hep-cat.de

June 9, 2009

Kurze Geschichte der Schadsoftware

Filed under: Unauthorized — atari @ 13:23

Im Rahmen einer Hausarbeit ("Internet- und Datensicherheit für Endanwender") an der Universität Lüneburg entstand ein Teilabschnitt zur (unvollständigen) Geschichte der Schadsoftware, welchen ich hier veröffentlichen möchte, da die Quellensuche doch recht aufwändig war und es schade wäre, wenn dieser Teil der Ausarbeitung in den Schubladen des Prüfungsamtes verstaubt.

Die Anfänge der Verbreitung von Schadsoftware (Malware) gehen zurück in die frühen 1970er Jahre, in denen sich eine Software mit dem Namen ”Creeper“ autonom durch das Arpanet (Advanced Research Projects Agency Network) bewegte und Rechner mit dem damals verbreiteten Tenex OS heimsuchte[1]. Das Programm startete eine Ausgabe auf dem jeweils angeschlossenen Drucker, suchte anschließend im Netzwerk nach einem weiteren Rechner mit dem gleichen Betriebssystem und kopierte sich dann auf diesen, um sich aber gleichzeitig aus dem Speicher des ursprünglichen Systems zu löschen. Der ”Creeper“ lief in der ersten Fassung stets nur auf einem Computer. Da spätere Versionen jedoch anfingen sich nicht mehr selbsttätig zu löschen, sondern im Gegenteil weiter zu replizieren, wurde ein Gegenspieler mit dem Namen ”Reaper“ geschrieben, welcher den Programmcode des ”Creeper“ aufspürte und eliminierte[2].
In den frühen 1980er Jahren stieg die Verbreitung von Mikrocomputern an, was zur Folge hatte, dass Computerprogramme auch in nicht-wissenschaftlichen Kreisen kursierten und sich ein florierendes Tauschwesen mittels Floppy-Disketten etablierte. Der auf Apple DOS lauffähige Virus ”Elk Cloner“ schrieb sich für die Verbreitung in den Bootsektor von Disketten, hatte aber in der Ursprungsversion keine Schadroutine, die über die Anzeige einer kurzen Textmitteilung nach einer bestimmten Anzahl von Bootvorgängen hinausging[3].
Der erste bekannt gewordene Virus für das damalige Betriebssystem MS-DOS war ebenfalls ein Bootsektorvirus, welcher vermutlich mit pakistanischen Softwareplagiaten in die Vereinigten Staaten von Amerika gelangte und dort am 22. Oktober 1987 entdeckt wurde. Er verfügte schon über eine signaturbasierte Selbsterkennung, welche eine vorherige Infektion erkannte und die Verbreitungsroutine unterbrach. Durch die Manipulation des Bootsektors und der damit verbundenen Beschädigung des File Allocation Tables traten vereinzelt Datenverluste auf, außerdem wurde das Disklabel mit ”brain“ überschrieben, woher der Virus schließlich auch seinen Namen erhielt[4].
Im Jahre 1987 tauchte unter dem Namen ”Jerusalem“ der erste speicherresistente Virus in Israel auf, welcher in verschiedenen Modifikationen noch jahrelang Computersysteme auf der Basis von MS DOS beschädigte[5]. Ein speicherresistenter Virus setzt sich nach einmaligem Ausführen im Arbeitsspeicher des PCs fest und infiziert von dort aus Programme, welche anschließend durch den Benutzer gestartet werden. Ein Soft-Reset des Computers lässt den Virus im Hauptspeicher verweilen, so dass ein Kaltstart erforderlich ist, um von einer nicht infizierten Diskette oder Festplatte ein virenfreies Betriebssystem zu booten.
Ein Jahr später infizierte der Morris-Worm etliche VAX- und Sun-Rechner indem er bestimmte anfällige sendmail-Mailserver und Finger-Dienste, sowie schwache Benutzer-Passwörter ausnutzte[6]. Eine wirkliche Schadensroutine war nicht enthalten, er meldete sich jedoch nach erfolgter Infektion bei einem Rechner im Netz der ”University of California“ (128.32.137.13). Aufgrund der damaligen Monokultur, der an das Internet angeschlossenen Rechner verbreitete er sich mit großer Geschwindigkeit. Da der Wurm stets seinen Quellcode auf die betreffenden Systeme übertrug und sich dort dann versuchte selbst zu kompilieren, war er zudem noch recht anpassungsfähig. Zusätzlich enthielt er eine Funktion, welche die Anzeige des Prozesses bei Aufruf des ps-Befehls (process status) verhinderte, ein einfacher Reboot vermochte den Wurm jedoch aus dem Arbeitsspeicher des betroffenen Rechners zu tilgen, was jedoch erst erfolgversprechend war, wenn die Sicherheitslücken geschlossen und ausreichend komplexe Passwörter für die Benutzer gewählt waren[7].
