Spear-Phishing E-Mail: die beliebteste APT

Werbung
Trend Micro
Forschungspapier
2012
Spear-Phishing E-Mail:
die beliebteste
APT-Angriffstechnik
Autor: TrendLabsSM APT Research Team
Inhalt
Einleitung................................................................................................................................................. 1
Was ist Spear Phishing?....................................................................................................................... 1
Bestandteile von Spear Phishing-Angriffen .................................................................................. 2
Die E-Mail ....................................................................................................................................... 2
Der Anhang ................................................................................................................................... 2
Die üblichen Ziele ........................................................................................................................ 3
Die am häufigsten betroffenen Branchen ..............................................................................4
Die am meisten betroffenen Regionen ...................................................................................4
Spear Phishing als Mittel des Ausspähens von Netzwerken ..................................................... 5
Fazit ........................................................................................................................................................ 6
seite ii | Spear-Phishing Email: die beliebteste APT Angriffstechnik
Einleitung
Was ist Spear Phishing?
Die aktuelle Bedrohungslandschaft wird zunehmend von
Advanced Persistent Threat (APT: Komplexe zielgerichtete
Angriffe) Kampagnen bestimmt. Einige davon bleiben
sogar dann noch aktiv, wenn sie bereits eine hohe
öffentliche Aufmerksamkeit erregt haben. Die Routinen
der Kampagnen mögen sich mit der Zeit ändern, das Ziel
bleibt jedoch das Gleiche: sich Eingang in das Netzwerk
einer Organisation zu verschaffen, um dort vertrauliche
Informationen abzugreifen.
Der Ausdruck Spear Phishing steht in Analogie zu
Spearfishing (deutsch Speerfischen) und lässt sich
als „sehr gezieltes“ Phishing definieren, das sich „auf
bestimmte Personen oder Gruppen innerhalb einer
Organisation bezieht“. Die Technik nutzt Informationen
über ein Ziel, um die Angriffe besser darauf zuzuschneiden
und „persönlicher“ zu gestalten 3. Beispielsweise werden
die potenziellen Opfer beim Namen, mit Titel oder Position
im Unternehmen angesprochen, statt generisch wie in
breiter gestreuten Phishing-Kampagnen 4.
Spear Phishing ist nach wie vor ein beliebtes Mittel vonAngreifern, um sich gezielt in Netzwerke einzuschleichen.
Bei einem typischen Spear Phishing-Angriff wird eine
speziell angefertigte E-Mail an bestimmte Adressaten in
einer anvisierten Organisation versendet. Über geschickte
Social Engineering-Taktiken werden die Empfänger dazu
verleitet, entweder einen schädlichen Dateianhang
herunter zu laden oder einen Link auf eine Malware
beziehungsweise eine mit einem Exploit bestückte Site
anzuklicken und damit eine Infektion anzustoßen.
Obgleich Spear Phishing keine neue Technik darstellt, ist
sie sogar in heutigen Web 2.0-Umgebungen noch effektiv.
2011 hatte beispielsweise ein solch gezielter Angriff beim
Sicherheitsanbieter RSA Erfolg. Die Analyse des Vorfalls
ergab, dass die Infektion mit dem Öffnen einer Spear
Phishing-Mail startete 1. Im selben Jahr wurde auch der
E-Mail Service Provider Epsilon Opfer eines solchen
Angriffs, der das Unternehmen etwa vier Milliarden Dollar
kostete 2.
APT-Kampagnen setzen Spear Phishing häufig ein, weil
damit auch hochrangige Zielpersonen dazu verleitet
werden können, bösartigen Phishing-Mails zu öffnen.
Dieser Zielgruppe sind entweder die Sicherheits-Best
Practices zu gut bekannt, um auf „gewöhnliche“ PhishingNachrichten hereinzufallen oder sie haben keine Zeit, um
generisch klingende Mails zu lesen. In vielen Fällen nutzen
Spear Phishing-Mails Anhänge, die legitimen Dokumenten
gut nachempfunden sind. Die Chancen auf Erfolg stehen
damit gut, denn in großen Unternehmen und Behörden –
der Hauptzielgruppe für komplexe, zielgerichtete Angriffe
– ist es üblich, Dokumente über E-Mail auszutauschen.
