Download - SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

Transcript
Page 1: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

SECURITY REIMAGINED

SPECIAL REPORT

FIREEYE ADVANCED THREAT REPORT: 2013

Page 2: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

1 www.fireeye.com

FireEye Advanced Threat Report: 2013

CONTENTS

Kurzfassung ....................................................................................................................................................................... 2

Datengrundlage des Berichts .................................................................................................................................. 4

Einleitung ..................................................................................................................................................................... 4

Verbreitung von Advanced Persistent Threats ............................................................................................ 5

FireEye Sicherheitswarnungen 2013 .................................................................................................................. 6

Höchste Zahl verschiedener APT-Arten pro Land....................................................................................... 7

Häufige Malware-Arten im Fokus ......................................................................................................................... 8

Malware-Fallstudie: Poison Ivy ........................................................................................................................... 12

Die zehn weltweit am stärksten betroffenen vertikalen Märkte ................................................... 13

Höchste Zahl an Malware-Arten pro vertikalem Markt ....................................................................... 14

Höchste Zahl der betroffenen vertikalen Märkte pro Land: .............................................................. 15

Grundlegende CnC-Infrastruktur: Weltkarte ............................................................................................. 16

Angriffsanalyse: Zero-Day-Exploits ................................................................................................................. 18

Über FireEye ................................................................................................................................................................... 21

Page 3: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

2 www.fireeye.com

FireEye Advanced Threat Report: 2013

• Diebstahl geistigen Eigentums

• Abfangen vertraulicher Regierungskommunikation

• Sabotage von Websites, die für die nationale Sicherheit von Belang sind

Fortschrittliche Angriffe, auch Advanced Persistent Threats (APTs) genannt, stehen häufig direkt oder indirekt mit den Interessen staatlicher Regierungen in Verbindung.

Die Datengrundlage dieses Berichts stammt aus der Dynamic Threat Intelligence™ (DTI) Cloud von FireEye® – einem globalen Netzwerk von Malware-Protection-Systemen, das einen Echtzeit-Austausch von Bedrohungsdaten durch FireEye-Kunden ermöglicht. Die verfügbaren Daten belegen eindeutig, dass sich Malware auf Unternehmensebene in alarmierender Geschwindigkeit ausbreitet. Außerdem zeigt sich, dass versierte Angreifer inzwischen in der Lage sind, konventionelle Sicherheitsvorrichtungen wie Firewalls und Antiviruslösungen problemlos zu umgehen.

Im Jahr 2013 hat FireEye:• 39.504 verschiedene Sicherheitsvorfälle

analysiert (mehr als 100 pro Tag)

• 4.192 der Angriffe auf APT-Aktivitäten zurückgeführt (mehr als 11 pro Tag)

• 17.995 Infektionen durch Malware infolge von APT-Aktivitäten beobachtet (fast 50 pro Tag)

• über 22 Millionen Command-and-Control-Verbindungen (CnC) registriert (mehr als 1,5 pro Sekunde)

• die USA, Kanada und Deutschland als Hauptziele verschiedener Malware- Arten ausgemacht

• Found that the U.S., Canada, and Germany were targeted by the highest number of unique malware families

Die Angriffe nahmen verschiedene Formen an und haben ihren Ursprung in fast allen Ländern und Regionen der Welt. Im Jahr 2013 hat FireEye:

• 159 verschiedene APT-bezogene Malware-Arten erfass

• festgestellt, dass frei zugängliche Hackertools wie Dark Comet, LV, Gh0stRAT und Poison Ivy im

• CnC-Infrastruktur in 206 Ländern und Regionen ausfindig gemacht – ein klarer Anstieg gegenüber 184 im Vorjahr (was 81 Prozent der Mitgliedstaaten der Vereinten Nationen entspricht)

• festgestellt, dass in den USA, Deutschland, Südkorea, China, den Niederlanden, Großbritannien und Russland die meisten CnC-Server betrieben werden

Laut den Daten von FireEye waren die folgenden zehn Länder 2013 am stärksten von APTs betroffen:

Kurzfassung Der vorliegende Advanced Threat Report (ATR) bietet eine Übersicht der Angriffe auf Computernetzwerke, die im Jahr 2013 von FireEye beobachtet wurden. Den hierin beschriebenen Cyberaktivitäten liegen unserer Ansicht nach primär die folgenden Motive zugrunde:

Page 4: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

3 www.fireeye.com

FireEye Advanced Threat Report: 2013

1. USA 6. Deutschland 2. Südkorea 7. Schweiz 3. Kanada 8. Taiwan 4. Japan 9. Saudi-Arabien 5. Großbritannien 10. Israel APTs haben den Diebstahl sorgfältig ausgewählter, hochsensibler Daten zum Ziel und nehmen ausnahmslos alle vertikalen Märkte ins Visier:

• Mehr als 20 vertikale Märkte waren von APTs betroffen.

• Das Bildungswesen sowie die Finanz- und Hightechbranche waren die häufigsten Ziele.

• In den USA, Südkorea und Kanada war die größte Anzahl an Branchen betroffen.

Laut unseren Daten sahen sich die folgenden vertikalen Märkte der größten Anzahl an Angriffen verschiedener Malware-Arten ausgesetzt:

1. Staatliche Stellen (Bundesebene)

2. Business Services/Consulting

3. Technologie

4. Finanzdienstleistungen

5. Telekommunikation

6. Bildung

7. Luft- und Raumfahrt

8. Staatliche Stellen (regionale und lokale Ebene)

9. Chemische Industrie

10. Energie Die von FireEye erfassten Sicherheitswarnungen sind das Resultat einer Multi-Vektor-Analyse. 2013 standen die Bedrohungsvektoren Web

und E-Mail im Fokus, wie die folgenden Statistiken belegen:

• FireEye analysierte insgesamt fünfmal mehr webbasierte Warnungen als E-Mail-basierte Warnungen.

• Länderübergreifend verzeichnete FireEye dreimal mehr Webwarnungen als E-Mail-Warnungen.

