SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing,...

of 22/22
SECURITY REIMAGINED SPECIAL REPORT FIREEYE ADVANCED THREAT REPORT: 2013
  • date post

    17-Sep-2018
  • Category

    Documents

  • view

    213
  • download

    0

Embed Size (px)

Transcript of SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing,...

  • SECURITY REIMAGINED

    SPECIAL REPORT

    FIREEYE ADVANCED THREAT REPORT: 2013

  • 1 www.fireeye.com

    FireEye Advanced Threat Report: 2013

    CONTENTS

    Kurzfassung ....................................................................................................................................................................... 2

    Datengrundlage des Berichts .................................................................................................................................. 4

    Einleitung ..................................................................................................................................................................... 4

    Verbreitung von Advanced Persistent Threats ............................................................................................ 5

    FireEye Sicherheitswarnungen 2013 .................................................................................................................. 6

    Hchste Zahl verschiedener APT-Arten pro Land....................................................................................... 7

    Hufige Malware-Arten im Fokus ......................................................................................................................... 8

    Malware-Fallstudie: Poison Ivy ........................................................................................................................... 12

    Die zehn weltweit am strksten betroffenen vertikalen Mrkte ................................................... 13

    Hchste Zahl an Malware-Arten pro vertikalem Markt ....................................................................... 14

    Hchste Zahl der betroffenen vertikalen Mrkte pro Land: .............................................................. 15

    Grundlegende CnC-Infrastruktur: Weltkarte ............................................................................................. 16

    Angriffsanalyse: Zero-Day-Exploits ................................................................................................................. 18

    ber FireEye ................................................................................................................................................................... 21

    http://www.fireeye.com

  • 2 www.fireeye.com

    FireEye Advanced Threat Report: 2013

    Diebstahl geistigen Eigentums

    Abfangen vertraulicher Regierungskommunikation

    Sabotage von Websites, die fr die nationale Sicherheit von Belang sind

    Fortschrittliche Angriffe, auch Advanced Persistent Threats (APTs) genannt, stehen hufig direkt oder indirekt mit den Interessen staatlicher Regierungen in Verbindung.

    Die Datengrundlage dieses Berichts stammt aus der Dynamic Threat Intelligence (DTI) Cloud von FireEye einem globalen Netzwerk von Malware-Protection-Systemen, das einen Echtzeit-Austausch von Bedrohungsdaten durch FireEye-Kunden ermglicht. Die verfgbaren Daten belegen eindeutig, dass sich Malware auf Unternehmensebene in alarmierender Geschwindigkeit ausbreitet. Auerdem zeigt sich, dass versierte Angreifer inzwischen in der Lage sind, konventionelle Sicherheitsvorrichtungen wie Firewalls und Antiviruslsungen problemlos zu umgehen.

    Im Jahr 2013 hat FireEye: 39.504 verschiedene Sicherheitsvorflle

    analysiert (mehr als 100 pro Tag)

    4.192 der Angriffe auf APT-Aktivitten zurckgefhrt (mehr als 11 pro Tag)

    17.995 Infektionen durch Malware infolge von APT-Aktivitten beobachtet (fast 50 pro Tag)

    ber 22 Millionen Command-and-Control-Verbindungen (CnC) registriert (mehr als 1,5 pro Sekunde)

    die USA, Kanada und Deutschland als Hauptziele verschiedener Malware- Arten ausgemacht

    Found that the U.S., Canada, and Germany were targeted by the highest number of unique malware families

    Die Angriffe nahmen verschiedene Formen an und haben ihren Ursprung in fast allen Lndern und Regionen der Welt. Im Jahr 2013 hat FireEye:

    159 verschiedene APT-bezogene Malware-Arten erfass

    festgestellt, dass frei zugngliche Hackertools wie Dark Comet, LV, Gh0stRAT und Poison Ivy im

    CnC-Infrastruktur in 206 Lndern und Regionen ausfindig gemacht ein klarer Anstieg gegenber 184 im Vorjahr (was 81 Prozent der Mitgliedstaaten der Vereinten Nationen entspricht)

    festgestellt, dass in den USA, Deutschland, Sdkorea, China, den Niederlanden, Grobritannien und Russland die meisten CnC-Server betrieben werden

    Laut den Daten von FireEye waren die folgenden zehn Lnder 2013 am strksten von APTs betroffen:

    Kurzfassung Der vorliegende Advanced Threat Report (ATR) bietet eine bersicht der Angriffe auf Computernetzwerke, die im Jahr 2013 von FireEye beobachtet wurden. Den hierin beschriebenen Cyberaktivitten liegen unserer Ansicht nach primr die folgenden Motive zugrunde:

    http://www.fireeye.com

  • 3 www.fireeye.com

    FireEye Advanced Threat Report: 2013

    1. USA 6. Deutschland 2. Sdkorea 7. Schweiz 3. Kanada 8. Taiwan 4. Japan 9. Saudi-Arabien 5. Grobritannien 10. Israel APTs haben den Diebstahl sorgfltig ausgewhlter, hochsensibler Daten zum Ziel und nehmen ausnahmslos alle vertikalen Mrkte ins Visier:

    Mehr als 20 vertikale Mrkte waren von APTs betroffen.

    Das Bildungswesen sowie die Finanz- und Hightechbranche waren die hufigsten Ziele.

    In den USA, Sdkorea und Kanada war die grte Anzahl an Branchen betroffen.

    Laut unseren Daten sahen sich die folgenden vertikalen Mrkte der grten Anzahl an Angriffen verschiedener Malware-Arten ausgesetzt:

    1. Staatliche Stellen (Bundesebene)

    2. Business Services/Consulting

    3. Technologie

    4. Finanzdienstleistungen

    5. Telekommunikation

    6. Bildung

    7. Luft- und Raumfahrt

    8. Staatliche Stellen (regionale und lokale Ebene)

    9. Chemische Industrie

    10. Energie Die von FireEye erfassten Sicherheitswarnungen sind das Resultat einer Multi-Vektor-Analyse. 2013 standen die Bedrohungsvektoren Web

    und E-Mail im Fokus, wie die folgenden Statistiken belegen:

    FireEye analysierte insgesamt fnfmal mehr webbasierte Warnungen als E-Mail-basierte Warnungen.

    Lnderbergreifend verzeichnete FireEye dreimal mehr Webwarnungen als E-Mail-Warnungen.

