BSI IT Sicherheitslage

Juli 2015

TLP Green

TLP Green BSI IT Sicherheitslage Juli 2015 | Inhaltsverzeichnis

1

Inhaltsverzeichnis

Zusammenfassung 2

Quellenrecherche 3 1

1.1 DDoS Erpressungen - DD4BC 3

1.2 Daten des italienischen „Hacking Team“ veröffentlicht 3

1.3 Spam-Welle mit maliziösem JAR-Attachment 4

1.4 Spamwelle fordert Nutzer auf Android App zu installieren 5

1.5 Microsoft Windows Server 2003 End of Life seit Juli 2015 6

Gemeldete Sicherheitsvorfälle 8 2

2.1 Prefix-Hijacking eines nicht genutzten IP-Adressbereiches 8

Internetsicherheit 10 3

3.1 Kurz-News IT-Sicherheit 10

3.2 Spam-Herkunftsländer 11

3.3 Spam 12

3.4 Viren-E-Mails 15

3.5 Phishing-E-Mails 17

Statistiken 18 4

4.1 Gesamtaufkommen detektierter Schadprogramme 18

4.2 Informationsdiebstahl-Schadsoftware mit Fokus Deutschland 20

TLP Green BSI IT Sicherheitslage Juli 2015 | Zusammenfassung

2

Zusammenfassung

In der Juni-Ausgabe der BSI IT Sicherheitslage wurde über Distributed Denial-of-Service Erpressungen der Gruppierung „DD4BC" berichtet. Diese haben in den letzten Wochen auch mehrere Firmen in Deutschland angegriffen. Wie auch im Ausland, so geht die initiale Erpressungsmail, die zumeist den Betreff „DDOS“ aufweist, mit einem ersten DDoS-Angriff einher, der meistens eine Stunde andauert.

Am 6. Juli 2015 berichteten Medien, dass die italienische Firma „Hacking Team“ kompromittiert wor-den war. Es wurden inzwischen interne E-Mails, Dateien, Quelltext im Umfang von 400 GByte über das Internet geleakt. Durch den Leak wurden wichtige Daten über Kunden und Produktimplementierun-gen öffentlich. Es laufen wegen des Leaks Ermittlungen gegen sechs ehemalige Mitarbeiter des „Ha-cking Teams“.

Im Juni 2015 kam es zu Spam-Wellen mit ungewöhnlichen Anhängen: als Malware wurden maliziöse JAR-Attachments verteilt.

Außerdem gab es im Juni 2015 E-Mail-Spamwellen im Namen der Postbank, die dazu aufforderten, eine Android App zu installieren. Trotz der massiven Spamwelle sind nur eine Handvoll Smartphones infiziert worden.

Über die Meldestelle der Allianz für Cyber-Sicherheit wurde u. a. der folgende Vorfall gemeldet: Prefix-Hijacking eines nicht genutzten IP-Adressbereiches.

Das Spam-Aufkommen ist im Vergleich zum Mai 2015 um rund 3,8 % gestiegen. Der Spam-Anteil sank im Juni 2015 von 56,4 % auf 55,0 %. Größere Spam-Wellen gab es zwischen dem 7. und 10. Juni 2015 sowie zwischen dem 16. und 19. Juni 2015. Am häufigsten wurden Spam-E-Mails für Dating-Scam so-wie pharmazeutische Produkte gesichtet. Spam zu gefälschten Luxus-Artikeln wurde in geringem Um-fang versendet.

Am häufigsten wurde im Juni 2015 Spam aus den USA, Deutschland (Vormonat: Platz 3) und Spanien versendet. Bei den virenbehafteten E-Mails sieht es ähnlich aus wie im Vormonat, aus Deutschland wurden relativ wenige dieser E-Mails versendet.

E-Mails mit betrügerischen Absichten wurden vermehrt registriert. Die deutsche Postbank und deren Kunden waren das häufigste Ziel der Angreifer.

Bei E-Mails mit angehängter Schadsoftware gab es im Juni 2015 einen deutlichen Rückgang um 34,7 % im Vergleich zum Vormonat Mai.

TLP Green

BSI IT Sicherheitslage Juli 2015 | Quellenrecherche

3

Quellenrecherche 1

1.1 DDoS Erpressungen - DD4BC

In der Juni-Ausgabe der BSI IT Sicherheitslage berichteten wir über Distributed Denial-of-Service Erpressungen einer Gruppierung „DD4BC". Diese haben in den letzten Wochen auch mehrere Firmen in Deutschland angegriffen. Wie auch im Ausland, so geht die initiale Erpressungsmail, die zumeist den Betreff „DDOS“ aufweist, mit einem ersten DDoS-Angriff einher, der meistens eine Stunde an-dauert. Danach erhalten die betroffenen Einrichtungen üblicherweise eine zweite Mail, z. B.

Betreff: IMPORTANT! We have not received your payment. But since our email from which we contacted you yesterday got suspended, we are not sure if you replied. However, just to make sure, and to be fair, we will give you some more time - another 24 hours. But if not paid until tomorrow, attack will start and price will increase, as explained in first email.

Unabhängig davon, ob bezahlt wird oder nicht, scheint es bisher aber nur sehr selten weitere DDoS Angriffe über den initialen einstündigen DDoS hinaus zu geben. Für diesen DDoS werden weiterhin primär NTP und SSDP Reflection / Amplification Angriffe genutzt. Hierbei senden die Angreifer UDP-Pakete mit gefälschter Absender-IP-Adresse an NTP (UDP / 123) oder SSDP (UDP / 1900) Server, wobei üblicherweise der Absender-Port 80 oder 443 benutzt wird. Entsprechend gehen die Antworten dieser NTP oder SSDP Server an die gefälschte IP-Adresse (das Ziel das angegriffen werden soll) mit Absender-Port 123 bzw. 1900 und Ziel-Port 80 bzw. 443. Weil der Netzverkehr zu UDP-Port 80 oder 443 aber unüblich ist, sollte gegebenenfalls in Erwägung gezogen werden, entsprechende Pakete früh-zeitig zu verwerfen. Da die DDoS Angriffe üblicherweise mehrere Gigabits pro Sekunde umfassen, sollte eine Filterung bei vorgelagerten-Providern stattfinden. Angedrohte Angriffe mit mehr als 200 GBit / s wurden bisher nicht beobachtet und gemeldet.

1.2 Daten des italienischen „Hacking Team“ veröffentlicht

Sachverhalt

Am 6. Juli 2015 berichteten Medien, dass das italienische Unternehmen „Hacking Team“ kompromit-tiert worden war. Es wurden interne E-Mails, Dateien, Quelltext im Umfang von 400 GByte kopiert und über das Internet geleakt. WikiLeaks veröffentlichte am 8. Juli 2015 mehr als eine Million E-Mails, die per Volltextsuche zugänglich sind und einen Einblick in die weltweiten Geschäftsabläufe geben. Der Leak enthält Daten über die Kunden von „Hacking Team“, Berichte über Schwachstellenanalysen und der entwickelten Überwachungssoftware zuzüglich bisher nicht geschlossener Schwachstellen, z. B. ein Flash 0-Day Exploit mit Shellcode für Microsoft Windows und Mac OS. Die somit inklusive Quellcode veröffentliche Überwachungs- und Spionagesoftware liegt für verschiedene Betriebssys-teme (Microsoft Windows, Mac OS und Linux) sowie verbreiteten Smartphone-Betriebssystemen (Apple iOS, Android, Blackberry und Symbian) vor. Es ist davon ausgehen, dass der veröffentlichte Quelltext zukünftig als Basis für weitere Schadsoftware dient [1][3][6].

Das 2003 gegründete und in Mailand ansässige „Hacking Team“ entwickelt und verkauft weltweit Tools für IT-Angriffe und Computer-Überwachung an Regierungen, Strafverfolgungsbehörden, Poli-zei und andere staatliche Institutionen. Wichtigstes Produkt ist die Spionagesoftware Remote Control System (RCS). Mehr als 50 Mitarbeiter sind für das Hacking Team in Italien und in mehreren Aus-landsbüros tätig, dabei werden Angriffswerkzeuge in dutzende Länder vertrieben. Das Hacking Team war schon vor dem aktuellen Leak in die Kritik geraten, weil technisch hochwertige Überwa-

TLP Green BSI IT Sicherheitslage Juli 2015 | Quellenrecherche

4

chungstools für Desktops und mobile Geräte auch an staatliche Einrichtungen geliefert worden seien, denen Menschenrechtsverletzungen vorgeworfen werden.

Die Produkte vom „Hacking Team“ (Remote Control System, Da Vinci, Galileo) erlauben die umfang-reiche Überwachung von Online-Kommunikation, VoIP und das Brechen von verschlüsselten Daten. Zahlreiche Features sind implementiert: Keylogger; Ausspähen von E-Mails, Textnachrichten, Ad-ressbüchern, Anruflisten, Historie von Suchausdrücken; das Erstellen von Screenshots; das Aufneh-men von Anrufen, das Umgehen der Kryptographie von Skype, Live-Mitschnitte durch das Fernakti-vieren von Mikrophonen und Kameras, Zugriff auf die GPS-Daten von Smartphones, das Infizieren von Computer-Firmware durch UEFI / BIOS Rootkits, das Extrahieren von WLAN-Passwörtern sowie das Exfiltrieren von Krypto-Wallet-Dateien.

Es besteht ein Innentäter-Verdacht: Ermittlungen laufen gegen sechs ehemalige Mitarbeiter vom „Hacking Team“, die auf Malta ein konkurrierendes Unternehmen unter dem Namen Reaqta gegrün-det haben [7].

Maßnahmen

Es sollten Sicherheitspatches gegen die bekannt gewordenen Zero-Day-Exploits installiert werden.

Quellen

[1] http://www.itnews.com.au/News/406143,government-exploit-vendor-suffers-hack.aspx [2] http://www.zeit.de/digital/datenschutz/2015-07/hacking-team-zero-day-flash-player-update [3] http://www.tagesschau.de/wirtschaft/hacking-team-101.html [4] http://heise.de/-2784567 [5] http://taz.de/Folgen-des-Hacking-Team-Hacks/!5218981/ [6] http://heise.de/-2736160 [7] http://www.forbes.com/sites/thomasbrewster/2015/07/15/hacking-team-ex-employers-legal-fight/

1.3 Spam-Welle mit maliziösem JAR-Attachment

Üblicherweise kursieren Spam-Mails, die Schadsoftware verteilen, in Form von Attachments mit Executables (.exe, .scr usw.) oder Varianten, bei denen sich das Executable in Archiven (meistens ZIP-Archiven) befindet. Wieder andere Gruppierungen verwenden lieber maliziöse Office Dokumente, zumeist .DOC oder .RTF Dokumente, die entweder über Makros oder Schwachstellen Programmcode zur Ausführung bringen oder PDF-Dokumente, die Schwachstellen im Adobe PDF Reader ausnutzen. Bisher unüblich sind Spam-Wellen, wie sie im Juni 2015 auftraten, bei denen das Mail-Attachment aus einer JAR-Datei (z. B. PO042564.jar) bestand. Ist auf dem empfangenden System Java installiert, führt ein Doppelklick auf diese JAR-Datei zur Ausführung des Java-Programmcodes. In dem vorlie-genden Fall1 installiert sich die JAR-Datei als sylog-Agent.jar und kommuniziert zu einem Com-mand & Control-Server (TCP-Port 1777 oder TCP-Port 1717). Über diesen Kanal wurden weitere Schadsoftware-Bestandteile (Plug-ins) nachgeladen, die sprechende Dateinamen aufweisen, z. B. quaverse.rat.tools.FileBrowser.jar2 und quaverse.rat.tools.EmailPasswordDumper.jar3.

1 md5 8696468b11374950fafb9ca2749f7a6a 2 md5 e81bc6bf78e0fc580f7509046955751c 3 md5 a0a8a5fd3cfeb6a1596f1bc1cf2a5819

TLP Green

BSI IT Sicherheitslage Juli 2015 | Quellenrecherche

5

1.4 Spamwelle fordert Nutzer auf Android App zu installieren

Im Juni 2015 gab es E-Mail-Spamwellen im Namen der Postbank, die dazu aufforderten eine Android App zu installieren:

Betreff: Postbank Zertifikat App Sehr geehrte Postbank Kundin, sehr geehrter Postbank Kunde, Warnung! Aktuell versuchen Betrüger die Internetverbindung zu kappen,um Geld zu stehlen. Ziel sind dabei Kunden,die das Online-Banking mit dem Sicherheitsverfahren mobileTAN nutzen. Und das Betriebssystem Android auf Ihren Geräten läuft Schützen Sie ihre Smartphones oder Tablets gleich jetzt!Postbank empfiehlt Ihnen die kostenlose und schützende SSL-Zertifikat App zu installieren. Sorgen Sie mit einer SSL-Zertifikat App für einen ausreichenden Schutz Ihres Smartphones oder Tablets.Um SSL-Zertifikat App im Android Betriebssystem zu benutzen, sind keine Vorkenntnisse nötig. Sie brauchen ledeglich ein Paar Minuten für die Installation und dem Arbeitsbeginn mit der SSL-Zertifikat App. Lade Sie unter dem folgenden Link die SSL-Zertifikat App herunter und installieren Sie diese auf auf Ihr Smartphone oder Tablet. Installieren Die SSL-Zertifikat App beginnt zu arbeiten und zu schützen nach dem ersten Start. Mit freundlichen Grüßen Ihre Postbank AG

TLP Green BSI IT Sicherheitslage Juli 2015 | Quellenrecherche

6

Der Link führte zu einer Webseite, die bei einem entsprechenden Android-typischen UserAgent eine

Installationsanleitung und einen Download-Link für eine EV-SSL-Zertifikat App lieferte. Wird die

App installiert und ausgeführt, dann haben die Angreifer fortan die Möglichkeit eine SMS-

Weiterleitung zu aktivieren, um mobile-TAN-Verfahren auszuhebeln. Die notwendigen Online-

Banking-Zugangsdaten werden von der App bei Ausführung abgefragt und an die Täter übermittelt.

Positiv bleibt festzustellen, dass trotz der massiven Spamwelle nur eine Handvoll Smartphones mit

diesem Schädling infiziert worden sind.

1.5 Microsoft Windows Server 2003 End of Life seit Juli 2015

Sachverhalt

Am 14. Juli 2015 endete der sogenannte erweiterte Support für Microsoft Windows Server 2003. Da-mit werden keine neuen Sicherheitsupdates, keine nicht sicherheitsrelevanten Updates, keine kosten-losen oder kostenpflichtigen Supportoptionen und keine Updates zu online verfügbaren technischen Inhalten mehr bereitgestellt [1].

