Chinesische Hacker besonders aktiv


News

Das erste Halbjahr 2006 stellte die Antivirus-Unternehmen vor komplizierte technologische Probleme, darunter eine Vielzahl von Viren-Neulingen – so genannten Konzept-Viren oder PoC (Proof of Concept)-Viren - sowie vor das immer weiter ansteigende Interesse der Hacker an Microsoft Office. Insgesamt sah all das wie ein brodelndes Gegeneinander von Ideen aus, die von beiden Seiten der Virenkrieger generiert wurden. Proaktivität, Kryptografie, Rootkit-Technologien und Sicherheitslücken waren die heißen Themen der ersten beiden Quartale dieses Jahres. Doch folgt jeder Aktivitätsphase eine Ruhezeit: beide Seiten versuchen, die Ergebnisse zu bewerten und Schlussfolgerungen über Erfolg oder Nichterfolg der einen oder anderen neuen Technologie zu ziehen. Das dritte Quartal 2006 fällt darüber hinaus immer auf einen Zeitabschnitt der Erholung – auf die Sommermonate.

Im dritten Quartal 2006 wurde keine einzige globale Epidemie verzeichnet, obwohl dem August traditionell mit einiger Besorgnis entgegengesehen wird. In den vergangenen drei Jahren brachen ausgerechnet im August heftige Virus-Epidemien aus. Erinnern wir uns an 2003 – die Schwachstelle MS03-026 und Wurm Lovesan. Der August 2004 brachte uns die Würmer Zafi und Bagle, und 2005 befiel Wurm Bozori (Zotob), der die Schwachstelle MS05-039 ausnutzte, die Netzwerke von CNN, ABC, New York Times und einer Vielzahl weiterer Organisationen in den USA.

Es wurden auch keine neuen Konzept-Viren gefunden – dies hängt ebenfalls damit zusammen, dass die Virenschreiber Zeit brauchten, um die Möglichkeiten zu eruieren, die ihnen durch die neuen PoC-Viren im ersten Halbjahr im Überfluss gegeben wurden. Im Großen und Ganzen war es im 3. Quartal also relativ ruhig, nur der Routine-Wettbewerb um die Positionen im Internet fand statt.

Schwachstellen im Büro

Im Bericht für das 2. Quartal 2006 haben die Viren-Experten von Kaspersky Lab bereits auf das "Büro-Problem" hingewiesen, das sich im Bereich der IT-Sicherheit zu einem Schlüsselproblem entwickelt. Seit März kamen wir kaum nach, Sicherheitslücken in MS Office-Produkten zu stopfen. Zielscheibe der Blackhats wurden also auch Word, Excel und Power Point. In nur drei Monaten stieg die Zahl derartiger Sicherheitslücken auf fast ein Dutzend, und alle wurden noch vor der Veröffentlichung der jeweiligen Patches von Microsoft bekannt.

Mehr noch: die Virenschreiber passten sich dem Microsoft-Rhythmus für die Patch-Days an (jeden zweiten Dienstag im Monat) und veröffentlichten ihre "Werke" immer einige Tage vor Erscheinen des nächsten planmäßigen Sicherheits-Patches. All dies führte dazu, dass die Sicherheitslücken fast einen ganzen Monat über von den Hackern verwendet werden konnte, und die Anwender relativ schutzlos dastanden.

Tragisch an dieser Geschichte ist aber etwas anderes: Kasperky Lab und andere Antivirus-Unternehmen führten eigene Analysen dieser Sicherheitslücken durch. So wurde offensichtlich, dass ihnen ein- und dasselbe Problem zugrunde liegt: das Format von OLE-Dokumenten (Object Linking and Embedding - eine von Microsoft entwickelte Technik zur Einbettung von Objekten). Man hätte sich also nicht nur auf den Patch für die jeweils gefundene Sicherheitslücke beschränken dürfen, sondern Microsoft hätte die OLE-Technologie vollständig überarbeiten müssen. Die einmal im Monat publizierten Patches erinnern da an Flicken für Fischernetze: die Gesamtzahl der potentiell angreifbaren Stellen in OLE-Objekten betragen über hundert.

Im dritten Quartal änderte sich nicht viel. Die Übeltäter, wobei sich die chinesischen Hacker durch besondere Aktivität hervorhoben, überraschten Microsoft mit immer neuen Trojanern. Microsoft jedoch hielt weiterhin an seinem Zeitplan für Programm-Aktualisierungen fest.

Juli (drei Schwachstellen):

  • Microsoft Security Bulletin MS06-037 Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (917285)
  • Microsoft Security Bulletin MS06-038 Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (917284)
  • Microsoft Security Bulletin MS06-039 Vulnerabilities in Microsoft Office Filters Could Allow Remote Code Execution (915384)

August (zwei Schwachstellen):

  • Microsoft Security Bulletin MS06-047 Vulnerability in Microsoft Visual Basic for Applications Could Allow Remote Code Execution (921645)
  • Microsoft Security Bulletin MS06-048 Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (922968)

September (eine Schwachstelle):

  • Microsoft Security Bulletin MS06-054 Vulnerability in Microsoft Publisher Could Allow Remote Code Execution (910729)

Bei Kaspersky Lab wurden sogar Wetten abgeschlossen, in wie vielen Tagen nach der Veröffentlichung der Patches die nächste Sicherheitslücke in Office erscheinen würde. Es ging gar nicht erst um die Frage, ob eine nächste kommen würde, das war gewiss. Zur Erklärung: Hinter jeder dieser Schwachstellen stehen manchmal Dutzende Trojaner, die entweder im E-Mail-Traffic oder im PC entdeckt wurden. Großer Dank gebührt dabei unseren Kollegen bei anderen Antivirus-Unternehmen, in erster Linie Trend Micro, die unfreiwillig zu den Entdeckern dieser Schwachstellen und Trojaner wurden und Microsoft informierten.

Chinesiche Virenschreiber sind besonders aktiv

Wie schon erwähnt, zeichneten sich die chinesischen Virenschreiber durch besondere Aktivität aus. Die chinesischen Backdoors Hupigon, PcClient, HackArmy richteten sich an Anwender in Europa, Asien und den USA. Möglich ist, dass der Kampf gegen die Hacker zur Hauptursache von Massen-DDoS-Attacken auf die Webseiten einiger Antivirus-Unternehmen wurden, denn sie gingen ausgerechnet von Zombie-Netzen aus, die durch diese Trojaner aufgebaut wurden.

Es ist nicht zu erkennen, dass hinter all diesen Attacken ein- und dieselbe Hacker-Gruppe steht. Allerdings kann man auch kaum von einem Zufall ausgehen, wenn während eines gesamten Halbjahres jeden Monat sofort nach dem Schließen von Sicherheitslücken durch "Bemühungen" von Hackern neue erscheinen.

Wenn den Virenschreibern ein neues Exploit in die Hände fällt, wird keiner von ihnen erst einige Woche warten, um es auszunutzen. In der Welt des Cyberverbrechens gilt dasselbe Business-Gesetz wie in der realen: "Zeit ist Geld". Exploits und Geld - diesen Fall kennen wir schon durch die Sicherheitslücke in der Bearbeitung von WMF-Dateien. Damals wurde ein Exploit auf mehreren Hacker-Forum für 4000,- US-Dollar verkauft (siehe Bericht 4. Quartal 2005).

In den meisten Ländern ist die Suche nach Sicherheitslücken in Software-Produkten rechtlich nicht untersagt. Deshalb gehören die Suche und die Veröffentlichung von Sicherheitslücken in Software-Produkten vielmehr in den ethischen und nicht in den rechtlichen Bereich Und die Veröffentlichung von Sicherheitslücken nur wenige Tage nach dem letzten Patch erinnert eher an den Versuch der Diskreditierung von Microsoft und dessen "Patch-Days".

Die Situation bleibt nach wie vor kompliziert. Obwohl die Anzahl der in Office gefundenen Schwachstellen (laut Microsoft Security Bulletin ) Ende des Quartals abgenommen hat, bedeutet dies nicht die Lösung des Problems. Im Gegenteil: wir sollten mit noch ausgeklügelteren Methoden und Attackenarten auf Microsoft Office rechnen, da Microsoft bereits das Office Paket 2007 für den öffentlichen Beta-Test zugänglich gemacht und damit Hacker ein neues "Forschungsobjekt" in Händen halten.

Mobile News

Das Problem der mobilen Viren ist und bleibt eines der interessantesten. Es wurden vier mobile Viren entdeckt, die besondere Aufmerksamkeit verdienen und die aus der Gesamtmasse primitiver, "Skuller-ähnlicher" Trojaner herausragen. Im Großen und Ganzen stagniert die Entwicklung der Handyviren derzeit. Alle möglichen Technologien, Arten und Klassen von Schadprogrammen für Symbian-Smartphones wurden bereits realisiert. Vor einer tatsächlichen Massenverbreitung derartiger Viren retten uns zurzeit nur die verhältnismäßig geringe Verbreitung von Smartphones (im Vergleich zu PCs) und das Fehlen eines unverkennbaren kommerziellen Vorteils, den ein Hacker durch eine Handy-Infektion haben könnte. Darüber hianus sind die Möglichkeiten für den Datenklau vom Handy gegenwärtig beschränkt: auf das Adressbuch, Daten über erfolgte Anrufe und empfangene sowie verschickte SMS.