    Mgliche Ursachen fr die Diskrepanz zwischen den beiden Bedrohungsvektoren knnte die strkere Sensibilisierung fr die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer Netzwerke sowie eine fast durchgngige Konnektivitt vieler Benutzer sein. Zero-Day-Angriffe sind eine unverzichtbare Waffe jeder APT-Strategie, wie die folgende Statistik belegt:

    FireEye hat 2013 elf Zero-Day- Angriffe registriert.

    Im ersten Halbjahr 2013 war Java das beliebteste Angriffsziel.

    Im zweiten Halbjahr 2013 konnte FireEye einen Anstieg bei Zero-Day-Angriffen auf den Internet Explorer (IE) beobachten, die im Rahmen von Watering-Hole-Angriffen durchgefhrt wurden.

    Crimeware-Gruppen sind inzwischen in der Lage, effektive Java-Exploits zu entwickeln.

    APTs fhrten Watering-Hole-Angriffe auf Websites der US-Regierung aus.

    Angreifer finden immer regelmiger Wege, Sandbox-Lsungen zu umgehen.

    Unseren Prognosen zufolge wird die Zahl der Zero-Day-Angriffe auf Java im Jahr 2014 zurckgehen.

    http://www.fireeye.com

  • 4 www.fireeye.com

    FireEye Advanced Threat Report: 2013

    Datengrundlage des BerichtsThreat-Prevention-Plattformen von FireEye werden gewhnlich hinter den traditionellen Netzwerksicherheitslsungen wie Firewalls, Next-Generation-Firewalls, Intrusion-Prevention-Systemen (IPS) und Antivirussoftware (AV) eingesetzt. Die FireEye-Appliance fhrt potenzielle Malware in einer virtuellen Umgebung aus, um nach Anzeichen fr schdliches Verhalten zu suchen. Meist werden schdliche Aktivitten analysiert, die vorhandene Schutzmanahmen des Netzwerks erfolgreich umgehen konnten. Deshalb ist die Zahl der Fehlalarme im Allgemeinen uerst gering.

    Gegenstand dieses Berichts sind jedoch nur solche Angriffe, von denen FireEye im Jahr 2013 Kenntnis erlangte. In anderen Worten: Die erhobenen Daten umfassen nur Angriffe, die zwei Kriterien erfllen:

    1. FireEye-Kunden waren von den Angriffen betroffen.

    2. Die FireEye-Kunden erklrten sich einverstanden, ihre Angriffsdaten FireEye zur Verfgung zu stellen.

    Deshalb nimmt dieser Bericht nicht fr sich in Anspruch, alle Advanced Targeted Attacks abzubilden, die weltweit durchgefhrt wurden. Weiterhin wurden alle Daten ausgefiltert, die zur Verflschung unserer Ergebnisse beigetragen htten. Hierzu gehren zu Testzwecken durchgefhrter Netzwerkverkehr oder manuell zwischen Kunden ausgetauschte Daten. Wir sind uns bewusst, dass manche Tools, Taktiken und Prozesse (TTPs) sowohl von Cyberkriminellen als auch von staatlichen Bedrohungsurhebern eingesetzt werden. APTs nutzen mehrere TTPs, und jeder beliebige TTP kann von mehreren APTs

    verwendet werden. Diese komplexe Dynamik zielgerichteter Aktivitten in Computernetzwerken verkompliziert die Analyse durch IT-Sicherheitsvorrichtungen. Um Missverstndnissen vorzubeugen, nutzt FireEye konservative Filter und manuelle Prfverfahren, um das Risiko falsch zugeordneter Angriffe zu verringern.

    EinleitungIm Jahr 2013 wurden von den Threat-Prevention-Plattformen von FireEye Millionen von Sicherheitsvorfllen registriert. Anschlieend wurden diese Daten durch unsere Sicherheitsexperten auf ihren Bezug zu APT-Angriffen analysiert. Diese greifen laut unserer Definition auf eigene TTPs zurck, die direkt oder indirekt von einer Regierung oder kriminellen Organisation eingesetzt zu werden scheinen. Die Ziele dieser Angriffe reichen von unmittelbarer Cyberspionage bis hin zur langfristig geplanten Infiltrierung von Zielnetzwerken.

    2013 war fr Cyberkriminelle ein arbeitsreiches Jahr. FireEye analysierte fast 40.000 einzelne zielgerichtete Angriffe auf unsere Kunden durchschnittlich mehr als 100 pro Tag. Von diesen konnten wir ber 4.000 Angriffe auf APT-Angriffe zurckfhren (mehr als 11 verschiedene APT-Angriffe pro Tag). Zustzlich wurden fast 18.000 verschiedene Malware-Infektionen infolge von APT-Aktivitten beobachtet (durchschnittlich fast 50 pro Tag). Diese gezielten Angriffe treten in verschiedensten Formen auf und haben ihren Ursprung rund um den Globus. 2013 erfasste FireEye 159 Malware-Arten, die mit APT-Aktivitten in Verbindung gebracht werden konnten. Weiterhin konnten wir grundlegende CnC-Infrastruktur in 206 lnderspezifischen Top-Level-Domains ausfindig machen das heit in praktisch jeder Region der Welt.

    http://www.fireeye.com

  • 5 www.fireeye.com

    FireEye Advanced Threat Report: 2013

    Im vergangenen Jahr haben APT-Angreifer viele Lnder weltweit ins Visier genommen. Ziel waren unter anderem nationale Sicherheitsgeheimnisse sowie Forschungs- und Entwicklungsdaten. Abbildung 1 gibt einen berblick ber die Verteilung von APT-Zielen. Die Farbe des Kreises stellt das Ma an APT-Aktivitt in dem jeweiligen Land dar. Laut den FireEye-Daten fr das Jahr 2013 sind die folgenden zehn Lndern am strksten von APT-Angriffen betroffen:

    1. USA

    2. Sdkorea

    3. Kanada

    4. Japan

    5. Grobritannien

    6. Deutschland

    7. Schweiz

    8. Taiwan

    9. Saudi-Arabien

    10. Israel

    Verbreitung von Advanced Persistent Threats

    Abbildung 1: APT-Angriffe im Lndervergleich

    http://www.fireeye.com

  • 6 www.fireeye.com

    FireEye Advanced Threat Report: 2013

    FireEye Sicherheitswarnungen 2013Die von FireEye erfassten Sicherheitswarnungen stammen aus einer Vielzahl verdchtiger Netzwerkereignisse und sicherheitsrelevanter Vorflle. Abbildung 2 beleuchtet anhand der uns vorliegenden Daten fr 2013 das Verhltnis zwischen zwei der populrsten Bedrohungsvektoren: E-Mail und Webdatenverkehr.

