
dass die Opfer Backup-Dateien
wiederherstellen; Hauptzielgruppe
sind russische Anwender
Benennt Dateien
in {verschlüsselter
Dateiname}.xtbl um;
stiehlt IP-Adressen
GulCrypt
TROJ_GULCRYPT.A
Verwendet .RAR, um
archivierte Dateien durch
ein Kennwort zu schützen;
das Kennwort ist mit PGP
verschlüsselt
Wird zusammen mit anderen
Komponenten von
TROJ_CRYPTOP.KLS
heruntergeladen
TROJ_CRYPAURA.F
Im Exploit-Kit „Angler“
enthalten
TROJ_CRYPAURA.F
BAT_CRYPVAULT.A
TROJ_CRYPFORT.A
TROJ_CRYPSHED.A
Im Exploit-Kit „Nuclear“
Wird mit einem JavaScript™Downloader über Spam-E-Mail
verteilt
11 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
FUNKTIONEN
1
2
Neue Familie?
Ja
Nein
Gestohlene
Daten
Keine Angabe
C&CKommunikation
3
Ja
4
5
6
Ja
Ja
Ja
Computername Keine Angabe
und Globally
Unique Identifier
(GUID) des
Computers
IP-Adresse
Im Browser
IP-Adresse
zwischen­
gespeicherte
Anmelde­daten
mit dem HackerTool „Browser
Password Dump
by Security
Xploded“ (HKTL_
BROWPASS)
Nein
Ja (auf einem
Nein
hartkodierten
Command-andControl [C&C]Server)
Ja
(über Tor2web)
Ja (über Onion
City – Tor2web)
Ja
(über Tor)
Dateiname
der Lösegeld­
forderung
{Anwender­
name}_files
fud.bmp
(als Desktop­
hinter­grund)
READ IF YOU
HELP_TO_
WANT YOUR
SAVE_YOUR_
FILES BACK.html FILES.txt,
HELP_TO_
SAVE_YOUR_
FILES.bmp
(als Desktop­
hintergrund)
VAULT.txt
README{1
bis 10}.txt
Erweiterungs­
name an
verschlüsselte
Dateien
angehängt
.rar
.id-{id#}_fud@
india.com*
.frtrss
.ecc
.VAULT
Benennt
Dateien in
{verschlüsselter
Dateiname}.xtbl
um
Werden
Schatten­kopien
gelöscht?
Nein
Nein
Ja
Ja
Ja
Nein
Zahl der
angegriffenen
Dateien
11
102
(39 in älteren
Varianten)
über 132
185
15
342
Gefordertes
Lösegeld
300 €
Bitcoins (BTC)
im Wert von
500 US-Dollar
1 BTC
1,5 BTC
(1000 US-Dollar
bei Zahlung
über PayPal)
Bitcoins (BTC)
im Wert von
247 US-Dollar
(der Betrag
erhöht sich nach
sieben Tagen)
Nicht bekannt,
da sich die
Opfer zunächst
über E-Mail mit
den Angreifern
in Verbindung
setzen müssen;
bisher wurden
noch keine
Lösegeld­
zahlungen
gemeldet
Verwendet
das Deep Web
für Zahlungs­
websites
Mail2Tor
(Tor-E-MailDienst)
Nein
(über E-Mail)
Tor
Tor
Tor
Nein
(über E-Mail)
FreemiumFunktionen?
Ja (über E-Mail)
Nein
Ja
Ja
Ja
Nein
(* id# bezieht sich auf die Zahl, die Opfer während der Entschlüsselungstransaktionen identifiziert.)
Die wachsende Liste notorischer Crypto-Ransomware wurde um sechs Familien erweitert.
Diese unterscheiden sich durch die Höhe der Lösegeldforderungen und die Raffinesse der Angriffsmethoden.
12 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Zahl der Ransomware-Infektionen
20.000
13.000
8.000
12.000
Ransomware
10.000
9.000
6.000
Crypto-Ransomware
6.000
8.000
3.000
3.000
3.000
3.000
Q2
2014
Q3
2014
Q4
2014
2.000
0
Q4
2013
Q1
2014
Q1
2015
Nach einem Rückgang von Ransomware-Angriffen vom ersten bis dritten Quartal 2014, der vermutlich
auf die Verhaftung des Entwicklers des Blackhole-Exploit-Kits (Paunch) Ende 2013 zurückzuführen ist, nahmen
die Angriffe Ende 2014 wieder zu. (Das Blackhole-Exploit-Kit war bekannt für die Verteilung von Ransomware.)
Die Länder, die im 1. Quartal 2015 die höchste Zahl
von Ransomware-Infektionen meldeten
USA
Australien
Japan
Türkei
Italien
Frankreich
Deutschland
Indien
Kanada
Philippinen
Sonstige
34
6
6
5
5
4
3
3
2
2
30
%
%
%
%
%
%
%
%
%
%
%
Die USA waren am stärksten von Ransomware-Infektionen betroffen. Dies lässt sich wahrscheinlich
durch die neuen, Anfang dieses Jahres entdeckten Crypto-Ransomware-Varianten
wie CTB-Locker erklären, deren direktes Ziel US-Bürger waren.
13 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Die gängigsten Ransomware-Familien
CRYPCTB
REVETON
KOVTER
CRYPWALL
RANSOM
CRILOCK
CRYPTOPHP
VIRLOCK
MATSNU
CRYPTWALL
Sonstige
25
20
17
11
10
6
5
1
1
1
3
%
%
%
%
%
%
%
%
%
%
%
CRYPCTB machte 25 % der gesamten Ransomware aus. Es ist der Trend Micro Malware-Name für
CTB-Locker-Varianten, von denen Anwender in den ersten zwei Monaten dieses Jahres besonders betroffen waren.
Obwohl die Inhaftierung von Paunch Ende 2013
auch
zu einem Rückgang von Ransomware-Infektionen
CryptoFortress, eine Imitation von CryptoLocker
führte, ließen sich andere Cyberkriminelle nicht
(TROJ_CRYPFORT.A), kann Dateien in freige­
davon abhalten, noch schädlichere Varianten
gebenen
der Bedrohung zu verteilen. Tatsächlich werden
CRYPWEB in der Lage ist, Webserverdatenbanken
Anwender heute sogar Opfer von wesentlich
zu verschlüsseln.11 Großunternehmen müssen sich
gefährlicheren Ransomware-Varianten.
darüber im Klaren sein, dass Ransomware eine
9
Großunternehmen
Ordnern
ins
Visier
verschlüsseln,10
nimmt.
während
ernsthafte Bedrohung für ihre Infrastruktur und
Noch alarmierender ist allerdings, dass Ransom­
Geschäftstätigkeit darstellt.
ware nicht mehr nur Privatanwender, sondern
14 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Zahl von Ransomware-Infektionen nach Branche
im 4. Quartal 2014 und im 1. Quartal 2015
16.433
15.532
Q4 2014
Q1 2015
72 %
Privatanwender
52 %
16 %
Großunternehmen
28 %
6%
s
Kleine und mittelständische
Unternehmen
14 %
s
6%
Sonstige
6%
Die Zahl von Ransomware-Infektionen in Großunternehmen hat sich im vergangenen Quartal fast verdoppelt.
Dies ist möglicherweise auf die zunehmende Zahl von Ransomware zurückzuführen,
die speziell auf Unternehmen statt auf Privatanwender abzielt.
Neben Großunternehmen gehören nun auch
auf. CRYPAURA sperrte beispielsweise insgesamt
Online-Gamer
102 Dateitypen,
zur
Zielgruppe
von
Crypto-
Ransom­ware. Teslacrypt (TROJ_CRYPTESLA.A)
kann Steam
®
im
Gegensatz
zu
bisher
39 Dateitypen.
Spiel- und Softwaredaten sowie
Dokumente, Medien- und Backup-Dateien von
Ransomware hat eine gewisse Ähnlichkeit mit
Anwendern verschlüsseln.
FAKEAV.
12, 13
Doch nicht nur
Beide
Malware-Typen
jagen
den
Gamer wurden ins Visier genommen, auch
Betroffenen einen dermaßen großen Schrecken ein,
Polizeibeamte in Massachusetts fielen einem
dass diese jegliche Lösegeldforderungen zahlen,
Ransom­ware-Angriff zum Opfer und zahlten bis
um wieder Zugriff auf ihre Computer und Dateien
zu 500 US-Dollar Lösegeld, um wieder auf ihre
zu erhalten. Es wird sich zeigen, ob Ransomware
verschlüsselten Dateien zugreifen zu können.
ebenso viele Probleme verursacht wie FAKEAV. Bei
14
FAKEAV erwies sich die Anwendersensibilisierung
Anwender in Australien und Neuseeland wurden
als sehr wirksam. Solange Anwender die störenden
ebenfalls Opfer von Ransomware-Angriffen. Die
Popup-Meldungen ignorierten, bestand keine
im Januar dieses Jahres erfolgten TorrentLocker-
Gefahr. Dies gilt jedoch nicht für Ransomware.
Angriffe nahmen sich geduldig einen Markt nach
Ransomware lässt dem Anwender keine Wahl. Sie
dem anderen vor. Andere Crypto-Ransomware-
können lediglich hoffen, dass sie gesperrte Dateien
Varianten, die im vergangenen Quartal ihr
über sichere Backups wiederherstellen können.
Unwesen trieben, wiesen deutliche Verbesserungen
15 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
„Mit Crypto-Ransomware ist es für Cyberkriminelle ein
Kinderspiel, Geld aus Angriffen zu schlagen. Die Entwickler der
ersten Varianten erzielten in nur wenigen Monaten Gewinne im
Wert von mehreren Millionen Dollar. Die schnelle Verbreitung
der Bedrohung ist möglicherweise darauf zurückzuführen,
dass Ransomware durch Hinzufügen von Crypto-Bibliotheken
im Handumdrehen zu Crypto-Ransomware wird. CryptoAlgorithmen sind irreversibel. Betroffenen, die keine
Sicherungs­kopien angelegt haben, bleibt keine Wahl: Sie müssen
das geforderte Lösegeld zahlen, um wieder auf wichtige Dateien
zugreifen zu können.“
– Anthony Melgarejo,
Threat Response Engineer
16 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Makro-Malware – Comeback eines alten Feindes
Das Comeback von Makro-Malware ist möglicherweise auf einen Mangel an
Anwendersensibilisierung zurückzuführen, die Cyberkriminelle ausnutzen.
Nur sehr wenige Anwender verstehen wirklich, worum es sich bei Makros
handelt und wie diese funktionieren.
Ein Comeback von Makro-Malware war Ende
2014 zu beobachten. Dies spiegelte sich in
einem Anstieg von Spam-E-Mails mit Makros in
bösartigen Anhängen und dem Auftreten neuer
Varianten wider. Makro-Malware verwendete
häufig Schlüsselformulierungen und gängige
Suchbegriffe, um die Opfer zum Herunterladen
und Ausführen von Malware zu bewegen.15 Sogar
die berüchtigte Banking-Malware, VAWTRAK,
bediente sich bösartiger Makros, um Computer zu
infizieren. Dies stand in deutlichem Unterschied
zu den bekannten Angriffsmethoden. Die Malware
nutzte überzeugende Spam-E-Mails, in denen
die Empfänger angewiesen wurden, Makros zu
aktivieren, um spezielle Word-Dateianhänge
anzuzeigen. Daraufhin wurde die Makro-Malware
(W2KM_VLOAD.A) ausgeführt, die VAWTRAKVarianten herunterlud.16 Weitere Bedrohungen,
die sich in der Vergangenheit Makro-Malware als
Infektionsweg zunutze machten, sind beispiels­
weise die Datendiebstahl-Trojaner DRIDEX und
ROVNIX.17, 18
Cyberkriminelle bauen möglicherweise darauf,
dass die Anwender sich keiner Gefahr bewusst
sind. Dies würde den Erfolg von Makro-MalwareAngriffen erklären. Sie nutzen die mangelnden
Kenntnisse von Anwendern über Makros und
deren Funktionsweise aus. Wenn Anwender
aufgefordert werden, Makros zu aktivieren, um
Anhänge anzeigen zu können, leisten die meisten
dieser Aufforderung Folge.
Makros werden als Angriffsweg immer beliebter,
denn sie können traditionelle Anti-MalwareLösungen umgehen. Da zur Ausführung von MakroMalware eine manuelle Anwenderintervention
erforderlich ist, reichen Sandboxing-Technologien
unter Umständen nicht aus, um die Bedrohung
wirksam abzuwehren. Anwender von Lösungen
zum überprüfen von E-Mails sind weniger
gefährdet, denn diese Lösungen erkennen aus­
führbare Dateien, statt nach eingebetteten
bösartigen Makros zu suchen, die leicht verschleiert
werden können und von Anti-Malware-Lösungen
daher oft unerkannt bleiben.
So funktioniert Makro-Malware
Spam-E-Mails fordern
Anwender auf, Anhänge
herunterzuladen und zu
öffnen, die in den meisten
Fällen leer sind oder
unleserlichen Text
enthalten.
In den E-Mails steht
beispielsweise „Aktivieren
Sie Makros, um den Inhalt
anzuzeigen“, gefolgt von
einer Anleitung.
Das Schadteil wird
unmittelbar nach der
Aktivierung des Makros
ausgeführt.
Social Engineering war bei den Makro-MalwareAngriffen in letzter Zeit ein bedeutender Faktor.
Anwender wurden dazu verleitet,
Makros zu aktivieren, um Anhänge anzuzeigen,
ohne zu wissen, dass im Hintergrund bösartige
Routinen ausgeführt wurden.
17 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Neue, erstmals im 1. Quartal 2015 entdeckte Makro-Malware
436
500
250
180
79
29
0
2011
2012
19
2013
2014
2015
Das Comeback von Makro-Malware begann 2014. Makro-Malware
wird sogar im Banking-Trojaner VAWTRAK genutzt.
Zahl von Makro-Malware-Infektionen im 1. Quartal 2015
93.000
100.000
48.000
50.000
32.000
0
20.000
22.000
Q1
Q2
2014
Q3
Q4
Q1
2015
Die Zahl von Makro-Malware-Infektionen hat seit dem 1. Quartal 2014
stetig zugenommen. Dies steht möglicherweise mit der Veröffentlichung
neuer Varianten und dem Anstieg von Spam-E-Mails mit bösartigen
Anhängen, die Makros enthalten, in Verbindung.
18 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Die Länder, die im 1. Quartal 2015 die höchste Zahl
von Makro-Malware-Infektionen gemeldet haben
China
USA
Vereinigtes Königreich
Japan
Australien
Frankreich
Italien
Taiwan
Deutschland
Indien
Sonstige
22
14
12
7
5
5
4
3
3
2
23
%
%
%
%
%
%
%
%
%
%
%
China führt die Liste der Länder an, die in den ersten drei Monaten 2015 die meisten durch
Makro-Malware infizierten Computer meldeten. Obwohl Microsoft Makros in Office
standardmäßig deaktiviert hat, sind die Anwender älterer Versionen weiterhin ungeschützt.
Die gängigsten Makro-Malware-Varianten im 1. Quartal 2015
W97M_MARKER.BO
8
X97M_OLEMAL.A
5
W2KM_DLOADR.JS
3
X2KM_DLOADR.C
2
W97M_SATELLITE
2
W97M_DLOADR.XTRZ 2
W2KM_DLOAD.NB
2
W97M_DLOADER.GHV 2
X2KM_DLOAD.A
2
X97M_LAROUX.CO
2
Sonstige
70
%
%
%
%
%
%
%
%
%
%
%
19 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Die am häufigsten für bösartige Makros missbrauchten Anwendungen
im 1. Quartal 2015
Word
75 %
Excel®
21 %
PowerPoint®
1%
Sonstige
3%
Bei Cyberkriminellen waren insbesondere Microsoft Word-Dokumente und Excel-Tabellen
zur Verbreitung von bösartigen Makros sehr beliebt.
Die gängigsten Makro-Malware-Familien im 1. Quartal 2015
DLOADR
DLOAD
MARKER
BARTALEX
DLOADER
DLOADE
OLEMAL
LAROUX
BURSTED
MDROP
Sonstige
30
10
8
8
6
5
4
4
3
2
20
%
%
%
%
%
%
%
%
%
%
%
Makro-Malware hat sich zum beliebtesten Angriffsweg entwickelt, denn sie kann eigenständige
Anti-Malware-Lösungen, die auf den meisten Computern installiert sind, problemlos umgehen.
Downloader gehörten zu den führenden Makro-Malware-Familien. Dies deutet möglicherweise
darauf hin, dass andere Malware sie zum Infizieren von Systemen nutzt.
20 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
„Der aktuelle Erfolg von Makro-Malware lässt sich möglicher­
weise auf ihre Verwendung von wirksamen Social-EngineeringKödern und die Tatsache zurückführen, dass sie leicht
verschleiert werden können. Sie sind außerdem in der Regel in
Office-Dateien eingebettet, die von den Anti-Malware-Lösungen
nachsichtiger behandelt werden. Makros können sogar über
Batch- und Skriptdateien aktiviert werden, die Anti-MalwareLösungen ebenfalls umgehen.“
– Anthony Melgarejo,
Threat Response Engineer
21 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Die zehn Jahre alte Sicherheitslücke FREAK
stellte neue Herausforderungen an die
Patch‑Verwaltung
FREAK und GHOST versetzten Anwender von gefährdeten Computern und
Anwendungen in Schrecken. Diese Sicherheitslücken stellten IT-Administra­
toren auf eine harte Probe, denn sie mussten auf verschiedenen gefährdeten
Plattformen und Geräten außerhalb des regulären Patch-Zyklus Patches
installieren. Es ist bereits jetzt absehbar, dass im Lauf dieses Jahres auf allen
Plattformen und Geräten neue angreifbare Schwachstellen auftreten werden.
FREAK (Factoring RSA Export Keys) ist eine im
Secure Sockets Layer (SSL)-Clients sind für
März dieses Jahres entdeckte Sicherheitslücke, die
Man-in-the-Middle
betroffene sichere Websites und Anwendungen
Betroffene Windows®-Anwender laufen Gefahr,
zwingt, eine schwächere Verschlüsselung zu
dem Diebstahl vertraulicher Daten zum Opfer
verwenden. Alle OpenSSL-Versionen vor 1.0.1k
zu fallen.20
(MitM)-Angriffe
anfällig.19
und Apple Transport Layer Security (TLS)/
Derzeit
gefährdet
Änderung seit
dem 3. März
HTTPS-Server unter den führenden 1 Million Alexa-Domain-Namen
8,5 %
Rückgang von 9,6 %
HTTPS-Server mit Zertifikaten, die der Browser als vertrauenswürdig
einstuft
6,5 %
Rückgang von 36,7 %
Alle HTTPS-Server
11,8 %
Rückgang von 26,3 %
Die Zahl von Servern, die von der Sicherheitslücke FREAK betroffen waren, ist zurückgegangen,
seit die Schwachstelle im März aufgedeckt wurde.21
GHOST, eine Pufferüberlauf-Sicherheitslücke in
anwendungen
behoben
werden,
bevor
sie
Linux™ (glibc- oder GNU C-Bibliotheksversionen
missbraucht werden können. Diese können nämlich
vor 2.2) trat ebenfalls erstmals im Januar dieses
geschäfts­
relevante Daten, die in möglicherweise
Jahres auf. Die Schwachstelle wird durch Aufrufen
gefährdeten Backend-Datenbanken gespeichert
bestimmter Funktionen in glibc ausgelöst, die die
sind, offenlegen.
Ausführung von willkürlichem Code ermöglichen.
Glücklicherweise kann diese Schwachstelle nicht
Trend Micro Deep Security-Daten zeigten, dass
so leicht ausgenutzt werden und nur eine sehr
Cross-Site-Scripting (XSS)- and SQL-Injection-
geringe Zahl von Systemen gefährden.22
Angriffe meist für Angriffe auf Webanwendungen
auf Unternehmensservern eingesetzt wurden.
Ähnlich wie client- und serverseitige Sicher­
Dieses Ergebnis wird durch Open Web Application
heits­
lücken müssen Schwachstellen in Web­
Security Project (OWASP)-Daten bestätigt.
22 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Die größten Schwachstellen in Webanwendungen,
die im 1. Quartal 2015 gefunden wurden
Stellt eine ernsthafte Bedrohung für alle datenbankbasierten Webanwendungen dar. Ursache liegt in
unzureichend oder nicht überprüften Eingaben, die von Anwendern über betroffene Webanwendungen in
Form von SQL-Befehlen an Datenbankserver weitergegeben werden. Kann Angreifern das Lesen, Ändern,
Ergänzen oder Löschen von Daten in Datenbanken ermöglichen und katastrophale Folgen haben.
KRITISCH
SQL Injection
Nicht persistentes XSS
Angreifer können bösartige Skripts (in der Regel auf Client-Seite) in Webanwendungen einschleusen. XSS
nutzt Anwendungen aus, die von Anwendern eingegebene Daten nicht prüfen, filtern oder verschlüsseln.
Häufig werden Opfer verleitet, auf legitim erscheinende Links zu klicken, die tatsächlich jedoch weitere
Daten bereitstellen, um Angriffe zu starten.
Nutzt unzureichende Sicherheitsvalidierungen in Webanwendungen aus; auch bekannt unter der
Bezeichnung „Dot Dot Slash“ oder „Directory Traversal“-Angriff. Angreifer können so durch Navigieren
der Dateisysteme von Servern über beschränkte Systempfade auf Dateien zugreifen.
HOCH
Path Traversal
Erkennung potenziell sensibler Ressourcen
Angreifer können auf Informationen zu Ressourcen zugreifen, die möglicherweise mit der Struktur
von Anwendungen verknüpft sind (alte Backups, Serverkonfiguration, Server-/Datenbankprotokolle,
Datenbankkonfiguration, Datenbankdumps, vertrauliche Anwendungsdateien usw.). So können noch
raffiniertere Angriffe durchgeführt werden.
Verzeichnisindizierung
Detaillierte Fehlermeldungen von Anwendungen
Ermöglicht Angreifern den Zugriff auf sensible Daten, darunter die interne Webanwendungslogik,
die Anwendern im Fall von Fehlern oder Ausnahmen in Webanwendungen angezeigt werden.
MITTEL
Betrifft Webserver, die beim Zugriff durch User-Agents die Indexseite ihres virtuellen Verzeichnisses/
Unterverzeichnisses anzeigen. Angreifer können weitere Angriffe durchführen, indem sie die
Verzeichnisstruktur und den Verzeichnisinhalt gefährdeter Webanwendungen analysieren oder
unbefugten Zugriff auf Verzeichnisdateien erlangen.
Übertragung sensibler Formulardaten ohne Secure Sockets Layer (SSL)
Ermöglicht Angreifern, auf sensible Daten zuzugreifen, die über Anwendungen ohne SSL-Verschlüsselung
übertragen werden.
Offenlegung des Quellcodes in Include-Dateien
Ermöglicht Angreifern, auf sensible Informationen zur Anwendungslogik in Quellcodes zuzugreifen
und diese zu missbrauchen.
Ursache hierfür ist die Generierung unerwarteter Ausgaben. Kann Angreifern einen Hinweis zu
Webroot-Ordnern usw. geben, mit dem sie individuelle Angriffe erstellen können, um Zugriff auf
interne Systemdateien zu erhalten.
Veröffentlichung interner IP-Adressen
Kann Informationen über das Vergabeschema interner Netzwerk-IP-Adressen offenlegen und damit
die Entwicklung individueller Angriffe ermöglichen.
Nicht persistentes XSS ist die gängigste Sicherheitslücke in Webanwendungen. Laut OWASP treten
XSS‑Sicherheitslücken immer dann auf, wenn eine Anwendung nicht vertrauenswürdige Daten akzeptiert
und an einen Webbrowser sendet, ohne diese eingehend zu prüfen. So ist es Angreifern möglich,
Anwender zum Klicken auf spezielle Links zu bewegen, über die bösartige Scripts ausgeführt werden.
23 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
NIEDRIG
Offenlegung lokaler Pfade
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Deep Security-Daten zeigten außerdem, dass in
Entwicklung von Websites konzipiert wurde und
zahlreichen Unternehmen Schwachstellen auf
gelegentlich als allgemeine Programmiersprache
PHP-Servern vorherrschten. Alle zehn führenden
eingesetzt wird. Die meisten dieser als „hoch“ bis
Serverschwachstellen standen mit der serverseitigen
„kritisch“ eingestuften Schwachstellen wurden in
PHP-Skriptsprache in Zusammenhang, die für die
den aktuellen PHP-Versionen behoben.
Die gängigsten Schwachstellen von Plattformen im 1. Quartal 2015
CVE-ID
Schwere­ Betroffene
grad
Software
Beschreibung
Lösung
CVE-20122688
Kritisch
PHP
Nicht spezifiziert
Upgrade auf PHP 5.3.15, 5.4.5
oder höher
CVE-20122376
Kritisch
PHP
Ermöglicht Angreifern, willkürlichen
Code auszuführen
Patches oder Upgrades
zum Schließen dieser
Sicherheitslücke wurden
noch nicht veröffentlicht.
CVE-20113268
Kritisch
PHP
Ermöglicht Angreifern, willkürlichen
Code auszuführen oder die betroffenen
Anwendungen zum Abstürzen zu
bringen
Upgrade auf PHP 5.3.7 oder
höher
CVE-20149427
Hoch
PHP
Ermöglicht Angreifern, die betroffenen
Anwendungen zum Abstürzen zu
bringen, vertrauliche Informationen
aus dem PHP-CGI-Prozessspeicher
abzurufen oder unerwarteten Code
auszuführen
Wenden Sie sich an den
Anwendungshersteller, um
Informationen zum Schließen
dieser Sicherheitslücke zu
erhalten.
CVE-20131635
Hoch
PHP
Ermöglicht Angreifern, beabsichtigte
Zugriffsbeschränkungen zu umgehen
Upgrade auf PHP 5.3.22,
5.4.13 oder höher
CVE-20111092
Hoch
PHP
Ermöglicht Angreifern, die betroffenen
Anwendungen zum Abstürzen zu
bringen
Upgrade auf PHP 5.3.6 oder
höher
CVE-20121823
Hoch
PHP
Ermöglicht Angreifern, willkürlichen
Code auszuführen
Upgrade auf PHP 5.4.2 oder
höher
CVE-20122311
Hoch
PHP
Ermöglicht Angreifern, willkürlichen
Code auszuführen
Upgrade auf PHP 5.3.13, 5.4.3
oder höher
CVE-20122386
Hoch
PHP
Ermöglicht Angreifern, die betroffenen
Anwendungen zum Abstürzen zu
bringen
Upgrade auf PHP 5.3.14, 5.4.4
oder höher
CVE-20111153
Hoch
PHP
Ermöglicht Angreifern, vertrauliche
Informationen abzurufen und Denialof‑Service (DoS)-Angriffe auszuführen
Upgrade auf PHP 5.3.6 oder
höher
PHP erwies sich im letzten Quartal als die am stärksten gefährdete Plattform. Verschiedene Versionen der
Skriptsprache wiesen Sicherheitslücken auf. Anwender und IT-Administratoren müssen dafür sorgen, dass ihre
Anwendungen auf dem neuesten Stand sind und dazu die aktuellen Patches installieren oder auf die neuesten
Versionen aktualisieren. Deep Security bietet Lösungen zum Schließen der entsprechenden Sicherheitslücken.
24 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Aufgrund der zunehmenden Zahl von Sicher­heits­
ist
lücken in Open-Source-Betriebs­
systemen und
Verantwortung beim Offenlegen oder Patchen
-Anwendungen wird es für IT-Administratoren
von Sicherheits­
lücken. Damit wird der Schutz
immer schwieriger, die hiermit verbundenen
aller potenziell gefährdeten Betriebs­systeme und
Risiken
Anwendungen erschwert.
einzudämmen.
Eine
Haupt­
ursache
möglicher­
weise
die
mangelnde
„Der FREAK-Angriff zeigte sehr deutlich, dass unsere Systeme
nie 100 % sicher sind. Ganz gleich welche Maßnahmen wir auch
treffen, überall lauern neue Gefahren. Ältere Systeme müssen
daher unbedingt auf den neuesten Stand gebracht werden.
