IT-Security

Die gefährlichste Malware 2015

28.01.2016 von Christine Schönig
Cryptolocker, Logjam, CTB-Locker, XCodeGhost… Welche Schädlinge haben im vergangenen Jahr den IT-Security-Markt aufgemischt? Wir entschlüsseln die gefährlichsten Bedrohungen und alle geheimen Tricks der Cyberkriminellen.
 
  • Besonders gefragt waren Cryptolocker, um IT-Nutzer nach einer Verschlüsselung ihres Systems zu erpressen.
  • Komplexität und Intelligenz der Schädlinge wachsen stetig, für IT-Security-Software wird die Erkennung von besonders perfiden Methoden mühseliger und zeitraubender.
  • Mobile Endgeräte - sowohl auf Android- als auch auf iOS-Basis - geraten immer mehr ins Visier der Malware-Entwickler.

Lässt man die News noch einmal Revue passieren, die 2015 die Security-Branche beschäftigten, dann fällt auf, dass vor allem spektakuläre Hacks (General Motors Car Hack) und Schwachstellenfunde (XcodeGhost, Certifi-Gate) im Gedächtnis geblieben sind. Dabei gerät leicht in Vergessenheit, dass Cyber-Kriminelle ihre Schadsoftware weiter verbessert haben. In diesem Zusammenhang werden die sogenannten unbekannten Unbekannten immer wichtiger. Es handelt sich hierbei um Malware, deren Signatur bislang noch nicht bekannt ist und die von Antivirensoftware nicht enttarnt werden kann. Viel Aufwand betreiben die Programmierer nicht, denn sie verwenden in der Regel alte Malware und ändern lediglich Details im Programmcode, um neue Signaturen zu erhalten.

Ransomware

Neben dieser neuen Schadsoftware arbeiteten kriminelle Banden vor allem mit Ransomware, mit der Opfer erpresst wurden. Der CTB-Locker ist ein gutes Beispiel für diese neue Form der Ransomware. Codiert mit fortschrittlichen Algorithmen, erschwert er traditioneller Antivirensoftware die Erkennung. Gleichzeitig macht diese Schadsoftware deutlich, dass sich der Trend zum Social Engineering noch einmal verstärkt hat. Opfer werden gezielt über E-Mails von scheinbar bekannten Stellen angesprochen und sollen die Software herunterladen. Die Installation des Schadcodes erfolgt dann so schnell, dass kaum Zeit für Gegenmaßnahmen bleibt.

Exploit Kits

Exploit Kits sind alte Bekannte, doch auch hier lassen sich Trends feststellen, die aufschlussreich sind. Wer Exploit Kits einsetzt, der wechselt nun verstärkt die Landing Page, um zu verschleiern, woher sie kommen. Bislang war es schon schwer, überhaupt das Herkunftsland zu lokalisieren - jetzt wird es auch immer schwerer, die Quelle auszumachen. Darüber hinaus werden auch Exploit Kits weiterentwickelt und somit immer raffinierter. Sie können nicht nur die verwendeten Browser ihrer Opfer erkennen, sondern lernen auch immer besser die installierte Sicherheitssoftware ausfindig zu machen.

Im Folgenden stellen wir die Top-11-Schädlinge des vergangenen Jahres vor:

CTB-Locker

Beim CTB-Locker handelt es sich um eine Kombination von Krypto- und Ransomware. Er basiert auf fortschrittlichen Algorithmen, die die Entdeckung und Neutralisierung der Malware erheblich erschweren. Das Programm verschlüsselt die Dateien der betroffenen Unternehmen. Anschließend verlangen die Cyber-Kriminellen 3 Bitcoins (ca. 360 Dollar) Lösegeld für die Freigabe. Die Infizierung erfolgt in den meisten Fällen über eine E-Mail, die von der Adresse eines Firmenangestellten aus an das Management geschickt wird. Fünf Minuten nach dem Öffnen der angehängten .zip- oder .cab-Datei platziert das Schadprogramm den CTB-Locker im Netzwerk.

