Verbreitung von Malware

Transkript

1 Verbreitung von Malware von Simon Egli - simon.egli@csnc.ch Ein Leben ohne Internet?! Unvorstellbar! Täglich klicken wir uns durch die Informationsflut des World Wide Web, doch wissen wir, wo die Gefahren heutzutage lauern? Einleitung Ein Grossteil der Internet Benutzer hat in den letzten Jahren gelernt, wie man sich vor Viren und Trojaner, welche sich per Attachements verbreiten, schützen muss. Doch die zunehmende Verbreitung von Malicious Software (Malware) aus dem Internet, zusammen dem Drang durch Online Kriminalität Geld zu verdienen, eröffneten völlig neue Gefahren. Dieses Dokument fasst die aktuellen Gefahrenszenarien zusammen und gibt Empfehlungen zu einem sicheren Umgang mit dem Internet. Das war einmal... Als die ersten Viren unsere Mailboxen erreicht haben, war die Absicht deren Entwickler klar: Aufmerksamkeit und das Beweisen ihrer Fähigkeiten. Was zählte, waren möglichst viel befallene Computer. Die Anwender erfreuten sich am neusten Stand der Technik, waren sich aber den Gefahren meist nicht bewusst. Erfolgreiche Viren und Würmer wie z.b. ILOVEYOU [1] im Frühling 2000 bestätigten dieses Verhalten, wobei bereits damals Schäden in Milliardenhöhe enstanden sind. (ILOVEYOU Virus - geschätzte $10 Mrd.) Einer der wenigen Vorteile war jedoch, dass Viren leicht zu erkennen waren. Gab der Computer komische Laute von sich oder machte mit aussergewöhnlichem Verhalten auf sich aufmerksam, installierte man ein Antivirus- Programm um die Schadsoftware wieder zu entfernen. Die Benutzer wurden Dank Pressemitteilungen über grössere Viren- Attacken sensibilisiert. Nicht mehr jedes Attachement wurde ohne weiteres geöffnet und s mit fremdem Absender und SPAM begann man zu misstrauen. Mit diesem zunehmend aufgeklärten Verhalten lag es wieder an den Malware Herstellern neue Wege zu finden, um Computern mit Schadsoftware zu infiszieren. Die Motivation deren änderte sich jedoch dramatisch. Cyberkriminalität wird zum Milliardengeschäft I LOVE YOU Virus - Frühling 2000 Banküberfälle, wie man sie aus der Zeit von Lucky Luke und den Dalton Brüdern kennt, haben im heutigen Zeitalter definitiv ausgedient. Nicht etwa, weil Bankfilialen in den letzten Jahren nicht mehr ausgeraubt wurden, sondern weil sich Dank dem Internet und dem wachsenden Online Shopping neue und vorallem einfachere, niederschwelligere Möglichkeiten aufgetan haben, sich unberechtigt zu bereichern. Wir sparen uns den Weg zur Bank oder Post und begleichen unsere Rechnungen einfach und schnell per Mausklick, verschönern unsere 1 / 8

2 Wohnungen mit Gegenständen aus Auktionsplattformen und kaufen uns die Tickets für das nächste Konzert unserer Rock- Stars online. Wir bezahlen mit Kreditkarte, wiederum schnell und einfach, und lassen uns die gekauften Waren direkt nach Hause liefern. Wer möchte schon darauf verzichten? Doch Wirtschaftsplätze, wie das Internet mit grossem und wachsendem Geldumschwung, wirken magnetisch auf Personen mit kriminellen Absichten. Cyber Attacken wurden dadurch nicht mehr von einzelnen Idealisten durchgeführt, sondern vermehrt von organisierten Banden mit dem Ziel, sich auf Kosten Anderer zu bereichern. Gemäss Schätzungen des führenden Forschungs- Unternehmens Gartner Inc. aus Stamford, USA, verloren U.S. Kunden im Jahr 2007 $3.2 Mrd. alleine durch Phising Betrug [2]. Wobei Phishing Attacken nur einen Teil des Online Verbrechens ausmachen. Malware und deren Auswirkungen Malware (Setzt sich zusammen aus Malicious Software - z.b. Viren, Würmer, Backdoors und Trojaner) auf den Computern der Benutzer bilden die Basis für das organisierte Verbrechen im Internet. Dabei entwickelten die Programmierer die Malware in den letzten Jahren immer unsichtbarer und korrupter, dass die Meisten Benutzer nichts mehr von deren Aktivitäten bemerken. Hat ein Angreifer einmal einen Computer unter seiner Kontrolle, verwandelt sich das Leben des Benutzers in einen Glaspalast. Gezielt werden persönliche Informationen wie Logindaten ausspioniert und e-banking Accounts geplündert. Kreditkarten Details werden gestolen und für andere Einkäufe im Internet missbraucht. Gestolene Informationen können wiederum auf dem Schwarzmarkt (online versteht sich...) verkauft und danach für weitere kriminelle Aktivitäten, wie Identitäts Diebstahl (Identity Theft) oder Erpressung verwendet werden. Bemerkt werden solche Fälle meist erst, wenn es bereits zu spät ist. Und die Wahrscheinlichkeit die Urheber zu ermitteln ist gerade wegen der grossen Anonymität im Internet beinahe gleich null. Da der Computer des Konsumenten das schwächste Glied der ganzen Kette darstellt, versagen auch viele Bemühungen auf seitens der Betreiber einen Online Marktplatz sicher zu machen. Doch infiszierte Computer werden nicht nur ausspioniert. Weiter werden sie in den Meisten Fällen einen Teil eines riesigen Bot- Netzes. Bot- Netze Quelle: Bundesamt für Sicherheit in der Informationstechnik Der Begriff Bot kommt von robot und heisst soviel wie arbeiten. In der IT- Welt ist mit Bot ein Programm gemeint, das ferngesteuert auf einem PC arbeitet. Von Bot- Netzen spricht man dann, wenn sehr viele PCs, meist mehrere Tausend, per Fernsteuerung zusammengeschlossen und zu bestimmten Aktionen missbraucht werden. Neuseeländer soll Botnetz mit 1,3 Millionen Computern gesteuert haben. heise.de - 30.Nov / 8

