Nichts Neues unter der Sonne – ein Trend Micro-Kommentar zum Kneber-Hype

Von: Rik Ferguson, Solution Architect bei Trend Micro
(PresseBox) (Hallbergmoos, ) Die Medien zeigten sich in letzter Zeit entsetzt über die Ausmaße eines “neuen” Botnetzes namens Kneber. Einem Bericht von NetWitness zufolge hat ein bestimmtes Botnet, das ZeuS-Crimeware nutzt, Tausende Unternehmen und Zehntausende Computer erfolgreich infiziert. Natürlich ist dies für die betroffenen Firmen eine schreckliche Nachricht, und sicherlich lassen sich eine Menge Security-Lehren aus solchen Erfahrungen ziehen.

Dennoch möchte ich betonen, dass es nichts „Neues“ ist, wenn ein Botnet ZeuS nutzt oder diese Ausmaße annimmt. ZeuS (oder ZBot) gibt es seit mindestens 2007, und es gilt im Online-Untergrund als Commodity-Crimeware. Die Malware wird in Online-Foren offen gehandelt, sowohl als Software-Produkt als auch in Form von vorinfizierten Botnetzen. Die Anbieter gehen mittlerweile dazu über, Services mit ihren kriminellen Offerten zu bündeln – sozusagen Crimeware as a Service.

Sicherheitsforscher haben nahezu 1300 Command&Control-Server für verschiedene ZeuS-Botnets im Visier, von denen etwa die Hälfte derzeit online ist. Es zeigt sich auch, dass die durchschnittliche binäre Entdeckungsrate (wie die Antivirus-Produkte Malware aufspüren mithilfe von Pattern-Dateien und Signaturen) bei nur 49,62 Prozent liegt – was den Erfolg der Infektionsraten zum Teil erklärt.

Es ist allgemein bekannt, dass Malware-Autoren und andere Kriminelle bereits Wege gefunden haben, wie herkömmlicher Malware-Schutz, der sich auf Pattern oder Signaturen verlässt, zu umgehen ist: Sie verändern einfach ihren Code so oft wie möglich. Schätzungen zufolge gibt es derzeit jede 1,5 Sekunde ein neues einzigartiges bösartiges Binary.

Daher lautet die erste Sicherheitslehre aus der aktuellen Berichterstattung: Stellen Sie sicher, dass sich Ihre Anti-Malware-Lösung nicht lediglich auf die Infektionsschicht verlässt, nach dem Motto „wie die Datei aussieht“. Stellen Sie sicher, dass die Lösung auch die exponierte Schicht prüft, woher die Datei kommt und wohin sie zurück berichtet. Wenn die Sicherheitsindustrie weiß, wo die Server der Bad Guys sind, so sollte dies auch jeder Ihrer Endpunkte wissen. Damit ist das binäre Aussehen der Datei nebensächlich. Trend Micros Smart Protection Network bietet Ihnen Schutz mithilfe von Reputationsdiensten über alle diese Schichten hinweg und vor all diesen Gefahren.

Weitere Informationen zum Thema sind unter http://blog.trendmicro.de/... abrufbar.

Kontakt

TREND MICRO Deutschland GmbH
Zeppelinstraße 1
D-85399 Hallbergmoos
Hana Göllnitz
Trend Micro Deutschland GmbH
PR Manager Deutschland, Österreich, Schweiz
Marcus Ehrenwirth
phronesis PR GmbH
Social Media