ComWar v3.0

Im August fiel den Antivirus-Unternehmen erneut eine Modifikation des am weitesten verbreiteten MMS-Wurms ComWar in die Hände. Seine Analyse ergab die folgenden Zeilen:

CommWarrior Outcast: The Dark Masters of Symbian. The Dark Side has more power! CommWarrior v3.0 Copyright (c) 2005-2006 by e10d0r CommWarrior is freeware product. You may freely distribute it in it's original unmodified form.

Der Unterschied zu den Vorversionen bestand nicht nur in der nominalen Kennzeichnung der Modifikation 3.0, sondern auch in der technologischen Neuerung: So infiziert er in Version 3.0 erstmalig Dateien. Außerdem sucht der Wurm auf dem mobilen Gerät sis-Dateien und hängt sich selbst daran an. Auf diese Weise verbreitet er sich nicht nur über die traditionellen Methoden MMS und Bluetooth. ComWar hat praktisch alle bis zum heutigen Tage möglichen Wege zum Eindringen und Verbreiten mobiler Viren verwirklicht. Alle, außer einem: und dieser Weg wurde Ende August von einem weiteren Wurm aufgezeigt: Mobler.a  Dieser Wurm ist der erste Crossplattform-Übeltäter, der sowohl auf Symbian als auch Windows funktioniert. Er verbreitet sich, indem er sich selbst vom Computer ins Telefon kopiert und umgekehrt. Einmal auf dem PC gestartet, erstellt er auf der Festplatte E:\ (i.d.R. erscheinen die an den PC angeschlossenen mobilen Geräte als Festplatte E:\) seine sis-Datei, die einige Leer-Dateien enthält. Damit überschreibt er eine Reihe von System-Anwendungen des mobilen Geräts. Außerdem enthält die Datei eine Win32-Komponente des Wurms, welche sich auf die Wechsel-Speicherkarte des Telefons kopiert und durch die Datei auotrun.inf ergänzt wird. Wenn man ein derart infiziertes mobiles Gerät an einen PC anschließt und die Speicherkarte des Geräts anspricht, erfolgt ein Autostart des Wurms, und der Computer wird infiziert.

Bisher handelt es sich hierbei nur um einen Konzeptwurm eines unbekannten Autors. Theoretisch kann diese Verbreitungsmethode jedoch zu einer sehr populäre werden und sogar die Verbreitung über MMS ablösen – denn der Rechner speichert in der Regel für den Übeltäter interessantere Daten. Wahrscheinlich sollte Mobler.a aus diesem Grund weniger als neue Methode zum Eindringen in ein mobiles Gerät betrachtet werden, sondern vielmehr als eine neue Richtung für Attacken auf Anwender-PCs.

Acallno

Auf das Sammeln von SMS-Daten ist ein interessanter mobiler Vertreter ausgerichtet – der Trojaner Acallno. Bei Acallno handelt es sich um die kommerzielle Entwicklung einer Firma, das den Nutzer eines konkreten Mobiltelefons ausspionieren soll. Acallno stellt sich auf ein bestimmtes Handy ein - über den IME–Code I (International Mobile Equipment Identity) und funktioniert mittels einfachen Kopierens nicht auf anderen Geräten. Allerdings tarnt er seine Anwesenheit im System. Diese Tatsache in Verbindung mit seiner Spionagefunktion lässt ihn uns als Schadprogramm behandeln. Der Trojaner (Kaspersky Lab klassifiziert ihn als solchen), dubliziert alle empfangenen und verschickten SMS vom Telefon und versendet sie auf eine speziell eingerichtete Nummer.

Wesber

Neben der Möglichkeit, den Inhalt einer SMS zu stehlen, kann mittels SMS auch reales Geld vom mobilen Account eines Abonnenten entwendet werden. In vollem Umfang wurde diese Funktion im neuen J2ME-Trojaner Wesber realisiert. Der Anfang September von Kaspersky-Lab-Experten entdeckte Trojaner ist das zweite uns bekannte Exemplar, das nicht nur auf Smartphone, sondern praktisch auf allen aktuellen mobilen Telefonen funktioniert – dank der Tatsache, dass er für die Java-Plattform (J2ME) geschrieben ist.