3 Da sich viele Bots zunächst ziemlich unauffällig verhalten, bemerkt der Anwender von diesen Aktivitäten meist nichts. Doch der Schein trügt. Denn die Verursacher der Schadprogramme können diese per Knopfdruck aktivieren. Dazu schicken sie entsprechende Kommandos an den befallenen PC. Eine einzige kriminelle Person kann alle Bots zentral in seinem Netzwerk dirigieren und ihnen befehlen, die gleichen Aufgaben auszuführen. Die Voraussetzung dafür ist, dass der PC online sein muss. Ein PC scheint nun ganz normal zu arbeiten, während sich gleichzeitig im Hintergrund lauter unerfreuliche Dinge abspielen. Internetseiten lahm zu legen. Andererseits wird über diese aber auch SPAM (Bis zu drei SPAM- E- Mails pro Sekunde; 259'000 tausend pro Tag) unerkannt versendet. Bereits im Dezember 2006 waren 94% aller s SPAM [4]. Darüber hinaus werden Bot- Netze oft gegen Geld an Dritte weitervermietet. In den letzten sechs Monaten von 2007 identifizierte das Sicherheitsunternehmen Symantec 4'091 Bot- Netze weltweit [6]. Dabei befinden sich die meisten C&C Server dieser Netze in den USA (45%) und Europa. IRCbasierte (Internet Relay Chat) Netze nehmen laufend ab, da die Kommunikation, über welche die Netze gesteuert werden, vermehrt über HTTP- und P2P- basierte Protokolle oder über Web 2.0 Technologien stattfindet. Aufbau eines Bot- Netzes. Bot- Netze werden von Cyberkriminellen zu bestimmten Aktionen missbraucht. Das können einerseits DDoS-Angriffe [3] sein, um grosse Verteilung der C&C Server der Bot- Netze weltweit. [5] Doch wie werden PC's heutzutage infisziert damit dieses weltweite Verbrechen funktioniert? Verteilung der DDoS- Attacken weltweit. [5] 3 / 8