Mögliche Ursachen für die Diskrepanz zwischen den beiden Bedrohungsvektoren könnte die stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer Netzwerke sowie eine fast durchgängige Konnektivität vieler Benutzer sein. Zero-Day-Angriffe sind eine unverzichtbare Waffe jeder APT-Strategie, wie die folgende Statistik belegt:

• FireEye hat 2013 elf Zero-Day- Angriffe registriert.

• Im ersten Halbjahr 2013 war Java das beliebteste Angriffsziel.

• Im zweiten Halbjahr 2013 konnte FireEye einen Anstieg bei Zero-Day-Angriffen auf den Internet Explorer (IE) beobachten, die im Rahmen von Watering-Hole-Angriffen durchgeführt wurden.

• Crimeware-Gruppen sind inzwischen in der Lage, effektive Java-Exploits zu entwickeln.

• APTs führten Watering-Hole-Angriffe auf Websites der US-Regierung aus.

• Angreifer finden immer regelmäßiger Wege, Sandbox-Lösungen zu umgehen.

Unseren Prognosen zufolge wird die Zahl der Zero-Day-Angriffe auf Java im Jahr 2014 zurückgehen.

Page 5: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

4 www.fireeye.com

FireEye Advanced Threat Report: 2013

Datengrundlage des BerichtsThreat-Prevention-Plattformen von FireEye werden gewöhnlich hinter den traditionellen Netzwerksicherheitslösungen wie Firewalls, Next-Generation-Firewalls, Intrusion-Prevention-Systemen (IPS) und Antivirussoftware (AV) eingesetzt. Die FireEye-Appliance führt potenzielle Malware in einer virtuellen Umgebung aus, um nach Anzeichen für schädliches Verhalten zu suchen. Meist werden schädliche Aktivitäten analysiert, die vorhandene Schutzmaßnahmen des Netzwerks erfolgreich umgehen konnten. Deshalb ist die Zahl der Fehlalarme im Allgemeinen äußerst gering.

Gegenstand dieses Berichts sind jedoch nur solche Angriffe, von denen FireEye im Jahr 2013 Kenntnis erlangte. In anderen Worten: Die erhobenen Daten umfassen nur Angriffe, die zwei Kriterien erfüllen:

1. FireEye-Kunden waren von den Angriffen betroffen.

2. Die FireEye-Kunden erklärten sich einverstanden, ihre Angriffsdaten FireEye zur Verfügung zu stellen.

Deshalb nimmt dieser Bericht nicht für sich in Anspruch, alle Advanced Targeted Attacks abzubilden, die weltweit durchgeführt wurden. Weiterhin wurden alle Daten ausgefiltert, die zur Verfälschung unserer Ergebnisse beigetragen hätten. Hierzu gehören zu Testzwecken durchgeführter Netzwerkverkehr oder manuell zwischen Kunden ausgetauschte Daten. Wir sind uns bewusst, dass manche Tools, Taktiken und Prozesse (TTPs) sowohl von Cyberkriminellen als auch von staatlichen Bedrohungsurhebern eingesetzt werden. APTs nutzen mehrere TTPs, und jeder beliebige TTP kann von mehreren APTs

verwendet werden. Diese komplexe Dynamik zielgerichteter Aktivitäten in Computernetzwerken verkompliziert die Analyse durch IT-Sicherheitsvorrichtungen. Um Missverständnissen vorzubeugen, nutzt FireEye konservative Filter und manuelle Prüfverfahren, um das Risiko falsch zugeordneter Angriffe zu verringern.

EinleitungIm Jahr 2013 wurden von den Threat-Prevention-Plattformen von FireEye Millionen von Sicherheitsvorfällen registriert. Anschließend wurden diese Daten durch unsere Sicherheitsexperten auf ihren Bezug zu APT-Angriffen analysiert. Diese greifen laut unserer Definition auf eigene TTPs zurück, die direkt oder indirekt von einer Regierung oder kriminellen Organisation eingesetzt zu werden scheinen. Die Ziele dieser Angriffe reichen von unmittelbarer Cyberspionage bis hin zur langfristig geplanten Infiltrierung von Zielnetzwerken.

2013 war für Cyberkriminelle ein arbeitsreiches Jahr. FireEye analysierte fast 40.000 einzelne zielgerichtete Angriffe auf unsere Kunden – durchschnittlich mehr als 100 pro Tag. Von diesen konnten wir über 4.000 Angriffe auf APT-Angriffe zurückführen (mehr als 11 verschiedene APT-Angriffe pro Tag). Zusätzlich wurden fast 18.000 verschiedene Malware-Infektionen infolge von APT-Aktivitäten beobachtet (durchschnittlich fast 50 pro Tag). Diese gezielten Angriffe treten in verschiedensten Formen auf und haben ihren Ursprung rund um den Globus. 2013 erfasste FireEye 159 Malware-Arten, die mit APT-Aktivitäten in Verbindung gebracht werden konnten. Weiterhin konnten wir grundlegende CnC-Infrastruktur in 206 länderspezifischen Top-Level-Domains ausfindig machen – das heißt in praktisch jeder Region der Welt.

Page 6: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

5 www.fireeye.com

FireEye Advanced Threat Report: 2013

Im vergangenen Jahr haben APT-Angreifer viele Länder weltweit ins Visier genommen. Ziel waren unter anderem nationale Sicherheitsgeheimnisse sowie Forschungs- und Entwicklungsdaten. Abbildung 1 gibt einen Überblick über die Verteilung von APT-Zielen. Die Farbe des Kreises stellt das Maß an APT-Aktivität in dem jeweiligen Land dar. Laut den FireEye-Daten für das Jahr 2013 sind die folgenden zehn Ländern am stärksten von APT-Angriffen betroffen:

1. USA

2. Südkorea

3. Kanada

4. Japan

5. Großbritannien

6. Deutschland

7. Schweiz

8. Taiwan

9. Saudi-Arabien

10. Israel

Verbreitung von Advanced Persistent Threats

Abbildung 1: APT-Angriffe im Ländervergleich

Page 7: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

6 www.fireeye.com

FireEye Advanced Threat Report: 2013

FireEye Sicherheitswarnungen 2013Die von FireEye erfassten Sicherheitswarnungen stammen aus einer Vielzahl verdächtiger Netzwerkereignisse und sicherheitsrelevanter Vorfälle. Abbildung 2 beleuchtet anhand der uns vorliegenden Daten für 2013 das Verhältnis zwischen zwei der populärsten Bedrohungsvektoren: E-Mail und Webdatenverkehr.