    Kreise stehen dabei stellvertretend fr einzelne Lnder, deren jeweilige Position im Diagramm anzeigt, wie viele Warnungen von FireEye aufgrund von E-Mail- und webbasierten Vorfllen generiert wurden.

    Die Darstellung umfasst lediglich einen Ausschnitt der betroffenen Staaten, d. h., es wird nur der linke untere Bereich des weitaus greren Datensatzes angezeigt. Dennoch wird eine Schieflage zwischen den beiden Bedrohungsvektoren ersichtlich: Die

    Gesamtzahl der Netzwerkaktivitten, die auf Webdatenverkehr basierten, war fnfmal hher als die Zahl der Aktivitten, die sich Schadmails zunutze machten. Lnderbergreifend war die durchschnittliche Anzahl webbasierter Warnungen mehr als dreimal so hoch wie fr E-Mail-basierte Warnungen.

    Das Fazit fr Sicherheitsadministratoren: 2013 versuchten Angreifer weitaus hufiger, ber den Angriffsvektor Webdatenverkehr in ein Zielnetzwerk einzudringen, anstatt ihr Ziel mithilfe schdlicher E-Mails zu erreichen (obwohl beide Methoden hufig eingesetzt wurden). Diese Diskrepanz knnte auf ein strkeres Bewusstsein des Bedrohungspotenzials von Spear Phishing, die zunehmende Bedeutung sozialer Netzwerke und hochkomplexe Websites zurckzufhren sein, die ununterbrochen mit dem Internet verbunden sind.

    Web

    Email

    4020 3010

    20

    40

    60

    80

    100

    120

    140

    160

    180

    Threat Vector Comparison: Web vs. Email

    Abbildung 2: Bedrohungsvektoren im Vergleich: Web vs. E-Mail

    Bedrohungsvektoren im Vergleich: Web vs. E-Mail

    http://www.fireeye.com

  • 7 www.fireeye.com

    FireEye Advanced Threat Report: 2013

    Eine weitere Methode, um die globale Bedrohungslage statistisch zu erfassen, ist, die Zahl der verschiedenen APT-Arten zu ermitteln, die in einem einzelnen Land registriert wurden.

    Durch diese Analyse der Malware-Verteilung wird ein besseres Verstndnis des Bedrohungspotenzials erlangt, dem die einzelnen Lnder im Jahr 2013 ausgesetzt waren. Eine grere Zahl von Malware-Arten lsst gleichzeitig auf eine grere Zahl von Angreifern schlieen was wiederum die Notwendigkeit ausgefeilterer Schutzmanahmen unterstreicht.

    Laut den von FireEye fr 2013 ermittelten Daten fhrt die USA diese Kategorie deutlich an: Insgesamt wurden mehr als 100 verschiedene Arten von APT-Malware entdeckt. Kanada folgt mit 52 auf dem zweiten Platz weniger als die Hlfte des in den Vereinigten Staaten gemessenen Volumens.

    Nachfolgend sind die zehn Lnder aufgelistet, in denen die hchste Gesamtzahl an Malware-Arten festgestellt wurde: 1. USA (125)

    2. Kanada (52)

    3. Deutschland (45)

    4. Grobritannien (43)

    5. Japan (37)

    6. Taiwan (35)

    7. Sdkorea (34)

    8. Israel (31)

    9. Schweiz (22)

    10. Trkei (21)

    Hchste Zahl verschiedener APT-Arten pro Land

    Abbildung 3: Verschiedene Arten von APT-Angriffen im Lndervergleich

    http://www.fireeye.com

  • 8 www.fireeye.com

    FireEye Advanced Threat Report: 2013

    Hufige Malware-Arten im FokusIm Folgenden mchten wir einen genaueren Blick auf drei populre Toolkits werfen, mit denen FireEye 2013 in Berhrung kam: Dark Comet, LV und Gh0stRAT. Hierbei handelt es sich um frei zugngliche Remote Administration Tools, auch RAT-Tools genannt. Oft spielen diese Tools eine zentrale Rolle bei koordinierten Angriffen, die bisher unbekannte Schwachstellen in Software ausnutzen (Zero-Day-Angriffe) und mit Social-Engineering-Taktiken arbeiten.

    RAT-Tools sind leistungsfhig und gleichzeitig einfach zu handhaben. Sie werden mit dem bergreifenden Ziel entwickelt, Angreifern grtmgliche Handlungsfreiheit auf kompromittierten Systemen zu verschaffen. Die Mglichkeiten reichen von Datendiebstahl ber Datenmanipulation bis hin zu Denial-of-Service-Angriffen.

    RATs sind insbesondere deshalb attraktiv, da bereits mit wenig technischem Know-how durchschlagender Erfolg erzielt werden kann. Sie verfgen meist ber eine einfache grafische

    Benutzeroberflche (GUI), mit deren Hilfe sich Angreifer per simpler Maussteuerung in einem infiltrierten Netzwerk bewegen knnen. Zu den typischen Funktionen gehren das Aufzeichnen von Tastatureingaben, Bildschirminhalten und Videos, Dateibertragungen, Systemadministration, Kennwortdiebstahl sowie die Umleitung von Datenverkehr.

    Die Mehrzahl der Angriffe, die mithilfe von Dark Comet, LV oder Gh0stRAT im Jahr 2013 realisiert wurden, ist nicht auf APT-Aktivitten zurckzufhren. Dennoch macht der Einsatz ffentlicher RATs auch im Rahmen eines APT-Angriffs Sinn:

    1. Sie sind effektiv.

    2. Sie helfen APTs dabei, unbemerkt zu bleiben, da konventionelle IT-Sicherheitslsungen unter Umstnden nicht darauf vorbereitet sind, dass APTs derartige Software im Rahmen zielgerichteter und hochkomplexer Angriffe einsetzen.

    http://www.fireeye.com

  • 9 www.fireeye.com

    FireEye Advanced Threat Report: 2013

    Dark CometFireEye hat die Nutzung von Dark Comet im Rahmen zielgerichteter Cyberaktivitten seit 2012 untersucht. Dieser Malwaretyp nutzt in gleichem Mae die Angriffsvektoren Web und E-Mail. Abbildung 4 listet Lnder im Uhrzeigersinn auf, in denen Dark Comet 2013 den hchsten Wirkungsgrad aufwies. (Die Farben symbolisieren die unterschiedliche Intensitt der Aktivitt.) Zu

    den wichtigsten Zielen zhlten die USA, Sdkorea, Kanada, Japan, die Schweiz, Deutschland und Grobritannien. Abbildung 5 bietet einen berblick ber die vertikalen Mrkte, in denen 2013 eine besonders hohe Aktivitt von Dark Comet zu verzeichnen war. Am strksten betroffen waren die Sektoren Finanzdienstleistungen, Energie/Versorgung und Bildung.

