Cybercrime-Studie von Fortinet
03.09.2019, 14:32 Uhr
Immer ausgefeiltere Ausweichtaktiken
Gemäss dem aktuellen «Global Threat Landscape Report» von Fortinet entwickeln Cyberkriminelle immer ausgefeiltere Ausweichmethoden. Daneben hat der in der Studie berechnete hreat Landscape Index einen Höchststand erreicht.
Cyber-Kriminelle suchen weiterhin nach immer neuen Schwachstellen auf der gesamten digitalen Angriffsfläche von Unternehmen. Mit Ausweich- und Antianalyseverfahren werden ihre Ansätze dabei immer ausgefeilter. Dies sind die Hauptergebnisse des aktuellen vierteljährlichen «Global Threat Landscape Report» von Fortinet.
Zudem hat der sogenannte Threat Landscape Index im jüngsten Quartal einen neuen Höchstwert erreicht: Gegenüber dem Vorjahr hat er sich um fast vier Prozent erhöht. Gemäss dem IT-Security-Spezialisten sind die Hauptgründe für den Anstieg bei vermehrten Malware- und Exploit-Aktivitäten zu suchen.
Ausweichtaktiken von Malware
Wie bereits angedeutet, kann Malware mittlerweile über Funktionen verfügen, um Antiviren-Software oder andere Massnahmen zur Bedrohungserkennung zu umgehen. In Fortinets Report wird in diesem Zusammenhang von einer kürzlich observierten, grossangelegten Spam-Kampagne berichtet, bei der Angreifer diese Techniken einsetzen und optimieren. Dabei wurden Phishing-E-Mails versandt, die ein Excel-Dokument mit einem bösartigen Makro enthielten. Das Besondere dabei: Die Attribute des Makros waren darauf ausgelegt, Sicherheits-Tools zu deaktivieren, willkürlich Befehle auszuführen und Speicherprobleme zu verursachen. Zudem sollten sie sicherstellen, dass sich das Makro nur auf japanischen Systemen ausführen liess. Eine Rolle spielte dabei auch eine xlDate-Variable, die bisher nicht vom Hersteller dokumentiert ist.
Ein weiteres Beispiel ist laut Fortinet eine Variante des Dridex-Banking-Trojaners, der bei jeder Anmeldung des Opfers die Namen und Hashes von Dateien ändert. Das mache es schwierig, die Malware auf infizierten Host-Systemen zu erkennen, heisst es.
Möglichst lange unentdeckt bleiben
Daneben zeigt der Fortinet-Report auf, welche Methoden Schadprogramme verwenden, um möglichst lange «under cover» zu operieren. Als Beispiel wird die Malware Zegost genannt, die zunächst einmal das grundlegende Element einer Speer-Phishing-Kampagne ist. Wie bei anderen Infostealern ist das Hauptziel von Zegost, Geräteinformationen zu sammeln und zu exportieren. Im Vergleich zu anderer Malware enthält Zegost jedoch bislang einzigartige Konfigurationen, um nicht entdeckt zu werden. Beispielsweise gibt es eine Funktion zum Löschen von Ereignisprotokollen. Diese Art der Bereinigung ist bei typischer Malware nicht zu beobachten. Eine weitere interessante Ausweichstrategie von Zegost ist ein Befehl, der den Infostealer bis zum 14. Februar 2019 in eine Art Ruheposition versetzte. Erst danach begann er seine Infektionsroutine.
Die kriminellen Akteure hinter Zegost nutzen also ein ganzes Arsenal an Exploits. Ihr Ziel ist es, eine Verbindung zum anvisierten Opfer herzustellen und aufrechtzuerhalten. Das macht sie im Vergleich zu anderen Angreifern zu einer langfristigen Bedrohung.
Die kriminellen Akteure hinter Zegost nutzen also ein ganzes Arsenal an Exploits. Ihr Ziel ist es, eine Verbindung zum anvisierten Opfer herzustellen und aufrechtzuerhalten. Das macht sie im Vergleich zu anderen Angreifern zu einer langfristigen Bedrohung.