Aktuelle IT-Bedrohungen, drittes Quartal 2006

Das erste Halbjahr 2006 stellte die Antivirus-Unternehmen vor komplizierte technologische Probleme, darunter eine Vielzahl von Viren-Neulingen – so genannten Konzept-Viren oder PoC (Proof of Concept)-Viren – sowie vor das immer weiter ansteigende Interesse der Hacker an Microsoft Office. Insgesamt sah all das wie ein brodelndes Gegeneinander von Ideen aus, die von beiden Seiten der Virenkrieger generiert wurden. Proaktivität, Kryptografie, Rootkit-Technologien und Sicherheitslücken waren die heißen Themen der ersten beiden Quartale dieses Jahres.

Doch folgt jeder Aktivitätsphase eine Ruhezeit: beide Seiten versuchen, die Ergebnisse zu bewerten und Schlussfolgerungen über Erfolg oder Nichterfolg der einen oder anderen neuen Technologie zu ziehen.

Das dritte Quartal 2006 fällt darüber hinaus immer auf einen Zeitabschnitt der Erholung – auf die Sommermonate.

Im dritten Quartal 2006 wurde keine einzige globale Epidemie verzeichnet, obwohl dem August traditionell mit einiger Besorgnis entgegengesehen wird. In den vergangenen drei Jahren brachen ausgerechnet im August heftige Virus-Epidemien aus. Erinnern wir uns an 2003 – die Schwachstelle MS03-026 und Wurm Lovesan. Der August 2004 brachte uns die Würmer Zafi und Bagle, und 2005 befiel Wurm Bozori (Zotob), der die Schwachstelle MS05-039 ausnutzte, die Netzwerke von CNN, ABC, New York Times und einer Vielzahl weiterer Organisationen in den USA.

Es wurden auch keine neuen Konzept-Viren gefunden – dies hängt ebenfalls damit zusammen, dass die Virenschreiber Zeit brauchten, um die Möglichkeiten zu eruieren, die ihnen durch die neuen PoC-Viren im ersten Halbjahr im Überfluss gegeben wurden.

Im Großen und Ganzen war es im 3. Quartal also relativ ruhig, nur der Routine-Wettbewerb um die Positionen im Internet fand statt.

Schwachstellen im Büro

Im Bericht für das 2. Quartal 2006 haben wir bereits auf das „Büro-Problem“ hingewiesen, das sich im Bereich der IT-Sicherheit zu einem Schlüsselproblem entwickelt. Seit März kamen wir kaum nach, Sicherheitslücken in MS Office-Produkten zu stopfen.

Zielscheibe der Blackhats wurden also auch Word, Excel und Power Point. In nur drei Monaten stieg die Zahl derartiger Sicherheitslücken auf fast ein Dutzend, und alle wurden noch vor der Veröffentlichung der jeweiligen Patches von Microsoft bekannt.

Mehr noch: die Virenschreiber passten sich dem Microsoft-Rhythmus für die Patch-Days an (jeden zweiten Dienstag im Monat) und veröffentlichten ihre „Werke“ immer einige Tage vor Erscheinen des nächsten planmäßigen Sicherheits-Patches. All dies führte dazu, dass die Sicherheitslücken fast einen ganzen Monat über von den Hackern verwendet werden konnte, und die Anwender relativ schutzlos dastanden.

Tragisch an dieser Geschichte ist aber etwas anderes: Wir und auch andere Antivirus-Unternehmen führten natürlich eigene Analysen dieser Sicherheitslücken durch. So wurde offensichtlich, dass ihnen ein- und dasselbe Problem zugrunde liegt: das Format von OLE-Dokumenten (Object Linking and Embedding – eine von Microsoft entwickelte Technik zur Einbettung von Objekten). Man hätte sich also nicht nur auf den Patch für die jeweils gefundene Sicherheitslücke beschränken dürfen, sondern Microsoft hätte die OLE-Technologie vollständig überarbeiten müssen. Die einmal im Monat publizierten Patches erinnern da an Flicken für Fischernetze: die Gesamtzahl der potentiell angreifbaren Stellen in OLE-Objekten betragen über hundert.

Im dritten Quartal änderte sich nicht viel. Die Übeltäter, wobei sich die chinesischen Hacker durch besondere Aktivität hervorhoben, überraschten Microsoft mit immer neuen Trojanern. Microsoft jedoch hielt weiterhin an seinem Zeitplan für Programm-Aktualisierungen fest.

