Webbasierte Bedrohungen

Palo Alto Networks analysiert aktuelle Trends bei webbasierten Bedrohungen

, München/Wien/Zürich, Palo Alto Networks | Autor: Herbert Wieler

Palo Alto Networks analysiert aktuelle Trends bei webbasierten Bedrohungen

Alte Betriebssysteme und Browser sind besonders gefährdet

Unit 42, die Forschungsabteilung von Palo Alto Networks, veröffentlicht Security Analysen und Statistiken aus seiner E-Mail-Link-Analyse ELINK . Dabei werden interessante Erkenntnisse zu aktuellen Web-Bedrohungen dargestellt. Unit 42 liefert hier statistische Informationen über CVEs (Common Vulnerabilities and Exposures), schädliche URLs und Exploit Kits (EKs). Die Experten von Palo Alto Networks beschreiben den aktuellen Lebenszyklus webbasierter Bedrohungen, sich entwickelnde EKs und Vorgehen der Kryptowährungs-Miner.

CVEs

Im ersten Quartal 2018 fanden die Bedrohungsforscher 1.583 bösartige URLs in 496 verschiedenen Domains. Angreifer benutzten mindestens acht alte und bereits öffentliche Schwachstellen. Die Top 3 der verwendeten CVEs sind:

  1. CVE-2014-6332 : Ausnutzung durch 774 schädliche URLs
  2. CVE-2016-0189 : Ausnutzung durch 219 schädliche URLs
  3. CVE-2015-5122 : Ausnutzung durch 85 schädliche URLs

Die ersten beiden sind Sicherheitslücken im VBScript von Microsoft Internet Explorer, und letztere ist eine Schwachstelle in Adobe Flash Player und Teil des Datenlecks vom Juli 2015. Der Exploit-Quellcode dieser Top 3 kann leicht im Internet gefunden werden.

Zusätzlich zu diesen Top 3 gibt es einige weitere bemerkenswerte Ergebnisse in der CVE-Statistik. So fanden die Forscher Angreifer, die auf sehr alte Schwachstellen in Microsoft Internet Explorer abzielen.

Laut Statistik von netmarketshare.com verwenden immer noch 6,55 Prozent der Benutzer Windows XP und 3,17 Prozent alte Versionen von Internet Explorer (IE6, IE7, IE8, IE9, IE10). Benutzer, die noch alte Versionen von Webbrowsern, Flash-Playern oder nicht gepatchten Betriebssystemen verwenden, sind sehr anfällig für diese Angriffe, insbesondere, weil sie nicht gegen alte und neue Schwachstellen geschützt sind.

URLs

Palo Alto Networks hat 496 schädliche Domains gefunden, die diese Exploits in 27 verschiedenen Ländern/Regionen bereitstellen. Die Top 4 sind:

  1. USA: 257 Domains
  2. China: 106 Domains
  3. Hongkong: 41 Domains
  4. Russland: 20 Domains

Exploit-Kits

Von den 1.583 bösartigen URLs stehen 1.284 in Zusammenhang mit Exploit-Kits (EKs). Die Forscher haben festgestellt, dass sich bei den EKs Sundown und Rig nicht nur die Anzahl der verwendeten Schwachstellen reduziert, sondern auch, wie oft sie aktualisiert werden. KaiXin befindet sich noch in der Entwicklung, übernimmt aber die Führung im Vergleich zu Sundown und Rig. KaiXin wurde 2012 entdeckt und wurde seitdem immer aktiver. Die am häufigsten durch in KaiXin ausgenutzten Sicherheitslücken sind CVE-2016-0189 und CVE-2014-6322. Das sehr alte EK Sinowal war ebenfalls mit einer bösartigen URL noch aktiv.

Lebenszyklus von Web-Bedrohungen

Unit 42 hat alle 1.583 bösartigen URLs aus dem ersten Quartal 2018 überprüft und 54 Domains gefunden, die nicht an eine gültige IP-Adresse gebunden waren. Von den 1.583 bösartigen URLs waren nur noch 375 aktiv. Rund 23 Prozent (375 von 1583) der bösartigen URLs sind mehr als zwei Monate lang aktiv. Für diese 375 Domains hat Unit 42 eine Heatmap erstellt, wobei China und die USA die höchsten Zahlen am bösartigen URLs aufweisen.

Entwicklung von EKs setzt sich fort

Obwohl EKs nicht mehr so aktiv sind wie früher, ist immer noch deren fortschreitende Entwicklung zu beobachten. Bei der erstmaligen Entdeckung im Jahr 2016 verwendete KaiXin den ursprünglichen Exploit-Code von CVE-2016-0189 ohne jegliche Verschleierung. Einige Monate späte fügte der Autor zwei Verschleierungsschichten hinzu. Die Verschleierung der ersten Ebene ist unescape und document.write. In der zweiten Schicht wurde ein VB-Array benutzt, um die kodierte reale triggerBug-Funktion und die Nutzlast zu speichern. Das VB-Array kann verändert werden, um inhaltsbasierte Erkennungen wie IDS/IPS zu umgehen. Später integrierte KaiXin auch eine Flash-Schwachstelle (CVE-2015-5122) und verwendete UTF-16-Kodierung, um die Erkennung zu umgehen.

Basierend auf den Beobachtungen aus der ELINK-Statistik im ersten Quartal 2018 hat Unit 42 festgestellt, dass KaiXin zum aktivsten EK avanciert. So wurden immer weitere Schichten der Verschleierung ergänzt und ein Kryptowährungs-Miner ergänzt. Die altbekannten EKs Rig und Sundown sind noch aktiv, aber wurden wenig aktualisiert und verwenden einige alte Exploits. Zudem stammen nicht alle webbasierten Bedrohungen von EKs. Etwa 20 Prozent der bösartigen URLs sind nicht aus einer EK-Familie und nutzen einige öffentliche Exploits.