Management in der Malware-Industrie 1 Einleitung 5 2 Grundlagen von Malware 6 2.1 Definitionen und Begriffe 6 2.2 Historie von Malware 8 2.2.1 Theoretische Anfänge 9 2.2.2 Praktische Anfänge. 10 2.2.3 Malware in der Prä-Internet-Phase 11 2.2.4 Malware in der Internet-Phase 12 2.2.5 Kriminalisierung von Malware in der Gegenwart 14 2.3 Arten von Malware 14 2.4 Auswirkungen und Schäden durch Malware 15 2.5 Verbreitung von Malware 17 2.5.1 Übertragung mittels USB-Datenträgern 18 2.5.2 Infektion durch E-Mail-Anhänge 19 2.5.3 Malware durch infizierte Downloads 19 2.5.4 Infektion durch maliziöse Internetseiten 21 2.5.5 Prozentuale Verteilung, Fazit und Ausblick über Verbreitungswege. 26 2.6 Anfälligkeit für Malware 28 2.7 Malware-Autoren und deren Motivation 29 2.7.1 Skript-Kiddies, Studenten und Forscher 29 2.7.2 Kriminelle in der Malware Industrie 30 2.7.3 Internetkrieger im Cyber Warfare 30 2.8 Funktionsweise von Malware 33 2.8.1 Viren 34 2.8.2 Würmer 35 2.8.3 Trojanische Pferde 36 2.8.4 Exploits 37 2.8.5 Prozentuale Verteilung und Trends der Malware-Kategorien 37 2.9 Schutzmaßnahmen und Entfernung von Malware 39 3 Industriezweig Malware 41 3.1 Waren und Dienstleistungen 41 Inhalt III 3.1.1 E-Mail-Spam 41 3.1.2 Betrug 42 3.1.3 Erpressung 43 3.1.4 Datendiebstahl 46 3.1.5 Unerwünschte Programme 49 3.2 Aufbau und Organisation der Malware-Industrie 52 3.2.1 Anbieter und Koordinatoren 53 3.2.2 Zwischenhändler und Operation Groups 54 3.2.3 Zulieferer 54 3.2.4 Infrastruktur 58 3.2.5 Cashout 64 3.2.6 Marketing 66 3.2.7 Kunden und Hintermänner 67 3.3 Arbeitsteilung und interne Organisation 67 3.4 Rentabilität von Malware 69 3.4.1 E-Mail-Spam 70 3.4.2 Betrug 72 3.4.3 Erpressung 73 3.4.4 Phishing 73 3.4.5 Botnetze 75 3.4.6 Kosten-Nutzen-Analyse in der Malware-Industrie 77 4 Management-Methoden in der Malware-Industrie 79 4.1 Strategisches Gestalten 79 4.1.1 Strategische Managementansätze 79 4.1.2 Strategische Transaktionen 80 4.2 Steuerung und Kommunikation 81 4.2.1 Kennzahlen und Konzepte der Unternehmensführung 82 4.2.2 Instrumente der Personal- und Teamführung 84 4.2.3 Kommunikationsmethoden 85 4.3 Analyse und Synthese 87 4.3.1 Strategische Unternehmensanalysekonzepte 87 4.3.2 Methoden zur Problemanalyse 90 4.3.3 Kreativitätstechniken 93 5 Lösungen 95 Inhalt IV 5.1 Lösungsansätze im Überblick 95 5.2 Anti-Botnet-Beratungszentrum 96 6 Zusammenfassender Ausblick 105 1 Einleitung „Blamage für Europa!“ Weil die Verantwortlichen in 14 EU-Ländern nachlässig gehandelt haben, ist es Online-Kriminellen im Januar 2011 gelungen, den europäischen Handel mit CO2-Verschmutzungsrechten zu attackieren und elektronische Zertifikate im Wert von 28 Millionen Euro zu erbeuten 1 . Die EU-Kommission hat daraufhin den Handel mit Zertifikaten um mindestens eine Woche ausgesetzt. Die genauen Ursachen für das Leck sind derzeit noch unklar. Trotzdem steht fest, dass es den Online-Kriminellen wieder einmal gelungen ist, einen Schritt voraus zu sein und viel Geld zu stehlen. Die Online-Kriminellen der Malware-Industrie sind derzeit häufig in den Nachrichten vertreten. Oftmals wird in den Medien ein Bild erzeugt, als handele es sich bei den Tätigkeiten der Malware-Industrie um echte Goldgruben! Auch die meisten Untersuchungen und Studien stützen dieses Bild. Einige Studien behaupten allerdings das genaue Gegenteil. Eine Studie von Microsoft kommt zu dem Ergebnis, dass Phishing ein Arbeitsmarkt für Geringqualifizierte sei und statt schnellem Reichtum nur wenig Einkommen abwerfe 2 . Goldgrube oder Arbeitsmarkt für Geringqualifizierte? Diese völlig unterschiedlichen Berichte über die Branche dienen mir als Motivation für nähere Untersuchungen der Rentabilität. Wie professionell ist diese Branche wirklich und lohnt sich eine Tätigkeit in der Malware-Industrie? Eine weiteres Kernthema dieser Ausarbeitung ist die Frage, welche Möglichkeiten es innerhalb der Malware-Industrie gibt, die Rentabilität durch Management-Methoden zu steigern und in wie weit dies bereits geschieht. Schließlich wird versucht Aufschluss darüber zu geben, wie Staaten auf diese Professionalisierung der Malware-Industrie reagieren können. Haben sie es versäumt rechtzeitig tätig zu werden und die Malware-Industrie übermächtig werden lassen? Oder ist es im Rahmen ihrer Möglichkeiten noch möglich die von der Malware-Industrie ausgehenden Gefahren zu senken. Nach Auffassung des Autors wurde der Themenkomplex Malware in der Vergangenheit zu technisch gesehen. Viren wurden als Schädlinge angesehen, denen man mit Virenscannern begegnen kann. Aber hinter Computerviren stehen deren Entwickler, echte Menschen! Wer sind sie und warum entwickeln sie Malware? Ziel dieser Arbeit ist es somit auch, die technische Brille beiseite zu legen und die Beschäftigten, die Unternehmen und die Strukturen der Malware-Industrie zu betrachten. 