Ein intErnEt, viele Welten

Transcription

Ein intErnEt, viele Welten
FEBRUAR 2008
Global Threat Report
Point Global sur les Menaces
Analyse Globaler Sicherheitsbedrohungen
Rapporto Globale sulle Minacce
Análisis de Amenazas Globales
Jg. 2 • Ausgabe 1
Sicherheitsvision von McAfee® Avert® Labs
Ein Internet,
viele Welten
gtr | Februar 2008
Inhalt
WILLKOMMEN
Wie wäre es mit einer
Reise um die Welt?
Ein Internet, viele Welten
S. 2
S. 6
S. 10
S. 16
Die immer stärkere Verbreitung von
Breitbandverbindungen führt zu einer Zunahme
von landesspezifischen Malware-Angriffen.
Japan: Malware verbreitet sich
von Peer zu Peer
Das beliebte Netzwerk Winny ist für seine
Anfälligkeit für Infektionen bekannt.
CHINA: Die Bedrohungsvielfalt
im Reich der Mitte
Online-Spiele haben einen riesigen Markt
geschaffen, der von Malware-Autoren ausgenutzt
werden kann.
RUSSLAND: Die Wirtschaft
und nicht die Mafia treibt
Malware voran
Exploits im Sonderangebot sind nur ein Teil dieser
großen Produktpalette.
S. 22
S. 28
S. 32
DEUTSCHLAND: Malware lernt
die Sprache
Weltmeisterschafts-Phishing und „von der
Regierung unterstützte“ Phishing-Versuche.
Brasilien: Zechprellerei bei
der Bank
Kunden-Phishing ist im Land des Samba sehr
beliebt.
USA: Der grosse MalwareSchmelztiegel
HERAUSGEBER
Dan Sommer
BEITRAGENDE
Patricia Ammirabile
Christopher Bolin Pedro Bueno
Toralv Dirro Jeff Green
Shinsuke Honjo
ABBILDUNGEN
Carrie English
Von Jeff Green
Dirk Kollberg
Yichong Lin
Dr. Igor Muttik
Allysa Myers
Geok Meng Ong
Joe Telafici
Danksagung
Der Herausgeber dieser Ausgabe möchten den Menschen danken, die
diese Ausgabe möglich gemacht haben. Es haben zu viele zu dieser
Ausgabe beigetragen, um sie alle nennen zu können. Wir möchten
jedoch die leitenden Manager und Führungskräfte bei McAfee, Inc. und
McAfee Avert Labs nennen, die uns unterstützt haben: unser Review
Board – Zheng Bu, Hiep Dang, Dmitry Gryaznov, David Marcus, Igor
Muttik und Joe Telafici; unsere Rechercheure und ihre Manager und
Teamkollegen, die sie mit Ideen und Hinweisen unterstützt haben; die
Marktkenner Gloria Kreitman, Wilkin Ho und Mary Karlton; den PRExperten Joris Evers, sein internationales Team und Red Consultancy
Ltd.; unsere Produktionsfirma, Sic 'Em Advertising, Inc.; Julia Cohn
und ihre Kollegen bei RR Donnelley, unser Drucker; und Derrick Healy
und sein Team in unserem Lokalisierungsbüro in Cork, Irland, das diese
Publikation in viele Sprachen übersetzt hat. Herzlichen Dank an alle,
ohne deren Hilfe wir das nicht geschafft hätten!
an Sommer
D
Herausgeber
Die Amerikaner leiden nicht vorwiegend unter
einem Exploit-Typ, sondern mehr oder weniger.
Bei Kommentaren wenden Sie sich bitte an Sage-feedback@McAfee.com.
S. 36
S. 37
Statistiken
Das letzte Wort
Der Technische Direktor von McAfee rekapituliert
das globale Jahr.
gtr | Februar 2008
Sicherheitsvision von McAfee® Avert® Labs • Jg. 2 • Ausgabe 1
McAfee, Inc. 3965 Freedom Circle, Santa Clara, CA 95054, USA, 888.847.8766, www.mcafee.com
Copyright © 2008 McAfee, Inc. Diese Publikation darf in keiner Form und in keiner Weise ohne die
schriftliche Genehmigung von McAfee, Inc. reproduziert werden.
Die in diesem Dokument enthaltenen Informationen dienen lediglich Informationszwecken und
stellen einen Service für Kunden von McAfee dar. Die hierin enthaltenen Informationen können
ohne Vorankündigung geändert werden und werden „wie gesehen“ ohne Gewähr bezüglich ihrer
Richtigkeit oder Anwendbarkeit in einer bestimmten Situation zur Verfügung gestellt.
McAfee, Avert und Avert Labs sind Marken oder eingetragene Marken von McAfee, Inc. in den USA
und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer.
Das Windows Vista-Logo ist Eigentum der Microsoft Corporation. GTR ist eine Publikation von McAfee
und steht in keiner Weise mit der Microsoft Corporation in Zusammenhang.
McAfee® Avert® Labs ist stolz, die dritte Ausgabe des
Sicherheitsjournals Analyse globaler Sicherheitsbedrohungen (GTR)
zu veröffentlichen. Wir hoffen, dass Sie sie interessant und spannend
finden. Sie möchten wissen, welches Ziel diese Analyse globaler
Sicherheitsbedrohungen hat? Ganz einfach gesagt möchten wir
mit dieser Publikation erreichen, dass Sie nach dem „Warum“ fragen.
In der ersten Ausgabe haben wir die Vorteile und Nachteile
des Open-Source-Modells und dessen Auswirkung auf Malware
beschrieben. In der zweiten Ausgabe haben wir uns Gedanken über die
Zukunft der Sicherheit gemacht. Ist Microsoft Windows Vista sicherer
als XP? Welche Sicherheitsfragen stellen sich im Zusammenhang
mit der RFID-Technologie (Radio Frequency Identification,
Funkfrequenz-ID)? Werden Mobiltelefone zukünftig das Ziel von
Spyware bilden? Wir haben diese und viele andere Fragen gestellt
und beantwortet und damit Zustimmung, Verärgerung und in einigen
Fällen sogar ein wenig Feindseligkeit geerntet. Unabhängig davon hat
die Analyse globaler Sicherheitsbedrohungen ihr Ziel erreicht
– Menschen dazu zu bringen, in Bezug auf Computersicherheit
keine Scheuklappen zuzulassen. (Die vorherigen Ausgaben der
Analyse globaler Sicherheitsbedrohungen finden Sie auf den
Whitepaper-Seiten des McAfee Threat Center.)
Die Gründe und Motivationen für das Schreiben von Malware
haben sich in den letzten Jahren erheblich geändert. Das Internet ist
heute noch größer und vielfältiger als je zuvor. Genau wie in einer
Großstadt gibt es gute und schlechte Viertel, die die zahlreichen
Kulturen in der Welt widerspiegeln. Malware hat – ebenso wie das
Internet selbst – einen erheblichen Wandel erfahren. Und das nicht
nur in Bezug auf die Gründe für die Erstellung, sondern auch in Bezug
auf die Herkunft und Identität der Autoren. Im vergangenen Jahr gab
es zum einen die Diskussion über den Cyber-Krieg (in Estland) und
zum anderen das Wachstum einer Community globaler Benutzer, die
bisher keinen Zugang zum Internet hatten. In Anbetracht solcher
neuen Entwicklungen gab es Veränderungen dabei, wo Malware
geschrieben wurde und an welche Zielgruppen sie gerichtet ist.
http://www.mcafee.com/us/threat_center/white_paper.html
Den Eckpfeiler von Avert Labs bildet unser weltweites Team von
Sicherheitsforschern. Deren verschiedene Sichtweisen und Kulturen
ermöglichen McAfee ein globales Verständnis von Malware
und Bedrohungen vom ersten Tag eines Ausbruchs an. In dieser
Ausgabe der Analyse globaler Sicherheitsbedrohungen vermitteln
einige der erfahrensten Avert Labs-Forscher ihre Gedanken zur
Globalisierung von Bedrohungen und Malware. In dieser Ausgabe
reisen wir von Ost nach West: Unsere länderspezifischen Artikel
beginnen in Japan und nehmen den Weg durch China, Russland,
Deutschland, Brasilien und schließlich die USA. In jedem Land
betrachten wir das jeweilige Bedrohungsszenario und besprechen
die Arten von Malware und Social Engineering, die in diesen
Kulturen besonders effektiv sind.
Wir hoffen, dass Sie Spaß an unserer Reise mit den Experten von
McAfee Avert Labs haben und freuen uns über Ihr Feedback unter
Sage-feedback@mcafee.com.
Jeff Green ist Senior Vice President bei
McAfee Avert Labs und im Bereich der
Produktentwicklung. Er trägt weltweit
Verantwortung für den gesamten
Forschungsbereich von McAfee in
Amerika, Europa und Asien und leitet
die Forscherteams, die sich auf Viren,
Hacker und gezielte Angriffe, Spyware, Spam, Phishing, Schwachstellen und
Patches sowie Host- und Netzwerkeindringungstechnologie spezialisiert haben.
Green leitet außerdem die langfristige Sicherheitsforschung, um sicherzustellen,
dass McAfee den entstehenden Bedrohungen immer einen Schritt voraus bleibt.
gtr | Februar 2008
gtr | Februar 2008
Ein Internet,
viele Welten
Von Joe Telafici
V
or einigen Jahren kam ich zu der Erkenntnis, dass es sinnlos ist, den Ursprung
oder das Ziel von Malware-Angriffen nachzuverfolgen – die Erkenntnisse waren
lediglich für Marketingzwecke interessant und hatten keinerlei Wert für Vorhersagen
oder Vorsorgemaßnahmen. Diese Auffassung wurde durch einige (damals) recht aktuelle
Tatsachen gestützt:
• Massen-Mailing-Würmer (insbesondere W32/SQLSlammer.
worm) hatten bewiesen, dass praktisch das gesamte Internet
innerhalb von Minuten infiziert werden konnte.
• Malware-Autoren versuchten, die Ermittlungen von
Strafverfolgungsbehörden zu erschweren, indem sie aus der
Malware jegliche hilfreiche Hinweise über deren Ursprung entfernten.
• Die Hauptmotivation für Malware-Autoren war zu diesem
Zeitpunkt ein gestärktes Ego – je mehr infizierte Computer,
desto berühmter.
Dies steht im starken Gegensatz zur Situation Mitte der 1990er
Jahre, als Bedrohungen von einem Teil der Welt ausgingen und erst
innerhalb von Wochen in andere Teile gelangten. Außerdem enthielt
die Bedrohung meist Zeichenfolgen oder Ressourcen, die sehr
deutlich auf das Ursprungsland und die Absicht des Autors zeigten.
In den Jahren 2002 bis 2004 wurden Bedrohungen wie Klez,
Bugbear, SQLSlammer, Blaster, Sobig, Nachi, MyDoom, Netsky
und Bagle zu globalen Phänomenen, die praktisch den gesamten
Planeten innerhalb von Minuten bis wenigen Stunden trafen. Eine
Zeit lang schien es, dass die weltweite Quasi-Monopolstellung von
Microsoft Windows als Plattform, die weltweit explosionsartige
Zunahme von Breitbandverbindungen, die Einfachheit, mit
der Schwachstellen gefunden wurden und der Einsatz von
Social-Engineering-Techniken dafür sorgen würden, dass kein
Internetbenutzer längere Zeit vor Bedrohungen sicher sein könnte.
Copyright © 2008 McAfee, Inc.
gtr | Februar 2008
In dieser Zeit der intensiven Malware-Replizierung entwickelte
sich ein Trend, der – offen gesagt – anfangs von der gesamten
Antivirus-Community übersehen wurde. Wir haben dieses Phänomen
in der vorherigen Ausgabe, „Die Zukunft der Cyber-Kriminalität“,
beschrieben. Im Jahr 2004 gab es eine explosionsartige Zunahme
neuer Malware, die zwar zahlreicher, aber nicht so vielfältig wie
bisherige Malware war. Bots, Kennwortdiebe und andere statische
Malware tauchten in alarmierenden Mengen auf. Im Unterschied
zu den sich replizierenden Viren, die für den letzten Ausbruch der
von mir gern als „digitale Graffiti-Phase“ bezeichneten Phase der
Malware-Entwicklung typisch waren, erreichten diese Bedrohungen
aus den verschiedensten Gründen sehr selten globale Ausmaße. Der
Hauptgrund bestand darin, dass die Malware-Autoren kein Interesse
an der Aufmerksamkeit hatten, wie sie die Virenautoren von Netsky
und Sasser von Seiten der Strafverfolgungsbehörden erhielten.
Ob nun als Nebenwirkung, Symptom oder Ursache dieses langsamen
Paradigmenwechsels – aus den folgenden Gründen ist Malware in
den letzten zwei bis drei Jahren regionaler bzw. lokal angepasster
geworden:
• Um Malware zu verbreiten und Benutzer auf böswillige Sites
und Phishing-Sites zu locken oder von gehosteter Malware zu
überzeugen, sind heute verbesserte Social-Engineering-Techniken
erforderlich. Wenn vorsichtige Computerbenutzer von der Echtheit
überzeugt werden sollen, sind die unglaublichen Schreibfehler von
Nichtmuttersprachlern einfach zu offensichtlich.
• Schwachstellen werden heute häufiger in exotischer Software
gefunden, darunter auch einige lokalisierte Software wie das
in Japan bekannte Textverarbeitungspaket Ichitaro. Ursache
hierfür ist die Zunahme von Prämien für Schwachstellen, die von
Sicherheitsanbietern und Angreifern ausgeschrieben werden.
• Malware-Autoren zeigen ein verstärktes Interesse daran, die
Quellen für die Angriffe auf Länder zu beschränken, in denen die
Justiz wahrscheinlich weniger streng vorgeht.
• Malware-Autoren greifen gern Nischenmärkte an – wahlweise, um
bestimmte Ressourcen auszunutzen oder um die Justiz zu meiden.
In dieser Ausgabe werden Sie einige Beispiele für diese landes-,
sprachen-, firmen- oder softwarespezifischen Angriffe kennen lernen.
Obwohl wir die Motivationen der Malware-Autoren beim Auswählen
der Angriffsziele nicht ignorieren können, finden diese Aktivitäten
in einer globalen Umgebung statt. Und diese Umgebung gestaltet
sich ganz anders als noch vor wenigen Jahren. Politische,
wirtschaftliche und soziale Kräfte bilden den Rahmen und haben zu
einer Schattenwirtschaft und einem Markt mit noch nie gesehener
Vielseitigkeit, Verbreitung und Bedeutung beigetragen.
„Analyse globaler Sicherheitsbedrohungen“, April 2007. http://www.mcafee.com/us/threat_center/white_paper.html
Copyright © 2008 McAfee, Inc.
gtr | Februar 2008
Einer der wichtigsten Faktoren, die die Möglichkeiten für Angreifer
verbessern, ist die weltweit zunehmende Verbreitung von
Breitbandverbindungen. Bei Computern, die rund um die Uhr
über Breitbandanschluss mit dem Internet verbunden sind, ist die
Möglichkeit, Systeme in Echtzeit anzugreifen und nicht genutzte
Bandbreiten kompromittierter Computer für weitere Angriffe zu nutzen,
einfach zu verlockend, um sie ignorieren zu können. Die Verbreitung
von Breitbandanschlüssen ist weltweit jedoch sehr unterschiedlich – sie
liegt bei fast 90 Prozent in Südkorea, etwa 50 Prozent in den USA und
erheblich weniger in einigen Entwicklungsländern.
Denjenigen, die aus Cyber-Kriminalität Kapital schlagen wollen,
erleichtert ein weiterer Faktor das Geschäft: die Ausweitung der
Rolle des Computers in der heutigen modernen Gesellschaft. Von
der erstaunlichen Zunahme der Mobiltelefonnutzung (mehr als
20 Prozent jährlich, mit schätzungsweise mehr als 3 Milliarden
Mobilfunknutzern im Jahr 2010) bis zur Verwendung von OnlineBanking, Online-Spielen und E-Business im Allgemeinen – es
gibt eine Unmenge an Geld, Möglichkeiten und Ziele, sodass die
Skrupellosen immer ein lohnendes Ziel finden werden. Doch der
Technologiesturm bewegt sich in den verschiedenen Teilen der
Welt mit unterschiedlicher Geschwindigkeit vorwärts. So ist die
Mobiltechnologie in Asien dem Rest der Welt um einige Schritte
voraus, während Online-Banking in Brasilien am verbreitetsten ist
und Online-Spiele in China eine Heimindustrie darstellen.
Zu einem gewissen Teil ist Cyber-Kriminalität die natürliche
Erweiterung eines der wahrscheinlich ältesten Gewerbe der Welt:
Diebstahl. Wir können jedoch die wirtschaftliche Realität in vielen
Teilen der Welt nicht ignorieren, die dafür sorgt, dass dies eine
attraktive Möglichkeit ist. Besonders in Osteuropa, wo während des
Kalten Krieges die technischen Fähigkeiten umfassend ausgebildet
wurden und gleichzeitig wirtschaftliche Möglichkeiten fehlten, und in
Asien, wo das Bevölkerungswachstum die Wirtschaftsleistung an die
Grenzen getrieben hat, steigt die Motivation, sich mit fragwürdigen oder
illegalen Optionen zu befassen. Wie sagte doch einst ein ehemaliger
Virenautor zu mir: „Ich musste doch meine Familie ernähren.“
Wie sagte doch einst ein ehemaliger
Virenautor zu mir: „Ich musste doch
meine Familie ernähren.“
Und es müssen nicht zwingend immer Kriminelle sein. Wie ein kürzlich
erfolgter und immer noch laufender verteilter Denial-of-Service-Angriff
auf die Infrastruktur Estlands zeigt, haben politische „Hacktivisten“
(engl.: Hacktivists) möglicherweise ein steigendes Interesse am
Internet – als Schlachtfeld oder möglichen Kriegsschauplatz. Ob
Regierungs- oder Militärorganisationen ein ähnliches Interesse haben?
Bisher bleibt dies eine Vermutung, wenn auch eine nahe liegende.
In Anbetracht der Vielfalt der Rollen, Motivationen und Vorteile der
Cyber-Kriminellen von heute spielt die Reaktion der Gesellschaft
eine entscheidende Rolle dabei, wie Recht und Ordnung im
„wilden Westen“ des Internets aufrecht erhalten werden können.
Es ist sehr deutlich geworden, dass die menschliche Gesellschaft
sehr unterschiedlich auf Cyber-Kriminalität vorbereitet ist und
auf diese reagiert. Wir bei McAfee® Avert® Labs arbeiten mit
Strafverfolgungsbehörden in zahlreichen Ländern aus aller
Welt zusammen. Für uns ist offensichtlich, dass die juristischen,
finanziellen und technischen Möglichkeiten der Ordnungshüter
in den verschiedenen Teilen der Welt sich wie Tag und Nacht
unterscheiden können. Da Angriffe selten innerhalb eines inzelnen
Landes begonnen, durchgeführt und abgeschlossen werden,
können wir Malware-Autoren und Cracker aufgrund dieser
Situation selbst dann nur mit Mühe behindern oder stoppen,
wenn die Beteiligten sehr gut bekannt sind. Diese mangelhafte
internationale Koordination ist einer der Hauptgründe dafür,
warum Cyber-Kriminalität heute als risikoarm gilt.
Artikel lehrreich und informativ sind und zum Nachdenken anregen.
Die Herausforderungen gestalten sich in der heutigen vernetzten
Welt in jedem Land anders – und ihre Auswirkungen kennen
keine Ländergrenzen.
Joe Telafici ist Vice President of
Operations bei McAfee Avert Labs.
