Security Bulletin 2010/2011 - Kaspersky Lab – Newsroom Europe.

Transcription

Security Bulletin 2010/2011 - Kaspersky Lab – Newsroom Europe.
Kaspersky Security Bulletin
2 0 1 0 / 2 0 1 1
Teil 1:
Entwicklung der IT-Bedrohungen
Teil 2:
Malware-Statistik
Teil 3:
Spam
w w w . k a s p e r s k y . d e
2
Kaspersky Security Bulletin 2010/2011
Teil 1: Entwicklung der IT-Bedrohungen................. 4
Teil 2: Malware-Statistik.......................................... 12
2010: Das Jahr der Sicherheitslücken...................................4
Ergebnisse............................................................................4
Zunahme der Attacken über Filesharing-Netze.....................5
Kampf um Traffic...................................................................5
Epidemien und zunehmende Komplexität von
Schadprogrammen................................................................5
Rückgang der gefälschten Antiviren-Programme..................5
Angriffe auf und in Google Wave...........................................6
Attacken auf das iPhone und Android...................................6
Zielgerichtete Attacken auf Unternehmen und
Industrieobjekte.....................................................................6
Digitale Zertifikate..................................................................6
Die bedeutendsten Ereignisse des Jahres............................7
Aurora....................................................................................7
Erpresser-Trojaner................................................................7
Stuxnet..................................................................................7
TDSS.....................................................................................8
Zahlreiche Vorfälle bei Twitter und Facebook........................8
Verhaftungen von Cyberkriminellen und Schließung von
Botnetzen..............................................................................9
Prognosen für 2011.............................................................10
Daten, Daten, Daten: Cyberattacken 2011 Der ultimative Datenklau.....................................................10
Methoden............................................................................10
Neue Organisatoren und neue Ziele...................................10
Spyware 2.0........................................................................ 11
Zusammenfassung der Haupttrends 2011.......................... 11
Infos zum Kaspersky Security Network (KSN).................... 11
Schadprogramme im Internet (Attacken über das Web).....12
Top 20 der Schadprogramme im Internet............................12
Top 20 der Länder und Gebiete, auf deren
Webressourcen Schadprogramme untergebracht sind.......13
Web-Attacken, aufgeschlüsselt nach Ländern....................14
Netzattacken.......................................................................14
Lokale Infizierungen............................................................15
Lokale Infizierungen von Computern, aufgeschlüsselt
nach Ländern......................................................................16
„Die Weltkarte“.....................................................................16
Web-Bedrohungen..............................................................16
Lokale Bedrohungen...........................................................17
Sicherheitslücken................................................................18
Teil 3: Spam.............................................................. 20
Kampf gegen Spam und den Versand von Schadcode
im Jahr 2010........................................................................20
Schädlicher Spam...............................................................20
Schließung von Botnetzen: Eine Chronologie.....................20
Spam und das Gesetz.........................................................21
Spam-Statistiken.................................................................21
Spam-Anteile im E-Mail-Traffic............................................22
Spam-Herkunftsländer........................................................22
Verteilung der Spam-Quellen nach Regionen.....................23
Thematische Zusammensetzung von Spam.......................24
Methoden und Tricks der Spammer....................................25
Schädliche Anhänge............................................................26
Phishing...............................................................................27
Prognosen...........................................................................28
3
Kaspersky Security Bulletin 2010/2011
Teil 1: Entwicklung der IT-Bedrohungen
Mit dem vorliegenden Bericht setzt Kaspersky Lab die
Serie seiner alljährlichen Analysen fort. Betrachtet werden die wichtigsten Probleme, die private User sowie
Nutzer in Unternehmen betreffen, und mit dem Einsatz
von schädlichen, potentiell unerwünschten und betrügerischen Programmen sowie mit Spam, Phishing und
Hackeraktivitäten zusammenhängen. Die Analyse wurde von den Experten des Global Research & Analysis
Team (GReAT) in Zusammenarbeit mit den Unterabteilungen Content & Cloud Technology Research und
Anti-Malware Research von Kaspersky Lab erstellt.
