Die aktuelle Entwicklung der Malware-Bedrohung IT-Sicherheit in Zeiten der Malnets

Autor / Redakteur: Arne Ohlsen, Blue Coat / Stephan Augsten

Malware lauert längst nicht mehr nur in den dunklen Ecken des Internets. Per Drive-by-Download fangen sich Besucher ohne eigenes Zutun Spyware, Trojaner und andere Schadcodes ein – oft über gehackte seriöse Webseiten. Es ist höchste Zeit, sich an die Bedrohungslage anzupassen.

Blue Coat hat die wichtigsten Malnet-Einstiegspunkte identifiziert.
Blue Coat hat die wichtigsten Malnet-Einstiegspunkte identifiziert.
(Bild: Blue Coat)

Mittlerweile muss man schon fast seinen vierzigsten Geburtstag gefeiert haben, um sich an den ersten Computervirus erinnern zu können. Doch was Mitte der achtziger Jahre eher als theoretische Spielerei in einem sehr kleinem Rahmen begann, hat sich über die Jahre zu einem veritablen Massen- und Milliardengeschäft der organisierten Kriminalität entwickelt.

An die Stelle einfacher Bootsektor-Viren auf Floppy-Disks ist ausgeklügelte Schadsoftware getreten, die sich rasant über Malware-Netze (Malnets) innerhalb des Internets verbreitet. Die Intention der oft aus kommerziellen Baukästen zusammengesetzten Schadcodes ist dabei vielfältig.

Malware kann infizierte Rechner zu Botnetzen zusammenschließen, im großen Stil Spam versenden oder mit geballter Kraft gezielt Infrastrukturen angreifen. Alternativ spionieren als legitime Software getarnte Trojaner sensible Benutzer- und Unternehmensdaten aus oder erpressen – wie der BKA-Trojaner – ahnungslose Anwender mit Lösegeldforderungen.

Aktuelle Bedrohungslage

Wie rasant die Entwicklung bei Schadsoftware voranschreitet, zeigt unter anderem der alle zwei Jahre erscheinende Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland. Im Report für 2011 zeigte die Behörde beispielsweise auf, dass Spam und DDoS-Angriffe zwar kein nennenswertes Wachstum mehr verzeichneten. Dafür ist jedoch die Gefährdung durch Botnetze und Schadprogramme deutlich angestiegen.

Diese Entwicklung sehen die Experten des BSI auch für dieses Jahr voraus. Hier sorgen vor allem Sicherheitslücken in Browsern und deren Plugins dafür, dass sich Anwender quasi im Vorbeisurfen mit Schadcode infizieren. Links auf entsprechende Exploits finden sich dabei immer öfter auch auf legitimen Websites mit hoher Besucherzahl.

Auf die entsprechenden Server gelangen Angreifer dabei entweder über gehackte FTP-Server oder gestohlene Zugangsdaten. So schreibt das BSI etwa, dass „von Analysten [...] im Rahmen von Ermittlungen auf den Servern der Angreifer regelmäßig Listen mit 30.000 und mehr gestohlenen Zugangsdaten zu FTP-Servern gefunden" werden.

Die beliebtesten Wege zur Malware-Verbreitung

Zunehmender Beliebtheit bei Angreifern erfreut sich die Manipulation von Ad-Servern. Diese liefern nach erfolgreicher "Umkonfigurierung" dann an Stelle von Werbebannern auf ganz normalen Webseiten Schadcode aus. Laut dem Web Security Report 2012 von Blue Coat war Werbung im Jahr 2011 bereits der am vierthäufigsten angeklickte Inhalt des Webs.

Die Plätze eins bis drei belegten Suchmaschinen und Suchportale, Seiten mit Computer- und Internetbezug sowie soziale Netzwerke. Dies spiegelt sich entsprechend in den von Angreifern genutzten Wegen wider. Denn deren Strategie ist, in möglichst kurzer Zeit möglichst viele Nutzer zu infizieren.

Die fünf beliebtesten Wege zur Verbreitung von Malware waren laut dem Blue Coat Security Report in 2011 Suchmaschinen mit rund 40 Prozent, gefolgt von E-Mails mit Links auf Malware (11,62%), nicht näher kategorisierte Seiten (8,64%), Soziale Netze (6,48%) und Pornographie (4,4%).

