News

Abuse.ch erstellt Liste der von Schädlingen benutzten SSL-Zertifikate

Malware- und Botnet-Betreiber ändern ständig ihre Taktik und versuchen so, der Entwicklung von Schutztechnologien um ein, zwei Schritte voraus zu sein. Eins dieser taktischen Manöver, das in dieser Community weit verbreitet ist, ist die Verwendung des SSL-Protokolls zur Verbindung mit den infizierten Rechnern. Die Experten des Schweizer IT-Sicherheitsprojekts Abuse.ch präsentierten nun eine neue Initiative: Sie identifizieren und veröffentlichen die Zertifikate, die mit schädlicher Aktivität in Verbindung gebracht werden.

Die von ihnen begründete Ressource SSL Black List (SSLBL) bietet offenen Zugriff auf Schwarze Listen, die auf der Grundlage von Einträgen in eine allgemeine Datenbank zusammengestellt werden. Jeder Eintrag umfasst die Hash SHA-1 des Zertifikats und den Grund für die Aufnahme in die Datenbank (beispielsweise ZeuS C&C oder Vawtrak MITM). Zum gegenwärtigen Zeitpunkt zählt die Datenbank von Abuse.ch um die 130 SSL-Zertifikate, von denen viele mit den Namen wohl bekannter Botnetze und Schädlinge in Verbindung stehen, wie etwa Shylock, KINS, ZeuS.

„Die Aufgabe der SSLBL ist es, eine Liste “schlechter” SHA1-Fingerabdrücke von SSL-Zertifikaten bereit zu stellen, die mit der Aktivität von Schadprogrammen oder Botnetzen assoziiert werden“, heißt es in einer Erklärung von Abuse.ch. „Aktuell unterstützt SSLBL Schwarze Listen von IP-Adressen und SHA1-Hashes im Format CSV und im Suricata Rule Format. Mit Hilfe der SSLBL lässt sich C&C-Traffic von Botnetzen, die SSL verwenden, mit hoher Wahrscheinlichkeit identifizieren, wie z.B. KINS (alias VMZeuS) und Shylock.“

In den letzten Jahren versuchen Experten mit unterschiedlichen Mitteln, das zerbrechliche Zertifikatssystem zu vereinfachen. Google hat beispielsweise vorgeschlagen, den Begriff Certificate Transparency – Zertifikatstransparenz – einzuführen und Zertifikatslisten zu veröffentlichen. Ein solches System setzt die Einführung eines offenen Katalogs aller ausgegebenen Zertifikate voraus und macht die freiwillige Mitarbeit der Zertifizierungsstellen erforderlich.

“Nach seiner Einführung wird Certificate Transparency einen Beitrag zum Schutz vor mehreren Bedrohungen mit Zertifikatscharakter leisten, unter anderem vor der versehentlichen und böswilligen Ausgabe von Zertifikaten und vor schädlichen Zertifizierungszentren“, erklären die Entwickler. “Diese Bedrohungen können sich in der finanziellen Verantwortlichkeit der Domaininhaber widerspiegeln, den guten Ruf von legitimen Zertifizierungsstellen untergraben und die Internetnutzer einem breiten Spektrum von Angriffen aussetzen, wie etwa dem Austausch von Websites, Server-Imitation und „Man-in-the-Middle“.

Quellen: Threatpost
Abuse.ch

Abuse.ch erstellt Liste der von Schädlingen benutzten SSL-Zertifikate

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach