Kaspersky Security Bulletin 2006: Schadprogramme für Unix-ähnliche Systeme

  1. Entwicklung der Schadprogramme
  2. Schadprogramme für Unix-ähnliche Systeme
  3. Schadprogramme für mobile Geräte
  4. Internet-Attacken
  5. Spam in 2006

Einführung

Alle aktuellen Betriebssysteme kann man, ungeachtet ihrer Vielfältigkeit, auf zwei grundsätzliche Kategorien zurückführen: Microsoft-Systeme und Unix-ähnliche Systeme. Der vorliegende Artikel bietet einen Überblick zur Virensituation für Unix-ähnliche Betriebssysteme.

Das populärste Unix-ähnliche Betriebssystem ist Linux. Linux wird, obwohl es die wichtigste Alternative zu Windows ist, vor allem als Serverlösung genutzt. Auf Workstations wird Linux (wie auch die übrigen Unix-ähnlichen Betriebssysteme) nur von Enthusiasten oder Profis verwendet. Die Virenschreiber und andere Cyber-Kriminelle interessiert Linux anscheinend bedeutend weniger – einerseits sind sie schon kein Underground mehr, andererseits noch kein verbreiteter Mainstream, so dass noch kein ein kriminelles Business darauf aufgebaut werden kann. Deshalb stellten Proof-Of-Concept-Varianten (POC) und Exploits, die neue Schwachstellen demonstrierten, sowie neu kompilierte Versionen schon bekannter Programme den wesentlichen Anteil am Malware-Strom im Jahr 2006.

Das Erscheinen wirklich neuer Exemplare war ein seltenes Ereignis. Gleichzeitig werden in Programmen unter Unix und Linux wie auch im Kern des Betriebssystems nicht weniger Schwachstellen entdeckt, als unter Windows. Deshalb können die Unix-Nutzer nur so lange relativ ruhig bleiben, wie dieses Betriebssystem nicht ausreichend populär wird, um das Interesse der Virenautoren zu wecken. Natürlich bemühen sich die Entwickler darum, gefundene Schwachstellen schnell auszubessern und Updates herauszugeben – aber all diese Updates müssen noch installiert werden, und das ist die Aufgabe der Nutzer, die nicht immer die notwendigen Maßnahmen ergreifen.

Wichtige Ergebnisse des Jahres 2006

Von Jahr zu Jahr wächst der allgemeine Strom schädlicher Programme, das kann man jedoch nicht über schädliche Programme für Unix sagen. Sie stellten immer einen unbedeutenden Anteil an der Gesamtzahl schädlicher Programme, im vergangenen Jahr erfolgte im Vergleich zu den vorherigen Jahren zudem eine bedeutende Verringerung der Anzahl von Unix-Schadprogrammen.

Bei der Statistik des Jahres 2005 entsprach die Zahl neuer schädlicher Programme den Einträgen in der Bedrohungs-Datenbank von Kaspersky Lab. Das heißt, bei Vorhandensein mehrerer sich voneinander kaum unterscheidender Modifizierungen fielen alle Varianten unter die Zahl der neuen Schadprogramme.

Im Jahr 2006 änderte sich die Zählmethode: Als neu wurden nur die schädlichen Programme registriert, die keine Modifizierung von in den Datenbanken bereits existierenden Schadprogrammen darstellten.
Im Ergebnis verringerte sich die Anzahl der schädlichen Programme für Unix-ähnliche Systeme im Jahr 2006 um 43%.

Verteilung schädlicher Programme für verschiedene Unix-Systeme nach Plattformen

Die Verringerung der Anzahl neuer schädlicher Dateien für Unix-Systeme fällt vor dem Hintergrund des allgemeinen Stroms schädlicher Programme, der im vergangenen Jahr um 41,4% anwuchs, noch stärker auf. Diese Situation lässt sich nur durch die geringe Popularität von Unix bei normalen Anwendern erklären.

Linux ist das populärste System aller Unix-Varianten. Das wird auch durch den Fakt bestätigt, dass die erdrückende Mehrzahl schädlicher Software genau für dieses Betriebssystem bestimmt ist, obwohl viele schädliche Programme ohne besonderen Aufwand auf andere Unix-Systeme, darunter auch MacOS X, übertragen werden könnten.


Anzahl schädlicher Programme für Unix-Plattformen in den letzten Jahren

Anteilmäßige Verteilung schädlicher Programme für unterschiedliche Unix-Plattformen im Jahr 2006

Einer der Hauptunterschiede zum Jahr 2005 ist das Auftauchen von MacOS X in der Statistik. Der Umstieg von Apple zu x86-Prozessoren erhöhte seine Popularität wesentlich. Obwohl heute der Anteil schädlicher Programme für OS X gerade einmal 4% beträgt, findet das Betriebssystem immer mehr Anhänger und es scheint, dass gerade OS X einige Marktanteile von anderen Unix-Systemen, darunter auch Linux, wegnehmen wird.

Die Tendenz zur Verringerung der Anzahl neuer Schadprogramme für Unix wird so lange anhalten, wie Unix-Systeme auf den Desktops der Nutzer nicht populärer werden. Gegenwärtig zeigt sich bei Virenschreibern und anderen Cyber-Kriminellen keine Motivation zum Schreiben schädlicher Codes dafür: Viel Geld ist mit der geringen Anzahl von Unix-Nutzern nicht zu machen. Daher beschäftigen sich hauptsächlich professionelle Sicherheitsforscher mit der Suche nach Schwachstellen in Unix-Systemen.

Im November 2006 wurde etwa das Projekt „The Month of Kernel Bugs“ (MoKB) gestartet, dessen Ziel die Entdeckung und Veröffentlichung von Schwachstellen in den Kernen verschiedener Betriebssysteme ist. Gemäß den im November erhaltenen Forschungsergebnissen erwies sich Linux unter allen Betriebssystemen als Spitzenreiter bei der Anzahl entdeckter Schwachstellen – in seinem Kern wurden 11 Schwachstellen gefunden, bei OS X “nur“ 10. In dieser Liste wurden auch FreeBSD, Solaris, Windows und verschiedene Treiberhersteller erwähnt.

Nach der Anzahl entdeckter Probleme im Linux-Kernel wie auch in Linux-Anwendungen zu urteilen, gibt es bei Linux nicht weniger Möglichkeiten zum Schreiben schädlicher Codes als bei Windows. Daher kann künftig die Lage bei Linux-Plattformen genauso unsicher werden wie bei Windows.

Verhaltensweisen Unix-orientierter Schädlinge

Analysiert man die Statistik, kann man feststellen, dass sich im Laufe der letzten 3 Jahre die qualitative Zusammensetzung von Unix-Schädlingen im Ganzen unwesentlich verändert hat.


Die Verhaltensweisen Unix-orientierter Schadsoftware

Wie auch in den letzten Jahren stellen Exploits und Backdoors den Hauptbestandteil dar. Hacktools belegen in der Popularitätsliste den dritten Platz. Die übrigen – Würmer, Trojaner, Rootkits – nehmen alle zusammen einen etwas größeren Anteil ein als Hacktools. Insgesamt gesehen ist es ein sich von Jahr zu Jahr wiederholendes Bild, in dieser Verteilung gibt es nichts Ungewöhnliches.

Die Dominanz der Backdoors kann man mit der üblichen Nutzung von Unix-Rechnern erklären, die hauptsächlich als Server verwendet werden. In der Regel gewährleisten solche Server den Remote-Zugang und andere Netzdienste. Ein auf der Maschine installiertes Backdoor, dazu noch mit Root-Rechten, erlaubt es, einen vollständigen Zugang zur Maschine und damit zu den Netzressourcen zu erhalten. Außerdem kann die infizierte Maschine zur Realisierung weiterer Angriffe auf andere Computer, zum Spam-Versand oder anderen Aufgaben genutzt werden.