Die aktuellste produktiv nutzbare Windows Server Version ist „Windows Server 2012 R2“ [2], Mit dem Nachfolger „Windows Server 2016“ ist voraussichtlich Anfang 2016 zu rechnen [3].

Abbildung 1: Screenshots der EV-SSL-Zertifikat App

TLP Green

BSI IT Sicherheitslage Juli 2015 | Quellenrecherche

7

Bewertung

Der IT-Betrieb von Systemen und Anwendungen außerhalb des Supports stellt – auch im internen Netz - ein großes Sicherheitsrisiko dar, weil keine Sicherheitsupdates mehr durch den Hersteller aus-geliefert werden, während weiterhin Exploits zur Ausnutzung von Schwachstellen veröffentlicht werden.

Quellen

Microsoft Support Lifecycle https://support.microsoft.com/de-de/lifecycle Wikipedia: Windows Server 2012 R2 https://de.wikipedia.org/wiki/Microsoft_Windows_Server_2012_R2 Wikipedia: Windows Server 2016 https://en.wikipedia.org/wiki/Windows_Server_2016

TLP Green BSI IT Sicherheitslage Juli 2015 | Gemeldete Sicherheitsvorfälle

8

Gemeldete Sicherheitsvorfälle 2

2.1 Prefix-Hijacking eines nicht genutzten IP-Adressbereiches

Der folgende Vorfall ging über die Meldestelle der Allianz für Cyber-Sicherheit ein

Sachverhalt

Ein nicht verwendeter IP-Adressbereich einer Organisation wurde im Jahre 2014 dreimal durch nicht autorisierte Parteien im Internet annonciert. Die Annoncierung erfolgte dabei mithilfe des Border Gateway Protocols (BGP), über das sich die Betreiber von Autonomen Systemen (AS) für IP-Adressbereiche im Internet als zuständig erklären können. Die unautorisierte Annoncierung von IP-Adressbereichen wird als „Prefix-Hijacking“ bezeichnet.

Eines der Autonomen Systeme, die den IP-Adressbereich der Organisation gekapert haben, ist in der Vergangenheit bereits mehrfach durch kurzzeitigen Spam-Versand aufgefallen. Für den Spam-Versand kamen jeweils IP-Adressen aus den gekaperten IP-Adressbereichen zum Einsatz.

Bewertung

Weil der oben beschriebene IP-Adressbereich nicht im Internet durch den tatsächlichen Besitzer an-nonciert wurde, ist durch die Kaperung auch kein Internetverkehr entführt oder umgelenkt worden. Insofern stellt der Vorfall kein Sicherheitsrisiko dar.

Es ist allerdings wahrscheinlich, dass der gekaperte IP-Adressbereich für den Spam-Versand genutzt wurde [1]. Daher ist es auch nicht auszuschließen, dass IP-Adressen aus diesem Bereich auf Spam-Blacklists gelandet sind. Darunter kann die Reputation des IP-Adressbereiches leiden, was ein schlechtes Licht auf die Organisation wirft.

In der Vergangenheit wurden mehrfach Fälle von Prefix-Hijacking bekannt: Cyber-Kriminelle hatten die IP-Adressen bekannter Webservices gekapert, um die angebotene Dienstleistung zu manipulieren oder unerreichbar zu machen. Meist ist die Ursache für Prefix-Hijacking jedoch kein Angriff, sondern ein Konfigurations- oder Tippfehler bei der Konfiguration von BGP-Routen.

Um eine (un)beabsichtigte „Entführung“ von IP-Adressen erkennen und auf lange Sicht auch verhin-dern zu können, wurde mit der Resource Public Key Infrastructure (RPKI) ein System entwickelt, das die Internet Routing Infrastruktur vor derartigen Angriffen schützen kann. Das BSI hat dazu eine entsprechende Anleitung "How-To: RPKI – Maßnahmen gegen Prefix-Hijacking" verfasst, die über die Allianz für Cyber-Sicherheit bereitsteht [2].

Es gibt mehrere BGP-Monitoring-Dienstleister. Sie bieten eine Möglichkeit an, die im Internet an-noncierten BGP-Routen für IP-Adressbereiche zu beobachten. Bei Bedarf kann ein Alarm ausgelöst werden, wenn ein nicht autorisiertes Autonomes System einen bestimmten IP-Adressbereich annon-ciert.

Das BSI führt für die IP-Adressbereiche des IVBB ein BGP-Monitoring durch, um zeitnah ein mögli-ches Prefix-Hijacking zu erkennen.

Fragen an IT-Sicherheitsverantwortliche

Werden die BGP-Routen für alle eigenen IP-Adressbereiche beobachtet? Sind die eigenen IP-Adressbereiche mit RPKI geschützt (siehe [2])?

