|
|
"Blue Coat WebPulse" schützte 75 Millionen Nutzer proaktiv vor Shnakule-Angriff Technik kann auch künftige Angriffe von Shnakule und anderen sogenannten Malnets blockieren (
Anzeige
Die Blue Coat Security Labs beobachten die Shnakule-Infrastruktur schon seit Längerem. So konnte WebPulse die neue Bedrohung dynamisch identifizieren. Dieselbe Technik kann auch künftige Angriffe von Shnakule und anderen sogenannten Malnets blockieren. In dem aktuellen Angriff, über den Armorize Technologies als erster berichtete, wurde zunächst die seriöse Website von MySQL.com gehackt. Diese lieferte daraufhin ein bösartiges JavaScript aus, das in bestimmten Webseiten von MySQL.com einen unsichtbaren IFrame einbettete. Der IFrame wiederum ermöglichte eine Drive-By-Download-Attacke, die auf Servern außerhalb von MySQL.com gehostet war. Während des Angriffs kamen dabei nicht nur Sites zum Einsatz, die bekanntermaßen Teil des Shnakule-Malnets sind, sondern auch neue Server für Exploits und Payloads. Der für den Angriff eingesetzte Host war dabei einer von vielen bösartigen Sites eines Servers, den WebPulse bereits kategorisiert und als Malware-Lieferant eingestuft hatte. Auf diese Weise konnte der Dienst seine Nutzer proaktiv vor dem Angriff schützen, der erst drei Tage später stattfand. In den fünf Tagen, in denen der Server aktiv war, haben die Blue Coat Security Labs insgesamt 81 verschiedene Malware-Sites auf diesem Server identifiziert. "Auch wenn dieser Angriff viel Aufmerksamkeit erregte, handelte es sich dabei letztlich nur um einen von vielen weiteren Einstiegspunkten in ein gut etabliertes Malnet. Dies bestätigt einmal mehr, dass Cyberkriminelle nicht einfach aus dem Nichts auftauchen, um prominente Angriffe zu starten", sagt Dr. Tim van der Horst, Senior Malware Researcher bei Blue Coat Systems. "Die Infrastruktur von Shnakule ist rund um die Uhr aktiv und startet regelmäßig neue Angriffe, um neue Opfer zu infizieren. WebPulse spürt daher Malnet-Infrastrukturen auf, um seine Nutzer unabhängig von der gerade neu gehackten Website zu schützen, die den Verkehr in das Malnet leitet." Pro Tag besuchen fast 400.000 Nutzer MySQL.com. Daher ist diese Website für Cyberkriminelle ein potentiell lukratives Ziel mit einem hohen Bekanntheitsgrad. Zu den Seiten, die von der IFrame-Injection betroffen waren, gehörten auch einige Seiten mit Dokumentationen zur Datenbankadministration. Ein erfolgreich durchgeführter Angriff könnte hier beispielsweise Malware ausliefern, die weitere Zugangsdaten zu Datenbanken sowie deren Standorte auf den Systemen der Opfer ausfindig macht. Diese Informationen würden dann den Cyberkriminellen Zugang zu einer großen Menge an sensiblen Informationen geben und es ihnen ermöglichen, weitere Systeme zu kompromittieren. Das Shnakule-Netzwerk besteht im Schnitt aus rund 2.000 individuellen Rechnern pro Tag. Das Maximum lag bislang bei 5.708 Rechnern an einem einzigen Tag. Im Durchschnitt registriert der WebPulse-Dienst täglich mehr als 21.000 Zugriffsversuche auf das Netzwerk. In der Vergangenheit zeichnete sich Shnakule insbesondere durch Angriffe mit gefälschter Antiviren-Software aus, die typischerweise Search Engine Poisoning als Verbreitungsweg nutzt. In letzter Zeit weitete Shnakule seine Angriffe jedoch weiter aus: Im Juli dieses Jahres startete das Malnet beispielsweise eine Malvertising-Attacke. Dabei konnte Blue Coat 15.000 Zugriffsversuche von Benutzern identifizieren, die mit dieser Angriffsform in Verbindung standen. Der gemeinschaftliche Sicherheitsdienst WebPulse schützt seine 75 Millionen Nutzer weltweit proaktiv vor neuen Malware-Angriffen. Im Rahmen von WebPulse verfolgen die Blue Coat Security Labs mehr als 500 Malnets und blockieren den Zugriff auf deren Infrastruktur, die bei neuen Angriffen Malware ausliefert. (Blue Coat: ra) |
||
|
