Achtung: "Je suis Charlie"

Trojaner bringt Unternehmen in Gefahr

04.02.2015 von Ivo Strigel
Seit dem Terroranschlag in Paris auf die Redaktion der Satirezeitschrift Charlie Hebdo am 7. Januar gilt "Je suis Charlie" als die Parole der Solidarität mit den Opfern. Dennoch sollten Anwender vorsichtig sein, wenn sie eine E-Mail mit diesem Schlagwort erhalten.

Auch Cyberkriminelle machen sich den Slogan zu Nutze: Blue Coat Systems hat ein Schadprogramm entdeckt, das genau diese drei Worte: "Je suis Charlie", als Tarnung verwendet.

Längst ist es keine Seltenheit mehr, dass Programmierer von Schadsoftware aktuelle Schlagwörter als Aufhänger nehmen, um Nutzer zum Anklicken von Malware zu verleiten. Und Cyberkriminelle sind clever und ausdauernd. So bleiben täglich nicht nur mehr als 200.000 neue Malware-Dateien unentdeckt, leider sind sie auch meist erfolgreich.

Um das Netzwerk vor Schadprogrammen jeglicher Art zu schützen, kann es Sinn machen, auf unterschiedliche Abwehrtechnologien zu setzen.
Foto: ra2 studio - Fotolia.com

Wie die letzte Studie des Global Analysis Ponemon Institute bestätigt, haben 90 Prozent aller Unternehmen in den vergangenen zwei Jahren einen derartigen Sicherheitsverstoß entdeckt. Und gerade weil Malware in der Lage ist, unbekannte Sicherheitslücken in traditionellen, signaturbasierten Sicherheitsinfrastrukturen für sich auszunutzen, bleibt so mancher Trojaner jahrelang unerkannt. Die Studie kommt zum Schluss, dass ein Advanced Persistant Threat (APT) im Schnitt erst nach 80 Tagen entdeckt wird und bis zum Start von Gegenmaßnahmen noch einmal 123 Tage vergehen. Die Angreifer haben also viel Zeit, um alle gewünschten Daten und Informationen abzuziehen. Die Folge sind mehr Datenschutzverletzungen als jemals zuvor, die sich auf gezielte Angriffe - APTs - zurückführen lassen.

Entdeckungsrate durch Antivirensoftware gering

Auch der neue Trojaner "Je suis Charlie" könnte eine Menge Schaden anrichten. Denn er basiert auf einem kostenlos verfügbaren Werkzeug zur Fernwartung namens DarkComet RAT - auch als Fynloski bekannt - das zudem als leistungsfähiger Backdoor-Trojaner fungieren kann. Bei der im aktuellen Fall verwendeten Variante wurde der in Delphi programmierte Code von DarkComet in einer .NET Hülle verpackt, um die typischen und leicht erkennbaren Anzeichen der Malware zu verschleiern. Daher ist seine Entdeckungsrate bei Antivirenprogrammen aktuell noch sehr niedrig. Nur zwei von 53 Scannern sind in der Lage, diese neue Malware zu erkennen. Wie aber können sich Unternehmen vor solchen Schadprogrammen schützen?

