Gerade in Zeiten, in denen die Wirtschaftskrise die Kurse kräftig nach unten drückt, drängt sich folgender Gedanke auf: Würden Viren, Trojaner & Co als Index an den Börsen vertreten sein - könnten deren Aktionäre auf ein äußerst erfolgreiches Jahr zurück- und eine blühende Zukunft vorausschauen – so jedenfalls beschreibt das Unternehmen Ikarus Security den aktuellen Stand der Schädlingslandschaft.
Das Jahr 2008 hat geradezu eine Explosion neuer Schädlinge mit sich gebracht - über 10.000 Millionen “neuer” Dateien, die potentiell als schädlich bzw. gefährlich eingestuft werden mussten. Alleine nackte Zahlen sprechen dabei Bände - mussten im Jahr 2007 noch knappe 8.800 Malware-Codes pro Tag neu registriert werden, vervierfachte sich dieser Wert im abgelaufenem Jahr beinahe. Rund 31.000 neue Viren sind dabei der stolze Tagesdurchschnitt.
Absolute Spitzenreiter dabei sind Trojaner bzw. Trojanern ähnliche Codes. Der Trend zu mehrstufigen Infektionsverfahren bringt für eine einzelne Attacke mittlerweile schon eine ganze Reihe an unterschiedlichen Modulen mit sich. Bestand ein Trojaner früher zumeist aus 2 Komponenten, sind mittlerweile eine Vielzahl unterschiedlichster Programmteile involviert - der “Gewinner” der im vergangenen Jahr von Ikarus Security analysierten Trojanersysteme brachte es dabei immerhin auf stolze 34 Komponenten - was den Trend hin zu komplexen Trojaner-Systemen eindrucksvoll unterstreicht.
Die vielschichtige Motivlage und das “erschließen” immer neuer “Geschäftsfelder” beschert uns auch für das neue Jahr eine ungebrochene Flut an Malwareteilen und Komponenten. Eine genaue Analyse einzelner Systeme wird dabei immer öfter nur mehr anlassbezogen durchgeführt, was das erstellen eines „Big Pictures“ beinahe unmöglich macht.
Klar im Trend ist auch die Spezialisierung von Attacken. Weg von “unintelligenten” Massenattacken a la Loveletter, Sobig und Co., hin zu kleineren “überschaubaren” Angriffen mit Lokalkolorit. “Exploitbasierend” - also Angriffe unter Ausnutzung von Sicherheitslücken - steht dabei hoch im Kurs, zumal derartige Attacken keine “direkte Userinteraktion” mehr benötigen und die Chance auf Entdeckung des Angriffes entsprechend verringert.
Immer bessere Tarnfunktionen bzw. die stark zunehmende Kombination von Trojanercode mit Rootkits bzw. genereller Rootkitfunktion lassen auch auf immer “nachhaltigere Bewirtschaftung” von infizierten Systemen schließen. Etwa durch Informations- (”keyword-searcher”) und Identitätsdiebstahl. Mit “Mebroot” wurde 2008 dabei ein leistungsfähiges “Bootkits” auf den Markt geworfen, mit dem es möglich ist, jeden beliebigen Code fast unauffindbar auf Festplatten zu verstecken.
Neben PCs sind im vergangenen Jahr verstärkt Web- und MailServer ins Visier der Angreifer geraten. Cross-Site-Skritping und auf SQL-Injektion basierende Attacken haben dabei ebenso rasant zugenommen, wie Angriffe mittels DNS-Cache-Poisoning - letztendlich aber alle mit dem Zweck, Trojaner-Code auf potentielle Besucher-Systemen auszubringen. “Geknackte” Mailserver hingegen eignen sich wieder sehr gut dafür, Spamfilter anderer Nutzer zu unterlaufen.
In überschaubaren Grenzen hielt sich bis heute hingegen die Entwicklung von Trojanern für Handys, daran ändern auch die fleißigen Werbeversuche der Antivirenindustrie nichts. Knappe 450 “Handyviren” wurden überhaupt erst registriert und die Mehrheit davon funktioniert nur unter Laborbedingungen - keinen einzigen Fall wo ein Handy von einem Virus infiziert worden wäre, konnte Ikarus Securtiy in Österreich registrieren.
Spam konnte trotz kurzfristiger Erfolge in der Eindämmung (einer der führenden Hostingpartner für Spammer wurde vom Netz genommen) nicht nachhaltig reduziert werden - das Gesamtaufkommen an Spammails liegt in Österreich durchschnittlich immer noch über 90% - spannend dabei, dass rund 8% dieser Mails mittlerweile ausschließlich URLs transportieren, die für eine weiterführenden Viren/Trojanerattacke genutzt werden.
