Jahresrückblick 2009 und Prognosen für das neue Jahr
Einführung
Im Dezember wird traditionell auf das Jahr zurückgeblickt, das bald zu Ende geht – Zeit für eine Analyse der aktuellen Situation aus der Sicht eines Datensicherheitsunternehmens. In diesem Jahr ist uns besonders aufgefallen, dass vor allem soziale Netzwerke ein Hauptangriffsziel der Autoren von Malware waren.
Erwähnenswerte Malware
Einige Malware-Vorfälle verdienen besondere Aufmerksamkeit.
Conficker
Dieser Wurm trat zwar bereits 2008 in Erscheinung, verursachte aber erst 2009 deutliche Probleme für Nutzer und insbesondere für größere Organisationen. Der Wurm war zwar in der ersten Hälfte des Jahres 2009 am aktivsten, aber auch jetzt, am Ende des Jahres, verbreitet er sich noch weiter.
Es existieren verschiedene Varianten von W32/Conficker. Dabei handelt es sich um einen Wurm, der sich über Netzwerke verbreitet. Er ist außerdem in der Lage, sich durch Downloads aus dem Internet zu aktualisieren. Diese Downloads erfolgen von einer Untermenge von Servern, die von dem Wurm aus einer sehr großen Zahl möglicher, dafür generierter Download-Server ausgewählt wurden.
Eine der besonders nennenswerten Eigenschaften des Wurms ist der Verbreitungsmechanismus unter Nutzung einer Sicherheitslücke bei Windows Server Service. Durch diese Schwachstelle kann der Wurm ohne Wissen des Nutzers seinen eigenen Download auf einen Remote-Computer veranlassen.
Der Wurm verbreitet sich auch auf Windows-Netzwerkfreigaben und auf/von Wechselmedien, z. B. USB-Sticks. Durch seine Verbreitung auf verschiedensten Netzwerkfreigaben gestaltet sich die Entfernung des Wurms schwierig. Da auch Wechselmedien betroffen waren, kam es auch in einigen größeren Organisationen, die normalerweise über recht gute Sicherheitssysteme verfügen, zu einer Infektion.
Die verschiedenen Conficker-Varianten schützen sich mit einem ausgeklügelten System vor dem Deaktivieren durch Antiviren- oder andere Sicherheitsanwendungen.
Weitere Informationen zu Conficker finden Sie in der Virenbeschreibung von Norman.
Virut
W32/Virut stellt eine Familie hoch polymorpher Viren dar. Für die Verbreitung werden verschiedene Mechanismen genutzt, z. B. die automatische Ausführung für USB-Sticks. Dabei wird das Schadprogramm ausgeführt, sobald ein USB-Stick mit dem Computer verbunden wird (sofern diese Funktionalität aktiviert ist).
Neben seinem höchst polymorphen Charakter ist eine von Viruts interessantesten Eigenschaften die Möglichkeit einiger Varianten, den Windows-Dateischutz zu deaktivieren, um wichtige geschützte Systemdateien zu infizieren.
Virut nutzt verschiedene Techniken, um sich vor der Deaktivierung durch Antiviren- oder andere Sicherheitssysteme zu schützen. Dafür wird der Zugang der infizierten Computer zu einer Reihe von Sicherheits-Websites gesperrt.
Die Viren in der Virut-Familie waren das ganze Jahr über aktiv und werden höchstwahrscheinlich im nächsten Jahr in neuen Varianten weiterhin auftauchen.
Weitere Informationen zu Virut finden Sie in der Virenbeschreibung von Norman.
Koobface
W32/Koobface ist insbesondere deshalb erwähnenswert, da seine Verbreitungsmechanismen soziale Netzwerke wie Facebook nutzen. Der Wurm trat 2008 erstmals auf, im Jahr 2009 erreichte er jedoch den (bisherigen) Höhepunkt seiner Aktivität.
Ein durch Koobface infizierter Computer sendet automatisch Nachrichten mit Links zu Malware an die Kontakte, die der Computerbesitzer bei verschiedenen sozialen Netzwerken eingerichtet hat. Der Wurm durchsucht die auf dem Rechner gespeicherten Cookies nach Anmeldedaten für solche Websites. Mittels dieser Daten meldet sich das Schadprogramm bei diesen Websites an und sendet Nachrichten an die dort gespeicherten Freunde und Kontakte.
Weitere Informationen zu Koobface finden Sie in der Virenbeschreibung von Norman.
Malware-Cocktails
In den „guten alten Zeiten“ der Schadprogramme konnten Sicherheitsorganisationen und Nutzer anders mit Malware umgehen als heute. Malware-Autoren erstellten in der Regel ein schädliches Programm und verwendeten zu dessen Verbreitung verschiedene Methoden.
Im Lauf der Jahre hat sich das geändert, und die Situation ist heute ganz anders. Jetzt sind Malware-Cocktails der allgemeine Trend. Sie bestehen aus einer ganzen Palette unterschiedlicher Malware-Typen sowie denselben Typen mit mehreren Funktionen.
Diese Malware-Cocktails umfassen oft ein Rootkit, was die Erkennung der Schadsoftware deutlich erschwert. Einige der Standard-Rootkits verwenden eine sehr fortschrittliche Technologie, um sich selbst und die anderen Komponenten des Malware-Cocktails zu verbergen.
Wie ein Malware-Analyst bei Norman sagte: „Malware ist heute wie ein Schweizer Messer“.
Die Anforderungen an die Sicherheitsorganisationen haben sich grundlegend geändert, da es nun nicht mehr ausreicht, ein bestimmtes schädliches Programm zu erkennen und zu entfernen. Andere Teile des Malware-Cocktails können auf dem infizierten Computer bzw. im infizierten Netzwerk weiterhin aktiv sein und diese neu infizieren und/oder neue Komponenten herunterladen. Das erschwert natürlich die Bereinigung infizierter Systeme enorm.
Allgemeine Trends
Zunahme von Malware
Ein wichtiger Indikator für die Zunahme an Malware über einen Zeitraum ist die Anzahl der Signaturen für bösartige Software in den Virenerkennungsdateien von Norman. 2007 wurden mehr Signaturen erstellt als in allen vorherigen Jahren zusammen. Im Jahr 2008 wurden erneut mehr Signaturen erstellt als in allen vorherigen zusammengenommen. Im Jahr 2009 wurden etwas weniger Signaturen erstellt als in allen vorherigen zusammengenommen.
Dies scheint zu bedeuten, dass sich das Wachstum im Gegensatz zu den Jahren vor 2008 stabilisiert hat und jetzt eher linear als exponentiell verläuft. Die Gesamtzahl neuer Signaturen ist im Vergleich zum Anfang des Jahrzehnts zu diesem Zeitpunkt trotzdem schockierend hoch.
In der folgenden Abbildung ist die Zunahme bei der Anzahl der Signaturen für Malware-Signaturdateien von Norman ab 2008 bis Mitte Dezember 2009 dargestellt.
Einstufung legitimer Software als Schadcode
Die Tatsache, dass der Umfang von Malware stark zugenommen hat, stellt ein zusätzliches Risiko dar, da auch legitime Software durch Antiviren-Signaturdateien oder andere Malware-Erkennungstechnologien fälschlicherweise als Schadcode eingestuft werden kann. Dieses Szenario ist in diesem Jahr bereits bei Sicherheitssoftware verschiedener Anbieter – so auch von Norman – aufgetreten.
Leider kann dies jederzeit wieder passieren. Die größte Herausforderung für Anbieter von Sicherheitssoftware besteht darin, solche Fehler insbesondere für wichtige Systemdateien und häufig verwendete, wichtige Anwendungen auszuschließen. Dazu müssen Anbieter von Sicherheitsanwendungen verstärkt in Ausstattung investieren, um ihre Signaturdateien für die Virenerkennung vor deren Veröffentlichung umfassend mit unterschiedlichster legitimer Software zu testen.
In einem Sicherheitsartikel in diesem Jahr wurde diese Problematik bereits allgemein betrachtet. Dabei ging es um ein ähnliches Problem von Google bei der Erkennung bösartiger Websites.
Noch mehr betrügerische Programme
Programme, die sich als etwas ausgeben, das sie in Wahrheit nicht sind, gibt es fast seit Beginn des Computerzeitalters. Der Trend von 2008 mit einer Zunahme an betrügerischen Programmen, die als Antiviren- oder Anti-Spyware-Anwendungen getarnt sind, setzt sich auch 2009 fort.
Im Jahr 2009 hat er sich sogar vervielfacht. Am Jahresende haben sich betrügerische Computerprogramme zu einer beachtlichen Branche ausgewachsen. Das Potenzial für wirtschaftlichen Gewinn für die involvierten Personen ist groß, gleichzeitig ist das Risiko dabei gering.
Soziale Netzwerke als Verbreitungsmedium für Malware
Soziale Netzwerke wie Facebook und Twitter haben in den vergangenen Monaten deutlich an Beliebtheit gewonnen. Daher kommt es nicht von ungefähr, dass diese Netzwerke nun zur Verbreitung von Malware missbraucht werden.
Koobface, wie oben bereits erwähnt, ist nur ein Beispiel dafür. Festzuhalten ist insbesondere die Erkenntnis, dass intelligente Social Engineering-Technologien häufig erfolgreich für Angriffe genutzt werden.
Wie bereits zu Beginn erwähnt: Müsste man ein bestimmtes Sicherheitsproblem herauspicken, das 2009 am wichtigsten war, wäre dies die Nutzung von sozialen Netzwerken als Ziele für die Verbreitung von Malware und deren Ausnutzung – üblicherweise durch Social Engineering.
Die unterschiedlichen Aspekte von sozialen Netzwerken haben wir dieses Jahr in mehreren Sicherheitsdiskussionen erörtert. Zum Beispiel:
- Soziale Netzwerke – die besten Freunde von Kriminellen oder ihre Feinde
- Böswillige Identitätsvortäuschung
- Eine andere Verwendungsart für Twitter
- Was wird denn da gezwitschert?
- HALLO! Bei mir kann eingebrochen werden!
Weiterhin ein Schlupfloch: Sicherheitslücken bei Betriebssystemen und Anwendungen
Auch weiterhin nutzen die Autoren von Malware Sicherheitslücken bei Betriebssystemen und Anwendungen für die Verbreitung. Insbesondere gängige Anwendungen wie weit verbreitete Webbrowser, Adobe-Anwendungen, gängige Office-Systeme usw. waren davon betroffen. Dabei wurden nicht nur häufig verwendete Anwendungen von Microsoft zum Angriffsziel. Es traf auch beliebte Software anderer Anbieter.
In den letzten Jahren konzentrierten sich die Autoren von Malware hauptsächlich auf Sicherheitslücken in Betriebssystemen. Die hat sich jedoch vor Kurzem geändert, und es werden immer häufiger oft verwendete Anwendungen wie die oben beschriebenen angegriffen. Für die Benutzer besteht eine besondere Herausforderung darin, dass es für die Verbreitung von Updates und Patches für Anwendungen keine Standards gibt. Das heißt, dass eine Vielzahl von Updatemechanismen verwendet werden muss.
Die Malware-Autoren machen sich neue Sicherheitslücken sehr schnell für ihre Schadsoftware zunutze. Software-Anbieter müssen daher noch schneller reagieren und Sicherheitspatches und andere Zwischenlösungen veröffentlichen.
Malware-Autoren werden immer kreativer und entwickeln Malware, die sich nicht nur eine, sondern mehrere Sicherheitslücken mit ein und demselben Schadprogramm zunutze macht – und zwar unabhängig davon, ob für die Sicherheitslücken bereits ein Patch vorhanden ist. Vereinfacht wird dies noch durch die Veröffentlichung von Schadcode im Internet. Dieser kann dann relativ einfach in die eigene Malware integriert werden.
So kann ein Schadprogramm nun sogar ohne umfassende Programmierkenntnisse erstellt werden. Infolgedessen gewinnen die Social Engineering-Fähigkeiten von „Malware-Designern“ immer mehr an Bedeutung, damit ein bestimmtes Schadprogramm in der Flut von Malware erfolgreich eingesetzt werden kann.