Kreise stehen dabei stellvertretend für einzelne Länder, deren jeweilige Position im Diagramm anzeigt, wie viele Warnungen von FireEye aufgrund von E-Mail- und webbasierten Vorfällen generiert wurden.

Die Darstellung umfasst lediglich einen Ausschnitt der betroffenen Staaten, d. h., es wird nur der linke untere Bereich des weitaus größeren Datensatzes angezeigt. Dennoch wird eine Schieflage zwischen den beiden Bedrohungsvektoren ersichtlich: Die

Gesamtzahl der Netzwerkaktivitäten, die auf Webdatenverkehr basierten, war fünfmal höher als die Zahl der Aktivitäten, die sich Schadmails zunutze machten. Länderübergreifend war die durchschnittliche Anzahl webbasierter Warnungen mehr als dreimal so hoch wie für E-Mail-basierte Warnungen.

Das Fazit für Sicherheitsadministratoren: 2013 versuchten Angreifer weitaus häufiger, über den Angriffsvektor Webdatenverkehr in ein Zielnetzwerk einzudringen, anstatt ihr Ziel mithilfe schädlicher E-Mails zu erreichen (obwohl beide Methoden häufig eingesetzt wurden). Diese Diskrepanz könnte auf ein stärkeres Bewusstsein des Bedrohungspotenzials von Spear Phishing, die zunehmende Bedeutung sozialer Netzwerke und hochkomplexe Websites zurückzuführen sein, die ununterbrochen mit dem Internet verbunden sind.

Web

Email

4020 3010

20

40

60

80

100

120

140

160

180

Threat Vector Comparison: Web vs. Email

Abbildung 2: Bedrohungsvektoren im Vergleich: Web vs. E-Mail

Bedrohungsvektoren im Vergleich: Web vs. E-Mail

Page 8: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

7 www.fireeye.com

FireEye Advanced Threat Report: 2013

Eine weitere Methode, um die globale Bedrohungslage statistisch zu erfassen, ist, die Zahl der verschiedenen APT-Arten zu ermitteln, die in einem einzelnen Land registriert wurden.

Durch diese Analyse der Malware-Verteilung wird ein besseres Verständnis des Bedrohungspotenzials erlangt, dem die einzelnen Länder im Jahr 2013 ausgesetzt waren. Eine größere Zahl von Malware-Arten lässt gleichzeitig auf eine größere Zahl von Angreifern schließen – was wiederum die Notwendigkeit ausgefeilterer Schutzmaßnahmen unterstreicht.

Laut den von FireEye für 2013 ermittelten Daten führt die USA diese Kategorie deutlich an: Insgesamt wurden mehr als 100 verschiedene Arten von APT-Malware entdeckt. Kanada folgt mit 52 auf dem zweiten Platz – weniger als die Hälfte des in den Vereinigten Staaten gemessenen Volumens.

Nachfolgend sind die zehn Länder aufgelistet, in denen die höchste Gesamtzahl an Malware-Arten festgestellt wurde: 1. USA (125)

2. Kanada (52)

3. Deutschland (45)

4. Großbritannien (43)

5. Japan (37)

6. Taiwan (35)

7. Südkorea (34)

8. Israel (31)

9. Schweiz (22)

10. Türkei (21)

Höchste Zahl verschiedener APT-Arten pro Land

Abbildung 3: Verschiedene Arten von APT-Angriffen im Ländervergleich

Page 9: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

8 www.fireeye.com

FireEye Advanced Threat Report: 2013

Häufige Malware-Arten im FokusIm Folgenden möchten wir einen genaueren Blick auf drei populäre Toolkits werfen, mit denen FireEye 2013 in Berührung kam: Dark Comet, LV und Gh0stRAT. Hierbei handelt es sich um frei zugängliche Remote Administration Tools, auch RAT-Tools genannt. Oft spielen diese Tools eine zentrale Rolle bei koordinierten Angriffen, die bisher unbekannte Schwachstellen in Software ausnutzen (Zero-Day-Angriffe) und mit Social-Engineering-Taktiken arbeiten.

RAT-Tools sind leistungsfähig und gleichzeitig einfach zu handhaben. Sie werden mit dem übergreifenden Ziel entwickelt, Angreifern größtmögliche Handlungsfreiheit auf kompromittierten Systemen zu verschaffen. Die Möglichkeiten reichen von Datendiebstahl über Datenmanipulation bis hin zu Denial-of-Service-Angriffen.

RATs sind insbesondere deshalb attraktiv, da bereits mit wenig technischem Know-how durchschlagender Erfolg erzielt werden kann. Sie verfügen meist über eine einfache grafische

Benutzeroberfläche (GUI), mit deren Hilfe sich Angreifer per simpler Maussteuerung in einem infiltrierten Netzwerk bewegen können. Zu den typischen Funktionen gehören das Aufzeichnen von Tastatureingaben, Bildschirminhalten und Videos, Dateiübertragungen, Systemadministration, Kennwortdiebstahl sowie die Umleitung von Datenverkehr.

Die Mehrzahl der Angriffe, die mithilfe von Dark Comet, LV oder Gh0stRAT im Jahr 2013 realisiert wurden, ist nicht auf APT-Aktivitäten zurückzuführen. Dennoch macht der Einsatz öffentlicher RATs auch im Rahmen eines APT-Angriffs Sinn:

1. Sie sind effektiv.

2. Sie helfen APTs dabei, unbemerkt zu bleiben, da konventionelle IT-Sicherheitslösungen unter Umständen nicht darauf vorbereitet sind, dass APTs derartige Software im Rahmen zielgerichteter und hochkomplexer Angriffe einsetzen.

