Kaspersky Security 2017

Sicherheit von Kaspersky 2017

Sicherheitsbulletin von Kaspersky. Vorhersagen für 2017 Das Jahr 2016 war von Schauspielen, Machenschaften und Heldentaten durchzogen. Im Rückblick auf die wesentlichen Geschehnisse und Geschichten geben wir auch einen Ausblick in die Vergangenheit, um die Gefahrenlandschaft des Jahrgangs 2017 darzustellen. Zugleich ahnten wir, dass die Anstrengungen der Täter, sich selbst zu verbergen, durch den Einsatz alltäglicher Malware bei gezielten Angriffen zunimmt werden.

Die Annahmen wurden auf zwei Arten bestätigt: a) durch einen Anstieg der in Memory- und File-Siloser-Malware aktiven Schadprogramme; b) durch die Vielzahl der bekannten gezielten Angriffe auf Aktivisten die auf Remote Access Trojanern beruhen, wie beispielsweise für den Einsatz von Netzwerkpartnern wie Alienspy und NJRat/Adwind. Aber dann waren es die Angriffe auf das SWIFT-Netzwerk, die diese Prognosen wahr werden liessen.

Durch clevere, gut platzierte Schadprogramme gingen Millionen von Dollar aus der Haustür. Welche Ziele hat das Jahr 2017? Selbst wenn es sehr schwer sein mag, die Einführung von Schutzvorkehrungen durch die betroffenen Betriebe zu erreichen, müssen wir eingestehen, dass, wenn diese Vorschriften allmählich nachlassen oder sogar unwirksam werden. Indikatoren für Kompromisse (IoCs) sind eine gute Möglichkeit, Merkmale bereits vorhandener Schadsoftware wie Hashes, Domänen oder Ausführungsmöglichkeiten auszutauschen.

Mit ihnen können Sicherheitsfachkräfte eine aktuelle Infizierung aufdecken. Dieser APT ist eine wirklich massgeschneiderte Malware-Plattform, deren individuelle Funktionalitäten modifiziert und an jedes betroffene Objekt angepaßt wurden. Diese Vorgehensweise ist für die Security-Experten nicht gerade hilfreich, um andere Infektionskrankheiten zu erspüren. Dies heißt nicht, dass die Sicherheitsspezialisten nun völlig hilflos sind.

Mit ihnen können wir im ganzen Betrieb schlummernde Features in Binärdateien überprüfen, untersuchen und ausfindig machen sowie den Arbeitsspeicher nach Bruchstücken von bekannten Angriffen absuchen. Dabei sollte nicht übersehen werden, dass diese Schadsoftware nicht mit einer vorgegebenen Befehls- und Kontrollinfrastruktur zusammenarbeitet und somit eine viel anonyme Ausgangslage hat. Deshalb ist es das Werkzeug der ersten Wahl für die meisten behutsamen Stürmer, die von nun an einen Weg in ein Zielnetzwerk finden müssen.

Wenn wir weiter gehen, können wir mit temporären Infektionskrankheiten rechnen: Gedächtnisresidente Schadsoftware, die für das allgemeine Scouting und den Raub von Zugangsdaten jeglicher Couleur entwickelt wurde, aber nicht vorgibt, dauerhaft und nachhaltig zu sein. Versteckte Stürmer können sich in hochsensiblen Umfeldern durchaus freuen, bis ein Reboot ihre Infizierung aus dem Gedächtnis entfernt - wenn das heißt, den Misstrauen abzulenken oder mögliche Schäden durch die Erkennung ihrer Schadsoftware durch Sicherheitsfachleute und -wissenschaftler zu vermeiden.

Kurzzeitinfektionen werden einmal mehr den Bedarf an proaktiven und fortschrittlichen heuristischen Erkennungsverfahren in heutigen Anti-Malware-Lösungen verdeutlichen (siehe: Kaspersky Service Watcher). Die Zuversicht in die Codesignatur und die Integritätsprüfung haben die Visibilität der Security-Forscher im Mobilfunkbereich beeinträchtigt, was aber nicht verhindern wird, dass auch hier bestimmte und gut ausgerüstete Angriffe ihre Tore durchbrechen.

Da Cyberkriminelle immer mehr interessiert sind, vermuten wir, dass es zu einer zunehmenden Zahl von Vermittlern von SWIFT-Angriffen kommen wird, die in die bewährte unterirdische Struktur von abgestuften Kriminalunternehmen passen werden. Alle diese Arbeitsschritte werden von bereits ansässigen Straftätern durchgeführt, die ihre Dienste gegen eine Gebühr erbringen, wovon der verbleibende Teil spezielle Schadsoftware zur Ausführung von SWIFT-Angriffen ist.

Bis heute wurden keine umfangreichen Angriffe auf solche Anlagen gemeldet. Internetkriminelle werden benutzt, um letztere zu attackieren, indem sie direkt die Infrastruktur des Zahlungssystems angreifen. Unabhängig davon, ob diese Angriffe zu unmittelbaren wirtschaftlichen Schäden oder lediglich zu Ausfällen und Zusammenbrüchen von Rechnern führen, gehen wir davon aus, dass sich Cyberkriminelle verstärkt mit diesen Rechnern auseinandersetzen werden, um mehr beschämende Aufmerksamk.....

Genauso wie wir alle Lösegeld (und aus guten Gründen) verabscheuen, arbeiten die meisten Erpressungsprogramme nur wegen einer seltsamen Vertrauensbasis zwischen dem Betroffenen und den Tätern. In diesem kriminellen System wird der Prinzip zugrunde gelegt, dass sich der Täter an eine implizite Vereinbarung mit dem Betroffenen hält, dass das Betroffene nach Erhalt der Lösegeldzahlung seine entführten Akten zurückerhalten wird.

