2014 – wirklich ein katastrophales Jahr?

Security-Studie von Trend Micro zum Jahr 2014.

Security-Studie von Trend Micro zum Jahr 2014.

Die Trend Labs von Trend Micro haben ihren Security-Jahresbericht für 2014 veröffentlicht. Der Hersteller drückt dabei kräftig auf die Tube: „Das Risiko, das nächste Opfer eines Cyberangriffs zu werden, nimmt stetig zu.“

Aber die Lösung hat man (zum Glück für uns) auch gleich parat: „Ein flexibles und mehrschichtiges Abwehrsystem, das proaktiv Bedrohungen konkreter Ziele erkennt, ist und bleibt die beste Möglichkeit für Verbraucher und Unternehmen, um einen zuverlässigen Schutz sicherzustellen.“

Ich habe an dieser Stelle mit dem Weiterlesen aufgehört. Das klingt doch alles zu sehr nach Panikmache und dem Verkauf von Schlangenöl. Wer den 38-seitigen Bericht trotzdem studieren will, findet ihn hier (PDF).

„Online Tv Recorder“-Spam

In dem Attachment der "Online Tv Recorder"-Mail befindet sich ein Trojaner.

In dem Attachment der „Online Tv Recorder“-Mail befindet sich ein Trojaner.

Dieser Spam ist gar nicht mal so schlecht gemacht. Wer zum Beispiel Kinder im Haushalt hat, erschrickt erstmal gewaltig. Hat der Filius vielleicht heimlich einen Vertrag abgeschlossen? Nein, hat er nicht. Das Ganze ist von vorne bis hinten erstunken und erlogen.

Das angeblich beiliegende Dokument ist keine Möglichkeit, den Vertrag zu stornieren, sondern ein Trojaner.

Details dazu bei Virustotal.

Nochmal kurz zusammengefasst, woran man diesen Spam auch ohne Analyse bei Virustotal erkennen kann:

Read More …

Besonderheiten von Conficker/Downadup

Momentan machen zahlreiche Meldungen über einen neuen Wurm mit dem hier zu Lande etwas unglücklichen Namen „Conficker“ oder auch „Downadup“ die Runde. Conficker/Downadup verbreitet sich über die Lücke CVE-2008-4250 im Server Service, die Microsoft im vergangenen Oktober im Security-Bulletin MS08-067 beschrieben hat. Darin steht unter anderem:

This is a remote code execution vulnerability. An attacker who successfully exploited this vulnerability could take complete control of an affected system remotely. On Microsoft Windows 2000, Windows XP, and Windows Server 2003 systems, an attacker could exploit this vulnerability over RPC without authentication to run arbitrary code. It is possible that this vulnerability could be used in the crafting of a wormable exploit. If successfully exploited, an attacker could then install programs or view, change, or delete data; or create new accounts with full user rights.

Genau das ist nun eingetreten und Dank unzähliger ungepatchter Systeme schwappt nun eine Conficker/Downadup-Welle durch das Internet. Nach einer erfolgreichen Infektion legt der Wurm zuerst Kopien von sich selbst in folgenden Ordnern ab:

* %System%[Random].dll
* %Program Files%Internet Explorer[Random].dll
* %Program Files%Movie Maker[Random].dll
* %All Users Application Data%[Random].dll
* %Temp%[Random].dll
* %System%[Random].tmp
* %Temp%[Random].tmp

Dann trägt er sich im Autostart-Bereich der Windows-Registry ein und erstellt auf jedem angeschlossenen USB-Laufwerk zwei Dateien. eine mit einem zufälligen Namen und eine „autorun.inf“, um sich so über das USB-Laufwerk weiter zu verbreiten. Außerdem hängt er sich an die Windows-Prozesse „svchost.exe“, „explorer.exe“ und „services.exe“ und trickst so vermutlich eine installierte Desktop-Firewall aus.

Außerdem deaktiviert Conficker/Downadup die folgenden Windows-Dienste:

# Windows Automatic Update Service (wuauserv)
# Background Intelligent Transfer Service (BITS)
# Windows Security Center Service (wscsvc)
# Windows Defender Service (WinDefend)
# Windows Error Reporting Service (ERSvc)
# Windows Error Reporting Service (WerSvc)

Und er blockiert den Zugriff auf Dutzende Sicherheits-Webseiten und versucht, sich mit einer Liste von häufig verwendeten Login-Namen an anderen Computern im Netzwerk anzumelden und Kopien von sich auf freigegebenen Laufwerken abzulegen. Außerdem startet der Wurm einen lokalen HTTP-Server, um sich über die eingangs erwähnte Lücke weiter zu verbreiten.

Außerdem überprüft Conficker/Downadup das Systemdatum und erstellt aus dem aktuellen Datum eine Liste von mehreren sich täglich ändernden Domain-Namen, mit denen er Kontakt aufnimmt, um dort neue Komponenten herunterzuladen. Die Ersteller des Wurms müssen also nur eine der fraglichen Domains registrieren, um Kontakt mit den infizierten Computern aufzunehmen und um ihren Wurm zu aktualisieren.

Das ist ein ziemlich guter Trick, hat aber den Nachteil, das sich diese Methode auch andere zunutze machen können, sobald der Domain-Algorithmus bekannt ist. F-Secure hat mehrere mögliche Domain-Namen registriert und konnte so Informationen über die Verbreitung von Conficker/Downadup sammeln. Laut Hochrechnungen von F-Secure sind mindestens 2,4 Millionen Computer weltweit mit dem Wurm infiziert. Das ist wirklich ein beeindruckend großes Botnet oder wie F-Secure es formuliert „a big badass botnet“.

Leider kann der Sicherheitsanbieter nicht viel mehr machen als Daten sammeln:

We could attempt to manipulate the infected machines. But of course we won’t. In fact, we won’t be doing anything at all to them – not even disinfect them – as that could be seen as „unauthorized use“. That is illegal, at least in many jurisdictions. (Doing something without being asked is also a very large ethical question…) Look but don’t touch is the golden rule.

F-Secure bietet auch Removal-Tools für Conficker/Downadup an, die sich gleich am Anfang der Virenbeschreibung finden.

Fünf gefährliche Sicherheitsmythen

Erik Larkin hat eine Liste der fünf gefährlichsten Sicherheitsmythen erstellt:

  • Pickelige Virenautoren löschen am liebsten Daten und formatieren Festplatten. Das war vielleicht mal so. Heutige Virenschreiber wollen vor allem eines: Geld verdienen.

    Today, it’s all about cash – and lots of it. If there’s a way to use evil software to make money, whether it means taking over a PC to send pharmacy-advertising spam, or stealing financial logins and credit card info, or even hacking game accounts, it’s out there in some form.

  • Hauptsache ich habe ein gutes Antivirenprogramm, dann passiert mir schon nichts. Falsch. Kein Scanner kann alle Gefahren kennen. Signatur-basierte Erkennung kommt immer mehr an ihre Grenzen.

    A good security program will help a good deal, but no program can catch everything. Antivirus companies are locked into a constant battle with the bad guys, who put all their effort into staying one step ahead of antivirus detection with a flood of new techniques and programs.

  • Gefährliche Webseiten und E-Mails lassen sich leicht erkennen. Heute leider nicht mehr. Schadcode wird auf seriösen Seiten eingebettet oder per manipuliertem Banner verbreitet. Auch die Weißheit, dass Phishing-Mails immer am schlechten Deutsch zu erkennen sind, dürfte mittlerweile überholt sein.

    These days crooks like nothing more than to find a security flaw in a benign but vulnerable site and use the flaw to insert hidden attack code. Once in place, that hidden snippet will scan for security flaws on your PC any time you view the page.

    Your trained eye can likely spot the majority of e-mail attacks, and you may even get a good chuckle out of some of the clumsy grammar and spelling. But not every attack e-mail is easy to spot.

  • Patchen nur, wenn etwas nicht mehr funktioniert nach dem Motto „Never change a running system“. Viele Updates schließen Sicherheitslücken, die gezielt angegriffen werden. Wer zum Beispiel mit einem älteren Flash-Player oder Adobe Reader surft, muss mit PC-Infektionen rechnen, auch wenn er Firefox nutzt.

    These days, a recommended patch is often, even usually, meant to close a security hole.

  • Das Internet ist zu gefährlich, ich lass die Finger davon. Irre sollte man sich natürlich auch nicht machen lassen.

    Yes, you can get nailed. But that shouldn’t stop you from venturing online, any more than the potential for getting the flu should prevent you from ever leaving your house. If you know the risks and prepare for them adequately, you can weight the odds heavily in your favor and confidently enjoy what the Web has to offer.

Die Liste lässt sich natürlich noch erweitern. So halte ich etwa Desktop-Firewalls für überschätzt. Der Applikations-Schutz, der eine Kommunikation von Trojanern nach außen verhindern soll, lässt sich relativ leicht aushebeln.

Was kann man also machen, um den eigenen PC abzusichern? Kurz gesagt: Windows aktuell halten, installierte Anwendungen zum Beispiel mit Secunia PSI aktuell halten, Thunderbird und Firefox (inklusive Adblock Plus und Noscript) verwenden, Virenscanner nicht vergessen (eventuell ergänzt durch eine verhaltensbasierte Erkennung durch Threat Fire Free oder Mamutu), Downloads vor dem ersten Ausführen bei Virustotal checken, Firewall im Router nutzen, Dateiendungen anzeigen, Benutzerkontensteuerung unter Vista nicht deaktivieren, Backups machen (zum Beispiel automatisiert mit Mozy), sichere Passwörter verwenden und vor allem einen kühlen Kopf bewahren und nicht überall draufklicken. Hab ich noch etwas vergessen?

Anmerkung: Die Verlinkung im Sicherheitsmythen-Artikel ist fehlerhaft. Auf Seite 3 gelangt mit direkt mit diesem Link.

Dubiose PDF-Dokumente untersuchen

Nachtrag zum Beitrag über die CWSandbox: Der kostenlose Online-Dienst protokolliert nun auch, was passiert, wenn man ein möglicherweise verseuchtes PDF-Dokument mit der veralteten Version 8.1.1 des Acrobat Readers öffnet.

Dieser Beispiel-Report der CWSandbox zeigt beispielsweise, dass das verseuchte PDF Exploit.Win32.Pidief.ae unter anderem die Datei „wuweb.exe“ erzeugt, startet und wieder löscht, die Datei „service.exe“ erzeugt und startet, aber nicht löscht, und dass ein Kontaktversuch zu einem Server in Singapur erfolgt.

Online-Schädlingsanalyse III: ThreatExpert

Einen ähnlichen Ansatz wie die CWSandbox, bei der ein potenzieller Schädling gestartet und beobachtet wird, verfolgt ThreatExpert. Die Webseite von ThreatExpert bietet jedoch einiges mehr. So gibt es wie bei Virustotal ein Upload-Tool für verdächtige Dateien, verschiedene Tools zur Suche nach Viren im Arbeitsspeicher und auf der Festplatte, ein Blog sowie Grafiken und Auswertungen der gefundenen Bedrohungen.

Ein Upload-Formular für Dateien, die allerdings maximal 5 MByte groß sein dürfen, gibt es natürlich auch. Wie bei der CWSandbox erhält der Uploader nach ein paar Minuten eine E-Mail. In diesem Fall enthält sie sowohl einen Link zur Online-Version der Analyse als auch eine Passwort-geschützte Datei mit dem Report.

Eine ThreatExpert-Analyse des bereits mehrmals verwendeten Wurms Socks findet sich hier.

Während sich die CWSandbox mehr auf das reine Verhalten stützt und keinen Signatur-Vergleich durchführt, prüft ThreatExpert die hochgeladene Datei auch auf bekannte Schädlinge. Ergänzt wird die Analyse durch knappe Informationen über Dateien und Registry-Schlüssel, die der Schädling anlegt und modifiziert. Außerdem versucht das Unternehmen das Ursprungsland der untersuchten Datei zu ermitteln.

Gemessen an den rohen Informationen darüber, was ein Schädling Schritt für Schritt unternimmt, ist die CWSandbox der Analyse durch ThreatExpert überlegen. Einsetzen kann oder sollte man die beiden Dienste aber natürlich beide.

Bisher erschienene Teile der Serie über Dienste zur Online-Schädlingsanalyse:

Online-Schädlingsanalyse I: Virustotal
Online-Schädlingsanalyse II: CWSandbox

Online-Schädlingsanalyse II: CWSandbox

Vor ein paar Tagen habe ich bereits Virustotal vorgestellt. Der Online-Dienst prüft verdächtige Dateien mit derzeit 37 Malware-Scannern. Eine weitergehende Analyse eines Schädlings ermöglicht dagegen die Online-Variante der CWSandbox von Sunbelt Software.

Bei der CWSandbox handelt es sich um eine automatisierte Malware-Analyse, die in einer kontrollierten Umgebung durchgeführt wird. Anders als bei Virustotal wird die Datei nicht mit Signaturen verglichen, sondern gestartet und beobachtet. Die CWSandbox protokolliert dabei jede neu angelegte Datei, jeden neuen Registry-Schlüssel sowie alle Löschvorgänge und Kontaktversuche mit dem Internet.

So zeigt die Analyse des im Virustotal-Beitrag bereits erwähnten Wurms Socks unter anderem, dass sich der Schädling mit dem Befehl

netsh firewall add allowedprogram c:Rechnung________________ ___________________________NRDKJH8833423444229.exe sys enable

selbst in der Windows-Firewall freischaltet. Außerdem lauscht er auf Port 29573 auf Befehle von der (mittlerweile abgeschalteten) Adresse koromanskipart1.ru. Dort hat sich vermutlich der Bot-Master befunden, von dem aus die mit Socks verseuchten PCs gesteuert wurden. Die vollständige Socks-Analyse findet sich hier.

Wer selbst einen Schädling mit der CWSandbox analysieren will, kann dazu dieses Online-Formular verwenden. Anders als bei Virustotal muss man jedoch eine E-Mail-Adresse angeben, an die nach kurzer Zeit ein Link zum Report gemailt wird. Kleiner Tipp: Den eigentlichen Bericht öffnet man mit einem Klick auf die sechsstellige Nummer bei „Analyses of this sample“.

Online-Schädlingsanalyse I: Virustotal

Mittlerweile gibt es eine ganze Reihe von Online-Diensten, mit denen sich eine verdächtige Datei schnell und unkompliziert analysieren lässt. Der bekannteste Vertreter dürfte Virustotal sein.

Die spanische Firma Hispasec Sistemas bietet mit Virustotal bereits seit einigen Jahren eine laufend erweiterte Online-Analyse von Dateien an. Aktuell untersucht das Unternehmen jede hochgeladene Datei mit 37 verschiedenen Malware-Scannern. Dabei handelt es sich um eine statische Analyse. Das heißt, die hochgeladene Datei wird nicht ausgeführt und nur anhand ihrer im Scanner (hoffentlich) vorhandenen Signatur und eventuell einer erfolgreichen heuristischen Analyse erkannt.

Das funktioniert prinzipiell recht gut. In den vergangenen Monaten haben die meisten Antivirus-Anbieter ihre Produkte jedoch um verhaltensbasierte Analysen erweitert. Dabei versuchen sie, einen Schädling anhand typischer Verhaltensmerkmale zu erkennen. Ein Trojaner könnte zum Beispiel eine Datei sein, die sich selbst in den System32-Ordner kopiert, Verbindung mit dem Internet aufnimmt, weitere Dateien herunterlädt und anschließend auf Port XY auf Befehle von außen lauscht.

Nach dem Upload einer Datei prüft Virustotal zuerst anhand eines Hash-Wertes, ob exakt diese Datei bereits früher einmal hochgeladen und untersucht wurde. Man hat dann die Möglichkeit, das alte Ergebnis zu betrachten oder den Scan mit den aktuellen Signaturen noch einmal ausführen zu lassen. Interessant ist beides. Man kann dann nämlich schön vergleichen, welcher Scanner etwas langsamer reagiert hat oder welcher Scanner eine einmal erkannte Datei plötzlich nicht mehr als gefährlich einstuft.

Am 6. Oktober 2008 wurde zum Beispiel der Wurm Socks von CAT-QuickHeal und Prevx1 als zumindest verdächtig eingestuft. Bei einem gestern durchgeführten Upload melden beide Scanner keine Gefahr.

