Mit den verschiedenen Beziehungen der Nutzer untereinander und gemeinsamen Gewohnheiten ist das Internet zu einem sozialen Knotenpunkt geworden, ähnlich einer virtuellen Nachbarschaft. Daran wollen auch die Bösen teilhaben, natürlich nicht mit freundlichen Absichten.

Als Schutz empfiehlt sich dringend der Einsatz einer Sicherheitslösung, aber genauso wichtig ist es, über die Gefahren Bescheid zu wissen. Trend Micros Infografik gibt einen guten Überblick über die unterschiedlichen Feinde in der virtuellen Nachbarschaft:

Im Laufe des Jahres 2011 wurde über viele Angriffe berichtet, so etwa über den auf RSA, wobei Daten zu RSA’s Secure ID gestohlen und für weitere Attacken genutzt wurden. Des Weiteren gab es Berichte zur Operation ShadyRAT, welche die Langlebigkeit von Command & Control-Infrastrukturen demonstrierte, oder zu Nitro und Night Dragon, die zeigten, dass Angreifer sich auf bestimmte Industriezweige konzentrieren.
Auch über Trend Micros Erforschung der Lurid-Angriffe wurde viel geschrieben. Diese Attacken führten vor, dass Angreifer an Zielen außerhalb der USA interessiert sind und vor allem, dass es keine Einzelangriffe mehr sind, sondern „Kampagnen“.
Daneben jedoch sind noch viele APT-Gefahren erforscht worden, über die nicht öffentlich geschrieben wurde. Hier sind die Top-Themen:

• Die “Contagio Dump”- und “Targeted Email Attacks”-Blogs – Mila Parkour und Lotta Danielsson-Murphy haben viele Informationen zu der Forschung in diesem Bereich veröffentlicht. Während bösartige Binaries häufig für eine Analyse zur Verfügung stehen, ist der Inhalt der mit Social Engineering-Techniken infizierten E-Mails meist schwer nachvollziehbar. Diese Blogs liefern einzigartige Einsichten in diese Art von gezielten Angriffen.
• Der CyberESI-Blog – Hier gibt es detaillierte Analysen einiger der erfolgreichsten Malware-Familien.
• “Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kiill Chains” – Hutchins, Cloppert, und Amin erklären hier – allerdings sehr akademisch – wie die Phasen eines Angriffs nachvollzogen werden können und wie mehrfache Vorfälle in eine Kampagne einzuordnen sind. Für jeden, der APT-Angriffe erforschen will, eine Pflichtlektüre.
• „1.php“ – ist ein Bericht von Zscaler über eine bestimmte Kampagne. Die Autoren analysieren die C & C-Infrastruktur und präsentieren die Ergebnisse als Grundlage für Verteidigungsmaßnahmen.
• Sykipot – AlienLabs dokumentiert die Trends, die sich aus der Kampagne ableiten lassen, beschreibt aber auch die Exploits, die Schädlinge und die von den Angreifern genutzte C & C-Infrastruktur. Interessant an diesem Bericht sind auch die Spekulationen über einen Cyberkrieg Chinas gegen die USA – oder anders rum?
• “What is an APT without a sensationalist name?” – Seth Hardys Präsentation auf der SecTor 2011 lieferte einen längst überfälligen kritischen Blick auf den Hype rund um APT, aber auch eine detaillierte technische Analyse des Schädlings “SharkyRAT”.
• “Moli Hua” – Greg Walton dokumentierte einen Angriff auf Journalisten, be idem Facebook und ein MHTML-Exploit für Gmail genutzt wurden, über den die Angreifer ihre eigenen E-Mail-Adressen als “delegierte Konten“ hinzufügen konnten

