Ökosystem von Malware-Netzen

Die Studie untersucht webbasierte Strukturen zur Verbreitung von Schadsoftware – so genannte Malware-Ökosysteme – zu denen auch die zehn größten Netzwerke zur Verbreitung von Malware zählen. Diese auch Malware-Delivery-Networks genannten Strukturen sind typischerweise auf viele Rechner verteilt und starten von dort aus dynamische Angriffe auf nichtsahnende Webnutzer. Der "2011 Mid-Year Web Security Report" untersucht zudem die Interaktionen zwischen verschiedenen webbasierten Malware-Ökosystemen, das Verhalten von Anwendern, die gehosteten Sites sowie die Verteilernetze.

Das führende Verteilernetzwerk für Malware im ersten Halbjahr 2011 war sowohl auf Grund seiner Größe als auch Effektivität das "Shnakule"-Malware-Netz. Im Untersuchungszeitraum gehörten dazu durchschnittlich 2.000 individuelle Rechner pro Tag. Das Maximum lag bei mehr als 4.300 Rechnern an einem Tag. Gleichzeitig konnte dieses Netzwerk auch am geschicktesten die Benutzer anlocken. Dies zeigte sich an durchschnittlich mehr als 21.000 Requests pro Tag bei einem Maximum von 51.000 Requests an einem einzigen Tag. Shnakule ist ein breit angelegtes Malware-Delivery-Network, das unter anderem Drive-By-Downloads, gefälschte Antivirensoftware und Codecs, falsche Flash- und Firefox-Updates, fingierte Raubkopien sowie Kontrollsoftware für Bot-Netze verbreitet. Weitere Aktivitäten kommen aus den Bereichen Pornografie, Glückspiel, Pharmazeutika, Link-Farmen und Betrügereien mit falschen Angeboten zur Heimarbeit.

Shnakule ist nicht nur ein weit reichendes eigenständiges Malware-Delivery-Network, sondern umfasst auch viele weitere große Netze zur Auslieferung von Malware-Komponenten. So sind die Malware-Netze Ishabor, Kulerib, Rabricote und Albircpana – alle auf der Top-10-Liste des größten Malware-Delivery-Networks – eigentlich Teile von Shnakule und dehnen dessen bösartige Aktivitäten auf Malware mit Glückspielthemen und verdächtige Link-Farmen aus.

Die Wege der Webnutzer zur Malware

Der "2011 Mid-Year Web Security Report" von Blue Coat analysiert zudem, wie und wo Benutzer im Internet zu Malware-Delivery-Networks gelangen. In der ersten Hälfte des Jahres 2011 war dabei die "Vergiftung" von Suchmaschinen der beliebteste Angriffsvektor: In fast 40 Prozent aller Malware-Vorfälle waren Suchmaschinen oder Portale der Einstiegspunkt in die Verteilernetze von Malware. Weniger überraschend ist in diesem Zusammenhang, dass Suchmaschinen und Portale auch der am meisten nachgefragte Webinhalt in diesem Zeitraum waren. Soziale Netze belegten dabei Platz fünf der häufigsten Einstiegspunkte in Malware-Delivery-Networks und waren der am dritthäufigsten angefragte Inhalt.

Cyberkriminelle greifen Webnutzer typischerweise dort an, wo diese ihre meiste Zeit verbringen – so auch im Fall der Suchmaschinen und sozialen Netze. Doch in der ersten Hälfte des Jahres 2011 nutzten die Angreifer auch traditionelle Methoden wie E-Mail und Pornografie-Sites. E-Mails belegten bei der Beliebtheit von Webinhalten den dritten Platz der Liste von Eintrittspunkten in Malware-Netze, obwohl die Kategorie bei der Liste der angefragten Inhalte nur Platz 17 belegt. Pornografie, ein Dauerbrenner bei beliebten Malware-Zielen, lag mit E-Mail fast gleichauf und stand auf Platz 4 der beliebtesten Wege, Nutzer zu Malware zu locken. Gleichwohl stand Pornografie bei den angeforderten Webinhalten nur auf Platz 20.

Schlussfolgerungen

Nach der Analyse der dynamischen und miteinander verflochtenen Beschaffenheit von webbasierten Ökosystemen von Schadsoftware kommt der "2011 Mid-Year Web Security Report" von Blue Coat zu folgenden Ergebnissen:

• Malware-Hosting findet oft in Bereichen wie Online-Storage und Software-Downloads statt, die Unternehmen normalerweise in Rahmen ihrer Richtlinien zur Internetnutzung zulassen.
• Unternehmen sollten durchweg die Kategorien Pornografie, Platzhalter (1), Phising, Hacking, Online-Spiele und illegale/fragwürdige Inhalte blockieren, um der empfohlenen Praxis für Websicherheit zu folgen.
• Die Suche nach Bildern und raubkopierten Medien steht ganz oben auf der Liste der möglichen Wege zur Verbreitung von Malware. Wer solchen Aktivitäten nachgeht, ist daher besonders gefährdet.
• Eine einzelne Verteidigungslinie wie eine Firewall oder Antivirensoftware reicht nicht aus, um sich vor der dynamischen Beschaffenheit von Malware und der großflächigen Infrastruktur von Malware-Delivery-Netzwerken zu schützen. Unternehmen benötigen stattdessen in Echtzeit das Wissen und den Schutz einer Cloud-basierten Webabwehr, die sich schnell erweitern lässt und sich an neue Bedrohungen anpasst.

Den Bericht gibt es als PDF unter www.bluecoat.com/doc/16622