Page 10: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

9 www.fireeye.com

FireEye Advanced Threat Report: 2013

Dark CometFireEye hat die Nutzung von Dark Comet im Rahmen zielgerichteter Cyberaktivitäten seit 2012 untersucht. Dieser Malwaretyp nutzt in gleichem Maße die Angriffsvektoren Web und E-Mail. Abbildung 4 listet Länder im Uhrzeigersinn auf, in denen Dark Comet 2013 den höchsten Wirkungsgrad aufwies. (Die Farben symbolisieren die unterschiedliche Intensität der Aktivität.) Zu

den wichtigsten Zielen zählten die USA, Südkorea, Kanada, Japan, die Schweiz, Deutschland und Großbritannien. Abbildung 5 bietet einen Überblick über die vertikalen Märkte, in denen 2013 eine besonders hohe Aktivität von Dark Comet zu verzeichnen war. Am stärksten betroffen waren die Sektoren Finanzdienstleistungen, Energie/Versorgung und Bildung.

Abbildung 5: Vertikale Zielmärkte von Dark Comet

Finanzdienst-leistungen

Energie/Versorgung

Bildung

Hightech

Gesundheltswensen/Pharmaindustrie

ChemischeIndustrie/VerarbeitendeIndustrie

Business Services/Consulting

Staatliche Stellen(Bundesebene)

Telekommu-nikasyon

Luft- und Raumfahrt/ Rüstung

Abbildung 4: Netzwerkdiagramm der Dark Comet-Aktivitäten

Page 11: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

10 www.fireeye.com

FireEye Advanced Threat Report: 2013

LVFireEye hat die Nutzung von LV im Rahmen zielgerichteter Cyberaktivitäten seit 2012 untersucht. Dieser Malwaretyp nutzt in gleichem Maße die Angriffsvektoren Web und E-Mail. Abbildung 6 listet Länder im Uhrzeigersinn auf, in denen LV 2013 den höchsten Wirkungsgrad aufwies.(Die Farben symbolisieren die unterschiedliche Intensität der Aktivität.) Zu den

wichtigsten Zielen zählten die USA, Saudi-Arabien, Katar, Südkorea, Japan, Kanada, die Europäische Union, die Schweiz und Großbritannien.

Abbildung 7 bietet einen Überblick über die vertikalen Märkte, in denen 2013 eine besonders hohe Aktivität von LV zu verzeichnen war. Am stärksten betroffen waren die Sektoren Bildung, Hightech, staatliche Stellen und Finanzdienstleistungen.

Abbildung 6: Netzwerkdiagramm der LV-Aktivitäten

Abbildung 7: Vertikale Zielmärkte von LV

Hochschul-bildung

Hightech

Staatliche Stellen(Bundesebene)

Finanzdienstleistungen

Gesundheltswensen/Pharmaindustrie

Energie/Versorgung/OI

Business Services/Consulting

Telekommunikasyon

Luft- und Raumfahrt/ Rüstung

ChemischeIndustrie/VerarbeitendeIndustrie

Page 12: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

11 www.fireeye.com

FireEye Advanced Threat Report: 2013

Gh0stRATFireEye hat die Nutzung von Gh0stRAT im Rahmen zielgerichteter Cyberaktivitäten seit 2012 untersucht. Dieser Malwaretyp nutzt in gleichem Maße die Angriffsvektoren Web und E-Mai. Abbildung 8 listet Länder im Uhrzeigersinn auf, in denen Gh0stRAT 2013 den höchsten Wirkungsgrad aufwies. (Die Farben

symbolisieren die unterschiedliche Intensität der Aktivität.) Zu den wichtigsten Zielen zählten die USA, Südkorea, Kanada, Deutschland, die Schweiz und Japan. Abbildung 9 bietet einen Überblick über die vertikalen Märkte, in denen 2013 eine besonders hohe Aktivität von Gh0stRAT zu verzeichnen war. Am stärksten betroffen waren die Sektoren Hightech, Bildung und Finanzdienstleistungen

Abbildung 8: Netzwerkdiagramm der Gh0stRAT-Aktivitäten

Abbildung 9: Vertikale Zielmärkte von Gh0stRAT

Hochschul-bildung

Hightech

Staatliche Stellen(Bundesebene)

Finanzdienstleistungen

Gesundheltswensen/

PharmaindustrieBusiness Services/Consulting

ChemischeIndustrie/VerarbeitendeIndustrie

Telekommuni-kasyon

Luft- und Raumfahrt/Rüstung

Energie/Versorgung

Page 13: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

12 www.fireeye.com

Auch die politisch motivierte „Nitro“-Kampagne und ein „Watering Hole“-Angriff, der Besucher einer Website der US-Regierung ins Visier nahm, gehen auf das Konto von PIVY. Systemadministratoren sollten wissen, dass auch APTs kostenlos erhältliche Software wie Poison Ivy einsetzen, um gezielte Angriffe auf Netzwerke durchführen zu können. Wie FireEye bereits in einem Bericht von 2013 aufdeckte, nehmen derzeit mindestens drei in China ansässige Bedrohungsurheber die Dienste von PIVY in Anspruch: „admin@338“, „th3bug“ und „menuPass“.

Obwohl RATs als Lieblingsspielzeug sogenannter Skriptkiddies gelten, bieten sie auch APT-Angreifern eine Vielzahl nützlicher Funktionen. Zudem zeigt sich die Funktionsweise von Poison Ivy vom kontinuierlichen technischen Fortschritt relativ unbeeindruckt. Dasselbe gilt für die Hackingtools Nmap, Nessus und John the Ripper.

APTs verfügen außerdem über einen weiteren Vorteil: PIVY hat eine so große Verbreitung, dass

MALWARE CASE STUDY: Poison Ivy

Seit seiner Veröffentlichung 2008 steht das kostenlos erhältliche RAT-Tool Poison Ivy (PIVY)(www.poisonivy-rat.com) in den Schlagzeilen und war an einigen der weltweit verheerendsten Cyberangriffen beteiligt. So drangen Angreifer mithilfe des Fernwartungstools unter anderem in das System des IT-Sicherheitsunternehmens RSA ein, um Daten zum Authentifizierungssystem SecureID zu entwenden.

ein einzelner Angriff nicht zwangsläufig aus der Masse heraussticht. Ebenso kann es vorkommen, dass Sicherheitsexperten ein Vorkommen von PIVY einem gewöhnlichen Cyberangriff statt einem gezielten APT-Angriff zurechnen.

