Und immer droht das „Böse“: Eine kleine Evolutionsgeschichte der Malware

WP_001268Als 1975 die ersten Personal Computer überhaupt auf den Markt kamen, dauerte es danach nicht ein mal sechs Jahre, bevor die Welt zum ersten Mal von einem Computer-Virus hören sollte. Dem Elk Cloner. Sein Ziel: Das Betriebssystem des Apple IIc, auch unter dem Namen Apple DOS 3.3 bekannt. Der Virus wurde über ein aktuelles Spiel eingeschleust, sollte Apple’s Boot-Sektor infizieren und verbreitete sich über „Klone“ seiner selbst auf jeder benutzten Diskette. Ein Mal aktiviert, erschien dank des Schädlings eine in Gedichtform verfasste Beschreibung auf dem Bildschirm wie genau Elk Cloner sich durch Kopieren auf dem Rechner des Opfers verbreitet. Nebst dem Hinweis, dass es möglicherweise keine ganz so leichte Aufgabe sein würde, die entsprechenden Auswirkungen wieder rückgängig zu machen. Praktisch zeitgleich mit der Veröffentlichung dieses vergleichsweise harmlosen Virus, tauchte diese Form des „Scherzes“ in vielfältigen Spielarten weltweit auf.

Die 80er: Vom Scherz zur gezielten Attacke – von Virus und Malware

Aus heutiger Sicht nicht ganz unerwartet verschoben sich die Grenzen schnell. Weg vom simplen Scherz, hin zur Hackerattacke mit Hilfe einer böswillig agierenden Software. Software, die bereits fähig war, ihre jeweiligen Opfer gezielt anzugreifen. Weniger als ein Jahr später tauchte in den Weiten der Computerwelt die erste Personal Malware auf. In ihrem Gefolge ging man dazu über mit dem Terminus „Computer-Virus“ ein Schadprogramm zu bezeichnen, das ausschließlich dem Zweck dient, Daten zu zerstören oder Systeme zu korrumpieren.

Etwa Mitte der 80 er Jahre kamen die ersten kommerziellen Antivirenlösungen auf den Markt. Seit den Anfangstagen der Antivirensoftware sind die Virenattacken um einiges intelligenter und ausgefeilter geworden. Die Viren können nicht nur erheblich mehr als ihre Urahnen, sie gelangen auch an praktisch jeden Ort im System.

Im Laufe der Zeit bildeten sich aufgrund ihrer unterschiedlichen Verhaltensweisen verschiedene Kategorien von Viren heraus. Ursprünglich war der Begriff „Virus“ eine übergeordnete Bezeichnung für jedwede Form von Schadsoftware. Später grenzte man den Begriff auf diejenige Malware ein, die imstande ist Systeme gezielt zu attackieren.

Diese Form der Malware ist allerdings nicht in der Lage sich selbst zu replizieren. Diese Verbreitungseigenschaft ist den sogenannten „Würmern“ vorbehalten. Sie sind in der Lage Kopien ihrer selbst zu erstellen und sich auf diese Weise blitzartig in Computersystemen zu verbreiten. Die Trojaner bekamen ihren Namen dann nach dem allseits bekannten „Trojanischen Pferd“ der griechischen Mythologie: Sie geben vor etwas zu sein, beispielsweise ein Spiel oder eine legitime Software, in Wirklichkeit enthalten sie aber gefährlichen Schadcode.

In der Folge löste der Begriff „Malware“ als Überbegriff für sämtliche Arten von Schadsoftware die ursprüngliche Bezeichnung „Virus“ ab. Dazu kam in schneller Folge eine lange Reihe weiterer Begriffe, um die wachsende Zahl unterschiedlicher Attacken und Angriffsvektoren besser zu beschreiben. Dazu gehören Spyware, Scareware, Ransomware, Rootkits, Botnets und so weiter – alle inzwischen im Internet und darüber hinaus weit verbreitet.

Die 90er: Die eingebaute Schwachstelle und der erste Makro-Virus

Die Malware-Autoren fanden sehr schnell Mittel und Wege die bereits in der Computerarchitektur angelegten Schwachstellen auszunutzen. Eine der ersten Techniken dieser Art, die im Übrigen auch heute noch gerne verwendet wird, wurde erstmals 1988 beim Auftreten des Wurms „Morris“ beobachtet. Der berüchtigte Wurm nutzte eine Buffer-Overflow-Attacke gegen BDS-Linux-Systeme um sich weiter zu verbreiten. Bei einer Buffer-Overflow-Attacke werden so lange Daten in den Speicher eingeschrieben, bis dieser an seine Kapazitätsgrenzen kommt und in angrenzende Speicherbereiche überläuft. Der existierende Code wird anschließend überschrieben oder auch ersetzt und anschließend in diesem neuen Speicherplatzbereich ausgeführt. Diese Technik ist auch heutzutage noch durchaus gebräuchlich. Schlicht, weil einige der gängigen Programmiersprachen keine entsprechenden Schutzmaßnahmen haben, um solche Attacken zu vermeiden.