Er ist verantwortlicher Manager
für Forscher in 16 Ländern auf fünf Kontinenten. Telafici kann auf mehr
als 10 Jahre Erfahrung mit Sicherheitsprodukten für Privatanwender
und Unternehmen bei Symantec, CyberMedia, Tripwire und McAfee
zurückblicken und ist für die Koordinierung der Reaktion von McAfee auf
Politische „Hacktivisten“
haben möglicherweise ein
steigendes Interesse am Internet
– als Schlachtfeld oder möglichen
Kriegsschauplatz.
globale Sicherheitsbedrohungen sowie für die tägliche Herstellung von
Sicherheitsinhalten, Kundensupport-Tools und für die Forschung an den
Bedrohungen und der Technologie von morgen verantwortlich. Er hat den USamerikanischen Kongress über Technologiefragen informiert, wird regelmäßig
in der Presse zu Virus- und Spyware-bezogenen Fragen zitiert und hat bei
Virus Bulletin Artikel veröffentlicht. Joe Telafici stammt aus New Jersey und
vermisst zwar seine Heimat, möchte aber auf keinen Fall auf die wundervolle
Auf den folgenden Seiten erfahren Sie Interessantes von einigen
der kompetentesten Forscher, die in dem Land leben, über das sie
schreiben, oder enge Beziehungen dazu haben. Ich hoffe, dass die
Gelegenheit verzichten, bei McAfee in Beaverton, Oregon zu arbeiten.
gtr | Februar 2008
gtr | Februar 2008
JAPAN:
Malware verbreitet sich
von Peer zu Peer
J
apan sieht sich vielen Gefahren gegenüber, die auch in anderen Ländern allgegenwärtig sind.
Dazu gehören Bot-Netze, Kennwortdiebe, allgemeine Exploits und Massen-Mailing-Würmer.
Es gibt jedoch einen Malware-Typ, der speziell Anwendungen und Netzwerke in Japan zum Ziel
hat. In diesem Artikel gehen wir auf die für Japan typische Malware-Kultur ein.
Netzwerkbedrohungen
Von Shinsuke Honjo
Verhöhnung der Opfer
Winny ist eine der beliebtesten P2P-Netzwerkanwendungen (Peer-toPeer) in Japan. Sie ist für ihre Schwachstellen gegenüber MalwareInfektionen bekannt, die schwerwiegende Datenkompromittierungen
zur Folge haben. Außerdem ist sie für das Verleiten zu Urheberrechtsverletzungen berüchtigt. Das weiterhin steigende Medieninteresse in
Bezug auf Zwischenfälle mit Winny facht die Debatte über das Für
und Wider von P2P-Anwendungen an.
Winny
Winny wurde 2002 von Isamu Kaneko entwickelt, einem
wissenschaftlichen Mitarbeiter für Computertechnik an der
Universität von Tokio. Sein Ziel war es, ein P2P-Netzwerk mit
effektivem Dateiaustausch und einem anonymen Kommunikationskanal zu erreichen. Aufgrund dieser Anonymität gilt Winny als
perfektes Mittel zum Austausch illegaler digitaler Inhalte und ist
eine der am häufigsten verwendeten kostenlosen Anwendungen
in Japan. Eine Studie zeigte im Zeitraum zwischen Dezember 2006
und Januar 2007 täglich 290.000 bis 450.000 Benutzer.
Im Jahr 2004 wurde Kaneko von der Polizei von Kyoto unter dem
Verdacht der Beihilfe zu Urheberrechtsverletzungen festgenommen.
Im Dezember 2006 wurde er schuldig gesprochen und zur Zahlung
von 1,5 Millionen Yen (etwa 13.136 US-Dollar) verurteilt. Seine
Berufung beim Obersten Gerichtshof in Osaka steht noch aus.
P2P-Malware
Mit der zunehmenden Verbreitung von Winny steigt auch die Zahl
der Malware, die auf P2P-Benutzer spezialisiert ist. Am häufigsten
verbreitet sich W32/Antinny.worm über Winny. Dieser versucht,
die Dateien auf dem befallenen Rechner im Netzwerk freizugeben.
Aktuelle Varianten dieses Wurms verbreiten sich auch über andere
P2P-Netzwerke, z. B. Share.
Trojaner können über das Netzwerk heruntergeladen werden.
Die Trojaner-Familie Del-500 löscht alle potenziell illegalen Dateien
vom befallenen Rechner, z. B. Bilder sowie Musik- und Videodateien.
Einige Varianten zeigen das Bild in Abbildung 1, um die betroffenen
Winny-Benutzer zu verhöhnen.
Abbildung 1: Der japanische Text lautet: „Obwohl Herr Kaneko schuldig
gesprochen wurde, verwenden Sie Winny immer noch. Ich verabscheue
solche Menschen zutiefst.“
Datenkompromittierungen nehmen zu
Dateien freigebende Malware trifft die Betroffenen schwer, indem sie
anderen Benutzern im P2P-Netzwerk vertrauliche oder persönliche
Dateien zugänglich macht. In den letzten vier Jahren gab es zahlreiche
Presseberichte zu solchen Datenkompromittierungen. Abbildung 2
zeigt die Anzahl der in den Medien erwähnten Zwischenfälle, die
auf einer Website in japanischer Sprache aufgeführt sind. Die Anzahl
der Vorfälle ist im Jahr 2006 dramatisch gestiegen.
Datenkompromittierung nimmt rasant zu
300
250
200
150
100
50
0
2004
2005
2006
2007
Abbildung 2: Die Anzahl der in den Medien erwähnten Vorfälle von
Datenkompromittierungen durch P2P-Malware ist zwischen 2005 und
2006 um das mehr als sechsfache gestiegen.
„Winny“, Wikipedia. http://en.wikipedia.org/wiki/Winny
„Änderungen in der Anzahl der Winny-Knoten“ (in japanischer Sprache), One Point Wall.
http://www.onepointwall.jp/winny/winny-node.html
Copyright © 2008 McAfee, Inc.
„Winny – Kompromittierung persönlicher Daten“ (in japanischer Sprache), Winny Crisis.
http://www.geocities.jp/winny_crisis/
gtr | Februar 2008
gtr | Februar 2008
Die folgende Liste führt die schwerwiegendsten bekannten Vorfälle
von P2P-Datenkompromittierung auf.
Datum
Opfer
Betroffene Daten
2005
Dezember Der Geschäftspartner eines
Atomkraftwerks
3.000 Dateien des AKW
2006
Februar
Japanische Meeresselbstverteidigungsstreitkräfte
(JMSDF)
Rufzeichen der JMSDF-Flotten,
Musterungslisten, Signalbücher,
Zufallszahlenliste
Februar
Justizministerium
10.000 Dateien, einschließlich
persönlicher Daten von Häftlingen
März
Polizei von Okayama
Persönliche Daten von 1.500 Opfern
und Verdächtigen
März
Genossenschaftsbank
Daten von 13.619 Kunden
April
Zeitungsverlag
Daten von 65.690 Kunden
Mai
Japanische Bodenselbstverteidigungsstreitkräfte
(JGSDF)
Dokumente zu Land-See-Lenkraketen
Mai
Telekommunikationsfirmen
Daten zu 8.990 Kunden und
1.800 Unternehmensdateien
Juni
Kabelfernsehunternehmen
Daten von 15.400 Kunden
November Krankenhaus
Daten von 264.700 Patienten
2007
Februar
Polizei von Yamanashi
610 Dateien zu Ermittlungen
Juni
Polizei von Tokio
10.000 Ermittlungsdokumente,
einschließlich Daten zu Opfern
von Sexualstraftaten
Juni
Schullehrer in Chiba
Daten von 269 Schülern
August
Hotel
Daten von 19.700 Kunden
Die Medienberichte helfen beim Aufdecken von Sicherheitslücken,
haben aber auch negative Effekte für die Opfer: Bevor die Presse am
22. Februar 2006 über den JMSDF-Fall berichtete, hatten gerade
einmal 14 Benutzer pro Tag die zugänglich gemachten Dateien
heruntergeladen. Nach dem Bericht stieg die Anzahl der Downloads
am 23. Februar auf 627 und am 24. Februar auf 1.188. Bis zum
2. März hatten 3.433 Benutzer die Dateien heruntergeladen.
Das Problem wurde zusätzlich dadurch verschärft, dass die
herunterladenden Benutzer ohne ausreichende Sicherheitsprodukte
selbst zu potenziellen Opfern der Malware wurden. Einige
Angestellte wurden abgemahnt oder entlassen. Im schlimmsten Fall
hatte ein Opfer Selbstmord begangen. Diese Benutzer infizierten
nicht nur ihre eigenen Systeme mit der Malware und verbreiteten
die Dateien im Netzwerk, sondern machten auch die Daten anderer
sorgloser P2P-Benutzer zugänglich. Private Bilder, Filme und E-Mails
wurden so dem öffentlichen Interesse freigegeben.
Reaktion der Behörden
Einige Zwischenfälle mit Winny führten zu politischen
und diplomatischen Schwierigkeiten. Nach zahlreichen
Vorfällen bei der JSDF (Japan Self-Defense Forces, Japanische
Selbstverteidigungsstreitkräfte) wies der Premierminister die
zuständigen Ministerien an, eine Wiederholung auszuschließen.
Im Jahr 2006 forderte der Kabinettsminister, dass die Bevölkerung
Winny nicht mehr benutzen solle. Verbündete Staaten Japans
mit gemeinsamen militärischen Geheimnissen wurden beunruhigt,
als Daten zum Marinekampfsystem Aegis vom Computer der Ehefrau
eines Marineoffiziers veröffentlicht wurden. Die Sicherheitsmängel im
Datenmanagement der JSDF sind ein dringliches Problem. Als eine der
Folgen stellte die USA laut Medienberichten im August 2007 aufgrund
der Vorfälle von Datenkompromittierung zeitweilig die Lieferung von
Bauteilen für Aegis-Zerstörer ein, die der Geheimhaltung unterlagen.
Motivation
Es steht außer Frage, dass diese Malware-Autoren kein finanzielles
Interesse haben, da ihre Malware die Dateien auf den betroffenen
Rechnern lediglich kompromittiert oder löscht. Die Malware verfügt
auch über keine zeitgemäßen Selbstschutzmaßnahmen. Im Gegenteil ist
dieser Malware-Typ zu einfach aufgebaut, um dem Autor Ansehen oder
Anerkennung zu verschaffen. Möglicherweise hat diese Malware-Klasse
diejenigen P2P-Benutzer zum Ziel, die Urheberrechtsverletzungen
begehen. Allerdings haben einige Varianten von W32/Antinny
DoS-Angriffe (Denial of Service) auf die Website der Japanischen
Gesellschaft für den Urheberrechtsschutz von Computersoftware
(Japanese Association of Copyright for Computer Software)
durchgeführt. Diese Organisation bemüht sich um den Schutz von
Software-Urheberrechten. Daher kann über die Gründe der MalwareAutoren nur spekuliert werden, weshalb auch nicht ausgeschlossen
werden kann, dass es sich lediglich um reine Neugier handelt.
Gegenmaßnahmen
Etwa 30 Prozent der P2P-Benutzer verwenden ihre P2P-Computer
einer Studie zufolge für geschäftliche Zwecke. Diese Tatsache ist
IT-Managern schon seit langem bekannt. Nach diesen Vorfällen
der Datenkompromittierung haben zahlreiche Unternehmen
ihre Sicherheitsbestimmungen dahingehend geändert, dass
Angestellte ihre privaten Computer nicht mehr ins Büro mitnehmen
dürfen. Eine der effektivsten Maßnahmen, um die Verwendung
privater (und ungesicherter) Computer im geschäftlichen Alltag
zu verhindern, ist die Bereitstellung einer ausreichenden Anzahl
von Computern für Angestellte. Daher kaufte beispielsweise
das Verteidigungsministerium im Jahr 2006 für 4 Milliarden Yen
(35 Millionen US-Dollar) 56.000 Computer für seine Angestellten.
Viele Unternehmen haben Tools eingeführt, mit denen die Computer
der Angestellten überwacht und die Installation nicht genehmigter
Software (einschließlich P2P-Anwendungen) verhindert werden soll.
Gezielte Angriffe
Gezielte Angriffe gegen Firmen und Behörden bilden eine weitere
große Malware-Bedrohung in Japan. Bei diesen Angriffen erhalten
die Betroffenen E-Mails mit Anlagen, die Schwachstellen in lokal
installierten Anwendungen ausnutzen.
Die Malware öffnet zudem eine nicht infizierte Ichitaro-Datei, die
ebenfalls eingebettet ist, weshalb die Benutzer kein verdächtiges
Verhalten erkennen können. Im Jahr 2006 gab es zwei ZeroDay-Angriffe gegen Ichitaro, und zwei weitere im Jahr 2007.
In allen Fällen wurde der Schaden durch Backdoor-Trojaner
verursacht. Diese Angriffe werden vom Diebstahl von Daten
dieser Unternehmen und Regierungsorganisationen motiviert,
da durch diese Hintertüren betroffene Computer gesteuert und
Tastatureingaben aufgezeichnet werden können.
Kostenlose Software und Office
Seit kurzem beobachten wir Zero-Day-Angriffe, die die lokal
installierten kostenlosen Dekomprimierungsprogramme Lhaca
und lhaz zum Ziel haben. Diese Tools sind zwar nicht so beliebt
wie kommerzielle Anwendungen, andererseits scheint es
den Angreifern nicht auf die Anzahl der potenziellen Opfer
anzukommen. Sie suchen sich alle Anwendungen oder Tools aus,
die sie ausnutzen können.
Microsoft Office ist ebenfalls gezielten Angriffen ausgesetzt:
Wir haben bereits E-Mails mit japanischen Betreffs, Texten und
Anlagen mit japanischen Dateinamen und Texten beobachtet. Die
Zeiten, als sich weltweit verbreitende E-Mail-Malware nicht ins
Japanische lokalisiert wurde, sind längst vorbei.
Wie weit sind die Angriffe verbreitet?
Diese manipulierten Dokumente sind nicht so weit verbreitet
wie andere Malware-Typen. Nach den Erkenntnissen des JPCERT
(Japan Computer Emergency Response Team, Reaktionsteam für
Computernotfälle in Japan) haben 6,5 Prozent aller Unternehmen
gefälschte E-Mails mit Anhängen erhalten, die von einem
Geschäftspartner zu stammen scheinen. Außerdem haben acht
Firmen eines der mit Malware infizierten Word-Dokumente
erhalten, die laut Medienberichten auch an die Regierung gesendet
wurden. Einige der Betroffenen sind sich über die Infektion
möglicherweise überhaupt nicht im Klaren. Der Bericht besagt
außerdem, dass 25 Prozent der Unternehmen keine Informationen
darüber haben, ob sie jemals gefälschte E-Mails erhalten haben.
Ein häufiges Malware-Ziel in Japan ist die Textverarbeitung Ichitaro,
die vor allem in öffentlichen Einrichtungen sehr beliebt ist. Wenn
Benutzer ein entsprechend manipuliertes Ichitaro-Dokument öffnen,
wird der darin eingebettete Trojaner ausgeführt.
„Umfrage zur Verwendung von P2P-Anwendungen durch Geschäftsbenutzer“ (in
japanischer Sprache), NetSecurity. https://www.netsecurity.ne.jp/3_6308.html
„Gezielte Angriffe“ (in japanischer Sprache), JPCERT/CC. http://www.jpcert.or.jp/research/2007/tar-geted_attack.pdf
„Pressemitteilung: 3. Mai 2006“ (in japanischer Sprache), One Point Wall. http://www.onepointwall.jp/press/20060303.txt
„Schullehrer, der Daten durch Winny kompromittiert hat, begeht Selbstmord“ (in japanischer Sprache), ITMedia. http://www.itmedia.co.jp/news/articles/0706/08/news086.html
Copyright © 2008 McAfee, Inc.
Ablegen von Trojanern
McAfee® Avert® Labs wurden in den letzten zwei Jahren mehr als
40 Proben von identifizierten gezielten Angriffen auf japanische
Kunden zugeschickt. Nur wenige dieser Trojaner wurden von
manipulierten OLE-Dokumenten oder gefälschten Word-Dateien
abgelegt. Die meisten konnten wir als BackDoor-CKB, BackDoor-DKI,
BackDoor-DJD und BackDoor-CUX identifizieren. Uns liegen zwar nicht
genügend stichhaltige Beweise vor, wir vermuten jedoch, dass diese
Angriffe von nur wenigen Malware-Autoren stammen.
Fazit
Die wachsende Anzahl von Bedrohungen gegen Winny und
andere P2P-Netzwerke hat das Sicherheitsbewusstsein der
Benutzer gesteigert. Einige Firmen beschränken sich jedoch
darauf, die Datenkompromittierung über P2P-Netzwerke
lediglich oberflächlich zu behandeln. Japanische Unternehmen
und Behörden müssten sich aber deutlich umfassender um diese
Bedrohung kümmern und klare Richtlinien schaffen, die sie strikt
durchsetzen, um den P2P-Schwachstellen ein Ende zu bereiten.
Die gezielten Angriffe nutzen nicht nur Schwachstellen aus. Es wird
versucht, ausführbare Dateien mit dem Microsoft Word-Symbol
und langen Dateinamen mit zahlreichen Leerzeichen vor der EXEErweiterung zu tarnen. Wenn Benutzer die gefälschte Word-Datei
öffnen, wird wie beim zuvor erwähnten Ichitaro der Trojaner
ausgeführt und eine nicht infizierte Word-Datei geöffnet.
Woher stammen die gefälschten Nachrichten? Es liegen nicht
genügend Beweise vor, um diese Frage zu beantworten. Da die
E-Mails gefälscht sind und über Bot-Netzwerke gesendet wurden,
können ihre Ausgangspunkte nur schwer ermittelt werden. Ein
Beispiel zeigt jedoch, dass mindestens einer von ihnen außerhalb
Japans liegt: In einer der nicht infizierten Word-Dateien, die von
diesen Trojanern als Täuschungsmaßnahme geöffnet wurde,
Ichitaro
war der Text zwar auf Japanisch, jedoch in der chinesischen
Schriftart SimSum verfasst. Da diese Schriftart von Japanern nicht
verwendet wird, ist das ein Beweis dafür, dass diese Dokumente in
der chinesischen Version von Word erstellt wurden.
Shinsuke Honjo ist Viren-Forscher für
McAfee Avert Labs. Er ist Fachmann
für Trojaner, Viren und Exploits
und hat Zero-Day-Bedrohungen
analysiert, die in Japan beobachtet wurden. Wenn er sich nicht mit
Malware befasst, trainiert er zusammen mit seinen Söhnen Karate.
10
gtr | Februar 2008
gtr | Februar 2008
N
ur wenige Ereignisse ändern die weltweite politische und wirtschaftliche Landschaft
so sehr wie der rasante Aufstieg Chinas zu einer Großmacht. Im Jahr 2006 wuchs das
Bruttoinlandsprodukt (BIP) Chinas um 10,7 Prozent und damit so stark, wie seit elf Jahren nicht
mehr. Dies geschah übrigens nur ein Jahr, nachdem China an Großbritannien als viertgrößter
Wirtschaft der Welt vorbeigezogen war. In dieser Phase gewaltigen Wachstums und Wandels
verändert sich in China auch die Vielfalt der Bedrohungen aus dem Internet. Warum ist diese
CHINA:
Die
Bedrohungsvielfalt
im Reich der Mitte
Von Geok Meng Ong und Yichong Lin
Zunahme bei Malware zu beobachten, die aus China stammt und dorthin gelangt?
Rasantes Internetwachstum
Virtuelle Waren
Im Jahr 2007 waren 12 Prozent der chinesischen Bevölkerung
online – dies sind 37 Prozent aller Internetbenutzer Asiens bzw.
