News

Myrte und Guave: Episode 2

Schlagen wir uns also weiter durch die Botanik. In diesem Posting möchte ich die zweite Besonderheit des Trojaners Stuxnet näher unter die Lupe nehmen – seine digitale Signatur.

Schadprogramme mit digitalen Signaturen sind der Albtraum aller Entwickler von Antiviren-Software. An den Signaturen hängt vieles: Sie dienen als Merkmal für die (unbestreitbare) Legalität der Anwendung, sie bilden die Grundlage für Konzepte des IT-Schutzes und sie sind nicht zuletzt ein wichtiger Faktor für die Effektivität von Antiviren-Produkten. Es ist kein Geheimnis, dass eine Datei mit digitaler Signatur bei den Schutzmodulen a priori „Vertrauen erweckt“ und daher meist automatisch als „sauber“ eingestuft wird.

Übrigens gelingt es Cyberkriminellen immer wieder einmal, an eine eigene Zertifikatssignatur zu kommen. In der letzten Zeit gibt es diese Zwischenfälle zum Beispiel regelmäßig mit Zertifikaten bei einer Reihe von trojanischen Programmen für Mobiltelefone. Wir decken sie auf, melden den Vorfall an das Zertifizierungszentrum, das Zertifikat wird für ungültig erklärt usw.

Mit Stuxnet verhält sich die Sache allerdings ganz anders, denn die hier verwendete Signatur stammt nicht von irgendwem, sondern von der Firma Realtek Semiconductor, einem der größten Hersteller von Computer-Zubehör.

Der Rückruf eines Zertifikats ist bei diesem Unternehmen schlicht nicht möglich, denn es würde die Funktionsunfähigkeit einer riesigen Menge an Realtek-Software nach sich ziehen.

Doch eins nach dem anderen: Das Schadprogramm erstellt zwei Dateien im %SystemRoot%system32Drivers: mrxcls.sys, mrxnet.sys.
Diese Treiber-Dateien gewährleisten die Arbeit der Rootkit-Funktionalität von Stuxnet – das Verbergen des Schädlings im System/den infizierten USB-Speichern. Eben diese Dateien sind mit einer digitalen Signatur ausgestattet:

Man sieht, dass die Dateien am 25 Januar 2010 signiert wurden. Das bedeutet, dass vom Zeitpunkt des Erstellens der Signatur bis zum Entdecken des Trojaners in freier Wildbahn (Mitte Juni) einige Monate vergangen sind.

Doch wie ist es den Kriminellen gelungen, die Dateien zu signieren?

Aus dem Nachbarbüro wird mir gerade gesteckt, dass dieses bekannte „Exploit“ damit zusammenhängen könnte, allerdings ermöglicht es nicht das Signieren willkürlicher Dateien.
Werfen wir mal einen Blick auf die Website von Verisign, um zu überprüfen, ob ein solches Zertifikat tatsächlich existiert und offiziell ausgegeben wurde!

Tatsächlich, das Zertifikat ist absolut legal.

Nur der Umstand macht stutzig, dass es bereits am 12 Juni 2010 abgelaufen ist. Dieses Datum fällt auf erstaunliche Weise mit dem Entdeckungszeitpunkt des Trojaners durch die Kollegen von VBA zusammen.

Bedeutet dies, dass der Schädling tatsächlich auf Grund seiner Signatur so lange für die Antiviren-Lösungen praktisch „unsichtbar“ war? Möglicherweise ja.

Alle die aufgeführten Fakten weisen darauf hin, dass tatsächlich irgendjemand, der die Möglichkeit hat, Dateien mit Zertifikaten von Realtek zu signieren, ebendies getan hat – er hat einen Trojaner signiert.

Wir selbst haben uns diesbezüglich nicht mit Realtek in Verbindung gesetzt. Wir wissen aber, dass die Leute von VBA das Unternehmen kontaktiert, aber bisher noch keine Antwort erhalten haben.
Mit Hilfe von KSN sind wir in der Lage, diese Signatur für unsere Produkte zu blockieren. Und das haben wir auch bereits getan.

Doch wie gefährlich ist Stuxnet wirklich und was können wir gegen seine gegenwärtige Verbreitung tun? Die Antwort auf diese Frage liefert uns eventuell auch Informationen über die Quelle des Problems.

Fortsetzung folgt…

Myrte und Guave: Episode 2

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach