{"id":213261,"date":"2018-12-27T00:53:00","date_gmt":"2018-12-26T23:53:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=213261"},"modified":"2020-07-15T08:51:41","modified_gmt":"2020-07-15T06:51:41","slug":"unter-dem-radar-die-zukunft-unentdeckter-malware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/12\/27\/unter-dem-radar-die-zukunft-unentdeckter-malware\/","title":{"rendered":"Unter dem Radar – Die Zukunft unentdeckter Malware"},"content":{"rendered":"

Die Sicherheitsforscher von Malwarebytes<\/a> haben k\u00fcrzlich ihren Bericht Unter dem Radar \u2013 die Zukunft von unentdeckter Malware <\/em>ver\u00f6ffentlicht. Malwarebytes beleuchtet darin einige der neuesten Bedrohungen in diesem Bereich f\u00fcr Unternehmen sowie Ihre Verbreitung in EMEA: Emotet, TrickBot, Sobretec, SamSam und PowerShell.<\/p>\n

<\/p>\n

Widerstandsf\u00e4higkeit und Erkennungsvermeidung als neuer Fokus<\/h3>\n

Die stetige Weiterentwicklung von Cyberkriminalit\u00e4t ist eine Konstante in unserer heutigen digitalen Welt. Fast t\u00e4glich gibt es Nachrichten von neuen Angriffsmethoden, einer neuen Angriffsstrategie oder einer Taktik, mit der Cyberkriminelle Benutzer infizieren, ihre Lebensgrundlage gef\u00e4hrden und oder ganz allgemein Chaos anrichten. Um ihren Profit zu steigern, wollen Cyberkriminellen Endpunkte zielgerichtet und vollst\u00e4ndig besetzen. Sie haben das Ziel, Endpunkte unbemerkt zu infizieren, sowohl in dem Moment der ersten Gef\u00e4hrdung, als auch bei allen weiteren Versuchen, den Endpunkt zu besetzen. Bisher hatten Malware-Entwickler das \u00fcbergeordnete Ziel, die Erkennung ihrer Schadsoftware zu umgehen.<\/p>\n

Laut der Studie \u201eCost of a Data Breach\"<\/a> des Ponemon Institutes und IBM aus dem Jahr 2017, vergehen im Durchschnitt bis zu 197 Tage, bis ein Gro\u00dfunternehmen bemerkt hatte, Opfer eines Datenlecks zu sein. Die durchschnittliche Zeit zur Eind\u00e4mmung dieses Lecks betr\u00e4gt dabei weitere 69 Tage. Insgesamt dauert es im Schnitt 266 Tage, um einen Angriff zu beheben. Nicht auszudenken, wie viele kritische Informationen in dieser Zeit entwendet werden, bzw. wie viele Daten allein schon in den 69 Tagen zwischen Erkennung und Eind\u00e4mmung verloren gehen.<\/p>\n

Widerstandsf\u00e4higkeit gegen Tools zur Behebung ist f\u00fcr Malware-Entwickler heute genauso wichtig geworden wie die Vermeidung ihrer Erkennung: und das schlie\u00dft nicht nur die Zeit bis zur Erkennung ein, sondern auch die F\u00e4higkeit mit Malware-Restbest\u00e4nden unbemerkt im kompromittierten Endpunkt zu verbleiben, um sich nach dem Erkennungs- und Behebungsprozess wieder zur\u00fcckzubilden und erneut anzugreifen. Diese Art von Malware vermeidet die Erkennung und ist \u00fcber die Ma\u00dfe widerstandsf\u00e4hig, indem sie sich die Propagations- und Anti-Forensik-Techniken der komplexen staatlichen Angriffe der Vergangenheit zunutze machen. Innerhalb dieser Methoden sind heute vor allem dateilose Angriffe von Bedeutung. Tats\u00e4chlich wird der Anteil von dateilosen Malware-Angriffen im Jahr 2018 auf 35 Prozent der Gesamtzahlen und fast 10-mal wahrscheinlicher als dateibasierte Angriffe gesch\u00e4tzt. Dies geht aus einem aktuellen Bericht des Ponemon Institute<\/a> hervor.<\/p>\n

Im Rahmen der eigenen Erkennungs- und Behebungstelemetrie hat Malwarebytes einen Anstieg dieser Angriffstypen dokumentiert: So wurden in weniger als einem Monat Tausende von Angriffen aufgezeichnet und verhindert, bei denen ein Microsoft Office-Dokument (Word, PowerPoint, Excel usw.) versuchte, b\u00f6sartigen Code zu infiltrieren, der zu einem dateifreien Angriff f\u00fchren k\u00f6nnte.<\/p>\n

Malwarebytes hat einige der neuesten Bedrohungen f\u00fcr Unternehmen identifiziert und beschrieben, warum sie gef\u00e4hrlich sind:<\/p>\n

Emotet und TrickBot<\/h3>\n

Die Banking-Trojaner\/Downloader\/Botnet-Typen Emotet und TrickBot sind perfekte Beispiele f\u00fcr die n\u00e4chste Generation von Malware und werden vor allem E-Mail \u00fcber b\u00f6sartige Office-Dokumente verteilt. Dar\u00fcber hinaus nutzen diese Bedrohungen, sobald sie sich auf dem System befinden, die gleichen Schwachstellen, die WannaCry und NotPetya ausgenutzt haben. Bestimmte Branchen wurden von dieser Art von Malware st\u00e4rker betroffen als andere. Malwarebytes erkannte Angriffe in den ersten neun Monaten 2018 fast eine halbe Million Mal innerhalb des Bildungssegments (von der Grundschule bis hin zur Universit\u00e4t).<\/p>\n

Zwischen Januar und September 2018 wurde Emotet Malware mehr als 1,5 Millionen Mal von Malwarebytes erkannt und entfernt. Emotet ist am aktivsten in den Vereinigten Staaten t\u00e4tig, jedoch hat die Aktivit\u00e4t sowohl in gro\u00dfen als auch in kleinen L\u00e4ndern, darunter Gro\u00dfbritannien, den Philippinen und Kanada, zugenommen. In Gro\u00dfbritannien und Deutschland entdeckte Malwarebytes in den ersten neun Monaten des Jahres 2018 mehr als 100.000 Vorf\u00e4lle von Emotet. Fast 60.000 F\u00e4lle von Emotet-Bedrohungen wurden auf den Philippinen entdeckt. Im Hinblick auf das vergangene Jahr ist Gro\u00dfbritannien das Land mit den meisten Emotet-Infektionen in Europa ist, zumindest im letzten Jahr.<\/p>\n

\"Emotet(Emotet Infektionen in Europa | Copyright: Malwarebytes)<\/p>\n

Nach Gro\u00dfbritannien folgt Deutschland auf dem zweiten Platz bei der Anzahl der Emotet-Infektionen. Dabei ist Deutschland schon seit einiger Zeit als Land daf\u00fcr bekannt, aus dem neue und ungew\u00f6hnliche Malware aufkommt. Forscher von Malwarebytes k\u00f6nnen hier bisher aber keine sicheren R\u00fcckschl\u00fcsse nach Gr\u00fcnden ziehen. Deutschland hat in der Regel keine ausgepr\u00e4gte Kultur an Sicherheitsforschern, da viele der Instrumente, die Malwartebytes beispielsweise f\u00fcr Analysen, Penetrationstests usw. verwenden, im Land verboten sind.<\/p>\n

Diese regionalen Erkennungstrends sind bei der Betrachtung von TrickBot-Erkennungen sehr \u00e4hnlich. Es gibt deutlich mehr Erkennungen von Emotet in ganz Europa als von TrickBot, vor allem in Frankreich, Spanien und \u00d6sterreich. Wenn man jedoch davon ausgeht, dass TrickBot-Malware haupts\u00e4chlich von Emotet-Infektionen abstammt, ist davon auszugehen, dass TrickBot als Ergebnis daraus resultiert, dass Emotet-Angriffe nicht erkannt und entfernt wurde.<\/p>\n

\"TrickBot(TrickBot Verteilung in Europa | Copyright: Malwarebytes)<\/p>\n

Die Verbreitung von Sorebrect in Europa<\/h3>\n

Der Malwaretyp Sorebrect wurde am h\u00e4ufigsten innerhalb der Asien-Pazifik (APAC) Region erkannt. Es gab allerdings auch einige L\u00e4nder in EMEA, die mit der dateilosen Ransomware zu tun hatten \u2013 darunter etwa die T\u00fcrkei. Gr\u00f6\u00dfere Erkennungen in der T\u00fcrkei k\u00f6nnten auf die Abh\u00e4ngigkeit von \u00e4lteren und anf\u00e4lligeren Technologien zur\u00fcckzuf\u00fchren sein, wie dies in der APAC-Region der Fall ist.<\/p>\n

Zu den weiteren auff\u00e4lligen Aktivit\u00e4ten innerhalb APAC z\u00e4hlen Exploit-Kits oder spezieller Code, der im Browser ausgef\u00fchrt wird und eine internetf\u00e4hige Anwendung ausnutzt, um Malware auf dem Endpunkt des Opfers zu installieren. Aus welchem Grund auch immer, viele L\u00e4nder aus der APAC-Region verwenden \u00e4ltere und weniger sichere Browser und Betriebssysteme. M\u00f6glicherweise sind es dieselben Exploits, die zur Verbreitung von Sorebrect verwendet werden, da dateifreie Malware immer besser funktioniert, wenn der Start \u00fcber ein Skript erfolgt.<\/p>\n

