Kaspersky Security Bulletin: Entwicklung der IT-Bedrohungen im Jahr 2008

  1. Entwicklung der IT-Bedrohungen im Jahr 2008
  2. Jahresstatistik 2008
  3. Spam im Jahr 2008

Die Bilanz für 2008

Das Jahr 2008 hat gezeigt, dass die Epoche der Epidemien zu Ende gegangen ist. Sie begann im Jahr 2000 und zeichnete sich durch eine hohe Anzahl an Würmern aus, die globale Epidemien verursachten und sich zuerst über E-Mails und später über Netzattacken verbreiteten. Ihren Höhepunkt erreichten die Epidemien zwischen 2003 und 2005.

In den Jahren 2007 und 2008 begann eine neue Epoche, die sich durch eine rasante Zunahme der Trojaner auszeichnete. Diese Schädlinge waren vorrangig auf Datendiebstahl aus, der sich in den meisten Fällen auf Bankdaten und Zugangscodes für Online-Spiele bezog. Dabei ist es unverkennbar, dass Cyberkriminelle die Entwicklungsarbeit für Schadprogramme mittlerweile unter sich aufteilen. Verschiedene Gruppen entwickeln und verbreiten die Schädlinge und wieder andere setzen sie ein. Das Cybercrime-Business hat sich damit endgültig zu einem Netzwerk für Dienstleistungen entwickelt, die Hacker gegenseitig in Anspruch nehmen.

Während 2007 die „nichtkommerziellen“ schädlichen Programme von der Bildfläche verschwanden, verringerten sich 2008 die „exklusiven“ Schädlinge, die nur von wenigen Personen entwickelt und verwendet wurden. Fast alle in diesem Jahr entdeckten Trojaner und Viren waren für den Verkauf bestimmt. Besonders gefragt waren dabei der technische Support sowie Methoden zum Überlisten von Antiviren-Programmen.

China hat im Jahr 2008 die meiste schädliche Software produziert. Dort ansässige Hacker produzierten nicht nur eigene Trojaner, sondern begannen auch damit, ausländische und meist russische Viren zu lokalisieren. Daraus entstanden chinesische Versionen bekannter Exploits wie IcePack, FirePack und MPack sowie mehrere Modifikationen von Trojanern wie Pinch und Zeus.

Gleichzeitig begannen die chinesischen Cyberverbrecher damit, intensiver nach neuen Sicherheitslücken in bekannter Software zu suchen. In erster Linie betrifft das Microsoft Office und Microsoft Windows. Hier erzielten die Hacker bedeutende Erfolge. Einer ihrer größten Coups war die Entdeckung einer Sicherheitslücke in Windows NetAPI. Das zog Ende 2008 eine große Anzahl von Attacken nach sich, die die Sicherheitslücke MS08-067 ausnutzten.

Von April bis Oktober 2008 machten Geschichten über „chinesische Massen-Hacks“ in den Medien die Runde und bezogen sich auf zwei Webseiten-Massenattacken von bis dato noch nicht da gewesenem Ausmaß. Während der ersten Angriffswelle von April bis Juni 2008 wurden weltweit über zwei Millionen Internet-Ressourcen gehackt. Hauptwaffe der Angreifer waren SQL-Injections, die neue Befehle in den Webseiten-Code einschleusten. Besucher wurden durch diese Kommandos auf Hacker-Webseiten umgeleitet, die wiederum ihre PCs mit Schadprogrammen infizierten.

Trotz Bemühungen der chinesischen Virenschreiber waren ihre russischen Kollegen 2008 federführend. Sie entwickelten ihr Modell Malware 2.0 weiter, das sich aus mehreren einzelnen Modulen zusammensetzt: Einsatzgebiet, Zusammenarbeit der Module, geschützte Kanäle für den Datenaustausch und Steuerzentralen für ihre Botnetze.

Zwei gefährliche und 2008 entdeckte Rootkits gehören zur Malware 2.0, nämlich das von Kaspersky Lab als Virus.Win32.Rustock.A klassifizierte Rustock.C und Sinowal. Diese beiden Rootkits setzen bislang unbekannte Technologien ein. Außerdem übertraf die für sie erstellte Infrastruktur in Ausmaß und Komplexität die von allen bisherigen Würmern wie Zhelatin und Warezov.

Übereinstimmend mit den Prognosen von Kaspersky Lab kehrten 2008 die Datei-Viren zurück. Neben ihrer traditionellen Funktion, dem infizieren von Dateien, konnten sie nun auch Daten stehlen und was noch wichtiger ist, sich über Wechseldatenträger verbreiten. Diese Schädlinge infizierten binnen kurzer Zeit PCs in aller Welt. Bei ihren aktuellen Viren verwenden die Hacker fast ausschließlich polymorphe Code-Strukturen, was Antiviren-Unternehmen zusätzliche Probleme bereitete. Teilweise gelang es ihnen nicht, die davon ausgehenden Gefahren rechtzeitig zu erkennen und Reparaturtools zu entwickeln.

Auf Flashmedien gespeicherte Würmer konnten die klassischen Schutzmechanismen der Unternehmens-Netzwerke wie Mail-Filter, Firewalls und Antiviren-Programme auf den Dateiservern mühelos umgehen. Die Würmer fielen zunächst in eine lokale Workstation ein und umgingen deren Schutzschilde. Anschließend verbreiteten sie sich mit rasender Geschwindigkeit im gesamten Netzwerk, indem sie sich auf alle zugänglichen Ressourcen kopierten.

Soziale Netzwerke wurden 2008 immer beliebter und waren dementsprechend auch in Ländern verbreitet, die einen hohen Anteil an Internet-Usern haben. Dazu zählen zum Beispiel Südostasien, Indien, China, Südamerika, Türkei, Nordafrika und die Länder der ehemaligen UdSSR. Beide Faktoren führten dazu, dass Angriffe auf und über soziale Netzwerke zum alltäglichen, aber dennoch gefährlichen Phänomen wurden. Cyberkriminelle missbrauchen soziale Netzwerke zum verbreiten neuer Malware sowie zum sammeln von Daten. Außerdem setzen sie dort auch verschiedene Erpressermodelle einschließlich Phishing um.

Eine der bedeutendsten Epidemien dieser Art verursachte der Wurm Koobface. Kaspersky Lab entdeckte die ersten Modifikationen des Wurms im Juli 2008. Der Schädling hatte es auf die User der sozialen Netzwerke Facebook und MySpace abgesehen. Im Dezember entwickelte sich der Wurm zu einem ernsthaften Problem, insbesondere nachdem neue Modifikationen entdeckt wurden, die mit Bebo noch ein weiteres bekanntes soziales Netzwerk attackierten.

Der bekannte Wurm Zhelatin (Storm Worm) war zwar in vielen Varianten unterwegs, doch seine Verbreitung wurde 2008 jäh gestoppt. Erste Modifikationen des Wurms erschienen bereits im Januar 2007, aber seine beinahe zweijährige Historie brachte mehr Fragen als Antworten. Das legendäre „Storm-Botnetz“, das schätzungsweise fast zwei Millionen PCs umfasste, zeigte ebenfalls nicht seine volle Leistungsfähigkeit. Der erwartete gigantische Spam-Massenversand blieb ebenso aus wie DDoS-Attacken.

Die Schließung des einschlägig bekannten russischen Internetdienstanbieters RBN (Russian Business Network) ist eine der möglichen Ursachen für das plötzliche Ende von Zhelatin. Medienberichte über die potenzielle Mitwirkung von RBN an beinahe allen aufgedeckten Fällen von Internet-Kriminalität führten dazu, dass die RBN-Hintermänner ihr Unternehmen aufteilten. Von Singapur bis zur Ukraine gründeten sie weltweit voneinander autonome Webhosting-Firmen und führen ihre Tätigkeit nun weniger öffentlich durch. Dabei stellte sich für die Hacker heraus, dass die Arbeit mit den einzelnen Unternehmen einfacher ist als mit dem „großen“ RBN.

Im Herbst mussten Cyber-Verbrecher einige ernsthafte Rückschläge einstecken. Dank der Zusammenarbeit von Internet-Firmen, IT-Sicherheitsunternehmen und Regierungen wurden die Webhoster AtrivoIntercage, EstDomains und McColo vom Netz getrennt. Durch die Schließung von McColo ging die Spam-Menge augenblicklich um mehr als 50 Prozent zurück und mehrere von geheimen Orten aus gesteuerte Botnetze stellten ihre Arbeit ein. Auch wenn die Spam-Menge nach einigen Wochen wieder ihr Ausgangsniveau erreichte, war dieses Ereignis einer der größten Siege gegen Spammer in den letzten Jahren.

Unter allen im Jahr 2008 registrierten Malware-Ereignissen treten vier Themen besonders hervor, weil sie die gesamte Antiviren-Industrie und die IT-Sicherheit im Allgemeinen betreffen: Verbreitung von Rootkits, Attacken auf soziale Netzwerke, Schadprogramme für Online-Spiele und Botnetze.

Für Analysten kommt es nicht unerwartet, dass gerade diese Bereiche ins Zentrum der allgemeinen Aufmerksamkeit rückten. Wichtiger ist jedoch, dass sie damit die enormen Bemühungen der Antiviren-Hersteller deutlich machen. Deren Arbeit bleibt auch künftig schwierig, weil die Schädlinge immer komplexer aufgebaut sind.

Für Viren-Analysten stellen Rootkits schon lange ein sehr interessantes Problem dar. Auch Kaspersky Lab widmet sich regelmäßig diesem Thema und veröffentlichte dazu 2008 drei umfangreiche Analysen auf der Webseite Viruslist (http://www.viruslist.com/de/analysis): „Rustock – Ein Malware-Mythos?“, „Rootkits – Anfänge, Massenproduktion, Trends“ und „Bootkits – die Herausforderung des Jahres 2008“. Diese Studien beweisen, dass Cyberkriminelle komplexe Schädlings-Attacken noch erheblich besser organisieren könnten. Verschlimmert wird die Situation noch dadurch, dass praktisch alle Antiviren-Unternehmen der Entdeckung und Entschärfung aktiver Rootkits bislang zu wenig Aufmerksamkeit schenken.

Die ständige Weiterentwicklung der Windows-Betriebssysteme änderte bis heute nichts an der Situation. Rootkits wird es deshalb auch in den kommenden Jahren geben, allerdings in immer komplizierterer und ausgeklügelterer Form.

Soziale Netzwerke waren vergangenes Jahr Ziel der meisten Schädlingsangriffe. Diese von Kaspersky Lab prognostizierte Situation hat sich somit vollständig bewahrheitet. Gegenwärtig bestimmen soziale Netzwerke die Entwicklung des Internets maßgeblich mit und sind bei einer riesigen Zahl von Anwendern beliebt.

Viele Internet-Unternehmen werben mit neuen Dienstleistungen und Services für soziale Netzwerke. In den Industrieländern ist fast jeder Internetnutzer Mitglied in mindestens einem sozialen Netzwerk. Derzeit beobachten wir eine rasante Zunahme der Anwenderzahlen in den Ländern Südostasiens.

Gleichzeitig entwickelt sich der Bereich der Online-Spiele weiter. Die Games sind zwar nicht unmittelbarer Bestandteil des Internets, sondern kommunizieren lediglich darüber. Online-Spiele sind jedoch ein wichtiger Bestandteil der modernen Gesellschaft. Da sie in Südkorea, China und weiteren Ländern Südostasiens am stärksten verbreitet sind, stehen die Spiele im Fokus der Cyberkriminellen und avancierten zahlenmäßig zum wichtigsten Ziel für Virenattacken.

Im Jahr 2008 erfolgte ein Führungswechsel: Trojaner für Online-Spiele verdrängten Online-Banking-Trojaner vom ersten Platz. Der neue Spitzenreiter setzt aktiv neue Technologien und Mechanismen ein, um Dateien zu infizieren und sich auf Wechseldatenträgern zu verbreiten. Dieselben Trojaner setzen Cyberkriminelle zur Organisation von Botnetzen ein.

Die Verbreitung von Trojanern für Online-Spiele wurde 2008 zur Hauptaufgabe für Hacker. Das erkennt man an groß angelegten Attacken wie beispielsweise dem „chinesischen Massen-Hack“, der Computer in aller Welt betraf.

Noch vor einigen Jahren war das Wort „Botnetz“ ausschließlich Mitarbeitern von Antiviren-Unternehmen geläufig. Mittlerweile kennt fast jeder diesen Begriff. Botnetze wurden 2008 zum wichtigsten Mittel für Spam-Verbreitung, DDoS-Attacken sowie für den Versand neuer Viren. Außerdem haben Botnetze mit allen in diesem Jahresbericht erwähnten Themen wie Rootkits, sozialen Netzwerken und Online-Spielen zu tun.

Im Jahr 2008 veröffentlichte Kaspersky Lab neben einer Reihe von Botnetz-Analysen auch einen umfangreichen Grundlagen-Artikel zum Thema „Botnetze – Geschäfte mit Zombies“ (http://www.viruslist.com/de/analysis). Dieser erklärt, was man unter Zombie-Netzen oder Botnetzen versteht, wie sie aufgebaut sind und wie man mit ihnen Geld verdienen kann. Zudem beschäftigt sich der Bericht mit aktuellen Entwicklungen auf diesem Gebiet. Wie bereits angesprochen, wird das reale Ausmaß des Botnetz-Problems und sein Einfluss auf die gesamte Antiviren-Industrie nach wie vor unterschätzt. Doch man muss Botnetze in den Griff bekommen, weil sie die Sicherheit des gesamten Internets bedrohen. Um das Problem zu lösen, braucht es allerdings mehr als nur die Bemühungen eines oder mehrerer Antiviren-Unternehmen. Internet-Regulierungssstellen und Regierungen müssen dafür auf internationaler Ebene zusammenarbeiten.

Zum Glück wird schon viel in dieser Richtung unternommen. 2008 fanden mehrere Konferenzen zum Botnetz-Problem statt. Die Teilnehmer verständigten sich dabei auf Maßnahmen zur Verbesserung der Situation. Die Schließung der Unternehmen Atrivo und McColo ging teilweise auf die Beschlüsse dieser Konferenzen zurück. Allerdings ist es noch ein weiter Weg bis zum endgültigen Erfolg. Botnetze werden deshalb auch im Jahr 2009 eine der größten Internet-Bedrohungen bleiben.

Rootkits

Im Jahr 2008 machten Rootkits durch besondere Ereignisse auf sich aufmerksam. Das erste betrifft die Nachforschungen zum bekannten Rootkit Rustock.C, das nicht allein wegen seiner besonderen Technologien berühmt wurde. Vielmehr erregte das Rootkit großes Aufsehen, weil man es nicht zu fassen bekam. Das zweite Ereignis war das Erscheinen zahlreicher ITW-Modifikationen der Sinowal-Bootkits.

Kaspersky Lab klassifiziert Rustock.C als Virus.Win32.Rustock.a. Wir stufen das Rootkit als „Virus” ein, weil es Dateien infizieren kann.

Die wichtigsten Eigenschaften von Rootkit.C

Dateiinfektion per Autostart

Rustock.C geht beim infizieren von Dateien wie ein gewöhnlicher Dateivirus vor – mit dem Unterschied, dass das Rootkit Systemdateien befällt. Das verschafft dem Schädling einige Vorteile bei seiner Tarnung. Da es keinen Rootkit-Treiber gibt, muss ihn Rustock.C auch nicht auf der Festplatte und im Speicher verbergen. Einen entsprechenden Registry-Schlüssel braucht es ebenfalls nicht. Abgesehen von der Tarnung erschweren die verseuchten Systemdateien die Reparatur des Computers erheblich. Bei einer Infektion durch ein gewöhnliches Rootkit war es ausreichend, seine Komponenten von der Festplatte zu löschen. Im vorliegenden Fall müssen die infizierten Systemdateien mittels Sicherheitskopie wiederhergestellt werden oder passende Reparaturmöglichkeiten im Antiviren-Programm vorhanden sein.

Für Computer-Hardware maßgeschneiderte Rootkits

Um sich im System einzunisten, gehen Rootkits wie folgt vor: Zunächst sammelt ein Rootkit-Dropper Daten über den zu infizierenden Computer und übermittelt sie an einen Internet-Server. Dort wird der Rootkit-Body erstellt, die ausspionierten Parameter angehängt und beides dem Dropper verschlüsselt übergeben. Die Anbindung an die Hardware, der chiffrierte Rootkit-Body sowie die Anti-Emulations-Methoden machen es sehr schwer, das Rootkit über ein automatisches Netzwerkmonitoring aufzuspüren. Außerdem ist eine automatische Analyse der empfangenen Samples aufgrund der eingesetzten Rootkit-Technologien unmöglich.

Die Methoden von Rustock.C wurden 2008 weiterentwickelt. Kaspersky Lab entdeckte beispielsweise im Dezember 2008 ein ITW-Rootkit, das ein ähnliches Schema wie Rustock.C einsetzt. Wir klassifizieren dieses Rootkit als Trojan.Win32.Pakes.may. Der Schädling infiziert die Systemdatei ndis.sys und sein Body wird chiffriert von der Webadresse panda-server.ru übertragen. Im infizierten File ndis.sys versteckt sich ein verschlüsselter Code, der nach dem Herunterladen dechiffriert wird und die weitere Steuerung übernimmt. Das vorliegende ITW-Exemplar setzt sämtliche grundlegenden Technologien von Rustock.C ein: Es lädt den Rootkit-Body in verschlüsselter Form von der Hacker-Webseite herunter und bietet aktiven Schutz vor Virenscans, zum Beispiel mittels Kryptografie. Trojan.Win32.Pakes.may geht beim Spam-Versand ähnlich vor wie Rustock.C. Das Programm schleust in die Systemprozesse einen Code ein. Dieser lädt Vorlagen und Parameter für die Spam-Verteilung herunter und ist auch für den Versand verantwortlich.

Bootkits

Die ersten funktionierenden Bootkits erschienen zwischen 2005 und 2006 und basierten auf dem Schädling eEye Bootroot. ITW-Exemplare der Bootkits wurden schon 2007 entdeckt, haben sich aber erst 2008 am stärksten verbreitet.

Das bekannteste Bootkit ist Trojan-Spy.Win32.Sinowal. Es nutzt Schädlings-Konzepte aus der Zeit der DOS-Boot-Viren und infiziert den MBR der Systemfestplatte oder einen Bootsektor. Dadurch erlangt das Bootkit bereits in einem frühen Stadium die Kontrolle über das System, also noch vor Start des Betriebssystemkerns oder der Antiviren-Software. Nachdem das Bootkit die Steuerung übernommen hat, schreibt es sich in den Adressbereich des Kerns und tarnt seine Sektoren auf der Festplatte. Die Tarnung erfolgt mit klassischen Methoden, in der Regel durch filtern der IRP-Pakete. Typischerweise liest und schreibt der Bootkit-Dropper Daten sektorenweise auf die Festplatte, wodurch ein Erkennen derartiger Operationen durch Sicherheits-Lösungen blockiert wird.

Weitere Entwicklungstrends bei Rootkit-Technologien

Im Jahr 2008 wurden folgende Technologien weiterentwickelt:

Rootkit-Technologien, die Antiviren-Programme angreifen und ihre Methoden im Laufe des Jahres ständig änderten. Die bekanntesten dieser Technologien waren:

  1. Blockieren und beschädigen der Dateien von Antiviren-Programmen. Die Identifizierung der Files erfolgt entweder anhand einer Namensmaske oder durch Signaturen. Die Signatur-Methode ist weitaus gefährlicher, da sie sich universell einsetzen lässt.
  2. Implementierung der Rootkits durch austauschen von Systemdateien wie zum Beispiel beep.sys. Ein Registry-Eintrag ist damit nicht erforderlich und in den Systemprotokollen tauchen keine fremden Treiber auf.
  3. Einsatz neuer Selbstschutz- und Tarnungsmethoden. Außer dem schon geläufigen Abfangen der KiST-Funktion, dem Slicing des Maschinencodes der Kernelfunktion und der IRP-Filterung begannen die Hacker damit, Code-Slicing bei IRP-Treibern und Callback-Funktionen bei Registry-Operationen einzusetzen.
  4. Darüber hinaus setzten die Hacker Abwehrmethoden gegen Anti-Rootkits ein. Im Einzelnen sind das:
  5. Blockieren des Zugriffs auf Kernel-Dateien. Die Schadprogramme verhindern damit, dass Anti-Rootkits den Maschinencode dieser Dateien analysieren. Das ist für die Wiederherstellung des Kernels im Speicher und für die Suche nach abgefangenen Funktionen erforderlich.
  6. Fälschung des Kontexts der Kernel-Dateien und der Dateien des Rootkits – in der Regel über das Abfangen der Funktionen „Datei öffnen“ und „Öffnen“ einer anderen System-EXE-Datei.
  7. Sektorenweises Lesen und Schreiben der Festplatte wird blockiert. Damit wirken die Schadprogramme Anti-Rootkits und Antiviren-Systemen entgegen.
  8. Abfangen der Funktionen NTSaveKey und NTSaveKeyEx. Das verhindert das Löschen der Registry-Dumps. Insbesondere die aktuellsten Generationen der TDSS-Rootkits setzen auf diese Methode.
  9. Auswerten blockierter Zugriffe. Diese Methode ist noch aus Zeiten des Rootkit A311 Death bekannt und wird derzeit wieder aktiv angewandt, zum Beispiel von den neuesten Versionen des TDSS-Rootkits.

Tarnen von Objekten auf der Festplatte durch modifizieren des Master File Table (MFT). Diese Methode ist bislang wenig verbreitet, entwickelt sich aber wahrscheinlich weiter. Ein solcher Tarnvorgang kann wie folgt ablaufen: Das Rootkit errechnet die physikalische Position der MFT-Einträge, die verändert werden sollen und tauscht ihren Inhalt bei Lese- oder Schreibvorgängen auf der Festplatte. Bei einer weiteren Methode verändert das Rootkit den Index des NTFS-Dateisystems. Im September 2008 beobachtete Vasily Brednikov dieses Verhalten in einem ITW-Sample, der Rootkit-Komponente Trojan-GameThief.Win32.OnLineGames.snjl.

Schadprogramme für Online-Spiele

Der Verkauf von virtuellen Wertsachen aus Spielen gegen bares Geld ist bei den meisten Online-Spielen verboten, doch die Nachfrage nimmt immer mehr zu. In der Regel ist es den Käufern egal, ob die virtuellen Gegenstände aus legaler Quelle stammen oder mittels Schadcode gestohlen wurden. Die steigende Nachfrage führt zu höheren Preisen und ermutigt die Cyberkriminellen, weiter auf den Handel mit Game-Wertsachen zu setzen.

Im Jahr 2007 prognostizierte Kaspersky Lab ein rasantes Wachstum bei Schadprogrammen, die Zugangsdaten für Online-Spiele stehlen. 2008 verschlechterte sich die Situation noch weiter. Die Antivirus-Experten entdeckten 100.397 neue Game-Trojaner. Das sind dreimal mehr als i m Jahr 2007 (32.374 Schädlinge).


Anzahl der Schadprogramme, die Zugangsdaten von Online-Spielen stehlen

Unter den Schadprogrammen für Online-Games kommt Trojan-GameThief.Win32.OnLineGames nach wie vor am häufigsten vor. Die Vertreter dieser Schädlingsfamilie stellen 65,4 Prozent aller Game-Trojaner und stehlen Passwörter von zwei oder mehreren Spielen. Im Sommer 2008 waren die Schadprogramme besonders aktiv, genau passend zur Feriensaison und der Zeit höchster Gamer-Aktivität. Im August 2008 entdeckten die Analysten von Kaspersky Lab fast 12.000 neue Schadprogramme, die zur Familie Trojan-GameThief.Win32.OnLineGames gehören. Alle 4 Minuten erschien also ein neues Schadprogramm.

Vor diesem Hintergrund nahm die Aktivität der Schadprogramm-Familie Trojan-GameThief.Win32.WOW zu, die ausschließlich Accounts von „World of Warcraft“ attackiert. Die Aktivität stieg bis November 2008 weiter an. Zu diesem Zeitpunkt wurden massenhaft Webseiten gehackt, um die Schadprogramme dieser Familie zu verbreiten. Den Übeltätern gelang es, den Schadcode auf etwa 10.000 gehackten Webseiten zu positionieren. Betroffen waren davon hauptsächlich europäische und amerikanische Webseiten, weil es in diesen Regionen die meisten Spieler von „World of Warcraft“ gibt. Die Website-Hacks hingen mit dem Erscheinen von „Wrath of the Lich King“, der zweiten Erweiterung des Spiels, am 13. November zusammen.


Monatliche Aktivität von Schädlings-Familien, die Online-Spiele angreifen

Schadprogramme, die Passwörter von Online-Spielen stehlen, sind größtenteils Trojaner und nur zu 10 Prozent Viren und Würmer. Im September 2008 spitzte sich die Situation mit den sich selbst verbreitenden Schadprogrammen zu. Mit Beginn des Schuljahres stieg die Zahl neuer Schadprogramme der Familie Worm.Win32.AutoRun erheblich an.

