Suchen

Ein Experten-Kommentar zum Kneber-Hype Kneber, ZeuS, ZBot – alles nichts Neues!

Autor / Redakteur: Rik Ferguson, Trend Micro / Peter Schmitz

Medienberichten zufolge hat ein “neues” Botnetze namens Kneber, das ZeuS-Crimeware nutzt, Tausende Unternehmen und Zehntausende Computer erfolgreich infiziert. Natürlich ist dies für die betroffenen Firmen eine schreckliche Nachricht, und sicherlich lassen sich eine Menge Security-Lehren aus solchen Erfahrungen ziehen, aber eigentlich ist der ganze Hype um Kneber unsinnig.

Firmen zum Thema

Das Kneber Botnetz ist nichts Neues. ZeuS gibt es seit mindestens 2007 und wird in der Szene sowohl als Software, als auch in Form von vorinfizierten Botnetzen gehandelt.
Das Kneber Botnetz ist nichts Neues. ZeuS gibt es seit mindestens 2007 und wird in der Szene sowohl als Software, als auch in Form von vorinfizierten Botnetzen gehandelt.
( Archiv: Vogel Business Media )

Ich möchte betonen, dass es nichts „Neues“ ist, wenn ein Botnet ZeuS nutzt oder diese Ausmaße annimmt. ZeuS (oder ZBot) gibt es seit mindestens 2007 (Security-Insider.de berichtete im Dezember 2007 zum ersten mal darüber), und es gilt im Online-Untergrund als Commodity-Crimeware. Die Malware wird in Online-Foren offen gehandelt, sowohl als Software-Produkt als auch in Form von vorinfizierten Botnetzen. Die Anbieter gehen mittlerweile dazu über, Services mit ihren kriminellen Offerten zu bündeln – sozusagen Crimeware as a Service.

Sicherheitsforscher haben nahezu 1300 Command&Control-Server für verschiedene ZeuS-Botnets im Visier, von denen etwa die Hälfte derzeit online ist. Es zeigt sich auch, dass die durchschnittliche binäre Entdeckungsrate (wie die Antivirus-Produkte Malware aufspüren mithilfe von Pattern-Dateien und Signaturen) bei nur 49,62 Prozent liegt – was den Erfolg der Infektionsraten zum Teil erklärt.

Es ist allgemein bekannt, dass Malware-Autoren und andere Kriminelle bereits Wege gefunden haben, wie herkömmlicher Malware-Schutz, der sich auf Pattern oder Signaturen verlässt, zu umgehen ist: Sie verändern einfach ihren Code so oft wie möglich. Schätzungen zufolge gibt es derzeit jede 1,5 Sekunde ein neues einzigartiges bösartiges Binary.

Daher lautet die erste Sicherheitslehre aus der aktuellen Berichterstattung: Stellen Sie sicher, dass sich Ihre Anti-Malware-Lösung nicht lediglich auf die Infektionsschicht verlässt, nach dem Motto „wie die Datei aussieht“. Stellen Sie sicher, dass die Lösung auch die exponierte Schicht prüft, woher die Datei kommt und wohin sie zurück berichtet. Wenn die Sicherheitsindustrie weiß, wo die Server der Bad Guys sind, so sollte dies auch jeder Ihrer Endpunkte wissen. Damit ist das binäre Aussehen der Datei nebensächlich. Trend Micros Smart Protection Network bietet Ihnen Schutz mithilfe von Reputationsdiensten über alle diese Schichten hinweg und vor all diesen Gefahren. Auch können Anwender mit dem kostenlosen Service RUBotted prüfen, ob der eigene Rechner Teil eines Botnetzes ist.

Rik Ferguson ist Solutions Architect bei Trend Micro.

Artikelfiles und Artikellinks

Link: RUBotted

(ID:2043582)