ICS (Industrial Control Systems)-Netzwerke haben seit dem letzten Jahr durch Sicherheitsprobleme und Angriffe darauf Schlagzeilen gemacht. Unter ICS-Netzwerken versteht man eine Sammlung von Netzwerken mit Elementen für die Bereitstellung und Kontrolle von Telemetriedaten zu elektromechanischen Komponenten wie Ventilen, Regler oder Switches. Sie werden vor allem in Industriezweigen wie der Öl- und Gasproduktion, in der Wasserwirtschaft, Umgebungskontrollsystemen, Elektrizitätswerken, in der Fertigung oder im Transportwesen verwendet.
All den ICS-Umgebungen ist gemeinsam, dass sie nicht „traditionelle“ IT-Netzwerke darstellen und auch nicht als solche behandelt werden sollten. Durch ihre Einzigartigkeit haben sie die gleichen Sicherheitsherausforderungen, die durch die Interaktion der ICS-Elemente mit physischen Industriekomponenten noch größer werden.
Ist der Zugang zu diesen Elementen nicht entsprechend abgesichert und eingeschränkt, kann es zu Unfällen mit katastrophalen Auswirkungen kommen. Deshalb werden viele dieser Industriesysteme auch als „kritische Infrastruktur“ eingestuft, die einer speziellen Sicherheitsarchitektur bedarf.
Supervisory Control and Data Acquisition (SCADA)-Netzwerke stellen die Netzwerkschicht dar, als direkte Schnittstelle zu den ICS-Netzwerken und den Host-Systemen, die die ICS-Elemente überwachen und kontrollieren. Bislang lebten die SCADA/ICS-Netzwerke in einer eigenen Welt von proprietären Protokollen auf speziellen Plattformen und einer darauf zugeschnittenen Kommunikationsinfrastruktur. Sie waren von anderen Netzwerken, einschließlich Internet, vollkommen abgeschnitten. Doch nun wird immer häufiger Standard-Hard- und Software (beispielsweise Microsoft Windows) eingesetzt, und sie sind mit externen Netzwerken verbunden. Damit aber sind sie auch den aus der IT bekannten Gefahren ausgesetzt.
Das technische Whitepaper “Towards a More Secure Posture for Industrial Control Systems” beschreibt die Grundelemente einer für diese Systeme erforderlichen Sicherheitsarchitektur. Dabei unterscheiden die Autoren des Papiers zwischen ICS-Netzwerken und SCADA-Funktionalität. Das ICS-Netzwerk besteht vor allem aus programmierbaren, logischen Controllern und anderen DCS-Elementen. Das SCADA-Netzwerk wiederum bildet eine „Brücke“ zwischen den ICS- oder DCS-Sensoren und den Managementsystemen, die deren Betrieb überwachen und kontrollieren.
Zu den kritischen Sicherheitsmaßnahmen gehört in erster Linie die strenge sowie zeitnahe Handhabung der Software-Patches für Sicherheitslücken, denn die Zahl der Exploits für bestimmte ICS- und SCADA-Plattformen steigt stetig. Nicht nur das Betriebssystem, sondern jedes Softwarepaket, das auf einem Gerät installiert wird (einschließlich Netzwerkmanagement-Plattformen, Router, Switches, Firewalls, Intrusion Detection Systems usw.), muss beim Patch-Management berücksichtigt werden.
Von grundlegender Bedeutung für die ICS-Sicherheit ist auch die geeignete Segmentierung und Verteilung der Netzwerke, Betriebsfunktionen und Einzelelemente. Unter anderem empfiehlt sich ein DMZ-Managementnetzwerk als zusätzliche Segmentierungsschicht. In enger Verbindung damit stehen auch Maßnahmen wie Authentifizierung, Log-Management und -Analyse, Anwendungskontrolle, Netzwerkzugangskontrolle und andere.
Für die Zugriffskontrolle empfiehlt der Autor eine spezielle Firewall, die zwischen die SCADA- und DMZ-Managementnetzwerke gesetzt wird. Sie erlaubt den Verkehrsfluss nur in eine Richtung.
Anwendungs-White-Listing stellt einen weiteren wichtigen Kontrollmechanismus dar, sodass lediglich vorher autorisierte Programme laufen dürfen. Damit soll verhindert werden, dass durch böswilliges oder unaufmerksames Verhalten von Anwendern Malware oder infizierte Programme eingeschleust werden.
Schließlich sollte ein Intrusion Detection System sowie das Log-Management und die Analyse von Sicherheits- und Ereignisinformationen nicht fehlen. Weitere Einzelheiten sowie Best Practices zur Absicherung der kritischen Infrastruktur liefert das Whitepaper.

Das Jahr 2011 brachte sowohl Herausforderungen als auch Erfolge nicht nur für Trend Micro, sondern auch für die anderen Sicherheitsanbieter und die behördlichen Mitstreiter im Kampf gegen Cyberkriminalität. 2011 wurde, wie von unseren Sicherheitsforschern vorhergesehen, zum „Jahr der Dateneinbrüche“. Weltweit wurden Unternehmen Opfer von gezielten Einbruchsangriffen und erlitten hohe Datenverluste, der neuen digitalen Währung.
Als Vorbereitung auf das kommende Jahr lohnt es sich, einen Blick auf die von Trend Micro getätigten Vorhersagen zu werfen und auf das, was tatsächlich eingetreten ist.

