Abwehrmaßnahmen gegen neue Phishing-Methoden

URL- und Domain-Name-Malware blocken

| Autor / Redakteur: Patrick Wheeler / Stephan Augsten

Neue Phishing-Gefahren ergeben sich beispielsweise vor dem Hintergrund der erweiterten Top-Level-Domains.
Neue Phishing-Gefahren ergeben sich beispielsweise vor dem Hintergrund der erweiterten Top-Level-Domains. (Bild: Archiv)

Phishing-Angriffe und ihre Varianten wie Spear-Phishing und Whaling sind inzwischen alltägliche Bestandteile der Bedrohungslandschaft. Man könnte meinen, sie seien unter Kontrolle und es nicht wert, dass IT-Sicherheitsentscheider sich ihrer annehmen müssten.

Phishing funktioniert nicht mehr wie anno dazumal. Heutzutage bauen die Angreifer auf ausgeklügelte Techniken, um traditionelle Blacklists, die das Kernstück vieler älterer Schutzmaßnahmen sind, zu umgehen. Sicherheitschefs müssen ihre Tools und Techniken dementsprechend neu bewerten.

Die Sicherheitsforscher von Check Point haben mithilfe des ThreatCloud- Emulationsdienst neue Phishing-Methoden entdeckt und analysiert. Zwei Phishing-Kampagnen offenbarten dabei wichtige gemeinsame Merkmale:

  • Niedrige Erkennungsrate (< zehn Prozent) durch AV-Anbieter,
  • Angriff auf bekannte Schwachstellen in gängigen Desktop-Anwendungen, insbesondere Microsoft Word und Adobe Reader sowie
  • eine Art dynamisches URL-Schema, das die Erkennung durch statische Blacklists umgeht.
  • Cryptolocker belegt Problem der dynamischen URLs

    Bei der Phishing-Kampagne rund um das Nuclear Exploit Kit hielt dieses URL-Schema selbst der tiefgreifenden Analyse der Malware-Forscher stand. Die Analyse von Cryptolocker war weniger kompliziert und verdeutlichte einen anderen Aspekt der dynamischen URLs.

    Hinter Cryptolocker steht ein Botnetz, das auf Domain-Generation-Algorithmen (DGA) basiert. Die Malware verwendet dynamische, scheinbar willkürlich erzeugte Domain-Namen, um eine Kommunikation zwischen Bot und Command and Control Server (C&C-Server) herzustellen.

    Die Cryptolocker-Bots erzeugen jeden Tag 1.000 neue Domains und verwerfen sie dann nach 24 Stunden. Dementsprechend gering ist auch die Chance, dass Sicherheitsdienste, die die Blacklists bekannter, bösartiger Webseiten erstellen und pflegen, bösartige Domains entdecken und registrieren.

    Insgesamt betrachtet, unterstreichen die jüngsten Malware-Kampagnen die wichtige Rolle, die dynamische URLs und Domain-Namen bei diesen Angriffen spielen. Denn sie umgehen die traditionellen statischen Blacklists, die in der Vergangenheit verwendet wurden, um Phishing und Bots zu entdecken und zu sperren.

    Schadcodes machen sich die Infrastruktur des Internets mit ihren dynamischen URLs und DGAs zunutze, um unklare oder einmalig nutzbare Varianten zu erzeugen. Damit lassen sich Abwehrsysteme durcheinanderbringen, die im Falle bösartig erachteter Adressen den ein- und ausgehenden Traffic suchen und blockieren.

  • Inhalt des Artikels:

    Kommentare werden geladen....

    Kommentar zu diesem Artikel

    Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

    Anonym mitdiskutieren oder einloggen Anmelden

    Avatar
    Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am
      1. Avatar
        Avatar
        Bearbeitet von am
        Bearbeitet von am

    Kommentare werden geladen....

    Kommentar melden

    Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

    Kommentar Freigeben

    Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

    Freigabe entfernen

    Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

    copyright

    Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42496634 / Kommunikation)