Exploits und Hacker-Werkzeuge können sowohl zur Zerstörung als auch zum Entdecken von Schwachstellen, verwendet werden. So kann Metasploit einerseits von Sicherheitsexperten zum Testen auf Schwachstellen genutzt werden, und andererseits von Hackern. Das Netz-Tool netcat wiederum kann auch als Backdoor arbeiten und einen Remote-Zugang ermöglichen.

Abgesehen davon, dass man für die Mehrzahl der Unix-Schadprogramme die Quelltexte finden kann, haben sich nur sehr wenige von ihnen weiterentwickelt: Ihre neuen Versionen unterscheiden sich nur unwesentlich, und nur selten haben sie einen ganz und gar verschiedenen binären Code – nur aufgrund der Veränderungen einiger Optionen des Compilers.

Viren für Unix wie auch für Windows werden insgesamt langsam weniger. In Abb. 3 fehlen die Viren bei den Verhaltensweisen schädlicher Programme ganz, denn der einzige neue Unix-Virus, der im letzten Jahr entdeckt wurde, war Virus.Multi.Bi.

Wie aus der Bezeichnung erkennbar, ist es ein Multiplattform-Virus, der für mehrere Plattformen bestimmt ist: Virus.Multi.Bi infiziert ausführende Dateien im PE- und Elf-Format. Er ist ein nicht speicherresistenter Virus, geschrieben unter Assembler und ziemlich einfach. Er infiziert Dateien nur im aktuellen Verzeichnis. Er ist zwar nicht der erste Cross-Plattform-Virus für Windows/Linux, doch übersteigt die Gesamtzahl solcher schädlichen Programme nicht mal ein Dutzend.


Fenster, das beim Start des Bi-Droppers unter Windows erscheint

Heutzutage sind moderne Netze heterogene Systeme, in denen verschiedene Plattformen und Betriebssysteme genutzt werden. Deshalb trifft man immer öfter auf Versuche, einen schädlichen Code zu schaffen, der auf verschiedenen Plattformen arbeitet. Cross-Plattform-Schadsoftware werden wahrscheinlich noch länger nicht zur Gewohnheit, doch die Tendenz dazu ist bereits gut sichtbar. Dies wird auch durch die Nutzung verschiedener Skriptsprachen begünstigt, die es gestatten, einen auf allen Betriebssystemen einheitlich arbeitenden Code zu schaffen. Hierzu muss aber ein entsprechender Interpreter auf dem System installiert sein).

Wie oben angemerkt ist der qualitative Bestandteil schädlichen Codes vor allem durch die Nutzung der Plattform bedingt. Eine Interessenverschiebung der Nutzer wird sich im qualitativen Anteil der Schadsoftware widerspiegeln. Und wenn plötzlich Linux auf den Desktops der Nutzer populär wird, verlagern sich ganz sicher auch die Akzente der Cyber-Verbrecher in Richtung dieser Plattform.

MacOS X – neue Perspektiven

Mit Apples Umstieg auf die x86-Architektur wurde MacOS X zweifellos zu einer populäreren Plattform. Immer mehr Nutzer sehen MacOS X als Alternative nicht nur zu Windows, sondern auch zu Linux.

Doch der Umstieg zur x86-Architektur hat bisher nicht zu einem starken Anstieg der Zahl von MacOS-X-Nutzern geführt. Im Ergebnis wurde OS X noch nicht zum Gegenstand des Interesses der Cyber-Kriminellen. Es erschienen jedoch einige Proofs-Of-Concept, die Aufmerksamkeit verdienen.

Im Februar tauchte mit IM-Wurm.OSX.Leap der erste von ihnen auf. Dieser Wurm verbreitet sich über den IM-Client iChat, indem er sich über das Adressbuch verschickt.


