Einträge von Carsten Eilers

Die "Operation Aurora", Stuxnet und der Angriff auf RSA - Advanced Persistent Threats, die man am eingeschleusten Schadcode nicht erkennen konnte. Aber vielleicht verrät sich der Angreifer ja, während er sich im lokalen Netz zu schaffen macht?

Ist ein Angreifer "drin"?

Man nehme einige SQL-Injection-Massenhacks, eine Prise Drive-by-Infektionen und zwei Exploit-Kits, würze mit einigen Kommentaren, rühre gut um - und schon ist dieser Standpunkt fertig.

Lizamoon weiterhin aktiv

Die "Operation Aurora", Stuxnet und der Angriff auf RSA - drei bekannte Advanced Persistent Threats und zwei entscheidende Fragen: Kann man solche Angriffe erkennen, und wenn ja: Wie?

Der eigentliche Angriff

Heute geht es um verschiedene Reaktionen, die aber alle in der einen oder anderen Form etwas mit IT-Sicherheit zu tun haben.

Hase und Igel bei Drive-by-Infektion

Normalerweise veröffentliche ich jeden Montag einen Text in der "Standpunkt"-Kategorie. Das wollte ich auch diesen Montag, dem 7. Mai. Kurz bevor ich den Text gegen 9 Uhr irgendwas hochladen konnte, brach die Internetverbindung ab. Laut Kontroll-LED am DSL-Modem bestand die Verbindung zum DSL-Port noch, Verbindungen ins Internet waren aber nicht möglich. Nach der üblichen Reset-Prozedur (Router und Switch, DSL-Modem) rief ich bei der Telekom-Hotline an.

Der Angriff auf RSA zum Ausspähen der Seeds der SecurID-Token ist ein weiterer bekannter Advanced Persistent Threat (APT), der noch dazu relativ gut dokumentiert ist. Zumindest wissen wir, wie der Angreifer "den Fuss in die Tür bekommen hat".

Ein Angriff, der fast im Spam-Ordner endete

... auch wenn Bitdefender meint, etwas gefunden zu haben.

Update 7.5.:
Inzwischen hat Bitdefender den False Positive korrigiert, der folgende Originalartikel samt Updates dient nur noch der Dokumentation:

Ich habe schon eine Vermutung, was die stört, warte aber erst mal die Erklärung von Bitdefender ab. Und wenn ich mit meiner Vermutung recht habe, besteht meinerseits auch keinerlei Grund, irgend was zu ändern.

Heute gibt es mal wieder ein Sammelsurium an Kommentaren zu verschiedenen Themen, die aber alle eins miteinander verbindet: Sie haben etwas mit Schadsoftware auf dem Mac zu tun, zumindest indirekt.

Windows-Schädlinge auf Macs

Sie haben bereits erfahren, was ein Advanced Persistent Threat (APT) ist, und mit der Operation Aurora haben Sie bereits den Angriff kennen gelernt, der den Begriff bekannt gemacht hat. In dieser Folge geht es um einen weiteren bekannten APT-Angriff, der aber oft nicht als solcher angesehen wird:

Stuxnet

Es gibt noch ein paar Neuigkeiten zu Flashback und anderen, die gleiche Schwachstelle ausnutzenden Schädlingen. Und wussten Sie schon, dass Flashback über WordPress-Installationen verbreitet wurde und noch wird?

Abweichungen bei der Anzahl der Infektionen

Nachdem geklärt ist, was ein APT ist, wollen wir jetzt einen Blick auf den Ablauf so eines Angriffs richten. Als erstes Beispiel dient der Angriff, der den Begriff "Advanced Persistent Threat" im Januar 2010 bekannt gemacht hat:

Operation Aurora

Hinweis:
Ein Virenscanner meint, hier Malware gefunden zu haben. Ich kann Sie beruhigen: Hier gibt es keine Malware.
Und nun zum eigentlichen Text:

Es ist an der Zeit, mal mit einige Mythen rund um den Mac, Schadsoftware und das Flashback-Botnet aufzuräumen. Wenn man sich die verschiedenen Mac-Foren ansieht, liest man immer wieder die gleichen, falschen Aussagen. Da ich weder Lust noch Zeit habe, mich bei zig Foren anzumelden (wenn ich auch einige Mac-Foren mehr oder weniger regelmäßig lese), werde ich die Mythen hier einmal gesammelt kommentieren. Den Rest erledigt dann hoffentlich der Google-Bot.

Mythos 1: "Für den Mac gibt es keine Viren"

Advanced Persistent Threats werden oft mit gezielten Angriffen gleich gesetzt oder zumindest in einen Topf geworfen. Das ist i.A. aber falsch. Zwar sind APTs immer gezielte Angriffe, aber nicht jeder gezielte Angriff endet in einem APT. Die erste Frage, die zu klären ist, lautet also

Was ist ein Advanced Persistent Threat (APT)?

Der Mac wird bei den Cyberkriminellen immer beliebter, und inzwischen haben sie ca. 1% aller Macs in einem Botnet versammelt. Wirklich? Und was macht Apple dagegen?

Das Flashback-Botnet - 550.000, 600.000, wer bietet mehr?

Im ersten Teil haben Sie erfahren, wie RSA funktioniert, im zweiten Teil wurden die Forschungsergebnisse von Arjen K. Lenstra und seinen Kollegen vorgestellt. Im Folgenden werden weitere Forschungsergebnisse vorgestellt, außerdem geht es um die Frage, wie gefährlich das denn nun alles ist.

Die Ergebnisse von Nadia Heninger et al.