Kaspersky Lab veröffentlicht Analyse „Bootkits – die Herausforderung des Jahres 2008“

Der Begriff Malware 2.0, den Kaspersky Lab schon seit längerem in seinen Analysen und Berichten verwendet, beschreibt ein modernes Funktionsmodell von Schadprogrammen, das seit Ende 2006 existiert. Die bekanntesten Vertreter und gewissermaßen die Pioniere der Malware 2.0 sind die Würmer Bagle, Warezov und Zhelatin.

Die folgenden Merkmale sind charakteristisch für dieses Modell:

  • Das Fehlen einer Schaltzentrale zum Steuern eines Netzwerks infizierter Computer
  • Aktiver Widerstand gegen Versuche, den Schadcode zu analysieren und die Steuerung des Botnetzes zu beeinflussen
  • Massenhafter Versand des Schadcodes innerhalb eines kurzen Zeitraums
  • Einsatz von Social Engineering-Methoden
  • Verwendung verschiedener Verbreitungsmethoden für die Schadprogramme und schrittweise Abkehr von den auffälligsten Verbreitungswegen wie zum Beispiel E-Mail
  • Einsatz verschiedener Module statt eines universellen Moduls, um unterschiedliche Schadfunktionen zu realisieren

Malware 2.0 bringt eine Reihe von Herausforderungen für die Antiviren-Industrie mit sich. Das größte Problem haben nach Meinung von Kaspersky Lab traditionelle und daher ausschließlich auf signaturbasierte und heuristische Dateianalyse setzende Antiviren-Lösungen. Sie sind nicht in der Lage, Virenattacken zuverlässig abzuwehren und haben Schwierigkeiten, befallene Systeme zu desinfizieren.

Von allen im Jahr 2008 registrierten Vorfällen, die die Gefährlichkeit von Malware 2.0 deutlich gemacht haben, ist die Geschichte um das Rootkit Rustock besonders erwähnenswert. Rustock wurde bereits in der Analyse „Rustock – ein Malware-Mythos“ ausführlich vorgestellt. Bei Rustock setzen Cyberkriminelle auf verschiedene neue Technologien, Methoden und Ansätze, die starken Einfluss auf die weitere Entwicklung von Malware 2.0 haben können.

Der im Folgenden näher betrachtete Fall demonstriert sehr anschaulich, welche Mittel die Malware-Autoren gegen Antiviren-Unternehmen einsetzen und zeigt ganz klar, dass es dringend neuer Schutztechnologien bedarf.

Rätselhafte Neustarts

Mitte August 2008 häuften sich in verschiedenen Internetforen Klagen von Anwendern, deren Computer nach dem Besuch bestimmter Websites einen automatischen Neustart durchführten. Wodurch genau diese hervorgerufen wurden, blieb unklar, weil die vom jeweiligen Anwender installierte Hard- oder Software keinen Aufschluss darauf gab. Daher blieb nur noch eine Möglichkeit: Die Webseiten selbst waren der Grund für die Neustarts.

Ein erster Blick auf den Inhalt der verdächtigen Websites führte zu keinem Ergebnis – die Seiten sahen harmlos aus. Um die Computer der Anwender zu infizieren, hacken die Cyberkriminellen in den meisten Fällen legale Websites und hinterlegen dort Links auf ihre eigenen mit Exploits versehenen Ressourcen. Diese Technik nennt sich „Drive-by-Download“ und ermöglicht es, auf einem Computer unbemerkt Schadprogramme zu installieren, wenn der User eine derart präparierte Website besucht. In diesem Fall wurden aber weder verdächtige iframes noch verdächtige Skripte gefunden.

Man hätte die Probleme der Anwender auch auf die automatische Installation von Windows-Updates zurückführen können, zumal die Ereignisse zeitlich mit der Veröffentlichung neuer Patches durch Microsoft übereinstimmten. Allerdings sollte sich alles als sehr viel ernsthafter erweisen.

Kaspersky Lab verwendete für die Untersuchung der verdächtigen Websites verschiedene virtuelle Rechner. Die Experten riefen dabei nicht nur die Webseiten im Browser auf, sondern klickten zum Beispiel auch auf verschiedene Hyperlinks. Und siehe da – nach einer gewissen Zeit wurde der Testcomputer neu gestartet!

Eine Analyse des Systems ergab, dass der Bootsektor der Festplatte modifiziert wurde. Solche Veränderungen könnten auf ein installiertes Bootkit hinweisen. Kaspersky Lab hat bereits im ersten Quartalsbericht 2008 über Bootkits und die von ihnen verursachten Probleme berichtet (viruslist.com). Seit März 2008 wurden allerdings keine neuen Varianten des Bootkits entdeckt. Sollte das nun doch der Fall sein?

Kaspersky Lab fand heraus, welche Websites und welche dort hinterlegten Links den Neustart der Computer verursachen und führte eine genauere Analyse durch. Es schien, als hätten die Cyberkriminellen eine recht originelle, wenn auch nicht neue Methode zur Einschleusung von Links verwendet. Auf den gehackten Sites fügten sie deren Code keine eigenen iframes oder Skripte hinzu, da derartige Änderungen leicht entdeckt werden. Stattdessen ersetzten sie die bereits existierenden „echten“ Hyperlinks durch „schädliche“.

So sieht ein echter Link aus:

<a href=“http://atm.n****.com„><B>atm.n****.com</B></a>

Und so sieht derselbe Link nach dem Hack der Website aus:

<a href=“http://***.com/cgi-bin/index.cgi?dx„><B> atm.n****.com</B></a>

Um einen Computer zu infizieren, genügt es nicht, dass Anwender die gehackte Website aufrufen, sondern sie müssen dort auch auf einen modifizierten Link klicken. Das reduziert die Anzahl potentieller Opfer nach Meinung von Kaspersky Lab allerdings nur unwesentlich, insbesondere dann, wenn die Links von den Betrügern manuell ausgetauscht und sorgfältig ausgewählt werden.

Die ersten Hinweise auf Sites mit Adressen des Typs ***.com/cgi-bin/index.cgi?dx tauchten Anfang Juni 2008 im Internet auf. Besitzer und Besucher legaler Webseiten beschwerten sich, dass Links zu vormals vertrauenswürdigen Ressourcen nun zu fremden Seiten führten. Es stellte sich heraus, dass es im Internet zwar eine Menge solcher Infektionsherde gibt, die trotz der Vielzahl von Domainnamen aber alle auf einem einzigen Server liegen.

Hier nur der kleine Teil der von Kaspersky Lab entdeckten Sites:


 


 


Beispiele für Server, die Computer mit dem Bootkit infizieren
(Von links nach rechts: Domain-Name; IP-Adresse des Servers; Subnetz, in dem sich der Server befindet; Nummer des autonomen Systems)

Personalisierte Exploits

Was passiert, wenn der Anwender auf so einen ausgetauschten Link klickt? Der Server bearbeitet die eingehende Anfrage und empfängt Informationen darüber, welche Website der Besucher zuletzt aufgerufen hat, wie die IP-Adresse seines Rechners lautet, welchen Browser er verwendet und welche Browser-Plugins installiert sind. Auf Grundlage dieser Informationen teilt der Server dem Computer des Anwenders eine einzigartige ID-Nummer zu, die auf dem Server gespeichert wird.

Folgende Beispiel-ID wurde dem PC eines Anwenders nach Aufruf einer schädlichen Website zugeteilt: index.cgi@ac6d4ac70100f060011e964552060000000002e4f11c2e000300190000000006

In diesem Fall bedeuten die letzten Ziffern der ID, dass auf dem Computer Version 6 von Acrobat Reader installiert ist.

Ausgehend von diesen Informationen wird ein auf den jeweiligen Computer zugeschnittenes Exploit erstellt. Hat der Anwender eine Software installiert, für die Exploits existieren, so wird sein Rechner über diese Schwachstelle infiziert. Das gilt zum Beispiel für den Acrobat Reader und andere Programme wie den Real Player. Aus der vergebenen ID generiert der Server einen Schlüssel, mit dem das jeweilige Exploit chiffriert wird.


 


Beispiel eines verschlüsselten Exploits

Die meisten Infizierungen traten beim verarbeiten von PDF-, SWF- und QuickTime-Dateien auf. Die Liste der von den Kriminellen ausgenutzten Schwachstellen ist lang und wird ständig erweitert. Am beliebtesten sind folgende Sicherheitslücken:

  • CVE-2007-5659
  • CVE-2006-0003
  • CVE-2006-5820
  • CVE-2007-5779
  • CVE-2008-1472
  • CVE-2007-0018
  • CVE-2006-4777
  • CVE-2006-3730
  • CVE-2007-5779
  • CVE-2008-0624
  • CVE-2007-2222
  • CVE-2006-0005
  • CVE-2007-0015

Ein für einen bestimmten Rechner erstelltes Exploit wird über die angreifbare Anwendung ausgeführt und schleust anschließend einen Trojan-Dropper in das System ein. Dieses Schadprogramm wird auf Grundlage des einzigartigen Serverschlüssels und der in der Datenbank des Servers abgelegten Anwender-ID erstellt.

Von außen betrachtet tut sich beim Surfen nichts Verdächtiges und auch nach einem Klick auf den vertauschten Link wirkt alles normal. Nachdem das Exploit ausgeführt wurde, leitet der Server den Anwender ohne weiteres auf die Webseite weiter, die dieser eigentlich besuchen wollte. Allerdings bemerkt der Nutzer nicht, dass sein Computer zwischenzeitlich eine andere Webadresse aufgerufen hat und dabei infiziert wurde.

Hinzu kommt, dass ein Anwender, der wiederholt auf den vertauschten Link klickt, das Exploit nicht erneut startet und auch keine neue Infizierung auslöst. Vielmehr wird der Rechner sofort auf die legitime Seite umgeleitet. Der schädliche Server führt eine Datenbank aller Besucher und schließt die wiederholte Verwendung einer ID aus.