• Es wird mehr zielgerichtete Angriffe und Cyberspionage geben. Wie prognostiziert, wurden weltweit einige Unternehmen Opfer von zielgerichteten Angriffen, die sie teuer zu stehen kamen. RSA und Sony PlayStation – zwei der größten Angriffsziele 2011 – verloren Millionen Kundendaten und mussten Riesensummen aufbringen, um den Schaden zu beheben.
• Es wird mehr Angriffe auf mobile Geräte geben. Der enorme Anstieg der Android-Malware hat die Reife der mobilen Bedrohungslandschaft begünstigt. Mit Trojanern infizierte und andere Arten von bösartigen Android-Apps haben nicht nur die App Stores von Drittanbietern verseucht, sondern auch den Android Market selbst. Die prominentesten Schädlingsfamilien 2011 waren RuFraud- und DroidDreamLight-Varianten.
• Ausgeklügelte Malware-Kampagnen werden zunehmen. Cyberkriminelle haben weltweit Nutzer von sozialen Netzwerken mit noch mehr Aufsehen erregenden Spam- und Betrugsangriffen sowie innovativen Tools über Social Engineering überrollt. Diese Attacken haben Tausende von Nutzern ihre vertraulichen Daten und sogar die persönlichen Informationen gekostet.
• Die Ausnutzung von Sicherheitslücken und Exploits wird weitergehen. Obwohl die Zahl der ausgenützten Sicherheitslücken, über die berichtet wurde, rückläufig war, haben die Kriminellen weiter eine ganze Reihe von Exploit-Angriffen gestartet. Die drei am häufigsten ausgenützten Sicherheitslücken — VE-2011-3402, CVE-2011-3544 und CVE-2011-3414 – betrafen Produkte von drei der Top fünf Anbieter, nämlich Microsoft, Oracle und Adobe.
• Es wird neue Infektionen mit alter Malware geben und der kriminelle Untergrund wird sich konsolidieren. Traditionelle Bedrohungen haben auch 2011 Nutzer großen Schaden zugefügt. Als Mittel, um an Daten, Geld oder Identitäten heranzukommen, nutzen sie neue und bessere Werkzeuge und infizieren damit die Systeme und Geräte unwissender Nutzer.

Die Sicherheitsforscher haben zwar Hacktivismus für 2011 nicht prognostiziert, doch es gab eine ganze Reihe an Masseninfektionen durch AntiSec- und LulzSec-Angriffe. Hacktivistengruppen waren bei ihren Angriffen unter anderem auch politisch motiviert.
Doch insgesamt war 2011 kein so schlechtes Jahr, denn es gab auch Erfolge im Kampf gegen Cyberkriminalität. In enger Zusammenarbeit mit Partnern und den Behörden stand Trend Micro an vorderster Front in der Aktion „Operation Ghost Click“, bei der der bislang größte cyberkriminelle Ring ausgeschaltet wurde.
Weitere Einzelheiten zu den Sicherheitsvorfällen im vergangenen Jahr finden sich im Report “A Look Back at 2011: Information Is Currency”.

Während der vergangenen Woche überschlugen sich im Internet die Kommentare zu den Risiken und Datenschutzfragen im Zusammenhang mit Carrier IQ. Die Anwendung ist anscheinend auf verschiedenen Mobilgeräten vorinstalliert und überwacht die Performance des Netzwerks und des Handsets.

In den Veröffentlichungen ging es um mehrere Problemstellungen rund um die Art der Informationen, die die Software sammelt, um die Tatsache, dass die Anwendung ohne Zustimmung des Nutzers auf den Geräten vorinstalliert ist sowie darum, was Nutzer dagegen tun können.

Den Berichten zufolge speichert Carrier IQ Daten zu gesendeten und erhaltenen Textnachrichten, durchgeführten Suchläufen und in das Gerät eingegebenen Telefonnummern. Der Forscher Trevor Eckhart hatte mit einem von ihm veröffentlichten Video, das die Arbeit mit diesen Logs zeigt, die Diskussion um die Anwendung angestoßen.

Gehört alles zum Service

Die Funktionsweise von Carrier IQ ist durchaus sinnvoll. Die Anwendung ist auf das Monitoring der Leistung des Netzwerks und des Handsets ausgerichtet. Die Performance des Carriers aber lässt sich nur dadurch messen, dass die angebotenen Dienste, also Anrufe, Internetverbindungen, der Textnachrichtendienst und weitere Leistungen, geprüft werden. Dafür ist es erforderlich, die angebotenen Dienste effizient zu überwachen und auch Troubleshooting durchzuführen.

Rik Ferguson, Director Security Research & Communication EMEA, von Trend Micro erklärt zudem, dass die Inhalte in Eckharts Video zu einem guten Teil in dem verbose Debugging-Modus erzeugt wurden und damit die Art der Implementierung von Carrier IQ auf den verschiedenen Geräten nicht korrekt widerspiegeln.

Dem Hersteller zufolge loggt Carrier IQ keine Tastenbewegungen in SMS, sondern erkennt nur Tastendruck-Sequenzen, die als lokale Befehle für die Anwendung agieren, so zum Beispiel „upload diagnostics now”. Zwar überwacht die Software ankommende SMS, doch auch hier geht es um Nachrichten, die vom Carrier kommen und als Befehle für Carrier IQ dienen.

Laut Aussage des Herstellers rangiert die Software nichtrelevantes Material aus, noch bevor es von der lokalen App verarbeitet oder gar vom Carrier hochgeladen wird. Daher könne die Anwendung kein nennenswertes Risiko für den Datenschutz darstellen.

Die öffentliche Reaktion auf das Eckhart-Video zeigt, dass die Leute sich des Ausmaßes der Abhängigkeit der Funktionalität eines Telefons vom Carrier gar nicht bewusst sind. Anscheinend haben die meisten vergessen, dass jede Textnachricht, jeder Anruf und jeder Internet-Suchlauf mit der Weitergabe der Informationen an verschiedene Stellen verbunden ist.

