mcafee labs threats-report · wir freuen uns sehr, ihnen in diesem bericht die neuen erkenntnisse...

BERICHT

1 McAfee Labs Threats-Report, Dezember 2018

McAfee Labs Threats-ReportDezember 2018

WICHTIGSTE THEMEN IN DIESEM QUARTAL

Untergrundforen steigern die Effektivität von Cyber-Kriminellen

Cryptomining-Boom setzt sich fort

Exploit-Kits unterstützen Schwachstellen und Ransomware

Von Cyber-Spionage motivierte gezielte Angriffe

BERICHT


Folgen

Teilen

Einleitung

Willkommen beim McAfee Labs® Threats-Report vom Dezember 2018. In dieser Ausgabe stellen wir die wichtigsten Untersuchungen und Statistiken zu Bedrohungstrends und Beobachtungen vor, die von den Teams von McAfee Advanced Threat Research und McAfee Labs im 3. Quartal 2018 erstellt wurden.

Wir freuen uns sehr, Ihnen in diesem Bericht die neuen Erkenntnisse sowie ein neues Format präsentieren zu können. Das Feedback unserer Kunden ist uns wichtig, damit wir erfahren, was Ihnen wichtig ist und wie wir den Mehrwert für Sie steigern können. In den letzten Monaten haben wir zusätzliche Bedrohungsdaten zusammengetragen sowie Daten korreliert und analysiert, um nützlichere Erkenntnisse über die Entwicklungen in der Bedrohungslandschaft zu gewinnen. McAfee arbeitet eng mit MITRE Corporation bei der Erweiterung der Techniken ihrer MITRE ATT&CK™ KnowledgeBase zusammen, und wir nehmen das Modell jetzt in unseren Bericht auf. Wir haben gerade erst damit begonnen, unsere Prozesse und Berichte zu optimieren. Diese Entwicklung ist noch lange nicht abgeschlossen, und wir freuen uns über Ihre Rückmeldungen.

Obwohl die Nachwirkungen der Stilllegungen mehrerer Untergrundmärkte im 3. Quartal noch zu spüren waren, wurden die Lücken schnell durch andere Dark Web-Märkte gefüllt. Durch die angebotenen Services steigt die Effektivität der Cyber-Kriminellen weiter. In diesem Quartal registrierten wir stärkere Aktivitäten der Ransomware-Familie GandCrab. Die große Angriffswelle dieser Familie wurde durch ein Partnerprogramm, flexible Entwicklung sowie die Kombination mit anderen Cyber-kriminellen Services (z. B. Exploit-Kits) möglich.

Im 3. Quartal wurden auch mehrere große Sicherheitskonferenzen veranstaltet. Bei einigen dieser Veranstaltungen berichteten Vertreter des McAfee Advanced Threat Research-Teams von den Ergebnissen ihrer Forschungen. Auf der DEF CON demonstrierten wir, wie ein Angreifer medizinische Geräte manipulieren kann. Während der Black Hat USA veröffentlichte das Team Untersuchungsergebnisse über die Wiederverwendung von Code aus nordkoreanischen Malware-Familien, die bisher unbekannte Verbindungen offenlegte.

Wir konnten auch zahlreiche Kunden und Partner begrüßen, als wir unsere neuesten Erkenntnisse auf den McAfee MPOWER-Konferenzen in Las Vegas, Sydney, Tokio und Rom vorstellten. In diesem Quartal waren wir wieder sehr aktiv und führten Bedrohungsanalysen durch, erweiterten unser Forscherteam und veröffentlichten natürlich unsere Untersuchungsergebnisse. Diese finden Sie in unserem Blog sowie auf der Homepage unseres Teams.

Wir hoffen, dass Ihnen das neue Format gefällt und freuen uns auf Ihre Rückmeldungen.

– Raj Samani, Chief Scientist und McAfee Fellow Twitter: @Raj_Samani

– Christiaan Beek, Lead Scientist Twitter: @ChristiaanBeek

Dark Web-Marktplätze verkaufen in erster Linie Drogen und andere illegale Waren. Hier werden aber auch Hacker-Tools, Auftragshacks und Datensätze angeboten.

https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/mcafee-labs-threats-report-examines-cybercriminal-underground-iot-malware-other-threats/

https://twitter.com/McAfee_Labs

https://bit.ly/2Fn2xR7

https://www.linkedin.com/company/2336/

https://securingtomorrow.mcafee.com/mcafee-labs/80-to-0-in-under-5-seconds-falsifying-a-medical-patients-vitals/

https://securingtomorrow.mcafee.com/mcafee-labs/examining-code-reuse-reveals-undiscovered-links-among-north-koreas-malware-families/

https://securingtomorrow.mcafee.com/category/mcafee-labs/

https://www.mcafee.com/enterprise/de-de/threat-center/advanced-threat-research.html

Inhalt

BERICHT


4 Untergrundforen steigern die Effektivität von Cyber-Kriminellen

8 Zahl der Ransomware-Familien geht zurück

10 Cryptomining-Boom setzt sich fort

11 Mobilgerätebedrohungen nehmen dank gefälschter Apps zu

15 Banking-Trojaner nehmen ungewöhnliche Dateitypen ins Visier

18 Exploit-Kits unterstützen Schwachstellen und Ransomware

20 Schwachstellen öffnen Tür zu Shellcode und Schwachstellen-Eskalation

23 Von Cyber-Spionage motivierte gezielte Angriffe

26 Statistische Bedrohungsdaten

Dieser Bericht wurde recherchiert und geschrieben von:

• Alexandre Mundo Alguacil

• Christiaan Beek

• Carlos Castillo

• Taylor Dunton

• John Fokker

• Steve Grobman

• Tim Hux

• Niamh Minihane

• Lee Munson

• Eric Peterson

• Marc Rivero

• Thomas Roccia

• Raj Samani

• Craig Schmugar

• ReseAnne Sims

• Dan Sommer

• Bing Sun

Trojaner sendet

IQY-Datei

PowerShell verwendet DDE-Technik

IQY-Dateien

Prüft, ob infiziertes System sich in Japan befindet

Lädt Ursnif-Malware herunter und führt sie aus

IQY-Datei ruft bestimmte URL für Skriptdatei ab

BERICHT HAUPTARTIKEL


Folgen

Teilen

Untergrundforen steigern die Effektivität von Cyber-Kriminellen Dark Web-Märkte Die Schockwellen der Stilllegungen der Dark Web-Märkte Hansa und AlphaBay waren auch im 3. Quartal noch sichtbar. Konkurrierende Marktplätze wie Dream Market, Wall Street Market und Olympus Market beeilten sich, die Lücke zu schließen, die die Aktionen der Strafverfolgungsbehörden hinterlassen hatten.

Wall Street und Dream Markets sind mittlerweile die größten Marktplätze. Olympus Market, der auf dem besten Weg war, einer der Top-Märkte zu werden, verschwand im 3. Quartal urplötzlich von der Bildfläche. Es gibt Spekulationen darüber, dass hinter dem Verschwinden ein Exit-Schema der Markt-Administratoren steckt, die auf diese Weise ihre Anbieter und Kunden um ihr Geld betrogen.

Das McAfee Advanced Threat Research-Team hat einen Wechsel bei Dark Web-Plattformen festgestellt. Mehrere Einzelverkäufer haben den großen Märkten den Rücken gekehrt und ihre eigenen spezialisierten Marktplätze eröffnet. Dabei hoffen sie offensichtlich, von den Strafverfolgungs behörden unbemerkt zu bleiben und eine vertrauensvolle Beziehung mit ihren Kunden aufzubauen, ohne dass die Gefahr eines schnellen Rückzugs der Markt betreiber besteht. Dieser Wechsel führte zu einer neuen Geschäftsidee: Website-Designer offerieren die Erstellung verborgener Marktplätze für angehende Anbieter. Andere Anbieter wenden sich vom Tor-Netzwerk ab und setzen auf Plattformen wie Telegram, um ihre Waren und Dienstleistungen anzubieten.

Dark Web-Marktplätze, die meist über Tor erreichbar sind, verkaufen in erster Linie Drogen und andere illegale Waren. Hier werden aber auch Hacker-Tools, Auftragshacks und Datensätze angeboten. Die Zugänglichkeit dieser Märkte für einen großen Kundenkreis macht sie zu ernsthaften Akteuren. Gestohlene digitale Daten, die einen großen Teil der Profite ausmachen, werden auch weiterhin stark motivieren. So lange es solche Märkte gibt, müssen wir unsere Daten besonders schützen.

Untergrund-Hacker-Foren Im Gegensatz zu Dark Web-Märkten sind Untergrund-Hacker-Foren für die Allgemeinheit weniger zugänglich und konzentrieren sich auf Themen im Zusammenhang mit Cyber-Kriminalität. Im 3. Quartal untersuchte McAfee mehrere dieser Treffpunkte, um deren Schwerpunkte zu ermitteln.

Kompromittierte Benutzeranmeldedaten: Der Missbrauch von Anmeldedaten ist eines der häufigsten Themen in der Untergrundszene – und durch die bekannt gewordenen Datenkompromittierungen Dauerthema. Mithilfe gültiger Kontodaten ist es für Cyber-Kriminelle ein Kinderspiel, auf das Privatleben von Benutzern zuzugreifen und es zu übernehmen. Cyber-Kriminelle haben häufig Interesse an E-Mail-Konten, da diese gern zum Wiederherstellen von Anmelde-informationen für andere Online-Dienste verwendet werden. Diese Angriffe sind deshalb so effektiv, weil die Benutzer ihre Kennwörter wiederverwenden, keine Zwei-Faktor-Authentifizierung implementieren und ihre Kennwörter nicht regelmäßig ändern.





https://securingtomorrow.mcafee.com/business/ripple-effect-hansa-takedown/



Folgen

Teilen

CVE-Diskussionen: Die als Common Vulnerabilities and Exposures veröffentlichten verbreiteten Schwachstellen und Sicherheitslücken werden häufig erwähnt. In Diskussionen zu Browser-Exploit-Kits (RIG, Grandsoft und Fallout) sowie zu Ransomware (GandCrab) waren die neuesten veröffentlichten CVE-Einträge das bestimmende Thema. In englischsprachigen und weniger technischen Untergrund-Foren entdeckten wir mehrere Diskussionen zu alten CVE-Implementierungen in häufig verwendeten Tools wie Trillium MultiSploit. Diese Threads zeigen, dass Cyber-Kriminelle stark daran interessiert sind, alte und neue Schwachstellen auszunutzen. Die Beliebtheit dieser Themen in Untergrund-Foren sollte Unternehmen dazu motivieren, bei Plänen zur Verbesserung der Widerstandsfähigkeit dem Schwachstellen-Management Priorität einzuräumen.

Malware zum Diebstahl von Kreditkartendaten, die E-Commerce-Webseiten angreift: Großmaßstäblicher Diebstahl von Kreditkartendaten, der bisher auf Kassen terminal-Systeme konzentriert war, nimmt jetzt (Drittanbieter-)Zahlungs plattformen auf großen E-Commerce-Webseiten ins Visier. Gruppen wie Magecart sind für viele Schlagzeilen der letzten Monate verantwortlich und griffen erfolgreich tausende Kreditkartendaten direkt auf den Webseiten der Opfer ab. Diese Kompromittierungen heizten die Nachfrage nach böswilligen Tools wie MagentoCore an, die durch Injizieren von böswilligem JavaScript-Code in anfällige Magento-Plattformen den Diebstahl von Kreditkarten-daten ermöglichen.

Shops für Kreditkartendaten: Trotz eines Rückgangs bei Kassenterminal-Betrug wie Skimming besteht durch jüngste große Diebstähle von Kreditkartendaten ein steter Zustrom „frischer“ Kreditkartendaten, die auf Webseiten wie JokerStash, Trump’s Dumps und Blackpass angeboten werden.

Abbildung 1. Anmeldeseite von Trump’s Dumps.

Kreditkartenunternehmen und E-Commerce-Webseiten machen große Fortschritte bei der Betrugserkennung, beispielsweise indem sie bei Online-Käufen geografische Standortprüfungen von IP-Adressen durchführen. Doch die Kriminellen reagierten sofort. So haben wir festgestellt, dass die Nachfrage nach kompromittierten Computern gestiegen ist, die sich im gleichen Postleitzahlenbereich befinden wie die gestohlenen Kreditkarteninformationen. Untergrundmärkte, die RDP-Zugänge (Remote Desktop Protocol) verkaufen, machen sich das zunutze.





https://cve.mitre.org

https://cve.mitre.org

https://securingtomorrow.mcafee.com/mcafee-labs/trillium-toolkit-leads-widespread-malware/



Folgen

Teilen

RDP-Shops Anfang des 3. Quartals veröffentlichten wir einen umfangreichen Bericht zu Online-Plattformen, die RDP-Zugang zu gehackten Computern verkaufen. Kriminelle bieten Anmeldedaten für Computersysteme überall auf der Welt an, sei es für Heimcomputer, medizinische Geräte oder sogar Behördensysteme. Die Beliebtheit der RDP-Shops ist auch in diesem Quartal ungebrochen. Hier werden Kriminelle bedient, die es auf Kreditkarten-betrug, Ransomware oder Kontenbetrug abgesehen haben. RDP-Shops wie Blackpass bieten jederzeit Zugang zu allen für Betrugsversuche notwendigen Tools. Hier werden aber auch US-amerikanische Sozialversicherungsnummern, Bankdaten sowie Online-Konten verkauft.

Betrüger halten die Nachfrage nach Systemen mit RDP-Zugang und mehreren aktiven Online-Konten weiterhin hoch. Kriminelle können so Online-Waren über die Konten ihrer Opfer bestellen und sie an eine andere Anschrift liefern lassen. Angesichts der Vielzahl gezielter Ransomware-Angriffe wie SamSam, BitPaymer und GandCrab, die als Eindringungsmethode auf RDP setzen, stellt dieses Protokoll für viele Unternehmen weiterhin eine Achillesferse dar.

Ransomware-as-a-Service In Untergrundforen gibt es großes Interesse an führenden Ransomware-as-a-Service-Familien wie GandCrab. Diese Entwickler bauen strategische Partnerschaften mit anderen unverzichtbaren Diensten

Abbildung 2. Der RDP-Shop Blackpass bietet Online-Konten und Kreditkartendaten an, die möglicherweise mit einer der Magecart-Kompromittierungen in Verbindung stehen.





https://securingtomorrow.mcafee.com/mcafee-labs/organizations-leave-backdoors-open-to-cheap-remote-desktop-protocol-attacks/

https://securingtomorrow.mcafee.com/mcafee-labs/organizations-leave-backdoors-open-to-cheap-remote-desktop-protocol-attacks/



Folgen

Teilen

wie Crypter-Services und Exploit-Kits auf, um ihren Kunden bessere Angebote machen zu können und die Infektionsraten zu steigern. Zum Ende des 3. Quartals veröffentlichten wir Untersuchungen zur Partnerschaft der neuesten GandCrab-Version mit dem relativ neuen Crypter-Service NTCrypt. Diese Partnerschaft entstand, nachdem NTCrypt einen Crypter-Wettbewerb gewann, den die Gruppe hinter GandCrab ausgeschrieben hatte. Ein Crypter-Dienst stellt die Malware-Verschleierung bereit, mit der Malware-Schutzprodukte unterlaufen werden können.

Android-Malware: Wir registrierten eine Zunahme der Diskussionen zu Mobilgeräte-Malware, insbesondere für Android. Dabei ging es in erster Linie um Botnets, Online-Banking-Betrug, Ransomware und das Umgehen von Zwei-Faktor-Authentifizierung.

Weitere Malware und Botnets: Diese beiden Bereiche stellen das Rückgrat der Cyber-Kriminalität dar und sind regelmäßig Thema im Cyber-kriminellen Untergrund. Neben Threads zu bekannten Malware-Familien und großen Botnets fanden wir zahlreiche Diskussionen zu kleinen, unbekannten Botnets, Malware zum Schürfen von Kryptowährungen sowie Remote-Zugriff-Trojanern. Abgesehen von GandCrab und den Partnerdiensten stachen in den Diskussionen keine weiteren spezifischen Malware-Familien hervor.

Distributed-Denial-of-Service: DDoS-Angriffsmethoden und Booter-/Stresser-Dienste sind auch weiterhin interessante Themen für junge Cyber-Kriminelle, die in meist englischsprachigen und weniger technisch orientierten Foren besprochen wurden.

Abbildung 3. Die Partnerschaft von NTCrypt und GandCrab, die einen Sonderpreis für GandCrab-Benutzer bekanntgibt.





https://securingtomorrow.mcafee.com/mcafee-labs/rapidly-evolving-ransomware-gandcrab-version-5-partners-with-crypter-service-for-obfuscation/



Folgen

Teilen

Zahl der Ransomware-Familien geht zurückObwohl die Zahl der individuellen Ransomware-Familien in den vergangenen Monaten zurückging, blieb diese Bedrohung im 3. Quartal weiterhin aktiv. Der Rückgang neuer Familien ist möglicherweise darauf zurückzuführen, dass viele Ransomware-Akteure zu einem lukrativeren Geschäftsmodell wechseln: dem Cryptomining.

Zu den aktivsten Ransomware-Familien des 3. Quartals gehörte GandCrab. Aufgrund des Partnerprogramms dieser Familien starteten mehrere Beteiligte nach der Veröffentlichung neuer Versionen eigene Kampagnen. Da die Entwickler stets versuchten, den Reaktionen der Sicherheitsbranchen einen Schritt voraus zu bleiben, kamen zahlreiche neue Versionen heraus. Die gewaltige Zahl der GandCrab-Varianten trug deutlich zum Anstieg neuer Ransomware-Varianten im 3. Quartal bei.

