Wie traditionelle Malware-Systeme zu kurz kommen

Neue Untersuchungen von WatchGuard zeigen, dass traditionelle Anti-Malware-Lösungen fast 75 % der Bedrohungen übersehen.

WatchGuard®-Technologien' neueste Internet-Sicherheitsbericht zeigt, dass 74 % der im letzten Quartal erkannten Bedrohungen Zero-Day-Malware waren, die herkömmliche signaturbasierte Antivirenlösungen zum Zeitpunkt der Veröffentlichung der Malware umgehen konnte. Der Bericht stellte auch fest, dass Netzwerkangriffe sprunghaft zugenommen haben, mit einem Anstieg von 21 % im Vergleich zum Vorquartal und dem höchsten Volumen seit Anfang 2018. Da WatchGuard-Appliances mehr als 4 Millionen Netzwerkangriffe erkennen, sind Unternehmensserver und Anlagen vor Ort immer noch hochwertige Ziele für Angreifer trotz Umstellung auf Remote- und Hybridarbeit. 

„Im letzten Quartal gab es die höchste Anzahl von Zero-Day-Malware-Erkennungen, die wir je verzeichnet haben. Die Raten von ausweichender Malware haben die traditioneller Bedrohungen in den Schatten gestellt, was ein weiteres Zeichen dafür ist, dass Unternehmen ihre Verteidigung weiterentwickeln müssen, um den immer raffinierteren Bedrohungsakteuren einen Schritt voraus zu sein“, sagte Corey Nachreiner, Chief Security Officer bei WatchGuard. „Herkömmliche Anti-Malware-Lösungen allein reichen für die heutige Bedrohungsumgebung nicht aus. Jedes Unternehmen benötigt eine mehrschichtige, proaktive Sicherheitsstrategie, die maschinelles Lernen und Verhaltensanalysen umfasst, um neue und fortschrittliche Bedrohungen zu erkennen und zu blockieren.“ 

Weitere wichtige Erkenntnisse aus dem Internet Security Report Q1 2021 von WatchGuard zeigen, wie Angreifer versuchen, alte Exploits und die häufigsten Malware-Angriffe des Quartals zu tarnen und wiederzuverwenden.

· Die dateilose Malware-Variante erfreut sich wachsender Beliebtheit 

XML.JSLoader ist eine bösartige Nutzlast, die zum ersten Mal in WatchGuards Top-Malware nach Volumen und den am weitesten verbreiteten Malware-Erkennungslisten auftauchte. Es war auch die Variante, die WatchGuard im ersten Quartal am häufigsten per HTTPS-Inspektion entdeckte. Das identifizierte Beispiel verwendet einen XXE-Angriff (XML External Entity), um eine Shell zu öffnen, um Befehle auszuführen, um die lokale PowerShell-Ausführungsrichtlinie zu umgehen, und wird auf nicht interaktive Weise ausgeführt, verborgen vor dem tatsächlichen Benutzer oder Opfer. Dies ist ein weiteres Beispiel für die zunehmende Verbreitung von dateiloser Malware und den Bedarf an erweiterten Endpoint-Erkennungs- und Reaktionsfähigkeiten. 

· Ein einfacher Dateinamentrick hilft Hackern, Ransomware-Loader als legitime PDF-Anhänge auszugeben 

Der Ransomware-Loader Zmutzy tauchte im ersten Quartal als zweitgrößte verschlüsselte Malware-Variante nach Volumen auf. Speziell im Zusammenhang mit der Nibiru-Ransomware begegnen Opfer dieser Bedrohung als gezippter Dateianhang einer E-Mail oder als Download von einer bösartigen Website. Beim Ausführen der ZIP-Datei wird eine ausführbare Datei heruntergeladen, die dem Opfer als legitimes PDF erscheint. Angreifer verwendeten ein Komma anstelle eines Punktes im Dateinamen und ein manuell angepasstes Symbol, um die schädliche Zip-Datei als PDF weiterzugeben. Diese Art von Angriff unterstreicht die Bedeutung der Phishing-Ausbildung und -Schulung sowie der Implementierung von Backup-Lösungen für den Fall, dass eine Variante wie diese eine Ransomware-Infektion auslöst. 

· Bedrohungsakteure greifen weiterhin IoT-Geräte an 

Die Linux.Ngioweb.B-Variante hat es zwar nicht auf die Top-10-Malware-Liste von WatchGuard im ersten Quartal geschafft, wurde aber kürzlich von Angreifern verwendet, um IoT-Geräte anzugreifen. Die erste Version dieses Beispiels zielte auf Linux-Server ab, auf denen WordPress ausgeführt wurde, und kam ursprünglich als Extended Format Language (EFL)-Datei an. Eine andere Version dieser Malware verwandelt die IoT-Geräte in ein Botnet mit rotierenden Command-and-Control-Servern.