4 Wie man sich heute infisziert Schwachstellen in Client- Applikationen (65%): Durch das Ausnutzen dieser Schwachstellen, wird die Malware auf den PC heruntergeladen und installiert. Betroffene Applikationen sind: Browser (Internet Explorer, Firefox, Opera etc.) aber auch Microsoft Word, Excel, PowerPoint, Outlook, Adobe Acrobat Reader, WinZip u.v.m. Der grösste Angriffspunkt bietet der Browser inkl. den installieren Add-ons und Plugins. Gemäss einer Statistik von Symantec, sind folgende Plugins betroffen, wobei ActiveX (Internet Explorer) am häufigsten verwundbar ist: SPAM und unerwünschte s (13%): Senden von s mit Attachements, die Malware enthalten oder Links, welche zu Websites mit Browser Exploits führen. Das gleiche Vorgehen wird bei Instant Messanging (IM) Networks (MSN, Skype, Yahoo, Google Talk, etc.) verwendet. Schwachstellen in Netzwerk Diensten (11%): Abscannen von IP Adressen um danach gefundene Dienste (RPC, MSSQL, etc.) zu exploiten. Netzwerk Freigaben (Shares): Suchen von unsicheren Computern (Default Passwörter, Öffentliche Freigaben) um diese dadurch zu infiszieren. P2P (Peer-to-peer) (9%): Die Benutzer werden dazu verleitet, infizierte Fake Software (Kommerzielle, wie auch Open Source) herunterzuladen und zu installieren. Sonstige Methoden (2%): Das Verlangen eines Codecs, um auf einer Website ein Video anzuschauen, gefakte Anti- Spyware Programme, welche Malware Inhalte enthalten, etc. Quelle: ENISA - European Network and Information Security Agency. "Botnets - The Silent Threat" Browser Plugin- Vulnerabilities Jul-Dez 2007 Quelle: Symantec Internet Security Threat Report Weiter sind 71% der Top 50 Malicious Codes Trojaner, welche die Kontrolle über einen PC ermöglichen. Herkunft dieser ist bei 46% Nordamerika, gefolgt von EMEA mit 31%, APJ mit 20% und Latin America mit 3% [6]. Malicious Websites Malicious Websites sind Internetseiten, welche Malware enthalten. Wenn ein Internetsurfer sich auf eine solche Seite durchklickt, wird nebst dem normalen Inhalt im Hintergrund der Schadcode mitgeladen, welcher eine vorhandene, lokale Schwachstelle im Browser oder einem Browser- Plugin ausnutzt. Dass solche Seiten nur in den dunklen Ecken des Internets vorkommen, hat sich in der letzten Zeit stark geändert. 4 / 8

5 Any website, no matter how trusted, can be vulnerable to attack. (stopbadware.org) Immer mehr werden normale Websites mit schwacher Sicherheit gehackt und mit Malware verseucht. Dies geschieht in den meisten Fällen über den HTML Tag IFrame [7]. IFrames IFrame ist ein HTML Tag, welcher innerhalb einer Website ein zusätzliches Fenster" einbettet. In dieses Fenster können interne, aber auch externe Websites eingebunden werden. Beim Aufruf einer solchen Seite, wird der externe Inhalte automatisch mitgeladen und ausgeführt. IFrames werden häufig verwendet, um dymanischen Inhalt, wie z.b. Strassenkarten etc. einzubinden. <html> <body> Normaler Inhalt... <iframe src=" style="visibility:hidden;display:none"> </iframe> </body> </html> Beispiel mit einem unsichtbaren iframe. Bei einem Angriff sind IFrame so klein, dass sie nicht mehr sichtbar sind. Trotzdem werden die externen Inhalte mitgeladen und ausgeführt. Meistens befinden sich die IFrame Tags am Anfang oder ganz am Ende des HTML Codes. Javascript Browser Exploits Eine andere Art einen Computer zu infiszieren geschieht mit Hilfe von JavaScript Browser Exploits. JavaScript ist eine Script Sprache, die vom Browser interpretiert wird und zusätzliche Funktionalität auf einer Website schafft. Wenn JavaScript zum verteilen von Malware zum Einsatz kommt, wird sie häufig codiert oder verschlüsselt. Somit verringert sich die Möglichkeit diese bösartigen Aktivitäten aufzudecken. Bösartiger, codierter JavaScript Code Quelle: Nicht jeder codierte oder verschlüsselte JavaScript Code muss bösartig sein. Vielmals werden solche Methoden auch angewendet um Adressen vor Spamern zu verstecken. Doch bösartige Hacker entwickeln immer fortgeschritterene Techniken um das Aufspüren von malicious JavaScript Code zu erschweren. Third Party Content Ein weiteres Problem in Bezug auf Verteilung von Malware über eine Website, stellen eingebettete Inhalte von Dritten dar. Die meistverbreiteste Anwendung davon sind die Werbebanner, welche durch grosse Werbeunternehmen geschalten werden. Der Betreiber einer Website stimmt dem Einbetten eines Stück Code in seine Website zu, um diese Werbebanner anzuzeigen. Auch kann er über die Inhalte deren mitbestimmen. Für jeden Klick, welche die Benutzer seiner Seite auf einen solchen Banner tätigen, wird er ausserdem bezahlt. Über die Websites, zu welchen diese Werbebanner führen, hat der Betreiber jedoch keinen Einfluss. Ist eine solche mit Malware bestückt, kann eine gewöhnliche Website zur grossen Gefahr werden. Werbebanner bestimmen nur einen Teil von Third Party Content. Weitere Beispiele sind unabhängig gehostete Counter Scripts, welche die Anzahl Besucher einer Website zählen, Bilder, Games oder Videos, die bei Dritten gehostet sind. 5 / 8