Juli (drei Schwachstellen):

  • Microsoft Security Bulletin MS06-037
    Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (917285)

  • Microsoft Security Bulletin MS06-038
    Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (917284)

  • Microsoft Security Bulletin MS06-039
    Vulnerabilities in Microsoft Office Filters Could Allow Remote Code Execution (915384)

August (zwei Schwachstellen):

  • Microsoft Security Bulletin MS06-047
    Vulnerability in Microsoft Visual Basic for Applications Could Allow Remote Code Execution (921645)

  • Microsoft Security Bulletin MS06-048
    Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (922968)

September (eine Schwachstelle):

  • Microsoft Security Bulletin MS06-054
    Vulnerability in Microsoft Publisher Could Allow Remote Code Execution (910729)

Bei Kaspersky Lab wurden sogar Wetten abgeschlossen, in wie vielen Tagen nach der Veröffentlichung der Patches die nächste Sicherheitslücke in Office erscheinen würde. Es ging gar nicht erst um die Frage, ob eine nächste kommen würde, das war gewiss. Zur Erklärung: Hinter jeder dieser Schwachstellen stehen manchmal Dutzende Trojaner, die entweder im E-Mail-Traffic oder im PC entdeckt wurden. Großer Dank gebührt dabei unseren Kollegen bei anderen Antivirus-Unternehmen, in erster Linie Trend Micro, die unfreiwillig zu den Entdeckern dieser Schwachstellen und Trojaner wurden und Microsoft informierten.

Wie schon erwähnt, zeichneten sich die chinesischen Virenschreiber durch besondere Aktivität aus. Die chinesischen Backdoors Hupigon, PcClient, HackArmy richteten sich an Anwender in Europa, Asien und den USA. Möglich ist, dass der Kampf gegen die Hacker zur Hauptursache von Massen-DDoS-Attacken auf die Webseiten einiger Antivirus-Unternehmen wurden, denn sie gingen ausgerechnet von Zombie-Netzen aus, die durch diese Trojaner aufgebaut wurden.

Ich erlaube mir folgenden aufwieglerischen Gedanken: haben wir es vielleicht gar nicht mit einer gewöhnlichen Hacker-Aktivität zu tun? Kann es sein, dass dies eine gut geplante und sorgfältig durchgeführte Attacke auf Microsoft war. Durch wen und wozu?

Es ist nicht zu erkennen, dass hinter all diesen Attacken ein- und dieselbe Hacker-Gruppe steht. Allerdings kann man auch kaum von einem Zufall ausgehen, wenn während eines gesamten Halbjahres jeden Monat sofort nach dem Schließen von Sicherheitslücken durch „Bemühungen“ von Hackern neue erscheinen.

Wenn den Virenschreibern ein neues Exploit in die Hände fällt, wird keiner von ihnen erst einige Woche warten, um es auszunutzen. In der Welt des Cyberverbrechens gilt dasselbe Business-Gesetz wie in der realen: „Zeit ist Geld“. Exploits und Geld – diesen Fall kennen wir schon durch die Sicherheitslücke in der Bearbeitung von WMF-Dateien. Damals wurde ein Exploit auf mehreren Hacker-Forum für 4000,- US-Dollar verkauft (siehe Bericht 4. Quartal 2005).

In den meisten Ländern ist die Suche nach Sicherheitslücken in Software-Produkten rechtlich nicht untersagt. Deshalb gehören die Suche und die Veröffentlichung von Sicherheitslücken in Software-Produkten vielmehr in den ethischen und nicht in den rechtlichen Bereich Und die Veröffentlichung von Sicherheitslücken nur wenige Tage nach dem letzten Patch erinnert eher an den Versuch der Diskreditierung von Microsoft und dessen „Patch-Days“.

Die Situation bleibt nach wie vor kompliziert. Obwohl die Anzahl der in Office gefundenen Schwachstellen (laut Microsoft Security Bulletin ) Ende des Quartals abgenommen hat, bedeutet dies nicht die Lösung des Problems. Im Gegenteil: wir sollten mit noch ausgeklügelteren Methoden und Attackenarten auf Microsoft Office rechnen, da Microsoft bereits das Office Paket 2007 für den öffentlichen Beta-Test zugänglich gemacht und damit Hacker ein neues „Forschungsobjekt“ in Händen halten.