TLP Green

BSI IT Sicherheitslage Juli 2015 | Gemeldete Sicherheitsvorfälle

9

Werden selbst ungenutzte IP-Adressbereiche im Internet annonciert? Spam-Versender ver-wenden in der Regel ungenutzte IP-Adressbereiche. Achtung: Falls ein nicht genutzter IP-Adressbereich annonciert wird, kann zu diesem Bereich Traffic eingehen, der potenziell Kosten verursacht. Wurde in diesem Fall eine Absprache mit dem Internet Service Provider (ISP) getroffen, dass der für den ungenutzten Bereich eingehende Traffic direkt beim ISP verworfen werden kann?

Quellen

[1] Using BGP data to find Spammers http://www.bgpmon.net/using-bgp-data-to-find-spammers/ [2] How-To: RPKI - Maßnahmen gegen Prefix-Hijacking v1.0 https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/techniker/netzwerk/BSI-CS-118.html [3] Wikipedia: Border Gateway Protocol https://de.wikipedia.org/wiki/Border_Gateway_Protocol

TLP Green BSI IT Sicherheitslage Juli 2015 | Internetsicherheit

10

Internetsicherheit 3

3.1 Kurz-News IT-Sicherheit

What is Wi-Fi Sense and Why Does It Want Your Facebook Account?

Wi-Fi Sense ist eine Windows 10 Funktionalität. Ein Nutzer kann darüber sein eigenes WLAN mit seinen Facebook, Outlook.com und Skype Freunden teilen. Wenn diese bei diesem Nutzer zu Besuch sind, können sie sich so automatisch in das WLAN einloggen.

Das Problem: Haben die Freunde des Nutzers einmal Zugang zu dem WLAN, teilen sie diese mit Ihren Facebook, Outlook.com und Skype-Freunden.

Um dies zu verhindern, soll man an die SSID seines Netzwerks ein "_optout" anhängen.

http://www.howtogeek.com/219700/what-is-wi-fi-sense-and-why-does-it-want-your-facebook-account

Unternehmen schützen sich zu wenig vor Wirtschaftsspionage

Eine repräsentative Umfrage des Hightech-Verbandes Bitkom unter mehr als 1.000 Sicherheitsver-antwortlichen legte jüngst große Defizite offen. „Die Unternehmen in Deutschland verfügen bei der Absicherung ihrer IT-Systeme vor Cyberangriffen über einen guten Basisschutz, investieren aber noch zu selten in umfassende Sicherheitsmaßnahmen“, bemängelt die Organisation.

http://www.faz.net/aktuell/wirtschaft/unternehmen/unternehmen-schuetzen-sich-zu-wenig-vor-wirtschaftsspionage-13681606.html

Hälfte der deutschen Behörden war schon Ziel von Cyberangriffen

Fast die Hälfte (49 Prozent) der Behörden in Deutschland haben in den vergangenen zwei Jahren Fälle von digitaler Spionage, Sabotage oder Datendiebstahl verzeichnet. Das hat eine Umfrage im Auftrag des Digitalverbands Bitkom unter 70 Sicherheitsverantwortlichen von Behörden mit zehn oder mehr Mitarbeitern ergeben. Häufigstes Delikt ist demnach mit einem Anteil von 26 Prozent Social Enginee-ring. Dabei geht es darum, Mitarbeiter zu manipulieren, um an bestimmte Informationen zu gelan-gen. Bei 23 Prozent der Behörden sind Computer oder Smartphones mit vertraulichen Daten gestoh-len und bei 21 Prozent IT-Systeme sabotiert worden. Ein Fünftel der Befragten berichtet, dass ver-trauliche Dokumente entwendet wurden und bei jeder zehnten Behörde sind E-Mails ausgespäht oder Gespräche abgehört worden.

http://www.zdnet.de/88240660/haelfte-der-deutschen-behoerden-war-schon-ziel-von-cyberangriffent

Hacker brechen in US-Klinik ein: 4,5 Millionen Datensätze betroffen

Das Klinik-Netzwerk der Universität Los Angeles (UCLA Health) wurde Opfer eines Hackerangriffs. Die Angreifer hatten Zugang zu einem Rechner mit sensiblen Inhalten: Patientendaten mit medizini-schen und persönlichen Informationen, Sozialversicherungsnummern sowie Daten der Angestellten der vier Kliniken und 150 Büros in Südkalifornien.

http://www.heise.de/-2753687.html

TLP Green

BSI IT Sicherheitslage Juli 2015 | Internetsicherheit

11

3.2 Spam-Herkunftsländer

Für den gesamten E-Mail-Verkehr und die drei wichtigsten Kategorien wurden die Herkunftsländer mit dem größten Aufkommen von E-Mails der entsprechenden Kategorien ermittelt. Die folgende Tabelle führt diese Länder auf.

