[Aufmachergrafik: heller, corporate design]Von dünnem Eis und dicken Fischen: Malware-Trends

Ordnungsmerkmale

erschienen in: <kes> 2010#1, Seite 58

Rubrik: Bedrohung

Schlagwort: Malware-Trends 2010

Zusammenfassung: Zum Jahreswechsel haben etliche Security-Anbieter wieder Prognosen abgegeben, wo 2010 in Sachen Malware die stärksten Gefährdungen zu erwarten sind – die <kes> fasst zusammen, wo "das Eis am dünnsten" scheint.

Die meistgenannte Malware-Prognose für das laufende Jahr ist der verstärkte Missbrauch von Social Networks und anderen Web-2.0-Diensten: Neben einer massiven Verbreitung bösartiger Links über stark frequentierte Seiten und Dienste dürften auch die dort bereitgestellten Applikationsplattformen (z. B. auf Facebook) zunehmend ins Visier der Malwareautoren geraten. Ein BitDefender-Report bewertete im Januar zwar noch 80 % der Bedrohungen für Social-Network-Nutzer als Spam- und Phishing-Attacken, doch auch die Zahl der Würmer, die solche Netze als "Lebensraum" nutzen, habe in den vergangenen Monaten stark zugenommen. Zscaler sieht hier die Anbieter in der Pflicht: "Cyberkriminelle können die Möglichkeiten sozialer Netzwerke mit bösartigen Applikationen ausnutzen. Die Betreiber geraten vermehrt in Zugzwang, diese Entwicklungen zu identifizieren und zu blockieren, bevor sie angewendet werden."

Missbrauchsfälle werden sich dabei nicht auf soziale und kommunikationsorientierte Dienste beschränken. Aufgrund von Programmierfehlern und der Nutzung von AJAX (Asynchronous Javascript and XML) sieht beispielsweise G Data auch in anderen Webanwendungen vom Internetradio über Spiele bis hin zu Textverarbeitung und Routenplanung eine ganze Reihe von Angriffspunkten: "Das hier vorhandene Potenzial für Schadcode ist noch lange nicht ausgeschöpft und wird [2010] weiter ansteigen", warnt das Unternehmen. Zusätzliche Motivation für Malwareautoren, von Desktop- auf Web-Anwendungen zu wechseln, sehen die Analysten der McAfee Labs im bevorstehenden Release von Googles Chrome OS sowie den technischen Neuerungen in HTML 5, die erweiterte Cross-Plattform-Unterstützung bedeuten.

Kaspersky Labs erwarten hingegen eine Verlagerung von Angriffen aus dem WWW in Filesharing- und Peer-to-Peer-(P2P)-Netze: "Bereits im Jahr 2009 gab es eine Reihe von Malware-Attacken, bei denen schädliche Dateien zum Beispiel über Torrent-Portale verbreitet wurden. Durch diese Angriffsart wurden Schadprogramme wie TDSS und Virut sowie der erste Backdoor-Trojaner für MacOS X verbreitet – Kaspersky Lab geht daher davon aus, dass Cyberkriminelle im Jahr 2010 vor allem P2P-Netzwerke angreifen werden."

Lebensräume

Auch weitere klassische Plattformen und Betriebssystemumgebungen soll es verstärkt treffen – allem voran könnte die "Schonzeit" für mobile Anwender dieses Jahr enden. Vermehrte Angriffe auf das iPhone und das Android-Betriebssystem für Mobiltelefone prognostiziert unter anderem Kaspersky: "Die ersten Schadprogramme für diese Plattformen wurden schon entdeckt – ein sicheres Zeichen dafür, dass diese verstärkt in den Fokus der Cyberkriminellen rücken werden."

F-Secure setzt zusätzlich auch Maemo auf die Liste gefährdeter Plattformen und hält auf den mobilen Systemen selbst "eine Zero-Day-Sicherheitslücke eines groß angelegten Exploits" für denkbar. Darüber hinaus erwartet das Unternehmen, dass der diesjährige FIFA World Cup eine große Anzahl an Trojanern, gefälschten Ticket-Shops, Spam, gehackten Online-Shops und Distributed-Denial-of-Service-(DDoS)-Angriffen hervorruft und "die südafrikanischen Mobilfunknetze eine Brutstätte für kriminelle Aktivitäten während der Spiele sein" werden. Generell sei zu vermuten, dass mit einer gesteigerten mobilen Internetnutzung auch die Motivation wachse, Geschäfte wie Mobile-Banking, In-Game-Käufe und andere mobile Applikationen auszuspionieren: "Integrierte Social-Networking-Anwendungen veranlassen viele Handybesitzer, permanent online zu sein. Cyber-Kriminelle werden Social Engineering nutzen, um diesen Trend zu ihrem Vorteil auszunutzen."

