Malware-Report, drittes Quartal 2010

Der Quartalsbericht beruht auf Daten, die mit Hilfe des Kaspersky Security Network gewonnen und ausgewertet wurden.

Allgemeine Lage

Das dritte Quartal 2010 war ereignisreicher als die vorhergehenden Quartale. Von Anfang Juli bis Ende September wurden über 600 Millionen Infizierungsversuche mit Schadprogrammen und potentiell unerwünschter Software auf den Computern der Anwender blockiert, rund 10 Prozent mehr als im vorangegangenen Quartal. Auf Malware entfielen 534.427.690 aller aufgespürten Objekte. Schadprogramme traten auf den Plan, die ein völlig neues Niveau technischer Komplexität mit sich brachten. Erstmals haben wir es mit Schädlingen zu tun, die gleich über fünf Schwachstellen versuchen, sich in Computer einzuschleichen. Mit hoher Wahrscheinlichkeit standen die Punkte „absolute Zuverlässigkeit“ sowie „überaus hohe Infizierungswahrscheinlichkeit des Zielobjekts“ im Pflichtenheft der Virenautoren.

Die Virenautoren haben die Technologien zur Abwehr von Hackerattacken intensiv studiert und fanden so neue Mittel und Wege, um Schutzsysteme zu umgehen. Dadurch wurde das Wettrüsten einmal mehr beschleunigt und die Antiviren-Industrie dazu gezwungen, fortwährend neue Erkennungs- und Desinfizierungs-Technologien zu entwickeln.

Andererseits führt die starke Konkurrenz unter den Cyberkriminellen dazu, dass sich die Profis auf diesem Gebiet nach neuen ungesetzlichen Einnahmequellen umsehen. Man kann sagen, dass die Cyberkriminalität ihr Interesse derzeit schrittweise in Richtung zielgerichteter Attacken auf Organisationen verschiebt. Damit sind Attacken gemeint, deren Sinn darin besteht, die Arbeit eines Unternehmens zu sabotieren, Geld zu erpressen oder geistiges Eigentum zu stehlen. All das wollen sich die Organisatoren der Angriffe natürlich gut bezahlen lassen.

Cyberhooligans, Cyberbetrüger, Cyberspione – was kommt als nächstes?

Im dritten Quartal erinnert eines der wichtigsten Ereignisse in der Welt der IT-Sicherheit an ein Szenario aus dem Thriller „Die Hard 4.0“. Die Rede ist von der Attacke des Wurms Stuxnet.

Dieser Wurm wurde Ende Juli zum ersten Mal entdeckt und erregte sofort die Aufmerksamkeit von Sicherheitsexperten aus verschiedenen Ländern. Dafür gab es mehrere Gründe. Erstens verfügten die Komponenten des Wurms über gültige digitale Signaturen. Das heißt, dass es den Virenschreibern auf illegalem Wege gelungen war, an die geheimen Schlüssel von digitalen Signaturen bekannter Firmen zu kommen. Zweitens nutzte der Wurm für seine Ausbreitung eine Zero-Day-Schwachstelle in LNK-Dateien aus. Doch das alles geschah nur an der Oberfläche. Auf die Experten warteten noch eine Menge interessanter Überraschungen. Unter anderem entdeckten sie, dass Stuxnet noch drei weitere Zero-Day-Schwachstellen ausnutzte.

Nach der Analyse des Wurm-Codes wurde klar, dass er seine destruktive Aktivität nur in einer Windows-Umgebung in Kombination mit einer ganz speziellen Software entfaltet ‑ SIMATIC WinCC oder PCS7 von der Siemens AG. Bis dahin gab es in den Beschreibungen von Schadprogrammen keinerlei Hinweise auf diese Software, denn sie ist für die Steuerung von industriellen SCADA-Systemen bestimmt. Zudem funktioniert Stuxnet auch nicht unter jedem beliebigen System mit WinCC an Bord, sondern nur in Systemen mit einer bestimmten Konfiguration, die über speicherprogrammierbare Steuerungen (PLC) der Serie Simatic und Frequenzumrichter bestimmter Hersteller verfügen.

Was macht nun aber die Wurm-Komponente, die für die destruktive Funktionalität verantwortlich ist? Sie versucht, sich mit WinCC zu verbinden, indem sie die Standard-Passwörter des Herstellers verwendet. Eine vom Wurm installierte dynamische Bibliothek fängt einen Teil der Systemfunktionen ab und kann dementsprechend Einfluss auf das Steuerungssystem des Industrieobjekts nehmen. Es liegt auf der Hand, dass dieses Programm nicht entwickelt wurde, um Passwörter zu stehlen. Seine Aufgabe ist die Industriespionage und theoretisch kann es auch zur Sabotage eingesetzt werden. Wie eine eingehendere Analyse des Wurms zeigte, besteht seine Hauptaufgabe darin, die Logik der Simatic-PLC in den Frequenzumrichtern zu verändern, die zur Kontrolle der Drehgeschwindigkeit von Motoren verwendet werden. Zudem funktionieren diese PLC mit Hochgeschwindigkeitsmotoren, deren Einsatzgebiete recht eingeschränkt sind und die zum Beispiel in Zentrifugen sitzen.

