Kommerziallisierung von Malware

Quelle: freedigitalphotos.net

Quelle: freedigitalphotos.net

Malware existiert seit es einfachste Computersysteme gibt. Dabei handelt es sich um Programme und Tools, die Sicherheitslecks in betroffenen Systemen ausnutzen und Daten manipulieren, ausspähen, oder beschädigen. Dies kann enormen wirtschaftlichen Schaden verursachen und getrieben von unterschiedlichsten Interessen sein. Nicht nur der potentielle wirtschaftlicher Schaden ist enorm, auch bergen computergesteuerte Anlagen hohe Risiken. Verkehrsleitsysteme, Kraftwerke und Steuerungen sonstiger industrieller Anlagen, die heute nicht mehr wegzudenken sind, bergen im Falle eines Ausfalls erhebliche Risiken für Gesundheit und Leben.

Neben den anfänglichen Motiven der Schadsoftwareentwicklung ergeben sich so heutzutage wirtschaftliche, aber auch nationale Interessen beim Einsatz von Schadsoftware. So stehen erfolgreiche Hacker heute nicht selten auf der Payroll internationaler Spionageorganisationen, Geheimdienste, aber auch privatwirtschaftlicher Unternehmen. Diesen gelingt es, Anwender und gegnerische IT-Infrastrukturen mit technischen und betrügerischen Mitteln zu manipulieren, auszunutzen (Bot-Netze), oder auszuspionieren. Meist stehen dabei jedoch finanzielle Motive im Vordergrund, wenngleich der militärische Einsatz nicht von der Hand zuweisen ist.

“Hand of Thief” Banking Trojaner

Ein aktuelles Beispiel kommerzieller Malware ist der kürzlich von RSA entdeckte Linux-Trojaner „Hand of Thief“. Das Tool wird von einer russischen Hackergruppe entwickelt und kommerziell vertrieben. In seinem aktuellen Entwicklungsstand wird es für 2000US$ feil geboten, so Limor Kessem, Cyber Intelligence Experte bei RSA. Als Banking-Trojaner zielt er vor allem auf das Ausspähen von Onlinebanking-Aktivitäten und bedient sich dazu aus einer Bandbreite von Malwaretechniken. Dazu zählen das Ausspähen von Formulareingaben, das Blockieren bestimmter Hosts (z.B. Updateserver von Virenscannern) und das Einrichten von Hintertüren. Als ausgereiftes Malware-Produkt wird ein Preis um 3000US$ erwartet.

Software as a Service

Quelle: freedigitalphotos.net

Quelle: freedigitalphotos.net

Neben dem klassischen Vertriebsweg gewinnt gerade ein anderes Konzept Popularität. Die Bereitstellung von Malware als Software as a Service (SaaS). Lookout, ein Sicherheitsunternehmen aus Kalifornien, stellte kürzlich eine Untersuchung zu diesem Thema vor. Dabei konnte es Teile der russischen Malwareindustrie aufdecken und Unternehmen identifizieren.

SaaS ist ein Outsourcing Modell bei dem sowohl Software als auch benötigte Infrastruktur von einem Anbieter zur Verfügung gestellt werden. Im Falle von Malware as a Service handelt es sich dabei um individuelle Angriffstoolkits mitsamt benötigter Infrastruktur. Ein Kunde erspart sich so, technisch tiefgreifende Kenntnisse und kann die auf ihn zugeschnittene Dienste jeder Zeit z.B. über das Internet nutzen. Er benötigt dazu weder eine eigene Hardwarelandschaft, Software, noch spezialisierte Mitarbeiter, technische Expertise o.ä. Ein weiterer Vorteil ist, dass die Rückverfolgbarkeit eines Angriffs auf den eigentlichen Angreifer (Kunden des SaaS) stark eingeschränkt werden kann.

Russische Premium SMS

Die von Lookup aufgedeckte Malwareindustrie konzentriert sich vor allem auf den Betrug mit Premium SMS Versand. Dabei werden fertige Softwarepakete individualisiert und über verschiedene Kanäle auf Smartphones verbreitet. Getarnt als Spiele o.ä. versenden diese Apps nun kostenpflichtige SMS an Premium Nummern, wovon die Entwickler der Plattform und deren Kunden profitieren. Der Distributor muss sich in diesem Fall nicht mit den technischen Details der Software befassen, sondern greift auf fertige Bausteine zurück.

Die folgende Abbildung gibt einen schematischen Überblick auf den Lebenszyklus solcher Malware.

Quelle: lookout.com

Quelle: lookout.com

SaaS DDoS Attacken

Ein weiteres Szenario für einen Malware as a Service Dienst sind DoS Attacken. Der Dienstleister verfügt dabei über ein weites Verteilernetz (Bot-Netz), an das mitunter mehrere Tausend infizierte Rechner angebundenen sind. Der SaaS Anbieter stellt dann Angriffstools auf Kundenwunsch bereit und richtet das Bot-Netz gegen das gewünschte Ziel aus und greift es, z.B. mittels einer Distributed Denial of Service (DDoS) Attacke, an. Der Kunde behält dabei i.d.R. die Kontrolle über die Ausführung des Angriffs und die erzielten Ergebnisse, muss den Betreiber jedoch für die Bereitstellung von Infrastruktur und Software bezahlen.

LoicNewEraCrackerEditedEin Beispiel für ein solches Bot-Netz ist die „Low Orbit Ion Cannon“ (LOIC). Dabei wird der Dienst jedoch nicht von einem zentralen SaaS Anbieter angeboten sondern gemeinschaftlich von den angeschlossenen Teilnehmern. Das Tool wurde im Zuge der WikiLeaks Enthüllungen 2010 populär und gegen Ziele, wie die Kreditkartenunternehmen VISA und Mastercard gerichtet (Wikipedia). Der Besitz, in erster Linie jedoch der Einsatz, solcher Tools steht in vielen Ländern, auch in Deutschland, unter Strafe.

Wie schütze ich mich

Wie Sie sich persönlich gegen solche Angriffe schützen, erfahren Sie auf den Seiten von botfrei.de, Support im Falle eines Malwarefalls erhalten Sie in unserem Forum. Technisch versierte Leser finden weitere Informationen zu dem Thema auf den Webseiten von Lookout, RSA und Computerworld