Virenscanner reichen nicht mehr

Bis noch vor ein paar Jahren galt die Faustregel, dass eine Firewall und zwei verschiedene Virenscanner auf dem Mailserver und auf den Client-PCs und Servern ausreichen, um seine Daten und Benutzer vor bösartigem Code aus dem Internet zu schützen.

Doch diese Zeiten sind vorbei. Denn webbasierte Angriffe aus Malnets finden einerseits immer kurzfristiger statt. Andererseits dauern sie oft nur wenige Stunden. Bei so einer Dynamik haben die Hersteller von Antiviren-Software überhaupt keine Chance mehr, die statischen Signaturdatenbanken ihrer Produkte rechtzeitig zu aktualisieren und an ihre Kunden auszuliefern.

Um dieser Art von Angriffen effektiv begegnen zu können, müssen Unternehmen daher an einer anderen Stelle ansetzen – nämlich am zentralen Internet-Gateway. Nur hier können Web-Security-Gateways auf Basis eines Proxyservers dafür sorgen, dass jeder Datenverkehr in das World Wide Web und jede Antwort aus dem Web einer Sicherheitskontrolle unterzogen wird.

Die Prüfung findet somit statt, bevor die potentiell infizierten Daten auf den Rechnern der Anwender landen. Durch die Kontrolle auch des ausgehenden Datenverkehrs haben diese Lösungen die Möglichkeit, die Kommunikation von bereits im Unternehmen vorhandener Spyware mit ihren Command-and-Control-Servern (C&C-Server) zu unterbinden.

Dynamik des Internets mit einkalkulieren

Wie bei den Virenscannern gilt auch für Web-Gateways, dass statische URL-Datenbanken der Dynamik aktueller Angriffe nicht mehr gewachsen sind. So nutzen Angreifer unter anderem gerne Verkettungen von dynamischen Weiterleitungen, um das eigentliche Ziel eines Links zu verschleiern.

Ein Klick auf einen entsprechenden Link leitet die Anfrage also an eine ganz andere URL weiter, hinter der wiederum eine Reihe von URLs stehen kann. Die dazugehörigen Domains werden zudem erst kurz vor einem Angriff registriert. Das wahre Ziel eines Links (oder die Quelle eine iFrames-Inhalts) ist so für Nutzer nicht mehr erkennbar.

Der Schlüssel zu einer erfolgreichen Abwehr am Web-Gateway kann daher nur sein, jede – und die Betonung liegt hier auf wirklich jede – Anfrage eines Benutzers nach einer URL in Echtzeit mit einem zentralen Cloud-basierten Sicherheitsdienst abzugleichen und diese dort bewerten zu lassen.

Dies schließt auch alle URL-Weiterleitungen durch Redirects ein. Dann kann das lokale Web-Security-Gateway auf Grund der Bewertung des Sicherheitsdienstes aus der Cloud in Verbindung mit einer lokal hinterlegten Sicherheitsrichtlinie entscheiden, ob die jeweilige Anfrage zulässig ist oder blockiert wird.

Ein weiterer Vorteil dieses Ansatzes ist, dass der Sicherheitsdienst so einen guten Einblick über tatsächlich angefragte URLs erhält. Entdeckt er hinter einer neuen URL dann beispielsweise ein verdächtiges Stück Code, steht diese Informationen sofort allen Abonnenten des Dienstes zur Verfügung.

Appliance, Cloud oder hybrid?

Ab einer bestimmten Unternehmensgröße und Mitarbeiterzahl empfiehlt sich vor allem aus Performance-Aspekten der Einsatz eines Web-Security-Gateways in Form einer dedizierten Appliance. Für kleinere Büros, Niederlassungen und Außenstellen kann dies jedoch vor allem aus Kostengründen schwierig sein.

Für solche Standorte gibt es – ebenso wie für mobile Anwender – alternativ die Möglichkeit, die Absicherung des Webverkehrs komplett an einen Cloud-Dienst zu übertragen. Kleine Büros routen dann beispielsweise über ein IPSec-VPN oder Proxy-Chaining ihren Internetverkehr zu dem entsprechenden Cloud-Service, der diesen analog zu einer lokalen Gateway-Appliance prüft.

