Neue Angriffsformen – Begriffserklärung Teil 5

In dieser mehrteiligen Artikelserie möchte ich Ihnen die verschiedenen Malware-Arten vorstellen und erklären. Alle Artikel finden Sie unter --> „Interne Links“ am Ende des jeweiligen Berichts.



Themen dieses Berichts (was Sie erwartet):



Allgemein:

In den vorherigen Teilen 1 bis 3 haben Sie bereits klassische und erweiterte Malware kennengelernt. Diese Teile

finden Sie hier:

Teil 1: http://www.security-dome.eu/Klassische_Malware_-_Begriffserklaerung_Teil_1.html

Teil 2: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_2.html

Teil 3: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_3.html

Diese letzten beiden Teil 4 und 5 der Begriffserklärung soll sich mit neuen Malwarearten beschäftigen. Auch diesen Bericht habe ich der besseren Übersicht in Teil 4 und 5 aufgeteilt.

Den Teil 4 finden Sie hier: http://www.security-dome.eu/Neue_Angriffsformen_-_Begriffserklaerung_Teil_4.html

Es werden aber zukünftige Entwicklungen kurz angesprochen.



Einleitung:

Wohl kaum eine Entwicklung ist so schnell wie die Bedrohungen für die IT. Ständig werden neue Formen von Angriffen und Malware entwickelt.

Dabei sind wirklich neue Techniken eher selten. Meistens werden schon bekannte Malwarearten so geschickt vermischt, dass teilweise sehr gefährliche Bedrohungen entstehen.

Auch der Markt für Schutzlösungen ist von sehr vielen situationsbedingten Änderungen betroffen. Hier noch den kompletten Überblick zu behalten ist fast unmöglich.

Entsprechend schwer sind Entscheidungen zu Investitionen im Bereich IT-Sicherheit.

Auf der diesjährigen CeBIT 2006 war dann auch die Stimmung der Hersteller von Schutzlösungen entsprechend hektisch – ja, schon fast konfus.

Die Hauptgründe waren dabei:

Typen neuer Angriffsformen:

In diesen beiden Berichten Teil 4 und 5 möchte ich folgende Formen neuer Angriffe aufzeigen:



Ransomware:

Ransomware“ ist eine recht neue Bedrohung. Hierbei wird durch ein destruktives Programm der lokale Festplatteninhalt des Opfers verschlüsselt. Die Daten sind in Folge nicht mehr verfügbar.

Um seine Daten wieder zu entschlüsseln muss ein Passwort vom Angreifer gekauft werden.

Bisher waren diese Programme nicht sehr erfolgreich. Entweder war die Verschlüsselungstechnik veraltert, oder die Programme hatten Programmierfehler. So gelang es den Herstellern von Anti-Virenprogrammen recht schnell den Schlüssel zu knacken.

In Zukunft ist aber mit weitaus mächtigeren Arten von „Ransomware“ zu rechnen.

Auch gelten gezielte Angriffe auf Firmen als sehr wahrscheinlich.



Zero-Day-Angriffe:

Zero-Day-Angriffe“ beschreiben Angriffe mit unbekannten Mitteln. Diese Mittel können sein:

Unbekannte Sicherheitslücken:

Aktuelle Beispiele hierfür sind die Schwachstellen in Microsoft Office Produkten. Hier wurde jeweils kurz nach dem Microsoft Patchday eine Schwachstelle aktiv ausgenutzt:

Die Einzelheiten und Berichte finden Sie hier: http://www.security-dome.eu/html/schwachstellen.html

Unbekannte Malware:

Entwickler von Malware testen ihre Schadprogramme gegen die Scanengines aller Hersteller. Dabei wird auch die heuristische Kontrolle der Virenscanner miteinbezogen. Wird der schädliche Code nicht erkannt, ist mit folgendem Ablauf zu rechnen:

Diese Zeitspanne dauert durchschnittlich ca. 18 Stunden (Studie von BlackSpider Technologies GmbH). Dies Zeitraum ist aber sehr optimistisch, andere Studien zeigen weitaus längere Zeitspannen.

In dieser Zeit ist der Anwender potentiell gefährdet! Um diese Zeitspanne zu überbrücken eigenen sich Intrusion Detection / Prevention Systeme (IDS/IPS). Eine Erklärung zu IPS/IDS finden Sie hier --> http://www.security-dome.eu/IDS-IPS_Grundlagen.html



Zero-Day-Batteries:

Zero-Day-Batteries“ stellen eine Serie von „Zero-Day-Angriffen“ dar. Hierbei werden in schneller Folge (Rhythmus von wenigen Stunden) jeweils leicht abgeänderte Versionen veröffentlicht. Diese Angriffsform ist sehr effektiv und stellt in erster Linie einen „DoS“-Angriff auf die Virenlabors von Anti-Viren-Herstellern dar.

