Eine Gruppe unabhängiger Sicherheitsforscher haben angekündigt, während des Monats September Zero-day- und Webanwendungsschwachstellen sowie Proof-of-concept (PoC) Exploits für gepatchte Sicherheitslücken zu veröffentlichen. Unter den Anbietern, deren angebliche Produkt-Sicherheitslücken an die Öffentlichkeit geraten sollen sind renommierte Unternehmen wie Adobe, Apple, Microsoft oder Mozilla.

Dem Trend Micro-Forscher Rajiv Motwani zufolge handelt es sich um eine Sammlung neuer und alter Lücken, die in erster Linie Microsoft betreffen. Die neuen Sicherheitslücken können als Zero-day-Schwachstellen gesehen werden, die die Nutzer verwundbar machen, bis ein Hersteller einen Patch anbietet. Das kann jedoch dauern, und daher sollten die Anwender jeden angebotenen Workaround nutzen.

Auch ist davon auszugehen, dass Einzelheiten zu den kürzlich veröffentlichten Advisories publiziert werden und dass auch PoC-Code dabei ist – damit aber Exploits wahrscheinlicher sind. Damit wiederum steigt das Risiko für die Anwender. Für Anwendungen wie der Internet Explorer (die Forscher haben angekündigt, dazu eine Schwachstelle zu veröffentlichen) kann ein Exploit innerhalb von Stunden nach der Ankündigung publik werden. Teile der vielen in Umlauf befindlichen Exploits lassen sich zudem für neue Angriffe wiederverwenden, sodass der Prozess sich nochmals beschleunigt.

Unternehmensanwender sollten wissen, dass Serveranwendungen ebenfalls von den veröffentlichten Sicherheitslücken betroffen sind. Möglicherweise dauert es länger, bis diese geschlossen werden. Außerdem ist auch der potenzielle Schaden für einen betroffenen Server höher als bei Privatanwendern.

Andererseits ist es für einzelne User schwieriger, sich zu schützen. Es gibt keine zentralen Benachrichtigungsmechanismen zu Updates, und die teilweise verfügbaren Auto-Update-Fähigkeiten stellen eine zusätzliche Belastung für diese Anwendergruppe dar.

Trend Micro bietet einige kostenlose Tools zum Herunterladen, die Anwender dabei unterstützen ihre Computer zu schützen.

Ein gutes Timing ist alles, vor allem wenn man Malware verbreiten will. Letzte Woche benachrichtigten die Entwickler des beliebten Echtzeit-Browsers TweetDeck die Nutzer, dass sie diese Anwendung aktualisieren müssen, weil es Änderungen in den von Twitter unterstützten Authentifizierungsprotokollen gibt.

Cyberkriminelle witterten sofort ihre Chance und verschickten ihre eigenen Tweets mit gleichem Inhalt. Doch diese bösartigen Nachrichten enthielten einen URL-verkürzten Link auf einen angeblichen TweetDeck-Installer namens tweetdeck-08302010-update.exe.

Die Datei enthält natürlich keinen legitimen Installer sondern eine TDSS-Variante, die Trend Micro als TROJ_TDSS.FAT identifiziert hat. Die TDSS-Schädlingsfamilie liefert Rootkits, die die vollständige Kontrolle über betroffene Systeme übernehmen können. Auch sind sie aufgrund ihrer Komplexität und ausgeklügelten Programmierung schwer zu entfernen.

TweetDeck hat die Nutzer offiziell davor gewarnt,  einen Installer herunter zu laden, dessen URL mit http://alturl.com/ beginnt. Auch ist die Website, auf der die bösartige Datei liegt, blockiert worden.

Mehr als zwei Wochen ist es her, seitdem die LNK-Sicherheitslücke bekannt und auch von ZBOT- und SALITY-Malware ausgenützt wurde. Jetzt gibt es einen Patch dafür. Doch mit oder ohne Patch, Angriffe über diese Lücke werden zunehmen.

Der dritte der in diesem Jahr außerhalb der Reihe veröffentlichten Patches ist den regulären August-Updates um eine Woche voraus. Microsoft selbst erklärte bei der Veröffentlichung des Patch, man habe „eine Steigerung bei den Versuchen, die Sicherheitslücke auszunutzen, festgestellt“ und sich deshalb für diesen vorgezogenen Release eines Fix entschieden.

