Gestern Morgen haben die Analysten von AppRiver Phishing-Aktivitäten festgestellt, die einige interessante Weiterleitungen verwenden. Und zwar solche, die nicht allzu häufig zu beobachten sind. Die E-Mail selbst war unscheinbar und der Inhaltsteil leer, die einzige Besonderheit war die ziemlich lange Betreffzeile. Diese Kombination aus überlanger Betreffzeile, leerem Inhalt und die Absender- / Antworten-Information sollten bereits sämtliche Alarmglocken läuten lassen.

adobe spam

Nach dem Öffnen der PDF-Datei bekommt man ein relativ schlichtes Layout zu sehen, das bei vielen Phishing-Kampagnen vorkommt. Der Hintergrund ist unscharf. Die Nachricht fordert den Nutzer dazu auf bestimmte Schritte zu unternehmen, um die Datei ansehen zu können. Immer noch lassen sich ausreichend viele Nutzer  lieber von ihrer Neugier leiten als möglicherweise etwas zu verpassen. Das ist eine der üblichen Phishing-Methoden, die sogar noch häufiger bei Macro-Malware vorkommt. Das Thema haben wir schon einige Male beleuchtet: Eine der gerne verwendeten Vorgehensweisen ist es, den User zum Klicken auf Inhalte in Macro-Dateien zu verleiten, die die eigentliche Malware starten.

 

Bislang war 2016 bereits ein hohes Maß an Viren-Traffic unterwegs. Hauptsächlich Ransomware und vor allem Locky, der millionenfach über das Necurs-Botnet verbreitet wurde. Die Analysten von AppRiver haben an manchen Tagen Malware-Spitzen beobachten können, die bei 10 und mehr Millionen lagen. Auch Malware-Traffic unterliegt Fluktuationen mit den üblichen Höhen und Tiefen, während der letzten drei Wochen waren es aber fast nur Tiefen. Innerhalb der vergangenen drei Wochen erreichten die Zahlen Werte von 3 bis 10 Millionen Mails mit schadhaften Anhängen. Das ist, verglichen mit den letzten Monaten, ein ausgesprochen starker Rückgang. Das änderte sich gegen Mittag des 21. Juni an dem die Analysten einen plötzlichen, starken Anstieg beim Viren-Traffic verzeichnen konnten.

Necurs

Necurs 2

Innerhalb von nur wenigen Stunden stieg der Malware-Verkehr rasant an und erreichte an diesem Tag eine Rekordmarke von etwas mehr als 80 Millionen. Wie andere Firmen ebenfalls vermuteten, hängt das vermutlich damit zusammen, dass das Necurs-Botnet am 1. Juni im Wesentlich offline ging. Dieses Botnetz wurde für die riesigen Mengen der sich im Umlauf befindenden Locky- und Dridex-Malware verantwortlich gemacht. Das Botnet wurde allerdings nicht ausgehoben oder anderweitig außer Gefecht gesetzt, sondern es hat quasi seine Kontrollfunktion über infizierte Computer eingestellt. Mit den Locky-Aktivitäten, die wir aktuell beobachten, und verglichen mit den Szenarien, die wir erst vor kurzem erlebt haben, sieht es ganz so aus, als sei Necurs wieder erstarkt und zurückgekehrt. Ob es sich dabei eher um ein vorübergehendes Ärgernis handelt oder um die dauerhafte Rückkehr in die Zeiten der “Normalität” vor dem 1. Juni, bleibt  abzuwarten.
Was die Aktivitäten selbst betrifft, erscheinen mehrere unterschiedliche Dateien mit der Endung .js, die sich nur im Format leicht unterscheiden. Diejenigen, die wir auf VirusTotal überprüft haben, hatten einen Zugriff von 2/54. Das heißt, dass nicht allzu viele der Antivirenhersteller die Datei selbst abfangen. Das sagt aber noch nichts darüber aus, ob die Antiviren-Lösung nicht bei einer anderen von der betreffenden Malware durchgeführten Aktion getriggert wird.

So weit es bisher ersichtlich ist speist sich der Malware-Verkehr, der diesen enormen Anstieg verursacht hat, aus Regeln, die innerhalb der letzten 3 Monate hinzugefügt worden sind. Einige Treffer gehen darauf zurück, dass die Malware mit der Endung .js zurückliegenden Malware-Kampagnen und  Aktivitäten so sehr ähnelt, während andere Regeln, die vielleicht schon vor längerer Zeit hinzugefügt wurden, erst jetzt wirksam werden.

Der Versuch, dem Malware-Aufkommen wenigstens einen Schritt voraus zu sein und sich auf potenziell auftretende Varianten einzustellen, zahlt sich durchaus aus. Dann nämlich, wenn man in der Lage ist eine komplette Kampagne schon mit der ersten Nachricht aufzuhalten. Analysten beobachten den Traffic natürlich dahingehend, um neue Varianten und auftretende Veränderungen möglichst frühzeitig zu erkennen.

SecureTide-Kunden sind im Übrigen vor Aktivitäten dieser Art geschützt.

 

Einer 2012 durchgeführten Umfrage unter 1.015 US-Kleinunternehmen zufolge haben nicht wenige von ihnen ein trügerisches Sicherheitsgefühl hinsichtlich ihrer IT-Infrastruktur. Mehr als drei Viertel (77 Prozent) glauben, dass ihr Unternehmen vor Cyber-Gefahren wie Hackern, Viren, Malware oder Sicherheitsverletzungen sicher ist. Das Problem dabei: 83 Prozent der Befragten verfügen über keine formale Sicherheitsstrategie. Diese Erkenntnisse stammen aus einer Umfrage, die 2012 von der nationalen Allianz für Cybersicherheit (NCSA) und Symantec veröffentlicht wurde. (Die gesamte Umfrage ist noch abrufbar unter: http://www.staysafeonline.org/stay-safe-online/resources/).

Auf der Grundlage weiterer Informationen, die 2015 von der Towergate-Versicherung gesammelt wurden (https://www.towergateinsurance.co.uk/liability-insurance/smes-and-cyber-attacks), lässt sich feststellen, dass 97 Prozent der kleinen und mittleren Unternehmen (KMU) nicht glauben, eine Verbesserung ihrer Online-Sicherheit sei für ihr zukünftiges Wachstum wichtig, 82 Prozent halten sich nicht für ein potenzielles Angriffsziel, 32 Prozent glauben, sie würden vermutlich keine Verluste erleiden, 31 Prozent haben keinen Plan wie auf Sicherheitsverletzungen zu reagieren ist, 24 Prozent glauben, dass Cybersicherheit zu teuer ist und 22 Prozent räumen immerhin ein, dass sie gar nicht wissen, wo sie anfangen sollen.

network security

In seinem jüngst gehaltenen Grundsatzreferat bei der Nolacon 2016 hat Dave Kennedy (Gründer von TrustedSec, LLC, Binary Defense, Mitautor von Metasploit und Entwickler des Social Engineering Toolkit) einige seiner Erfahrungen als Penetrationstester geschildert. Einer der wesentlichen Punkte seiner Rede stand im Gegensatz zu dem, was die meisten Leute über die Art denken, wie Hacker in Netzwerke eindringen und sie ausbeuten. Die meisten IT-Sicherheitsbeauftragten machen sich Gedanken darüber, Sicherheitskontrollen einzuführen, um die neuesten APTs (Advanced Persistent Threats), die aktuellste Malware und andere Exploits zu stoppen. In Wirklichkeit, so Kennedy, „sind die meisten Einbrüche geradezu simpler Natur … Sie hatten in den letzten zehn Jahren furchtbar schlechte Sicherheitspraktiken und wurden übertölpelt, weil Sie Adobe Reader seit ungefähr 10 Jahren nicht aktualisiert hatten! Weil Sie furchtbar schlechte Sicherheitspraktiken an den Tag gelegt haben, sind sie Ziel eines Angriffs geworden.“ (Dave Kennedys Rede zum Nachlesen: http://www.irongeek.com/i.php?page=videos/nolacon2016/105-keynote-david-kennedy).

Warum aber liegen die meisten Unternehmen derart daneben und setzen beim Thema IT-Sicherheit gerne mal auf das falsche Pferd?  Wie lässt sich das ändern? Was hat es mit der Diskrepanz zwischen den geäußerten Überzeugungen und der praktischen Umsetzung auf sich und warum spielt das eine Rolle?

Alles beginnt bei einer unternehmensweiten Sicherheitsstrategie. Ein Unternehmen ohne solide Sicherheitsstrategie zu führen ist dasselbe, wie in anderen Unternehmensbereichen auf Richtlinien zu verzichten. Stellen Sie sich das Chaos vor, gäbe es keine Richtlinien, die Abläufe und Standards für Dienstleistungen, Produkte oder Marken festlegen. Jedes so agierende Unternehmen würde in kurzer Zeit scheitern. Ein Unternehmen ohne solide Sicherheitsstrategie zu führen ist nichts anderes. Ungeachtet aller Maßnahmen, die Sie hinsichtlich der IT-Sicherheit ergreifen, die Bemühungen werden nicht ausreichen und aller Wahrscheinlichkeit nach fehlschlagen.

