VERANSTALTUNGEN

USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

Angler FishEs ist bekannt, dass Exploit-Kits (EK) in schöner Regelmäßigkeit zur Hinterlegung von Malware-Payloads in den Systemen von Opfern verwendet werden. Der Klick auf einen schadhaften Link in einer Phishing-E-Mail, der Besuch einer infizierten Website oder Malvertising auf einer legitimen Website gehören zu den Methoden, auf die Hacker zumeist setzen, um ihre Opfer auf die Exploit-Kit-Server zu leiten.

Ende August entdeckte Proofpoint einen Infizierungsversuch per Malvertising, der zeigt, wie beliebt diese Dienste bei Bedrohungsakteuren sind. Der ursprüngliche Redirector ruft das Angler-Exploit-Kit ab – nicht verwunderlich, da laut Proofpoint-Statistik momentan etwa die Hälfte aller Exploit-Kit-Aktivitäten auf das Konto von Angler gehen. 

Erster Redirect

Bild 1: Erster Redirect mit dem Ziel Angler-EK.

Interessant wird es, nachdem Angler die Tür geöffnet hat, wie die folgende Traffic-Erfassung zeigt (Bild 2). 

Traffic Erfassung

Bild 2: Traffic-Erfassung des Magnitude-Teils in der Infektionskette.

Diese Traffic-Erfassung zeigt, dass die Zemot-Payload über zwei Redirectors Magnitude abruft:

  • Onlinehyips[.]net
  • Hyipmaster[.]name

Und folgende Referer verwendet:

  • hxxp://regular-search[.]com/
  • hxxp://search2015-otoper[.]com/
  • hxxp://homemat-serach2015[.]com/
  • hxxp://domain-searchbest[.]com/

Das Ergebnis ist eine Infektionskette, die einem Clownmobil für Malware gleicht, da eine Payload nach der anderen versucht, auf den infizierten Client zu gelangen (Bild 3). 

Überwachte Infektionskette

Bild 3: Diagramm einer überwachten Infektionskette aus einem einzigen Malvertising-Angriff.

Die Infektionskette offenbart eine Reihe von Partner-Bot-Ownern, beginnend beim Yorobun-Owner. Zusammengenommen hinterlegen die Infektionen – in einer einzigen Weiterleitung durch den Client – neun zusätzliche Payloads und rufen noch ein weiteres EK ab, mit dem zwei verschiedene Arten Ransomware geliefert werden. TeslaCrypt (aka AlphaCrypt) ist der erste Versuch einer Ransomware-Installation (Bild 4), gefolgt von CryptoWall (Bild 5).

TeslaCrypt

Bild 4: TeslaCrypt (aka AlphaCrypt)-Ransom-Meldung an den Benutzer.

 

CryptoWall-Ransom-Meldung

Bild 5: CryptoWall-Ransom-Meldung an den Benutzer.

Zusätzlich zu dem doppelten Problem zweier verschiedener Ransomware-Infektionen wird bei dieser weit verzweigten Infektionskette auch Bedep abgelegt, eine Klickbetrug-Malware, die einen Domain-Generation-Algorithmus (DGA) für seine Command-and Control-Kommunikation (C2) einsetzt. Das Angler-EK legt eine Payload ab (erst Pony, dann Yorobun), dem nicht nur fünf weitere Malware-Payloads folgen, sondern das auch ein weiteres Exploit-Kit – Magnitude – abruft, das wiederum mindestens zwei Varianten der CryptoWall-Ransomware ablegt. Obwohl weniger bekannt als Angler, geht aus Proofpoint-Analysen hervor, dass das Magnitude-Exploit-Kit eines der drei oder vier meist genutzten EKs in den letzten 90 Tagen war und durchschnittlich 12 Prozent des gesamten EK-Traffics auf sich vereinte.

Die Mietkosten für einen Exploit-Dienst können einen Akteur tausende Euro pro Monat kosten. Es liegt also nahe, dass die Akteure ihre Chancen für eine Infektion maximieren wollen, und zwar durch die Nutzung von Payloads, die durch Verschleierungsdienste und den aggressiven Vertrieb von Traffic- und Spam-Diensten „Fully Undetectable“ (oder FUD) werden. Im Gegenzug kann die hohe Nachfrage nach einem bestimmten EK den Owner dazu bringen, seine Umsatzchancen zu maximieren, indem er jede Infektionsmöglichkeit an so viele Partner wie möglich verkauft. Wie dieses Beispiel zeigt, kann das dazu führen, dass eine Payload nach der anderen aus einer langen Infektionskette zum Vorschein kommt. Das unterstreicht, dass heutzutage selten nur ein einziges Exploit mit einer einzigen Payload hinterlegt wird ... In diesem Fall führt das dazu, dass ein Client für seinen eigentlichen Zweck nicht wiederhergestellt werden kann.

Obwohl auch neue, kleinere Akteure dazukommen, verfestigt sich der Exploit-Kit-Markt weiterhin rund um Angler, obwohl es die Dominanz von Black Hole noch nicht erreichen konnte. Diese überladene Infektionskette scheint ungewöhnlich, doch sie zeigt die Flexibilität und die kontinuierliche Gefahr von Exploit-Kits sowie die Herausforderung für Unternehmen, damit umzugehen.

Monika Schaufler, Regional Director CEMEA, bei Proofpoint

Konferenz zum Thema:
Security Eye: Cyberrisiken aktiv abwehren
Konferenz am 22.09.2015 im Grand Hotel Wien
Kostenlose Teilnahme
http://www.it-daily.net/agenda 

 
GRID LIST
Tb W190 H80 Crop Int Cc956cb8b76a48ab25093365b37dfc0c

Spectre-NG: Weitere Sicherheitslücken in Prozessoren

Im Januar 2018 wurden unter den Bezeichnungen "Spectre" und "Meltdown" schwer zu…
Tb W190 H80 Crop Int Fff03ad1554fb492cd1df6c7ccf69ca1

Telegram Chatgruppen als neuen Marktplatz für Cybercrime

Die Sicherheitsforscher von Check Point Software Technologies, erkennen eine neue…
Tb W190 H80 Crop Int 6146d7037a40c2f874a1f5d3399939c7

User Bashing: Mitarbeiter sind mit IT-Sicherheit überfordert

Die IT-Sicherheit lädt zu viel Verantwortung auf den Mitarbeitern ab. Günter Junk, CEO…
Tb W190 H80 Crop Int Ffc884102cf599e1985eaa1355f9b2fa

Probleme PGP und S/MIME sind keine Überraschung

Verschlüsselte E-Mails sind „nicht mehr sicher“ - Forschern ist es gelungen, diesen…
Tb W190 H80 Crop Int 5db74c35038f85cc90618c59a5cf8fbe

E-Mail-Verschlüsselung bleibt sicher

Am 14.05.2018 veröffentlichte ein Team aus Sicherheitsforschern der Fachhochschule…
Tb W190 H80 Crop Int 7f34eb55b3556a8251b3162716d61345

Efail-Schwachstellen

Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security