Tag Archive for 'Jahresrückblick'

Jahresrückblick 2008

Das Jahr 2008 neigt sich dem Ende zu. Ich werde mich hüten, einen grossen Rückblick im Motto “Was war – was wird“, zu schreiben (diese Arbeit machen bereits andere Fachzeitschriften zu genüge). Vielmehr möchte ich kurz einen kleinen Rückblick bezogen auf die Schweiz tätigen.

Jahr 2008: Bankentrojaner und Drive-By infektionen

Das Jahr 2008 war das Jahr der Banken-Trojaner und Drive-By Infektionen. Vor allem der Trojaner WSNPoem (aka Zbot) sorgte in der ersten Hälfte des Jahres für viel Wirbel in der Schweiz (siehe Posts auf abuse.ch). Der Trojaner war bereits schon im Jahr 2007 in der Schweiz aktiv, jedoch war die Verbreitung in diesem Jahr um einiges aggressiver als das Jahr zuvor. Die erste Welle dieses Jahres des Bankentrojaners verbreitete sich unter dem Betreff “Nachricht über eine radioaktive Kontamination in der Schweiz” (Siehe Post vom 8. Januar 2008). Als ob es die Kriminellen vorausgesehen hätten, kam kurz darauf eine weitere massive Spam-Welle mit dem Betreff “Eine Bankenkrise der Schweizer Banken ist unvermeindlich” (Siehe Post vom 27. März 2008). Amüsanter war da die Spam-Welle vom 3. April 2008, als eine Austauschstudentin einen Sexpartner suchte.

Dutzende Spam-Wellen folgten, wobei der Trojaner jedoch nicht mehr per Link auf “Böse Webseiten” verteilt wurde, sondern direkt an das E-Mail als Attachement angehängt wurde. Dabei hat sich das Spam-Mail meistens als Rechnung bzw. Lastschrift von Fedex oder UPS ausgegeben. Seit Juli wurde es jedoch allmählich ruhiger um den Trojaner. Der Trojaner verbreitete sich nur noch vereinzelt in der Schweiz, wobei aber bis jetzt keine Schweizer Banken mehr Ziel der Attacken sind / waren. Eigentlich ziemlich erstaunlich, denn laut TrustedSource.org beträgt der Anteil der mit dem Trojaner (Zbot) verseuchten E-Mails täglich bis zu 16% und ist somit zeitweise die Nummer eins:


Quelle: TrustedSource.org

Die Schweiz scheint also zur Zeit aus dem Fadenkreuz von WSNPoem verschwunden zu sein.

Weitaus mehr sorgen mache ich mir (und viele Sicherheitsspezialisten auch) um den Banken-Trojaner Mebroot (aka Sinowal), welcher aus technischer Sicht betrachtet ein vielfaches ausgeklügelter ist als WSNPoem (z.B. nistet er sich im Master Boot Record MBR des Opfers ein und kann somit jederzeit das System erneut infizieren). Der Trojaner verbreitete sich dieses Jahr fast unbemerkt in der Schweiz. Grund dafür ist, dass sich der Trojaner nicht per E-Mail verbreitet wie sein Freund WSNPoem, sonder per Drive-By Infektion. Somit gelingt es dem Trojaner sich fast unbemerkt auf Schweizer Computern ein zu nisten und die Bankinformationen des Opfers zu stehlen. Betroffen war Mitte Jahr auch die Webseite der Grünen Partei Schweiz, welche infiziert war und den Besucher den Bankentrojaner unter schob.

Nachdem der dubiose Internet Service Provider McColo anfangs November offline ging, verschwanden auch die Command & Control Server (C&C) des Bankentrojaners Mebroot vom Netz. Vor einigen Tagen gingen jedoch erneut neue C&C Server des Trojaners ans Netz. Der Trojaner kehrt mit mehreren Hundert infizierten Webseiten alleine in der Schweiz gleich ziemlich massiv auf die Bühne zurück.

Fazit

Der Weg der Infizierung über E-Mail ist bereits seit längerem nicht mehr der grösste Einfallsvektor für Malware. Dies bestätigt auch der Sicherheitsspezialist Trend Micro. Wie in einem Blog Post des TrendLabs Malware Blog nachzulesen ist, hat der Infektionsweg über das Web den ersten Platz eingenommen:

“Globally, the source of the most number of infections for these top 100 malware is the Internet, specifically in surfing unknown or malicious sites, or accepting links offered in unsolicited email.”
Quelle: TrendLabs: Most Abused Infection Vector

Somit lautet das Fazit für Anwender: Auf Grund der grossen Anzahl an Infizierten Webseiten steht das patchen des eigenen Rechners sowie die stetige Aktualisierung der Antivirensoftware an höchster stelle. Dabei sollte der Benutzer nicht nur an Windows- und Office-Updates denken sondern auch an die restliche auf dem Computer installierten Applikationen, welche immer mehr einfallslos für Trojaner sind (z.B. RealPlayer, QuickTime, Adobe Reader, Adobe FlashPlayer, Java RuntTime, uvm). Des Weiteren ist es empfehlenswert, auf einen alternativ Browser wie z.B. Firefox oder Opera umzusteigen. Vorsicht: Auch diese Browser müssen stets auf dem aktuellsten Stand gehalten werden! Wer also vor allem beim Thema E-Banking auf Nummer sicher gehen will, empfehle ich mein Tutorial Online Banking – aber sicher!.

Nun fragt sich noch, was Unternehmen tun können, um auf die immer grösser werdende Bedrohung aus dem Web z.B. durch Drive-By Infektionen entgegen zu wirken. Ein gutes Stichwort ist Web-Proxy. Viele Denken dabei als erstes an die Überwachung der Mitarbeiter sowie das Sperren von nicht erwünschte Webseiten wie Facebook & Co am Arbeitsplatz. Aber bei den heutigen Proxy-Lösungen ist dies sekundär. Vielmehr steht Content-Scanning mittels Antiviren-Engine und Reputations-Filtering (analog zur E-Mail Filterung) an erster stelle. Dabei gibt es bereits einige interessante Produkte auf dem Markt (ohne jetzt diese zu nennen).

Aufgrund der massiven Rückkehr des Bankentrojaner Mebroot empfehle ich allen Webseiten-Besitzer, die eigene Webseite erneut mit dem MELANI Webseiten Checktool auf Schadcode zu überprüfen (Link: MELANI Webseiten-Checktool).

Schlusswort

Das war genug Technik, nun möchte ich den Rest des Jahres noch mit etwas persönlichem schmücken. Ich möchte mich an dieser Stelle bei allen regelmässigen Lesern meines Blogs bedanken. Werfe ich einen Blick auf die Liste der eingetragenen E-Mail Adressen beim abuse.ch Newsletter, dann bin ich überwältigt über die Anzahl der Abonnenten. Trotz der Rückschläge in diesem Jahr beweist mir dies, dass die Leser meine Arbeit schätzen.

Des Weiteren möchte ich anfügen, dass ich mich stets über Anregungen und Fragen freue. Scheut euch also nicht mir ein eine Nachricht über das Kontaktformular zukommen zu lassen.

In diesem Sinne wünsche ich allen ein frohes Weihnachtsfest und einen guten (Trojaner-freien) rutsch ins Jahr 2009!

Weiterführende Links

MELANI: Halbjahresbericht 2008/1
MELANI: Webseiten Checktool
Massenhacks gegen Webseiten: mehr als 700 Fälle in der Schweiz




economics-recluse
Scene
Urgent!