"Lab Threat Report" von Bromium
Cyberattacken werden immer raffinierter
Das Jahr 2016 hat laut dem Sicherheitssoftware-Anbieter Bromium gezeigt, dass es keine Immunität gegenüber zielgerichteten Cyberattacken gibt. Im "Lab Threat Report" hat der Hersteller die Vorgehensweisen der Angreifer genauer untersucht und kommt zu dem Ergebnis, dass die Methoden immer raffinierter werden. Vor allem vier Angriffsarten kristallisieren sich in dem Report heraus.
Sogenannte Drive-by-Download-Attacken zählen laut Bromium zu den zentralen Infektionswegen von Malware. Der Nutzer lädt dabei unbeabsichtigt die Schadsoftware beim Besuch von infizierten Web-Seiten herunter. Die Malware selbst zielt primär auf gängige Web-Browser wie Microsoft Internet Explorer, Mozilla Firefox oder Goolge Chrome ab. Browser-Erweiterungen wie Adobe Flash, Microsoft Silverlight oder Oracle Java Runtime Enviroment gehören ebenfalls zu den Angriffszielen. Bei den Applikationen sind Microsoft Office und Adobe Acrobat Reader besonders betroffen.
Exploit Kits zählen ebenfalls zu den beliebtesten Methoden von Cyberkriminellen. In der Regel verwenden Angreifer Exploit Kits bei ihren Drive-by-Download-Attacken, um Schwachstellen in der Software der Opfer zu finden. Im ersten Halbjahr dieses Jahres waren laut Bromium vor allem die Exploit Kits Neutrino und Rig am weitesten verbreitet.
Einen starken Anstieg verzeichneten die Security-Analysten des Herstellers zudem bei Ransomware-Attacken. Die Zahl der Crypto-Ransomware-Familien nimmt laut Bromium seit Ende 2013 kontinuierlich zu. Dieses Jahr seien Dutzende weitere Varianten hinzugekommen. "Marktführer" scheint demnach immer noch "Locky" zu sein.
Zudem stellt der Report fest, dass sich das Schreiben von Crypto-Ransomware als neuer Standard im Cybercrime-Untergrund herauskristallisiert. Täglich kämen mehrere Samples neu hinzu, wobei die meisten jedoch Implementierungsfehler aufweisen, sodass vereinzelt auch eine Entschlüsselung ohne Schlüssel möglich ist.
Als vierte beliebte Angriffsmethode gewinnt die Verbreitung von Makro-Malware unter den Cyberkriminellen immer größere Bedeutung. Da für diese Angriffsart die Exlpoit-Entwicklung zu aufwendig ist, bedienen sich die Angreifer laut Bromium bevorzugt der Möglichkeit des Social Engineering. Besonders populär sind laut dem Report Spam-Mails, die Microsoft-Word-Dokumente mit Schadcode enthalten. Öffnet ein Opfer ein solches Dokument, wird typischerweise ein Visual-Basic-Makro ausgeführt und Malware heruntergeladen.
Außerdem stellten die Security-Experten des Herstellers einige neue Tricks fest, die vermeiden sollen, dass die Makro-Malware entdeckt wird. Bei der Nutzung eines Microsoft-Office-Dokuments für den Transport von schädlichem Code speichert das Marko eine Kopie des Dokuments mit der Extension „.rtf“. Anschließend öffnet sie diese und startet eine Exe-Datei aus dem Temp-Ordner des Anwenders. Ebenfalls bliebt sind Downloads von schädlichen ausführbaren Dateien von Github. Die Angreifer hoffen, dass Antiviren- und Host-Intrusion-Prevention-Systeme eine HTTPS-Verbindung zu einer bekannten und seriösen Website übersehen. Um die Malware vor einer Sandbox-Lösung zu verstecken, sucht diese nach mit virtuellen Maschinen verbundenen Artefakten. Bei diesem Trick sucht die Malware nach Strings wie "VMware“, "Xen" oder "VirtualBox".
Weitere Informationen finden sich unter www.bromium.com.
Lesen Sie mehr zum Thema