Unternehmen müssen die Quellcodes von Anwendungen
verwahren, die speziell für sie konzipiert wurden. Wie
Heartbleed unterstreicht FREAK erneut die Unsicherheit von
OpenSSL. Hierbei handelt es sich um eine veraltete Technologie,
die durch verbesserte Verschlüsselungsbibliotheken ersetzt
werden muss. Unternehmen, die Open-Source-Software und
-Bibliotheken nutzen, müssen ihre Sicherheitsrichtlinien
überdenken und verschärfen. Sie sollten Sicherheitslösungen
verwenden, die unter anderem die IP- und Domain-Reputation
bewerten, den Netzwerkverkehr mit Systemen zur Erkennung
von Datensicherheitsverletzungen überwachen und bekannte
und unbekannte Bedrohungen mit Intrusion PreventionLösungen abwehren.“
– Pawan Kinger,
Director of Deep Security Labs
25 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
direkte
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Das Gesundheitswesen fiel massiven Sicherheits­
verletzungen zum Opfer, weitere Branchen
wurden durch PoS-Malware-Angriffe geschwächt
Trotz der riesigen Mengen vertraulicher Daten, die in den Netzwerken des
Gesundheitswesens gespeichert sind, sind leider allzu häufig laxe Sicherheits­
maßnahmen und das Fehlen branchenführender Sicherheitslösungen an
der Tagesordnung. Dies ist möglicherweise der Hauptgrund für die häufigen
Angriffe gegen diese Branche.
Führende Anbieter im Gesundheitswesen, wie
Premera Blue Cross und Anthem, fielen Daten­
sicherheits­
verletzungen zum Opfer, bei denen
Unbefugte im März dieses Jahres Zugriff auf
die finanziellen und medizinischen Daten von
mehreren Millionen Patienten erlangten.23 Von der
Sicherheits­verletzung bei Anthem waren Berichten
zufolge 80 Millionen Patienten und Mitarbeiter
betroffen.24 Bei einem im Januar dieses Jahres
entdeckten Angriff auf Premera Blue Cross wurden
die Daten von 11 Millionen Patienten für Unbefugte
zugänglich. Beide Vorfälle von unrechtmäßigem
Datenabfluss übertrafen den Angriff auf den
britischen National Health Service (NHS), bei
dem Unbefugte Zugriff auf über 8,6 Millionen
Patientenakten erlangten und der seit 2011 als
der am stärksten kompromittierte Anbieter im
Gesundheitswesen galt.25
Im Gesundheitswesen werden mehr Personendaten
gespeichert als in allen anderen Branchen. Die
Anbieter ergreifen in vielen Fällen allerdings nicht
die Sicherheitsmaßnahmen, mit denen diese Daten
effektiv geschützt werden können.26
Die namhaftesten unrechtmäßigen Datenabflüsse im Gesundheitswesen
zwischen 2009 und 2015
Virginia Department of Health | USA
National Health Services | GB
Patientendaten, Rezepte
Unverschlüsselte Patientendaten
2009
Verloren gegangene Daten: 8,3 Mio.
Verloren gegangene Daten: 8,6 Mio.
2010
Advocate Medical Group | USA
Namen, Adressen, Geburtsdaten,
Sozialversicherungsnummern
Community Health Systems | USA
2011
Im Lauf von fünf Jahren erfasste
Patientendaten, Namen, Anschriften,
Sozialversicherungsnummern
Verloren gegangene Daten: 4 Mio.
2012
Verloren gegangene Daten: 4,5 Mio.
Premera Blue | USA
2013
Anthem | USA
Namen, Geburtsdaten, E-Mail-Adressen,
Adressen, Telefonnummern, Sozialversicherungsnummern, Mitgliedsnummern,
Kontodaten, Informationen zu Versicherungsansprüchen, klinische Informationen
2014
2015
Verloren gegangene Daten: 11 Mio.
Namen, Geburtsdaten, Mitgliedsnummern, Sozialversicherungsnummern, Adressen, Telefonnummern, E-Mail-Adressen,
Beschäftigungsdaten
Verloren gegangene Daten: 80 Mio.
Die Anfang dieses Jahres enthüllten Fälle von unrechtmäßigem Datenabfluss bei Anthem und Premera richteten größere
Schäden an als vergleichbare Angriffe.27 Zur letzten Sicherheitsverletzung dieser Art kam es 2011, als Laptops des britischen
NHS, auf denen unverschlüsselte Patientenakten gespeichert waren, gestohlen wurden. (Hinweis: Hier wurden nur
Organisationen berücksichtigt, die einen Verlust von mindestens vier Millionen Patientenakten zu beklagen hatten.)
26 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Wie viele unrechtmäßige Datenabflüsse zwischen 2005 und 2014
betrafen das Gesundheitswesen?
10 %
14 %
14 %
15 %
2005
2006
2007
2008
14 %
25 %
24 %
36 %
2009
2010
2011
2012
44 %
43 %
2013
2014
Unrechtmäßige Datenabflüsse
im Gesundheitswesen
Die Zahl der Opfer von Datensicherheitsverletzungen in der Gesundheitsbranche hat sich 2014
im Vergleich zu 2005 fast vervierfacht. Dieser Sektor war zwischen 2012 und 2014
stärker betroffen als die Unternehmensbranche, das Militär und Regierungsbehörden.28
In der Einzelhandels- und Dienstleistungs­branche
Anwender fielen einer Reihe alter und neuer
nahmen Angriffe durch PoS-RAM-Scraper zu. Die
PoS-RAM-Scraper-Varianten
unzu­reichende Sicherheit von PoS-Systemen führte
vergangenen Februar reihte sich FighterPoS in die
dazu, dass RAM-Scraper erstmals in Netzwerke
Gruppe berüchtigter PoS-Malware ein. Daneben
eindringen konnten. Zur Durch­führung gezielter
trieb die seit Langem bekannte Malware BlackPOS
Angriffe sind sie jedoch nur beschränkt geeignet.
weiterhin in Unternehmen ihr Unwesen und war
PoS-Malware
für einen Großteil der Infektionen insgesamt
brachte
riesiger Gewinne ein.
Angreifern
umgehend
zum
Opfer.
zuständig.29
27 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
Im
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Zahl der durch PoS-RAM-Scraper infizierten Systeme
116
259
300
120
86
65
156
124
150
123
60
73
0
Q1
2014
Q2
Q3
Q4
Q1
0
JAN.
FEB.
MRZ.
2015
Seit PoS-RAM-Scraper im vergangenen Jahr erstmals nachverfolgt wurden, hat sich ihre Zahl verdoppelt. Dies ist
möglicherweise auf die Optimierung vorhandener PoS-Malware, wie beispielsweise BlackPOS, zurückzuführen.30
Die Länder, die im 1. Quartal 2015 die höchste Zahl
von PoS-RAM-Scraper-Infektionen meldeten
USA
Australien
Taiwan
Österreich
Italien
Brasilien
Kanada
Philippinen
Frankreich
Japan
Sonstige
23
10
8
7
5
4
4
4
3
2
30
%
%
%
%
%
%
%
%
%
%
%
Die Vereinigten Staaten verzeichneten aufgrund der beträchtlichen Zahl
potenzieller Opfer das höchste Aufkommen an PoS-Malware-Angriffen.
80 % der US-Bürger zahlen regelmäßig mit Karte statt in bar.31
28 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Die gängigsten PoS-RAM-Scraper-Familien im 1. Quartal 2015
POCARDL
DEXTR
POSLOGR
POSNEWT
JACKPOS
POCARDLER
POSLUSY
ALINAOS
POSHOOK
ALINA
Sonstige
20
14
11
7
7
6
6
5
5
5
14
%
%
%
%
%
%
%
%
%
%
%
POCARDL, eine Malware die erstmals im Oktober 2012 entdeckt wurde und Kreditkartendaten stiehlt,
erwies sich in den ersten drei Monaten von 2015 als die gefährlichste PoS-RAM-Scraper-Familie.32
„Die Sicherheitsbranche wird sich künftig verstärkt mit
PoS‑Malware auseinandersetzen müssen, ebenso wie mit
Scareware, FAKEAV und Ransomware. Dies trifft insbesondere
auf Länder wie die USA zu, in denen die meisten Menschen mit
Karte bezahlen.“
– Jay Yaneza,
Cyberthreat Researcher
29 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Alte Angreifer feierten ein Comeback mit neuen
Tools, Taktiken und Verfahren für gezielte Angriffe
Rocket Kitten und die Hintermänner von Operation Pawn Storm nahmen neue
Zielgruppen ins Visier und machten deutlich, dass gezielte Angriffe nach wie
vor aktuell sind und sich weiterentwickeln.
Operation Pawn Storm, eine laufende Kampagne,
und
eine
gefälschte
Version
die wirtschaftlichen und auch politischen Zwecken
(IOS_‌XAGENT.B) – die mit SEDNIT-Varianten
dient, nutzte ungeschützte iOS™-Geräte aus, um
auf Windows-Computern vergleichbar sind.
in die gewünschten Netzwerke einzudringen.33
Parallel mit der kontinuierlichen Verbesserung
Pawn Storm war zwar nicht die erste Kampagne,
gezielter Angriffe optimierte die Gruppe Rocket
die gezielte Angriffe mithilfe mobiler Malware
Kitten ihre Tools, Taktiken und Verfahren.34
ausführte, nahm aber erstmals gezielt iOS-
Die für die Kampagne verantwortlichen Täter
Geräte ins Visier. Die Angreifer verwendeten zwei
missbrauchten
bösartige iOS-Apps – XAgent (IOS_XAGENT.A)
WOOLERG-Keyloggern.
