![Page 1: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/1.jpg)
Geschützt. Geschützter. G DATA.
Malware-Trends 2009
Ralf Benzmüller G DATA Security Labs
Agenda !! Kurzvorstellung G DATA Security Labs !! Malware-Report Juli – Dezember 2008 !! Neue Verbreitungswege von Malware •! E-Mail & Spam •! Webseiten
!! Botnetze
![Page 2: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/2.jpg)
Security Labs: Aufgaben !! Entwicklung von Schutzkonzepten !! Integration in Schutzsoftware !! Risiko-Szenarien !! Kundeninformationen !! Tests •! Lizenzprodukte •! Eigene Technologien
Malware sammeln
Spamtraps WebCrawler Honeypots Tauschprg. Kunden
![Page 3: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/3.jpg)
Zahlen zur Malwaresammlung !! Samples: 5.278.023 !! Malware: 476.609
!! Zum Vergleich: AV-Test !! 420.921 aktive Schädlinge letzte Woche in D !! 616.581 aktive Schädlinge letzte Woche weltweit
Malware sammeln Monat Viren Samples SigKAV SigAVA
2 2008 5.865 158.524 36.331 4.780
3 2008 10.346 185.276 66.268 8.013
4 2008 11.611 220.825 47.360 12.073
5 2008 15.291 151.009 70.153 9.637
6 2008 19.588 227.973 68.722 6.617
7 2008 22.110 179.393 108.590 7.836
8 2008 24.127 225.221 98.528 2.357
9 2008 17.544 151.589 98.699 2.691
10 2008 14.857 154.439 70.888 1.775
11 2008 74.962 237.734 90.411 2.913
12 2008 80.384 256.905 99.401 1.414
1 2009 40.674 374.919 148.946 1.793
Summe 340.128 2.523.807 1.004.297 63.869
![Page 4: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/4.jpg)
Malware analysieren Datei
-eigenschaften Statische
Analyse/ Graphen Dynamische
Analyse/ Sandbox
Datenbank
Manuelle Detailanalyse
Multiscanner
Malware analysieren !! Zweckgebunden !! Weitgehend automatisiert !! Tools zum Ermitteln von
Oberflächeninformationen !! Dynamische Analyse mit CWSandbox !! Statische Analyse u.a. mit Graphen
![Page 5: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/5.jpg)
Agenda !! Kurzvorstellung G DATA Security Labs !! Malware-Report Juli – Dezember 2008 !! Neue Verbreitungswege von Malware •! E-Mail & Spam •! Webseiten
!! Botnetze
Malware-Report 2008 H2 !! 2008: 894.250 neue Schädlinge
ca. 6,7 Mal mehr als 2007 !! 576.002 neue Schädlinge im 2. Halbjahr
Steigerung um das 1,8 fache gegenüber dem ersten Halbjahr
![Page 6: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/6.jpg)
Malware-Report 2008 H2
Malware-Report 2008 H2
![Page 7: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/7.jpg)
Malware-Report 2008 H2
!! JavaScript Malware nimmt ab (1910 vs 2650) !! Flash-Malware nimmt zu (321 vs 231)
Flash-Phishing
![Page 8: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/8.jpg)
Agenda !! Kurzvorstellung G DATA Security Labs !! Malware-Report Juli – Dezember 2008 !! Neue Verbreitungswege von Malware •! E-Mail •! Webseiten
!! Botnetze
Verbreitungswege von Malware
!! E-Mail !! Webseiten •! Download •! Drive-By Infektion
!! Net-Worm
!! Instant Message WLAN
!! USB-Datenträger !! CDs, DVDs !! P2P
![Page 9: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/9.jpg)
GetCodec im Media Player
GetCodec im MediaPlayer !! WMV/WMA enthalten eine Sektion, die
den erforderlichen Codec bestimmen. !! Diese Sektion wird so manipuliert, dass der
Media Player einen Codec verlangt. !! Spätere Varianten auch mit MP3 und MP2
Dateien.
