Embed Size (px)
Citation preview
Trend Micro Forschungspapier 2012
Spear-Phishing E-Mail: die beliebteste APT-Angriffstechnik
Autor: TrendLabsSM APT Research Team
SEiTE ii | Spear-phiShing email: die beliebteSte apt angriffStechnik
Inhalt
Einleitung ................................................................................................................................................ 1Was ist Spear Phishing? ...................................................................................................................... 1Bestandteile von Spear Phishing-Angriffen ................................................................................. 2
Die E-Mail ....................................................................................................................................... 2Der Anhang ................................................................................................................................... 2Die üblichen Ziele ........................................................................................................................ 3Die am häufigsten betroffenen Branchen .............................................................................4Die am meisten betroffenen Regionen ..................................................................................4
Spear Phishing als Mittel des Ausspähens von Netzwerken ....................................................5Fazit ........................................................................................................................................................6
SEiTE 1 | Spear-phiShing email: die beliebteSte apt angriffStechnikSEiTE 1 | Spear-phiShing email: die beliebteSte apt angriffStechnik
EInlEItung
Die aktuelle Bedrohungslandschaft wird zunehmend von Advanced Persistent Threat (APT: Komplexe zielgerichtete Angriffe) Kampagnen bestimmt. Einige davon bleiben sogar dann noch aktiv, wenn sie bereits eine hohe öffentliche Aufmerksamkeit erregt haben. Die Routinen der Kampagnen mögen sich mit der Zeit ändern, das Ziel bleibt jedoch das Gleiche: sich Eingang in das Netzwerk einer Organisation zu verschaffen, um dort vertrauliche informationen abzugreifen.
Spear Phishing ist nach wie vor ein beliebtes Mittel von-Angreifern, um sich gezielt in Netzwerke einzuschleichen. Bei einem typischen Spear Phishing-Angriff wird eine speziell angefertigte E-Mail an bestimmte Adressaten in einer anvisierten Organisation versendet. Über geschickte Social Engineering-Taktiken werden die Empfänger dazu verleitet, entweder einen schädlichen Dateianhang herunter zu laden oder einen Link auf eine Malware beziehungsweise eine mit einem Exploit bestückte Site anzuklicken und damit eine infektion anzustoßen.
Obgleich Spear Phishing keine neue Technik darstellt, ist sie sogar in heutigen Web 2.0-Umgebungen noch effektiv. 2011 hatte beispielsweise ein solch gezielter Angriff beim Sicherheitsanbieter RSA Erfolg. Die Analyse des Vorfalls ergab, dass die infektion mit dem Öffnen einer Spear Phishing-Mail startete 1. im selben Jahr wurde auch der E-Mail Service Provider Epsilon Opfer eines solchen Angriffs, der das Unternehmen etwa vier Milliarden Dollar kostete 2.
Dieses Forschungspapier präsentiert Trend Micro’s Erkenntnisse, die die Experten zwischen Februar und September 2012 aus der Analyse von Spear Phishing-Mails in Verbindung mit komplexen, zielgerichteten Angriffen gewonnen haben. Die Untersuchungen ergaben nicht nur informationen über Einzelheiten zu Spear Phishing sondern auch zu gezielten Angriffen. Es stellte sich etwa heraus, dass 91 Prozent aller gezielten Angriffe über Spear Phishing-Mails verursacht werden.
Was Ist spEar phIshIng?
Der Ausdruck Spear Phishing steht in Analogie zu Spearfishing (deutsch Speerfischen) und lässt sich als „sehr gezieltes“ Phishing definieren, das sich „auf bestimmte Personen oder Gruppen innerhalb einer Organisation bezieht“. Die Technik nutzt informationen über ein Ziel, um die Angriffe besser darauf zuzuschneiden und „persönlicher“ zu gestalten 3. Beispielsweise werden die potenziellen Opfer beim Namen, mit Titel oder Position im Unternehmen angesprochen, statt generisch wie in breiter gestreuten Phishing-Kampagnen 4.
APT-Kampagnen setzen Spear Phishing häufig ein, weil damit auch hochrangige Zielpersonen dazu verleitet werden können, bösartigen Phishing-Mails zu öffnen. Dieser Zielgruppe sind entweder die Sicherheits-Best Practices zu gut bekannt, um auf „gewöhnliche“ Phishing-Nachrichten hereinzufallen oder sie haben keine Zeit, um generisch klingende Mails zu lesen. in vielen Fällen nutzen Spear Phishing-Mails Anhänge, die legitimen Dokumenten gut nachempfunden sind. Die Chancen auf Erfolg stehen damit gut, denn in großen Unternehmen und Behörden – der Hauptzielgruppe für komplexe, zielgerichtete Angriffe – ist es üblich, Dokumente über E-Mail auszutauschen.