Der vorliegende Bericht wurde im Oktober verfasst, wodurch wir die Zahl der der gepachten Sicherheitslücken im Oktober bereits in Erfahrung bringen konnten. Ich denke, wir können sie vollständig dem beschriebenen Quartal zuordnen, da sie alle im September 2006 entdeckt wurden.

Oktober:

  • Microsoft Security Bulletin MS06-058
    Vulnerabilities in Microsoft PowerPoint Could Allow Remote Code Execution (924163)

  • Microsoft Security Bulletin MS06-059
    Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (924164)

  • Microsoft Security Bulletin MS06-060
    Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (924554)

  • Microsoft Security Bulletin MS06-062
    Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (922581)

Ich möchte diese Liste nicht kommentieren.

Mobile News

Das Problem der mobilen Viren ist und bleibt eines der interessantesten sowohl für Kaspersky Lab als auch für mich persönlich. Leser, die unsere Artikel verfolgen, haben in unserem Halbjahresbericht sowie der „Einführung in die mobile Virologie“ einiges über sie erfahren. In diesen Publikationen wurden alle aktuellen Arten und Klassen von Schadprogrammen ausführlich behandelt; nur einen Teil der Ereignisse des dritten Quartals 2006 haben wir außer Acht gelassen, über den wir nun sprechen möchten.

Es wurden vier mobile Viren entdeckt, die besondere Aufmerksamkeit verdienen und die aus der Gesamtmasse primitiver, „Skuller-ähnlicher“ Trojaner herausragen. Im Großen und Ganzen stagniert die Entwicklung der Handyviren derzeit. Alle möglichen Technologien, Arten und Klassen von Schadprogrammen für Symbian-Smartphones wurden bereits realisiert. Vor einer tatsächlichen Massenverbreitung derartiger Viren retten uns zurzeit nur die verhältnismäßig geringe Verbreitung von Smartphones (im Vergleich zu PCs) und das Fehlen eines unverkennbaren kommerziellen Vorteils, den ein Hacker durch eine Handy-Infektion haben könnte. Darüber hianus sind die Möglichkeiten für den Datenklau vom Handy gegenwärtig beschränkt: auf das Adressbuch, Daten über erfolgte Anrufe und empfangene sowie verschickte SMS.

ComWar v3.0

Im August fiel den Antivirus-Unternehmen erneut eine Modifikation des am weitesten verbreiteten MMS-Wurms ComWar in die Hände.
Seine Analyse ergab die folgenden Zeilen:

CommWarrior Outcast: The Dark Masters of Symbian.
The Dark Side has more power!
CommWarrior v3.0 Copyright (c) 2005-2006 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it’s original unmodified form.

Der Unterschied zu den Vorversionen bestand nicht nur in der nominalen Kennzeichnung der Modifikation 3.0, sondern auch in der technologischen Neuerung: So infiziert er in Version 3.0 erstmalig Dateien. Außerdem sucht der Wurm auf dem mobilen Gerät sis-Dateien und hängt sich selbst daran an. Auf diese Weise verbreitet er sich nicht nur über die traditionellen Methoden MMS und Bluetooth.

ComWar hat praktisch alle bis zum heutigen Tage möglichen Wege zum Eindringen und Verbreiten mobiler Viren verwirklicht. Alle, außer einem: und dieser Weg wurde Ende August von einem weiteren Wurm aufgezeigt:

Mobler.a

Dieser Wurm ist der erste Crossplattform-Übeltäter, der sowohl auf Symbian als auch Windows funktioniert. Er verbreitet sich, indem er sich selbst vom Computer ins Telefon kopiert und umgekehrt.

Einmal auf dem PC gestartet, erstellt er auf der Festplatte E: (i.d.R. erscheinen die an den PC angeschlossenen mobilen Geräte als Festplatte E:) seine sis-Datei, die einige Leer-Dateien enthält. Damit überschreibt er eine Reihe von System-Anwendungen des mobilen Geräts. Außerdem enthält die Datei eine Win32-Komponente des Wurms, welche sich auf die Wechsel-Speicherkarte des Telefons kopiert und durch die Datei auotrun.inf ergänzt wird. Wenn man ein derart infiziertes mobiles Gerät an einen PC anschließt und die Speicherkarte des Geräts anspricht, erfolgt ein Autostart des Wurms, und der Computer wird infiziert.

Bisher handelt es sich hierbei nur um einen Konzeptwurm eines unbekannten Autors. Theoretisch kann diese Verbreitungsmethode jedoch zu einer sehr populäre werden und sogar die Verbreitung über MMS ablösen – denn der Rechner speichert in der Regel für den Übeltäter interessantere Daten.
Wahrscheinlich sollte Mobler.a aus diesem Grund weniger als neue Methode zum Eindringen in ein mobiles Gerät betrachtet werden, sondern vielmehr als eine neue Richtung für Attacken auf Anwender-PCs.

Acallno

Auf das Sammeln von SMS-Daten ist ein interessanter mobiler Vertreter ausgerichtet – der Trojaner Acallno.

Bei Acallno handelt es sich um die kommerzielle Entwicklung einer Firma, das den Nutzer eines konkreten Mobiltelefons ausspionieren soll. Acallno stellt sich auf ein bestimmtes Handy ein – über den IME–Code I (International Mobile Equipment Identity) und funktioniert mittels einfachen Kopierens nicht auf anderen Geräten. Allerdings tarnt er seine Anwesenheit im System. Diese Tatsache in Verbindung mit seiner Spionagefunktion lässt ihn uns als Schadprogramm behandeln. Der Trojaner (wir klassifizieren ihn als solchen, obwohl er legal verkauft wird), dubliziert alle empfangenen und verschickten SMS vom Telefon und versendet sie auf eine speziell eingerichtete Nummer.

Wesber

Neben der Möglichkeit, den Inhalt einer SMS zu stehlen, kann mittels SMS auch reales Geld vom mobilen Account eines Abonnenten entwendet werden. In vollem Umfang wurde diese Funktion im neuen J2ME-Trojaner Wesber realisiert. Der Anfang September von unseren Experten entdeckte Trojaner ist das zweite uns bekannte Exemplar, das nicht nur auf Smartphone, sondern praktisch auf allen aktuellen mobilen Telefonen funktioniert – dank der Tatsache, dass er für die Java-Plattform (J2ME) geschrieben ist.

Wie schon sein Vorgänger, Trojaner RedBrowser, schickt Wesber.a mehrere SMS an eine kostenpflichtige Nummer. Für jede davon werden vom Account des Abonnenten 2,99 US Dollar abgezogen. Bis vor kurzem war die Registrierungs-Prozedur dieser Premium-Nummern bei den russischen Mobile-Providern sehr einfach, und es wäre ziemlich problematisch gewesen, einem Übeltäter auf die Spuren zu kommen. Gegenwärtig führen die Provider, die aufgrund der wachsenden Anzahl SMS-Erpressungen besorgt sind, Gegenmaßnahmen ein, insbesondere verschärfen sie die Regeln für die Registrierung derartiger Premium-Nummern.(http://mobile-review.com/articles/2006/virus-mobile.shtml)
Eigentlich könnte man den Situationsbericht über mobile Viren an dieser Stelle abschließen. Allerdings lässt sich noch über ein weiteres Thema berichten, das nicht direkt mit Mobiltelefonen in Zusammenhang steht, jedoch zweifelsohne zum Sicherheitsproblem drahtloser Geräte und Netze gehört.

WLAN-Würmer – fast Realität

Im August gab Intel eine Erklärung über die Existenz einer ernsthaften Sicherheitslücke in Intel Centrino-Prozessoren ab, die ausgerechnet den Funktionsbereichfür drahtlose Netze betraf. Details der Schwachstelle wurden natürlich nicht öffentlcih gemacht, jedoch wurde bekannt, dass es sich um den “Execute arbitrary code on the target system with kernel-level privileges” handelt. Sofort erschien ein Patch für die Problem-Notebooks. Uns interessiert an dieser Geschichte die Tatsache, dass es zuvor nur eine Theorie dessen gab, was jetzt Realität wurde – ich rede von WiFi-Würmern.

