In den letzten Monaten konnten die SophosLabs eine deutliche Zunahme an Angriffen beobachten, die die Form von schädlichen Apache-Modulen annehmen. Diese Module starten nach der Installation einer befallenen legitimen Webseite dynamisch bösartige Angriffe über Webbrowser mit bekannten Sicherheitslücken.
Das besorgniserregendste Beispiel was dieses Jahr Darkleech, das laut verschiedenen Berichten bis zum Mai 2013 erfolgreich über 40.000 Domänen und Site-IPs infiziert hatte, davon allein im Mai 15.000 bekannte Webseiten, einschließlich der Los Angeles Times, wurden als betroffen gemeldet. Mit Darkleech befallene Server waren für die Verbreitung einer extrem gefährlichen Malware verantwortlich, einschließlich der Nymaim-Ransomware, die Benutzerdateien verschlüsselte und ein Lösegeld von $300 für die Bereitstellung des Schlüssels verrlangte. Unsere Recherche ergabt, dass 93 % der von Darkleech infizierten Webseiten Apache ausführten.
Im März 2013 waren Darkleech und verwandte Angriffe die häufigsten Bedrohungen aus dem Internet, die auf Kunden-Endpoints und Web Appliances erkannt wurden, und machten beinah 30 % aller erkannten Threats aus. Einige dieser Angriffe wurden so geschickt entwickelt, dass sie extrem schwierig zu reproduzieren sind. So können sie beispielsweise nur in einem von zehn Fällen ausgelöst werden, sodass argwöhnische Administratoren in dem Glauben gelassen werden, dass das Problem – falls es überhaupt bestehen sollte – nichts mit dem lokalen System zu tun hat. Darkleech unterhielt Blacklists, um sicherzustellen, dass eine eine schädliche Weiterleitung nur einmal an eine bestimmte IP gesendet wird. Viele Angreifer entscheiden sich auch dafür, die Weiterleitung nicht zu infizieren, wenn sie auf eine IP stoßen, die den Anschein hat, von der Security Community oder einer Suchmaschine zu stammen.
Webserver-Attacken zeigen, wie wichtig es ist, dass Sicherheits- und Hostingunternehmen enger zusammenarbeiten, um einen besseren Überblick über komplexe und verschleierte Angriffe wie Darkleech zu bekommen. Vom technischen Standpunkt gesehen sind diese Angriffe bereits unglaublich schwierig zu erkennen. Wir haben eng mit verschiedenen betroffenen Hosting-Anbietern zusammengearbeitet, um sie bei der Bereinigung ihrer Server zu unterstützen. Doch aufgrund der geringen Gewinnspanne, die Hosting-Unternehmen haben, wird bei Entdeckung eines infizierten Servers häufig nur eine neue virtuelle Server-Instanz neu erstellt, anstatt herauszufinden, was passiert ist. Da weder sie noch ihre Sicherheitspartner wissen, was passiert ist, werden diese neuen Instanzen oftmals direkt wieder infiziert.
Kunden sollten frage, welche Maßnahmen ihre Host-Provider im Fall einer Infektion ergreifen und insbesondere, was die Provider tun, um eine erneute Infektion zu vermeiden.
Antwort hinterlassen