Privatanwender sollten ihre Systeme so schnell wie möglich patchen, um sich vor der Gefahr zu schützen. Unternehmensanwender können das Aufspielen des Patch auf später verschieben und sich mit den bereits vorhandenen Workarounds schützen oder mit den Produkten von Trend Micro wie Deep Security und OfficeScan mit Intrusion Defense Firewall Plugins.

Gefälschte YouTube-Seiten sind ein typisches Merkmal des KOOBFACE-Botnetzes. Damit sollen potenzielle Opfer dazu gebracht werden, den „Codec“ zu installieren, der für das Abspielen von Videos nötig ist – in diesem Fall von einer angeblich versteckten Kamera.

Die gefälschten Seiten umfassten in einem Fall die Reaktion der KOOBFACE-Gang auf die von Dancho Danchev veröffentlichte Liste ihrer böswilligen Aktivitäten.

Vor einigen Tagen nun schlossen die Kriminellen einen kurzen JavaScript-Code mit ein, der es der Bande erlaubt, die Seiten-Hits direkt zu überwachen. Der Tracking-Code liegt am unteren Rand der Seite, und zwar weit unter einer Reihe von <br>-Tags.

Der Code nutzt einen Hit-Zähler-Webdienst. Laut Information der Hit-Zählerseite nutzt die Bande diese Methode seit dem 28. Juli 2010.

Seither gab es 22.905 einzigartige Hits.

Sogar nach Zeitabschnitten verfolgt die Bande ist Seiten-Hits.

Das stündliche Tracking ermöglicht es den Kriminellen, die Nutzeraktivitäten (nach Tageszeit) mit der Anzahl der KOOBFACE-Infektionen in Verbindung zu setzen. Die Statistikseite enthält keinen Hinweis auf die Zeitzone, sodass die Interpretation der Stundendaten nicht besonders nützlich wirkt. Die 22.905 Hits stellen die Anzahl der einzelnen Besuche auf der gefälschten YouTube-Seite dar, die der KOOBFACE-Lader mit dem Datennamen setupNNNN.exe hochschiebt (NNNN ist eine Zufallszahl). Es gibt auf der Hit-Zählerseite keine aktuellen Daten dazu, wie viele Nutzer tatsächlich den KOOBFACE-Loader ausgeführt haben.

Wie schon letzte Woche berichtet haben die Exploits der Windows Shortcut-Schwachstelle zugenommen. Jetzt wird sie auch dafür ausgenützt, um ZBOT-Varianten über bösartige Anhänge in Spam-Nachrichten zu verbreiten. Die Messages, die von Trend Micro-Produkten blockiert werden, führen als Betreff Microsoft Windows Security Advisory an und umfassen folgenden Text:

Sie geben vor, von Microsoft zu kommen, und fordern die Nutzer auf, das angehängte vermeintliche Update anzuwenden, um sich vor der Gefahr zu schützen. Die Nachricht umfasst sogar ein Kennwort für die geschützte ZIP-Datei sowie Anleitungen für die Installation des angeblichen Sicherheits-Update. Zur Erinnerung: Microsoft hat noch keinen Patch für besagte Schwachstelle veröffentlicht, sondern lediglich ein so genanntes „Fix-Tool“ für das Deaktivieren von .LNK und .PIF!

Unser Team fand heraus, dass das angehängte Archiv eine bösartige .LNK-Datei enthält, die Trend Micro als LNK_STUXNET.SM identifiziert hat. Auch ist eine bösartige .DLL-Datei darin, die Trend Micro als TROJ_ZBOT.BXW identifiziert.

Wird der Exploit-Code im Shortcut angestoßen, so führt er die Malware-Komponente aus, die dann ihrerseits den Hauptschädling TROJ_ZBOT.BXW herunterlädt und ausführt. Es handelt sich um eine ZBOT 2.0 Variante, die wir bereits früher in diesem Jahr entdeckt hatten.

SALITY Dateiinfektoren werden nun auch für diese Schwachstelle eingesetzt, wie PE_SALITY.LNK-O zeigt:

Hier noch ein Vergleich der bekanntesten Methoden von USB-Malware, um sich  zu verbreiten:

Es sollte jedem klar sein, dass sich Malware über die LNK-Schwachstelle einfacher verbreiten kann, als diejenige, die die AUTORUN.INF-Datei nutzt, und man kann davon ausgehen, dass noch mehr Malware-Familien dies tun werden!

