FireEye IT-Security-Ausblicke für 2014

MILPITAS, Calif., 21. November 2013 – Im Hinblick auf ein neues Jahr beschäftigen sich die FireEye Forscher mit Prognosen zu Veränderungen in der Sicherheitslandschaft in 2014. Zu erwarten seien weniger Java Zero Day Exploits, dafür mehr browser-basierte. Watering-Hole Angriffe könnten Spear Phishing Attacken ersetzen. Und Dank der neuesten Mobile Malware wird das Thema IT-Security sehr viel komplizierter werden.

Das sind nur einige der Vorhersagen, die die FireEye Entwickler und das FireEye Labs Team für das kommende Jahr zusammengestellt haben. Insgesamt haben die Experten 14 Prognosen für 2014 gesammelt:

  1. Raffinierte Angreifer werden sich weiterhin hinter traditioneller Crimeware, die sich an die Masse richtet, verstecken, um die Identifikation für Sicherheitssysteme zu erschweren.
     
  2. Aggressive Binärdateien werden vermehrt gestohlene oder gültige Signaturen verwenden. Diese Signaturen erlauben es der Malware, sich als legitime Anwendung zu verkleiden und so die traditionellen Antiviren Programme zu umgehen.
     
  3. Mobile Malware wird die Sicherheitslandschaft noch komplizierter machen. Kombinierte Bedrohungen aus Desktop und Mobile werden sich Zugriff auf mobile-basierte Authentifizierung verschaffen, wie etwa SMS-Bestätigungsnummern. Cyber-Kriminelle zieht es dorthin, wo es die meisten Klicks gibt, daher kann ein erhöhter Fokus auf mobile Geräte erwartet werden.
     
  4. Java-Zero Day Exploits könnten eine weniger wichtige Rolle spielen. Trotz der relativ einfachen Entwicklung von Java-Exploits hat das regelmäßige Auftauchen von neuen Java-Zero Day Exploits nach Februar 2013 aufgehört. Der Grund dafür ist unklar, zum Teil könnten die Sicherheitswarnungen durch Pop-Ups in Java 1.7 oder die erhöhte Aufmerksamkeit von White-Hat-Sicherheitsforschern dazu beigetragen haben. Eine weitere Möglichkeit: Zu wenig Anwender nutzen gefährdete Versionen von Java. Der Anreiz für die Exploit-Entwickler, weitere Bugs zu finden, ist also gering.
     
  5. Browser-basierte Schwachstellen könnten verstärkt auftreten. Angreifer verbessern zunehmend ihre Erfolge, Address Space Layout Randomization (ASLR) in Browsern zu umgehen. Im Gegensatz zu dem verlangsamten Tempo bei neu auftauchenden Java- und klassischen Input-Parsing-Schwachstellen, zieht das Tempo bei Zero Day-Schwachstellen, die den Browser einbeziehen, weiterhin rasant an.
     
  6. Malware-Entwickler werden ausgefeiltere Techniken für die Command-and-Control (CmC) Kommunikation anwenden. Sie werden die Kommunikation über legitime Protokolle leiten und legitime Internetdienste dazu missbrauchen, den Traffic weiterzuleiten, um weiter unerkannt zu bleiben. Diese Verlagerung ist die logische Konsequenz daraus, dass Hacker zunehmend von Netzwerk-Sicherheitssystemen aufgehalten werden.
     
  7. Watering-Hole Angriffe und Angriffe auf Social Media Plattformen werden Spear Phishing E-Mails immer mehr ersetzen. Watering-Holes und Social Media-Netzwerke bieten eine neutrale Zone, in der die Opfer oft unvorsichtig sind. Vertrauen ist hier kein großes Hindernis – mit minimalem Aufwand locken Hacker ihre Opfer in die Falle.
  8. Mehr Malware wird Einzug in die Supply Chain halten. Zu erwarten sind mehr bösartige Codes in BIOS und Firmware-Updates.
     
  9. Neue Heap-Spray-Techniken werden sich aufgrund von Änderungen in Adobe Flash’s „Click to Play“ entwickeln – hier ist Nutzerinteraktion nötig, um bösartigen Flash Content auszuführen. In den letzten Monaten konnten wir beobachten, dass Flash für Heap-Spray-Techniken während Angriffen genutzt wurde. Aber seitdem Adobe das “Click to Play” Feature in Microsoft Word-Dokumenten eingeführt hat, funktioniert dieser Ansatz nicht mehr. Aus diesem Grund nutzte zum Beispiel der aktuellste Zero Day docx/tiff Exploit kein Flash.
     
  10. Angreifer werden mehr Wege finden, automatisierte Analysesysteme (Sandbox) zu umgehen, wie etwa das Auslösen von Neustarts, Mausklicks oder das Schließen von Applikationen. Ein gutes Beispiel: Malware, die zu einer bestimmten Zeit ausgelöst wird, wie es in Japan und Korea passiert ist. Angreifer fokussieren sich darauf, Sandbox-Systeme zu umgehen. Sie setzen darauf, dass sich dadurch das schädliche Ausmaß ihrer Malware drastisch erhöhen läßt.
     
  11. Mehr Crimeware wird mit dem letzten Schritt eines Angriffs die Betriebssysteme der Ziele zerstören. In letzter Zeit waren europäische Behörden zunehmend erfolgreicher, Cyber Gangs zu schnappen. Ein neues Zeus Feature, das das Betriebssystem bereinigt, kann Cyber-Kriminellen dabei helfen, Beweise zu beseitigen und einer Verhaftung zu entkommen.
     
  12. Es werden mehr „Digitale Quartermasters“ hinter gezielten Angriffskampagnen stecken. Mit anderen Worten: Sunshop DQ ist nur der Anfang. Immer mehr Angreifer werden ihre Entwicklungs- und Logistikoperationen zentralisieren. Malware wird industrialisiert, um durch gemeinschaftliches Vorgehen Skaleneffekte zu nutzen.
     
  13. Aufgrund der verbesserten weltweiten Zusammenarbeit zwischen betroffenen Organisationen, werden Cybercrime Gangs identifiziert und eliminiert werden – dank der Hinweise, die scheinbar unabhängige Angriffe mit gemeinsamen Kampagnen und Akteuren in Verbindung bringen.
     
  14. Cyber-Kriminalität wird persönlich. Die Kriminellen werden mehr und mehr feststellen, das spezifische Informationen wertvoller sind als allgemeine Daten. Die Konsequenz: Hacker werden ihren Fokus mehr auf High Value-Daten legen.
     
  15. Die Zeitspanne, in der fortschrittliche Malware entdeckt wird, wird sich vergrößern. Je nach dem, wem man Glauben schenkt (Verizon DBIR, Ponemon, etc.), kann es bis zur Entdeckung der Malware 80-100 Tagen dauern, sogar 120-150 bis diese dann beseitigt ist. Wahrscheinlich wird sich die Entdeckungszeit noch etwas verlängern, hingegen wird sich der Zeitaufwand für die Beseitigung sogar noch stärker vergrößern – immer mehr Threat-Akteure werden besser darin, für längere Zeit in Unternehmen unentdeckt zu bleiben.