2. Cloud Security – Kollektive Intelligenz gegen die Cyber-Mafia
Markus Mertes

3. Qualitativer Anstieg

4. Angriffsziele 2011
“CYBER WAR”
Fake-Software MAC
Drive by infections
“HACKTIVISMUS”
BLACKHAT SEO ATTACKS
SOCIAL NETWORKS

5. MEHR INTERNET-KRIMINALITÄT:
Hacker nutzen immer neue Wege zur Malware-Verbreitung!
Angriffsziele 2010/2011:
Blackhat SEO Attacken:
Online-Kriminelle manipulieren Suchmaschinen indem Sie aktuelle Suchbegriffe mit infizierten Webseiten verlinken:
- Die Suchbegriffe „Love Parade Tragedy“ und „Deep Water Horizon“
lenkten 2010 auf über 2 Mio infizierte Webseiten.
- „Japan Earthquake“: Am 12.März beinhaltete die komplette
2. Seite der Google Suchergebnisse ausschließlich Links zu
Webseites mit schadhaftem Code. Wenige Stunden nach dem
Unglück!
- 34 der Top 100 Google-Suchergebnisse zum Thema „Sebastian Vettel
World Champion“ verwiesen auf infizierte Webseiten (Stand 10.10.2011)
- Wenige Stunden nachdem Steve Jobs verstarb schossen Webseiten aus dem Boden
die u.a. „Fake-Antivirenprogramme“ installierten. Köder waren ipads die verlost
wurden. 20.000 Hits in den ersten 8 Stunden
Quelle: PandaLabs

6. MEHR INTERNET-KRIMINALITÄT:
Hacker nutzen immer neue Wege zur Malware-Verbreitung!
Angriffe auf „Social Networks“ z.B. Facebook
• Spezielle Facebook-Postings verbreiten sich automatisch über die
„Pinnwand“ der Nutzer und infizieren unbemerkt die Nutzer

7. MEHR INTERNET-KRIMINALITÄT:
Hacker nutzen immer neue Wege zur Malware-Verbreitung!
Angriffe auf „Social Networks“
• 52 Varianten des BoFace-Wurmes verbreiten sich innerhalb weniger
Tage via Facebook
• 35.000 „Tweets“ mit Links zu infizierten Webseiten bei
Twitter binnen weniger Tage
• > 65.000 manipulierte YouTube Videos

8. MEHR INTERNET-KRIMINALITÄT:
Hacker nutzen immer neue Wege zur Malware-Verbreitung!
Zielgerichtete Attacken: „Phishing-Angriff“ auf Emissionshändler:

9. MEHR INTERNET-KRIMINALITÄT:
Hacker nutzen immer neue Wege zur Malware-Verbreitung!
Panda Security, FBI und Guardia Civil zerschlagen weltweit größtes Bot-Netz:
- 13.000.000 infizierte Systeme
- 500 Großunternehmen
- 40 Banken

10. Infizierung via Internet!
Wo kommen die ganzen “verseuchten Webseiten” her?
Die meisten infizierten Seiten werden von den Online-Kriminellen selber ins Netz gestellt
aber die Möglichkeiten sind nahezu unbegrenzt:
- Hacken von nicht ausreichend geschützten Servern.
- Das Eindringen bleibt meist unbemerkt und der Remote Zugang ermöglicht „einfache Administration“
- Durch „Content-Austausch“ werden so auch Webseiten infiziert auf die man ansonsten keinen Zugang hat
- „Beteiligung der Webseiten-Betreiber“
- Zahlung von ~ 0,5$ pro Rechner der durch die Webseite infiziert wird -> „Spyware Dollars“

11. Business-Modell “Spyware Dollars”
Geld verdienen mit Malware-Verbreitung!

12. Business-Modell “Spyware Dollars”
Geld verdienen mit Malware-Verbreitung!

13. Business-Modell “Spyware Dollars”
Geld verdienen mit Malware-Verbreitung!

14. MEHR INTERNET-KRIMINALITÄT:
Hacker nutzen immer neue Wege zur Malware-Verbreitung!
Angriffsziele 2010/2011:
„Fake-Antivirus-Programme“:
Webseiten melden einen infizierten PC und bieten direkt ein Antivirus-Programm zum Download an.
Zwei Geschäftsmodelle existieren derzeit:
1. Nach Installation verlangt das Programm eine Zahlung von 49€ um die Infektion zu beseitigen. Zahlung
per Kreditkarte!
2. Kostenfreie „Installation“. Nach Neustart sind alle Datenträger verschlüsselt. Zusendung des Keys zum
Entschlüsseln nur nach Zahlung von 49€…per Kreditkarte!
In beiden Fällen haben die Online Kriminellen 49€ UND die Kreditkarten-Daten!
Erfolgreichstes „Geschäftsmodell“ 2010: Geschätzte 30.000.000€ Umsatz im
zweiten Quartal alleine durch ein identifiziertes Malware-Portal.
(Daten basieren auf Download-Statistiken entdeckter Malware-Server)

15. Quantitativer Anstieg

16. 85.000.000
DAS PROBLEM HEUTE 70.000.000
MEHR INTERNET-KRIMINALITÄT
Neue Malware-Muster, die bei PandaLabs eingingen.
Daten bis Q2/2011
30,88% aller 2011 überprüften deutschen 40.000.000
Systeme infiziert
17.000.000
1.500.000
100.000 220.000
50.000
2004 2005 2006 2007 2008 2009 2010 Q3/2011
Quelle: Pandalabs

