Suchen

Blue Coat Malnet Report 2012 Shnakule und andere Malware-Netzwerke

| Redakteur: Stephan Augsten

Zwei Drittel aller Angriffe im Internet werden übers Jahr 2012 gesehen von sogenannten Malnets ausgehen. Diese Prognose wagt Blue Coat im Rahmen des aktuellen Malnet-Reports, der die Methodik und das Risiko erfolgreicher Angriffe beleuchtet.

Shnakule ist seit 2011 das größte Malnet im Internet.
Shnakule ist seit 2011 das größte Malnet im Internet.
(Bild: Blue Coat)

Ein Botnet allein macht noch kein Malnet. Letztere zeichnen sich dadurch aus, dass sie nicht nur über Zombie-Rechner und die zugehörigen Command-and-Control-Server (C&C-Server) verfügen. Ein Malnet setzt sich zusätzlich aus eigenen Internet-Domains und Malware-behafteten Webseiten sowie Relay- und Exploit-Servern zusammen.

Im Malnet Report 2012 befasst sich der Sicherheitsanbieter Blue Coat mit der Gefahr, die von den Malware-Netzwerken ausgehen. Über die größte Infrastruktur verfügt dem Bericht zufolge das Malnet "Shnakule", das im Schnitt täglich über 1.717 Hosts verfügt. Auf dem Höhepunkt hat das Malnet gar 5.005 Domain-Namen an einem Tag verwendet.

Bildergalerie
Bildergalerie mit 9 Bildern

Shnakule wird unter anderem für Drive-by-Angriffe genutzt, verteilt aber auch gefälschte Antiviren-Software und Codecs sowie Flash- und Firefox-Updates. Darüber hinaus wird es zu Verbreitung von Bot-Kontrollsoftware, Pornografie, Glücksspiel und betrügerischen Heimarbeits-Angeboten verwendet.

Die übrigen vier der fünf größten Malnets sind allesamt neue Vertreter ihrer Art. "Tricki" und "Raskat" werden mit durchschnittlich 106 bzw. 50 Hosts für Search Engine Poisoning und Relays genutzt. Derweil dienen "Rubol" und "Rongdac" mit 76 bzw. 40 Hosts im Schnitt als Spam-Ökosysteme.

Im Teufelskreis der Malnets

Blue Coat bezeichnet die Malnet-Angriffe als Teufelskreis, der nur schwer zu durchbrechen sei. Am Anfang steht immer der Versuch, Internet-Nutzer auf verschiedenen Wegen eine Malware unterzujubeln. Dies geschieht beispielsweise mithilfe von Spam-Nachrichten, die per E-Mail oder über soziale Netzwerke versendet werden.

Verbreiteter ist Blue Coat zufolge aber die Methode des Search Engine Poisoning (SEP). Dabei werden Suchmaschinen-Ergebnisse so manipuliert, dass der Nutzer bösartige Webseiten besucht. Gut ein Drittel aller Malware-Infektionen über das Internet sind auf erfolgreiche SEP-Attacken zurückzuführen.

Seit Jahresbeginn ist dieser Anteil allerdings um fünf Prozentpunkte gesunken, heißt es im Malnet Report. Daraus lasse sich schließen, dass sich möglicherweise immer mehr Nutzer der Gefahr von Suchmaschinen-Manipulationen bewusst sind. Großereignisse wie Olympia spielen dabei übrigens eine untergeordnete Rolle, Keyword-Kombinationen wie ''Gold online kaufen'' sind bei den Cyber-Kriminellen beliebter.

Ob innerhalb von Spam-Nachrichten oder Suchmaschinen-Ergebnissen: bösartige Links verweisen selten direkt auf Malware-Websiten, da Sicherheitsanbieter sich dieser Gefahr bewusst sind und die Links mittlerweile prüfen. Statt dessen wird der User über mehrere Relay-Server auf die infizierten URLs weitergeleitet.

Bei einer erfolgreichen Infektion wird der Rechner des Nutzers in der Regel nach interessanten Informationen und Kontakten durchforstet, ins zugehörige Botnetz eingegliedert und/oder selbst als Malware-Host missbraucht. Der von Blue Coat proklamierte Teufelskreis schließt sich und setzt sich somit aus fünf Stufen zusammen:

  • Malnet-Infrastruktur aufbauen
  • Nutzer stalken
  • Angriff lancieren
  • Anwender infizieren
  • Rechner in die Malnet-Infrastruktur eingliedern

Im Malnet Report 2012 beschreibt Blue Coat die Phasen und die möglichen Abwehr-Mechanismen detaillierter. Interessierte finden das PDF-Dokument auf der Webseite des Herstellers.

(ID:36674110)