Die Einwilligung des Nutzers ist unumgänglich

Das tatsächliche Problem um Carrier IQ besteht in der Notwendigkeit einer informierten Einwilligung, denn die Anwendung ist vorinstalliert, wird automatisch und vom Nutzer nicht erkennbar ausgeführt. Die Menschen aber wollen ihren Datenschutz berechtigterweise selbst bestimmen.
Carrier IQ ist kein bösartiges Programm, und seine Routinen werden benötigt, doch die Einwilligung des Nutzers zur Installation des Programms und seiner Funktion ist ebenso erforderlich. Anwender sollten immer darüber informiert werden, wenn ihre persönlichen Daten an Dritte weitergeleitet werden, und sie müssen auch die Möglichkeit haben, dies zu verhindern.

Potenzielle Gefahren

Rik Ferguson sieht als größtes Risiko durch Apps wie Carrier IQ die damit für Kriminelle verfügbare „Monokultur“. Sollten sie eine auszubeutende Sicherheitslücke in Carrier IQ finden, so stellt die riesige installierte Basis natürlich ein sehr attraktives Ziel dar. Für Ferguson ist dies das am schwersten wiegende Argument gegen die Implementierung desselben Codes durch mehrere Carriers – ohne dass der Anwender die Möglichkeit bekommt, sich dagegen zu wehren. Hinzu kommen die übertrieben langen Zeitspannen, die Carrier für das Rollout von Updates eingeführt haben, aber auch die verschiedenen Android-Varianten, die das Risiko erhöhen.
Für Nutzer, die wissen wollen, ob Carrier IQ auf ihren Geräten installiert ist, hält Trend Micro hier ein Tool zum Herunterladen bereit.

Quelle: johnsnape’s Flickr

Visas 2001 eingeführtes Sicherheitsprotokoll 3DS  (3 Domain Secure) war ein Versuch, den Kreditbetrug beim Online-Einkauf einzudämmen. Das Protokoll ist besser bekannt unter den Bezeichnungen, die es bei den verschiedenen Kreditkartenherausgebern erhielt: „Verified by Visa“, „Mastercard Secure Code“, “J/Secure” (JCB International) und “SafeKey” (American Express). Leider stellt 3DS keinerlei Hürde für Betrüger dar – zumindest nicht in der Art, wie die Kartenanbieter das Protokoll implementieren.

Visa schreibt in „Haben Sie noch Fragen“ auf der Website: „Verified by Visa schützt Ihre Karte vor unautorisierten Transaktionen und bietet Ihnen umfassende Sicherheit beim Online-Shopping.“ Und weiter an anderer Stelle: „Sie können Ihr Passwort zurücksetzen lassen.“ Hier aber liegt das Problem.

Es handelt sich um eine sehr grundlegende Design-Sicherheitslücke. Tätigt ein Verbraucher einen Einkauf bei einem Händler, der an diesem Programm teilnimmt, so wird er in der Bezahlphase an eine 3DS-Verifizierungsseite weitergeleitet. Hier muss er die Einzelheiten der Transaktion bestätigen, sein Kennwort angeben, und damit ist die Transaktion komplett. Der Händler bekommt das Kennwort nie zu sehen, und keine Transaktion kann ohne dieses Passwort durchgeführt werden. Soweit so gut , aber …

Was würde ein Krimineller tun, der zwar die Karteninformationen des Verbrauchers hat, aber nicht sein Kennwort? Hier kommt ihm der Link „Passwort vergessen“ gerade recht. Im ersten Schritt beim Zurücksetzen des Kennworts muss der Karteninhaber seine Kartennummer angeben, damit das Passwort des richtigen Kontos geändert wird. Danach werden weitere Daten abgefragt, die beweisen, dass es sich um den legitimen Inhaber handelt. Folgende Abbildung zeigt die Identifizierungsphase:

Der zweite Schritt beim Zurücksetzen des Kennwort

Nun, das sieht gar nicht gut aus! Drei von vier Informationen, die die Identität prüfen sollen, sind auf der Kreditkarte an sich enthalten, sei es gedruckt oder auf dem Magnetstreifen. Was, wenn der Kriminelle bereits Zugriff darauf hat? Übrig bleibt eine einzige, nicht auf der Karte vorhandene Information. Die jedoch ist nicht nur weit verbreitet in sozialen Netzwerken, Umfragen und an vielen anderen Orten, sie ist auch frei verfügbar in öffentlichen Datenbanken: Es ist das Geburtsdatum.

Nach Angabe der erforderlichen Informationen kann der Verbraucher jetzt ein neues Kennwort seiner Wahl angeben – und damit ist die Transaktion autorisiert. Schlimmer noch, der Karteninhaber erhält keine Mail-Benachrichtigung darüber, dass auf sein Konto zugegriffen und sein Kennwort geändert wurde. Erst ein Blick in die Kontoauszüge offenbart den Schaden.