Dieses Forschungspapier präsentiert Trend Micro’s
Erkenntnisse, die die Experten zwischen Februar und
September 2012 aus der Analyse von Spear Phishing-Mails
in Verbindung mit komplexen, zielgerichteten Angriffen
gewonnen haben. Die Untersuchungen ergaben nicht
nur Informationen über Einzelheiten zu Spear Phishing
sondern auch zu gezielten Angriffen. Es stellte sich etwa
heraus, dass 91 Prozent aller gezielten Angriffe über Spear
Phishing-Mails verursacht werden.
3
1
http://en.wikipedia.org/wiki/Spearfishing
http://blogs.rsa.com/rivner/anatomy-of-an-attack/
2
http://www.informationweek.com/security/attacks/epsilon-fell-tospear-phishing-attack/229401372 und
http://www.net-security.org/secworld.php?id=10966
4
http://about-threats.trendmicro.com/Glossary.
aspx?index=P&language=au
seite 1 | Spear-Phishing Email: die beliebteste APT Angriffstechnik
BEstanDtEIlE VOn spEar phIshIng-angrIFFEn
Die E-Mail
Der Anhang
Bei einem Spear Phishing-Angriff wird das anvisierte
Opfer dazu verleitet, entweder einen scheinbar harmlosen
Dateianhang herunter zu laden oder auf einen Link zu
klicken, der zu einer mit einem Exploit oder einem Schädling
verseuchten Webseite führt. Die Datei, häufig ein Programm,
welches eine Schwachstelle ausnutzt (Exploit), installiert
einen Schädling auf dem Computer des Opfers. Die
Schadsoftware greift dann auf einen bösartigen Command
& Control Server (C&C) zu und holt sich dort weitere Befehle
ab. Gleichzeitig hinterlegt die Malware meistens eine KöderDatei, die sich öffnet, sobald der Schädling oder Exploit seine
versteckten schädlichen Aktivitäten ausführt.
Spear Phishing-Mails können Anhänge mit verschiedenen
Dateitypen umfassen. Die am häufigsten verwendeten
Dateitypen in Unternehmen (z. B. .XLS, .PDF, .DOC, .DOCX
und .HWP) machten 70 Prozent der gesamten Anzahl
der Mail-Anhänge in Spear Phishing-Nachrichten aus, die
Trend Micro untersucht hat.
Ausführbare Dateien (.EXE) sind in Spear Phishing-Mails nicht
sehr häufig anzutreffen. Der Grund dafür liegt wahrscheinlich
darin, dass normalerweise jede Sicherheitslösung Mails mit
.EXE-Anhängen erkennt und blockiert. Auch werden deshalb
.EXE-Dateien meist komprimiert und in Archive gepackt, bevor
CVE-2009-3129
CVE-2010-3333
CVE-2011-1980
CVE-2009-3129
CVE-2012-0754
Umfasst normalerweise
als Dokumente getarnte
Schadsoftware als
Anhänge
E-Mail mit
bestimmtem Ziel
und Inhalt
Bösartige C&C Server
Zeigt normale Dateien an
Bild 1: Ablauf der infektion, die mit dem Öffnen einer Spear Phishing-Mail startet
sie verschickt werden. Sie kommen also im Format .LZH, .RAR oder .ZiP an. Manchmal sind die komprimierten Dateien sogar mit
einem Kennwort geschützt, um zu verhindern, dass Sicherheitslösungen die inhalte erkennen. Die Kennwörter werden im E-MailText zusammen mit dem Social Engineering-Köder angegeben.
