Meldung

Erfolgreiche Hacker, überforderter Malwareschutz

Fast auf beiden Augen blind: Herkömmliche Anti-Malware-Lösungen übersehen beinahe 75 Prozent der Bedrohungen, so der Security-Anbieter WatchGuard in seinem Internet Security Report für das erste Quartal 2021. Das Unternehmen verzeichnete demnach auch neues Rekordniveau bei Zero-Day-Angriffen und Netzwerkattacken.
WatchGuard Technologies hat in seinem Internet Security Report für das erste Quartal 2021 [1] nochmals eine deutliche Zunahme bei der Verbreitung von Zero-Day-Malware festgestellt. In dem Zusammenhang trat insbesondere die Schwäche signaturbasierter Antivirenlösungen offen zutage: Denn knapp 75 Prozent der entdeckten Bedrohungen dieser Art konnten von herkömmlichen Anwendungen zum Zeitpunkt der Veröffentlichung nicht erkannt werden.

"Im letzten Quartal wurde die höchste Anzahl an Zero-Day-Malware-Attacken verzeichnet, die wir je registriert haben. Dies ist ein weiteres Zeichen dafür, dass Unternehmen ihre Abwehrmaßnahmen weiterentwickeln müssen, um den immer raffinierteren Bedrohungsakteuren einen Schritt voraus zu sein", sagt Corey Nachreiner, Chief Security Officer bei WatchGuard, und ergänzt: "Traditionelle Anti-Malware-Lösungen sind dieser Bedrohung gegenüber beinahe blind und reichen für die heutige Bedrohungslage einfach nicht mehr aus. Jedes Unternehmen benötigt eine mehrschichtige, proaktive Sicherheitsstrategie, die maschinelles Lernen und Verhaltensanalysen einschließt, um neue und fortschrittliche Bedrohungen zu erkennen und zu blockieren."

Der Internet Security Report von WatchGuard Q1 2021 enthält zudem neues Datenmaterial zu den gestiegenen Angriffsraten auf Netzwerke sowie den wichtigsten Malware-Attacken, und informiert darüber, auf welche Weise Angreifer alte Exploits tarnen und neu verwenden.

Dateilose Malware gewinnt an Popularität
XML.JSLoader ist ein bösartiger Payload, der zum ersten Mal sowohl in WatchGuards Top-Malware nach Volumen als auch in der Liste der am weitesten verbreiteten Malware auftauchte. Diese Variante wurde von WatchGuard darüber hinaus im ersten Quartal am häufigsten via HTTPS-Inspektion entdeckt.

Die Schadsoftware nutzt einen XML External Entity (XXE)-Angriff, um in einer Shell Befehle auszuführen, mit der die lokale PowerShell-Ausführungsrichtlinie umgangen wird. Der Vorgang läuft ohne jegliche Interaktion des Anwenders und damit vollständig im Hintergrund ab. XML.JSLoader ist ein weiteres Beispiel für die zunehmende Verbreitung von dateiloser Malware und den Bedarf an fortschrittlichen Lösungen für einen wirksamen Schutz am Endpunkt.

Ransomware-Loader als legitime PDF-Anhänge getarnt
Der Ransomware-Loader Zmutzy nimmt im ersten Quartal 2021 Platz 2 im Ranking der verschlüsselten Malware-Variante nach Volumen ein. Im Zusammenhang mit der Nibiru-Ransomware tritt diese Bedrohung als Anhang in Form einer gezippten Datei in E-Mails oder als Download von einer bösartigen Website auf. Beim Öffnen der Zip-Datei wird eine ausführbare Datei heruntergeladen, die sich jedoch als legitime PDF-Datei präsentiert.

Die Angreifer verwenden im Dateinamen ein Komma anstelle eines Punktes sowie ein manuell angepasstes Symbol, um die bösartige ZIP-Datei als PDF auszugeben. Diese Art von Angriff unterstreicht die Wichtigkeit von Schulungen zum Thema Phishing sowie die Implementierung von Backup-Lösungen für den Fall, dass eine Variante wie diese eine Ransomware-Infektion auslöst.

