Rubrik: Virenwarnung/Hintergrund

Outsourcing und Spezialisierung bei Erstellung von Schadcode sind neue Trends

Die globale Untergrundwirtschaft ist professionell, organisiert und hochflexibel

(17.04.08) - Etablierte, häufig besuchte Internetportale sowie Social Networking-Seiten rücken ins Visier der Cyberkriminellen. Das ist eine der Kernaussagen der 13. Ausgabe des Symantec Internetsicherheitsreports. Zwar ist der Computer immer noch Angriffsziel Nummer eins, um an finanziell verwertbare Daten der Anwender zu gelangen - doch das Vertrauen in etablierte Webseiten und der unbedarfte Umgang mit persönlichen Informationen ermöglichen immer gezieltere Phishing-Attacken. Dementsprechend ist die Zahl der Server, auf denen betrügerische Webseiten gehostet werden, im zweiten Halbjahr 2007 weltweit um 167 Prozent auf 87.963 gestiegen. Darüber hinaus nutzen die Angreifer seitenspezifische Schwachstellen aus, um über Shotgun-Angriffe (mehrere, zeitgleiche Attacken über verschiedene Schwachstellen) Trojaner und Spionagetools in den Computer einzuschleusen. In den meisten Fällen ist es nicht einmal notwendig, dass der Anwender bewusst etwas herunter lädt oder anklickt. Solche Drive-by-Downloads gehören mittlerweile zum Standard-Repertoire der Angreifer.

"Professionell, organisiert und hochflexibel sind die Attribute, die den Wandel der Cyberkriminalität zu einer globalen Untergrundwirtschaft am besten beschreiben", sagt Candid Wüest, Sicherheits-experte bei Symantec und Co-Autor des aktuellen Sicherheitsreports. "Outsourcing und Speziali-sierung bei der Erstellung von Schadcode, das sind neue Trends, die sich fortsetzen werden. Hier hat sich bereits etwas grundlegend verändert. Wir haben es nicht mehr mit Amateuren zu tun, sondern mit kriminellen Geschäftsleuten."

Auf das Jahr 2007 entfallen zwei Drittel der insgesamt 1,1 Millionen Schadcode-Exemplare, die Symantec bisher insgesamt erfasst hat. Der Zuwachs liegt bei 468 Prozent. Die Masse an neuen Bedrohungen basiert dabei auf der zunehmenden Vernetzung und Arbeitsteilung der Cyberkrimi-nellen untereinander. So werden weltweit je nach Bedarf die Angriffswerkzeuge modifiziert und die erfolgversprechenden Entwicklungen zu Toolkits zusammengeführt, die dann auf Untergrundservern für jedermann angeboten werden. Beispielsweise gehen 26 Prozent aller weltweiten Phishing-Seiten auf nur drei Toolkits zurück. Diese Entwicklung ist besonders in Rumänien zu beobachten, das innerhalb weniger Monate Deutschland als Phishing-Hochburg Europas abgelöst hat.

Deutschland immer noch Spitzenreiter in der EMEA-Region

18 Prozent der bösartigen Aktivitäten in der Region Europa, Mittlerer Osten und Afrika (EMEA) wurden von Rechnern in Deutschland aus durchgeführt - damit ist Deutschland wie auch im Vorberichtszeitraum Spitzenreiter in der Region. Der Grund für die führende Position liegt in der hohen Zahl der vorhandenen Breitbandanschlüsse sowie in der weiterhin hohen Zuwachsrate. Da bei den meisten Internet Service Providern (ISP) für Sicherheitsmaßnahmen weitere Kosten für den Anwender anfallen, verzichten viele auf diese Schutzmaßnahmen und gefährden dadurch sich - und andere. In Deutschland befinden sich mit 18 Prozent immer noch die meisten Bot-infizierten Rechner in EMEA. Unter einem Bot (Abkürzung für Robot) versteht man ein heimlich installiertes Computerprogramm, welches Angreifern den Fernzugriff auf das System über einen Kommunika-tionskanal (wie z.B. Internet Relay Chat, kurz IRC) ermöglicht. Dabei infiziert in der Regel ein Angreifer zahlreiche Rechner mit einem Bot und verbindet diese dann zu einem Netzwerk (Botnet). Dieses Netzwerk kann zentral von einem Command-and-Control-Server aus gesteuert werden, um koordinierte Aktionen - wie beispielsweise den millionenfachen Versand von Spam-Mails - zu starten. "22 Prozent der Command-and-Control Server in der Region EMEA sind in Deutschland zu finden", sagte Candid Wüest weiter. "So ist es nicht verwunderlich, dass 71 Prozent des E-Mail-Verkehrs in Deutschland aus Spam besteht - soviel wie in keinem anderen Land."