137 Millionen Menschen. Dr. Charles Zhang, Chairman und CEO
des chinesischen Internetportals Sohu.com, gibt seine Einschätzung
zur Bedeutung dieser Zahlen ab. Die chinesischen Internetbenutzer
verbringen laut Zhang jede Woche fast zwei Milliarden Stunden
online, also 15 Mal mehr Zeit als amerikanische Internetbenutzer.
Dieses Phänomen führt er auf die fehlende Pressefreiheit in den
herkömmlichen Medien Chinas zurück. Im September 2006
verabschiedete der chinesische Gesetzgeber einen neuen Erlass,
der regelt, dass alle ausländischen Nachrichtenagenturen ihre
Informationen nur noch über die staatliche Nachrichtenagentur
Xinhua veröffentlichen dürfen. Mit einer effektiven Wachstumsrate
von 509 Prozent ist die Anzahl der Internetbenutzer in China in
den letzten fünf Jahren sprunghaft angestiegen. Zum Vergleich:
Im gleichen Zeitraum betrug das effektive Wachstum weltweit
200 Prozent, in den USA belief es sich auf 121 Prozent.
Real Money Trade (RMT) ist ein Konzept, bei dem virtuelles Gold
oder virtuelle Waren aus Computerspielen mit echtem Geld
gehandelt werden. Bei Online-Spielern wird es von Tag zu Tag
populärer. Da sich Online-Spiele in China so großer Beliebtheit
erfreuen, wurde auch RMT vom dortigen Markt sofort angenommen.
Schätzungen von Branchenbeobachtern zufolge verbirgt sich darin
ein Potenzial von bis zu 900 Millionen US-Dollar. Eine schnelle
Suche nach den chinesischen Schlüsselwörtern „Gold“ und „World
of Warcraft“ in Chinas größtem Auktionsportal, Taobao.com,
lieferte 32.891 Treffer. Für „Power Leveling Service“ und „World of
Warcraft“ wurden 19.982 Ergebnisse gefunden.
Boom bei lokalen Internetanwendungen
Im Zeitalter des Internetbooms steigt der Bedarf an lokalisierten
Internetinhalten, weil die Internetbenutzer zu immer mehr Inhalten
Zugang erhalten möchten.
Zu den Verkäufern zählen professionelle Computerspieler in
„virtuellen Sweatshops“, so genannte „Gaming Worker“ oder
„Goldfarmer“, die Tag und Nacht Online-Spiele spielen, um
virtuelle Währung, Waren oder Zauberkräfte aufzubauen. In jeder
Goldfarm können Hunderte von jungen Arbeitern beschäftigt
sein, die jeweils bis zu 250 US-Dollar pro Monat verdienen. Laut
Schätzungen bedienen über 100.000 solcher Spieler in China die
Nachfrage nach virtuellen Waren im In- und Ausland.
Online-Spiele
Ein Viertel aller chinesischen Internetbenutzer spielt Online-Spiele,
und im April 2007 waren 33 Prozent der Spieler 19 bis 22 Jahre alt.
Die Begeisterung für Online-Spiele hat inzwischen ganz China
ergriffen, und das so stark, dass die chinesische Regierung ein
einzigartiges Regulierungssystem gegen Spielsucht („Game Fatigue
Regulation“) eingeführt hat: Seitdem dürfen Minderjährige pro
Tag nur noch höchstens drei Stunden mit einem Online-Spiel
verbringen – überschreiten sie dieses Zeitlimit, verlieren sie jedes Mal
„Erfahrungspunkte“ im Spiel. Wer an einem Tag länger als fünf
Stunden spielt, verliert alle Punkte. Heutzutage gibt es 31 Millionen
Spieler. In diesem Markt hat das Geschäft mit Online-Spielen daher
eine neue Bedeutung.
„China Surpasses U.S. In Internet Use“ (Internetnutzung: China überflügelt die Vereinigten Staaten). Forbes.com. http://www.forbes.com/2006/03/31/china-internet-usage-cx_nwp_0403china.html
„Handhabung der Veröffentlichung von Nachrichten und Informationen durch ausländische Nachrichtenagenturen in China“ (in chinesischer Sprache), Xinhua. http://news.xinhuanet.com/politics/2006-09/10/content_5072446.htm
Copyright © 2008 McAfee, Inc.
Die Begeisterung für OnlineSpiele greift so stark um sich, dass
die chinesische Regierung ein
einzigartiges Regulierungssystem
gegen Spielsucht eingeführt hat.
„Ogre to Slay? Outsource It to Chinese“ (Wie man Monster durch Outsourcing in China
erlegen lässt). The New York Times. http://www.nytimes.com/2005/12/09/technology/
09gaming.html?ex=1291784400&en=a723d0f8592dff2e&ei=5090
11
12
gtr | Februar 2008
gtr | Februar 2008
Instant Messaging
Malware-Aktivitäten in China
Organisiertes Verbrechen
Der Handel von virtuellen Werten mit realem Geld (RTM) ist nicht auf
Online-Spiele allein beschränkt. In China steht Instant Messaging (IM)
für mehr als die sofortige Nachrichtenübermittlung, die der Begriff
impliziert. Über reines Instant Messaging hinaus hat sich eine Plattform
entwickelt, auf der Telefondienste, Unterhaltung, E-Mails, Spiele
und Remoteunterstützung angeboten werden. Um bei chinesischen
Internetbenutzern das Interesse an virtueller Unterhaltung zu wecken
und den Vertrieb in diesem Bereich anzukurbeln, verkauft die Firma
Tencent auf der Straße eine virtuelle QQ-Münze für 1 Yuan (etwa
0,13 US-Dollar). Da bei der Einführung der QQ-„Währung“ nur wenige
Einschränkungen bestanden, wurde sie auf Schwarzmärkten in echter
Währung gehandelt – und öffnete so Tür und Tor für Geldwäsche.
Hierdurch wurde der RMT von QQ-Konten und -Währung zu einem
einträglichen Geschäft. Selbst in Online-Kasinos und auf PornoWebsites werden QQ-Münzen gehandelt. In Anbetracht des erheblichen
Missbrauchs der QQ-Währung sind die chinesischen Behörden alarmiert.
Wir haben erfahren, wie sich der Handel mit virtuellen Waren zu
einem viele Millionen Dollar schweren Geschäft entwickelt hat, und
dabei gesehen, dass geschäftstüchtige Goldfarmer ihre Gewinne
mit günstigen Arbeitskräften steigern. Da überrascht es nicht,
dass diejenigen mit Zugang zu technischem Know-how Malware
einsetzen, um ihre Ziele in größerem Stil und schneller zu erreichen.
Wie sich herausgestellt hat, handelt es sich bei der von chinesischen
Domänen stammenden Malware größtenteils um Software für
den Kennwortdiebstahl. Derartige Kennwortdiebstahl-Programme
zielten zunächst zwar nur auf die Hauptplattformen – QQ, World of
Warcraft und Lineage – ab, sie erreichen heute aber jedes mögliche
Ziel von RMT.
Die Zunahme bei chinesischer Malware wird durch eine riesige
Internet-Community und den RMT-Markt noch gefördert. Erhebliche
Gewinne ebnen den Weg für immer intelligentere und umfassendere
Exploits. Das chinesische Reaktionsteam für Computernotfälle
(Computer Emergency Response Team, CNCERT) führte in seinem
Halbjahresbericht an, dass chinesische Websites in wachsendem
Maße für Phishing und die Hinterlegung von böswilligem Code
missbraucht werden. Allein die hier verzeichnete Zunahme übersteigt
schon die Gesamtzahl für 2006.
Verteilung der HÄUFIGSTEN MALWARE
2006 und 2007
100 %
80 %
51,8 %
39,3 %
60 %
Laut einer Umfrage der chinesischen Medien waren 70 Prozent der
Benutzer bereits einmal von einem QQ-Kontendiebstahl betroffen.
Tencent, Eigentümer des QQ-Netzwerks, hat diese wachsenden
Bedrohungen erkannt und bietet auf der eigenen Website kostenlose
Sicherheitsschulungen und -dienste an.
Yahoo Messenger 2,1 %
Verbreitung von IM
in CHINA
40 %
20 %
0%
51,2 %
40,5 %
7,7 %
9,5 %
2006
2007
n Gray Pigeon-Backdoor- n Kennwortdiebe für Spiele, IM
Trojaner
n Würmer und DateiInfektionen
Abbildung 2: Im letzten Jahr war im chinesischen Markt eine starke
Zunahme an Kennwortdiebstahl-Software zu verzeichnen.
Im Jahr 2007 ermittelte McAfee SiteAdvisor™, dass sich auf
0,2 Prozent aller in China registrierten Websites Exploits befanden.
Dies ist mehr als das Doppelte des weltweiten Durchschnitts.
Hierbei sind Websites mit den Domänen „.org.cn“, „.gov.cn“,
„.com.cn“, „.net.cn“ und anderen Domänen gleichermaßen
betroffen. Viele davon sind vermutlich sogar seriöse Websites,
die von Kriminellen zur Unterbringung von böswilligem Code
missbraucht werden, sodass unachtsame Benutzer beim Surfen auf
den vermeintlich „sauberen“ Websites riskieren, dass ihr System
infiziert wird. Noch alarmierender ist das häufige Vorkommen von
Zero-Day-Exploits wie Exploit-AniFile.c. Als Katalysatoren für eine
weite Verbreitung fungieren hierbei Würmer wie W32/Fujacks, die
Dateien infizieren, und Bedrohungen durch Man-in-the-MiddleAngriffe oder Infektionen über ARP (Address Resolution Protocol),
wie im Falle von NetSniff.
Skype 7,5 %
Taobao Wang Wang 29.1 %
MSN 31,7 %
QQ 96,1 %
Abbildung 1: Im Jahr 2007 dominierte Tencent QQ den chinesischen
Internet-Messaging-Markt.
McAfee® Avert® Labs eine wachsende Bedrohung durch
Kennwortdiebstahl-Software für Spiele. Dieser Trend hatte seinen
Höhepunkt im Oktober 2006, und er setzt sich offensichtlich auch
2007 fort. Handelte es sich bei der Malware der ersten Generation
in diesem Bereich noch um Trojaner wie PWS-QQPass, PWS-WoW
und PWS-Lineage, so sind wir heute mit „pikanten Mischungen“ wie
PWS-OnLineGames und PWS-MMORPG konfrontiert, die auf viele
Online-Spiele und -Communitys abzielen. Würmer wie W32/Fujacks,
die mehrere Verbreitungsstrategien haben, und Sicherheitslücken im
Web eröffnen immer mehr Möglichkeiten für strafbare Handlungen.
Abbildung 3: Das HackerÖkosystem in China
Cyber-Kriminelle sind nicht zwangsläufig ausgezeichnete Hacker. Sie
richten sich ganz klassisch nach Angebot und Nachfrage. Im Februar
2007 meldete Xinhua, dass eine Gruppe von 50 Händlern in der
Provinz Zhejiang dabei half, von Li Jun (dem Autor von W32/Fujacks)
und seinen Komplizen gestohlene Benutzerkonten und virtuelle
Waren zu verkaufen. Dem Bericht zufolge waren sie auch Teil eines
Syndikats, das in betrügerischer Absicht Phishing-Aktivitäten ausübte
und Adware veröffentlichte. Keiner der Händler war Computerexperte;
einer arbeitete sogar als Chef in einem Restaurant.
In einer Kette organisierter Cyber-Kriminalität arbeiten verschiedene
Tools und Rollen gewöhnlich Hand in Hand. Exploits zielen auf noch
nicht behobene Schwachstellen ab, um Eindringlingen ein Schlupfloch
zu öffnen. Bots und Backdoors sorgen für Steuerungsmöglichkeiten,
und Software für den Kennwortdiebstahl sowie Spyware sammeln
vertrauliche oder profitträchtige Daten.
BackDoor-AWQ.b – oder „Gray Pigeon“, wie der Backdoor-Trojaner
von seinen Autoren genannt wird – wird seit 2003 auf der Website
als „Remoteverwaltungstool“ kommerziell vermarktet. Ein
Jahresabonnement kostet 100 Yuan (13 US-Dollar). Die Benutzer
erhalten aktualisierte Versionen mit erweiterten Merkmalen wie
Rootkits, verteilte Steuerung oder Keylogging. Die Website wurde
von ihren Inhabern im März 2007 nach der Verhaftung der W32/
Fujacks-Autoren deaktiviert. Sicherheitsanalytiker befürchten nun,
dass diese Gruppe ihre Aktivitäten in den Untergrund verlagern
könnte, wodurch ihre Überwachung noch schwieriger würde.
Würmer/Viren
Botnet
Was:
–Verbreitung über E-Mail, IM, File Sharing, USB-Laufwerke usw.
–Oder Ausnutzung
von Schwachstellen
Wer:
–Angreifer
–Wurm-/Virenautoren
Was:
–DDoS
–Spam/Phishing
Wer:
–Angreifer
–Botnet-Autoren
–Spammer
Anonyme Zahlungsformen
Zusätzlichen Spielraum für Geldwäsche und RMT ermöglicht
die Tatsache, dass die meisten Menschen in China weder eine
Kreditkarte noch einen PC besitzen, über die sie Online-Zahlungen
tätigen könnten. Viele Chinesen gehen in Internetcafés, und nicht
nur dort, sondern auch in Online-Shops und -Spielcentern sind so
genannte Prepaid Game Cards die bevorzugte Zahlungsmethode.
Da keine Registrierung erforderlich ist, sind diese Prepaid-Karten
praktisch anonym. Es gibt immer wieder Fälle, in denen CyberDiebe die Prepaid-Karten über gestohlene Online-Bankkonten oder
Kreditkartennummern kaufen und sie dann online wieder verkaufen.
Cyber-Kriminelle sind zum Diebstahl von Prepaid-Kartennummern
auch schon in Prepaid-Kartennetze eingedrungen. Wegen der
Anonymität und der großen Verbreitung von Prepaid-Karten ist
es für die Strafverfolgungsbehörden schwieriger geworden, nicht
autorisierte Transaktionen und Cyber-Kriminalität aufzuspüren.
„Tencent führt QQ-Sicherheitskarte ein“ (in chinesischer Sprache), Sohu.com. http://digi.it.sohu.com/20070906/n251998008.shtml
„Tencent und die Sicherheit“ (in chinesischer Sprache), Tencent. http://safe.qq.com/
„QQ baut seine Marktführerschaft 2007 weiter aus“, „Taobao Wangwang holt im ersten
Quartal gegenüber MSN auf“ (in chinesischer Sprache), iResearch. http://www.iresearchgroup.com.cn/Consulting/instant_messenger/DetailNews.asp?id=65222
Copyright © 2008 McAfee, Inc.
Angreifer
Cyber-Kriminelle sind nicht
zwangsläufig ausgezeichnete
Hacker. Sie richten sich ganz
klassisch nach Angebot
Hacking
Was:
–SQL-Injektion
–Anwendungs schwachstellen
–Zero-Day-
Schwachstellen
Wer:
–Angreifer
–Autoren von Hacker-
Tools
–Schwachstellenforscher
Missbrauch über
das Web
Was:
–Einbringung von böswilligem Code
in Webseiten
–Injektion von Rootkits
Wer:
–Backdoor-/Rootkit-
Autoren
–Angreifer
Erlangung
vertraulicher
Informationen
Was:
–Online-Banking
– Online-Handel
– Online-Zahlungen
– QQ-Konto
– Spielkonto
Wer:
–Angreifer
und Nachfrage.
Informationen
Was:
–Quellcode
–Commercial-Intelligence-Informationen
–Server für Online-Spiele/Datenbankserver
Wer:
–Angreifer
Geldwäsche
Was:
–Virtuelle Währung
– Prepaid Game Cards
–Schwarzmarkt
Wer:
–Angreifer
–Händler
$$$
13
14
gtr | Februar 2008
gtr | Februar 2008
Talentpool und Arbeitslosigkeit
Allein in Peking belief sich die Anzahl der Hochschulabsolventen im
Jahr 2007 auf fast 200.000 – und damit auf mehr als je zuvor. Nur
43 Prozent davon können jedoch damit rechnen, Arbeit zu finden.
In ländlichen Gebieten stellt sich die Beschäftigungssituation unter
Umständen noch schlechter dar. Viele der „Goldfarmer“ stammen
aus den ländlichen Regionen und Vorstädten Chinas. Sie arbeiten in
12-Stunden-Schichten für einen Monatslohn von rund 250 US-Dollar,
was in den ärmsten Teilen des Landes eine recht gute Bezahlung ist.
Nach seinem Abschluss an einer Computerschule im Jahr 2005
gelang es dem 25-jährigen Li Jun nicht, eine Arbeit zu finden.
In dieser Situation benötigte er dringend Geld. Und er besaß die
Fähigkeit, Malware zu schreiben. Diese Faktoren trugen dazu
bei, dass er neben dem nun so berüchtigten Wurm W32/Fujacks.
worm auch W32/QQPass.worm sowie W32/Lewor schrieb und
veröffentlichte. Er verkaufte den Quellcode von W32/Fujacks an über
120 Interessenten und erzielte damit einen Gewinn von über 13.000
US-Dollar – in einer Stadt, in der das jährliche Pro-Kopf-Einkommen
bei etwa 3.000 US-Dollar liegt. Es könnte gut sein, dass Li Jun kein
Einzelfall bleibt, weil sich viele junge Menschen in China in einer ganz
ähnlichen Situation befinden. Hackbase.com ist eine der größten
„Hacker“-Schulungswebsites in China. Laut eigenen Angaben hat sie
über 10.000 Mitglieder. Auf der Schwesterwebsite Hackerbase.net
werden explizit Hacking-Dienste gegen Bezahlung angeboten.
Richtlinien der Regierung
Im September 2007 wurde Li Jun von einem chinesischen Gericht zu
vier Jahren Haft verurteilt. Wird dies andere Malware-Autoren von
Cyber-Kriminalität abhalten? Während der Verhandlung legte der
Anwalt von Li Jun ein Schreiben von einer IT-Firma in Hangzhou vor,
in dem Li Jun die Stelle des Technischen Direktors angeboten wurde.
Er behauptete, es lägen zehn weitere Angebote von verschiedenen
Firmen vor, die Li Jun ein Jahresgehalt von 1 Million Yuan (133.000
US-Dollar) zahlen würden. Nach der Festnahme Li Juns und seiner
Komplizen Anfang 2007 ist die Verbreitung von Würmern in China
nicht zurückgegangen. Hier half auch nicht die Tatsache, dass der
Quellcode von W32/Fujacks verkauft wurde.
300 %
WACHSTUM DER HÄUFIGSTEN MALWARE
von 2006 zu 2007
250 %
200 %
150 %
ICBC, die größte staatseigene Handelsbank, meldete ein
E-Banking-Transaktionsvolumen, das allein im ersten Quartal 2005
die 170-Milliarden-Yuan-Marke (22,6 Milliarden US-Dollar)
erreichte. Im Jahr 2000 belief sich das Volumen noch auf lediglich
15,4­ Milliarden Yuan (2 Milliarden US-Dollar). Die chinesische
Bankregulierungsbehörde (CBRC) gab im Jahr 2005 bekannt, dass
die im Jahr 2000 verabschiedeten Richtlinien nicht ausreichten, um
die Handhabung und Überwachung der zusätzlichen Risiken im
Zusammenhang mit Internet-Banking zu regeln.
Positiv ist: Die jüngste Verurteilung von Cyber-Kriminellen wie Li
Jun zeigt, dass der chinesische Gesetzgeber die Cyber-Kriminalität
ernst nimmt. Die Auswirkung lokaler Cyber-Bedrohungen hat die
Entwicklung von Regierungsrichtlinien und lokalen Anwendungen
beschleunigt, um neue Maßnahmen zur Verhinderung von CyberKriminalität einzuführen. Die einzige Möglichkeit zur Gewährleistung
eines kontinuierlichen Wachstums dieses Marktes liegt darin,
die erforderlichen Sicherheitsmaßnahmen zu entwickeln, um die
Benutzer zu schützen.