OneDrive®
von
zum
MadCap
Hosten
von
Namhafte, gezielte Angriffe auf mobile Geräte seit 2011
Pawn Storm
Diese Kampagne steht in Verbindung mit 90 Angriffen gegen eine Reihe von Branchen und/oder
Communities in Japan und Indien. Sie verwendete dazu Remote-Access-Tools (RAT)-ähnliche Android™Malware, die Daten sammelte und Dateien auf infizierte Geräte hoch- bzw. von diesen herunterlud.
Diese Kampagne zielte auf tibetanische und Uyghur-Menschenrechtsaktivisten ab. Sie nutzte ungeschützte
Windows- und Mac OS X-Systeme mithilfe von Social-Engineering-Taktiken aus und verbreitete
ANDROIDOS_CHULI.A über die gehackten E-Mail-Konten der Aktivisten.
2013
Chuli
2012
Luckycat
2011
Diese Kampagne führt Spionageangriffe zu wirtschaftlichen und politischen Zwecken aus, die von einer
Gruppe von Angreifern initiiert werden und sich hauptsächlich gegen das Militär, Botschaften und die
Rüstungsindustrie der Vereinigten Staaten und ihrer Verbündeten richtet. Bei dieser Kampagne wurden
die Zielnetzwerke erstmals mit spezieller iOS-Malware infiltriert.
Xsser mRAT
Regin
Diese Kampagne nahm Behörden, Finanzinstitute, Telekommunikationsanbieter, Forschungsgesellschaften
und weitere Organisationen in verschiedenen Ländern ins Visier und missbrauchte Global System for
Mobile Communications (GSM)-Basisstation-Controller, um Anmeldeinformationen zu erfassen, mit
denen das GSM-Netzwerk von Ländern im Nahen Osten manipuliert werden konnte.
Angreifer visieren mobile Geräte an, weil diese stark verbreitet sind.
Aufgrund des Bring-Your-Own-Device (BYOD)-Trends können riskante Gewohnheiten
auf privaten Geräten ganz leicht auch Sicherheitsrisiken für den Arbeitsplatz bedeuten.35
30 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
2014
Diese Kampagne wurde vermutlich von Chinesisch sprechenden Angreifern gegen chinesische
Protestanten geführt. Die plattformübergreifende Malware, Xsser mRAT (ANDROIDOS_Code4HK.A),
infizierte Android- und iOS-Geräte. ANDROIDOS_Code4HK.A machte die SMS-, E-Mail- und Instant
Messages, Standortdaten, Benutzernamen und Kennwörter, Anrufprotokolle und Adressbücher der Opfer
für Unbefugte zugänglich.
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Wie Pawn Storm-Angreifer die Sicherheitsmaßnahmen
für Unternehmen im App Store umgingen
Angreifer entwickeln Malware,
die mit einem Unternehmenszertifikat signiert ist.
Angreifer hosten die Malware auf
einem Server und nutzen
ITMS-Services, um einen
Installationslink zu generieren.
An die Zielpersonen wird ein
Link gesendet, der diese über
raffinierte Social-EngineeringTaktiken dazu verleitet, auf den
Link zu klicken.
Daraufhin wird Malware
installiert.
Es ist bisher nicht klar, auf welche Weise die XAgent-Malware installiert wird.
Sie kann jedoch auch Geräte ohne Jailbreak infizieren, sofern die Träger-Apps
mit dem Unternehmenszertifikat von Apple signiert wurden.
Social-Engineering-Köder erhöhen ebenfalls das Risiko einer Geräteinfektion.
31 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Exploit-Kits werden immer raffinierter
Exploit-Kits werden fortlaufend durch Exploits für eine ständig zunehmende
Anzahl an Sicherheitslücken ergänzt. Sie erfreuen sich daher zunehmender
Beliebtheit unter Angreifern, die ständig auf der Suche nach dem besten
Preis-Leistungs-Verhältnis sind. Ihr Anteil an den Malvertising-Angriffen
im vergangenen Quartal demonstrierte eine weitere brauchbare Methode
zum Bereitstellen von Exploits.
Über 70 Exploit-Kits sind in der Lage, mehr
dagegen das Exploit-Kit „Nuclear“ am häufigsten
als 100 Sicherheitslücken auszunutzen.
zum Einsatz.
36
Seit
der Verhaftung von Paunch Ende 2013 ist die
Anzahl der verwendeten Exploit-Kits deutlich
Die Angreifer konzentrierten sich insbesondere auf
zurückgegangen. Ihr rückläufiges Aufkommen
Japan und führten eine Reihe von Malvertising-
wird jedoch durch ihre ausgeklügelte Technologie
Angriffen aus, die es speziell auf japanische
mehr
Anwender abgesehen hatten.37
als
wettgemacht.
Exploit-Kits
werden
fortlaufend aktualisiert, damit sie immer mehr
Sicherheitslücken ausnutzen können.
Beim
oben
erwähnten
Wie schon in der Vergangenheit beinhalteten
die beliebtesten Kits Exploits für Adobe Flash
Zero-Day-Angriff
auf
und Internet Explorer. Dies ist wahrscheinlich
Adobe Flash wurde beispielsweise das Exploit-Kit
auf die riesige Anwenderbasis dieser Software
„Hanjuan“ eingesetzt. Im ersten Quartal 2015 kam
zurückzuführen.
In Exploit-Kits verwendete Sicherheitslücken
Nuclear
Internet
Explorer
CVE-2013-2551
Microsoft
Silverlight®
CVE-2013-0074
Adobe
Flash
CVE-2014-0515
CVE-2014-0569
CVE-2014-8439
CVE-2015-0311
Adobe
Acrobat®
Reader
CVE-2010-0188
Oracle
JavaTM
CVE-2012-0507
XMLDOM
ActiveX
CVE-2013-7331
Sweet
Orange
CVE-2013-2551
CVE-2014-0322
CVE-2014-6332
CVE-2014-0515
CVE-2014-0569
FlashPack
CVE-2013-2551
CVE-2013-3918
CVE-2014-0322
CVE-2013-0634
CVE-2014-0497
CVE-2014-0515
CVE-2014-0569
Rig
Angler
CVE-2013-2551
CVE-2013-2551
CVE-2013-0074
CVE-2013-0074
CVE-2014-0569
CVE-2015-0311
CVE-2014-0515
CVE-2014-0569
CVE-2015-0311
Magnitude
CVE-2013-2551
CVE-2014-0515
Fiesta
Styx
CVE-2013-2551
CVE-2013-2551
CVE-2013-0074
CVE-2013-0074
CVE-2014-0497
CVE-2014-0569
CVE-2015-0311
CVE-2014-0515
Hanjuan
CVE-2015-0313
CVE-2010-0188
CVE-2013-2460
CVE-2013-5471
CVE-2013-2465
CVE-2013-7331
CVE-2013-7331
CVE-2012-0507
CVE-2014-2465
CVE-2013-7331
Adobe Flash-Exploits waren in allen Kits enthalten, die im ersten Quartal 2015
bei den wichtigsten Angriffen verwendet wurden.
32 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Häufigkeit, mit der im 4. Quartal 2014 und im 1. Quartal 2015
auf Exploit-Kit-Server zugegriffen wurde
Sweet
Orange
Angler
Magnitude
Rig
Nuclear
Neutrino
Fiesta
Hanjuan
Gesamt
Q4
2014
1.077.223 363.982
155.816
140.604
14.671
26.943
25.133
Keine Daten
1.804.372
vorhanden
Q1
2015
264.897 590.063
255.593
42.424
740.037
321.712
61.952
103.924 2.380.602
-69,8 % 4.944,2 %
1.094 %
146,5 %
Anstieg
-75,4 %
62,1 %
64,0 %
Keine Daten
vorhanden
Exploit-Kits, auf die Anwender im 1.Quartal 2015 am häufigsten zugriffen
Nuclear
Angler
Neutrino
Sweet Orange
Magnitude
Hanjuan
Fiesta
Rig
31
25
13
11
11
4
3
2
%
%
%
%
%
%
%
%
In diesem Quartal verzeichneten Angriffe durch Exploit-Kits einen Anstieg von 30 %. Das NuclearExploit-Kit hatte die größte Zahl von Anwendertreffern, was sich wahrscheinlich durch die damit in
Verbindung stehenden Malvertising-Angriffe erklärt. Der Rückgang bei den Treffern des Exploit-Kits
„Sweet Orange“ ist dagegen möglicherweise auf die Säuberungsaktionen zurückzuführen, die gewisse
Anzeigennetzwerke auf ihren Plattformen vornahmen, um Malvertising abzuwehren.
33 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
31,9 %
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Die am schwersten von Exploit-Kit-Angriffen betroffenen Länder
Japan
52 %
USA
31 %
Australien
5%
Kanada
1%
Dänemark
1%
Frankreich
1%
Vereinigtes Königreich 1 %
Italien
1%
Brasilien
1%
Spanien
1%
Sonstige
5%
Ein Grund, warum Japan so massiv betroffen war, ist möglicherweise mit der Serie
von Malvertising-Angriffen mittels Exploit-Kits zu erklären, die Anfang dieses Jahres
insbesondere japanische Anwender ins Visier nahmen.
Obwohl im letzten Quartal weniger neue Exploit-Kits veröffentlicht wurden, spielen sie weiterhin eine
wichtige Rolle. Ist dies die Ruhe vor dem Sturm? Halten sich die Entwickler von Exploit-Kits zurück, um ihre
Kampagnen zu optimieren, bevor sie den nächsten Angriff starten?