![Page 10: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/10.jpg)
Der Trick mit den Links !!Rechnung.zip enthält •! Rechnung.txt.lnk •! Zertifikat.ssl
!! http://www.gdata.de/de/virenforschung/news/news-details/article/928-warnung-vor-gefaelschten-rechn.html
![Page 11: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/11.jpg)
Top 10 CNN-News Schlagzeilen
1. SUSPECT IN BEHEADING IDENTIFIED 2. JUDGE TAKEN OFF LAST JENA 6 CASES 3. PEOPLE MAG GETS PITT-JOLIE PIX 4. ATTACK IN TORONTO CALLED RACIAL 5. IREPORTERS' UNUSUAL NAMES 6. MOTHER PLEADS FOR CHILD'S RETURN 7. KARADZIC: I MADE DEAL WITH U.S. 8. SUSPECT ARRESTED IN SWIM KILLINGS 9. ANTHRAX SUSPECT APPARENT SUICIDE 10. MCCAIN: OBAMA CRITICISM 'FAIR'
Top 10 CNN-News Videos
1. MONTAUK 'MONSTER' 2. RACY PHOTOS OF TODDLER'S MOM 3. NEWS OF THE ABSURD EPISODE 54 4. POLICE BEATING DISPUTE 5. MOM PLEADS FOR GIRL'S RETURN 6. DEFENDANT FAKES HEART ATTACK 7. KILLER CARRIED VICTIM'S HEAD 8. MURDER CONFESSION RECANTED 9. ANTHRAX SUSPECT'S HOME 10. HECKLERS INTERRUPT OBAMA TALK
![Page 12: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/12.jpg)
Promi-Spam
Promi-Spam
Femmes %
Angelina Jolie 18 %
Britney Spears 9,8 %
Paris Hilton 8,8 %
Madonna 2 %
Pamela Anderson 1,9 %
Hommes %
Osama bin Laden 3,4 %
Brad Pitt 1,8%
John McCain 1,4 %
Georg W. Bush 1,2 %
Barack Obama 1,1 %
![Page 13: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/13.jpg)
Falsche Freunde
Spam-Trends
•! Täglich ca. 130 Mia. Spam-Mails
•! 85% Spam per Botnetz
•! Spam – Phishing
•! Spam – Malware (Dateien oder URLs)
•!Spam-Schutz = Malware-Schutz
![Page 14: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/14.jpg)
Spam: Zahlen und Daten 2007: 84.6 %
2008: 74 %
Spam-Trends
•! 80% aller Spam-Mails werden von 110 Gangs verschickt
•! 6 der Top 10 Spammer agieren in Osteuropa (Russland, Ukraine)
![Page 15: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/15.jpg)
Top Spam Gangs Rang Land #
1 USA 62
2 Russland 9
2 Canada 9
4 China 4
5 Brasilien, Indien, Japan, Ukraine
3
spamhaus.org, 12.Nov 2008
Insgesamt: 110 Gangs für 80% aller Spam-Mails
Spamerkennung •! Absender
•! Whitelist & Blacklist •! Realtime Blackhole List von Spam-Relays
•! Inhaltsfilter •! Schlüsselwörter in Betreff oder Text •! URL-Blocking •! E-Mail Eigenschaften (Heuristik) •! Bayes-Filter erkennt Worthäufigkeiten
•! Meta •! Greylisting •! Hash database
![Page 16: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/16.jpg)
Spamschutz: Textfilter
Spamschutz: Textfilter
![Page 17: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/17.jpg)
HTML TABLE <table border="0" width="74"> <TR vAlign=bottom> <td rowSpan="2" nowrap>NE</TD><TD><font color="#DDC3EB">9</font></TD> <td rowSpan="2" nowrap> </TD><TD></TD> <td rowSpan="2" nowrap>N</TD> <TD><font color="#EBC3C5">S</font></TD> <td rowSpan="2" nowrap>! WE</TD> <TD><font color="#E3C3EB">R</font></TD> <td rowSpan="2" nowrap>M</TD> <TD></TD> <td rowSpan="2" nowrap>8</TD> <TD></TD> <td rowSpan="2" nowrap>0</TD> <TD><font color="#C3EBC3">O</font></TD></tr> <tr vAlign=bottom> <td nowrap>W</TD> <td nowrap>CASI</TD> <td nowrap>O</TD> <td nowrap>LCO</TD> <td nowrap>E BONUS $1</TD> <td nowrap>0</TD> <td nowrap> !!!</TD></tr></table>
![Page 18: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/18.jpg)
Reputation unterlaufen !! CAPTCHAs von Freemailern knacken !! E-Mail-Zugangsdaten per Phishing oder
Spyware stehlen !! Missbrauch legitimer Hosting-Sites
Google Docs-Spam !! Seit Jan 2007 !! Link zu Google Docs
![Page 19: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/19.jpg)
Legitime Bildquellen
!! Flickr !! ImageShack !! Live.com !! BlogSpot
URL Redirection
!! http://rds.yahoo.com/_ylt=3DA0ge... EXP=3D.../**http%3a//SPAMSITE.com/
!! http://www.google.com/pagead/iclk?sa= l&...&adurl=http://SPAMSITE.com
![Page 20: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/20.jpg)
