Achtung: "Je suis Charlie"

Trojaner bringt Unternehmen in Gefahr

Ivo Strigel ist seit Mai 2013 Senior Manager Channel Sales für Deutschland, Österreich, die Schweiz und Osteuropa bei Blue Coat. In dieser Position verantwortet er den Vertrieb über Channel-Partner in den genannten Regionen. Der Diplom-Ingenieur ist seit mehr als 20 Jahren in verschiedenen Positionen im Bereich IT-Vertriebs- und -Management tätig und verfügt über eine tiefgehende Expertise zu den Themen IT-Business, Networking und Security.

Seit dem Terroranschlag in Paris auf die Redaktion der Satirezeitschrift Charlie Hebdo am 7. Januar gilt "Je suis Charlie" als die Parole der Solidarität mit den Opfern. Dennoch sollten Anwender vorsichtig sein, wenn sie eine E-Mail mit diesem Schlagwort erhalten.

Auch Cyberkriminelle machen sich den Slogan zu Nutze: Blue Coat Systems hat ein Schadprogramm entdeckt, das genau diese drei Worte: "Je suis Charlie", als Tarnung verwendet.

Längst ist es keine Seltenheit mehr, dass Programmierer von Schadsoftware aktuelle Schlagwörter als Aufhänger nehmen, um Nutzer zum Anklicken von Malware zu verleiten. Und Cyberkriminelle sind clever und ausdauernd. So bleiben täglich nicht nur mehr als 200.000 neue Malware-Dateien unentdeckt, leider sind sie auch meist erfolgreich.

Um das Netzwerk vor Schadprogrammen jeglicher Art zu schützen, kann es Sinn machen, auf unterschiedliche Abwehrtechnologien zu setzen.
Um das Netzwerk vor Schadprogrammen jeglicher Art zu schützen, kann es Sinn machen, auf unterschiedliche Abwehrtechnologien zu setzen.
Foto: ra2 studio - Fotolia.com

Wie die letzte Studie des Global Analysis Ponemon Institute bestätigt, haben 90 Prozent aller Unternehmen in den vergangenen zwei Jahren einen derartigen Sicherheitsverstoß entdeckt. Und gerade weil Malware in der Lage ist, unbekannte Sicherheitslücken in traditionellen, signaturbasierten Sicherheitsinfrastrukturen für sich auszunutzen, bleibt so mancher Trojaner jahrelang unerkannt. Die Studie kommt zum Schluss, dass ein Advanced Persistant Threat (APT) im Schnitt erst nach 80 Tagen entdeckt wird und bis zum Start von Gegenmaßnahmen noch einmal 123 Tage vergehen. Die Angreifer haben also viel Zeit, um alle gewünschten Daten und Informationen abzuziehen. Die Folge sind mehr Datenschutzverletzungen als jemals zuvor, die sich auf gezielte Angriffe - APTs - zurückführen lassen.

Entdeckungsrate durch Antivirensoftware gering

Auch der neue Trojaner "Je suis Charlie" könnte eine Menge Schaden anrichten. Denn er basiert auf einem kostenlos verfügbaren Werkzeug zur Fernwartung namens DarkComet RAT - auch als Fynloski bekannt - das zudem als leistungsfähiger Backdoor-Trojaner fungieren kann. Bei der im aktuellen Fall verwendeten Variante wurde der in Delphi programmierte Code von DarkComet in einer .NET Hülle verpackt, um die typischen und leicht erkennbaren Anzeichen der Malware zu verschleiern. Daher ist seine Entdeckungsrate bei Antivirenprogrammen aktuell noch sehr niedrig. Nur zwei von 53 Scannern sind in der Lage, diese neue Malware zu erkennen. Wie aber können sich Unternehmen vor solchen Schadprogrammen schützen?

Schadsoftware den Kampf ansagen

Um solchen Trojanern im Speziellen aber auch Malware generell den Kampf anzusagen, sollten Unternehmen Sandboxing-Technologien installieren. Sie erkennen unbekannte Schadprogramme als Bedrohung, nachdem diese die Kontrolle durch herkömmliche Antivirenlösungen bereits passiert haben. Ein Beispiel einer eng integrierten Antiviren-Sandbox-Lösung bildet ein Content Analysis System im Zusammenspiel mit Malware Analysis und Proxy SG Appliances. Die automatisierte Advanced Threat Protection am Gateway sichert das Netzwerk zuverlässig gegenüber unbekannter und mehrstufiger Malware.

Dabei können durch den kombinierten Einsatz von Application Whitelisting und Malware-Scannings bekannte Bedrohungen gestoppt sowie unbekannter Content für eine umfassende Analyse identifiziert werden. So ist eine intelligente und tiefgreifende Abwehr möglich. Zur Koordination der Malware-Analyse bestimmt das Content Analysis System mit Hilfe von Antiviren-Scanning und Whitelisting, ob eine Datei tatsächlich schädlich ist. Im Anschluss leitet sie unbekannte und verdächtige Dateien an die Appliances und Sandboxen von unterschiedlichen Herstellern für eine umfassende Malware-Abwehr weiter. Da die Security Analytics Platform Informationen aus der Malware ausnutzt, um alle Instanzen einer neuen Attacke auf das Netzwerk zu identifizieren und ihren Kontext zu verstehen, wird ein flächendeckender Schutz gewährleistet.

Um künftigen Cyberattacken vorzubeugen, sollte zudem ein hoher Informationsaustausch stattfinden und alle Erkenntnisse einer Sandboxing-Lösung in einem weltweiten Netzwerk zur Verfügung gestellt werden. Über das Threat Intelligence Network können beispielsweise alle Teilnehmer Informationen zu neu entdeckter Malware durch weltweit 15.000 Kunden nutzen. Das bietet eine höhere Chance, die Ausbreitung neuartiger Schadprogramme wie "Je suis Charlie" zu verhindern. (bw)

Zur Startseite