2009 wurden diese Probleme in unseren Sicherheitsartikeln ausführlich diskutiert. Zum Beispiel:
- Software, die besonders erfolgreich angegriffen werden kann
- Werbung im Web – ein wesentlicher Vektor für die Verbreitung von Malware
- Plug-ins für Anwendungen – ein neues Ziel für Malware
Große Medien-Events als Anlass für die Verbreitung von Malware
Dass große Medienereignisse auch von Malware-Autoren für ihre Zwecke missbraucht werden, ist keine neue Erkenntnis. Jedoch zeichnete sich 2009 eine steigende Tendenz ab. Malware-Autoren nutzen immer mehr Social Engineering-Techniken, um Malware im Rahmen von großen Medien-Events unter die Leute zu bringen.
Dies konnte bei verschiedenen Gelegenheiten beobachtet werden. Das wahrscheinlich bekannteste Beispiel ist der Tod und die Beisetzung von Michael Jackson.
Um die Social Engineering-Fähigkeiten und das Internet gezielt für diese Zwecke nutzen zu können, stehen zahllose Tools zur Verfügung. Dieses Thema wurde in diesem Jahr bereits in verschiedenen Sicherheitsartikeln analysiert:
- Kurz-URLs – ein gutes oder schlechtes System?
- Domänennamenregistrierung – ein Verbreitungsvektor für Malware
Malware auf neuen Geräten
In der Tat ein interessantes Phänomen! In diesem Jahr wurden bereits zwei Beispiele dieser Entwicklung bekannt, die ebenfalls Thema von Sicherheitsartikeln waren:
Es ist davon auszugehen, dass dies erst die Spitze des Eisbergs ist. Künftig kann ein Malware-Angriff auf Geräte, die von normalen Benutzern bisher nicht als anfällig oder gefährlich eingestuft wurden, durchaus ein Risiko darstellen. Besonders beunruhigend ist dies, wenn man folgende Beobachtung berücksichtigt: Die Menschen haben ein Bewusstsein für Malware entwickelt, die auf herkömmliche Weise verbreitet wird. Bei einem neuartigen Verbreitungsmechanismus versagt dieser Selbstschutz leider.
Bedrohungen aus dem Internet – Bewusstsein der Politik
Erwähnenswert ist abschließend noch ein Artikel vom Sommer dieses Jahres, in dem die Bedeutung des Internets als wichtigstem Bestandteil der Infrastruktur unserer modernen Gesellschaft thematisiert wurde. In seiner Rede vom 29. Mai 2009 setzte US-Präsident Barack Obama dies als Schwerpunkt.
Besonders in den IT-Sicherheitskreisen, die schon seit Jahren mit Herausforderungen in Bezug auf das Internet konfrontiert werden, wird dieses neue Bewusstsein auf höchster Ebene sehr begrüßt. Die Communitys betonen immer wieder, dass Sicherheitsthemen im Hinblick auf das Internet und die damit verbundene Infrastruktur noch weiter in den Vordergrund gerückt und als mögliches Risiko für eine moderne Informationsgesellschaft wahr- und ernstgenommen werden sollten.
Weitere Informationen zu diesem Thema finden Sie in diesem Sicherheitsartikel:
Prognosen für 2010
In unseren Prognosen für 2010 stellen wir keine grundlegend neuen Sicherheitsprobleme vor (obwohl diese natürlich trotzdem auftreten können). Dieser Ausblick soll eher ein „verstärkter Fokus auf die aktuellen beliebten Trends“ sein.
Wir gehen davon aus, dass sich die Autoren von Malware 2010 auf diese Sicherheitstrends konzentrieren werden:
- Soziale Netzwerke werden noch stärker und in ausgeklügelterer Form ausgenutzt.
- Betrügerische Sicherheitssoftware bleibt populär.
- Die Malware-Cocktails bleiben bestehen, werden flexibler, und ihre Rootkit-Technologie wird weiter ausgebaut.
- Automatische Updates von Malware werden noch einfallsreicher.
Zwei Problemen sollte besondere Aufmerksamkeit geschenkt werden:
- Wird es endlich Malware für Mobiltelefone geben, die für eine große Anzahl Benutzer eine echte Bedrohung darstellt?
- Wird die „Cloud“-Technologie missbraucht?
Analysen und Ausblicke der vergangenen Jahre