29 Sep 2014
Die Evolution von OS-X-Schadprogrammen.
Gibt es Schadprogramme für Macs und OS X?
Oh, ja. Doch aus irgendeinem Grund habe ich über dieses Thema schon länger nicht mehr gesprochen… Das letzte Mal war vor zweieinhalb Jahren. Ja, so lange ist es her, dass der Flashback-Wurm sein Unwesen trieb und weltweit 700.000 Macs infizierte. Die Sicherheitsbranche hat viel Wirbel darum gemacht (und das Flashback-Botnet recht schnell geschlossen), doch seitdem – ist es recht still… Es mag einigen so vorkommen, dass seit damals auf der Mac-Schadprogramm-Front nichts mehr los ist und kein Stückchen iSchädling die ruhigen Wasser der Apple-Bucht gestört hat…
Aber das ist falsch…
Sicher, wenn Sie die Bedrohung durch Schadprogramme auf verschiedenen Plattformen vergleichen, steht mit viel Abstand ganz oben, so wie immer, die weitverbreitetste Plattform – Microsoft Windows. Weit dahinter liegt Android – immer noch relativ neu. Tja, in den vergangenen drei Jahren bombardierten die Cyberganoven den armen, kleinen, grünen Roboter mit immer mehr Schädlingen. In der Zwischenzeit gab es in der Welt der iPhones und iPads, abgesehen von sehr seltenen Cyberspionage-Angriffen, kaum erfolgreiche Attacken (obwohl einige exotische Methoden angewendet wurden). Mit Macs ist es recht ähnlich – auch hier ist es, verglichen mit anderen Plattformen, recht friedlich; doch in letzter Zeit gab es… einige Unruhe – über die ich in diesem Beitrag sprechen möchte.
Doch zunächst kurz ein paar Zahlen – so eine Art Zusammenfassung:
- Die Zahl der neuen Mac-Schadprogramme, die in den letzten Jahren entdeckt wurden, geht in die Tausende
- In den ersten acht Monaten des Jahres 2014 wurden 25 verschiedene Mac-Schadprogrammfamilien entdeckt
- Die Wahrscheinlichkeit, dass ein ungeschützter Mac von Mac-spezifischen Schädlingen infiziert wird, ist um drei Prozent gestiegen
Im Jahr 2013 entdeckte @kaspersky ~1.700 Schädlinge für OS XTweet
Wenn man nun etwas tiefer gräbt und die Situation von Innen heraus betrachtet, aus der Sicht eines Sicherheits-Expertern, sieht es weniger rosig aus…
Mac-Bedrohungen haben sich entwickelt, Mac-Anwender haben ihre Sicht auf die Sicherheit geändert (aber nicht allzu stark) und die Hauptfrage ist, was erwartet uns in Zukunft? Also bringen wir, ganz trocken, Zahlen und Fakten für eine unvoreingenommene Analyse. Und wenn Sie für objektive, emotionslose Diskussionen zu haben sind – machen Sie in den Kommentaren mit!
Zunächst: Frontberichte.
Was war in der Welt der Mac-Bedrohungen in den letzten Jahren los? Ich beginne mit der folgenden Grafik, die die Zahl der schädlichen Dateien für OS X zeigt, die wir über die letzten Jahre entdeckt haben.
Wie Sie sehen können, lag der jährliche „Fang“ Schadprogramme vor vier Jahren gerade einmal bei 50, doch im Jahr 2011 gab es einen plötzlichen Sprung und seitdem liegt die jährlich entdeckte Menge in den Hunderten – fast schon Tausenden.
Doch was genau wird da gefangen?
Nun, in den ersten acht Monaten dieses Jahres entdeckten wir fast 1.000 einzigartige Angriffe auf Macs, die in 25 große Familien eingeteilt wurden. Hier die interessantesten davon:
- Backdoor.OSX.Callme – verteilt sich in einem speziell erstellten MS-Word-Dokument, das beim Öffnen mithilfe einer Sicherheitslücke eine Backdoor im System installiert, über das Angreifer Zugriff auf das infizierte System erhalten. Gleichzeitig stiehlt der Schädling Kontaktlisten, um neue Opfer zu finden.
- Backdoor.OSX.Laoshu – macht einmal pro Minute einen Screenshot. Der Schädling kommt mit einem vertrauenswürdigen Zertifikat des Entwicklers. Sieht so aus als hätten die Autoren geplant, den Virus im App Store hochzuladen.
- Backdoor.OSX.Ventir – ein multimodularer Spionage-Trojaner mit versteckter Fernbedienung. Er enthält einen Keylogger, der auf dem Open-Source-Treiber logkext basiert.
- Trojan.OSX.IOSinfector – Installer der mobilen Version des Spionage-Trojaners IPhoneOS.Mekir (OSX/Crisis) – ja, er infiziert iPhones.
- Trojan-Ransom.OSX.FileCoder– der erste Dateiverschlüsselungs-Schädling für OS X. Funktioniert gerade mal so – ein fehlerhafter Prototyp.
- Trojan-Spy.OSX.CoinStealer– der erste Bitcoin-stehlende Schädling für OS X. Tarnt sich als eine Gruppe von Open-Source-Bitcoin-Tools. In Wirklichkeit installiert er aber schädliche Browser-Erweiterungen und/oder eine gepatchte Version von bitcoin-qt (einem Open-Source-Tool für das Bitcoin-Mining).
#Schadprogramme für OS X, von denen Sie nie gehört haben (die aber auf Ihrem Mac sein könnten) Tweet
An dieser Stelle wäre eine logische Schlussfolgerung: Ok, ok, es gibt heute ein paar Schadprogramme für Macs, aber sind die wirklich eine ernste Gefahr für die Anwender? Wie wahrscheinlich ist die Infizierung eines ungeschützten Macs? Und welches ist das hartnäckigste Schadprogramm?
Dank dem Kaspersky Security Network (KSN) kennen wir die Antwort. Doch bevor wir die Zahlen analyiseren, noch ein wichtiger Hinweis: Diese Daten stammen exklusiv von den Anwendern unserer Produkte. Herauszufinden, wie Schadprogramme global verteilt sind, inklusive der Anwender anderer Sicherheitsprodukte und/oder der Anwender ohne Schutzssoftware, wäre eine undankbare und sehr ungenaue Aufgabe, die auf Hochrechnungen von Daten aus verschiedenen Quellen basieren würde. Nichtsdestotrotz ist es wertvoll, in den KSN-Daten zu graben, und wenn es nur etwas zutage fördert, über das wir bei der Kaffeemaschine reden können :).
Hier also die Top 20 der entdeckten OS-X-Schadprogramme 2013–2014 (weltweit):
Name | Anzahl der entdeckten Exemplare | % |
AdWare.OSX.Geonei.b | 56.271 | 39.15 |
Trojan.OSX.Vsrch.a | 28.222 | 19.63 |
AdWare.OSX.Geonei.d | 23.904 | 16.63 |
Trojan.OSX.Yontoo.i | 7.595 | 5.28 |
AdWare.OSX.FkCodec.b | 6.395 | 4.45 |
Trojan.OSX.Yontoo.h | 3.636 | 2.53 |
Trojan.OSX.Yontoo.j | 3.366 | 2.34 |
AdWare.OSX.Geonei.c | 2.889 | 2.01 |
Trojan.OSX.Yontoo.a | 2.079 | 1.45 |
AdWare.OSX.Geonei.e | 1.758 | 1.22 |
Trojan.OSX.FakeCo.a | 1.413 | 0.98 |
Trojan.OSX.Okaz.a | 1.126 | 0.78 |
Trojan-Downloader.OSX.Vidsler.a | 868 | 0.60 |
RemoteAdmin.OSX.AppleRDAdmin.c | 677 | 0.47 |
AdWare.OSX.Bnodlero.a | 656 | 0.46 |
Trojan.OSX.Yontoo.b | 633 | 0.44 |
AdWare.OSX.FkCodec.a | 609 | 0.42 |
Trojan-Downloader.OSX.FavDonw.c | 571 | 0.40 |
AdWare.OSX.Geonei.a | 544 | 0.38 |
Trojan.OSX.Yontoo.d | 533 | 0.37 |
Und hier die geographische Verteilung der iSchädlinge in der gleichen Zeit:
Wenn Sie sich nun die Zahlen oben genau ansehen, bemerken Sie, dass etwa die Hälfte der entdeckten Bedrohungen Adware ist, während zwei Drittel aller Schädlinge nur aus den ersten drei Schadprogrammen bestehen. Und die geographische Verteilung der iSchädlinge deckt sich mit der Beliebtheit von Macs. Das heißt, sie sind vor allem in den entwickelten Ländern aktiv, wo die potenziellen Opfer das meiste Geld besitzen. Noch etwas Seltsames: Der berühmte Flashback ist in den Top 20 gar nicht zu finden.
Was können wir also aus diesen Daten folgern?
Erstens: Cyberkriminelle finden es am einfachsten, Geld mit eher legalen (nun ja, fast legalen) Ansätzen zu machen. Hartnäckige Werbung bringt auch Geld – und verbunden mit großflächigen Infizierungen sogar viel Geld.
Zweitens: Die Autoren von OS-X-Viren sind spärlich gesät, aber dafür sehr erfahren. Anders als in der Windows-Virenszene, wurde bei den OS-X-Viren das kindische „Viren-zum-Spaß“-Alter umgangen und die Viren und ihre Schöpfer wurden direkt erwachsen – mit all den dazugehörigen, harten Schdaprogrammtricks, die dafür notwendig sind. Diese Jungs meinen es ernst, Leute! Man kann davon ausgehen, dass sie ihre Fähigkeiten zunächst auf der Windows-Plattform erworben haben und dann auf den Mac wechselten, um auf der Suche nach ungenutzten Möglichkeiten zum Geldmachen neue, unerforschte Gebiete zu erobern. Immerhin ist das Geld ja da und die Nutzer sind bei der Sicherheit relativ gleichgültig, so dass es eine Menge Möglichkeiten gibt – zumindest für die Black-Hat-Hacker, die ihre Kraft hier investieren wollen.
Drittens: Professionelle Spionagegruppen haben sich dem Apple-Betriebssystem wirklich angenommen. Viele APT-Angriffeder letzten Jahre arbeiteten mit Mac-Modulen, zum Beispiel Careto, Icefogund die zielgerichteten Attacken auf uigurische Aktivisten. Ja, wir sprechen hier über präzise Angriffe – exklusive, im Gegensatz zu Massen-Attacken –, die auf extra ausgewählte Opfer gerichtet sind; deshalb tauchen sie nicht in den Top 20 auf. Nicht, dass sie weniger gefährlich für Sie wären; vor allem, wenn Ihre Daten für Spione interessant sind.
Lassen Sie uns nun die Relevanz der oben gezeigten Statistiken prüfen.
Verglichen mit dem riesigen Ausmaß von Katastrophen in der Windows-Welt, sehen ein paar Hunderttausend entdeckte Bedrohungen in 18 Monaten gar nicht so schlimm aus, und man könnte leicht daraus folgern, dass da nicht wirklich eine Bedrohung vorliegt. Nun, es gibt fast keine Bedrohung. Aber bedeutet „fast keine“, dass die iAnwender entspannen und in Bezug auf die Sicherheit sich einfach auf Apple verlassen können? Mit anderen Worten, sich einfach nicht um die Sicherheit zu kümmern brauchen? Lesen Sie weiter…
Um zu verstehen, wer hier paranoid ist und wer nicht paranoid ist falsch liegt :), müssen wir uns noch einmal den KSN-Daten zuwenden. Diesmal, um die Stufe der Verseuchung zu betrachten – oder die Zahl der geschützten Macs mit der Zahl der einzigartigen Exemplare von Mac-Schädlingen zu vergleichen.
Im August lag die Wahrscheinlichkeit, sich einen iSchädling einzufangen, bei 3 Prozent. Nicht viel, verglichen mit der 21-prozentigen Wahrscheinlichkeit unter Windows (basierend auf den KSN-Daten). Dennoch bedeutet das, dass ein einziges iSchadprogramm zehnmal pro Jahr auf dem Mac eines aktiven Internetnutzers vorbeischaut.