Wenn bei einem Scan nur wenige Ergebnisse erzielt werden, handelt es sich eventuell um einen Fehlalarm. Interessant ist in diesem Fall immer, mit welchem Namen die Scanner die Datei erkannt haben wollen. Oft handelt es sich nur um eine Vermutung des Scanners, weil er bestimmte Merkmale der Datei als verdächtig einstuft (etwa die Verwendung bestimmter Packer wie UPX) oder weil er zum Zeitpunkt der Analyse eine fehlerhafte Signatur hat. Erst vor wenigen Tagen wurde etwa die Truecrypt-Exe von Avast vorübergehend als Trojaner eingestuft.

Früher hatte Virustotal noch die bei Virenautoren beliebte Option angeboten, eine von nur einigen Scannern erkannte Datei vertraulich zu behandeln. Heute senden die Spanier jede teilweise erkannte Datei an die Anbieter der anderen Scanner, damit diese ihre Signatur-Datenbanken erweitern können. Die Bekanntgabe dieser Änderung Anfang dieses Jahres löste im Virustotal-Blog einiges an Zeter und Mordio aus.

Ergebnis ist, dass es jetzt einige Web-Seiten gibt, die gegen eine Gebühr einen zu Virustotal prinzipiell vergleichbaren Dienst anbieten, bei dem eventuelle Treffer garantiert nicht weitergeleitet werden.

Wie eingangs erwähnt, stößt Virustotal mit seinen statischen Analysen technisch bedingt an Grenzen. Die Spanier können zwar immer mehr Scanner integrieren und die Erkennung dadurch weiter verbessern, aber es ist zum Beispiel ein großer Unterschied, ob man „nur“ die noch nicht ausgeführte EXE eines Rootkits erkennt oder ein im System bereits verankertes Rootkit.

In den kommenden Tagen möchte ich deswegen weitere Online-Dienste vorstellen, mit denen sich tiefergehende Analysen verdächtiger Dateien durchführen lassen.

Ergänzung: Erwähnt werden soll hier auch noch der Malware-Scan von Jotti, den es auch schon einige Jahre gibt. Jotti lässt im Vergleich zu Virustotal allerdings einiges zu wünschen übrig. Der Online-Dienst verwendet erheblich weniger Scanner und zeigt keine Zusatzinfos wie Hash-Werte der untersuchten Dateien an. Außerdem lassen sich die Ergebnisse nicht verlinken und im Dunkeln bleibt, von wann die verwendeten Signaturen sind.

Den weiter oben bereits erwähnten Wurm Socks habe ich gestern auch bei Jotti hochgeladen. Weder Gdata noch Panda sollen den nicht mehr gerade neuen Schädling erkannt haben.

Ich mag das nicht wirklich glauben (siehe dazu auch noch einmal den gestrigen Scan bei Virustotal mit aktuellen Signaturen). Entweder stimmt etwas beim Scan nicht oder die eingesetzten Signaturen sind schon älter. Bei einem Test heute morgen hat plötzlich sogar auch noch Norman den Wurm nicht mehr erkannt.

Sehr eigenartig.

Manipulierte Zwischenablage

Normalerweise wird ein Drive-by-Download-Angriff dazu verwendet, einen Schädling auf dem PC eines Web-Surfers zu platzieren. The Register berichtet nun über eine neue Variante: Statt einen Trojaner zu setzen, wird die Zwischenablage von Windows und OS X manipuliert.

Die Angreifer hinterlegen einen Link zu einer böswilligen Webseite, die anscheinend eine Rogue Anti-Spyware verteilen will. Also eine Software, die aussieht wie eine nützliche Sicherheits-Software, aber keine zusätzliche Sicherheit bietet und möglicherweise sogar selbst Schadcode enthält.

Der Inhalt der Zwischenablage soll sich nur durch einen Neustart des Computers wieder bereinigen lassen. Zur Platzierung des Links dient vermutlich ein Flash-Banner.

Firefox schützt vor dem Angriff laut The Register nicht. Aber vermutlich eine Kombination von Firefox mit den Erweiterungen Adblock Plus und Noscript.