Agenda !! Kurzvorstellung G DATA Security Labs !! Malware-Report Juli – Dezember 2008 !! Neue Verbreitungswege von Malware •! E-Mail & Spam •! Webseiten
!! Botnetze
![Page 21: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/21.jpg)
Scareware
![Page 22: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/22.jpg)
![Page 23: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/23.jpg)
![Page 24: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/24.jpg)
![Page 25: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/25.jpg)
![Page 26: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/26.jpg)
!"#!!$%&'()*+,-./
!$%&'()*!".!**'.-+,-./
#!((0&'()*+,-./
,-.1)20(&!32+,-./
4'3'2!"0(*,5)26+,-./
#0((!.0$2!$%&'()*+,-./
7"20(1(-3(!.+,-./
7"2(040&'()*+,-./
300$'$#0,%0+,-./
5!(44('&07"20(+,-./
80'$0'$#08%-$0$+,-./
"-$3)0&'01,+,-./
$-$*2-1!$%&'()*+,-./
1,!$%&'(0$"-0*)$3+,-./
![Page 27: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/27.jpg)
Aktionen
Ihr PC ist infiziert
Scareware
![Page 28: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/28.jpg)
Scareware Auswahl !! Advanced Cleaner Free !! AntiMalware 2009 !! AntiSpyware Pro XP !! Antivirus 2008 XP !! Antivirus 2010 !! Antivirus Lab 2009 !! Antivirus Security !! Antivirus XP 2008 !! Drive Cleaner !! eAntivirusPro !! eKerberos !! Error Digger !! Error Safe !! Internet Antivirus !! Micro Antivirus 2009 !! MS Antivirus !! Online PC Guard
!! Personal Antispy !! Power Antivirus !! Power Antivirus 2009 !! Privacy Protector !! Rapid Antivirus !! Smart Antivirus 2009 !! System Antivirus 2008 !! Total Secure 2009 !! Virus Remover 2008 !! Virus Response Lab 2009 !! Win AntiVirusPro 2007 !! Win Fixer !! Windows Antivirus !! WinX Security Center !! XP Antispyware 2009 !! XP Antivirus !! XP Protector 2009
Scareware
Scareware verboten !! 11. Dezember 2008:
FTC untersagt Innovative Marketing, Inc. und ByteHosting Internet Services, LLC den Verkauf ihrer angeblichen Schutzprogramme Das Vermögen der Firmen wird eingefroren.
![Page 29: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/29.jpg)
Cross Site Scripting (XSS)
Funktionsweise XSS !! http://www.linksfraktion.de/kontakt.php?
nachname=&strasse=&plz=&ort=&mailadresse=&anfragetext=&eintrag=ok&send=Abschicken&vorname=%22%3E%3Cdiv%20style%3Dposition%3Arelative%3Bleft%3A-12pt%3Btop%3A-413pt%3Bbackground-color%3Awhite%3Bwidth%3A95%25%3B%3E27.05.2008%3Ch2%3EDie%20Linke%20stimmt%20f%C3%BCr%20Hotte%20K%C3%B6hler%3C%2Fh2%3ESelbstverst%C3%A4ndlich%20wurde%20auch%20diese%20Meldung%20%C3%BCber%20eine%20XSS-L%C3%BCcke%20eingeschmuggelt.%3C%2Fdiv%3E%3Cdiv%3E
![Page 30: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/30.jpg)
XSS Cheat Sheet !! <SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT> !! <IMG SRC=javascript:alert('XSS')> !! <IMG
SRC=javascript:alert('XSS')>
!! <BODY BACKGROUND="javascript:alert('XSS')"> !! <BGSOUND SRC="javascript:alert('XSS');"> !! <BODY ONLOAD=alert('XSS')>
Vgl.: http://ha.ckers.org/xss.html
XSS - potential !! Defacements !! Daten aus Formularen stehlen (e.g. Login-Seiten,
Online Banking) !! Cookies stehlen (z.B. auf einer Webseite Befehle
im Namen des Cookie-Eigentümers ausführen) !! Wurm !! JavaScript Proxy !! Port Scanner
![Page 31: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/31.jpg)
ClickJacking !! Einstellungen von Flash so
ändern, dass die Webcam angeschaltet wird
Funktionsweise Drive-by Infektion
!! <iframe src="http://example.com/bad.php visibility="hidden"...>
!! <script ... src="boese.js"> !! <img ... src="boese.js"> !! JavaScript nutzt Sicherheitslücken im
Browser und Browser-Plugins
![Page 32: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/32.jpg)
SQL Injection !! search item: "foo" !! http://myserver.de/search.php?s=foo !! SELECT info, title FROM mytable WHERE s
like '%foo%'
SQL Injection !! search item
"foo' ; GO EXEC cmdshell('format C') --" !! SELECT info, title FROM mytable WHERE s
like '%foo' ; GO EXEC cmdshell('format C') --%'
