Serie – 2 – Zwischen Panik und Sorglosigkeit – Sophos

Von Dirk Kollberg
Senior Threat Researcher,
Sophos Labs, Hamburg

Über die Jahre hat Sophos einen stetigen Wandel der Bedrohungslage durch digitale Schädlinge gesehen. Die Motivation der Autoren hat sich ebenfalls geändert. Waren es früher oft Jugendliche, die im Keller getüftelt haben, stehen nunmehr finanzielle Interessen im Vordergrund. Einige kriminelle Gruppen spezialisieren sich auf die Erstellung der Schadsoftware und andere auf ihre Verbreitung. Es gibt auch Kriminelle, die Schwachstellen in der Software suchen, um Schädlinge zu verbreiten. Fast wie in einem Baukasten kann man sich die einzelnen Leistungen zusammensuchen und so zum Beispiel einen FakeAV- oder Banking-Trojaner über angemietetes Bot-Netz verbreiten. Manche Hersteller der Trojaner bieten sogar dann eine Garantie an, wenn der Schädling durch Anti-Virus Software erkannt wird, dass der „Kunde“ kostenlos eine neue Version erhält.

Etwas aus dem Rahmen fällt Stuxnet. Dieser Wurm wurde nicht aus finanziellen Interessen geschrieben, sondern war zur Sabotage von Industrieanlagen ausgelegt. Es wurden mehrere Millionen Dollar ausgegeben und in die Entwicklung des Schädlings gesteckt. Vermutlich wurden auch die Schwachstellen, die der Wurm zur Verbreitung ausnutzt, über das Internet angekauft. Verschiedene Analysen haben gezeigt, dass der Wurm die Produktionsabläufe behindert und ggf. auch einen physikalischen Schaden anrichten kann.

Viel öfter als Sabotage sehen wir Spionage-Angriffe. Speziell präparierte PDF-Dateien, die einen Exploit und einen Trojaner enthalten, werden gezielt an Firmen geschickt, um dort sensitive Informationen abzufangen. Dies können Benutzernamen und Passwörter sein, aber auch Dokumente, E-Mails oder Bilder. Ist ein Rechner erst mal kompromittiert, können weitere Dateien aus dem Internet heruntergeladen und ausgeführt werden. Hinter diesen Angriffen können konkurrierende Firmen stecken, in manchen Fällen vermute ich aber auch eine staatliche Beteiligung.

ZeuS oder Troj/ZBot ist ein bekannter und weit verbreiteter Banking-Trojaner. Dieser zielt auf das Onlinebanking ab und versucht dem Nutzer-Login Informationen und TANs zu entwenden. Bei den Banking Trojanern sehen wir einen Wettlauf zwischen den Autoren und den Banken. Inzwischen bieten einige Banken an, dem Kunden eine Nummer per SMS auf das Handy zu senden, die er dann auf der Webseite einträgt. Die neuste Version des ZeuS Trojaners fordert den Nutzer auf eine gewisse Software – die angeblich von der Bank kommt – auf dem Handy zu installieren. Lädt der Nutzer diese herunter, so sitzt der Trojaner dann auch im Telefon, kann die SMS abfangen und auch den Inhalt verändern.

Rustock ist eines der größten Bot-Netze gewesen, das zum Versand von Spam genutzt wurde. Bis zu 1 Million Rechner waren von diesem Schädling infiziert und sollen ca. 30 Milliarden Spam-E-Mails pro Tag versendet haben. Am 17. März 2011 wurden die Command und Control Server in einer koordinierten Aktion durch die Behörden abgeschaltet. In diesem Fall war die Maßnahme sehr wirksam, wie das folgende Bild zeigt:


Dies ist jedoch nur ein Bot-Netz und es gibt noch viele andere.

Aber auch bei den Sicherheitslösungen hat sich in den letzten Jahren sehr viel getan. Vor gut 10 Jahren wurden die Updates für AV-Software noch per CD einmal im Quartal ausgeliefert. Später gab es dann monatliche Updates über das Internet, um der steigen Zahl von Schädlingen zu begegnen. Entsprechend wurde der Zyklus auf tägliche Updates oder auch mehrere täglich verkürzt. Derzeit entdecken die Sophos Labs ca. 100.000 bis 150.000 neue Schädlinge pro Tag. Viele Hersteller bieten daher In-The-Cloud Lösungen an. Hierbei fragt das AV-Produkt bei verdächtigen Dateien online bei Herstellern nach der Einstufung nach und blockiert gegebenenfalls den Zugriff. Eine große Herausforderung für den Research, aber auch für die Qualitätssicherung. Verhaltens-basierte Erkennung von Schädlingen wird in der nahen Zukunft eine wichtige Rolle spielen. Ein neuer Schädling, der noch nicht in den Research Labs untersucht wurde, kann damit erkannt werden und entfernt werden. Dies ist eine weitere Stufe des Schutzes und wird die bekannten Signaturen nicht völlig ablösen.

Auch Firmen müssen regelmäßig ihre Sicherheitsrichtlinien im Unternehmen überprüfen und anpassen. Welche Richtlinien haben sie im Bereich Web2.0 eingeführt? Ob Twitter, Facebook oder auch GMail – wenn Mitarbeiter diese und andere Dienste nutzen, umgehen sie oft Sicherheitsmaßnahmen und können über HTTPS-Verbindungen Dateien direkt auf den Firmenrechner übertragen. Ebenso besteht die Gefahr, dass Mitarbeiter sensitive Daten über das Netz verschicken. Nicht nur Sicherheitslösungen sind zu beachten, sondern auch das Thema Patch-Management. Die Nutzung alter Versionen von Browsern, Betriebssystemen oder Adobe Acrobat Reader erhöht das Risiko, dass ein Schädling erfolgreich eine Schwachstelle ausnutzen und den Rechner infizieren kann. Dies betrifft nicht nur die Rechner; auch Mobiltelefone müssen auf dem neusten Stand gehalten werden.

Mit Entspannung ist nicht zu rechnen. Viel zu lukrativ sind die Möglichkeiten für Kriminelle schnell Geld zu verdienen. In der Zukunft werden wir vermehrt Schädlinge für Handys sehen. Gerade im Bereich der Spionage sehe ich hier ein hohes Potential. Handys werden immer vielseitiger und werden oft privat und geschäftlich genutzt. Erhält hier ein Schädling die Kontrolle, kann er von GPS über Kontakte auch alle anderen Daten des Nutzers stehlen.

Alexander Tsolkas