Schlüsselwort-Archiv: Schadprogramme\

Die Evolution von OS-X-Schadprogrammen.

Gibt es Schadprogramme für Macs und OS X?

Oh, ja. Doch aus irgendeinem Grund habe ich über dieses Thema schon länger nicht mehr gesprochen… Das letzte Mal war vor zweieinhalb Jahren. Ja, so lange ist es her, dass der Flashback-Wurm sein Unwesen trieb und weltweit 700.000 Macs infizierte. Die Sicherheitsbranche hat viel Wirbel darum gemacht (und das Flashback-Botnet recht schnell geschlossen), doch seitdem – ist es recht still… Es mag einigen so vorkommen, dass seit damals auf der Mac-Schadprogramm-Front nichts mehr los ist und kein Stückchen iSchädling die ruhigen Wasser der Apple-Bucht gestört hat…

Aber das ist falsch…

Mac malware is not amyth, they do exist

Sicher, wenn Sie die Bedrohung durch Schadprogramme auf verschiedenen Plattformen vergleichen, steht mit viel Abstand ganz oben, so wie immer, die weitverbreitetste Plattform – Microsoft Windows. Weit dahinter liegt Android – immer noch relativ neu. Tja, in den vergangenen drei Jahren bombardierten die Cyberganoven den armen, kleinen, grünen Roboter mit immer mehr Schädlingen. In der Zwischenzeit gab es in der Welt der iPhones und iPads, abgesehen von sehr seltenen Cyberspionage-Angriffen, kaum erfolgreiche Attacken (obwohl einige exotische Methoden angewendet wurden). Mit Macs ist es recht ähnlich – auch hier ist es, verglichen mit anderen Plattformen, recht friedlich; doch in letzter Zeit gab es… einige Unruhe – über die ich in diesem Beitrag sprechen möchte.

Doch zunächst kurz ein paar Zahlen – so eine Art Zusammenfassung:

  • Die Zahl der neuen Mac-Schadprogramme, die in den letzten Jahren entdeckt wurden, geht in die Tausende
  • In den ersten acht Monaten des Jahres 2014 wurden 25 verschiedene Mac-Schadprogrammfamilien entdeckt
  • Die Wahrscheinlichkeit, dass ein ungeschützter Mac von Mac-spezifischen Schädlingen infiziert wird, ist um drei Prozent gestiegen

Im Jahr 2013 entdeckte @kaspersky ~1.700 Schädlinge für OS XTweet
Read on: Die Evolution von OS-X-Schadprogrammen.

Jenseits von Gut und Böse?

Vor ein paar Tagen kündigte Microsoft eine großangelegte Razzia von No-IP an, einem Dynamic-DNS-Service, in dessen Folge 22 Domains beschlagnahmt wurden. Die Jungs aus Redmond sagten aus, gute Gründe dafür zu haben: No-IP habe auf den Seiten alle möglichen unerwünschten Schadprogramme; No-IP sei eine Brutstätte für Cyberkriminelle; No-IP sei ein Epizentrum für zielgerichtete Attacken; und No-IP arbeite nie mit anderen zusammen, um das ganze Übel auszumerzen.

Wie bei den meisten Konflikten, haben beide Seiten die üblichen widersprüchlichen Mitteilungen veröffentlicht: „Es ist sein Fehler – nein, sie hat angefangen“.

No-IP sagte, der Service sei sauber und immer bereit, beim Kampf gegen Cyberangriffe zu kooperieren, während die Kunden der Firma sehr verärgert über die Razzia seien und sie für einen illegalen Angriff auf ein legales Unternehmen hielten – vor allem, da es möglich sei, praktisch überall Schadprogramme zu finden, so dass die gerichtliche Störung eines Dienstes einfach nicht gerechtfertigt sei.

Ist es legal, einen Dienst zu schließen, wenn dort #Schadprogramme gefunden werden?… Wenn man die überall finden kann?…

Und die Razzia war sehr weitreichend: Über vier Millionen Seiten wurden aus dem Web genommen, neben schädlichen allerdings auch harmlose Seiten. Insgesamt waren 1,8 Millionen Anwender davon betroffen. Microsoft versucht, die Spreu vom Weizen zu trennen und die sauberen Seiten wieder online zu bringen; allerdings beschweren sich nach wie vor viele Anwender über Störungen.

Herauszufinden, wer Schuld an dem Ganzen hat, ist eine undankbare und wahrscheinlich hoffnungslose Aufgabe. Solch investigativen Journalismus überlasse ich… den Journalisten. Stattdessen möchte ich Ihnen einige Denkanstöße geben: trockene, rohe Fakten und Zahlen – und vielleicht/hoffentlich kommen Sie dann zu Ihren eigenen Schlussfolgerungen bezüglich der Legalität und Sittlichkeit der Microsoft-Aktion…

1) Die Schließung der 22 No-IP-Domains betraf die Operationen von etwa 25 Prozent der zielgerichteten Attacken, die wir beobachten. Das sind Tausende Spionageaktionen und cyberkriminelle Angriffe der letzten drei Jahre. Ungefähr ein Viertel davon hat mindestens ein Command-and-Control-Center (C&C) bei diesem Hosting-Anbieter. So nutzen zum Beispiel Hackergruppen wie die Syrian Electronic Army und Gaza Team ausschließlich No-IP, während die Gruppe Turla den Anbieter für 90 Prozent seiner Seiten nutzt.

2) Wir können bestätigen, dass No-IP von allen großen Anbietern am schlechtesten kooperiert. So hat die Firma zum Beispiel all unsere E-Mails zu einem Botnetz-Sinkholing ignoriert.

