Suchen

Abwehrmaßnahmen gegen neue Phishing-Methoden URL- und Domain-Name-Malware blocken

| Autor / Redakteur: Patrick Wheeler / Stephan Augsten

Phishing-Angriffe und ihre Varianten wie Spear-Phishing und Whaling sind inzwischen alltägliche Bestandteile der Bedrohungslandschaft. Man könnte meinen, sie seien unter Kontrolle und es nicht wert, dass IT-Sicherheitsentscheider sich ihrer annehmen müssten.

Firmen zum Thema

Neue Phishing-Gefahren ergeben sich beispielsweise vor dem Hintergrund der erweiterten Top-Level-Domains.
Neue Phishing-Gefahren ergeben sich beispielsweise vor dem Hintergrund der erweiterten Top-Level-Domains.
(Bild: Archiv)

Phishing funktioniert nicht mehr wie anno dazumal. Heutzutage bauen die Angreifer auf ausgeklügelte Techniken, um traditionelle Blacklists, die das Kernstück vieler älterer Schutzmaßnahmen sind, zu umgehen. Sicherheitschefs müssen ihre Tools und Techniken dementsprechend neu bewerten.

Die Sicherheitsforscher von Check Point haben mithilfe des ThreatCloud- Emulationsdienst neue Phishing-Methoden entdeckt und analysiert. Zwei Phishing-Kampagnen offenbarten dabei wichtige gemeinsame Merkmale:

  • Niedrige Erkennungsrate (< zehn Prozent) durch AV-Anbieter,
  • Angriff auf bekannte Schwachstellen in gängigen Desktop-Anwendungen, insbesondere Microsoft Word und Adobe Reader sowie
  • eine Art dynamisches URL-Schema, das die Erkennung durch statische Blacklists umgeht.

Cryptolocker belegt Problem der dynamischen URLs

Bei der Phishing-Kampagne rund um das Nuclear Exploit Kit hielt dieses URL-Schema selbst der tiefgreifenden Analyse der Malware-Forscher stand. Die Analyse von Cryptolocker war weniger kompliziert und verdeutlichte einen anderen Aspekt der dynamischen URLs.

Hinter Cryptolocker steht ein Botnetz, das auf Domain-Generation-Algorithmen (DGA) basiert. Die Malware verwendet dynamische, scheinbar willkürlich erzeugte Domain-Namen, um eine Kommunikation zwischen Bot und Command and Control Server (C&C-Server) herzustellen.

Die Cryptolocker-Bots erzeugen jeden Tag 1.000 neue Domains und verwerfen sie dann nach 24 Stunden. Dementsprechend gering ist auch die Chance, dass Sicherheitsdienste, die die Blacklists bekannter, bösartiger Webseiten erstellen und pflegen, bösartige Domains entdecken und registrieren.

Insgesamt betrachtet, unterstreichen die jüngsten Malware-Kampagnen die wichtige Rolle, die dynamische URLs und Domain-Namen bei diesen Angriffen spielen. Denn sie umgehen die traditionellen statischen Blacklists, die in der Vergangenheit verwendet wurden, um Phishing und Bots zu entdecken und zu sperren.

Schadcodes machen sich die Infrastruktur des Internets mit ihren dynamischen URLs und DGAs zunutze, um unklare oder einmalig nutzbare Varianten zu erzeugen. Damit lassen sich Abwehrsysteme durcheinanderbringen, die im Falle bösartig erachteter Adressen den ein- und ausgehenden Traffic suchen und blockieren.

(ID:42496634)