IoT-Geräte weiter im Visier

Die Variante Linux.Ngioweb.B wurde zwar nicht in die Top-10-Malware-Liste von WatchGuard für das erste Quartal aufgenommen, aber in letzter Zeit für den Angriff auf IoT-Geräte genutzt. Die erste Version zielte auf Linux-Server mit WordPress ab und nutzte das EFL (Extended Format Language)-Dateiformat. Eine andere Version dieser Malware verwandelt die IoT-Geräte in ein Botnet mit rollierenden Command-and-Control-Servern.

Netzwerkangriffe steigen um mehr als 20 Prozent
WatchGuard-Appliances erkannten mehr als vier Millionen Netzwerkangriffe. Das entspricht einem Anstieg um 21 Prozent im Vergleich zum Vorquartal und stellt das höchste Volumen seit Anfang 2018 dar. Unternehmensserver und Assets vor Ort sind trotz der Verlagerung auf Remote- und hybride Arbeit immer noch hochwertige Ziele für Angreifer. Aus diesem Grund müssen Unternehmen neben benutzerorientierten Schutzmaßnahmen gleichzeitig die Perimetersicherheit aufrechterhalten.

Die vierteljährlichen Forschungsberichte von WatchGuard basieren auf anonymisierten Firebox-Feed-Daten von aktiven WatchGuard Fireboxen, deren Besitzer sich für die Weitergabe von Daten zur Unterstützung der Forschungsarbeit des Threat Labs entschieden haben. Im ersten Quartal blockierte WatchGuard nach eigener Aussage insgesamt mehr als 17,2 Millionen Malware-Varianten (461 pro Gerät) und fast 4,2 Millionen Netzwerkbedrohungen (113 pro Gerät). Der vollständige Bericht enthält Details zu weiteren Malware- und Netzwerktrends aus dem 1. Quartal 2021, eine detaillierte Analyse der HAFNIUM-Microsoft-Exchange-Server-Exploits, wichtige Verteidigungstipps für die Leser und vieles mehr.
24.06.2021/dr

Tipps & Tools

Intensiv-Seminar "Aufbau einer PKI unter Windows Server" [2.08.2021]

Microsoft verwendet Zertifikate für mehrere PKI-fähige Produkte, daher bedarf es sowohl innerhalb der Organisation als auch für externe Partner einer fehlerfreien Zertifikatausstellung. Anfang September erfahren Sie in unserem Intensiv-Seminar in Hamburg, was Sie beim Aufbau einer Public-Key-Infrastruktur unter Windows Server beachten müssen. Dabei zeigen wir unter anderem, wie Sie PKI-fähige Anwendungen identifizieren und eine Testumgebung aufbauen und konfigurieren. Zögern Sie nicht zu lange – und sichern Sie sich einen der letzten Restplätze für das Intensiv-Seminar! Abonnenten nehmen wie immer zum Vorzugspreis teil. [mehr]

Sicherheitslücke in systemd begünstigt Denial-of-Service-Attacken [30.07.2021]

Das Qualys Research Team hat eine schwerwiegende Sicherheitslücke in Linux-Betriebssystemen identifiziert. Für den den systemd-Daemon betreffenden Bug weit verbreiteter OS wie RHEL 8 und Debian 10 ist ein Patch verfügbar. [mehr]

Fachartikel

SOC-Grundlagen: Weniger Fehlmeldungen durch besseren Kontext [21.07.2021]

Wer als Sicherheitsspezialist in einem Security Operations Center arbeitet, der wird tagein, tagaus mit einer schier endlosen Flut an Meldungen konfrontiert. Jedoch sind nicht alle dieser Nachrichten wirklich sicherheitsrelevant, denn bei einem Großteil handelt es sich um Fehlalarme oder unwichtige Informationen. Der Artikel erklärt, wie mehr Datenkontext dabei helfen kann, zwischen echten Signalen und sogenanntem Rauschen zu unterscheiden, um dem Problem der Alarmmüdigkeit entgegenzuwirken. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen