*nix-Malware – Ergebnisse 2005 und Entwicklungstendenzen

Dieser Artikel bietet eine Situationsanalyse des Jahres 2005 auf dem Gebiet der Malware auf anderen Plattformen als Windows. Auf Basis einer Statistik der vergangenen Jahre versuche ich, sowohl Tendenzen zu erkennen als auch einige Perspektiven und Entwicklungsrichtungen von Malware in der näheren Zukunft vorherzusehen.

Die Geschichte des Computers und damit der Viren begann nicht mit Windows und auch nicht mit DOS. Wie bekannt, erschien der erste Computerwurm im Jahre 1988 und wurde für Unix geschrieben. Doch der wahre Aufschwung der Computerviren begann erst, als PCs von Millionen von Anwendern genutzt wurden, die mit dem Betriebssystem DOS und später mit Windows arbeiteten. Die Entwicklungstendenzen der Virenszene wiederholen die Entwicklungstendenzen der Computerindustrie im Ganzen. Die Popularität der einen oder anderen Plattform kann man auch daran erkennen, wie viele Viren dafür erscheinen.

Natürlich ist die Plattform „Intel + Win32“ (also Win32 als Software- und Intel als Hardware-Plattform) unbestrittener Marktführer. Genauer gesagt: Bis jetzt ist sie die 32er-Plattform die wichtigste. Aber in näherer Zukunft wird sich die Situation zugunsten der 64er-Plattformen ändern. Bereits jetzt gibt es einige konzeptionelle Schadprogramme für Win64.

Doch neben dem Mainstream existieren immer auch Alternativen. Wichtigste Alternative zu Windows war einmal OS/2, doch jetzt sind es Linux, FreeBSD und andere Unix-Varianten. Linux ist mit seiner ganzen Vielfältigkeit zum unbestrittenen Marktführer geworden. Langsam aber sicher ringt es Windows nicht nur Server ab, sondern auch die Desktops der Anwender. Es ist aber auch gut möglich, dass in Kürze der Stern von MacOS X aufsteigt, denn mit dem Übergang von Apple auf Intel-Prozessoren wird sich die Popularität von Macintosh stark erhöhen.

Hauptzielscheibe von Angriffen ist die Nutzer-Software. Die Hauptflut schädlicher Programme für Win32 stellen verschiedene Trojaner (Trojan-Spy, Trojan-Downloader, Trojan-Dropper) dar. Bei Linux sind es dagegen in hohem Maße Backdoors, die aus der Ferne einen Zugang zur betroffenen Maschine ermöglichen, um diese als Ausgangspunkt für Angriffe gegen andere Computer zu nutzen.

Sobald sich die Popularität einer Plattform erhöht, erscheinen für sie Viren und andere Schadprogramme. Zunächst als so genannte Proofs Of Concept – Konzeptbeispiele, in denen es in der Regel keinen schädlichen Code gibt, der destruktive Aktionen verursacht. Sie zeigen lediglich die Möglichkeit, Schwachstellen auszunutzen. Zuerst erscheinen Informationen über Schwachstellen von Betriebssystem und Anwendungen. Danach materialisieren sich diese theoretischen Kenntnisse im Code in Form von Exploits und Backdoors, die diese Schwachstellen ausnutzen. Natürlich reparieren die Software-Hersteller bekannte Schwachstellen, was Virenschreiber dazu zwingt, neue Angriffsformen zu suchen. Im Endeffekt wächst der Malware-Strom lawinenartig. Genau das passiert momentan mit Win32. Bei anderen Plattformen ist dies gegenwärtig noch nicht der Fall, aber sicherlich bald zu erwarten.

Trotz des relativ ruhigen Lebens sind auch die Nutzer alternativer Plattformen immer wieder Angriffen von Schadprogrammen ausgesetzt. Über diese Plattformen, ihre Besonderheiten und Entwicklungstendenzen werden wir nun berichten.

Statistik und Tendenzen

Der eben beschriebene Prozess wurde so detailliert erläutert, um die nachfolgend dargestellten statistischen Daten besser verstehen und interpretieren zu können.

Die folgende Übersicht zeigt die Dynamik der Entwicklung von Malware für unterschiedliche Unix-ähnliche Systeme. Generell ist im Vergleich zum Vorjahr ein quantitatives Wachstum von Malware auf allen Plattformen erkennbar.

Anzahl der Schadprogramme für Unix-Systeme in der Sammlung von
Kaspersky Lab für die Jahre 2004 und 2005

Man sieht deutlich, dass der Vektor der Malware in Richtung Linux zeigt. Hier ist ein fast hundertprozentiges Wachstum von Malware zu beobachten.

Das ist auch nicht verwunderlich – schließlich ist diese Plattform unter allen Unix-Systemen die populärste. Obwohl Linux auf unterschiedlichen RISC-Plattformen arbeitet, trifft man binäre Dateien, die sich von x86 unterscheiden, sehr selten an. Bei anderen RISC-Plattformen, beispielsweise Sparc, kann man eher auf binäre Files für SunOS treffen. In der Regel sind das Sammlungen einzelner Utilities, die unter einer konkreten Betriebssystemversion geschrieben und kompiliert wurden und auf einen konkreten Server zielen.

So sind Sniffer, Backdoors und Logcleaner Kernmodule zur Verschleierung von Angriffshandlungen – solche Sammlungen nennt man Rootkits. Rootkits sind für Attacken auf eine ganz konkrete Maschine vorgesehen – in diesem Fall haben wir einen genau geplanten Angriff, gegen den zu kämpfen schwerer wird als bei einem Trojaner, der über ein Skript in Umlauf gebracht wird.

Die charakteristische Besonderheit von Unix-Malware ist das Fehlen verschiedener Packer von ausführenden Dateien, die den Analyseprozess und das Entdecken des Schadprogramms erschweren. Außer upx und dessen leichter Modifizierung ist mir bisher nichts begegnet.

Im Großen und Ganzen wiederholt sich an der Unix-Front – hinsichtlich des Typs des schädlichen Codes – die Situation von Win32. Reine Viren, die Dateien auf einer lokalen Platte infizieren, werden immer weniger. Sie werden hauptsächlich zum Vergnügen programmiert und führen keine zerstörerischen Handlungen aus. Es sei denn, dass sie aufgrund eines Fehlers ihres Programmierers beim Eindringen des Codes in die Datei, diese selbst beschädigen und sie arbeitsunfähig wird. Eine Epidemie war bisher noch nicht feststellbar und die Viren unter Unix sind nur für die Statistik interessant. Manchmal sind jedoch auch interessante Exemplare anzutreffen, etwa Virus.Linux.Grip. Dieser Virus ist deshalb interessant, weil er den Spracherkenner Brain Fuck zur Generierung des Chiffrenschlüssels verwendet, der seinerseits zur Chiffrierung nach dem Algorithmus tea genutzt wird.

Doch all das ist nur für Forschungszwecke interessant und hat keinerlei praktische Bedeutung. Das Schreiben solcher Viren spiegelt die Idee von Linus Torwalds „Just for Fun“ wider.

Eine andere Sache sind Programme zur Zerstörung von Servern und deren Nutzung als Plattform für weitere Angriffe. Es gibt viele solcher Programme – die Rede ist von Backdoors, Exploits, Sniffern, Floodern und anderen Hacktools. Ihre Anzahl wächst wie die Popularität von Linux selbst.

Im vergangenen Jahr wurden auch einige Würmer entdeckt, etwa Net-Worm.Linux.Lupper und Varianten von Net-Worm.Linux.Mare. Beide nutzen die gleichen Schwachstellen und ähnliche Verbreitungsarten. Eine ihrer Komponenten ist das Backdoor Tsunami. Beim Entwicklungsprozess des Wurms (dem Übergang von der Vorgängerversion zur neueren) werden seiner Funktionalität neue Möglichkeiten hinzugefügt: So wird beispielsweise in der letzten Version von Net-Worm.Linux.Mare ircbot heruntergeladen, der dann die Funktion eines Backdoors ausübt.

