Malware 2.0: Der Weg und Werdegang eines Computer-Schädlings

Wie infiziert sich heutzutage ein Computer mit Malware? Denn die Zeit der Verteilung von Schadsoftware über eMails scheint so langsam vorbei zu sein, weil der Anwender aufgeklärter ist und deshalb keine Anlagen mehr unüberlegt öffnet. Auch Würmer haben aufgrund der Verbreitung von Routern und Desktop-Firewalls fast keine Chance mehr sich zu verwirklichen. Dennoch sind Angreifer erfolgreicher denn je. Dies liegt an immer perfideren Angriffsmethoden, wie das folgende Beispiel EINES fatalen Mausklicks bzw. der Besuch einer infiltrierten oder manipulierten Website zeigt:


Infektion

Ganz am Anfang steht meist ein manipulierter Hyperlink (Clickjacking) auf einer gehackten (besser gecrackten, denn Hacker sind die Guten und Cracker die Bösen), viel besuchten Webseite, der zuvor über eine dortige Schwachstelle eingeschleust wurde (z.B. per XSS oder SQL-Injection). Der Webseitenbetreiber selbst hat vom Missbrauch i.d.R. keine Kenntnis (gerade grosse, bekannte Webpräsenzen und Web2.0-Seiten sind betroffen).

Klickt der Anwender nun auf einen präparierten Link (über JavaScript wäre es auch möglich zu realisieren, dass der pure Besuch der Website ausreicht, d.h. das Laden der Seite genügt), sammelt der Angreifer-Server Informationen über den Besucher-Computer (siehe auch unsere Seite Browsertest), um unbemerkt einen passenden Trojan-Dropper zu laden. Man spricht dabei von Drive-by-Download. Oft sind es Sicherheitslücken in Browser-PlugIns (z.B. JavaScript) oder Sicherheitslecks im Web-Browser selbst, die dies ermöglichen. Um solche Lücken auszunützen, muss man kein versierter Hacker mehr sein, denn es gibt bereits sog. Hacker-Toolkits (Baukästen), die gängige Exploits vergangener bzw. bekannter Sicherheitslücken beinhalten (siehe dazu z.B. unsere Beiträge zum Web-Attack-Toolkit MPack sowie zum Trojanerbaukasten Turkojan).

Ein Virenscanner bzw. der Viren-Echtzeitscanner (Wächter oder Guard) wird nur anschlagen, sofern er die Virensignatur kennt bzw. das heuristische Verhalten als ungewöhnlich einstuft. Gegen neue, “gute” Malware hat er keine Chance!

Mit der Installation des Trojanischen Pferds wird dem kompromittierten System eine unikate ID auf dem angreifenden Command-and-Control-Server zugeteilt. So kann das infizierte System auch später in einem Botnetz angesprochen werden und bestimmte Aufgaben übernehmen (siehe weiter unten).

Neueste Malware verschlüsselt sogar die Kommunikation mit dem Command-and-Control-Server, so dass ein "Abhören" des Netzwerkverkehrs erfolglos bleibt (siehe Beispiel CTB-Locker).


Installation

Jetzt beginnt die eigentliche Arbeit des eingeschleusten Trojan-Droppers. Dieser sucht nun innerhalb seiner vorprogrammierten Möglichkeiten (siehe Rootkit) nach Schwachstellen des Betriebssystems und Sicherheitslecks in installierten Anwendungen auf dem Opfer-Computer. Danach generiert er ein individuelles Installationsprogramm (über weitere Exploits), um die eigentliche Malware zu plazieren und um ggf. Systemkonfigurationen zu ändern (z.B. hosts-Datei) oder verschlüsselt Dateien auf dem Opfer-Computer (Ransomware). Über sog. Bootkits ist es sogar möglich, den Bootsektor des Rechners zu manipulieren und den Computer neu starten zu lassen, um gewisse Systemfunktionen beim Hochfahren abzufangen (z.B. Beenden von Prozessen), die es dem Schädling dann leicht(er) machen sich (versteckt) einzunisten. Z.B. wird der Start des installierten Virenscanners verhindert.


