Entwicklung der IT-Bedrohungen im ersten Quartal 2010

Der Quartalsbericht beruht auf Daten, die mit Hilfe des Kaspersky Security Network gewonnen und ausgewertet wurden.1

Inhalt

Fakten und Zahlen im ersten Quartal

  • Im ersten Quartal 2010 gab es 327.598.028 Infizierungsversuche in
    verschiedenen Ländern der Welt – das ist um 26,8 Prozent mehr als im vorangegangenen Quartal.

  • Der Anteil der Angriffe auf chinesische Anwender hat sich um 13 Prozent verringert.
  • Im Internet dominieren die Schädlingsfamilien, die aus HTML-Code oder Skripts bestehen und von Cyberkriminellen meist auf legalen Webseiten platziert werden.
  • Kaspersky Lab identifizierte 119.674.973 schädliche Hostings. US-amerikanische Server beherbergen dabei die meisten Schadprogramme – vor den bisherigen Spitzenreitern China.
  • Im ersten Quartal 2010 wurden um 6,9 Prozent mehr Schwachstellen entdeckt als im vorigen Quartal. Sechs von zehn der am weitesten verbreiteten Sicherheitslücken wurden in Produkten von Microsoft entdeckt.
  • Die Zahl der Exploits ist um 21,3 Prozent gestiegen. Etwa die Hälfte aller Exploits nutzt Schwachstellen in Adobe-Produkten aus, was sich mit der Popularität und der Plattformunabhängigkeit dieser Software erklären lässt.
  • Praktisch jedes Gerät, das mit dem Computer synchronisierbar ist, wird von Cyberkriminellen als Verbreitungsmedium von Schadprogrammen genutzt. So wurde zum Beispiel im ersten Quartal 2010 sogar über ein USB-Akkuladegerät der Firma Energizer Malware verbreitet.

Allgemeine Lage

Die meisten Cyberangriffe im ersten Quartal 2010 basierten auf Internet-Bedrohungen. So setzen Cyberkriminelle aktuell stark auf Infizierungen per Drive-by-Download. Das Schlüsselelement solcher Angriffe ist ein Bündel an Exploits, die verschiedene Schwachstellen in den Browsern und in den dazugehörigen Plug-ins ausnutzen.

Großes Medienecho rief die so genannte „Operation Aurora“ hervor, ein Hackerangriff auf Großunternehmen wie etwa Google und Adobe. Zur Durchführung dieser zielgerichteten Attacken verwendeten Hacker ein Exploit, das von Kaspersky Lab als Exploit.JS.Aurora erkannt wird. Das Exploit nutzt die Schwachstelle CVE-2010-0249 aus, die in einigen Versionen des Microsoft Internet Explorer entdeckt wurde. Der Angriff wurde mit Hilfe eines zielgerichteten E-Mail-Versands durchgeführt. In der Mail war ein Link auf eine Webseite mit dem Exploit enthalten. Fielen Nutzer darauf herein, luden sie sich beim Besuch der Seite unbemerkt der Hauptschädling auf den Computer. Das Ziel der Hackerattacken: Vertrauliche Nutzer- und Unternehmensdaten, unter anderem Quellcodes von Großprojekten.

Als die Attacke publik wurde, rieten die Deutsche, Französische und Australische Regierung ihren Bürgern, alternative Browser (wie zum Bespiel Firefox) zu nutzen – zumindest so lange, bis ein entsprechendes Patch veröffentlicht wird. Die Entwickler von Microsoft wussten bereits seit September 2009. von dieser Sicherheitslücke. Bekanntermaßen veröffentlicht Microsoft monatlich am so genannten „Patch Tuesday“ Reparaturprogramme für seine Produkte. Das Problem dabei: Die Cyberkriminellen nutzen die aktuellen Schwachstellen zwischen zwei „Patch Tuesdays“ mit fast hundertprozentiger Sicherheit aus, so dass die Exploits bis zum nächsten Patch-Dienstag auf einem großen Teil der Anwendercomputer problemlos ihre schädliche Funktion ausführen können.

Da der Zwischenfall mit dem Exploit Aurora in den Medien so hohe Wellen schlug, sah sich Microsoft dazu gezwungen, noch vor dem geplanten Stichtag ein Patch für die Sicherheitslücke CVE-2010-0249 zu veröffentlichen. Zum Ende des Quartals veröffentlichte Microsoft ein weiteres so genanntes Out-of-Band-Patch für den Internet Explorer. Das zeugt davon, dass die Software-Hersteller ein größeres Verantwortungsbewusstsein für das Thema Sicherheit ihrer Produkte entwickeln. Bleibt nur zu hoffen, dass diese Tendenz anhält.

Im Anblick der aktuellen Ereignisse erwartete man von Adobe, dass die Veröffentlichung von automatischen Updates der Anwendungen wesentlich beschleunigt und so verbessert wird. Und tatsächlich: Am 13. April 2010 aktivierte Adobe einen neuen Update-Service für die Produkte Reader und Acrobat der neusten Versionen unter Windows und MacOS X. Dabei handelt es sich um eine durchaus angebrachte Maßnahme, denn nach Erkenntnissen von Kaspersky Lab nutzen die Virenschreiber in erster Linie Schwachstellen in den Programmen von Adobe aus. Und das, obgleich mehr Schwachstellen in Microsoft-Produkten als in Adobe-Produkten gefunden wurden. Die Tatsache, dass Adobe für Cyberkriminelle zur Zielscheibe Nummer eins geworden ist, hängt vielmehr mit der Popularität und der Plattformunabhängigkeit dieser Software zusammen.

Ein weiterer, aktueller Trend besteht darin, dass bereits bestehende Schadprogramme aktualisiert und technisch verfeinert werden. Hartnäckige Hackergruppen feilen ständig an ihren Machwerken. Beispiele hierfür sind die Aktualisierung des derzeit bekanntesten Virus Sality sowie eine neue Funktion des Botnetz-Trojaners ZeuS, die es erlaubt, einen infizierten Computer komplett fremd zu steuern.

Auch die ständige Weiterentwicklung von Pseudo-AV-Programmen, so genannte Rouge-AV-Programme, verdeutlicht den Trend ständiger Malware-Weiterentwicklungen. Im Gegensatz zu anderen Schädlingen, die versuchen ihre Aktivität im System zu verbergen, wollen die gefälschten AV-Programme genau das Gegenteil erreichen: nämlich die Aufmerksamkeit der Anwender auf sich ziehen. Dabei verwenden die Entwickler dieser Programme unterschiedliche Techniken, um die User in die Irre zu führen. Eine dieser Techniken ist das Kopieren der Benutzeroberflächen von AV-Programmen bekannter Hersteller, darunter Avira, AVG oder Kaspersky Lab. Je genauer die Fälschung dem Original ähnelt, desto größer sind dann die Chancen, dass selbst erfahrene Benutzer den Cyberkriminellen auf den Leim gehen und ein gefälschtes AV-Produkt kaufen. Zudem sind die Zeiten, in denen man ein echtes Antiviren-Programm unter anderem daran erkennen kann, dass es mehrere Sprachen unterstützt und einen technischen Support bietet, längst vorbei: Im ersten Quartal 2010 registrierte Kaspersky Lab zahlreiche lokalisierte Rogue-AV-Lösungen. Immer häufiger tauchten auch falsche AV-Programme auf, die technischen Support anbieten.

Im Laufe des ersten Quartals 2010 wurden praktisch alle wichtigen Ereignisse auf der Welt von Cyberkriminellen für Social-Engineering-Tricks missbraucht – mit dem Ziel, so viele potentielle Opfer wie möglich auf eine infizierte Webseite zu locken. Das iPad, der Kinofilm Avatar, das Erdbeben auf Haiti oder die Terroranschläge in Moskau – alles aktuelle Themen, in deren Rahmen Online-Betrügereien stattfanden.

Für die Verbreitung der Links auf infizierte Webseiten verwenden Virenschreiber verschiedene Methoden, darunter Postings in sozialen Netzwerken über eigene gefälschte Accounts, Spam-Versand oder auch das so genannte Suchmaschinen- oder SEO-Poisoning. SEO-Poisoning basiert auf Techniken der Suchmaschinenoptimierung, die bewusst eine Verletzung der Suchmaschinen-Richtlinien in Kauf nehmen, auch bekannt als Black-SEO. Das Ergebnis: Dem Anwender werden Suchtreffer auf der ersten Seite angezeigt, die auf infizierte Webseiten führen. Meistens werden über diese Seiten gefälschte Antiviren-Programme auf die Computer der Anwender geladen – ein Problem, dem sich Suchmaschinenanbieter verstärkt widmen müssen.

Mitte Dezember 2009 wurden die Vorschriften bei der Erstellung von Internetadressen in der chinesischen Domain-Zone .cn verschärft. Nach der Einführung neuer Richtlinien für die Registrierung von Domains durch das CNNIC (China Internet Network Information Center) ist nun ein schriftlicher Antrag erforderlich sowie – und das ist das Entscheidende – ein Ausweisdokument und die Lizenz zur Führung einer kommerziellen Tätigkeit. Bereits registrierte Seiten werden einer Prüfung unterzogen, und wenn der Inhaber die geforderten Daten nicht vorweisen kann, wird die Seite offline genommen. Um die Überprüfung von .cn-Domains zu erleichtern, ist die Registrierung über ausländische Services verboten. Die Maßnahmen zeigen – wie die Zahlen des ersten Quartals 2010 illustrieren – bereits ihre Wirkung: Kaspersky Lab stellte einen wesentlicher Rückgang an Schadcontent in dieser Internetzone fest. Mehr dazu lesen Sie im Abschnitt „Geografie der Bedrohungen“.

Insgesamt gab es im vergangenen Quartal zuhauf Ereignisse, die gezeigt haben, wie aktuell das Problem „Schutz vor Schadcode“ nach wie vor ist – sowohl für Heimanwender als auch für Unternehmen. Es ist bezeichnend, dass für das Hacken von Unternehmenssystemen im Prinzip dieselben Techniken und dieselben Schadprogramme verwendet werden wie für das Hacken von Privatrechnern. Hackergruppen entwickeln und perfektionieren universelle Schadprogramme, die zu unterschiedlichen Zwecken eingesetzt werden können. Als herausragende Beispiele hierfür dienen der sich immer wieder verändernde Trojaner Zbot (ZeuS) und die sich ständig entwickelnden Exploit-Packs. Ein solcher Universalcode kann von Hackern auf verschiedene Weise zum halblegalen Gelderwerb genutzt werden, was sich auch in den Zahlen der Quartalsstatistik widerspiegelt sowie in dem steigenden prozentualen Anteil potentiell unerwünschter Software.

Länder, deren Bewohner am häufigsten angegriffen wurden

Es folgt eine Aufstellung der Länder, in denen die Anwender am häufigsten Cyberattacken ausgesetzt waren. Die Statistik ist – wie die quartalsmäßige Untersuchung zeigt – absolut stabil, doch auch hier gab es im Vergleich zum vorhergehenden Quartal einige Veränderungen.

Q1 2010 Q1 2009
1 China 18.05% 1 China 31.07%
2 Russische Föderation 13.18% 2 Russische Föderation 9.82%
3 Indien 8.52% 3 Indien 6.19%
4 USA 5.25% 4 USA 4.60%
5 Vietnam 3.73% 5 Deutschland 3.08%
6 Deutschland 3.01% 6 Vietnam 3.07%
7 Malaysia 2.69% 7 Ukraine 2.20%
8 Frankreich 2.38% 8 Mexiko 2.17%
9 Ukraine 2.34% 9 Malaysia 2.05%
10 Spanien 2.30% 10 Spanien 1.90%
11 Italien 2.24% 11 Frankreich 1.74%
12 Mexiko 2.09% 12 Türkei 1.69%
13 Saudi Arabien 1.99% 13 Ägypten 1.62%
14 Türkei 1.92% 14 Italien 1.62%
15 Großbritannien 1.60% 15 Brasilien 1.43%
16 Brasilien 1.57% 16 Großbritannien 1.31%
17 Ägypten 1.48% 17 Saudi Arabien 1.24%
18 Thailand 1.30% 18 Polen 1.04%
19 Philippinen 1.11% 19 Thailand 1.03%
20 Indonesien 1.08% 20 Bangladesch 0.99%
  Andere 22.16%   Andere 20.12%

Innerhalb des ersten Quartals 2010 registrierte Kaspersky Lab 327.598.028 Infizierungsversuche auf Anwendercomputer in verschiedenen Ländern der Welt – das ist eine Steigerung von 26,8 Prozent im Vergleich zum letzten Quartal des Jahres 2009. Bei den Positionen der Länder im Rating haben sich einige unwesentliche Veränderungen ergeben, allerdings hat sich der Anteil der Angriffe auf chinesische Nutzer um ganze 13 Prozent verringert. Berücksichtigt man außerdem, dass die Zahl der Angriffe gleichzeitig insgesamt um mehr als ein Viertel gestiegen ist, so bedeutet dies, dass die Cyberkriminellen sich offensichtlich neue Zielscheiben für ihre Attacken gesucht haben.

In erster Linie attackierten die Cyberkriminellen Anwender in Industrienationen oder in wirtschaftlich aufstrebenden Staaten. In Amerika sind das vor allem die USA und Mexiko, in Westeuropa Deutschland, Frankreich, Italien, Spanien sowie Großbritannien und in Osteuropa Russland und die Ukraine. In diesen Ländern nutzen zahlreiche Anwender Online-Banking-Systeme und elektronisches Geld – dementsprechend größer sind die Chancen der Online-Kriminellen an das Geld der Opfer zu kommen.

Ein Viertel aller Platzierungen wird von asiatischen Ländern belegt, in denen das Internet sich derzeit rasant entwickelt. Die Gesetzgebung und die Rechtsschutzorgane können mit dieser Entwicklung meist nicht Schritt halten, was – insbesondere vor dem Hintergrund der sich verschlechternden Wirtschaftslage – die Entwicklung von Cyberkriminalität fördert.

Schadprogramme im Internet

Wir beginnen unsere Analyse der Schädlingssituation im Internet mit den Top 10 der am weitesten verbreiteten Schadprogramm-Familien.

Pos. Name Anteil
1 Iframer 15.90%
2 Generic 7.28%
3 Hexzone 4.57%
4 Agent 4.54%
5 Redirector 4.50%
6 Zwangi 4.35%
7 Popupper 3.08%
8 Iframe 2.63%
9 Boran 2.10%
10 Pakes 1.73%
11 Andere 49.32%

Top 10 der im Internet am weitesten verbreiteten
Schadprogramm-Familien im ersten Quartal 2010

Der Großteil der Schadprogramm-Familien besteht aus HTML-Codes oder Skripts, die von den Cyberkriminellen im Wesentlichen auf offiziellen Webseiten platziert werden. Dazu gehören Iframer, Iframe, Redirector und zahlreiche Schädlinge, die heuristisch als „Generic“ erkannt werden. Die Grundidee besteht darin, den Anwender heimlich auf eine infizierte Webseite zu locken, auf der sich dann Exploits befinden.

Häufig werden zum Einschleusen solcher Codes Schadprogramme verwendet. Auf Platz drei findet sich eine Familie mit dem interessanten Namen Hexzone. In Wirklichkeit hat diese Familie nichts mit dem Hexadezimalsystem zu tun. Denn die wichtigste Schadfunktion dieser Machwerke ist die Darstellung eines Ausschnitts mit pornografischem Inhalt im unteren Teil des Browserfensters. Dem Anwender wird angeboten, diese zu entfernen, indem er eine SMS an eine, für jedes Land unterschiedliche Kurzwahlnummer, schickt. Ganz ähnlich gehen die Schädlinge der Familie Popupper vor.