Analytikern zufolge hat die
Beliebtheit der QQ-Währung einen
Punkt erreicht, an dem der Yuan an
Wert zu verlieren droht.
Geok Meng Ong leitet für
Die CBRC führte daher im Jahr 2006 neue Kriterien zur Bewertung
von E-Banking-Geschäften und relevanten Sicherheitsmaßnahmen
(„E-Banking Business and Relevant Security Evaluation“) ein, um
den neuen Risiken in der virtuellen Welt zu begegnen.
Seit fünf Jahren ist die QQ-Währung nun verfügbar. Nachdem
es wegen Missbrauchs und Geldwäsche Bedenken gab, haben
die chinesischen Behörden schließlich Beschränkungen für den
Umlauf dieser Währung angeordnet. Analytikern zufolge hat die
Beliebtheit der QQ-Währung einen Punkt erreicht, an dem der
Yuan an Wert zu verlieren droht.
Was bringt die Zukunft?
Wir haben gesehen, wie die chinesische Bedrohungsvielfalt
durch die einzigartigen Ausprägungen lokaler Kultur sowie durch
politische und wirtschaftliche Aspekte beeinflusst wurde. Auf dem
Höhepunkt des Wachstums und der Veränderungen in China
können Richtlinien und Kontrollen noch nicht mit dem Tempo der
Entwicklung mithalten. Die Popularität des Internets, die weit
verbreitete Arbeitslosigkeit und der große Talentpool sind für viele
Grund genug, als Malware-Autoren ihr Glück zu versuchen. Die
aktuellen Bedingungen haben diese Hacker dazu gebracht, sich für
Geld als Cyber-Kriminelle zu verdingen.
McAfee Avert Labs ein Team von
Sicherheitsforschern für den asiatischpazifischen Raum und Japan. Er entdeckte zufällig die dunkle Seite der CyberWelt, die sein Engagement für die Sicherheitsforschung beflügelte. Er kam im
Geiste des Singapurer Kiasuismus und mit dem ehrgeizigen Ziel zu McAfee,
auf dem Weg zu Sicherheit auf Weltklasseniveau erfolgreich zu sein. Ong
ist als Forscher selbst in der Praxis engagiert und konzentriert sich dabei auf
die Erforschung von Malware-Heuristik und Schwachstellen. Er wird wegen
seiner Analysen neuer Malware-Trends und -Exploits, die in dieser Region
vorherrschen, oft in den Medien zitiert.
100 %
Yichong Lin ist Sicherheitsforscher bei
50 %
Positiv ist: Die jüngste Verurteilung
0%
n Gray Pigeon-Backdoor- n Kennwortdiebe für Spiele, IM
Trojaner
n Würmer und DateiInfektionen
Abbildung 4: Software für Kennwortdiebstahl verzeichnet höhere
Wachstumsraten als andere Malware.
Wurde China von den jüngsten Veränderungen „kalt erwischt“?
Zumindest im Bereich der Internetsicherheit lässt sich sagen,
dass die Technologie so schnell angenommen wurde, dass
Regierungsrichtlinien, Unternehmen und die traditionelle Kultur
derzeit noch erheblich hinterherhinken.
Copyright © 2008 McAfee, Inc.
McAfee Avert Labs. Er befasst sich
vor allem mit Intrusion-Detection-
von Cyber-Kriminellen wie Li
Jun zeigt, dass der chinesische
Gesetzgeber die Cyber-Kriminalität
Technologie und der Erforschung von Schwachstellen. Beide Autoren
untersuchen und beobachten den chinesischen Sicherheitsmarkt schon seit
vielen Jahren.
ernst nimmt.
China Banking Regulatory Commission – Fragen und Antworten (in chinesischer Sprache).
http://www.cbrc.gov.cn/chinese/home/jsp/docView.jsp?docID=2243
„Die Rechenleidenschaft von Menschen, die davon überzeugt sind, dass sie das Geld,
die Zeit und die Leistung erhalten müssen, die sie wert sind (je mehr, desto besser!)“,
freie Übersetzung der (englischsprachigen) Definition auf der Site Urban Dictionary.
http://www.urbandictionary.com/define.php?term=kiasuism
15
16
gtr | Februar 2008
gtr | Februar 2008
V
iele Menschen nehmen an, dass die Mafia und der Inlandsgeheimdienst (FSB, früher als KGB
RUSSLAND:
Die Wirtschaft
und nicht die Mafia
treibt Malware voran
bekannt) hinter den aus Russland kommenden Angriffen stehen müssten. Doch sind diese
Organisationen wirklich die Hauptantriebskräfte? In diesem Artikel geben wir eine Antwort auf diese
Frage. Zuerst werfen wir aber einen kurzen Blick auf die Geschichte der Malware-Entwicklung in
Russland und die Hauptkräfte, die dahinter stecken. Wir besprechen die aktuellen Gesetze sowie die
Erfolge und Niederlagen der Strafverfolgungsbehörden. Außerdem tauchen wir in den Schwarzmarkt
ein, um herauszufinden, welche Produkte angeboten werden und mit welchen Preisen man bei
Von Dr. Igor Muttik
Malware, Malware-Buildern und verwandten Tools rechnen muss und welche Funktionen sie bieten.
Abschließend geben wir einige Prognosen über die wahrscheinliche Entwicklung dieser Problematik.
Eine kurze Zusammenfassung zur
Entwicklung von Malware
In der Sowjetunion konzentrierte sich die Bildung traditionell
mehr auf technische und angewandte Wissenschaften als auf
Geisteswissenschaften. Daher gibt es in Russland und den anderen
früheren Sowjetrepubliken sehr viele hochqualifizierte junge
Menschen mit hervorragenden Kenntnissen in Mathematik, der IT
und der Programmierung. Die Kombination aus relativ niedrigen
Gehältern, einer hohen Arbeitslosenquote und der breiten
Verfügbarkeit vernetzter Computer machen die Entwicklung von
Malware für viele Menschen attraktiv. Zudem gelten in Russland
– ebenso wie in vielen anderen Ländern – Hacker in der Bevölkerung
als außergewöhnlich kluge Menschen. Dadurch umgibt MalwareAutoren die Aura des Besonderen.
Früher haben russische Programmierer viele ausgefeilte Viren
entwickelt. Einer der bemerkenswertesten Viren war ein mehrteiliger
Virus namens Zaraza (auch 3APA3A genannt), der ein neuartiges
Verfahren zur Infektion von Festplatten anwendete: Er erstellte ein
Duplikat der DOS-Betriebssystemdatei „io.sys“. Aufgrund dieses
Viruses mussten sogar Antivirenmodule geändert werden! Ein anderer
bemerkenswerter Virus – W32/Zmist – wurde von einem berüchtigten,
produktiven und sehr einfallsreichen Virenautor geschrieben, der
sich selbst Z0mbie nennt. Dieser parasitäre Virus dekompiliert bei
einer Infektion Dateien und setzt sie wieder zusammen, sodass
der Virus nahtlos in den Host integriert wird. Sicherheitsforscher
aller Antivirenfirmen sind einstimmig der Meinung, dass Viren mit
diesem Verhalten am schwersten zu erkennen sind.
Während der vergangenen Jahre haben immer öfter finanzielle
Beweggründe zu einer vermehrten Erstellung von Malware geführt.
Auch Spam und Spam-Tools sind gefragt. Gleichzeitig greifen diese
Bereiche ineinander. So werden beispielsweise Botnets häufig für die
Verbreitung von Spam verwendet.
„Die Macht des Geldes“, Analyse globaler Sicherheitsbedrohungen, Jg. 1, Ausgabe 1, Seite 13. http://www.mcafee.com/us/local_content/white_papers/threat_center/mcafee_sage_v11_en.pdf.
Lokalisierte Versionen sind unter http://www.mcafee.com/us/threat_center/
white_paper.html verfügbar.
Copyright © 2008 McAfee, Inc.
Gleichzeitig gibt es in Russland viele Unternehmen, die systemnahe
Kenntnisse für legitime Zwecke wie erstklassige Schwachstellenforschung (www.securitylab.ru) oder häufig verwendete Kopierschutztechnologien (http://www.star-force.com) nutzen. IDApro, ein
Softwareanalyse-Toolkit der Spitzenklasse (www.idapro.ru,
www.idapro.com), ist das branchenweit führende Programm für
Reverse Engineering. Und die Systeme zum Software-Schutz AsPack
und AsProtect (www.aspack.com, www.star-force.ru) werden häufig
zum Packen kommerzieller Software verwendet. Natürlich gibt es aber
auch einige halblegale Sites (http://wasm.ru, www.xakep.ru), die sich
dem Disassemblieren und Modifizieren von Software verschrieben
haben und eine hervorragende Ressource für das Reverse Engineering
bieten (http://www.cracklab.ru). Die in diesen Bereichen eingesetzten
Kenntnisse und Fähigkeiten könnten für die Entwicklung von Malware
sehr hilfreich sein. Und viele junge und unerfahrene Menschen
könnten von der sehr hohen Rentabilität bei Computerkriminalität
angezogen werden.
Was hält diese jungen Programmierer also davon ab, sich der
Kriminalität zuzuwenden? Mit welchen gesetzlichen Kontrollen
müssten sie rechnen?
Viele junge und unerfahrene
Menschen könnten von der sehr
hohen Rentabilität
bei Computerkriminalität
angezogen werden.
17
18
gtr | Februar 2008
Aktuelle Gesetzeslage
In Russland traten Gesetze für Delikte im Zusammenhang mit
Computern im Juni 1996 in Kraft (in Kapitel 28 des Strafgesetzbuchs
der Russischen Föderation). Im November 2001 wurden dann einige
Änderungen vorgenommen. Es gibt drei Hauptparagraphen, die die
folgenden Delikte abdecken (hierbei handelt es sich nicht um eine
offizielle Übersetzung):
§ 272) Nicht autorisierter Zugriff auf Computerdaten, wenn
dadurch ein Verlust, Blockieren, Ändern, Kopieren
oder Zusammenbrechen des Computerbetriebs, des
Systems oder eines Netzwerks verursacht wird.
§ 273) Absichtliche Erstellung von Computerprogrammen
oder Änderung vorhandener Programme, wenn
dadurch ein Verlust, Blockieren, Ändern, Kopieren
oder Zusammenbrechen des Computerbetriebs,
des Systems oder eines Netzwerks verursacht wird.
Dazu gehört auch die Verwendung und Verbreitung
entsprechender Programme oder Computermedien
mit solchen Programmen.
§ 274) Eingreifen in den normalen Betrieb eines Computers,
Systems oder Netzwerks durch eine Person, die Zugriff
auf einen Computer, ein System oder ein Netzwerk
erlangt, wodurch ein Verlust, Blockieren, Ändern,
Kopieren oder Zusammenbrechen des Computerbetriebs,
des Systems oder eines Netzwerks verursacht wird und
wenn dadurch erheblicher Schaden entsteht.
Das Strafmaß beginnt bei reinen Bußgeldern oder gemeinnütziger
Arbeit. Für Delikte mit ernsthaften Folgen (oder wenn sie von einer
organisierten Bande begangen wurden) können auch Haftstrafen
von vier bis sieben Jahren verhängt werden.
Im Jahr 2006 erließ die russische gesetzgebende Kraft
– die Duma – Gesetze zum Schutz persönlicher Daten
(http://www.akdi.ru/gd/proekt/097697GD.SHTM) und zum
Datenschutz (http://www.russianlaw.net/law/laws/t3.htm).
Das erstere Gesetz verlangt die Zustimmung der betreffenden Person
für die Verwendung personenbezogener Informationen und gibt nur
sehr wenigen begründeten Ausnahmen Raum. Diese Regelung steht
im Einklang mit der international üblichen Vorgehensweise.
Im Juli 2006 verabschiedete der Gesetzgeber außerdem ein Gesetz,
nach dem Inserenten das so genannte Opt-In-Modell befolgen müssen
und Werbung somit nur mit ausdrücklicher Zustimmung der Nutzer
versendet werden darf. In der Folge wurde in Russland vorübergehend
weniger Spam versendet. Nach nur vier Monaten war jedoch alles
wieder beim Alten – ca. 80 Prozent Spam im normalen E-Mail-Verkehr
(http://www.cnews.ru/news/top/index.shtml?2007/02/19/236529).
Die Gesetzgebung ist also im Aufwind und kümmert sich allmählich
um die Krisenherde. Aber funktioniert das auch bei der
Malware-Erstellung?
gtr | Februar 2008
Erfolge und Niederlagen der
Strafverfolgung
Es gibt ein russisches Sprichwort, das besagt, dass die unbeugsame
Härte des russischen Gesetzes nur durch die Unmöglichkeit
ausgeglichen wird, es durchzusetzen. Wir müssen also den
Härtetest machen und überprüfen, wie diese Gesetze in der Praxis
angewendet werden.
Wie bei High-Tech-Kriminalität üblich liegen die Gesetze immer ein
wenig hinter den aktuellen Entwicklungen bei der missbräuchlichen
Nutzung dieser Technologie zurück. Russische Gesetze zur
Computerkriminalität sind jedoch ziemlich allgemein gehalten
und konnten bereits eingesetzt werden, um einen Spammer zu
verurteilen (http://www.ifap.ru/eng/projects/as02.pdf) – obwohl
die Gesetzgeber nicht an die Folgen von Spam dachten, als sie die
entsprechenden Gesetze erließen.
Ein weiterer Hacker wurde nach Paragraph 273 wegen nicht
autorisierter Änderung eines Computersystems verurteilt
(www.internet-law.ru/intlaw/crime/tumen.htm), und gegen einen
Studenten wurde wegen Betreibens einer Website Anklage erhoben,
auf der er ca. 4.000 Malware-Beispiele zum Download anbot.
Was die internationale Computerkriminalität betrifft, so verurteilte
ein Gericht in der Oblast Saratow, etwa 850 Kilometer südöstlich
von Moskau, drei russische Hacker zu jeweils acht Jahren Gefängnis
sowie einer Geldstrafe von 3.700 US-Dollar (http://www.
whatreallyhappened.com/archives/cat_computersinternetsecurity.
html). Sie hatten versucht, 4 Millionen US-Dollar von globalen
Internetfirmen zu erpressen.
Computerbasierte Delikte sind häufig grenzüberschreitend. Und
manchmal überqueren auch die Kriminellen die Grenze. Dann unterliegen
sie den örtlichen Gesetzen und können festgenommen und verurteilt
werden. Im August 2007 berichteten US-amerikanische Behörden über
eine organisierte Bande, die es auf Identitätsdiebstahl und dabei speziell
auf reiche Amerikaner abgesehen hatte. Der Kopf der Bande wurde
in New York festgenommen, als er aus Russland in die USA flog, um
Goldbarren im Wert von 7 Millionen US-Dollar in Empfang zu nehmen,
von denen er dachte, dass sie mit dem gestohlenen Geld eines seiner
Opfer erworben wurden (http://www.informationweek.com/security/
showArticle.jhtml?articleID=201800899).
Die Ressourcen- und Mittelbeschaffung für Einheiten gegen
Computerkriminalität ist ein weiteres – und alles andere als triviales
– Problem für die Strafverfolgungsbehörden. (Dieses Problem stellt
sich weltweit in vielen Ländern.) Da der Erfolg der Behörden gegen
die Computerkriminalität hinter den Erwartungen der Bevölkerung
zurück bleibt, eilten nichtstaatliche und internationale Institutionen
zur Hilfe (http://www.crime-research.org/about/). Das Computer
Crime Research Center (Zentrum zur Computerkriminalitätsforschung)
hat ein Dokument herausgebracht, in dem der Status der Gesetze
gegen Computerkriminalität in den früheren Sowjetrepubliken
detailliert geschildert wird (http://www.crime-research.org/library/
Criminal_Codes.html).
Das Open Forum of Internet Service Providers (ein offenes ISP-Forum)
ist eine ähnliche nichtstaatliche Organisation und erstellte 2002 eine
Reihe von Regeln für faire Netzwerknutzung. Diese Regeln dienten als
Präzedenzfall (http://www.ofisp.org/documents/ofisp-008.html) für
die Bestätigung eines Gerichtsurteils zum russischen Anbieter ISP MTUIntel, der den Internetvertrag für einen Spammer gekündigt hatte.
Im Juli 2005 ging die Geschichte der Ermordung des berüchtigtsten
russischen Spammers Vardan Kushnir durch die Medien. Die weit
verbreitete Überzeugung, dass dieser Mord mit der Verbreitung
von Spam zusammenhing, konnte sich nicht mehr halten, als die
wahren Mörder im August 2005 festgenommen wurden. Es ist
ironisch, vielleicht aber auch typisch für die Medienwelt, dass die
unbegründeten Spekulationen weitaus mehr Schlagzeilen machten
als die Fakten, die nach Abschluss des Mordfalls vorlagen.
Schwarzmarktpreise
Grenzüberschreitende Angriffe auf Webserver sind nicht
außergewöhnlich. In der Regel werden dabei Server manipuliert und
Malware (oder böswillige Links zu Malware) platziert. In einem Fall
bemerkten Webadministratoren aus mehreren Ländern Angriffe
von demselben in St. Petersburg registrierten Netzwerk. Ein solcher
Zufall zeigt, dass diese Aktivitäten recht häufig sind.
Auf der im August 2007 in Washington abgehaltenen Konferenz
Internet Security Operations and Intelligence III hat einer meiner
Kollegen erfahren, dass die überwältigende Mehrheit der größten
Betrugsfälle von Kriminalität im Internet mit russischen oder ehemals
sowjetischen Cyber-Kriminellen in Verbindung zu stehen scheint.
„Go Away, Russian Business Network!“ (Lass mich in Ruhe, Russian Business Network!),
Dusting My Brain. http://dustingmybrain.com/archives/002375.html und „More on the
Russian Business Network!“ (Mehr zum Russian Business Network!), Dusting My Brain.
http://dustingmybrain.com/archives/002379.html
Copyright © 2008 McAfee, Inc.
Im Juli 2007 hat das russische Exploit-Paket MPack Webserver
in Italien massiv kompromittiert. (Eine grafische Beschreibung
der Funktionsweise dieses Pakets finden Sie im Symantec-Blog.)
Um solche Angriffe bewältigen zu können, müssen Gesetzgeber,
Strafverfolgungsbehörden und Internetdiensteanbieter
(Internet Service Provider, ISP) eng und grenzüberschreitend
zusammenarbeiten – eine unglaublich schwierige Aufgabe.
Abbildung 1: Auf dieser Site wird Malware zum Kauf angeboten und in
einer kleinen Befragung sogar um Kundenfeedback gebeten.
„MPack, Packed Full of Badness“ (MPack, ein Paket voller Schlechtigkeiten), Symantec Enterprise WebLog. http://www.symantec.com/enterprise/security_response/
weblog/2007/05/mpack_packed_full_of_badness.html
„Vardan Kushnir“, Wikipedia. http://en.wikipedia.org/wiki/Vardan_Kushnir
Auf der Suche nach individuell gefertigter Malware wird man schnell
fündig. Es gibt sogar spezielle Websites, die diese Dienstleistungen
anbieten. In einigen Foren sind wir auch auf verschiedene Anfragen
nach Malware gestoßen.
