![[Screenshot]](07-5-078-1.jpg)
Abbildung 1: Erster Schritt eines aktuellen Trojaner-Angriffs ist der massenhafte Versand im Anhang einer E-Mail (im Beispiel enthält das ZIP-Archiv eine Variante des Downloader-AAP).
Wehrlos ist man zwar nicht gegen Trojanische Pferde, Downloader, Hintertürprogramme und ähnliche Schadsoftware, die häufig zusammenfassend als "Trojaner" kategorisiert wird. Nicht selten existiert in den Köpfen von IT-Mitarbeitern aber noch ein (zumindest teilweise) veraltetes Bild dieser Bedrohung, das es zu korrigieren gilt, um bei der Abwehr nicht aufs falsche Pferd zu setzen.
Häufig werden noch immer Mass-Mailer als die größte Bedrohung angesehen – vermutlich wegen ihrer extrem hohen gemeldeten Zahl in Anti-Virus-Management-Konsolen bei einem Ausbruch. Dabei beschränkt sich der Schaden eines Mass-Mailers häufig auf seine reine Ausbreitung.
Bei Trojanern denken viele Administratoren zudem noch an die "Backdoor Trojans" der 90er-Jahre wie Netbus, Back Orifice und ähnliche, die auf den Aufbau einer Verbindung zum betroffenen System warten und dadurch hinter einer Firewall nur eine eher mäßige Bedrohung darstellen.
Technisch hat sich viel getan, seit Hacker die ersten Trojanischen Pferde Anfang der 80er-Jahre eingesetzt haben, um priviligierten Zugang zu fremden Systemen zu erhalten – auch wenn es sich schon damals um Schadcode handelte, den man heute wohl Keylogger nennen würde, oder um Programme, die das Log-in simulierten und dabei die Zugangskennungen abgriffen, was man womöglich als Ur-Form des Phishings bezeichnen könnte. Nachdem ein Angreifer administrativen Zugang zu einem System erlangt hatte, kamen Backdoors zum Einsatz, um sich diesen Zugang auch für die Zukunft zu erhalten. Rootkits, die das Eindringen und Manipulationen am System verbergen und eventuell auch "Reserve-Zugänge" legen sollten, wurden ebenfalls schon benutzt.
In den letzten Jahren hat der Einsatz von Trojanern massiv zugenommen und diejenigen, die hinter dieser massenhaften Verbreitung stehen, haben meist ganz andere Ziele als die Hacker vor 25 Jahren. Der Zugang zu einem spezifischen System wird nur noch selten angestrebt, gefragt sind vielmehr – möglichst automatisiert zu erfassende – persönliche Daten, allem voran Kreditkarteninfos und PIN/TAN oder Passwörter zu Seiten, über die finanzielle Transaktionen abgewickelt werden, aber auch Zugangsdaten zu E-Mail-Accounts und Online-Spielen.
Die Hintermänner sind dabei oft im Bereich der organisierten Kriminalität angesiedelt; es gibt jedoch auch eine große Zahl von Einzeltätern, die gestohlene Daten in Internet-Foren handeln. Der Einstieg für letztere wird dadurch vereinfacht, dass im Web für wenige hundert Dollar maßgeschneiderte Trojaner zum Kauf angeboten werden, teilweise mit Update-Service und einer Garantie, dass Anti-Virus-(AV)-Software diese Malware zum Zeitpunkt des Kaufs nicht erkennt. Möglich macht das eine Vielzahl so genannter Laufzeitpacker, die nur zum Ziel haben, ausführbare Dateien zu komprimieren und so zu verschlüsseln, dass sie "von außen" immer wieder anders aussehen.
Diese Entwicklungen haben dazu geführt, dass dieses Jahr über 30 % aller Einsendungen verdächtiger Dateien an die McAfee Avert Labs als Trojaner klassifiziert wurden. Als benachbarte Kategorie kommen dann noch "Fernsteuer-Programme" (Bots) hinzu, die weitere 20 % aller Einsendungen ausmachen. Hinsichtlich der verfolgten Ziele lassen sich Trojaner heute grob in zwei Kategorien unterteilen: Password-Stealer und Malware zum Vernetzen und Fernsteuern. Die unterschiedlichen Angriffsvektoren und Ansatzpunkte möglicher Gegenmaßnahmen sollen anhand der folgenden aktuellen Ausbruchszenarien verdeutlicht werden.
