Rubrik: Produkte/Content Security

SurfControl: Warnung vor neuen Trojanerangriffen

Wenn der Zombie dreimal anklopft - Firewalls versagen bei "Blended-Threat"-Risiken

(24.07.04) - Die Mutation der Computerviren schreitet rasant voran. Der unlängst aufgedeckte Trojaner JS Scob und die durch Popup-Werbefenster verbreitete Keystroke-Logger-Software können laut SurfControl mit Firewalls und Antiviren-Software nicht mehr abgewehrt werden. Das Gefährliche an diesen neuartigen Blended Threats ist, dass sie Netzwerke und PCs an unterschiedlichen Stellen angreifen, was eine entsprechend komplexe Abwehrstrategie mit mehrschichtigen Content-Security-Maßnahmen erfordert. Auch die konsequente Schulung und Aufklärung der Mitarbeiter nimmt laut SurfControl immer mehr an Bedeutung zu.

Kraken im Netzwerk

Blended Threats ist die Bezeichnung für Malicious Software, die bei Angriffen auf ein Computernetzwerk verschiedene Infektions- und Verbreitungstechniken parallel nutzt, z.B. die eines Virus, eines Wurms und/oder eines Trojaners. Bei Keystroke-Logger-Software handelt es sich um Schnüffel- und Spähpro-gramme, die sämtliche Tastatureingaben des Users - inklusive Passwörter und sonstige persönliche Daten - aufzeichnen können. Unter Zombies versteht man "schlafende" Programme, die heimlich auf einem Rechner abgelegt und bei Bedarf aktiviert werden, um bei einem kollektiven Angriff auf einen anderen Computer oder Server mitzuwirken.

Der Trojaner "JS Scob" ist ein typisches Beispiel für die so genannten Blended Threats, die nur mit integrierten, mehrschichtigen Sicherheitskonzepten abgewehrt werden können. JS Scob bringt für Firmen-Netzwerke gleich drei verschiedene Risiken mit sich. Zunächst nutzt er Schwachstellen im Server und im Internet Explorer von Microsoft, um wichtige Websites zu infiltrieren und die PCs jener User zu infizieren, welche diese Websites besuchen. Gleichzeitig werden von diesem Virus Keystroke-Logger in den infizierten PCs der Anwender installiert, um durch Aufzeichnung der Tastaturbetätigungen persönliche Angaben und finanzielle Informationen auszulesen. Schließlich ermöglicht das Virus dem betreffenden Hacker - ähnlich wie das auch bei Spyware der Fall ist - die Kontrolle über die befallenen PCs zu übernehmen, indem die Tastaturbetätigung gemeinsam mit sämtlichen ermittelten Informationen an den angegebenen Server des Hackers überspielt werden.

Ein ähnlicher Virus nutzte in jüngster Zeit Pop-up-Werbefenster zum Herunterladen der Keystroke-Logger-Software auf den PC des Anwenders, um die Tastaturbetätigungen beim Aufruf 50 ausgewählter Finanz-Websites aufzuzeichnen.

"Wir müssen damit leben, dass das Kopf-an-Kopf-Rennen zwischen Hackern und der IT-Security-Industrie immer rasanter wird und die Unternehmen müssen lernen, dass komplexe Angriffe nur mit einer komplexen Verteidigungsstrategie abgewehrt werden können", sagte Gernot Huber, Marketing Manager Central Europe. "Firewalls und Virenschutz sind rudimentäre Maßnahmen, die bei den hochkomplexen Blended-Threats hoffnungslos versagen. Man sollte eben nicht mit Kanonen auf Spatzen schießen."

Filter mit Köpfchen

Ein E-Mail-Filter wie z.B. der von SurfControl ist eine hoch entwickelte Content-Filtering-Lösung, die Unternehmen u.a. auch vor Blended-Threat-Risiken schützt. Sie besteht aus insgesamt zwölf Schichten mit Anti-Spam-Schutz und künstlicher Intelligenz, darunter auch Technologien zum Parsen und Strippen aktiver HTML-Komponenten in Emails wie z.B. Java-Applets, die schädliche Codes starten können. Der E-Mail Filter unterbindet zudem Phishing-Angriffe und E-Mail-basierte Betrügereien, indem er gespoofte E-Mails erkennt und blockiert. Darüber hinaus scannt und bereinigt er virenbefallene Dateien bei ankommenden, abgehenden oder internen E-Mails. IT-Administratoren können mit den Outbound-Monitoring-Funktionen des E-Mail-Filter außerdem erkennen, ob ein Zombie in ihrem Netzwerk installiert wurde.

Keimfreies Web

Der SurfControl-Web Filter schützt Unternehmen vor den gefährlichen Blended Threats, indem er Risiken abwendet, die von Web-basiertem Content ausgehen. Auf der Basis einer URL-Content-Datenbank mit mehr als 6 Millionen Sites bietet der SurfControl Web Filter den IT-Administratoren die Möglichkeit, den Zugriff auf Websites in 40 sorgfältig organisierten Kategorien und in 70 Sprachen in Echtzeit zu kontrollieren. Dazu zählen unter anderem Spyware- und Hacking-Kategorien unter Angabe der wichtigsten Server, mit denen Keystroke-Logging-Programme nach einem Trojaner-Angriff kommunizieren. Durch Blockieren dieser Adressen können Unternehmen die Folgen von Trojanerangriffen entscheidend abmildern und das unge-wollte Herunterladen von Keystroke-Loggern, Proxy-Servern sowie anderen schädlichen Hintertüren in das Firmennetzwerk unterbinden.

Network Risks Web Alert Service

Zum Angebot von SurfControl gehört außerdem ein kostenloser "Network Risks Web Alert Service", der IT-Administratoren bezüglich neuer Viren, Hoaxes und weiterer Risiken auf dem Laufenden hält. Im Rahmen dieses Services wird ein ständig aktualisiertes Website- und Listserv-Angebot unterhalten, das minuten-aktuelle Details und Fakten über neue Risiken sowie Vorschläge zum Schutz von Netzwerken gegen diese Bedrohungen enthält. Abonniert werden kann dieser Service unter http://www.surfcontrol.com/network_risks/.

Antiviren-Checkliste von SurfControl:

·         Jeglicher Port 25 (SMTP) E-Mail-Traffic von und nach jedem Rechner sollte blockiert werden, mit Ausnahme der für Corporate Messaging genutzten Server. Auf diese Weise werden bereits die Mehrzahl der per Massenmails versandten Viren und Spam-Zombies blockiert, die ihre eigenen Mail-Exchanges und SMTP-Engines besitzen, sodass Mails unter Umgehung des Outbound-Mail-Servers direkt vom Zombie an den anvisierten Mail-Server gesandt werden können.

·         Für Emails sollten generell jegliche Dateien mit Namenserweiterungen, die auf ausführbare Dateien hindeuten, blockiert werden. Diese Maßnahme sollte Bestandteil der Acceptable Usage Policy eines jeden Unternehmens sein und kann per SurfControl Email Filter eingestellt werden.

·         Web-basierte E-Mails, die Viren und schädlichen Content in das Netzwerk einschleppen können, sollten ebenfalls blockiert werden.

·         Das Absenden passwortgeschützter Archive-Dateien sollte unterbunden werden. Neuere Viren nutzen dieses Verfahren zur Umgehung von Virenschutzprogrammen.

·         Aktive HTML-Komponenten aus abgehenden oder ankommenden Nachrichten sollten entfernt werden, da diese Java-Applets, IFrame, ActiveX und VBS-Scripts enthalten.

·         Beim Einsatz von Content-Filtering-Software sollten nur solche verwendet werden, die auf lernfähigen, mehrschichtigen Filter-Techniken basieren. (ma)

SurfControl

Kontakt: Gernot Huber

Tel. (0043-1) 5134415-118, Fax (0043-1) 5134402

E-Mail: gernot.huber@surfcontrol.com

Web: www.surfcontrol.com