Virus Bulletin, Dallas 2012 – Konferenzbericht

Dieser Artikel wurde von Adrian Leuenberger geschrieben.

Jedes Jahr findet die „Virus Bulletin“-Konferenz abwechselnd in Europa und Nordamerika statt. Die Konferenz gilt allgemein als eine Art Klassentreffen der Antiviren-Industrie. Alles was Rang und Namen hat ist vertreten. Dieses Jahr fand die Konferenz in Dallas, TX statt. Das Programm war wie jedes Jahr abwechslungsreich und kontrovers.

Handel mit 0-day Schwachstellen (Keynote) und Offensive Security Research (Panel)

In seiner unterhaltsamen Keynote zum Handel mit 0-day Schwachstellen hinterfragt Chris Soghoian die Ethik hinter dem Verkauf von 0-day Schwachstellen wie auch dem Verkauf von Überwachungs-Software für Endgeräten. Preise im 6-stelligen Bereich und der Verkauf an Länder mit fragwürdigem Rechtsempfinden geben tatsächlich Anlass zu Fragen.

Jahrelang haben Security-Researcher den Herstellern geholfen, Schwachstellen in deren Produkten zu identifizieren und zu beheben, ohne für ihre oft tage- bis monatelangen Aufwände in irgendeiner Weise entschädigt zu werden. Diese Situation haben im Februar 2009 einige Researcher zum Anlass zu folgender Ankündigung genommen: „No more free bugs“. In der Zwischenzeit hat sich ein regelrechter Markt entwickelt, auf dem Security-Researcher ihre neuesten 0-day Schwachstellen an den Höchstbietenden verkaufen. Selbst Broker mischen mit und stellen den Kontakt zwischen Anbieter und Käufer gegen Provision her. Die gängigen Strassenpreise für eine 0-day Schwachstelle im Internet Explorer liegen im 6-stelligen Bereich.

Leisten können sich dies selbsterklärend nur Regierungen und Strafverfolgungsbehörden. Damit ist auch gleich der Einsatzzweck klar: Spionage und (angebliche?) Terrorbekämpfung. Ethisch ist dies natürlich heikel. Insbesondere, wenn Exploits an Regierungen mit fragwürdiger Rechtsauffassung verkauft werden. Die Researcher stellen sich bezüglich dieser Frage auf den Punkt, dass die Hersteller sich einfach dem Markt beugen und den Preis zahlen müssen – oder sie entwickeln endlich Produkte ohne Schwachstellen. Mit den läppischen Bug-Prämien von Herstellern wie Microsoft oder Google wollen sie sich jedenfalls nicht mehr zufriedengeben. Auch sie müssten schliesslich von etwas leben.

Diese ganze Situation wurde am 1.September 2012 auch von der Washington Post aufgegriffen – eine Zeitung, die hohes Gewicht im politischen Amerika hat. Soghoian befürchtet nun, dass der Gesetzgeber eingreift und Entwicklung sowie Handel mit Exploits auf Gesetzesebene reguliert. Stattdessen fordert er von der Industrie, dass sich diese selbst Regelungen auferlegt, um die Situation zu entschärfen.

Wo viel Geld ist, da ist der Missbrauch natürlich nicht weit entfernt. Wenn Staaten 6-stellige Beträge zahlen, dann könnten Entwickler durchaus auch motiviert sein, vorsätzlich Schwachstellen einzubauen und das Wissen darum nachher zu verkaufen. Diesbezüglich könnte man diesem Dilbert Comic aus dem Jahr 1995 schon fast prophetische Fähigkeiten attestieren.

Im Panel am Ende der Konferenz wurden diese Fragen noch einmal im Plenum diskutiert. Wie soll mit Schwachstellen umgegangen werden und wie sollen die Hersteller involviert und informiert werden. Ist Full-Disclosure (sofortige Publikation der Schwachstellen) oder Responsible Disclosure (in Zusammenarbeit mit dem Hersteller) der korrekte Weg? Gewisse Hersteller sind notorisch dafür bekannt, dass sie nichts tun, auch wenn ihnen konkrete und ausnutzbare Schwachstellen nachgewiesen werden. Erst eine Veröffentlichung veranlasst die Hersteller dann, endlich einen Patch zu publizieren und ihre Kunden zu schützen. Dies kann in Extremfällen Jahre dauern. So lange sind dann alle Kunden, die das Produkt einsetzen, auch angreifbar. Ob es ethisch vertretbar ist, alle Angaben zu einer Schwachstelle sofort zu veröffentlichen oder ob es ethisch vertretbar ist, wenn Hersteller ihre Kunden beliebig lange verwundbar zurücklassen, muss wohl für jeden Fall individuell beurteilt werden.

