Finjan entdeckt getarnte IT-Gefahren

EnterpriseSicherheit

Die Sicherheitsfirma Finjan warnt aktuell vor so genannten getarnten Angriffen der Hacker.

Das Verfahren sei mithilfe der Finjan-eigenen Echtzeitprüfung der Netze ans Tageslicht gekommen. Dabei sollen die Angreifer bösartigen Code gezielt vor Crawlern verstecken, die nach entsprechenden bösartigen Programmen suchen und Websites danach klassifizieren.

Die Angreifer präparierten Webseiten und -server unter anderem so, dass sie prüften, von welcher IP-Adresse aus ihre Inhalte aufgerufen würden, teilte Finjan mit. Während Malware-Suchmaschinen dann unverdächtige Inhalte präsentiert bekämen, spielten die Server den übrigen Anwendern Seitenversionen mit bösartigem Code ein. Auf diese Weise gelangten die Informationen über Malware-gespickte Websites nicht in die schwarzen Listen gängiger URL-Filter, die deshalb auch nicht mehr vor den bösartigen Codes schützen könnten.

Ein anderer Trick besteht demnach darin, Angriffscode nur dann in eine Webseite einzubinden, wenn ein Anwender sie zum ersten Mal aufruft. Kommt der Besucher aber wieder, fehlt die Malware – auch dies erschwert laut Finjan die Erkennung und Zuordnung erheblich. Die Entdeckungen zeigen, dass Hacker ihre Techniken erneut signifikant verbessert haben.

“Angriffstechniken mit entsprechenden Ausweichmechanismen stützen sich auf Datenbanken mit den IP-Adressen bekannter Crawler, die nach Malware suchen, und auf Zähler, die die Besuche einzelner Websurfer auf einer Website festhalten”, erklärte Yuval Ben-Itzhak, Chief Technology Officer bei Finjan. “Vor allem in Kombination mit weiteren Tricks zur Verschleierung bösartiger Code-Elemente ist dies eine Methode, die die Wirksamkeit klassischer URL-Blocker gegen Malicious Codes auf Websites einschränkt.” Die Technik bewirkt, dass eine zunehmende Zahl verseuchter Websites fälschlich als harmlos eingestuft wird. Um entsprechende Bedrohungen abzuwehren, sollte eine Software zum Einsatz kommen, die jede Webseite in Echtzeit auf bösartigen Code überprüft, ohne sich auf Signaturen, die Reputation der IP-Adressen oder URL-Kategorien zu stützen. Finjan bietet solche Software an.