In den frühen 90ern lernte die Malware zusätzlich die Kunst des Ausweichens. Inzwischen war aus den Anfängen der Antivirensoftware ein boomendes Business geworden. Signaturen und Hash-Werte bekannter Bedrohungen wurden erfasst, um sie wiedererkennen und so das eigentliche Ausführen der Virenaktivität verhindern zu können. Die Antwort der anderen Seite ließ nicht lange auf sich warten.

Mark Washburn entwickelte die erste Familie polymorpher Viren. Diese Viren ändern ihr Erscheinungsbild von Generation zu Generation, indem sie sich praktisch jedes Mal neu schreiben. Die ursprünglichen Funktionen behalten sie bei. Dadurch, dass sich der Code kontinuierlich verändert, gelingt es dieser Virenart von Antivirensoftware weitgehend unentdeckt zu bleiben. Die sucht nämlich nur nach statischen Malware-Signaturen. Mitte der 90 er Jahre machten sich bereits etliche Malware-Familien polymorphe Viren zunutze und bauten diese gleich in die Zahlenkombinationen der Malware-Engine mit ein. Das machte die Viren umso langlebiger. “OneHalf” und “Ply” sind zwei exzellente Beispiele.

Einige Entwickler wählten einen anderen Weg als den üblichen und versteckten ihre Schadsoftware in Dokumenten, anstatt ihre potenziellen Opfer mit ausführbaren Programmen zu attackieren. Diese Stand-Alone-Varianten waren naturgemäß deutlich auffälliger. 1995 erblickte dann der erste Makrovirus das Licht der Welt. Die Funktionsweise: Die Viren nutzen die Fähigkeit von Microsoft Word und Excel ausführbare Dateien, sogenannten „Makros“, in Dokumente einzubinden. Diese Makros werden immer dann ausgeführt, wenn die Dokumente im zugehörigen nativen Programm geöffnet werden.

Solche Makros können eine ganze Reihe von schädlichen Aktivitäten in Gang setzen. Sie laden beispielsweise Malware herunter, steuern (Malware)-Websites an oder führen jede beliebige Aktion aus, die sich der betreffende Autor ausgedacht hat. Um solche Infektionen fürderhin zu vermeiden verzichtete Microsoft darauf, die Makro-Funktion per Default in Word und Excel zu aktivieren. Das half zwar zunächst, allerdings konnte man damit das Malware-Problem mit Makros nicht vollständig in den Griff bekommen. Ein Beispiel ist die Cridex-Malware-Familie, die auch 20 Jahre später noch äußerst aktiv ist.

Mit dem Ende des Jahrtausends umspannte das Internet inzwischen den Globus weltweit. In den USA hatten bereits 50 Prozent aller Haushalte einen Computer und fast 50 Prozent aller Haushalte verfügte über einen Internetanschluss. Damit waren die idealen Ausgangsbedingungen für Malware wie wir sie heute kennen geschaffen.

Die Dekade der 90er brachte denn auch eine ganze Reihe folgenschwerer Attacken hervor, darunter den berüchtigten Melissa-Virus und den ersten Linux-Virus überhaupt, „Staog“. Praktisch gleichzeitig wurde das Konzept der Botnets entwickelt, eine Gruppe automatisierter Programme, die auf miteinander vernetzten Rechnern laufen und die deren Netzwerkanbindung nutzen beziehungsweise auf deren Ressourcen zugreifen. Auf diese Weise kann ein Malware-Autor alle infizierten Systeme in einem Netzwerk zusammen betreiben und die Gesamtrechnerleistung hilft, die Malware schnell und folgenreich weiter zu verbreiten.

Nach dem Jahrtausendwechsel: Social Engineering und Slammer

In den frühen Jahren des neuen Jahrtausends machten sich besonders aggressive Social-Engineering-Strategien breit. Der „I Love You“-Wurm – auch als „Love Letter“ bezeichnet – ist wohl eines der bekanntesten Beispiele. Der Wurm richtete mehr Schaden an als jemals ein Schädling zuvor. Bereits 15 Minuten nach der Erstinfektion waren Millionen von Computern weltweit ebenfalls infiziert. Im selben Jahr tritt sogar eine Malware auf, die sich – wie beispielsweise der „Pikachu“-Virus – explizit an Kinder richtet.