Werden angehängte ausführbare Dateien extrahiert, so sehen sie üblicherweise verdächtig aus. Deshalb werden schädliche
ausführbare Dateien als Dokumente mit gefälschten icons kaschiert, unter Verwendung der Right-to-Left Override (RLO)-Technik
und mit vielen Leerzeichen im Dateinamen, die die .EXE-Erweiterung verstecken 5.
SEiTE 2 | Spear-phiShing email: die beliebteSte apt angriffStechnik
6%
.LZH - 2%
.DOCX - 2%
.JPG - 4%
gezielte Mails
ohne Anhänge
.HWP - 1%
.EXE - 1%
.DOC - 7%
.PDF - 8%
.RTF - 38%
94%
.RAR - 11%
gezielte Mails mit Anhängen
.ZIP - 13%
.XLS -15%
Bild 2: Die am häufigsten in Anhängen von
Spear Phishing-Mails genutzten Dateitypen
Bild 3: Anteil von gezielten E-Mails mit
Anhängen zu solchen ohne Anhänge
Die üblichen Ziele
Das Monitoring von Trend Micro zeigte, dass 94 Prozent
der gezielten E-Mails schädliche Dateianhänge enthalten,
während die restlichen sechs Prozent andere Methoden
wie die installation einer Malware oder das Herunterladen
schädlicher Dateien durch das Anklicken von Links auf
infizierte Webseiten verwenden 6.
Wie bereits erwähnt, tauschen Mitarbeiter in Unternehmen
und Behörden Dateien (Berichte, Geschäftsdokumente
oder Zusammenfassungen) häufig per Mail aus, da ein
Download über das internet in solchen Umgebungen eher
missbilligt wird. Daher sind genau diese Organisationen
auch häufig potenzielle Opfer von Spear PhishingAngriffen mit bösartigen Anhängen.
3%
unbekannt
21%
Ziele außerhalb von
Unternehmen/Behörden
76%
Ziele in Unternehmen/Behörden
Bild 4: Anteil von APT auf Unternehmen/Behörden zu
Angriffen auf Ziele außerhalb von Unternehmen/Behörden
Gezielte E-Mails ohne Anhänge gehen im Gegensatz dazu
viel häufiger an Personen aus Aktivistengruppen und
internationalen Organisationen, deren Mitglieder sich in
verschiedenen Ländern befinden. in diesen Fällen werden
die Opfer dazu verleitet, auf eine Link zu klicken, um
eine Datei von einer Webseite herunterzuladen, die nicht
verdächtig scheint.
5
http://krebsonsecurity.com/2011/09/right-to-left-override-aids-email-attacks/
6
http://blog.trendmicro.com/trendlabs-security-intelligence/targetedattacks-on-popular-web-mail-services-signal-future-attacks/
SEiTE 3 | Spear-phiShing email: die beliebteSte apt angriffStechnik
Die am häufigsten betroffenen Branchen
Die Beobachtungen während der acht Monate zeigten,
dass Behörden und Aktivistengruppen am häufigsten
von APT Angriffen über Spear Phishing betroffen waren.
Abgesehen davon, dass Behörden ein häufiges CyberSpionageziel darstellen, könnte der Grund für den Platz
an der Spitze der Ziele darin liegen, dass informationen
zu Regierungsbehörden im internet viel einfacher
zugänglicher sind als solche zu Unternehmen, da sie
öffentlichen Dienstleistungen anbieten und dazu ihre
Kontaktdaten im internet angeben.
Aktivistengruppen wiederum haben häufig neben
eigenen Webseiten auch Seiten in sozialen Netzwerken.
Normalerweise veröffentlichen sie dort auch Kontaktmöglichkeiten und informationen zu den Mitgliedern, denn
sie suchen die Kommunikation mit der Öffentlichkeit,
um Kampagnen zu organisieren oder neue Mitglieder zu
gewinnen. Somit stellen sie ein einfaches Ziel dar.
