Die Entwicklung der Schadprogramme in 2004

Jede Generation der Schadprogramm-‚Schreiber‘ wird auf den Schultern seiner Vorgänger getragen. Deshalb ist es nicht verwunderlich, dass die Keimlinge der ungestüm blühenden Programme des Jahres 2004 noch im Vorjahr erschienen.

Lovesan nutzte verstärkt Breschen im Betriebssystem zur Infektion der angreifbaren Maschinen über das Internet. Darüber hinaus besaß der Virus die Funktion der Durchführung von DDoS-Attacken. (So attackierte er beispielsweise den Server mit den Aktualisierungen für Windows).

Sobig.f übertraf mit Hilfe der Spam-Technologien alle bisherigen Rekorde (am Gipfel seiner Ausbreitung war jede zehnte E-Mail mit dem Virus infiziert). Der Virus initiierte zudem eine ‚Kettenreaktion‘: jede neue Variante des Wurms schuf ein Netz von infizierten Computern, welches später als Plattform für neue Epidemien genutzt wurde.

Die Nutzung der Schwachstellen in den Betriebssystemen zum Eindringen in ein Unternehmensnetz ist gegenwärtig eine alltägliche Erscheinung.

Als im September 2003 Swen auftauchte, deutete noch nichts auf das folgende Disaster hin: der Virus schien ein weiteres Mittel des Massenversands zu sein. Erfolg erlangte der Virus jedoch dank der Methode Social Engineering. Social Engineering ist ein Begriff für psychologische Lecks im Sicherheitssystem. Im Fall der Viren und Würmer bedeutet das die Täuschung der nichts ahnenden Anwender mit dem Ziel, die mit ihnen infizierte Anlage zu starten. Swen zog sich die Maske der Aktualisierung von Microsoft über, die die Breschen im Operationssystem schließen sollte. Somit manipulierte er mit dem anwachsenden Wunsch der Anwender, ihre Computer vor unrechtmäßigem Eindringen von außen abzusichern.

Die oben beschriebenen Tendenzen entwickelten sich weiter. Beispiel dafür sind all die Bedrohungen, mit denen wir 2004 zusammenstießen.

Die Nutzung der Schwachstellen in den Betriebssystemen für das Eindringen in ein Unternehmensnetz ist heute eine alltägliche Erscheinung. Die Autoren der Schadprogramme richten all ihre Aufmerksamkeit auf die Breschen in den Dienstprogrammen und Betriebssystemen. Einige Viren von 2004 – Sasser, Padobot, Bobax – nutzten die System-Schwachstellen als einzige attackierbare Stellen, verbreiteten sich über das Internet von Computer zu Computer, ohne dabei die traditionellen Methoden zu nutzen.

Andere Schadprogramme, darunter Plexus und die vielen Varianten von Bagle, NetSky und Mydoom, vereinigten in sich die Methode der Nutzung von Breschen im Betriebssystem mit weiteren Infektionsmethoden, z.B. dem Massenversand, oder der Nutzung von Netzressourcen – wie, beispielsweise, der Technologie P2P.

Eine Menge der, aus Sicht der Autoren der Schadcodes, ‚erfolgreichen‘ Viren ziehen ein ganzes Bündel verschiedener Attacken-Arten nach sich. So enthalten diese ‚Bündel‘ immer häufiger Trojaner-Komponenten des einen oder anderen Typs. In der Regel gelangen Trojaner über Viren oder Würmer in das System. Da in die Trojaner für gewöhnlich kein System zur Vermehrung und Infizierung anderer Computer eingebaut ist, werden sie oft als weniger gefährlich als Viren oder Würmer eingestuft. Dennoch, der Effekt des Auftauchens eines Trojaners im System kann gefährlich und nicht vorhersagbar sein. Die Trojaner werden nicht nur immer komplizierter, sondern auch immer häufiger für kriminelle Zwecke genutzt.

Eine Menge der, aus Sicht der Autoren der Schadcodes, ‚erfolgreichen‘ Viren ziehen ein ganzes Bündel verschiedener Attacken-Arten nach sich.

Gerade waren die Neujahrs-Feiertage 2004 vorbei, als der Trojaner-Proxy-Server Mitglieder die Aufmerksamkeit auf sich lenkte. Tausende ISQ-Nutzer erhielten eine Mitteilung mit einem Link auf die Seite führte, auf der sich dieses Trojaner-Programm befand. Mitglieder nutzte eine der beiden Schwachstellen im MS Internet Explorer, die es ermöglichte, ohne das Wissen des Anwenders, Proxy-Server auf der Maschine zu installieren und zu starten. Anschließend öffnete der Virus auf der Maschine eine Schnittstelle, um Post zu erhalten und anzunehmen. Im Resultat wurde das Netz der infizierten Maschinen zu einer ‚Zombie‘-Armee, die im gesamten Internet Spam versandte. Mitglieder machte die Trojaner-Proxy-Server zu einer gesonderten Kategorie von Schadprogrammen, die der Spam-Industrie sehr nahe sind. Wegen dieses Schadprogramms erhielt der Massenversand von Nachrichten und Briefen mit Links auf infizierte Webseiten große Popularität.

Viele Bedrohungen der Sicherheit, die Mitglieder folgten, nutzten die Trojaner-Technologie. Bagle, allen Anschein nach ein Wurm desselben Autors wie Mitglieder, installierte entweder Trojaner-Proxy-Server, oder aber lud ihn aus dem Internet. Wie auch immer, der Wurm war nur eine neue Version von Mitglieder, die in sich die Möglichkeit der Verbreitung über E-Mail enthielt. Bagle breitete sich über zuvor von Mitglieder infizierte Maschinen aus. Das weist auf ein weiteres wichtiges Kennzeichen der Bedrohungen 2004 hin: auf die Nutzung von Trojaner Komponenten mit dem Ziel, eine Plattform für weitere Epidemien zu erzeugen. Diese Technik führte zu einer weiten Ausbreitung nicht nur von Bagle, sondern auch von NetSky, Mydoom, sowie anderen ähnlichen Würmern. Sobald eine neue Variante eines solchen Wurms auftauchte, erhöhte sich die Zahl der infizierten Maschinen. Nachdem eine kritische Masse erreicht wurde kam es zu einer neuen Epidemie. Auf genau diese Art und Weise erlangte Mydoom seinen Erfolg, übertraf den Rekord von Wurm Sobig und wurde zur Ursache der Epidemie des bislang größten Ausmaßes in der Geschichte des Internets bis zum heutigen Tage. Der Wurm wandte Methoden des Social Engineering an und organisierte eine Attacke auf die Webseite www.sco.com, die dadurch einige Monate nicht funktionierte. Er hinterließ auf dem infizierten Computer ein Trojaner-Programm, welches zur Infektion durch andere Wurmversionen genutzt wurde, die der Hauptepidemie folgten.

Die Autoren von Bagle und NetSky nutzten erstmalig die Verschlüsselung der Anhänge an die infizierten Briefe durch Passwörter – offensichtlich, um das Auffinden des Schadprogramms zu erschweren.

2004 wurden wir Zeugen einer Schlacht miteinander konkurrierender Virenschreiber. Virus NetSky infizierte nicht nur die Computer, er entfernte außerdem jedes beliebige Exemplar der Viren Mydoom, Bagle und Mimail. Zu alldem kam hinzu, dass die Autoren von NetSky den Autoren von Bagle den Krieg erklärten. Auf der Bergspitze dieses ‚Krieges‘ angelangt, erschienen täglich einige Exemplare beider Würmer, die in ihrem Körper neue Bedrohungen gegen die ‚Feinde‘ enthielten.

Die Autoren von Bagle und NetSky nutzten erstmalig die Verschlüsselung der Anhänge an die infizierten Briefe durch Passwörter – offensichtlich, um das Auffinden des Schadprogramms zu erschweren. Das Passwort selbst war im Briefkörper enthalten, so dass der Anwender Zugang zu allen erforderlichen Daten für die Öffnung eines derartigen Anhangs hatte.

Die Technik des Massenversandes von infizierten Briefen ist schon seit Zeiten des Wurms Melissa im März 1999 effektiv; seit dieser Zeit wird sie zur Verbreitung der meisten bekannten angewandt. Man sollte jedoch nicht die anderen Verbreitungsmethoden außer Acht lassen. Über die eine haben wir bereits gesprochen: die direkte Infektion durch Nutzung von Breschen im Betriebssystem (siehe – Lovesan, Welchia, Sasser). Eine weitere Praxis, die im Jahre 2004 bekannt wurde, ist die Verbreitung von Links, die auf Webseiten führen, auf denen sich der Schadcode befindet. Das Trojaner-Programm Mitglieder, über das bereits gesprochen wurde, ist nicht das einzige, das auf diese Art und Weise verbreitet wurde: diese Methode wurde von einer Vielzahl von Würmern angewandt.

NetSky, beispielsweise, verbreitete sich, indem er Briefe verschickte, die Links auf früher infizierte Maschinen beinhalteten. Ähnlich Bizex, der erste ICQ-Wurm. Bizex drang auf die Computer über ISQ, schickte an alle in der Kontaktliste enthaltenen Anwender den Link auf die Seite, auf der sich der Wurmkörper befand. Indem die Anwender auf den Link klickten, wurde der Wurm auf den Anwender-Computer geladen und der Zyklus wiederholte sich. Snapper und Wallon gingen ähnlich vor, nur luden sie die Opfer der Trojaner-Programme auf den Computer, die der Wurmautor auf die Webseite platziert hatte.
Postadressen mit Links, werden, wie zu erwarten war, von den Anwendern nicht als eine Bedrohung der Sicherheit des Computers betrachtet. Viele Anwender gehen aller Wahrscheinlichkeit nach eher über den Link im Brief als über den Anhang. Dadurch werden die Sicherheitsmaßnahmen der Provider übergangen: ihre Firewall kann Anhänge mit verdächtigen Erweiterungen (exe, scr usw.) blockieren, aber die Briefe mit den Links gehen ungehindert daran vorbei. Zweifelsohne wird diese Methode auch weiterhin zur Anwendung kommen, und zwar so lange, bis die Anwender aufhören, so sorglos mit den Links umzugehen, die über die elektronische Post kommen.

Viele Anwender gehen aller Wahrscheinlichkeit nach eher über den Link im Brief als über den Anhang.

Wir haben darüber hinaus ein bemerkenswertes Anwachsen der Zahl der Trojaner-Spion-Programme registriert, die dazu da sind, vertrauliche Finanzinformationen ausspionieren. Wöchentlich erscheinen in der Welt Dutzende neue Varianten dieser Programme, die sich häufig in ihrer Form und ihren Funktionen voneinander unterscheiden. Einige von ihnen spionieren lediglich die über die Tastatur eingegebenen Daten aus, versenden beispielsweise das vom Anwender eingegebene Passwort über E-Mail an den Autor des Trojaner. Trojaner mit komplizierter Struktur bieten dem Autor die vollständige Kontrolle über das Computer-Opfer, versenden dessen Daten auf Remote-Server, um dann weitere Befehle von diesen Servern zu erhalten.

Meistens ist eine derartige totale Kontrolle über den Computer das Ziel der Trojaner-Autoren. Die infizierten Maschinen werden in Bot-Netze integriert, indem sie von den Übeltätern die Kommandos für die Tätigkeit in den IRC-Kanälen und auf den Webseiten erhalten. Noch kompliziertere Trojaner, wie einige Agobot-Varianten, verbinden alle infizierten Maschinen zu einem einzigen P2P-Netz. Wenn ein solches Bot-Netz entstanden ist, kann man es zur Verteilung von Spam pachten oder für DDoS Attacken nutzen (wie die Trojaner-Komponenten Wallon, Plexus, Zafi und Mydoom).

Auch die Zahl der Programme wächst, die selbst eigentlich nicht schädlich sind, jedoch im System ein Trojaner-Programm (Trojan-Dropper) hinterlassen oder die es aus dem Internet laden (Trojan-Downloader). Sie haben zum Ziel, auf der infizierten Maschine Schadprogramme zu installieren – sei es ein Virus, ein Wurm oder ein anderes Trojaner-Programm. Um dieses zu erreichen, benutzen sie jedoch verschiedene Methoden.

Die Programm-Klasse Trojan-Dropper enthalten in sich einen zusätzlichen Schadcode. Sie installieren entweder ein anderes Schadprogramm oder aktualisieren es zu einer neuen Version. Diese Programme können zugleich einige voneinander unabhängige Teile eines Schadcodes enthalten (mit unterschiedlichem Verhalten, und sogar von verschiedenen Autoren). Im Grunde ist das ein Komprimierer verschiedener Schadprogramme, die fähig sind verschiedene Arten von Schadcodes zu komprimieren. Häufig werden Trojan-Dropper für die Verbreitung bereits bekannter Trojaner benutzt, da es viel einfacher ist einen solchen Komprimierer zu schreiben, als einen völlig neuen Trojaner, der außerdem unbemerkt an den Antiviren vorbeikommt. Die Mehrheit dieser Programme sind mit Visual Basic Script (VBS) oder JavaScript (JS) geschrieben. Ihr Code ist relativ einfach und kann verschiedene Aufgaben ausführen.

Häufig nutzen die Virenschreiber Programme, die Trojaner auf den Computer laden, genauso wie Programme mit einer Trojaner-Komponente. Der Unterschied besteht darin, dass der Trojan-Downloader für den Übeltäter viel nützlicher sein kann. Er ist kleiner und kann endlos immer neue Versionen des Schadprogramms laden. Genau wie Programme mit einer Trojaner-Komponente, sind die Trojan-Downloader häufig in VBS und JS geschrieben, mit dem Unterschied jedoch, dass die Trojan-Downloader oft die Schwachstellen im MS Internet Explorer verwenden.

Diese Programm werden nicht nur für die Installierung eines anderen Schadcodes benutzt. Meistens werden sie, ohne das Wissen des Anwenders, zur Installation sogenannter adware è pornware angewandt, die zwar keine Viren sind, jedoch Informationen über den Anwender sammeln. Adware – sind Programme, die Reklame enthalten, manchmal Banner – ohne das Wissen und Einverständnis des Anwenders. Pornware – sind Programme, die mit kostenpflichtigen pornografischen Webseiten verbinden ebenfalls ohne das Wissen und Einverständnis des Anwenders.

Offensichtlich hat der Computer-Underground das Riesenpotenzial erkannt, im Netz, mit Hilfe selbst entwickelter Schadcodes Geld zu machen.

Die Benutzung von Trojanern für den Diebstahl von Passwörtern, für den Zugang zu vertraulicher Information, für DDoS-Attacken und für die Verbreitung von Spam führt zu einer wesentlichen Veränderung der Natur der Sicherheitsbedrohungen, nämlich zur Kommerzialisierung. Offensichtlich hat der Computer-Underground das Riesenpotenzial erkannt, im Netz, mit Hilfe selbst entwickelter Schadcodes Geld zu machen. Zu diesem Geschäftsfeld gehören ebenfalls die Nutzung von ‚Zombi-Maschinen‘ und der Verkauf von Zombi-Netzen auf Spammer-Auktionen. Oder, z.B. die Erpressung, wo ein solches Netz Zombi-Maschinen für Vorzeige-DDoS-Attacken auf Opfer-Webseiten genutzt werden (Zahle an uns, oder deine Webseite bricht zusammen, wenn wir die vollständige DDoS-Attacke starten.) Weiterhin existiert ein Diebstahl von Logins und Kennwörtern von Anwendern. Auch auf die sogenannte ‚phishing‘-Affäre sei hingewiesen, die die Anwender derart täuschte, dass sie dem Übeltäter ihre vertraulichen Bankdaten zuschickten (Benutzerkennwort, PIN-Code etc.).

2004 gab es die ersten Sicherheits-Bedrohungen für mobile Geräte. Cabir, der erste Virus für Handys tauchte im Juni auf. Das war, wenn man das so sagen darf, ein ‚konzeptuelles Projekt‘, welches die Möglichkeit der Entwicklung von Viren für diese Plattformen bekräftigte. Autor des Virus war eine Gruppe Virenschreiber, die sich 29A nennt. Die Sache von Cabir setzten im Juli Duts fort (auch von 29A geschrieben) und im August Trojaner Brador, der als Zielscheibe die Plattform der Pocket PCs wählte. Die Anzahl der mobilen Geräte wächst täglich und mit ihnen – die Nutzung der Schnurlos-Technologien (802.11b, Bluetooth usw.) Diese Geräte sind ziemlich kompliziert – sie nutzen IP-Service, ermöglichen einen Internetzugang und können leicht an die Unternehmensnetze angeschlossen werden. Auch ermöglichen sie den Nutzern eine remote-Verbindung mit anderen Geräten oder Webseiten. Leider hat jedoch ihre Sicherheit das Nachsehen: diese Geräte befinden sich oft außerhalb der Sicherheitsgrenzen des Systems des Unternehmensnetzes. Derartige Geräte beinhalten schon jetzt vertrauliche Informationen, und das bedeutet, sie können Ziehdraht für die Attacken der Übeltäter werden.

2004 gab es die ersten Sicherheits-Bedrohungen für mobile Geräte.

2004 gab es schallende Verhaftungen von Autoren der Schadcodes. Im Februar wurde die belgische Virenschreiberin Gigabyte verhaftet. Im Mai wurden in Deutschland zwei Übeltäter festgenommen: Sven Jaschan, der zugab, bei der Entwicklung von Sasser und einigen NetSky-Varianten beteiligt gewesen zu sein; der zweite Programmierer bei der Entwicklung unzählbarer Agobot-Varianten. Diese Verhaftungen folgten, nachdem Microsoft Belohnungen für die Information der Namen von Virenautoren ankündigte.

Im Juli wurde der ungarische Jugendliche, der sich selbst Laszlo K nannte, für die Verbreitung von Magold.a schuldig erklärt. Die Epidemie durch diesen Wurm wütete in Ungarn im Mai 2003. Der Jugendliche erhielt eine Bewährungsfrist von 2 Jahren und musste 2400 Dollar Gerichtskosten zahlen. Im gleichen Monat wurde ein Computer-Techniker aus Taiwan verhaftet und in Indien für die Verbreitung des Trojaners Cabrotor verurteilt: Oskar Lopez Chinrejos wurde zu 2 Jahren Freiheitsstrafe verurteilt. Weitere Verhaftungen gab es in Taiwan, Kanada und Rumänien. Im August stand Jeffrey Lee Parson vor Gericht, ein Jugendlicher aus Minnesota und wurde für die Schadensanrichtung durch den Wurm Lovesan.b für schuldig erklärt.

Die blitzartige Verbreitung der Viren und Würmer in den vergangenen Jahren macht die globale Gefahr für die Sicherheit nur allzu deutlich. Natürlich steht das Gesetz nicht auf der Stelle, und die Vereinigung der verschiedenen Länder zur Ergreifung der Verbrecher wird zu einem globalen Phänomen. Beispiel für die erfolgreiche Tätigkeit dieser Art lieferten die Verhaftungen im Oktober von 28 Leuten in 6 Ländern gleichzeitig, die sich durch den Diebstahl vertraulicher Daten schuldig gemacht hatten. An dieser Operation nahmen der Spionagedienst der USA teil, das Nationale Komitee für den Kampf gegen das Verbrechen im Vereinigten Königreichen, die Vancouver Polizei-Abteilung für den Kampf gegen die Finanzverbrechen (Kanada), die Königliche berittene Polizei (Kanada), Europäische Polizei, sowie die Polizei Weißrusslands, Polens, Schwedens, der Niederlanden und der Ukraine.

Vor kurzem wurde ein russischer ‚Phisher‘ in Boston festgehalten und für viele Racket-Vorfälle, für den Diebstahl persönlicher Daten und für die gesetzeswidrige Nutzung von Ablesegeräten der Kreditkarten-Informationen beschuldigt.

Natürlich werden die Schöpfungen der Übeltäter weiterhin vervollständigt.
Die Programmautoren werden neue Möglichkeiten einbauen, um sie noch effektiver zu gestalten.

Was hält die Zukunft für uns bereit? Aller Wahrscheinlichkeit nach ‚alles dasselbe wie bisher, nur viel mehr‘. Und zwar so lange, wie die oben beschriebenen Techniken effektiv die Anwender PCs attackieren, und solange die Autoren der Schadcodes ihre Anwendung fortsetzen. Wir sprechen über die von den Virenautoren geprüften Methoden, solchen, wie den Massenversand und die Nutzung der Breschen in den Betriebssystemen für die Attacken auf angreifbare Computer, wie die Verbreitung der Trojaner zur Informations-Spionage, die Schaffung von Plattformen für DDoS-Attacken oder die Verbreitung von Spam. Wir reden auch über Techniken, die erstmalig in diesem Jahr zur Anwendung kamen, beispielsweise die Nutzung von Links zum Schadcode in Briefen, eine Methode; die sehr gut sowohl unter den Schadcode-Autoren ankamen, als auch unter denen, die diese für die Programm-Erstellung bezahlen, um somit illegale Einkünfte erzielen. Natürlich vervollständigen die Übeltäter konsequent ihre Schöpfungen. So bauen die Programmautoren neue Möglichkeiten ein, um sie noch effektiver zu gestalten. Sie ergänzen ‚Selbstschutz‘-Algorithmen, um das Erkennen und Entfernen weiter zu erschweren. Wie auch schon in der Vergangenheit kreieren die Autoren der Schadprogramme völlig neue Schreibvarianten. So zielen ihre Aktivitäten im Einzelnen auf mobile Geräte, die in Massen sowohl von Unternehmen als auch von privaten Anwendern genutzt werden.

Die bedeutendsten Viren (Epidemien) 2004

Mydoom.a (Februar 2004) und Sasser.a (Mai 2004).

Die wichtigsten Unterschiede im Vergleich zum Vorjahr

  • die Kriminalisierung des Internets, die Migration der Virenschreiber und Hacker in die Erarbeitung von Reklamesystemen, und auf der anderen Seite
  • die hohe Operativität der Antivirus-Unternehmen, die Aktivisierung der Polizei, die häufig die Schuldigen ergreifen und verurteilen

Haupttendenzen im vergangenen Jahr 2004

  • So genannte adware (Reklame-Systeme) werden zu einem der Hauptprobleme der Computer-Sicherheit.
  • Der Postfluss ist mit Spam überfüllt, eine Arbeit mit der Post ohne Antispam ist meist unmöglich geworden.
  • Erfolgreiche Massen-Attacken auf Internet-Banken.
  • Zahlreiche Vorfälle des Internet-Racket (DDoS-Attacken mit nachfolgender Erpressung.)
  • Die Antivirus-Unternehmen müssen Schutzmittel gegen adware in ihre Produktpalette einschließen.
  • Die Reaktions-Schnelligkeit der Antivirus-Unternehmen wird zu einem Hauptkriterium der Qualität des angebotenen Schutzes.
  • Das Erscheinen zahlreicher Antispam-Lösungen – die Anwendung der einen oder anderen Lösung wird de-facto- Standard für die Provider
  • Erfolgreiche Verfolgungen und Verhaftungen (ungefähr 100 Hacker wurden verhaftet, drei davon gehörten zu den 20 vom FBI meistgesuchten Verbrechern).
    Quellen:

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.