Als Reaktion auf diese rasante Ausbreitung wurde das Computer Emergency Response Team gegründet, um Informationen zu Sicherheitslücken und die entsprechenden Gegenmaßnahmen besser zu verteilen. Ein weiteres Jahr später erschien die erste Version des Antivirenprogramms von McAfee, welches zum damaligen Zeitpunkt 44 verschiedene Viren erkannte. 1991 wurde das ”European Institute for Computer Antivirus Research“ gegründet, welches besonders für die EICAR-Testdatei bekannt ist, die eine bestimmte Zeichenkette enthält und so vermag die Funktionalität von Virenscannern zu überprüfen[8]. Mit der steigenden Verbreitung des Internets wurden Disketten nach und nach als Infektionsweg unbedeutender und die starke Dominanz von Microsoft-Betriebssystemen mit mangelhafter Benutzerrechteverwaltung machte diese bei Virenautoren zu einem beliebten Ziel. 1996 tauchten die ersten MS-Makroviren für das Office-Paket aus Redmond auf und die Zahl der im Umlauf befindlichen Viren wurde auf über 10000 Stück geschätzt[9]. 1998 verursachte der CIH-Virus, auch Chernobyl-Virus genannt aufgrund seines Aktivierungsdatums am Tag der Tschernobyl-Katastrophe, in Südkorea einen Schaden von umgerechnet 250 Millionen Euro, da er das BIOS mit Nullen überschrieb und viele Computermainboards ausgetauscht werden mussten, weil den BIOS-Chip nicht trivial zu wechseln war[10].
Einen nur schwer exakt messbaren Schaden richtete der im Jahr 1999 als Schädling klassifizierte ”NetBus“ an[11], welcher von seinem Autor Carl-Frederik Neikter ein Jahr früher mittels Borlands Delphi erschaffen wurde. NetBus erlaubte die ”Fernwartung“ von Computern, wenn auf diesen die entsprechende Software installiert war. Viele Internetnutzer installieren das Programm unfreiwillig und öffneten damit Angreifern eine Hintertür über welche bei bestehender Internetverbindung Spionage und die Ausführung von Befehlen möglich war. Back Orifice und SubSeven tauchten zu gleichen Zeit auf und hatten ähnliche Funktionalitäten, die ebenfalls häufig auf ungewollte Art und Weise die Privatsphäre der Benutzer untergrub und Rechner aus der Ferne steuerbar machten[12].
In den Folgejahren verbreiteten sich Email-Würmer wie ”Melissa“, ”Happy99“ und ”I LOVE YOU“ über die Postfächer von Windows-Betriebssystem-Benutzern, richteten Schaden an Dateien an und überlasteten diverse Mailserver[13]. Der finanzielle Aspekt des Virenbefalls von Rechnern wird mittlerweile durch immer häufiger auftretende ”Distributed denial of service“-Attacken und große Mengen Spam, die enorme Rechenleistung für die Verarbeitung und Bandbreite für die Übertragung erfordern, immer größer, so werden die Schäden die durch die Würmer CodeRed und SirCam verursacht wurden auf fast 4 Mrd. US-$ geschätzt[14]. Der Blaster-Wurm verbreitete sich 2003 rasant, da er sich einen Fehler im Microsoft Remote Procedure Call-Protokoll zu Nutzen machte, seinen Schadcode anschließend aus dem Internet nachlud und weitere Rechner versuchte zu infizieren[15]. Die E-Mail Würmer Sobig, Sober und Mydoom verteilten sich selbst millionenfach über Massenmails; immer neue Versionen verhinderten die sofortige Erkennung durch Antivirenscanner und veränderte Anschreiben, sowie Themen der E-Mails bewegten die Nutzer immer wieder zum Ausführen der schädlichen Anhänge[16]. Die Internetwürmer NetSky und Sasser vermehrten sich 2004 rasant aufgrund eines Fehlers im Mircosoft Betriebssystem Windows, welches die Ausführung von Programmcode aus der Ferne erlaubte. Nach erfolgter Infektion probierte der Rechner über einen bestimmten Algorithmus via TCP neue Computer mit dem Sasser-Wurm auszustatten. (CVE-2003-0533) Ein interessantes Detail dieser Software ist der Fakt, dass sie versuchte MyDoom- und Bagle-Wurmprogramme von den Rechnern zu verbannen, was jedoch teilweise zu Instabilitäten und weiteren Problemen führte. Die marktbeherrschende Stellung von Windows mit einem Verbreitungsgrad von knapp 90% in Kombination mit seinen diversen Sicherheitslücken wurde von vielen Experten schnell als Grund für die Epidemie angesehen[17].