2010: Das Jahr der Sicherheitslücken
Betrachtet man die Malware-Landschaft im Jahr 2010,
so zeichnen sich etliche Parallelen zum Vorjahr ab.
Denn die allgemeine Ausrichtung der Angriffe hat sich
nicht drastisch geändert; allerdings haben viele Attacken ein neues qualitatives Niveau erreicht.
Der Anteil neuer Schadprogramme, die innerhalb eines
Monats entdeckt wurden, hält sich auf dem Level des
Jahres 2009, und bei einigen Malware-Typen wurde
sogar ein Rückgang der Aktivität registriert. Attacken
auf Browser und Botnetze waren nach wie vor die größte Bedrohung.
Bereits in unserem letzten Jahresbericht sind wir
auf ­diese Stabilisierung im Malware-Strom eingegangen. Die Gründe dafür sind gleich geblieben: die
zurückgehende Aktivität einer Reihe von Trojanern
(Game-Trojaner) sowie der aktive Kampf der Strafverfolgungsbehörden, Antiviren-Anbieter und Telekommunikations-Unternehmen gegen kriminelle Services
und Cyberkriminellen-Gruppierungen. Zudem hat die
erwartete mengenmäßige Abnahme von gefälschten
Antiviren-Programmen zur Stabilisierung der Zahl neuer Schädlinge beigetragen.
Allerdings kann man die Stabilisierung der Zahl neuer Schadprogramme nicht mit einer Stabilisierung der
Zahl von Attacken gleichsetzen. Erstens werden die
Schädlinge immer komplizierter – ihr technisches Niveau ist im Vergleich zum Vorjahr sogar wieder wesentlich gestiegen. Und zweitens werden die meisten
Attacken zunächst über den Browser geführt – mit Hilfe
vieler Sicherheitslücken in den Browsern und den mit
ihnen interagierenden Anwendungen. Das führt dazu,
dass sich häufig ein und dasselbe Schadprogramm
mit Hilfe dutzender unterschiedlicher Sicherheitslücken
ausbreiten kann, was wiederum eine proportionale Zunahme der Angriffe nach sich zieht. Betrachtet man die
Attacken als die Gesamtheit der von uns registrierten
Vorfälle, so zeichnen sich ganz klar vier grundlegende
Typen von Malware-Vorfällen ab:
►Attacken über das Internet (registriert mit Hilfe von
Web-Anti-Virus)
►lokale Vorfälle (auf den Anwender-Computern registriert)
►Netzattacken (mit Hilfe von IDS registriert)
►Vorfälle im E-Mail-Verkehr
Erstmals seit Beginn unserer Untersuchungen überstieg die Anzahl der ersten beiden von uns registrierten
Angriffstypen 1,9 Milliarden! Angriffe über den Browser
machten über 30 Prozent aller Vorfälle aus (mehr als
500.000.000 abgewehrte Attacken). Eine detaillierte
Analyse dieser Daten finden Sie im zweiten Teil „Malware-Statisik“ des Kaspersky Security Bulletin.
Sicherheitslücken waren das Top-Thema im Jahr 2010.
Sie kamen vor allem in den Produkten der Firma Adobe vor und wurden zum Haupteinfallstor für Malware.
Nach wie vor geht der Trend weg von der Ausnutzung
von Schwachstellen in Microsoft-Produkten und hin
zur Ausnutzung von Sicherheitslücken in Produkten
von Adobe und Apple (Safari, Quicktime, iTunes). Das
Schlüsselelement bei solchen Angriffen ist ein Bündel
von Exploits, die verschiedene Sicherheitslücken in
Browsern und den dazugehörigen Plug-ins ausnutzen.
Die absoluten Spitzenreiter des Jahres 2010 nach Anzahl der registrierten Vorfälle waren Exploits, die Fehler
in den Produkten der Firma Adobe ausnutzen.
Während Cyberkriminelle Sicherheitslücken früher in
erster Linie nur dazu ausnutzten, um in ein System
einzubrechen, so wurden im Jahr 2010 einige Schadprogramme entdeckt, die sich verschiedene Schwachstellen auf allen Etappen ihrer Arbeit zu Nutze machen.
Einige dieser Programme wie zum Beispiel der Wurm
Stuxnet nutzen auch „Zero-Day-Schwachstellen“ aus.
Ergebnisse
Anzahl der in den Datenbanken von Kaspersky Lab
neu erfassten Schadprogramme
4
In unserem Jahresbericht 2009 versuchten wir, die Entwicklungen innerhalb der Cybercrime-Szene und deren
Angriffsarten für das Jahr 2010 vorherzusagen. Nach
Ablauf des Jahres können wir nun, wie im Folgenden
ausführlich erläutert, das Fazit ziehen, dass sich unsere Prognosen größtenteils bewahrheitet haben.
Zunahme der Attacken über Filesharing-Netze
P2P-Netze beziehungsweise Filesharing-Netze erwiesen sich im Jahr 2010 tatsächlich als beliebtes Einfallstor für Malware. Diese Angriffe haben sich nach
Browser-Attacken an der zweiten Stelle positioniert.
Über Filesharing-Netze wurden praktisch alle Arten von
Schadprogrammen verbreitet: Datei-Viren, gefälschte
Antiviren-Lösungen, Backdoors und alle nur erdenklichen Würmer. Außerdem wurden solche Netze zum
Hauptverbreitungsweg für neue Bedrohungen wie zum
Beispiel ArchSMS.
Die Zunahme der cyberkriminellen Aktivität in P2PNetzen wurde auch von Sicherheits-Experten anderer
Unternehmen registriert. So weist zum Beispiel die
Firma Cisco in ihrem Bericht für das erste Halbjahr
2010 (www.net-security.org/secworld.php?id=9641) direkt auf den signifikanten Anstieg der Attacken in den
drei populärsten P2P-Netzen BitTorrent, eDonkey und
Gnutella hin. Die Malware-Epidemie über P2P-Netze
begann im März 2010, als die Zahl der mit Hilfe des
Kaspersky Security Networks registrierten Vorfälle erstmals 2,5 Millionen im Monat überstieg. Zum Ende des
Jahres registrierte Kaspersky Lab 3,2 Millionen Attacken dieser Art.
Kampf um Traffic
So genannte Partnerprogramme spielen nach wie vor
eine überaus wichtige Rolle, wenn es um die Wechselbeziehungen zwischen Cyberkriminellen und Diensten
zum Aufbau neuer Botnetze sowie zur Steuerung und
Umverteilung bestehender Botnetz-Kapazitäten auf
neue Einsatzgebiete geht.
Neben ihren offensichtlich kriminellen Arbeitsgebieten,
wie etwa der Infizierung von legalen Webseiten und
von Anwendercomputern mittels Drive-by-Downloads,
bedienten sich die Partnerprogramme im Jahr 2010
zunehmend auch so genannter „grauer“ Einnahmequellen. Dazu zählen verschiedene Tricks, um den
Anwender dazu zu bringen, sich freiwillig Dateien auf
seinen Computer zu laden, die Verwendung von „abgefangenen“ Ressourcen zur Black SEO (verbotene
Methoden der Suchmaschinenoptimierung), AttentionGrabbing-Links und die Verbreitung von Adware sowie
die Umleitung des Traffics auf verschiedene Ressourcen. Mehr über die aktuellen Arbeitsmethoden solcher
Partnerprogramme erfahren Sie in der Analyse „The
Perils of the Internet“ (www.securelist.com/en/analysis/
204792137/The_Perils_of_the_Internet).
Epidemien und zunehmende Komplexität von
Schadprogrammen
Keine Epidemie war im letzten Jahr in Bezug auf Ausbreitungsgeschwindigkeit, Ausmaß und der ihr entgegengebrachten Aufmerksamkeit mit der des Wurms
Kido (Conficker) aus dem Jahr 2009 vergleichbar. Betrachtet man die aufgezählten Faktoren im Einzelnen,
so können allerdings 2010 viele Schadprogramme
zweifellos zur Gattung der Epidemien (globalen Ausmaßes) gezählt werden.