6 Choosing to use third party content means inviting someone else to have control over part of your website. (stopbadware.org) In vielen Fällen stellen Inhalte Dritter eine optimale Ergänzung zum eigenen Webinhalt dar. Und viele Anbieter von Online- Werbung oder anderen extern gehosteten Inhalten unternehmen viele Vorkehrungen um diese sicher zu machen. Trotzdem ist es angebracht, sich genügend über die Anbieter von Werbebanner etc. zu informieren. Alle diese Möglichkeiten von der Verteilung von Malware basieren darauf, dass fremder Code in eine Website eingebettet wird, welcher beim Ausführen eine Schwachstelle ausnutzt. Gemäss einer aktuellen Studie des britischen Antivirus- Herstellers Sophos befinden sich über 50% der verseuchten Websites in China. Täglich erscheinen über 30'000 neue Websites mit malicious Inhalt [8]. Eine Analyse der Suchmaschine Google hat ausserdem ergeben, dass 10% der 4.5 Mio. untersuchten URLs verseucht sind [9]. Und leider befindet sich 51% der Malware auf guten, aber gehackten Websites [10]. Beispiel von Werbebanner bei Bei einem Aufruf von werden nebst der Website des Tages Anzeigers noch viele andere, externe aber in diesem Fall Malware freie Inhalte mitgeladen. Die Meisten dieser Inhalte stehen in Zusammenhang mit Online- Werbung und Marktforschungen. Top Threat Sources (der letzten 24h- 09.Mai 2008) Die Schweiz befindet sich auf Platz 20. Quelle: js?d= S/GetRcmd.js?ord= ol.ch/lufthansa_bikehike[cut] Malicious Websites stellen, nebst dem riesigen Anteil an SPAM im Verkehr, in der heutigen Zeit eines der grössten Probleme im Internet dar. Ein Problem, welches nicht einfach zu lösen sein wird. u.v.m Externe Inhalte beim Aufruf von 6 / 8

7 Empfehlungen Rezepte für die 100% Sicherheit gibt es nicht, doch folgende Punkte helfen, die Gefahren zu minimieren. Halten Sie Ihren Computer up-to-date. Installieren Sie Updates Ihrer Applikationen (inkl. Plugins und Add-ons in Browsern) und Ihres Betriebssystems unverzüglich. Setzen Sie eine Antivirus- und Firewall Software ein und aktualisieren Sie diese regelmässig. Seien Sie misstrauisch gegenüber Inhalten aus Unbekannten Quellen. Falls Sie sich von Online- Werbung gestört fühlen, installieren Sie einen AdBlocker. Firefox: Internet Explorer: Informieren Sie sich laufend über die aktuellen Bedrohungen und unternehmen Sie dazu entsprechende Massnahmen. Über den Author Nach seiner Informatik Lehre bei UBS AG in Richtung Systemtechnik arbeitete Simon Egli 2 Jahre im Bereich IT Security Risk Management ebenfalls bei UBS AG in Zürich. Seit dem Herbst 2006 studiert er berufsbegleitend Informatik an der Zürcher Fachhochschule und ist seit dem 1. November 2007 teilzeit bei Compass Security AG als IT Security Analyst tätig. Simon Egli, IT Security Analyst simon.egli@csnc.ch Über Compass Security AG Compass Security Network Computing AG ist eine auf Security Assessments und forensische Untersuchungen spezialisierte Firma (Aktiengesellschaft) mit Sitz in Rapperswil SG. Im Auftrag des Kunden werden Penetration Tests und Security Reviews durchgeführt, um die IT Sicherheit in Bezug auf Hacking Attacken zu beurteilen als auch geeignete Massnahmen für die Verbesserung des Schutzes aufzuzeigen. Gegründet wurde Compass Security im Februar 1999 durch Walter Sprenger und Ivan Bütler. Für weitere Informationen besuchen Sie unsere Website unter: 7 / 8

8 Referenzen [1] ILOVEYOU Virus [2] Gartner Inc. [3] Was sind DDoS- Attacken? [4] Postini Communications Intelligence Report [5] ShadowServer Botnet Charts [6] Symantec Internet Security Threat Report - April [7] IFrames - HTML Tag [8] Sophos - Attacks via web and strip business of cash. [9] Google Inc. - The Ghost in the Browser Analysis of Web-based Malware. [10] Finjan Malicious Code Research Center - "Malicious Page of the Month" - Feb Lesenswerte Artikel Weitere lesenswerte Artikel zu diesem Thema: Symantec - Symantec Global Internet Security Threat Report Enisa - Botnets - The Silent Threat Finjan - Malicious Page of the Month / 8