Um konventionelle Crimeware von APT-Varianten von PIVY zu unterscheiden, hat FireEye 2013 ein umfassendes Toolkit mit dem Namen „Calamine“ auf den Markt gebracht.

Calamine setzt sich aus zwei Open-Source-Tools zusammen: einem PIVY-Konfigurationsdecoder und einem PIVY-Kommunikationsentschlüsseler. Die von Calamine bereitgestellten Daten können von Sicherheitsanalysten verwendet werden, um APT-Angreifer zu identifizieren oder ihre Ziele und Motive offenzulegen.

Ein wichtiges Merkmal von RAT-Tools beispielsweise im Vergleich zu kriminellen Botnets ist, dass ein menschlicher Angreifer mit dem Zielsystem kommunizieren muss. RAT-Aktivitäten sind zielgerichtet und personenbezogen – und damit leichter zu durchschauen.

Standard-RATs wie PIVY werden mit hoher Wahrscheinlichkeit auch in Zukunft im Rahmen von APT-Angriffen eingesetzt. Ein verstärktes Bewusstsein für das Vorhandensein dieses und ähnlicher Tools könnte in Verbindung mit der Nutzung innovativer Software wie Calamine jedoch die Pläne von Angreifern durchkreuzen und sie dazu zwingen, ihre Taktik zu überdenken. Als Folge müssten APTs unter Umständen auf weniger prominente und deshalb leichter identifizierbare TTPs zurückgreifen.

Page 14: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

13 www.fireeye.com

FireEye Advanced Threat Report: 2013

1. Bildung: Universitäten sind ein Hort moderner Forschung und technologischer Entwicklung. Das Problem: Ihre Netzwerke sind unüberschaubar und durchlässig.

2. Finanzdienstleistungen: Ein Großteil aller Finanztransaktionen wird heutzutage über das Internet abgewickelt – zwischen Privatpersonen, Unternehmen und Regierungen.

3. Hightech: Führende Hard- und Software wird von Millionen von Menschen genutzt. Diese Tatsache machen sich viele Angreifer zunutze.

4. Staatliche Stellen: Dieser Sektor umfasst die staatliche Verwaltung, politisches Handeln, die Einhaltung von Gesetzen sowie die nationale Sicherheit.

5. Business Services/Consulting: Große Konzerne arbeiten mit einer Vielzahl von Auftragnehmern entlang komplexer Lieferketten zusammen. Auf politischer Ebene zählen auch Thinktanks zu diesem Bereich.

6. Energie/Versorgung: Ob Maschinenbetrieb, städtische Beleuchtung oder Raketenstart – Energie ist der Ausgangspunkt allen Fortschritts.

7. Chemische Industrie/Fertigung: Die Chemie ist die Wissenschaft alles Stofflichen und bildet das Bindeglied zwischen den einzelnen Zweigen der Naturwissenschaft.

8. Telekommunikation (Internet, Telefon, Infrastruktur): Diese Kategorie umfasst alle Formen der Fernkommunikation, die mithilfe elektrischer Signale oder elektromagnetischer Wellen realisiert wird.

9. Gesundheitswesen/Pharmaindustrie: In diese Kategorie fällt die Entwicklung von Medikamenten sowie die Bereitstellung der medizinischen Versorgung.

10. Luft- und Raumfahrt/Rüstung: Diese Kategorie umfasst die Entwicklung von Raumfahrzeugen einschließlich der vielfältigen kommerziellen und militärischen Anwendungsbereiche.

Die zehn weltweit am stärksten betroffenen vertikalen MärkteAuf Grundlage aller zielgerichteten Aktivitäten, die von den Threat-Prevention-Plattformen von FireEye 2013 festgestellt wurden, konnten die zehn am stärksten betroffenen vertikalen Märkte ermittelt werden. Jede der Branchen befindet sich im Besitz äußerst sensiblen geistigen Eigentums und ist irgendeiner Form an Belangen der nationalen Sicherheit beteiligt. „th3bug“ und „menuPass“.

Page 15: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

14 www.fireeye.com

FireEye Advanced Threat Report: 2013

Höchste Zahl an Malware-Arten pro vertikalem MarktUm ein besseres Verständnis des Ausmaßes gezielter Cyberangriffe in den unterschiedlichen vertikalen Märkten zu erlangen, wurde untersucht, in welchem Umfang die einzelnen Märkte von verschiedenen APT-Arten ins Visier genommen wurden.

Diese Daten geben Rückschluss auf die Zahl und Zusammensetzung der Angreifer und ermöglichen eine Analyse, wie vorhandene Infrastrukturen am besten geschützt werden können. Die nachfolgende Tabelle gibt einen Überblick über die zehn am stärksten betroffenen

vertikalen Märkte und stützt sich auf die von FireEye für 2013 erhobene Statistik zu APT-bezogenen Malware-Arten.“

Die Daten von FireEye belegen, dass staatliche Regierungen weltweit das begehrteste Ziel darstellten. Insgesamt konnten 84 der 159 von FireEye registrierten Malware-Arten diesem Sektor zugeordnet werden.

Auch die Bereiche Business Services und Consulting sowie die Hightechindustrie und die Finanzdienstleistungsbranche waren in besonderem Maße betroffen. Dort wurde jeweils etwa die Hälfte aller Malware-Arten identifiziert.

Abbildung 10: APT-Malware-Arten pro vertikalem Markt

40 50 60 70 80 9010 20 300

Aerospace/Defense

Chemicals/Manufacturing

Education (higher)

Energy/Utilities

Financial Services

Government (Federal)

Government (State and Local)

High-Tech

Services/Consulting

Telecom

APT Malware Families Per VerticalAPT Malware-Arten pro vertikalem Markt

Staatliche Stellen

Business Services/Consulting

Hightech

Finanzdienstleistungen

Telekommunikation

Hochschulbildung

Luft- und Raumfahrt/Rüstung

Staatliche Stellen (regionale und lokale Ebene)

Chemische Industrie/Fertigung

Energie/Versorgung

Page 16: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

15 www.fireeye.com

FireEye Advanced Threat Report: 2013

Um den Wirkungsbereich von Angreifern in den einzelnen Ländern genauer zu skizzieren, hat FireEye die Zahl der verschiedenen vertikalen Märkte ermittelt, die 2013 von den Aktivitäten Cyberkrimineller betroffen waren.

