WatchGuard Blog

Zero-Day-Malware auf dem Vormarsch

Der aktuelle Internet Security Report von WatchGuard Technologies für das zweite Quartal 2020 offenbart einen bemerkenswerten Trend: Einerseits verzeichnet er einen achtprozentigen Rückgang über alle Malware-Formen hinweg. Anderseits erfolgten mehr als zwei Drittel solcher Angriffe über Zero-Day-Malware, die von signaturbasierten Antivirus-Lösungen nicht erkannt wird. Insgesamt stieg die Anzahl dieser speziellen Malware-Varianten im Vergleich zum ersten Quartal um eindrucksvolle zwölf Prozent. Dazu Corey Nachreiner, CTO von WatchGuard: „Unternehmen sind offensichtlich nicht die einzigen, die ihre Abläufe aufgrund der globalen COVID-19-Pandemie angepasst haben – auch Cyberkriminelle haben ihr Vorgehen geändert. Die Zunahme von sogenannten ‚Sophisticated Attacks‘ lässt vermuten, dass die Angreifer – im Zuge der generellen Verlagerung zum dezentralen Arbeiten – darauf bauen, mit Zero-Day-Malware im Homeoffice-Umfeld noch schneller punkten zu können.“ Aus diesem Grund rät WatchGuard jedem Unternehmen zu einem mehrschichtigen Sicherheitskonzept, das nicht zuletzt eine moderne Gefahrenerkennung mithilfe fortschrittlicher Verhaltensanalysen ermöglicht und cloudbasiertes Sandboxing integriert.

Auch diesmal bietet der seit 2017 vierteljährlich veröffentlichte Internet Security Report von WatchGuard einen detaillierten Einblick zu den neuesten Trends bei Malware und Netzwerkangriffen. Die Daten basieren auf den anonymisierten Firebox-Feed-Daten von knapp 42.000 aktiven WatchGuard UTM-Appliances weltweit, deren Anwender dem Daten-Sharing zur Unterstützung des WatchGuard Threat Labs zugestimmt haben. Insgesamt blockierten die Appliances im zweiten Quartal 2020 über 28,5 Millionen Malware-Varianten (684 pro Gerät) und rund 1,75 Millionen Netzwerkangriffe (42 pro Gerät).

Zu den wichtigsten Ergebnissen des Berichts Q2 2020 gehören die folgenden Punkte. Dazu ein wichtiger Hinweis: Rufen Sie keinen der bösartigen Links auf, die in diesem Bericht genannt werden. Damit diese nicht automatisch anklickbar sind, wurden absichtlich Klammern um die Punkte in der URL gesetzt (z.B. www[.] site[.]com).