Die wichtigsten Merkmale von Schadprogrammen für Online-Spiele

Die wichtigsten Merkmale von Schadprogrammen für Online-Spiele sind im Jahr 2008 die folgenden:

  1. Passwortdiebstahl-Modul für mehrere Online-Spiele
  2. Backdoor-Funktionen, die infizierte Computer zu einem Botnetz zusammenschließen können
  3. Aktiver Einsatz von Verschlüsselungs- und Packprogrammen, um die Analyse und Entdeckung des Schädlings zu erschweren
  4. Aktive Abwehr von Antiviren-Programmen
  5. Einsatz von Rootkit-Technologien

Die 2008 technologisch am weitesten entwickelte Schädlingsfamilie war Trojan-GameThief.Win32.Magania, deren Vertreter die größten und spektakulärsten Fälle von Passwortdiebstahl für Online-Spiele verursacht haben. Schadprogramme dieser Familie hatten es vormals nur auf die Mitglieder des Spielportals Gamania (http://en.wikipedia.org/wiki/Gamania) abgesehen. Im Juni 2008 modifizierten die Autoren ihr Machwerk aber derart, dass sie nunmehr die Passwörter von praktisch allen bekannten Online-Spielen stehlen konnten, darunter:

  1. World of Warcraft
  2. Lineage
  3. Lineage 2
  4. FunTown
  5. ZhengTu
  6. Perfect World
  7. Dekaron Siwan Mojie
  8. HuangYi Online
  9. RuneScape
  10. Rexue Jianghu
  11. Rohan Online
  12. Seal Online
  13. Lord of the Rings
  14. Maple Story
  15. Reign of Revolution
  16. Talesweaver
  17. ZodiacOnline

Trojan-GameThief.Win32.Magania setzt aktive und passive Abwehrmethoden sehr effektiv ein, um sich vor Erkennung zu schützen und die Reparatur infizierter Computer zu verhindern.


Der Rootkit-Code von Trojan-GameThief.Win32.Magania

Verbreitung von Malware für Online-Spiele

Cyberkriminelle verwendeten 2008 folgende Schlupflöcher, um ihre auf Passwortdiebstahl spezialisierten Schadprogramme zu verbreiten:

  1. Massenhafte Infektion von Webseiten durch unbekannte Sicherheitslücken in Website-Engines
  2. Unbekannte Sicherheitslücken in der Client-Software
  3. Der Schadcode wurde häufiger aktualisiert als die Antiviren-Signaturen auf den Anwender-PCs
  4. Versand von Spam-Mails, die Links auf verseuchte Webseiten enthielten

Hundert neue Datendiebstahl-Schädlinge für Online-Spiele infizieren insgesamt etwa fünfhundert Anwender-PCs. Eine derart effektive Verbreitung erzielen Hacker durch das Ausnutzen von Sicherheitslücken in Programmen. Im Jahr 2007 führten hauptsächlich Antiviren-Unternehmen, Entwickler von Online-Spielen und Administratoren von Game-Servern den Kampf gegen die Passwortdiebe. Dagegen traf es 2008 auch die Administratoren gehackter Websites und Softwareentwickler, über deren Produkte Schadprogramme auf den Anwender-PCs eingeschleust wurden.

Im spektakulärsten Fall verbreiteten die Übeltäter Schadprogramme der Familie Trojan-GameThief.Win32.Magania über einen Fehler in der Verarbeitung von XML-Dateien beim Internet Explorer. Die Sicherheitslücke MS08-78 war so bekannt, dass laut Angaben von Microsoft 0,2 Prozent aller Internet-PCs infiziert wurden.


Beispiel für eine Serverstruktur zum Verteilen von Exploits für Game-Trojaner

Eine besonders effektive Verbreitung eines Schadprogramms erreichen Hacker durch schnelle Modifikationen – sie verändern das Programm, noch bevor Antiviren-Programme um die entsprechende Signatur aktualisiert werden können.

Nachstehend die markantesten Schadprogramm-Vorfälle des Jahres 2008, die mit dem Datendiebstahl bei Online-Games zusammenhängen:

April 2008. Unbekannte Übeltäter hacken mehr als 1,5 Millionen Webseiten und wollen die Computer der Webseiten-Besucher mit dem Schadprogramm Trojan-GameThief.Win32.OnLineGames infizieren.

Juli 2008. Spam-Mails enthalten Links auf den polymorphen Virus.Win32.Alman.b, der über ein Modul zum Diebstahl von Zugangspasswörtern für Online-Games verfügt. Alman.b wurde bereits im April 2007 entdeckt.

August 2008. An Bord der internationalen Raumstation ISS wird das Programm Trojan-GameThief.Win32.Magania entdeckt.

Dezember 2008. Hacker nutzen die kritische Sicherheitslücke MS08-78 des Internet Explorers aus, um die Schadprogramm-Familie Trojan-GameThief.Win32.Magania zu verbreiten.

Übermittlung gestohlener Daten an die Übeltäter

Schadprogramme schicken gestohlene Onlinespiel-Accounts per E-Mail an die Übeltäter. Sie erledigen das über spezielle Server, die erhaltene Daten weiterleiten. Die IP-Adressen dieser Server werden regelmäßig geändert, manchmal sogar mehrmals pro Tag.

Eine solche Zustellmethode garantiert den Kriminellen Anonymität und durch häufiges wechseln der Domain-Namen der weiterleitenden Server werden diese Adressen auch nicht auf Blacklists registriert.


Beispiel für eine Serverstruktur zum Weiterleiten gestohlener Passwörtern

Server, die Exploits an Schadprogramme zustellen und E-Mails mit gestohlenen Passwörtern für Online-Spiele weiterleiten, sind vorrangig im asiatischen Raum aufgestellt.

Prognosen

Höchstwahrscheinlich wird die Finanzkrise die Game-Industrie nicht betreffen und die Welt der Online-Spiele wird sich 2009 weiterhin positiv entwickeln.

Kaspersky Lab geht für 2009 von folgenden Tendenzen aus:

  1. Aufbau einer Infrastruktur zum automatischen Erstellen und Verbreiten von Schadprogrammen für Online-Spiele
  2. Neue Zustellungswege für Schadprogramme, zum Beispiel per IM oder über P2P-Netze
  3. Massenhaftes Ausnutzen von Zero-Day-Sicherheitslücken bei Programmen und Betriebssystemen
  4. Massenhaftes Ausnutzen von Zero-Day-Sicherheitslücken, um eine möglichst große Zahl von Websites zu hacken und dort Game-Malware zu installieren
  5. Aktiver Einsatz von Dateiviren und Netzwürmern zum Diebstahl von Passwörtern für Online-Spiele

Die Attacken der Übeltäter werden immer massiver und ausgeklügelter. Gleichzeitig steigt die Nachfrage nach virtueller Ware für Online-Spiele, mit denen Hacker und Virenschreiber Geld verdienen.

Die Entwicklung der Bedrohungen in sozialen Netzwerken

Seit ein paar Jahren zählen soziale Netzwerke zu den bekanntesten Internet-Anwendungen. Laut Prognosen der Marktforscher von RelevantView und eVOC Insights werden 2009 etwa 80 Prozent aller Internet-User und somit über eine Milliarde Menschen einem sozialen Netzwerk angehören.

Durch ihre zunehmende Popularität ziehen soziale Netzwerke auch Cyber-Kriminelle an, die neue Quellen für illegalen Gelderwerb suchen. 2008 griffen sie die Portale mit Spam und Schadprogrammen an.

Warum soziale Netzwerke?

In der Regel bauen Anwender sozialer Netzwerke schnell ein gewisses Vertrauen zu einander auf. Daher gelten Nachrichten von Freunden oder bekannten Kontakten eher als unkritisch. Das macht es den Cyberkriminellen leicht, Weblinks zu infizierten Webseiten zu verbreiten. Unter verschiedenen Ausflüchten werden die User dazu überredet, dem Link zu folgen – doch damit laden sie sich schädliche Software auf ihre Computer herunter.

Ein Verbreitungsschema für Schadprogramme in sozialen Netzwerken kann so aussehen:

  1. Der Anwender erhält von einem bekannten Kontakt eine Nachricht, die einen Link zu einem Videoclip enthält.
  2. Um das Video anzuschauen, muss eine spezielle Software installiert werden.
  3. Nach Installation stiehlt dieses Programm den Account des Anwenders und verschickt in seinem Namen das Schadprogramm an seine Kontakte.

Diese Methode ähnelt dem Verbreitungsschema von Mailwürmern. In sozialen Netzwerken beträgt die Effektivität der Verbreitung ungefähr 10 Prozent. Das ist zehnmal wirksamer als die klassische Verbreitungsmethode über E-Mail, die es nur auf 1 Prozent Effektivität bringt.

Mit den gestohlenen Zugangsdaten können Cyberkriminelle in einem sozialen Netzwerk Links zu infizierten Websites, Spam oder Bettelbriefe versenden. Jede dieser Methoden bringt den Übeltätern so oder so Profit.

Derzeit findet man im Internet illegale Angebote, Accounts von Anwendern sozialer Netzwerke zu hacken, beliebige Nachrichten an die Kontakte zu versenden oder Daten über bestimmte Anwender zu sammeln.


Routinemäßiges Angebot für den Diebstahl von Anwender-Accounts

Schadprogramme

Ende 2008 umfasste die Malware-Sammlung von Kaspersky Lab über 43.000 schädliche Dateien, die mit unterschiedlichen sozialen Netzwerken im Zusammenhang stehen.