1 vgl. Handelsblatt, 2011 2 vgl. Herley & Florênicio, 2009 2 Grundlagen von Malware Abstract Dieses Kapitel soll ein Verständnis für die Grundlagen von Malware schaffen. Zunächst wird eine Arbeitsdefinition festgelegt und die Begriffe Virus und Malware werden voneinander abgegrenzt. Im Anschluss erfolgen ein Rückblick in die Anfänge des Malwarezeitalters und ein Überblick über die Entwicklung von Malware bis zur heutigen Zeit. Außerdem werden die verschiedenen Arten von Malware erläutert, deren Funktionsweise erklärt und die verursachten Schäden ermittelt. Bei der Verbreitung von Malware spielen drei Aspekte eine Rolle. Zunächst ist interessant, auf welchen Kanälen Malware den Weg auf die PCs der Opfer findet. Außerdem werden Bedingungen genannt, unter denen Malware besonders leichtes Spiel hat. Schließlich stellt sich noch die Frage, wer verbreitet eigentlich Malware? Wer schreibt die Schadprogramme und weshalb? Zum Abschluss des Kapitels wird ein Überblick über die Möglichkeiten zum Schutz vor Malware vermittelt. 2.1 Definitionen und Begriffe Der Begriff „Malware“ existiert erst seit den 1990er Jahren 3 , als Sicherheitsverantwortliche realisierten, dass sie einen breiteren Terminus für die Beschreibung der Vielzahl an schadhafter Software benötigten, die im Internet grassierte. Bevor Malware zu einem gebräuchlichen Begriff wurde, bezeichnete man jede Art von maliziöser Software als Virus oder Wurm. Lange Zeit wurde der Begriff Computervirus fälschlicherweise überbeansprucht und synonym zu Malware verwandt, vor allem in populären Medien. Erst in den letzten fünf Jahren setzte sich der Malware-Begriff langsam im Sprachgebrauch durch (s. Abb. 1). 3 vgl. Merriam Webster, 2010 4 Abb. 1 - Vergleich des Gebrauchs der Begriffe “computer virus” und “malware“ von 2004 - 2010 Malware ist ein Kofferwort 5 aus den englischen Begriffen malicious und Software. Der Begriff hat sich auch in der deutschen Sprache etabliert. Alternativ werden auch Synonyme wie Schadsoftware oder Schadprogramm verwendet. Es existieren unterschiedlichste Definitionen für den Begriff „Malware“. Meist unterscheiden sie sich nur im Grad der Konkretisierung; vereinzelt weichen Definition aber auch inhaltlich voneinander ab. So definiert die Encyclopædia Britannica den Begriff „Malware“ wie folgt: Malware, vollständig malicious software, ist maliziöse Software, wie z.B. Viren, Trojaner, Spyware und Würmer. Malware infiziert typischerweise Personal Computer über E-Mail, Internet-Seiten oder angeschlossene Geräte 6 . Das Oxford English Dictionary definiert Malware als „maliziöse Software, wie z.B. Viren, die eigens dafür erstellt wurde, ein Computer-System zu stören oder ihm Schaden zuzufügen 7 “ und ist damit der Erklärung von Merriam-Webster sehr ähnlich. Danach ist Malware „Software, die dazu gestaltet wurde, die regulären Funktionen eines Computers zu stören 8 “. Auch Enzyklopädien machen häufig den Fehler, Malware zu eng zu definieren und zu verkennen, was den Terminus „Malware“ von den Begriffen Virus und Wurm abhebt. Malware zielt nicht auf einzelne Funktionen, sondern auf die Intention des Autors, Systeme ohne die 4 Auf Basis der Daten von Google Inc., 2010a 5 Unter einem Kofferwort versteht man ein Kunstwort aus mind. zwei Wortsegmenten, die zu einem inhaltlichen neuen Begriff verknüpft werden. 6 “Malware, in full malicious software, malicious computer program, or malicious software, such as viruses, trojans, spyware, and worms. Malware typically infects a personal computer (PC) through email, Web sites, or attached hardware devices.” Übersetzt von Sebastian Kexel nach Encyclopædia Britannica, 2010 7 “Malicious software, such as a virus, which is specifically designed to disrupt or damage a computer system.” Übersetzt von Sebastian Kexel nach Oxford English Dictionary, 2010 8 “Software designed to interfere with a computers normal functioning.” Übersetzt von Sebastian Kexel nach Merriam Webster, 2010 Einwilligung des Nutzers zu infiltrieren. Ein unmittelbarer Schaden für das Computer-System ist damit aber nicht zwangsläufig verbunden. Eine gebrauchstaugliche Arbeitsdefinition benötigt einen gewissen Spielraum, um den großen Bereich an unerwünschten Effekten abdecken zu können. In Anlehnung an Ed Skoudis soll in dieser Thesis folgende Arbeitsdefinition gelten: Die Definition soll im Folgenden kurz analysiert werden. Ganz bewusst ist in der Definition nur das Wort „Befehle“ genannt. Die Definition vermeidet die Wörter „Software“ und „Programm“, da viele Menschen damit ausführbare Programme verbinden. Auch wenn ein Großteil von Malware über ausführbare Dateien verbreitet wird, geht das Problem an sich weit darüber hinaus. Maliziöser Code kann in nahezu allen Dateien enthalten sein, z.B. in Dokumenten oder Animationen. Auch bei den Funktionen von Malware bleibt die Definition flexibel. Welche „Dinge“ Malware verursachen, ist lediglich durch die Kreativität des Angreifers und die Funktionen des Betriebssystems limitiert. Welche „Dinge“ das im Einzelnen sein können wird in Kap. 2.4 im Detail erläutert. Vorab wird ein kurzer Überblick über die Historie von Malware gegeben. 