Schädlinge der Zlob-Familie haben zum Teil bemerkenswerte Eigenschaften, sie verbreiten sich als vermeintliche Codecs zum Abspielen von Video-Dateien, die durch den arglosen Benutzer so in das System installiert werden. Mittels Erkennung des Browsers und des Betriebssystems liefert der Server unterschiedliche Installationsroutinen aus, so kommen auch Mac OS X Benutzer beim Aufruf einer entsprechenden Seite eine passende Datei zum Download angeboten[18]. Hat sich die Schadensroutine im Rechner etabliert, wird regelmäßig der Domain-Name-Server des Rechners manipuliert, um zum Beispiel die Update-Server der installierten Antivirenlösung oder des Betriebssystems zu blockieren. Zusätzlich sind Funktionen enthalten die es dem Programm ermöglichen weiteren Schadcode aus dem Internet herunterzuladen[19]. Ein weiteres Detail, welches die Analyse des Verhaltens dieser Software erschwert, ist der Fakt, dass viele Vertreter der Zlob-Familie die Eigenschaft besitzen zu erkennen, ob sie sich in einer virtualisierten Betriebssystemumgebung befinden. Falls dies der Fall ist, entfernt sich die Software selbsttätig, damit die Schadensroutinen und sonstigen Aktionen von Forschern und Antiviren-Produkt-Herstellern nicht auf diesem Wege in Erfahrung gebracht werden können[20].
In den letzten Jahren treten vermehrt so genannte Bot-Netze auf, welche sich als Verbund von infizierten Rechnern verstehen lassen, die über unterschiedliche Wege ferngesteuert werden. Ein auch durch die Medien recht bekannt gewordenes Netz dieser Art ist das des ”Storm Worms“; es verfügt über Möglichkeiten ”Distributed denial of service“-Attacken auszuführen, Massenmails mit virulenten Anhängen zu verschicken, auf einzelnen infizierten Rechnern ”Zusatzsoftware“ zu installieren und die angeschlossenen Rechner über ausgefeilte Peer-to-Peer-Techniken mit Updates sowie neuen Funktionen des Schädlings zu versorgen[21].
Ein anderer weit verbreiteter Wurm entstammt der Torpig-Familie und das Netz der infizierten Rechner besteht nach Angaben einer Forschergruppe der ”University of California at Santa Barbara“ aus mehr als 180000 Rechnern. Diese Zahl ergibt sich aus einer eingehenden Analyse (”Your Botnet is My Botnet: Analysis of a Botnet Takeover”[22]) nach der Übernahme eines ”Command & Control-Servers“ dieses Netzwerkes, die Anfang des Jahres 2009 durchgeführt wurde. Die Schadfunktionen dieses Trojanischen Pferdes umfassen das Mitschneiden von Tastatureingaben, Versand der so gesammelten Informationen an einen Server, das Nachladen von weiterem Schadcode, in Einzelfällen die Unterdrückung von Warnmeldungen der installierten Antiviren-Software und die Weiterleitung von Internetverbindungen nach Art eines Proxy-Servers[23]. Zur weiteren Verschleierung der Infektion bedienen sich Untergruppen des Schädlings Rootkit-Techniken, welche mittels Manipulation des Master-Boot-Records noch vor dem Laden des eigentlichen Betriebssystems aktiv werden und so von Virenscannern schwerer zu entdecken sind. Die Infektionswege sind höchst unterschiedlich, Schädlinge dieser Art bedienen sich aber häufig auch älterer bereits geschlossener Lücken von Microsoft Windows[24] die über ein Tool mit dem Namen MPack beim Aufruf bestimmter Webadressen automatisch verschiedene Schwachstellen im System und Browser angreift, um so Schadcode zur Ausführung zu bringen[25].