Da es Käufer und Verkäufer gibt, ist natürlich auch ein Markt für
Malware vorhanden. Auf der in Abbildung 1 gezeigten Site haben
wir Ergebnisse einer Befragung gefunden, in der Besucher angeben
sollten, ob sie an Angeboten für Bankkonten, Tagebücher, PayPal,
eBay usw. interessiert wären. Überraschenderweise antworteten
67 Prozent (das sind 149 Personen) mit „Ja“. Die Site bietet die
folgenden „speziellen“ Absatzgebiete:
• Bots
•
• Bruter (offensichtlich •
Brute-Force-Cracker)
•
• Flooder
•
• Grabber
• Infektionen
•
(Viren und Würmer)
Keylogger
Sniffer
Spam-Software
Sploits (Exploit-Demos
und -Schwachstellen)
Trojaner
Finanz-Malware
Abbildung 2: Malware-Einkauf: Was ist im Angebot?
Diese Site bietet insgesamt sieben Einträge. Dazu gehören:
• PG Universal Grabber (Power Grabber Version 1.8): unterstützt
Microsoft Internet Explorer und kompatible Browser; installiert sich
selbst und entfernt die Spuren der Installation; umgeht Firewalls;
ist unsichtbar und wird nicht erkannt; sendet Protokolle sofort
nach einem POST-Befehl; lädt externe Dateien; aktualisiert Bots;
blockiert ausgewählte Sites; zerstört sich nach dem n-ten Neustart
selbst; verschlüsselt URLs.
• Grabber-Toolkit: „Alles für den Carding-Neuling“ – Builder;
Schlüsselgenerator; stellt Statistiken über eine administrative
Seite bereit.
• Grabber Ghost Version 2.0: ändert im aktivierten Zustand URLs,
die von Suchmaschinen zurückgegeben werden, oder wenn
bestimmte Schlüsselwörter verwendet werden.
19
20
gtr | Februar 2008
gtr | Februar 2008
Bots und Builder
Angepasste Malware
DDoS-Angriff auf Estland
Prognosen
Auf dem Markt erhältliche Bots (Abbildung 3):
• WDLX Version 1.1: enthält einen Downloader, der eine in einem
Builder angegebene URL verwendet; installiert sich selbst
und wartet auf eine bestehende Internetverbindung. Nach
Ablauf einer vom Käufer festgelegten Zeit, wird das Programm
ausgeführt, und alle Spuren seiner Aktivitäten werden entfernt.
• Xloader: täuscht Firewalls; enthält detaillierte Statistiken über
PHP-Scripting.
• Mehrschichtiger DDoS-Angriff (Distributed Denial of Service):
neue Mehrfachfunktion; Mehrschichtiger Bot für Unix, Linux
und verwandte Betriebssysteme.
Diese Anzeige (Abbildung 4) wurde in mehreren Foren geschaltet
und bietet folgende Dienste an:
• Eindringen in Websites und Foren: 50 US-Dollar
• Garantiertes Eindringen in Postfächer von mail.ru
und yandex.ru: 45 US-Dollar
• Umfangreiches Ausbringen von Trojanern und
Spionageprogrammen: 100 US-Dollar
• Verbreiten von Spam: 70 US-Dollar
Im April und Mai 2007 gab es einen großen DDoS-Angriff, der auf
viele Regierungswebsites in Estland gerichtet war. Ermittler gehen
davon aus, dass der Angriff durch die Umsetzung des „bronzenen
Soldaten“ veranlasst wurde, einem Denkmal für einen unbekannten
russischen Soldaten im Zweiten Weltkrieg. Estnische Behörden
hatten beschlossen, das Monument vom Zentrum Tallins auf einen
vorstädtischen Militärfriedhof zu versetzen. Dieser Beschluss löste
unter der Bevölkerung Tallins Unruhen aus, bei denen eine Person
getötet wurde. Später, kurz vor dem Jahrestag des Sieges (zur
Beendigung des 2. Weltkriegs, der in Estland am 9. Mai gefeiert wird),
begann ein mehrere Tage andauernder DDoS-Angriff. Viele große
estnische Websites standen während dieser Zeit nicht zur Verfügung.
Unter Sicherheitsexperten herrscht die Meinung vor, dass dieser
Angriff von einer Gruppe von Einzelpersonen durchgeführt und von
deren patriotischen Gefühlen angeheizt wurde. Weitere technische
Informationen über den Angriff finden Sie im unten angegebenen
Artikel. Es konnten keine Hinweise auf eine Beteiligung der russischen
Regierung an diesen Angriffen gefunden werden, und selbst wenn es
eine Verbindung gäbe, würde diese mit sehr großer Wahrscheinlichkeit
nicht entdeckt werden., Nach dem Vorfall beschuldigten sich beide
Seiten gegenseitig der Cyber-Angriffe.10
Mit Verbesserungen in der Gesetzgebung, einer Stärkung der
Wirtschaft und Senkung der Arbeitslosigkeit sowie stärkerer
Strafverfolgung in Russland erwarten wir einen allmählichen Rückgang
bei der Malware-Erstellung. Andere frühere Sowjetrepubliken und
sogar China werden voraussichtlich demselben Muster folgen.
Gleichzeitig weisen aktuelle Trends bei den Malware-Zahlen deutlich
auf eine beschleunigte Erstellung in fast allen Regionen weltweit hin.
Selbst wenn die Malware-Produktion in Russland also auf „westliches
Niveau“ sinken sollte, ist sie immer noch beträchtlich.
Und die Preise in US-Dollar:
• Bot-Builder mit DDoS-Funktionen: 250 US-Dollar
• Bot-Build: 35 US-Dollar
• Bot: 25 US-Dollar
• Downloader (mit einer Größe von 5-6 K): 10 US-Dollar
• Form-Grabber: 350 US-Dollar
• Keylogger: 20-30 US-Dollar
• WebMoney-Trojaner/Builder: 60 US-Dollar
Spam-bezogene Dienste
Auf dieser Site (Abbildung 5) werden „Spam-Dienste“ für E-MailAdressen-Sammlungen zu folgenden Preisen angeboten:
• 400.000 Unternehmen: 55 US-Dollar
•1.800.000 Einzelpersonen: 100 US-Dollar
• 90.000 Unternehmen in St. Petersburg: 30 US-Dollar
• 450.000 Einzelpersonen in der Ukraine: 50 US-Dollar
• 6.000.000 russische Einzelpersonen: 150 US-Dollar
• 4.000.000 Adressen bei@mail.ru: 200 US-Dollar
Bei Bezahlung per WebMoney bietet der Dienst sogar großzügig
Rabatte an.
Fazit
Wir werden in nächster Zeit wohl keinen allgemeinen Rückgang bei
der Anzahl an Malware verzeichnen können. Computerkriminalität
ist einfach zu gewinnbringend und birgt momentan zu wenige
Risiken. Und entgegen der vorherrschenden Meinung ist sie
nicht nur ein technologisches, sondern vielmehr ein soziales und
wirtschaftliches Problem. So wie fast immer werden sich die Dinge
wahrscheinlich erst einmal verschlechtern, bevor sie besser werden.
Wir sind davon überzeugt, dass sich die Situation auf lange Sicht
entscheidend ändern kann, wenn weltweite Vereinbarungen über
die Internetnutzung gefunden werden (z. B. obligatorische InternetID-Karten). Eine Änderung zum Besseren wird jedoch eher durch
Fortschritte bei der Computersicherheit – sowohl im Hardware- als
auch im Softwarebereich – möglich sein.
Wir von McAfee® Avert® Labs haben ein gutes Gefühl dafür, was die
Erstellung von Computer-Malware vorantreibt. Alle Länder mit relativ
armen Computerbenutzern mit guten Computerkenntnissen und
einem gut verfügbaren Internet tragen zu diesem Problem bei.
Dazu gehören Länder wie China, Russland, Brasilien und die Ukraine.
Abbildung 3: Bots im Angebot
Abbildung 4: Wählen Sie Ihr Exploit
Für uns ist offensichtlich, dass die russische Mafia und der russische
Inlandsgeheimdienst FSB nicht hinter dem Anstieg bei Malware-,
Spam- und Phishing-Angriffen stecken, die von der früheren
Sowjetunion ausgehen. Aufgrund der extrem hohen Gewinne und
der niedrigen Risiken muss die Mafia jedoch ein Interesse daran
haben, Computerkriminalität zu unterstützten. Gleichzeitig wäre es
sehr überraschend, wenn die Neuauflage der Geheimpolizei keine
auf Computersicherheit spezialisierte Abteilung hätte und nicht in die
Erforschung des Computerkriegs investieren würde. Dasselbe gilt für
das Militär. Nichtsdestotrotz sehen wir wirtschaftliche Faktoren als
Hauptursache für die Entwicklung von Malware in Russland und den
anderen früheren Sowjetrepubliken.
„Bronze Soldier of Tallinn“ (Bronze-Soldat von Tallin), Wikipedia. http://en.wikipedia.org/wiki/Bronze_Soldier_of_Tallinn
„Estonian DDoS—a final analysis“ (DDoS auf Estland – eine Abschlussanalyse), Heise
Security. http://www.heise-security.co.uk/news/90461
„Estonian DDoS Attacks—a summary to date“ (DDoS-Angriffe auf Estland – eine Zusammenfassung der bisherigen Ereignisse), Arbor Networks. http://asert.arbornetworks.com/2007/05/estonian-ddos-attacks-a-summary-to-date/
„DDoS attacks on the Estonian servers were not a cyber war“ (DDoS-Angriffe auf
estnische Server waren kein Cyber-Krieg), Heise Online. http://www.heise.de/english/newsticker/news/91095
Abbildung 5: Spam – Alles was Sie sich wünschen (und bezahlen können)
„Massive DDoS attacks target Estonia; Russia accused“ (Massive DDoS-Angriffe
auf Estland; Russland beschuldigt), Ars Technica. http://arstechnica.com/news.ars/
post/20070514-massive-ddos-attacks-target-estonia-russia-accused.html
10„Malware Evolution: April–June 2007“ (Malware-Entwicklung: April bis Juni 2007),
Viruslist.com. http://www.viruslist.com/en/analysis?pubid=204791956
Copyright © 2008 McAfee, Inc.
Dr. Igor Muttik arbeitet als Senior
Architect für McAfee Avert Labs. Er ist
Doktor der Physik und Mathematik.
Aufgrund seiner Untersuchungen
der ersten Computerviren begann
er bei Dr. Solomon's Software, einem später von McAfee, Inc. erworbenen
Unternehmen. Neben seinen Forschungen zu Malware hält Dr. Muttik rund
um den Globus regelmäßig Vorträge auf Sicherheitskonferenzen.
21
22
gtr | Februar 2008
gtr | Februar 2008
DEUTSCHLAND:
Malware lernt
die Sprache
Von Toralv Dirro und Dirk Kollberg
S
eit den 1990er Jahren unterscheidet sich das Bedrohungszenario von Europa (einschließlich
Deutschland) und Nordamerika. Die Hauptursache dafür liegt in der Vielfalt der Sprachen
– allein in der Europäischen Union gibt es 23 offizielle Sprachen. Außerdem ließ sich lange Zeit
beobachten, dass die meisten Malware- und anderen Angriffe an der Sprachbarriere scheiterten.
Diese Barriere machte sich zum Beispiel dann bemerkbar, wenn
je nach der Sprachversion des Betriebssystems unterschiedliche
Pfade im Dateisystem verwendet wurden. Malware bestimmte
häufig mithilfe fest codierter Pfade, an welchen Stellen Dateien zu
speichern oder Informationen zu suchen sind. Und das hat ganz
schlecht funktioniert. (Wir finden immer wieder noch kommerzielle
Software, die aus genau diesem Grund fehlerhaft arbeitet.)
Einige sehr primitive Viren hatten Erfolg, weil sie kaum Text
verwendeten. Davon war ein Teil mithilfe von VBSWG generiert, einem
Toolkit zum Erstellen von Viren, mit dem Jeder einfache MassenMailing-Würmer erstellen konnte, die mit Visual Basic Script arbeiteten.
Im folgenden Beispiel kommt es auf den Namen der Anlage an, damit
die Sprachbarriere leicht überwunden werden kann.
Die nächste Klasse von Malware, die mit der Sprachbarriere
Probleme hatte, waren Microsoft Word-Makroviren. Die ersten
Makroviren haben gar nicht funktioniert, und viele ihrer Nachfolger
hatten auch so ihre Probleme, weil in den lokalisierten Versionen
von Word auch die Funktionen lokalisiert wurden. Wenn sich ein
Virus also in die Funktion FilePrint hätte einklinken wollen, hätte er
bei einer deutschen Version von Word die Funktion DateiDrucken
und bei einer französischen Version die Funktion FichierImprimer
verwenden müssen. Diese Problematik veranlasste MalwareAutoren, Viren speziell für bestimmte Sprachversionen von Word
(z. B. deutsch, französisch, spanisch) zu erstellen. Natürlich gibt es
auch Makroviren, die keine der lokalisierten Funktionen benötigen
– und diese Viren sind in Europa durchaus erfolgreich.
Die nächste Welle bestand aus Mailing- und Massen-Mailing-Würmer,
d. h. Viren, die zielgerichtet E-Mails erstellten, um sich selbst an andere
Benutzer zu senden. Dieser Typ von Malware war für seinen Erfolg
erstmals auf Social Engineering angewiesen. („Social Engineering“
bedeutet in diesem Zusammenhang, dass der Empfänger überzeugt
sein muss, dass es sich lohnt, die E-Mail und die angefügte Datei zu
öffnen.) Das Problem ist für heutige Angreifer dasselbe wie bei den
ersten Mailing-Würmern: Sie müssen eine Nachricht erstellen, die
echt aussieht und den Benutzer veranlasst, die Anlage zu öffnen. Ein
guter Anfang besteht darin, den Nachrichtentext in der Muttersprache
des Empfängers zu verfassen oder nur wenig oder gar keinen Text
zu verwenden. Eine längere Nachricht, die angeblich von einem
Freund oder Kollegen stammt, gleichzeitig aber auf Englisch dazu
auffordert, unbedingt die Anlage zu öffnen, würde in Deutschland
nicht funktionieren.
Copyright © 2008 McAfee, Inc.
Abbildung 1: Der Schlüssel für diese verlockende Dateianlage liegt in
Social Engineering.
Wenn Windows Explorer so voreingestellt ist, dass bekannte
Dateierweiterungen ausgeblendet werden, würde diese
Malware als Datei mit dem Namen „AnnaKournikova.jpg“
angezeigt werden. In diesem Fall könnte ein Benutzer den Virus
fälschlicherweise für ein Bild halten.
Bei anderen Bedrohungen wurde der E-Mail-Text in der lokalen
Sprache geschrieben. Auch wenn eine Malware mit dieser Taktik
im jeweiligen europäischen Sprachraum erfolgreich war, stellte sie
23
24
gtr | Februar 2008
gtr | Februar 2008
außerhalb dieses Gebiets kaum eine Bedrohung dar. Dadurch hat
es eine Reihe lokaler Ausbrüche gegeben, bei denen ein einzelner
Virus eine bestimmte Region abdeckte, außerhalb dieses Gebiets
jedoch kaum Wirkung erzielte. Durch diese extreme regionale
Fokussierung können Forscher nur sehr schwer abschätzen, wie
groß die Bedrohung durch eine Malware wirklich ist. In solchen
Fällen hat es sich als überaus hilfreich erwiesen, in einzelnen
europäischen Ländern lokale Virenforschungslabore zu betreiben.
Dies ist ein Beispiel für den berüchtigten Downloader-AAP-Trojaner,
der in Deutschland sehr verbreitet ist. Diese Malware wurde
massenhaft an Benutzer gesendet, deren E-Mail-Adressen mit
„.de“ endeten. Der Text der E-Mail war auf deutsch geschrieben.
Viele Monate lang wurden diverse Spam-Offensiven pro Woche
beobachtet, die alle unterschiedliche Nachrichten im Textteil und
unterschiedliche Varianten des Downloaders und des von ihm
installierten Kennwörter stehlenden Trojaners enthielten.
Nach dem deutlichen Kurswechsel in der Malware-Szene, der durch
die im Botnet-Geschäft möglichen Profite ausgelöst wurde, werden
nun Daten stehlende Trojaner und Phishing-Angriffe in E-MailNachrichten immer ausgefeilter. Anfangs waren Nachrichten noch
in einem gebrochenen Deutsch verfasst, das sich las, als wäre
es per Babelfish aus dem Englischen oder Russischen übersetzt
wurden. Was wahrscheinlich auch der Fall war.
Laut der Nachricht erhält der Empfänger eine Rechnung von einem
Anwalt oder einem in Deutschland bekannten Unternehmen
(z. B. Deutsche Telekom, eBay oder GEZ). Dieser „Absender“ sticht
dem Empfänger ins Auge: Niemand erhält gern eine Rechnung,
ganz besonders dann nicht, wenn es sich um einen Schwindel
handeln könnte.
Heute sind die Texte in perfektem Deutsch geschrieben, sie nehmen
auf aktuelle Ereignisse Bezug und spielen mit der Erwartungshaltung
der Benutzer. So konnten während der Fußballweltmeisterschaft im
Sommer 2006 die Fans nur schwer Eintrittskarten bekommen. Daher
gab es E-Mails, deren Anlagen angeblich detaillierte Informationen
darüber enthielten, wie man diese seltenen Eintrittskarten kaufen
konnte. Der illegale Tausch von Musik und Videos ist schon seit
längerem ein Thema in den Nachrichten. Von deutschen Behörden
stammt der Vorschlag, Computer mittels eines so genannten
„Bundestrojaners“ online zu durchsuchen. Dieses Thema ist seit
einiger Zeit heiß umstritten und hat zu der folgenden E-Mail geführt:
Das Downloader-AAP-Beispiel nutzt den Angstfaktor: In
diesem Fall geht es um das Tauschen von Dateien und die
damit verbundenen juristischen Probleme in Deutschland. Die
Nachricht besagt, dass der Benutzer beim Herunterladen von
Dateien mit urheberrechtlich geschützten Inhalten in einem
Dateitausch-Netzwerk erwischt und seine IP-Adresse protokolliert
worden sei. Der PC des Benutzers wurde angeblich bereits von
dem Bundestrojaner durchsucht, zulässiges Beweismaterial sei
sichergestellt worden und das Bundeskriminalamt (BKA) würde
die Straftat melden.
Bei all diese Spam-Offensiven wurde in der E-Mail für weitere
Informationen auf die Anlage verwiesen, die wie eine Rechnung
aussah (oft mit dem Namen „Rechnung.pdf.exe“). Je nach den
Systemeinstellungen sahen manche Benutzer nur die Erweiterung
PDF und nahmen daher an, dass die Datei sicher ist. Diese war
jedoch eine böswillige ausführbare Datei, der Downloader-AAP.
Viele Empfänger dieser E-Mails bekamen es bei diesen Nachrichten
mit der Angst zu tun und klickten ohne weiter nachzudenken auf
die Anlage. Aufgrund dieser speziell auf Deutschland zutreffenden
Situation funktioniert diese Angriffsmethode in anderen Ländern nicht.
Schwerpunkt Deutschland
Warum konzentrieren sich die Bösen nur auf ein einziges Land?
Abbildung 2: Der Text behauptet, dass die IP-Adresse des Empfängers protokolliert
wurde, während er illegal Dateien mit anderen Benutzern austauschte. Der
Computer sei mithilfe des Bundestrojaners durchsucht und Beweismittel
sichergestellt worden. Es sei Anzeige erstattet worden, und die Anlage enthalte ein
Protokoll der auf dem Computer durchgeführten Online-Durchsuchung.