Verbesserungsvorschläge? Es wären lediglich ein paar wirklich grundlegende Schritte in diesen Prozess einzubauen:

• Bei der Anmeldung an dieses Sicherheistssystem sollte der Karteninhaber eine Reihe “geheimer Fragen” festzulegen haben, die später als Authentifizierungsdaten beim Ändern eines Kennworts dienen können.
• Anstatt sich zum Reset-Menü durchzuklicken, könnte der Kartenhalter per Mail ein einmaliges Kennwort für das Zurücksetzen bekommen.
• Sobald eine Änderung der Konteninformationen angefragt wird, sollte der Inhaber ein Benachrichtigung darüber erhalten.

Und noch etwas: Es wäre schön, wenn das Kennwort Sonderzeichen enthielte.

Letzte Woche kündigte Mozilla die neue Version 8 des Firefox-Browsers an mit einem der bislang bedeutendsten Sicherheits-Updates. Auf der anderen Seite jedoch könnte die neue Twitter-Einbindung in den Browser neue Gefahren für die Nutzer bringen.

In den vergangenen Monaten hatte Mozilla eine neue Update-Strategie für den Browser eingeführt: Statt Jahr für Jahr eine komplett überarbeitete Version der Software zu veröffentlichen, kommen die neuen Releases immer häufiger, und zwar alle sechs Wochen, und umfassen nur kleinere Verbesserungen. So kommt es, dass es seit März 2011 bereits fünf neue Versionen von Firefox gegeben hat. Ziel dieser Arbeitsweise – die übrigens auch Google mit dem Chrome-Browser anwendet — ist es, den Nutzern neue Funktionalität schneller zur Verfügung zu stellen.

Sicherheits-Fixes

In Firefox 8 hat Mozilla sieben Sicherheitslücken beseitigt und eine Funktion eingeführt, die Addons von Drittanbietern standardmäßig deaktiviert. Auch ist Twitter tiefer integriert worden – eine mögliche neue Gefahrenquelle. Vier von den sieben Sicherheits-Updates werden als kritisch eingestuft und drei haben eine hohe Priorität. Mittlerweile bedeutet eine Sicherheitslücke mit der Stufe hohe Priorität, dass ein Datendiebstahl von den aufgerufenen Sites oder Code Injection möglich ist. Eine dieser Lücken betrifft lediglich Mac-Nutzer, und Mozilla behauptet, es sei eher ein OS X-Hardware-Fehler als eine Browser-Lücke. „Schuld an dem Problem ist ein Fehler im Treiber für die Intel GPUs. Das Problem zeigt sich in WebGL-Implementierungen von anderen Anbietern“, erklärt Claus Wahlers von Mozilla.

 Addon Management

Die bemerkenswerteste Änderung in der Software betrifft das Addon Management. Es wurde bereits in der Beta-Version eingeführt und ist nun offiziell in Firefox 8 eingebunden. Die Funktion lässt Nutzern die Wahl, Addons von Drittanbietern mit einzubinden. „Beim Herunterladen von Fremdsoftware kommt es häufig vor, dass ein Addon sich unbemerkt im Browser installiert hat“, stellt Mozilla in einem Blog fest. „Wir sind jedoch der Ansicht, dass Nutzer die Kontrolle über Addons haben sollen. Deshalb lassen wir es nicht länger zu, dass sich Addons ohne Erlaubnis des Nutzers im Browser installieren.“

Die Funktionalität sollte nicht nur die Performance des Browsers verbessern, sondern auch zusätzliche Sicherheit gewähren. Auch wenn die große Mehrheit der Addons von Drittanbietern harmlos ist, so gestaltet sich die Überprüfung dieser Anwendungen immer weniger streng. Damit aber wächst auch die Bedrohung.

 Twitter-Integration

Ein weiteres Highlight der neuen Version stellt die Einbindung von Twitter in die Suchleiste des Browsers dar. Frühere Versionen beinhalteten Google, Yahoo und andere Suchoptionen. Dies ist jedoch das erste soziale Netzwerk, das zu dem Mix hinzukommt. Der Vorteil laut Mozilla: Nutzer können dank der Hashtags und Twitter-Nutzernamen einfacher neue Themen und Twitter-Einträge recherchieren.

Doch Achtung: Twitter ist häufig anonym, und die Tweets enthalten Links auf externe Quellen. Ein Nutzer könnte sorglos einen Link anklicken, der auf eine bösartige Website zeigt, oder auch einen Virus herunterladen. Dies sollten die Browser-Nutzer im Hinterkopf behalten, wenn sie Twitter-Suchläufe starten.