Wie schon sein Vorgänger, Trojaner RedBrowser, schickt Wesber.a mehrere SMS an eine kostenpflichtige Nummer. Für jede davon werden vom Account des Abonnenten 2,99 US Dollar abgezogen. Bis vor kurzem war die Registrierungs-Prozedur dieser Premium-Nummern bei den russischen Mobile-Providern sehr einfach, und es wäre ziemlich problematisch gewesen, einem Übeltäter auf die Spuren zu kommen. Gegenwärtig führen die Provider, die aufgrund der wachsenden Anzahl SMS-Erpressungen besorgt sind, Gegenmaßnahmen ein, insbesondere verschärfen sie die Regeln für die Registrierung derartiger Premium-Nummern. (http://mobile-review.com/articles/2006/virus-mobile.shtml) Eigentlich könnte man den Situationsbericht über mobile Viren an dieser Stelle abschließen. Allerdings lässt sich noch über ein weiteres Thema berichten, das nicht direkt mit Mobiltelefonen in Zusammenhang steht, jedoch zweifelsohne zum Sicherheitsproblem drahtloser Geräte und Netze gehört.

WLAN-Würmer – fast Realität

Im August gab Intel eine Erklärung über die Existenz einer ernsthaften Sicherheitslücke in Intel Centrino-Prozessoren ab, die ausgerechnet den Funktionsbereichfür drahtlose Netze betraf. Details der Schwachstelle wurden natürlich nicht öffentlcih gemacht, jedoch wurde bekannt, dass es sich um den "Execute arbitrary code on the target system with kernel-level privileges” handelt. Sofort erschien ein Patch für die Problem-Notebooks.
 
Es gibt mehrere Szenarien zur Vorgehensweise eines solchen WiFi-Wurms, die besser ungenannt bleiben, um die Virenschreiber nicht noch darauf zu stoßen. Im vorliegenden Fall ist jedoch alles ziemlich offensichtlich. Bei der Existenz einer derartigen Sicherheitslücke in Intel Centrino besteht eine gewisse Wahrscheinlichkeit, dass ein Wurm auftaucht, der versucht, im Wirkungsradius der WLAN-Karte von einem Notebook auf ein anderes zu gelangen. Das Arbeitsprinzip ist ziemlich simpel – es genügt, sich an die klassischen Netzwürmer Lovesan, Sasser oder Slammer zu erinnern. Der Wurm entdeckt ein angreifbares Notebook und schickt an dieses einen Exploit. Das Tor ist nun geöffnet, der Wurm kann den Computer infizierten, und von seinem neuen Wirt heraus weitere Rechner angreifen. Die einzige Schwierigkeit dürfte die Suche eines Opfers für die Attacke darstellen, da die Suche einer MAC-Adresse nicht gerade eine triviale Angelegenheit ist und die Variante mit der Auswahl nach IP-Adresse hier nicht zutrifft. Im Übrigen kann der Wurm seine "Nachbarn" am Zugangspunkt jedoch ausgerechnet über die IP-Adresse attackieren. Man sollte auch nicht vergessen, dass ein Vielzahl Notebooks standardmäßig die Suchoption nach WiFi-Punkten eingeschaltet haben.

Im vergangenen Jahr wurden Schadprogramme, die sich über IM-Systeme wie ICQ, MSN und AOL verbreiten, zu einem der größten Probleme der IT-Sicherheit. Der Beginn des Jahres 2005 war durch das Erscheinen einer Vielzahl primitiver IM-Würmer gekennzeichnet. Sie demonstrierten, dass die Versand-Methode von Links auf mit Schadprogrammen infizierten Webseiten fast genauso effektiv ist, wie der Versand von Viren per E-Mail.

Ungeachtet dessen, dass fast alle Internet Messaging Systeme über die Möglichkeit der Datei-Übertragung verfügen, vermeiden die Autoren von IM-Würmern diese Methode zum Eindringen in Systeme jedoch (oder sie sind einfach nicht dazu fähig, diese zu verwenden).

Bis heute ist der Versand eines Links zu einer mit einem Schadprogramm versehenen Webseite die am meisten verbreitete Form einer IM-Attacke. Der Anwender wird mit ziemlicher Sicherheit den Link öffnen, den er von einem Bekannten erhält. Viele Trojaner versenden Links über die Kontakt-Liste des IM-Clients. Dies nutzt das Schadprogramm und dringt in das System ein (über Exploits verschiedener Schwachstellen im Internet Explorer oder über direktes Starten).