Das Thema Computer-Infektion erlangte weltweit so große Bedeutung, dass sich die Behörden genötigt sahen, erstmals gegen Cyberkriminelle vorzugehen und gerichtlich Strafen wie gegen Jan de Wit im Februar des Jahres 2001 zu verhängen. De Wit hatte den Code zum ebenfalls berüchtigten Anna-Kournikova-Wurm geschrieben. Dieser nutzte die Bekanntheit, der damals erst 19-jährigen Ausnahme-Tennisspielerin. Die zugehörige, massenhaft versendete E-Mail enthielt angeblich ein Foto der Star-Sportlerin. Jan de Wit wurde schlussendlich zu 150 Stunden gemeinnütziger Arbeit verurteilt. Bei einem geschätzten Schaden von 166.000 US-Dollar…

2003 konnte dann die Internetgemeinde endgültig nicht mehr die Augen davor verschließen, dass Computerviren gekommen waren um zu bleiben. Das Jahr, in dem der SQL-Slammer sein Debut feierte. Solche Slammer nutzen Schwachstellen in Microsofts SQL-Datenbank aus, um das System zu infizieren und sich weiter zu verbreiten. Innerhalb von 15 Minuten war es dem Slammer über eine nicht intendierte Denial-of-Service-Attacke gegen zahlreiche Hosts gelungen, praktisch das komplette Internet in die Knie zu zwingen.

Konkurrenz belebt das Geschäft? Spam, MyDoom, Botnets

Mitte der 2000er gab es sage und schreibe weltweit über eine Million Würmer, die im Internet kursierten. Das führte zu einem Konkurrenzkampf zwischen den Malware-Autoren und den verschiedenen Malware-Familien untereinander. Spam via E-Mail war ein großes Geschäft geworden, mit dem Malware-Autoren gutes Geld verdienten. Sie brachten riesige Mengen unerwünschter E-Mails, den sogenannten „Spam“ auf den Weg. Aufgrund der enormen Menge an verschickten Nachrichten reicht schon ein minimaler Prozentsatz an Käufern oder Anwendern, die auf den enthaltenen Link klicken, um ein einträgliches Verdienstmodell zu etablieren. Es existierten einige zentrale Botnetze, deren Zweck in nichts anderem bestand als Tonnen von unerwünschten E-Mails in die Posteingänge der Empfänger zu befördern. Solche Botnets waren dafür verantwortlich, dass sich Malware wie MyDoom und Bagle überhaupt massenhaft verbreiten und das komplette Internet durchseuchen konnten.

Aber es gab noch ein Problem…Inzwischen befanden sich derart viele Malwarevarianten im Umlauf, dass ein und derselbe Rechner nicht selten gleichzeitig von unterschiedlichen Viren angegriffen wurde. Die Viren ringen um die Kontrolle über den Host, was dazu führt, dass die betroffenen Systeme nur noch mit gedrosselter Leistung arbeiten. Das hatte dann einen quasi paradoxen Effekt. Denn der betreffende Rechner war weder für den legitimen Anwender noch für den Urheber des Virus nutzbar. Von dieser Situation hatte also keiner etwas.

Schlaue Würmer für’s Web

Mit dem Sasser-Wurm änderte sich auch das. Er machte sich die Microsoft-eigene Sicherheits-Policy (LSASS) zu nutze, die ja eigentlich genau das Gegenteil bewirken sollte. Hatte es Sasser bis zum Host geschafft suchte der Wurm von dort aus nach möglichen Konkurrenten wie MyDoom und Bagle und deinstallierte die unerwünschten Mitbewerber. Die frei gewordenen Ressourcen konnte Sasser für sich selbst in Anspruch nehmen. In schneller Folge begannen auch andere Malware-Typen damit, diese Funktionen zu integrieren.

Im selben Jahr schafften die Würmer noch den Sprung von den E-Mail-Postfächern ins Web. Santy wird im Allgemeinen als der erste Web-Wurm bezeichnet. Er nutzt einen phpBB-Fehler, um sich auf Webseiten zu verbreiten, welche die PHP Bulletin Board-Software einsetzen. Hat der Wurm sich Zugang zu einer solchen Seite verschafft benutzt er anschließend Google, um weitere potenziell verwundbare Seiten zu finden und verbreitet sich so weiter.