17. “Warum dieser massive Anstieg?”
“Ich habe doch keine interessanten Daten auf meinem Rechner”
Grundlegend ist JEDER PC mit Internetverbindung interessant!
- Alleine die „zur Verfügung gestellte Bandbreite“ ist lukrativ:
- Versand von Spam-Mails / Malware / pädophilien und rechtsextremen Inhalten
- Teilnahme an Online-Erpressungen durch Bot-Netze (z.B. Wettbüros während der WM 2006)
- Analyse des Surfverhaltens u.a. zur Markt-Analyse
- Die „klassisschen“ Motive:
- Kreditkarten-Daten, Bank-Informationen, paypal Accounts etc.
- Online Zugänge zur Identitätsübernahme (ebay, amazon etc.)
- E-Mail Adressen und sonstige persönliche Informationen

18. “Wie kann man damit Geld verdienen?”
“Business-Modelle” der Online Mafia: Virenkonstruktions-Kits
Virenkonstruktions-Kits sind seit 2006 „käuflich zu erwerben“:
Was benötigen wir für unseren Angriff?
1. Einen Trojaner mit der Fähigkeit Payservice Accounts auszuspionieren: 350$- 700$
Beispiel:
• Snatch Trojan ( 600$) und Limbo Trojan (300-500$) stehlen u.a. „Webpay“ Account Informationen ~ 500$
2. Empfängerlisten um unseren Schädling zu verbreiten:
E-Mail Adressen USA GERMANY RUSSIA UKRAINE
1.000.000 100 $ 100 $ 100 $ 100 $
3.000.000 200 $ 200 $ 200 $ 200 $
5.000.000 300 $ 300 $ 300 $ -
8.000.000 500 $ 500 $ 500 $ -
16.000.000 900 $ - - -
32.000.000 1,500 $ - ~ 100$
3. Garantie unerkannt zu bleiben: „Polaris“ zur Prüfung des Trojaners gegen alle bekannten AV-Programme ~ 20$
4. E-Mail Server zur Aussendung: ~ 500$
1.120$

19. “Wie kann man damit Geld verdienen?”
“Business-Modelle” der Online Mafia: Virenkonstruktionskits
Sinnvolle Investition?
 1.000.000 Empfänger
 10% Infektionsrate (sehr gering) = 100.000 infizierten Systeme
 10% der infizierten Systeme enthalten finanzrelevante Daten
 10.000 Konto-/Accountdaten
 10$ von jedem Konto
100.000$ Umsatz
1.120$ Investitionsvolumen
98.880$ steuerfreier Netto-Gewinn!
Profitabel!

20. “Wie kann man damit Geld verdienen?”
“Business-Modelle” der Online Mafia: Datenhandel
Underground Shopping Cart

21. DAS PROBLEM HEUTE
ZUSAMMENFASSUNG
Netz-Verbrecher sind heute professioneller als je zuvor,
und sie erzeugen immer mehr Malware.
Das Thema Sicherheit ist wichtiger als je zuvor.
Zeitnahe Erstellung und Verteilung aktueller Signaturdateien aufgrund
der Masse absolut unmöglich.

22. Wie funktioniert “Security in der Cloud?”

23. Cloud Security
Clasification
<Program ID:XXXXX
Status:unknown.
<Program ID:XXXXX Corr Status:Malware W32/XY.
Behavioral traces: log2,…
Status:Malware W32/XY.
Status:unknown. elati Behavioral traces:log2,…
on Date/time of appearance:
Behavioral traces:log1,… Date/time of appearance:
Autom HHMMDDMMYY
HHMMDDMMYY
Date/time of appearance: HHMMDDMMYY
Date/time of appearance: HHMMDDMMYY ation …
… …
…

24. TECHNOLOGY
MANAGEMENT
INFRASTRUKTUR
Database
Admin servers SECURITY AS A SERVICE
Console Admins
(SAAS)
Maximaler Schutz bei
Web server minimaler Belastung
MANAGED SECURITY
Repository servers
SERVICE

25. Cloud-Technologien vs traditionelle Lösung

26. NANO-TECHNOLOGIE:
TECHNOLOGIE NANO-AV
FRÜHER HEUTE
INFORMATIONEN
im PC im Internet
hoher Ressourcen- Minimale
Verbrauch Belastung
Aufwändige Ausschliesslich
Konfiguration Client Installation
AKTUALISIERUNGEN
Größer, langsamer Immer aktuell
FAZIT
Schnelles und leistungsfähiges
Anwender Interface

27. SOFTWARE as a Service
TECHNOLOGIE (SAAS)
FRÜHER HEUTE
INFRASTRUKTUR
lokal gehosted
GESAMTBETRIEBSKOSTEN
höher niedriger
KOMPLEXITÄT
höher sehr einfach
VERFÜGBARKEIT
begrenzt immer verfügbar
FAZIT
SCHUTZ IST VIEL EINFACHER
IN DER ANWENDUNG UND
KOSTET WENIGER

28. TECHNOLOGIE
FRÜHER HEUTE

29. CLOUD-COMPUTING =
TECHNOLOGIE Collective Intelligence
FRÜHER HEUTE
MALWARE/TAG
25 75.000
VERARBEITUNG
manuell automatisch
DATENBANK
lokal IN THE CLOUD
(im Internet)
FAZIT
Maximaler Schutz bei
minimalem Verbrauch