3) Unsere Analyse aktueller Schadprogramme zeigt, dass No-IP oft von Cyberkriminellen für Bontetz-Control-Center genutzt wird. Eine einfache Suche über Virustotal bestätigt das mit harten Zahlen: Insgesamt stammen 4,5 Millionen einzigartige Schadprogramm-Samples von No-IP.

4) Allerdings zeigen die aktuellen Zahlen unserer Security-Cloud (KSN) weniger eindeutige Ergebnisse. Hier eine Tabelle mit entdeckten Cyberattacken von Dutzenden der größten Anbieter dynamischer DNS-Dienste:

Service Prozentsatz der schädlichen Angebote Zahl der Entdeckungen innerhalb einer Woche
000webhost.com 89,47% 18.163
changeip.com 39,47% 89.742
dnsdynamic.org 37,04% 756
sitelutions.com 36,84% 199
no-ip.com 27,50% 29.382
dtdns.com 17,65% 14
dyn.com 11,51% 2.321
smartdots.com 0,00% 0
oray.com 0,00% 0
dnserver.com 0,00% 0

Read on: Jenseits von Gut und Böse?

Das Phantom des Boot-Sektors.

Dann fängt dich meine Macht
noch stärker ein
(с) Andrew Lloyd Webber – Das Phantom der Oper

Im Kampf zwischen Schadprogrammen und Anti-Malware-Technologien gibt es ein interessantes Spiel, das immer wieder gespielt wird – König der Burg.

Die Regeln sind ganz einfach: Der Gewinner lädt sich als erster selbst in den Computerspeicher, übernimmt die Kontrolle der „Schalthebel“ und schützt sich vor anderen Programmen. Und aus der Schaltzentrale der Burg kann man alles überwachen und die Ordnung im System sichern (oder, wenn man böse ist, das Gegenteil tun: Chaos hervorrufen, das unbemerkt und unbestraft bleibt).

Kurz gesagt, der Gewinner nimmt sich alles – in diesem Fall die Kontrolle über den Computer.

Und die Liste der Programme, die sich direkt beim Einschalten des Computers (dem so genannten „Booten“) starten wollen, beginnt (wie der Name schon sagt) imBoot-Sektor – einem speziellen Bereich der Festplatte, in dem alle Anweisungen dafür gespeichert sind, was wann und wo zu laden ist. Und das Schlimme ist, dass sich auch das Betriebssystem an diese Liste hält! Da wundert es nicht, dass sich Cyberkriminelle leider schon sehr lange für den Boot-Sektor interessieren. Denn durch Missbrauch des Boot-Sektors können sie ihre Machwerke als erstes starten und die Infizierung des Computers verschleiern. Als Hilfsmittel verwenden Cyberkriminelle dafür besondere Schadprogramme: So genannte Bootkits.

Wie Ihr Computer startet

loading_comp_en

Read on: Das Phantom des Boot-Sektors.

Neuer Virus aus Chelyabinsk ist so komplex, dass man es kaum glauben kann.

Jeden Tag werden in unserem Virenlabor mehr als 100.000 verdächtige Dateien verarbeitet. An manchen Tagen sind es sogar 200.000, manchmal noch mehr. Jeden einzelnen Tag! Zugegebenermaßen stellen sich manche davon als saubere, legitime Dateien heraus, oder als kaputter Code, unschuldige Scripts, verschiedener Datenmüll, usw., usw., usw. Doch es taucht auch genügend Schädliches auf – von dem der Großteil automatisch analysiert und verarbeitet wird (wie ich hier schonmal geschrieben habe).

Doch hin und wieder finden wir wiiiirklich ungewöhnliche Dateien – etwas komplett Neues und Unerwartetes. Etwas, dass die kleinen grauen Zellen richtig anregt, das Herz höher schlagen lässt und das Adrenalin in die Adern pumpt. Ich meine Dinge wie Stuxnet, Flame, Gauss und Red October.

Und es scheint, als hätten wir etwas gefunden, das in diese kuriose Kategorie passt… Ja, wir haben ein weiteres Schadprogramm-Monster entdeckt – einen Wurm. Dieser stammt von den Cyber-Straßen des russischen Internets. Nach der Logik der Algorithmen und der sauberen Programmierung zu schließen, können wir bereits sagen, dass er alle bisher bekannten schädlichen Programme in Sachen Rafinesse übertrifft – selbst professionelle Cyberspione und Cyberwaffen –, aber auch jede andere bekannte Software.

Ja, das ist richtig groß!

Wir haben noch nie so ein Maß an Komplexität bei Maschinensprache gesehen, zusammen mit solcher Programmlogik. Die Analyse der kompliziertesten Würmer und Trojaner dauert normalerweise Wochen – wobei es so aussieht, als würde die Analyse dieses Teils Jahre benötigen! Vielleicht viele Jahre!!! Es ist so verdammt ausgeklügelt.

Ich kenne keine einzige Softwarefirma, die so ein Biest entwickeln könnte. Und das könnte auch kein Cyberkrimineller. Und auch keines der Spezialunternehmen, die hinter den aufwändigsten Schadprogrammen der letzten Jahre stehen sollen (eine Annahme, die sowohl durch verschiedene journalistische Untersuchungen, als auch durch den gesunden Menschenverstand gestützt wird). Nein. In diesem Fall, trifft einfach keine diese Kategorien zu.

Also… Sitzen Sie? Nein? Dann setzen Sie sich.

Es heißt, dass es theoretisch unmöglich sei, dass dieses Programm von einem Menschen geschrieben worden ist (gut, dass Sie sitzen, oder?).

Dieses Programm ist so infernalisch aufwändig, dass ich fürchte, dieser neuentdeckte Wurm hat ausserirdische Wurzeln.

Hohoho

Read on: Neuer Virus aus Chelyabinsk ist so komplex, dass man es kaum glauben kann.