Lücken im Schutz von Unternehmensnetzwerken: Werbenetze

Der Begriff „Malvertising“ ist noch relativ neu. Er beschreibt eine Malware-Verbreitungsmethode über Werbenetzwerke, die schon seit langem zu den von Cyberkriminellen gern genutzten Werkzeugen gehören. Innerhalb der letzten vier Jahre wurden hunderte Millionen von Anwendern zu Opfern dieser „Viren“-Werbung, darunter auch die Besucher so großer Medien-Sites wie NY Times, London Stock Exchange, Spotify, USNews, TheOnion, Yahoo! und YouTube. Die schwierige Situation mit den Werbenetzwerken hat den ständigen Ermittlungsausschuss des US-Senats zur Durchführung von Ermittlungen veranlasst, in Folge derer empfohlen wird, die Sicherheitsmaßnahmen zu verschärfen und den Besitzern von Werbeplattformen eine größere Verantwortung zu übertragen.

Kurz vor dem Jahreswechsel 2013/2014 wurden 2,5 Millionen Yahoo-Anwender von Cyberkriminellen angegriffen. Kurz nach diesem Vorfall veröffentlichte das Unternehmen Fox IT eine detaillierte Analyse der Attacke. Bemerkenswert ist, dass ihren Angaben zufolge nicht alle Nutzer von Yahoo! betroffen waren, sondern nur User aus europäischen Ländern, in erster Linie aus Rumänien, England und Frankreich. Die Analysten von Fox IT weisen darauf hin, dass die Cyberkriminellen aller Wahrscheinlichkeit nach Mechanismen der zielgerichteten Werbung nutzten, d.h. sie kauften „Werbeeinblendungen“ für eine bestimmte Zielgruppe aus den oben erwähnten Ländern. Hier eine anschauliche Darstellung von Angriffen über Werbenetzwerke: allgemeines Angriffsschema (links) und ein konkretes Beispiel anhand des Angriffs auf die User von Yahoo! (rechts).

malvertising_1

Wir berichteten bereits über zielgerichtete Angriffe unter Ausnutzung vertrauenswürdiger Websites (Wasserloch-Attacken) und social Engineering in sozialen Netzwerken und IM-Clients. Wir gingen dabei insbesondere darauf ein, dass Cyberkriminelle für die Durchführung einer Wasserlochattacke erstens unbedingt eine vertrauenswürdige Website hacken und zweitens unbemerkt schädliche Skripte auf dieser Site einschleusen müssen. Zur Umsetzung von Angriffen über soziale Netzwerke und IM-Clients müssen Online-Verbrecher ebenfalls eine Reihe von Bedingungen erfüllen und sich zumindest das Vertrauen des Anwenders erschleichen, um die Wahrscheinlichkeit zu erhöhen, dass das Opfer auf einen vom Verbrecher gesendeten Link klickt.

Der grundlegende Unterschied zu Attacken über Werbenetzwerke liegt darin, dass die Cyberkriminellen hier keinerlei Sites hacken und sich auch nicht das Vertrauen ihrer potentiellen Opfer erschleichen müssen. Sie müssen lediglich einen Werbeprovider finden, bei dem man „Werbeeinblendungen“ kaufen kann oder selbst so ein Provider werden (nach Art von BadNews). Die restliche Arbeit zur Verbreitung des Schadcodes übernehmen die Mechanismen des Werbenetzwerks – im Endeffekt lädt die vertrauenswürdige Site selbst die schädlichen Skripte über iframe auf ihre Seiten.

Und auch der Anwender muss nirgendwo klicken – beim Versuch, das Banner auf der Seite der Website anzuzeigen, führt der Browser den SWF/JS-Code des Banners aus, der den User automatisch auf die Site umleitet, die die Startseite eines populären Exploit-Packs enthält, beispielsweise Blackhole. Daraufhin beginnt eine Drive-by-Attacke – das Exploit-Pack versucht, das passende Exploit für einen Angriff auf eine Sicherheitslücke im Browser oder in den dazugehörigen Plug-Ins zu finden.

Das Problem der Werbenetzwerke, die zur Verbreitung von Schadsoftware und zur Umsetzung von zielgerichteten Attacken eingesetzt werden (dank der Möglichkeiten der zielgerichteten Werbung), betrifft nicht nur die Nutzer von Browsern, die die eine oder andere Website besuchen. Dieses Problem betrifft auch die Nutzer von Anwendungen, die über einen Mechanismus zur Darstellung von Werbung verfügen: IM-Clients (insbesondere Skype), E-Mail-Clients (eben auch Yahoo!) usw. Am wichtigsten ist aber – das Problem besteht auch für die Unmenge von Nutzern mobiler Apps, die ebenfalls Werbenetzwerke verwenden!