Die am meisten betroffenen Regionen
Zum Schutz von Kunden sowie ihren wertvollen Daten,
überwacht und entschärft Trend Micro lückenlos mögliche
zielgerichtete Angriffe. Die folgende Grafik zeigt, welche
geografischen Regionen in den acht Monaten der
Überwachung am meisten von Spear Phishing-Angriffen
betroffen waren.
Government
65
Activist
35
22
Heavy equipment
13
Aviation
10
Financial
7
Aerospace
Steel
5
3
Electrical equipment
Electronics
2
Education
2
National parties
Military
1
1
Media
1
Machine tools
1
Internet
1
Information services
1
Industrial
1
Engineering
1
Conglomerate
1
Biomedical research
1
Academic research
1
Unknown
6
Bild 5: Branchen, die am häufigsten von APT-bezogenem Spear Phishing betroffen sind
SEiTE 4 | Spear-phiShing email: die beliebteSte apt angriffStechnik
spEar phIshIng als MIttEl DEs
ausspÄhEns VOn nEtZWErKE
30
25
20
15
10
5
R
SE
PT
EM
BE
T
US
AU
G
LI
JU
NI
JU
M
AI
L
AP
RI
Z
M
ÄR
FE
BR
UA
R
0
JAPAN
EMEA
NABU
APEJ
Um die Wahrscheinlichkeit für einen erfolgreichen
gezielten Angriff zu erhöhen, erkunden die Angreifer
zunächst ihre ausgewählten Ziele. Das Ausspähen
wird definiert als „Profiling eines Ziels mit dem Zweck,
informationen bezüglich des Schutzes und der dafür
eingesetzten Software zu erhalten, sowie darüber, welche
Rollen und Verantwortlichkeiten die anvisierte Person
innehat“. Diese Daten werden dann für die Wahl der Social
Engineering-Taktik genutzt 7. Das Ausspähen lässt sich in
zwei Phasen aufteilen – vor und nach der infiltrierung.
Die Phase vor der infiltrierung steht in erster Linie
im Zusammenhang mit menschlichen Faktoren. Hier
betreiben die Angreifer ein gezieltes Profiling von
interessanten Personen, um sich einen initialen Eintritt
in das anvisierte Netzwerk zu verschaffen. in dieser
Phase wird auch die „Liefermethode“ festgelegt, etwa
eine Spear Phishing-Mail mit Social Engineering-Technik.
Personenbezogenen Daten wie Name, Job-Titel und MailAdresse lassen sich entweder im Untergrundmarkt kaufen,
von Hintergrundmännern beziehen oder, als bequemste
Möglichkeit, im internet finden. Soziale Netzwerke,
Unternehmens- oder institutspublikationen sowie die
Websites von Organisationen erlauben es den Kriminellen,
relevante informationen über ihre Ziele zu sammeln. Die
potenziellen Opfer haben meist hohe Positionen inne
und damit Zugriff auf Dokumente, die für die Angreifer
interessant sind.
ANDERE
Bild 6: Geografische Regionen, die am häufigsten von
APT-bezogenem Spear Phishing betroffenen sind
Trend Micro‘s Untersuchungen haben ergeben, dass
fast die Hälfte aller genutzten Mail-Adressen für Spear
Phishing über Google-Suchanfragen zugänglich sind.
Mehr als die Hälfte der restlichen Adressen, die nicht
über Google gefunden werden konnten bestanden
wiederum aus dem Namen des Empfängers und dem
Unternehmens-Mail-Konto nach dem Muster:
[email protected]
Fazit: Drei Viertel der mit Spear Phishing in
Zusammenhang stehenden Mail-Adressen
standen im Web zur Verfügung.