Angler Exploit Kit

Exploit Kits gelangen über schadhafte Websites in das Netzwerk. Sie suchen nach Schwachstellen auf Webservern und nutzen diese zur Platzierung von Ransomware. Im Dezember letzten Jahres richteten die Check Point-Experten die IPS-Protection gegen das Angler Exploit Kit aus. Nur zwei Tage, nachdem die Schutzmaßnahmen fertig waren, beobachtete das Unternehmen schwere Angriffe auf einige seiner Managed-Service-Kunden, unter anderem eine führende Bank und ein Krankenhaus in den USA. Die Attacken waren über deren IPS-Blade aufgezeichnet worden. Problematisch ist hierbei, dass Exploit Kits ihre Landing Page häufig wechseln, um IPS-Detection zu vermeiden. Es ist durch die Untersuchung großer Datensätze aber gelungen, einige dieser URLs ausfindig zu machen.

Exploit Kits wie "Angler" spähen Webserver gezielt nach Verwundbarkeiten aus.
Foto: Check Point Software 2015

Volatile Cedar

Volatile Cedar (explosive Zeder) ist wahrscheinlich eine im Libanon verwurzelte Hacker-Gruppe. Als Hintergrund ihres Handels können politische Gründe angenommen werden. Bereits seit 2012 attackiert die Malware-Kampagne Einzelpersonen, Unternehmen und Institute weltweit. Unter den Opfern sind Rüstungskonzerne, Telekommunikations- und Medienunternehmen sowie Bildungseinrichtungen. Besonders häufig verwendet Volatile Cedar einen Remote Access Trojaner namens Explosive. Das Hauptziel dieser Malware ist, sensible Informationen zu sammeln und Cyberspionage zu betreiben. Zusätzlich wurden eine File-Deletion-Funktion und ein Arbitrary Code Execution eingebaut.

AAEH/Beebone

Es handelt sich hierbei um Schadsoftware, die weitere Malware nachlädt. Darunter befinden sich unter anderem Password Stealers, Rootkits, gefälschte Antivirus-Programme und Ransomware. AAEH wird unter anderem über Netzwerke, bewegliche Datenträger oder .zip- und .rar-Dateien verbreitet. Die Schadsoftware ändert ihre Form, sobald sie einmal installiert wurde und verteilt sich mit großer Geschwindigkeit über das gesamte System. Sie stiehlt Zugangsdaten für Online-Services wie Bank-Accounts und erpressen mit Datenverschlüsselung Geld von den Betroffenen.

Wandlungsfähig wie ein Chamäleon: AAEH/Beebone.
Foto: www.shutterstock.com - Andrew M. Allport

AAEH/Beebone wurde Anfang April 2015 in einer gemeinsamen Operation von Europol, den holländischen Behörden und dem FBI stillgelegt. Nach wie vor können die von Beebone infizierten Systeme Antivirus-Programme außer Kraft setzen, indem sie die Verbindung zu den IP-Adressen der Hersteller unterbrechen. Deswegen empfiehlt es sich, die infizierten Maschinen aus dem Netzwerk und die Infektion zu entfernen. Auf Shadowserver sind verschiedene Reparations-Tools erhältlich.

Simda

Das Simda Botnet ist ein Netzwerk von infizierten Computern. Malware aus diesem Botnet verbreitet sich selbstständig. Bereits 770.000 Geräte wurden weltweit angegriffen. Allein im Januar und Februar 2015 wurden 90.000 neue Beeinträchtigungen festgestellt - und das nur in den USA. Seit 2009 attackieren Cyber-Kriminelle einzelne Geräte mit Schwachstellen und infizieren sie mit der Simda-Malware. Diese leitet Benutzer auf schädliche Websites weiter und lädt zusätzliche Malware herunter.