Es gibt mehrere Szenarien zur Vorgehensweise eines solchen Wurms , die besser ungenannt bleiben, um die Virenschreiber nicht noch darauf zu stoßen. Im vorliegenden Fall ist jedoch alles ziemlich offensichtlich. Bei der Existenz einer derartigen Sicherheitslücke in Intel Centrino besteht eine gewisse Wahrscheinlichkeit, dass ein Wurm auftaucht, der versucht, im Wirkungsradius der WLAN-Karte von einem Notebook auf ein anderes zu gelangen. Das Arbeitsprinzip ist ziemlich simpel – es genügt, sich an die klassischen Netzwürmer Lovesan, Sasser oder Slammer zu erinnern. Der Wurm entdeckt ein angreifbares Notebook und schickt an dieses einen Exploit. Das Tor ist nun geöffnet, der Wurm kann den Computer infizierten, und von seinem neuen Wirt heraus weitere Rechner angreifen. Die einzige Schwierigkeit dürfte die Suche eines Opfers für die Attacke darstellen, da die Suche einer MAC-Adresse nicht gerade eine triviale Angelegenheit ist und die Variante mit der Auswahl nach IP-Adresse hier nicht zutrifft. Im Übrigen kann der Wurm seine „Nachbarn“ am Zugangspunkt jedoch ausgerechnet über die IP-Adresse attackieren. Man sollte auch nicht vergessen, dass ein Vielzahl Notebooks standardmäßig die Suchoption nach WiFi-Punkten eingeschaltet haben.

Ich unterstreiche, dass dies nur ein mögliches Szenario für einen WiFi-Wurm ist. Das Vorhandensein von Sicherheitslücken in WLAN-Chipsätzen ist bislangt noch eine Seltenheit, doch wer weiß, was uns die Zukunft bringt? Noch vor kurzem glaubten viele Menschen auch noch nicht an die Möglichkeit der Existenz von mobilen Viren …

Viren in Instant Messaging (IM)-Systemen

Im vergangenen Jahr wurden Schadprogramme, die sich über IM-Systeme wie ICQ, MSN und AOL verbreiten, zu einem der größten Probleme der IT-Sicherheit. Der Beginn des Jahres 2005 war durch das Erscheinen einer Vielzahl primitiver IM-Würmer gekennzeichnet. Sie demonstrierten, dass die Versand-Methode von Links auf mit Schadprogrammen infizierten Webseiten fast genauso effektiv ist, wie der Versand von Viren per E-Mail.

Ungeachtet dessen, dass fast alle Internet Messaging Systeme über die Möglichkeit der Datei-Übertragung verfügen, vermeiden die Autoren von IM-Würmern diese Methode zum Eindringen in Systeme jedoch (oder sie sind einfach nicht dazu fähig, diese zu verwenden).

Bis heute ist der Versand eines Links zu einer mit einem Schadprogramm versehenen Webseite die am meisten verbreitete Form einer IM-Attacke. Der Anwender wird mit ziemlicher Sicherheit den Link öffnen, den er von einem Bekannten erhält. Viele Trojaner versenden Links über die Kontakt-Liste des IM-Clients. Dies nutzt das Schadprogramm und dringt in das System ein (über Exploits verschiedener Schwachstellen im Internet Explorer oder über direktes Starten).

Allmählich bildeten sich zwei Richtungen in der Entwicklung und Umsetzung dieser Methode heraus, die mit der Verwendung unterschiedlicher IM-Clients in verschiedenen Ländern der Welt zusammenhängen.

Werden in Europa und den USA IM-Attacken von Viren im Wesentlichen gegen Nutzer von MSN und AOL organisiert, so trifft das in Russland nur auf ICQ-User (und verschiedener alternative ICQ-Clients wie Miranda, Trillian usw.) zu.
Außer den Unterschieden bei den attackierten IM-Systeme gibt es eine Spezialisierung nach Schadprogramm-Typen. Im Westen stellen IM-Würmer die Hauptgefahr dar – weit bekannt sind solche Familien wie Kelvir, Bropia, Licat, die AOL und MSN attackieren. Außer der Fähigkeit der Selbstvermehrung sind die meisten IM-Würmer in der Lage, andere Schadprogramme auf dem System zu installieren. Beispielsweise installiert der durch viele Modifikationen gegenwärtig am häufigsten vertretene Wurm Bropia den Backdoor.Win32.Rbot auf den infizierten Computer. Zugleich schließt er ihn an ein „Zombie-Netz“ (Botnet) an. Es existieren daneben eine Reihe von Würmern, die den chinesischen IM-Dienst QQ attackieren.