Die Wiederauferstehung von Neosploit

Mit welchem Programm wurden die personalisierten Exploits erstellt? Zu ihrem Erstaunen stießen die Experten von Kaspersky Lab auf das bereits totgesagte Exploit-Toolkit Neosploit. Der Exploit-Baukasten Neosploit wurde Mitte des Jahres 2007 entdeckt, kursierte auf dem Schwarzmarkt zu Preisen zwischen 1.000 und 3.000 US-Dollar und machte anderen Malware-Toolkits wie zum Beispiel MPack und IcePack ernsthafte Konkurrenz.

Ende Juli 2008 machte die Nachricht die Runde, dass sich die hinter Neosploit stehende und für dessen Entwicklung, Verbreitung und Support verantwortliche Cyberkriminellen-Gruppe aufgelöst habe (ddanchev.blogspot.com, blogs.zdnet.com).

Vertreter dieser Gruppe verbreiteten folgende Mitteilung:

“Unfortunately, supporting our product is no longer possible. We apologize for any inconvenience, but business is business since the amount of time spent on this project does not justify itself. We tried hard to satisfy our clients’ needs during the last few months, but the support had to end at some point. We were 1.5 years with you and hope that this was a good time for your business.”
(“Leider ist es uns nicht länger möglich, den Support für unser Produkt aufrecht zu erhalten. Wir entschuldigen uns für alle Unannehmlichkeiten, doch Geschäft ist Geschäft und die für das Projekt aufgebrachte Zeit ist wirtschaftlich nicht mehr zu rechtfertigen. Wir waren in den letzten Monaten immer bemüht, die Bedürfnisse unserer Kunden zu befriedigen, doch leider ist das nun nicht mehr möglich. Wir können auf 1,5 Jahre der Zusammenarbeit zurückblicken und hoffen, dass diese Zeit zu einer positiven Entwicklung Ihrer Geschäfte beigetragen hat.”)

Ein plötzlicher Rückzug aus dem Geschäft bedeutet entweder, dass die Gruppe ins Visier von Polizei und Justiz geriet oder sich nun mit einem anderen Projekt beschäftigt und sich mit ihrer Mitteilung selbst ein „Alibi“ verschafft.

Die letzte Version von Neosploit war 2.0.17. Nach ihrem Erscheinen wurden keine neueren Versionen mehr entwickelt und verkauft. Kaspersky Lab fand auf dem für die Generierung der Exploits zuständigen Server jedoch das Toolkit Neosploit mit der Versionsnummer 2.0.23!


 


Hauptfenster des Exploit-Toolkits

Das Interface des Toolkits Neosploit sieht zwar recht spartanisch aus, ist aber sehr benutzerfreundlich.



Anlegen eines Nutzerkontos mit Neosploit

Neosploit erstellt die Exploits und ist für die Datenbanken mit den infizierten Computern zuständig. Bei dem Toolkit handelt es sich um eine ausführbare und in C++ programmierte Datei, die auf den Betriebssystemen Linux und FreeBSD läuft.


 


Blick ins Innere des Toolkits Neosploit


 


Für die Verschlüsselung der Exploits zuständiger Servercode

Neosploit ist für die Verbreitung auf Hosting-Plattformen bestimmt und auf schnellstmögliche Installation und Ausführung ausgerichtet. Obwohl es die Software nur gegen Geld gibt, lässt sich das Produkt nicht beliebig oft benutzen. Das erinnert an bestimmte Shareware-Produkte, die sich nur eingeschränkt einsetzen lassen.

Bei jedem Versuch, einen Computer zu infizieren und ein Exploit zu generieren, verbindet sich der Neosploit-Server mit einem anderen Server, der sehr wahrscheinlich die Anzahl der Verbindungen protokolliert. Zum Zeitpunkt der Untersuchungen befand sich dieser Server in der Ukraine. An der Anzahl der infizierten Rechner kontrollieren die Autoren von Neosploit die Verbreitung ihres Machwerks und die Bezahlung ihrer Dienstleistungen. Lässt sich keine Verbindung zu diesem Statistik-Server herstellen, wird höchstwahrscheinlich auch kein Exploit generiert und damit auch kein Rechner infiziert.

Das Bootkit

Nachdem ein Computer mit dem Trojan-Dropper infiziert wurde, startet sich der Schädling über die angreifbare Anwendung selbst, generiert anschließend ein Installationsprogramm für das Bootkit und übermittelt diesem die ID des Anwenders.

Daraufhin manipuliert das Installationsprogramm den Bootsektor der Festplatte und deponiert das Schadprogramm auf dem Laufwerk.