1 http://blogs.rsa.com/rivner/anatomy-of-an-attack/
2 http://www.informationweek.com/security/attacks/epsilon-fell-to-spear-phishing-attack/229401372 und http://www.net-security.org/secworld.php?id=10966
3 http://en.wikipedia.org/wiki/Spearfishing
4 http://about-threats.trendmicro.com/Glossary.aspx?index=P&language=au
SEiTE 2 | Spear-phiShing email: die beliebteSte apt angriffStechnik
E-Mail mit bestimmtem Ziel und Inhalt
Bösartige C&C Server
Umfasst normalerweise als Dokumente getarnte Schadsoftware als Anhänge
CVE-2009-3129CVE-2010-3333CVE-2011-1980CVE-2009-3129CVE-2012-0754
Zeigt normale Dateien an
Der Anhang
Spear Phishing-Mails können Anhänge mit verschiedenen Dateitypen umfassen. Die am häufi gsten verwendeten Dateitypen in Unternehmen (z. B. .XLS, .PDF, .DOC, .DOCX und .HWP) machten 70 Prozent der gesamten Anzahl der Mail-Anhänge in Spear Phishing-Nachrichten aus, die Trend Micro untersucht hat.
Ausführbare Dateien (.EXE) sind in Spear Phishing-Mails nicht sehr häufi g anzutreffen. Der Grund dafür liegt wahrscheinlich darin, dass normalerweise jede Sicherheitslösung Mails mit .EXE-Anhängen erkennt und blockiert. Auch werden deshalb .EXE-Dateien meist komprimiert und in Archive gepackt, bevor
sie verschickt werden. Sie kommen also im Format .LZH, .RAR oder .ZiP an. Manchmal sind die komprimierten Dateien sogar mit einem Kennwort geschützt, um zu verhindern, dass Sicherheitslösungen die inhalte erkennen. Die Kennwörter werden im E-Mail-Text zusammen mit dem Social Engineering-Köder angegeben.
Werden angehängte ausführbare Dateien extrahiert, so sehen sie üblicherweise verdächtig aus. Deshalb werden schädliche ausführbare Dateien als Dokumente mit gefälschten icons kaschiert, unter Verwendung der Right-to-Left Override (RLO)-Technik und mit vielen Leerzeichen im Dateinamen, die die .EXE-Erweiterung verstecken 5.
Die E-Mail
Bei einem Spear Phishing-Angriff wird das anvisierte Opfer dazu verleitet, entweder einen scheinbar harmlosen Dateianhang herunter zu laden oder auf einen Link zu klicken, der zu einer mit einem Exploit oder einem Schädling verseuchten Webseite führt. Die Datei, häufi g ein Programm, welches eine Schwachstelle ausnutzt (Exploit), installiert einen Schädling auf dem Computer des Opfers. Die Schadsoftware greift dann auf einen bösartigen Command & Control Server (C&C) zu und holt sich dort weitere Befehle ab. Gleichzeitig hinterlegt die Malware meistens eine Köder-Datei, die sich öffnet, sobald der Schädling oder Exploit seine versteckten schädlichen Aktivitäten ausführt.
BEstanDtEIlE VOn spEar phIshIng-angrIFFEn
Bild 1: Ablauf der infektion, die mit dem Öffnen einer Spear Phishing-Mail startet
SEiTE 3 | Spear-phiShing email: die beliebteSte apt angriffStechnik
Die üblichen Ziele
Das Monitoring von Trend Micro zeigte, dass 94 Prozent der gezielten E-Mails schädliche Dateianhänge enthalten, während die restlichen sechs Prozent andere Methoden wie die installation einer Malware oder das Herunterladen schädlicher Dateien durch das Anklicken von Links auf infi zierte Webseiten verwenden 6.
Wie bereits erwähnt, tauschen Mitarbeiter in Unternehmen und Behörden Dateien (Berichte, Geschäftsdokumente oder Zusammenfassungen) häufi g per Mail aus, da ein Download über das internet in solchen Umgebungen eher missbilligt wird. Daher sind genau diese Organisationen auch häufi g potenzielle Opfer von Spear Phishing-Angriffen mit bösartigen Anhängen.
Gezielte E-Mails ohne Anhänge gehen im Gegensatz dazu viel häufi ger an Personen aus Aktivistengruppen und internationalen Organisationen, deren Mitglieder sich in verschiedenen Ländern befi nden. in diesen Fällen werden die Opfer dazu verleitet, auf eine Link zu klicken, um eine Datei von einer Webseite herunterzuladen, die nicht verdächtig scheint.