05. Januar 2009 um 13:19
Mich würde bezüglich der Viren/Trojaner/Wurm und Spam-Problematik interessieren, wie die Verteilung bei den einzelnen Computerplattformen aussieht. Kann man konkret nachweisen, dass Apple-Macintosh- und LINUX-Computer weniger betroffen sind als die Wintel-Plattform?
Für Viren, Trojaner und Malware dürfte dies schon aus rein technischer Hinsicht zutreffen aber der Spam dürfte alle Plattformen gleich stark beeinträchtigen. Ähnlich sollte man auch die Malware betrachten, die über URL’s transportiert wird, da Java theoretisch plattformunabhängig sein sollte.
Ausserdem würde mich interessieren wer nun wirklich konkret Interesse hat Computerschädlinge herzustellen und in Umlauf zu bringen. Direktes ökonomisches Interesse haben natürlich die Hersteller von Anti-Viren etc. Programmen, aber konnte man jemals einer solchen Firma die Finanzierung von Virenprogrammierung nachweisen?
Das Hacker von grossen Konzernen angeheuert werden um die firmeninterne IT auf Schwachstellen zu prüfen ist ganz sicher kein Klischee aus Kinothrillern, aber gibt es darüber genauere Angaben?
Wahrscheinlich gibt es trotz Corporate Gouvernance noch genügend Möglichkeiten zu verhindern, dass Hacker auf der payroll auftauchen. Schliesslich konnte ja auch eine weltweite Finanzkrise ausbrechen
05. Januar 2009 um 13:38
@ Marco Mailand
Die Malwareverbreitung orientiert sich natürlich an der Marktdurchdringung der Plattformen und an der leichten Zugänglichkeit dieser Systeme. Hier lässt sich durchaus klar nachweisen, dass Windows-Systeme ganz oben auf der Hitliste stehen.
Spam ist hier etwas anderes, da gezielt E-Mail geflutet wird, gewissermaßen also plattformübergreifend gearbeitet wird. Die Folgeschäden hängen dann wieder davon ab, ob “nur” Werbung verschickt wird oder - dann wieder plattformorientiert - Schädlinge mitgeschickt oder verlinkt werden.
Das konkrete Interesse? Nun, das dürfte bei derselben Art Menschen liegen, die auch Schutzgelder erpressen, Raubüberfälle oder Scheckbetrug (ohne Anspruch auf Vollständigkeit) begehen. Bei der immensen Menge an Schadprogrammen und Spam reicht eine geringe Trefferquote aus, um entweder Kontendaten, Identitäten oder direkten Umsatz in beträchtlicher Zahl zu erhalten.
Das die Hersteller von Antivirensoftware hier an der Erzeugung der Schadsoftware beteiligt sind, halte ich allerdings für einen urbanen Mythos. Warum sollten sie einen so umständlichen Schritt gehen, wenn die Vollzeitbeschäftigung mit den illegalen Produkten weit gewinnträchtiger als der legale Bereich ist?
Hacker werden häufig von Unternehmen beschäftigt, um Systeme zu prüfen - diese werden auch durchaus nicht verschleiert bezahlt, da es ja eine wünschenswerte und sinnvolle Tätigkeit ist. Allerdings sehe ich den Zusammenhang zwischen Hackern und der Schadsoftware-Problematik auch nicht, da Hacker landläufigerweise nichts mit derartigen Aktivitäten zu tun haben, außer evtl, im Bereich des Reverse Engineering, wenn sie beispielsweise bei Sicherheitsfirmen arbeiten.
05. Januar 2009 um 23:47
Hallo Marco! Schau doch mal beim “Computer caos Club vorbei! Da bekommste noch ne bessere Antwort!
06. Januar 2009 um 01:28
Dieser leider nicht sehr konkrete Kommentar (es hilft, Links, auf die man verweist, auch aufzuführen) bezieht sich vermutlich auf den “Chaos Computer Club” (www.ccc.de) und die dort geführte Diskussion zur Hackerethik (http://www.ccc.de/hackerethics?language=de), die allerdings nicht auf die hier besprochenen Punkte eingeht.
Aktuelle Zahlen oder Aussagen zu Malwareschreibern bzw. den Herstellungs- oder Vertriebswegen finden sich meiner Kenntnis nach auf den Seiten des CCC allerdings nicht, ebensowenig wie weiterführende Kommentare zum Hackereinsatz in Unternehmen. Insofern ein Link, der sicherlich generell informativ ist, zu diesem speziellen Thema aber nicht so sehr viel bietet.