Ablauf eines Diebstahls von Firmendaten und deren Speicherung auf einem Crimeserver

Wie Cyberkriminelle mit Hilfe eines Trojaners Firmendaten gestohlen und dabei traditionelle passive Web-Security-Lösungen erfolgreich umgangen haben

(04.11.08) - Finjan veröffentlichte den Bericht des "Malicious Code Research Centers" (MCRC) zu einem aktuellen Fall von Firmendatendiebstahl durch Cyberkriminelle. Schritt für Schritt wird darin beschrieben, wie der PC eines Angestellten während einer regulären berufsbezogenen Internetrecherche mit einem Trojaner infiziert und es somit Cyberkriminellen ermöglicht wurde, wertvolle Firmendaten zu stehlen.

Konkret beschreibt der Bericht folgende Punkte:

· Wie der Firmen-PC mit dem Trojaner infiziert wurde

· Was geschehen ist, sofort nachdem die Malware auf dem Firmen-PC installiert wurde

· Nach welcher Art von Daten der Trojaner auf dem infizierten PC gesucht hat

· Wohin die gestohlenen Daten gesendet und wo sie abgespeichert wurden

· Welche Daten auf dem Server der Cyberkriminellen gefunden wurden.

"Die in der Firma vorhandenen Security-Lösungen, wie signaturbasierte Antivirusprodukte und URL-Filter Datenbanken, konnten nicht verhindern, dass der Trojaner in das Firmennetzwerk eindrang und sich Zugang zu wertvollen Firmendaten verschaffte", erklärt Yuval Ben-Itzhak, CTO bei Finjan. Dieser Fall zeigt erneut, wie es dynamische Code-Verschleierung Cyberkriminellen ermöglicht, "unsichtbaren" Schadcode einzuschleusen, der einen Anwender-PC augenblicklich bei Besuch einer infizierten Website befällt.

Der im aktuellen Malicious Page of the Month Report beschriebene Fall bestätigt die Entwicklung im Bereich Internetkriminalität, welche Finjan seit Jahren verfolgt und an die Öffentlichkeit bringt:

· Die Kommerzialisierung von Schadcode – Web Security Trend Report Q2, 2006

· Hacker spielen Verstecken - Web Security Trend Report Q4, 2006

· Verschleierte Attacken, kreiert um Antivirus und URL Filter zu umgehen - Web Security Trend Report Q2, 2007

· Crimeware-as-a-Service - Web Security Trend Report Q1, 2008

· Die Struktur von Cybercrime-Organisationen und ihr Modus Operandi - Web Security Trend Report Q2, 2008

· Die Evolution von bösartigem verschleierten Code – MPOM September 2008

Laut Finjan sind traditionelle Web-Security-Produkte, wie zum Beispiel Antivirus oder URL-Filter-Datenbanken, nur unzureichend in der Lage, Unternehmen vor heutigen Cybercrime-Angriffen zu schützen. Ihr Ansatz ist passiv, da nur Abgleiche mit bekannten Signatur- oder URL-Datenbank-einträgen stattfinden. Um verschleierte oder gezielte Attacken abzuwehren, ist deshalb eine andere Technologie erforderlich.

Active-Code Inspection in Echtzeit ist die optimale Lösung, um dynamisch verschleierten Code und ähnlich hochentwickelte Cybercrime-Techniken aufzuspüren und zu stoppen. Bei dieser Methode wird jedes einzelne Fragment des Webinhalts in Echtzeit analysiert und klassifiziert, noch bevor es den Enduser erreicht. (Finjan: ra)