VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

HackerDas Exploit-Kit Angler hat aktuell eine große Zahl an Websites infiziert und blieb wohl lange Zeit unentdeckt. Unit 42, das Malware-Analyseteam von Palo Alto Networks, hat deshalb dieses Exploit-Kit (EK) ausgiebig beobachtet und ausgewertet.

„Exploits-Kits werden ständig weiterentwickelt, um die Erkennung durch Sicherheitstechnologien zu umgehen. Zur Verfolgung neuer Varianten verschiedener EK-Familien werden deshalb enorme Anstrengungen unternommen“, so Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Wir betrachten gerade speziell das berüchtigte Exploit-Kit „Angler“ aus operativer Sicht. Die Spuren deuten auf eine große Unterwelt-Branche hin, die hinter diesen EKs steckt.“

Die wichtigsten Ergebnisse der aktuellen Auswertung von „Angler“ sind:

  1. Über 90.000 erkannte kompromittierte Websites, die am Betrieb von Angler beteiligt sind. Davon sind 30 unter den Alexa Top 100.000 Rankings. Die Zahl der monatlichen Besuche dieser 30 kompromittierten Websites beträgt schätzungsweise mehr als 11 Millionen.
     
  2. Eine hoch organisierte Operation, die in regelmäßigen Abständen die schädlichen Inhalte über alle kompromittierten Websites und alle EK-Gate-Websites gleichzeitig aktualisiert. Dies deutet auf einen anspruchsvollen und dauerhaften Command-and- Control-Kanal zwischen Angreifern und kompromittierten Websites hin.
     
  3. Fein abgestimmte Kontrolle über die Verteilung der schädlichen Inhalte. Das bedeutet, die injizierten Skripte können für Tage unsichtbar bleiben, um nicht entdeckt zu werden, und die kompromittierten Websites können nur auf bestimmte Opfer-IP-Bereiche und bestimmte Konfigurationen abzielen. Dies führt zu sehr niedrigen Erkennungsraten der von VirusTotal (VT) verwendeten Scanner. Auch Wochen nach der Entdeckung wurden die meisten gefundenen kompromittierten Websites in VT nicht als schädlich aufgeführt.
     
  4. Potenzielle Verbindungen zwischen Aktivitäten zum Scannen anfälliger Websites und der Nutzung der gescannten Websites als EK-Einstiegspunkt. Dies legt nahe, dass eine industrielle Struktur hinter dem Betrieb dieser EKs steckt.

Überblick und Auswirkungen

Zwischen 5. November und 16. November wurden insgesamt 90.558 unterschiedliche Domains entdeckt, die vom Angler-EK kompromittiert und genutzt worden waren. Die kompromittierten Domains umfassen insgesamt 29.531 einzigartige IPs. Davon hosteten 1.457 IPs mehr als 10 kompromittierte Domains. Die IP-Adresse 184.168.47.225 hostete insgesamt 422 kompromittierte Websites. Einige der kompromittierten Websites waren sehr beliebte Websites, darunter 177 Domains (30 FQDNs) der Alexa Top 100.000 und 40 der Top 10.000.

Die meisten kompromittierten Websites bleiben von VT unentdeckt. Getestet wurden frühere Scan-Ergebnisse (5.235 bösartige Websites zu diesem Zeitpunkt entdeckt) von VT am 16. November und dabei kam heraus, dass VT nur 226 Websites als bösartig einstufte. Um Mitternacht des 17. November wiederholten die Forscher dieses Experiment und VT hatte immer noch nur 232 Seiten gefunden. Dies entspricht einer Erkennungsrate von weniger als 5 Prozent. Am 14. Dezember testete Palo Alto Networks erneut seine umfassende Liste (alle 90.558). VT erkannte diesmal 2.850 kompromittierte Websites, was einer Erkennungsrate von nur 3 Prozent gleichkommt.

Schlussfolgerung

Moderne Exploit-Kits sind immer schwerer zu fangen, da sie Ausweichmanöver nutzen, um der Erkennung durch Sicherheitsexperten zu entgehen. Insbesondere bietet Exploit-Kit „Angler“ die folgenden Features:

  • Gezielte Nutzung: Diese Familie von JavaScript- und iframe-Injektionen ist auf bestimmte Konfigurationen und/oder geographische Ziele und IP-Distributionen ausgerichtet. Diese bösartigen Skripte und Server verwenden mehrere Techniken, um auf IE-Benutzer und Besuche von einer IP außerhalb der Vereinigten Staaten abzuzielen.
     