Trends bei Banken-Malware und Schutzmassnahmen

Seit einigen Jahren ist eine Spezialisierung im Bereich Malware zu beobachten. Malware wird nicht mehr zur blossen Unterhaltung geschrieben, sondern es werden konkrete kommerzielle Ziele verfolgt. Da sind Banken, respektive deren Kunden natürlich bevorzugte Opfer. Gemäss Candid Wüest sind mittlerweile etwa 30 verschiedene Malware-Familien im Umlauf, die sich auf den Diebstahl von Geld unschuldiger Bankkunden spezialisiert haben. Jede Familie hat wiederum diverse Untervarianten. Über die Jahre hat ein regelrechter Rüstungslauf zwischen den betroffenen Banken und den Malware-Autoren stattgefunden.

Falls die Schutzmassnahmen zu komplex sind, dann machen es sich die Übeltäter einfach. Statt die technischen Massnahmen auszuhebeln, wenden sie Social Engineering-Strategien an und bringen den Benutzer mit einer überzeugenden Story dazu, ihnen quasi freiwillig Geld zu überweisen. Klappt auch das nicht, dann können sie immer noch ein Formular einblenden und den Benutzer zur „Sicherheitsprüfung“ nach den Kreditkartendaten fragen.

In allen bekannten Fällen, bei denen einem Bankkunden Geld abhanden gekommen ist, wurde vorgängig der PC des Kunden mit Malware infiziert. Die Malware an sich ist jedoch nur ein Teil der Infektion. Ein weiteres Teil sind die sogenannten JavaScript-Injects. Diese werden spezifisch nachgeladen, wenn das Opfer den Browser öffnet und auf sein bevorzugtes Online Banking ansurft. Diese JavaScript-Injects sind für die eigentlichen Schäden verantwortlich und können von verschiedenen Malware-Familien 1:1 verwendet werden. Es hat sich sogar ein regelrechter Handel damit entwickelt.

Diese Entwicklung blieb der Industrie indes nicht verborgen und es wird aktiv an weiteren Schutzmassnahmen gearbeitet. Betriebssystem- und Browserhersteller verbessern ihre Produkte dauernd und bauen mit jeder neuen Version zusätzliche Hürden ein. Antiviren-Hersteller entwickeln sichere Browser oder Add-Ons zu bestehenden Browsern (Link1, Link2, Link3), wiederum andere Hersteller entwickeln Produkte, welche die schadhaften Codes (Exploits) direkt an der Ausführung hindern.

Malware Versteckspiel: Antiforensics

Um sich vor den Produkten der Antiviren-Industrie oder forensischen Analysen zu verstecken, bedienen sich gewisse Malware-Familien (Bsp. Carberp, ZeroAccess, TDL4) immer ausgeklügelteren Techniken. Sie klinken sich bereits so früh in den Start des Betriebssystems ein, konkret in den Master Boot Record (MBR) oder den Volume Boot Record (VBR), dass die Antiviren-Produkte einen schweren Stand haben, die Malware zu detektieren oder zu entfernen.

Eugene Rodionov und Aleksandr Matrosov führten aus, dass Malware heutzutage einiges an Daten zu speichern hat, um diese später an die Steuerzentrale weiterzuleiten. Ein konkretes Beispiel dafür sind Zugänge (Usernamen und Passworte) zu Mail- oder Webseiten. Diese Daten müssen irgendwo gespeichert werden. Dafür wird ein Bereich am Ende der Festplatte verwendet, der nicht mit einem Dateisystem belegt ist. Es wird ein verschlüsseltes Dateisystem angelegt, wo die Daten sicher gelagert werden können. Teilweise wird dieser Bereich auch genutzt, um erweiterte Module der Malware vor Entdeckung sicher zu lagern.

Ein beliebter Ort für die Speicherung von Konfigurationen und Daten bleibt auch die Windows-Registry. Dort werden an unverdächtigen Stellen zusätzliche Registry-Keys erstellt und die Daten verschlüsselt abgelegt.

Domain Generation Algorithmen

Ein Problem, das vielen Malware-Familien gemeinsam ist, sind die zentralen Anlaufstellen – die Command & Control Server (kurz C&C). Die Sicherheitsindustrie tut alles, um diese so rasch wie möglich vom Netz zu nehmen, damit Endbenutzer trotz infiziertem Computer keinen Schaden erleiden, weil die Malware keine Instruktionen empfangen oder Daten übermitteln kann.