Fenster, das beim Start von IM-Worm.OSX.Leap erscheint

Ein anderer Vertreter, Worm.OSX.Inqtana, erschien fast zeitgleich. Inqtana wurde mit Java geschrieben und verbreitet sich über Bluetooth, indem er die bereits bekannte Schwachstelle CVE-2005-1333 nutzt, die schon im Mai 2005 veröffentlicht wurde.

Gegen Ende des Jahres wurde die Geschichte von Inqtana fortgesetzt. Die Variation Worm.OSX.Niqtana verbreitete sich ebenfalls über Bluetooth, nutzte aber andere Schwachstellen: CVE-2005-0716 für OS X 10.3.x und CVE-2006-1471 für OS X 10.4.x.

Das Erscheinen des Konzepts Virus.OSX.Macarena für OS X Anfang November zeigte neue Horizonte: Macarena ist der erste Versuch, einen Virus für MacOS X zu schaffen, der ausführende Dateien des mach-o-Formats infiziert. Der Virus befällt nur Dateien aus dem aktuellen Verzeichnis und das nur auf Intel-Platformen, für PPC-Architekturen ist er ungefährlich.

Diese Schadprogramme haben Proof-Of-Concept-Charakter, sie zeigen Möglichkeiten, Programme ähnlicher Art zu schaffen, und in der Zukunft wird man sie sicher auch in freier Wildbahn finden. Sowohl Nutzer als auch Entwickler von OS X sollten sich also ernsthafter mit Fragen der Sicherheit beschäftigen. Mittlerweile glauben nur noch wenige, dass die Mac-Plattform sicherer als Windows ist.

Schlussfolgerungen und Prognosen

Für die Unix-Gemeinschaft war 2006 im Bereich der Sicherheit ein insgesamt ruhiges Jahr. Es gab keine Epidemien oder ernsthafte Zwischenfälle.

Dennoch sollten sich Unix-Nutzer nicht leichtsinnig verhalten, denn es gibt hier nicht weniger Möglichkeiten, einen schädlichen Code zu schreiben, als bei Windows. Die Software-Hersteller geben regelmäßig Updates heraus, die Sicherheitslücken ausbessern, doch für deren Installation und richtige Einrichtung müssen die Nutzer selbst sorgen.

Einige neue Technologien wurden im letzten Jahr eingeführt, etwa Mac OS X für x86 sowie 64-Bit-Prozessoren und Betriebssysteme. Doch diese Technologien haben die Welt bisher nicht sehr verändert, doch die Veränderung wird kommen und sowohl Übeltäter als auch Sicherheits-Experten müssen sich darauf vorbereiten.

Man kann nun folgende Prognosen stellen:

  • MacOS X hat weiterhin die besten Perspektiven unter den Betriebssystemen und im neuen Jahr könnte ein Teil der Nutzer sowohl von Linux als auch von Windows zu MacOS X wechseln.
  • Man kann annehmen, dass mit dem weiteren Vordringen von Linux auf unterschiedliche Geräte – Mobiltelefone, Bordcomputer für Autos oder den Spielebereich – auch schädliche Software auftauchen wird.
  • Die Cross-Plattform-Fähigkeit wird weiter entwickelt werden, denn die Cyber-Kriminellen wollen mehr Nutzer erreichen.
  • In den Alltag gehen auch neue Verbreitungsmethoden schädlicher Programme ein, die vor allem moderne Technologien wie Bluetooth, Wi-Fi oder Skype nutzen werden.

Neue Technologien bleiben nicht auf der Stelle stehen, und mit ihrem Vordringen entstehen neue Möglichkeiten ihrer Nutzung unter verschiedenen – auch kriminellen – Aspekten. Natürlich wäre es schön, wenn die Tendenz des letzten Jahres erhalten bleibt – doch mit der steigenden Popularität von Unix-Plattformen wird das nicht der Fall sein.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.