    Abbildung 5: Vertikale Zielmrkte von Dark Comet

    Finanzdienst-leistungen

    Energie/Versorgung

    Bildung

    Hightech

    Gesundheltswensen/Pharmaindustrie

    ChemischeIndustrie/VerarbeitendeIndustrie

    Business Services/Consulting

    Staatliche Stellen(Bundesebene)

    Telekommu-nikasyon

    Luft- und Raumfahrt/ Rstung

    Abbildung 4: Netzwerkdiagramm der Dark Comet-Aktivitten

    http://www.fireeye.com

  • 10 www.fireeye.com

    FireEye Advanced Threat Report: 2013

    LVFireEye hat die Nutzung von LV im Rahmen zielgerichteter Cyberaktivitten seit 2012 untersucht. Dieser Malwaretyp nutzt in gleichem Mae die Angriffsvektoren Web und E-Mail. Abbildung 6 listet Lnder im Uhrzeigersinn auf, in denen LV 2013 den hchsten Wirkungsgrad aufwies.(Die Farben symbolisieren die unterschiedliche Intensitt der Aktivitt.) Zu den

    wichtigsten Zielen zhlten die USA, Saudi-Arabien, Katar, Sdkorea, Japan, Kanada, die Europische Union, die Schweiz und Grobritannien.

    Abbildung 7 bietet einen berblick ber die vertikalen Mrkte, in denen 2013 eine besonders hohe Aktivitt von LV zu verzeichnen war. Am strksten betroffen waren die Sektoren Bildung, Hightech, staatliche Stellen und Finanzdienstleistungen.

    Abbildung 6: Netzwerkdiagramm der LV-Aktivitten

    Abbildung 7: Vertikale Zielmrkte von LV

    Hochschul-bildung

    Hightech

    Staatliche Stellen(Bundesebene)

    Finanzdienstleistungen

    Gesundheltswensen/Pharmaindustrie

    Energie/Versorgung/OI

    Business Services/Consulting

    Telekommunikasyon

    Luft- und Raumfahrt/ Rstung

    ChemischeIndustrie/VerarbeitendeIndustrie

    http://www.fireeye.com

  • 11 www.fireeye.com

    FireEye Advanced Threat Report: 2013

    Gh0stRATFireEye hat die Nutzung von Gh0stRAT im Rahmen zielgerichteter Cyberaktivitten seit 2012 untersucht. Dieser Malwaretyp nutzt in gleichem Mae die Angriffsvektoren Web und E-Mai. Abbildung 8 listet Lnder im Uhrzeigersinn auf, in denen Gh0stRAT 2013 den hchsten Wirkungsgrad aufwies. (Die Farben

    symbolisieren die unterschiedliche Intensitt der Aktivitt.) Zu den wichtigsten Zielen zhlten die USA, Sdkorea, Kanada, Deutschland, die Schweiz und Japan. Abbildung 9 bietet einen berblick ber die vertikalen Mrkte, in denen 2013 eine besonders hohe Aktivitt von Gh0stRAT zu verzeichnen war. Am strksten betroffen waren die Sektoren Hightech, Bildung und Finanzdienstleistungen

    Abbildung 8: Netzwerkdiagramm der Gh0stRAT-Aktivitten

    Abbildung 9: Vertikale Zielmrkte von Gh0stRAT

    Hochschul-bildung

    Hightech

    Staatliche Stellen(Bundesebene)

    Finanzdienstleistungen

    Gesundheltswensen/

    PharmaindustrieBusiness Services/Consulting

    ChemischeIndustrie/VerarbeitendeIndustrie

    Telekommuni-kasyon

    Luft- und Raumfahrt/Rstung

    Energie/Versorgung

    http://www.fireeye.com

  • 12 www.fireeye.com

    Auch die politisch motivierte Nitro-Kampagne und ein Watering Hole-Angriff, der Besucher einer Website der US-Regierung ins Visier nahm, gehen auf das Konto von PIVY. Systemadministratoren sollten wissen, dass auch APTs kostenlos erhltliche Software wie Poison Ivy einsetzen, um gezielte Angriffe auf Netzwerke durchfhren zu knnen. Wie FireEye bereits in einem Bericht von 2013 aufdeckte, nehmen derzeit mindestens drei in China ansssige Bedrohungsurheber die Dienste von PIVY in Anspruch: [email protected], th3bug und menuPass.

    Obwohl RATs als Lieblingsspielzeug sogenannter Skriptkiddies gelten, bieten sie auch APT-Angreifern eine Vielzahl ntzlicher Funktionen. Zudem zeigt sich die Funktionsweise von Poison Ivy vom kontinuierlichen technischen Fortschritt relativ unbeeindruckt. Dasselbe gilt fr die Hackingtools Nmap, Nessus und John the Ripper.

    APTs verfgen auerdem ber einen weiteren Vorteil: PIVY hat eine so groe Verbreitung, dass

    MALWARE CASE STUDY: Poison Ivy

    Seit seiner Verffentlichung 2008 steht das kostenlos erhltliche RAT-Tool Poison Ivy (PIVY)(www.poisonivy-rat.com) in den Schlagzeilen und war an einigen der weltweit verheerendsten Cyberangriffen beteiligt. So drangen Angreifer mithilfe des Fernwartungstools unter anderem in das System des IT-Sicherheitsunternehmens RSA ein, um Daten zum Authentifizierungssystem SecureID zu entwenden.

    ein einzelner Angriff nicht zwangslufig aus der Masse heraussticht. Ebenso kann es vorkommen, dass Sicherheitsexperten ein Vorkommen von PIVY einem gewhnlichen Cyberangriff statt einem gezielten APT-Angriff zurechnen.