Zwei weitere Familien – Zwangi und Boran – zählen zur Malware-Gattung der Ad-Ware-Programme. Mit diesen Programmen können Cyberkriminelle auf halblegalem Weg Geld verdienen, denn aus juristischer Sicht ist es äußerst schwierig, gegen Software dieser Art vorzugehen. Obgleich die destruktiven Züge von Ad-Ware-Programmen normalerweise nicht so stark ausprägt sind (im Wesentlichen sammeln sie Daten über Vorlieben der Anwender und zeigen Werbung an), verwenden sie zu ihrem Schutz zuweilen Hackermethoden. So installiert Boran zum Beispiel einen Treiber, der sehr an ein Rootkit erinnert – er fängt die Funktionen des Betriebssystem-Kernels ab und verhindert damit, dass die Hauptkomponente der Anwendung gelöscht wird.

Sicherheitslücken

Im ersten Quartal 2010 entdeckte Kaspersky Lab 12.111.862 ungepatchte Sicherheitslücken auf den Computern der Anwender, das entspricht um 6,9 Prozent mehr als im vorhergehenden Quartal. Die Sicherheitslücken der Computer werden immer schneller aufgedeckt, doch auch das Tempo, in dem entsprechende Patches veröffentlicht werden, nimmt zu. Leider installieren bei Weitem nicht alle Anwender die angebotenen Updates. Man kann davon ausgehen, dass sich auf einem einzeln untersuchten Computer mehr als eine nicht gepatchte Schwachstelle finden lässt.

Die folgende Tabelle zeigt die am weitesten verbreiteten Sicherheitslücken in Softwareprodukten, die im Laufe des ersten Quartals 2010 auf den Computern der Anwender gefunden wurden.

Secunia
ID
Positionsänderung
change
Name
und Link der
Sicherheitslücke
Möglichkeiten,
Cyberkriminellen
durch die
Ausnutzung der
Sicherheitslücke
eröffnen
Anteil der
User, bei
denen die
Sicherhei
tslücke
entdeckt
wurde
Ausgabe
-Datum
Einstufung
1 SA 35377 0 Microsoft Office Word Two Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 28.62% 2009-
06-09
Hochkritisch
2 SA 37231 6 Sun Java JDK / JRE Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers

  • DDoS-Attacken auf das verwundbare System
  • Zugriff auf vertrauliche Daten
  • Umgehung der Systemsicherheit
28.15% 2009-
11-04
Hochkritisch
3 SA 38547 Neu Adobe Flash Player Domain Sandbox Bypass Vulnerability Umgehung der Systemsicherheit 23.37% 2010-
02-12
Mäßig kritisch
4 SA 34572 1 Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 21.91% 2009-
04-03
Hochkritisch
5 SA 38551 Neu Adobe Reader/Acrobat Two Vulnerabilities
  • Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers
  • Umgehung der Systemsicherheit
17.87% 2007-
01-09
Hochkritisch
6 SA 31744 1 Microsoft Office OneNote URI Handling Vulnerability Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 17.57% 2008-
09-09
Hochkritisch
7 SA 35364 -5 Microsoft Excel Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 17.55% 2009-
06-09
Hochkritisch
8 SA 38805 Neu Microsoft Office Excel Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 16.65% 2010-03-09 Hochkritisch
9 SA 37690 Neu Adobe Reader/Acrobat Multiple Vulnerabilities
  • Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers
  • Cross-Site-Scripting
15.27% 2010-
01-14
Extrem kritisch
10 SA 29320 -1 Microsoft Outlook „mailto:“ URI Handling Vulnerability Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 14.98% 2009-
06-10
Hochkritisch

Top 10 der auf den Anwendercomputern entdeckten Sicherheitslücken. Erstes Quartal 2010

Sechs der Sicherheitslücken aus den Top 10 wurden in Microsoft-Produkten entdeckt, drei in Adobe-Software und eine in einem Produkt von Sun Microsystems, das mittlerweile zu Oracle gehört. Gab es im zuletzt veröffentlichten Quartalsbericht nur einen Neueinsteiger, so sind in den aktuellen Top 10 gleich vier neue Sicherheitslücken vertreten. Nur die Tage, an denen erstmals Informationen über die Schwachstellen veröffentlicht wurden, demonstrieren einmal mehr, wie nachlässig die Anwender bezüglich der Installation von Software-Updates nach wie vor sind: In den Top 10 befinden sich neben neuen Sicherheitslücken auch solche, die schon seit über einem Jahr bekannt sind.

Welche Möglichkeiten eröffnen sich Cyberkriminellen durch diese Sicherheitslücken? Neun der in den Top 10 vertretenen Schwachstellen geben Betrügern die Möglichkeit, uneingeschränkt auf das System zuzugreifen. Eine solche Lücke ermöglicht einem Kriminellen – sofern sie nicht von einem Antiviren-Programm geschlossen wird – den Opfercomputer komplett fernzusteuern. Zu allen oben aufgeführten Sicherheitslücken existieren bereits funktionsfähige Exploits. Damit wird einmal mehr deutlich, wie wichtig es ist, die gesamte Software rechtzeitig zu aktualisieren: das Betriebssystem, die Web-Browser, Programme zur Darstellung von PDF-Dateien, Player usw.