2.2 Historie von Malware Malware scheint ein relativ neues Phänomen zu sein. Durch die Epidemien der vergangenen Jahre sind den meisten Menschen Viren, Würmer und Trojaner besser bekannt geworden, oft durch die Infektionen des eigenen PCs. Auch in den Medien wird verstärkt über Malware und ihre Folgen berichtet. So sendete die Tagesschau im Jahr 2009 einen Bericht über den Computerwurm Conficker und den dadurch verursachten Ausfall von Computersystemen der Bundeswehr (s. Abb. 2). 9 vgl. Skoudis & Zeltser, 2004, S. 3 10 Abb. 2 - Berichterstattung über den Computerwurm Conficker Tatsächlich aber reichen frühe theoretische Überlegungen zu Malware bis Mitte des letzten Jahrhunderts zurück. Die Historie von Malware kann in verschiedene Zeiträume unterteilt werden: „ Theoretische Anfänge: Frühe Überlegungen zur Selbstreplikation „ Praktische Anfänge: Scherzprogramme und gefährliche Viren werden zum Ärgernis „ Prä-Internet-Phase: Geprägt durch klassische Viren für MS-DOS „ Internet-Phase: Unzählige Würmer grassieren und richten enorme Schäden an „ Gegenwart: Zunehmende Kriminalisierung von Malware Die einzelnen Phasen werden im Folgenden anhand einiger bedeutender zeitgeschichtlicher Daten kurz erläutert. 2.2.1 Theoretische Anfänge John von Neumann stellte in den 1940er Jahren erste Überlegungen für einen replikationsfähigen Roboter an. Im Jahr 1953 konkretisierte er diese Überlegungen in seiner Theorie über selbstreproduzierbare Automaten. Eine technische Umsetzung seiner Überlegungen war zu dieser Zeit jedoch noch nicht möglich. In den 1970er Jahren gab es erste praktische Ansätze durch das Programmierspiel Core War. Dabei traten mehrere in Redcode geschriebene Programme im selben Speicherbereich gegeneinander an. Gewinner war das Programm, das alle anderen überlebte. Dabei löschten die Programme wahllos Adressen im Speicher und konnten sich teilweise selbst reproduzieren. Die Autoren dieser Arbeiten waren bestrebt, das Leben der Menschen zu erleichtern und legten den Grundstein für viele spätere Studien zur Robotertechniker und zur künstlichen Intelligenz. Auch wenn sie der zukünftigen Entwicklung von Computerviren nie den Weg bereiten wollten, liegen in ihren Forschungen auch die Wurzeln für die Computerviren der heutigen Zeit 11 . 10 vgl. Tagesschau, 2009 11 vgl. Kaspersky, 2008, S. 100 2.2.2 Praktische Anfänge Theorie und Praxis verschwimmen bei dieser Thematik leicht und so ist es umstritten, welches das erste Computervirus war, das außerhalb von Forschungsinstituten, also in „freier Wildbahn“, existierte. Vielfach wird der „Elk Cloner“ als erstes Virus genannt 12 . Im Jahr 1982 entwickelte der damals 15jährige Schüler Richard Skrenta ein verstecktes Programm, das sich unbemerkt über das Kopieren von Disketten verbreitet und seine Nutzer plötzlich erschreckt. Infiziert wurden ausschließlich die damals weit verbreiteten Apple II Rechner. Bei jedem fünfzigsten Programm-Aufruf ließ das Virus den Bildschirm dunkel werden. Dann erschien Skrentas Gedicht zum Elk Cloner (vgl. Abb. 3). 13 Abb. 3 - Gedicht des Elk Cloner Viruses auf einem Apple II Computer Anfänglich führte das Virus auch zu Systemabstürzen und Bildschirmflackern. Entgegen vieler Darstellungen war dies jedoch nicht die Intention des Programmierers, vielmehr waren die Abstürze auf fehlerhaften Programmcode zurückzuführen. Richard Skrenta hat diesen Fehler in einer späteren Version des Virus behoben 14 . Im Jahr 1983 ist Fred Cohen der erste, der auf dem Gebiet der Computerviren forscht. In seiner Doktorarbeit „Computer Viruses - Theory and Experiments“ beschreibt er ein funktionsfähiges Virus für das Betriebssystem UNIX 15 . Cohen wird häufig als „Erfinder“ des Computervirus genannt. Der Begriff „Computervirus“ stammt wohl allerdings von Cohens Pro-fessor Leonard M. Adlemann. Das erste Virus mit kommerziellem Hintergrund wurde im Jahr 1986 von Basit und Amjad Farooq Alvi geschaffen. Die beiden Brüder vertrieben mit ihrer Firma „Brain Computer Services“ aus Lahore in Pakistan eine medizinische Software für MS-DOS. Um sich vor Urheber- 12 vgl.Lischka, 2007 13 vgl. Mac ForensicLab, 2008 und Mac History, 2009 14 vgl. GData, 2005 15 vgl. Cohen, 1984 Rechtsverletzungen zu schützen, entwickelten sie einen Bootvirus (s. 2.8.1), das den Zugriff auf das Diskettenlaufwerk verlangsamte 16 . Dabei handelt es sich bis heute um eines der wenigen Programme, das die Kontaktdaten der Autoren enthält: Willkommen im Verlies (c) 1986 Basit * Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAM BLOCK ALLAMA TQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Achtung vor diesem VIRUS.... Kontaktieren Sie uns für Schutz... 