Analyse des esrten Halbjahres 2019
Unit 42 veröffentlicht Analyse über Web-basierte Bedrohungen
Die gängigsten Web-Bedrohungen im 1. Halbjahr 2019
Unit 42, das Security-Forschungsteam von Palo Alto Networks, hat Analysen zu Web-basierten Bedrohungen im ersten Halbjahr 2019 veröffentlicht. Unit 42 wertet routinemäßig die Daten aus dem Email Link Analysis (ELINK)-System aus. Bei der Untersuchung der zuvor erfassten Daten, zu denen auch URLs gehören, die aus E-Mails extrahiert oder von der API übermittelt wurden, lassen sich Muster und Trends identifizieren, die helfen, gängige Web-Bedrohungen zu erkennen.
Die Malware-Forscher beobachteten im ersten Quartal 2019 einen signifikanten Aktivitätsrückgang des Exploit-Kits Fallout und gleichzeitig eine zunehmende Aktivität von Kaixin im zweiten Quartal. Kaixin wird hauptsächlich in China gehostet. Angesichts der zunehmenden Popularität der Kaixin-Aktivitäten wurde deutlich, dass China zum ersten Mal seit der Erhebung dieser Daten den größten Anteil an Malware-Domains hostet.
Das Hosting von Phishing-Domains, die oft als legitime Websites getarnt sind, um sensible Informationen zu erhalten, erfolgt am häufigsten auf Servern in den USA. Am häufigsten von Phishing-Websites imitiert werden beliebte Anbieter Cloud-basierter Dienste wie OneDrive, Office 365 und Google Drive.
Bösartige URLs
Basierend auf den Daten aus dem ELINK-System konnten die Forscher im ersten Quartal eine deutliche Reduzierung der bösartigen URLs feststellen. Die Gesamtzahl der bösartigen URLs sank gegenüber dem Vorquartal um 61 Prozent. Im zweiten Quartal kam es jedoch zu einer deutlichen Verschiebung: Die Zahl der bösartigen URLs kehrte auf ein ähnliches Niveau zurück wie im vierten Quartal 2018.
Bösartige Domains
Ebenso beobachteten die Forscher einen Rückgang der Zahl der bösartigen Domains um 22 Prozent vom vierten Quartal 2018 zum ersten Quartal 2019. Ähnlich wie bei bösartigen URLs ist die Anzahl der Domains, die bösartige URLs hosten, im zweiten Quartal 2019 deutlich gestiegen, mit einem Anstieg von 90 Prozent gegenüber dem ersten Quartal 2019.
Schwachstellen
Die beliebtesten Schwachstellen, die bösartige Akteure bei Web-basierten Angriffen nutzen, haben sich seit 2018 nicht wesentlich verändert. Ein Trend, den Unit 42 festgestellt hat, ist, dass ältere Schwachstellen wie z.B. CVE-2014-6332 seltener ausgenutzt werden, zugunsten neuerer Schwachstellen wie z.B. CVE-2018-8174.
Malware-Verhalten
Malware-Autoren neigten dazu, eingebaute Systemprogramme (z.B. PowerShell, msiexec, rundll32, regsvr32, etc.) zu verwenden, um schädlichen Code auszuführen, nachdem sie Web-basierte Schwachstellen ausgenutzt hatten. Da diese Programme in Zielsysteme integriert sind, ermöglichen sie es Angreifern, Malware auf eine Weise zu installieren und auszuführen, die nicht direkt bösartige PE-Dateien betrifft. Diese Technik hilft Malware-Autoren, Sandboxing und AV-Systeme zu umgehen.
Besuche von bösartigen Websites
Im Vergleich zum vierten Quartal 2018, in dem die meisten besuchten/blockierten bösartigen Websites auf das Exploit-Kit Angler entfielen, waren die im ersten Halbjahr 2019 beobachteten Exploit-Kit-Aktivitäten – mit Beteiligung von Kaixin, Rig und Novidade – diversifizierter.
Phishing-URLs
Seit der Einführung der Phishing-Erkennung in ELINK Ende des dritten Quartals 2018 hat ELINK rund 430.000 Phishing-URLs, die Zugangsdaten aus E-Mails und API-Submissions sammeln, erkannt. Die größte Anzahl von Erkennungen erfolgte im vierten Quartal 2018, gefolgt von einem Rückgang im ersten Quartal 2019, aber dann einem Comeback im zweiten Quartal.
Phishing-Domains
Die Anzahl der Domains, die Phishing-Seiten hosten, folgt dem gleichen Muster von Phishing-URLs, mit der Ausnahme, dass die Anzahl der Phishing-Domains eine geringere Abweichung vom vierten Quartal 2018 bis zum zweiten Quartal 2019 aufweist.
Nachahmung
Für jede der erkannten Phishing-URLs identifizierte Unit 42 die Branche, die durch eine Phishing-Seite imitiert wird. Das Technologieumfeld (z.B. Microsoft, Apple, Google) ist nach wie vor die am häufigsten imitierte Branche und macht über 60 Prozent aller Phishing-URLs aus. Im Vergleich zum vierten Quartal 2018 überholte die Logistik (z.B. DHL) die Banken- und Finanzbranche und belegte im zweiten Quartal 2019 Platz zwei. Gaming (z.B. battle.net) und Telekommunikation (z.B. AT&T) waren 2019 weniger beliebt, während mehr Nachahmungen von Linkedin- und Facebook-Websites zu sehen waren.
Besuche von Phishing-Websites
Im Vergleich zu 2018 gab es zwei Spitzenwerte beim Besuch von Phishing-Websites im März 2019 und Juni 2019. Diese Ausschläge nach oben werden hauptsächlich von Benutzern verursacht, die kostenlose Werbe-Phishing-Scams aufsuchen. Sie trugen zu 25 Prozent aller Phishing-Besuche im März und zu über 30 Prozent aller Phishing-Besuche im Juni 2019 bei.
Fazit
Betrachtet man den Trend des ersten Halbjahres 2019, so zeigt sich im ersten Quartal eine deutliche Reduzierung von Malware und Phishing, gefolgt von einem Anstieg im zweiten Quartal. Die USA sind nach wie vor führend, was Malware- und Phishing-Domains angeht. Das ELINK-System beobachtete zudem immer noch zehn Jahre alte Schwachstellen, die ausgenutzt werden. Die meisten der beobachteten Schwachstellen wurden jedoch innerhalb der letzten fünf Jahre entdeckt. Im Vergleich zu gefährlichem Schadcode ist Phishing bei Angreifern beliebter geworden, denn es wird immer schwieriger, Browser oder Betriebssysteme mittels Software- oder Systemschwachstellen zu kompromittieren. Im Vergleich zu einem System- oder einem Browser-Exploit kann das Sammeln von Zugangsdaten über Phishing-Angriffe für einen Angreifer effektiver sein, um sein Ziel zu erreichen.
Alle Details der Analyse finden Interessierte unter https://unit42.paloaltonetworks.com/web-based-threats-first-half-2019/