Gunter Ollmann ging in seiner Präsentation auf die aktuellen Techniken der „Domain Generation Algorithms“ (DGA) ein. Diese werden genutzt, um die C&C vor der Sicherheitsindustrie zu verstecken und möglichst lange online zu halten. In der Malware ist Code enthalten, der abhängig von diversen Faktoren wie Datum, gewisser Twitter-Feeds oder Suchresultate einer Suchmaschine eine Menge potentieller Kandidaten von Domains generiert. Dies können z.B. im Fall von Conficker.A 250 pro Tag sein oder bei neueren Malware-Familien auch in die Millionen Domains pro Tag gehen. Effektiv registrieren müssen die Malware-Autoren lediglich wenige Domains. Die Malware findet dann den richtigen C&C auf Grund des integrierten Algorithmus. Die Sicherheitsindustrie hingegen hat es schwer, aus den Millionen potentieller Domains die korrekten herauszufinden und entsprechende Gegenmassnahmen einzuleiten.

Wie wäscht man Geld?

Alle kriminellen Organisationen müssen das über illegale Machenschaften erbeutete Geld in irgendeiner Form „reinigen“ und wieder in den Umlauf bringen. Eine durch eine dänische Firma etwas genauer untersuchte Masche funktioniert wie folgt:

– Mittels gestohlener Kreditkartendaten werden neueste Generationen elektronischer Gadgets (Mobiltelefone, Tablets, Computer, etc.) online gekauft und an einen vorgängig rekrutierten Re-Shipper geliefert. Dessen Aufgabe ist es, alle Hinweise auf den Ursprung zu entfernen und das Paket an eine Adresse in ein kleines Dorf in Polen nahe der Grenze zur Ukraine weiterzuleiten.
– Dort wird das Paket in Empfang genommen und per Auto über die Grenze gebracht. In der Ukraine werden die Geräte dann zu Geld gemacht. Aus dem Erlös werden auch die Re-Shipper für ihre Dienste entschädigt.

Diese Spur lässt sich nur sehr schwer zurückverfolgen. Die Firma hat im Laufe der Untersuchungen mehrere Re-Shipper zur Mitarbeit motiviert und einige Pakete mit GPS-Loggern bestückt. Zusammen mit einem Fernsehteam und einigen Bodyguards hat man dann das Dorf nahe der ukrainischen Grenze besucht und den Transporteur interviewt. Der war sich selbstverständlich keiner Schuld bewusst und ging davon aus, dass alles legal sei.

Allerdings werden die Re-Shipper relativ gut überwacht und zur Sicherheit auch gleich selbst mit Malware infiziert. Kommt der rekrutierte Re-Shipper seinen Aufgaben nicht nach, dann haben die Hintermänner durch die Malware bereits Usernamen und Passworte der Mail- und Facebook Accounts der Re-Shipper. Zuerst werden dann mal alle Passworte geändert. Zeigen sich die Re-Shipper auf Grund der Erpressung nicht einsichtig, werden die persönlichen Seiten gezielt mit Inhalten übelster Art verunstaltet.

Die Kriminellen wurden in der Zwischenzeit ausfindig gemacht und verhaftet, sind aber durch Kaution wieder auf freiem Fuss und selbstverständlich bereits wieder aktiv mit leicht veränderter Masche und einer anderen Malware.

ADSL-Router Infektionen in Südamerika

Standardpassworte sind ein seit langem bekanntes Problem bei neu verkauften Geräten. Werden diese ans Internet angeschlossen, dann hat jeder mit den bekannten Standardpassworten vollen Zugriff darauf. Seiten wie RouterPasswords listen die bekannten Kombinationen perfekt geordnet nach Hersteller. Ein ebenso latentes Problem sind bekannte Schwachstellen in Firmware verkaufter Consumer-Geräte. Updates sind häufig nicht verfügbar oder werden durch den User nicht installiert. Dies trifft auch auf ADSL-Router zu, die von den ISPs an Kunden geliefert werden.

Diese beiden beschriebenen Phänomene wurden in Südamerika (insbesondere Brasilien) massenhaft und automatisiert ausgenutzt. Die Konfigurationen der anfälligen ADSL-Router werden derart verändert, dass der Benutzer mit seinem Computer auf infizierten Seiten landet, sich Malware einfängt oder die Zugangsdaten zum Online Banking preisgibt. Insgesamt 4.5 Millionen Geräte sollen so kompromittiert worden sein. Die Geräte-Hersteller und ISPs reagieren gemäss Fabio Assolini nicht sehr souverän. Entweder reagieren sie sehr langsam oder es passiert schlicht gar nichts.