Die Geburtsstunde des ersten Web-Wurms wurde allerdings von einem anderen berüchtigten Verwandten überschattet, dem Storm-Wurm. Im gelang es über eine der bislang effektivsten Social-Engineering-Attacken die Schadsoftware ans Ziel zu bringen. Der Wurm erreichte den Posteingang ursprünglich mit einer E-Mail-Nachricht, die vorgab wichtige Informationen zu einer drohenden Unwetter-Katastrophe zu enthalten. Der Betreff enthielt die Überschrift: „230 Tote aufgrund von verheerendem Sturm in Europa“. Besorgte und interessierte Empfänger der betreffenden E-Mail klickten auf den Anhang, der angeblich ein Video zu den schockierenden Nachrichten enthalten sollte. Diese Vorgehensweise erwies sich als äußerst erfolgreich und Storm nutzte noch eine Reihe ganz ähnlicher Taktiken. Es dauerte etwas über ein Jahr bis der Schädling schließlich vom Radar verschwand.

2008 bis heute: Malware hat es geschafft – sie kann überall sein

Malware hatte es jetzt geschafft – sie war praktisch überall, selbst auf dem Mac OSX-Betriebssystem. Die speziell dafür geschriebene Malware brachte die Mac-Gemeinde dazu ihr „Mac haben keine Viren“ noch einmal gründlich zu überdenken. Über vorinstallierte Malware in digitalen Bilderrahmen und auf Festplatten aus China erreichte die Schadsoftware die Ladenregale. Sogar Sony hatte damit begonnen auf seinen CDs Rootkits zu installieren um illegales Kopieren zu vermeiden. Sony’s DRM (Digital Rights Management) wurde allerdings sehr bald als eine Art Malware eingestuft, da Rootkits illegal und ohne das Wissen der User auf deren Rechner installiert worden waren. Auf die Einführung dieser Praxis durch Sony folgte zügig eine gerichtliche Unterlassungsanordnung.

Etwa ab 2008 verbreiteten sich bösartige Würmer wie Koobface über Social-Media-Plattformen wie Facebook und MySpace. Malware hatte mittlerweile die Fähigkeit, Antivirenschutz auf den Zielrechnern zu entdecken und kurzerhand zu deinstallieren. Über diese Fähigkeit gelang der Torping-Malware-Familie eine der größten und erschreckendsten Masseninfektionen von Computern. 2008 war auch das Jahr des Conficker-Wurms, der ausschließlich Microsoft-Systeme befällt. Im November wurde er erstmals gesichtet und aufgrund seiner äußerst intelligenten Konzeption und seiner Fähigkeit sich rasend schnell zu verbreiten schnell heimisch im Internet. Innerhalb kürzester Zeit infizierte der Schädling über 15 Millionen Rechner weltweit und hatte Konzepte wie das der Domain-Generation-Algorithmen im Gepäck.

Um den eigentlichen Standort des Command-and-Control-Servers zu verbergen, nutzte Conficker bei den Anfragen randomisierte Domains bis schlussendlich der Controller antwortet und neue Befehle ausgibt. Soviel Schaden Conficker auch angerichtet haben mag, hat er doch noch eine weitere beängstigende Eigenschaft. Nach der ursprünglichen Infektion verbleibt er nämlich quasi schlafend auf dem Host, und viele fragten sich, was der verstörend erfolgreichen neuen Malware-Art dort wohl als nächstes einfallen würde.

Die Profis: Behörden, Militärs und zielgerichtete Attacken

Nachdem man fünf unterschiedliche Varianten der Malware beobachtet hatte, verschwand sie schließlich so schnell wie sie gekommen war. Forscher spekulierten darüber, dass es sich möglicherweise nur um ein Experiment gehandelt habe, um neue Funktionen zu testen und die Malware für einen späteren Zeitpunkt in Stellung zu bringen. Ebenso wurden Vermutungen laut, dass hinter Conficker möglicherweise eine Regierung stehen könnte.

Die Idee, dass sich auch Regierungen und Militärs einer Malware bedienen könnten, hatte ziemlich Konjunktur. Allerdings gab es bis zum Jahr 2010 noch keinen Beweis. Bis Stuxnet kam. Stuxnet wurde speziell auf ein Ziel hin entwickelt, nämlich ein System zur Steuerung und Überwachung mit einer ganz bestimmten Hardware und Software. Über diese speicherprogrammierbare Steuerung konnten wichtige Ressourcen und Funktionen der Natanz Uranium Enrichment Facility im Iran massiv beschädigt werden. Im Laufe des Jahres tauchten noch einige Spin-offs von Stuxnet auf wie beispielsweise Duqu, Flame oder der Regin-Trojaner. Erschreckend genug hatte die Welt nun den Nachweis, dass von Regierungen gesponserte Attacken real und keinesfalls reine Theorie sind.