Auf Grundlage der von FireEye gesammelten Daten wurde die nachfolgende Rangliste von Ländern erstellt, die sich im vergangenen Jahr einer besonders großen Bandbreite gezielter Angriffe ausgesetzt sahen.

1. USA (20)

2. Südkorea (16)

3. Kanada (13)

4. Frankreich (12)

5. Thailand (12)

6. Großbritannien (12)

7. Japan (11)

8. Türkei (11)

9. Deutschland (9)

10. Saudi-Arabien (9)

Die USA liegen hier unangefochten an der Spitze. Insgesamt dokumentierte FireEye im Jahr 2013 Angriffe in 21 vertikalen Märkten; die USA waren somit in praktisch jedem Sektor Leidtragende globaler Bedrohungsaktivitäten.

Höchste Zahl der betroffenen vertikalen Märkte pro Land:

Abbildung 11: Betroffene vertikale Märkte pro Land

Page 17: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

16 www.fireeye.com

FireEye Advanced Threat Report: 2013

Heutige IT-Sicherheitsumgebungen müssen vor zielgerichteten Angriffen aus allen Winkeln der Erde gerüstet sein. Im Jahr 2013 identifizierte FireEye grundlegende CnC-Infrastruktur im IP-Bereich von insgesamt 206 länderspezifischen Top-Level-Domains.

FireEye analysierte im vergangenen Jahr 767.318 verschiedene CnC-Verbindungen, was mehr als einem Vorfall pro Minute entspricht. Insgesamt wurden 22.509.176 CnC-Verbindungen registriert – durchschnittlich also alle 1,5 Sekunden mehr als eine Verbindung.

Die hier abgebildete Weltkarte zeigt von FireEye 2013 identifizierte grundlegende CnC-Infrastruktur und belegt eindeutig, dass CnC-Infrastruktur über den gesamten Globus v erteilt ist.

1. USA (24.1%)

2. Deutschland (5.6%)

3. Südkorea (5.6%)

4. China (4.2%)

5. Niederlande (3.7%)

6. Großbritannien (3.5%)

7. Russland (3.2%)

8. Kanada (2.9%)

9. Frankreich (2.7%)

10. Hongkong(1.9%)

Obwohl die USA fast ein Viertel der grundlegenden CnC-Infrastruktur beherbergt, befinden sich die größten Ballungszentren von CnC-Servern in Europa und Asien.

Grundlegende CnC-Infrastruktur: Weltkarte

Abbildung 12: Grundlegende CnC-Infrastruktur: Weltkarte

Page 18: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

17 www.fireeye.com

FireEye Advanced Threat Report: 2013

Grundlegende CnC-Infrastruktur: LändervergleichDas nachstehende Kreisdiagramm zeigt die Verteilung der grundlegenden CnC-Infrastruktur laut den von FireEye für 2013 ermittelten Daten. Aus Platzgründen war es nicht möglich, alle 206 länderspezifischen Top-Level-Domains abzubilden. Die wichtigsten Länder sind jedoch vertreten, einschließlich den zehn aktivsten Staaten: die USA, Deutschland, Südkorea, China, die Niederlande, Großbritannien, Russland, Kanada, Frankreich und Hongkong.

Hinweis: Es muss beachtet werden, dass sich Angreifer heutzutage meist einer vielschichtigen Infrastruktur bedienen, um ihre digitalen Spuren zu verwischen (deshalb das Beiwort „grundlegend“). Nur weil Malware mit einem Server in einem bestimmten Land kommuniziert, bedeutet das nicht zwingend, dass der Bedrohungsurheber in diesem Land angesiedelt ist. Angreifer leiten ihren Datenverkehr oft über mehrere Zwischenserver um, um eine Rückverfolgung der Verbindung durch Sicherheitsexperten zu erschweren.

US

DE

KR

CN

NL

UK

RU

CA

FR

HK

JP

UA

TR

PL

IT

RO

IN

PT

BG

CZ

TW

US

DEKRCN

NL

UK

RU

CA

FRHKJPUATR

PL

ITRO

INPT

BGCZ

TWTH

BRES

AUID

SEAR

LV CHHU

Abbildung 13: Grundlegende CnC-Infrastruktur: Ländervergleich

Page 19: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

18 www.fireeye.com

FireEye Advanced Threat Report: 2013

Angriffsanalyse: Zero-Day-ExploitsFireEye gelang es 2013, elf Zero-Day-Angriffe offenzulegen – mehr als jedem anderen Sicherheitsunternehmen. Dieser Abschnitt beschäftigt sich mit den häufigsten Zielen von Zero-Day-Angriffen im Jahr 2013.

Die folgende Abbildung vermittelt einen Überblick über die wichtigsten Zero-Day-Kampagnen, die von FireEye-Experten im letzten Jahr aufgedeckt wurden.

Angriffe auf JavaIm ersten Halbjahr 2013 stand Java im Fokus der Bemühungen von Cyberkriminellen. Einer der Hauptgründe dafür ist, dass sich die Entwicklung von Exploitcode für Java weitaus einfacher gestaltet als für einen Großteil anderer Software. Vorhandene Schutzvorrichtungen von Betriebssystemen, welche die Ausführung von Schadcode verhindern sollen, erweisen sich häufig als machtlos gegenüber Java-Exploits, da die Angreifer nur einen „Zeiger“ zum Java Security Manager beschädigen müssen.

Java wird traditionell von Sicherheitsexperten vernachlässigt. Die aktuelle Zunahme öffentlich gewordener Sicherheitslücken in Java könnte unter Umständen dazu beitragen, die Sicherheit der Plattform weiter zu verbessern. Womit sich einst nur eine Minderheit von APT-Angreifern beschäftigte, ist inzwischen für viele Crimeware-Gruppen zentraler Bestandteil ihrer Strategie. Die Einfachheit, schlagkräftige Java-Exploits zu entwickeln, hat es möglich gemacht.