Die Tabelle spiegelt den Stand im deutschen E-Mail-Verkehr wieder. Dies kann im Vergleich zu inter-national erhobenen Statistiken eine Überbetonung der Beiträge aus Deutschland hervorrufen. 4

Rang Spam Mails mit Schadsoftware Mails mit Schadsoftware-Ausbruch-Charakter5

1 9,93 % (US) Vereinigte Staaten

23,1 % (US) Vereinigte Staaten

17,1 % (IT) Italien

2 6,14 % (DE) Deutschland

14,4 % (IT) Italien

9,92 % (ES) Spanien

3 5,37 % (ES) Spanien

6,24 % (ES) Spanien

7,01 % (VN) Vietnam

4 5,24 % (CN) China

4,46 % (TR) Türkei

6,02 % (KR) Republik Korea

5 4,91 % (IT) Italien

4,29 % (VN) Vietnam

5,02 % (TR) Türkei

8 2,35 % (DE) Deutschland

18 1,31 % (DE) Deutschland

Tabelle 1: Spam-Herkunftsländer Stand Juni 2015

4 Spam- und vor allem Schadsoftwareversand sind innerhalb eines Landes stärker ausgeprägt, als der entsprechende

Versand ins Ausland.

5 Massenhaft versendete E-Mails mit potenziell gefährlichem Anhang. Sie enthalten in fast allen Fällen eine noch nicht

signaturbasiert erkannte Schadsoftware.

TLP Green BSI IT Sicherheitslage Juli 2015 | Internetsicherheit

12

3.3 Spam

Sachverhalt

Die umfangreichste Spam-Welle wurde in einer großen Welle zwischen dem 7. und 8. Juni 2015 regis-triert. Inhaltlich und thematisch ist sie mit den aus dem Mai bekannten Dating Spam identisch. Die E-Mails wurden mit den Betreffzeilen „hello“, „hi there“ oder auch „hey“ verschickt. Als Absender sind russische Frauennamen angegeben. Im Vergleich zum Mai änderte sich die in der E-Mail angegebe Rückantwort-Adresse von yandex.ru auf yahoo.com und rambler.ru.

Es existieren weitere solcher Mailings, die sich jedoch inhaltlich kaum unterscheiden. Zusammen betragen sie rund 28 % am gesamten Spam-Aufkommen. Beispiel der aktuellen Dating-Spam-Nachrichten:

Hi! How are you? My name is Anastasia (or shortly Nastya), and Id love to know your name. Do you visit this site oftentimes? I was hoping to talk to you in chat once butyou left all of a sudden. Could you write me your address or send me a letter some day? I believe we have a lot in common and talking to you will be much pleasure forme. My email don_diefenbach@yahoo.com mailto:don_diefenbach@yahoo.com Looking forward to getting your letter, Anastasia

Eine weitere größere Spam-Kampagne wurde mit dem Betreff „Go buy DJRT right now!“ verschickt. Es bewarb die Internet-Seite „pennystockcrew.com“, auf der man sich für einen Newsletter für Pen-ny-Stocks anmelden konnte. In einem anderen Fall wurden E-Mails mit dem Betreff „It is time to buy COLV“ verschickt. Die beworbene Seite war „stocktips.com“. Bei dieser Art von Spam handelt es sich um eine Variante der Pump-And-Dump Methode, bei der tiefpreisige Aktien umworben werden, die angeblich demnächst steigen sollen. Der Newsletterversender hat in der Regel die Aktie bereits zu einem noch günstigeren Preis gekauft und versucht nun den Preis durch diese Art der Manipulation in die Höhe zu treiben, um kurz darauf die Aktien gewinnbringend zu verkaufen. Für die angespro-chenen Anleger bedeutet dies ein hohes Verlustrisiko.

TLP Green

BSI IT Sicherheitslage Juli 2015 | Internetsicherheit

13

Ebenfalls häufig beworben wurden im Juni 2015 Internetseiten, auf denen pharmazeutische Produkte angeboten werden. Die Aufmachung der Newsletter hat sich in den letzten Monaten nicht geändert. Der Betreff der E-Mail enthielt zumeist blumige Umschreibungen für die Wirkung der Produkte Viagra und Cialis. In der E-Mail selbst waren ein kurzer Text sowie der Verweis auf die Internetseite angegeben.

Besonderheiten

Als Besonderheit fand sich ein Mailing, das gefälschte Luxus-Artikel bewirbt. Der Inhalt der Spam-E-Mail sieht folgendermaßen aus:

no one can tell if it's a Duplicate just by looking on the surface <link>

Der angegebene Verweis ist ein kodierter Weiterleitungslink von Google:

http://www.google.com/url?q=ht%74%70%3A%2F%2Fj0%31%78%33%6c%69.summ%65r%63%6folwatc%68%2e%72u%2F&sa=D&sntz=1&usg=AFQjCNEpUo0gz8HUcMznSybEaQV5CUngag

Abbildung 2: Von Spammern beworbene Internetseite zur Anmeldung eines Newsletters für Pen-ny Stocks.

TLP Green BSI IT Sicherheitslage Juli 2015 | Internetsicherheit

14

Themen

Rund 28 % der Spam-E-Mails sind thematisch Dating-Spam zuzuordnen. Weitere 13 % bewerben pharmazeutische Produkte, gefolgt von Penny-Stock-Spam und Job-Offerten mit etwa 4 %. Über 35 % der Spam-E-Mails konnten keinem Thema zugeordnet werden.