Obwohl die erhaltenen Daten Rückschlüsse auf das tatsächliche Ziel der Angriffe zulassen, darf man nicht außer Acht lassen, dass die Attacke des Wurms Stuxnet ebenso zielgerichtet ist wie die Aurora-Attacke, über die wir im ersten Quartal berichteten. Das Ziel konnte bis jetzt aber noch nicht eindeutig identifiziert werden. Es stellt sich also die berechtigte Frage: wozu das Ganze? Die Organisationen, gegen die sich diese Angriffe richteten, veröffentlichen äußerst selten Informationen über Malware-Attacken, da sich PR dieser Art negativ auf ihren Ruf auswirken könnte. Der offiziellen Statistik von Siemens zufolge waren dem Unternehmen Anfang September Infizierungen von weltweit 15 Kundenunternehmen bekannt.

Die Tatsache, dass die Organisationen selten Informationen über Angriffe publik machen, wirkt sich auch auf die Arbeit der Antiviren-Unternehmen aus. Um zielgerichtete Attacken erfolgreich abzuwehren, benötigen sie dringend Informationen über das Verhalten des Schädlings im befallenen System, zumal Signatur-basierte Methoden bei solchen Attacken wenig effektiv sind. Zum einen können die Cyberkriminellen den Code des Schadprogramms jederzeit so verschlüsseln und verschleiern, dass der Schädling nicht mit Hilfe von Signaturen erkannt werden kann. Zum anderen kann es sein, dass das Sample des Schädlings gar nicht erst in die Viren-Labore gelangt und eine genaue Signatur für ein solches Schadprogramm daher auch gar nicht erst erstellt wird. Allerdings ist es unmöglich, die Funktionalität eines Schadprogramms komplett zu verschleiern. Denn sobald ein Trojaner oder Wurm an seinem Bestimmungsort angekommen ist, führt er in jedem Fall das aus, wofür er entwickelt wurde – seine „Payload“. Und in diesem Moment kann er von Antiviren-Lösungen mit Hilfe verhaltensbasierter Erkennungsmethoden eingefangen werden, die im Falle von zielgerichteten Attacken das Mittel der Wahl sind.

All das deutet leider auf die absolute Professionalität der Stuxnet-Entwickler hin. Auf den Punkt gebracht heißt das: Bei Stuxnet handelt es sich um einen Wurm, der darauf spezialisiert ist, die Funktion der speicherprogrammierbaren Steuerungen (PLC) zu stören, die in Großbetrieben eingesetzt werden. Der Wurm nutzt vier Zero-Day-Schwachstellen aus und verfügt über eine Rootkit-Komponente, die mit gestohlenen Zertifikaten der Firmen Realtec Semiconductors und JMicron signiert ist, über die wir bereits berichteten. Ein derart komplizierter Code muss ein überaus wichtiges Ziel haben, denn seine Entwicklung hat eindeutig eine Menge Geld verschlungen.

Digitale Signaturen und Schädlinge

Digitale Zertifikate und Signaturen schaffen Vertrauen, denn sie können die Integrität eines Programms bestätigen und seine Herkunft bestimmen. Digitale Signaturen wurden erstmals in Windows NT verwendet und seither wirbt Microsoft bei Programm-Entwicklern aktiv für den Einsatz dieser Methode.

Selbstverständlich spielen Zertifikate auch in der Antiviren-Industrie eine wichtige Rolle. So gelten beispielsweise von vertrauenswürdigen Herstellern signierte Dateien als sauber. Mit dieser Technologie können die Entwickler von Antiviren-Lösungen die Zahl von False-Positives verringern und gleichzeitig Ressourcen einsparen, während die Computer der Anwender auf Schadprogramme gescannt werden.

Leider gibt es auch eine Reihe von Problemen mit digitalen Signaturen. Das erste Problem hängt damit zusammen, dass ein Zertifikat einer legal zertifizierten Datei „amputiert“ werden kann. Am häufigsten geschieht das natürlich bei Zertifikaten von Microsoft. Dieser Trick ist nicht neu und wird häufig von Virenschreibern eingesetzt. In diesem Quartal gingen die Verbreiter von Zbot so vor, indem sie ein Zertifikat einer legalen Datei an eine Komponente von Zbot anhängten. Solche Dateien sehen legal aus, allerdings nur auf den ersten Blick. Für die Signatur einer Datei wird ihre Hash-Summe verwendet, ein für jedes Objekt einzigartiger Wert. Bei der oben beschriebenen „Amputation“ von Zertifikaten stimmt daher die Hash-Summe der Datei nicht mit der Hash-Summe in der Signatur überein und daher ist das Zertifikat ungültig. Auf diese Weise lässt sich feststellen, dass es sich um eine Fälschung handelt. Die Cyberkriminellen, die ein vom Hersteller signiertes und damit legales Zertifikat verwenden, versuchen also, Viren-Analysten und Anwender in die Irre zu führen. Da derartige Tricks keine Seltenheit sind, ist es sehr wichtig, dass die Antiviren-Lösungen nicht nur überprüft, ob ein Zertifikat vorhanden ist, sondern auch, ob es mit der Datei übereinstimmt.

Das zweite Problem ist komplizierter und hängt damit zusammen, dass Cyberkriminelle auf völlig legalem Weg an ein digitales Zertifikat gelangen können, genauso wie jeder andere Entwickler von Software-Lösungen auch. Zum Beispiel entwickeln sie offiziell eine „Software zur entfernten Steuerung des Computers ohne GUI“, bei der es sich aber in Wirklichkeit um eine Backdoor handelt. Dieser „Schutz“ vor Entdeckung wird am häufigsten von den Entwicklern von AdWare, RiskWare und gefälschten Antiviren-Programmen genutzt. Haben die Hacker erst einmal den notwendigen Schlüssel vom Zertifikatszentrum erhalten, kostet es sie keine besondere Mühe, jedes ihrer Machwerke beliebig zu signieren. Allerdings wird das schwarze Schaf recht schnell von Antiviren-Unternehmen entdeckt und infolgedessen lassen sich alle Dateien mit diesem Zertifikat überaus effektiv aufspüren.

Wie bereits erwähnt, verwenden die meisten der großen Software-Entwickler digitale Zertifikate. Die Informationen, die zum signieren einer Datei unerlässlich sind, liegen auf den Computern der Entwickler eines Unternehmens und diese Computer sind mit dem Internet verbunden. Im letzten Jahr mussten wir bereits erkennen, welche Folgen eine Infizierung von Programmierer- Workstations mit dem Konzept-Virus Virus.Win32.Induc nach sich zieht, der seinen Code noch während der Kompilierung ins Programm einschleuste. Am Tag der Entdeckung dieses Virus wurden von den Antiviren-Lösungen hunderte legaler Programme aufgespürt. Bei den Zertifikaten ist alles noch viel schlimmer. Bei einem geheimen Schlüssel handelt es sich um eine Datei und daher gibt es auch Mittel und Wege, ihn zu stehlen wie jedes andere virtuelle Eigentum auch. Die entdeckten Komponenten des Wurms Stuxnet wurden mit Hilfe von Zertifikaten der Firmen Realtec Semiconductors und JMicron signiert. Wie die geheimen Schlüssel in die Hände der Kriminellen gelangt sind, ist nicht bekannt, doch mehrere Wege sind denkbar. Sie hätten diese wichtigen Dateien von Insidern kaufen oder sie mit Hilfe eines Backdoors oder einem ähnlichen Schadprogramm stehlen können. Der Diebstahl von Zertifikaten gehört beispielsweise auch zu den Funktionen des weit verbreiteten Trojaners Zbot (ZeuS).

Aufgrund der Zertifikate war der Wurm Stuxnet recht lange für Antiviren-Lösungen unsichtbar. Mit legalen Zertifikaten signierte Schadprogramme können selbst im aktuellen Betriebssystem Windows 7 den Schutzmechanismus relativ leicht umgehen. Daher erscheint bei der Installation des schädlichen signierten Treibers oder einer ActiveX-Komponente kein Fenster mit einer Warnmeldung. Die weiterhin steigende Popularität von Windows 7, das laut Statistik von Net Applications heute bereits einen Marktanteil von 16 Prozent besitzt und das schrittweise Verschwinden von Windows XP führen daher zu einer Verschärfung des Problems mit digitalen Zertifikaten. Nach den schon heute abzusehenden Tendenzen zu urteilen, könnte sich dieses Problem zu einem der wichtigsten im kommenden Jahr 2011 entwickeln.

TDSS – die neueste Version läuft auch unter 64-Bit-Systemen

Man darf nicht vergessen, dass neben den oben beschriebenen Methoden auch andere Mittel und Wege zur Umgehung der integrierten Sicherheitssysteme existieren. Wie bereits erwähnt, verfügen die neuen Windows-Versionen über Mechanismen zum Schutz vor der Installation nicht signierter Treiber. Die Entwickler von Stuxnet konnten dieses System umgehen, indem sie geheime Schlüssel bekannter Unternehmen organisierten und damit Komponenten ihres Rootkits signierten. Die Virenautoren, die den Code des Trojaners TDSS entwickelten, über den unsere Experten im zweiten Quartal dieses Jahres berichteten, verfolgten eine andere Strategie.

Im August wurde eine neue Version dieses Schadprogramms entdeckt und mit der neuen laufenden Nummer TDL-4 versehen. Die interessanteste Neuerung besteht darin, dass das Rootkit, das die schädliche Aktivität des Trojaners verbergen soll, nun auch unter 64-Bit-Systemen erfolgreich seinen Dienst tut. In der vorhergehenden Version TDL-3 wurde mit einer Infizierung der Festplattentreiber gearbeitet, wodurch das Rootkit praktisch sofort nach dem Start des Betriebssystems geladen werden konnte. Allerdings führt die Infizierung der Treiber zur Änderung der Hash-Summe, wodurch in der Konsequenz auch die digitale Signatur nicht mehr mit der Datei übereinstimmt, was wiederum den in die 64-Bit-Windows-Versionen integrierten Schutzmechanismus aktiviert. Um diesen Mechanismus zu umgehen, infiziert die neue TDSS-Version einen Bereich des MBR und verwendet dabei eine dem Bootkit Sinowal sehr ähnliche Technologie. In diesem Fall führt sich der Schadcode noch vor dem Start des Betriebssystems aus und kann die Parameter beim Booten des Betriebssystems dahingehend verändern, dass im System nicht signierte Treiber registriert werden können. Der Downloader des Rootkits, der bestimmt, unter welchem System – x86 oder x64 – das Schadprogramm funktionieren wird, platziert den Treiber-Code im Speicher und registriert ihn im System. Anschließend startet das Betriebssystem – und zwar bereits mit dem eingeschleusten Schadcode. Dabei funktioniert das Rootkit so, dass es den Teil des Kernels nicht verändert, der zusätzlich von PatchGuard geschützt wird, einer weiteren in das Betriebssystem integrierten Technologie.

Wie wir es vorhergesagt hatten, machen immer kompliziertere Infizierungstechnologien und das immer raffiniertere Verbergen der Schädlinge im System auch immer kompliziertere Erkennungs- und Desinfizierungstechnologien für derartige Schadprogramme erforderlich. Setzt sich diese Entwicklung fort und bekriegen sich Malware- und Antiviren-Programme auf immer engerem Raum, so werden vielleicht die heute noch so außergewöhnlichen Konzepte wie die BIOS-Infizierung und Hypervisor schon bald ganz alltäglich sein.

Der Kampf gegen die aktuellsten und ausgefeiltesten Schadprogramme ist für kein Antiviren-Unternehmen eine einfache Aufgabe. Daher hat Kaspersky Lab zusätzlich zu seinen Hauptprodukten eine neue Version des kostenlosen Anti-Rootkit-Tools TDSSkiller veröffentlicht, das unter anderem auch die neusten TDSS-Versionen erkennt und entfernt.

Hacker und das Gesetz

Im letzten Jahr schrieben wir über die Besonderheiten cyberkrimineller Aktivität im postsowjetischen Raum. Hier ist die Erpressung von Geld mit Hilfe von SMS-Blockern besonders populär. Dieses Schema ist äußerst simpel: Auf den Computer des Anwenders wird ein Programm geladen, das Funktionen des Betriebssystems oder des Browsers blockiert. Damit das Programm gelöscht wird, muss der User eine SMS an eine Kurzwahlnummer schicken, was zwischen 300 und 1.000 Rubel kostet (etwa zwischen 7 und 23 Euro).

Angesichts der großen Zahl betroffener Anwender riefen einige Antiviren-Unternehmen, darunter auch Kaspersky Lab, einen Entblockungs-Service ins Leben.


Anteil der Mitglieder des Kaspersky Security Network (KSN), auf deren Computern
Samples der am weitesten verbreiteten Familie von SMS-Blockern blockiert wurden

Die Antiviren-Unternehmen haben mit den Folgen der Cyberkriminellen-Aktivität zu kämpfen und die Betrüger halten die Strafverfolgungsbehörden auf Trab: In diesem Quartal wurde eine große Gruppe von Verbrechern gefasst, die illegale Geschäfte mit Hilfe von SMS-Blockern betrieben. Ende August wurden in Moskau 10 Personen festgenommen, die man der Entwicklung von SMS-Blockern beschuldigt. Nach Angaben des Außenministeriums der Russischen Föderation werden die Einnahmen, die diese Gruppe auf illegalen Weg eingenommen hat, auf 500 Millionen Rubel geschätzt (zirka 11,8 Millionen Euro).

Ein Verfahren wurde eingeleitet. Wichtig dabei ist, dass die Beschuldigten nicht nur nach dem in Russland jedem Hacker bekannten Artikel 273 des Strafgesetzbuches der Russischen Föderation angeklagt werden („Entwicklung, Verwendung und Verbreitung von Schadprogrammen für Computer“), nach dem nur selten ernstzunehmende Strafen verhängt werden, sondern auch nach Artikel 159 („Betrug“). Da es sich bei 500 Millionen Rubel eindeutig um Diebstahl größeren Ausmaßes handelt, erwarten die Angeklagten bei einem Schuldspruch wesentlich strengere Urteile.

Nachrichten dieser Art können Antiviren-Experten und Vertreter der Strafverfolgungsbehörden, die Cyberkriminelle dingfest machen, nur freuen. Doch es gibt auch hier ein „aber“. Im vergangenen Jahr wurden die Organisatoren einer Attacke verhaftet, die in einer beispiellosen Aktion mehr als 9 Millionen US-Dollar von 2.100 Bankautomaten in weltweit 280 Ländern gestohlen hatten. Ein Teil der kriminellen Gruppe wurde in den USA gefasst und ihnen drohen nun bis zu 20 Jahren Gefängnis und ernsthafte Geldstrafen. Ganz anders verhält es sich allerdings mit einem der Organisatoren dieser Attacke, der in Russland verurteilt wurde. Diese Person war verantwortlich für den Hack von RBS Worldpay und das anschließende Kopieren von Kreditkartennummern und PIN-Codes, die zum erstellen von Kreditkarten-Fälschungen notwendig sind. Das Gericht sprach ihn schuldig – des Diebstahls in besonders schwerem Fall, des unbefugten Zugriffs auf Computerinformationen und des Aneignens von Daten, die unter das Bankgeheimnis fallen. Und an dieser Stelle wird die Sache interessant: Für all diese begangenen Straftaten wurde die Person zu einer Bewährungsstrafe von 6 Jahren mit einer Probezeit von 4 Jahren verurteilt. Unter dem Strich bedeutet das, dass man in Russland für den Diebstahl einer enormen Geldsumme „im Internet“ mit einer Bewährungsstrafe davonkommt. Es ist also durchaus möglich, dass auch im Fall der SMS-Blocker ein ähnlich mildes Urteil gesprochen wird.

Bei der oben beschriebenen Raub-Methode spielen die Personen eine wichtige Rolle, die das gestohlene Geld waschen: Sie führen die Konten und im beschriebenen Fall haben diese Personen auch das Geld von den Automaten abgehoben. Sie werden häufig als Money Mules (Geldesel) bezeichnet. Im letzten Quartal berichteten wir darüber, wie versucht wurde, solche Mittelsmänner mit Hilfe einer Facebook-Gruppe anzuwerben, der 224.000 Personen angehörten.

Ende September wurden in den USA 20 Personen inhaftiert, die in ihrer Funktion als Money Mules Geld gewaschen hatten, das mit Hilfe des Trojaners Zbot (ZeuS) gestohlen worden war. Gleichzeitig wurde auch eine Gruppe von Personen in Großbritannien dingfest gemacht, die ähnlichen Geschäften nachgegangen war. In diesem Fall ging es um das Waschen von Geld, das mit Hilfe von Daten ergaunert worden war, die ebenfalls ZeuS gestohlen hatte. Dazu ist anzumerken, dass die Aktivität der Verbreiter des Trojaners ZeuS in den ersten Oktobertagen zurückging.


Prozentualer Anteil der täglich entdeckten Trojaner der Familie Zbot
(an der Gesamtzahl aller Schädlinge)

Sollten die Strafverfolgungsbehörden ihr Tempo bei der Aufdeckung von cyberkriminellen Banden beibehalten, erwartet uns ein überaus interessanter Herbst. Vielleicht werden dann viele Neueinsteiger unter den Hackern dazu veranlasst, noch einmal darüber nachzudenken, ob es sich lohnt, den bereits beschrittenen Weg weiter zu verfolgen.

Statistik

Im Folgenden präsentieren wir Statistiken, die mit Hilfe des Kaspersky Security Network (KSN) gewonnen und ausgewertet wurden. An dem globalen Informationsaustausch über schädliche Aktivitäten nehmen Millionen Anwender der Produkte von Kaspersky Lab aus 213 Ländern der Erde teil.

Sicherheitslücken und Exploits

Exploits

Im dritten Quartal 2010 wurden 16.520.165 Exploits entdeckt. In diese Zahl fließen keine Module mit der Funktionalität von Exploits ein, die in Würmer oder trojanische Programme integriert waren.

Folgende Aufstellung zeigt, welche Exploits die Cyberkriminellen im dritten Quartal 2010 am häufigsten benutzten.


Verteilung entdeckter Objekte OAS, WAV, MAV nach Exploit-Familien

Die ersten zwei Plätze belegen Exploits, die mit Hilfe von heuristischen Methoden entdeckt wurden und die unter anderem proaktiv funktionieren. Auf den Positionen drei und neun befinden sich Exploits, die Schwachstellen in verschiedenen Versionen des Adobe Reader ausnutzen und deren Summe 12,5 Prozent aller aufgespürten Exploits ausmacht. Unsere Vorhersage, dass Exploits für die Sicherheitslücke CVE-2010-1885 im Windows Help and Support Center sehr schnell an Popularität zunehmen würden, hat sich voll und ganz bewahrheitet. Für das dritte Quartal belegen Vertreter dieser Exploits die Plätze 4 und 8 und ihr Anteil an allen Exploits beträgt 12 Prozent. Unter den Top 10 befindet sich mit CVE-2010-0886 eine Familie von Exploits, die eine Sicherheitslücke in Java ausnutzen (4,8 %).

Am interessantesten sind die Exploits, die die Sicherheitslücke CVE-2010-2568 in LNK-Dateien ausnutzen. Pionier auf diesem Gebiet war der Wurm Stuxnet. Die Sicherheitslücke wurde Ende Juli entdeckt und am 2. August veröffentlichte Microsoft einen entsprechenden Patch. Mit Hilfe dieser Schwachstelle können sich Schadprogramme problemlos über mobile Datenträger verbreiten, insbesondere über USB-Sticks. Für die Verbreitung von Schadprogrammen über USB-Sticks verwendeten Cyberkriminelle bis vor kurzem am häufigsten speziell entwickelte autorun.inf-Dateien. Solche Dateien werden von Antiviren-Lösungen erkannt. Die Ausnutzung der Sicherheitslücke in LNK-Dateien gibt ihnen eine weitere Möglichkeit, Dateien von USB-Speichern und ohne Beteiligung des Anwenders zu starten. Zu diesem Zweck müssen die Kriminellen eine spezielle LNK-Datei entwickeln, die bei ihrer Darstellung im Datei-Manager, zum Beispiel im Windows-Explorer, den schädlichen Code startet. Damit der Computer infiziert wird, muss der Anwender lediglich den Ordner öffnen, der die Dateien des infizierten Sticks enthält.

Nachdem Informationen über diese für Cyberbetrüger so attraktive Möglichkeit erschienen waren, wurde sie von immer mehr Virenautoren aktiv verwendet. Unter anderem registrierte Kaspersky Lab, dass die Verbreiter von Sality und Zbot (ZeuS) ein Exploit für die Sicherheitslücke in LNK-Dateien einsetzten. Insgesamt wurden 6 Prozent aller KSN-Anwender im Laufe des dritten Quartals über Exploits der Sicherheitslücke CVE-2010-2568 angegriffen.


Anzahl der entdeckten Exploits für die Sicherheitslücke CVE-2010-2568,
die zur Verbreitung von Malware auf mobilen Datenträgern genutzt wird

Sicherheitslücken

Im dritten Quartal 2010 entdeckte Kaspersky Lab 31.425.011 verwundbare Anwendungen und Dateien auf den Computern der Anwender.

Die folgende Tabelle zeigt die 10 Sicherheitslücken, die im Laufe des dritten Quartals am häufigsten auf den Computern der Anwender gefunden wurden.

Secunia
ID
Positionsänderung
change
Name
und Link der
Sicherheitslücke
Möglichkeiten,
Cyberkriminellen
durch die
Ausnutzung der
Sicherheitslücke
eröffnen
Anteil der
User, bei
denen die
Sicherhei
tslücke
entdeckt
wurde
Ausgabe
-Datum
Einstufung
1 SA 37255 1 Sun Java JDK / JRE Multiple Vulnerabilities
  • Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers
  • Aufdeckung von Systeminformationen
  • Datenmanipulation
  • DoS
  • Umgehung des Sicherheitssystems
30,98% 12.02.
2010
Mäßig kritisch
2 SA 40026 ¡Nuevo! Adobe Flash Player Multiple Vulnerabilities
  • Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers
  • Cross-Site-Scripting
26,97%

05.06.
2010
Extrem kritisch
3 SA 40907 ¡Nuevo! Adobe Flash Player Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 26,97%

11.08.
2010
Hoch kritisch
4 SA 31744 1 Microsoft Office OneNote URI Handling Vulnerability Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 23,93%

2007-01-09 Hoch kritisch
5 SA 38805 -4 Microsoft Office Excel Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 21,83%

09.06.2009 Hoch kritisch
6 SA 35377 -3 Microsoft Office Word Two Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 20,18%

09.03.
2010
Hoch kritisch
7 SA 40034 ¡Nuevo! Adobe Reader/Acrobat Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 18,73%

05.01.
2010
Extrem kritisch
8 SA 37690 2 Adobe Reader/Acrobat Multiple Vulnerabilities
  • Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers
  • Cross-Site-Scripting
15,28%

15.12.
2010
Extrem kritisch
9 SA 34572 -3 Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 11,80%

09.09.
2008
Hoch kritisch
10 SA 40554 ¡Nuevo! Microsoft Office Access ActiveX Controls Two Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 11,17% 11.08.
2010
Hoch kritisch

Im aktuellen Rating sind vier neue Sicherheitslücken vertreten: zwei im Adobe Flash Player, eine im Adobe Reader und eine in Microsoft Office. Aufgrund der großen Popularität der Produkte von Microsoft und Adobe wurden neun der zehn am weitesten verbreiteten Sicherheitslücken in Software dieser beiden Unternehmen entdeckt: fünf davon in Microsoft-Produkten, vier in Produkten von Adobe und nur eine in Oracle Java.

Alle Sicherheitslücken in den Top 10 ermöglichen Cyberkriminellen den uneingeschränkten Zugriff auf das System. Im Prinzip sind dadurch alle anderen Möglichkeiten, die die Schwachstellen den Betrügern eröffnen, nur noch zweitrangig.

Bemerkenswert ist zudem, dass drei der Sicherheitslücken aus den Top 10 schon 2009 aufgedeckt wurden und eine sogar schon im Jahr 2008. Platz eins belegt eine Sicherheitslücke, die Mitte des ersten Quartals 2010 entdeckt wurde. All das zeigt einmal mehr, wie langsam die Anwender ihre Systeme aktualisieren.

Bedrohungen im Internet

Alle statistischen Daten in diesem Abschnitt wurden mit Hilfe des Moduls Web-Anti-Virus von Kaspersky Lab gewonnen, der die Anwender vor dem Download schädlichen Codes von verseuchten Webseiten schützt.

Malware im Internet

Im dritten Quartal wurden 156.348.430 Attacken abgewehrt, ausgehend von Internet-Ressourcen, die in unterschiedlichen Ländern der Welt gehostet werden.


Verteilung der im Internet erkannten Objekte auf die einzelnen Malware-Kategorien

Beim größten Teil (60 Prozent) der im Internet entdeckten Objekte handelt es sich um Links aus der schwarzen Liste. In dieser Liste stehen Webseiten mit unterschiedlichem schädlichen Inhalt, die in zwei große Kategorien eingeteilt werden können. Bei der ersten handelt es sich um Webseiten, auf denen aktiv Social-Engineering-Methoden zum Einsatz kommen, um die Anwender dazu zu bringen, die entsprechende Malware selbstständig zu installieren. Zur zweiten Kategorie gehören Webseiten, bei deren Besuch ein Schädling auf den Rechner des Opfers geladen und gestartet wird, ohne dass der Anwender dies bemerkt. Hier kommt die Drive-by-Download-Technologie zum Einsatz, die auf der Verwendung von Exploits basiert.

Auf Platz zwei positionieren sich trojanische Programme, die in verschiedenen Skript-Sprachen wie JavaScript (JS) und Visual Basic Script (VBS) programmiert sind sowie die als Trojan.Script.Iframer erkannten Zusätze von HTML-Code, die Besucher – unter anderem auch von legitimen Webseiten – auf Seiten mit schädlichem Inhalt umleiten.

Platz fünf der am häufigsten entdeckten Kategorien belegte Adware, die in vier Ländern besonders aktiv verbreitet wurde: Amerika (28 %), China (14 %), Indien (6 %) und England (4 %).

Die Liste der Plattformen, auf denen im Internet entdeckte Schadprogramme ausgeführt werden, umfasst 74 Positionen. Die hier wichtigste Veränderung ist das Erscheinen des Betriebssystems Android in der Liste, was mit der Entdeckung des ersten SMS-Trojaners für Smartphones mit Android zusammenhängt. Dieses trojanische Programm verbreitet sich getarnt als Player und lockt diejenigen in die Falle, die sich Adult-Videos herunterladen wollen. Da der Trojaner Zugriff auf die für den SMS-Versand zuständigen Funktionen benötigt, erscheint bei seiner Installation eine Warnung des Betriebssystems auf dem Display. Ignoriert der Anwender diese Warnung und installiert das Programm, wird kein Video gezeigt, sondern der Trojaner geht seinem Bestimmungszweck nach und beginnt kostenpflichtige SMS an Premium-Nummern zu senden.

Länder, auf deren Ressourcen Schadprogramme platziert wurden

Als Plattformen für die Platzierung von Schadcode verwenden die Cyberkriminellen im Wesentlichen gehackte legale Ressourcen oder Bullet-Proof-Hostings, die Kundendaten bei der Registrierung nicht überprüfen und Beschwerden von Nutzern nicht unbedingt nachgehen.

Praktisch in jedem Land gibt es Internet-Ressourcen, die als Verbreitungsquellen von Malware fungieren. Allerdings befinden sich 89 Prozent der erkannten Plattformen zur Verbreitung von Schadcode in nur zehn Ländern der Erde.


Verteilung der Malware-Ressourcen im dritten Quartal 2010 aufgeteilt nach Ländern

Im dritten Quartal gab es in diesem Rating keine Neueinsteiger. Den Spitzenplatz belegen nach wie vor die USA, auf deren Web-Ressourcen ein Viertel des weltweiten schädlichen Inhalts platziert war. Die Verteilung der Länder in den Top 10 hat sich im Laufe von drei Monaten nur unwesentlich verändert. Der Grund hierfür liegt darin, dass derzeit keine ernstzunehmenden Maßnahmen wie zum Beispiel die Ende 2009 in China eingeführten strengen Vorschriften von den Internet-Anbietern getroffen werden, die sich entscheidend auf die Menge des Schadcontents in dem einen oder anderen Land auswirken könnten.

Länder, in denen Computer dem höchsten Infizierungsrisiko ausgesetzt waren

Wie jeder weiß, überwindet das Internet alle Grenzen – sämtliche Web-Ressourcen sind von jedem Winkel der Erde aus erreichbar. Daher können auch die über das World Wide Web verteilten Schädlinge die Computer von Anwendern in jedem Land der Erde infizieren.

Wir haben den prozentualen Anteil der KSN-User ausgewertet, auf deren Computern beim Surfen im Internet Infizierungsversuche blockiert wurden. Unsere Daten zeigen, dass das Risiko in verschiedenen Ländern unterschiedlich hoch ist, den Computer mit im Netz verteilten Schadprogrammen zu infizieren.

Nachstehend die 10 Länder, in denen die meisten Versuche unternommen wurden, die Computer der Anwender über das Internet zu infizieren:

Land Prozentualer Anteil der Anwender,
deren Computer angegriffen wurden
Russische Föderation 52,77%
Weißrussland 44,19%
China 41,29%
Kasachstan 40,68%
Ukraine 39,16%
Vereinigte Staaten 38,13%
Indien 37,61%
Bangladesch 36,00%
Sri Lanka 35,95%
Saudi Arabien 33,99%

Die Verteilung von Schadprogrammen nach Kategorien hat sich im Vergleich zum vorhergehenden Quartal nicht wesentlich geändert. Den zweiten Platz haben die Würmer hauptsächlich der Aktivität der Schadprogramme Worm.Win32.FlyStudio.cu, Worm.Win32.Mabezat.b, Worm.Win32.VBNA.b und Worm.Win32.Autoit.xl zu verdanken, über die wir bereits in früheren Analysen berichteten. Auch bei den Trojan-Downloadern hat es keine nennenswerten Veränderungen gegeben. Die am weitesten verbreiteten Programme dieser Kategorie sind in Visual Basic verfasst und werden unter Trojan-Downloader.Win32.VB.eql geführt.

Das interessanteste an dieser Statistik ist die Schädlingserkennung mit Hilfe von Cloud-Technologien. Diese greifen dann, wenn in den Antiviren-Datenbanken bisher weder Signaturen vorhanden sind noch heuristische Methoden zur Detektierung des Schadprogramms vorliegen, in der Cloud des Unternehmens aber bereits Informationen über das entsprechende Objekt vorliegen. In diesem Fall wird das erkannte Objekt der Kategorie DangerousObject.Multi.Genric zugeteilt. Unter dieser Bezeichnung wurden im dritten Quartal 2010 auch absolut außergewöhnliche Schädlinge erkannt wie zum Beispiel Trojan.Win32.FlyStudio.acr, Worm.Win32.AutoRun.bhxu, Trojan.Win32.VBKrypt.mm und der Aufsehen erregende Worm.Win32.Stuxnet.b. Im Laufe des Quartals wurde bereits jeder sechste Anwender von KSN mit Hilfe von Cloud-Technologien vor neuen Schadprogrammen und deren Modifikationen geschützt.

