apops - Fotolia

Cyberkriminelle tarnen Malware-Kommunikation über Google-Dienste

Cyberkriminelle nutzen populäre Cloud-Dienste für die Kommunikation zwischen Malware und Command-and-Control-Infrastruktur, um unerkannt zu bleiben.

Sicherheitsforscher haben herausgefunden, dass die insbesondere im Finanzbereich aktive Cyberkriminellengruppe Carbanak Google-Dienste verwendet, um ihre Command-and-Control-Infrastrukturen zu nutzen.

Wenn Kriminelle versuchen, Organisationen zu kompromittieren, die so abgesichert sind wie Banken, wird es für die eingeschleuste Malware meist schwierig, nach Hause zu kommunizieren. Entsprechenden Unternehmen blockieren ausgehenden Netzwerk-Traffic häufig über das Whitelisting von IP-Adressen. Zudem wird ausgehender Datenverkehr oftmals noch auf Anzeichen für verdächtige Aktivitäten hin untersucht.

Und so versuchen die Kriminellen, durch die Nutzung von populären Diensten entsprechende Abwehrmaßnahmen wie Web-Filtering oder Firewalls zu umgehen. Bei der CloudFanta Malware wurde beispielsweise SugarSync verwendet, um das gewünschte Ziel zu erreichen. Die Verwendung von Google-Lösungen ist da nur der nächste logische Schritt, da die meisten Unternehmen Zugang zu Google-Cloud-Diensten gestatten. Das Blockieren von Google Apps kann vergleichsweise schwierig sein, da sie möglicherweise fester Bestandteil der eigenen IT-Nutzung sein können. Häufig findet auch ein Austausch mit Kunden oder Lieferanten über Google Docs statt. Durch die Verwendung von Google-Diensten ist die Carbanak-Gruppe in der Lage, ihre bereits eingeschleuste Malware zu verwalten und zu modifizieren, sowie Daten aus dem Netzwerk des betroffenen Unternehmens abzuziehen.

Der Bedrohung missbrauchter Cloud-Dienste begegnen

Ein probates Mittel, um diese Cloud-unterstütze Malware abzuwehren, wäre es, die Google-Cloud-Dienste schlicht per Whitelisting oder Blacklisting zu blockieren. Hier muss natürlich sichergestellt sein, dass dies nicht den Geschäftsbetrieb beeinträchtigt. Und wenn es nicht möglich ist, den Schutz auf alle Cloud-Dienste auszudehnen, wird die Verteidigung nicht besonders effektiv sein. Man kann ebenso den Datenverkehr zu den Google-Diensten entsprechend überwachen, um möglicherweise verdächtige von legitimen Aktivitäten unterscheiden zu können. Aber die Untersuchung von SSL-Traffic erfordert Rechenleistung und kann sich zudem auf die Performance auswirken.

Die beste Methode, um sich vor derartigen Angriffen zu schützen, ist es die anfängliche Infektion durch Malware zu verhindern. Die Carbanak-Gruppe verwendet für das Einschleusen der Malware den Weg des E-Mail-Anhangs, wie dies bei vielen Cyberattacken der Fall ist. Bei diesen E-Mails kommen immer ausgefeiltere Techniken zum Einsatz, um den Endanwender zum Öffnen des Anhangs zu bewegen. Im Fall von Carbanak war die Malware in ein Word-Dokument eingebettet.

Das Sicherheitsbewusstsein der Anwender ist für die Unternehmenssicherheit ein ganz entscheidender Faktor. Die Mitarbeiter müssen sich der Risiken von E-Mail-Anhängen bewusst sein. Daneben sollten regelmäßig Phishing-Tests durchgeführt werden, um beurteilen zu können, wie anfällig das eigene Unternehmen über diesen Angriffsvektor ist und wie es um das Sicherheitsbewusstsein der Anwender bestellt ist. Die Szenarien für solche Tests sollten realen Angriffen entsprechen, um das Bewusstsein im Hinblick auf echte Bedrohungen zu testen.

Aus technischer Sicht wird derlei Malware von Antivirenlösungen häufig nicht erkannt. Im Hinblick auf Office-Dateien sollte beispielweise die Ausführung von Makros sehr restriktiv konfiguriert werden. Dies verhindert in vielen Fällen die Ausführung der Malware und so auch die Kommunikation mit Cloud-Diensten. Zudem sollten entsprechende E-Mail-Gateways zum Einsatz kommen, die dabei helfen, das Volumen der potentiellen Phishing-Mails, die beim Anwender landen, zu reduzieren.

Google wurde über die Vorgehensweise der Carbanak-Gruppe informiert, so dass dieser Kommunikationsweg exakt so wahrscheinlich nicht mehr funktioniert. Erfahrungsgemäß agieren die Cyberkriminellen aber relativ findig, wenn es um das Aufspüren von Schlupflöchern geht. Die beste Verteidigungsmethode ist es stets, die ursprüngliche Infektion zu verhindern.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Risikofaktor Schadcode in der Cloud: Was Unternehmen tun können

Man-in-the-Cloud-Attacken erkennen und abwehren

Social Engineering: Der Risikofaktor Mensch

Angreifbarkeit testen: Social-Engineering-Analyse für Unternehmen

Artikel wurde zuletzt im Mai 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Email-Sicherheitsbedrohungen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close