Beispiel für einen Eintrag im Bootsektor der Festplatte

CreateFileA(„\.RealHardDisk0“, GENERIC_WRITE | GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, 0x0, 0x0)


 


Beispiel eines infizierten MBR

Wurden alle diese Schritte erfolgreich durchgeführt, gibt der Dropper dem Computer den Befehl zum Neustart. Doch gerade der plötzliche Neustart des Systems erweckte das Misstrauen der User. Darüber diskutierten sie folglich in den Foren und versuchten zu verstehen, was vor sich ging.

Nach dem Neustart fängt das Bootkit eine Reihe von Systemfunktionen ab und ist nun voll funktionsfähig. Der Schädling verbirgt seine Anwesenheit im System und funktioniert als Bot innerhalb eines Zombie-Netzes.



Schema der Infizierung eines Computers

Das wandelnde Сontrol Сenter

Alle von Kaspersky Lab entdeckten Methoden, mit denen sich Schadprogramme in Computersysteme einschleichen, sind außerordentlich interessant bis originell. Dazu gehört zum Beispiel der Austausch der Links oder die Tarnung von Exploits „on-the-Fly“. Insgesamt sind es jedoch keine weltbewegenden Innovationen, denn all diese Technologien hat es vorher schon gegeben. Allerdings wurden sie bis zum August 2008 noch nie gemeinsam bei einer einzigen Attacke eingesetzt.

Die eigentliche Überraschung erwartete die Experten von Kaspersky Lab, als sie die Funktionsweise des Bots analysierten. Das Steuerungszentrum des Botnetzes (CC, Control Center) wechselte ständig die Domain!

Beobachtungen zufolge wurde das CC teilweise bis zu zwei oder drei Mal pro Tag verlagert. Während es zum Beispiel morgens noch auf aykjfgves.com lief, befand es sich gegen Mittag bereits auf dmiafgves.com und wechselte abends zu gfdpves.com. Infizierte Computer müssen also immer wieder aufs Neue nach einem aktiven Steuerungszentrum suchen.

Botnetze dieser Art sind nur sehr schwer aufzuspüren. Gelingt es doch einmal, lassen sie sich nur sehr schwer zerschlagen. Zu jedem beliebigen Zeitpunkt können die Kriminellen das CC auf eine von dutzenden oder sogar hunderten dafür vorbereiteten Domains verlagern, was die Arbeit der Antiviren-Experten sehr mühsam macht. Selbst wenn das Steuerungszentrum des Botnetzes gefunden wird, wird es innerhalb weniger Stunden auf eine andere Domain verschoben. Diese lässt sich nur durch eine Analyse der Netzpakete identifizieren, die die Bots verschicken, um ihr „neues Zuhause“ zu suchen.

Mit ihrer Methode können die Cyberkriminellen ihre Machenschaften recht effektiv vor Antiviren-Unternehmen und Behörden verbergen. Das stetig wechselnde CC eignet sich zweifellos auch zur Abwehr von Konkurrenten, die das Botnetz übernehmen wollen.


 


Beispiel für die Verteilung von Steuerungsservern des Botnetzes.
(Von links nach rechts: Domain-Name; IP-Adresse des Servers; Subnetz, in dem sich der Server befindet; Nummer des autonomen Systems)

Indem sie Domain-Namen nach einem bestimmten Algorithmus generieren und die entsprechenden Domains registrieren, können die Online-Kriminellen das Steuerungszentrum des Botnetzes so lange in Bewegung halten wie sie wollen. Die Inhaber der Domains sind dabei angeblich amerikanischer, afrikanischer, asiatischer oder europäischer Herkunft. Die Registrierungsdaten tragen jedoch eindeutig eine russische Handschrift und sind zweifellos gefälscht.

Als Hostingplattform für die Steuerungszentren dienen weltweit die unterschiedlichsten Ressourcen. Das CC des Botnetzes kann innerhalb weniger Minuten zu einer beliebigen neuen Plattform wechseln. Auf diese Weise entgeht es der Entdeckung und Schließung und kann gleichzeitig seine Funktionsfähigkeit aufrechterhalten.


 


Beispiel für einen Server, der die Übereinstimmung des Domain-Namens und der IP-Adresse des CC des Botnetzes bestimmt.
(Von links nach rechts: Domain; IP-Adresse des Servers; Subnetz, in dem sich der Server befindet; Nummer des autonomen Systems)

Diese Methode ähnelt der Technologie Fast-Flux, die Würmer der Familie Zhelatin (Sturmwurm) einsetzen. Während mit Fast-Flux ausgestattete Schädlinge ständig die IP-Adresse der schädlichen Domain wechseln können, gelingt es dem Bootkit, sowohl die Domains als auch die IP-Adressen zu ändern.

Das Steuerungszentrum des Botnetzes enthält eine Datenbank mit allen registrierten Domains, die zur Verschiebung des CC benutzt werden können.