Der Downloader-AAP-Trojaner lädt eine Textdatei
herunter, die eine verschlüsselte URL enthält. Diese Datei wird
entschlüsselt, und die unter der URL befindliche Datei wird
heruntergeladen. Sie erweist sich als Spy-Agent.ba – ein
Trojaner, der sich auf Kreditinstitute konzentriert und versucht,
vertrauliche Kontoinformationen zu stehlen. Der Trojaner wurde
entworfen, um Homebanking-Verbindungen zu „übernehmen“
und Benutzeranmeldeinformationen und Transaktionsnummern
(TANs, Transaction Authentication Numbers) zu stehlen. Diese im
Trojaner enthaltenen Funktionen sind für verschiedene deutsche
Unternehmen optimiert. Der Trojaner schaltet sich selbst in die
Kommunikation zwischen dem zu Hause befindlichen Benutzer
und der Bank ein. Bei der Infiltration der Kommunikationswege
geht der Trojaner je nach Kreditinstitut anders vor.
Am 13. September 2007 gab das BKA bekannt, dass man eine
international agierende Phishing-Gruppierung zerschlagen und dabei
10 Personen festgenommen und eine Reihe von Computern und
anderen Beweismitteln sichergestellt hat. Der Pressemitteilung des
BKA zufolge handelte es sich um eine Gruppe, die weltweit PhishingE-Mails mit angehängtem Downloader-AAP-Trojaner verbreitet hat.
Aber das ist leider nicht das Ende von Downloader-AAP. Nur eine
Woche nach den Festnahmen erhielt McAfee® Avert® Labs eine
neue Probe, die sich auf eine ähnliche Weise verbreitet hat und
Spy-Agent.ba herunterlädt.
Von speziell auf Kreditinstitute abzielenden Trojanern ist nicht nur
Deutschland betroffen. Sie treten ebenfalls in anderen europäischen
Ländern auf und stellen auch in Brasilien eine große Bedrohung dar.
Deutsche Kunden legen bei ihren
Bankgeschäften sehr viel Wert auf
Sicherheit und haben Technologien
wie Homebanking nur sehr
zögerlich akzeptiert.
Phishing-Angriffe funktionieren in Deutschland schlechter als in vielen
anderen Ländern. Und das liegt nicht nur an der Sprachbarriere. Die
deutschen Kunden legen bei ihren Bankgeschäften sehr viel Wert auf
Sicherheit und haben neue Technologien wie Homebanking nur sehr
zögerlich akzeptiert. Aufgrund dieser zögerlichen Haltung wurden die
Banken gezwungen, ein Sicherheitsschema anbieten, welches es
erschwert, dass das eigene Bankkonto von Fremden übernommen
werden kann. Bei dem aktuellen System ist zum Anmelden nicht
nur ein Kontoname und eine PIN erforderlich, sondern zusätzlich
auch zu jeder Transaktion eine TAN. Diese werden dem Benutzer
von der Bank in gedruckter Form zugesendet. Bei jeder Transaktion
muss eine noch nicht verwendete TAN angegeben werden. Diese
starken Sicherheitsvorkehrungen haben Kriminelle gezwungen, für
Homebanking-Angriffe auf andere Länder auszuweichen.
TAN-Phishing
Einige Trojaner sind so entworfen, dass sie auf fremden Computern
TAN-Listen extrahieren, falls diese elektronisch gespeichert wurden.
Und natürlich gab es gelegentlich auch primitive Phishing-Mails, mit
denen versucht wurde, an solche TANs zu gelangen.
„Erfolg gegen international organisierte Online-Kriminelle“, BKA. http://bka.de/pressemitteilungen/2007/pm070913.html
Copyright © 2008 McAfee, Inc.
Abbildung 3: In dieser Phishing-Mail wird außer nach vielen persönlichen
Daten auch nach 10 unbenutzten TANs gefragt.
In den letzten Monaten wurden Trojaner beobachtet, die speziell
deutsche Banken angreifen, wobei sie sich in den Browser des
Benutzers einklinken und das Verhalten der einzelnen OnlineBanking-Sites mit gefälschten Fehlermeldungen simulieren, um die
vom Angreifer benötigte TAN zu erhalten. Solche Trojaner können
Möchtegernkriminelle auf bestimmten Websites käuflich erwerben.
Die Autoren haben Videos veröffentlicht, in denen deren Funktionen
und Wirksamkeit demonstriert werden. Angriffe auf das deutsche
Online-Banking sind in näherer Zukunft sehr wahrscheinlich.
25
26
gtr | Februar 2008
W32/Sober@MM ist ein Massen-Mailer, der in Deutschland,
Österreich und der Schweiz viel Aufmerksamkeit auf sich gezogen hat.
Die erste Variante wurde Ende 2003 gesichtet, die neueste im März
2007. Wie andere Massen-Mailer ruft W32/Sober E-Mail-Adressen auf
dem lokalen System ab und versendet E-Mails in der entsprechenden
Sprache der Top-Level-Domäne der einzelnen Empfängeradressen.
gtr | Februar 2008
An englische Empfänger versendete W32/Sober eine andere E-Mail
mit einer Kopie von sich selbst im Anhang:
Infizierte Webserver
Abbildung 6: Englischsprachigen Nachrichten gab W32/Sober ein
allgemeineres Erscheinungsbild.
Lokaler Touch
Abbildung 4: W32/Sober@MM kann Nachrichten in verschiedenen
Sprachen versenden. Die Sprache wird je nach der Top-Level-Domäne der
Empfängeradresse gewählt.
Bei einem anderen weit verbreiteten Angriff sendete
W32/Sober.p@MM eine E-Mail an deutsche Benutzer, in der stand,
dass der Empfänger Eintrittskarten für die Fußballweltmeisterschaft
gewonnen hat:
In Abbildung 7 können Sie sehen, wo es überall Opfer von Zunker
gibt und wie sich der Spam ausbreitet. Dieselbe Webschnittstelle
steuert die Trojaner und richtet die Nachrichten ein, die von den
Trojanern verbreitet werden – entweder für alle Opfer oder für
jedes Land eigene Nachrichten.
Ein weiteres Beispiel für lokalisierte Malware ist der Trojaner
Zunker. Dieser Kennwörter stehlende Trojaner versendet ebenfalls
Spam-Nachrichten oder lenkt Benutzer auf böswillige Sites, um
andere Benutzer zu infizieren. Das Unangenehme an diesem
Trojaner ist, dass er eine Verbindung zu einem Server im Internet
herstellt und dann je nach der IP-Adresse des Opfers die SpamNachrichten empfängt, die der Benutzer versenden soll.
Zunker sendet Spam-E-Mails nicht nur so, wie man es erwarten
sollte. Er bringt auch Text in den vom Benutzer gesendeten
E-Mails unter. Zu diesem Zweck installiert Zunker auf dem
kompromittierten Computer einen Mehrschicht-Dienstanbieter.
Jedes Mal, wenn der Benutzer eine E-Mail sendet, verändert
Zunker den Text und fügt einen böswilligen Link hinzu. Der
Empfänger der E-Mail kennt wahrscheinlich den Absender und
wird daher wohl Nachricht und Link als vertrauenswürdig ansehen.
Diese Nachrichten platziert Zunker auch in Instant MessagingNachrichten für ICQ, AOL und Yahoo.
Der zentrale Punkt in Sachen Lokalisierung ist in diesem Fall die
platzierte Nachricht. Wenn die IP-Adresse des Opfers beispielsweise
in Italien registriert ist, trägt Zunker eine italienische Notiz und den
Link ein. In Schweden wäre es eine schwedische Notiz, usw.
Ein anderer Verbreitungsweg für lokalisierte Malware ist die
Verteilung über Webserver. Wenn ein Browser eine Datei von einem
HTTP-Server anfordert, baut er eine TCP-Netzwerkverbindung
auf. Der Server empfängt die Anforderung, lädt die Datei von der
Festplatte und sendet sie zurück. Server, die als Host für böswillige
Dateien dienen, verfügen über ein weiteres Feature: Nach dem
Empfang der Anforderung überprüfen sie zuerst die IP-Adresse des
anfragenden Systems und lösen dessen Landeshost mithilfe einer
Datenbank auf. Mit dieser Information kann der infizierte Server für
jedes einzelne Land lokalisierte Dateien übermitteln.
Bei diesem System gibt es nur eine Verknüpfung zu einer Website.
Je nachdem, wo ihre IP-Adresse registriert ist, empfangen Benutzer
in den USA oder in Großbritannien einen englischsprachigen
Trojaner, während Empfänger in Deutschland oder Österreich
deutschsprachige Malware erhalten.
Diese infizierten Server können von Antiviren-Anbietern kaum
überwacht werden, da sie an die jeweilige URL unzählige Anfragen
von unterschiedlichen IP-Adressen senden müssten, um an
sämtliche Varianten der Malware zu gelangen.
Abbildung 8: Ein Trojaner könnte durch Auswerten der Zeile „Accept-
Außerdem wurden noch weitere Einzelheiten versprochen, in der
als ZIP-Datei komprimierten Anlage befand sich jedoch die Datei
„winzipped-text_data.txt.pif“. Diese enthielt natürlich keine
weiteren Informationen – sie war nur eine Kopie des Wurms.
Der Wurm trat zum idealen Zeitpunkt auf: Er schlug zu, als viele
Deutsche auf eine E-Mail von der FIFA-Eintrittskarten-Lotterie
warteten. Sogar die im deutschen Text aufgeführte Adresse und
Telefonnummer stimmten perfekt. Der Wurm bewirkte dann in
der Tat einen DDoS-Angriff (Distributed-Denial-of-Service) auf
das FIFA-Büro, da dort so viele Empfänger des Wurms unter der
angegebenen Nummer anriefen.
Copyright © 2008 McAfee, Inc.
Abbildung 7: Der Trojaner Zunker kann seine Nachrichten in verschiedenen
Sprachen lokalisieren und damit Benutzer in vielen Ländern ansprechen.
Vielen Angreifern ist inzwischen klar, dass sie regionale Aspekte
berücksichtigen müssen, um erfolgreich zu sein. Wir haben
gesehen, dass diese Lektion in Deutschland begriffen wurde,
und der Trend zum Lokalisieren von Angriffen wird bestimmt
weiter anhalten. Phishing-Angriffe werden immer raffinierter und
schwieriger ausfindig zu machen. Betrügerische Jobanbieter, die
Mittelsmänner für Geldgeschäfte suchen – ein kaum verhüllter
Versuch, Unschuldige für schmutziges Geld zu engagieren
– machen heutzutage einen sehr professionellen Eindruck und
werden zukünftig wohl noch stärker auf lokale Gegebenheiten
eingehen. Es ist wahrscheinlich, dass die Deutschen schon
bald im selben Maße Phishing-Angriffen, per E-Mail verteilten
Trojanern und Spam ausgesetzt sein werden wie Benutzer in
englischsprachigen Ländern.
Toralv Dirro ist Sicherheitsstratege
in der Hamburger Niederlassung von
McAfee Avert Labs. Dirro ist seit
1994 Forscher und ein namhafter
Experte für Antivirus-Technologien der nächsten Generation und Netzwerk-
Einen anderen Weg zur Übermittlung lokalisierter Dateien wird
bei einem Blick auf die vom Browser an den Server gesendete
Anforderung sichtbar:
Abbildung 5: Diese Nachricht teilt dem glücklichen Empfänger mit, dass
Fußballkarten verfügbar sind.
Fazit
Eindringungsschutz. Zu diesen Themen hält er oft Vorträge.
Dirk Kollberg arbeitet als Leiter der
Language“ (Sprache akzeptieren) die Nationalität dieser Clientanforderung
Malware-Forschung in Hamburg für
bestimmen, und für die Antwort die entsprechenden Sprache wählen.
McAfee Avert Labs. Seit nunmehr
Der Benutzer aus Abbildung 8 ist aus Deutschland (.de) und
verwendet Internet Explorer 6 unter Windows 2000. AntiMalware-Forscher haben bei solchen Servern wenig Probleme: Sie
senden einfach verschiedene Anforderungen von einer einzigen
IP-Adresse an einen Server und erhalten die diversen Dateien, die
der Trojaner anzubieten hat.
acht Jahren analysiert er Würmer,
Bedrohungen für Peer-to-Peer-Netzwerke und dienstausnutzende
Bedrohungen sowie Trojaner, Bots und andere Viren. Kollberg hat seine
Leidenschaft für Bits und Bytes dem Commodore PET zu verdanken.
27
28
gtr | Februar 2008
gtr | Februar 2008
BRASILIEN:
Zechprellerei
bei der Bank
C
Von Pedro Bueno und Patricia Ammirabile
„PWS-Banker“ bezeichnet werden. Dabei steht „PWS“ für das englische Wort „Password Stealer“
yber-Kriminalität hat enorme Auswirkungen auf die Wirtschaft, die sich weltweit unterscheiden.
Außerdem kann sich die Art der Cyber-Kriminalität von Land zu Land unterscheiden. In
Südamerika leidet Brasilien seit einigen Jahren unter einer Plage in Form von Trojanern, die als
(Kennwortdiebe). Diese Malware zielt also ganz besonders auf die Kennwörter von Bankkonten ab.
Die Trojaner fallen über Phishing-E-Mails ein. Diese E-Mails
zeigen gefälschte Anmeldeseiten an und treiben mit den Opfern
Psychospiele. Und ihnen fallen in Brasilien und außerhalb Brasiliens
jedes Jahr Tausende Benutzer zum Opfer. Ein Trick besteht dabei
darin, die Hilfsbereitschaft der E-Mail-Empfänger nach Unglücken
wie Unwettern oder Flugzeugabstürzen auszunutzen.
Um zu verstehen, wie die PWS-Banker es dennoch schaffen, diese
Sicherheitsmaßnahmen zu umgehen, müssen Sie zunächst die
Funktionsweise des Internet-Banking-Systems verstehen.
In Basilien ist der Finanzsektor mit Abstand das beliebteste Ziel
für Cyber-Kriminalität. Allein im Jahr 2005 schätzte Febraban (die
Bankenvereinigung Brasiliens) die Verluste durch virtuellen Betrug in
Brasilien auf 300 Millionen Brasilianische Real (165 Millionen US-Dollar).
•
•
•
•
•
•
In diesem Artikel werfen wir einen Blick auf die Organisation der
brasilianischen Banken, die Arbeitsweise der Kennwortdiebe und die
Bemühungen der brasilianischen Bundespolizei.
Der Zustand von Online-Banking
Febraban zufolge befassen sich die brasilianischen Banken mit
diesem neuen Betrugs- und Hacking-Szenario. Sie seien sich
aber bewusst, dass die Technologieentwicklung einen Punkt
erreicht hat, an dem es kein Zurück geben wird: Einerseits ginge
es um die unzweifelhaften Vorteile für die Kunden – die durch
die Möglichkeit, überall und jederzeit Transaktionen tätigen zu
können, Zeit und Flexibilität gewinnen – und das brasilianische
Finanzsystem, das durch die neuen Kanäle erheblich effizienter
geworden ist. Und daher würde auch so viel in die BankingTechnologie investiert: Im Jahr 2003 waren es 4,2 Milliarden
Brasilianische Real (2,3 Milliarden US-Dollar) und 6 Milliarden
Brasilianische Real (3,3 Milliarden US-Dollar) im Jahr 2006.
Aufgrund dieser Maßnahmen hat Brasilien heute eines der
effizientesten und sichersten Online-Banking-Systeme. Fast alle
Internet-Banking-Sites verwenden HTTPS und zwei PINs (eine PIN
zum Anmelden am System und eine weitere PIN zum Bestätigen
eines Vorgangs). Einige Banken erhöhen die Sicherheit zusätzlich mit
„Papier-Token“ und Token für einmalig einsetzbare Kennwörter.
„Segurança“ (in portugiesischer Sprache), Febraban. http://www.febraban.org.br/seguranca_site/seg_compromisso_de_todos.asp
http://www.febraban.org.br/seguranca_site/seg_investimento_seguranca_2007.asp
Copyright © 2008 McAfee, Inc.
Benutzer melden sich mit folgenden Schritten bei einer brasilianischen
Bank an:
Der Benutzer ruft die Bank-HTTP-Website auf.
Der Benutzer gibt die Nummer der Filiale und die Kontonummer ein.
Der Benutzer wird zur HTTPS-Site weitergeleitet.
Der Benutzer gibt die Internet-PIN (oder Token-Nummer) ein.
Der Benutzer startet eine Transaktion, z. B. eine Überweisung.
Der Benutzer gibt die Bank-PIN/Token-Nummer ein, um die
Transaktion zu bestätigen.
Wie funktionieren PWS-Banker?
Die Zunahme von Online-Betrug ist zum Teil darin begründet, dass die
an die Benutzer gesendeten Nachrichten immer raffinierter werden.
Sie unterscheiden sich sehr von denen aus den frühen Tagen des
Phishing, als Phishing-Nachrichten noch häufig Grammatik- und
Rechtschreibfehler enthielten und in einer unangemessenen Sprache
verfasst waren. Die neuesten betrügerischen Nachrichten täuschen die
Benutzer mit einem legitimen Aussehen und hochwertigen Bildern.
Zusätzlich senden die Phisher fast perfekte Kopien der Texte, die von
den jeweiligen Firmen verwendet werden. Die Angriffs-Tools sind
sogar im Online-Untergrundmarkt verfügbar und ermöglichen es
„Lamers“ (Hackern mit geringen technischen Kenntnissen), sich am
Online-Betrug zu beteiligen.
Die Phishing-E-Mails in den Postfächern der Opfer haben
verschiedene Themen:
•
•
•
•
•
•
Gefälschte Bestellungen von in Brasilien bekannten Online-Shops
Gefälschte Grußkarten
Gefälschte Sexbilder/-videos von Prominenten
Gefälschte Steuer-Software
Gefälschte Wahlberichte
Gefälschte Fotos von Pkw-Unfällen oder Flugzeugunglücken
„Lamer“, Wikipedia. http://en.wikipedia.org/wiki/Lamers
29
30
gtr | Februar 2008
gtr | Februar 2008
Die E-Mails enthalten Links, die dazu führen, dass die Opfer die
Datei „PWS-Bankers.dldr“ herunterladen, die als Downloader für
PWS-Banker dienen. Die Malware-Autoren setzen geschickt diese
kleinen Downloader mit maximal 45 KB ein, damit die Benutzer nicht
misstrauisch werden. Sobald sich diese kleinen Anwendungen einmal
auf dem Computer befinden, laden sie im Hintergrund heimlich den
eigentliche PWS-Banker herunter, der etwa 1-4 MB groß ist.
einer dieser Banken aufruft, öffnet es ein gefälschtes Fenster, dass
die Website der Bank imitiert.
Sobald PWS-Banker installiert ist, bestätigt es seinem Autor im
Hintergrund per E-Mail, dass ein weiterer Computer infiziert wurde.
Der Hacker erhält die folgenden Informationen:
Sobald die Malware diese Informationen erhalten hat, wird eine
Fehlermeldung angezeigt, und der Benutzer wird zur wahren
Internetseite der Bank weitergeleitet. Gleichzeitig sendet die Malware
eine E-Mail mit den folgenden Informationen an den Hacker:
• Kontoname
• Kontonummer
• Internet-PIN
• Bank-PIN
• Kennwort
• Name des Kontobenutzers
• Kreditkartennummer
• Kreditkarten-PIN
• Kreditkartendatum
• Ablaufdatum der Kreditkarte
• Name des Vaters (zur formellen Authentifizierung)
Computer Name: MACHINE-SVR
Computer User: Administrator
IP: 192.168.241.100
Date: 9/6/2007 Hour: 7:19:03 AM
Windows: Microsoft Windows XP (Version 5.1)
Mac Address: 00-0C-29-3C-C7-A1
IE-Version: 6.0IE-Version: 6.0.2600.0000
Windows Key: xxxxx-xxxxx-xxxxx-xxxxx-xxxxx
PWS-Banker bleibt im Speicher und überwacht, welche Webseiten
der Benutzer besucht. Die Malware ist meist auf fünf bis acht Banken
ausgerichtet. Wenn PWS-Banker feststellt, dass der Benutzer die URL
Die meisten Banken in Brasilien fragen für die Anmeldung die
Kontonummer, die Filialnummer und eine Internet-PIN ab. Der
Trojaner fragt nach weiteren Informationen, z. B. die Bank-PIN, die
Kreditkartennummer samt Prüfnummer und Ablaufdatum.