  • Cyberkriminelle setzen weiterhin auf getarnte (evasive) und verschlüsselte Angriffsmethoden: Zero-Day-Malware machte im zweiten Quartal mehr als zwei Drittel aller registrierten Malware-Attacken aus. Der Anteil von Angriffen, die über HTTPS-Verbindungen gesendet wurden, lag bei 34 Prozent. Organisationen, die nicht in der Lage sind, diese verschlüsselten Datenübertragungen zu überprüfen, agieren somit bei einem guten Drittel der darüber eingehenden Bedrohungen praktisch im Blindflug. Vor allem das Volumen der HTTPS-verschlüsselten Malware stieg in dem Zusammenhang dramatisch an. Es wurde jedoch auch deutlich, dass sich der Gesamtanteil der verschlüsselungsbasierten Gefahren verringert. Das deutet darauf hin, dass immer mehr Administratoren die HTTPS-Prüfung in ihren Firebox-Appliances aktivieren – trotzdem zeigen die 34 Prozent, dass es in diesem Bereich durchaus noch Luft nach oben gibt.
  • JavaScript-basierte Angriffe auf dem Vormarsch: Das Scam-Script Trojan.Gnaeus hat sein Debüt an der Spitze der WatchGuard-Top-10-Malware-Liste für das zweite Quartal gegeben und zeichnete für fast jede fünfte Malware-Erkennung verantwortlich. Gnaeus-Malware ermöglicht es Angreifern, mit verschleiertem Code die Kontrolle über den Browser des Opfers zu übernehmen. Anschließend werden eingegebene Web-Adressen gewaltsam zu Domains unter der Kontrolle des Angreifers umgeleitet. Berühmtheit erlangte darüber hinaus ein weiterer Popup-ähnlicher JavaScript-Angriff: J.S. PopUnder. Hierbei werden über ein verschleiertes Script die Systemeigenschaften des Rechners gescannt und Debugging-Versuche blockiert. Zum Schutz gegen diese Art von Bedrohungen sollten Unternehmen ihre Anwender daran hindern, Browser-Erweiterungen aus unbekannten Quellen zu installieren. Darüber hinaus ist wichtig, dass sowohl die Browser als auch die Anti-Malware-Engine stets auf dem aktuellen Patch-Stand sind und nur seriöse Adblocker zum Einsatz kommen.
  • Excel-Dateien als trojanisches Pferd für Malware: XML-Trojan.Abracadabra ist ein Neuzugang in der Liste der Top 10 der Malware-Erkennungen von WatchGuard. Seit dem erstmaligen Auftauchen der Technik im April hat sie rapide an Popularität zugenommen. Bei Abracadabra handelt es sich um eine Malware-Variante, die als verschlüsselte Excel-Datei mit dem Standard-Passwort für Excel-Dokumente „VelvetSweatshop“ ausgeliefert wird. Nach dem Öffnen entschlüsselt Excel die Datei automatisch, ein VBA-Makro-Script innerhalb des Arbeitsblatts lädt eine Datei herunter und führt sie aus. Aufgrund der Verwendung eines Standardkennworts umgeht diese Malware viele grundlegende Antiviren-Lösungen, da die Datei direkt von Excel verschlüsselt und dann entschlüsselt wird. Unternehmen sollten daher niemals Makros aus nicht vertrauenswürdigen Quellen zulassen und cloudbasiertes Sandboxing einsetzen. Damit lässt sich das Verhalten potenziell gefährlicher Dateien sicher verifizieren, bevor sie eine Infektion verursachen.
  • Comeback eines alten und hochgradig effizienten DoS-Angriffs: Eine sechs Jahre alte DoS-Schwachstelle (Denial-of-Service) in WordPress und Drupal tauchte im zweiten Quartal auf der WatchGuard-Liste der 10 volumenmäßig häufigsten Netzwerkangriffe auf. Diese Schwachstelle ist besonders schwerwiegend, da sie jede ungepatchte WordPress- und Drupal-Installation betrifft. Damit lassen sich DoS-Szenarien erzeugen, die von der zugrundeliegenden Hardware eine hohe CPU- und Speicherlast abverlangen. Trotz des hohen Volumens dieser Angriffe ließ sich der Fokus auf ein paar Dutzend Netzwerke in Deutschland eingrenzen. Da derartige DoS-Szenarien eine permanente Verbindung erfordern, haben die Angreifer ihre Ziele mit großer Wahrscheinlichkeit absichtlich ausgewählt.
  • Malware-Domains nutzen Command-and-Control-Server, um Schaden anzurichten: In die Liste der Top-Malware-Domains wurden von WatchGuard im 2. Quartal zwei neue Ziele aufgenommen. An der Spitze stand die Website findresults[.]site, die einen C&C-Server für eine Dadobra-Trojaner-Variante verwendet. Dabei kommt eine verschleierte Datei samt zugehörigem Registry-Eintrag zum Einsatz. So wird sichergestellt, dass der Angriff beim Start des Windows-Systems ausgeführt wird und sensible Daten exfiltriert sowie zusätzliche Malware heruntergeladen werden können. Ein Benutzer meldete dem WatchGuard-Team zudem die Domäne Cioco-froll[.]com. Dahinter verbirgt sich ein C&C-Server, der die Asprox-Botnet-Variante unterstützt, welche oft in PDF-Dokumenten mitreist. Ein zugehöriger C&C-Beacon informiert den Angreifer, wenn der Übergriff erfolgreich war und einer Teilnahme am Botnetz nichts mehr im Wege steht. DNS-Firewalling kann Organisationen dabei helfen, diese Art von Bedrohungen unabhängig vom Anwendungsprotokoll zu erkennen und zu blockieren.

Der vollständige Bericht mit vielen weiteren Details und Empfehlungen für adäquate Sicherheitsvorkehrungen auf Unternehmensseite steht online zum Download bereit: https://www.watchguard.com/wgrd-resource-center/security-report-q2-2020.