Exploits

Hier ein Überblick darüber, welche Exploits die Cyberkriminellen im ersten Quartal 2010 bevorzugt verwendet haben.


Top-10 der im Internet entdeckte Exploit-Familien

Die absoluten Spitzenreiter in diesem Ranking sind Exploits, die Sicherheitslücken im Programm zum Lesen von PDF-Dateien ausnutzen. Die Exploit-Familien Pdfka und Pidief sind zusammen mit 47,5 Prozent vertreten und machen damit fast die Hälfte aller entdeckten Exploits aus. Die Dateien selbst werden als PDF-Dokumente getarnt, die Java Script enthalten und die ohne Wissen des Anwenders aus dem Netz weitere Programme herunterladen und ausführen.

Auf den Anwendercomputern wurden zwar mehr ungepatchte Sicherheitslücken in den Produkten von Microsoft als in den Adobe-Produkten gefunden, doch mit der Zahl der Exploits verhält es sich genau umgekehrt. Der Statistik zufolge suchen und nutzen Cyberkriminelle häufiger Schwachstellen bei Adobe als in Produkten aller anderen Hersteller. Dass Adobe-Produkte zur Zielscheibe Nummer eins der Virenschreiberzunft wurden, liegt vor allem an deren Beliebtheit und Plattformunabhängigkeit.

Ein klassisches Beispiel ist das Exploit Aurora (7,58 Prozent), das im Januar veröffentlicht wurde. Bis zur Veröffentlichung des entsprechenden Patches durch Microsoft wurde das Exploit quer durch die Cybercrime-Szene missbraucht.

Mit der Exploit-Familie CVE-2010-0806 ist eine andere Geschichte verbunden, denn seine Popularität beruht auf einer allzu detaillierten Beschreibung der entsprechenden Sicherheitslücke, die von einem Mitarbeiter eines IT-Sicherheitsunternehmens veröffentlicht wurde.

Einerseits erhalten Sicherheits-Experten durch die Veröffentlichung von Informationen über einen Cyberangriff die Möglichkeit, an Samples zu kommen und die entsprechenden Signaturen zu erstellen. Andererseits können diese Daten auch von Cyberkriminellen missbraucht werden. Im Prinzip gilt in der Branche ein ungeschriebenes Gesetz, an das sich alle Experten halten sollten: Wenn sich auf einer Domain aktive Schädlinge befinden, so wird ein Teil des Domainnamens unkenntlich gemacht. Leider wurde in diesem Fall auf der Grundlage der veröffentlichten Informationen recht schnell das Modul PoC Metasploit entwickelt, das für die breit gestreute Verbreitung eines Exploits für den Internet Explorer der Versionen 6 und 7 verantwortlich war.

Interessant ist, dass auch die Exploits der Familie Smid in den Top 10 vertreten sind. Dabei handelt es sich um plattformunabhängige Programme, die eine Sicherheitslücke in Sun Microsystems Java (CVE-2009-3867) ausnutzen. Die Version Exploit.OSX.Smid.b etwa funktioniert in den Betriebssystemen Windows, MacOS sowie Unix-Varianten und generiert Links auf einen Schädling in Abhängigkeit vom jeweiligen Betriebssystem. Daraufhin wird die verwundbare Funktion „Get Sound Bank“ aufgerufen, als Parameter wird der empfangene Link weitergeleitet. Das Ergebnis ist ein Pufferüberlauf und die Ausführung von Shellcode. Kaspersky Lab geht davon aus, dass Cyberkriminelle in Zukunft immer häufiger plattformunabhängige Schädlinge entwickeln werden.

Allerdings ist die Browser-Sicherheit nur ein Aspekt des Anwenderschutzes im Internet, und dabei nicht einmal der wichtigste. Browser jedes Herstellers – selbst wenn ihr Code keine Sicherheitslücken aufweist – ermöglichen es Cyberkriminellen, Attacken durchzuführen, etwa mit Hilfe von Schwachstellen in Media-Playern oder anderen Modulen, die im Browser verwendet werden. Das Problem von Schwachstellen in Zusatzmodulen ist kritisch und kann nicht allein von den Browser-Herstellern gelöst werden. Mit anderen Worten: Wenn auf einem Computer eine verwundbare Version eines Flash-Players oder eines Adobe-Programms zum Lesen von PDF-Dateien installiert ist, spielt der verwendete Browser keine Rolle mehr – ob Internet Explorer, Firefox oder Opera, der Computer kann so oder so infiziert werden.

Der beste Schutz vor Exploits ist die rechtzeitige Installation der angebotenen Patches. Einen zusätzlichen Schutz bieten Web-Browser mit integrierten Filtern, die Phishing-Seiten und schädliche Webseiten blockieren (Mozilla Firefox 3.5, Internet Explorer 8.0 und Chrome 2.0). Ein solcher Filter verhindert, dass der Anwender schädliche Internetseiten besucht, die Exploits für bekannte oder unbekannte Sicherheitslücken enthalten oder Social-Engineering-Tricks für den Diebstahl vertraulicher Daten einsetzen. Um sich zuverlässig zu schützen, muss ein Antiviren-Programm installiert sein, das ständig aktiv ist und das Antiviren-Datenbanken auf dem neusten Stand verwendet. Dabei ist es wichtig, dass die Antiviren-Lösung auch den Internet-Traffic überprüft.