  • Cloaking gegen Forscher: Die sich ständig weiterentwickelnden injizierten Skripte versuchen ihr Bestes, um Sandboxen von Malware-Forschern zu identifizieren. Sie verbergen ihr bösartiges Verhalten vor Sandbox-/emulierten Umgebungen. Die verwendeten Techniken umfassen Browser-Fingerprinting mit Browser-Quirks sowie IP und UserAgent.
     
  • Häufige Weiterentwicklung und dauerhafte Kontrolle: Die groß angelegte Verfolgung von vielen kompromittierten Domänen ergab, dass die Angreifer die dauerhafte Kontrolle über die infizierten Rechner haben. Es konnten drei größere Versionsänderungen in injizierten Skripten sowie stündliche Schaltungen der bösartigen EK-Gate-Domains im Laufe von einem Monat beobachtet werden. Diese Aktionen können nicht ohne eine ständige Kontrolle der kompromittierten Rechner erfolgen. Dies widerspricht der gängigen Annahme, dass die Hosts nur an einer Stelle kompromittiert werden und bösartiger Code nur einmal injiziert wird.
     
  • Wachsende Zahl der Infektionen: Den Beobachtungen von Palo Alto Networks zufolge treten neu kompromittierte Websites mit einer konstanten Rate von mehr als 100 Websites pro Tag auf (dies ist eine Untergrenze, nur eine begrenzte Anzahl von Websites pro Tag gescannt wird), während ältere kompromittierte Websites offensichtlich nicht schnell genug desinfiziert werden, wenn überhaupt. Dies führt zu einem stetigen Anstieg der gesamten aktiven kompromittierten Websites – und diese Bedrohung ist noch weit entfernt von einer effektiven Beseitigung.

Trotz dieser Herausforderungen kamen auch einige konsequente Verhaltensmuster und Grenzen dieser Angriffe zum Vorschein:

  • Verdächtige Weiterleitungen: Obwohl der Redirection-Skript sich ändern kann, bleibt die Umleitungskette relativ stabil. Der EK wird immer von einer anderen Wordpress-ähnlichen Domain bedient und kurz danach wird eine Flash-Datei heruntergeladen.
     
  • Wiederverwendung von Infrastruktur: Die Ausnutzung einer bekannten WordPress-Sicherheitslücke und einer schwachen DNS-Konfiguration für DNS-Shadowing mag einfach für die Angreifer sein, Veränderungen am Hosting-Server des Exploit-Kits sind hingegen relativ schwierig. Hierzu müssten die Angreifer eine neue Maschine physisch steuern oder eine vorhandene Maschine verlagern. Zumindest bis jetzt konnte noch nie beobachtet werden, dass der Angreifer die EK-Datei auf einer kompromittierten Maschine bedient, möglicherweise um Bandbreitenspitzen/AV-Erkennung der kompromittierten Websites zu vermeiden.

Weitere Informationen:

Finden Sie hier eine Liste mit den kompromittierten Domains, die im Rahmen dieses Forschungsprojekts analysiert wurden.

www.paloaltonetworks.com

GRID LIST
Tb W190 H80 Crop Int E6b1eed76833e40b6dff0a1070b0694f

Cyber-Kriminelle nutzen Fake-App für Malware

Im vergangenen Monat haben Cyber-Kriminelle mithilfe einer gefälschten App des…
Tb W190 H80 Crop Int Db461ec563234e57f2cba9109df3ec5f

Kryptowährungen im Überblick

Seit 2010 ist der Vormarsch der sogenannten Kryptowährungen nicht mehr aufzuhalten. Dabei…
Ransomware Lösegeld

Ransomware: Warnung vor Lösegeldzahlung

Cyberkriminelle „kidnappen“ Daten und Computer von Organisationen und Einzelpersonen. Der…
Tb W190 H80 Crop Int C47c64413dabc5f83c8af1202d07c3d8

Vernetzung bedeutet höhere Gefährdung für KRITIS-Betreiber

Digitalisierung und die zunehmende Vernetzung aller Versorgungsbereiche stellen den…
Urlaub

Cyber-Security-Checkliste: Tipps für den Sommerurlaub

Der Sommer steht vor der Tür und mit ihm werden für viele die Urlaubspläne konkret. Dabei…
High Voltage Sign

Cyberattacken auf kritische Infrastrukturen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt aus aktuellem Anlass…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security