PWS-Banker-Schnellaktualisierung
Fazit
Am 16. Juni 2007 veröffentlichte die größte brasilianische Bank Banco do
Brasil eine neue Website für das Internet-Banking und veränderte dabei
das Design grundlegend. Die Banco do Brasil ist eine der in Brasilien am
häufigsten angegriffenen Banken, und die meisten PWS-Banker hatten
das alte Webseitendesign der Bank bereits in ihren Datenbanken.
Trotz der Zunahme an Phishing- und Kennwortdiebstahl-Trojanern
ist die Sicherheit beim Online-Banking in Brasilien recht hoch.
Dennoch geht der Kampf gegen Malware weiter.
Innerhalb weniger Tage entdeckten wir ein Quellcode-Repository von
PWS-Banker-Malware und fanden darin zahlreiche Dateien, die auf
brasilianische Banken abzielten. Dabei fiel mir eine der Dateien ganz
besonders ins Auge. Der Dateiname lautete „New Banco do Brasil
Screen.jpg“. Die Datei hatte das Datum vom 21. Juni und zeigte den nur
wenige Tage alten Kennwortbildschirm der neuen Website der Banco
do Brasil! Vorausgesetzt, dass das Datum stimmt, hatten die Schurken
innerhalb von weniger als fünf Tagen einen funktionierenden PWSBanker-Trojaner erstellt, der als neue Bank-Site durchgehen konnte.
Bemühungen der Polizei
In den vergangenen zwei Jahren konnte die brasilianische Bundespolizei
mehr Hacker verhaften, die in Kennwortdiebstahl verwickelt waren.
250 %
250+ %
200 %
213 %
157 %
100 %
Pedro Bueno ist Virenforscher bei
50 %
McAfee® Avert® Labs in Brasilien.
0%
2001 - 2004
2005
2006
QUELLE: Brasilianische Bundespolizei
Abbildung 3: Die brasilianische Polizei verhaftete 2005 mehr MalwareAutoren als in den vorherigen vier Jahren zusammen. Die Zahl der
Verhaftungen ist 2006 weiter gestiegen.
Abbildung 1: Der Online-Bildschirm einer echten Bank. Sie fragt nur Benutzername und Internet-PIN ab.
Die koordinierten Bemühungen der Kreditinstitute, der
Bundespolizei und der Sicherheitssoftware-Unternehmen und
die Schulung der Endbenutzer führen dazu, dass die derzeit
umfangreichen kriminellen Aktivitäten gegen Online-Banking
zunehmend eingedämmt und unterbunden werden können.
Anzahl der Festnahmen nimmt zu
150 %
Diese Beispiele verdeutlichen die Unterschiede:
Zum Schutz können wir Privatkunden und Unternehmen einige
empfohlene Vorgehensweisen vorschlagen. Im Geschäftsbereich
gehören beispielsweise das Festlegen von Richtlinien für die Nutzung
von E-Mails und Webbrowsern sowie der Einsatz einer effizienten
Sicherheitssoftware dazu. Privatkunden sollten Software verwenden,
mit der Spam, Spyware und ausgehender Datenverkehr an böswillige
Sites blockiert wird. Und: Misstrauen lohnt sich – wenn Sie sich nicht
sicher sind, ob eine E-Mail echt ist, rufen Sie zum Überprüfen das
Institut an, von dem die E-Mail angeblich stammt.
Er arbeitet bereits seit mehr als
10 Jahren im Sicherheitsbereich,
behebt Zwischenfälle in großen Telekommunikationsunternehmen und ist
beim SANS Internet Storm Center als ehrenamtlicher Mitarbeiter tätig.
Die Bundespolizei konnte im Wettbewerb gegen Hacker einige
Erfolge verbuchen. Im Zeitraum von Juli bis September 2007
verhaftete die Polizei fast 100 Personen, die in den Diebstahl von
Bankkontenkennwörtern verwickelt waren.
Im Juli führte die Polizeioperation Nerds II zur Verhaftung von
29 Personen, die für die Abzweigung von mehr als 10 Millionen
Brasilianischen Real (5,5 Millionen US-Dollar) in weniger als einem
Jahr verantwortlich gemacht werden.
Patricia Ammirabile ist
Virenforschungsanalytikerin bei
McAfee Avert Labs in São Paulo. Sie
arbeitet bereits seit 12 Jahren für
McAfee. Zu ihren Aufgabenbereichen gehörten der Support bei schwierigen
Problemen für Unternehmens- und Privatkunden, die Bereitstellung von
Sprachendiensten und das Analysieren von Malware.
Abbildung 2: Dieser gefälschte Bildschirm wird vom PWS-Banker-Trojaner verwendet. Dieses Formular ist etwas neugieriger: Es fragt den Benutzer nach
der Filialnummer, der Kontonummer und der Bank-PIN.
„Anti-Phishing: Best Practices for Institutions and Consumers“ (Empfohlene Vorgehensweisen für Institute und Verbraucher), McAfee. http://www.mcafee.com/us/local_content/white_papers/wp_anti_phishing.pdf
Copyright © 2008 McAfee, Inc.
31
32
gtr | Februar 2008
USA:
Der grosse
MalwareSchmelztiegel
Von Allysa Myers
gtr | Februar 2008
I
n den USA gehört die Bedrohung durch Malware mittlerweile zum Internetalltag. Jeder Benutzer ist
schon mindestens einmal mit Spam, Phishing und betrügerischen E-Mails zumindest in Berührung
gekommen, auch wenn nicht jeder darauf hereinfällt. Viren und Trojaner werden in E-Mails verschickt,
über scheinbar harmlose Websites verbreitet oder tauchen als Links in Sofortnachrichten auf und
dringen durch Schwachstellen im Betriebssystem oder in beliebten Anwendungen ein.
Beim Verfolgen illegaler finanzieller Ziele gibt es derart viele
Möglichkeiten zum Eindringen in Computer, dass kein Malware-Typ
als eindeutig amerikanisch oder im Vergleich mit anderen Ländern als
in den USA besonders dominant angesehen werden kann. In diesem
Artikel beschreiben wir, wie die USA die Entwicklung des Internets
beeinflusst haben und dies die weltweite Malware-Szene geprägt hat.
Malware – Alltag in den USA
In vielerlei Hinsicht nehmen die USA heute in Bezug auf Malware
keine Sonderstellung mehr ein. Die USA waren das erste Land
überhaupt, in dem das Internet von privaten und geschäftlichen
Benutzern gleichermaßen intensiv genutzt wurde. Die dabei
geschaffenen Standards und Erwartungshaltungen haben die
weltweite Wahrnehmung des Internets geprägt. Daher lässt sich
sagen, dass die Ansichten zum Internet von den Amerikanern
gestaltet wurden, die es geschaffen und bevölkert haben.
Da das Internet in den USA seit (relativ) langer Zeit besteht, ist es für
viele amerikanische Studenten und Staatsdiener schon frühzeitig zu
einem Teil ihres Lebens geworden. Die Benutzer sahen den Nutzen
dieser aufkommenden Technologie, und viele von ihnen erlangten
schnell Zugang zum World Wide Web oder zu E-Mail.
Noch bevor das Geld zum Hauptantrieb der Malware-Entwickler
wurde, erkannten die Hacker, dass eine Verbreitung ihrer Malware
in den USA den meisten Erfolg versprach. Nachdem andere Länder
begannen, das Internet kommerziell zu nutzen, wurden auch sie
zum Ziel von Malware.
Im internationalen Geschäftsleben ist eine einzelne Sprache als
Quasi-Standard außerordentlich hilfreich, was jedoch auch für
das Malware-Geschäft gilt. Die meisten geschäftlichen Benutzer
haben zumindest Grundkenntnisse in Englisch, wodurch die
Erfolgswahrscheinlichkeit für Social-Engineering-Angriffe auf
Englisch deutlich größer ist als für Betrügereien in anderen
Sprachen. Diese allgemein gebräuchliche Sprache erleichtert gezielte
Angriffe auf hochrangige Manager. Sie macht weitergehende
Nachforschungen zur Sprache der Zielperson überflüssig, da diese
sehr wahrscheinlich Englisch sprechen oder zumindest lesen kann.
Wie Sie an anderer Stelle in dieser Publikation lesen konnten, sind
die höchst individuellen Kulturen in anderen Ländern bereits zum Ziel
von bestimmter Malware geworden. Obwohl die Infektionsrate in
diesem Ländern möglicherweise langsamer verläuft als in den USA,
sind bestimmte Arten von Malware typisch für sie.
Viele Bedrohungen, darunter auch Malware und PUPs (potenziell
unerwünschte Programme) wie Adware, haben ihren Ursprung
in den USA. Andere Bedrohungen tauchten zuerst in anderen
Ländern auf und dehnten sich später auf die USA aus, nachdem
die Virenautoren erkannten, dass internationale Aktionen finanziell
lohnender sind. Dazu gehören Kennwortdiebe für Bankkonten und
Online-Spiele, die in anderen Ländern bereits verbreitet waren,
bevor sie in den USA auftauchten.
Das Internet – grenzenlos virtuell
Beim Internet können Grenzen leicht überschritten werden. Dank
technologischer Fortschritte wie Proxys ist es einfacher, den Standort
einer Person zu verschleiern, und das Web 2.0 sorgt für eine „virale“
Verbreitung von Inhalten innerhalb von Stunden.
Beinahe alle beliebten Web 2.0- und eCommerce-Websites wurden in
den USA gegründet, mittlerweile haben sie jedoch eine große Anzahl
von Benutzern aus anderen Ländern. Online-Auktions-Websites und
Online-Bezahldienste sind häufig das Ziel von Phishing und sind bei
Benutzern auch außerhalb der USA sehr beliebt. Laut Alexa.com
gehören Google, Yahoo, Blogger.com, MySpace, Wikipedia, YouTube
und Facebook zu den Top 15-Websites beinahe aller Länder weltweit.
Die größte Schwachstelle von Web 2.0-Websites ist die
Geschwindigkeit, mit der sich Inhalte verbreiten können. Das ganze
Spektrum von Phishing, Spam, Malware und Adware wurde auf
den beliebtesten Web 2.0-Websites gefunden. Malware-Autoren
haben bereits wiederholt bewiesen, dass sie neue Technologien
ausnutzen, sobald sie die Möglichkeit dazu bekommen.
Proxys sind eine weitere für Malware-Autoren interessante
Entwicklung. Ursprünglich wurden sie als Anonymisierer bekannt,
mit denen die Benutzer Beschränkungen durch Filterung oder
Überwachung umgehen konnten.
„Top Sites“ (Beliebteste Sites), Alexa.com. http://www.alexa.com/site/ds/top_500
Copyright © 2008 McAfee, Inc.
33
34
gtr | Februar 2008
Die Malware-Community setzt diese Technik jedoch ein, um den
geografischen Standort der Malware-Verbreiter zu verschleiern.
Diese Proxys werden meist zum Tunneln und Anonymisieren
verwendet und erschweren das Ermitteln der ursprünglichen
Verbindung – entweder durch das Entfernen von ID-Informationen
oder durch Hinzufügen weiterer „Sprünge“ in einer Traceroute.
Üblicherweise werden Proxys von Bots eingesetzt, deren Zweck
der „Besitz“ möglichst vieler remote gesteuerter Computer ist.
Sobald sie die Kontrolle über die Computer erlangt haben, können
die Botmaster zahlreiche weitere Tools auf ihnen installieren. IRCBots (Internet Relay Chat) kennen keinerlei Grenzen und nutzen
Proxys häufiger als alle anderen Malware-Typen. Diese Bots sind zur
Verbreitung nicht auf Social Engineering angewiesen. Stattdessen
nutzen sie Schwachstellen in Softwareanwendungen aus, bei
denen es keine Rolle spielt, in welchem Land der jeweilige Benutzer
sitzt. Bots infizieren anfällige Computer in Sambia, Korea oder
Liechtenstein ebenso bereitwillig wie die in den USA.
Geld und Ganoven
Im Jahr 2006 waren in den USA 5,8 Millionen Menschen im
Technologiesektor beschäftigt, und das Gehalt des durchschnittlichen
Technikers lag bei 75.500 US-Dollar im Jahr, das ist 86 Prozent mehr
als das durchschnittliche Einkommen außerhalb dieser Branche. Die
Arbeitslosigkeit liegt bei sehr niedrigen 2 Prozent, das bedeutet, dass
es einen Mangel an Fachkräften gibt.
Diese Zahlen unterscheiden sich kaum von denen der vergangenen
Jahre: Die Zahl der Arbeitsstellen stieg zwischen 2005 und 2006
um 2,6 Prozent, und das Durchschnittsgehalt lag im Jahr 2000
sogar bei 78.691 US-Dollar. Mit anderen Worten: In den USA
gibt es viele Menschen, die zu Hause und auf der Arbeit über
gute Internetverbindungen verfügen und gut bezahlt sind. Da
diese Menschen viel Geld verdienen, besitzen sie wahrscheinlich
leistungsstarke Computer, die für betrügerische Zwecke genutzt
werden könnten. Arbeitsfähige Fachkräfte haben jedoch gute
Chancen, eine der legitimen Arbeitsstellen zu erhalten.
In den USA gab es schon immer eine beachtliche Zahl junger Menschen,
die sich mit der Programmierung von Viren befassen, und es ist auch
nicht anzunehmen, dass der Anteil der Script-Kiddies jemals sinken
wird. Da die Bemühungen der Ermittlungsbehörden bislang geringen
Erfolg gezeigt und nur zu der Verhaftung einiger weniger Botmaster
geführt haben, gilt die Verbreitung von Malware als risikoarme
Möglichkeit, um in kurzer Zeit an große Summen zu kommen.
Seit der Anfangszeit des Internets ist die Wirtschaftslage in den
USA relativ stabil, und Computer-Arbeitsplätze sind recht gut
verfügbar und lukrativ. Obwohl einige computerbegeisterte Kinder
gelegentlich über die Stränge schlagen, so lange sie nicht alt genug
für eine Arbeitsstelle sind – mit Erreichen des Mindestalters
gtr | Februar 2008
wechseln sie meist in ein legitimes Arbeitsverhältnis in der
Computerindustrie.
Gefesselte Spam-Nachrichten und
gegrillte Bots
Mittlerweile wurde eine Reihe von Gesetzen erlassen, die sich
mit Malware, Spam und Adware befassen. Das älteste und am
häufigsten verwendete ist der U.S. Code Title 18, Abschnitt 1030.
Zudem gab es auch einige große Anstrengungen, um CyberKriminelle zu schnappen (der jüngste Fall ist Bot Roast (Gegrillte
Bots)), die auf die Festnahme von Botmastern abzielen. Zahlreiche
erfolgreiche Gerichtsverfahren wurden gegen Spam-Versender,
Botmaster und Adware-Firmen geführt, was jedoch nur geringe
Auswirkungen auf deren Aktivitäten hat.
Die Ermittler in den USA (wie auch in vielen anderen Teilen der
Welt) beklagen die internationale Gesetzeslage im Umgang mit
Computerkriminellen. Die Gesetze gegen Computerkriminalität
unterscheiden sich von Land zu Land, daher kann in einem Land
erlaubt sein, was im anderen illegal ist. Auch die Auslieferungsgesetze
unterscheiden sich und können Auswirkungen darauf haben, wie
mit Cyber-Kriminellen umgegangen wird. Selbst wenn diese beiden
Probleme in einem konkreten Fall kein Hindernis bilden, kann immer
noch die Bürokratie einen Strich durch die Rechnung machen.
Häufig verwenden Strafverfolger Monate auf das Aufspüren eines
Virenautors, nur um schließlich durch die Behörden in anderen
Ländern behindert zu werden. In der Zeit, die das Zusammentragen
der notwendigen Informationen oder das Kontaktieren der für einen
Fall wichtigen Ansprechpartner in Anspruch nimmt, kann sich eine
Spur vollständig verlieren.
Trickbetrüger im 21. Jahrhundert
Wenn von Malware die Rede ist, ist meist eine von zwei Kategorien
von Social Engineering gemeint: Angst oder Nervenkitzel. In beiden
Kategorien gibt es eine Vielzahl universeller Themen, die nur
durch die Beherrschung der Sprache eingeschränkt sind, in der die
Nachricht geschrieben ist. Themen wie Sex, Neugier oder Scham
(z. B. durch eigene oder fremde Nacktbilder) sind kulturübergreifend.
Die wichtigste Frage ist dabei, ob sich das Opfer des Social-EngineeringAngriffs genügend für das Thema interessiert.
Der Reiz der amerikanischen Popkultur ist nicht auf die USA
beschränkt. Selbst wenn eine Durchschnittsperson in irgendeinem
Land die Namen der bekanntesten Stars aus Bollywood, Europa
oder China nicht kennt, sind den meisten Menschen die Namen von
Prominenten wie Britney Spears oder Angelina Jolie geläufig. Die
Wahrscheinlichkeit, dass Computerbenutzer auf Social-EngineeringAngriffe hereinfallen, bei denen die Namen dieser Stars missbraucht
werden, wird nur durch ihre Beherrschung der Sprache in den
entsprechenden E-Mails und Sofortnachrichten eingeschränkt.
„Fraud and Related Activity in Connection with Computers“ (Betrug und ähnliche
Aktivitäten in Verbindung mit Computern), US-Justizministerium. http://www.usdoj.gov/criminal/cybercrime/1030_new.html
„Over 1 Million Potential Victims of Botnet Cyber Crime“ (Mehr als 1 Million potenzieller Opfer von Botnet-Cyber-Kriminalität), FBI. http://www.fbi.gov/pressrel/pressrel07/botnet061307.htm
„Number of U.S. tech jobs rises despite fears of outsourcing“ (Anzahl der Technik-Jobs
in den USA steigt trotz Sorge vor Outsourcing), USA Today. http://www.usatoday.com/tech/techinvestor/industry/2007-04-24-techjobs_N.htm
„Prosecuting Perpetrators of Malicious Software (Malware)“ (Anklage von MalwareKriminellen), Continuing Education of the Bar. http://ceb.ucop.edu/newsletterv7/criminal_Law.htm
„Alleged Botnet Crimes Trigger Arrests on Two Continents“ (Ermittlungen bei BotnetVerbrechen führen zu Verhaftungen auf zwei Kontinenten), PC World. http://www.pcworld.com/article/id,123436-page,1/article.html
„Impediments to the successful investigation of transnational high tech crime“ (Behinderung der Ermittlungen zu internationaler IT-Kriminalität), Computer Crime Research
Center. http://www.crime-research.org/articles/trends-and-issues-in-criminal-justice/
Copyright © 2008 McAfee, Inc.
Andererseits ist aufgrund der Größe der USA und der
isolationistischen Haltung vieler Amerikaner die ungewöhnlich
starke Tendenz zu beobachten, dass nur wenig Interesse an
internationaler Politik oder Kultur besteht. Social-EngineeringAngriffe mit Informationen zu aufregenden Ereignissen in anderen
Ländern werden sehr wahrscheinlich ignoriert, während in den
meisten anderen Ländern der Welt eine Meldung über den Tod eines
berühmten US-Amerikaners (wie im Falle von W32/Nuwar@MM)
große Aufmerksamkeit erhalten würde.