Damit wird das Ganze interessanter…
Erstens: iNutzer werden nicht nur von iSchädlingen angegriffen. Manchen Attacken ist es egal, welches Betriebssystem auf einem Computer läuft. Dazu zählen zum Beispiel Phishingund Man-in-the-Middle-Angriffe. Und das sind sehr weitverbreitete Bedrohungen. Sie interessieren sich vor allem für die Bankkonten und verwendeten Web-Dienste der Anwender, sowie deren Aktivitäten auf Sozialen Netzwerken.
Zweitens: Macs werden immer mehr von Nicht-Mac-Bedrohungen verschiedener Art angegriffen – diese kommen durch Löcher in der Software von Drittanbietern, etwa Java, Flash oder Silverlight. Das sind keine Standardprogramme auf dem Mac, doch viele Anwender laden sie herunter und installieren sie, um alle Möglichkeiten des Internet nutzen zu können.
Es ist schwer zu sagen, wie hoch die Wahrscheinlichkeit eines Angriffs wäre, wenn wir alle Drittanbieterprogramme in Betracht ziehen würden. Aber ich denke, dass man mit Sicherheit sagen kann, dass sie ungleich höher wäre.
Mac-Viren sind nicht einzige Bedrohung für Macs. Es gibt auch Phishing, MITM & SicherheitslückenTweet
Drittens: Nun, dieser Punkt dreht sich nicht um Schadprogramme. Antivirus-Software ist schon lange kein Ding mehr, das uns unbemerkt im Hintergrund vor diesem oder jenem schützt. Moderne Antivirus-Lösungen enthalten viele andere nützliche Funktionen, die weit über das althergebrachte Konzept solcher Software hinausgehen. Zum Beispiel mit Kindersicherung, Passwort-Manager, WLAN-Prüfung, Webcam-Schutz und Hunderten weiterer Funktionen. Es stimmt, dass Mac-Sicherheitslösungen ihren PC-Cousins bei der Funktionalität hinterherhinken, doch langsam holen sie auf…
Und nun noch ein kleiner Blick in die Zukunft…
Zwei Fragen werden schon lange von vielen gestellt: Warum gibt es so wenige Schadprogramme für Macs, und wird es schlimmer werden?
Ich habe schon oft gesagt, dass es drei Bedingungen für die Existenz von Schadprogrammen auf einer bestimmten Plattform gibt: (i) die Plattform muss eine unsichere Architektur und damit Sicherheitslücken haben; (ii) sie muss ziemlich verbreitet sein; und (iii) sie muss Tools zur Programmentwicklung durch Drittanbieter bieten. OS X patzt nur bei Punkt (ii).
„Ha!“ ruft der wissende Leser. Es gibt mittlerweile 80 Millionen Computer, auf denen Mac OS läuft! Das ist doch wohl weitverbreitet genug? Möchte man meinen. Doch auf der anderen Seite stehen 1,5 Milliarden Windows-Computer!
Ich habe schon über die Ökonomie des Computer-Undergroundgeschrieben. Es gibt eine Grundregel, die für alle Betriebssysteme gilt, auch für OS X: Für Cyberkriminelle ist es nicht sinnvoll, ihre Ressourcen auf vertrackte, weniger beliebte Betriebssysteme zu verschwenden, wenn Millionen fruchtbarer Windows-Computer vor ihnen liegen – manche immer noch ohne Antivirus, viele ohne aktuelle Updates und andere mit kostenlosen – allerdings löchrigen – Antivirus-Programmen. Anders gesagt: Bei Windows lockt das schnelle Geld. Warum sollte man sich das Ganze schwer machen (mit OS X)?
Wir sollten uns stattdessen ansehen, wo die kritische Masse liegen könnte – bei der „kleinere“ (nach Marktanteil) Betriebssysteme wie OS X ökonomisch interessant werden. Ich habe früher erwähnt, dass fünf bis sieben Prozent der weltweit installierten Basisdie Grenze der kritischen Masse sein müsste. Aber das stellte sich als zu niedrig heraus. In diesem Jahr kam OS X nah an die 10 Prozent heran und dennoch hat sich in Bezug auf die nichts wenig machenden Virenschreiber kaum etwas verändert – abgesehen von ein paar wenigen Regungen: tollpatschige, zögernde und Proof-Of-Concept-Regungen.