Bewertung

Insgesamt befindet sich das Spam-Aufkommen auf einem sehr niedrigen Niveau.

Die in etwa gleich gebliebene Verteilung der Absenderländer könnte bedeuten, dass sich die Botnetze stabilisiert haben und sich momentan nicht viel ändern.

Der Anstieg beim Phishing-Spam ist hauptsächlich durch ein größeres Mailing verursacht. Wenn dieses herausgerechnet wird, liegt der Phishing-Anteil unter dem des Vormonats Mai.

TLP Green

BSI IT Sicherheitslage Juli 2015 | Internetsicherheit

15

3.4 Viren-E-Mails

Sachverhalt

Der umfangreichste Versand von E-Mails mit Schadsoftware im Anhang wurde am 15. und 23. Juni 2015 registriert. Die E-Mails enthalten Trojaner mit der generischen Bezeichnung TR / Crypt.XPACK.Gen6 im Anhang und wurden überwiegend aus Italien, Spanien und den Vereinig-ten Staaten versendet. Inhaltlich variieren die in englischer Sprache verfassten E-Mails stark, teilweise als fingierte Rechnung, als vorgebliches Fax / Scan oder auch als angebliche Antwort auf eine voran-gegangene Konversation mit Skype. Bei der Schadsoftware im Anhang handelt es sich um im ZIP-Format gepackte exe- und scr-Dateien, die zum Text passende Dateinamen haben.

Das zweitgrößte Mailing im Berichtszeitraum enthielt Schadsoftware der Familie W97M / Adnel.OP und wurde am 8. und 9. Juni 2015 sowie am 17. und 18. Juni 2015 beobachtet. Die E-Mails haben un-terschiedliche Betreffzeilen in englischer Sprache wie „Your attention is requested : Your request has been successfully submitted.CLEARSTAR INC“, „RE: Proforma Invoice“ oder „Essential information 037764“ und enthalten sonst keinen weiteren Text. Der Anhang mit Dateinamen der Form „133/15146.doc“ enthält die genannte Schadsoftware im Format einer Microsoft Word Datei. Die E-Mails wurden überwiegend aus Vietnam, Indien und Italien versendet.

Virenausbrüche

Die größte E-Mail-Welle mit potenziell gefährlichen Anhängen richtete sich an deutschsprachige Empfänger und wurde am 24. Juni 2015 registriert. Die E-Mails haben als sichtbaren Absender „Voda-foneOnline-Rechnung@vodafone.com“ und tarnen sich als angebliche Vodafone Rechnungen mit dem Betreff „Ihre Mobilfunk - Rechnung vom 24.06.2015 im Anhang als PDF“. Versendet wurden die E-Mails überwiegend aus Spanien, Italien und Vietnam. Inhaltlich sind die E-Mails kurz gehalten, sie unterscheiden sich jeweils nur im Rechnungsbetrag und verweisen auf den Anhang:

Ihre neue Rechnung als PDF - 24.06.2015 Guten Tag, Ihre Rechnung vom 24.06.2015 finden Sie im Anhang als PDF. Die Summe beträgt 46,56 Euro und ist am 04.07.2015 fällig. Freundliche Grüße Ihr Vodafone-Team

Der Anhang mit dem Dateinamen „Ihre Rechnung vom 24,06,2015 als PDF .zip“ enthält eine ausführ-bare Datei mit dem Namen „Ihre Rechnung vom 24,06,2015 als PDF .exe“, dieser konnte im Nach-hinein als Trojaner TR / Spy.Zbot.213131 identifiziert werden.

Die folgenden fünf größten E-Mail-Wellen mit potenziell gefährlichen Anhängen richten sich alle an polnischsprachige Empfänger und wurden im Nachhinein als Schadsoftware der Familien TR / Tinba, TR / Crypt.Xpack und TR / Injector identifiziert.

6 Virenbezeichnung nach Avira

TLP Green BSI IT Sicherheitslage Juli 2015 | Internetsicherheit

16

Bewertung

Der Trend zur Lokalisierung von E-Mails mit gefährlichen Anhängen hält an. Auffällig ist weiterhin der große Anteil an polnischsprachigen Anschreiben.

Inhaltlich bleiben auch sprachübergreifend die bekannten Methoden vorherrschend: gefälschte Paketdienstbenachrichtigungen, vorgebliche Rechnungen, Vorladungen, Faxe / Scans und andere scheinbar offizielle Dokumente. Daneben auch angebliche persönliche Fotos und Videos.