Gesamtzahl der Schadprogramme, die soziale Netzwerke attackieren

Soziale Netzwerke ziehen immer mehr die Aufmerksamkeit der Virenschreiber auf sich. Das belegt die Anzahl der von Kaspersky Lab untersuchten Schadprogramme, die sich gegen Anwender verschiedener sozialer Netzwerke richten.


Anzahl der Schadprogramme, die bekannte soziale Netzwerke attackieren

Stellt man die Anzahl der Schadprogramme für soziale Netzwerke den User-Zahlen gegenüber (http://en.wikipedia.org/wiki/List_of_social_networking_websites), so kann man ein Rating der am meisten bedrohten Online-Communities erstellen.

Soziales Netzwerk Anzahl der Schadprogramme in 2008 Registrierte Anwender des sozialen Netzwerkes Chance der Infektion eines Anwenders Geografische Lage der meisten registrierten Anwender (Quelle: lemonde.fr)
Odnoklassniki 3302 22 000 000 0.015% Russland
Orkut 5984 67 000 000 0.0089% Latainamerika
Bebo 2375 40 000 000 0.0059% Europa
Livejournal 846 18 000 000 0.0047% Russland
Friendster 2835 90 000 000 0.0032% Asiatische Region und Stiller Ozean Region
Myspace 7487 253 000 000 0.003% Nordamerika
Facebook 3620 140 000 000 0.0026% Nordamerika
Cyworld 301 20 000 000 0.0015% Südkorea
Skyblog 28 2 200 000 0.0013% Frankreich

Rating der am stärksten bedrohten sozialen Netzwerke

Nach der Anzahl der Schadprogramme pro Anwender führt das russische soziale Netzwerk Odnoklassniki.ru. Das bekannteste soziale Netzwerk MySpace belegt in diesem Rating nur Platz 6, obwohl sich dort 2008 die meisten Schadprogramme tummelten.

In den sozialen Netzwerken verbreiten sich die unterschiedlichsten Schadprogramme. Es können Trojan-Spies, Trojan-PSWs, Würmer, Trojaner und viele andere sein.

Attacken auf Anwender sozialer Netzwerke im Jahr 2008

Januar 2008. Cyberkriminelle hinterlegen auf Facebook die Flash-Anwendung Secret Crush, die einen Link auf ein Adware-Programm enthält. Bevor die Netzwerk-Administratoren den Schädling löschen können, haben schon über 1,5 Millionen Anwender das Programm installiert.

Mai 2008. Kaspersky Lab entdeckt auf MySpace das Schadprogramm Trojan-Mailfinder.Win32.Myspamce.a, das Spam über die Kommentarfunktion der Rubrik „Freunde“ verbreitet. In derselben Woche greift der Netzwurm Net-Worm.Win32.Rovud.a das in Russland bekannte soziale Netzwerk „vkontakte“ an. Der Wurm versendet einen infizierten Link an Personen aus der Kontaktliste. Wenige Tage später widerfährt das auch Anwendern des sozialen Netzwerkes Odnoklassniki.ru. Spam-Nachrichten enthalten einen Link auf die Webseite miss-runet.net und bitten um Teilnahme an der Abstimmung. Wer dieser Aufforderung nachkommt, lädt sich ein Schadprogramm aus der Familie Trojan-Dropper.Win32.Agent auf seinen Computer.

Juni 2008. In großem Umfang verschickte E-Mails stammen angeblich von der Administration des sozialen Netzwerkes Odnoklassniki.ru. Ein in jeder E-Mail enthaltener Link führt auf eine Webseite, die der offiziellen Internetpräsenz des Anbieters täuschend ähnlich sieht, tatsächlich aber einen Trojaner auf den Anwender-PCs installiert. Anschließend lädt der Trojaner weitere schädliche Dateien auf den infizierten Computer und leitet den Browser dann automatisch auf die Originalseite von Odnoklassniki.ru weiter.

Juli 2008. Kaspersky Lab registriert erstmals die Verbreitung von Schadcode über die sozialen Netzwerke Facebook, MySpace und vkontakte. Net-Worm.Win32.Koobface.a verbreitet sich auf MySpace über die Kommentarfunktion der Rubrik „Freunde“, genauso wie der im Mai entdeckte Trojan-Mailfinder.Win32.Myspamce.a. Mit Net-Worm.Win32.Koobface.b ist eine weitere Version des Wurms in Facebook unterwegs. Der Wurm sendet Nachrichten an die Kontakte des Anwenders, dessen Rechner infiziert wurde. In beiden Fällen enthalten die von den Würmern verschickten Kommentare und Nachrichten einen Link zu einer gefälschten Video-Webseite. Dort wird Anwendern angeboten, die neue Version des Flash-Players herunterzuladen. Stattdessen laden sie den Wurm herunter und infizieren damit ihren Computer.

In einer weiteren Attacke auf das soziale Netzwerk vkontakte sprechen die an die Kontaktliste von Mitgliedern verschickten Spam-Mitteilungen die Adressaten mit Namen an und waren somit noch authentischer. Diese Mitteilungen enthalten einen Link auf einen Server, der Anwendern angeblich Zugriff auf Websites mit erotischem Inhalt gewährt. Der Nutzer sollte zum Ansehen des Videoclips einen angeblichen Codec herunterladen, der aber der Trojaner Trojan.Win32.Crypt.ey war, ein schädliches Browser Helper Object (BHO). Anschließend tauscht der Trojaner die ersten fünf Suchanfragenergebnisse des infizierten Computers durch schädliche Weblinks aus. Laut Daten, die Kaspersky Lab vorliegen, wurden innerhalb von wenigen Stunden über 4.000 vkontakte-Accounts gestohlen.

August 2008. Ein Angriff erfolgt auf das schnell bekannt gewordene soziale Netzwerk Twitter. Auf einer speziell erstellten Anwenderseite steht ein Foto mit Werbung für ein erotisches Video. Nach einem Klick darauf wird dem Anwender angeboten, die neue Version von Adobe Flash herunterzuladen, die jedoch der Trojaner-Downloader Trojan-Downloader.Win32.Banload.sco ist.

Dezember 2008. Im sozialen Netzwerk vkontakte verbreiten sich Links zu Handy-Schadprogrammen. Die Kontakte der gestohlenen Accounts erhalten eine Nachricht mit dem Angebot, das Handy-Konto kostenlos aufzuladen. Dafür soll man eine bestimmte Java-Anwendung auf dem Handy installieren, deren Link sich in der Mitteilung befindet. Die Java-Anwendung entpuppt sich als Trojan-SMS.J2ME.Konov.b. Nach Installation verschickt der Trojaner unbemerkt vom Handy-Besitzer eine SMS-Nachricht an 5 Kurzwahlnummern. Für jede SMS werden 250 Rubel vom Handy-Konto abgebucht.

Selbstverständlich ist das längst nicht die vollständige Liste derartiger Vorfälle. Wir wollten mit dieser Auswahl lediglich die bedeutendsten Attacken auf soziale Netzwerke in Erinnerung rufen, die im Jahr 2008 stattfanden.

Zusammenfassung

Im Jahr 2008 zählten die sozialen Netzwerke neben Virtualisierung und Cloud Computing zu den 10 am meisten fortgeschrittenen IT-Technologien. Leider wird die Entwicklung der sozialen Netzwerke vom Erscheinen neuer Bedrohungen und Risiken für die Internet-User begleitet.

Auf soziale Netzwerke abzielende Bedrohungen erreichten 2008 ein neues Qualitätsniveau. Die Attacken sind nicht mehr die Taten einzelner Enthusiasten, sondern Teil eines aufstrebenden Geschäftsmodells, an dem praktisch alle Schichten des Computer-Undergrounds beteiligt sind.

Auf dem Schwarzmarkt lässt sich alles, was mit den Accounts sozialer Netzwerke in Verbindung steht, zu Geld machen. Persönliche Anwender-Daten wurden zu einer gefragten Ware. Unter den angebotenen Dienstleistungen waren besonders das Hacken von Anwender-Accounts und der Versand von Spam an Kontaktlisten populär. Durch diese Kommerzialisierung steigt das Interesse der Cyberkriminellen an sozialen Netzwerken und führt zu einer Zunahme entsprechender Schadprogramme. Im Jahr 2009 wird diese Tendenz ungebrochen bleiben.

Die Netzwerkaktivität von Schadprogrammen

Die Frage, worauf Schadprogramme global betrachtet im Internet abzielen, war schon immer aktuell. Ein Honeypot ist die am meisten verbreitete Methode zur Analyse schädlicher Netzwerkaktivitäten. Administratoren überwachen damit in der Regel aber nur einen bestimmten Server und registrieren die Versuche unbefugter Anwender, diesen zu attackieren. Ein großer Teil der Netzwerkaktivität von Schadprogrammen bleibt somit verborgen.

Kaspersky Lab hat Schadprogramme und ihre Netzwerkverbindungen auf infizierten Computern überwacht und die gesammelten Daten statistisch ausgewertet. Mit dieser Methode kann das Unternehmen objektiv bewerten, womit sich die Cyber-Verbrecher in den lokalen Netzwerken und im Internet beschäftigen.

Eine Statistik über die UDP-Verbindungen ist nicht von besonderem Interesse, weil Schadprogramme das UDP-Protokoll nur in sehr seltenen Fällen verwenden. Deshalb werden nachstehend nur TCP-Verbindungen statistisch ausgewertet. Die Daten spiegeln die Situation Ende 2008 wieder und berücksichtigen nicht die Netzwerkaktivität legaler Programme. Bots haben einen großen Anteil am Internet-Traffic der Schadprogramme, somit veranschaulicht folgende Statistik den Traffic der Botnetze.

Von Schadprogrammen am häufigsten genutzte Ports

Netzwerkverbindungen

Auf welche Ports kommen die meisten Netzwerkverbindungen durch Schadprogramme?


Verteilung der Netzwerkverbindungen der Schadprogramme

Die am häufigsten von Schadprogrammen kontaktierten Ports nach Anzahl der Netzwerkverbindungen (TCP) sind 139, 445 und 135. Darüber laufen Netzwerkdienste, die im Windows-Netzwerk vor allem der Filesharing-Service verwendet und dazu das NetBIOS-Protokoll einsetzt. Obwohl dieses Protokoll unter Windows zum automatischen Versand von Nachrichten dient, werden die Standardverbindungen des Betriebssystems in den hier abgebildeten Diagrammen nicht berücksichtigt.

Mehr als 96 Prozent der Netzwerkverbindungen vieler von Kaspersky Lab analysierter Schadprogramme laufen über die Ports 139, 445 und 135. Dieser hohe Prozentsatz hängt mit der Sicherheitslücke MS08-067 zusammen, die im Oktober 2008 im Windows-Netzwerk-Service entdeckt wurde. Zum Glück blockieren fast alle Internet-Provider aus Sicherheitsgründen Netzwerkanfragen auf diesen Ports. Das NetBIOS-Protokoll ist schon seit Windows 95 und Windows 98 als potenzielle Quelle für Betriebssystem-Sicherheitslücken bekannt. Man kann nur vermuten, was im Oktober 2008 im Internet geschehen wäre, hätten Provider nicht die NetBIOS-Filterung aktiviert! Für kleine Computer-Netzwerke ist das Problem der Sicherheitslücke MS08-067 aber immer noch aktuell. Das betrifft Heim-Netzwerke und die Netzwerke von Unternehmen und staatlichen Einrichtungen, in denen das NetBIOS-Protokoll in der Regel nicht blockiert wird.

Netzwerkanfragen

Die Übersicht über die populärsten Ports wäre unvollständig, wenn wir die Gesamtzahl der Netzwerkverbindungen nicht anhand der einzelnen Ports aufschlüsseln würden. Unter Port-Anfragen verstehen wir in diesem Fall die Übermittlung eines oder mehrerer Netz-Pakete. Hat ein Programm 1.000 Verbindungen mit einem Port hergestellt, so betrachten wir das als eine einzige Netzwerkanfrage.


Verteilung der Netzwerkanfragen von Schadprogrammen

Wie im Diagramm ersichtlich schicken 34 Prozent der Schadprogramme eine Netzwerkanfrage an Port 80, dem Standardport für Webserver. Dieser Port ist unter den legalen Programmen am bekanntesten.

Schadprogramme verbinden sich über Port 80 mit den Websites der Cyberkriminellen und tarnen ihre Netzwerkaktivität als Netsurfing des Anwenders. Auf diesem Port gehen die Anfragen vieler Bot-Familien und Trojaner ein, darunter Trojan-PSW.Win32.Zbot, Backdoor.Win32.Sinowal sowie verschiedene Modifikationen von Trojan-GameThief.Win32.OnLineGames. Speziell Port 80 wird von den Schadprogrammen dazu verwendet, eine Verbindung mit den Befehlszentren der Botnetze herzustellen.

Platz zwei auf der Popularitätsskala belegt der nicht standardkonforme Port 8000, den viele legale und mit Java RMI entwickelte Programme, wie HP Web Jetadmin, ShoutCast Server und Dell OpenManage, ansteuern. Dabei greift jede Anwendung über ihr eigenes Protokoll auf diesen Port zu.

Unsere Studien zeigen, dass die Schadprogramm-Familie Backdoor.Win32.Hupigon über Port 8000 kommuniziert. Sie wurde von chinesischen Hackern entwickelt und nimmt unter allen jemals von Kaspersky Lab erfassten Schadprogramm-Familien am stärksten zu. Ende 2008 zählte die Sammlung über 110.000 verschiedene Hupigon-Modifikationen.

Warum ausgerechnet Port 8000? Die Antwort ist einfach, denn auf diesem Port arbeitet der bekannteste chinesische IM-Service QQ. Die chinesischen Cyberkriminellen missbrauchen diesen Service, um die Computer der Anwender zu infizieren. Darüber hinaus gibt es eine Hupigon-Version, die Port 8181 nutzt. Zusammengenommen führen die Netzwerkanfragen der Hupigon-Familie unter den Schadprogrammen. Beinahe jede dritte Netzwerkanfrage eines Schadprogramms an diesen Port stammt von Hupigon!

Port 3460 ist ebenfalls kein Standard-Port. Auf ihn kommen sieben Prozent der Netzwerkanfragen der von uns analysierten Schadprogramme. An Port 3460 melden sich hauptsächlich Vertreter der Familie Backdoor.Win32.Poison an, die auch als Poison Ivy bekannt sind. Schadprogramme dieser Familie sind Bots, mit denen man kleinere Botnetze von bis zu 200 Computern aufbauen kann. Die Entwickler von Poison Ivy stellen das Programm kostenlos auf ihrer Webseite zur Verfügung, was seine Popularität fördert. Der Schädling ist nicht in der Lage, einen großen Teil seiner Befehle an mehrere Computer gleichzeitig zu schicken, und wird in der Regel von Nachwuchs-Hackern verwendet. Einige System-Administratoren kleiner Netzwerke nutzen Poison Ivy, um Computer fernzusteuern.

Von den Schadprogrammen kontaktierte Subdomains

Schauen wir uns nun an, welche Domain-Namen der zweiten Ebene von Schadprogrammen eine Netzwerkanfrage über den bekannten Port 80 starten.


Verteilung der Anfragen von Schadprogrammen an Domains der zweiten Ebene

Der größte Teil der von Schadprogrammen kontaktierten Subdomains gehört chinesischen DNS-Diensten.

Über 40 Prozent der Schadprogramme verbinden sich mit den Subdomains 3322.org. Welcher Provider steckt dahinter und warum lockt er so viele Cyberkriminelle an?

Die Subdomain 3322.org gehört zum Webportal cn99.com, das über 35 Millionen Mitglieder hat. Die Popularität von cn99.com in China ist deshalb so hoch, weil es dort kostenlose E-Mail-Accounts und Domain-Namen der dritten Ebene gibt. In der Nutzervereinbarung untersagt cn99.com die Nutzung seiner Dienste, wenn chinesische und internationale Rechte verletzt werden. Außerdem muss der Besitzer des E-Mail-Accounts oder Domain-Namens seine persönlichen Daten angeben und sie bei Änderungen rechtzeitig aktualisieren. Cyberkriminelle, die aktiv den Service von cn99.com missbrauchen, geben natürlich falsche persönliche Daten an.

Nachdem die Liste der bei Verbrechern beliebtesten Subdomains genauer betrachtet wurde, war ziemlich schnell klar, warum sie zu den Top 10 gehören. Alle Provider, denen diese Domains gehören, bieten den DDNS-Service an (Dynamic Domain Name System).

Die Popularität des DDNS-Service bei den Übeltätern

Ein DDNS-Service findet Server, deren IP-Adressen sich dynamisch ändern. Wem könnte so etwas nutzen? Beispielsweise DSL-Kunden, wenn ihr PC alle 24 Stunden vom Internet getrennt wird. In der Regel weisen Provider einem ADSL-Modem aus ihrem Adresspool eine IP-Adresse zu, die sich bei jeder Anmeldung ändert. Will sich ein Kunde remote in seinen PC einklinken, muss er deshalb die aktuelle IP-Adresse kennen. Ein DDNS-Provider gleicht stets den Domain-Name-Eintrag mit der momentan zugewiesenen IP-Adresse ab, weshalb zur Anmeldung der Domain-Name ausreicht. Einige Hersteller statten ihre ADSL-Modems mit DDNS-Support aus. Sobald eine Internetverbindung steht, übermittelt das Modem die aktuelle IP-Adresse automatisch an den DDNS-Server. Der Anwender kann nun über sein Remote-Programm eine DNS-Anfrage an den Server schicken und erhält die IP-Adresse seines Computers. Die Anfrage durchläuft eine Reihe von DNS-Servern und landet schließlich beim DDNS-Provider.

Cyber-Kriminelle können mit diesem Service schnell und leicht an neue Domain-Namen kommen. Dabei bleiben sie anonym und können die DNS-Daten jederzeit schnell ändern.

Die Übeltäter können sogar infizierte Computer verwenden, die eine A-Adresse haben, um dort vorläufig das Botnetz-Steuerzentrum zu platzieren. Wird ein Computer abgeschaltet, können sie es manuell oder automatisch auf einen anderen Rechner transferieren. Dabei bleibt das Steuerzentrum immer über den Domain-Namen des DDNS-Providers zugänglich.

Aus diesen Gründen ist der DDNS-Service bei Cyberkriminellen so beliebt. Nach Einschätzungen von Kaspersky Lab gehören etwa 50 Prozent der Domains, die Anfragen von Schadprogrammen erhalten, den DDNS-Providern.

Fazit

Die am meisten verbreiteten Schadprogramme sind auch im Netzwerk sehr aktiv: Trojaner verschicken gestohlene Daten, Netzwürmer versuchen im lokalen Netzwerk andere Computer zu finden und zu infizieren, Spam-Bots verschicken Spam-Mails, DDoS-Bots attackieren Internet-Server und Bots verbinden sich mit den Befehlszentren der Botnetze. Die höchsten Netzwerkaktivitäten führen Bots und Computerwürmer, die heute teilweise erfolgreich innerhalb einer Anwendung agieren. Gerade deshalb kann es beim Entdecken eines Wurms oder Trojaners durchaus passieren, dass er über Botfunktionen verfügt und der infizierte Computer Teil eines Botnetzes ist. Und das bedeutet, dass auch der von den meisten Schadprogrammen im Internet ausgehende Netzwerk-Traffic mit Botnetzen zu tun hat. Die Analyse der Netzwerkanfragen von Schadprogrammen und die Top 10 der dazugehörenden Subdomains bestätigen, dass 2008 die meisten schädlichen Programme von chinesischen Cyber-Verbrechern stammen.

29 Prozent der Netzwerkanfragen von Schadprogrammen entfallen auf die Vertreter der chinesischen Malware-Familie Hupigon, die die nicht standardkonformen Ports 8000 und 8181 verwendet. Die überwiegende Mehrheit der von Schadprogrammen genutzten Subdomains gehört chinesischen DNS-Diensten.

Trotz massiver Internetblockaden durch die chinesische Regierung dürfte die Aktivität chinesischer Hacker im Jahr 2009 weiter steigen. Ihre Entwicklungen zielen vor allem auf Passwort-Diebstahl bei Online-Spielen ab und bedrohen Gamer weltweit. Obwohl die chinesischen Hacker 2009 ihre Taktik nicht ändern dürften, können ihre Programme eine Gefahr für alle Anwender darstellen. Kaspersky Lab beobachtet die Tendenz, dass zunehmend Backdoor-Funktionen in die Game-Trojaner eingebaut werden.

Über ein Drittel aller Netzwerkanfragen von Schadprogrammen gehen auf dem für Webserver nicht standardkonformen Port 8000. Kommt eine Verbindung zustande, wird die Webseite nicht einfach nur heruntergeladen, sondern eine Verbindung mit dem Steuerzentrum eines Botnetzes hergestellt. Cyberkriminelle befürchten, dass Justiz oder Konkurrenten früher oder später die Adresse des Botnetz-Steuerzentrums erfahren und der Domain-Name abgemeldet oder der Server geschlossen wird. Deshalb suchen sie nach Möglichkeiten, DNS-Daten über die Steuerzentren schnell zu ändern und bevorzugen Internet-Services, die Anonymität garantieren. Deshalb genießt der DDNS-Service große Popularität. Den DDNS-Providern gehören sämtliche Top 10 der Domains und über 50 Prozent der Subdomains, die Netzwerkanfragen von Schadprogrammen erhalten. Vermutlich werden die DDNS-Provider im Jahr 2009 entschlossener gegen illegale Kundschaft vorgehen.

Aufgrund der großen Beliebtheit des DDNS-Service bei Hackern und der zunehmenden Offenheit der Internet-Kanäle dürften sich neue Spielarten der Web-Kriminalität entwickeln, insbesondere neue Herangehensweisen zur Anonymisierung der Adressen und Namen von Webservern.

Jedes Mal, wenn eine neue Windows-Sicherheitslücke bekannt wird, erscheinen viele Schadprogramme und suchen nach angreifbaren Computern. Das trifft auch auf Software zu, die über das Netzwerk läuft. Schadprogramme, die das Netzwerk scannen, stellen ziemlich viele externe Netzwerkverbindungen her. Die Schädlinge verstopfen damit den Netzwerkkanal und können bei billigen Routern außerdem dazu führen, dass die Verbindung zum Internet verloren geht. Ein einziger infizierter Computer im Netzwerk kann den Internetzugang für alle anderen Computer blockieren. Bei Heimnetzwerken, in denen ein Router den Internetzugang herstellt, ist dieses Problem weit verbreitet.

Da das Interesse an Netzwerk-Sicherheitslücken weiterhin zunimmt, werden User 2009 mit völlig neuen Exploits konfrontiert werden. Damit laufen Anwender kleiner Netzwerke Gefahr, den Zugang zum Internet zu verlieren. Um diese Bedrohung zu verhindern, sollten alle Computer eines lokalen Netzwerkes vor Schadprogrammen geschützt werden.

Prognose für 2009

In unserem letzten Jahresbericht stellten wir eine Prognose zur Entwicklung der IT-Bedrohungen für das Jahr 2008 auf. Die Prognose umfasste folgende Probleme, die sich unserer Meinung zu ernsthaften Bedrohungen entwickeln würden:

  1. Malware 2.0 – Entwicklung eines Konzepts zum Verteilen einzelner Schadprogramm-Komponenten
  2. Rootkits und Bootkits – Auftreten von Schädlingsepidemien, die diese Technologien verwenden
  3. Datei-Viren – Klassische Viren durchlaufen eine neue Evolutionsstufe, sie werden komplexer und andere Schadprogramme nutzen ihre Infektionsmethoden
  4. Soziale Netzwerke – Übergang von Konzept-Phasen und Probeangriffen zu Massenattacken
  5. Mobile Gefahren – Zunahme der Angriffe auf Handys und beginnende Kommerzialisierung dieser Attacken

Leider bewahrheitete sich diese Prognose vollständig. Das Beweisen die Daten in unserem Jahresbericht für 2008, sowohl unter der Rubrik „Tendenzen“ als auch im statistischen Teil.

Unsere Prognose für 2009 ist identisch mit der vorangegangenen. Wir sprechen nicht darüber, dass im Jahr 2009 die Probleme von 2008 noch mehr an Bedeutung gewinnen werden, denn das ist auch so ersichtlich. Bereits vorhandene Bedrohungen verschwinden nicht und selbstverständlich werden sie uns allen Probleme bereiten. In der Prognose ist deshalb nicht die Rede von den zunehmenden Attacken auf Online-Spiele, sozialen Netzwerken, immer komplexeren Virentechnologien, der Zunahme der Botnetze oder von der Entwicklung der Cyberkriminalität hin zur Dienstleistung. Das ist alles bereits passiert.

Unsere Prognose enthält diejenigen Tendenzen, die noch nicht offensichtlich sind, aber die Entwicklung der Online-Bedrohungen im Jahr 2009 wesentlich beeinflussen werden.

Globale Epidemien

Für die Experten endete mit dem Jahr 2008 auch die lange Epoche der großen Epidemien. Gleichzeitig kamen die Virenschreiber von der Methode ab, mit Würmern weltweit Millionen von Computern zu infizieren. 2009 kann sich die Lage aber wieder ins Gegenteil verkehren und die Situation der Jahre 2006 bis 2008 sogar noch übertreffen.

Unserer Meinung nach ist der Markt für illegale Online-Dienstleistungen aufgrund der großen Konkurrenz gesättigt. Natürlich gab es auch früher Konkurrenz, aber diese beschränkte sich normalerweise auf zwei oder drei Gruppen, die auf einem eng begrenzten Gebiet tätig waren. Inzwischen findet der Interessenskonflikt nicht mehr lokal, sondern international statt. Russische, chinesische, brasilianische und türkische Cyberkriminelle konkurrieren nicht nur hinsichtlich der von ihnen eingesetzten Technologien. Der Wettbewerb erstreckt sich unter anderem auch auf die Suche nach Auftraggebern, die besten Kanäle für Datenempfang, -vertrieb und -bearbeitung sowie auf Ressourcen zur Durchführung von Website-Hacks.