    Um konventionelle Crimeware von APT-Varianten von PIVY zu unterscheiden, hat FireEye 2013 ein umfassendes Toolkit mit dem Namen Calamine auf den Markt gebracht.

    Calamine setzt sich aus zwei Open-Source-Tools zusammen: einem PIVY-Konfigurationsdecoder und einem PIVY-Kommunikationsentschlsseler. Die von Calamine bereitgestellten Daten knnen von Sicherheitsanalysten verwendet werden, um APT-Angreifer zu identifizieren oder ihre Ziele und Motive offenzulegen.

    Ein wichtiges Merkmal von RAT-Tools beispielsweise im Vergleich zu kriminellen Botnets ist, dass ein menschlicher Angreifer mit dem Zielsystem kommunizieren muss. RAT-Aktivitten sind zielgerichtet und personenbezogen und damit leichter zu durchschauen.

    Standard-RATs wie PIVY werden mit hoher Wahrscheinlichkeit auch in Zukunft im Rahmen von APT-Angriffen eingesetzt. Ein verstrktes Bewusstsein fr das Vorhandensein dieses und hnlicher Tools knnte in Verbindung mit der Nutzung innovativer Software wie Calamine jedoch die Plne von Angreifern durchkreuzen und sie dazu zwingen, ihre Taktik zu berdenken. Als Folge mssten APTs unter Umstnden auf weniger prominente und deshalb leichter identifizierbare TTPs zurckgreifen.

    http://www.fireeye.comhttp://www.fireeye.com/resources/pdfs/fireeye-poison-ivy-report.pdfhttp://www.poisonivy-rat.com/http://www.poisonivy-rat.com/http://www.poisonivy-rat.com/https://github.com/fireeye

  • 13 www.fireeye.com

    FireEye Advanced Threat Report: 2013

    1. Bildung: Universitten sind ein Hort moderner Forschung und technologischer Entwicklung. Das Problem: Ihre Netzwerke sind unberschaubar und durchlssig.

    2. Finanzdienstleistungen: Ein Groteil aller Finanztransaktionen wird heutzutage ber das Internet abgewickelt zwischen Privatpersonen, Unternehmen und Regierungen.

    3. Hightech: Fhrende Hard- und Software wird von Millionen von Menschen genutzt. Diese Tatsache machen sich viele Angreifer zunutze.

    4. Staatliche Stellen: Dieser Sektor umfasst die staatliche Verwaltung, politisches Handeln, die Einhaltung von Gesetzen sowie die nationale Sicherheit.

    5. Business Services/Consulting: Groe Konzerne arbeiten mit einer Vielzahl von Auftragnehmern entlang komplexer Lieferketten zusammen. Auf politischer Ebene zhlen auch Thinktanks zu diesem Bereich.

    6. Energie/Versorgung: Ob Maschinenbetrieb, stdtische Beleuchtung oder Raketenstart Energie ist der Ausgangspunkt allen Fortschritts.

    7. Chemische Industrie/Fertigung: Die Chemie ist die Wissenschaft alles Stofflichen und bildet das Bindeglied zwischen den einzelnen Zweigen der Naturwissenschaft.

    8. Telekommunikation (Internet, Telefon, Infrastruktur): Diese Kategorie umfasst alle Formen der Fernkommunikation, die mithilfe elektrischer Signale oder elektromagnetischer Wellen realisiert wird.

    9. Gesundheitswesen/Pharmaindustrie: In diese Kategorie fllt die Entwicklung von Medikamenten sowie die Bereitstellung der medizinischen Versorgung.

    10. Luft- und Raumfahrt/Rstung: Diese Kategorie umfasst die Entwicklung von Raumfahrzeugen einschlielich der vielfltigen kommerziellen und militrischen Anwendungsbereiche.

    Die zehn weltweit am strksten betroffenen vertikalen MrkteAuf Grundlage aller zielgerichteten Aktivitten, die von den Threat-Prevention-Plattformen von FireEye 2013 festgestellt wurden, konnten die zehn am strksten betroffenen vertikalen Mrkte ermittelt werden. Jede der Branchen befindet sich im Besitz uerst sensiblen geistigen Eigentums und ist irgendeiner Form an Belangen der nationalen Sicherheit beteiligt. th3bug und menuPass.

    http://www.fireeye.com

  • 14 www.fireeye.com

    FireEye Advanced Threat Report: 2013

    Hchste Zahl an Malware-Arten pro vertikalem MarktUm ein besseres Verstndnis des Ausmaes gezielter Cyberangriffe in den unterschiedlichen vertikalen Mrkten zu erlangen, wurde untersucht, in welchem Umfang die einzelnen Mrkte von verschiedenen APT-Arten ins Visier genommen wurden.

    Diese Daten geben Rckschluss auf die Zahl und Zusammensetzung der Angreifer und ermglichen eine Analyse, wie vorhandene Infrastrukturen am besten geschtzt werden knnen. Die nachfolgende Tabelle gibt einen berblick ber die zehn am strksten betroffenen

    vertikalen Mrkte und sttzt sich auf die von FireEye fr 2013 erhobene Statistik zu APT-bezogenen Malware-Arten.

    Die Daten von FireEye belegen, dass staatliche Regierungen weltweit das begehrteste Ziel darstellten. Insgesamt konnten 84 der 159 von FireEye registrierten Malware-Arten diesem Sektor zugeordnet werden.

    Auch die Bereiche Business Services und Consulting sowie die Hightechindustrie und die Finanzdienstleistungsbranche waren in besonderem Mae betroffen. Dort wurde jeweils etwa die Hlfte aller Malware-Arten identifiziert.

    Abbildung 10: APT-Malware-Arten pro vertikalem Markt

    40 50 60 70 80 9010 20 300

    Aerospace/Defense

    Chemicals/Manufacturing

    Education (higher)

    Energy/Utilities

    Financial Services

    Government (Federal)

    Government (State and Local)

    High-Tech

    Services/Consulting

    Telecom

    APT Malware Families Per VerticalAPT Malware-Arten pro vertikalem Markt

    Staatliche Stellen

    Business Services/Consulting

    Hightech

    Finanzdienstleistungen

    Telekommunikation

    Hochschulbildung

    Luft- und Raumfahrt/Rstung

    Staatliche Stellen (regionale und lokale Ebene)

    Chemische Industrie/Fertigung

    Energie/Versorgung

    http://www.fireeye.com

  • 15 www.fireeye.com

    FireEye Advanced Threat Report: 2013

    Um den Wirkungsbereich von Angreifern in den einzelnen Lndern genauer zu skizzieren, hat FireEye die Zahl der verschiedenen vertikalen Mrkte ermittelt, die 2013 von den Aktivitten Cyberkrimineller betroffen waren.

    Auf Grundlage der von FireEye gesammelten Daten wurde die nachfolgende Rangliste von Lndern erstellt, die sich im vergangenen Jahr einer besonders groen Bandbreite gezielter Angriffe ausgesetzt sahen.

    1. USA (20)

    2. Sdkorea (16)

    3. Kanada (13)

    4. Frankreich (12)

    5. Thailand (12)

    6. Grobritannien (12)

    7. Japan (11)

    8. Trkei (11)

    9. Deutschland (9)

    10. Saudi-Arabien (9)

    Die USA liegen hier unangefochten an der Spitze. Insgesamt dokumentierte FireEye im Jahr 2013 Angriffe in 21 vertikalen Mrkten; die USA waren somit in praktisch jedem Sektor Leidtragende globaler Bedrohungsaktivitten.

    Hchste Zahl der betroffenen vertikalen Mrkte pro Land:

    Abbildung 11: Betroffene vertikale Mrkte pro Land

    http://www.fireeye.com

  • 16 www.fireeye.com

    FireEye Advanced Threat Report: 2013

    Heutige IT-Sicherheitsumgebungen mssen vor zielgerichteten Angriffen aus allen Winkeln der Erde gerstet sein. Im Jahr 2013 identifizierte FireEye grundlegende CnC-Infrastruktur im IP-Bereich von insgesamt 206 lnderspezifischen Top-Level-Domains.

    FireEye analysierte im vergangenen Jahr 767.318 verschiedene CnC-Verbindungen, was mehr als einem Vorfall pro Minute entspricht. Insgesamt wurden 22.509.176 CnC-Verbindungen registriert durchschnittlich also alle 1,5 Sekunden mehr als eine Verbindung.

    Die hier abgebildete Weltkarte zeigt von FireEye 2013 identifizierte grundlegende CnC-Infrastruktur und belegt eindeutig, dass CnC-Infrastruktur ber den gesamten Globus v erteilt ist.

    1. USA (24.1%)

    2. Deutschland (5.6%)

    3. Sdkorea (5.6%)

    4. China (4.2%)

    5. Niederlande (3.7%)

    6. Grobritannien (3.5%)

    7. Russland (3.2%)

    8. Kanada (2.9%)

    9. Frankreich (2.7%)

    10. Hongkong(1.9%)

    Obwohl die USA fast ein Viertel der grundlegenden CnC-Infrastruktur beherbergt, befinden sich die grten Ballungszentren von CnC-Servern in Europa und Asien.

    Grundlegende CnC-Infrastruktur: Weltkarte

    Abbildung 12: Grundlegende CnC-Infrastruktur: Weltkarte

    http://www.fireeye.com

  • 17 www.fireeye.com

    FireEye Advanced Threat Report: 2013

    Grundlegende CnC-Infrastruktur: LndervergleichDas nachstehende Kreisdiagramm zeigt die Verteilung der grundlegenden CnC-Infrastruktur laut den von FireEye fr 2013 ermittelten Daten. Aus Platzgrnden war es nicht mglich, alle 206 lnderspezifischen Top-Level-Domains abzubilden. Die wichtigsten Lnder sind jedoch vertreten, einschlielich den zehn aktivsten Staaten: die USA, Deutschland, Sdkorea, China, die Niederlande, Grobritannien, Russland, Kanada, Frankreich und Hongkong.

    Hinweis: Es muss beachtet werden, dass sich Angreifer heutzutage meist einer vielschichtigen Infrastruktur bedienen, um ihre digitalen Spuren zu verwischen (deshalb das Beiwort grundlegend). Nur weil Malware mit einem Server in einem bestimmten Land kommuniziert, bedeutet das nicht zwingend, dass der Bedrohungsurheber in diesem Land angesiedelt ist. Angreifer leiten ihren Datenverkehr oft ber mehrere Zwischenserver um, um eine Rckverfolgung der Verbindung durch Sicherheitsexperten zu erschweren.

    US

    DE

    KR

    CN

    NL

    UK

    RU

    CA

    FR

    HK

    JP

    UA

    TR

    PL

    IT

    RO

    IN

    PT

    BG

    CZ

    TW

    US

    DEKRCN

    NL

    UK

    RU

    CA

    FRHKJPUATR

    PL

    ITRO

    INPT

    BGCZ

    TWTH

    BRES

    AUID

    SEAR

    LV CHHU

    Abbildung 13: Grundlegende CnC-Infrastruktur: Lndervergleich

    http://www.fireeye.com

  • 18 www.fireeye.com

    FireEye Advanced Threat Report: 2013

    Angriffsanalyse: Zero-Day-ExploitsFireEye gelang es 2013, elf Zero-Day-Angriffe offenzulegen mehr als jedem anderen Sicherheitsunternehmen. Dieser Abschnitt beschftigt sich mit den hufigsten Zielen von Zero-Day-Angriffen im Jahr 2013.

    Die folgende Abbildung vermittelt einen berblick ber die wichtigsten Zero-Day-Kampagnen, die von FireEye-Experten im letzten Jahr aufgedeckt wurden.

    Angriffe auf JavaIm ersten Halbjahr 2013 stand Java im Fokus der Bemhungen von Cyberkriminellen. Einer der Hauptgrnde dafr ist, dass sich die Entwicklung von Exploitcode fr Java weitaus einfacher gestaltet als fr einen Groteil anderer Software. Vorhandene Schutzvorrichtungen von Betriebssystemen, welche die Ausfhrung von Schadcode verhindern sollen, erweisen sich hufig als machtlos gegenber Java-Exploits, da die Angreifer nur einen Zeiger zum Java Security Manager beschdigen mssen.

    Java wird traditionell von Sicherheitsexperten vernachlssigt. Die aktuelle Zunahme ffentlich gewordener Sicherheitslcken in Java knnte unter Umstnden dazu beitragen, die Sicherheit der Plattform weiter zu verbessern. Womit sich einst nur eine Minderheit von APT-Angreifern beschftigte, ist inzwischen fr viele Crimeware-Gruppen zentraler Bestandteil ihrer Strategie. Die Einfachheit, schlagkrftige Java-Exploits zu entwickeln, hat es mglich gemacht.