Die Hacker steuern das kompromittierte System von außen und führen weitere Attacken aus oder verkaufen die Steuerung an andere Cyber-Kriminelle. Die Zugänge zur Systemsteuerung verändern sich stündlich. Sie sind somit für Anti-Viren-Programme schwer aufzuspüren und können frei im gehackten Netzwerk agieren. Einen kleinen Fortschritt gibt es jedoch: Im vergangenen April wurden in einer weltweiten Aktion zehn Kontrollserver in den Niederlanden stillgelegt. Weitere Erfolge wurden in den USA, Russland, Luxemburg und Polen erzielt.

Logjam

Diese Schwachstelle betraf ursprünglich 8,4 Prozent der Top 1 Million Internetdomains. Der Angriff richtet sich auf den Diffie-Hellman-Key, der für eine sichere Verbindung zwischen zwei Kommunikationspartnern sorgt. Logjam reduziert die Verschlüsselung dieser Verbindung, so dass Hacker Inhalte mitlesen und geteilte Daten modifizieren können.

Das Open SSL/TLS Export Cipher Suite Downgrade unterbricht TLS-Verbindungen, wenn eine EXPORT-Verschlüsselung verwendet wird, die nicht in der Liste des Opfers vorkommt. SSL Export Cipher Suite stoppt die Verwendung von EXPORT cipher suites gänzlich. Darüber hinaus befindet sich der TLS und SSL Diffie-Hellman-Key Downgrade Weakness in der Entwicklung. Das Programm wird zusätzlichen Schutz gegen die wenigen Konfigurationen bieten, mit denen die beiden oben genannten Downgrades umgangen werden können.

Matsnu

Matsnu ist eine Schadsoftware, die als Hintertür fungiert, sobald sie ein System infiltriert hat. Sie ist in der Lage, jeden beliebigen Code hochzuladen und auszuführen. Dieser verschlüsselt dann Dateien oder stiehlt sensible Daten. Die Malware kommuniziert über DGA (Domain Generation Algorithm)-Technik mit dem C&C-Server. DGA erschwert das Blocken schadhafter Netzwerkaktivitäten, indem es ständig neue Domains erzeugt. Die Malware ist somit gegen String Dumping, Blacklisting oder das Schließen infizierter Domains immun. Darüber hinaus verfügt Matsnu über einige nicht zerlegbare Bestandteile und Verpackungstechniken, die eine Analyse zusätzlich erschweren.

Certifi-gate

"Certifi-gate" gewährt Cyber-Kriminellen heimlich uneingeschränkten Zugriff auf ein mobiles Endgerät. Dazu werden Remote Support Apps missbraucht, die in der Regel über solche Rechte verfügen. Bösartige Anwendungen ermöglichen eine Ausweitung der Nutzerrechte und Zugriff auf persönliche Daten durch die Hacker. Dadurch können sie eine Reihe von Aktivitäten einleiten, die normalerweise nur dem Geräteinhaber zur Verfügung stehen. Die Installation von Apps, die Verfolgung des Nutzerstandorts oder die Aufnahme von Gesprächen über das Mikrofon sind nur einige Beispiele.

Mit Certifi-gate erlangen Angreifer die volle Kontrolle über ein mobiles Endgerät. Besondes Android-Systeme sind gefährdet.
Foto: Check Point Software 2015

Bis Hersteller ein Sicherheitsupdate entwickelt haben, sollten Verbraucher Apps, die sie herunterladen, gründlich auf deren Seriosität überprüfen und immer die aktuelle Version von Android und ROM auf ihren Geräten installiert haben. Remote Support Tool Plugs sollten nach Möglichkeit deinstalliert werden.