Ziel der Angreifer ist, die Anti-Viren-Hersteller nicht mehr mit der Erstellung von Signaturen nachkommen.

Dadurch ist auch der Anwender noch länger ungeschützt.



Under-the-Radar Viren:

Bei dieser Art von Malware wird die Verbreitung ganz gezielt so weit verringert, dass Hersteller von Anti-Viren-Programmen keine oder eine verspätete Notiz von dieser Malware nimmt.

Diese Malware ist meist spezialisiert auf:

Zumeist verfolgen diese Viren ein ganz spezielles Ziel und entsprechen eigentlich nicht mehr der Definition eines Virus, demnach das primäre Ziel von Viren die Reproduktion (Verbreitung) ist.



Archiv-Malware:

Malware in gepackten Archiven zu verstecken ist nichts Neues. Auch mehrfach gepackte bzw. laufzeitkomprimierte Malware ist bekannt.

Trotzdem zeigen Anti-Viren-Programme immer wieder Probleme mit gepackten Archiven. Auch sind Fälle bekannt, in welchen speziell gepackte Archive Schwachstellen in Anti-Viren-Programmen ausnutzen können.

Zumindest stellt aber die Überprüfung von gepackten oder sogar mehrfach gepackten Archiven ein enormer Ressourcen- und Zeitverbrauch dar. Schliesslich müssen diese Daten erst temporär entpackt werden, um sie anschliessend prüfen zu können.

Problemsituation:

Erstaunlicher – zumindest auf den ersten Blick - ist da schon, was Eugene Kaspersky (Chef der Virusforschung bei Kaspersy Lab) auf der CeBIT 2006 in einem Interview zu gepackter Malware gesagt hat. Er bezeichnet die unterschiedlichen Methoden für die Datenkompression als eines der grössten Probleme und Herausvorderungen für alle Hersteller von Anti-Viren-Lösungen.

Ersichtlicher werden seine Ausführungen, wenn man bedenkt, dass dieselbe Malware unterschiedlich gepackt auch ganz unterschiedliche Signaturen zur Erkennung benötigt.

Viel grösser sei aber seinen Ansichten nach das Problem, dass unterschiedliche Programme auch unterschiedliche Komprimierungsmethoden verwenden. Als Beispiel nannte er *.msi-Pakete. Diese Komprimierung für den Windows-Installer lässt sich von einem Angreifer so ausnutzen, dass gefährlicher Code in eine normale Installationsroutine versteckt werden kann. Erst im Zuge der Installation wird dieser Code zusammengesetzt und ergibt eine Gefahr.

Unter diesen verständlichen Ausführungen scheinen die Analysen und Befürchtungen von Eugene Kaspersky durchaus realistisch zu sein und eine echte Bedrohung darzustellen.



Rootkits:

Rootkits“ sind bereits seit längerer Zeit im Linux / Unix-Umfeld bekannt. Vor ca. 2 Jahren haben sie dann Einzug in die Windows-Welt genommen.

Unterschiede Unix&Windows:

Es gibt aber einen entscheidenden Unterschied zwischen Linux / Unix-Rootkits und Windows-Rootkits.

Unter Unix / Linux sind Rootkits primär Sammlungen von Systemwerkzeugen, mit welchen man Zugriff als „Root“ oder „Superuser“ erlangen möchte und gleichzeitig spätere Anmeldungen des Angreifers verstecken möchte.

Unter Windows arbeiten aber leider die meisten Anwender immer unter Administratorrechten. Deshalb liegt das primäre Ziel bei Windows-Rootkits eher im Verstecken und Tarnen.

Windows Rootkits:

Windows-Rootkits nutzen also ganz allgemein Techniken, die dabei helfen sich selbst oder ein anderes Programm oder eine Software zu verhüllen, zu verstecken oder zu tarnen!

Ein Rootkit hat entsprechend keine eigene Schadfunktion!

Es nutzen aber Malware-Programme Rootkits um sich zu tarnen, und ihre Schadroutine zu verschleiern!

Typisches Beispiel sind Ad-/ Spywareprogramme, Trojaner, Keylogger usw.

Unterscheidung:

Grundsätzlich unterscheidet man folgende Rootkits:

Rootkits, die Virtualisierungstechniken nutzen sind hierbei ganz neu – und extrem gefährlich! Grob gibt es hier Rootkits, die die normale Arbeitsoberfläche (das aktuelle System) zu einer virtuellen Maschine machen. Sie setzen sich also als „Betriebssystemebene“ unter das aktuelle System und können somit alle Aktivitäten kontrollieren und aufzeichnen.