Zu den Änderungen gehörten:

■ Exploit-Kit Fallout hinzugefügt, um die Zahl der Infektionen zu steigern

■ Schwachstelle CVE-2018-8440 ausgenutzt (für die im September ein Patch veröffentlicht wurde), um die Zahl der Infektionen zu steigern

■ Verschlüsselte Dateien erhalten zufällige Erweiterungen mit fünf Zeichen

■ Möglichkeit hinzufügt, Prozesse zu stoppen, die mit Word, Excel, SQL Server, Oracle, PowerPoint, Outlook und anderen Anwendungen zusammenhängen

Die größte Änderung betraf jedoch den Anstieg der geforderten Lösegeldsumme: Für die Herausgabe des Entschlüsselungsschlüssels verlangt GandCrab Version 5

eine Lösegeldzahlung von 2.400 US-Dollar, während frühere Versionen noch 1.000 US-Dollar forderten.

Neue Ransomware-Familien

0

40

20

120

100

80

60

3. Q. 4. Q. 1. Q. 2. Q. 3. Q.2017 2018

Quelle: McAfee Labs, 2018.

Neue Ransomware-Varianten

0

1.000.000

500.000

2.500.000

2.000.000

1.500.000

4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q. 3. Q.2016 2017 2018








Folgen

Teilen

Gemeinsamkeiten von Version 5 mit früheren Versionen:

■ Infiziert keine russischen Benutzer ■ Enthält eine hartkodierte URL-Liste, die für den Versand

der Systeminformationen des Opfers kontaktiert wird ■ Die Website für Lösegeld/Zahlung/Entschlüsselung

ist weiterhin die Dark Web-Seite unter hxxp://gandcrabmfe6mnef[.]onion

■ Verwendet den hartkodierten Schlüssel „jopochlen“ zur Verschlüsselung der Informationen des Opfers per RC4-Algorithmus

Das Advanced Threat Research-Team hat einen ausführlichen Bericht zu GandCrab Version 5 und den Neuerungen veröffentlicht.

Eine weitere aktive Ransomware-Familie im 3. Quartal war Scarab. Hier wurden sechs neue Varianten sowie zahlreiche Updates für aktuelle Varianten veröffentlicht (mit neuen Erweiterungen für verschlüsselte Dateien,

neuen Ransomware-Hinweisen usw.). Diese Ransomware-Familie hat anscheinend keine bestimmten Zielsektoren oder Regionen, auf die sie besonders abzielt.

Neue Varianten im 3. Quartal:

■ Scarab-Omerta: Juli ■ Scarab-Bin: Juli ■ Scarab-Recovery: Juli ■ Scarab-Turkish: Juli ■ Scarab-Barracuda: Juli ■ Scarab-CyberGod: August

Updates im 3. Quartal:

■ Scarab-Please: Ransomware ■ Scarab-Bitcoin: Ransomware ■ Scarab-Crypt000: Ransomware ■ Scarab-DiskDoctor: Ransomware ■ Scarab-Bomber: Ransomware

Ausführung Persistenz Berechtigungs-eskalation

Umgehung der Schutz-maßnahmen

Zugriff auf Anmeldedaten

Erkennung

Windows-Verwaltungs-instrumentation

Autostart-Elemente Prozessinjektion Prozessinjektion Hooking Datei- und Verzeichnis-erkennung

Hooking Geplanter Task Umgehung der Benutzer-kontensteuerung

Eingabenerfassung

Schlüssel zur Registrierungs-ausführung/Systemstartordner

Umgehung der Benutzer-kontensteuerung

Deaktivierung von Sicherheits-Tools

Geplanter Task DLL Search Order-Hijacking

Dateilöschung

Abbildung 4. Das Advanced Threat Research-Team ordnete Malware und andere Angriffe im 3. Quartal im MITRE ATT&CK™-Framework zu. Wir haben Techniken entfernt, die nicht verwendet wurden. Je dunkler der Hintergrund, desto häufiger wurde die Technik eingesetzt.







https://attack.mitre.org



Folgen

Teilen

Cryptomining-Boom setzt sich fortDas Schürfen von Kryptowährung per Malware gehörte zu den großen Themen des Jahres 2018. Die Gesamtzahl der „Coin Miner”-Malware-Varianten stieg im letzten Jahr um mehr als 4.000 Prozent.

Neue Coin Miner-Malware-Varianten

500.000

0

2.500.000

4.500.000

4.000.000

3.000.000

3.500.000

2.000.000

1.500.000

1.000.000

4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q. 3. Q.2016 2017 2018


Der Sicherheitsforscher Remco Verhoef entdeckte eine Mac OS-Bedrohung, die über Cryptomining-Chatgruppen verbreitet und später als OSX.Dummy bezeichnet wurde. Die Ausnutzung ist recht einfach: Die Opfer müssen im OS X-Terminal lediglich einen einzeiligen Befehl ausführen, um die Schaddaten herunterzuladen und auszuführen.

Der Akteur schrieb Nachrichten in den Kanälen Slack, Telegram und Discord mit der Empfehlung einer Software, mit der sich angeblich Crypto-Probleme beheben lassen. Die gefälschte Software führt sich in Bash mit einer einzigen Zeile aus. Es wurde also kein unbekanntes

Exploit oder Exploit-Kit verwendet. Stattdessen infizierten die Benutzer im Grunde ihre eigenen Geräte. Bei der Ausführung öffnet OSX.Dummy ein Reverse-Shell auf einem böswilligen Server, der dem Angreifer Zugriff auf das kompromittierte System ermöglicht.

Cryptominer werden jedes zuverlässige Szenario ausnutzen. Einige Sicherheitsforscher stellten fest, dass inoffizielle Repositorys des Open-Source-Media-Players Kodi ein modifiziertes Add-on enthielten, das Cryptomining-Malware herunterlädt. Diese Operation begann bereits 2017.

Eine weitere Kampagne setzte auf die Schwachstelle CVE-2018-14847, die ungepatchte MikroTik-Router ausnutzt. Der Sicherheitsforscher Troy Mursch entdeckte mehr als 3.700 kompromittierte Geräte, die als Miner missbraucht wurden. Diese Kampagne zielt besonders auf Nordamerika und Brasilien ab.

Kaum jemand rechnet damit, dass Router oder IoT-Geräte (z. B. IP-Kameras und Videorekorder) als Cryptominer missbraucht werden, da deren CPUs nicht so leistungs stark sind wie die von Desktop- oder Laptop-Computern. Da diese Geräte jedoch nur über unzureichende Sicherheitskontrollen verfügen, profitieren die Cyber-Kriminellen mehr von der enormen Anzahl statt von der CPU-Geschwindigkeit. Wenn sie tausende Geräte über einen langen Zeitraum zum Schürfen von Kryptowährungen nutzen können, verdienen sie damit dennoch viel Geld.

Coin Miner-Malware kapert Systeme, um ohne Zustimmung oder Wissen des Opfers Kryptowährung zu generieren („Mining“). Die Zahl neuer Coin Miner-Bedrohungen schnellte im Jahr 2018 in die Höhe.





https://badpackets.net/200000-mikrotik-routers-worldwide-have-been-compromised-to-inject-cryptojacking-malware/



Folgen

Teilen

Neue Mobilgeräte-Malware-Varianten

500.000

0

2.500.000

3.000.000

2.000.000

1.500.000

1.000.000

4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q. 3. Q.2016 2017 2018


Mobilgerätebedrohungen nehmen dank gefälschter Apps zuInsgesamt betrachtet ging die Zahl der neuen Mobil-geräte-Malware-Varianten im 3. Quartal zurück, und McAfee-Kunden mit Mobilgeräteschutz meldeten in diesem Quartal 36 Prozent weniger Infektionen. Trotz des Abwärtstrends wurden im 3. Quartal einige ungewöhnliche Mobilgerätebedrohungen beobachtet. Die Bandbreite reichte dabei von gefälschten „Cheat“-Apps für das Spiel Fortnite, die Malware installieren, bis zu Mobile-Banking-Trojanern und Apps, die unerwünschte Werbung anzeigen. Wir beobachteten Angriffe auf Mitglieder der israelischen Streitkräfte, bei denen gefälschte Dating-Apps die Geräte infizierten. Die gefälschten Apps ermöglichten die Exfiltration von Standortdaten und der Kontaktliste, das Abhören von Telefongesprächen sowie die Nutzung der Kamera.


Ausführung Persistenz Berechtigungs-eskalation

Umgehung der Schutzmaßnahmen

Erkennung Steuerung

Ausführung durch Laden eines Moduls




Abfrage der Registrierung

Datenverschleierung

Lokale Auftragsplanung Hooking Hooking Selten verwendeter Port

Geplanter Task Prozessinjektion

Drittanbieter-Software Geplanter Task

Autostart-Elemente Abbildung 5. MITRE ATT&CK™-Framework. Je dunkler der Hintergrund, desto häufiger wurde die Technik eingesetzt.








Folgen

Teilen

Weltweite Infektionsratenfür Mobilgeräte-Malware

(Anteil der Mobilgerätekunden, die eine Infektion melden)

2 %

0 %

10 %

12 %

14 %

8 %

6 %

4 %

4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q. 3. Q.2016 2017 2018


Regionale Infektionsratenfür Mobilgeräte-Malware

(Anteil der Mobilgerätekunden, die eine Infektion melden)

4 %

2 %

6 %

8 %

0 %

18 %

14 %

16 %

12 %

10 %

Afrika Asien Australien Europa Nord-amerika

Süd-amerika

4. Q. 2017 1. Q. 2018 2. Q. 2018 3. Q. 2018


Im 3. Quartal erkannte das McAfee Mobile Research-Team eine Bedrohung, die mindestens 5.000 Geräte infizierte. Android/TimpDoor verteilt sich per Phishing über Textnachrichten und verleitet seine Opfer zum Herunterladen sowie Installieren einer gefälschten Sprachnachrichten-App, mit der Cyber-Kriminelle infizierte Geräte ohne Wissen der Benutzer als Netzwerk-Proxy missbrauchen können. Sobald die gefälschte App installiert ist, startet ein Hintergrunddienst einen SOCKS-Proxy, der den gesamten Netzwerkverkehr von einem Drittanbieter-Server per verschlüsselter Verbindung über einen sicheren Shell-Tunnel leitet. Auf diese Weise wird der Zugriff auf interne Netzwerke und die Umgehung von Netzwerksicherheitsmaßnahmen (z. B. Firewalls und Netzwerk-Monitore) ermöglicht.

Geräte, auf denen TimpDoor ausgeführt wird, könnten als Mobilgeräte-Backdoors für den heimlichen Zugriff auf Unternehmens- und Heimnetzwerke dienen, da der böswillige Datenverkehr und die Schaddaten verschlüsselt werden. Schlimmer noch: Mit einem Netzwerk aus kompromittierten Geräten können auch lukrativere Ziele umgesetzt werden, z. B. Versand von Spam- und Phishing-E-Mails, Umsetzung von Werbe-banner-Klickbetrug oder Durchführung von verbreiteten Denial-of-Service-Angriffen.





https://securingtomorrow.mcafee.com/mcafee-labs/android-timpdoor-turns-mobile-devices-into-hidden-proxies/



Folgen

Teilen

Die böswillige App gibt sich als legitime Sprach-App aus, doch die Schaltflächen und Funktionen sind wirkungslos.

Abbildung 6. Die gefälschte Sprachnachrichten-App Android/TimpDoor.

Abbildung 7. Eine der interessantesten Eigenschaften von Android/ Timpdoor ist die Möglichkeit, die SSH-Verbindung offen zu halten.

Die App verfügt über einen Alarm, damit die Verbindung aufrecht erhalten bleibt und kontinuierlich Informationen zum Gerät hochgeladen werden.







Folgen

Teilen

Die Cisco Talos-Gruppe deckte eine Kampagne auf, die 13 iPhone-Geräte mit einem böswilligen Mobilgeräte-Manager infizierte. Die eigentliche Infektionsmethode ist bisher unbekannt: Die Angreifer benötigen physischen Zugriff oder Social-Engineering-Techniken, um den Geräte-Manager starten zu können. Der Workflow und die Möglichkeiten der Infektion sehen wie folgt aus:

Abbildung 8. Quelle: Cisco Talos Intelligence Group.





https://blog.talosintelligence.com/2018/07/Mobile-Malware-Campaign-uses-Malicious-MDM.html



Folgen

Teilen

Die Angreifer verwendeten BOptions-Sideloading-Techniken, um eine dynamische Bibliothek zu injizieren und Funktionen zu legitimen Apps hinzuzufügen. Dieser Angriff erinnert uns daran, dass die Entwicklungs- und Framework-Umgebungen ebenfalls angreifbar sind – sofern sie nicht ordnungsgemäß geschützt werden.

Erster Zugriff Persistenz Umgehung der Schutzmaßnahmen

Erkennung Erfassung Exfiltration Steuerung

Spearphishing-Anhang Dylib-Hijacking Manipulation des Zugriffs Tokens

Kontoerkennung Audio-Erfassung Automatisierte Exfiltration Häufig verwendeter Port

Spearphishing-Link Code-Signierung Erkennung des Anwendungsfensters

Automatisierte Erfassung Datenkomprimierung Remote-Dateikopie

Spearphishing über einen Dienst

Erkennung von Browser-Lesezeichen

Zwischenablagedaten Datenverschlüsselung Standardprotokoll für Anwendungsebene

Datei- und Verzeichniserkennung

Daten von Informations-Repositorys

Größenbeschränkung für die Datenübertragung

Erkennung des Systemeigentümers/Benutzers

Daten vom lokalen System Exfiltration über alternatives Protokoll

Erkennung des Systemdienstes

E-Mail-Erfassung Exfiltration über Steuerungskanal

Erkennung der Systemzeit Eingabenerfassung Exfiltration über anderes Netzwerkmedium

Bildschirmaufzeichnung Exfiltration über ein physisches Medium

Geplante Übertragung

Abbildung 9. MITRE ATT&CK™-Framework. Je dunkler der Hintergrund, desto häufiger wurde die Technik eingesetzt.

Banking-Trojaner nehmen ungewöhnliche Dateitypen ins VisierAufgrund der Effektivität der Kampagnen sowie der Profite der Cyber-Kriminellen blieb Banking-Malware im Laufe des ganzen Jahres eine ständige Bedrohung. Im 3. Quartal beobachteten wir, dass ungewöhnliche Dateitypen immer häufiger in Spam-Kampagnen genutzt werden. Diese Angriffe setzten auf die Umgehung der E-Mail-Schutzsysteme, die für die Blockierung und Analyse häufig verwendeter Office-, Archiv-, Skript- und anderer Dateien konfiguriert sind. In diesem Quartal stellten wir fest, dass IQY-Dateien (ein Excel-Format) in mehreren Wellen gesendet wurden und unterschiedliche Malware-Familien auf infizierte Geräte übertrugen. Bei diesen Kampagnen wurden die Benutzer mit den üblichen Social-Engineering-Phrasen wie „Fotos gesendet“, „Zahlung“ oder „Bitte bestätigen“ aufgefordert, auf die E-Mail-Anhänge zu klicken. Die Kampagnen umfassten etwa 500.000 E-Mails, die weltweit versendet wurden.








Folgen

Teilen

Spam-Kampagne

Trojaner sendet

IQY-Datei

PowerShell verwendet DDE-Technik

IQY-Dateien

Prüft, ob infiziertes System sich in Japan befindet

Lädt Ursnif-Malware herunter und führt sie aus

IQY-Datei ruft bestimmte URL für Skriptdatei ab

Abbildung 10. Die Infektionskette nutzt eine Kombination von IQY-Dateien zusammen mit DDE und PowerShell, um die Malware-Familien Ursnif oder Bleboh zu übertragen.

Im 3. Quartal stellten wir fest, dass bei vielen Kampagnen überzeugende E-Mails genutzt wurden, die auf die Zielbranchen abgestimmt waren und Benutzer zum Klicken verleiten sollten.

In den letzten Jahren haben Finanzinstitute zusätzliche Sicherheitsmaßnahmen eingeführt, um ihre Kunden besser zu schützen. Eine effektive Methode ist die Zwei-Faktor-Authentifizierung für Vorgänge wie Geldüberweisungen an andere Konten oder die Anmeldung bei Bankkonten. Im 3. Quartal entdeckte das Advanced Threat Research-Team,







Folgen

Teilen

dass eine bekannte Malware-Familie ihre „Web-Injektionen“ für Zwei-Faktor-Operationen aktualisiert hatte, um bestimmte Finanzdienstleister anzugreifen.

Abbildung 11. Eine Web-Injektionsdatei für die Zeus Panda-Malware. Quelle: Cofense.

Zeus Panda ändert häufig die Web-Injektionen und nutzt neue Techniken, um die aktuellen Schutzmaßnahmen im Finanzsektor zu unterlaufen.

Im 3. Quartal aktualisierten einige bekannte Malware-Familien ihre Versionen mit kleinen Änderungen. Der Banking-Trojaner Kronos wurde im Jahr 2014 entdeckt und war zu diesem Zeitpunkt sehr beliebt. In diesem Jahr erschien eine neue Version, die ihren eigenen Kontroll-Server im Tor-Netzwerk hostet und die Banking-Malware Osiris unter einem anderen Namen auf Untergrundmärkten verkaufte. Eine weitere neue Kampagne war gegen Benutzer in Deutschland gerichtet und verteilte böswillige DOC-Dateien, die Kronos herunterluden. Kronos wurde im 3. Quartal auch vom Exploit-Kit RIG verbreitet, das zuvor Zeus Panda auf die Computer der Opfer übertrug.

Banking-Malware wird in Brasilien schon seit langem in großer Zahl eingesetzt. Im 3. Quartal entdeckte McAfee eine neue Familie, die das Land ins Visier nahm: CamuBot versucht, sich als Sicherheitsmodul zu tarnen, das von den angegriffenen Banken vorgeschrieben wird. Mit anderen brasilianischen Malware-Familien hat CamuBot nur wenige Gemeinsamkeiten, dafür jedoch mit nicht-brasilianischen Malware-Familien wie TrickBot, Ursnif, Dridex und Qakbot. Damit sind die brasilianischen Benutzer einer neuen „Qualität“ von ausgesetzt: Verglichen mit Banking-Malware, die auf anderen Kontinenten aktiv ist, sind die meisten bisher auf brasilianische Benutzer abzielenden Bedrohungen weniger raffiniert. Organisierte Cyber-Gangs in Brasilien sind sehr aktiv dabei, ihre Landsleute anzugreifen. Sie haben viel von ihren osteuropäischen Kollegen gelernt und passen ihre Malware an, um anderswo entwickelte Techniken einzusetzen.







Folgen

Teilen

Ausführung Persistenz Umgehung der Schutz-maßnahmen


Erkennung Bewegung innerhalb des Netzwerks

Erfassung Exfiltration Steuerung

Ausnutzung für Client-Ausführung

Bootkit Code-Signierung Hooking Erkennung des Anwendungsfensters

Distributed Component Object Model

Zwischenablage daten Daten komprimierung Datenkodierung

PowerShell Kernel-Module und Erweiterungen

DCShadow Eingabenerfassung Datei- und Verzeichnis erkennung

Pass the Hash E-Mail-Erfassung Exfiltration über alternatives Protokoll

Selten verwendeter Port


Lokale Auftragsplanung

Dateilöschung Netzwerkdienst-Scans

Remote Desktop Protocol

Office-Anwendungsstart

Änderung der Registrierung

Erkennung von Peripheriegeräten


Prozessinjektion Prozesserkennung

Schwachstelle bei Dienstregistrierungs-berechtigungen

Skripting Abfrage der Registrierung

Software-Packing Erkennung von Sicherheits-Software

Erkennung von System informationen

Erkennung der Systemzeit


Exploit-Kits unterstützen Schwachstellen und RansomwareMit Exploit-Kits werden zahlreiche Cyber-kriminelle Aktivitäten umgesetzt. Einige bleiben weiterhin aktiv, während andere durch Aktionen von Strafverfolgungsbehörden ausgeschaltet werden. Im 3. Quartal betraten zwei neue Exploit-Kits die Bühne.

Fallout: Dieses Exploit-Kit wurde im August entdeckt. Es nutzt Fehler in Adobe Flash Player und Microsoft Windows aus und gibt Angreifern nach einer erfolgreichen Infektion die Möglichkeit, Malware auf den Computer des Opfers herunterzuladen. Dieses Exploit-Kit hat Gemeinsamkeiten mit dem Exploit-Kit Nuclear. Fallout wurde bei Untersuchungen einiger japanischer Organisationen entdeckt, obwohl keine Region gezielt angegriffen wurde. Dieses Kit enthält ausschließlich die Schwachstellen CVE-2018-4878 und CVE-2018-8174, wobei letztere Schwachstelle zur Verbreitung von GandCrab Version 5 verwendet wurde.








Folgen

Teilen

Das nachfolgende Diagramm basiert auf Telemetriedaten von McAfee® Global Threat Intelligence und zeigt die Verbreitung der vier Ransomware-Varianten von GandCrab Version 5, die wir Ende September und Anfang Oktober entdeckten und höchstwahrscheinlich mit dem Exploit-Kit Fallout verteilt wurden. Das Diagramm zeigt eine typische Exploit-Kit-Infektionsrate – mit einer sehr hohen Rate in der Anfangsphase und einem schnellen Rückgang innerhalb kurzer Zeit. Das entspricht dem typischen Geschäftsmodell für Exploit-Kits: Der Kunde zahlt entweder pro Installation oder für einen festen Zeitraum. Der Anstieg vom 28. September hängt daher wahrscheinlich mit dem Release weiterer Varianten durch Partner zusammen.

McAfee GTI-Meldungen der Ransomware GandCrab Version 5 über einen Zeitraum von 10 Tage

24.09. 25.09. 26.09. 27.09. 28.09. 29.09. 30.09. 01.10. 02.10. 03.10.

Hashes

e168e9e0f4f631bafc47ddf23c9848d7

96ead54f6aacd7c40e2d060cb303fa83

884f86d79065d97244eea7ab68b129ce

07fadb006486953439ce0092651fd7a6

Underminer: Dieses Exploit-Kit wurde im Juli entdeckt. Es schützt seinen eigenen Code und den Kontroll-Server-Datenverkehr per RSA-Verschlüsselung und nutzt Fehler in Microsoft Internet Explorer und Flash Player, um Benutzer mit verschiedener Malware (z. B. Cryptominern und Boot-Kits) zu infizieren. Das Exploit-Kit wird gezielt im asiatisch-pazifischen Raum eingesetzt. Im 3. Quartal wurden zwei Schwachstellen zu diesem Kit hinzugefügt: CVE-2018-4878 (Adobe Flash Player <= 28.0.0.137 Use-after-free-Remote-Code-Ausführung) und CVE-2018-8174 (Remote-Code-Ausführungsschwachstelle in Windows-VBScript-Modul). Weitere Informationen finden Sie im nächsten Abschnitt.







Folgen

Teilen

Erster Zugriff Ausführung Berechtigungseskalation Umgehung der Schutzmaßnahmen

Drive-by-Kompromittierung Ausnutzung für Client-Ausführung Ausnutzung für Berechtigungseskalation

Umgehung der Benutzerkontensteuerung

Ausnutzung von öffentlicher Anwendung

Skripting Ausnutzung zur Umgehung der Schutzmaßnahmen


Schwachstellen öffnen Tür zu Shellcode und Schwachstellen-EskalationIm 3. Quartal stachen drei Schwachstellen aufgrund ihrer Nutzung durch neue Malware-Familien oder Kampagnen hervor.

Windows VBScript Engine Remote Code Execution Vulnerability (Remote-Code-Ausführungsschwachstelle in Windows-VBScript-Modul, CVE-2018-8174). Dieser Fehler wurde im Mai per Patch behoben, jedoch im 3. Quartal durch „Operation Personality Disorder“ ausgenutzt. Die Angreifer nutzten böswillige RTF-Dokumente mit eingebettetem VBScript, um einen Fehler in Internet Explorer auszunutzen und Shellcode auszuführen. Der Code lud eine Backdoor-Malware auf den Computer des Opfers herunter und übergab dem Angreifer die Kontrolle über das infizierte System. Die Kampagne wurde von der Cobalt Gang durchgeführt, deren vermuteter Anführer im Jahr 2018 in Spanien verhaftet wurde.

Diese Schwachstelle wurde im 3. Quartal zu zwei neuen Exploit-Kits (Fallout und Underminer) hinzugefügt. Der Fehler wurde auch ausgenutzt, um Benutzer mit GandCrab Version 5 per Fallout zu infizieren. Die Bedrohungsakteure hinter der Malvertising-Kampagne nutzten legitime Werbeseiten aus, um Opfer auf eine Landing Page mit dem Exploit-Kit umzuleiten. Die Landing Page enthielt Base64-kodierten VBScript-Code, der von einer JavaScript-Funktion dekodiert wird. Der dekodierte Code führt Shellcode aus, indem er den Fehler im VBScript-Modul ausnutzt. Anschließend lädt der Shellcode die Schaddaten herunter, die GandCrab in den Speicher des infizierten Systems laden.

Windows ALPC Elevation of Privilege Vulnerability (Windows ALPC-Schwachstelle mit Erhöhung von Berechtigungen, CVE-2018-8440). Diese Sicherheitslücke wurde im September geschlossen. Der Zero-Day-Fehler machte Schlagzeilen, nachdem Sicherheitsforscher, die den Fehler fanden, Ende August Proof-of-Concept-Details auf Twitter und GitHub veröffentlichten – was Microsoft zwang, in den September-Updates einen Patch bereitzustellen. Durch den Fehler konnte jeder mit lokalen Zugriffsrechten Systemprivilegien erlangen. Mithilfe der Schwachstelle wurden Benutzer mit GandCrab infiziert, wobei ein Berechtigungseskalationsfehler in Windows ausgenutzt wurde, durch den die Ransomware höhere








Folgen

Teilen

Berechtigungen erlangen und so viele Dateien wie möglich verschlüsseln konnte. Der Angriff versucht, ein Problem im Windows-Task-System auszunutzen, bei dem das Betriebssystem Aufrufe eines erweiterten lokalen Prozeduraufrufs nicht ordnungsgemäß verarbeitet. Aufgrund der Methode, mit der der Malware-Autor den Code kompiliert hatte, funktionierte eine Version des Exploit-Codes nur mit Windows 7 bis Windows 10. Der kompilierte Code wurde unter Windows XP oder Vista nicht ausgeführt, da für einige Aufrufe die Datei xpsprint.dll benötigt wurde, die bei diesen alten Versionen nicht existierte.

Scripting Engine Memory Corruption Vulnerability (Schwachstelle bezüglich Speicherbeschädigung im Skripting-Modul, CVE-2018-8373). Eine Variante einer Remote-Code-Ausführungsschwachstelle im Skripting-Modul von Internet Explorer, die von QuasarRAT ausgenutzt wird. Der Exploit funktionierte nicht in allen Umgebungen gleich gut und konnte die Malware nicht in allen Fällen erfolgreich ausliefern. Mehrere Sicherheitsanalystengruppen, darunter das McAfee Advanced Threat Research-Team, veröffentlichten Informationen zur Kampagne und der Funktionsweise der Malware. Laut einem Team speichert VBScript!AccessArray die Adresse eines Array-Elements im Stack. VBScript!AssignVar löst anschließend den Aufruf der Default Property Get-Funktion im Skript aus, um die Länge des Arrays zu ändern. Das leert den Arbeitsspeicher des Elements, dessen Adresse im Stack von VBScript!AccessArray gespeichert wurde. Nach dem Patchen wurde die Funktion SafeArrayLock hinzugefügt, um das aktuelle Array vor VBScript!AssignVar zu sperren, sodass die Array-Länge nicht mehr in der Default Property Get-Funktion geändert werden kann.







Folgen

Teilen

Das folgende Diagramm zeigt die Häufigkeit der Ausnutzung von Schwachstellen, die im 3. Quartal in einer durchschnittlichen Woche in Malware-Kampagnen genutzt wurden. Die Angreifer nutzten die meisten dieser Schwachstellen aus, um Dokumente mit Schadcode zu versehen und ein böswilliges Programm zu installieren sowie zu starten:

Durchschnittliche Anzahl von Schwachstellenausnutzungendurch Malware-Kampagnen pro Woche im 3. Quartal

10

5

15

20

0

40

35

30

25

CVE-2017-11882

CVE-2017-0147

CVE-2017-0199

CVE-2012-0158

CVE-2010-2568

CVE-2014-6332

CVE-2018-4878

CVE-2008-2551

CVE-2008-0015

CVE-2016-4273

CVE-2017-8464








Folgen

Teilen

Von Cyber-Spionage motivierte gezielte AngriffeIm 3. Quartal registrierte das Advanced Threat Research-Team mehr als 35 öffentlich bekannt gewordene gezielte Angriffe. Das Hauptziel dieser Angriffe war Cyber-Spionage. Die Aktivitäten standen meist im Zusammenhang mit politischen Spannungen in verschiedenen Regionen, sodass staatliche Akteure auf Cyber-Operationen setzten, um an Informationen zu gelangen.

McAfee glaubt, dass mehrere Aktionen von Akteurgruppen durchgeführt wurden, die von der russischen Regierung beauftragt wurden. Am aktivsten waren in diesem Zeitraum die Gruppen APT28, Dragonfly und Sandworm, die Regierungsbehörden, Labore, Energieversorger und den Militärsektor angriffen.

Forscher von ESET entdeckten das erste Rootkit, das auf die Ausnutzung von UEFI (Unified Extensible Firmware Interface) spezialisiert ist. Laut ESET wurde die Malware von APT28 entwickelt und eingesetzt. Diese als LoJax bezeichnete Bedrohung infiziert das UEFI und kann einen Neustart des Computers und selbst einen Austausch der Festplatte überstehen. Zur Verteilung der Malware nutzten die Akteure trojanisierte Versionen der Diebstahlschutz-Software LoJack. Laut den Telemetriedaten der Forscher zählten Regierungsbehörden auf dem Balkan sowie in Mittel- und Osteuropa zu den Opfern.

Einige der Gruppen setzen jetzt stärker auf Open-Source-Tools sowie Makros und Skripte. Ansonsten bietet ihr Code abgesehen von einfachen Verbesserungen nicht viel Neues.

Die folgenden zwei Kampagnen sind Beispiele für Angriffe, die gezielt Finanzinstitute attackieren.

Operation Double Infection: Diese Kampagne wurde im August entdeckt und nutzt Spearphishing-E-Mails, die zwei böswillige URLs enthalten, mit denen zwei Backdoors installiert werden sollen. Die E-Mails stammen vorgeblich von Finanzinstituten und sollen Gelder von den Opfern stehlen. Die Angreifer hinter der Operation konzentrierten sich auf Unternehmen in Osteuropa und Russland.

Operation Personality Disorder: Diese Kampagne nutzt entweder einen böswilligen Anhang oder eine URL in einer E-Mail, um die Backdoor More_eggs herunterzuladen. Bei einer erfolgreichen Ausnutzung können die Bedrohungsakteure die Kontrolle über den Computer übernehmen, auf Systeminformationen zugreifen und das finale Schaddatenpaket, Cobalt Strike, installieren. Die Phishing-E-Mails stammen scheinbar von europäischen Finanzinstituten. Einige der beim Angriff verwendeten böswilligen RTF-Dateien enthalten Exploits für eine Reihe von Schwachstellen wie CVE-2018-8174. (Weitere Informationen finden Sie im Abschnitt zu den Schwachstellen.)





https://csecybsec.com/download/zlab/20180713_CSE_APT28_X-Agent_Op-Roman%20Holiday-Report_v6_1.pdf

https://www.wsj.com/articles/russian-hackers-reach-u-s-utility-control-rooms-homeland-security-officials-say-1532388110?mod=mktw

https://www.blick.ch/news/schweiz/schweizer-analysierten-nervengift-attacke-putins-hacker-greifen-labor-spiez-an-id8668234.html

https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/

https://www.mcafee.com/enterprise/de-de/threat-center/threat-landscape-dashboard/campaigns-details.operation-double-infection.html

https://www.mcafee.com/enterprise/de-de/threat-center/threat-landscape-dashboard/campaigns-details.operation-personality-disorder.html



Beide Kampagnen haben Folgendes gemeinsam:

■ Angriffe auf Finanzinstitute in Osteuropa und Russland ■ Verwendung von Phishing-E-Mails, die scheinbar von legitimen Finanzinstituten oder Anbietern stammen ■ Nutzung böswilliger Word-Dokumente mit VBA-Code, die Systeme infizieren, nachdem der Benutzer die Ausführung von Makros erlaubt hat ■ Nutzung eigener JavaScript-Binärdatei-Backdoors, die als Textdateien getarnt sind und Vollzugriff auf das infizierte System gewähren ■ Nutzung des Befehlszeilen-Tools cmstp.exe (für den Microsoft Connection Manager Profile Installer) mit einer böswilligen Installationsinformationsdatei,

um Microsoft Windows AppLocker zu umgehen und Remote-Code herunterzuladen sowie auszuführen ■ Nutzung von regsvr32.exe zur Umgehung von Windows AppLocker ■ Werden vom bekannten Bedrohungsakteur Cobalt Group durchgeführt; die Gruppe ist seit 2013 aktiv und soll hinter mehr als 100 Angriffen

auf Finanzinstitute auf der ganzen Welt stehen ■ Der mögliche Kopf der Gruppe wurde im März verhaftet, doch noch immer finden Angriffe statt

Erster Zugriff Ausführung Persistenz Berechtigungs-eskalation





Drive-by-Kompromittierung

CMSTP Component Object Model-Hijacking



Brute Force Kontoerkennung Ausnutzung von Remote-Diensten

Audio-Erfassung Automatisierte Exfiltration

Häufig verwendeter Port

Ausnutzung von öffentlicher Anwendung

Befehls zeilen-schnittstelle

Kontoerstellung DLL Search Order-Hijacking

CMSTP Herunterladen von Anmelde-informationen

Datei- und Verzeichnis erkennung

Anmeldeskripte Automatisierte Erfassung

Datenkomprimierung Verbindungs-Proxy

Replikation über Wechselmedien

Ausführung per API DLL Search Order-Hijacking

Ausnutzung für Berechtigungs-eskalation

Code-Signierung Anmeldedaten in Dateien

Netzwerkdienst-Scans

Remote Desktop Protocol

Daten von Informations-Repositorys

Datenverschlüsselung Spezifisches Steuerungs protokoll

Spearphishing-Anhang

Ausnutzung für Client-Ausführung

Verborgene Dateien und Verzeichnisse

Hooking Component Object Model-Hijacking

Hooking Erkennung von Netzwerkfreigaben

Drittanbieter-Software

Daten vom lokalen System

Exfiltration über alternatives Protokoll

Datenkodierung

Spearphishing-Link Grafische Benutzeroberfläche

Hooking Neuer Dienst Entschleierung/Dekodierung von Dateien oder Informationen

Eingabenerfassung Erkennung von Peripheriegeräten

Windows-Administrator-freigaben

Daten-Staging Exfiltration über Steuerungskanal

Datenverschleierung

Kompromittierung der Lieferkette

LSASS-Treiber Anmeldeskripte Prozessinjektion DLL Search Order-Hijacking

Eingabeaufforderung Prozesserkennung E-Mail-Erfassung Exfiltration über anderes Netzwerkmedium

Multi-Stage-Kanäle

Vertrauenswürdige Beziehung

PowerShell LSASS-Treiber Geplanter Task Ausnutzung zur Umgehung der Schutzmaßnahmen

Abfrage der Registrierung

Eingabenerfassung Multiband-Kommunikation

Regsvr32 Änderung vorhandener Services

Dateilöschung Erkennung von Sicherheits-Software

Man-in-the-Browser Mehrstufige Verschlüsselung

Rundll32 Neuer Dienst Verborgene Dateien und Verzeichnisse

Erkennung von Systeminformationen

Bildschirm-aufzeichnung

Remote-Zugriffs-Tools

Geplanter Task Schlüssel zur Registrierungs-ausführung/Systemstartordner

Anzeigeentfernung aus Tools

Erkennung der System netzwerk-konfiguration

Video-Erfassung Remote-Dateikopie



Folgen

Teilen

Erster Zugriff Ausführung Persistenz Berechtigungs-eskalation





Skripting Geplanter Task Maskierung Erkennung des Systemeigentümers/Benutzers

Standardprotokoll für Anwendungsebene

Dienstausführung System-Firmware Änderung der Registrierung

Erkennung des Systemdienstes

Standard-Kryptografieprotokoll

Drittanbieter-Software

Verschleierte Dateien oder Informationen

Erkennung der Systemzeit

Benutzerausführung Process Doppelgänging


Prozessinjektion

Regsvr32

Rootkit

Rundll32

Skripting

Software-Packing

Vertrauenswürdige Entwickler-Dienstprogramme

Gültige Konten







BERICHT


Statistische Bedrohungsdaten27 McAfee Global Threat Intelligence

28 Malware

33 Zwischenfälle

35 Internet- und Netzwerkbedrohungen

BERICHT


Folgen

Teilen

STATISTISCHE BEDROHUNGSDATEN


McAfee Global Threat Intelligence

Wie jedes Quartal ermöglicht das Cloud-Dashboard von McAfee® Global Threat Intelligence (McAfee GTI) uns die Erkennung und Analyse realer Angriffsmuster, wodurch wir unseren Kunden besseren Schutz bieten können. Diese Informationen liefern Details zu den Angriffshäufigkeiten bei unseren Kunden. McAfee GTI erhält jeden Tag durchschnittlich 49 Milliarden Abfragen und 13 Milliarden Zeilen Telemetriedaten. Gleichzeitig werden 5.600.000 URLs und 700.000 Dateien analysiert sowie weitere 200.000 Dateien in einer Sandbox getestet.

■ McAfee GTI testete 77 Milliarden verdächtige Dateien und meldete 73 Millionen (0,01 %) als riskant.

■ McAfee GTI testete 16 Milliarden potenziell böswillige URLs und meldete 63 Millionen (0,4 %) als riskant.

■ McAfee GTI testete 15 Milliarden potenziell böswillige IP-Adressen und meldete 66 Millionen (0,4 %) als riskant.





BERICHT


Folgen

Teilen


Gesamtanzahl aller Malware-Varianten

0

500.000.000

900.000.000

800.000.000

600.000.000

400.000.000

700.000.000

300.000.000

200.000.000

100.000.000

4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q. 3. Q.2016 2017 2018


Malware

Neue Malware-Varianten

0

70.000.000

60.000.000

50.000.000

40.000.000

30.000.000

20.000.000

10.000.000

4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q. 3. Q.2016 2017 2018

Gesamtanzahl der Malware-Varianten für Mac OS

50.000

0

250.000

450.000

400.000

350.000

300.000

500.000

200.000

150.000

100.000

4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q. 3. Q.2016 2017 2018


Neue Malware-Varianten für Mac OS

10.000

0

60.000

50.000

40.000

30.000

20.000

4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q. 3. Q.2016 2017 2018



Malware-Daten stammen aus der McAfee Sample Database, die von Malware-Spam-Fallen, Crawlern und Benutzereinsendungen sowie anderen Branchen-quellen erfasste böswillige Dateien umfasst.





BERICHT


Folgen

Teilen


Neue Makro-Malware-Varianten

20.000

40.000

0

160.000

140.000

120.000

100.000

80.000

60.000

4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q. 3. Q.2016 2017 2018


Viele der Makros, die in Anhängen verwendet werden, sind aufwändig verschleiert, um Analysten das Verständnis der Makro-Funktion zu erschweren. Mit Vba2Graph können wir den Ausführungsfluss eines Makros visualisieren, um zu verstehen, was geschehen kann:

Abbildung 15. Die AutoOpen-Funktion öffnet eine Shell auf dem Computer des Opfers und öffnet anschließend PowerShell, um eine Datei herunterzuladen.

Makro-Malware gelangt meist in einem Word- oder Excel-Dokument, das in einer Spam-E-Mail oder einem gepackten Anhang enthalten ist, auf den angegriffenen Computer. Gefälschte aber überzeugend klingende Dateinamen motivieren die Opfer, die Dokumente zu öffnen, was bei aktivierten Makros zu einer Infektion führt.





BERICHT


Folgen

Teilen


Das vorangegangene Beispiel ist typisch, und wir sehen täglich solche Einbettungen. Schauen wir uns ein selteneres Beispiel an:

Abbildung 16. Ein Makro erstellt eine neue Datei und führt sie aus, doch die Funktionsnamen sind verschleiert.

In diesem Beispiel können wir immer noch einige der Aktionen ermitteln, doch ein Analyst, der das Makro untersucht, muss größeren Aufwand betreiben, um die Vorgänge zu verstehen. Außerdem haben Machine Learning-Lösungen, die nur nach Funktionsnamen suchen (Auto_Open) keine Chance, da diese Namen verschleiert sind. Durch die Verwendung mehrerer Klassifizierer können wir jedoch ein funktionierendes Machine Learning-Modell erstellen, das feststellen kann, ob Makros böswillig sind. So geht beispielsweise unser Advanced Threat Research-Team vor.





BERICHT


Folgen

Teilen


Neue IoT-Malware-Varianten

4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q. 3. Q.2016 2017 2018

40.00045.000

15.00010.000

25.00020.000

35.00030.000

5.0000

50.000


Neue böswillige signierte Binärdateien

400.000

600.000

200.000

0

1.400.000

1.200.000

1.000.000

800.000

4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q. 3. Q.2016 2017 2018


Zertifizierungsstellen geben digitale Zertifikate aus, die Informationen bereitstellen, wenn eine Binärdatei (Anwendung) vom Inhaltsanbieter signiert und validiert ist. Wenn sich Cyber-Kriminelle digitale Zertifikate für böswillige signierte Binärdateien beschaffen, sind Angriffe erheblich leichter auszuführen.

Bedrohungen für das Internet der Dinge greifen unterschiedlichste Hardware an, seien es IP-Kameras, Heim-Router oder intelligente Geräte. Diese Bedrohungen richten sich in erster Linie gegen Linux-basierte Systeme.





BERICHT


Folgen

Teilen


Neue PowerShell-Malware-Varianten

2.0000

14.00016.000

20.00018.000

12.000

8.00010.000

6.0004.000

4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q. 3. Q.2016 2017 2018


Exploits nutzen Programm-fehler und Schwachstellen in Software und Hardware aus. Zero-Day-Angriffe sind Beispiele für erfolgreiche Exploits. Ein Beispiel ist der McAfee Labs-Beitrag „Analyzing Microsoft Office Zero-Day Exploit CVE-2017-11826: Memory Corruption Vulnerability“ (Analyse des Zero-Day-Exploits für Microsoft Office: CVE-2017-11826, Schwachstelle bezüglich Speicherbeschädigung).

Weitere Informationen zu JavaScript- und PowerShell-Bedrohungen finden Sie im Artikel „Der Aufstieg skriptbasierter Malware“ in einem früheren McAfee Labs Threats-Report.

Neue Exploit-Malware-Varianten

200.000

0

1.000.000

1.800.000

1.600.000

1.400.000

1.200.000

800.000

600.000

400.000

4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q. 3. Q.2016 2017 2018



Neue JavaScript-Malware-Varianten

0

6.000.000

8.000.000

12.000.000

10.000.000

4.000.000

2.000.000

4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q. 3. Q.2016 2017 2018





https://securingtomorrow.mcafee.com/mcafee-labs/analyzing-microsoft-office-zero-day-exploit-cve-2017-11826-memory-corruption-vulnerability/




https://www.mcafee.com/enterprise/de-de/assets/reports/rp-quarterly-threats-sept-2017.pdf

https://www.mcafee.com/enterprise/de-de/assets/reports/rp-quarterly-threats-sept-2017.pdf

BERICHT


Folgen

Teilen


Top 10 der Angriffsvektoren für 2017 und 2018(Anzahl der gemeldeten Kompromittierungen)

50

0

200

250

300

350

400

450

150

100

Unbekannt

Gehackte Konten

Leak

Malw

are

Nicht autorisierter

Zugriff

Schwachstelle

W-2-Scam

Diebstahl

Denial-of-

Service-Angriff

Entstellung/Verunstaltung


Zwischenfälle

Öffentlich bekannt gegebeneSicherheitsvorfälle nach Region

(Anzahl der gemeldeten Kompromittierungen)

50

0

250

300

350

200

150

100

1. Q. 2. Q.4. Q. 3. Q. 4. Q. 2. Q.1. Q.2016 2017 2018

Afrika Asien-Pazifik-RaumNord- undLateinamerika

EuropaMehrere Regionen

3. Q.


Daten zu Sicherheitsvorfällen werden aus mehreren Quellen zusammengestellt, darunter hackmageddon.com, privacyrights.org/data-breaches, haveibeenpwned.com und databreaches.net.

Die Angriffsvektoren sind überwiegend unbekannt oder werden nicht veröffentlicht.





http://www.hackmageddon.com/

https://www.privacyrights.org/data-breaches

https://haveibeenpwned.com

https://www.databreaches.net/

BERICHT


Folgen

Teilen


Top 10 der angegriffenen Branchenfür 2017 und 2018


50

0

200

250

300

150

100

Gesundheitsw

esen

Mehrere

Bildungswesen

Öff

entlicher Sektor

Finanzwesen

Unterhaltung

Medien

Einzelhandel

Technologie

Online-D

ienste


Am häufigsten gezielt angegriffeneBranchen in Nord- und Südamerika


10

0

50

40

30

80

70

60

20

Öff

entlicher Sektor

Gesundheits-

wesen

Mehrere

Bildungswesen

Unterhaltung

Kryptowährung

Medien

Finanzwesen

Gastgew

erbe

Einzelhandel

4. Q. 2017 1. Q. 2018 2. Q. 2018 3. Q. 2018






BERICHT


Folgen

Teilen


Neue böswillige URLs

2.000.000

0

10.000.000

12.000.000

8.000.000

6.000.000

4.000.000

4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q. 3. Q.2016 2017 2018


Internet- und Netzwerkbedrohungen

Neue verdächtige URLs

0

15.000.000

20.000.000

25.000.000

10.000.000

5.000.000

4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q. 3. Q.2016 2017 2018


Neue Phishing-URLs

0

500.000

600.000

700.000

1.000.000

900.000

800.000

400.000

200.000

100.000

300.000

4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q. 3. Q.2016 2017 2018

Neue böswillige Download-URLs

500.000

0

2.500.000

2.000.000

1.500.000

1.000.000

4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q. 3. Q.2016 2017 2018

Quelle: McAfee Labs, 2018. Quelle: McAfee Labs, 2018.

Die McAfee® TrustedSource™-Web-Datenbank enthält URLs (Webseiten), die anhand der Web-Reputation in Kategorien unterteilt sind und für Filter-richtlinien verwendet werden, mit denen der Web-Zugriff gesteuert wird. Die Zahl der verdächtigen URLs umfasst alle Webseiten mit der Einstufung „Hohes Risiko“ oder „Mittleres Risiko“. Böswillige URLs übertragen Code (unter anderem ausführbare „Drive-by“-Dateien und Trojaner), der die Einstellungen oder Aktivitäten eines Computers kontrollieren soll. Böswillige Downloads stammen von Webseiten, auf denen Benutzer unabsichtlich und manchmal ohne ihr Wissen schädlichen oder lästigen Code herunterladen. Phishing-URLs sind Webseiten, die üblicherweise über gefälschte E-Mails verteilt werden, um Benutzerkonten-Informationen zu stehlen.





BERICHT


Folgen

Teilen


Am weitesten verbreitete Malware mitVerbindungen zu Kontroll-Servern (3. Quartal)

GoScanSSH

Wapomi

China Chopper

Salty

Maazben

Ramnit

Sdbot

Muieblackcat

Andere

50 %

29 %

10 %

6 %

1 %1 %1 %

1 %1 %


Verbreitung von Spam-Botnetsim 3. Quartal, nach Aufkommen

Stealrat

Gamut

Cutwail

Kelihos

Andere

Lethic

1 % 1 %3 % 1 %

53 %41 %


Häufigste Netzwerkangriffe im 3. Quartal

46 %

17 %

10 %

9 %

8 %

5 %2 %

2 %Router

Server Message Block

Browser

Denial-of-Service

Buffer Overflow

Brute Force

Scan

SSL

Länder mit den meistenBotnet-Kontroll-Servern (3. Quartal)

Deutschland

USA

Frankreich

Algerien

Russland

Niederlande

Ägypten

China

Großbritannien

Hongkong

Andere

31 %

11 %

30 %

6 %5 %4 %3 %

2 %

3 %3 %

2 %

Quelle: McAfee Labs, 2018. Quelle: McAfee Labs, 2018.

Gamut, das größte Botnet für Spam-Verbreitung, macht derzeit mit „sexuellen Erpressungen“ von sich reden, wobei damit gedroht wird, das Browser-Verhalten des Opfers öffentlich zu machen. Zum zweiten Mal im Jahr 2018 zählte StealRat mit 41 % Anteil zu den größten Botnets. Ein Großteil der damit verteilten Inhalte steht in Verbindung mit Dating-Angeboten für Erwachsene. Das Necurs-Botnet schaffte zum ersten Mal seit zwei Jahren nicht den Einzug in die Auflistung. Da das Botnet jedoch im 4. Quartal 2017 und 1. Quartal 2018 die größte Menge an Spam verteilte, wird es hier wahrscheinlich nicht lange fehlen.






McAfee und das McAfee-Logo sind Marken oder eingetragene Marken von McAfee, LLC oder seinen Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. Copyright © 2018 McAfee, LLC. 4195_1218DEZEMBER 2018

Ohmstr. 1 85716 Unterschleißheim Deutschlandwww.mcafee.com/de

Informationen zu McAfee Labs und Advanced Threat Research

McAfee Labs, unter der Leitung von McAfee Advanced Threat Research, ist eine der weltweit führenden Quellen für Bedrohungsforschung sowie -daten und ein Vordenker in Bezug auf Cyber-Sicherheit. Dank der Daten von Millionen Sensoren für alle wichtigen Bedrohungsvektoren (Dateien, Web, Nachrichten und Netzwerke) bieten McAfee Labs und McAfee Advanced Threat Research Echtzeit-Bedrohungsdaten, wichtige Analysen und Expertenwissen für besseren Schutz und Risikominimierung.

www.mcafee.com/de/mcafee-labs.aspx

Informationen zu McAfee

McAfee ist ein führendes Unternehmen für Cyber-Sicherheit vom Gerät bis zur Cloud. Inspiriert durch die Stärke, die aus Zusammenarbeit resultiert, entwickelt McAfee Lösungen für Unternehmen und Privatanwender, mit denen unsere Welt etwas sicherer wird. Mit unseren Lösungen, die mit den Produkten anderer Unternehmen zusammenarbeiten, können Unternehmen Cyber-Umgebungen koordinieren, die wirklich integriert sind und in denen der Schutz vor sowie die Erkennung und Behebung von Bedrohungen nicht nur gleichzeitig, sondern auch gemeinsam erfolgen. McAfee bietet Schutz für alle Geräte von Privatanwendern und sichert dadurch das digitale Leben zu Hause und unterwegs. Durch die Zusammenarbeit mit anderen Sicherheitsakteuren fördert McAfee zudem den gemeinsamen Kampf gegen Cyber-Kriminelle. Davon profitieren alle.

www.mcafee.com/de

https://www.mcafee.com/de

http://www.mcafee.com/de/mcafee-labs.aspx

http://www.mcafee.com/de

mcafee labs threats-report · wir freuen uns sehr, ihnen in diesem bericht die neuen erkenntnisse...

Documents