17 . Über pakistanische Studenten wurde das Virus auch über die pakistanischen Grenzen hinaus befördert und verbreitete sich schließlich auch an US-Hochschulen. In den darauf folgenden Jahren erschienen immer mehr Viren, zumeist harmlose Scherzprogramme, aber auch gefährliche Trojaner (s. 2.8.3) wie z.B. EGABTR, der angeblich Grafikdarstellung ermöglicht aber nach dem Start des Programms alle Daten auf der Festplatte löschte 18 . Als Reaktion darauf rückte auch die Bekämpfung von Computerviren in den Blickpunkt wissenschaftlicher Forschung. Außerdem wurden ab Ende der 1980er Jahre die ersten Antiviren-Programme auf den Markt gebracht und viele Unternehmen gegründet. John McAfee, Eugene Kaspersky und Alan Solomon waren einige Pioniere auf diesem Gebiet. Die Entwickler von Malware reagierten auf die Antiviren-Programme. In Folge dessen wurden Computerviren in den folgenden Jahren immer komplexer. Der Wettstreit zwischen Herstellern von Antivirus-Software und Virenautoren dauert bis heute an. 2.2.3 Malware in der Prä-Internet-Phase Anfang der 1990er Jahre war die Hochphase der MS-DOS-Viren. Um sich besser vor der Entdeckung von Virenscannern schützen zu können und um sich weiter verbreiten zu können, wurden die Viren noch komplexer. Im Jahr 1991 wurde von zwei Schweizern das „Tequila-Virus“ geschrieben. Es zeigte vier Monate nach Infektion die folgende Meldung samt einer Grafik an, die eine Mandelbrot-Menge darstellt (s. Abb. 4) 19 . 16 vgl. Stang, 1989 17 “Welcome to the Dungeon (c) 1986 Basit * Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NI-ZAM BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Beware of this VIRUS.... Contact us for vaccination...” Übersetzt von Sebastian Kexel nach BrainNet, 2004 18 vgl. Emmerson, 1988, S. 69 19 Eine Mandelbrot-Menge ist eine fraktal erscheinende Menge, die eine bedeutende Rolle in der Chaosforschung spielt. 20 Abb. 4 - Vom Tequila-Virus angezeigte Textmeldung samt Grafik Das „Tequila-Virus“ war eines der ersten polymorphen Viren. Diese Art von Viren mutieren, das heißt, sie verändern ihr Aussehen bzw. ihre Codierung bei jeder Infektion. Virenscanner können sie nicht mit Hilfe eines einzelnen Suchstrings erkennen. Einige Virenscanner der damaligen Zeit konnten dieses Problem nicht lösen und die Firmen stellten die Entwicklung ihrer Software ein. Mit der Veröffentlichung von Microsoft Windows 95 im Jahr 1995 wurden vermehrt Viren für das 32-Bit-Betriebssystem entwickelt. Mit Windows 95 stieg auch die Popularität des Bürosoftware-Paketes Microsoft Office. Virenschreiber machten sich dies zu Nutze und reagierten auf den Umstand, dass nun öfter Dokumente als ausführbare Dateien getauscht wurden und entwickelten Makroviren. Ein Makrovirus bettet seinen schadhaften Code nicht wie zuvor üblich in eine ausführbare Datei, sondern in Dokumente, zu Beginn häufig in Microsoft Word Dokumente. Dies zwang die Hersteller von Antiviren-Programmen zum Umdenken. Bis zu diesem Zeitpunkt herrschte Einigkeit darüber, dass Computer nur durch das Ausführen einer infizierten Datei, nicht aber durch das einfache Öffnen einer Textdatei infiziert werden konnten 21 . 2.2.4 Malware in der Internet-Phase Anfang des Jahres 1997 eröffnet das Virus „ShareFun“ ein neues Kapitel in der Geschichte der Computerviren. Erstmals nutzte Malware das Medium E-Mail zur Ausbreitung. Auf den infizierten PCs nutzt „ShareFun“ Microsofts E-Mail-Programm „MSMail“ und sendete E-Mails mit schadhaften Anhängen an alle Einträge der Kontaktliste 22 . Ab diesem Zeitpunkt wurde verstärkt die Möglichkeit des Internets zur Verbreitung genutzt. Noch im gleichen Jahr tauchten Viren für FTP (File Transfer Protocol) und IRC (Internet Relay Chat) auf 23 . 20 vgl. F-Secure, o.J. a 21 vgl. Kaspersky, 2008, S. 118 22 vgl. Arar, 1997 23 vgl. Kaspersky, 2008, S. 120f Zu Beginn des Jahres 1999 wurde das Zeitalter der Internetwürmer eingeläutet. Durch „Happy99“ und „Melissa“ wurden innerhalb von kurzer Zeit Millionen PCs weltweit befallen. Beide Würmer nutzten für die Verbreitung das E-Mail-Programm „Microsoft Outlook“. Würmer benötigen im Gegensatz zu Viren kein Wirtsprogramm, können daher selbständig agieren und sich fortpflanzen. Melissa richtete weltweit spürbare Schäden an. So wurden Unternehmen wie Microsoft, Intel und Lockheed Martin aufgrund der E-Mail-Flut gezwungen, ihre E-Mail-Server bis zur Desinfektion und dem Abebben des Wurmes abzuschalten 24 . Nach dem 4. Mai 2000 kam es zu einer neuen Wurm-Epidemie mit bis dahin ungeahnten Ausmaßes. Ein Schüler aus Manila entwickelte das „I Love you“-Virus, auch „Loveletter“ genannt. Der „Loveletter“ wurde ebenfalls über E-Mail verbreitet. Aus dem Betreff der E-Mail konnte der Empfänger annehmen, dass es sich um einen Liebesbrief eines geheimen Verehrers handelte (vgl. Abb. 5). Daher öffneten viele Empfänger die Anlage, die den maliziösen Code enthielt. 25 Abb. 5 - Ansicht des Loveletter-Virus Die durch „Loveletter“ verursachten Schäden reichten weltweit in den zweistelligen Milliardenbereich 26 . Im Jahr 2001 haben fast 90% aller Infektionen durch Malware via E-Mail stattgefunden. Dies stellte den Höhepunkt der Verbreitung via E-Mail dar. Ab Mitte des Jahres 2001 wurden verstärkt Sicherheitslücken in Microsofts Internet-Browser „Internet-Explorer“ zur Infektion ausgenutzt. Ab diesem Zeitpunkt war eine Infektion eines Computers auch durch das bloße Ansehen einer Internet-Seite möglich (sog. Drive-by-Download) 27 . Der Slammer-Wurm, der es auf Microsofts SQL-Server abgesehen hatte, verursachte im Januar 2003 durch seine unkontrollierte Ausbreitung und die damit einhergehende erhöhte Auslastung des Internets flächendeckende Ausfälle von Internet-Teilnetzen in den USA, 24 vgl. Kaspersky, 2008, S. 126f 25 vgl. F-Secure, o.J. b 26 vgl. Landler, 2000 27 vgl. Viruslist, o.J. Südkorea, Australien und Neuseeland 28 . In Folge dessen musste z.B. die Bank of America kurzfristig einen Teil ihrer Bankgeschäfte einstellen. Außerdem sorgte der Wurm für einen mehrstündigen Ausfall der Kraftwerkssteuerung bei einem Atomkraftwerk in Ohio, USA 29 . 