Im Jahr 2009 werden mehr Cyberkriminelle als je zuvor ihre Dienstleistungen anbieten und müssen sich deshalb auch stärker als bisher um Auftraggeber bemühen. Die wichtigste Ursache dafür ist die Wirtschaftskrise. Firmen stellen IT-Projekte ein, entlassen hoch qualifizierte Programmierer oder beschäftigen sie nur gegen einen geringeren Lohn weiter. Um Geld zu verdienen, werden sich einige dieser Leute daher dem illegalen IT-Business zuwenden. Für die Cyber-Verbrecher sind die „Neulinge“ eine ernsthafte Konkurrenz, weil deren technisches Niveau deutlich höher liegt.

All das führt dazu, dass Verbrecher im Netz auf dem hart umkämpften Markt nur mit einer einzigen Methode überleben können: so viele Rechner wie möglich so schnell wie möglich infizieren. Um ein Botnetz mit 100.000 Rechnern aufrecht zu erhalten, müssen die Übeltäter regelmäßige Attacken auf Millionen von PCs durchführen.

Verringerte Aktivität der Game-Trojaner

Kaspersky Lab schätzt, dass künftig weniger Game-Trojaner ihr Unwesen treiben. Andere Antiviren-Unternehmen gehen genau vom Gegenteil aus. Doch aus unserer Sicht wird dieser Rückgang eine direkte Folge der Wirtschaftskrise sein und die Konkurrenz unter den Cyberkriminellen verschärfen.

In den vergangenen zwei Jahren entwickelten sich die Game-Trojaner zur am meisten verbreiteten Malware. Momentan gibt es mehrere hunderttausend dieser Schädlinge und sie haben längst die früher dominierenden Trojaner überholt, die Kreditkartendaten und Online-Banking-Accounts stehlen.

Die Vorherrschaft der Game-Trojaner liegt nicht allein daran, dass sich chinesische Cyberkriminelle hauptsächlich diesen Schädlingen widmen. Inzwischen lässt sich mit Carding und Attacken auf Online-Banking-Accounts auch immer schwerer Geld verdienen. Außerdem hat die Konkurrenz erheblich zugenommen, die potenziellen Einnahmen der Kriminellen gingen dagegen deutlich zurück.

Russischsprachige und osteuropäische Virenschreiber, die sich früher genau diesem Verbrechen gewidmet haben, sind mittlerweile ausgestiegen oder haben auf ein anderes Business umgesattelt. Möglicherweise erstellen und verbreiten sie auch Adware und gefälschte Antiviren-Programme.

Das Know-how für Game-Trojaner ist in chinesischer Hand und die Domäne asiatischer Cyberkrimineller. Zudem lassen sich die Schadprogramme einfach erstellen und können jede Menge potenzieller Opfer treffen. Doch der Cybercrime-Markt ist durch die große Anzahl von Game-Trojanern schlichtweg gesättigt. Wegen der großen Konkurrenz lässt sich mit gestohlenen Spielgegenständen immer weniger Geld verdienen. Die gleiche Situation gab es auch bei den Bank-Trojanern, deren Zahl infolgedessen deutlich abnahm. Noch vor drei Jahren hätten die Cyberkriminellen durch die jetzigen Einnahmen gut leben können. Doch das Wirtschaftswachstum in China und der zunehmende Wohlstand der Bevölkerung führten dazu, dass auch ihr Appetit zunahm.

Zu den geringen Einnahmen und der großen Konkurrenz kommt noch ein dritter Faktor hinzu. Antiviren-Unternehmen können Online-Trojaner mittlerweile erfolgreich abwehren. Außerdem wissen Anwender nun von deren Gefahr und die Hersteller der Online-Games ergreifen Maßnahmen, um den Handel mit gestohlenen Accounts und virtuellen Wertsachen einzudämmen. Zwar wäre es verfrüht, von einem vollständigen Verschwinden dieses Problems in naher Zukunft auszugehen. Nach unserer Meinung dürfte aber sowohl die Anzahl der Schadprogramme für Online-Spiele als auch die Zahl der darauf spezialisierten Verbrechergruppen zurückgehen.

Malware 2.5

Cyberkriminelle verfolgen das Konzept der Malware 2.0 weiter. Im Jahr 2008 haben diese gigantischen und verteilten Botnetz-Systeme ihre hohe Effektivität und Zuverlässigkeit mit Schädlingen wie Rustock.C oder Sinowal (Bootkit) unter Beweis gestellt.

Die Neuauflage Malware 2.5 besitzt folgende Merkmale:

  1. Fehlen eines stationären Botnetz-Steuerzentrums, dafür gibt es ein so genanntes „migrierendes Botnetz“, das in unserer Bootkit-Analyse detailliert beschrieben wurde. Das Steuerzentrum des Botnetzes wechselt entweder ständig die IP-Adresse oder den Server oder kann einige Zeit aussetzen. Mit einem System zum erstellen zufälliger IP-Adressen schützen die Übeltäter das Steuerzentrum (C&C) vor Entdeckung oder Abschaltung und können es weiterhin beliebig positionieren.
  2. Verschlüsselte Kommunikation zwischen Botnetz-Steuerzentrum und infizierten PCs. Selbst wenn die Antiviren-Experten Zugang zum C&C bekommen oder die übertragenen Daten abfangen, können sie nicht die Steuerung über das Botnetz übernehmen. Die Chiffrier-Schlüssel sind nur den Eigentümern des Botnetzes bekannt.
  3. Einsatz universeller Steuerzentren für verschiedene Botnetze. Das Konzept des Universal-Codes wurde im Schadprogramm Zbot umgesetzt und beruht auf folgender Idee: Schadprogramme verschiedener Autoren können mit ein und demselben Steuerzentrum kommunizieren. Gegenwärtig suchen die Cyberkriminellen nach einer Möglichkeit, mehrere Botnetze gleichzeitig über ein einziges C&C zu steuern.

Diese Technologien orientieren sich am verteilten Rechnen und Systemen, die auch unter großer Auslastung und mit großen Datenmengen zuverlässig arbeiten (HighLoad-Architektur). In der Praxis verwenden Suchsysteme derartige Lösungen. Sie bilden zudem die Basis des Cloud Computing, das unter anderem eine Reihe von Antiviren-Unternehmen verwenden.

Im Malware-Bereich dürfte sich unter kriminellen Gruppen ein Konkurrenzkampf entwickeln. Dabei werden die Skript-Kiddies von hoch qualifizierten Spezialisten abgelöst, die eigene Systeme erstellen können. Diese Gruppe bestimmt auch das künftige Bedrohungs-Niveau von Malware 2.5 und die damit verbundenen Probleme.

Phishing/Erpressung

Erpressung im Netz und Phishing sind weitere Bereiche der Cyberkriminalität, die die Weltwirtschaftskrise beeinflussen werden. Phishing und Erpressung über das Internet werden 2009 zunehmen.

Durch die Wirtschaftskrise reagieren Internet-Anwender immer nervöser auf Ereignisse, die mit Web-Bezahlsystemen, Online-Banking, elektronischem Geld oder Internet-Shopping zusammenhängen. In einer Zeit, in der Banken Liquiditätsprobleme haben oder den Eigentümer wechseln, sehen die Cyberkriminellen ihre Chance, mehr Opfer an Land zu ziehen.

Da sich Schadprogramme nicht ohne weiteres entwickeln und verbreiten lassen, schauen sich viele Verbrecher nach einfacheren und billigeren Bereicherungsmethoden um. Phishing kann deshalb für sie eine der attraktivsten Lösungen darstellen.

Die Konkurrenz unter Phishern nimmt zu. Um die Anwender zu täuschen, reicht einfaches Fälschen einer Bank-Webseite nicht mehr aus – die Attacken werden deshalb immer ausgeklügelter und intensiver.

Aufgrund der Krise wird insgesamt immer weniger Geld im Netz fließen, besonders wenn es elektronische Zahlungssysteme nicht mehr schaffen, virtuelle Gelder in reale umzuwandeln.

Differenzierung nach Plattformen

Infolge des stärkeren Konkurrenzkampfes werden Cyberkriminelle ihre Schädlinge auch vermehrt auf anderen Betriebssystemen als Microsoft Windows verbreiten. Das sind in erster Linie MacOS und Plattformen für mobile Geräte, die früher nur für einzelne Experimente genutzt wurden. Inzwischen ist der Marktanteil dieser Betriebssysteme schon ziemlich hoch und demnach für die Übeltäter interessant geworden. Da es aber noch viele Sicherheitsprobleme gibt, sind diese Plattformen nur unzureichend gegen Attacken durch Schadprogramme geschützt.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.