\"Sorebrect(Sorebrect Infektionen in Europa | Copyright: Malwarebytes)<\/p>\n

Sorebrect wurde vor allem dar\u00fcber bekannt, Netzwerke der L\u00e4nder des Nahen Ostens im Jahr 2017 zu infizieren zu haben, haupts\u00e4chlich Unternehmen, die in der Fertigungsindustrie t\u00e4tig sind. Wenn diese traditionelle L\u00f6segeldfunktionalit\u00e4t mit den dateifreien Taktiken von morgen kombiniert wird, ergbit dies eine Bedrohung, die unm\u00f6glich zu stoppen ist. Gl\u00fccklicherweise erzielte diese Bedrohung keine gro\u00dfe Verbreitung und Malwarebytes hat auch keine erfolgreichen Nachahmer dieser Funktionalit\u00e4t beobachtet. Es ist jedoch nur eine Frage der Zeit, bis jemand diese Infektionsmethode perfektioniert und dieser Malware-Typ verheerender wird.<\/p>\n

SamSam als besonders hartn\u00e4ckige Schadsoftware<\/h3>\n

Viele von uns neigen dazu, Malware als v\u00f6llig autonom zu betrachten. W\u00e4hrend sich viele Malware-Typen, einschlie\u00dflich Bots, \u00e4hnlich wie Drohnen verhalten, gibt es Malware-Typen, die in erster Linie als Werkzeuge f\u00fcr den Angreifer verwendet werden, um sie bei Bedarf manuell zu starten, was das Tool weitaus leistungsf\u00e4higer macht als die Drohne.<\/p>\n

Ein solches Tool ist die Ransomware SamSam. Nachdem SamSam \u00fcber bekannte Schwachstellen oder falsch konfigurierte Dienste in das Netzwerk eingebrochen ist, wird es von Angreifern \u00fcber einen vollst\u00e4ndig manuellen Prozess mit Batch-Skripten gestartet.<\/p>\n

Der Grund f\u00fcr die schwierige Entfernung dieser Malware liegt darin, dass Angreifer vor ihrer Einf\u00fchrung Sicherheitssoftware manuell deaktivieren zu k\u00f6nnen. Dies geschieht, nachdem Angreifer die administrative Kontrolle \u00fcber das System \u00fcbernommen haben, was meist durch einen RDP-Schwachpunkt m\u00f6glich ist. In einem prominenten Beispiel eines SamSam-Angriffs hat die Stadt Atlanta prognostiziert, dass sie 2,6 Millionen Dollar f\u00fcr die Wiederherstellung der Ransomware-Angriffe ausgeben wird.<\/p>\n

Laut einer aktuellen Studie haben die Angreifer hinter SamSam im Jahr 2018 67 verschiedene Ziele getroffen, haupts\u00e4chlich in den USA. Es ist davon auszugehen, dass SamSam bzw. eine Variante davon, auch im Jahr 2019 ein Thema bleibt.<\/p>\n

PowerShell als potentielle Bedrohungsquelle<\/h3>\n

PowerShell ist ein vertrauensw\u00fcrdiges administratives Skripting-Tool, das auf Windows-Systemen operiert. PowerShell selbst ist zwar keine Malware, kann aber f\u00fcr b\u00f6sartige Handlungen missbraucht werden. Angreifer haben PowerShell in den letzten Jahren als Bedrohungsquelle genutzt. Meistens wird PowerShell in Verbindung mit einem Makroskript in einem b\u00f6sartigen Office-Dokument verwendet.<\/p>\n

Im Juni 2018 wurde eine neue Methode zur Verwendung von Office-Dokumenten bei Angriffen auf Benutzer in Umlauf gebracht. Innerhalb dieser Angriffsmethode konnte eine Schwachstelle in der Software ausgenutzt und mit PowerShell zus\u00e4tzliche Malware heruntergeladen und installiert werden. Dies gibt den Angreifern Administratorenrechte, einschlie\u00dflich der Ausf\u00fchrung von dateilosen Malware-Angriffen direkt im Speicher, um der Erkennung durch Sicherheitsanbieter zu entgehen.<\/p>\n

PowerShell wurde auch bei einem komplexeren Angriff auf eine saudi-arabische Regierungseinheit im Jahr 2017 zusammen mit VBScript- und Office-Makroskripten eingesetzt. Aufgrund der Erfolgsrate dieser Art von Angriffen ist die Malware der Zukunft aller Voraussicht nach dateifrei.<\/p>\n

Den kompletten (englischsprachigen) Report von Malwarebytes \u2013 inklusive weiteren Informationen zur Verteilung der dateilosen Malware-Typen, einer Einsch\u00e4tzung zum nachhaltigen Schutz f\u00fcr Unternehmen sowie einen Ausblick auf die Zukunft von Schadsoftware finden Sie unter diesem Link. (via malwarebytes.com<\/a>).<\/p>\n","protected":false},"excerpt":{"rendered":"

Die Sicherheitsforscher von Malwarebytes haben k\u00fcrzlich ihren Bericht Unter dem Radar \u2013 die Zukunft von unentdeckter Malware ver\u00f6ffentlicht. Malwarebytes beleuchtet darin einige der neuesten Bedrohungen in diesem Bereich f\u00fcr Unternehmen sowie Ihre Verbreitung in EMEA: Emotet, TrickBot, Sobretec, SamSam und … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-213261","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/213261","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=213261"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/213261\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=213261"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=213261"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=213261"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}