Ganz neu ist eine Technik, die die Virtualisierungsfunktion von neuen Prozessoren nutzt und somit eine parallele virtuelle Rechnereinheit bildet. Auch hierbei sind umfangreiche Möglichkeiten der Kompromittierung möglich. Betroffen sind hierbei Prozessoren von AMD mit der SVM/Pazifica-Technologie und der Intel Vanderpole.

Zum Thema Rootkit werde ich noch einen ausführlichen Artikel schreiben.



Blended Threats:

Blended Threats“ nutzen HTTP-Verkehr, um gefährlichen Code zu transportieren. Da mittlerweile die meisten Anwender und Firmen E-Mail-Verkehr auf schädliche Anhänge hin überprüfen, gehen nun Spam-Versender dazu über nur noch Internetadressen in E-Mails zu nennen, auf welchen gefährlicher Code über Scripte übertragen werden.

Diese Links auf mit Malware verseuchten Internetadressen nennt man „Blended Threats“.

Aktuellen Umfragen in Grossbritannien zeigen z.B., das nur etwa ein Drittel aller Unternehmen Schutzmassnahmen gegen solche Web-basierte Malware getroffen haben.

Diese Nachlässigkeit nutzen vermehrt Angreifer aus, um gefährlichen Code zu verbreiten.



Exploits:

Exploit“ (ausnutzen) ist ein Programm oder Script, welches Sicherheitslücken in Betriebssystemen oder Programmen ausnutzen kann. Exploits stellen somit oberflächlich betrachtet keine Malware dar. Dies stimmt aber nicht ganz, da es auch lokale Exploits gibt, die lokal ausgeführt auch einen lokalen Angriff starten können.

Exploits sollen hauptsächlich dem Erlangen von Privilegien (Benutzerrechten) dienen.

Es gibt verschiedene Arten von Exploits:

Zero-Day-Exploits:

Zero-Day-Exploits werden für automatisierte Zero-Day-Angriffe genutzt, wie ich sie weiter oben beschrieben habe.

Proof of Concept Exploit:

Proof of Concept Exploits sind Exploits, die kurz nach bekanntwerden bzw. erkennen einer Sicherheitslücke entwickelt werden. Sie dienen meist der Demonstration bzw. als Beweis einer solchen Sicherheitslücke.

Lokale Exploits:

Lokale Exploits können eine lokale Schwachstelle ausnutzen. Dazu tragen sie meist die Dateiendung, welche mit dem anzugreifenden Programm verknüpft ist.

Remote Exploits:

Remote Exploits nutzen Schwachstellen auf entfernten Rechnern aus. Sie sind somit Angriffswerkzeuge gegen fremde Rechnersysteme.

DoS Exploits:

DoS Exploits werden primär für einen DoS-Angriff auf Programme oder Rechner genutzt. Sie sorgen somit für eine Überlastung und die destruktive Bindung von Ressourcen.

Command Execution Exploits:

Command Execution Exploits dienen der gezielten Manipulation von Rechnersystemen. Dazu wird sehr oft ein „Pufferüberlauf“ (Überschreiben von Adressen / Bereichen im Arbeitsspeicher) provoziert. Dazu muss der Angreifer aber sehr genau über die Speicherbelegung und –verteilung der anzugreifenden Anwendung bescheid wissen.

Wird dieser Code geschickt platziert, kann es zur Ausführung dieses Codes kommen. Deshalb ist diese Form der Exploits sehr gefährlich! Besonders dann, wenn die angegriffene Anwendung unter erweiterten Privilegien läuft (Systemrechte).

SQL-Injection Exploits:

SQL-Injection Exploits sind spezielle Exploits gegen SQL-Datenbanken bzw. Anwendungen die SQL-Datenbanken nutzen (z.B. Webanwendungen).



Botnets:

Botnets stellen einen Zusammenschluss von kompromittierten Rechnersystemen dar.

Wurde ein Rechner erfolgreich angegriffen oder infiziert, können RAT-Tools installiert werden. Dadurch ist der Rechner fernsteuerbar.

Diese Rechner – auch Zombies genannt – werden für den Spam-Versand oder auch einem DDoS-Angriff genutzt.

Ein sehr lebhaftes Beispiel für die wirtschaftlichen Folgen, aber auch die Macht von Botnets können Sie in folgendem Bericht nachlesen --> http://www.security-dome.eu/Blue_Security.html

Um die Botnets hat sich ein richtiger illegaler Markt gebildet. Dabei werden Botnets z.B. gegen Bezahlung vermietet. Einen Artikel zur Thematik finden Sie hier --> http://www.security-dome.eu/Botnets-Expertenwarnung.html

Auch dieser Umstand kann wiederum weit reichende rechtliche Probleme mit sich bringen! Wird ein Rechner als Angreifer oder Spam-Versender identifiziert, drohen straf- und zivilrechtliche Klagen.



