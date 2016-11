Trickreiche Angreifer

Aktuelle Methoden der Cyber-Angreifer hat der Sicherheitssoftware-Anbieter Bromium ermittelt. Besonders bei Makroviren in Office-Dokumenten scheinen sich die Angreifer zunehmend Mühe zu geben, ihren Schadcode geschickt zu verstecken. Dazu gehört etwa die Fähigkeit zu erkennen, ob die Malware in einer Sandbox ausgeführt wird.

Welche Wege Angreifer in Unternehmensnetze finden, beleuchtet Bromium im Security-Report für das erste Halbjahr 2016.

Einfallstore für Angreifer gibt es viele. Der Security-Anbieter Bromium hat aktuelle Methoden für das erste Halbjahr 2016 [1] unter die Lupe genommen. Obwohl moderne Browser eine verbesserte Sicherheit bieten, zählen zu den zentralen Infektionswegen nach wie vor Drive-by-Downloads, also das unbeabsichtigte Herunterladen von Schadsoftware von infizierten Webseiten.



Die Malware zielt primär ab auf Webbrowser wie Internet Explorer, Firefox und Chrome sowie Browser-Plug-ins für Flash, Silverlight oder das Java Runtime Environment. Besonders betroffen bei den Applikationen sind Microsoft Office und Adobe Acrobat Reader. Cyber-Kriminelle nutzen bei ihren Drive-by-Download-Attacken in aller Regel Exploit Kits. Die gängigsten Software-Kits für die Identifizierung von Software-Schwachstellen waren im ersten Halbjahr Neutrino und Rig.



Starker Ransomware-Anstieg

Einen starken Anstieg haben die Security-Analysten von den Bromium Labs in Cupertino vor allem bei den Ransomware-Attacken registriert. Die Zahl der Crypto-Ransomware-Familien nimmt seit Ende 2013 kontinuierlich zu, und Dutzende weiterer Exploit-Typen sind seit Anfang des Jahres neu hinzugekommen.



Aktueller Marktführer scheint noch immer "Locky" zu sein. Das Schreiben von Crypto-Ransomware hat sich als der neue Standard im Cybercrime-Untergrund herauskristallisiert. Mehrere Samples werden nahezu jeden Tag neu veröffentlicht. Die meisten von ihnen weisen allerdings Implementierungsfehler auf, so dass vereinzelt auch eine Entschlüsselung ohne Schlüssel möglich ist. Leider ist das nicht immer der Fall.



Trickreiche Makro-Malware

Abgesehen von Exploits ist auch Makro-Malware auf dem Vormarsch. Angreifer, für die die Exploit-Entwicklung zu aufwändig ist, gehen bevorzugt den Weg des Social Engineering. Spam-E-Mails, die Microsoft-Word-Dokumente mit Schadcode enthalten, sind besonders populär. Typischerweise wird beim Öffnen der Dokumente dann ein Visual-Basic-Makro ausgeführt und Malware heruntergeladen.



Die Bromium Labs haben dabei in diesem Jahr einige neue Tricks identifiziert, mit der Makro-Malware vor einer Detektion geschützt werden soll. Dazu gehört die Nutzung eines Microsoft-Office-Dokuments für den Transport von schädlichem Code: Das enthaltene Makro speichert eine Kopie des Dokuments mit der Extension .rtf, öffnet sie und startet dann eine exe-Datei aus dem Temp-Ordner des Anwenders.



Ebenfalls genutzt werden Downloads von schädlichen ausführbaren Dateien von GitHub, da eine https-Verbindung zu einer bekannten, seriösen Website von Antiviren- und Host-Intrusion-Prevention-Systemen übersehen werden kann. Die Suche nach mit virtuellen Maschinen verbundenen Artefakten soll ferner Aufschluss darüber geben, ob die Malware in einer Sandbox-Lösung für deren Analyse läuft und sich entsprechend zu verstecken.