Trotz der bemerkenswerten Verbesserungen in puncto Browser-Sicherheit, bleibt noch viel zu tun – sowohl auf Seiten von Mozilla als auch von den Nutzern. Beispielsweise könnte sich der Hersteller eine Funktionalität von Googles Chrome abgucken: Der Browser kann nämlich bestimmte bösartige oder verdächtige Websites erkennen und den Nutzer davor warnen, bevor dieser weiter geht. Dieses Feature ließe sich etwa auf schädliche Twitter-Einträge anwenden. Nutzer wiederum sollten darauf achten immer die neuesten Versionen ihrer Sicherheitssoftware aufzuspielen.

Diese neue Funktion des Addon-Managements betrifft auch das Plugin von Trend Micro Titanium Maximum Security. In der nächsten Version 5 wird es ein Update für Firefox 8 geben. Die Web Reputation Services im Smart Protection Network funktionieren jedoch auch unabhängig vom Plugin und blocken schädliche URLs.

Am 8. November konnten das FBI und die estnische Polizei in Zusammenarbeit mit Trend Micro und einer Reihe anderer Branchenpartner ein langlebiges Bot-Netz aus mehr als 4.000.000 Bots außer Gefecht setzen.

Im Rahmen der vom FBI als „Ghost Click“ bezeichneten Operation wurden zwei Rechenzentren in New York City und Chicago durchsucht und eine C&C-Infrastruktur (Command & Control) aus über 100 Servern abgeschaltet. Zur gleichen Zeit nahm die estnische Polizei in der Stadt Tartu in Estland mehrere Mitglieder fest. Unter diesem Link finden Sie die Pressemitteilung des FBI (in englischer Sprache).

Das Bot-Netz bestand aus infizierten Computern, deren DNS-Einstellungen so manipuliert worden waren, dass sie auf ausländische IP-Adressen zeigten. DNS-Server lösen menschenlesbare Domänennamen in IP-Adressen auf, die bestimmten Computerservern im Internet zugewiesen sind. Die meisten Internet-Benutzer verwenden automatisch die DNS-Server ihrer Internet-Service-Provider.

DNS-modifizierende Trojaner ändern die Computereinstellungen still und heimlich,‏ so dass ausländische DNS-Server verwendet werden. Diese DNS-Server werden von bösartigen Dritten installiert und übersetzen bestimmte Domänen in bösartige IP-Adressen. Das Ergebnis: Die nichts ahnenden Opfer werden unbemerkt auf potenziell bösartige Websites umgeleitet.

Kriminelle verwenden eine ganze Palette von Methoden, um aus dem DNS Changer-Bot-Netz Geld zu schlagen. Beispielsweise ersetzen sie Werbeanzeigen auf Websites, die von den Opfern geladen werden, „entführen“ Suchergebnisse und verbreiten zusätzliche Malware.

Wir bei Trend Micro wussten bereits seit 2006, wer mit aller Wahrscheinlichkeit hinter diesem Bot-Netz steckt, doch wir beschlossen, gewisse Daten und Einblicke unter Verschluss zu halten, um die Arbeit der Strafverfolgungsbehörden nicht zu behindern.

Jetzt, da die Hauptverantwortlichen festgenommen wurden und das Bot-Netz abgeschaltet wurde, können wir einige der von uns in den vergangenen fünf Jahren gesammelten Daten veröffentlichen.

Rove Digital

Die cyber-kriminelle Gruppe, die jeden Schritt von der Infizierung mit Trojanern bis hin zur Monetarisierung der infizierten Bots kontrollierte, war das estnische Unternehmen Rove Digital. Dabei handelt es sich um einen Mutterkonzern, dem eine Reihe anderer Unternehmen wie Esthost, Estdomains, Cernel, UkrTelegroup und weniger bekannte Mantelgesellschaften unterstellt waren.

Rove Digital ist ein scheinbar rechtmäßiges IT-Unternehmen mit Sitz in Tartu. In den Büros des Hauptsitzes gehen die Menschen tagtäglich ihrer ganz „normalen“ Beschäftigung nach – wie in Tausenden anderen Unternehmen auch. In Wirklichkeit aber steuert die Zentrale in Tartu Millionen infizierter Hosts rund um den Globus und macht Jahr für Jahr unrechtmäßig erworbene Millionengewinne mit ihren Bots.

Esthost, ein Reseller von Webhosting-Services, tauchte bereits im Herbst 2008 in der Presse auf. Damals ging das Unternehmen offline, als sein Provider Atrivo in San Francisco aufgrund von Klagen durch Privatpersonen dazu gezwungen wurde, vom Netz zu gehen. Zur gleichen Zeit verlor ein Domänenregistrierungsunternehmen von Rove Digital – Estdomains – seine ICANN-Akkreditierung, da der Eigentümer, Vladimir Tsastsin, in seiner Heimat Estland wegen Kreditkartenbetrugs verurteilt wurde.