2.2.5 Kriminalisierung von Malware in der Gegenwart In der jüngeren Vergangenheit ist es zu einer zunehmenden Kriminalisierung von Malware gekommen, die mittlerweile weit fortgeschritten ist (s. 2.7.2). Daher nimmt die Zahl der Massenepidemien ohne monetären Ertrag für die Erschaffer rapide ab. Sie werden durch die hohe Medienwirksamkeit meist schnell ausgerottet. Viel förderlicher für die Interessen von Kriminellen ist eine stille aber kontinuierliche und kontrollierte Infizierung von wenigen PCs mit unterschiedlichen Schadprogrammen. Im Jahr 2004 konnte erstmals eine bedeutende Zahl von Trojanern beobachtet werden, die versuchten Zugriff auf das Bankkonto der Betroffenen zu nehmen 30 . Diese Tendenzen setzten sich in den Folgejahren fort. Immer mehr Schadprogramme haben es auch auf die Rechenleistung der infizierten PCs abgesehen, um sie in ein sog. Botnet zu integrieren und über sie z.B. Spam-E-Mails zu versenden. Im Jahr 2007 grassierte über Monate der sog. „Storm Worm“, der Schätzungen zufolge zu diesem Zeitpunkt ca. 1,8 Millionen PCs zu Mitgliedern von Botnets machte 31 . In den letzten Jahren wurde immer öfter die Gefahr genannt, die von Cyber Warfare und Cyberterrorismus ausgeht (s. 2.7.3). Dabei kann Malware von staatlichen Organisationen zum „Krieg“ im Internet genutzt werden oder von Terroristen für Anschläge auf kritische Infrastrukturen im Internet genutzt werden. Durch die Verbreitung des Computerwurms „Stuxnet“ im Jahr 2010 wurde die Existenz solcher Gefahren erstmals für eine breite Masse sichtbar. Es ist strittig, ob es sich dabei um einen gezielten Angriff einer westlichen Macht auf das Atomprogramm des Iran handelt. Viele Indizien sprechen jedoch dafür 32 . 2.3 Arten von Malware Viren, Würmer und Trojaner sind Begriffe, die fast jeder PC-Benutzer schon einmal gehört hat. Doch neben diesen bekannten Vertretern existieren noch viele weitere Arten von Malware. In den frühen Phasen von Malware war eine Zuordnung eines Schädlings zu einer bestimmten Art von Malware unproblematisch. Heutzutage wird es aber immer schwieriger maliziöse Software einer bestimmten Art von Malware zuzuordnen. Malware weist heute meist 28 vgl. Kaspersky, 2008, S. 44 29 vgl. Poulsen, 2003 30 vgl. Kaspersky, 2008, S. 144 31 vgl. ZDNet, 2007 32 vgl. Halliday, 2010, The Economist, 2010 und Langner, 2010 Merkmale verschiedener Arten auf. So öffnen beispielweise Trojaner heimlich Hintertüren zu Rechnern während sie sich selbstständig wie Würmer fortpflanzen. Viele Schädlinge sind mittlerweile zudem so programmiert, dass die Autoren sie nachträglich verändern können. Die Malware lädt dann kleine Module nach, die ihr zusätzliche Fähigkeiten verschaffen. Gleichwohl erfolgt auch heute noch eine Klassifizierung von Malware in verschiedene Arten, immer nach dem wichtigsten Merkmal. Nach ihrer Verbreitungsmethode unterscheidet man: „ Viren: Reproduzieren sich auf lokale Ressourcen „ Würmer: Breiten sich über Netzwerke aus „ Trojaner: Tarnen sich als nützliche Programme Nach der Art des angerichteten Schadens unterscheidet man zwischen: „ Adware: Blenden Werbung aufgrund des Nutzerverhaltens ein „ Spyware: Stehlen Daten vom Computer „ Dialer: Bauen kostenpflichtige Wählverbindungen auf „ Zombie-Malware: Stehlen Rechenleistung des PCs „ Backdoors: Öffnen Hintertüren für Angreifer „ Rootkits: Verschleiern die Aktivitäten des Angreifers 2.4 Auswirkungen und Schäden durch Malware Die Auswirkungen und Schäden durch Malware sind vielfältig. Für den Einzelnen können dies sein: „ Zerstörung von Hard- und Software: Malware kann Programme und Daten manipulieren oder zerstören. Dies betrifft meist Software, in Einzelfällen sind jedoch auch Schäden an Hardware möglich 33 . „ Beeinträchtigung der Benutzbarkeit: Durch die Aktivitäten von Malware kann die Benutzbarkeit des Systems bzw. des gesamten Netzwerkes stark eingeschränkt werden. „ Datendiebstahl und Datenmissbrauch: Malware kann auf kompromittierten Systemen sämtliche Eingaben des Benutzers protokollieren und an andere Rechner weiterleiten. Auf diese Weise können vertrauliche Informationen gestohlen und missbraucht werden (s. 3.1.4). „ Missbrauch des Systems für andere Zwecke: Ein infiziertes System kann „Drohne“ in einem Botnet (s. 3.2.4.1) werden und durch den Angreifer von außen ferngesteuert werden, z.B. zum Versand von Spam (s. 3.1.1) oder als Ausgangspunkt einer Denial-of-Service-Attacke (s. 3.1.3). 