.RTF - 38%
.XLS -15%.ZIP - 13%
.RAR - 11%
.PDF - 8%
.DOC - 7%.JPG - 4%
.DOCX - 2%
.LZH - 2%
.HWP - 1%
.EXE - 1%
gezielte Mails mit Anhängen
gezielte Mails ohne Anhänge
94%
6%
Ziele in Unternehmen/Behörden
Ziele außerhalb von Unternehmen/Behörden
unbekannt
21%
3%
76%
5 http://krebsonsecurity.com/2011/09/right-to-left-override-aids-email-attacks/
6 http://blog.trendmicro.com/trendlabs-security-intelligence/targeted-attacks-on-popular-web-mail-services-signal-future-attacks/
Bild 2: Die am häufi gsten in Anhängen von Spear Phishing-Mails genutzten Dateitypen
Bild 3: Anteil von gezielten E-Mails mit Anhängen zu solchen ohne Anhänge
Bild 4: Anteil von APT auf Unternehmen/Behörden zu Angriffen auf Ziele außerhalb von Unternehmen/Behörden
SEiTE 4 | Spear-phiShing email: die beliebteSte apt angriffStechnik
Die am häufi gsten betroffenen Branchen
Die Beobachtungen während der acht Monate zeigten, dass Behörden und Aktivistengruppen am häufi gsten von APT Angriffen über Spear Phishing betroffen waren. Abgesehen davon, dass Behörden ein häufi ges Cyber-Spionageziel darstellen, könnte der Grund für den Platz an der Spitze der Ziele darin liegen, dass informationen zu Regierungsbehörden im internet viel einfacher zugänglicher sind als solche zu Unternehmen, da sie öffentlichen Dienstleistungen anbieten und dazu ihre Kontaktdaten im internet angeben.
Aktivistengruppen wiederum haben häufi g neben eigenen Webseiten auch Seiten in sozialen Netzwerken.
Normalerweise veröffentlichen sie dort auch Kontakt-möglichkeiten und informationen zu den Mitgliedern, denn sie suchen die Kommunikation mit der Öffentlichkeit, um Kampagnen zu organisieren oder neue Mitglieder zu gewinnen. Somit stellen sie ein einfaches Ziel dar.
Die am meisten betroffenen Regionen
Zum Schutz von Kunden sowie ihren wertvollen Daten, überwacht und entschärft Trend Micro lückenlos mögliche zielgerichtete Angriffe. Die folgende Grafi k zeigt, welche geografi schen Regionen in den acht Monaten der Überwachung am meisten von Spear Phishing-Angriffen betroffen waren.
Government
Activist
Heavy equipment
Aviation
Financial
AerospaceSteel
Electrical equipment
Electronics
Education
National parties
Military
Media
Machine tools
Internet
Information services
Industrial
Engineering
Conglomerate
Biomedical research
Academic research
Unknown
6535
2213
107
5
3
2
2
11
1
1
1
1
1
1
1
1
1
6
Bild 5: Branchen, die am häufi gsten von APT-bezogenem Spear Phishing betroffen sind
SEiTE 5 | Spear-phiShing email: die beliebteSte apt angriffStechnik
spEar phIshIng als MIttEl DEs ausspÄhEns VOn nEtZWErKE
Um die Wahrscheinlichkeit für einen erfolgreichen gezielten Angriff zu erhöhen, erkunden die Angreifer zunächst ihre ausgewählten Ziele. Das Ausspähen wird defi niert als „Profi ling eines Ziels mit dem Zweck, informationen bezüglich des Schutzes und der dafür eingesetzten Software zu erhalten, sowie darüber, welche Rollen und Verantwortlichkeiten die anvisierte Person innehat“. Diese Daten werden dann für die Wahl der Social Engineering-Taktik genutzt 7. Das Ausspähen lässt sich in zwei Phasen aufteilen – vor und nach der infi ltrierung.Die Phase vor der infi ltrierung steht in erster Linie im Zusammenhang mit menschlichen Faktoren. Hier betreiben die Angreifer ein gezieltes Profi ling von interessanten Personen, um sich einen initialen Eintritt in das anvisierte Netzwerk zu verschaffen. in dieser Phase wird auch die „Liefermethode“ festgelegt, etwa eine Spear Phishing-Mail mit Social Engineering-Technik. Personenbezogenen Daten wie Name, Job-Titel und Mail-Adresse lassen sich entweder im Untergrundmarkt kaufen, von Hintergrundmännern beziehen oder, als bequemste Möglichkeit, im internet fi nden. Soziale Netzwerke, Unternehmens- oder institutspublikationen sowie die Websites von Organisationen erlauben es den Kriminellen, relevante informationen über ihre Ziele zu sammeln. Die potenziellen Opfer haben meist hohe Positionen inne und damit Zugriff auf Dokumente, die für die Angreifer interessant sind.
