Embed Size (px)
Citation preview
„State of the Internet“-SicherheitsberichtCARRIER INSIGHTS REPORT
F R Ü H J A H R 2 0 1 8
Zusammenfassung
Zusammenfassung / Akamai verarbeitet auf seiner global verteilten Intelligent Platform™ – der weltweit größten und bekanntesten Plattform für die Cloudbereitstellung – täglich mehrere Billionen Webtransaktionen. Somit erfassen wir bei Akamai riesige Datenmengen in Bezug auf Kennzahlen zur Breitbandkonnektivität, Cloudsicherheit und Medienbereitstellung. Der „State of the Internet“-Bericht wurde erstellt, um Unternehmen und Behörden bessere strategische Entscheidungen durch die Nutzung dieser Daten und der darin enthaltenen Erkenntnisse zu ermöglichen. Akamai veröffentlicht „State of the Internet“-Berichte auf Basis dieser Daten, in denen es vorrangig um die Breitbandkonnektivität und Cloudsicherheit geht.
Der „State of the Internet“-Sicherheitsbericht: Der Carrier Insights Report vom Frühjahr 2018 konzentriert sich auf DNS-Daten aus der globalen Akamai-Infrastruktur und enthält Forschungsergebnisse von unterschiedlichen Teams auf der ganzen Welt.
Geschäftsauswirkungen / Für den Erfolg von Unternehmen sowie das gesamte Internet sind Datenweitergabe und Zusammenarbeit heute wichtiger denn je. Es reicht nicht, wenn Unternehmen Daten einfach nur mit anderen Unternehmen teilen. Sie müssen auch zusammenarbeiten, um den Daten mehr Bedeutung zu geben. Doch schon die interne Weitergabe und Korrelation von Daten stellt für viele Unternehmen eine Herausforderung dar – und die Weitergabe zwischen verschiedenen Unternehmen verkompliziert das Problem deutlich.
In diesem Bericht erfahren Sie, wie die Informationsweitergabe zwischen Organisationen bzw. innerhalb einer Organisation die Anzahl der verfügbaren Informationen erhöht und für ein zuverlässigeres Internet sorgt. Gastautorin dieses Berichts ist Megan Stifel, CEO von Silicon Harbor Consultants und ehemaliger Director for International Cyber Policy des National Security Council. Sie verdeutlicht, wie wichtig die Datenweitergabe und Vertrauen für den Schutz unserer Systeme sind.
Sicherheitsteams müssen lernen, wie sie Daten aus verschiedenen Quellen kombinieren und wichtige Informationen aus dieser Korrelation gewinnen können. Dieser Bericht zeigt die Entwicklung des Akamai-Reportings und beschreibt die Bemühungen, Daten aus der gesamten Organisation zu beziehen und so tiefer gehende Einblicke in aktuelle Bedrohungen zu gewinnen. Wir empfehlen jedem Unternehmen, die eigenen Umgebungen näher zu untersuchen, um herauszufinden, wie sich Datenströme und Informationen besser nutzen lassen.
Abb. X: Mirai-CnC-Korrelation am 23.01.2018, 21:00 Uhr
0,94
0,97
0,950,99
0,990,93
0,92
0,93
0,94
0,94
0,95
0,95
0,96
0,94
0,97
0,97
0,910,93
0,93
0,92
0,93
0,97
0,97
0,98
0,98
0,98
0,98
0,98 0,98
0,94
0,99
1,00
1,00
ccc.snicker.ir.,1
picesboats.club.,1
0x01.nexusiotsolutions.net.,1
snicker.ir.,1
rootyi.site.,1
nexusaquariums.ir.,1
nullstress.pw.,1
deathlives.ddns.net.,1
suckmyass1983.ddns.net.,1
bigboatzarereppin.hopto.org.,1
Redaktionsübersicht / Das Akamai Security Research Team hat über 14 Billionen DNS-Abfragen der letzten sechs Monate analysiert, um Ihnen Forschungsergebnisse zu Malware, Botnets und anderen täglichen Bedrohungen für Unternehmen und Privatpersonen zu präsentieren. Die Loapi-Botnet-Familie zeigt, wie sich Malware entwickelt und wie flexibel sie heutzutage sein kann. Gleichzeitig erleben wir, wie Märkte, Unternehmen und Malwareentwickler durch Kryptowährungen beeinflusst werden. Da wir unsere DNS-Informationen mit breiter gefassten Forschungsdaten von uns und anderen Unternehmen kombinieren, können wir das Mirai-Botnet näher untersuchen und herausfinden, wie es funktioniert – ein langfristiges Projekt für viele Organisationen.
Manchmal wirken diese Bedrohungen fast statisch: Sie ändern sich nie und wachsen auch nicht. Bei anderen Bedrohungen hingegen entwickeln Cyberkriminelle scheinbar ständig neue Funktionen, wie beispielsweise im Fall des Mirai-Botnets. Tatsächlich handelt es sich bei beiden Phänomenen größtenteils um Trugbilder, die durch die langsame, aber stetige Veränderung der Internetumgebung entstehen. Nur indem wir diese scheinbar kleinen Veränderungen, wie beispielsweise den Übergang von Loapi zu einer modularen Struktur, erkennen und verstehen, können wir größere Veränderungen vorhersehen, wie etwa die rapide Verbreitung der Memcached-Methode für DDoS-Angriffe. Denn die Entwicklung wirkt nur dann wie ein Knall, wenn wir keinen Einblick in das haben, was sich hinter den Kulissen abspielt.
14.000.000.000.000ANALYSIERTE DNS-ABFRAGEN IN 6 MONATEN
Keine Organisation – nicht einmal eine mit einem global verteilten Netzwerk wie Akamai – hat Zugang zu allen Informationen und weiß diese auch zu deuten. Wir führen unsere Informationspools zusammen und können damit die kleinen Änderungen nachvollziehen, die zu großen Entwicklungssprüngen führen.
Threat Tracker / Bedrohungen müssen nicht neu oder kostspielig sein. Während des letzten Reportingzeitraums wurden zwei Anstiege der Malwareaktivität erkannt. Der erste Anstieg entwickelte sich zwischen dem 3. Oktober und dem 1. November und wurde durch den CnC-Traffic (Command and Control) des Botnets „Dorkbot“ verursacht. Das Botnet wird aktualisiert, um aus den neuen DGA-Bemühungen von Malwareentwicklern Nutzen zu ziehen.
Der zweite Anstieg wurde nicht durch ein bestimmtes Botnet verursacht. Stattdessen war die gestiegene Anzahl der Domain-Lookups auf das Exploit des WPAD-Protokolls (Web Proxy Auto-Discovery) zurückzuführen. Bei einer Verbindung zum Internet können Angreifer mithilfe des WPAD-Protokolls eine Proxy-Konfigurationsdatei an anfällige Systeme übertragen und diese so für Man-in-the-Middle-Angriffe vorbereiten.
Hierbei ist jedoch erwähnenswert, dass nicht alle Bedrohungen
Abb. 9: Verteilung von Bots nach Anzahl abgefragter Bedrohungstypen
Abb. 10: Kumulierte prozentuale Verteilung von Bots nach Anzahl von Bedrohungstypen
0 % 25 % 50 % 75 % 100 %
31 % 15 % 40 % 13 %
Abb. 11: Prozentuale Verteilung der Top-500-Bots pro Bedrohung
0 %
20 %
40 %
60 %
80 %
MALWARE CALL HOME AUTOIT SPYBOT SALITYDOWNLOADER (VERSCHIEDENE)ANDROID-TROJANER (VERSCHIEDENE)CONFICKER B PALEVO VIRUT ZERO DAY CLUSTER NECURS
0 %
25 %
50 %
75 %
100 %
9 %18 %
27 %32 % 36 % 39 % 42 % 47 % 53 %
63 %76 %
87 %95 % 98 % 99 % 100 %
1 TYP 2 TYPEN 3 TYPEN 4 TYPEN 5 TYPEN 6 TYPEN 7 TYPEN 8 TYPEN 9 TYPEN 10 TYPEN 11 TYPEN 12 TYPEN 13 TYPEN 14 TYPEN 15 TYPEN 16 TYPEN
68,4 % 68,4 % 67,6 % 66,2 %
46 %39,8 %
24 %19,4 %
11,4 % 10,2 % 7,6 %
1–4 TYPEN 5–8 TYPEN 9–12 TYPEN 13–16 TYPEN
Es ist nicht wirklich überraschend: Viele Trends im Malwarebereich drehen sich um Kryptowährungen. Nachdem die Bitcoin-Währung letztes Jahr nahezu die 20.000-Dollar-Marke erreicht hat, versuchen mittlerweile Malwareentwickler ebenso wie legitime Websites, die wertvollen Coins auf ihren Servern zu minen. Wir wissen zwar, dass es illegal ist, mithilfe von Malware die Rechenleistung von Nutzern für Mining zu nutzen; doch Websites mit JavaScript-Code, der zur Ausführung die CPU nutzt, befinden sich noch immer in einer Grauzone.
Zusammenarbeit in Aktion / Ein Botnet wie Mirai sieht man nicht alle Tage. Deshalb ist genau dieses Botnet so wichtig: Es hat gezeigt, wie gut Sicherheit funktionieren kann. Mehrere Unternehmen haben im Hintergrund zusammengearbeitet, um möglichst viele Daten zum Botnet zu sammeln, zu untersuchen und weiterzugeben. Und auch nach Mirai haben viele dieser Unternehmen die Zusammenarbeit fortgesetzt und geben weiterhin Daten untereinander weiter.
Die Forschungsergebnisse des „State of the Internet“-Berichts für das vierte Quartal 2017 zeigen deutlich: Wir müssen uns mit dem Missbrauch von Anmeldedaten und den verschiedenen Tools, die hierfür verwendet werden, näher beschäftigen. Nur wenn wir DNS-Anfragen und Domainauflösungen von Botnets untersuchen, können wir die Aktivitäten dieser Bedrohungen besser analysieren.
Den vollständigen Bericht können Sie unter akamai.com/stateoftheinternet-security herunterladen.
globaler Natur sind. Wir haben fünf Bedrohungen gefunden, die sich stark lokal zentrierten. Einige dieser Bots zielten auf bestimmte Länder ab und pflegten eine Infrastruktur speziell für die entsprechende Region, während andere Cloud-Dienste für ihre Angriffe nutzten.
Neue Trends / Malware zum Diebstahl von Finanzdaten zu verwenden, ist längst nicht mehr der neueste Schrei – der Meinung scheinen zumindest einige Malwareentwickler zu sein. Die Terdot-Malware, eine Variante der Zeus-Familie, wurde beispielsweise im Rahmen ihrer Kampagne auf die Erfassung von Social-Media-Anmeldedaten erweitert. Die Malware fungiert als Proxy, über den Nutzer zu einer beliebigen Website umgeleitet werden können. Hierdurch ergibt sich für Angreifer ein Füllhorn interessanter Optionen.
Das Loapi-Botnet nutzt hingegen einen anderen Ansatz. Die Malware wurde für die Ausführung auf Mobilgeräten entwickelt und ursprünglich für DDoS-Angriffe genutzt. Doch die Entwickler haben beschlossen, dass nur eine Funktion nicht ausreicht, und daher eine modulare Version erstellt. Das bedeutet, dass das Botnet einfach angepasst werden kann, wenn eine neue Schwachstelle gefunden wird oder eine neue Funktion erforderlich ist.
Abb. 9: Verteilung von Bots nach Anzahl abgefragter Bedrohungstypen
Abb. 10: Kumulierte prozentuale Verteilung von Bots nach Anzahl von Bedrohungstypen
0 % 25 % 50 % 75 % 100 %
31 % 15 % 40 % 13 %
Abb. 11: Prozentuale Verteilung der Top-500-Bots pro Bedrohung
0 %
20 %
40 %
60 %
80 %
MALWARE CALL HOME AUTOIT SPYBOT SALITYDOWNLOADER (VERSCHIEDENE)ANDROID-TROJANER (VERSCHIEDENE)CONFICKER B PALEVO VIRUT ZERO DAY CLUSTER NECURS
0 %
25 %
50 %
75 %
100 %
9 %18 %
27 %32 % 36 % 39 % 42 % 47 % 53 %
63 %76 %
87 %95 % 98 % 99 % 100 %
1 TYP 2 TYPEN 3 TYPEN 4 TYPEN 5 TYPEN 6 TYPEN 7 TYPEN 8 TYPEN 9 TYPEN 10 TYPEN 11 TYPEN 12 TYPEN 13 TYPEN 14 TYPEN 15 TYPEN 16 TYPEN
68,4 % 68,4 % 67,6 % 66,2 %
46 %39,8 %
24 %19,4 %
11,4 % 10,2 % 7,6 %
1–4 TYPEN 5–8 TYPEN 9–12 TYPEN 13–16 TYPEN
„State of the Internet“-SicherheitsberichtCARRIER INSIGHTS REPORT
F R Ü H J A H R 2 0 1 8
Über Akamai / Als weltweit größte und renommierteste Plattform für die Cloudbereitstellung unterstützt Akamai seine Kunden dabei, ein optimales und sicheres digitales Erlebnis bereitzustellen – auf jedem Gerät, an jedem Ort und zu jeder Zeit. Die stark verteilte Plattform von Akamai weist mit über 200.000 Servern in 130 Ländern eine beispiellose Skalierbarkeit auf und bietet Kunden somit eine überragende
Performance sowie einen umfassenden Bedrohungsschutz. Das Akamai-Portfolio für Website- und App-Performance, Cloudsicherheit sowie Unternehmenszugriff und Videobereitstellung wird durch einen herausragenden Kundenservice und Rund-um-die-Uhr-Überwachung
begleitet. Warum führende Finanzinstitute, E-Commerce-Unternehmen, Medien- und Unterhaltungsanbieter sowie Behörden auf Akamai vertrauen, erfahren Sie unter www.akamai.de, im Blog blogs.akamai.com/de oder auf Twitter unter @AkamaiDACH sowie @Akamai.
Unsere globalen Standorte finden Sie unter www.akamai.de/locations. Veröffentlicht: April 2018
Kontakt /
[email protected]: @akamai_soti / @AkamaiDACH / @akamai
www.akamai.com/stateoftheinternet-security