7
http://www.trendmicro.co.uk/media/wp/apt-primer-whitepaper.pdf
SEiTE 5 | Spear-phiShing email: die beliebteSte apt angriffStechnik
Das Ausspähen nach der infiltrierung führen die Angreifer
durch, nachdem sie einen Remote Access Trojaner
(RAT) für den Fernzugriff erfolgreich im System des
Opfers installiert haben. Der RAT wird dazu genutzt,
ein Profiling des Zielnetzwerks durchzuführen. Hier
werden informationen darüber gesammelt, welches
Betriebssystem auf dem Computer läuft, welche
Sicherheitssoftware genutzt wird und wie der Zugriff
auf lokale iP-Adressen, Proxy Server und andere
Maschinen im Netzwerk erlangt werden kann. All diese
informationen sollen die Langlebigkeit des Angriffs
erhöhen, die Ausbreitung im infizierten Netz verbessern,
um schlussendlich so an die gewünschten Daten
heranzukommen.
FaZIt
Spear Phishing ist auch weiterhin die erste Wahl von
Cyberkriminellen, um komplexe, zielgerichtete Angriffe
zu veranlassen. Warum? Weil Anwender nach wir vor
Spear Phishing E-Mails zum Opfer fallen und somit einen
beträchtlichen Schaden in ihren Unternehmen anrichten
können. Anhänge in Spear Phishing-Mails sind nur
schwer von normalen Dokumenten zu unterscheiden, die
tagtäglich in Unternehmen ausgetauscht werden und
somit steigt die Wahrscheinlichkeit einer erfolgreichen
infektion.
Zudem erleichtern die im internet verfügbaren
Unternehmensdaten den Angreifern das Sammeln von
Adressen möglicher Opfer. Organisationen sollten daher
ihre vorhandenen Schutzmaßnahmen verbessern und
gut überlegen, welche informationen sie im internet
veröffentlichen.
54
%
46%
Mailadressen, die nicht als
Ergebnis einer GoogleSuchanfrage angezeigt werden
Mailadressen, die als Ergebnis
einer Google-Suchanfrage
angezeigt werden
Suchabfrage einer Mail-Domänen
eines anvisierten Opfers führt zu
Unternehmens-Mailadressen
Suchabfrage einer Mail-Domänen
eines anvisierten Opfers führt nicht
zu Unternehmens-Mailadressen
Bild 7: Verhältnis von Spear Phishing Empfänger-Mailadressen im
Web zu solchen, die nicht im Web zu finden sind
Über Trend Micro
Trend Micro, der international führende Anbieter für Cloud-Security,
ermöglicht Unternehmen und Endanwendern den sicheren Austausch
digitaler informationen. Als Vorreiter bei Server-Security mit mehr
als zwanzigjähriger Erfahrung bietet Trend Micro client-, server- und
cloud-basierte Sicherheitslösungen an. Diese Lösungen für internetContent-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und
Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computinginfrastruktur des Trend Micro Smart Protection Network basierenden
Technologien, Lösungen und Dienstleistungen wehren Bedrohungen
dort ab, wo sie entstehen: im internet. Unterstützt werden sie dabei
von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro
ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet
seine Sicherheitslösungen über Vertriebspartner weltweit an.
Weitere informationen zu Trend Micro sind verfügbar unter
http://www.trendmicro.de.
Anwender informieren sich über aktuelle Bedrohungen unter
http://blog.trendmicro.de.
Folgen Sie uns auch auf Twitter unter
www.twitter.com/TrendMicroDE.
TREND MICRO Deutschland GmbH
Zeppelinstrasse 1
85399 Hallbergmoos
Germany
Kunden Hotline 0800 / 330 45 33 14 Cent/Minute aus dem deutschen Festnetz. Bei Anrufen aus dem
Reseller Hotline 01805 / 01 08 73 deutschen Mobilfunknetz abweichende Preise von höchstens 42 Cent/Minute.
[email protected]
www.trendmicro.com
©2012 by Trend Micro, incorporated. All rights reserved. Trend Micro and the Trend Micro t-ball logo are trademarks or registered trademarks of Trend Micro, incorporated. All other product or company
names may be trademarks or registered trademarks of their owners.
SEiTE 6 | Spear-phiShing email: die beliebteSte apt angriffStechnik
Herunterladen
Explore flashcards