Malware-Report für November 2011

Der November in Zahlen

Im Laufe des Monats wurden auf den Computern der Anwender von Kaspersky-Produkten:

  • 204.595.286 Netzattacken abgewehrt
  • 89.001.505 Infizierungsversuche über das Web blockiert
  • 238.045.358 Schadprogramme entdeckt und unschädlich gemacht (Versuche einer lokalen Infektion)
  • 98.047.245 heuristische Vorfälle gezählt

Der November war hinsichtlich der traditionellen Bedrohungen ein relativ ruhiger Monat. Die Virenautoren haben bereits bestehende Technologien weiterentwickelt; weltbewegende Neuheiten gab es auf diesem Gebiet allerdings nicht.

Thema des Monats: Duqu – Stand der Untersuchungen

Das trojanische Programm Duqu, das im September entdeckt und im Oktober öffentlich bekannt wurde, blieb auch im November eines der wichtigsten Themen unter IT-Sicherheitsexperten und in der Berichterstattung der Massenmedien. Der Hauptgrund dafür ist die Entdeckung einer Methode, mit der das Schadprogramm in Systeme eindringt. Die Attacke wurde via E-Mail unter Verwendung eines Word-Dokuments durchgeführt, das ein Exploit zu einer bereits bekannten Sicherheitslücke in Windows enthält. Ein Fehler in der Systemkomponente win32k.sys ermöglichte einer Datei mit Systemprivilegien die Ausführung von schädlichem Code.

Diese Entdeckung zeigt eine weitere Parallele zwischen Duqu und Stuxnet auf, wo ebenfalls bereits bekannte Sicherheitslücken ausgenutzt wurden. Wir haben bereits im Oktober darüber berichtet, dass die Entdeckung des Duqu-Droppers ein wichtiger Schritt zur Lösung des Rätsels über die Herkunft des Trojaners ist und dass dieser Dropper ein Exploit zu derartigen Sicherheitslücken enthalten könnte.

Die Experten von Kaspersky Lab haben die Original E-Mail ausfindig machen können, inklusive Dropper und Exploit, die einem Opfer im Sudan zugeschickt wurde. Eine detaillierte Analyse haben wir in unserem Weblog veröffentlicht. Kaspersky Lab hat die Erkennungsmethode für dieses Exploit umgehend seinen Datenbanken hinzugefügt.

Wir machen darauf aufmerksam, dass Microsoft zum Dezember erneut keinen Patch veröffentlicht hat, der diese Sicherheitslücke schließt, daher ist das Risiko eines Angriffs unter Ausnutzung dieser Schwachstelle recht hoch.

Neben der Untersuchung der Schwachstelle haben wir auch einiges unternommen, um einer Reihe von Duqu-Steuerungsservern habhaft zu werden, die sich in verschiedenen Ländern der Welt befinden. Leider haben die Entwickler von Duqu schnell auf die Nachricht ihrer Enttarnung reagiert und am 20. Oktober sämtliche Spuren auf allen Servern beseitigt. Trotzdem konnten wir einige Daten sichern und die Ermittlungen in dieser Sache werden fortgeführt.

Alle uns zur Verfügung stehenden Informationen zeugen davon, dass Duqu entwickelt wurde, um Daten zu stehlen und zusammenzutragen, die mit der Tätigkeit verschiedener iranischer Firmen und Behörden in Zusammenhang stehen. Vieles deutet darauf hin, dass Duqu in früheren Versionen bereits in den Jahren 2007 bis 2008 existiert hat und dass der Wurm Stuxnet auf der Basis einer Plattform entwickelt wurde, die auch bei der Entwicklung von Duqu zum Einsatz kam. Dabei könnten Duqu und Stuxnet parallel, zu ein und derselben Zeit, entwickelt worden sein.

Neue Programme und Technologien der Cyberkriminellen

In letzter Zeit nehmen die Fälle zu, in denen Steganographie-Methoden in Schadprogrammen eingesetzt werden.

Im September spürten wir grafische Dateien auf, die versteckte Befehle zur Steuerung des Botnetzes SST enthielten. Zur Erinnerung: Der Bot SST ist eine Modifikation des berühmt-berüchtigten Bots TDSS/TDL.

