Hacker nutzen zunehmend gängige Business-Anwendungen aus, um Sicherheitsmechanismen beim Angriff auf Unternehmensnetzwerke zu umgehen. Das ist eine der Erkenntnisse des “Application Usage and Threat Report 2014” von Enterprise-Security-Spezialist Palo Alto Networks. Die Studie basiert nach eigenen Angaben auf der Analyse erfasster Traffic-Informationen aus 5500 Netzwerken, 2100 Anwendungen und mehreren Milliarden Logdaten zwischen März 2013 und März 2014.

Der Report beschreibt, dass Hackerangriffe derzeit überwiegend gängige Applikationen missbrauchen und mittels bekannter Netzwerk-Applikationen, kommunizieren. So sollen quasi alle der entdeckten Botnet-Schädlinge – insgesamt machte Palo Alto 66 verschiedene Botnets ausfindig, per User Datagram Protocol (UDP) kommunizieren und sich so im vorhandenen, beispielsweise durch Video-Übertragungen erzeugten UDP-Strom verstecken. Die stärkste Aktivität wurde dabei vom ZeroAccess-Botnet erzeugt, dessen ausführbare Dateien wie Smoke.Loader über das Blackhole Exploit-Set verbreitet werden kann. Einmal im Netzwerk, erzeugt ZeroAccess viele Verbindungen zu anderen Zombie-Rechnern über ein Peer-to-peer-Protokoll und über UDP, um so mit seiner Kommando- und Kontrollinfrastruktur zu kommunizieren.

Auch Protokolle wie FTP, RDP, SSL und Netbios, die alle für legitime Zwecke in den Netzwerken dienen, werden von den Angreifern eingesetzt. Angreifbare Applikationen wurden in fast jedem Netzwerk gefunden, das Palo Alto untersucht hat.

Üblicherweise würden Kriminelle SSL/TLS (tcp/443) verwenden, um an portbasierten Firewalls vorbeizukommen. Dass dies effizient sei, habe jüngst der Trojaner POSRAM belegt, der zum Diebstahl von Kreditkartendaten und persönliche Daten von etwa 100 Millionen Konsumenten diente. Bei diesem Angriff konnten Hacker in das gesamte Netzwerk eindringen und Malware an Schlüsselpositionen zu installieren. Die Kreditkartendaten wurden gesammelt, mit SSL verschlüsselt, über Netbios-Shares intern gesammelt und dann über FTP nach draußen transferiert. Über 90 Prozent der untersuchten Netzwerke nutzen diese Protokolle, was die Entdeckung des Datenabflusses schwieriger mache.

Als überraschend bezeichnete der Report die Konzentration auf einige Schlüssel-Techniken und Apps, die fast bei jedem Angriff eingesetzt wurden. Dazu gehören zum Beispiel beliebte Sharing-Applikationen, wie zum Beispiel E-Mail, Instant Messaging, Social Media, File Sharing und Video, die gerne für Attacken missbraucht werden. 19 Prozent aller beobachteten Gefahren war Missbrauch von Schwachstellen durch ausführbaren Code (Remote Code Execution), 94 Prozent aller entdeckten Exploits nahmen lediglich zehn verschiedene Applikationen ins Visier.

Palo Alto rät dazu, insbesondere verschlüsselte Kommunikation per SSL genauer zu überwachen, um unerwünschte Datenströme feststellen zu können. Zudem sei der IT-Sicherheits-Fokus verstärkt auch auf ganz normale Business-Anwendungen zu richten, die von Angreifern geschützt werden müssen.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.