Kernaussagen des 13. Symantec Internet Security Threat Reports

·         Schwachstellen auf Webseiten

Im zweiten Halbjahr 2007 wurden insgesamt 11.253 seitenspezifische Cross-site-scripting-Schwachstellen registriert - gegenüber 6.961 registrierten seitenspezifischen Schwachstellen im ersten Halbjahr 2007.

Von diesen 11.253 Schwachstellen wurden lediglich 473 durch den Administrator der jeweiligen Seite behoben.

Von den zehn wichtigsten Schadcode-Familien, die im zweiten Halbjahr 2007 entdeckt wurden, sind zwei darauf spezialisiert, Webseiten zu manipulieren. Sieben Prozent der 50 bedeutendsten Schadcode-Beispiele manipulierten ebenfalls Websites.

Es ist sehr wahrscheinlich, dass gerade in letzter Zeit Toolkits wie MPack besonders das Interesse von Angreifern wecken, die Webseiten attackieren und dort Schadcode installieren wollen. MPack ist ein Toolkit, das in der ersten Jahreshälfte 2007 entdeckt wurde und in der Lage ist, Exploits für Browser- und Client-Schwachstellen einzusetzen, die sich gegen alle Besucher einer infizierten Website richten.

·         Der Markt für gestohlene Daten und Informationen

Daten mit finanzieller Relevanz machten im zweiten Halbjahr 2007 insgesamt 53 Prozent sämtlicher Angebote auf Servern der Untergrundwirtschaft aus, während dieser Zeit waren Bankkonten mit 22 Prozent des Gesamtaufkommens die am häufigsten angebotenen Güter.

Der Rückgang bei der Bewerbung von Kreditkarten von 21 auf 13 Prozent ist maßgeblich auf die verstärkte Beobachtung der Szene durch die Kreditkarteninstitute sowie die größeren Hürden bei der Einlösung von Kreditkarten zurückzuführen.

Die Preise in der Schattenwirtschaft richten sich zunehmend nach "normalen" Marktgesetzen wie Angebot und Nachfrage. So begründet sich der Preis für eine Kreditkartennummer in der Lage der Bank und der Seltenheit der Karte.

Insbesondere Zugangsdaten für Konten mit hohen Guthaben, wie beispielsweise Geschäftskonten oder Konten der EU sind kontinuierlich teurer geworden. Dasselbe gilt für Kontoinformationen, die auch persönliche Daten wie Namen, Adressen und Geburtsdaten enthielten.

Nicht nur der Diebstahl durch kriminelle Handlungen ist beim Schutz persönlicher Informationen ein Problem. Diebstahl oder Verlust eines Computers oder eines vergleichbaren Speichergeräts verursachten 57 Prozent aller Datenverluste im zweiten Halbjahr 2007.

·         Flexibilisierung als Erfolgsgarant

Angreifer aus dem Internet reagieren inzwischen immer schneller und präziser auf neue Sicher-heitsmaßnahmen. Sie werden mobiler, adaptieren neue Taktiken und versuchen so, neu imple-mentierte Sicherheitsmechanismen auszuhebeln.

Immer häufiger ziehen sich Angreifer in Regionen zurück, in denen die Sicherheitsmaßnahmen noch nicht so ausgereift und Administratoren sowie Anwender mit Best Practices in Sachen Sicherheit nicht so vertraut sind. (Symantec: ma)