Die Verbreitung eines Trojaners nimmt häufig ihren Anfang in einer E-Mail, die massenweise als Spam verschickt wird. Dabei halten Angreifer heutzutage den Versand meist regional begrenzt, um im Text der Nachricht einen möglichst plausiblen Anreiz zu geben, den heiklen Dateianhang zu öffnen (vgl. Abb. 1) oder einem Link zu folgen. Je geschickter der Text gewählt ist, und das fängt natürlich schon mit der passenden Landessprache an, desto erfolgreicher ist der Versand. Häufig wird deshalb auch Bezug auf aktuelle Ereignisse genommen, zum Beispiel Eintrittskarten zur Fußball-WM, Grußkarten zu bestimmten Feiertagen oder jüngst die Diskussion um den so genannten Bundestrojaner. Beim gezielten Angriff auf eine Einzelperson oder Organisation, dem so genannten Spear-Phishing, spielt derartiges Social Engineering sogar eine noch größere Rolle.
Abbildung 1: Erster Schritt eines aktuellen Trojaner-Angriffs ist der massenhafte Versand im Anhang einer E-Mail (im Beispiel enthält das ZIP-Archiv eine Variante des Downloader-AAP).
Wer sich vom E-Mail-Text zum Öffnen des Anhangs und gegebenenfalls Starten einer ausführbaren Datei verleiten lässt, leitet den zweiten Infektions-Schritt ein: Im Beispiel des Downloader-AAP öffnet die Malware eine Verbindung zu einem vorher festgelegtem Server und lädt von dort eine kodierte Textdatei herunter, die URLs zu weiteren Servern enthält (vgl. Abb. 2). Erst über diesen Umweg kommt dann die letztlich "aktive" Schadsoftware auf den Opfer-PC. In diesem Fall der eigentliche Trojaner, Spy-Agent.ba, der installiert, in das Systemverzeichnis kopiert und als Browser Helper Object (BHO) registriert wird. Gleichzeitig manipuliert die Malware die Einstellungen der Windows-Firewall, um ungehindert kommunizieren zu können.
![[Screenshot]](07-5-078-2.jpg)
![[Screenshot]](07-5-078-2b.jpg)
Abbildung 2: Um sich größtmögliche Flexibilität zu erhalten, holen aktuelle Trojaner den eigentlichen Schadcode erst über einen Zwischenschritt auf den Rechner des Opfers – im Bild: der kodierte und dekodierte Inhalt einer Textdatei, die auf die eigentliche Download-Quelle verweist.
Damit ist der Trojaner einsatzbereit; er wird bei jedem Start des Internet Explorers (IE) aktiv. Als BHO hat er direkten Zugriff auf die Daten, die via Internet Explorer versendet oder empfangen werden, selbst wenn die Verbindung zu einem Server mit SSL gesichert ist: Der Trojaner sitzt ja am Endpunkt im Browser und greift die Informationen ab, bevor diese verschlüsselt auf den Weg gebracht werden. Spy-Agent.ba schaut dem Benutzer quasi über die Schulter auf die Web-Formulare und kopiert beim Absenden alle eingegebenen Daten, die – versehen mit zusätzlichen Informationen wie der Ziel-URL, Angaben zu aktivierten Buttons und vielem mehr – dem Urheber der Attacke zugespielt werden (vgl. Abb. 3).