Diese Aktionen waren das Ergebnis öffentlichen Drucks, der aus dem Verdacht entstand, dass Esthost in erster Linie mit Kriminellen Geschäfte machte. Rove Digital wurde gezwungen, die von Esthost bereitgestellten Hosting-Services einzustellen, nichtsdestotrotz aber setzte das Unternehmen seine kriminellen Machenschaften fort. Ihre Lektion lernten die Köpfe, die hinter Rove Digital steckten, erst, als sie die C&C-Infrastruktur weltweit verbreiteten und einen Großteil der zuvor bei Atrivo gehosteten Server zum Rechenzentrum Pilosoft in New York City verschoben, wo bereits einige ihrer Server gehostet wurden.

Im Jahr 2008 war es kein Geheimnis mehr, dass viele der Kunden von Esthost Kriminelle waren. Nicht bekannt aber war, dass sowohl Esthost als auch Rove Digital intensiv in cyber-kriminelle Machenschaften verwickelt waren.

Trend Micro war bekannt, dass Rove Digital nicht nur Trojaner hostete, sondern auch C&C-Server und bösartige DNS-Server sowie die Infrastruktur steuerte, über die aus den betrügerischen Klicks des DNS Changer-Bot-Netzes Geld gemacht wurde. Neben den DNS-modifizierenden Bot-Netzen verbreiteten Esthost und Rove Digital auch FAKEAV- und Trojaner-Klicker. Außerdem waren die Unternehmen in den Online-Verkauf fragwürdiger Medikamente und andere Cybercrimes verwickelt, die in diesem Blog nicht weiter erläutert werden.

Die Beweise, die wir in den letzten Jahren zusammengetragen haben, lassen keinen Zweifel daran, dass Esthost und Rove Digital unmittelbar in Cybercrime und Betrug zu tun haben. Erste Verdachtsmomente basierten auf schlichten aber eindeutigen Hinweisen:

Indikatoren für cyber-kriminelle Aktivitäten

Im Jahr 2006 bemerkten wir zunächst, dass es sich bei zahlreichen C&C-Servern des DNS-Changer-Netzwerks um Unterdomänen von Esthost.com handelte; beispielsweise die ausländischen, bösartigen DNS-Server, deren IP-Adressen in DNS-Changer-Trojanern hartkodiert waren und die auf „dns1.esthost.com“ bis „dns52.esthost.com“ gehostet wurden (52 Domänennamen).

Ein Backend-Server, der alle bösartigen DNS-Server gleichzeitig aktualisieren konnte, befand sich unter dns-repos.esthost.com. Ein Backend-Server für Trojaner mit gefälschtem Codec befand sich unter codecsys.esthost.com. Sofern die Domäne esthost.com nicht gehackt wird, kann nur Esthost diese sehr vielsagenden Unterdomänen zum Domänennamen hinzufügen. Als die Domäne esthost.com abgeschaltet wurde, begannen die C&C-Server von Rove Digital, private Domänennamen mit der Endung „.intra“ zu nutzen. Es gelang uns, die vollständige .intra-Bereichsdatei von einem der Server von Rove Digital in den USA herunterzuladen.

2009 erhielten wir eine Kopie der Festplatten zweier C&C-Server, die Werbeanzeigen auf Websites ersetzten, sobald sie von Opfern des DNS-Changers geladen wurden. Auf den Festplatten fanden wir öffentliche SSH-Schlüssel von diversen Rove Digital-Mitarbeitern. Mithilfe dieser Schlüssel konnten sich die Mitarbeiter auf den C&C-Servern ohne Kennwort anmelden – sie benötigten lediglich ihren persönlichen Schlüssel. Aus den Protokolldateien auf den Servern konnten wir darauf schließen, dass die C&C-Server über die Zentrale von Rove Digital in Tartu gesteuert wurden.

Darüber hinaus unterhielt Rove Digital ein FAKEAV- bzw. ein bösartiges DNS-Partnerprogramm namens Nelicash. Es gelang uns, ein Schema der Infrastruktur für den FAKAV-Bereich herunterzuladen. Über einen Nelicash-C&C-Server entdeckten wir Informationen über Opfer, die gefälschte Antiviren-Software erworben hatten.

Unter diesen Käufen befanden sich zahlreiche Testbestellungen von Mitarbeitern von Rove Digital über IP-Adressen, die von Rove Digital in Estland und den USA kontrolliert wurden. Dies zeigt, dass Rove Digital direkt in den Verkauf von FAKEAV involviert war.

Über denselben Nelicash-C&C-Server könnten wir außerdem einen detaillierten Plan zur Entwicklung neuer bösartiger DNS-Server für 2010 und 2010 herunterladen. Tag für Tag verbreitete Rove Digital eine neue Malware, die die DNS-Einstellungen von Systemen in ein einzelnes Paar ausländischer Server änderte. Wir überprüften Trojaner von DNS-Changer einige Tage lang und stellten fest, dass diese Trojaner die DNS-Einstellungen der Opfer genau nach diesem Plan modifizierten.

Es würde den Rahmen sprengen, wenn wir an dieser Stelle die Vielzahl weiterer, von uns gesammelter Beweise aufführen würden. Alle Ergebnisse weisen darauf hin, dass Rove Digital tatsächlich Cybercrime im großen Maßstab durchführt und unmittelbar verantwortlich für das riesige DNS Changer-Bot-Netz ist.