Trend Micro‘s Untersuchungen haben ergeben, dass fast die Hälfte aller genutzten Mail-Adressen für Spear Phishing über Google-Suchanfragen zugänglich sind. Mehr als die Hälfte der restlichen Adressen, die nicht über Google gefunden werden konnten bestanden wiederum aus dem Namen des Empfängers und dem Unternehmens-Mail-Konto nach dem Muster: [email protected]. Fazit: Drei Viertel der mit Spear Phishing in Zusammenhang stehenden Mail-Adressen standen im Web zur Verfügung.
FEBRUAR
MÄRZ
APRIL MAI
JUNI JULI
AUGUST
SEPTEMBER
JAPAN EMEA NABU APEJ ANDERE
30
25
20
15
10
5
0
7 http://www.trendmicro.co.uk/media/wp/apt-primer-whitepaper.pdf
Bild 6: Geografi sche Regionen, die am häufi gsten von APT-bezogenem Spear Phishing betroffenen sind
SEiTE 6 | Spear-phiShing email: die beliebteSte apt angriffStechnik
©2012 by Trend Micro, incorporated. All rights reserved. Trend Micro and the Trend Micro t-ball logo are trademarks or registered trademarks of Trend Micro, incorporated. All other product or company names may be trademarks or registered trademarks of their owners.
Über Trend Micro
Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler informationen. Als Vorreiter bei Server-Security mit mehr als zwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese Lösungen für internet-Content-Security und Threat-Management erkennen neue Bedrohun-gen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an.
Weitere informationen zu Trend Micro sind verfügbar unter http://www.trendmicro.de.Anwender informieren sich über aktuelle Bedrohungen unter http://blog.trendmicro.de.Folgen Sie uns auch auf Twitter unter www.twitter.com/TrendMicroDE.
Das Ausspähen nach der infi ltrierung führen die Angreifer durch, nachdem sie einen Remote Access Trojaner (RAT) für den Fernzugriff erfolgreich im System des Opfers installiert haben. Der RAT wird dazu genutzt, ein Profi ling des Zielnetzwerks durchzuführen. Hier werden informationen darüber gesammelt, welches Betriebssystem auf dem Computer läuft, welche Sicherheitssoftware genutzt wird und wie der Zugriff auf lokale iP-Adressen, Proxy Server und andere Maschinen im Netzwerk erlangt werden kann. All diese informationen sollen die Langlebigkeit des Angriffs erhöhen, die Ausbreitung im infi zierten Netz verbessern, um schlussendlich so an die gewünschten Daten heranzukommen.
FaZIt
Spear Phishing ist auch weiterhin die erste Wahl von Cyberkriminellen, um komplexe, zielgerichtete Angriffe zu veranlassen. Warum? Weil Anwender nach wir vor Spear Phishing E-Mails zum Opfer fallen und somit einen beträchtlichen Schaden in ihren Unternehmen anrichten können. Anhänge in Spear Phishing-Mails sind nur schwer von normalen Dokumenten zu unterscheiden, die tagtäglich in Unternehmen ausgetauscht werden und somit steigt die Wahrscheinlichkeit einer erfolgreichen infektion.
Zudem erleichtern die im internet verfügbaren Unternehmensdaten den Angreifern das Sammeln von Adressen möglicher Opfer. Organisationen sollten daher ihre vorhandenen Schutzmaßnahmen verbessern und gut überlegen, welche informationen sie im internet veröffentlichen.
46%54%
Mailadressen, die nicht als Ergebnis einer Google-Suchanfrage angezeigt werdenMailadressen, die als Ergebnis einer Google-Suchanfrage angezeigt werden
Suchabfrage einer Mail-Domänen eines anvisierten Opfers führt zu Unternehmens-MailadressenSuchabfrage einer Mail-Domänen eines anvisierten Opfers führt nicht zu Unternehmens-Mailadressen
Bild 7: Verhältnis von Spear Phishing Empfänger-Mailadressen im Web zu solchen, die nicht im Web zu fi nden sind
TREND MICRO Deutschland GmbH Zeppelinstrasse 185399 HallbergmoosGermanyKunden Hotline 0800 / 330 45 33Reseller Hotline 01805 / 01 08 73 [email protected]
www.trendmicro.com
14 Cent/Minute aus dem deutschen Festnetz. Bei Anrufen aus dem deutschen Mobilfunknetz abweichende Preise von höchstens 42 Cent/Minute.
![Einblick in die Cybercrime am Beispiel des Phishing · Fachbereich Rechtspflege Einblick in die Cybercrime am Beispiel des Phishing Christoph Stammer Dr. Anastasia Baetge [Hrsg.]](https://img.pdfslide.org/doc/110x75/5dd0c4fbd6be591ccb629b6f/einblick-in-die-cybercrime-am-beispiel-des-phishing-fachbereich-rechtspflege-einblick.jpg)