Bekannte tägliche Exploit-Kit-Aktivität im 1. Quartal 2015
5
100.000
Nuclear
Angler
4
Neutrino
Sweet Orange
2
50.000
Magnitude
Hanjuan
3
Fiesta
1
Rig
0
JAN.
FEB.
MRZ.
(Hinweis: Die Spitzen im obigen Diagramm entsprechen den nummerierten Details weiter unten.)
Von AOL ergriffene Maßnahmen zur Entfernung von Malvertising-Angriffen von der Plattform, hatten einen
Rückgang der Aktivitäten des Exploit-Kits „Sweet Orange“ zur Folge (1). Mit Angler (2 und 4) und Hanjuan (2)
wurden Computer von Ende Januar bis Anfang Februar mit Zero-Day-BEDEP-Malware infiziert.
Dies führte zu häufigeren Zugriffen auf ihre Server. Das Nuclear-Exploit-Kit (3 und 5) wurde im ersten Quartal
für einen Malvertising-Angriff auf pornografischen Websites verwendet.
34 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
„Immer mehr Exploit-Angriffe nutzen Malvertising statt
die Infektion von Websites oder Spam-E-Mails. Durch den
Missbrauch legitimer Anzeigennetzwerke konnten die Angreifer
ihre böswilligen Absichten erfolgreich vertuschen. Sie arbeiten
kontinuierlich an der Optimierung ihrer Tools und Taktiken,
um die Effektivität ihrer Kampagnen zu steigern und ihre
Geschäfte auszubauen. Im Verlauf von 2015 werden mit großer
Wahrscheinlichkeit weitere derartige Angriffe erfolgen.“
– Joseph C. Chen,
Engineer
35 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Überblick über die Bedrohungslandschaft
Im Vergleich zum vierten Quartal 2014 war
von Geräten abwehrten, stiegen Spam-E-Mails
die
Bedrohungen
sprunghaft an. Daraus lässt sich möglicherweise
insgesamt rückläufig. Im Gegensatz zu der
schließen, dass E-Mail ein trauriges Comeback
geringeren Zahl bösartiger Domains, die wir für
feiert:
den Anwenderzugriff gesperrt haben, und dem
Verbreitung älterer Bedrohungen wie Makro-
Aufkommen an Malware, die wir vor der Infektion
Malware auf ungeschützten Computern.
Anzahl
der
gemeldeten
Gesamtzahl der abgewehrten
Bedrohungen im 1. Quartal 2015
als
beliebtester
Infektionsweg
zur
Trend Micro-Erkennungsrate:
Zahl der pro Sekunde abgewehrten
Bedrohungen im 1. Quartal 2015
2.000/Sek.
6 Mrd.
1.931
5,2
Mrd.
5
Mrd.
3,9
Mrd.
3 Mrd.
1.858
1.595
1.000/Sek.
0
0
JAN.
FEB.
MRZ.
Im vergangenen Quartal haben wir pro Monat
durchschnittlich 4,7 Milliarden Bedrohungen
abgewehrt. Dies ist ein Anstieg um 1,5 Milliarden
im Vergleich zur Zahl der Bedrohungen im letzten
Quartal 2014.
JAN.
FEB.
MRZ.
Wir wehrten im vergangenen Quartal durchschnittlich
1.800 Bedrohungen pro Sekunde ab. Dies entspricht
einem Anstieg um 600 Bedrohungen pro Sekunde.
Im vorherigen Quartal betrug die Zahl der
Bedrohungen lediglich 1.200 pro Sekunde.
36 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Zahl der als Spam abgewehrten
E-Mail-Reputationsabfragen
im 1. Quartal 2015
Zahl der abgewehrten
Anwenderbesuche auf bösartigen
Websites im 1. Quartal 2015
350 Mio.
5 Mrd.
4,6
Mrd.
315
Mio.
4,1
Mrd.
236
Mio.
3,3
Mrd.
2,5 Mrd.
252
Mio.
175 Mio.
0
0
JAN.
FEB.
JAN.
MRZ.
Wir verhinderten, dass insgesamt 12 Milliarden
E-Mails, die von Spam versendenden IP-Adressen
stammten, den Posteingang von Anwendern
erreichten.
FEB.
MRZ.
Im vergangenen Quartal riefen Anwender über
800 Millionen bösartige Websites auf. Dabei wurden
in jedem Folgemonat höhere Zahlen verzeichnet.
Zahl der abgewehrten bösartigen Dateien im 1. Quartal 2015
600 Mio.
522
Mio.
300 Mio.
361
Mio.
351
Mio.
JAN.
FEB.
0
MRZ.
Im letzten Quartal verhinderten wir die Infektion von Geräten durch
mehr als eine Milliarde bösartige Dateien. Im Vergleich zum Februar
hat sich die Anzahl der Malware-Angriffe im März verdoppelt.
37 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Die
KRYPTIK-Familie
haupt­
sächlich
von
Privatanwender
Trojanern,
betraf,
die
nahm
Ein Großteil der Domains, die wir im vergangenen
Quartal
für
den
Anwenderzugriff
gesperrt
im vergangenen Quartal ihren Platz unter den
haben, war mit Adware verbunden. Dies steht
gängigsten
Diese
möglicherweise im Zusammenhang mit dem
Trojaner, die Anwender in der Vergangenheit durch
sprunghaften Anstieg von Malvertising-Angriffen.
angezeigte
einschüchterten,
Adware führt im Übrigen auch die Liste der
versuchen weitere bösartige Dateien auf bereits
häufigsten Bedrohungen für mobile Geräte an.
infizierte Computer herunterzuladen. Dennoch
Insgesamt haben wir bisher über 5 Millionen
behaupteten
Bedrohungen gegen Android-Geräte verzeichnet
Malware-Programmen
Warnmeldungen
SALITY
und
ein.
DOWNAD
Führungspositionen.
ihre
und damit die für 2015 prognostizierte Gesamtzahl
von 8 Millionen schon fast erreicht.
Die gängigsten bösartigen Domains, die im 1. Quartal 2015 gesperrt wurden
Domain
Grund für Sperrung
files-download-131.com
Lädt potenziell unerwünschte Dateien (Potentially
Unwanted Files, PUAs) herunter38
enhizlitakip.com
Steht mit einem türkischen Betrug zu Twitter-Followern
in Verbindung
cnfg.toolbarservices.com
Steht mit Adware in Verbindung, die sich als Browser­
symbolleiste ausgibt
s.trk-u.com
Steht mit Adware in Verbindung, die sich als Browser­
symbolleiste ausgibt
s.ad120m.com
Website, mit der eine TROJ_GEN-Variante kommuniziert
sso.anbtr.com
Website, mit der PE_SALITY.RL kommuniziert
f0fff0.com
Öffnet Popup-Seiten, die Adware herunterladen
fa8072.com
Öffnet Popup-Seiten, die Adware herunterladen
creative.ad120m.com
Website, mit der eine TROJ_GEN-Variante kommuniziert
lovek.info
Steht mit Klickbetrug in Verbindung
Die meisten bösartigen Domains, die wir im vergangenen Quartal
für den Anwenderzugriff gesperrt haben, standen mit Adware
und anderen betrügerischen Machenschaften in Verbindung.
38 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Die Länder, die im 1. Quartal 2015 die höchste Zahl bösartiger URLs hosteten
USA
29 %
Niederlande
7%
China
6%
Russland
3%
Costa Rica
2%
Deutschland
1%
Vereinigtes Königreich 1 %
Portugal
1%
Japan
1%
Südkorea
1%
Sonstige
48 %
Die USA führen weiterhin die Liste von Ländern an, die bösartige URLs hosten.
Frankreich und Ungarn wurden aus der Liste durch Costa Rica und Portugal verdrängt.
Die Länder, die die höchste Zahl von Anwendern meldeten,
die im 1. Quartal 2015 auf bösartige URLs geklickt haben
USA
Japan
Australien
Taiwan
Indien
China
Frankreich
Deutschland
Kanada
Italien
Sonstige
33
24
5
4
3
3
3
2
2
2
19
%
%
%
%
%
%
%
%
%
%
%
Die USA führen nicht nur weiterhin die Liste der Länder an, die bösartige URLs hosten, sondern
verzeichneten auch die höchste Zahl von Anwendern, die auf bösartige Links klickten.
39 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Die gängigsten Spam-Sprachen im 1. Quartal 2015
Englisch
Chinesisch
Deutsch
Japanisch
Russisch
Portugiesisch
Spanisch
Polnisch
Französisch
Italienisch
Sonstige
84,49
1,86
1,27
1,15
0,70
0,61
0,54
0,43
0,38
0,09
8,48
%
%
%
%
%
%
%
%
%
%
%
Englisch ist auch weiterhin die in Spam-E-Mails am häufigsten verwendete Sprache.
Die häufigsten Ursprungsländer von Spam im 1. Quartal 2015
USA
Russland
China
Japan
Vietnam
Italien
Spanien
Argentinien
Iran
Deutschland
Sonstige
16
5
5
5
5
4
4
4
3
3
46
%
%
%
%
%
%
%
%
%
%
%
Da die meisten Spam-E-Mails auf Englisch verfasst werden, überrascht es nicht, dass die USA auch
die Liste der Länder anführen, die Spam-E-Mails versenden. Der Iran nahm den Platz der Ukraine ein.