Wenn man den Trend extrapoliert, könnt Apple in drei Jahren bis zu 15 Pozent Marktanteil haben. Wird das der Auslöser für mehr iSchadprogramme sein?
Ich weiß es nicht. Für einen starken Anstieg wird es wahrscheinlich nicht sorgen. Aber auf jeden Fall für einen Antstieg. Hat jemand eigene Voraussagen dazu?
Was wird also passieren, wenn der Marktanteil von OS X schließlich die kritische Masse erreicht?
Ich denke, dass zunächst ein paar große Epidemien ausbrechen werden, die zahIreiche Opfer und größere finanzielle Verluste nach sich ziehen werden. Dann wird es eine Kettenreaktion geben – Virenschreiber werden sich gegenseitig kopieren, wenn sie merken, wie machbar und profitabel Angriffe auf OS X geworden sind. Und sie werden in Massen auf die Plattform strömen.
Ein weiteres mögliches Szenario könnte sein, dass die Dinge durch eine APT-Attacke gegen OS X langsam außer Kontrolle geraten; zum Beispiel mit einem globalen Virenausbruch, der durch einen Fehler eine nichtdokumentierte Funktion eines Schadprogramms oder das Öffentlichwerden der Technologie eines Angriffs ausgelöst wird, wodurch sich das Ganze im Computer-Underground verbreitet und Massen von geklonten Schädlingen nach sich zieht.
Die wahre Situation bei der Mac-Sicherheit ist schwer einzuschätzen, denn die meisten Mac-Anwender sind sich der Heiligkeit und Unfehlbarkeit ihres liebsten Computerherstellers nach wie vor absolut sicher. Daher ist unbekannt, was wirklich auf Zig-Millionen von ungeschützten Macs vor sich geht. Das ist in etwa so wie der Unter-Wasser-Teil eines Eisbergs. Und manchmal bringt dieser Teil unerwartete und unerfreuliche (Titanic!) Überraschungen, wie den Flashback-Wurm im März 2012. Doch welche Schadprogramm gibt es da noch? Was machen diese? Und wer zieht die Fäden – die üblichen Cyberkriminellen oder Schreibtischtäter, die Programmierer kaufen? Alles interessante Fragen, und wir werden Schritt für Schritt die Antworten dazu herausfinden. Aber dazu brauchen wir Ihre Hilfe. Wir können Sie nicht zur Sicherheit zwingen. Also achten Sie bitte selbst auf Ihre Sicherheit – machen Sie zumindest den ersten Schritt und ändern Sie Ihre Einstellung zum Mac-Schutz!
In der Zwischenzeit hier noch ein paar einfache Tipps für die Sauberkeit und den Schutz Ihres Macs.
Ein paar einfache Tipps für die Sauberkeit und den Schutz Ihres Macs.Tweet
Das war’s erstmal mit der Diskussion über Mac-Sicherheit – aber bleiben Sie dran. Von dieser Front wird es sicher bald Neues zu berichten geben – und das wird noch interessanter sein…
P.S.: Wow, das war schnell! Das Neue von dieser Front kam schneller als erwartet!…
Forscher haben eine massive Sicherheitslücke in Bashgefunden, die Linux, Unix und – Sie haben es sich schon gedacht – OS X betrifft. Patches werden bereits hastig erstellt, doch bisher gibt es da keinen großen Fortschritt. Lassen Sie uns nicht vergessen, dass Unix auf vielen industriellen Kontrollsystemen und in vielen Energienetzen weltweit eingesetzt wird. Kann sich jemand an Blaster erinnern? Damals veröffentlichte Microsoft einen Patch bereits Monate vor der Katastrophe… und mit dem Wort „Katastrophe“ übertreibe ich nicht – es handelte sich um einen riesigen Stromausfall im Osten der USA.