8 Comments »

  1. [...] einen Mehrwert liefern sollen. In dem nun bekannt gewordenen Szenario besteht dieser jedoch aus trojanischen Pferden, welche über kompromittierte IFrames ausgeliefert werden. Ausgenutzt wurden dabei Schwachstellen [...]

    Pingback by Social Networking wie es leibt und lebt « hep-cat.de — October 17, 2009 @ 11:41

  2. [...] empfehlen sich dieses Spiel einmal zu Gemüte zu führen, zumal sogar ein wenig Wissen über die damalige Schadsoftware vermittelt wird und auch gängige Aspekte der Cyberpunk-Kultur nicht zu kurz kommen. Digital: A [...]

    Pingback by Digital: A Love Story « hep-cat.de — March 19, 2010 @ 00:24

  3. [...] sein, welche im besten Fall nur einen Absturz des Programmes bewirken, im schlechtesten Fall Schadcode zur Ausführung bringen. Der RC des Flash Player 10.1 soll dem Vernehmen nach nicht betroffen sein [...]

    Pingback by authplay.dll: Es ist wieder soweit… « hep-cat.de — June 6, 2010 @ 13:05

  4. [...] einmal hat es eine Schadsoftware geschafft in das Blickfeld der breiten Öffentlichkeit zu gelangen. Der Stuxnet-Wurm stellt einen [...]

    Pingback by Stuxnet « hep-cat.de — September 20, 2010 @ 19:20

  5. [...] WinXP-Systemen, jedoch nicht unter Windows 7. Aktiv ausgenutzt wird die Schwachstelle momentan von Schadsoftware, welche eingebettet in Microsoft Excel-Dateien als E-Mail-Anhang daher kommt und potentiell alle [...]

    Pingback by Zero-Day für Flash Player, Adobe Reader und Acrobat im Umlauf « hep-cat.de — March 15, 2011 @ 10:10

  6. [...] aktuell wohl bemerkenswerteste Vertreter im Bereich der Schadsoftware stellt Stuxnet dar, dieser Wurm kursiert seit mindestens Sommer 2009 in verschiedenen Netzwerken, [...]

    Pingback by Angriffe und Exploits « hep-cat.de — August 3, 2011 @ 19:38

  7. [...] Funktionen der staatlichen Schadsoftware sind das Abhören von Skype- und VoIP-Telefonie, das Anfertigen von Screenshots, das Nachladen und [...]

    Pingback by Bundestrojaner vom CCC analysiert « hep-cat.de — October 8, 2011 @ 21:18

  8. [...] davon alles Kenntnis hatte, wäre auch interessant, denn Microsoft erwartet innerhalb von 30 Tagen Schadcode, welcher die Lücke ausnutzt. Alle aktuellen Server- und Desktop-Versionen sind betroffen, falls [...]

    Pingback by CVE-2012-0002 « hep-cat.de — March 14, 2012 @ 11:58

RSS feed for comments on this post. TrackBack URL

Leave a comment

Powered by WordPress