- Anzeigen -


Sie sind hier: Home » Markt » Studien

Mirai-Botnet: Zusammenarbeit in Aktion


Internet-Sicherheitsbericht betont die Relevanz des Informationsaustauschs im Kampf gegen Cyberbedrohungen
Die mehrstufige Analyse von Cyberdaten ermöglicht größeren Schutz vor DDoS-Angriffen, Malware und Botnet-Attacken

- Anzeigen -





Akamai Technologies hat ihren "State of the Internet"-Sicherheitsbericht: Carrier Insight Report" für das Frühjahr 2018 veröffentlicht. Im Bericht werden Daten von mehr als 14 Billionen DNS-Abfragen aus den Netzwerken von Kommunikationsdiensten weltweit ausgewertet, die zwischen September 2017 und Februar 2018 von Akamai erfasst wurden.

Seit mehr als 19 Jahren nutzt das Unternehmen Nominum, das 2017 von Akamai übernommen wurde, umfassende DNS-Daten, um den Schutz vor komplexen Cyberangriffen, wie Distributed Denial of Service (DDoS), Ransomware, Trojaner und Botnets, zu verbessern.

Der Carrier Insight Report von Akamai baut auf die Expertise von Nominum auf und zeigt die Wirksamkeit von DNS-basierter Sicherheit, die mit Daten aus anderen Sicherheitsebenen erweitert wird. Bei diesem mehrschichtigen Sicherheitsansatz kommen verschiedene Sicherheitslösungen zum Einsatz, die zusammen für einen ganzheitlichen Schutz von Unternehmensdaten sorgen.

"Man muss die Angriffe gegen einzelne Systeme als Ganzes sehen, um sich gegen die komplizierte Bedrohungslandschaft von heute wappnen zu können", so Yuriy Yuzifovich, Director of Data Science, Threat Intelligence bei Akamai. "Die Kommunikation über verschiedene Plattformen hinweg ist wichtig. Wir sind der Meinung, dass Sicherheitsteams mit den durch unseren Service bereitgestellten DNS-Anfragen alle notwendigen Daten an die Hand bekommen, um ein Gesamtbild der Bedrohungslandschaft zu erhalten."

Die Zusammenarbeit der Teams von Akamai spielte eine entscheidende Rolle bei der Identifizierung der Mirai-C&C-Domänen (Command and Control). Das Security Intelligence and Response Team (SIRT) von Akamai verfolgte Mirai von Beginn an mithilfe von Honeypots, um Mirai-Kommunikationen und deren C&C-Server zu erkennen.

Ende Januar 2018 gaben das SIRT von Akamai und die Teams von Nominum eine Liste mit über 500 verdächtigen Mirai-C&C-Domänen heraus. Ziel war es, zu untersuchen, ob diese C&C-Liste durch die Verwendung von DNS-Daten und künstlicher Intelligenz ergänzt und künftige Mirai-Erkennung dadurch vereinfacht werden können. Dank einer mehrstufigen Analyse konnten die Teams von Akamai den Mirai-C&C-Datensatz ergänzen und so eine Verbindung zwischen Mirai-Botnets und den Distributoren der Petya-Ransomware feststellen.

Diese gemeinsam durchgeführte Analyse deutete auf eine Entwicklung von IoT-Botnets hin – von einem einzigen DDoS-Angriff bis hin zu komplexeren Aktivitäten wie Ransomware-Verbreitung und Mining von Kryptowährungen. IoT-Botnets sind schwer zu erkennen, da es nur sehr wenige Gefährdungsindikatoren für die meisten Nutzer gibt. Doch durch die Forschungstätigkeit unterschiedlicher Akamai-Teams gelang es nun, Dutzende neue C&C-Domänen zu finden und zu sperren.

Javascript-Krypto-Miner: ein fragwürdiges Geschäftsmodell
Da Kryptowährung öffentlich immer häufiger eingesetzt wird, können wir einen drastischen Anstieg von Malware im Zusammenhang mit dem Mining von Kryptowährungen sowie der Anzahl der damit infizierten Geräte beobachten.