Im November stießen wir auf eine ähnliche Technik, und zwar in einer Familie von trojanischen Programmen, die Kunden verschiedener brasilianischer Banken angreifen. Das ist der erste Fall von lateinamerikanischen Trojanern, die Steganographie in Bildern verwenden.

Diese Dateien, die chiffrierten Schadcode und zusätzliche Informationen enthalten, hatten die Dateierweiterung jpeg, waren ihrer Struktur nach jedoch bmp-Dateien. Bei ihrer Entwicklung hatten die Malwareautoren die Methode des Cipher Block Chaining Mode (CBC) verwendet.

Durch den Einsatz dieser Technik schlagen Virenentwickler gleich mehrere Fliegen mit einer Klappe. Erstens kann sie bewirken, dass die automatischen Systeme der Antiviren-Analyse nicht mehr korrekt funktionieren: Eine Datei kann geladen, von AV-Programmen geprüft und als sauber eingestuft werden und mit der Zeit wird der Link vollständig von der Überprüfung ausgeschlossen. Zweitens können die Administratoren der Webseiten, auf denen solche verschlüsselten Schaddateien gehostet werden, diese nicht als schädlich erkennen und behandeln sie dementsprechend auch nicht als solche. Drittens könnte es manchen Antiviren-Experten an der nötigen Zeit oder Erfahrung mangeln, mit solchen Dateien fertig zu werden. All das spielt zweifellos den Cyberkriminellen in die Hände.

Mobile Bedrohungen: SMS-Trojaner verbreiten sich um den Globus

Mitte Juli berichteten wir über die „Versender von Porno-SMS“, die teure SMS für die Registrierung der Anwender bei verschiedenen Diensten nutzen. Diese Anwendungen hatten es auf Nutzer aus den USA, Malaysia, den Niederlanden, Großbritannien, Kenia und Südafrika abgesehen.

Im November haben wir einen SMS-Trojaner entdeckt, der auf die Anwender einiger europäischer Staaten und Kanadas ausgerichtet ist. Die Schadprogramme senden von einem infizierten Gerät vier SMS an eine kurze Premium-Nummer. Wir bezeichnen diese Familie als Trojan-SMS.AndroidOS.Foncy.

Laut Mitteilungen, die wir in Foren gefunden haben, datiert die erste Infizierung auf Anfang September des Jahres. Irgendjemand hat die Anwendung geladen, die angeblich zur Überwachung der eigenen SMS/MMS, der Anrufe und des Daten-Traffics bestimmt ist. Nach dem Start zeigte dieses Programm per Mitteilung an, dass es nicht mit der vom Anwender eingesetzten Android-Version kompatibel sei, was Anwender verunsicherte.

Wir weisen darauf hin, dass SMS-Trojaner bis zum Erscheinen von Trojan-SMS.AndroidOS.Fony hauptsächlich Anwender aus Russland und China angegriffen haben. Heute ermöglichen es SMS-Trojaner Cyberkriminellen, auf denkbar einfache Weise Geld zu verdienen. Leider breitet sich die schädliche Verwendung von Kurznummern und teuren SMS mittlerweile um die ganze Welt aus und wir sind davon überzeugt, dass dieser Trend sich in nächster Zeit fortsetzen wird.

MacOS-Bedrohungen

Heutzutage lassen sich Windows-User nicht mehr von Trojanern und Würmern auf Webseiten überraschen, auf denen Piraten-Versionen populärer Programme verbreitet werden. Für Mac-Anwender ist diese Angriffsart jedoch nach wie vor etwas Neues. So wurde Ende Oktober auf Torrent-Trackern, die Programme für Мас-Rechner illegal verbreiten, ein neues Schadprogramm mit der Bezeichnung Backdoor.OSX.Miner entdeckt. Dieser Schädling verfügt gleich über mehrere Schadfunktionen:

  • Remote-Zugriff auf einen infizierten Computer
  • Sammeln von Informationen über den Verlauf der Webseiten-Besuche über den Browser Safari
  • Erstellen von Bildschirmfotos
  • Diebstahl der Datei wallet.dat aus dem BitCoin-Client
  • Nicht genehmigter Start eines BitCoin-Miners

Dieses Schadprogramm verbreitet sich gleich über mehrere Torrent-Tracker wie zum Beispiel publicbt.com, openbittorrent.com und thepiratebay.org.

Beispiel eines Torrent-Trackers, der Backdoor.OSX.Miner verbreitet

Nach unserer Einschätzung waren gegen Ende November Dutzende Mac-Systeme mit dem Schadprogramm Backdoor.OSX.Miner infiziert.

Attacken auf Netzwerke von Unternehmen und großen Organisationen

Kompromittierung von Steam

Die Attacken und Hacks der Dienste des Sony Playstation Network zu Beginn des Jahres waren im November plötzlich wieder ein aktuelles Thema, als sich ein weiterer solcher Vorfall mit einem anderen Game-Anbieter ereignete, und zwar dem Service Steam des Unternehmens Valve. Unbekannten Hackern gelang es, das Steam-Forum zu knacken und eine Vielzahl von Mitteilungen zu versenden, die Links auf Videos mit Hacking-Anleitungen für Spiele enthielten. Valve deaktivierte daraufhin den Dienst, um das Problem zu beheben. Im Zuge der Ermittlungen wurde festgestellt, dass die Hauptdatenbank von Steam kompromittiert wurde.

Die kompromittierte Datenbank enthielt Informationen wie zum Beispiel Namen der Anwender, Passwörter, Daten über den Kauf von Spielen, E-Mail-Adressen der Anwender sowie die verschlüsselten Kreditkartendaten.

Der Vorfall zwang Valve dazu, ihre Kunden per Brief über die Entdeckung dieses Problems zu informieren. In dem Schreiben wurde mitgeteilt, dass das Unternehmen keine Anzeichen dafür gefunden habe, dass verschlüsselte Kreditkartennummern oder persönliche Anwenderdaten von den Hackern gestohlen wurden, die Untersuchungen jedoch andauerten. Es gibt auch keine Daten darüber, dass Cyberkriminelle die Kreditkartendaten der Steam-Nutzer benutzt haben, allerdings rief Valve die Anwender dazu auf, alle über Bankkarten laufenden Transaktionen im Auge zu behalten und die Kontoauszüge aufmerksam zu lesen.

Probleme mit Zertifikaten dauern an

In diesem Jahr gab es viele Vorfälle mit Zertifizierungsstellen, anfangen bei Comodo und gefolgt von der holländischen Zertifizierungsstelle CA DigiNotar. Darüber hinaus wurden einige gestohlene Zertifikate entdeckt, die in Schadprogrammen verwendet werden, darunter auch im Trojaner Duqu. Das Problem des „digitalen Vertrauensverlusts“ ist derzeit sehr groß und verlässliche Lösungsansätze wurden bisher noch nicht gefunden.

Im November teilte ein anderes holländisches Zertifizierungszentrum, das Unternehmen KPN, mit, dass es einer Hackerattacke zum Opfer gefallen sei und stoppte die Ausgabe von Zertifikaten.

Der Grund für diesen Vorfall war eine Sicherheitslücke im Web-Server von KPN, der die Infrastruktur offener Schlüssel (PKI) bedient. Der Angriff erfolgte vor nicht weniger als 4 Jahren.

Das Unternehmen KPN, das vor allem für sein Telecom-Geschäft bekannt ist, kaufte vor vier Jahren das Unternehmen Getronics auf. Getronics verfügte ebenso wie DigiNotar über das Recht zur Ausgabe von Zertifikaten. Ebenso wie DigiNotar darf KPN spezielle Zertifikate an staatliche und öffentliche Institutionen der Niederlande ausgeben. KPN ist eine größere Zertifizierungsstelle als DigiNotar. Nach der Kompromittierung der Dienste von DigiNotar nahmen viele die Dienste von KPN in Anspruch.

Bisher ist nicht klar, ob ausgeschlossen werden kann, dass der (die) Server der Zertifizierungsstelle gehackt wurden. Darüber hinaus muss die Frage beantwortet werden, wie das Tool zur Durchführung von DDoS-Attacken über vier Jahre hinweg unentdeckt bleiben konnte.