Sind alle stationären Mitarbeiter geschützt, ist die Arbeit jedoch noch nicht getan. Denn mobile Nutzer, die mit privaten oder dienstlichen Smartphones, Tablets, Laptops und Ultrabooks auf Unternehmensdaten zugreifen, stellen ebenfalls ein Sicherheitsrisiko dar. Vor allem dann, wenn sie sich außerhalb des als sicher angesehenen Unternehmensnetzes befinden.

Aus diesem Grund müssen Unternehmen auch diese Benutzer und Geräte in ihre universelle Websicherheitslösung mit einbinden. Dies erfolgt in der Regel über lokale Software-Agents, sichere Webbrowser oder entsprechende Apps, die sich dann mit dem sicheren Web-Gateway in der Cloud verbinden.

Hat ein Unternehmen sowohl mehrere Mitarbeiter an einem Ort als auch mobile Anwender, so ist eine Kombination aus Appliance und Cloud-Dienst sinnvoll. Wichtig ist hierbei, dass sich die den Webverkehr betreffenden Sicherheitsrichtlinien eines Unternehmens an zentraler Stelle administrieren lassen und anschließend automatisch auf alle Nutzer übertragen werden. Dasselbe gilt für das Reporting, das die Daten lokaler Web-Gateways und des Cloud-Dienstes konsolidiert darstellt.

Praxistipps für Gateway und Cloud

Unabhängig davon, ob der Webverkehr an einem lokalen Gateway oder in der Cloud auf Sicherheitsrisiken hin geprüft wird, haben sich in der Praxis ein paar Vorgehensweisen für deren Konfiguration bewährt. So sollten Unternehmen jeder Größe auf alle Fälle regelmäßig die Berichte ihrer Web-Sicherheitslösung analysieren, um mit Hilfe dieser Daten sicherheitsgefährdendes Verhalten erkennen zu können. Geht beispielsweise von einem PC im Unternehmen eine Menge nicht klassifizierter Datenverkehr aus, so könnte dies ein Hinweis auf eine noch nicht erkannte Malware sein.

Desweiteren empfiehlt es sich, neben bekannten unerwünschten URL-Kategorien wie Malware, Pornografie, Glückspiel, Spam oder Hacking auch grundsätzlich alle ausführbaren Inhalte zu sperren, die von nicht klassifizierten URLs kommen. Natürlich sollte jedes Unternehmen Richtlinien zur Sperrung von gefährlichen und potentiell gefährlichen URL-Kategorien aufstellen.

Potenziell gefährlich können dabei zum Beispiel Seiten sein, die eine Umgehung des Proxy-Servers ermöglichen. Download-Portale zählen zu den Seiten mit extrem hohem Risiko. Auch Datenverkehr, der Port 443 verwenden möchte, aber nicht SSL-verschlüsselt ist, sollte unbedingt blockiert werden. Denn dieser Port wird gerne von Botnets genutzt, um ausgespähte Daten unbemerkt an ihre C&C-Server zu senden.

Und selbst wenn Virenscanner allein nicht mehr ausreichen, um Benutzer und Daten vor Angriffen aus dem Web zu schützen, so sind sie doch weiterhin eine wichtige Komponente eines umfassenden Schutzkonzepts. Daher sollten Unternehmen weiterhin in ihrem Netzwerk verteilte Virenscanner verschiedener Hersteller einsetzen. Dies erhöht auch die Wahrscheinlichkeit, dass eine bösartige Datei zumindest nach einiger Zeit schneller erkannt wird.

Fazit

Websicherheit ist kein Luxus mehr, sondern – ebenso wie ein Virenscanner – eine Notwendigkeit. Bei der Auswahl, Implementation und Administration einer entsprechenden Lösung sollten Unternehmen darauf achten, mit zentralen Richtlinien alle Mitarbeiter an jedem Ort auf jedem Gerät und in jedem Netz vor Bedrohungen aus dem Web schützen zu können.

Über den Autor

Arne Ohlsen ist Senior Product Marketing Manager DACH & Osteuropa bei Blue Coat Systems.

(ID:36987470)