Das Jahrzehnt der Cyberbedrohungen

Heutzutage haben wir es mit zahlreichen Cyberbedrohungen zu tun und täglich schaffen es etliche davon in die Headlines. Mittlerweile verschanzen sich Unternehmen allerdings derart hinter mehrschichtigen Software- und Hardware-basierten Schutzwällen, dass der durchschnittliche Nutzer bisweilen abgestumpft ist gegenüber der Tatsache, dass diese Attacken wirklich permanent stattfinden.

Im September 2013 bekamen wir es mit Cryptolocker und seinen Abkömmlingen, CryptoWall und CryptoDefense, mit einer sogenannten Ransomware zu tun. Diese Software dient nur dazu, die Opfer zu erpressen und von ihnen einen entsprechenden Geldbetrag einzufordern. Erst nach der Zahlung kann der hilflose Anwender, vielleicht, wieder auf seine böswillig verschlüsselten Dateien zugreifen. Ransomware gab es auch in der 80 er Jahren schon, keine löste aber eine derartige Panik aus wie CryptoLocker und das durchaus zu recht.

CryptoLocker verschlüsselt mit Hilfe starker Verschlüsselung praktisch jede Datei auf dem Zielrechner. Weder kann der Geschädigte auf die Dateien zugreifen noch sie wiederherstellen, ohne dass er den passenden privaten Schlüssel hat, um die Dateien wieder zu entschlüsseln. Selbst wenn es gelingt die eigentliche Infektion mit CryptoLocker erfolgreich zu beseitigen, die Dateien bleiben verschlüsselt und sind unbrauchbar. Das machte ziemlich drastisch klar wo die Vorteile eines regelmäßigen Backups liegen.

Gerade jüngst haben Malware-Autoren erneut die Strategie gewechselt. Sie attackieren nicht mehr einzelne Nutzer, sondern nutzen anderen Quellen wie beispielsweise die Systeme große Handelsketten. Anstatt mühsam zehntausende individuelle Rechner zu attackieren, ist es deutlich effektiver ein System anzugreifen, in dem beispielsweise die Kontoinformationen und Zugangsdaten zehntausender Kunden gespeichert sind. Zur Zeit sind Point-of-Sale-Trojaner sicherlich eine der größten Bedrohungen überhaupt und in aller Regel verlaufen diese Attacken ziemlich erfolgreich. Dazu reicht ein vergleichsweise simples Stückchen Code, dass auf dem betreffenden POS-System eingeschleust wird. Einmal im System lassen sich sämtliche Kreditkarteninformationen kopieren, bündeln und in Massen zurück an die Hacker senden. Bei Angriffen auf diverse Handelsketten allein in diesem und im letzten Jahr sind hunderte Millionen persönlicher Daten und Informationen gestohlen worden.

Mit jeder neuen Cyberattacke lernen wir dazu, sowohl was die eigenen Verhaltensweisen anbelangt als auch in Bezug auf die IT-Sicherheitstechnologien, die wir einsetzen. Allerdings gilt das für Cyberattacken gleichermaßen und die Entwicklung verläuft in wenig kalkulierbaren Sprüngen. Sich als Anwender selbstzufrieden zurückzulehnen ist kontraproduktiv. Jeder sollte sich mehr denn je bewusst sein, was zu tun ist, um das Unausweichliche wenigstens zu einem Gutteil zu verhindern beziehungsweise den Schaden in Grenzen zu halten. Es ist ziemlich unwahrscheinlich, dass die Attacken weniger werden, eher entwickeln sie sich weiter und Angreifer finden neue Wege wie sie am besten ihr Ziel erreichen. Jeder Nutzer sollte einigermaßen auf dem Stand der Dinge sein, welche Arten von Bedrohungen es gibt und wie sie funktionieren; das kann ein nicht zu unterschätzender Vorteil sein, wenn man an zukünftige Formen von Cyberkriminalität und Malware-Attacken denkt.

Autor: Fred Touchette, Security Analyst bei Appriver , einem Anbieter von E-Mail-Messaging und Web-Security- sowie Microsoft-365-Lösungen für Partner und IT-Reseller.

 

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>