33 Dazu muss dem Autor bekannt sein, wie eine bestimmte Hardware so fehlerhaft angesteuert werden kann, dass es zu einer Zerstörung kommt. Da die heutigen Hardwarekomponenten sehr hetero- gen sind, lohnt der Aufwand zur speziellen Programmierung kaum. „ Kosten für Desinfektion des Systems: Um das System wieder in einen regulären Be-triebszustand zu versetzen, ist die Desinfektion des Systems notwendig. Malware hat sich jedoch vom Ärgernis des Einzelnen zu einem großen Problem globalen Ausmaßes gewandelt. Die Anzahl verschiedener Malware steigt exponentiell an. Im Jahr 2009 identifizierte G Data SecurityLabs 1.588.005 neue Unique Samples, also Schädlinge mit einzigartigem „Fingerabdruck“ 34 . Das sind 78% mehr als im Jahr zuvor 35 . Die Anzahl neuer Malware aus dem Jahr 2004 wurde 2009 wöchentlich übertroffen (s. Abb. 6). 36 Abb. 6 - Anzahl neuer Malware pro Jahr seit dem Jahr 2004 Damit einher geht die hohe Anzahl an PCs, die mit Malware infiziert sind. Nach Analysen von Panda Security sind weltweit im Durchschnitt 58% aller PCs mit Malware infiziert (s. Abb. 7). 34 Virenscanner verwenden u.a. Hash-Werte zur Überprüfung ob Dateien mit Malware infiziert sind. 35 vgl. Benzmüller & Berkenkopf, 2010, S. 3 36 Auf Basis der Daten von Benzmüller & Berkenkopf, 2010, S. 4 37 Abb. 7 - Prozentsatz von PCs die mit Malware infiziert sind weltweit Es existieren zahlreiche Studien und Schätzungen zu den durch Malware ausgelösten wirtschaftlichen Schäden. Die veröffentlichten Zahlen gehen weit auseinander. An dieser Stelle auf die genaue Entstehung und die Analyse der Berechnungsmethode einzugehen, würde den Umfang der Arbeit überschreiten. Um dennoch ein gewisses Gespür dafür zu bekommen, warum Malware heute zu einem großen wirtschaftlichen Problem geworden ist, werden im Anschluss einige Veröffentlichungen wertungsfrei dargestellt: „ Cybercrime kostet Unternehmen im Schnitt jährlich 3,8 Millionen US-Dollar 38 . „ 17 Millionen Euro Schaden entsteht der deutschen Finanzwirtschaft im Jahr 2010 durch Phishing 39 . „ Malware verursachte im Jahr 2007 Schäden in Höhe von sieben Milliarden US-Dollar für die privaten Haushalte in den USA 40 . „ Der finanzielle Schaden weltweit durch Malware betrug im Jahr 2005 bereits 14,2 Mrd. US-Dollar 41 . „ Durch Spam wurden im Jahr 2008 weltweit Schäden in Höhe von ungefähr einer Billion US-Dollar verursacht 42 . 2.5 Verbreitung von Malware Die Verbreitungswege von Malware haben sich in den letzten Jahren stark gewandelt. Wurden Viren früher meist über Disketten verteilt, folgten später Würmer, die sich per E- 37 AufBasis der Daten von Panda Security, 2009 38 Nach einer Studie an 45 US-Unternehmen, vgl. Ponemon Institute© Research, 2010, S. 3 39 Nach einer Schätzung des BKA, der Bitkom und Forsa, vgl. Bundeskriminalamt, 2010 40 Summe aus: 3,3 Mrd (Viren); 1,7 Mrd (Spyware); 2,1 Mrd (Phishing), vgl. Consumer Reports, 2007 41 vgl. Computer Economics, 2007 42 vgl. Kexel, 2010, S. 40 Mail selbstständig ausbreiteten. Heute spielen Internetseiten eine wichtige Rolle bei der Verbreitung von Malware. Die Möglichkeiten für eine Infektion über Internetseiten sind sehr vielfältig. Im Folgenden wird auf einige aktuell verbreitete Wege der Infektion eingegangen. 2.5.1 Übertragung mittels USB-Datenträgern Seit Jahren ist die USB-Schnittstelle (Universal-Serial-Bus) sehr beliebt zur schnellen Inbetriebnahme von Peripherie-Geräten. Vor allem Speichermedien mit USB-Anschluss sind weit verbreitet. Die einfache Inbetriebnahme der Geräte haben sich jedoch auch Malware-Autoren zu Nutze gemacht und verteilen über USB-Geräte Malware. Der Ablauf einer Malware-Infektion mit Malware wird in Abb. 8 erläutert. Abb. 8 - Ablauf der Malware-Infektion über USB-Sticks Zunächst wird ein mit Malware infizierter USB-Stick an einen PC angeschlossen. Durch die Autorun-Funktion kann bei Windows-Betriebssystemen eine beliebige Datei vom USB-Stick gestartet werden. Dadurch wird die Malware automatisch installiert und überträgt sich ab diesem Zeitpunkt auf fast alle angeschlossenen Geräte mit internem Speicher, wie z.B. externe Festplatten oder Kameras. Werden diese Geräte wieder an andere PCs angeschlossen wird die Malware weiter übertragen. Dies ist einer der Verbreitungswege, die der bekannte Computerwurm „Conficker“ genutzt hat. Conficker hat sich schätzungsweise zwischen 9 43 und 15 44 Millionen mal verbreitet 45 . 43 vgl. F-Secure Lab, 2009 44 vgl. UPI, 2009 45 vgl. Nahorney & Park, 2009, S. 32 2.5.2 Infektion durch E-Mail-Anhänge Elektronische Nachrichten sind heute aus der privaten und geschäftlichen Kommunikation nicht mehr wegzudenken. Diesen Umstand machen sich die Malware-Autoren für die Verbreitung ihrer Schadsoftware zu Nutze. Sie erstellen massenhaft offiziell anmutende E-Mails mit infizierten Anhängen. Um die Wahrscheinlichkeit zu erhöhen, dass der Empfänger die infizierte Datei auch öffnet, handelt es sich bei den verschickten E-Mails oft um angebliche Rechnungen oder Mahnungen, die einen hohen Betrag ausweisen. Um einen detaillierten Überblick über die einzelnen Posten zu erhalten, wird der Empfänger auf den Anhang verwiesen (s. Abb. 9). Öffnet der Empfänger den Anhang, so wird er mit der maliziösen Software infiziert. Abb. 9 - Auszug einer offiziell anmutenden E-Mail mit infiziertem Anhang Die gefälschten E-Mails sehen das Original meist täuschend ähnlich. Um einen möglichst großen Kreis anzusprechen, werden als angeblicher Absender meist große Unternehmen gewählt, die deutschlandweit tätig sind und mit denen ein Großteil der Bevölkerung tatsächlich in irgendeiner Weise verbunden ist. Beliebte Absender sind z.B. Energieversorger, Telekommunikationsunternehmen und Paketversender aber auch die GEZ (Gebühreneinzugszentrale). 