SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

MalwareDie Security-Analysten des Zscaler-Threat-Labs-Teams haben zwischen August 2016 und Januar 2017 täglich rund 600.000 schädliche Aktivitäten in der globalen Sicherheitscloud beobachtet. Sie lagen verborgen hinter SSL-Verschlüsselung. 

Diese Aktivitäten wurden einer detaillierten Analyse unterzogen. Das Ergebnis: Durchschnittlich 10.000 Treffer monatlich durch Web-Exploits. Im Rahmen des jeweiligen Infektionszyklus setzen diese Exploits auf SSL-Verschlüsselung.

„Malware-Autoren zeigen sich kreativ darin, die Sicherheitsfunktionen moderner Browser zu unterwandern, denn Schadcode wird über Werbenetzwerke in völlig legitime Websites eingebunden. Darüber hinaus werden auch kostenfreie SSL-Zertifikate dazu missbraucht, um die mit Schadcode verseuchten Domains hinter HTTPS verbergen zu können. Damit umgehen die Malware-Autoren die Sicherheitskontrollen der Browser leider ganz einfach“, verdeutlicht Christian Heutger, Geschäftsführer der PSW GROUP.

Um den Standort ihrer Server zu tarnen, nutzen diverse Malware-Familien Anonymisierungsdienste wie Tor. Über gängige HTTP-Tor-Gateways verbinden sie sich via SSL. Insbesondere Botnets nutzen selbstsignierte Zertifikate, die Namen sowie Informationen echter Unternehmen annehmen, um als echt angenommen zu werden. Die Banking-Trojaner TrickLoader oder Dridex beispielsweise sind prominente Malware-Familien, die SSL-Verschlüsselung nutzen. Aber auch Adware-Distributionen missbrauchen SSL. Zu den bekanntesten gehören PrivDog und Superfish. Dafür installieren sie ein selbstsigniertes Root-Zertifikat auf dem Rechner des Opfers. Der Web-Datenverkehr wird abgefangen, damit die Werbung in die Websites eingeschleust werden kann. Ein besonderes Risiko ergibt sich dabei bei PrivDog: SSL/TLS-Zertifikate werden nicht verifiziert, sodass Anwender auf Websites mit ungültigem SSL-Zertifikat navigieren.

„Um der Malware im SSL-Traffic Herr zu werden, kann der Verzicht auf Verschlüsselung keinesfalls eine Lösung darstellen. Zu wichtig ist der damit einhergehende Datenschutz“, mahnt Christian Heutger. Leider wissen das auch Malware-Autoren und profitieren von der steigenden Nutzung von SSL/TLS-Zertifikaten. Unternehmen dürfen sich deshalb nicht in falscher Sicherheit wiegen. Insbesondere dann nicht, wenn sie sich Tools zum Schutz vor Phishing und Ransomware beschaffen, jedoch den verschlüsselten Datenverkehr nicht in die nötige Sicherheitsprüfung einbeziehen. „Können Unternehmen den SSL-verschlüsselten Traffic nicht untersuchen, haben sie ein Problem. Denn dahinter können sich Exploit Kits genauso verbergen wie Ad- und Malware. Um Gefahren zu identifizieren, reichen Domain- und IP-Blocking nicht aus", so Heutger weiter.

Die Untersuchung von SSL-verschlüsseltem Datenverkehr beansprucht jedoch sehr viel Rechenleistung und bremst damit die Performance aus. Deshalb schalten viele Unternehmen die SSL-Inspektion aufgrund der ausgebremsten Datenströme aus. Aber genau damit setzen Unternehmen ihre Anwender der Gefahr schutzlos aus. „Es existieren Tools zum Traffic-Scan, die die nötige Performanz erhalten und datenschutzkonform scannen“, macht Christian Heutger aufmerksam.

Der IT-Sicherheitsexperte rät grundsätzlich jedem Website-Betreiber zur Absicherung seines Datenverkehrs zu einem SSL/TLS-Zertifikat: „SSL-Zertifikatist jedoch nicht gleich SSL-Zertifikat. Es gibt verschiedene Validierungsstufen“, so Heutger. Auf der niedrigsten Stufe prüft eine Zertifizierungsstelle lediglich die Identität des Website-Besitzers und stellt domainvalidierte SSL/TLS-Zertifikate aus. Solche Zertifikate beschaffen sich leider auch Betrüger in großem Stil. Mit ihnen lassen sie ihre betrügerischen Phishing-Websites möglichst unverdächtig erscheinen. „Die nächste Stufe erachte ich als Mindest-Validierungsstufe, sobald persönliche Daten übermittelt werden - und sei es auch nur eine E-Mail-Adresse. Neben der Prüfung des Whois-Eintrags prüfen die Zertifizierungsstellen auchden Handelsregisterauszug und nehmen telefonisch Kontakt zum Besteller auf. Die dann ausgestellten Zertifikate heißen organisationsvalidierte SSL/TLS-Zertifikate. Schließlich gibt es noch Extended Validation Zertifikate. Hier prüfen Zertifizierungsstellen noch umfangreicher und verlangen häufig zusätzliche Dokumente, die der Identifikation dienen. Pflicht ist es in jedem Fall, in einem öffentlichen Register auffindbar zu sein", erklärt Christian Heutger. 

Christian Heutger

Autor: Christian Heutger, Geschäftsführer der PSW GROUP

 

GRID LIST
DNS

DNS wird zur ersten Verteidigungslinie gegen Cyber-Attacken

F-Secure und die Global Cyber Alliance bekämpfen künftig gemeinsam bösartige URLs mit…
Fisch aus Wasser

Gezielte Cyberangriffe von „MuddyWater“

Unit 42, das Forschungsteam von Palo Alto Networks, hat Cyberangriffe beobachtet, die sie…
Malware

Was Sie jetzt über Malware wissen müssen

Neue Viren, Ransomware und Co erfordern aktuelle Anti-Malware-Programme: Häufig ist die…
DDoS

Mehr komplexe DDoS-Attacken: Gaming-Industrie im Visier

In verschiedenen Ländern sind Ressourcen ins Visier der Angreifer geraten, ebenso wie wir…
Thomas Ehrlich

„Ordinypt“ entpuppt sich als gefährlicher Wiper

Die vermeintliche Ransomware „Ordinypt“ erweist sich als gefährlicher Wiper. Ein…
IT-Sicherheit

BSI Lagebericht: IT-Sicherheit in Deutschland 2017

Dank dem BSI und vielen anderen Security-Forschern liegen uns heute wesentlich mehr…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet