Cyberkriminelle Spione

Einleitung

Der Schutz schien wasserdicht. Doch der Spion wusste bestens, wo er die Lücke in der Verteidigung zu suchen hatte. Er war eigens dazu ausgebildet worden, jedes Schlupfloch zu nutzen, um ins System einzudringen. Und der Spion tut stets, wie ihm geheißen, um dann in jede gewünschte Rolle zu schlüpfen: in die eines Auskundschafters, eines Diebes oder eines Geheimagenten, der das System dazu zwingt, im Interesse seiner Herren zu arbeiten. Solange das Schlupfloch nicht geschlossen wird…

Das ist keine Episode aus einem Computerspiel. Die Szene beschreibt vielmehr die Funktionsweise von Exploit-Programmen, die Sicherheitslücken in Software ausnutzen und heimlich in die attackierten Computer eindringen.

Sicherheitslücken und Exploits

Eine Sicherheitslücke ist ein Fehler im Programmcode, den Cyberkriminelle unter bestimmten Voraussetzungen für ihre Zwecke einsetzen können. Ein Exploit ist dagegen ein Programm, das eine Sicherheitslücke in der Software auf einem lokalen oder entfernten Computer zu eindeutig schädlichen Zwecken ausnutzt.

Die Hauptaufgabe eines Exploits besteht in der Infizierung des angegriffenen Computers mit einem bestimmten Schädling. Da ein Exploit selten von großem Umfang ist, fungiert er in den allermeisten Fällen als Downloader. In der Regel laufen alle schädlichen Aktionen für den Anwender unbemerkt ab. Sicherlich kommt es manchmal vor, dass der Browser abstürzt, doch ein Laie wird deshalb noch lange keinen Verdacht schöpfen.

Sicherheitslücken gibt es in nahezu allen Programmen und auch populäre Software bildet hier keine Ausnahme. Wie sich die Entwickler auch bemühen, es ist unrealistisch, alle Fehler aus dem Programmcode zu entfernen. Dabei kann sich die Sicherheitslücke beispielsweise sowohl im Programm, welches das Exploit-Dateiformat bearbeitet, als auch in einem virtuellen Rechner befinden, der ein Skript ausführt. Daher integrieren Cyberkriminelle Exploits in Dateien unterschiedlichster Formate und in verschiedenste Protokolle: JPEG, TIFF, BMP, GIF, ANI, LNK und andere. Es kommt vor, dass eine komplette Datei ein Exploit ist, zum Beispiel ein in JavaScript programmiertes Skript, das eine Sicherheitslücke im Internet Explorer ausnutzt.

In den allermeisten Fällen enthält ein Exploit so genannten Shellcode. Dabei handelt es sich um eine Byte-Reihenfolge, die eine Sammlung von Maschineninstruktionen darstellt und vom Prozessor ausgeführt werden kann. In der Regel lädt der Code einen Schädling auf den Computer des Anwenders und startet diesen dann. Allerdings gibt es auch Sicherheitslücken, bei deren Ausnutzung kein Shellcode ausgeführt wird. So führt beispielsweise der Exploit für die Sicherheitslücke CVE-2010-1885 im Help and Support Center von Microsoft HTML-Code aus. Darin ist normalerweise das Tag  script  enthalten, in dem sich auch das schädliche Skript befindet, das anschließend die ein oder andere Aktion ausführt. Ein weiteres Beispiel ist die Ausnutzung der Sicherheitslücke CVE-2010-2568 in LNK-Dateien, von der später noch die Rede sein wird: Sie führt zum Download einer dynamischen Bibliothek in den Arbeitsspeicher.

Einige Exploits sind zusätzlich gefährlich, weil ihre Aktionen direkt von einer vertrauenswürdigen Anwendung ausgeführt werden. Dazu kann es kommen, wenn ein Exploit zum Beispiel über eine Sicherheitslücke in einem Internet-Browser einen Schädling lädt. In diesem Fall blockiert die Firewall den Download nicht, weil diesem Programm derartige Aktionen erlaubt sind.

Ihr Computer in Gefahr

Es gibt viele Wege, um einen Exploit in Computer einzuschleusen. Die gängigste Methode ist die Infizierung legitimer Ressourcen. Zu diesem Zweck werden meist die Skript-Downloader Gumblar und Pegel verwendet. Diese Schädlinge landen auf den Computern der Besucher gehackter Websites und laden dann ein schädliches Skript, das eine Vielzahl von Exploits enthält.

In der Regel verwenden die Cyberkriminellen in solchen Fällen ein Exploit-Pack – eine Sammlung von Exploits für Sicherheitslücken in den unterschiedlichsten Browsern und Anwendungen. Die Rechnung der Cyberkriminellen ist simpel: Auf jedem der angegriffenen Computer ist andere Software installiert. Daher erhöht der Einsatz eines Exploit-Packs die Wahrscheinlichkeit, dass zumindest einer der Exploits passt und seine schädliche Funktion ausführen kann. Sind zum Beispiel auf einem Computer Chrome, Adobe Reader und die Java Engine installiert, aber nur letztere nicht gepatcht und damit verwundbar, reagiert das auf die Lücke in Java ausgerichtete Exploit aus der Sammlung und kann das gewünschte Schadprogramm auf den Computer laden.

Diesen Angriffstyp bezeichnet man als Drive-by-Download. Diese sind besonders gefährlich, weil der Anwender noch nicht einmal ahnt, was in seinem System vor sich geht. Nicht zufällig wurden in der letzten Zeit viele Schädlinge ausgerechnet mit Hilfe von Drive-by-Downloads verbreitet, darunter auch sehr gefährliche und komplexe Programme wie Zbot/ZeuS, TDSS, Sinowal und Virut.ce.

Das allgemeine Infizierungsschema eines Anwendercomputers mit dem Bot Zbot/ZeuS sieht in der grafischen Darstellung folgendermaßen aus:


Schema einer Infizierung mit Zbot/Zeus mit Hilfe von Exploits

Im ersten Schritt des Infizierungsprozesses besucht der User eine Website, die mit dem Schädling Trojan-Downloader.JS.Pegel infiziert ist. Daraufhin leitet Pegel ihn auf eine Seite um, die ein Exploit-Pack enthält. Dann wird versucht, direkt einen Bot herunterzuladen und zu installieren. Im letzten Schritt wird der infizierte Computer mit dem Steuerungszentrum des Botnetzes verbunden und dem Zombie-Netzwerk angegliedert.

Zur Verbreitung von Exploits ist auch die Methode des Social Engineering recht weit verbreitet. In diesen Fällen erhält der Anwender zum Beispiel einen Link auf eine „neue private Mitteilung“, die angeblich von Facebook stammt. In seinem Posteingang kann auch eine angeblich von seiner Bank verschickte Mail landen, die ihn auffordert, auf einer bestimmten Website sein „Konto zu entsperren“. Klickt der Anwender in einer solchen gefälschten Mitteilung auf den entsprechenden Link, so ist es sehr wahrscheinlich, dass er sich dadurch selbst ein Exploit auf seinen Rechner lädt.

Ist ein Computer bereits mit einem Trojan-Downloader infiziert, so kann dieser die verschiedensten Schädlinge ins System laden und dort installieren, darunter auch solche, die Sicherheitslücken ausnutzen.

Am effektivsten funktioniert die Verbreitung von Exploits allerdings über einen infizierten Computer in einem lokalen Netzwerk. In diesem Fall wird eine spezielle Netzanfrage an alle Computer im Netzwerk gesendet, die zur Ausnutzung der Sicherheitslücke führt. Genauso verbreiten sich zum größten Teil die gefährlichen Würmer Kido und Lovesan. Mit dieser Methode kann innerhalb kürzester Zeit das gesamte lokale Netz infiziert werden. Danach ist es nicht eher möglich, die Infizierung zu stoppen, bis die Lücke in der verwundbaren Komponente geschlossen ist.

Was Exploits bewirken

In der jüngsten Vergangenheit hingen alle bedeutenden Ereignisse aus der Welt der IT-Sicherheit mit der Ausnutzung von Sicherheitslücken durch Cyberkriminelle zusammen.

Das Erscheinen des Netzwurms Kido/Conficker kann man in der IT-Branche ohne zu übertreiben als das bedeutendste Ereignis der letzten zehn Jahre bezeichnen. Das Besondere an diesem Schädling ist seine simple Verbreitungsmethode über die Sicherheitslücke MS08-067 im Serverdienst von Windows. Dazu muss der Wurm nur ein speziell formatiertes Paket an den angegriffenen Computer senden. Ist das Betriebssystem nicht gepatcht, wird der schädliche Code ausgeführt.

Ein anderes bedeutendes Ereignis der letzten Zeit ist die zielgerichtete Attacke auf Microsoft und Google, deren Ziel der Diebstahl vertraulicher Unternehmensdaten war. Der Angriff wurde mit Hilfe des schädlichen Skripts Aurora umgesetzt, das sich die Sicherheitslücke CVE-2010-0249 im Microsoft Internet Explorer zu Nutze macht.

Kürzlich erschien der Wurm Stuxnet auf der Bildfläche, der die neue Sicherheitslücke CVE-2010-2568 in LNK-Dateien ausnutzt. Damit lässt sich ein Schadprogramm allein dadurch verbreiten, dass ein spezieller LNK-Shortcut entwickelt und auf dem angegriffenen Computer platziert wird. Öffnet der Anwender diesen Shortcut, tritt der Schädling in Aktion. Diese Shortcuts lassen sich auch per E-Mail verbreiten: Versucht der E-Mail-Client, das Icon darzustellen, startet der Download des Schadprogramms. Aktuell tauchen immer mehr Schädlinge für die Sicherheitslücke in LNK-Dateien auf. So wurde beispielsweise der Dropper Sality.ag entdeckt, der sich mit Hilfe verwundbarer Shortcuts verbreitet.


Entdeckungs-Statistik für den Exploit zur Sicherheitslücke CVE-2010-2568

Selbst nach Veröffentlichung des Microsoft- Patches MS10-046 am 2. August hält sich die Zahl der entdeckten Exploits für die Sicherheitslücke CVE-2010-2568 auf gleichbleibendem Niveau. Deshalb kann man davon ausgehen, dass die Cyberkriminellen diese Sicherheitslücke auch in Zukunft weiter ausnutzen.

Interessant ist, dass die Kurve jeden Sonntag einbricht. Dieses Phänomen hängt offensichtlich damit zusammen, dass die Anwender ihre Computer am Wochenende seltener einschalten.

Programm-Patches

Zweifellos können offene Sicherheitslücken in gängiger Software äußerst unangenehme Folgen nach sich ziehen. Daher veröffentlichen die Hersteller so genannte Patches – Flicken also, um die Löcher in den Anwendungen zu stopfen. Es handelt sich dabei um kleine Programme, die Fehler in den angreifbaren Dateien korrigieren.

Die automatische Aktualisierung der auf den Anwendercomputern installierten Programme ist überaus wichtig und hat direkten Einfluss auf die Sicherheit des Betriebssystems. Microsoft, dessen Produkte rund um den Globus auf den meisten Computern laufen, wurde zum Pionier auf diesem Gebiet. So konnten bereits die Nutzer von Windows 98 den Windows Update-Service unentgeltlich nutzen und so unter anderem Patches für verwundbare Anwendungen, aktuelle Treiber-Versionen und zusätzliche Komponenten beziehen. Mit der Zeit entwickelte sich dieser Dienst zum globaleren und ebenfalls kostenlosen Service Microsoft Update. Dieser überprüft, ob Updates für bestimmte Microsoft-Produkte wie SQL-Server, Visual Studio oder Office bereit stehen.

Während Cyberkriminelle früher hauptsächlich Sicherheitslücken in Windows ausnutzten, nahmen sie in den letzten Jahren zunehmend die Produkte von Adobe ins Visier – unter anderem Flash Player und Adobe Reader. Anfangs korrigierte Adobe die entdeckten Fehler ebenso ungern wie langsam. Doch mit der Zeit wurde immer deutlicher, dass der Endanwender so nicht zufriedenzustellen war. Als Folge wurde der Adobe Updater veröffentlicht, der die gleiche Funktion wie Windows Update erfüllt, nämlich den automatischen Download und die automatische Installation von Patches für installierte Adobe-Programme. Derzeit ist Sun, deren Java-Engine ebenfalls Sicherheitslücken enthält, die durch Exploits ausgenutzt werden, ebenfalls bemüht, die Veröffentlichung von Updates zu organisieren.

Auch die Entwickler von Antiviren-Software sind nicht untätig und geben Aktualisierungen mit den Signaturen gefährlicher Exploits heraus. So stoßen die Cyberkriminellen zumindest auf etwas Widerstand, bis die offiziellen Updates der Hersteller die Sicherheitslücken schließen. Die Zusammenarbeit zwischen Microsoft und Adobe sowie Antiviren-Anbietern vermindert die Reaktionszeit auf Bedrohungen und verbessert den Schutz der Anwender.

Besser rechtzeitig

Aktuell leiten Exploits den Großteil aller Attacken im Internet ein und ermöglichen es den Cyberkriminellen, unbemerkt die gewünschten Schadprogramme auf den Computer des Anwenders zu laden. Zudem bieten viele Sicherheitslücken den Betrügern die Gelegenheit, uneingeschränkt auf das System zuzugreifen. Wie können Anwender vor derartigen Übergriffen geschützt werden?

Die erste und zugleich wichtigste Regel lautet: Unbedingt rechtzeitig die Updates für die auf dem Rechner laufende Software installieren! Doch Daten von Kaspersky Lab zufolge aktualisieren viele Anwender die Anwendungen auf ihren Computern leider nicht rechtzeitig. Das belegen viele ungepatchte Sicherheitslücken, die auf den Rechnern der User entdeckt wurden. Dabei sind gerade solche Sicherheitslücken am häufigsten anzutreffen, die bereits seit einigen Monaten oder gar Jahren bekannt sind.

So wurden im dritten Quartal 2010 auf den Anwendercomputern 31.425.011 nicht gepatchte verwundbare Anwendungen und Dateien identifiziert. In den Top 20 dieses Quartals waren zudem Sicherheitslücken vertreten, die bereits seit 2009, 2008 und sogar 2007 bekannt waren!

Man täuscht sich, wenn man meint, Cyberkriminelle würden ausschließlich neue Fehler in Softwareprodukten ausnutzen. Unter den verschiedenen Exploits, die es allmonatlich in das Rating der am weitesten verbreiteten Schadprogramme schaffen, befinden sich auch immer wieder Exploits zu alten Sicherheitslücken. So waren im August 2010 unter Cyberkriminellen verschiedene Exploits äußerst beliebt, die hinlänglich bekannte Sicherheitslücken ausnutzen, und zwar CVE-2009-3867, CVE-2010-0806 und CVE-2010-0094.

Man sollte das Erscheinen neuer Updates unbedingt aufmerksam verfolgen und diese, wenn nötig, auch manuell installieren. Auf jeden Fall sollten auf jedem Computer Dienste wie Microsoft Update und Adobe Updater aktiviert sein. Neben den Aktualisierungen für die Produkte von Microsoft und Adobe darf man nicht die Updates für andere Programme außer Acht lassen, wie zum Beispiel für den populären Player Winamp.

Die Grundregeln der Computersicherheit sollte man sich immer vor Augen halten: Niemals E-Mails von unbekannten Absendern öffnen und niemals auf unbekannte Links klicken. Die meisten modernen Browser wie Google Chrome, Mozilla Firefox und Internet Explorer verfügen über spezielle Filter, die Phishing-Sites und schädliche Webseiten blockieren. Es empfiehlt sich daher, einen Browser mit solchen integrierten Filtern zu verwenden.

Und nicht zuletzt muss auf jedem Rechner unbedingt ein vollwertiges Antiviren-Programm mit den neusten Updates laufen, das Exploits abwehrt, die noch nicht gepatchte Sicherheitslücken ausnutzen.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.