Geografie der IT-Bedrohungen

In den vergangenen Jahren hat sich China als Produktionsstätte von Schadcode etabliert, auch was deren Hosting auf chinesischen Servern betrifft. Daher war China in der jüngeren Vergangenheit bei der Anzahl von Servern mit Schädlingen unangefochten an der Spitze. Wenn wir allerdings einen Blick auf die Top 20 (erstes Quartal 2010) der Länder, auf deren Servern sich Schadcode befindet, werfen, ergibt sich ein neues Bild.

Q1 2010 Q1 2009
1 USA 27.57% 1 China 32.80%
2 Russische Föderation 22.59% 2 USA 25.03%
3 China 12.84% 3 Niederlande 11.73%
4 Niederlande 8.28% 4 Russische Föderation 7.97%
5 Spanien 6.83% 5 Deutschland 3.49%
6 Deutschland 6.78% 6 Schweden 2.75%
7 Großbritannien 3.29% 7 Großbritannien 2.39%
8 Philippinen 1.60% 8 Philippinen 2.02%
9 Ukraine 1.35% 9 Kanada 1.70%
10 Kanada 1.29% 10 Frankreich 1.50%
11 Schweden 0.95% 11 Israel 1.06%
12 Frankreich 0.80% 12 Spanien 0.87%
13 Türkei 0.72% 13 Ukraine 0.72%
14 Australien 0.48% 14 Türkei 0.53%
15 Republik Moldau 0.42% 15 Luxemburg 0.46%
16 Lettland 0.31% 16 Australien 0.43%
17 Tschechien 0.31% 17 Südkorea 0.42%
18 Luxemburg 0.26% 18 Taiwan 0.41%
19 Malaysia 0.26% 19 Lettland 0.40%
20 Vietnam 0.25% 20 Hong Kong 0.33%
  Andere 2.80%   Andere 2.98%

Top-20-Länder, in denen sich Server mit Schadcode befinden (erstes Quartal 2010 und letztes Quartal 2009)

China wurde von Platz eins verdrängt, und befindet sich nur noch auf dem dritten Platz. Der Grund für diesen Abstieg ist offensichtlich, dass die chinesischen Behörden, wie schon geschrieben, Ende 2009 die Bedingungen für die Registrierung von Internetadressen in der chinesischen Domain-Zone .cn verschärften.

Doch so sehr sich die Einführung härterer Regeln bei den Registrierungsformalitäten in einem einzigen Land positiv auswirken, führen diese leider zu einem Rückgang der Cyberkriminalität per se.

Vielmehr wird nach solchen Maßnahmen schädlicher Code und Content in andere Länder ausgelagert. In diesem speziellen Fall haben die „Emigranten“ im Wesentlichen in zwei Ländern Zuflucht gesucht, und zwar in Russland und den USA. Wobei Russland den größten Teil aufgenommen hat. Ganz offensichtlich ziehen die liberalen russischen Gesetze die Cyberkriminalität geradezu an. Diese Fakten werden nicht nur von der Statistik zur Verteilung von Bulletproof Hostings widergespiegelt, sondern auch vom Kaspersky Lab Spam-Report für das erste Quartal 2010. Bleibt abzuwarten, ob die seit dem ersten April 2010 wirksamen Maßnahmen zur Regelung von Registrierungen in der russischen Domain-Zone einen ähnlichen Effekt wie in China haben werden.

Bedrohungen auf Anwendercomputer

Gelingt es einem Schädling, mehrere Ebenen des Web- und Mail-Schutzes zu umgehen, landet er schließlich auf dem Computer des Anwenders, wo hoffentlich ein Antiviren-Programm bereits auf ihn wartet. Hier ein Vergleich, was im letzten Quartal 2009 und im ersten Quartal 2010 auf dieser letzten Sicherheitsebene erkannt wurde.


Top 10 der Schädlinge, die im letzten Quartal 2009 und im ersten
Quartal 2010 auf Anwendercomputer entdeckt wurden

Auf dem ersten Platz haben sich die trojanischen Programme etabliert, die bereits im dritten Quartal 2009 die Würmer von der Spitzenposition verdrängten. Der Anteil von Trojanern betrug im ersten Quartal des laufenden Jahres 21,46 Prozent aller erkannten Objekte. Die Würmer wurden auch von Position zwei verdrängt, dieses Mal von Ad-Ware-Programmen. Der Grund hierfür liegt in der verschärften Gesetzgebung und der allgemein größeren Aufmerksamkeit, unter der Cyberkriminalität seitens der Behörden steht. Dadurch haben legale und halblegale Betrugsmethoden unter Verwendung von Hacker-Werkzeugen zugenommen. Denn Cyberkriminelle können beispielsweise ihre Botnetze auch zur Installation verschiedener Ad-Ware-Programme nutzen. Das populäre Programm AdWare.Win32.Funweb, eine zusätzliche Taskleiste für verschiedene Browser, wird sehr häufig via Spam-Mails verbreitet, die über Botnetze verschickt werden.

