tom's networking guide
 
Anzeige
WhatsUp Gold: Netzwerk-Monitoring und -Management vom Feinsten >
< Acer kokettiert mit neuer Technik
20.10.09 00:23 Alter: 11 Jahre
Kategorie: Security
Von: Arno Kral / Nina Eichinger

SaaS bekämpft Gumblar-Attacken besser und billiger

Warnung: Nach fünf Monaten treibt das Gumblar-Netzwerk, gegen das Signatur-basierte Malware-Erkennung kaum eine Chance hat, wieder sein Unwesen


ScanSafe-Logo

Sulding bei München – Nach fünfmonatiger Pause ist ein Gumblar-Netzwerk wieder in Aktion getreten. Bereits im Mai 2009 war ein Netzwerk bestehend aus infizierten Webseiten gebildet worden, das jetzt diese Seiten als Host für seine Malware verwende, warnt in seinem Blog Mary Landesman, der bei der Firma ScanSafe den Posten des Senior Security Researchers bekleidet. "In einer typischen Outbreak-Situation liegt die Malware auf einer gehackten Seite. In diesem Fall befindet sich die Malware jedoch auf tausenden legitimen - aber infizierten - Websites.“

Dabei handle es sich zwar mehrheitlich um so genannte „Tante-Emma-Websites" aus nicht-englischsprachigen Ländern. Das sei in diesem Zusammenhang jedoch unwichtig, weil sich die Angreifer eines Tricks bedienten, um den Internetverkehr direkt zu der auf diesen Seiten geparken zur Malware zu führen. Dazu werde ein entsprechend verlinkter iFrame in mehreren Internet-Foren abgelegt. "Die betroffenen Foren, die wir uns bis jetzt angesehen haben, benutzen Feed Aggregatoren, um ihre Posts aus dem Forum zu Abonnenten zu bringen, die dann durch den iframe infiziert werden“, erklärt Landesman. „Dieses infizierte Script, das im ersten Schritt der Gumblar-Attacke bestimmte unique Komponenten enthält, sucht die Version von AdobeReader und Adobe Flash und liefert dieselbe URL mit einer uniquen SID, die auf diesen Ergebnissen basiert.“ Das Skript enthalte ferner ein Exploit für die Office-Web-Komponenten, das Microsoft im August 2009 gepatcht wurde (siehe MS09-043).

Erfolgreiche Exploit-Ergebnisse zufällig benannten Datei würden im infizierten System abgelegt. Gleichzeitig modifiziere die Malware wie bei der ursprünglichen Gumblar-Attacke den Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32

Das bewirke, dass Malware geladen werde, sobald eine tonfähige Anwendung, etwa  Browser, gestartet werde. Ferner lese die Malware die Datei sqlsodbc.chm, auf die schon früherer von Gumblar verteilte Malware abgezielt habe. 

ScanSafe zur Folge habe signature-basierte Sicherheitssoftware laut VirusTotal Report kaum eine Chance. Deshalb sei es für Unternehmen zunehmend sinnvoll, URLs, die ein Nutzer gerade aufrufe, gründlich Echtzeit zu analysieren. Dabei komme es weder zu Verzögerungen noch zu Bandbreitenstau, weil die Überprüfung des gesamten Web-Traffics in der Internet-Wolke geschehe. Ferner entfielen die Kosten traditioneller Verfahren, die den Datenverkehr beispielsweise über ein Unternehmens-VPN an ein Internet-Gateway leiten.

Aktuelle Security-as-a-Service (SaaS) weise ein Funktionsspektrum auf, das internen Lösungen in nichts nachstehe, und gewährleiste "unendliche Skalierbarkeit". Organisationen aller Größenordnungen seien nicht in der Lage, ein solches Maß an Sicherheit selbst zu replizieren. Das gelte noch mehr in  verteilten Architekturen, wie sie Roaming-Users benötigen.  

„Der Mehrzahl der SaaS-Kunden kostet die Security-Dienstleistung 30 bis 40 % weniger als eine gleichwertige Vor-Ort-Lösung“, meint Pim van der Poel, Regional Sales Manager DACH von ScanSafe. 


Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
News

CeBIT 2018 - ein holpriger Neustartversuch

CeBIT Logo

"Die CEBIT 2018 wird ein Business-Festival für Innovation und Digitalisierung", sagte Oliver Frese...

[mehr]

Trend Micro trauert um Günter Untucht

Günter Untucht (Bild: Trend Micro)

Der europäische Chefjustiziar von Trend Micro, Günter Untucht, ist Ende Januar überraschend...

[mehr]

Corel VideoStudio Ultimate 2018 mit neuen Funktionen verfügbar

Corel Logo (Grafik: Logo)

Erste Wahl für anspruchsvolle Gelegenheitsanwender – diesen Anspruch erfüllt das...

[mehr]

Argus 2 - kabellose Überwachungskamera für Akku- und Solarbetrieb

Die Argus 2 ist für innen und außen geeignet. (Bild: Reolink)

Reolink stellt mit der Argus 2 seine neueste Kamera vor. Die innovative Überwachungskamera...

[mehr]

Meltdown und Spectre: MSI liefert BIOS-Updates für Z370-Mainboard

MSI Logo

Mit den Updates will MSI mögliche SIcherheitslücken im aktuellen Intel-Microcode schließén. Updates...

[mehr]

CES 2018: Acer lässt Gamer-Herzen höher schlagen

Acer Nitro 5 (Bild: Acer)

Ob für Gamer, Kreative oder Business-Nutzer - auf der CES in Las Vegas stellt Acer für jeden etwas...

[mehr]
Anzeige
Anzeige