Besonders interessant ist, dass die Erklärung von KPN als Bestätigung dafür verstanden werden kann, dass bereits ausgegebene Zertifikate gültig bleiben.

Ein weiterer ernstzunehmender Vorfall ereignete sich bei der malaysischen Zertifizierungsstelle Digicert (CA Digicert Malaysia). Sie wurde von allen Browser-Entwicklern und von Microsoft aus der Liste der vertrauenswürdigen Zertifizierungsstellen gestrichen. Zu dieser Maßnahme wurde gegriffen, als bekannt wurde, dass diese Zertifizierungsstelle 22 Zertifikate mit schwachen 512-Bit-Schlüsseln ausgegeben hatte. Darüber hinaus gab Digicert auch Zertifikate ohne Informationen über die Geltungsdauer und ohne notwendige Erweiterungen zu Nutzungsbeschränkungen heraus.

Ein Vertreter von Microsoft, Jerry Bryant, wies darauf hin, dass es keinerlei Anzeichen dafür gäbe, dass irgendeines dieser Zertifikate auf betrügerischem Wege erworben worden sei, die schwachen Schlüssel es aber ermöglicht hätten, einige von ihnen zu hacken.

Bemerkenswert ist, dass im November auch einige Schadprogramme gefunden wurden, die mit Zertifikaten der Regierungsbehörde Malaysian Agricultural Research and Development Institute signiert waren. Nach Angaben von Vertretern dieses Instituts wurde das Zertifikat zuvor von ihnen gestohlen. Es stellt sich nur die Frage, warum das Zertifikat nicht rechtzeitig zurückgerufen wurde, wenn der Diebstahl doch bekannt war?

Top 10 im November

Top 10 der Internet-Schädlinge

1 Malicious URL 81,41% 0
2 Trojan.Script.Iframer 4,57% 0
3 Trojan.Script.Generic 1,67% 1
4 Trojan.Win32.Generic 0,74% -1
5 Trojan-Downloader.Script.Generic 0,61% 2
6 Trojan.JS.Popupper.aw 0,37% 3
7 Exploit.Script.Generic 0,36% -2
8 Trojan.JS.Agent.bwi 0,24% Neu
9 Exploit.Java.CVE-2010-4452.a 0,21% Neu
10 AdWare.Win32.Screensaver.i 0,16% Neu

Top 10 der Länder, auf deren Ressourcen Schadprogramme untergebracht sind

1 USA 26,72% 0
2 Deutschland 14,52% 1
3 Russland 12,58% -1
4 Niederlande 11,67% 0
5 Ukraine 6,69% 0
6 Britische Junferninseln 3,99% 1
7 China 3,64% 1
8 Rumänien 2,11% 2
9 Vereinigtes Königreich 1,45% -3
10 Kanada 1,11% Neu

Top 10 der schädlichen Hostings

1 adv-downloader.in 11,83%
2 72.51.44.90 10,69%
3 rm-download.in 7,22%
4 69.170.135.91 6,71%
5 livestaticforus.info 6,37%
6 rx-downloader.in 6,04%
7 youtubedownload.altervista.org 3,91%
8 origin-ics.clickpotato.tv 3.87%
9 tizerplatform.com 3,60%
10 advancedadv.net 3,46%

Top 10 der schädlichen Domain-Zonen

1 com 35.509.894
2 ru 14.482.880
3 info 5.891.872
4 co.in 5.221.964
5 in 4.197.274
6 net 3.493.864
7 org 1.971.202
8 me 1.953.502
9 tv 536.867
10 pl 384.305

Top 10 der Länder, in denen die Anwender-Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt sind

1 Russland 44,88% 0
2 Armenien 39,21% 0
3 Südkorea 38,03% 6
4 Kasachstan 36,86% 4
5 Weißrussland 35,39% -2
6 Ukraine 33,43% 0
7 Aserbaidschan 33,14% 3
8 Sudan 28,76% -1
9 Usbekistan 28,63% Neu
10 Moldawien 28,13% Neu

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.