Myrte und Guave: Episode 2

Schlagen wir uns also weiter durch die Botanik. In diesem Posting möchte ich die zweite Besonderheit des Trojaners Stuxnet näher unter die Lupe nehmen – seine digitale Signatur.

Schadprogramme mit digitalen Signaturen sind der Albtraum aller Entwickler von Antiviren-Software. An den Signaturen hängt vieles: Sie dienen als Merkmal für die (unbestreitbare) Legalität der Anwendung, sie bilden die Grundlage für Konzepte des IT-Schutzes und sie sind nicht zuletzt ein wichtiger Faktor für die Effektivität von Antiviren-Produkten. Es ist kein Geheimnis, dass eine Datei mit digitaler Signatur bei den Schutzmodulen a priori „Vertrauen erweckt“ und daher meist automatisch als „sauber“ eingestuft wird.

Übrigens gelingt es Cyberkriminellen immer wieder einmal, an eine eigene Zertifikatssignatur zu kommen. In der letzten Zeit gibt es diese Zwischenfälle zum Beispiel regelmäßig mit Zertifikaten bei einer Reihe von trojanischen Programmen für Mobiltelefone. Wir decken sie auf, melden den Vorfall an das Zertifizierungszentrum, das Zertifikat wird für ungültig erklärt usw.

Mit Stuxnet verhält sich die Sache allerdings ganz anders, denn die hier verwendete Signatur stammt nicht von irgendwem, sondern von der Firma Realtek Semiconductor, einem der größten Hersteller von Computer-Zubehör.

Der Rückruf eines Zertifikats ist bei diesem Unternehmen schlicht nicht möglich, denn es würde die Funktionsunfähigkeit einer riesigen Menge an Realtek-Software nach sich ziehen.

Doch eins nach dem anderen: Das Schadprogramm erstellt zwei Dateien im %SystemRoot%system32Drivers: mrxcls.sys, mrxnet.sys.
Diese Treiber-Dateien gewährleisten die Arbeit der Rootkit-Funktionalität von Stuxnet – das Verbergen des Schädlings im System/den infizierten USB-Speichern. Eben diese Dateien sind mit einer digitalen Signatur ausgestattet:

Man sieht, dass die Dateien am 25 Januar 2010 signiert wurden. Das bedeutet, dass vom Zeitpunkt des Erstellens der Signatur bis zum Entdecken des Trojaners in freier Wildbahn (Mitte Juni) einige Monate vergangen sind.

Doch wie ist es den Kriminellen gelungen, die Dateien zu signieren?

Aus dem Nachbarbüro wird mir gerade gesteckt, dass dieses bekannte „Exploit“ damit zusammenhängen könnte, allerdings ermöglicht es nicht das Signieren willkürlicher Dateien.
Werfen wir mal einen Blick auf die Website von Verisign, um zu überprüfen, ob ein solches Zertifikat tatsächlich existiert und offiziell ausgegeben wurde!

Tatsächlich, das Zertifikat ist absolut legal.

Nur der Umstand macht stutzig, dass es bereits am 12 Juni 2010 abgelaufen ist. Dieses Datum fällt auf erstaunliche Weise mit dem Entdeckungszeitpunkt des Trojaners durch die Kollegen von VBA zusammen.

Bedeutet dies, dass der Schädling tatsächlich auf Grund seiner Signatur so lange für die Antiviren-Lösungen praktisch „unsichtbar“ war? Möglicherweise ja.

Alle die aufgeführten Fakten weisen darauf hin, dass tatsächlich irgendjemand, der die Möglichkeit hat, Dateien mit Zertifikaten von Realtek zu signieren, ebendies getan hat – er hat einen Trojaner signiert.

Wir selbst haben uns diesbezüglich nicht mit Realtek in Verbindung gesetzt. Wir wissen aber, dass die Leute von VBA das Unternehmen kontaktiert, aber bisher noch keine Antwort erhalten haben.
Mit Hilfe von KSN sind wir in der Lage, diese Signatur für unsere Produkte zu blockieren. Und das haben wir auch bereits getan.

Doch wie gefährlich ist Stuxnet wirklich und was können wir gegen seine gegenwärtige Verbreitung tun? Die Antwort auf diese Frage liefert uns eventuell auch Informationen über die Quelle des Problems.

Fortsetzung folgt…

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.