Beispiele registrierter Domains

ccuuuag.biz 67.228.229.122 registered : 2008-08-07
ewwxbhdh.com 74.50.107.78 registered : 2008-08-07
paiuuag.com 208.73.210.32 registered : 2008-08-06
paiuuag.net 208.73.210.32 registered : 2008-08-06

Bei der erstmaligen Infizierung durch ein Exploit gelangt ein Bootkit auf den Computer, das mit dem gerade aktiven Steuerungszentrum zusammenarbeitet. Nach einem Neustart des Systems ist das Bootkit voll funktionsfähig und versucht sich mit genau diesem Zentrum zu verbinden. Das Schadprogramm erstellt ein spezielles Netzdatenpaket auf Basis der ID des infizierten Computers und versucht, es an den CC-Server zu senden, auf dem bereits die Informationen über die infizierten Computer gespeichert sind.


 


Beispiel für ein gesendetes Paket

Schlägt die Verbindung zum Steuerungszentrum des Botnetzes fehl, so generiert der Bot nach einem speziellen Algorithmus Webadressen mit den Top-Level-Domainnamen .com, .net und .biz. Die Reihenfolge hängt vom aktuellen Datum und der Zeit ab. Der Schädling versucht, sich nun mit jeder dieser Domains zu verbinden und das vorbereitete Paket als Autorisierungsschlüssel dorthin zu schicken.


 


Beispiel für Domains

Erweist sich eine Domain als aktiv, empfängt sie das Paket und antwortet ihrerseits mit einem eigenen einzigartigen Paket. In diesem Fall agiert der Bot als Botnetz-Client und kommuniziert nun über eine verschlüsselte Verbindung mit dem Steuerungszentrum des Zombie-Netzes. Daraufhin folgt in der Regel der Download eines zusätzlichen Moduls (DLL) auf den infizierten Computer.



Unvollständiges Funktionsschema des Bots

Das Spionage-Modul

Seit Anfang des Jahres 2008 wird das Bootkit von vielen Experten untersucht. Sie beschränken ihre Analyse aber auf die Funktionsweise des Rootkit-Parts und die Methode, mit der das Schadprogramm in den Sektoren der Festplatte platziert wird. Andere Forscher untersuchten wiederum das Funktionsschema des Bootkits und dessen Steuerungsbefehle.

Allerdings gab keine der Kaspersky Lab bekannten Analysen Antwort auf die wichtigste Frage: Wozu? Oder anders ausgedrückt: Wie lässt sich damit Geld verdienen? Die wichtigste Aufgabe der Antiviren-Experten war nun, diese Fragen zu beantworten. Daher mussten sie unbedingt herausfinden, was dieses raffinierte Bootkit im System verbirgt.

Bei seiner ersten Kontaktaufnahme mit dem Steuerungszentrum des Botnetzes empfängt der infizierte Rechner ein verschlüsseltes Datenpaket von über 200 KB Größe. Es enthält eine Systembibliothek (DLL), die das Bootkit dechiffriert und in den Speicher des Computers lädt. Die Datei wird nicht auf der Festplatte abgelegt!

Auf diese Weise stellt das Bootkit sicher, dass die geladene DLL sowohl traditionellen Systemanalyse-Tools als auch der überwiegenden Mehrheit der Antiviren-Programme verborgen bleibt. An dieser Stelle eine kleine Erinnerung an Rustock: Dieses Schadprogramm arbeitet ebenfalls mit einer DLL-Datei im Arbeitsspeicher, legt sie aber auch auf der Festplatte des Computers ab. Das Bootkit geht in diesem Fall also noch raffinierter vor als Rustock.

Eine im Arbeitsspeicher des Computers abgelegte DLL verschwindet beim Neustart des Computers und das System ist abgesehen vom Bootkit wieder sauber. Diese scheinbare Unzulänglichkeit erweist sich als Vorteil. Antiviren-Programme, die den Computer beim Start des Betriebssystems überprüfen, können nichts Verdächtiges entdecken, weil schlichtweg kein Schadprogramm existiert. Doch bei aktiver Internetverbindung kontaktiert das Bootkit das Steuerungszentrum und lädt die DLL erneut auf den Rechner. Doch was bewirkt die DLL?

An dieser Stelle einige Worte über den Namen „Sinowal“, mit dem Kaspersky Lab das Bootkit klassifiziert. Als das Bootkit Ende 2007 erstmals in Erscheinung trat, existierte diese Bezeichnung bereits. Zu Trojan-Spy.Win32.Sinowal gehört eine große Anzahl von Spionage-Trojanern, die insbesondere auf den Diebstahl von Zugangsdaten für Online-Banking-Systeme spezialisiert sind.

Bei der Analyse des Bootkits stellten die Experten fest, dass der Algorithmus zur Tarnung des Bootkits mit dem in Trojan-Spy.Win32.Sinowal verwendeten Verschleierungs-Algorithmus identisch ist. Daher kamen sie zu dem Schluss, dass es sich bei den Autoren des Bootkits und des Spionage-Trojaners um dieselben Personen handelt.

Diese Annahme bestätigte sich, nachdem Kaspersky Lab die verborgene DLL aus dem Speicher des Computers extrahiert und sich mit ihrer Funktionsweise vertraut gemacht hatte. Die Algorithmen der DLL stimmen mit denen von TRojan-Spy.Win32.Sinowal überein und erfüllen dieselben Funktionen wie das Spionageprogramm. Nach der Autorisierung des Bots im Netz wird die DLL auf den infizierten Rechner geladen und damit ein Modul installiert, das Passwörter stiehlt und den Netztraffic des Anwenders abfängt.

Sinowal kann man als „universellen Langfinger“ bezeichnen, der sich, sobald er erst einmal ins System eingedrungen ist, alle verfügbaren Passwörter unter den Nagel reißt und den Cyberkriminellen obendrein die Zugangsdaten für zahlreiche Anwendungen übermittelt.


 


Assembler-Code des für den Passwortdiebstahl zuständigen Moduls

Liste angegriffener Anwendungen

Total Commander Thunderbird FlashFXP SecureFX
Windows The Bat Trellian FTP LeechFTP
Commander Internet Explorer Crystal FTP e-Safekey
AK-Mail Mozilla FireFox Folder Flash Player
Inetcomm LeechFTP FAR Manager PuTTY
Outlook FTPS FTP Voyager WinSCP
MSO FireFtp CuteFTP SecureCRT

Die meisten Anwendungen, auf die es das Diebstahl-Modul abgesehen hat, werden zur Verwaltung von Websites benutzt. Für die Cyberkriminellen sind das allerdings wertvolle Informationen, da sie das Steuerungszentrum oder ihre Exploits auf den gekaperten Websites unterbringen können.

Den größten Wert für die Cyberkriminellen haben allerdings Zugangsdaten zu Banksystemen.


 


Auszug aus einer Liste von Banksystemen, zu denen das Modul die Zugangsdaten stiehlt.
Die vollständige Liste umfasst ungefähr 3.000 Seiten.

Die DLL fängt alle Netzverbindungen des infizierten Computers ab und sucht dann im Traffic nach aufgerufenen Bank-Websites. Alle Daten, die Anwender auf diesen Webseiten eingeben, werden umgehend an den Server der Online-Kriminellen gesendet.

Das Spionage-Modul kann uneingeschränkt auf die Ressourcen des Betriebssystems zugreifen und ist deshalb in der Lage, Man-in-the-Middle-Attacken durchzuführen und zum Beispiel vertrauliche Daten aus dem Browser abzufangen.

Das Modul kann vom Abfangen der Tastatureingaben bis hin zum Datenaustausch über sichere SSL-Verbindungen nahezu alle Funktionen eines Spionageprogramms erfüllen. Werden Seiten über eine verschlüsselte HTTPS-Verbindung aufgerufen, so kann der Spion zusätzliche und gefälschte Autorisierungs-Fenster im Browser öffnen. In der Annahme, es handele sich um echte Online-Formulare seiner Bank, könnte der Anwender dann fatalerweise dort seine Zugangsdaten eintragen.

Das Spionage-Modul kann die Anwenderanfragen auf Phishing-Websites umleiten.
Alle auf diese Weise zusammengetragenen Informationen werden verschlüsselt und an einen speziellen Server gesendet.


 


Beispiel für die Position eines Servers, der SSL-Verbindungen unterstützt und zur Umleitung des Anwenders auf eine Phishing-Website benutzt wird.
(Von links nach rechts: Domain-Name; IP-Adresse des Servers; Subnetz, in dem sich der Server befindet; Nummer des autonomen Systems)


 


Beispiel für die Position eines Servers, an den gestohlene Passwörter für Anwendungen gesendet werden.
(Von links nach rechts: Domain-Name; IP-Adresse des Servers; Subnetz, in dem sich der Server befindet; Nummer des autonomen Systems)

Das schädliche Netz

Beim Betrachten des allgemeinen Angriffsschemas darf man nicht außer Acht lassen, dass sich alle Komponenten des Bootkit-Netzes in ständiger Bewegung befinden. Durch die Kontrolle der Namensserver können die Cyberkriminellen einfach und schnell die Plattform der Exploits, das Webinterface des CC, den Download-Ort der Module sowie die Zusammensetzung der vertraulichen Informationen ändern. Das verleiht dem System eine große Widerstandsfähigkeit und Stabilität, da sich neue Komponenten ohne zusätzliche Einstellungen beim Bootkit oder seiner Module integrieren lassen.



Zusammenspiel zwischen Bootkits und Servern

Das Ausmaß der Epidemie

Sowohl das erste gegen Ende letzten Jahres erschienene Bootkit als auch das Rootkit Rustock wurden von der Gruppe IframeBiz realisiert. Die Verbreitung des aktuellen Bootkits erfolgt nach einem komplett anderen und deutlich technischerem Schema, das zum großen Teil auf den Ergebnissen vorangegangener Rustock- und Sinowal-Epidemien basiert.