Der Anteil von Viren verringerte sich im ersten Quartal 2010 um 0,23 Prozentpunkte auf insgesamt 9,72 Prozent. Der zum gegenwärtigen Zeitpunkt populärste Virus ist Virus.Win32.Sality. Jeder zwanzigste infizierte Rechner war mit diesem Virus belastet. Ende des Quartals tauchte die neue Modifikation Virus.Win32.Sality.ag auf, in der ein qualitativ neuer Verschlüsselungs-Algorithmus angewendet wird, der das Aufspüren des Virus zusätzlich erschwert. Diesen Virus macht vor allem seine Backdoor-Funktion so gefährlich, durch die die Cyberkriminellen die vollständige Kontrolle über die infizierten Rechner erhalten.

Den dritten Platz belegen die Würmer, was in erster Linie mit der anhaltenden Epidemie der Autorun-Würmer zusammenhängt. Obgleich im dritten Quartal 2009 bei diesen Schädlingen eine rückläufige Tendenz zu beobachten war, hat dieser Trend leider nicht lange angedauert. Heute wird praktisch jedes Gerät, das mit dem Computer synchronisierbar ist, von Autorun-Würmern zur Übertragung der Infektion genutzt. Und die Zahl derartiger Geräte wächst mit jedem Tag. Autorun-Würmer funktionieren auf allen möglichen Plattformen, auch unter Android oder Symbian. Es sind sogar Fälle bekannt, in denen Geräte in der Produktionsphase infiziert wurden.

Die Skriptsprachen sind recht leicht zu erlernen, und daher ist es auch einfach, jeden beliebigen Code, also auch Schadcode, in dieser Sprache zu programmieren. Im vergangenen Quartal stieg der Anteil der Schädlinge, die in Skriptsprachen verfasst waren, um 2,3 Prozent an – darunter FlyStudio (Sprache „e“) und VisualBasic. Die bei den Cyberkriminellen beliebteste Skriptsprache war aber AutoIT.

Das ungewöhnlichste Obdach für Schadprogramme bot im ersten Quartal des laufenden Jahres ein USB-Akkuladegerät der Firma Energizer. Das betroffene Schadprogramm (Arucer.dll) funktioniert unter dem Betriebssystem Windows und gelangt zusammen mit der Steuerungs-Software für die Darstellung des Akku-Ladestatus auf den Computer. Nach der Infizierung verbindet sich der Schädling mit dem Port 7777 und wartet auf Befehle der Cyberkriminellen. Der Trojaner kann Dateien löschen, laden und starten. Nach der Installation im System registriert sich das Programm für den Autostart in der Registry.

Botnetze: Der Kampf spitzt sich zu

Der Kampf gegen Botnetze tritt derzeit in eine neue Phase. Denn mittlerweile sind sich Anwender und Rechtstaat der Gefahr bewusst, die von Cyberkriminalität ausgeht. Gemeinsame Aktionen von Software-Herstellern und Behörden, wie etwa der FTC (Federal Trade Commission der USA), haben bereits zur Zerschlagung von Steuerungszentralen einiger großer Botnetze geführt.

Anfang 2010 wurde ein Teil der Steuerungsserver eines Botnetzes offline genommen, das auf dem Schadprogramm Email-worm.Win32.Iksmas basiert, auch bekannt unter dem Namen Waledac. Das Botnetz war berühmt-berüchtigt für seinen Spam-Versand – es verschickte bis zu 1,5 Milliarden E-Mails innerhalb von 24 Stunden – sowie für die Verwendung aktueller Themen in den Spam-Mails mit Links auf Iksmas, für den serverseitigen Polymorphismus des Bots und für die Verwendung der Fast-Flux-Technologie. Zusammengenommen ergeben die aufgeführten Parameter ein überaus komplexes und gefährliches Botnetz.

Am 22. Februar 2010 gab das Bundesgericht des Staates Virginia einer Klage von Microsoft statt und entschied, den Dienst von 277 Domains einzustellen, die mit dem Steuerungssystem des Botnetzes in Verbindung standen. Alle diese Domains waren in der Zone .com registriert, deren Betreiber das amerikanische Unternehmen VeriSign ist. Dieser Erfolg ist aber leider nur ein Etappensieg. Nach der Deaktivierung eines Teils der Steuerungszentren verlegten die Cyberkriminellen die Control-and-Command-Server des Botnetzes in andere Domain-Zonen und setzten den Spam-Versand fort. Solche einmaligen Aktionen verpuffen oft zu schnell – erforderlich ist vielmehr ein dauerhaftes Engagement, das auf die Schließung der Control-and-Command-Zentren von Botnetzen abzielt.