Nur wenige in den USA gebräuchliche Anwendungen werden nicht
in anderen Ländern verwendet. Im Gegenteil ist es sogar so, dass
die meisten beliebten Anwendungen in vielen Sprachen angeboten
werden. Dies trifft jedoch nicht auf häufig verwendete Anwendungen
in anderen Ländern – speziell im asiatischen Raum – zu. Es gibt
viele Spiele, P2P-Clients und IM-Clients (Instant Messaging,
Sofortnachrichten), die in China, Japan und Korea beliebt (und daher
beliebte Ziele) sind. Diese Anwendungen sind zusammen mit einigen
Adware-Programmen fast ausschließlich auf diese Länder beschränkt.
Die Angst-Kategorie dieser Betrügereien wird von Bounce Messages
(E-Mails mit der Meldung, dass die eigene E-Mail nicht zugestellt
werden konnte) und anderen Fehlermeldungen bedient. Vor allem
Bounce Messages sind sehr wirkungsvoll, da jeder Internetanbieter
ab einer bestimmten Größe seine Benutzer benachrichtigt, wenn ihre
E-Mails die Empfänger nicht erreicht haben. So lange der Absender
eine echt aussehende Bounce Message sieht, ist dieses Exploit bei
jedem beliebigen Benutzer in jedem beliebigen Land wirkungsvoll.
Fazit
In mindestens einem Fall wird beim Einsetzen von Social Engineering
eine Anpassung an das jeweilige Land erforderlich: beim Fälschen
von Behörden-E-Mails. Jeder US-Amerikaner wird besorgt sein,
wenn er scheinbar eine E-Mail der US-amerikanischen Steuerbehörde
IRS erhält, doch diese Taktik funktioniert in anderen Ländern nicht.
Diese Art von Social Engineering ist zwar relativ häufig anzutreffen,
doch es ist sehr unwahrscheinlich, dass der Virenautor nur diesen
einen Trick im Ärmel hat. Die meisten massenhaft versandten Viren
enthalten zahlreiche unterschiedliche Texte, und dies wird nur eine
von ihnen sein. W32/Sober@MM!M681 ist ein sehr gutes Beispiel:
Er enthält E-Mails, die angeblich von der CIA und dem FBI stammen,
Nachrichten zu Paris Hilton und Nicole Richie, drei in deutscher
Sprache verfasste E-Mails und einige weitere E-Mails, die andere
Taktiken verfolgen.
Da die USA schon immer ein „Schmelztiegel“ der verschiedensten
Kulturen waren, liegt die Stärke dieses Landes darin, dass es keine
wirklich homogene Gesellschaft hat. Diese vielfältige Umgebung
teilt sich dem Rest der Welt durch „Popkultur“, durch das Internet,
Filme, Fernsehen und Musik mit.
Phishing, Spam, Adware, Kennwortdiebe und Bots werden hier
ebenso wie im Rest der Welt zunehmend häufiger angetroffen.
Malware setzt zur eigenen Verbreitung auch weiterhin auf Social
Engineering und Schwachstellen. Teams von Malware-Entwicklern
arbeiten gemeinsam daran, den Sicherheitsentwicklern einen Schritt
voraus zu sein, und haben dabei bemerkenswerten Erfolg.
Malware ist ein unglaublich großes internationales Unternehmen.
Und solange die Kriminellen deutliche Gewinnsteigerungen
verzeichnen, wird dieses Problem auch weiterhin bestehen.
Wir lernen daraus, dass wir unabhängig von unserem Aufenthaltsort
auf der Welt stets wachsam und mehrschichtig vor Malware
geschützt sein müssen.
Schlupflöcher für Malware stopfen
Wenn sich Malware-Autoren nicht die Mühe machen möchten,
effektive Social-Engineering-Exploits zu erstellen, können sie immer
noch Schwachstellen angreifen – ein stetig wachsendes Ziel.
Je weniger Benutzeraktionen zum Ausführen der Malware
erforderlich sind, desto größer ist die Erfolgswahrscheinlichkeit. Dies
war vor allem bei IRC-Bots einer der Hauptgründe für ihren Erfolg.
Beim Angriff auf Schwachstellen gehören Betriebssysteme
und beliebte Softwareanwendungen zu den häufigsten Zielen.
Für einen Virenautor ist es meist nur dann sinnvoll, ein neues
böswilliges Exploit zu erstellen, wenn diese Anwendung häufig
genutzt wird. Und sobald dies der Fall ist, wird die Software sehr
wahrscheinlich von Menschen in vielen Ländern verwendet.
Allysa Myers ist Leitende
Virenforscherin für McAfee Avert®
Labs. Ihre Hauptaufgaben sind die
Koordination der Forscher und die
Erfassung globaler Malware-Trends. Sie diskutiert diese neuen Bedrohungen
und Trends auch mit der Presse und im Avert Labs-Blog. Allysa genießt es,
ihrem bissigen Sinn für Humor im Blog freien Lauf lassen zu können. Für sie
gibt es kein besseres Forum, um die Sicherheitsaspekte von Würzschinken
und Kleeblättern zu plaudern.
35
36
gtr | Februar 2008
gtr | Februar 2008
Die Zahlen:
Eine globale Sicht auf
die Bedrohungen
Das weltweite Bedrohungsszenario
Daten von Avert Labs zufolge hat sich die Zunahme von Schwachstellen
und Malware im Jahr 2007 im Vergleich zu 2006 verdoppelt. Das
US-amerikanische Institut für Standards und Technologie (National
Institute of Standards and Technology) und das Computer Emergency
Response Team Coordination Center (Koordinierungszentrum für
Computernotfall-Reaktionsteams) hat in den letzten Jahren eine starke
Zunahme der Schwachstellen beobachtet.
2.500
Schwachstellen in der US-amerikanischen
Schwachstellendatenbank
1.000
Im November 2007 überprüfte Avert Labs die Malware eines einzelnen
Tages aus sechs verschiedenen Ländern. Diese Diagramme zeigen,
welche Malware (in Prozent) am häufigsten verbreitet ist. Sie sind
sicherlich nicht überrascht, dass die meisten Spam-Nachrichten
in englischer Sprache verfasst sind. Doch wie viel Spam wirdOthers
in
VBS/Psyme
anderen Sprachen verschickt? Im letzten Tortendiagramm wird
die
durchschnittliche Verbreitung im zweiten Halbjahr des JahresJS/Exploit-BO.gen
2007 in
JS/Wonka
den fünf anderen in dieser Ausgabe berücksichtigten SprachenWinfixer
gezeigt.
Japan
1.617
60.000
VBS/Psyme
5,0 %
JS/Exploit-BO.gen
2,0 %
Exploit-MIME.gen.c
4,1 %
JS/WonkaJS/Exploit-BO.gen
3,0 %
Exploit-ANIfile.c
Others
Winfixer JS/Wonka
3,4 %
1,9 %
JS/Downloader-AUD
Exploit-ANIfile.c
Exploit-MS06-014
Winfixer
2,9 %
1,8 %
W32/Antinny.gen!p2p
VBS/Psyme
Exploit-MS06-014
Exploit-MIME.gen.c
3. Quartal 2006
3. Quartal 2007
Others
JS/Downloader-AUD
China
ANZAHL AN VIREN UND TROJANERN
438 %
Exploit-ANIfile.c
70,7Exploit-ANIfile.c
%
Andere
New Malware.j
JS/Downloader-AUD 2,3 %
5,4 %
Exploit-ANIfile.c
VBS/Psyme
New Malware.z
W32/Antinny.gen!p2p 2,2 %
4,6 %
VBS/Psyme
W32/HLLP.Philis.ini
Tool-Evid
Others
Exploit-MS06-014
3,2 %
W32/HLLP.Philis.ini
1,9 %
PWS-QQPass
W32/Wukill.worm.gen
ObfuscatedHtml
3,0 %
Exploit-MS06-014
1,9 %
Exploit-ObscuredHtml
New Malware.n
New Win32
New Malware.z
New Malware.j
Tool-Evid
30.000
Russland
20.000
12.351
VBS/Psyme
New Malware.z
Others
PWS-QQPass
3. Quartal 2006
ObfuscatedHtml
2,4 %
W32/Antinny.gen!p2p
New Malware.j
2,5 %
ObfuscatedHtml
54.097
Tool-Evid
Andere
75,2W32/Wukill.worm.gen
%
W32/Jeefo
2,4 %
Exploit-IEPageSpoof
PWS-QQPass
W32/Wukill.worm.gen 2,3 %
2,9 %
New Malware.n
JS/Downloader-AUD
Exploit-ObscuredHtml
New Malware.n
2,9 %
2,3 %
New Win32
JS/Exploit-ActXComp
Others
Exploit-ObscuredHtml
VBS/Psyme
New Win32
2,8 %
2,0 %
Tool-TPatch
IE Window Popper
W32/Jeefo
VBS/Psyme
2,7 %
1,8 %
Keygen-XPStyle
VBS/Psyme
Exploit-IEPageSpoof
W32/Jeefo
2,7 %
3. Quartal 2007
JS/Downloader-AUD
JS/Downloader-AUD
Exploit-IEPageSpoof
JS/Wonka
JS/Exploit-ActXComp
JS/Downloader-AUD
Gemeldete Schwachstellen
Exploit-ByteVerify
W32/HLLP.Philis.ini
Exploit-ByteVerify
Exploit-ANIfile.c
40.000
0
2,3 %
Exploit-MIME.gen.c
50.000
10.000
Andere
71,9VBS/Psyme
%
Exploit-ByteVerify
Exploit-MS06-014
2,6 %
500
0
Exploit-MS06-014
Others
2.084
JS/Exploit-BO.gen
Tool-TPatch
IE
Window Popper
4,8 %
VBS/Psyme
2,0 %
Exploit-ByteVerify
8.000
Keygen-XPStyle
VBS/Psyme
3,6 %
JS/Downloader-AUD
1,8 %
New Malware.j
Others
7.000
JS/WonkaJS/Downloader-AUD 1,6 %
3,0 %
Winfixer
VBS/Psyme
Downloader-AAP
2,8 %
JS/Wonka
New Malware.n
Exploit-MS06-014
9.000
6.000
Keygen-XPStyle
1,6 %
JS/Exploit-BO.gen
2,5 %
Downloader-AAP
5.000
New Malware.j
Exploit-ByteVerify
JS/Exploit-BO.gen
4.000
3.000
Brasilien
2.000
1.000
0
'95 '96 '97 '98 '99 '00 '01 '02 '03 '04 '05 '06 '07
(Hoch-
rechnung)
CERT/CC
NIST
Exploit-ByteVerify
PWS-Banker.gen.i
New
Malware.j
Andere
70,2VBS/Psyme
%
2,2 %
Exploit-ANIfile.c
Winfixer
VBS/Psyme
6,3 %
Exploit-MS06-014
2,1 %
PWS-Banker.dldr
New
Malware.n
5,0 %
Exploit-MS06-014
New Malware.j
2,1 %
JS/Wonka
Others
JS/Exploit-BO.gen
2,9 %
New Malware.j
1,7 %
JS/Downloader-AUD
VBS/Psyme
PWS-Banker.gen.i
2,9 %
JS/Exploit-BO.gen
1,6 %
New
Malware.n
JS/Exploit-BO.gen
New Malware.n
Exploit-ANIfile.c
2,7 %
PWS-Banker.gen.i
JS/Wonka
PWS-Banker.dldr
Exploit-ANIfile.c
RemAdm-PSKill
JS/Wonka
PWS-Banker.dldr
Avert Labs-Fakten am Rande:
ANZAHL
353.760
USA
FAKT
Gesamtanzahl der von McAfee Avert Labs identifizierten
Bedrohungen (bisher insgesamt)
131.800
Von Avert Labs allein 2007 identifizierte Bedrohungen
50.000+
Täglich von Avert Labs analysierte Proben
325
Others
JS/Downloader-AUD
Täglich von Avert Labs identifizierte eindeutige Malware
53.567
Eindeutige neue Malware im Jahr 2006
131.862
Eindeutige neue Malware im Jahr 2007
246 %
Malware-Wachstum von 2006 bis 2007
JS/Wonka
Andere
67,9VBS/Psyme
%
New Malware.n
Exploit-ANIfile.c
2,7 %
WinFixer
RemAdm-PSKill
JS/Wonka
3,2 %
2,4 %
Exploit-ByteVerify
1,9 %
Puper
Englisch
3,1
Exploit-MS06-014
JS/Downloader-AUD
3,1 %
Exploit-ANIfile.c
Andere
WinFixer
Deutsch
Exploit-MS06-014
Exploit-ANIfile.c
English
Exploit-ByteVerify
Spam
Exploit-MS06-014
Malware.n
JS/Exploit-BO.gen
4,5 %
JS/WonkaNew
WinFixer
Others
Englisch
67,0Puper
%
German Exploit-ByteVerify
Andere
29,7 %
Russian Puper
Deutsch
2,5 %
Japanese
Russisch
0,60Spanish
%
Chinese Japanisch
Spanisch
Chinesisch
Copyright © 2008 McAfee, Inc.
JS/Downloader-AUD
3,0 %
JS/Downloader-AUD
VBS/Psyme
5,5 %
2,7 %
JS/Exploit-BO.gen
JS/Downloader-AUD
RemAdm-PSKill
%
dramatische Änderungen erfahren hat. Die sich schnell ändernde Malware ist komplexer
und raffinierter geworden.
Zu den neuen Entwicklungen gehört, dass der Umfang und der
Schweregrad der kriminellen Cyber-Aktivitäten stark zugenommen
hat. Wir haben auch eine Flut von Datenkompromittierungen erlebt,
die weit reichende Konsequenzen für Einzelpersonen und selbst für
namhafte Organisationen hatten. Und wir haben beobachtet, wie
von Regierungen erstmals Cyber-Spionage eingesetzt wurde, die
die Sicherheit von ganzen Nationen aufs Spiel setzen kann. Dadurch
sind neue Herausforderungen an die Sicherheit entstanden, die
die Möglichkeiten von traditionellen Antivirentechnologien an
ihre Grenzen bringen. Die Zeiten, in denen Cyber-Kriminalität
und Datenkompromittierung einfach mit Antivirenlösungen auf
Host-, Netzwerk- und Serverebene bekämpft werden konnte, sind
eindeutig vorbei.
Unter Berücksichtigung dieser Herausforderung besteht die beste
Verteidigung in einem ganzheitlichen Ansatz, d. h. über das
Konzept des Sicherheitsrisikomanagements (SRM), das Risiken
und Konformität miteinander vereint. Ein Aspekt dieses Konzepts
ist die Verteidigung der mehrschichtigen Infrastruktur vor den
sich stets ändernden Bedrohungen und Exploits – Konformität
ist jedoch ebenso wichtig. Gesetze zu Offenlegungspflichten und
Konformitätsverpflichtungen haben dafür gesorgt, dass Sicherheit auch
in den Vorständen thematisiert wird.
Das derzeitige Schlagwort heißt „Integration“. Den aktuellen
Bedrohungen können wir am besten mit mehreren Technologien
entgegentreten, die über ein zentrales Verwaltungssystem
zusammenarbeiten und kommunizieren. Gleichzeitig erstellt das
System Konformitätsberichte, um auf Prüfungen reagieren zu können.
der Informationsaustausch zwischen den Forschergruppen wichtig,
die sich mit Netzwerk- und Host-Eindringungsschutz, Enveloping,
Shielding und dem Schutz von Hostsystemen befassen. Auf diese
Weise erweitern wir unsere Wissensbasis, und wir können unseren
Kunden top-aktuelle Informationen zu den Bedrohungen zur
Verfügung stellen.
Wir veröffentlichen außerdem einen Jahresbericht über Vorhersagen,
in dem Trends und Bedrohungsarten beschrieben werden, die wir
für das nächste Jahr erwarten. Das Jahr 2007 war in dem Sinne
fantastisch, als dass unsere Vorhersagen so genau waren wie nie
zuvor. Diese hohe Genauigkeit war die Triebkraft hinter unseren
Entwicklungsbemühungen und den kürzlichen Übernahmen. Unser
Forscherteam stellt zudem sicher, dass unsere Kunden über die uns
bekannt werdenden aktuellen Bedrohungen und Trends umgehend
informiert werden, indem wir weitere Whitepaper, Artikel und BlogBeiträge veröffentlichen. Der Umfang unserer Veröffentlichungen
in diesem Bereich ist um das zehnfache gestiegen. Unser
Hauptaugenmerk liegt natürlich darin, dieses Wissen in unseren
Produkten umzusetzen.
Unser Ziel als Unternehmen war schon immer – und wird es
auch stets sein – unseren Kunden einfachere und schnellere
Sicherheitsentscheidungen zu ermöglichen, damit sie so schnell
wie möglich Richtlinien festlegen, wertvolle Ressourcen und
Daten sichern und ihren täglichen Geschäftsbetrieb mit Zuversicht
durchführen können. Und wir werden unsere Fähigkeiten
kontinuierlich immer noch weiter verbessern – damit Sie das
schützen können, was Sie schätzen.
JS/Exploit-BO.gen
New Malware.j
Others
Winfixer
R
Downloader-AAP
Others
Tool-TPatch
JS/Exploit-ActXComp 2,5 %
73,9IE%WindowAndere
Popper
Deutschland
Von Christopher Bolin
ückblickend wird deutlich, dass das weltweite Sicherheitsszenario im vergangenen Jahr
Tortenstücke: Top 10 bei Malware und
Spam nach Sprache
29 %
2.000
1.500
Das letzte Wort
Russisch
0,13 %
Japanisch
0,06 %
Spanisch
0,05 %
Chinesisch
McAfee® Avert® Labs hat sich ebenfalls die Integration auf die
Fahnen geschrieben. Dank der unermüdlichen Bemühungen von
Jeff Green, Senior Vice President für Produktentwicklung und
Avert Labs, hat unsere Gruppe eine Umwandlung erfahren, die
unsere Position als eines der weltweit führenden Unternehmen im
Bereich der Bedrohungsforschung stärkt. Green war die treibende
Kraft bei vielen positiven Veränderungen. Unter seiner Führung
erlebten wir die bisher geringste Fluktuation, und wir haben
neue Fachleute mit soliden Branchenerfahrungen eingestellt.
Außerdem haben wir unsere spezialisierten Forschungsteams
integriert, um die Arbeitsweise und die Antwortzeiten zu
optimieren. Zusätzlich nutzen wir zu einem beispiellosen Grad
Automatisierungsmechanismen, die uns völlig neue Entdeckungsund Blockierungsmöglichkeiten verschaffen. Da viele Bedrohungen
verbreitete Technologien verwenden, ist uns die Kooperation und
Christopher Bolin ist Executive Vice
President und Chief Technology
Officer bei McAfee, Inc. und für die
weltweite Entwicklung aller McAfeeProdukte verantwortlich. Bevor Bolin
im Jahr1998 zu McAfee (damals
Network Associates) stieß, war er Engineering Director bei CyberMedia,
beteiligte sich an der Entwicklung von Antivirenprodukten bei Trend Micro
und war als QA-Direktor bei Symantec Corp. tätig.
37
McAfee, Inc.
3965 Freedom Circle
Santa Clara, CA 95054, USA
888.847.8766
www.mcafee.com
McAfee und/oder weitere hier enthaltene Marken sind eingetragene Marken von McAfee Inc. und/oder seinen Tochterunternehmen in den USA und/oder anderen Ländern. Die Farbe McAfee-Rot in
Verbindung mit Sicherheit ist ein Merkmal der McAfee-Produkte. Alle anderen eingetragenen und nicht eingetragenen Marken in diesem Dokument sind alleiniges Eigentum ihrer jeweiligen Besitzer.
© 2008 McAfee, Inc. Alle Rechte vorbehalten.
12-avert-sage-rpt-003-0108