Bei ICQ ist die Situation umgekehrt. Würmer, die sich über ICQ verbreiten können, gibt es äußerst wenig. Stattdessen setzen den russischen Anwendern eihe Vielzahl von Trojanern zu, in erster Linie der bereits bekannte Trojaner-Spion LdPinch. Einige Modifikationen dieses Trojaners verfügen über eine recht interessante Funktion: Gelangen sie auf einen Anwender-PC stehlen sie Daten, die den Autor des Trojaners interessieren und verschicken einen Link an die Kontaktliste des IM-Clients, der auf eine Webseite führt. auf der LdPinch positioniert wurde.

Im dritten Quartal 2006 gab es im russischen Internet Runet mehrere große Epidemien dieser Art, bei denen innerhalb eines Tages Hunderte und Tausende ICQ-Anwender von ihren Bekannten Links auf die schädlichen Dateien erhielten, angeblich Links auf „coole Bilder“. Natürlich waren die Bekannten in Wirklichkeit mit diesen Trojanern infiziert und der Versand wurde nicht durch sie persönlich, sondern über ein Schadprogramm auf ihren Computern durchgeführt.

ICQ unternimmt bislang leider noch keine Versuche zum Erstellen eines Filters, der diese Links aus den Nachrichten entfernen könnte. Anders MSN. Microsoft musste nach einigen großen Epidemien von IM-Würmern im vergangenen Jahr den Schritt gehen und sämtliche Links blockieren, die einen Hinweis auf auszuführende Dateien enthalten. Allerdings ist der existierende Filter nach wie vor kein Allheilmittel, da die Übeltäter außer Links auf infizierte Dateien auch Links auf Webseiten verschicken können, die verschiedene Exploits für Browser enthalten, wodurch Nutzer ungepatchter Browser trotzdem infiziert werden können.

Ende September wurden erneut IM-Würmer im westlichen Internet aktiv. Besonders hob sich IM-Worm.Win32.Licat.c hervor. Der Wurm verschickt über MSN-Links, die folgendermaßen aussahen:

Sie führten alle auf verschiedene Trojan-Downloader, die diverse Werbeprogramme (Adware.Win32.Softomate) und andere mit Adware verbundene Trojaner ins System luden. Gleichzeitig installierte sich auch Licat.c selbst auf die infizierten Computer, was zu einem erneuten Versand-Zyklus führte.
Der MSN-Filter, so dachten wir, sollte derartige Nachrichten eigentlich erfolgreich blockieren, jdoch der Wurm setzte seine Verbreitung fort. Wie die Analyse unseres Virenanalysten Roul Schouwenberg in den Niederlanden zeigte, blockiert der MSN-Filter keine Links, in welchen PIF-Dateien eine andere Erweiterung (also nicht „.pif“) haben, oder einfacher ausgedrückt: der MSN-Filter war „registerabhängig“ und reagierte nicht auf Großbuchstaben! Die Wurmautoren nutzten diese Schwachstelle, und der Filter ließ Links mit der Erweiterung „.PIF“ durch. Wir informierten Microsoft über das vorliegende Problem und es wurde schnell behoben.

Alle diese Beispiele zeigen, dass es gegenwärtig keinen zuverlässigen Schutz vor diesen Verbreitungsmethoden gibt. Hauptproblem ist einmal mehr der „Faktor Mensch“: das Vertrauen zu Links, die von vermeintlichen Bekannten kommen, ist sehr hoch, und die Situation erinnert an die Anfangszeit der E-Mail-Würmer, als die Anwender ohne zu überlegen sämtliche Dateien, die über E-Mail eingingen, öffneten. Jetzt öffnen die User mit gleichen Erfolg über IM eintreffende Links.
Unsere Empfehlung von vor anderthalb Jahren bleibt aktuell: wir raten System-Administratoren und Spezialisten im Bereich IT-Sicherheit der Bedrohung durch IM-Clients maximale Aufmerksamkeit zu schenken. Nach Möglichkeit sollten in die Unternehmens-Sicherheits-Policy entsprechende Regeln hinzugefügt werden, die die Verwendung dieser Programme untersagt und der gesamte eingehende http-Traffic überprüft werden.

Noch mehr Schwachstellen

Das Wort „Schwachstelle“ kommt in unseren Quartalsberichten wohl schon häufiger vor als „Virus“, was die momentane Situation in der IT-Sicherheit perfekt widerspiegelt. Längst sind die Zeiten vorbei, in denen die Viren “vor sich hin“ existieren und sich ganz nach dem Willen ihrer Ersteller und sorglosen Anwender verbreiten konnten.