Entfaltung und Verbindung zum Angreifer

Das System (nun ein Zombie) ist jetzt komplett in der Hand der Angreifer und kann über die Hintertür (backdoor) ferngesteuert werden. D.h. es wurden bestimmte Ports geöffnet, auf denen die Malware die unikate ID (und anderes, siehe nächsten Absatz) ständig [meist per Protokoll UDP] zum Angreifer-Server sendet, um z.B. NAT auf einem Router zu umgehen (das Server-Client-Prinzip wird praktisch umgedreht - denn sonst müsste auf dem Router ein Portforwarding eingerichtet werden - der Client ist quasi Server und äquivalent ist der Server ein Client). Ein Angreifer bzw. der Angreifer-Server braucht nun nur noch auf ein Paket mit der entsprechenden, unikaten ID (siehe oben) zu reagieren, um sein Unwesen zu treiben - sprich es entsteht aus firewall-technischer Sicht (local view) auf dem verwundeten System kein Incoming, sondern nur Outgoing-Traffic, obwohl es sich letztendlich doch um eingehenden Verkehr handelt (siehe auch unsere Fernwartungssoftware, welche ebenfalls nach diesem Prinzip eine Umgehung von NAT-Routern möglich macht - allerdings sendet diese Software im Gegensatz zum feindlichem Szenario eine Verbindungsanfrage nur, wenn der Kunde dies per Mausklick anfordert :-)


Folgen für das Opfer - Aktionen der Angreifer

Der Angreifer kann somit den Rechner fortan als den seinigen betrachten, sprich ALLES ist jetzt möglich. Auch Manipulationen an verbundenen, unzureichend gesicherten Routern können jetzt über den infizierten Rechner erfolgen [z.B. Trojaner “Zlob”], was fatale Auswirkungen auf ALLE Rechner (unabhängig vom Betriebssystem) im LAN haben kann (z.B. über die Manipulation der Router-DNS- oder -DHCP-Einstellungen. Werden beispielsweise die DNS-Einstellungen umgebogen, kann der Aufruf der heimischen Online-Bankingseite dazu führen ein Plagiat der Seite zu laden, die äquivalent zur Hausbank aussieht).

Infizierte Systeme sind über Botnetzbetreiber mietbar (ca. 100-150 Euro/Stunde für ein paar Tausend Rechner), um eigene (illegale) Zwecke zu verfolgen, d.h. z.B.:

  • Grossflächiger Diebstahl von Anwenderdaten (Onlinebanking-Daten, Kreditkartendaten, Tastaturprotokolle [Keylogger], Zugangsdaten, Passwörter...), die in die sog. “Dropzone” (geheim gehaltener, sich oft ändernder Speicherort im Internet --> Angreifer-Server) geschickt und dort ausgewertet werden, um diese auf dem Schwarzmarkt weiterzuverkaufen oder selbst zu missbrauchen ( z.B. zum Online-Einkauf auf fremde Rechnung per Kreditkarte oder auf Rechnung, Umbiegen einer Überweisung auf anderes Konto u.U. auch mit Erhöhung des Betrags).

  • Verschlüsselung von Dateien (sog. Ransomware) auf dem Opfercomputer (für die Entschlüsselung wird Lösegeld eingefordert - i.d.R. wird das "Versprechen" natürlich nicht eingelöst - siehe Beispiel CTB-Locker)

  • Angriffe auf Dritte mit der IP-Adresse des Opferrechners bzw. -Internetzugangs (d.h. es sind keine Rückschlüsse auf den wirklichen Angreifer möglich bzw. der Backtrace wird verschleiert)

  • Verteilung von Spam oder illegalen Inhalten mit der IP-Adresse des Opferrechners bzw. -Internetzugangs (d.h. es sind keine Rückschlüsse auf die wirkliche Quelle möglich bzw. diese wird erfolgreich verschleiert)

  • Einschleusen weiterer Schadsoftware (z.B. Wurm, um von EINEM gekaperten Rechner ALLE Rechner in dessen LAN zu infizieren)

  • Phishing von PIN- und TAN-Codes* zum Onlinebanking (z.B. per Man-In-The-Middle-Attack über nachgebaute Bankwebsite, auf die umgeleitet wird, (siehe Umbiegen der hosts-Datei). Anschliessend (fast zeitgleich) wird mit den ausspionierten Codes (PIN/TAN) auf der richtigen Onlinebanking-Website “abgeräumt”

  • Spionage und Überwachung aller Art

  • u.s.w.....
Kommentieren