Fazit

Die Ereignisse des dritten Quartals belegen, dass wir uns an der Schwelle zu einem neuen Entwicklungsschritt in der Cyberkriminalität befinden. Unsere Prognosen vom Ende letzten Jahres, die Schadprogramme würden künftig immer komplizierter und komplexer, haben sich im dritten Quartal mehrfach bestätigt.

Die Entwicklung der Cyberbedrohungen verlief in mehreren Etappen. Die erste Etappe fällt in die 90еr Jahre des letzten Jahrhunderts, als Viren ausschließlich dazu dienten, das Selbstwertgefühl ihrer Autoren zu heben und ein einfacher Signatur-Scanner zur Abwehr dieser Programme vollkommen ausreichend war. Der Beginn des zweiten Jahrtausends war gekennzeichnet vom Erscheinen neuer Verbreitungstechnologien von Schadcode, nämlich via E-Mail und Internet. Diese Entwicklung zog auch eine Veränderung der Schutztechnologien nach sich. Angesichts massenhafter Infizierungen wurde die Reaktionszeit der Antiviren-Produkte extrem wichtig. Auch die Virenautoren schlugen zu dieser Zeit einen neuen Weg ein, den Weg der Cyberkriminalität. Bei den Virenautoren nahm nach und nach die Habsucht überhand und der einfache Vandalismus wurde durch Daten-Diebstahl, Betrug und Erpressung verdrängt, wobei die Internet-User sich als lukrative Einnahmequelle erwiesen. Die cyberkriminelle Etappe war geprägt von einer enormen Menge komplexer Bedrohungen, die auf den Diebstahl von Finanzinformationen und virtuellem Eigentum spezialisiert waren.

Heute beobachten wir wieder, wie sich die Entwicklungsspirale weiterdreht. Es scheint, als würde aktuell der Übergang von der cyberkriminellen Etappe zu der Etappe der Cyberspionage und des Cyberterrorismus vollzogen. Anstelle der Idee der massenhaften Infizierungen, die beispielsweise mit den Würmern Klez, Medoom, Sasser oder Kido umgesetzt wurde, tritt nun das Konzept des punktgenauen Angriffs. Die bei den zielgerichteten Attacken verwendeten Technologien – seien es komplexe Schädlinge oder Social-Engineering-Methoden – ermöglichen es dem Schadprogramm, gleich mehrere Schutzschichten gleichzeitig zu durchdringen und das einzige, aber dafür überaus wichtige Ziel zu erreichen. Nicht nur das Konzept hat sich geändert, auch das technische Niveau wurde erheblich angehoben.

Zielgerichtete Attacken sind sehr schwierig zu erkennen und abzuwehren. Der effektivste Schutz vor Angriffen dieser Art ist die Ausbildung der User und der Personen, die für die IT-Sicherheit in Unternehmen verantwortlich sind. Sehen Anwender die Notwendigkeit des Schutzes nicht ein, der die Benutzerfreundlichkeit des Computers zuweilen etwas einschränkt, sind leider alle Versuche zum Scheitern verurteilt, zielgerichtete Attacken wirksam abzuwehren. Ein zweiter entscheidender Faktor sind proaktive Technologien, die von Antiviren-Experten weiterentwickelt werden sollten.

Stuxnet wurde nicht entwickelt, um Passwörter zu Konten oder Dokumenten zu stehlen, sondern um die Kontrolle über wichtige Produktionsobjekte zu übernehmen. Schädlinge dieses Niveaus können nur von Profis entwickelt werden, die sich diese Arbeit teuer bezahlen lassen. Das geistige Eigentum großer Unternehmen kann so attraktiv für Menschen sein, dass sie virtuelle Angriffe in Auftrag geben und finanzieren, um es zu stehlen.

Was die Perspektiven für die nähere Zukunft betrifft, so ist eine Zunahme von Viren-Vorfällen zu erwarten, die in Verbindung mit signierten schädlichen Dateien stehen. Ein Zuwachs des Anteils von 64-Bit-Systemen wird zu einer schrittweisen Veränderung der Rootkit-Technologien führen und die Virenschreiber werden dabei höchstwahrscheinlich auf Bootkits setzen.

Das KSN ist eine der wichtigsten Funktionen bei den Produkten für Privatanwender, und Kaspersky Lab arbeitet derzeit an der Integration des Systems in seine Unternehmenslösungen.

Mit Hilfe des Kaspersky Security Network können die Kaspersky-Experten in Echtzeit auf neue Schadprogramme reagieren, für die noch keine Signaturen vorliegen, und die noch nicht heuristisch erfasst sind. KSN macht es möglich, die Verbreitungsquelle von Schadprogrammen im Internet zu lokalisieren und diese für die Anwender zu sperren.

Gleichzeitig verbessert das KSN die Reaktionszeit auf neue Bedrohungen entscheidend. Zum gegenwärtigen Zeitpunkt kann die Ausführung eines neuen Schadprogramms auf den Computern der KSN-User innerhalb weniger Sekunden nach Feststellung seines schädlichen Charakters blockiert werden. Anders als bisher ist eine Aktualisierung der Antiviren-Datenbanken dafür nicht mehr nötig.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.