    Angriffe auf BrowserIm zweiten Halbjahr 2013 konnten die Sicherheitsexperten von FireEye einen Anstieg von Zero-Day-Exploits fr den Internet Explorer beobachten, die im Rahmen von Watering-Hole-Angriffen realisiert wurden. Hierbei infiltrierte ein Angreifer eine Website, auf der bestimmte Interessengruppen verkehren, die das ultimative Angriffsziel darstellen. Wir sind der Ansicht, dass diese Angriffe schwerwiegend genug waren, um den Internet Explorer zum wichtigsten Angriffsvektor fr Zero-Day-Exploits im Jahr 2013 zu erklren.

    23%

    Internet Explorer

    Java

    Flash

    Reader

    39%

    5%15%23%

    Zero-Day Exploits

    http://www.fireeye.com

  • 19 www.fireeye.com

    FireEye Advanced Threat Report: 2013

    Die Mehrzahl der Angriffe betraf ltere Versionen des Internet Explorer, beispielsweise die Versionen 7.0 und 8.0. Ein Grund dafr knnte der hhere Sicherheitsgrad in neueren Versionen von Windows und Internet Explorer sein. Nichtsdestotrotz wurden vermehrt Zero-Day-Angriffe auf aktuelle Versionen des Internet Explorer beobachtet. Dabei kamen fortschrittliche Techniken zur Umgehung von Address Space Layout Randomization (ASLR) und Data Execution Prevention (DEP) zum Einsatz, wie die Ausnutzung von Use-after-free-Lcken (UAF) und Schwachstellen, die das Auslesen von Daten auf dem Zielsystem ermglichten. Somit sind auch neuere Versionen des Internet Explorer gefhrdet, da konventionelle Sicherheitsvorrichtungen wie ASLR und DEP nur unzureichenden Schutz bieten.

    Umgehung von Sandbox-Lsungen in AnwendungenEinige Anwendungen nutzen Sandboxing-Techniken, um zu verhindern, dass potenzieller Schadcode auf privilegierte Benutzerrechte zugreift. Im Angriffsfall verfgt der Schadcode somit lediglich ber eingeschrnkte Zugriffsrechte. Die Angreifer sind gezwungen, einen neuen |Angriff zu starten, um sich vollstndigen Zugang zu verschaffen.

    Zwei Angriffskampagnen aus der jngsten Vergangenheit, von denen Adobe Flash (CVE-

    2013-0643/0648)1,2 und Adobe Reader (CVE-2013-0640/0641)3,4 betroffen waren, nutzten kritische Sandbox-Schwachstellen aus. Eine dritte Kampagne nutzte eine Schwachstelle im Kernel von Windows XP aus, um die Sandbox von Adobe Reader zu umgehen (CVE-2013-3346/5065)5,6 Eine vierte Kampagne (CVE-2013-0633/0634)7,8 bettete Flash-Exploits in Microsoft Office-Dateien ein, um von Sandbox-Lsungen vollstndig unbemerkt zu bleiben, wobei nur Benutzer von MS Office 2008 betroffen waren.

    Die Kampagnen verdeutlichen zwei wichtige Aspekte der Sandbox-Umgehung. Erstens erschweren Sandbox-Lsungen die Arbeit von Angreifern und treiben somit deren Kosten in die Hhe. Insgesamt werden nmlich mindestens zwei Exploits bentigt: einer zur Code-Ausfhrung und einer zur Umgehung der Sandbox. Zweitens erscheint dem Angreifer diese Herausforderung trotz des erhhten Schwierigkeitsgrads noch so lukrativ, dass der zustzliche Zeit-, Energie- und Ressourcenaufwand in Kauf genommen wird, der zum Umgehen von Sandbox-Lsungen bentigt wird

    Fokussierung, Verschleierung und UmgehungEinige aktuelle Zero-Day-Kampagnen stellten Sicherheitsanalysten vor schwerwiegende Probleme. Der Fokus lag dabei weniger auf Verschleierungstaktiken als vielmehr auf gezielten Angriffen auf bestimmte Bereiche/Branchen, der

    1 CVE-2013-0643, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0643

    2 CVE-2013-0643, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0648

    3 CVE-2013-0643, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0640

    4 CVE-2013-0643, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0641

    5 CVE-2013-0643, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3346

    6 CVE-2013-0643, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5065

    7 CVE-2013-0643, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0633

    8 CVE-2013-0643, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0634

    9 CVE-2013-1331, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1331.

    http://www.fireeye.comhttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0643http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0648http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0640http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0641http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3346http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5065http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0633http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0634http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1331.

  • 20 www.fireeye.com

    FireEye Advanced Threat Report: 2013

    Verhinderung einer erneuten Infektion und partitionierten Exploit-Dateien. So arbeiteten die Tter beispielsweise mit Microsoft Word-Dokumenten, die statt direkt eingebetteter Bilder auf schdliche PNG-Dateien verwiesen, die auf externen Servern gespeichert waren. Die Dateien nutzen eine vor Kurzem entdeckte, aber bereits seit 2009 existierende Schwachstelle beim PNG-Parsing (CVE-2013-13319) in Microsoft Office aus. Das Hauptproblem fr Sicherheitsexperten: Selbst unter Verwendung der infizierten Word-Dokumente konnten sie den Exploit nicht rekonstruieren, auch wenn der Angriffsserver noch aktiv war und die PNG-Datei dort gehostet wurde.

    Auf hnliche Weise machten sich Angreifer die Sicherheitslcke CVE-2013-3163 zunutze, wobei der Exploit in zwei Teilen versendet wurde. Diese betraf Internet Explorer 8 bis 10 und ermglichte die Ausfhrung beliebiger Befehle oder einen DoS-Angriff durch eine Korruption des Speichers infolge des Aufrufs einer prparierten Website10. Zunchst wurde mithilfe einer Flash-Datei der gewnschte Memory Heap auf dem Zielcomputer manipuliert, die Speicheradresse der NTDLL-Systemdatei ausfindig gemacht und ein Return-Oriented-Programming-Angriff (ROP) gestartet. Anschlieend wurde die Sicherheitslcke CVE-2013-3163 mithilfe von JavaScript ausgenutzt. Auch wenn dieser Angriff mglicherweise aus rein praktischen Grnden in zwei Phasen durchgefhrt wurde, hatte dies auch zur Folge, dass Sicherheitsanalysten selbst mithilfe der infizierten Flash-Datei kein vollstndiges Reverse Engineering fr den Exploit durchfhren konnten.