Angriffe auf BrowserIm zweiten Halbjahr 2013 konnten die Sicherheitsexperten von FireEye einen Anstieg von Zero-Day-Exploits für den Internet Explorer beobachten, die im Rahmen von Watering-Hole-Angriffen realisiert wurden. Hierbei infiltrierte ein Angreifer eine Website, auf der bestimmte Interessengruppen verkehren, die das ultimative Angriffsziel darstellen. Wir sind der Ansicht, dass diese Angriffe schwerwiegend genug waren, um den Internet Explorer zum wichtigsten Angriffsvektor für Zero-Day-Exploits im Jahr 2013 zu erklären.

23%

Internet Explorer

Java

Flash

Reader

39%

5%15%23%

Zero-Day Exploits

Page 20: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

19 www.fireeye.com

FireEye Advanced Threat Report: 2013

Die Mehrzahl der Angriffe betraf ältere Versionen des Internet Explorer, beispielsweise die Versionen 7.0 und 8.0. Ein Grund dafür könnte der höhere Sicherheitsgrad in neueren Versionen von Windows und Internet Explorer sein. Nichtsdestotrotz wurden vermehrt Zero-Day-Angriffe auf aktuelle Versionen des Internet Explorer beobachtet. Dabei kamen fortschrittliche Techniken zur Umgehung von Address Space Layout Randomization (ASLR) und Data Execution Prevention (DEP) zum Einsatz, wie die Ausnutzung von Use-after-free-Lücken (UAF) und Schwachstellen, die das Auslesen von Daten auf dem Zielsystem ermöglichten. Somit sind auch neuere Versionen des Internet Explorer gefährdet, da konventionelle Sicherheitsvorrichtungen wie ASLR und DEP nur unzureichenden Schutz bieten.

Umgehung von Sandbox-Lösungen in AnwendungenEinige Anwendungen nutzen Sandboxing-Techniken, um zu verhindern, dass potenzieller Schadcode auf privilegierte Benutzerrechte zugreift. Im Angriffsfall verfügt der Schadcode somit lediglich über eingeschränkte Zugriffsrechte. Die Angreifer sind gezwungen, einen neuen |Angriff zu starten, um sich vollständigen Zugang zu verschaffen.

Zwei Angriffskampagnen aus der jüngsten Vergangenheit, von denen Adobe Flash (CVE-

2013-0643/0648)1,2 und Adobe Reader (CVE-2013-0640/0641)3,4 betroffen waren, nutzten kritische Sandbox-Schwachstellen aus. Eine dritte Kampagne nutzte eine Schwachstelle im Kernel von Windows XP aus, um die Sandbox von Adobe Reader zu umgehen (CVE-2013-3346/5065)5,6 Eine vierte Kampagne (CVE-2013-0633/0634)7,8 bettete Flash-Exploits in Microsoft Office-Dateien ein, um von Sandbox-Lösungen vollständig unbemerkt zu bleiben, wobei nur Benutzer von MS Office 2008 betroffen waren.

Die Kampagnen verdeutlichen zwei wichtige Aspekte der Sandbox-Umgehung. Erstens erschweren Sandbox-Lösungen die Arbeit von Angreifern und treiben somit deren Kosten in die Höhe. Insgesamt werden nämlich mindestens zwei Exploits benötigt: einer zur Code-Ausführung und einer zur Umgehung der Sandbox. Zweitens erscheint dem Angreifer diese Herausforderung trotz des erhöhten Schwierigkeitsgrads noch so lukrativ, dass der zusätzliche Zeit-, Energie- und Ressourcenaufwand in Kauf genommen wird, der zum Umgehen von Sandbox-Lösungen benötigt wird

Fokussierung, Verschleierung und UmgehungEinige aktuelle Zero-Day-Kampagnen stellten Sicherheitsanalysten vor schwerwiegende Probleme. Der Fokus lag dabei weniger auf Verschleierungstaktiken als vielmehr auf gezielten Angriffen auf bestimmte Bereiche/Branchen, der

1 CVE-2013-0643, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0643

2 CVE-2013-0643, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0648

3 CVE-2013-0643, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0640

4 CVE-2013-0643, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0641

5 CVE-2013-0643, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3346

6 CVE-2013-0643, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5065

7 CVE-2013-0643, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0633

8 CVE-2013-0643, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0634

9 CVE-2013-1331, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1331.

Page 21: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

20 www.fireeye.com

FireEye Advanced Threat Report: 2013

Verhinderung einer erneuten Infektion und partitionierten Exploit-Dateien. So arbeiteten die Täter beispielsweise mit Microsoft Word-Dokumenten, die statt direkt eingebetteter Bilder auf schädliche PNG-Dateien verwiesen, die auf externen Servern gespeichert waren. Die Dateien nutzen eine vor Kurzem entdeckte, aber bereits seit 2009 existierende Schwachstelle beim PNG-Parsing (CVE-2013-13319) in Microsoft Office aus. Das Hauptproblem für Sicherheitsexperten: Selbst unter Verwendung der infizierten Word-Dokumente konnten sie den Exploit nicht rekonstruieren, auch wenn der Angriffsserver noch aktiv war und die PNG-Datei dort gehostet wurde.

Auf ähnliche Weise machten sich Angreifer die Sicherheitslücke CVE-2013-3163 zunutze, wobei der Exploit in zwei Teilen versendet wurde. Diese betraf Internet Explorer 8 bis 10 und ermöglichte die Ausführung beliebiger Befehle oder einen DoS-Angriff durch eine Korruption des Speichers infolge des Aufrufs einer präparierten Website10. Zunächst wurde mithilfe einer Flash-Datei der gewünschte Memory Heap auf dem Zielcomputer manipuliert, die Speicheradresse der NTDLL-Systemdatei ausfindig gemacht und ein Return-Oriented-Programming-Angriff (ROP) gestartet. Anschließend wurde die Sicherheitslücke CVE-2013-3163 mithilfe von JavaScript ausgenutzt. Auch wenn dieser Angriff möglicherweise aus rein praktischen Gründen in zwei Phasen durchgeführt wurde, hatte dies auch zur Folge, dass Sicherheitsanalysten selbst mithilfe der infizierten Flash-Datei kein vollständiges Reverse Engineering für den Exploit durchführen konnten.