40 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Die gängigsten Malware-Familien im 1. Quartal 2015
Malware-Name
Aufkommen
SALITY
86.000
DOWNAD
83.000
KRYPTIK
71.000
BROWSEVIEW
69.000
GAMARUE
65.000
DUNIHI
49.000
VIRUX
42.000
UPATRE
41.000
FORUCON
39.000
RAMNIT
29.000
Die gängigsten Malware-Familien nach Segment im 1. Quartal 2015
Segment
Großunternehmen
Kleine und
mittelständische
Unternehmen
Privatanwender
Malware-Name
Aufkommen
DOWNAD
62.000
SALITY
35.000
DUNIHI
29.000
DOWNAD
12.000
DLOADR
11.000
UPATRE
10.000
KRYPTIK
61.000
GAMARUE
38.000
SALITY
36.000
Obwohl sich KRYPTIK im vergangenen Quartal zu einer der führenden Malware-Programme entwickelt
hat, konnte es die beiden Spitzenreiter, SALITY und DOWNAD, nicht von Platz 1 und 2 verdrängen.
41 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Die gängigsten Adware-Familien im 1. Quartal 2015
Malware-Name
Aufkommen
OPENCANDY
454.000
DEALPLY
224.000
MYPCBACKUP
183.000
MYPCBaACKUP
142.000
PULSOFT
122.000
TOMOS
113.000
MULTIPLUG
109.000
INSTALLCORE
102.000
ELEX
90.000
SPROTECT
67.000
Die gängigsten Adware-Familien nach Segment im 1. Quartal 2015
Segment
Großunternehmen
Kleine und
mittelständische
Unternehmen
Privatanwender
Malware-Name
Aufkommen
OPENCANDY
68.000
DEALPLY
46.000
TOMOS
18.000
OPENCANDY
29.000
DEALPLY
23.000
MYPCBACKUP
8.000
OPENCANDY
346.000
MYPCBACKUP
156.000
DEALPLY
135.000
Die gängige Adware OPENCANDY stand in der Liste der Verursacher von Geräteinfektionen
in den verschiedensten Anwendersegmenten konsistent an erster Stelle.
42 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Die gängigsten Android-Malware-Familien im 1. Quartal 2015
Danpay
Inoco
Youm
Agent
AdultPlayer
Jxt
Gexin
Guidead
AppInst
FakeApp
Sonstige
14
12
6
6
4
4
2
2
1
1
48
%
%
%
%
%
%
%
%
%
%
%
Danpay galt im vergangenen Quartal als die berüchtigtste Familie von Android-Malware.
Ihre Routinen umfassen den Zugriff auf C&C-Server, wo sie bösartige Befehle abwarten,
während sie im Hintergrund weitere Apps auf bereits infizierte Geräte herunterladen.
Die gängigsten Android-Adware-Familien im 1. Quartal 2015
AdLeak
Igexin
AdFeiwo
Noiconads
FeiwoDown
Appquanta
Arpush
RevMob
SnailCut
GoYear
Sonstige
8
7
6
5
5
4
4
4
3
3
51
%
%
%
%
%
%
%
%
%
%
%
AdLeak, ein allgemeiner Malware-Name von Trend Micro für Apps, die die Privatsphäre
von Anwendern bedrohen, führte im letzten Quartal die Liste mobiler Adware an.
43 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Die gängigsten Arten von Bedrohungen für Android-Geräte im 1. Quartal 2015
50 %
48 %
25 %
18 %
14 %
14 %
4%
2%
0
ADWARE
DATENDIEBSTAHL
PAYWARE
MISSBRAUCH
BÖSARTIGE
SONSTIGE
VON BEZAHL- DOWNLOADER
DIENSTEN
Adware stellte auch weiterhin die gängigste Bedrohung für Android-Geräte dar.
Payware bezieht sich auf PUAs, die Anwender dazu verleiten, betrügerische Gebühren
oder Kosten zu zahlen. PUAs sind nicht von Natur aus schadhaft, verfügen jedoch unter Umständen
über Funktionen, die die Datensicherheit von Anwendern oder ihr mobiles Erlebnis beeinträchtigen können.
Anstieg von Android-Bedrohungen im 1. Quartal 2015
5,4 Mio.
6 Mio.
4,9 Mio.
3,8 Mio.
4,1 Mio.
4,3 Mio.
4,6 Mio.
3 Mio.
0
OKT.
2014
NOV.
DEZ.
JAN.
2015
FEB.
MRZ.
Bei einem Großteil der im vergangenen Quartal identifizierten Android-Bedrohungen handelte es sich um PUAs.
44 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Die Länder mit der höchsten Zahl von C&C-Servern im 1. Quartal 2015
USA
29 %
Ukraine
9%
Deutschland
7%
Russland
7%
Frankreich
4%
Vereinigtes Königreich 4 %
Niederlande
4%
China
3%
Südkorea
3%
Portugal
2%
Sonstige
28 %
C&C-Server fanden weite Verbreitung in Ländern wie den USA, der Ukraine und Deutschland.
Angreifer müssen nicht unbedingt in diesen Ländern ansässig sein, um auf die C&C-Server
zugreifen zu können, da diese remote verwaltet werden können. Die meisten Länder in dieser
Liste sind auch in der Liste der Länder enthalten, die bösartige URLs hosten.
Dies deutet möglicherweise auf einen Missbrauch von Hosting-Services
und -Infrastrukturen in diesen Ländern hin.
Die Länder mit der höchsten Zahl von C&C-Serververbindungen im 1. Quartal 2015
USA
Japan
Australien
Taiwan
Deutschland
Indien
Kanada
Frankreich
Malaysia
Italien
Sonstige
51
9
5
4
4
4
2
2
2
1
16
%
%
%
%
%
%
%
%
%
%
%
Die USA meldeten die höchste Zahl von C&C-Serververbindungen. Zufällig führten sie
außerdem die Liste der Länder mit den meisten Anwenderklicks auf bösartige URLs an.
Dies könnte bedeuten, dass die meisten gemeldeten Zugriffsversuche
auf Botnetz-Operationen zurückzuführen sind.
45 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Die Malware-Familien mit der höchsten Zahl an verbundenen C&C-Servern
im 1. Quartal 2015
1.500
1.316
750
745
385
379
TROJAN
GOZEUS
348
0
CRILOCK
DUNIHI
ZEUS
Varianten der Ransomware CRILOCK waren im vergangenen Quartal für die höchste Zahl
von Zugriffen auf C&C-Server verantwortlich.
Die Malware-Familien mit der höchsten Zahl von Opfern im 1. Quartal 2015
350.000
349.000
379
175.000
36.000
31.000
PUSHDO/
WIGON
CLACK
18.000
0
POWELIKS
BADUR
POWELIKS verzeichnete im vergangenen Quartal die höchste Zahl von Opfern. Dies ist möglicherweise auf ihren
Tarnmechanismus zurückzuführen, durch den diese Malware in infizierten Systemen unerkannt bleibt.
46 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
Literaturhinweise
1.
U.S. Senate Committee on Homeland Security & Governmental Affairs. (14. Mai 2014). U.S. Senate Committee on Homeland
Security & Governmental Affairs. „Permanent Subcommittee on Investigations Releases Report: ‚Online Advertising and Hidden
Hazards to Consumer Security and Data Privacy.‘“ Letzter Zugriff am 7. Mai 2015, http://www.hsgac.senate.gov/media/permanentsubcommittee-on-investigations-releases-report-online-advertising-and-hidden-hazards-to-consumer-security-and-data-privacy.
2.
Brooks Li und Joseph C. Chen. (16. März 2015). TrendLabs Security Intelligence Blog. „Exploit Kits and Malvertsing: A Troublesome
Combination.“ Letzter Zugriff am 16. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/exploit-kits-and-malvertising-atroublesome-combination/.
3.
Peter Pi. (2. Februar 2015). TrendLabs Security Intelligence Blog. „Trend Micro Discovers New Adobe Flash Zero-Day Exploit
Used in Malvertisements.“ Letzter Zugriff am 16. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/trend-microdiscovers-new-adobe-flash-zero-day-exploit-used-in-malvertisements/.
4.
Alvin Bacani. (5. Februar 2015). TrendLabs Security Intelligence Blog. „BEDEP Malware Tied to Adobe Zero Days.“ Letzter Zugriff
am 16. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/bedep-malware-tied-to-adobe-zero-days/.
5.
Trend Micro Incorporated. (20. Februar 2015). TrendLabs Security Intelligence Blog. „Superfish Adware in Lenovo Consumer
Laptops Violates SSL, Affects Companies via BYOD.“ Letzter Zugriff am 16. April 2015, http://www.trendmicro.com/vinfo/us/security/
news/cybercrime-and-digital-threats/superfish-adware-in-lenovo-consumer-laptops-violates-ssl.
6.
Lenovo. (19. Februar 2015). Lenovo. „Lenovo Statement on Superfish.“ Letzter Zugriff am 16. April 2015, http://news.lenovo.com/
article_display.cfm?article_id=1929.
7.
Vangie Beal. (2015). Webopedia. „Bloatware.“ Letzter Zugriff am 20. April 2015, http://www.webopedia.com/TERM/B/bloatware.html.
8.
Seven Shen. (2. April 2015). TrendLabs Security Intelligence Blog. „The Fine Line Between Ad and Adware: A Closer Look at the
MDash SDK.“ Letzter Zugriff am 16. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/the-fine-line-between-ad-andadware-a-closer-look-at-the-mdash-sdk/.
9.
Trend Micro Incorporated. (13. Februar 2013). TrendLabs Security Intelligence Blog. „Key Figure in Police Ransomware Activity
Nabbed.“ Letzter Zugriff am 23. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/key-figure-in-police-ransomwareactivity-nabbed-2/.
10. David
John
Agni.
(2015).
Bedrohungsenzyklopädie.