2.5.3 Malware durch infizierte Downloads Viele Malware-Infektionen sind auf den unbefangenen Umgang mit heruntergeladenen Dateien aus dem Internet zurückzuführen, sei es durch den arglosen Download aus unzu- verlässiger Quelle oder den Austausch der Dateien über beliebte Tauschbörsen. 2.5.3.1 Dateidownloads von Webservern Eine weitere Möglichkeit für Autoren Malware zu verteilen ist, sie auf Internetseiten zum Herunterladen anzubieten. Aber warum sollten Internetnutzer ausgerechnet die verseuchten Dateien herunterladen? Auch auf diese Frage haben die Malware-Autoren eine Antwort gefunden. Sie bieten häufig gesuchte zweifelhafte Dateien an, die der Internetnutzer sonst nur schwer findet, z.B. illegal beschaffte bzw. kopierte Software (im Internetjargon als „Warez“ bezeichnet). Nach einer Studie von IDC versuchen 25% aller Warez-Seiten ihre Besucher mit Malware zu infizieren. Bei bestimmten Dateinamen, wie z.B. „Key-Generator“ oder „Crack Tool“ stieg die Rate auf knapp 60% 46 . 2.5.3.2 Filesharing Filesharing (dt.: „Daten teilen“) ist die unmittelbare Weitergabe von Dateien zwischen verschiedenen Benutzern des Internets über P2P-Netze (Peer-to-Peer-Netzwerke). Die Dateien befinden sich dabei auf den PCs der Teilnehmer und werden von dort aus verteilt. Seit dem Jahr 2009 gibt es verstärkt Attacken über populäre P2P-Netze. Abb. 10 skizziert die Verteilung von Malware über P2P-Netze. Abb. 10 - Verteilung von Malware über P2P-Netze ohne zentrale Instanz 46 vgl. Gantz, Gillen, & Christiansen, 2006, S. 4f Ist ein PC infiziert, legt er unzählige Dateien an, in die er immer wieder das gleiche Virus kopiert. Die Dateien werden nach populären Suchbegriffen benannt, so dass möglichst viele Nutzer des P2P-Netzes nach diesen Begriffen suchen, z.B. nach aktuellen Musik-Hits oder Spiele-Bestsellern. Diese Dateien werden dann freigegeben und mit anderen Teilnehmern getauscht, die sich über diesen Weg auch infizieren können und danach ebenfalls Malware verteilen. Studien haben ergeben, dass zwei Drittel aller getauschten Programme im Gnutella-Netzwerk 47 Malware enthalten 48 . 2.5.4 Infektion durch maliziöse Internetseiten Für die unter 2.5.3.1 genannte Möglichkeit der Infizierung über einen Dateidownload ist ein aktives Mitwirken des Internetnutzers erforderlich. Die Malware-Autoren wollten die Verbreitung noch erhöhen und entwickelten ein System, das die Schadsoftware unbeabsichtigt und unbewusst für den Internetnutzer auf seinen PC lädt. Hier rückt der Browser des Internetnutzers in den Vordergrund. Durch sog. Exploits („to exploit“ - dt.: ausnutzen), ein Schadprogramm zum Ausnutzen von Sicherheitslücken, kann Malware in das System eingeschleust werden. Das bloße Anschauen von Internetseiten kann zu Infektionen führen (sog. „Drive-By-Download“). Der Hinweis, einfach keine Dateien herunterzuladen, zählt hier somit nicht mehr. Es haben sich zwei Verfahren etabliert, wie der maliziöse Code auf eine Internetseite gelangt: „ Kompromittieren von legitimen Internetseiten mit hoher Besucherzahl „ Bereitstellung und Betrieb von eigenen infizierten Internetseiten Im Folgenden werden einige derzeit genutzte Verfahren vorgestellt. 2.5.4.1 IFrame Eine Möglichkeit ist, dass eine legitime Internetseite kompromittiert wird und der HTML-Quelltext modifiziert wird. In die Seite wird mittels des sog. IFrame-Tags unsichtbar eine externe Internetseite eingebunden. Von dieser externen Seite wird dann der maliziöse Code geladen (s. Abb. 11). 47 P2P-Netzwerk ohne zentralen Server 48 vgl. Kalafut, Acharya, & Gupta, 2006, S. 1 Abb. 11 - Beispiel eines unsichtbaren IFrames Abb. 12 beschreibt eine typische Kommunikation, wie sie stattfindet, wenn ein Internetnutzer eine mit Malware infizierte Internetseite besucht. Abb. 12 - Typischer Ablauf der Kommunikation beim Drive-by-Download Sobald die Internetseite besucht wird, lädt der Browser das initiale Exploit-Skript, z.B. via IFrame. Das Exploit-Skript greift eine Schwachstelle im Browser oder einem Browserplugin an. Oftmals werden hier nacheinander mehrere Schwachstellen getestet. Wenn eine Schwachstelle ausgenutzt werden kann, wird das Exploit-Skript installiert und stößt den Drive-by-Download an. Dieser weist den Browser an, sich mit dem Malware-Server zu verbinden und die Malware zu laden. Im Anschluss wird die Malware automatisch installiert und fängt an, den PC des Opfers zu infizieren. Von dieser Attacke waren in der Vergangenheit eine Reihe von bekannten Internetseiten betroffen. Zu den Opfern zählte auch Ilse Aigner, Bundesministerin für Ernährung, Land- Wirtschaft und Verbraucherschutz. Im Sommer 2010 wurde ihre private Internetseite kom- promittiert. Auch hier sollte ein Programm von einer Internetseite mit russischem Domainnamen nachgeladen werden 49 . 