Zwei Angriffe bedienten sich einer Watering-Hole-Strategie, bei der der Angreifer eine Website infiltriert, auf der bestimmte Interessengruppen verkehren, die das ultimative Angriffsziel darstellen. Im ersten Fall nutzten Angreifer die Schwachstelle CVE-2013-1347 aus. IE 8 war dabei nicht in der Lage, Objekte ordnungsgemäß im Speicher zu verarbeiten, was eine Ausführung beliebigen Codes durch Zugriff auf ein Objekt ermöglichte, das nicht korrekt alloziert oder sogar gelöscht wurde.11 Der zweite Angriff nutzte die Sicherheitslücken CVE-2013-391812 (eine Schwachstelle im ActiveX-Steuerelement InformationCardSignInHelper) sowie CVE-2014-026613 aus, um Daten aus DLL-Dateien aus dem System auszulesen. Nach Einschleusen der Exploits in die infiltrierten Websites wurde jeder Besucher der Website infiziert, der einen anfälligen Browser verwendete.

Um unbemerkt zu bleiben, setzten viele dieser Angriffe Browser-Cookies oder Flash-Speicher ein, wodurch eine erneute Infizierung verhindert werden sollte. Die Konsequenz für Sicherheitsexperten: Ein aufgedeckter Exploit kann nicht zweimal auf derselben Testmaschine ausgeführt werden, da ansonsten seine Ausführung abgebrochen wird. Stattdessen wird eine leere Seite angezeigt, oder der Testbrowser wird auf eine ungefährliche Website umgeleitet. DieseTechnik ist simpel und effektiv zugleich, um Reverse Engineering zu verhindern. Gleichzeitig ergeben sich Vorteile für die Durchführung des Angriffs, da der Angriff auf diese Weise unter Umständen von Benutzern nicht bemerkt wird.

10 CVE-2013-3163, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://www.cve.mitre.org/cgi-bin/cvename.

cgi?name=CVE-2013-3163.

11 “IE Zero Day is Used in DoL Watering Hole Attack,” Yichong Lin, May 3, 2013, FireEye Labs http://www.fireeye.com/blog/technical/cyber-exploits/2013/05/

ie-zero-day-is-used-in-dol-watering-hole-attack.html.

12 CVE-2013-1347, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://www.cve.mitre.org/cgi-bin/cvename.

cgi?name=CVE-2013-1347.

13 CVE-2013-1331, Common Vulnerabilities and Exposures (CVE), MITRE Corporation, http://www.cve.mitre.org/cgi-bin/cvename.

cgi?name=CVE-2013-3918.

Page 22: SECRIT REIAINED - fireeye.com · stärkere Sensibilisierung für die Gefahren von Spear Phishing, die zunehmende Nutzung sozialer ... der betroffenen Staaten, d. h., es wird nur der

21 www.fireeye.com

FireEye Advanced Threat Report: 2013

ZukunftsprognosenAngesichts des rasanten technischen Fortschritts im Bereich der Cybersicherheit fällt es schwer, verlässliche Zukunftsprognosen zu stellen. Dennoch haben wir zwei Trends ausgemacht, denen nähere Beachtung geschenkt werden sollte.

• Die Entwicklung von Zero-Day-Exploits für Java geht unter Umständen zurück. Obwohl es verhältnismäßig einfach ist, Exploits für Java zu entwickeln, hat die Zahl der neuen Zero-Day-Angriffe auf Java ab Februar 2013 abgenommen. Die genauen Gründe sind unklar. Mögliche Ursachen sind die in Java 1.7 integrierten Sicherheitswarnungen oder die verstärkten Bemühungen von White-Hat-Sicherheitsexperten. Zudem ist es möglich, dass inzwischen eine ausreichende Mehrheit der Bevölkerung anfällige Java-Versionen verwendet, sodass Exploit-Entwickler nur wenig Anreiz haben, weitere Bugs zu finden.

• 2014 könnte die Häufigkeit browserbasierter Schwachstellen zunehmen. Angreifer finden immerneue Wege, ASLR in Browsern zu umgehen. Im Gegensatz zu Java und klassischen Input-Parsing-Schwachstellen werden unvermindert neue browserbasierte Zero-Day-Angriffe offengelegt

Über FireEyeFireEye hat eine auf Virtualisierungstechnik beruhende Sicherheitsplattform speziell zur Echtzeit-Abwehr von Bedrohungen entwickelt, die Unternehmen und staatliche Stellen auf der ganzen Welt vor Cyberangriffen der nächsten Generation schützt. Komplexe Cyberangriffe können traditionelle, signaturabhängige Sicherheitslösungen wie Next-Generation-Firewalls, IPS- und Antiviruslösungen sowie Gateways mühelos umgehen. Der dynamische, signaturunabhängige Echtzeitschutz der FireEye- Plattform deckt alle primären Bedrohungsvektoren in den verschiedenen Phasen des Angriffszyklus ab. Herzstück der FireEye-Plattform ist eine Virtual Execution Engine, die in Verbindung mit Dynamic Threat Intelligence Cyberangriffe in Echtzeit erkennen und abwehren kann. FireEye hat über 1.500 Kunden in mehr als 40 Ländern, darunter mehr als 100 der Fortune-500-Unternehmen..

FireEye, Inc. | 1440 McCarthy Blvd. Milpitas, CA 95035 | 408.321.6300 | 877.FIREEYE (347.3393) | [email protected] | www.fireeye.com

© 2014 FireEye, Inc. Alle Rechte vorbehalten. FireEye ist eine Marke von FireEye, Inc. Alle anderen Marken, Produkte oder Servicenamen sind Marken oder Dienstleistungsmarken der jeweiligen Eigentümer. – SR.ATR.US-DE.082014