„TROJ_CRYPFORT.A.“
Letzter
Zugriff
am
16. April 2015,
http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPFORT.A.
11. Francis Xavier Antazo. (2015). Bedrohungsenzyklopädie. „PHP_CRYPWEB.A.“ Letzter Zugriff am 16. April 2015,
http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/PHP_CRYPWEB.A.
12. Anthony Joe Melgarejo. (1. April 2015). TrendLabs Security Intelligence Blog. „Crypto-Ransomware Sightings and Trends for
1Q 2015“ Letzter Zugriff am 16. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/crypto-ransomware-sightings-andtrends-for-1q-2015/.
13. David John Agni. (2015). Bedrohungsenzyklopädie. „TROJ_CRYPTESLA.A.“ Letzter Zugriff am 16. April 2015,
http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPTESLA.A.
14. Shirley Siluk. (13. April 2015). CIO Today. „Ransomware Hackers Hitting Police Departments.“ Letzter Zugriff am 16. April 2015,
http://www.cio-today.com/article/index.php?story_id=033001297WKR.
15. Maydalene Salvador. (24. März 2015). TrendLabs Security Intelligence Blog. „Makro-Based Malware Increases Along with Spam
Volume, Now Drops BARTALEX.“ Letzter Zugriff am 16. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/macrobased-malware-increases-along-with-spam-volume-now-drops-bartalex/.
16. Trend Micro Incorporated. (16. Februar 2015). TrendLabs Security Intelligence Blog. „Banking Malware VAWTRAK Now Uses
Malicious Macros, Abuses Windows PowerShell.“ Letzter Zugriff am 17. April 2015, http://blog.trendmicro.com/trendlabs-securityintelligence/banking-malware-vawtrak-now-uses-malicious-macros-abuses-windows-powershell/.
17. Rhena Inocencio. (5. November 2014). TrendLabs Security Intelligence Blog. „Banking Trojan DRIDEX Uses Macros for Infection.“
Letzter Zugriff am 6. Mai 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/banking-trojan-dridex-uses-macros-for-infection/.
47 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
18. Joie Salvio. (19. November 2014). TrendLabs Security Intelligence Blog. „ROVNIX Infects Systems with Password-Protected
Macros.“ Letzter Zugriff am 6. Mai 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/rovnix-infects-systems-with-passwordprotected-macros/.
19. Trend Micro Incorporated. (4. März 2015). TrendLabs Security Intelligence Blog. „FREAK Vulnerability Forces Weaker Encryption.“
Letzter Zugriff am 17. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/freak-vulnerability-forces-weaker-encryption/.
20. Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Cédric Fournet, Markulf Kohlweiss, Alfredo Pironti, Pierre-Yves Strub, Santiago
Zanella-Béguelin, Jean-Karim Zinzindohoué und Benjamin Beurdouche. (2015). MiTLS. „SMACK: State Machine AttaCKs.“ Letzter
Zugriff am 17. April 2015, https://www.smacktls.com/#freak.
21. Tracking the FREAK Attack.“ (2015). Letzter Zugriff am 30. April 2015, https://freakattack.com/.
22. Pawan Kinger. (28. Januar 2015). TrendLabs Security Intelligence Blog. „Not So Spooky: Linux ‘GHOST’ Vulnerability.“ Letzter
Zugriff am 17. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/not-so-spooky-linux-ghost-vulnerability/.
23. Trend Micro Incorporated. (20. März 2015). Trend Micro Security News. „Premera Blue Cross Admits to Data Breach, Exposes
Records of 11 Million Patients.“ Letzter Zugriff am 17. April 2015, http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/
premera-blue-cross-data-breach-exposes-11m-patient-records.
24. Christopher Budd. (5. Februar 2015). Trend Micro Simply Security. „The Anthem Data Breach: What You Need to Know.“ Letzter
Zugriff am 17. April 2015, http://blog.trendmicro.com/what-you-need-to-know-about-the-anthem-hack/.
25. Jack Clark. (15. Juni 2011). ZDNet. „NHS Laptop Loss Could Put Millions of Records at Risk.“ Letzter Zugriff am 30. April 2015,
http://‌www.zdnet.com/article/nhs-laptop-loss-could-put-millions-of-records-at-risk/.
26. Trend Micro Incorporated. (10. Februar 2015). Trend Micro Security News. „Millions Affected in Anthem Breach, Healthcare
Companies Prime Attack Targets.“ Letzter Zugriff am 17. April 2015, http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/
millions-affected-in-anthem-breach-healthcare-companies-prime-attack-targets.
27. Miriam Quick, Ella Hollowood, Christian Miles und Dan Hampson. (30. März 2015). Information Is Beautiful. „World’s Biggest
Data Breaches.“ Letzter Zugriff am 23. April 2015, http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breacheshacks/.
28. Identity Theft Resource Center. (2015). ITRC. „2008 Data Breaches.“ Letzter Zugriff am 23. April 2015, http://www.idtheftcenter.org/
ITRC-Surveys-Studies/2008-data-breaches.html.
29. Jay Yaneza. (3. März 2015). TrendLabs Security Intelligence Blog. „PwnPOS: Old Undetected PoS Malware Still Causing Havoc.“
Letzter Zugriff am 17. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/pwnpos-old-undetected-pos-malware-stillcausing-havoc/.
30. Rhena Inocencio. (29. August 2014). TrendLabs Security Intelligence Blog. „New BlackPOS Malware Emerges in the Wild, Targets
Retail Accounts.“ Letzter Zugriff am 23. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/new-blackpos-malwareemerges-in-the-wild-targets-retail-accounts/.
31. American Consumer Credit Counseling. (2015). ConsumerCredit.com. „Infographic: Cash Vs. Card.“ Letzter Zugriff am
23. April 2015, http://www.consumercredit.com/financial-education/infographics/infographic-cash-vs-card.aspx.
32. Trend Micro Incorporated. (2014). Trend Micro Sicherheitsinformationen. „Cyberangriffe auf unerwartete Ziele: Bericht
von TrendLabs zur Sicherheitslage im 1. Quartal 2014.“ Letzter Zugriff am 23. April 2015, http://www.trendmicro.de/media/misc/
cybercrime-hits-the-unexpected-de.pdf.
33. Lambert Sun, Brooks Hong und Feike Hacquebord. (4. Februar 2015). TrendLabs Security Intelligence Blog. „Pawn Storm Update:
iOS Espionage App Found.“ Letzter Zugriff am 17. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/pawn-stormupdate-ios-espionage-app-found/.
34. Cedric Pernet. (18. März 2015). TrendLabs Security Intelligence Blog. „Operation Woolen-Goldfish: When Kittens Go Phishing.“
Letzter Zugriff am 17. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/operation-woolen-goldfish-when-kittens-gophishing/.
48 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015
35. Trend Micro Incorporated. (27. Februar 2015). Trend Micro Security News. „Pawn Storm in iOS Apps and Other Cases of Mobile
Links in Targeted Attacks.“ Letzter Zugriff am 23. April 2015, http://www.trendmicro.com/vinfo/us/security/news/mobile-safety/pawnstorm-in-ios-apps-and-other-cases-of-mobile-links-in-targeted-attacks.
36. Trend Micro Incorporated. (16. März 2015). Trend Micro Security News. „Exploit Kits: Past, Present and Future.“ Letzter Zugriff
am 17. April 2015, http://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/exploit-kits-past-present-and-future.
37. Peter Pi. (20. März 2015). TrendLabs Security Intelligence Blog. „Freshly Patched Adobe Exploit Added to Nuclear Exploit Kit.“
Letzter Zugriff am 23. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/freshly-patched-flash-exploit-added-to-nuclearexploit-kit/.
38. Trend Micro Incorporated. (2015). Bedrohungsenzyklopädie. „Potentially Unwanted Application.“ Letzter Zugriff am 30. April 2015,
http://www.trendmicro.com/vinfo/us/security/definition/potentially-unwanted-app.
49 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen
in Lieferketten und Best Practices aufs Neue ins Wanken
Verfasst von:
Zentrum für globalen technischen Support und F&E von TREND MICRO
TREND MICRO TM
Trend Micro, einer der international führenden Anbieter für CloudSicherheit, ermöglicht Unternehmen und Anwendern den sicheren
Austausch digitaler Informationen. Als Pionier im Bereich Server­
sicherheits­lösungen mit über 20 Jahren Erfahrung bieten wir client-,
server- und cloudbasierte Sicherheitslösungen der Spitzenklasse, die die
Anforderungen unserer Kunden und Partner erfüllen. Unsere Lösungen
wehren Bedrohungen schneller ab und schützen Daten in physischen,
virtualisierten und cloudbasierten Umgebungen. Unterstützt von der
Infrastruktur des Trend Micro™ Smart Protection Network™ – unserer
branchenführenden, webbasierten Sicherheitstechnologie – und von
über 1.000 Bedrohungsexperten weltweit stoppen unsere Produkte
und Services Bedrohungen dort, wo sie entstehen: im Internet. Weitere
Informationen erhalten Sie unter www.trendmicro.com
©2015 Trend Micro, Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von
Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.

H U G O B O S S

Schulstunden/Zeitplan mit Quartalseinteilung - BG-Rein

männerfitness - Nehren Aktiv

Anmeldung zur Produktionsstätten-Besichtigung der

Fruehlingsaktion_Sealife-micro-2.0

Jahresprogramm

Rede Timotheus Höttges

herunterladen - Wochenspiegel

Yoga mit Lis ab dem neuen Jahr 2015

Rundum wohlfühl Paket für Ihren PC