Akamai stellte zwei verschiedene Geschäftsmodelle für das Mining von Kryptowährungen fest. Das erste Modell nutzt die Prozessorleistung infizierter Geräte für das Mining von Kryptowährungs-Tokens. Das zweite Modell nutzt einen in Webseiten eingebetteten Code, der dafür sorgt, dass ein Gerät, das auf eine bestimmte Webseite zugreift für den Krypto-Miner arbeitet. Akamai führte umfassende Analysen zu diesem zweiten Geschäftsmodell durch, da es eine neue Sicherheitsbedrohung sowohl für Nutzer als auch für Webseitenbesitzer darstellt.

Nach Analyse der Krypto-Miner-Domänen konnte Akamai die Kosten bezüglich Rechenleistung und Währungsgewinnen abschätzen. Eine interessante Erkenntnis daraus ist, dass das Mining von Kryptowährungen künftig eine ernstzunehmende Alternative zu Werbeeinnahmen für die Finanzierung von Webseiten darstellen könnte.

Sich ändernde Bedrohungen: Malware und Exploits zu einem neuen Zweck nutzen
Cybersicherheit ist ein dynamisches Feld. Forscher haben herausgefunden, dass Hacker alte Techniken in der aktuellen digitalen Landschaft einsetzen. In den sechs Monaten, in denen Akamai diese Daten gesammelt hat, zeigten einige bekannte Malware-Kampagnen und Exploits wichtige Änderungen bei der Vorgehensweise auf, z.B.:

● >> Das Web Proxy Auto-Discovery (WPAD)-Protokoll wurde dazu eingesetzt, Windows-Systeme zwischen dem 24. November und dem 14. Dezember 2017 einem Man-in-the-Middle-Angriff auszusetzen. WPAD ist für die Verwendung in geschützten Netzwerken (z. B. LANs) vorgesehen und ermöglicht intensive Angriffe beim Zugriff auf das Internet.

● >> Entwickler von Malware nutzen Botnets für die Sammlung von Social-Media-Anmeldedaten und Finanzdaten, zum Beispiel Terdot, ein Ableger des Zeus-Botnets. Terdot erstellt einen lokalen Proxy und ermöglicht es Angreifern, Cyberspionage durchzuführen und Fake-News im Browser des Opfers anzuzeigen.

● >> Das Lopai-Botnet ist ein Beispiel dafür, wie Programmierer von Botnets immer flexiblere Tools entwickeln. Diese mobile Malware zielt in erster Linie auf Android-Geräte ab und verwendet einen modularen Ansatz, der es Eigentümern erlaubt, Updates mit neuen Funktionen zu erstellen.

Methodik
Akamai Security Research analysiert Datensätze täglich, wöchentlich und vierteljährlich, um die nächsten Schritte von Cyberkriminellen vorhersagen zu können. Ziel ist es, Anzeichen für Angriffe in der Flut der DNS-Daten zu erkennen, bekannte Angriffstypen zu verifizieren und gleichzeitig neue, unbekannte und noch nicht benannte schädliche Aktivitäten zu entdecken. Neben kommerziellen und öffentlichen Datenquellen analysiert das Team täglich 100 Milliarden Anfragen von Akamai-Kunden. Akamai arbeitet mit mehr als 130 Serviceanbietern in über 40 Ländern und bearbeitet täglich 1,7 Billionen Anfragen. Das entspricht etwa drei Prozent des gesamten globalen DNS-Traffics, der von Verbrauchern und Unternehmen weltweit generiert wird.
(Akamai Technologies: ra)

eingetragen: 03.06.18
Newsletterlauf: 12.06.18

Akamai: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Studien

  • Opfer von Ransomware

    Kleinere Unternehmen mit weniger als 50 Mitarbeitern sind für Cyberkriminelle ein lukratives Ziel. Der Grund: Obwohl sie sensible Daten von Kunden und Mitarbeitern speichern und bearbeiten, mangelt es oft an adäquaten IT-Sicherheitsmaßnahmen. So zeigt eine internationale Umfrage von Kaspersky Lab, dass kleine Unternehmen häufig unerfahrenen Mitarbeitern ohne spezielle Expertise die Verantwortung für das Thema Cybersicherheit übertragen. Die Folge: unnötige Einfallstore ins Unternehmensnetzwerk.