Im dritten Quartal 2006 bildeten neben den vielen bereits besprochenen Schwachstellen in Microsoft Office zwei andere Lücken in Microsoft-Produkten eine große Gefahr für die Anwender.

Die erste erhielt die Bezeichnung MS06-040 und erinnerte uns an eine im August 2003 gefundene Schwachstelle. Beide gehören zu den gefährlichsten bekannten Sicherheitslücken und sind in der Lage, über Netz-Attacken einen willkürlichen Code für Windows-Plattformen auszuführen.

Im August 2003 führte die Sicherheitslücke MS03-026 zu einer gigantischen Epidemie des Wurms Lovesan und rief anschließend noch Hunderte ähnliche Würmer hervor. Der August 2006 hätte ähnlich gefährlich werden können wie der August 2003 – schließlich wurde das Exploit veröffentlicht und jeder beliebige Virenschreiber hätte es verwenden und einen eigenen Wurm erstellen können.
Die Virus-Autoren ließen natürlich auch nicht lange auf sich warten. Nur einen Tag nach Erscheinen des Patches von Microsoft schickten sie mehrere Schadprogramme ins Internet, welche MS06-040 ausnutzten. Der erste war Backdoor.Win32.Vanbot (auch als Mocbot bekannt). Zum Glück konnte er nur Computer unter Windows 2000 und Windows XP SP1 erfolgreich attackieren. Ein zweiter Grund für die ausbleibende globale Epidemie ausblieb, war die Tatsache, dass es nicht um einen sich selbst verbreitenden Wurm handelte, sondern um einen über IRC gesteuerten Backdoor. Das Ziel des Vanbot-Autors ist damit klar – die Erstellung eines Botnets.

In den nachfolgenden Tagen erschienen noch einige Modifikationen, die ebenfalls MS06-040 ausnutzten. Viele der altbekannten Schadprogramme, wie Rbot, SdBot ergänzten einfach ihr Exploit-Arsenal durch neue. Und wir erhielten waschechte Mutanten, bewaffnet mit Dutzenden gefährlicher Exploits für Windows – von MS03-026 bis MS06-040. Glücklicherweise unterscheiden sich Schwachstelle wie auch Inhalt des Exploits nicht sehr von bereits bekannten, was Anti-Viren-Herstellern ermöglicht, diese Viren ohne Update zu blockieren. Epidemien konnten vermieden werden und der August 2006 wurde nicht zum „schwarzen Monat“ in der Geschichte der Virologie.

Alles hätte sich einen Monat später – im September – ändern können. Am 19. September machte im Internet die Nachricht über eine neue Lücke im Internet Explorer die Runde. Die Sicherheitslücke lag im Bereich VML-Bearbeitung (Microsoft Vector Language) und ermöglichte die Erstellung eines Scripts, das beim Besuch der infizierten Webseite einen willkürlichen Code im System ausführte.

An diesem Tag entdeckte die Firma Sunbelt Software darüber hinaus auf einigen russischen Porno-Webseiten Exploits, die von Hackern erstellt wurden, was die Vermutung nahe legte, dass russische Hacker in die Erstellung und Verbreitung des VML Exploits verwickelt sind. Unsere eigenen Ermittlungen jedoch ergaben keine „russische Spur“.

Das dänische Unternehmen Secunia ratete die Schwachstelle als „extrem kritisch“. Dies ist die höchstmögliche Bedrohungsstufe, da diese Schwachstelle in jeder Windows-Version ausgenutzt werden kann.

Die nachfolgenden Tage brachten eine Menge neuer Hacker-Webseiten mit Script-Exploits der VML-Sicherheitslücke. Viele Virenschreiber nutzten diese Situation aus, um ihre Trojaner in Anwender-Computer einzuschleusen. Noch komplizierter wurde die Situation dadurch, dass es ein so genannter 0-Day-Exploit war, das heißt, es gab noch keinen Patch von Microsoft.

Das zweite Mal schon in diesem Jahr wurden wir mit diesem Problem konfrontiert – es gibt ein Exploit, das von Virenschreibern aktiv ausgenutzt wird, es werden massenweise Rechner infiziert – und von Hersteller-Seite passiert nichts. Und genau wie beim ersten Mal veröffentlichten einige unabhängige Experten und Unternehmen ihre eigenen inoffiziellen Patches zum Schließen der MS-Schwachstellen, um den Anwendern wenigstens irgendeinen Schutz zu bieten, bevor Microsoft aktiv würde.