Allmählich bildeten sich zwei Richtungen in der Entwicklung und Umsetzung dieser Methode heraus, die mit der Verwendung unterschiedlicher IM-Clients in verschiedenen Ländern der Welt zusammenhängen.

Werden in Europa und den USA IM-Attacken von Viren im Wesentlichen gegen Nutzer von MSN und AOL organisiert, so trifft das in Russland nur auf ICQ-User (und verschiedener alternative ICQ-Clients wie Miranda, Trillian usw.) zu. Außer den Unterschieden bei den attackierten IM-Systeme gibt es eine Spezialisierung nach Schadprogramm-Typen. Im Westen stellen IM-Würmer die Hauptgefahr dar – weit bekannt sind solche Familien wie Kelvir, Bropia, Licat, die AOL und MSN attackieren. Außer der Fähigkeit der Selbstvermehrung sind die meisten IM-Würmer in der Lage, andere Schadprogramme auf dem System zu installieren. Beispielsweise installiert der durch viele Modifikationen gegenwärtig am häufigsten vertretene Wurm Bropia den Backdoor.Win32.Rbot auf den infizierten Computer. Zugleich schließt er ihn an ein "Zombie-Netz" (Botnet) an. Es existieren daneben eine Reihe von Würmern, die den chinesischen IM-Dienst QQ attackieren.

Bei ICQ ist die Situation umgekehrt. Würmer, die sich über ICQ verbreiten können, gibt es äußerst wenig. Stattdessen setzen den russischen Anwendern eihe Vielzahl von Trojanern zu, in erster Linie der bereits bekannte Trojaner-Spion LdPinch. Einige Modifikationen dieses Trojaners verfügen über eine recht interessante Funktion: Gelangen sie auf einen Anwender-PC stehlen sie Daten, die den Autor des Trojaners interessieren und verschicken einen Link an die Kontaktliste des IM-Clients, der auf eine Webseite führt. auf der LdPinch positioniert wurde.

Im dritten Quartal 2006 gab es im russischen Internet Runet mehrere große Epidemien dieser Art, bei denen innerhalb eines Tages Hunderte und Tausende ICQ-Anwender von ihren Bekannten Links auf die schädlichen Dateien erhielten, angeblich Links auf "coole Bilder". Natürlich waren die Bekannten in Wirklichkeit mit diesen Trojanern infiziert und der Versand wurde nicht durch sie persönlich, sondern über ein Schadprogramm auf ihren Computern durchgeführt.

ICQ unternimmt bislang leider noch keine Versuche zum Erstellen eines Filters, der diese Links aus den Nachrichten entfernen könnte. Anders MSN. Microsoft musste nach einigen großen Epidemien von IM-Würmern im vergangenen Jahr den Schritt gehen und sämtliche Links blockieren, die einen Hinweis auf auszuführende Dateien enthalten. Allerdings ist der existierende Filter nach wie vor kein Allheilmittel, da die Übeltäter außer Links auf infizierte Dateien auch Links auf Webseiten verschicken können, die verschiedene Exploits für Browser enthalten, wodurch Nutzer ungepatchter Browser trotzdem infiziert werden können.

Alle diese Beispiele zeigen, dass es gegenwärtig keinen zuverlässigen Schutz vor diesen Verbreitungsmethoden gibt. Hauptproblem ist einmal mehr der "Faktor Mensch": das Vertrauen zu Links, die von vermeintlichen Bekannten kommen, ist sehr hoch, und die Situation erinnert an die Anfangszeit der E-Mail-Würmer, als die Anwender ohne zu überlegen sämtliche Dateien, die über E-Mail eingingen, öffneten. Jetzt öffnen die User mit gleichen Erfolg über IM eintreffende Links. Unsere Empfehlung von vor anderthalb Jahren bleibt aktuell: wir raten System-Administratoren und Spezialisten im Bereich IT-Sicherheit der Bedrohung durch IM-Clients maximale Aufmerksamkeit zu schenken. Nach Möglichkeit sollten in die Unternehmens-Sicherheits-Policy entsprechende Regeln hinzugefügt werden, die die Verwendung dieser Programme untersagt und der gesamte eingehende http-Traffic überprüft werden.

Den kompletten Bericht finden Sie unter www.viruslist.com/de/

[Quelle: Kaspersky Lab]

Themengebiete
Themenverwandte Artikel
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.