Kürzlich erschienen Berichte über eine neue Art von Malware, die sich über Wechselmedien verbreitet. Die Schädlinge nutzen eine neue Schwachstelle in Shortcut-Dateien aus, die es ermöglicht, Zufallscode auf dem System des Nutzers auszuführen. Microsoft hat die Schwachstelle bestätigt und ein Security Advisory veröffentlicht. Weil die Schwachstelle in Verbindung damit steht, wie Windows die Shortcut-Icons verarbeitet, lautet eine der Empfehlungen für einen Workaround darin, die Anzeige der Icons für alle Shortcuts zu deaktivieren. Wie dies zu erreichen ist, beschreibt das Advisory.

Trend Micros Sicherheitsforscher haben ein Sample der Malware als WORM_STUXNET.A identifiziert und deren Routinen analysiert. Nachfolgend eine Zusammenfassung der Ergebnisse:

Verbreitung

Anstatt wie bisher üblich eine AUTORUN.INF-Datei sowie eine Kopie der Malware selbst auf Wechsel- und festen Speichermedien abzulegen, deponiert WORM_STUXNET.A im Speichermedium eine .LNK-Datei – eine Shortcut-Datei, die auf eine ausführbare Datei zeigt. Die .LNK-Datei nutzt die Schwachstelle aus, um eine neue Kopie des WORM_STUXNET.A auf weitere Systeme abzulegen. Trend Micro hat diese .LNK-Dateien als LNK._STUXNET.A identifiziert.

Fähigkeiten zur Tarnung

Neben diesen Eigenkopien legt der Wurm auch ein Rootkit auf dem Wechselmedium ab. Das als RTKT_STUXNET.A erkannte Kit dient dazu, die eigenen Routinen zu verbergen. Damit bleibt der Wurm von dem Nutzer unbemerkt, und er erschwert auch die Analysen der Forscher.

Fussball-Verbindungen

Der Wurm versucht zudem, eine Verbindung zu verschiedenen Websites aufzubauen, und zwar interessanterweise zu solchen, die mit Fussball zu tun haben. Der Zweck dieser Routine ist nicht ganz klar, denn die Trend Micro-Sicherheitsforscher haben keine Spuren bösartiger Aktivitäten auf diesen Sites entdecken können.

Diese neue Methode der Ablage von .LNK-Dateien stellt eine weitere Entwicklung in der Verbreitung von Würmern über Wechselmedien dar. Wir berichteten bereits im Mai über die Technik der Nutzung der AUTORUN.INF Action Key, um automatisch bösartige Dateien auszuführen.

Trotz der vielfältigen möglichen Verbreitungstechniken, die das Web liefert, geben die Cyberkriminellen den Weg über USB-Malware nicht auf. Das zeigt auch, wie effizient diese Technik ist. Diese Art der Malware ist im Security Spotlight-Artikel Understanding USB Malware im Detail beschrieben.

Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network vor dieser Art der Malware geschützt. Andere Nutzer können das kostenlose Cleanup-Tool Housecall von Trend Micro verwenden.

Kürzlich fand in Tokio die jährliche Konferenz Direction 2010 statt, bei der Trend Micro Partner und Kunden zum Meinungsaustausch trifft. Im Rahmen einer Panel-Diskussion debattierten Vertreter von AV-Comparatives, AV-Test und NSS Labs über den Bedarf an neuen Metriken und Methodologien beim Testen von Sicherheitsprodukten gegen reale Bedrohungen. Alle Teilnehmer waren sich darüber einig, dass neue Tests erforderlich sind, die die Angriffe auf die echten Kundenumgebungen besser widerspiegeln.

Es bedarf einer Reform der Methodologien von Testverfahren für Sicherheitsprodukte, um die heutigen Bedrohungen besser in den Griff zu bekommen

Live-Angriffsszenarien, gegen die die geplante Implementierung von Sicherheitslösungen geprüft wird, liefern die beste Darstellung der Effizienz der Arbeitsweise eines Produkts. Die Tester sollten auch in der Lage sein herauszustellen, wie die schädlichen Auswirkungen von Malware vor der Ausführung an unterschiedlichen Punkten blockiert werden können. Beispielsweise können verschiedene Lösungen folgendes leisten:

1. Sie blockieren Malware bei deren Auftauchen am Endpunkt (z.B. Web Filtering; Web Reputation Services)
2. Sie hindern bösartige Dateien an der Ausführung am Endpunkt (z.B. signaturbasiertes Scannen der Dateien)
3. Sie hindern Malware an der Ausführung schädlicher Aktionen (z.B. Verhaltensmonitoring) und
4. schützen Schwachstellen vor Exploits (z.B. Deaktivieren des Zugangs zu bekannten Schwachstellen, bis diese geschlossen sind).

Die längste Zeit über hat das traditionelle Testen lediglich das Aufspüren gemessen (siehe Punkt 2). Dieser Ansatz ist zu simpel, bestraft innovative Lösungsanbieter und missachtet den Wert des Blockierens einer Bedrohung in einem frühen Stadium der Ausführung. Zudem muss noch ein weiterer Aspekt beachtet werden: die Geschwindigkeit, in der neue Bedrohungen behandelt werden (schließlich gibt es alle 1,5 Sekunden eine neue Bedrohung).

Die Kunden profitieren von diesen neuen Tests, indem sie tatsächlich beurteilen können, welches Produkt sie am besten gegen die wahren Bedrohungen schützt. Sie müssen sich nicht länger die künstlichen „Shootouts“ gegen eine Million alter Schädlingsmuster ansehen, die über einen manuellen Scan geprüft werden. Die neuen Tests zeigen nicht nur, wie effektiv ein Produkt webbasierte Bedrohungen blockiert, sondern auch wie schnell der Sicherheitshersteller den Schutz gegen eine neue Bedrohung zur Verfügung stellt – Time to Protect.

Angesichts der Tatsache, dass Malware immer aggressiver wird und eine Umstellung in der Verbreitung der Schädlinge von der Selbstreplizierung auf Spam-Kampagnen stattfindet, gewinnen diese Aspekte ernorm an Bedeutung. Malware sieht heute anders aus als vor fünf Jahren, also sollten auch die Tests anders durchgeführt werden.

Der Betrug mit gefälschten Antivirenlösungen im Internet hat sich zu einer wahren Plage entwickelt. Trend Micro-Forscher haben ein Jahr lang eine bestimmte Bande von Online-Gangstern beobachtet, die sich auf dieses betrügerische Geschäft spezialisiert haben. Geschätzter Jahresumsatz: 180 Millionen US-Dollar.

Möglich werden solche Summen – wohl gemerkt, es handelt sich hier nur um eine einzige Bande – durch das perfide Spiel mit der Angst, das die Cyberkriminellen mit ihren Opfern, in diesem Fall in über 30 Ländern, treiben. Wer würde nicht nervös, wenn auf einmal Warnmeldungen auftauchen, dass der eigene Rechner mit Schadsoftware infiziert ist. Gleichzeitig aber wird eine scheinbare „Lösung“ für das Problem angeboten, nämlich die kostenpflichtige Installation einer allerdings völlig nutzlosen und unter Umständen sogar schädlichen Software?

Solche gefälschten Antivirenlösungen kosten zwischen 50 und 100 US-Dollar. Gelingt es den Cyberkriminellen, angenommene 100.000 Suchanfragen pro Tag zu Antivirenlösungen auf ein von den Gangstern frisiertes Suchergebnis zu lenken, das zu ihrer Schadsoftware führt, und sind nur 1.000 Anwender bereit, dafür zu zahlen, ergibt sich bereits ein Tagesumsatz von 50.000 US-Dollar.

Doch damit begnügen sich die Kriminellen in der Regel nicht. Im vorliegenden Fall haben sie die Computer, auf denen ihr Schadprogramm installiert wurde, als ferngesteuerte Zombierechner missbraucht, um deren ahnungslose Besitzer beim Surfen mit Werbung zu bombardieren, die von „Kunden“ der Online-Kriminellen stammen. Für jede platzierte Werbeeinblendung zahlen diese ein paar US-Cents. Im Falle dieser Online-Kriminellen kam es zu rund einer Million Werbeeinblendungen pro Tag, was zu einem zusätzlichen Tagesumsatz von 25.000 US-Dollar führte – und das bezogen auf nur ein einziges der so genannten Botnetze, von denen die Bande eine Vielzahl kontrolliert.