Statische Analyse – Dynamische Analyse – Artificial Intelligence

Mehrere Vorträge haben sich mit dem Thema „Artificial Intelligence“ im Bereich Malware beschäftigt. Dies scheint ein aktueller Trend zu sein. Am Anfang wurde Malware mit statischen Mustern ausreichend gut erkannt. Verbesserungen in der Verschleierung konnte man mit dynamischen Laufzeitanalysen in den Antiviren-Produkten begegnen. Auch diese Schutzmechanismen hebeln die Übeltäter mit immer raffinierteren Tricks erfolgreich aus. Mit künstlicher Intelligenz sollen jetzt die Antiviren-Produkte für die kommenden Malware-Generationen fit gemacht werden. Der Virenwächter soll durch künstliche Intelligenz lernen was „normal“ ist und was „nicht normal“ ist.

Cyberwar oder nicht – Und was kostet er?

Gemäss der Definition ist Krieg  „… ein organisierter und unter Einsatz erheblicher Mittel mit Waffen und Gewalt ausgetragener Konflikt, an dem mehrere planmäßig vorgehende Kollektive beteiligt sind. Ziel der beteiligten Kollektive ist es, den Konflikt durch gewaltsame Kämpfe und Erreichen einer Überlegenheit zu lösen. Die dazu stattfindenden Gewalthandlungen greifen gezielt die körperliche Unversehrtheit gegnerischer Individuen an und führen so zu Tod und Verletzung.“

Die äusserst kontrovers und pointiert vorgetragene Präsentation von Andrew Lee verglich den stark gehypten Begriff des Cyberwars mit einem konventionellen Krieg und kam zum Schluss, dass der Begriff Krieg nicht anwendbar ist. Der Begriff wird lediglich von Consultants und Herstellern missbraucht, um Angst zu schüren und dadurch die gewünschten Verkaufsziele zu erreichen. Zudem hat der angebliche Cyberwar bisher nicht einmal Verletzte zurückgelassen, geschweige denn Tote. Weiter führt Lee aus, dass mit dem ersten Einsatz einer „Cyberwaffe“ dem Feind ja quasi der Blueprint der Waffe in die Hände gegeben wird. Der Gegner hat also Zugriff auf alle Informationen und kann innert kürzester Zeit wirksame Gegenmassnahmen implementieren. Insofern ist jede „Cyberwaffe“ bestenfalls für den einmaligen Einsatz tauglich. Lee plädiert dafür, den ganzen Hype wieder auf ein vernünftiges Niveau zu reduzieren und mit Begriffen etwas vorsichtiger umzugehen. Dies empfiehlt er nicht nur den bereits genannten Personen aus der Industrie sondern auch Medienschaffenden, die übertriebene Headlines als Verkaufsargument sehen.

In eine ähnliche Richtung ging die Präsentation von Tyler Moore, der zusammen mit weiteren Forschern die Kosten, welche angeblich durch Cybercrime verursacht werden, etwas detaillierter untersucht (PDF) hat. Verglichen mit den Kosten für Prävention und Strafverfolgung konventioneller Straftaten laufen diese im Bereich Cybercrime aus dem Ruder und sind kaum angemessen. Ebenso folgern die Autoren, dass die aufgewendeten Mittel für Prävention und Strafverfolgung vermutlich falsch eingesetzt werden. Sie empfehlen, wesentlich mehr Mittel im Bereich der Strafverfolgung als für die Prävention einzusetzen. Zudem überstiegen die Kosten für die Prävention die effektiven Schäden.

Risikofaktoren für einen gezielten Angriff

Martin Lee hat untersucht, gegen wen sich gezielte Angriffe hauptsächlich richten. Seine Hypothese ist, dass ein Angriff mit dem Arbeitsgebiet eines Mailempfängers zusammenhängt. Konkret hat er akademische Forscher, deren Arbeitsgebiet und die gezielten Mails, die sie erhalten haben, untersucht. Das kaum überraschende Ergebnis seiner Untersuchung: Akademiker im Bereich „Social Studies“ und „Eastern, Asiatic, African, American and Australasian Languages, Literatur and Related Subjects“ sind besonders gefährdet, während Forschung in den Bereichen „Medicine & Dentistry“ und „Veterinary Science, Agriculture and Related Subjects“ eher präventiv für gezielte Angriffe wirkt. Bezogen auf Unternehmen folgert Lee, dass Grossfirmen und Firmen mit führender Forschung bevorzugte Angriffsziele sind, wogegen kleinere Unternehmen (z.B. Architekturbüro, Coiffure-Salon) eher nicht im Fokus stehen. Diese Aussage stimmt so natürlich nur für gezielte Angriffe – mit breit gestreuter Malware verhält es sich erfahrungsgemäss diametral dazu.