TLP Green

BSI IT Sicherheitslage Juli 2015 | Internetsicherheit

17

3.5 Phishing-E-Mails

Das umfangreichste bereits in Kapitel 1.4 aufgenommene Phishing Mailing wurde mit dem Betreff „Postbank SSL-Zertifikat App“ verschickt. Es trat in zwei großen Wellen am 23. und 26. Juni 2015 auf. Im Inhalt der E-Mails wurde vor Internet-Betrügern gewarnt. Um sich als Postbank-Kunde zu schüt-zen, sollte man die „SSL-Zertifikat App“ auf dem Smartphone installieren. Der entsprechende Link http://postbank.zertifikat-ssl.mobi/zert/ verweist auf eine Seite, die lediglich den Text „Zertifikat wurde erfolgreich Installiert.“ enthält. Nur wenn der Besucher ein Android Gerät benutzt, erscheint eine Webseite, die ihn zur Installation einer angeblichen Zertifikats-App bewegen will. Dabei enthält die Seite auch eine Anleitung, wie die Installation von Apps aus unbekannten Quellen zugelassen wird. Die App selbst fängt SMS und mTan der Kunden ab7.

Andere Phishing Angriffe zielen auf Kunden von PayPal, der Sparkasse sowie „postfinance.ch“ ab.

7 http://heise.de/-2721682

TLP Green BSI IT Sicherheitslage Juli 2015 | Statistiken

18

Statistiken 4

4.1 Gesamtaufkommen detektierter Schadprogramme

2015-04 2015-05 2015-06 Tendenz Quartal

Gesamtanzahl neuer Malware 6.557.535 9.379.842 9.333.328

Anzahl der stealthmbr-Varianten

869 757 1.247

Anzahl der Zeus-Varianten 201.883 1.002.148 302.856

Anzahl der rootkit-Varianten 49.428 41.714 44.968

Anzahl der Banker-Varianten 28.877 28.721 20.716

Anzahl der BHO-Varianten 19.998 11.679 36.494

Anzahl der ircbot-Varianten 109.651 143.847 28.032

Anzahl der proxy-Varianten 44.897 27.531 15.181

Anzahl der DNS-Changer-Varianten

381 411 525

Anzahl der fake-av-Varianten 89.565 95.914 102.014

Tabelle 2: Statistik von Schadsoftware-Samples aufgrund ihrer Erkennung mit Anti-Viren-Software

TLP Green

BSI IT Sicherheitslage Juli 2015 | Statistiken

19

2015-04 2015-05 2015-06 Tendenz Quartal

Gesamtanzahl neuer Malware 6.557.535 9.379.842 9.333.328

Anzahl an PE32 Samples 5.692.909 8.198.766 7.354.018

Anzahl an PE32+ Samples 50.410 60.122 63.491

Anzahl an Mach-O Samples 196 101 245

Anzahl an Linux ELF Samples 12.687 14.212 12.756

Anzahl an PDF Samples 10.619 28.922 119.390

Anzahl an Office Samples 11.628 9.483 10.436

Anzahl an Android Samples 220.482 243.144 374.699

Anzahl an Blackberry Samples 2 79 812

Anzahl an Symbian Samples 9 7 3

Anzahl an iPhone Samples 1 1 5

Anzahl an Windows Phone Samples

0 0 0

Anzahl an sonstiger Samples 558.592 825.005 1.397.473

Tabelle 3: Statistik über erkannte Schadsoftware-Samples nach Dateitypen

TLP Green BSI IT Sicherheitslage Juli 2015 | Statistiken

20

4.2 Informationsdiebstahl-Schadsoftware mit Fokus Deutschland

dyre/dyreza

illi/tinba

zeus2 urlzone2

geodo dridex vawtrak qadars spyeye

2015-04 8.362 2.934 1.389 201 82 259 211 33 5

2015-05 39.589 9.879 1.856 142 224 158 104 12 3

2015-06 28.868 2.455 2.884 30 227 124 221 15 8

Tabelle 4: Übersicht der Informationsdiebstahl-Schadprogramme die im angegebenen Zeitraum analysiert wurden

Bei den in Tabelle 4 aufgeführten Schadprogrammen handelt es sich um jeweils unterschiedliche, in den jeweiligen Monaten neu entdeckte Samples, die sich jeweils den in den Spalten genannten Schadprogrammfamilien zuordnen lassen.

dyre/dyreza

illi/tinba

zeus2 urlzone2

geodo dridex vawtrak qadars spyeye

2015-04 361 335 371 12 53 56 193 10 4

2015-05 333 368 499 9 150 25 293 8 3

2015-06 398 265 560 9 53 85 292 8 3

Tabelle 5: Schadsoftwarevarianten, die sich mit Command & Control-Server verbunden haben

Impressum

Herausgeber Bundesamt für Sicherheit in der Informationstechnik Nationales IT-Lagezentrum Bezugsquelle Bundesamt für Sicherheit in der Informationstechnik Nationales IT-Lagezentrum Godesberger Allee 185 -189 - 53175 Bonn Telefon: +49 (0)228 9582 5110 Telefax: +49 (0)228 9582 7025 E-Mail: lagebericht@bsi.bund.de Internet: www.bsi.bund.de www.bsi-fuer-buerger.de www.cert-bund.de Stand Juli 2015