Crimeware:

Unter Crimeware oder Business-Viren versteht man alle Arten von Malware, die aber einen finanziellen bzw. wirtschaftlichen Hintergrund hat. Hierzu wird die Malware für folgende kriminellen Handlungen eingesetzt:

Malware mit wirtschaftlichem Interesse hat sich im letzten Jahr mehr als verdoppelt!

Ein Trend ist, die entwickelte Malware oder Exploits auf dem Schwarzmarkt zu verkaufen. Sehr oft werden diese Programme oder Scripte dann ganz gezielt gegen einen bestimmten Personen- oder Unternehmenskreis eingesetzt.

Crimeware nutzt dabei Angriffe auf alle Objekte der Gefährdung:



Bounce-Attacken:

Bounce-Attacken sind absichtlich fehlgeleitete E-Mail-Antworten. Das hört sich erst mal relativ unspektakulär an – ist es aber bei weitem nicht!!

Aus aktuellen Ironport-Studien geht hervor, dass bereits 55 % der befragten Unternehmen Opfer solcher Angriffe geworden sind. Der Schaden wird für das Jahr 2006 auf ca. 4 Milliarden Euro geschätzt. Bounce-Mails sollen weiterhin ca. 11% des weltweiten Spam-Aufkommen ausmachen.

Die Technik dahinter ist relativ einfach. Ein Angreifer gibt wahllos falsche Adressen einer bestehenden Domain als Empfänger an. Als Absenderadresse wird die Adresse des Opfers gefälscht. Nach dem SMTP-Standard sendet der Mail-Gateway eine „unzustellbar-Nachricht“ an die gefälschte Absenderadresse des Opfers.

Dies ist ein DoS-Angriff auf das Mail-Postfach des Opfers! Ausserdem entstehen dadurch erhöhte Servicekosten, da das Opfer den erhöhten Erhalt von „Nichtzustellbar-Mails“ der Servicehotline meldet.

Weitere Spezialangriffe auf Basis von E-Mails finden Sie in mit „UM“ gekennzeichneten Berichten in folgendem Bereich --> http://www.security-dome.eu/html/sicherheit.html



Zusammenfassung:

Sie haben nun in den 5 Teilen zu Malware sehr viele unterschiedliche Begriffe und die dahinterstehenden Techniken kennengelernt.

Natürlich erheben diese Berichte nicht den Anspruch der Vollständigkeit – obwohl im mir für die Recherche sehr viel Zeit genommen habe und gewissenhaft gearbeitet habe. Es liegt aber in der Natur der Malware und Angriffsformen, das sie stetig weiterentwickelt werden.

Wie Sie auch sehen können, ist die Grenze zwischen Malware und Netzwerkangriffen fliessend. Einige Angriffsformen, die ich vorgestellt habe sind eine Kombination dieser Angriffsformen. Trotzdem sehe ich sie eher im Bereich Malware-Angriffe. Der Themenkomplex „Netzwerkangriffe“ ist ebenso umfangreich und auch ebenso gefährlich.

Zum Abschluss möchte ich mich bei allen aufmerksamen Lesern bedanken und hoffe etwas Transparenz in diese Thematik gebracht zu haben, und Ihr Interesse und vor Allem Ihre Aufmerksamkeit geweckt zu haben!!



Interne Links:

Klassische Malware – Teil 1: http://www.security-dome.eu/Klassische_Malware_-_Begriffserklaerung_Teil_1.html

Erweiterte Malware – Teil 2: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_2.html

Erweiterte Malware – Teil 3: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_3.html

Neue Angriffsformen – Teil 4: http://www.security-dome.eu/Neue_Angriffsformen_-_Begriffserklaerung_Teil_4.html

Neue Angriffsformen – Teil 5: dieser Bericht

Weitere Spezialangriffe finden Sie unter dem Begriff „UM“ in folgendem Bereich: http://www.security-dome.eu/html/sicherheit.html



Externe Links:

BlackSpider Technologies GmbH: http://www.blackspider.com/

Kaspersky Labs: http://www.kaspersky.com/de/

Ironport: http://www.ironport.com/de/



Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum – unter --> http://www.security-dome.eu/forum/pA/




Autor: Frank Richter

Copyright: Frank Richter – securITy-dome.eu

Erstellungsdatum: 25.08.06

Letzte Aktualisierung: 24.07.07



<-- Zurück zu den News