Natürlich versuchen viele der Opfer irgendwann, meistens bei drohenden Folgezahlungen, sich zu wehren, und verlangen eine Erstattung der gezahlten Beträge von ihrem jeweiligen Kreditkartenunternehmen. Je mehr solche Erstattungen beantragt werden, desto eher kündigen die Kreditkartenfirmen die Geschäftsbeziehung mit dem „Unternehmen“ der Online-Bande. Die Kriminellen sind dadurch gezwungen, immer wieder neue Tarnfirmen zu gründen, was hinsichtlich Zeit und Kosten auf Dauer zu aufwendig ist.

Um dieses Problem zu umgehen, haben sie im vorliegenden Fall in den Aufbau von Call Centern, in den USA, Asien und Osteuropa investiert. Die Anwender, die sich über die ständige Aufforderung, die gefälschte Antivirenlösung kostenpflichtig zu aktualisieren, beschweren wollten, konnten so mit der Tarnfirma der Cyberkriminellen in Kontakt treten

und erwirken, dass sie keine Aufforderungen zur Aktualisierung mehr erhielten. Möglich wurde dies über Änderungen in den Einstellungen der Schadsoftware, welche die Anwender selbst unter Anleitung der Call Center-„Mitarbeiter“ vornahmen. Kostenpunkt dieser „freundlichen“ Hilfe: 20 US-Dollar pro Anruf.

Um auf solche Tricks nicht hereinzufallen, ist das wirksamste Mittel, lieber einmal zu wenig als zu viel auf Links zu klicken.

Darüber hinaus gibt es, wenn plötzlich aus heiterem Himmel Sicherheitswarnungen auf dem Bildschirm erscheinen, andere Mittel, damit umzugehen, als sofort eine kostenpflichtige Software zu kaufen, deren Urheber unbekannt ist.

Trend Micro zum Beispiel bietet ein kostenloses Sicherheitswerkzeug an, das Rechner auf Infektionen hin durchsuchen und diese im Bedarfsfall beseitigen kann. HouseCall heißt das Werkzeug, das täglich seine Wirksamkeit unter Beweis stellt.

Während die Browser-Hersteller auf der einen Seite um Marktanteile kämpfen, haben sie auf der anderen Seite Probleme, ihre Nutzer vor den zunehmenden Gefahren zu schützen. In einigen der populärsten Browser wurden kürzlich ernste Sicherheitslücken entdeckt. An erster Stelle stand hierbei der Internet Explorer (IE), in dem Microsoft allein im März zwei Schwachstellen schließen musste.

Auch der Firefox geriet in die Schlagzeilen mit einer eigenen Sicherheitslücke, die ernst genug war, um das BSI mit einer Warnung vor der Nutzung des Firefox auf den Plan zu rufen (Die Lücke wurde mittlerweile über ein vorgezogenes Update auf Firefox 3.6.2 von Mozilla geschlossen).

Andere Browser wie Opera und Safari hatten ebenfalls mit eigenen Fehlern zu kämpfen. Beide haben jedoch die Schwachstellen bereits gestopft. Der bekannte Sicherheitsexperte Charlie Miller warnte jedoch, er habe noch mehr Safari Zero-Day-Fehler zu veröffentlichen – schlechte Neuigkeiten, nicht nur für Apple sondern auch für Google Chrome, denn der Browser nutzt dieselbe WebKit Rendering Engine wie Safari.

Der Trend Micro Sicherheitsanalyst Rafiv Motwani erklärte: „Unabhängig von den erwähnten Lücken können wir nicht im entferntesten abschätzen, wie viele Schwachstellen derzeit ausgenützt werden. Man darf auch nicht vergessen, dass eine Vielzahl von Nutzern ihre Systeme nicht patcht.“ Er fügt hinzu, es gebe verschiedene Gründe dafür, warum Nutzer ihre Systeme nicht aktualisieren. Dazu gehöre das fehlende zentrale und automatische Update-System, ein herstellerunabhängiger Patch-Release-Zyklus und die Auffassung, dass eine traditionelle Antivirus-Software gegen alle Arten von Gefahren schützt. Schließlich mache die Verbreitung von Malware, die sich als Software-Patch ausgibt, die Dinge noch komplizierten, indem sie Zweifel und Verunsicherung bei den Nutzern aufkommen lässt.