Dass Windows 7 heuer sowohl gesteigerte Marktanteile als auch neue Sicherheitslücken und Angriffe erfahren wird, dürfte selbstverständlich sein – doch auch verbreitete Client-Software bleibt im Fokus: "Die Hauptursache für Malware-Attacken im Jahr 2010 werden Sicherheitslücken in beliebten Programmen sein. Diese Lücken werden sowohl bei Windows 7 auftauchen als auch in Fremdsoftware, wie den Programmen von Adobe oder Apple", betonen etwa Kaspersky Labs.

Weitere Anbieter sehen das genau so: Aufgrund der Popularität von Adobe-Anwendungen, allem voran Acrobat Reader und Flash, erwarten beispielsweise die McAfee Labs, dass das Ausnutzen von Schwachstellen 2010 häufiger in Adobe-Software als in Microsoft-Office-Anwendungen zu beobachten sein wird. Im Dezember 2009 hatte es bereits ein PDF-Exploit überraschend an die Spitze der Malware-Bedrohungen geschafft: BitDefender meldete, dass über 12 % der weltweiten Infektionen auf das Konto von "PDF-JS.Gen" und somit einer Schwachstelle in Adobes PDF-Javascript-Engines gingen vgl. S. 61).

Problematisch sei in diesem Licht nicht zuletzt ein fehlendes Standardverfahren für Security-Patches und andere wichtige Updates in Applikationen, beklagt Norman: Die Vielzahl der Prozeduren stelle eine besondere Herausforderung für Administratoren und Anwender dar. Da Malwareautoren neue Schwachstellen heute sehr schnell ausnutzen, sei zudem eine noch raschere Reaktion der Anbieter bei der Bereitstellung von Patches und Workarounds erforderlich.

Apple-User dürfen sich angesichts von Applikationsschwachstellen ebenfalls nicht ohne Weiteres sicher wähnen – neben der Bedrohung durch Cross-Plattform-Risiken waren aber auch "generische" Angriffe und Verwundbarkeiten unlängst häufiger zu beobachten. Da OS X bisher weniger angegriffen worden sei, glauben viele, es sei das sicherere Betriebssystem, doch "das Blatt hat sich gewendet", mahnt Zscaler und fordert, auch Apple selbst müsse in Sachen Security dazulernen und angesichts wachsender Marktanteile und vermehrter Angriffe künftig mehr Aufwand für die Sicherheit seiner Geräte treiben. PandaLabs sehen den "Mac" 2010 ebenfalls als potenzielles Angriffsziel.

Selbst Geldautomaten und DSL-Router wurden 2009 zur Plattform für Malware-Attacken – Norman vermutet hierin nur die Spitze eines Eisbergs: Zukünftig könnte sich Malware gerade denjenigen Geräten und Systemen zuwenden, die ein normaler Anwender niemals als verwundbar oder interessantes Angriffsziel angesehen hätte.

Und nicht zuletzt erwarten etliche Sicherheitsanbieter, dass sowohl Angreifer als auch Malware den Schritt in Cloud-Services und virtualisierte Umgebungen mitmachen werden; dort (bzw. von dort) sei dementsprechend vermehrt mit Angriffen zu rechnen. "Im Cloud-Hype von 2009 ist die Sicherheit in vielen Fällen einem schnellen Go-to-Market zum Opfer gefallen", kommentiert zudem Zscaler und geht davon aus, "dass Internetkriminelle viel Zeit aufwenden werden, um Löcher in den Programmierschnittstellen der Cloud-Anbieter zu suchen."

Wege zum Opfer

"Immer mehr Infektionen erfolgen über Webseiten, die zuvor von Kriminellen gekapert wurden. Sites mit schwachen Passwörtern und Sicherheitslücken in Webapplikationen werden automatisiert aufgespürt und kompromittiert", so G Data in seinem "eCrime-Ausblick". Haben sich Angreifer Zugang zu einem Webserver verschafft, können sie dort Schadprogramme zum Download anbieten oder mittels Drive-by-Download Sicherheitslücken von Browsern oder Plug-ins ausnutzen, um die PCs ahnungsloser Surfer zu übernehmen. "Obwohl einige Betreiber von Webseiten die Zeichen der Zeit erkannt haben, gibt es weiterhin zahllose nur schwach gesicherte Websites, die im kommenden Jahr verstärkt im Visier der Malware-Society stehen werden", lautet das wenig hoffnungsvolle Fazit der Bochumer.

Auch die Kaspersky Labs sehen einen Trend zum Missbrauch ansonsten "sauberer" und seriöser Webseiten: In den vergangenen drei Jahren hat das Unternehmen nach eigenen Angaben jeweils zwischen 100 000 und 300 000 Webseiten beobachtet. War 2006 noch ungefähr eine von 20 000 Webseiten "infiziert" sei dieser Wert bis 2009 auf rund 1:150 angestiegen. Neben unmittelbaren Angriffen auf die Seiten seien hierfür auch erfolgreiche Attacken auf PCs von Webmastern und Administratoren verantwortlich.

Und längst vertrauen die Angreifer nicht mehr darauf, dass ihre Opfer zufällig zu den missbrauchten Seiten gelangen: Immer öfter landen heimtückische Webseiten durch gezielte Manipulation ganz oben im Ranking von Suchmaschinen. Fast 14 % von deren Top-Ergebnissen führen nach Erkenntnissen von Websense zu Malware: Je größer das Interesse an einem aktuellen Thema aus Politik, Sport oder Gesellschaft oder einer Web-2.0-Seite, desto höher sei auch die Wahrscheinlichkeit, dass Angreifer dieses Interesse ausnutzen und ihre Fallen aufstellen. Einen Begriff gibt es dafür auch bereits: "Blackhat Search Engine Optimization" (kurz: Blackhat SEO). Downloads von an sich legitimen Webseiten macht Websense für die Verbreitung von 71 % der bösartigen Programmcodes verantwortlich – im Vergleich zur Vorjahresperiode habe sich die Zahl infizierter Websites insgesamt mehr als verdoppelt.

Auch Sophos nennt hier erschreckende Zahlen: Im vergangenen Jahr habe man weltweit täglich 50 000 neu infizierte Websites ausgemacht. Die USA stehen dabei weiterhin an der Spitze: 2009 führten sie mit 37,4 % die Rangliste an, gefolgt von Russland (12,8 %) und China (11,2 %) – Deutschland liegt mit 2,6 % auf Platz 5 hinter dem "Newcomer" Peru (3,7 %). Angesichts der Vielzahl gekaperter Seiten warnt Sophos eindringlich davor, selbst Websites bekannter Unternehmen und Organisationen vorbehaltlos zu vertrauen.

Letztlich muss nicht einmal die besuchte Website selbst einem Angriff zum Opfer gefallen sein, um den Weg zu heiklen Downloads zu bereiten: Es genügt bereits das so genannte Malvertising, sprich die Platzierung von Online-Werbung mit Schadcode oder Links zu Malwareseiten. Zu den prominentesten Opfern dieser neuen Form von Cyberkriminalität zählten laut Sophos 2009 die Website der New York Times und die Technologie-Website Gizmodo. Kurz vor Drucklegung dieser <kes> erschienen Anfang Februar 2010 kurzzeitig auch Malware-Werbebanner auf den Onlineseiten des Handelsblatts, der ZEIT sowie bei golem.de.

Die ITK-Newssite golem.de erläuterte in der Folge, warum es so schwer ist, derartige Übergriffe zu analysieren: "Schuld waren die Banner eines Werbekunden, die von einem externen Partner ausgeliefert wurden. Da aber nur bei einem sehr kleinen Teil der entsprechenden Banner – etwa bei jedem tausendsten Aufruf – der Schadcode mitgeliefert wurde, dauerte es bis spät in die Nacht, das Problem zu lokalisieren." Oft werden Onlinewerbekampagnen über eine oder sogar mehrere Weiterleitungen (Redirects) ausgeliefert, die Aufrufe des Nutzers also von Server zu Server durchgereicht. Man habe im vorliegenden Fall die Werbekampagne über einen solchen Redirect geliefert und auch vorab geprüft, doch trat der Schadcode erst später und dann auch nur vereinzelt auf.