10 Tipps zum Schutz vor Schadsoftware und Hackerangriffen
http://forum.botfrei.de
1. Alle Geräte des Netzwerkes regelmäßig mit der vorhandenen Antivirenlösung im vollständigen Suchlauf überprüfen.
http://forum.botfrei.de
2. Zusätzlich die Rechner mit einem passiven Zweite-Meinung-Scanner wie beispielsweise den kostenfreien EU-Cleanern von Avira und SurfRight (www.botfrei.de/eucleaner.html) überprüfen – gerne auch mit beiden, da diese unterschiedliche Probleme erkennen.
http://forum.botfrei.de
3. Alle Zugangsdaten regelmäßig von einem sicheren und virenfreien Rechner aus ändern, nicht nur die von Server, Webseite und Mailkonto, sondern auch zum Beispiel von Facebook, Amazon, Online-Banking usw. Wenn kein anderer „sauberer” Rechner vorhanden ist, kann dies auch mit einem Linux-Livesystem (http://wiki.ubuntuusers.de/Desktop-CD) oder mit der aktuellen Antibot DVD 3.5.1 (www.botfrei.de/rescuecd.html) über die integrierte Desktopumgebung sicher erfolgen.
http://forum.botfrei.de
4. Darüber hinaus den Browsercheck von Check & Secure (www.check-and-secure.com) durchführen, um zu prüfen, ob der Router Sicherheitslücken aufweist und wie aktuell die installierten Versionen der Browser sowie der darin installierten Plug-Ins sind.
http://forum.botfrei.de
5. Aktuelle Service Packs und Sicherheitsupdates installieren, Software stets aktuell halten und alte Software vom System entfernen. Hierfür gibt es hilfreiche Software-Updater wie den Heimdal Security Agent (http://blog.botfrei.de/tools).
http://forum.botfrei.de
6. Nicht (mehr) benötigte Benutzerkonten löschen/deaktivieren.
http://forum.botfrei.de
7. Vertrauliche Daten verschlüsselt übertragen *und* diese dann auch NUR verschlüsselt in Datenbanken speichern.
http://forum.botfrei.de
8. Software nur aus vertrauenswürdigen Quellen beziehen.
http://forum.botfrei.de
9. Den eigenen Webauftritt regelmäßig auf Manipulationen durch Dritte und Schadcode überprüfen (lassen), zum Beispiel mit www.initiative-s.de.
http://forum.botfrei.de
10. Nicht benötigte Serverdienste deaktivieren und Ports schließen.

Schadsoftware den Kampf ansagen

Um solchen Trojanern im Speziellen aber auch Malware generell den Kampf anzusagen, sollten Unternehmen Sandboxing-Technologien installieren. Sie erkennen unbekannte Schadprogramme als Bedrohung, nachdem diese die Kontrolle durch herkömmliche Antivirenlösungen bereits passiert haben. Ein Beispiel einer eng integrierten Antiviren-Sandbox-Lösung bildet ein Content Analysis System im Zusammenspiel mit Malware Analysis und Proxy SG Appliances. Die automatisierte Advanced Threat Protection am Gateway sichert das Netzwerk zuverlässig gegenüber unbekannter und mehrstufiger Malware.

Dabei können durch den kombinierten Einsatz von Application Whitelisting und Malware-Scannings bekannte Bedrohungen gestoppt sowie unbekannter Content für eine umfassende Analyse identifiziert werden. So ist eine intelligente und tiefgreifende Abwehr möglich. Zur Koordination der Malware-Analyse bestimmt das Content Analysis System mit Hilfe von Antiviren-Scanning und Whitelisting, ob eine Datei tatsächlich schädlich ist. Im Anschluss leitet sie unbekannte und verdächtige Dateien an die Appliances und Sandboxen von unterschiedlichen Herstellern für eine umfassende Malware-Abwehr weiter. Da die Security Analytics Platform Informationen aus der Malware ausnutzt, um alle Instanzen einer neuen Attacke auf das Netzwerk zu identifizieren und ihren Kontext zu verstehen, wird ein flächendeckender Schutz gewährleistet.

Um künftigen Cyberattacken vorzubeugen, sollte zudem ein hoher Informationsaustausch stattfinden und alle Erkenntnisse einer Sandboxing-Lösung in einem weltweiten Netzwerk zur Verfügung gestellt werden. Über das Threat Intelligence Network können beispielsweise alle Teilnehmer Informationen zu neu entdeckter Malware durch weltweit 15.000 Kunden nutzen. Das bietet eine höhere Chance, die Ausbreitung neuartiger Schadprogramme wie "Je suis Charlie" zu verhindern. (bw)