Der qualitative Unterschied von mobilen Anwendungen besteht darin, dass gewöhnliche SDK zur Integration von Werbung in Anwendungen (wie beispielsweise AdMob, Adwhirl und andere) es nicht erlauben, willkürlichen Code der Werbeprovider auszuführen, wie es im Fall von Werbung auf einer Website möglich ist. Das bedeutet, vom „Werbungs-Lieferserver“ werden nur statische Daten angenommen – Bilder, Links, Einstellungen usw. Doch neben den Medien des Unternehmens entwickeln auch Cyberkriminelle solche SDK, indem sie den Entwicklern einen hohen Preis für jeden Klick im Vergleich zu den legitimen Konkurrenten anbieten. Auf diese Weise schleusen die Entwickler von legitimer mobiler Software selbst den schädlichen Werbe-Code in ihre Anwendungen ein, bei dem es sich tatsächlich um eine Backdoor handelt. Darüber hinaus können in legitimen SDK auch Sicherheitslücken vorhanden sein, die die Ausführung von willkürlichem Code ermöglichen. Ende vergangenen Jahres wurden zwei derartige Vorfälle registriert – mit HomeBase SDK und mit AppLovin SDK.

malvertising_2

Quelle: http://researchcenter.paloaltonetworks.com

Es ist nicht leicht, eine Antwort auf die Frage zu finden: „Wie schützt man das Unternehmensnetzwerk vor Attacken über Werbe-Netzwerke?“, insbesondere wenn man mögliche zielgerichtete Attacken genauer betrachtet. Wie bereits oben erwähnt, müssen nicht nur die Workstations (Browser, IM-Clients, E-Mail-Clients und andere Anwendungen mit integrierter dynamischer Werbung) geschützt werden, sondern auch mobile Geräte, die an das Unternehmensnetzwerk angeschlossen sind.

Es liegt auf der Hand, dass für den Schutz der Workstations mindestens eine Antiviren-Lösung der Klasse Security Suite erforderlich ist, die unbedingt die folgenden Funktionen enthalten muss:

  • Schutz vor Ausnutzung von Sicherheitslücken;
  • ein fortschrittliches HIPS mit Zugriffsbeschränkungsfunktionen sowie mit Funktionen der heuristischen und verhaltensbasierten Analyse (unter anderem ein Traffic-Analyser);
  • Methoden zur Funktionskontrolle des Betriebssystems (System Watcher oder Hypervisor) für den Fall, dass trotz allem Malware in das System eindringen konnte.

Um den Schutz von Workstations noch zuverlässiger zu gestalten, sollten außerdem Technologien zur Anwendungskontrolle eingesetzt werden, und es sollten Statistiken über die im Netz laufende Software zusammengestellt werden (Inventarisierung); es sollten Updatemechanismen konfiguriert und der Modus Default Deny aktiviert werden.

Verglichen mit dem Schutz von Workstations befindet sich der Schutz für mobile Geräte leider erst in der Entwicklungsphase. Es ist äußerst schwierig eine vollwertige Security Suite oder Anwendungskontrolle für mobile Geräte umzusetzen, da zu diesem Zweck die Firmware modifiziert werden muss, was nicht immer möglich ist. Daher ist die effektivste Technologie zum Schutz von an das Unternehmensnetzwerk angeschlossenen Geräten zum gegenwärtigen Zeitpunkt das Mobile Device Management, das bestimmt, welche Anwendungen auf dem Gerät installiert werden können und welche Apps nicht installiert werden sollten.

Cyberkriminelle verwenden schon seit Jahre Werbenetzwerke, um Malware zu verbreiten. Gleichzeitig wächst der Markt der Internet-Werbung stetig, er weitet sich auf neue Plattformen aus (große Portale, populäre Anwendungen, mobile Geräte) und zieht immer mehr Werbekunden, Partner und Vermittler an, die sich in einem außerordentlich verworrenen Netz miteinander verflechten. Das Problem mit den Werbenetzwerken ist ein weiteres Beispiel dafür, dass die rasante Entwicklung von Technologien nicht immer von einer rechtzeitigen Entwicklung der entsprechenden Schutzmechanismen begleitet wird.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.