Neben der Schließung der Steuerungszentren gibt es noch einen anderen Weg, Botnetze wirksam zu bekämpfen. Aus rechtsstaatlicher Sicht ein zwar schwierigerer, aber dafür auch effektiverer Weg: die Festnahme und Verurteilung von Cyberkriminellen. In Spanien verhaftete die Polizei die Betreiber eines der größten Botnetze. Das Zombie-Netz „Mariposa“ wurde mit Hilfe des Wurms P2P-worm.Win32.Palevo aufgebaut, der über umfangreiche Funktionen verfügt – sowohl hinsichtlich seiner Selbstverbreitung als auch seiner schädlichen Aktivität. Er verbreitet sich über P2P-Kanäle, Instant-Messenger und über Autorun-Methoden, das heißt über beliebige Wechselspeichermedien von Fotokameras bis hin zu Flashcards. Nach der Installation des Schadprogramms auf dem Opfercomputer konnten die Cyberkriminellen diesen vollständig kontrollieren und jedes beliebige Zusatzmodul installieren. Die Haupteinnahmequelle bestand allerdings in dem Verkauf und der Verwendung von persönlichen Daten der infizierten Anwender: Logins und Passwörter zu verschiedenen Services, in erster Linie zum Online-Banking.

Aufgrund der Zusammenarbeit der Provider wurden die Steuerungszentren des Botnetzes deaktiviert und einer der Computer der Zombie-Netz-Betreiber identifiziert. In den meisten Fällen ist es sehr schwer, festzustellen, woher genau die Steuerungsbefehle kommen. Doch in diesem Fall verfügten die Betreiber des Botnetzes nicht über tief greifende technische Kenntnisse und versuchten daher, mit Hilfe ihrer Heimcomputer die Kontrolle über das Botnetz wiederzuerlangen.

Die Geschichte um das Botnetz „Mariposa” zeigt einmal mehr, dass Cyberkriminelle nicht zwingend über ernstzunehmende technische Kenntnisse und Fertigkeiten verfügen müssen. In der modernen Welt kann man alles kaufen, und Botnetze bilden da keine Ausnahme. Selbst einen Service zur Verschleierung der Kommandozentrale kann man ohne größeren Aufwand käuflich erwerben, und gerichtliche Klagen gegen Dienstleistungen dieser Art hat es bisher noch nicht gegeben.

Um Botnetze erfolgreich zu bekämpfen, bedarf es zielgerichteter Aktionen auf juristischem Gebiet in Kombination mit dem Einsatz neuster Technologien im Bereich der IT-Sicherheit. Man darf auch nicht vergessen, dass die Zombie-Computer auch nach der Deaktivierung von Steuerungsservern infiziert sind und bleiben. Und das ist gefährlich. Die Veränderungen, die die Schädlinge im System bewirkt haben, werden nicht wieder rückgängig gemacht: Wurden die Anfragen der Anwender auf schädliche Ressourcen umgeleitet, so werden sie auch weiterhin umgeleitet; wurden die Festplatten öffentlich zugänglich gemacht, so bleiben sie auch öffentlich zugänglich. Zudem können die Cyberkriminellen erneut die Kontrolle über den infizierten Rechner erlangen. Nur ein komplexer Ansatz zur Lösung des Problems Botnetze kann den Cyberkriminellen das Leben wirklich schwer machen und ihre potentiellen Opfer effektiv schützen.

Was haben wir zu erwarten?

Im nächsten Quartal erwartet Kaspersky Lab weitere Gerichtsprozesse im Zusammenhang mit Cyberkriminalität. Es ist sehr erfreulich, dass die rechtsstaatlichen Organe verschiedener Länder das Problem mittlerweile sehr viel ernsthafter angehen, denn die von ihnen ergriffenen Maßnahmen spielen eine große Rolle bei der aktiven geografischen Verschiebung von Cyberkriminalität. Die Hauptsache dabei ist, dass der Kampf gegen Cybercrime nicht nur auf dem Papier, sondern tatsächlich im wirklichen Leben geführt wird.

Der Schwarzmarkt, auf dem alles zur Durchführung von Cyberbetrug zu erwerben ist – vom Schadprogramm bis hin zu Steuerungszentren von Botnetzen –, kann in Kombination mit dem wachsenden Problem der Arbeitslosigkeit dazu führen, dass vermehrt Menschen auf den ohnehin schon gesättigten Markt der Cyberverbrechen setzen.

Zudem wird höchstwahrscheinlich der Kampf unter den Trojanern um die Kontrolle von Anwendercomputer härter werden. Die Schadprogramme werden sowohl den Antiviren-Lösungen als auch anderen Schädlingen immer größeren Widerstand entgegensetzen. Außerdem erwarten wir eine Perfektionierung der Verbreitungstechniken bereits bekannter trojanischer Programme.

[1] Das KSN ist eine der wichtigsten Neuerungen bei den Produkten für Privatanwender, und Kaspersky Lab arbeitet derzeit an der Integration des Systems in seine Unternehmenslösungen.

Mit Hilfe des Kaspersky Security Network können die Kaspersky-Experten in Echtzeit auf neue Schadprogramme reagieren, für die noch keine Signaturen vorliegen, und die noch nicht heuristisch erfasst sind. KSN macht es möglich, die Verbreitungsquelle von Schadprogrammen im Internet zu lokalisieren und diese für die Anwender zu sperren.

Gleichzeitig verbessert das KSN die Reaktionszeit auf neue Bedrohungen entscheidend. Zum gegenwärtigen Zeitpunkt kann die Ausführung eines neuen Schadprogramms auf den Computern der KSN-User innerhalb weniger Sekunden nach Feststellung seines schädlichen Charakters blockiert werden. Anders als bisher ist eine Aktualisierung der Antiviren-Datenbanken dafür nicht mehr nötig.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.