Angesichts dieser Tatsache freuen wir uns sehr, Ihnen mitteilen zu können, dass die enge Zusammenarbeit zwischen dem FBI, der estnischen Polizei, Trend Micro und anderen Branchenpartnern zur Abschaltung dieses gefährlichen Bot-Netzes geführt hat. Außerdem konnten die Hauptverantwortlichen festgenommen werden, und das, obwohl das Unschädlichmachen von Rove Digital kompliziert und extrem aufwändig war.

Trend Micro konnte die C&C-Infrastruktur von Rove Digital sowie die Backend-Infrastruktur bereits frühzeitig erfolgreich identifizieren und überwachte die C&C-Infrastruktur auch weiterhin bis zum 8. November 2011. Andere Branchenpartner stellten sicher, dass die Abschaltung des Bot-Netzes kontrolliert und ohne größere Störungen für die infizierten Kunden verlief, und leisteten somit einen überragenden Beitrag zur gesamten Operation bei.

Die folgenden Links befassen sich ebenfalls mit diesem Thema:

• Making a Million, Part One—Criminal Gangs, the Rogue Traffic Broker, and Stolen Clicks
• Making a Million, Part Two—The Scale of the Threat
• A Cybercrime Hub

Weitere Informationen finden Sie im Beitrag von Rik Ferguson. Er beschreibt wie Sie prüfen können, ob auch Sie ein Opfer dieser Cyber-Kriminellen sind.

Zusätzlicher Text von Paul Ferguson

Die Forscher der Budapester University of Technology an Economics, die den DUQU-Trojaner entdeckt hatten, haben nun den bislang noch nicht bekannten Dropper des Schädlings identifiziert: Es handelt sich um ein Microsoft Word-Dokument, dass einen Zero-Day Kernel-Exploit anstößt. Danach legt das Dokument die Installer-Dateien mit den DUQU-Komponenten ab. Details dazu finden sich hier sowie in den Reports

• DUQU Uses STUXNET-Like Techniques to Conduct Information Theft
• Anatomy of a Data Breach

Die folgende Abbildung zeigt den Ablauf eines solchen Angriffs:

Mittlerweile hat Microsoft ein Security Advisory zu der Schwachstelle veröffentlicht. Diese Schwachstelle existiert in der Parsing Engine für Win32k True Type Fonts und ermöglicht das Anheben von Berechtigungen. Laut Advisory können Angreifer Zufallscode im Kernel-Modus ausführen.

Trend Micro-Anwender sind über das Smart Protection Network vor DUQU geschützt, denn die File Reputation Services erkennen die bösartige Datei und verhindern das Ausführen der Routinen.

Trend Micro hat eine Reihe aktueller, zielgerichteter Angriffe aufgedeckt. Mit dieser als Lurid bekannten Methode wurden vor allem Behörden in 61 Ländern infiziert. Die Sicherheitsforscher konnten 1465 Computer ausmachen, die erfolgreich infiziert und Opfer eines Datendiebstahls wurden. Man sprach von einer einmaligen persistenten Bedrohung. Doch sie war nicht einmalig. Die Schwachstellen im Adobe Acrobat Reader, die für die Ausführung der Schadsoftware genutzt wurden, war sehr wohl bekannt, und die Kriminellen konnten Nutzer auch dazu verleiten, Bildschirmschoner herunterzuladen.

Wie kann so etwas trotz der eingesetzten Sicherheitsmaßnahmen und IDS/IPS-Systeme passieren? Das Problem heutzutage besteht wahrscheinlich darin, dass es zu viel Rauschen gibt, sodass die Zahl der Log-Einträge in einem IDS/IPS-System zu hoch ist, um die Nadel im Heuhaufen zu finden. Deshalb brauchen wir ein Echtzeit-Bedrohungsmanagement. Dafür bedarf es eines Systems, das dem Administrator dabei hilft zu erkennen, was tatsächlich vor sich geht, was in das Unternehmen hereinkommt und noch viel wichtiger, was aus der Organisation nach außen geht. Es ist viel schwieriger, infizierte Computer zu erkennen, wenn keine Kommunikation stattfindet. Doch sobald ein infiziertes System Verbindung mit der Kommandozentrale aufnimmt, um Informationen dahin zu versenden, ist das ein guter Indikator dafür, dass etwas Böses in der Unternehmensumgebung vor sich geht.

Mit entsprechender Konfiguration, einer Kombination aus Sicherheitsprodukten und einem Echtzeit-Bedrohungsmanagement ist es möglich, die Visibilität zu erhöhen. Hundertprozentige Sicherheit gibt es nicht. Darum müssen Unternehmen über Risikomanagement nachdenken, um mithilfe eines Realtime Threat Management System die Gefahren zu minimieren und die Sichtbarkeit zu erhöhen. Hier sollten Unternehmen ihre Investitionen tätigen.