  • Kontrolle von Zugriffsberechtigungen

    One Identity die Ergebnisse einer neuen weltweit erhobenen Studie vor. Sie offenbart weit reichende Mängel bei der Umsetzung von Best Practices beim Identity und Access Management (IAM) und dem Privileged Access Management (PAM), durch die Unternehmen potenziell anfällig für Datenschutzverletzungen und andere Sicherheitsrisiken sind. Im Rahmen der One Identity-Studie "Assessment of Identity and Access Management in 2018" befragte Dimensional Research über 1.000 IT-Sicherheitsexperten in mittelständischen und großen Unternehmen nach ihren Herangehensweisen, bestehenden Herausforderungen, den größten Befürchtungen und den eingesetzten Technologien in den Bereichen IAM und PAM.

  • Siebe Tage Zeit, um eine Schwachstelle auszunutzen

    Tenable stellte ihren Bericht zu Strategien der Cyberverteidiger vor. Basierend auf telemetrischen Daten hat Tenable analysiert, wie 2.100 Unternehmen weltweit ihre Gefährdung durch Schwachstellen untersuchen. Diese Analysen sind ein zentraler Aspekt der Cybersecurity. Der Bericht belegt, dass fast 48 Prozent der Unternehmen auf strategisches Vulnerability-Assessment als Grundlage ihrer Cyber-Abwehr und Risikominderung setzen. Dieses strategische Vulnerability-Assessment wurde dabei als mehr oder weniger fortschrittliches Programm definiert, das zielgerichtetes, maßgeschneidertes Scanning sowie die nach Geschäftsrelevanz priorisierte Zuteilung von Computing-Ressourcen umfasst.

  • Security-Herausforderungen im Mittelstand

    IT-Angriffe auf kleine und mittelständische Unternehmen (KMU) werden nicht nur häufiger, sondern richten auch immer größere Schäden an. Laut dem Cisco "Cybersecurity Special Report Small and Midmarket Businesses", für den 1.800 Unternehmen aus 26 Ländern befragt wurden, betrug bei gut jedem zweiten Sicherheitsvorfall (54 Prozent) der finanzielle Schaden mehr als 500.000 US-Dollar. Neben den direkten Kosten kann die "Downtime" der unternehmenskritischen Systeme - in 40 Prozent der Fälle dauerte diese mehr als 8 Stunden - sogar die Existenz bedrohen. Entscheider im Mittelstand sollten deshalb gezielt auf neue Technologien und die Unterstützung durch Managed Service Provider setzen. "KMU sind längst ein genauso attraktives Ziel für Cyberkriminelle wie große Konzerne, da sie vor der Herausforderung stehen, das Sicherheitsniveau eines Konzerns mit wesentlich geringeren Mitteln erreichen zu müssen. Die Daten der Unternehmen und deren Kunden sind für Kriminelle nicht weniger interessant. KMU sollten daher auf automatisierbare Lösungen und Managed Services setzen", sagt Torsten Harengel, Leiter Security, Cisco Deutschland.

  • Mehr für IT-Sicherheit tun

    Unternehmen investieren mehr in ihre IT-Sicherheit. Die Umsätze mit Sicherheitslösungen legen in diesem Jahr um 9 Prozent zu und wachsen damit fünfmal stärker als die Wirtschaft insgesamt. 2018 werden in Deutschland mit Hardware, Software und Services für IT-Sicherheit voraussichtlich 4,1 Milliarden Euro umgesetzt, ein Plus von 9 Prozent im Vergleich zum Vorjahr. Für das Jahr 2019 ist ein weiteres Wachstum um 9 Prozent auf 4,4 Milliarden Euro prognostiziert. Das zeigen Berechnungen des Marktforschungsunternehmens IDC im Auftrag des Digitalverbands Bitkom. "Die Unternehmen haben verstanden, dass sie mehr für ihre IT-Sicherheit tun müssen. Also investieren sie", sagte Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. Dehmel: "Cyberattacken werden immer professioneller und immer mehr Geräte sind untereinander vernetzt. Alles was eine IP-Adresse hat, kann potenziell angegriffen werden und muss geschützt werden."