Verlorener Wettlauf gegen Malware?

In der Anfangsphase der Malware-Entwicklung verfolgten die Programmierer meist nur ein Ziel, nämlich die Demonstration der eigenen Programmierkünste. In dieser Phase wurden beispielsweise Veränderungen am System vorgenommen, die offensichtlich waren, wie der Tequilla-Virus aus dem Jahr 1991. Dieser zeigte jeden Monat einen Text und ein Bild an. Destruktive oder kriminelle Ziele wurden dabei nicht weiter verfolgt.

Allerdings ließ dies nicht lange auf sich warten: Bootsektoren wurden gelöscht, Dateien verschlüsselt und vieles andere mehr. Die Kreativität der Malware-Programmierer kannte keine Grenzen. Von da aus war es nur noch ein kleiner Schritt hin zur Kriminalisierung von Malware. Stand früher der Spaß und das Beweisen der eigenen Fähigkeiten im Vordergrund, so ändert sich dies hin zu einer kommerziellen Nutzung, bei der Schadsoftware durch kriminelle Organisationen entwickelt und vertrieben wird.

Eine weitere Flexibilisierung von Malware wurde durch die Einrichtung eines Steuerkanals zwischen den infizierten Systemen und einer zentralen Steuereinheit (Command and Control Server; C&C) erreicht. Dies kann über IRC (Internet Relay Chat - Chat-Protokoll), P2P (Peer-to-Peer) oder auch HTTP realisiert werden. Der logische Zusammenschluss von mit Malware infizierten Systemen wird allgemein als Botnetz bezeichnet.

Systeme in einem Botnetz können dabei für unterschiedlichste Zwecke instrumentalisiert werden. Beispiele hierfür sind Distributed Denial of Service (dDoS) Angriffe gegen Firmen-Webseiten oder der Versand von Spam-Mails. Erschwerend kommt hinzu, dass die Generierung von Malware heutzutage nicht nur Experten vorbehalten ist. So kann mittlerweile von einer breiten Masse Malware auf Basis von Baukastensystemen zusammengestellt werden. Diese stehen auf speziellen Internet-Seiten zum Kauf bereit. Hierzu wird keinerlei Expertenkenntnis benötigt.

Eine aktuelle Studie von Microsoft (Microsoft Malware Protection Center - Threat Report - Juli 2012) zeigt genau diesen Sachverhalt. Sie besagt, dass die Infektionsrate in bestimmten EU-Staaten wie Deutschland Ende 2011 stark angestiegen ist. Bisher konnte in diesen Staaten in der Regel eine geringe Infektionsrate festgestellt werden.

Zurückzuführen ist dieser Anstieg auf die Malware Win32/ZBot und Win32/EyeStye. Beide Varianten werden durch ein Malware-Kit generiert, sind käuflich erwerbbar und verursachen unterschiedlichen Schaden. Dieser beginnt mit der Deaktivierung der Personal Firewall oder anderen lokalen Sicherheitskomponenten, dem Ausspähen von Benutzer- und Computer-Informationen und endet beim Zugriff auf sensible Daten, wie die Tastatureingaben beim Besuch einer Online-Banking-Seite. Die Infektionszahlen lassen dabei den Schluss zu, dass Deutschland mehr in den Fokus krimineller Aktivitäten mit Malware rückt.

Eine andere Hausnummer stellen APTs (Advanced Persistent Threats) dar. Diese nutzen ähnliche Mechanismen wie es von herkömmlicher Malware bekannt ist. Hinzu kommt jedoch eine wesentlich stärker ausgeprägte Ausrichtung auf ein bestimmtes Ziel und eine damit einhergehende technologische Spezialisierung dieser. Hinter APTs verbergen sich in der Regel Organisationen, die über ihr Know-how und ihre Mittel in der Lage sind, eben diese hochkomplexen Angriffe entsprechend vorzubereiten, zu testen und schließlich durchzuführen.

So konnte beispielsweise innerhalb des APTs Stuxnet Programmcode nachgewiesen werden, der zur Programmierung von Siemens Simatic S7 verwendet wird. Diese Steuerungen werden unter anderem auch in Atomkraftwerken eingesetzt. Von Stuxnet war vor allem der Iran betroffen. Aus diesen Gründen liegt der Schluss nahe, dass es sich um eine gezielte Aktion gehandelt hat.

Ähnliche Eigenschaften weißt auch Flame auf. Dieser APT wurde kürzlich im mittleren Osten entdeckt. Infiziert war hier nur eine geringe Anzahl von Systemen (rund 1.000). Interessant dabei ist allerdings, dass es vor allem Regierungssysteme waren, die von Flame infiziert wurden. Zur Verbreitung nutzt Flame das lokale LAN oder auch USB-Sticks. Einmal infiziert werden auf dem System Screenshots angefertigt, Audioaufzeichnungen gestartet, Eingaben über die Tastatur und der Netzwerkverkehr mitgeschnitten.

Interessant ist weiter, dass Flame über eine Deinstallations-Routine verfügt. Wird vom C&C-Server ein spezielles Kommando gesendet, so wird Flame vollständig vom System entfernt. Gerade diese Eigenschaft unterscheidet Flame von Standard-Malware. Hierdurch ist es möglich, die Spuren des Angriffs nach erfolgreicher Beendigung vollständig zu verwischen.