Natürlich sind die Beschwerden der Anwender über den Neustart des Computers kein Indiz für das tatsächliche Ausmaß der Epidemie. Eine eindeutige Antwort könnte die Statistik des Botnetzes geben, die das Steuerungszentrum generiert. Kaspersky Lab hatte keinen vollständigen Zugriff auf das Webinterface, verfügte aber dennoch über einige Zahlen.

Zum Zeitpunkt der Analyse fanden die Experten fünf Hauptserver, von denen die Exploits auf die Computer der Anwender gelangten. Ungefähr 200.000 Personen aus aller Welt besuchten diese Server innerhalb eines Tages. Die folgenden Grafiken zeigen das am Beispiel der USA.



Aufrufe zweier mit Exploits verminter Websites von den USA aus

Wie bereits beschrieben, verlagern die Kriminellen das Steuerungszentrum des Botnetzes ständig nach einem bestimmten Algorithmus, wobei sich bei weitem nicht alle Bots während des Server-Umzugs mit dem CC verbinden.

Die folgenden Grafiken zeigen die Migrationsstadien einiger Steuerungszentren, die zugeschalteten Bots sowie die Anzahl der infizierten Systeme. Man sieht, dass der Umfang des Botnetzes praktisch 100.000 Bots erreicht hat – ein recht hoher Wert. Zu beachten ist, dass in diesem Fall ausschließlich die Computer amerikanischer Anwender berücksichtigt wurden.



Aufrufe des Steuerungszentrums von den USA aus, das auf die nächste Domain verschoben wird



Aufrufe des Steuerungszentrums von den USA aus, das auf den alten Domains verblieben ist

Schutzmethoden

Die Autoren des Bootkits haben sich allergrößte Mühe gegeben, ein gut geschütztes, höchst mobiles und möglichst unangreifbares Produkt zu erstellen. Alle Arbeitsschritte ihres Machwerks haben sie dabei bestens durchdacht, angefangen bei der Infizierung von Rechnern bis hin zur Botnetz-Steuerung. Zudem haben sie sich selbst bei Details wie der Einschleusung von iframes in den Seitencode keine Fehler erlaubt. Obwohl die Bootkit-Autoren äußerst ausgereifte Techniken einsetzen, sollten moderne Antiviren-Produkte in der Lage sein, das Eindringen des Schadcodes in das System zu verhindern.

Die von den Betrügern eingesetzten Mittel – etwa schädliche Websites und individuelle Exploits – dienen nicht allein dazu, so viele Rechner wie möglich zu infizieren. Sie sind auch darauf ausgelegt, verschiedene aktuelle Antiviren-Technologien abzuwehren. Indem sie Links austauschen anstatt iframes zu platzieren, wollen die Betrüger traditionelle Kontrollmethoden des Web-Traffics umgehen, bei denen verdächtige iframes besonders sorgfältig überprüft oder sogar blockiert werden.

Angesichts zehntausender oder sogar hunderttausender gehackter und mit schädlichem Inhalt präparierter Websites besteht der sinnvollste Schutz in der Blockierung bereits bekannter schädlicher Websites.


 


Kaspersky Internet Security 2009 blockiert eine infizierte Website

Die Exploits werden für jeden neuen Anwender automatisch erzeugt, wobei der Code sich jedes Mal verändert. Der Tarnmechanismus bleibt dabei allerdings gleich. Das bedeutet, dass ein Antiviren-Produkt das Tarnungs-Skript mit Hilfe signaturbasierter oder heuristischer Methoden entdecken kann.



Beispiel für die Erkennung von Exploit-Tarnung

Selbst wenn das Exploit auf den Computer gelangt ist, wird es nicht funktionieren, wenn der Anwender sein Betriebssystem und die installierte Software regelmäßig auf den neuesten Stand bringt. Löchrige Software lässt sich mit Hilfe eines Schwachstellen-Scanners identifizieren.


 


Identifizierung einer Sicherheitslücke in einer Flash-Player-Komponente


 


Beschreibung der entsprechenden Sicherheitslücke auf der Website Viruslist.de

Angenommen, auf dem Computer eines Anwenders läuft eine angreifbare Anwendung und das Exploit funktioniert, gelangt der Dropper des Bootkits auf den Rechner. Dabei handelt es sich um eine ausführbare Datei, die auf dem Server der Betrüger auf einen konkreten Anwender zugeschnitten wird, was die signaturbasierte Erkennung deutlich erschwert.

In diesem Stadium ist der proaktive Schutz die effektivste Abwehrmaßnahme. Mit dieser Technologie ausgestattete Antiviren-Programme können neue, unbekannte Dateien analysieren, deren Funktionen bestimmen und eine heuristische Analyse des Codes sowie des Schadprogramm-Typs durchführen.


 


Kaspersky Internet Security 2009 analysiert ausführbare Dateien…


 


…und blockiert sie, wenn die Analyse sie als potentiell gefährlich eingestuft hat.