· Eine alte Directory-Traversal-Angriffstechnik erlebt ein Comeback 

WatchGuard entdeckte im ersten Quartal eine neue Bedrohungssignatur, die einen Directory-Traversal-Angriff über CAB-Dateien (CAB) beinhaltet, ein von Microsoft entwickeltes Archivformat für verlustfreie Datenkomprimierung und eingebettete digitale Zertifikate. Dieser Exploit ist neu in der Top-1-Liste der Netzwerkangriffe von WatchGuard und verleitet Benutzer entweder dazu, eine bösartige CAB-Datei mit herkömmlichen Techniken zu öffnen, oder indem er einen mit dem Netzwerk verbundenen Drucker vortäuscht, um Benutzer dazu zu bringen, einen Druckertreiber über eine kompromittierte CAB-Datei zu installieren. 

· HAFNIUM Zero-Days bieten Lektionen zu Bedrohungstaktiken und Best Practices zur Reaktion 

Letztes Quartal, Microsoft berichteten, dass Angreifer die vier HAFNIUM-Schwachstellen in verschiedenen Exchange Server-Versionen ausnutzten, um eine vollständige, nicht authentifizierte Remotecodeausführung des Systems und willkürlichen Dateischreibzugriff auf alle ungepatchten Server zu erlangen, die dem Internet ausgesetzt sind, wie dies bei den meisten E-Mail-Servern der Fall ist. Die WatchGuard-Vorfallsanalyse geht auf die Schwachstellen ein und unterstreicht die Bedeutung der HTTPS-Inspektion, des rechtzeitigen Patchens und des Austauschs von Legacy-Systemen. 

· Angreifer kooptieren legitime Domains in Krypto-Mining-Kampagnen – Im ersten Quartal blockierte der DNSWatch-Dienst von WatchGuard mehrere kompromittierte und ausgesprochen bösartige Domains, die mit Krypto-Mining-Bedrohungen in Verbindung gebracht wurden. Cryptominer-Malware ist aufgrund der jüngsten Preisspitzen auf dem Kryptowährungsmarkt und der Leichtigkeit, mit der Bedrohungsakteure Ressourcen von ahnungslosen Opfern abschöpfen können, immer beliebter geworden.

Die vierteljährlichen Forschungsberichte von WatchGuard basieren auf anonymisierten Firebox-Feed-Daten von aktiven WatchGuard-Fireboxen, deren Besitzer zugestimmt haben, Daten zur Unterstützung der Forschungsbemühungen des Threat Lab zu teilen. Im ersten Quartal blockierte WatchGuard insgesamt mehr als 1 Millionen Malware-Varianten (17.2 pro Gerät) und fast 461 Millionen Netzwerkbedrohungen (4.2 pro Gerät). Der vollständige Bericht enthält Details zu zusätzlicher Malware und Netzwerktrends aus dem ersten Quartal 113, eine detaillierte Analyse des HAFNIUM Microsoft Exchange Server-Exploits, wichtige Verteidigungstipps für Leser und mehr. 

Lesen Sie hier den vollständigen Internet-Sicherheitsbericht Q1 2021 von WatchGuard

WEITERLESEN:

• Wie Sie Ihr Büro in einer Post-Covid-19-Welt erfolgreich wiedereröffnen
• Gründer-Feature: Neil Purcell, Gründer und CEO, Talent Works
• Gewährleistung einer sicheren Reise zur digitalen Transformation
• Bauen Sie diese fünf Gewohnheiten auf, um das Risiko von Ransomware zu verringern

Über WatchGuard-Technologien

WatchGuard® Technologies ist ein weltweit führender Anbieter von Netzwerksicherheit, sicherem Wi-Fi, Multi-Faktor-Authentifizierung, erweitertem Endgeräteschutz und Netzwerkintelligenz. Auf die preisgekrönten Produkte und Dienstleistungen des Unternehmens vertrauen weltweit fast 18,000 Wiederverkäufer und Serviceanbieter im Bereich Sicherheit, um mehr als 250,000 Kunden zu schützen. Die Mission von WatchGuard ist es, Unternehmen jeder Art und Größe durch Einfachheit Sicherheit auf Unternehmensebene zugänglich zu machen, was WatchGuard zu einer idealen Lösung für mittelständische Unternehmen und verteilte Unternehmen macht. Das Unternehmen hat seinen Hauptsitz in Seattle, Washington, und verfügt über Niederlassungen in ganz Nordamerika, Europa, Asien-Pazifik und Lateinamerika. Um mehr zu erfahren, besuchen Sie WatchGuard.com.

Vergessen Sie nicht, unser tägliches Bulletin zu abonnieren, um weitere Neuigkeiten von Top Business Tech zu erhalten!

Folge uns auf  LinkedIn und Twitter