Sality Gambling Campaign

Ende Juli entdeckte Check Point eine Reihe von Angriffen in Vietnam. Sie hatten alle über Domains stattgefunden, die von Sality infiziert sind - einer bereits bekannten Malware-Familie. Sie wurde erstmals 2003 entdeckt und hat sich seitdem ständig weiterentwickelt, so dass sie mittlerweile eine der komplexesten Schadsoftwaren überhaupt ist. Sality installiert einen Virus, Trojaner oder Wurm auf einer Festplatte. Es verfügt über Selbstverbreitungsmechanismen, die auf USB-Devices und Netzwerkordner übergreifen. Darüber hinaus kann die Malware Services und Prozesse beenden und ist in der Lage, als Server zu fungieren. Bei den im vergangenen Jahr entdeckten Attacken handelte es sich um eine bereits bekannte Version von Sality, die den Versand von Spam-Mails über den infizierten Server ermöglichte.

BrainTest

Die Check Point Mobile Threat Protection entdeckte die Malware, die in einer Android Game-App namens BrainTest verpackt war. Es wurden zwischen 100.000 und 500.000 infizierte Apps heruntergeladen. Die Zahl der betroffenen Nutzer dürfte somit zwischen 200.000 und einer Million liegen. Nach Hinweisen von Check Point entfernte Google die App am 15. September aus dem Playstore. Erstmals war die Schadsoftware auf einem Nexus 5 Smartphone entdeckt worden. Auch nach Deinstallation der infizierten App erschien die Malware kurze Zeit später wieder auf dem Gerät.

Wenn der Intelligenztest zur Falle wird...

Analysen ergaben, dass sie fortschrittliche Techniken verwendet, um die Google Play Malware Detection zu umgehen und die Kontrolle über gehackte Geräte zu behalten. Zu diesem Zweck wird ein Rootkit auf dem Device installiert, das den Download und die Ausführung jedes beliebigen Codes ermöglicht. So kann zum Beispiel Werbung auf Geräten gezeigt oder sensible Daten gestohlen werden. Es wurden außerdem zusätzliche Apps installiert.

XCodeGhost

Doch nicht nur Android ist unsicher - XCodeGhost ist eine kompromittierte Version der iOS Entwicklerplattform XCode. Diese wurde dabei so verändert, dass sie jede App, die mit ihrer Hilfe programmiert wird, mit Malware infiziert. Die verseuchten Apps werden von den Hackern gesteuert und fischen Userdaten oder öffnen spezielle URLs, die Schwachstellen in iOS-Systemen oder anderen iOS-Apps aufspüren und ausnutzen. Sie lesen Daten, wie beispielsweise Passwörter, aus der Zwischenablage aus und versuchen, Credentials aus der iCloud zu stehlen. Die schadhafte Version von XGhost liegt nicht auf iTunes selbst; sie kann nur von anderen Plattformen heruntergeladen werden. Das erklärt die hohe Verbreitung der Malware in China. Dort ist es aufgrund der schlechten Verbindung zu westlichen Services für Entwickler häufig einfacher, XCode von alternativen Quellen herunterzuladen.

XCodeGhost macht Xcode-Entwickler zu Zombies, die Kriminellen unfreiwillig alle System- und Netzwerktüren (und vielleicht auch Gräber) öffnen.
Foto: Kjpargeter - shutterstock.com

Demzufolge sind auch größtenteils in China entwickelte Apps mit der Malware verseucht. Allerdings entwickeln chinesische Experten selbstverständlich auch Apps für andere Nationen. Google hat bereits mehr als 300 schadhafte Apps aus dem App Store entfernt.

Fazit

Cyber-Kriminelle lernen immer mehr und immer schneller, wie sie Barrieren umgehen können, um an ihr Ziel zu gelangen. Daran hat auch 2015 nichts geändert, es gibt aber inzwischen eine Reihe von Technologien und Prozessen, die jedes Unternehmen implementieren kann, um sich gegen Ransomware, Exploit Kits und Bot-Infektionen bestmöglich zu schützen. Wie in vielen Beiträgen bereits geschrieben, helfen gegen Schwachstellen in Anwendungen und Browsern ein automatisiertes Patch-Management sowie ständige Awareness-Schulungen der Mitarbeiter, ergänzt durch ein mehrschichtiges Sicherheitskonzept. (sh)