Dieser Anwendung wurde ein hoher Gefahrenindex zugewiesen, weil der Schädling Heur.Backdoor.Generic entdeckt wurde

War der Computer zum Zeitpunkt der Infizierung nicht ausreichend durch ein Antiviren-Programm geschützt, so beginnt das eingedrungene Bootkit noch vor dem Start des Betriebssystems und des Antiviren-Programms zu wirken. Dadurch erhält es die Kontrolle über wichtige Systemfunktionen und kann seine Anwesenheit im System verbergen.

In diesem Stadium lässt sich eine Infizierung des Systems feststellen, indem man den vom infizierten Rechner ausgehenden Netztraffic analysiert. Die vom Bot generierten Anfragen bei der Suche nach der Domain des Steuerungszentrums sind recht leicht zu identifizieren. Weil das Bootkit keine Netzfunktionen abfängt, lässt sich eine solche Analyse sogar aus einem infizierten System heraus durchführen. Im Fall von Kaspersky Internet Security 2009 tritt dabei die Paketsniffer-Komponente der Firewall in Aktion. Wurde eine verdächtige Aktivität erkannt, kann diese mit der Firewall unterbunden werden. Das Risiko lässt sich selbst dann noch minimieren, wenn das Bootkit nicht entdeckt wurde.

Der schädliche Code kann mit Hilfe eines Antiviren-Programms mit leistungsstarker Anti-Rootkit-Komponente erkannt und unschädlich gemacht werden. Diese muss dazu hintereinander den Arbeitsspeicher des Systems und den Bootsektor der Festplatte überprüfen.


 


Erkennung des Rootkits im Speicher des infizierten Computers


 


Desinfizierung des MBR

Nachdem alle diese Maßnahmen durchgeführt sind, ist das System vollständig vom Bootkit befreit.


 


Kaspersky Internet Security 2009 meldet ein vollständig vom Bootkit befreites System

Fazit

Die Entwicklung des ersten Bootkits bedeutete für die Virenschreiberzunft einen technologischen Durchbruch. Heutzutage sorgt ein Bootkit mit leistungsfähigen Komponenten selbst für seine Verbreitung und ist auf das Funktionieren innerhalb eines Botnetzes ausgerichtet.

Die im Rootkit Rustock umgesetzten Technologien eröffneten dem Schadprogramm ein breites Spektrum an Möglichkeiten, sich für Antiviren-Programme unsichtbar zu machen und ihnen die Analyse weitestgehend zu erschweren. Das Bootkit wehrt die Erkennung des Schadcodes bereits in einem frühen Infektionsstadium mit unterschiedlichen Mitteln ab. Der Schädling versucht, eine möglichst hohe Zahl von Computern zu infizieren und verhindert, dass das Botnetz aus dem Gleichgewicht gebracht wird.

Der Organisationsaufwand und die Fülle der von den Cyberkriminellen eingesetzten technischen Lösungen sind beeindruckend: Low-Level-Programmierung; ausnutzen von Sicherheitslücken in Dutzenden von Anwendungen; Übergang vom Bootmodus des Betriebssystems in den Kernel-Modus, dann in den Benutzer-Modus und wieder zurück; Entwicklung von Anwendungen in C++ für Unix-Derivate; kryptografische Protokolle; Autorisierungsprotokolle der Bots.

Zweifellos hat die Entwicklung dieses Systems mehrere Monate in Anspruch genommen und sein Betrieb erfordert ständige Kontrolle und weitere Investitionen. Dazu gehören unter anderem Ausgaben für Domains, Hosting-Plattformen und die Entwicklung immer neuer Exploits.

Die Entwicklung, Planung, Umsetzung und Pflege der gesamten Struktur kann nicht von ein oder zwei Personen bewältigt werden. Wir haben es hier sicherlich mit mehr als einer Gruppe von Cyberkriminellen zu tun, die eng zusammenarbeiten und von denen jede für ihren eigenen Anteil am Gesamtprodukt verantwortlich ist.

Die Geschichte des Bootkits spiegelt das gesamte Spektrum der IT-Bedrohungen für den Anwender wider. Cyberkriminelle setzen ausnahmslos alle von Kaspersky Lab beschriebenen Technologien und Methoden im größten Teil der aktiven Schadprogramme ein.

Infizierung über den Browser, Rootkit-Technologien, Botnetze, Diebstahl von Anwender-daten, Kryptografie, Tarnung und Maßnahmen gegen Antiviren-Programme: Bootkits haben all diese Methoden im dritten Quartal 2008 eingesetzt – und zwar sowohl einzeln als auch gebündelt.

Derart komplexe Bedrohungen lassen sich nur mit Hilfe der folgenden Schutzmechanismen erfolgreich abwehren: Antiviren-Programm, Filterung des Netztraffics, Verhaltensanalyse, Sandbox, System zur Analyse des Netztraffics und eine Firewall. Ein modernes Antiviren-Produkt sollte nicht nur in der Lage sein, Rootkits abzuwehren, sondern auch deren Varianten wie etwa Bootkits.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.