2.5.4.2 Werbebanner Ganz ohne das Kompromittieren einer Internetseite kommt die Möglichkeit des Drive-by-Downloads über Flash 50 -Werbebanner aus. Heute wird ein Großteil aller Werbebanner nicht über die Betreiber selbst, sondern über Vermarktungsfirmen auf die werbende Internetseite eingestellt. Dieser Umstand ist besorgniserregend, da jede Internetseite nur so sicher ist wie ihr schwächstes Glied. Selbst wenn die eigentliche Internetseite keine Malware enthält, so kann ein maliziöses Werbebanner ein großes Risiko für die Besucher der Internetseite darstellen (sog. „Malvertising“). Diesen Umstand machen sich Malware-Autoren zu Nutze, in dem sie Werbeplätze auf attraktiven Seiten mit einer großen Anzahl an Besuchern mieten um diese zur Verteilung ihrer Malware zu nutzen. Dabei nutzen sie oft Schwachstellen im FlashPlayer der Fa. Adobe aus. Diese Methode ist besonders gefährlich, da sich Internetnutzer auf legitimen Seiten oft in trügerischer Sicherheit wiegen, weniger Vorsicht walten lassen und Werbeeinblendungen ernst nehmen. Zu den Opfern von Malvertising-Angriffen gehörten in der Vergangenheit u.a. die Internetseiten der New York Times 51 , der Zeit und des Handelsblatts 52 . 2.5.4.3 Suchmaschinen Eine weitere Möglichkeit ist, dass der Malware-Autor auf infiltrierten Internetseiten oder aber auf eigenen Internetseiten Inhalte zu aktuellen Themen erstellt und diese durch sogenanntes „Black Hat SEO“ (böswillige Suchmaschinenoptimierung) in den Suchergebnissen populärer Suchmaschinen weit nach oben bringt. Man spricht in diesem Zusammenhang von einer „Vergiftung“ von Suchergebnissen (sog. SEO poisoning). Die aus 2.5.4.1 bekannte Kommunikation wird noch dadurch erweitert, dass der Angreifer auf legitimen Internetseiten neue Inhalte zu populären und aktuellen Themen erstellt. Die Inhalte werden meist einfach aus verschiedenen Quellen zusammenkopiert. Mittels spezieller Skripte, den sog. SEO Kits wird die Internetseite noch so optimiert, dass gängige Suchmaschinen die Internetseite leicht finden und in ihrem Index möglichst weit oben anzeigen 53 . Klickt ein Benutzer auf einen Link zu einer infizierten Seite, wird die Infektion gestartet (s. Abb. 13). 49 vgl. Kleinz, 2010 50 Flash ist ein proprietäres Format der Firma Adobe Systems zur Erstellung multimedialer, interaktiver Inhalte 51 vgl. Cluley, 2009 52 vgl. Bachfeld, 2010 53 vgl. Fraser & Komili, 2010, S. 4 Abb. 13 - Typischer Ablauf der Kommunikation beim Drive-by-Download über SEO poisoning Die Malware-Autoren zeigen sich hier immer auf der Höhe des Zeitgeschehens und reagieren blitzschnell auf aktuelle Anlässe. Während der Ausarbeitung dieser Thesis konnte Black Hat SEO u.a. zu folgenden Ereignissen und Suchbegriffen beobachtet werden: „ Sandra Bullock Marriage Trouble (s. Abb. 14) „ Alicia Keys Pregnant „ Microsoft Stuxnet Cleaner „ Haiti Earthquake Donate „ Chile Mine Rescue Abb. 14 - Verbreitung von Malware über Suchmaschinen Die Malware-Autoren nutzen dabei häufig den Dienst Google Trends, den ständig aktualisierte Informationen über häufig gebrauchten Suchbegriff liefert 54. 2.5.4.4 Soziale Netze Neben dem herkömmlichen passiven „surfen“ im Internet, steht heute die aktive Teilnahme an sozialen Netzen und Plattformen im Vordergrund. Wer nicht auf „Facebook“, „Twitter“ 54 vgl. Stopthehacker, 2010 oder „XING“ vertreten ist, existiert eigentlich gar nicht. Stellensuche, Wohnungssuche, Bewerbungen und Berichte über persönliche Aktivitäten oder das Befinden von Familienmitgliedern und Haustieren erscheinen gleichermaßen im Internet. Aber nicht nur Menschen nutzen Soziale Netzwerke, auch Malware ist auf den Zug aufgesprungen. Technisch sind die Attacken mit Black Hat SEO (s. 2.5.4.3) vergleichbar. Dabei werden Nachrichten durch automatisch generierte Profile auf Pinnwände von Nutzern sozialer Netze geschrieben oder über den Kurznachrichtendienst „Twitter“ veröffentlicht (s. Abb. 15). 55 Abb. 15 - Verbreitung von Malware mittels Sozialer Netze Die Nachrichten enthalten dann Hyperlinks unmittelbar auf maliziöse Internetseiten oder sie verweisen in die „dunklen Ecken des Internets“ (s. 2.5.4.6). Einen Schritt weiter geht der Wurm Koobface 56 . Loggt sich ein Nutzer eines infizierten PCs bei seinem sozialen Netz 57 ein, verschickt der Wurm Links auf maliziöse Internetseiten an alle Freunde des Betroffenen 58. Ein Link eines Freundes wird natürlich viel häufiger und argloser angeklickt als ein Link eines Unbekannten. 2.5.4.5 Instant Messenger Instant Messaging (dt.: „sofortige Datenübermittlung“) ist eine Kommunikationsmethode, bei der sich mind. zwei Teilnehmer per Textnachrichten unterhalten. Populäre Messenger sind z.B. ICQ, Skype und Windows Live Messenger. Auch über diesen Kommunikationsweg ist eine Malware-Infektion möglich. Meist werden dazu Links auf infizierte Internetseiten versendet. Eine Studie von MessageLabs hat heraus- 55 vgl.Abuse.ch - The Swiss Security Blog, 2009a 56 Kobface ist ein Anagramm von Facebook 57 Koobface unterstützt derzeit die Netze Facebook, MySpace, hi5, Bebo, Friendster und Twitter 58 vgl. Baltazar, Costoya, & Flores, 2009
Posted on: Thu, 31 Oct 2013 18:52:41 +0000
Trending Topics
Recently Viewed Topics
© 2015