Eine Sicherheitsstrategie ist laut (ISC)2 definiert als ein „strategisches Werkzeug zur Festlegung, wie sensible Informationen und Ressourcen zu managen und zu schützen sind“ (siehe den offiziellen Leitfaden von (ISC)2 für CISSP CBK – 4. Auflage, S. 1248). Eine Sicherheitsstrategie im weitesten Sinne beschreibt die gesamte Haltung einer Organisation in Sachen Sicherheit und schließt Richtlinien zu Personal-, Informations- und Technologie-Ressourcen ein. Alle Richtlinien drehen sich um die drei Grundkomponenten von Sicherheit – Vertraulichkeit, Integrität und Verfügbarkeit.

Nicht selten herrscht im IT-Bereich fälschlicherweise die Annahme vor, dass IT-Sicherheit von den übrigen Sicherheitspraktiken eines Unternehmens abtrennbar ist. IT-Sicherheit als separaten Prozess zu betrachten ist aber ganz im Gegenteil einer der Gründe für die von der NCSA-Umfrage festgestellte Diskrepanz.

blog stock image

Praktisch betrachtet ist eine Sicherheitsstrategie eine Sammlung von Management-Erwartungen, die festlegen, welche Ressourcen zu schützen sind und, allgemein, wie hoch die anzusetzende Sicherheitsstufe sein soll. Die praktische Umsetzung einer Sicherheitsstrategie erfolgt durch die Anwendung von Verfahren, Standards, Leitfäden und Grundsätzen. Diese Umsetzungsschritte werden typischerweise von der IT-Abteilung ausgeführt. Sobald diese Umsetzungsschritte abgeschlossen sind, sollte ein Auditing stattfinden, um sicherzustellen, dass die Ziele der Sicherheitsstrategie erreicht werden, und um Empfehlungen zu entwickeln, verbleibende Lücken zu schließen.

Sicherheitsstrategien dienen auch dazu, die Verpflichtung der Management-Teams zur Anwendung der „gebotenen Sorgfalt“ beim Schutz sensibler Ressourcen zu dokumentieren. Die Anwendung der Sicherheitsstrategie durch die Implementierung von Verfahren, Standards, Leitfäden und Grundsätzen dient als Grundlage für die „erforderliche Sorgfalt“, die in einer Organisation oft obligatorisch ist. Um eine fundierte Sicherheitsstrategie zu entwickeln, muss eine Organisation alle Ressourcen berücksichtigen, die abgesichert werden müssen. Erst auf dieser Basis kann man eine Risikoanalyse durchführen, um das Verlustpotenzial und die damit verbundenen Kosten zu bestimmen. Diese Daten werden dann verwendet, um die ImJiappr https://de.appriver.complementierung der richtigen, kosteneffizienten Kontrollen zu empfehlen, die notwendig sind um das Risikopotenzial auf ein akzeptables Niveau zu senken.

Wie viel Sicherheit ist genug Sicherheit? Einfach genug. Einen Königsweg der Netzwerksicherheit gibt es zwar nicht, aber eine solide Sicherheitsstrategie berücksichtigt alle vorhersehbaren Risiken. Durch die Implementierung einer Sicherheitsstrategie kann man darauf vertrauen, dass die Risiken auf ein Niveau reduziert werden, das für die Geschäftsführung akzeptabel ist.

Ohne Sicherheitsstrategie wird jeder Sicherheitsaspekt innerhalb einer Organisation suspekt. Die Mitarbeiter haben dann keine Grundlage um Entscheidungen in Sicherheitsfragen zu treffen, und es gibt keine Möglichkeit, die Effizienz der vorhandenen Kontrollen zu messen. Bei Entscheidungen gibt es keine Kriterien nach denen jemand darüber Rechenschaft ablegen kann, und bei Veränderungen im  Management oder der IT-Abteilung ist die Kontinuität gefährdet. Dadurch, dass sich die vorhandenen Kontrollen nur schwer bewerten lassen, fehlt die kalkulatorische Basis für weitere Investitionen in die IT-Sicherheit.

Vom praktischen Standpunkt aus betrachtet beginnt die Lösung des Problems damit eine unternehmensweite Sicherheitsstrategie zu entwickeln und umzusetzen. Das erfordert neben Zeit und Entwicklungsaufwand vor allem, dass die IT-Abteilung und die Geschäftsführung miteinander kooperieren. Haben Sie einmal damit begonnen, Ihre unternehmensweite Sicherheitsstrategie zu entwickeln und zu verfeinern, dann werden die Sicherheitspraktiken in ihrem Unternehmen fast automatisch umfassender. Das werden auch Ihre Kunden bemerken.

 

 

Im Moment ist ein Paket unterwegs, das unbedingt bei Ihnen ankommen will. Allerdings nicht per FedEx. Die aktuelle Version der „Fareit“-Malware-Familie, verbreitet sich per E-Mail, getarnt als Versandbestätigung von FedEx. Die Nachrichten geben vor, eine Versandquittung für ein Paket zu enthalten, das der Kurier nicht zustellen konnte. Obwohl der Name der angefügten Datei den Begriff „PDF“ enthält, ist die Datei tatsächlich eine Archivdatei. Sie verwendet den OpenSource File Archiver 7zip. Im komprimierten Archiv findet man eine ausführbare Datei (.exe), die wiederum die Fareit-Malware enthält.

Blog stock image 2

Die Fareit-Malware ist bereits seit einigen Jahren im Umlauf. Sie ist auf den Diebstahl von Informationen spezialisiert und hat es insbesondere auf FTP-Login-Daten, E-Mail-Passwörter und Passwörter abgesehen, die im Browser gespeichert sind. Im Laufe unserer dynamischen Analysen konnten wir sämtliche dieser Aktivitäten beobachten. Und zwar nachdem die Malware die lokalen Sicherheitstools deaktiviert hatte. Die Malware sucht zunächst auf dem betreffenden Rechner nach den erwähnten Anmeldedaten und stellt dann eine Outbound-Verbindung her um den allseits beliebten Trojaner Zeus herunter zu laden. Ist der Rechner erst ein Mal erfolgreich mit dem Zeus-Virus infiziert, macht sich der Angreifer daran weitere Daten wie beispielsweise Bankdaten abzugreifen. Als Nebenwirkung der Malware-Infiltrierung ist der Rechner des Opfers zusätzlich anfällig für weitere Angriffe und DDoS-Attacken.

fedex fedex 2

In letzter Zeit hat die Berichterstattung zu Ransomware einen breiten Raum eingenommen. Dabei gerät nur allzu leicht in Vergessenheit, dass solche auf Informationsdiebstahl spezialisierte Malware mindestens genauso schädlich, wenn nicht sogar schädlicher ist. Welche konkreten Auswirkungen eine Ransomware-Infektion und die Verschlüsselung der Dateien tatsächlich hat, hängt davon ab wie wichtig die Dateien sind, die es erwischt hat und wie gut das Backup des betreffenden Nutzers oder Unternehmens ist. Andererseits kann eine unerkannt gebliebene Infektion mit Fareit/Zeus zum Diebstahl vertraulicher Daten führen und in der Folge zu Kreditbetrügereien oder sogar zum Identitätsdiebstahl. Beide in ihrem Schadenspotenzial vergleichen zu wollen, macht wenig Sinn, denn das Ausmaß hängt von den individuellen Voraussetzungen und den getroffenen Vorkehrungen ab. Schmerzhaft für die Betroffenen sind beide Varianten. Die beste Verteidigung ist immer noch, sich einem Angriff erst gar nicht

Unsere SecureTide-Kunden sind vor dieser Bedrohung geschützt.

 

In dieser Woche beobachte das AppRiver Security Research Team zum ersten Mal eine „Outlook Web App“-Phishing-Kampagne, eine Kampagne, die zum jetzigen Zeitpunkt mehr als 2.200 versuchte Angriffe umfasst.  Die Kampagne operiert unter dem Deckmantel einer Upgrade-Benachrichtigung für die „Outlook Web App“-Mailbox. Dabei wird versucht, dem Empfänger weiszumachen,

dass der zuständige IT-Admin das E-Mail-System auf „Microsoft Outlook Webaccess 2015“ (was im Übrigen nicht existiert) upgraden will. Um den Upgrade-Prozess zu starten wird der Nutzer aufgefordert auf den in der Nachricht enthaltenen Link zu klicken.

OWA Phishing

Das Beispiel im obigen Screenshot zeigt eine Grafik,  so von den Spammern manipuliert, dass sie dem „Microsoft Exchange 2010 Outlook Web App”-Interface ähnelt. Die Upgrade-Benachrichtigung wurde dann zusätzlich hinein kopiert. Das AppRiver Security Research Team hat sich etliche Beispiele der Spam-Kampagne genauer angesehen und festgestellt, dass zwar die verwendete URL in jeder E-Mail diegleiche ist, dass aber verschiedene Domain-Namen verwendet werden. Über den  „Hier klicken”-Link wird der Benutzer aufgefordert, die Anmeldedaten einzugeben, um das „Update“ zu starten.

OWA Phishing 2

Zurück zur E-Mail selbst: Die Spammer haben eine Nachricht eingefügt, in der es heißt, dass ein weiteres Bild nicht geladen werden kann. Dadurch soll der Benutzer dahingehend beeinflusst werden, den bereitgestellten Link anzuklicken und alles im Browser anzusehen. Durchaus clever von den Spammern,  denn der Link selbst führt zurück auf die falsche Anmeldeseite. Nach der Angabe (falscher) Anmeldedaten leitet die Seite auf die offizielle Microsoft-Office-365-Website weiter, während die gestohlenen Daten direkt an die Spammer gesendet werden. Der Message Sniffer von AppRiver  filtert diese Nachrichten weiterhin aus und das Team wird beobachten wie sich die Kampagne weiter entwickelt.