Maßnahmen, wie die von der EU verordnete Browser-Abstimmung , die zu einer breiteren Browser-Auswahl führen soll, mag Nutzer dabei unterstützen, die Schwachpunkte in bestimmten Programmen zu erkennen. Doch Motwani betont, dass es praxisfern sei anzunehmen, dass Nutzer bei jeder neu entdeckten Schwachstellen den Browser wechseln. Unternehmensanwender müssten zusätzlich die Performance-Auswirkungen, Stabilität und Kompatibilität testen, bevor sei Patches ausrollen. Deshalb empfiehlt Motwani, statt Browser-Wechsel stets aktuelle Sicherheitsprodukte (siehe auch „Den ‚sichersten‘ Browser gibt es nicht“) einzusetzen und zu gewährleisten, dass die Definition immer auf dem neuesten Stand sind. Darüber hinaus sei es auch von entscheidender Bedeutung, Links, Dateien und herunter ladbare Daten von Social-Networking-Sites oder aus unbekannten Quellen mit Vorsicht zu behandeln. Weitere nützliche Maßnahmen sind die Deaktivierung von Scripting oder zumindest die Benutzung von Scripts zu regeln und auf vertrauenswürdige Sites zu beschränken.

Die Forscher von TrendLabs warnen vor so genannten Malvertisments. Auf den ersten Blick scheinen die Werbeeinblendungen eine der üblichen Belästigungen beim Browsen zu sein. Doch haben die Sicherheitsforscher festgestellt, dass einige der Anzeigen Vektoren für den Download von Malware auf das System des Nutzers darstellen. Beispielsweise zeigte eine Anzeige auf eine URL, die einen Exploit enthielt, der eine Reihe von Dateien auf das betroffene System herunter lud und dort ausführte. Diese Dateien wiederum enthielten eine bösartige Java-Datei, die Trend Micro als JS_BYTEVER.BG identifiziert hat, und PDF-Dateien , die als TROJ_PIDIEF.GBA sowie TROJ_PIDIEF.GBB erkannt wurden. Dem Sicherheitsforscher Jonell Baltazar zufolge nutzen diese PDF-Dateien bekannte Schwachstellen im Adobe Reader (Collab.collectEmailInfo, Collab.getIcon, and util.printf) aus, um eine Datei herunter zu laden, wenn die Anwendung des Nutzers nicht auf aktuellem Stand ist. Darüber hinaus erklärt Baltazar, dass die bösartigen PDF-Dateien neben Adobe JavaScript-APIs auch das app.info.Author-Feld des PDF-Dokuments dazu nutzen, um die codierte Payload-URL zu speichern. Damit können die Kriminellen dahinter die automatisierten PDF- und JavaScript-Analysewerkzeuge ausbremsen.

Raimund Genes, CTO von Trend Micro, hat bereits in den „2010 Threat Predictions“ aufgezeigt, dass Drive-by-Infektionen die Norm werden. Er warnt davor, dass schon ein Besuch einer Website ausreicht, um sich dabei zu infizieren. Daher sollten User JavaScript in ihren Browsern deaktivieren, URLs verifizieren und ihre Browser immer auf aktuellem Sicherheitsstand halten. Diese relativ neue Verschlüsselungstechnik versteckt das bösartige Script, sodass es bestimmter APIs bedarf, um sie zu entschlüsseln. Daher erfordert es eine manuelle Analyse, um das eingebettete Script zu emulieren.

Trend Micros Smart Protection Network schützt die Nutzer vor dieser Gefahr, denn das Content-Sicherheitsnetzwerk entdeckt mittels der File Reputation Services die bösartigen Dateien und verhindert deren Ausführung. Außerdem blockiert es den Zugriff der Nutzer auf bösartige Websites. Anwender, die kein Trend Micro Produkt im Einsatz haben, können das kostenlose Web Protection Add-On herunter laden, das ebenfalls den Zugang zu potenziell bösartigen Websites verhindert.