Noch ein Vorfall in der Welt von Linux: Im September letzten Jahres wurden auf einem öffentlichen Server Distributiv-Versionen des populären Web-Browsers Mozilla (koreanische Sprachversion) gefunden, die infizierte binäre Files enthielten. Die Files waren mit Virus.Linux.Rst verseucht.

Doch das war schon alles, was im Bereich Viren für Linux im Jahr 2005 interessant war. Im Vergleich zu den Epidemien Scalper und Slapper in den Jahren 2002 und 2003 ist momentan eine gewisse Flaute zu beobachten.

Das Thema Rootkits, das bei Win32 blüht, ist bei Linux anscheinend überstanden. Es gibt nichts prinzipiell Neues, nur hin und wieder Varianten alter Programme.

Auf allen anderen Unix-Plattformen ist es noch ruhiger. Das ist auch verständlich, denn die anderen Unix-Systeme können sich in der Popularität weder mit Linux noch mit Windows messen.

Die statistischen Daten, die nachfolgend dargestellt sind, wurden zu verschiedenen Zeitpunkten auf der Grundlage der Analyse der Antiviren-Datenbanken erhoben. Die Leerräume in den Diagrammen bedeuten das Fehlen von Vertretern der entsprechenden Familie auf der betreffenden Plattform in der Sammlung von Kaspersky Lab.

Linux MalWare in der Kaspersky Lab Sammlung von 2004-2005

FreeBSD MalWare in der Kaspersky Lab Sammlung von 2004-2005

SunOS MalWare in der Kaspersky Lab Sammlung von 2004-2005

Sonstige Unix MalWare in der Kaspersky Lab Sammlung von 2004-2005

Perspektiven

Prognosen sind meist eine undankbare Angelegenheit, denn alles kann sich buchstäblich innerhalb eines halben Jahres sehr stark verändern. Und dennoch riskieren wir eine Prognose:

Bei Viren beginnt die Ära der 64-Bit-Architektur und sobald sie sich fest auf den Computern der Anwender verankert hat, reagieren die Virenschreiber. Doch auch hier gibt es Schwierigkeiten, denn der binäre Code unter AMD64 und unter IA64 ist unterschiedlich, deshalb muss auf jeder Plattform unbedingt eine eigene Version kompiliert werden.

Noch größere Hoffnungen erweckt Apple: Der Schritt zu Intel-Prozessoren kann eine Revolution auslösen. Nicht nur das herrliche Design der Apple-Computer, sondern auch die Tatsache, dass man OS X als „Unix mit menschlichem Antlitz“ bezeichnen kann, könnte Apple zum Hit bei den Anwendern machen.

Der Kern von OS X basiert auf FreeBSD, deshalb können Erfahrung und Ideen, die beim Schreiben von Malware für FreeBSD genutzt wurden, auch für OS X verwendet werden. Darüber hinaus haben die Systementwickler auch ihre eigenen Fehler eingebracht. In den letzten paar Wochen bekamen wir zwei Proof-Of-Concept-Würmer für OS X, die anschaulich die Nutzung von Fehlern in der Systemarchitektur illustrieren. Danach kam ein Exploit für den Web-Browser Safari, der es gestattete, auf dem Computer des Anwenders ein Script zu hinterlegen und Kommandos auszuführen. OS X kann also zu einer guten Grundlage für Untersuchungen auf dem Gebiet der Sicherheit werden, dafür gibt es beste Voraussetzungen.

Eine weitere der sich rasant entwickelnden Richtungen der IT-Industrie sind die Mobilgeräte. Auch hier tritt Linux als Alternative zu Symbian und Windows Mobile auf. Viele bedeutende Hersteller produzieren entweder schon Geräte mit Linux oder kündigen solche an. Zum Auftauchen von Schadprogrammen bleibt nur die kritische Menge entsprechender Geräte bei den Anwendern abzuwarten.

Möglicherweise regt das rasante Wachstum irgendeiner neuen Technologie auch die Entwicklung neuer Richtungen der Virentechnologien an. Denn schnell kann ein bisher exotisches Verbreitungsmedium (wie es Bluetooth vor nicht allzu langer Zeit war) nicht nur für mobile Telefone, sondern auch für PCs zu einem ganz gewöhnlichen Standard werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.