Es wird eine Form von "Skiddie"-Ransomware erwartet, die Akten oder den Zugang zum Computer blockiert, lediglich Akten auslöscht oder das betroffene Objekt das Lossom bezahlen lässt, ohne dafür etwas zu bezahlen. Zu diesem Zeitpunkt wird sich Reansomware in keiner Hinsicht mehr von Angriffen mit Datenlöschung abheben.

Aber es könnte dazu dienen, dass in der sich abzeichnenden Lösegeldepidemie die Überzeugungsarbeit vieler über Bord geworfen wird, dass der Antrag "Einfach das Lösegeld zahlen " ein annehmbarer Hinweis für die Betroffenen ist. So lange die kritischen Infrastruktureinrichtungen und Produktionssysteme mit dem Netz vernetzt sind - in der Regel wenig oder gar kein Schutz - sind diese verführerischen Zielpersonen gut gerüstet, um gut ausgerüstete Angriffe anzuziehen, die darauf aus sind, Unordnung zu schaffen.

Aber bei aller Angst sollte man auch daran denken, dass solche Angriffe gewisse Fertigkeiten und Intentionen voraussetzen. Das erschütternde Release der ShadowBrokers-Gruppe beinhaltete eine Vielzahl von Arbeitsabläufen für eine Vielzahl von Firewall-Produkten namhafter Hersteller. Welche Ergebnisse konnten die Stürmer mit diesen Heldentaten in ihren Händen erzielen? Abgesehen von diesen speziellen Missbräuchen (und der Aufdeckung einer Hintertür in Junipers ScreenOS Ende 2015) gibt es ein grösseres Problemfeld der Gerätintegrität.

Bei unternehmenskritischen Geräten wird weitere Forschung vonnöten sein. Bedrohungspersonen wie Lazarus und Sofacy haben bei der Schaffung von gefälschten Geschäften zur Erfassung von Datenspeichern und Erpressungsopfern Vorreitercharakter. So können Ansichten über wesentliche Vorgänge verändert und generelles Unordnung auslösen.

Vorhersagen für 2017: Der fehlende Datenschutz des "Internet der Dinge" führte zu seiner Umwandlung in das "Internet der Ziegel" Die wirkliche Gefährdung besteht an dieser Stelle nicht darin, in die Privatssphäre zu Hacken oder einzudringen, sondern in der Tatsache, dass Medienschaffende und Mitbürger gewohnt sind, den Diebstahl von Datenbeständen als nachrichtenfähigem Tatbestand zu akzeptier.

Dabei ist auch zu berücksichtigen, dass der missbräuchliche Einsatz von Open-Source- und kommerziellen Schadprogrammen mit zunehmender Häufigkeit von Vergeltungsmaßnahmen und Folgen dramatisch zunimmt, da Tools wie der Kobaltschlag und Metasploit einen Umhang der glaubwürdigen Verleugnung bieten, der bei proprietären Schadprogrammen nicht der Fall ist. Dabei wird beabsichtigt, das betroffene Tier zur Rache an dem in diesem Falle unschuldig gewordenen Drohakteur B zu erregen.

So können intelligente Gefahrenakteure auf kurze Sicht selbst bei Wissenschaftlern und Security-Experten für große Unklarheiten sorgen, da Skriptkinder, Hacker und Internetkriminelle auf einmal mit den proprietäre Werkzeuge eines fortgeschrittenen Gefahrenakteurs umgehen. Dies gibt ihnen einen Deckmantel der Intimität in der Anzahl der Angriffe und kann so die Zuordnungsmöglichkeiten einer Vollstreckungsbehörde partiell lahmlegen.

Dies wird sich voraussichtlich weiter verbreiten, in Verbindung mit widgetts und anderen unbedenklichen Zusätzen zu beliebten Websites, die es Firmen erlauben, einzelne Benutzer zu beobachten, wenn sie über ihre Domains hinausgehen, und ein einheitliches Bild von ihrem Surfverhalten zu erhalten (siehe weiter unten für mehr). Auch in anderen Regionen der Erde werden Übergriffe auf AktivistInnen und die Ausübung von Tätigkeiten in Social Media, die "Instabilität provozieren", zu erstaunlicher Eleganz führen.

Thick Wallets werden auch in Zukunft gut positionierte, völlig neue Firmen finanziell unterstützen, die über die neuesten Nachrichten über folgende Regimekritiker und AktivistInnen im Internet mitwirken. Es gibt keine andere Technik, die so gut für wirklich gezielte Angriffe gerüstet ist wie Werbe-Netzwerke. Mit diesen Benutzerdaten kann ein Hacker ein betroffenes Objekt ausweichen.

Nach der mysteriösen Veröffentlichung willkürlicher Unternehmensdaten des italienische Überwachungsunternehmens HackingTeam im Jahr 2015 hat Phineas Fischer seinen Ratgeber für angehende Häcker veröffentlicht, die ungeregelte Strukturen und fragwürdige Geschäfte außer Betrieb nehmen wollen. Da die Rhetorik der Verschwörung in diesem Wahl-Zyklus immer häufiger wird, angetrieben durch den Gedanken, dass Datenleckage und Datenleckage der entscheidende Faktor für das Informationsungleichgewicht sein könnte, werden sich immer mehr Terroristen der Bürgerwehr zuwenden, indem sie sich durch Hacking und Datenlecks aus verwundbaren Organisationsmodellen durchsetzen.