Blue Coat Malnet Report 2012

Shnakule und andere Malware-Netzwerke

| Redakteur: Stephan Augsten

Shnakule ist seit 2011 das größte Malnet im Internet.
Shnakule ist seit 2011 das größte Malnet im Internet. (Bild: Blue Coat)

Zwei Drittel aller Angriffe im Internet werden übers Jahr 2012 gesehen von sogenannten Malnets ausgehen. Diese Prognose wagt Blue Coat im Rahmen des aktuellen Malnet-Reports, der die Methodik und das Risiko erfolgreicher Angriffe beleuchtet.

Ein Botnet allein macht noch kein Malnet. Letztere zeichnen sich dadurch aus, dass sie nicht nur über Zombie-Rechner und die zugehörigen Command-and-Control-Server (C&C-Server) verfügen. Ein Malnet setzt sich zusätzlich aus eigenen Internet-Domains und Malware-behafteten Webseiten sowie Relay- und Exploit-Servern zusammen.

Im Malnet Report 2012 befasst sich der Sicherheitsanbieter Blue Coat mit der Gefahr, die von den Malware-Netzwerken ausgehen. Über die größte Infrastruktur verfügt dem Bericht zufolge das Malnet "Shnakule", das im Schnitt täglich über 1.717 Hosts verfügt. Auf dem Höhepunkt hat das Malnet gar 5.005 Domain-Namen an einem Tag verwendet.

Shnakule wird unter anderem für Drive-by-Angriffe genutzt, verteilt aber auch gefälschte Antiviren-Software und Codecs sowie Flash- und Firefox-Updates. Darüber hinaus wird es zu Verbreitung von Bot-Kontrollsoftware, Pornografie, Glücksspiel und betrügerischen Heimarbeits-Angeboten verwendet.

Die übrigen vier der fünf größten Malnets sind allesamt neue Vertreter ihrer Art. "Tricki" und "Raskat" werden mit durchschnittlich 106 bzw. 50 Hosts für Search Engine Poisoning und Relays genutzt. Derweil dienen "Rubol" und "Rongdac" mit 76 bzw. 40 Hosts im Schnitt als Spam-Ökosysteme.

Im Teufelskreis der Malnets

Blue Coat bezeichnet die Malnet-Angriffe als Teufelskreis, der nur schwer zu durchbrechen sei. Am Anfang steht immer der Versuch, Internet-Nutzer auf verschiedenen Wegen eine Malware unterzujubeln. Dies geschieht beispielsweise mithilfe von Spam-Nachrichten, die per E-Mail oder über soziale Netzwerke versendet werden.

Verbreiteter ist Blue Coat zufolge aber die Methode des Search Engine Poisoning (SEP). Dabei werden Suchmaschinen-Ergebnisse so manipuliert, dass der Nutzer bösartige Webseiten besucht. Gut ein Drittel aller Malware-Infektionen über das Internet sind auf erfolgreiche SEP-Attacken zurückzuführen.

Seit Jahresbeginn ist dieser Anteil allerdings um fünf Prozentpunkte gesunken, heißt es im Malnet Report. Daraus lasse sich schließen, dass sich möglicherweise immer mehr Nutzer der Gefahr von Suchmaschinen-Manipulationen bewusst sind. Großereignisse wie Olympia spielen dabei übrigens eine untergeordnete Rolle, Keyword-Kombinationen wie ''Gold online kaufen'' sind bei den Cyber-Kriminellen beliebter.

Ob innerhalb von Spam-Nachrichten oder Suchmaschinen-Ergebnissen: bösartige Links verweisen selten direkt auf Malware-Websiten, da Sicherheitsanbieter sich dieser Gefahr bewusst sind und die Links mittlerweile prüfen. Statt dessen wird der User über mehrere Relay-Server auf die infizierten URLs weitergeleitet.

Bei einer erfolgreichen Infektion wird der Rechner des Nutzers in der Regel nach interessanten Informationen und Kontakten durchforstet, ins zugehörige Botnetz eingegliedert und/oder selbst als Malware-Host missbraucht. Der von Blue Coat proklamierte Teufelskreis schließt sich und setzt sich somit aus fünf Stufen zusammen:

  • Malnet-Infrastruktur aufbauen
  • Nutzer stalken
  • Angriff lancieren
  • Anwender infizieren
  • Rechner in die Malnet-Infrastruktur eingliedern

Im Malnet Report 2012 beschreibt Blue Coat die Phasen und die möglichen Abwehr-Mechanismen detaillierter. Interessierte finden das PDF-Dokument auf der Webseite des Herstellers.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 36674110 / Malware)