Zum Glück war sich Microsoft bald der kritischen Situation bewusst und veröffentlichte einen außerordentlichen Patch. Dieser wurde nur eine Woche nach Entdecken der Schwachstelle veröffentlicht und dämmte die Infektionen deutlich ein. MS06-055 wird neben anderen bekannten Schwachstellen im Internet Explorer á weiterhin von Hackern genutzt und wir raten allen Anwender, schleunigst den notwendigen Patch zu installieren, sollten sie dies noch nicht getan haben.

Schlusswort

Die Ereignisse des dritten Quartals 2006 lassen die Schlussfolgerung zu, dass die zweite Etappe der Entwicklung von Viren und Antivirus-Technologien zuende geht. Die erste Etappe waren die 90er Jahre, als für den Kampf gegen Viren unkomplizierte Signatur-Methoden zur Erkennung ausreichten. Die Viren wiesen keine großartigen technologischen Unterschiede auf und die Probleme der Infektion konnten relativ einfach gelöst werden.

Mit Beginn des neuen Jahrtausends erschienen an vorderster Front E-Mail und Netz-Würmer, die für ihre Verbreitung sowohl Schwachstellen als auch den „Faktor Mensch“ ausnutzten. Die Fähigkeit von Würmern, in kürzester Zeit Massen-Infektionen auszulösen, hatte eine Zunahme des Cyber-Business zur Folge – die Virus-Technologien wurden komplizierter, das Spektrum der Schadprogramme breiter. In den Vordergrund rückten die Reaktionsgeschwindigkeit der Antivirus-Unternehmen, die Technologie bei der Code-Emulation, der Rootkit-Widerstand, der Schutz persönlicher User-Daten, Spam, Phishing, mobile Viren, Schwachstellen in Browsern und in der Netzwerk-Ausrüstung sowie vielfältige Malware-Arten, die sich nicht nur über E-Mail verbreiten, sondern auch über das Internet und Messaging-Systeme.

Der im gesamten Jahr 2006 beobachtete Trend, dass sich die alten Ideen sowohl in punkto Schutz als auch Angriff, erschöpft haben, findet in unseren Berichten seine Bestätigung. Die Virenschreiber versuchen krampfhaft, den aktuellen Schutztechnologien zu entgegen zu treten, entwickeln Konzept-Viren für neue Plattformen, graben sich immer tiefer ein auf der Suche nach Schwachstellen – doch findet all das keine Umsetzung unter realen Bedingungen. Ich meine damit, dass es derzeit keine tatsächlich ernsthaften Bedrohungen gibt, die Milliardenschaden anrichten könnten, so wie die Würmer Klez, Mydoom, Lovesan und Sasser in den vergangen Jahren.

Das, was derzeit passiert, ist teilweise einfach nur interessant, teilweise technologisch ausgereift und ernst zu nehmen (z.B. Kryptographie in Viren), aber im Großen und Ganzen verzeichnen wir einen deutlichen Rückgang beim Niveaus der Konfrontation. Die Bedrohungen sind nicht mehr derart global und langfristig wie früher – eigentlich passiert nichts wirklich Neues, sondern es handelt sich immer um ein- und dieselben Trojaner, Viren, Würmer, eben nur in viel höherer Zahl.

Diese Meinung wird natürlich von vielen angefochten. Mir jedoch scheint, dass die modernen Virenschreiber sich der zeitgenössischen „Antivirus-Denke“ anpassen und nicht bestrebt sind, zum Angriff überzugehen. Die Antivirus-Unternehmen können nicht schneller arbeiten als sie es derzeit tun und haben in ihrem Kampf gegen Malware eine technologische Grenze erreicht. Die Virusschreiber sind sowohl mit den Reaktionszeit der Antivirus-Unternehmen „zufrieden“, die teilweise nur wenige Stunden, manchmal sogar nur Minuten beträgt, als auch mit dem Ergebnis, das die Übeltäter in dieser Zeit erreichen können.

Ist die Situation so, wie ich sie mir vorstelle, so wird sich bald vieles ändern. Entweder gehen die Antivirus-Unternehmen zum Angriff über und schlagen diesen Virenwall nieder, oder es werden völlig neue Virengedanken geboren, die den Virenschutz vor neue Aufgaben stellen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.