    Zwei Angriffe bedienten sich einer Watering-Hole-Strategie, bei der der Angreifer eine Website infiltriert, auf der bestimmte Interessengruppen verkehren, die das ultimative Angriffsziel darstellen. Im ersten Fall nutzten Angreifer die Schwachstelle CVE-2013-1347 aus. IE 8 war dabei nicht in der Lage, Objekte ordnungsgem im Speicher zu verarbeiten, was eine Ausfhrung beliebigen Codes durch Zugriff auf ein Objekt ermglichte, das nicht korrekt alloziert oder sogar gelscht wurde.11 Der zweite Angriff nutzte die Sicherheitslcken CVE-2013-391812 (eine Schwachstelle im ActiveX-Steuerelement InformationCardSignInHelper) sowie CVE-2014-026613 aus, um Daten aus DLL-Dateien aus dem System auszulesen. Nach Einschleusen der Exploits in die infiltrierten Websites wurde jeder Besucher der Website infiziert, der einen anflligen Browser verwendete.

    Um unbemerkt zu bleiben, setzten viele dieser Angriffe Browser-Cookies oder Flash-Speicher ein, wodurch eine erneute Infizierung verhindert werden sollte. Die Konsequenz fr Sicherheitsexperten: Ein aufgedeckter Exploit kann nicht zweimal auf derselben Testmaschine ausgefhrt werden, da ansonsten seine Ausfhrung abgebrochen wird. Stattdessen wird eine leere Seite angezeigt, oder der Testbrowser wird auf eine ungefhrliche Website umgeleitet. DieseTechnik ist simpel und effektiv zugleich, um Reverse Engineering zu verhindern. Gleichzeitig ergeben sich Vorteile fr die Durchfhrung des Angriffs, da der Angriff auf diese Weise unter Umstnden von Benutzern nicht bemerkt wird.

    10 CVE-2013-3163, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://www.cve.mitre.org/cgi-bin/cvename.

    cgi?name=CVE-2013-3163.

    11 IE Zero Day is Used in DoL Watering Hole Attack, Yichong Lin, May 3, 2013, FireEye Labs http://www.fireeye.com/blog/technical/cyber-exploits/2013/05/

    ie-zero-day-is-used-in-dol-watering-hole-attack.html.

    12 CVE-2013-1347, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://www.cve.mitre.org/cgi-bin/cvename.

    cgi?name=CVE-2013-1347.

    13 CVE-2013-1331, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://www.cve.mitre.org/cgi-bin/cvename.

    cgi?name=CVE-2013-3918.

    http://www.fireeye.comhttp://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3163http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3163http://www.fireeye.com/blog/technical/cyber-exploits/2013/05/ie-zero-day-is-used-in-dol-watering-hole-attack.htmlhttp://www.fireeye.com/blog/technical/cyber-exploits/2013/05/ie-zero-day-is-used-in-dol-watering-hole-attack.htmlhttp://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1347http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1347http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3918http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3918

  • 21 www.fireeye.com

    FireEye Advanced Threat Report: 2013

    ZukunftsprognosenAngesichts des rasanten technischen Fortschritts im Bereich der Cybersicherheit fllt es schwer, verlssliche Zukunftsprognosen zu stellen. Dennoch haben wir zwei Trends ausgemacht, denen nhere Beachtung geschenkt werden sollte.

    Die Entwicklung von Zero-Day-Exploits fr Java geht unter Umstnden zurck. Obwohl es verhltnismig einfach ist, Exploits fr Java zu entwickeln, hat die Zahl der neuen Zero-Day-Angriffe auf Java ab Februar 2013 abgenommen. Die genauen Grnde sind unklar. Mgliche Ursachen sind die in Java 1.7 integrierten Sicherheitswarnungen oder die verstrkten Bemhungen von White-Hat-Sicherheitsexperten. Zudem ist es mglich, dass inzwischen eine ausreichende Mehrheit der Bevlkerung anfllige Java-Versionen verwendet, sodass Exploit-Entwickler nur wenig Anreiz haben, weitere Bugs zu finden.

    2014 knnte die Hufigkeit browserbasierter Schwachstellen zunehmen. Angreifer finden immerneue Wege, ASLR in Browsern zu umgehen. Im Gegensatz zu Java und klassischen Input-Parsing-Schwachstellen werden unvermindert neue browserbasierte Zero-Day-Angriffe offengelegt

    ber FireEyeFireEye hat eine auf Virtualisierungstechnik beruhende Sicherheitsplattform speziell zur Echtzeit-Abwehr von Bedrohungen entwickelt, die Unternehmen und staatliche Stellen auf der ganzen Welt vor Cyberangriffen der nchsten Generation schtzt. Komplexe Cyberangriffe knnen traditionelle, signaturabhngige Sicherheitslsungen wie Next-Generation-Firewalls, IPS- und Antiviruslsungen sowie Gateways mhelos umgehen. Der dynamische, signaturunabhngige Echtzeitschutz der FireEye- Plattform deckt alle primren Bedrohungsvektoren in den verschiedenen Phasen des Angriffszyklus ab. Herzstck der FireEye-Plattform ist eine Virtual Execution Engine, die in Verbindung mit Dynamic Threat Intelligence Cyberangriffe in Echtzeit erkennen und abwehren kann. FireEye hat ber 1.500 Kunden in mehr als 40 Lndern, darunter mehr als 100 der Fortune-500-Unternehmen..

    FireEye, Inc. | 1440 McCarthy Blvd. Milpitas, CA 95035 | 408.321.6300 | 877.FIREEYE (347.3393) | [email protected] | www.fireeye.com

    2014 FireEye, Inc. Alle Rechte vorbehalten. FireEye ist eine Marke von FireEye, Inc. Alle anderen Marken, Produkte oder Servicenamen sind Marken oder Dienstleistungsmarken der jeweiligen Eigentmer. SR.ATR.US-DE.082014

    http://www.fireeye.commailto:dac%40fireeye.com?subject=http://www.fireeye.com