––––––––––––––––––––––- Wed Mar 14 14:30:48 2007
URL: https://www4.usbank.com/internetBanking/LoginRouter
REQ: requestCmdId=PrivateLogon&USERID=&PSWD=&reqcrda=fake-usbank-user
&reqcrdb=myusbankpassword&doubleclick=2
––––––––––––––––––––––- Wed Mar 14 14:31:39 2007
URL: https://signin.ebay.com/ws/eBayISAPI.dll?SignIn
&co_partnerId=2&pUserId=&siteid=0&pageType=&pa1=&i1=&bshowgif=
&UsingSSL=&ru=&pp=&pa2=&errmsg=&runame=&ruparams=&ruproduct=&sid=
&favoritenav=&confirm=&ebxPageType=&existingE-Mail=
&isCheckout=&migrateVisitor=
Action: https://scgi.ebay.com/ws/eBayISAPI.dll?RegisterEnterInfo&siteid=0
&co_partnerid=2&UsingSSL=1
Method: post
Action: https://signin.ebay.com/ws/eBayISAPI.dll?co_partnerid=2&siteid=0
&UsingSSL=1
Method: post
userid(text): fake-eBay-userID
pass(password): myebaypassword
Buttons pressed: Sign In Securely >;
REQ: MfcISAPICommand=SignInWelcome&siteid=0&co_partnerId=2&UsingSSL=1&ru=
&pp=&pa1=&pa2=&pa3=&i1=-1&pageType=-1
&rtmData=A01%3DgAIANAVBAAAAAAAAQeuuXBB%3BM01%3DAI%3BTC01
%3DwAscfTKVEBAAACQDQVAAAAAAAAAknrDyrgA%3BPS%3DT.0
&userid=fake-eBay-userID&pass=myebaypassword
Abbildung 3: Von Spy-Agent.ba ausgespähte und aufbereitete Daten aus Webformularen
Die abgefangenen Daten werden dazu direkt an den Angreifer gesendet oder – zur Verschleierung – auf so genannte Drop Zones (s. Abb. 4) hochgeladen: üblicherweise gekaperte Server, von denen sich die Hintermänner die kostbaren Daten auf verschiedenen Wegen abholen können. Besonders heikel: Da ein BHO als Teil des IE agiert, wird die Übertragung auch von einer eventuell vorhandenen Desktop-Firewall meist nicht gemeldet werden.
![[Screenshot]](07-5-078-4.jpg)
Abbildung 4: Auf einem "Drop Zone"-Server landen ausspionierte Daten nach Ländern vorsortiert in einem eigenen Verzeichnis für jeden trojanisierten Computer, um dem Angreifer einen einfachen Zugriff auf diese Daten zu ermöglichen.
Welche Daten im Einzelnen abgefangen und übermittelt werden, unterscheidet sich stark von Trojaner zu Trojaner. Meistens ergänzt die Malware sogar noch Screenshots des gesamten Bildschirms oder zu jeder Mausaktion kleinere Ausschnitte mit der Umgebung des Mauszeigers – so können auch "clickable PINs" oder andere nicht in Textform übermittelte Daten erfasst werden.
Im vorigen Beispiel enthielt eine Spam-Mail direkt eine Datei, die der Benutzer dann ausführen soll. In den letzten Monaten war jedoch auch verstärkt zu beobachten, dass Nachrichten stattdessen nur einen Link enthalten, der dann auf eine Datei, meist einen Downloader, im Internet verweist. Ein Ziel dieses Umwegs ist es, Sicherheitsprodukte am Gateway zu unterlaufen, die Dateianhänge blocken. Viele Unternehmen prüfen jedoch dort nur E-Mails, nicht aber via Web-Browser heruntergeladene Dateien.
Analog zu den verschiedenen Schritten eines Angriffs sind auch an verschiedenen Stellen verschiedene Schutzmaßnahmen möglich, um die Trojanisierung eines Systems verhindern zu können. Für den ersten beschriebenen Schritt, den Versand der "Lockvogel"-E-Mail, nutzen Angreifer die gleichen Mittel, die auch Spammer gebrauchen – häufig über Bot-Netze und immer mit gefälschtem Absender. Ein zeitgemäßer Spam-Filter, der die Struktur einer E-Mail und ihrer Header berücksichtigt und zusätzliche Klassifizierungsverfahren wie Reputation-Services verwendet, kann nahezu alle solchen E-Mails erkennen. Sie zu blockieren ist eine extrem effektive Maßnahme gegen diese Art der Trojaner-Verbreitung.
Zusätzlich lassen sich gefährliche Dateitypen – je nach den Erfordernissen der Anwender – auch generell blocken und Viren-Scanner am Gateway können die Downloader entlarven. Diese Maßnahmen greifen natürlich nur bei E-Mails mit Malware-Anhang. Zudem ist zu bedenken, dass Angreifer gerade den initialen Downloader meist so lange bearbeiten, bis aktuelle Viren-Scanner ihn nicht mehr als verdächtig melden.