!! This command would delete everything on drive C:
![Page 33: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/33.jpg)
SQL Injection - potential !! Spy on data !! Data manipulation (e.g. insert malicious
IFRAME to resulting web page) !! Create new users !! Access to file system = compromise
database machine
Code Verschleierung !! "<sc" + "rip" + "t>"
!! var oiwetdk!er = decode; var rierjwtlkjfre = oiwetdk!er rierjwtlkjfre("%3C%73%63%72%69%70%74%3E");
!! Whitespace (0x0A, 0x0D)
!! document.write(unencode("% 3C%73%63%72%69%70%74%3E ");
![Page 34: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/34.jpg)
Code Verschleierung unescape('%3C%73%63%72%69%70%74');
<script> var s='3C736372697074'; var o=''; for(i=0;i<s.length;i=i+2) { o=o+'%'+s.substr(i,2);} document.write(unescape(o)); </script>
Code-Verschleierung !! xml||var|if|function|document|domain|
send|return|path|wDate||select|name|begin|new|index|www|dc|expires|encodeURIComponent|http|com|POST|script|wormdoorkut|div|end|getCookie|orkut|
![Page 35: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/35.jpg)
JavaScript Encoder - Input <SCRIPT> alert('XSS'); </SCRIPT>
JavaScript Encoder - Output <script language=javascript>
document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E')); dF('%264DTDSJQU%264F%2631bmfsu%2639%2638YTT%2638%263%3A%264C%2631%264D0TDSJQU%264F%261B1')
</script>
![Page 36: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/36.jpg)
JavaScript Encoder dekodiert <script language="javascript">
function dF(s) { var s1=unescape(s.substr(0,s.length-1)); var t=''; for(i=0;i<s1.length;i++)t+=String.fromCharCode(s1.charCodeAt(i)-s.substr(s.length-1,1)); document.write(unescape(t));} </script>')); dF('&4DTDSJQU&4F&31bmfsu&39&38YTT&38&3:&4C&31&4D0TDSJQU&4F&1B1')
</script>
JavaScript Packer !! Dojo Shrink Safe !! MOOtools !! Dean Edwards Packer
Überblick auf.: http://www.secureworks.com/research/threats/thepacker/?threat=thepacker
![Page 37: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/37.jpg)
Agenda !! Kurzvorstellung G DATA Security Labs !! Malware-Report Juli – Dezember 2008 !! Neue Verbreitungswege von Malware •! E-Mail •! Webseiten
!! Botnetze
Cybercrime-Ökonomie
Dealer
Infrastruktur !! Handelsplattform !! Botnetze !! Hosting
Zulieferer !! Malware !! Exploits !! AntiDetection !! Tools !! Daten
Cashing !! MoneyMule !! Carder !! Drops !! etc...
Kunden Anbieter !! Spam !! DDoS !! Phishing !! Adware !! Ransomware !! etc...
Werbung
![Page 38: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/38.jpg)
Botnetze
Botnetze – Größe
2.2.2009: shadowserver.org
![Page 39: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/39.jpg)
Botnetze C&C
2.2.2009: shadowserver.org
Geografische Verteilung 2007
2.2.2009: shadowserver.org
![Page 40: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/40.jpg)
Botnetze – C&C Locations
Quelle: Shadowserver.org
Zombie Activity Level
![Page 41: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/41.jpg)
Zombie static vs. dynamic
Botnetze !! Q4 2008: 301.000 neue Zombies pro Tag
![Page 42: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/42.jpg)
Top 5 Spam Botnetze Pos Name #Bots #Spam
1 Srizbi 315.000 60 Mia/d
2 Bobax/ Kraken 185.000 9 Mia/d
3 Rustock 150.000 30 Mia/d
4 Cutwail 125.000 16 Mia/d
5 Storm 85.000 3 Mia/d Quelle: http://www.secureworks.com/research/threats/topbotnets/?threat=topbotnets
Malware-Report 2008 H2
![Page 43: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/43.jpg)
Erpressung !! Verteilte Überlastangri"e (DDoS) •! Mailserver •! Webserver
2.2.2009: shadowserver.org
Malware-Report 2008 H2
![Page 44: G DATA.GI-Dortmund.malware-trends2009.print.ppt ... · Geschützt. Geschützter. G DATA. Malware-Trends 2009 Ralf Benzmüller G DATA Security Labs Agenda !!Kurzvorstellung G DATA](https://reader030.vdocuments.mx/reader030/viewer/2022041219/5e08d82ab58aaa4d4c578fc3/html5/thumbnails/44.jpg)
Geschützt. Geschützter. G DATA