Fast schon als "Retro" könnte angesichts solcher Vorgehensweisen die Infektion eines PCs über einen mobilen Datenträger anmuten – doch auch so genannte Autorun-Infektionen durch USB-Sticks, Speicherkarten oder sonstige Wechseldatenträger spielten im vergangenen Jahr eine wichtige Rolle und belegten in den Malware-Hitlisten häufig Top-10-Plätze. Die BitDefender-Statistik machte "Trojan.AutorunINF.Gen" beispielsweise in den letzten beiden Monaten des Jahres für jeweils gut 8 % aller Infektionen verantwortlich.

Masse und Klasse

Mit einer Vielzahl von Varianten und neuen Schadcodes machen es die Malwareautoren (um nicht zu sagen die Malware-Industrie) der Abwehr alles andere als leicht. Panda Security meldete für 2009 die Rekordzahl von über 22 Mio. neuer Schadcodes, womit erneut mehr neue Malware hinzukam als der Gesamtbestand zum Jahresanfang betragen hatte – die größten Gattungen waren mit 66 % Trojanische Pferde, gefolgt von 18 % Adware. Norman sieht zwar bereits ein Ende des exponentiellen Wachstums, warnt aber angesichts der weiterhin enormen Menge neuer Samples (und somit auch Erkennungs-Signaturen) davor, dass es auch zukünftig nahezu unausweichlich eine beträchtliche Zahl problematischer Fehlalarme geben dürfte.

Etliche Anti-Malware-Anbieter attestieren den Malware-Schreibern zudem eine weiterhin gestiegene Professionalität und der Schadsoftware eine zunehmende Komplexität: einerseits auf technischer Ebene, wenn verschiedene Schwachstellen (bzw. Exploits) und Angriffstechniken gemischt zum Einsatz kommen (Blended Threats) oder sich neuere Rootkits im Bootsektor einnisten und damit bereits vor Betriebssystem und Virenschutz ausgeführt werden – andererseits auch auf der Ebene des Social Engineering und Phishing, wo Angriffe immer gezielter erfolgen und teils sogar anhand gestohlender Daten massenhaft personalisiert werden.

Auch das Ziel wird immer gewerbsmäßiger: Für Avira geht es dabei ganz klar um Daten, die "Hacker für illegale Zwecke kommerziell nutzen beziehungsweise in Bares umsetzen können" – man erwarte daher auch einen sprunghaften Anstieg qualifizierter, gezielter Spionageattacken auf Unternehmensdaten inklusive Fällen von Erpressung und "Data-Napping" durch so genannte Ransomware, die Festplatteninhalte verschlüsselt und nur gegen Lösegeldzahlung wieder freischaltet. G Data sieht auch als Ziel gestreuter Phishing-Attacken mittlerweile weniger das (zumindest hierzulande stärker geschützte) Online-Banking als vielmehr Mail-Accounts und Logins für soziale Netzwerke sowie zu Online-Auktionen und -Spielen – all das habe einen klaren Bezug zur Schattenwirtschaft, wo sich solche Daten leicht monetisieren lassen.

Fortinet (und andere) sehen hier bereits ein ruchloses Geschäftsmodell und sprechen von Crime-as-a-Service (CaaS): "Cyberkriminelle erweitern damit ihre Reichweite und können zudem ihre Identität vertuschen. Fortinet erwartet für 2010 einen deutlichen Zuwachs an so genannten 'Crime Kits', also Bausätzen, die über die zentralisierte Systemsteuerung eines Botnetzbetreibers bösartige Netzwerke anonym steuern und verwalten können." Diese Crime Kits würden sich 2010 noch weiterentwickeln und schließlich sogar Wartungsleistungen, Hilfestellungen und Support durch kriminelle Interessengemeinschaften integrieren: "Service-Angebote wie Beratungsleistungen und die Vermietung von Hackern für DDoS-Angriffe, das Stehlen von Informationen und Erpressung von politischen Parteien, Regierungen, Unternehmen und Bürgern sind im Kommen."

Ob beim Hase-und-Igel-Spiel der Malware und Exploits im Laufe des Jahres öfter "die Guten" oder "die Bösen" die Nase vorn haben, bleibt abzuwarten – McAfee beendete seine Prognose jedenfalls mit einem Hoffnungsschimmer: Nach nunmehr zehnjährigem internationalem Kampf erkenne man "weltweit bedeutende Fortschritte in den Anstrengungen, die Cyberkriminalität zu identifizieren, zu verfolgen und zu bekämpfen – McAfee glaubt, dass wir 2010 viele weitere Erfolge bei der Strafverfolgung von Cyberkriminellen sehen werden."