Im zweiten Schritt des Infektionsablaufs startet der getäuschte Anwender die Datei und diese lädt weitere Dateien nach. Häufig erkennen Viren-Scanner dann die zusätzlich heruntergeladenen Dateien, entweder am Gateway oder auf dem Rechner des Benutzers. Eine lokale Desktop-Firewall oder ein Host-Intrusion-Prevention-System (HIPS) können zudem die Netzwerkzugriffe durch den Downloader erkennen und unterbinden.
Und auch bei der Installation des eigentlichen Trojaners können verschiedene Maßnahmen schützen: Gegen das skizzierte Einnisten als Browser-Helfer ist beispielsweise die Einschränkung der Benutzerrechte wirksam, denn um sich als BHO zu registrieren, benötigt die Malware Administrator- oder Hauptbenutzer-Rechte. Ein HIPS kann auch jetzt noch an verschiedenen Stellen während der Installation den Vorgang blockieren und auch AV-Software mit zusätzlichen Zugriffsschutzregeln kann das dabei notwendige Anlegen von Dateien im Systemverzeichnis oder das Erstellen von Registry-Schlüsseln erkennen und verhindern.
Ein weiterer Trend ist die Vernetzung von trojanisierten Rechnern, verbunden mit ihrer zentralen Steuerung: Ähnlich wie bei den gekaperten PCs in einem Botnet verbinden sich die Trojaner dazu mit einem zentralen Command-and-Control-(C&C)-Server, senden abgefangene Daten dorthin und warten auf weitere Anweisungen. Diese können zum Beispiel das Herunterladen und Installieren weiterer Programme, das Aktualisieren des Trojaners mit einer neuen Version seiner selbst oder auch das ferngesteuerte Surfen zu einer bestimmten URL umfassen. Angreifer verwenden solche Systeme nicht zuletzt, um durch die Installation von Adware oder das Versenden von Spam zusätzliches Geld zu verdienen.
Die Kommunikation eines vernetzten Trojaners mit seinem C&C-Server bietet eine weitere Chance, betroffene Systeme zu identifizieren: zum einen durch den ständigen Verbindungsaufbau zum Steuerungs-Server, zum anderen durch die verwendeten Protokolle für die Kommunikation. In der Vergangenheit wurde meistens das Internet-Relayed-Chat-(IRC)-Protokoll verwendet, das mithilfe von Netzwerk-Intrusion-Prevention-Systemen (NIPS) oder Application-Layer-Firewalls meist einfach erkannt und geblockt werden kann.
In den letzten Monaten fielen aber zunehmend auch C&C-Server auf, die andere Protokolle nutzen: http, https sowie Peer-to-Peer-(P2P)-Protokolle. Die Nutzung von P2P macht es zwar sehr schwer den Betreibern eines Netzes auf die Spur zu kommen oder das ganze Netz zu zerstören, die Erkennung infizierter Systeme im Netzwerk ist dafür aber mithilfe der Firewalls oder Software zur Netzwerküberwachung sehr einfach: Ein betroffenes System versucht sich in kurzer Zeit mit hunderten anderer Systeme zu verbinden – ein außerordentlich auffälliges Verhalten.
Ein aktuelles Beispiel für ein Trojaner-Netzwerk mit P2P-Kommunikation ist W32/Nuwar, auch bekannt als W32/Zhelatin, Storm Worm, Postcards und anderen Namen. Ursprunglich als Mass-Mailer mit Attachment aufgetreten, verschicken neuere Varianten auch unterschiedliche E-Mails mit Links zum Herunterladen der Malware-Datei. Gesteuert wird das Netz über das Overnet-P2P-Protokoll, das unter anderem auch die Filesharing-Netz-Software edonkey verwendet. Über dieses Netz erhalten die trojanisierten Rechner ihre Anweisungen und die Vorlagen (templates) für den zu versendenden Spam, meistens "Pump-and-Dump"-Spam gegen Systeme, auf die eine Distributed-Denial-of-Service-(DDoS)-Attacke gestartet werden soll, oder auch Templates für Spam zur weiteren Verbreitung der Trojaner selbst.
Bei der Gestaltung dieser Mails sind die Hintermänner des Netzwerkes durchaus kreativ: Nach E-Mails mit Links zu angeblichen Grußkarten von Freunden tauchten Ende August auch Nachrichten mit Links zu angeblichen kompromittierenden Videos auf Youtube auf, in denen der Angeschriebene zu sehen sein soll (vgl. Abb. 5). Folgte man dem Link, landete man jedoch nicht auf Youtube, sondern einer anderen Webseite, die Browser und PC des Besuchers mit einem Cocktail aus verschiedenen Exploits angreift, um ihm einen Trojaner unterzujubeln – und die gleichzeitig auch – natürlich unter Deckmäntelchen – den Trojaner selbst zum Download anbietet.
Anlässlich des Labor Day in den USA gab es eine weitere Welle von Spam-Mails mit Nuwar. Um der Erkennung durch AV-Software zu entgehen, werden dabei mehrfach täglich neue ausführbare Dateien generiert, die zwar dieselbe Funktionalität besitzen, aber durch eine polymorphe Verschlüsselung jedes Mal anders aussehen und so den Viren-Signaturen entgehen können. Durch den Einsatz eines Rootkits versuchen sich zudem einige Nuwar-Varianten auch auf einem infizierten System besser zu verstecken.
![[Screenshot]](07-5-078-5.jpg)
Abbildung 5: Mit dieser vermeintlichen Warnung vor kompromittierenden Videos mit dem Angeschriebenen sollten im August Trojaner verbreitet werden, die auf der verlinkten Site lauerten.
Trojaner-Attacken über Webseiten mit Exploits zu Browser- oder Multimedia-Sicherheitslücken waren in letzter Zeit verstärkt im Umlauf. Hierfür gibt es sogar spezielle Toolkits wie das Mpack-Kit käuflich zu erwerben, die dies auch technisch weniger versierten Angreifern ermöglichen: Eine einfache Verlinkung – meist in einem iframe – auf den Server, auf dem dieses Kit läuft, reicht dann in der Regel bereits aus, um verwundbare Systeme zu infizieren. In Laufe dieses Jahres wurden teils tausende von Web-Servern gehackt, nur um einen solchen Link einzubauen. Selbst Hackern, die in das Webportal der Bank of India einbrechen konnten, erschien es anscheinend am lohnendsten, nur das zu tun.
Einen recht zuverlässigen Schutz beim Surfen bieten hiergegen einerseits Content-Security-Lösungen am Gateway, die nach bekannten Exploits in besuchten Webseiten suchen, und zum anderen auch HIPS, die solche Angriffe auf dem angegriffenen System selbst abblocken. Je nach Browser kann man auch "unbekannten" Webseiten die Darstellung von iframes verbieten – gegen einen erfolgreichen Hack bei einem eigentlich vertrauenswürdigen Betreiber würde das allerdings nur bedingt helfen.
Eine andere Methode, um Trojaner zu ausgesuchten Zielpersonen zu senden, ist das bereits kurz angesprochene Spear-Phishing: Dabei sendet der Angreifer dem Opfer per E-Mail gezielt eine Datei, häufig ein Office-Dokument, die beim Öffnen eine bis dato unbekannte Sicherheitslücke (Zero-Day Exploit), ausnutzt, um einen Trojaner zu installieren. Der Inhalt der E-Mail wird nach umfangreicher Recherche über das Opfer derart formuliert und gestaltet, dass die Nachricht wie eine legitime E-Mail eines Bekannten oder einer Institution aussieht und der Betroffene den Anhang aller Voraussicht nach ohne Bedenken öffnet. So einen Aufwand betreiben Angreifer zwar heutzutage mehr oder minder nur im Bereich der (Wirtschafts-)Spionage, auf der anderen Seite kann aber auch nur ein sehr restriktiv konfiguriertes HIPS einen wirksamen Schutz bieten.
Die Bedrohung, die durch aktuelle Trojaner sowohl für Einzelne als auch für die Netzwerke von Unternehmen ausgeht, sollte man nicht unterschätzen. Es existieren jedoch auch wirksame Gegenmaßnahmen. Bereits getroffene Sicherheitsmechanismen sollten aber unbedingt regelmäßig daraufhin überprüft werden, ob sie den veränderten Angriffstechniken noch gerecht werden.
Toralv Dirro ist EMEA Security Strategist bei McAfee (![[externer Link]](../../../../images/link.gif)
www.avertlabs.com/research/blog/).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#5, Seite 78
tag:kes.info,2007:art:2007-5-078
| 