Die Botnetze Mariposa, ZeuS, Bredolab, TDSS, Koob­
face, Sinowal und Black Energy 2.0 waren im Jahr
2010 immer wieder Gegenstand von gerichtlichen Untersuchungen, und ihre Namen tauchten ständig in der
Berichterstattung auf. Jedes dieser Botnetze steht für
Millionen von infizierten Computern auf der ganzen
Welt, und sie zählen zu den technisch kompliziertesten
Schadprogrammen.
Dabei wurden die Bots nicht nur mit konventionellen
Mitteln wie E-Mail in Umlauf gebracht. Die Cyberkriminellen setzten hier auch auf moderne Verbreitungsplattformen wie soziale Netzwerke und Dateitauschbörsen. Bei diesen Bedrohungen wurden zum Teil
erstmals Schadprogramme für 64-Bit-Plattformen umgesetzt, viele verbreiteten sich mit Hilfe von Zero-DaySchwachstellen.
Ganz oben auf der Liste der Malware-Trends 2010 steht
leider ein negatives „Meisterstück“, der Wurm Stuxnet.
Stuxnet war das IT-Sicherheitsthema im zweiten Halbjahr 2010. Die Berichterstattung zu diesem Schädling,
seinen möglichen Zielen und seinen Funktionsarten
stellte alles vorher dagewesene in den Schatten.
Der Fall Stuxnet zeigt, dass die am weitesten verbreiteten Programme auch immer die technisch kompliziertesten Bedrohungen darstellen. Damit wird die
Messlatte auch für die Antiviren-Industrie höher gehängt, denn sie befindet sich in einem ständigen technologischen Wettstreit mit den Virenschreibern.
Rückgang der gefälschten Antiviren-Programme
Diese Vorhersage war überaus strittig – selbst unter
Kollegen gingen die Meinungen bei diesem Thema
auseinander. Damit sie sich bewahrheitete, musste noch eine Reihe zusätzlicher Faktoren eintreffen,
wie beispielsweise die Änderung der wichtigsten Einnahmemethoden für die Betreiber und Teilnehmer an
Partnerprogrammen, die Gegenwehr seitens der Antiviren-Unternehmen und der Strafverfolgungsbehörden,
sowie eine ernsthafte Konkurrenz unter den verschiedenen Gruppen von Cyberkriminellen, die sich mit der
Entwicklung und Verbreitung von gefälschten AntivirenProgrammen beschäftigen.
Stützt man sich am Ende des Jahres auf die mit Hilfe
von KSN gewonnenen statistischen Daten um ein Fazit
zu ziehen, so kommt man zu dem Schluss, dass die
Anzahl von gefälschten Antiviren-Lösungen weltweit
insgesamt tatsächlich abgenommen hat. Während in
den Monaten Februar und März 2010 der Höhepunkt
der Aktivität registriert wurde (etwa 200.000 Vorfälle
pro Monat), ging deren Verbreitung Ende des Jahres
2010 um das Vierfache zurück. Zudem ließ sich eine
starke regionale Ausrichtung der bestehenden falschen
Antiviren-Programme feststellen. Die Cyber-Betrüger
konzentrierten sich lieber auf eine kleine Anzahl von
Ländern und hier in erster Linie auf die USA, Frankreich, Deutschland und Spanien.
5
Angriffe auf und in Google Wave
Das Projekt Google Wave wurde Mitte des Jahres
2010 von Google verworfen, so dass es gar nicht erst
in vollem Ausmaß in Betrieb genommen werden und
keine große Zahl an Teilnehmern an sich binden konnte. Aus diesem Grund hat sich die Vorhersage bezüglich der Attacken auf diesen Service und seine Kunden
nicht bewahrheitet.
Attacken auf das iPhone und Android
Im Jahr 2009 wurden die ersten Schadprogramme für
das iPhone sowie ein Spionageprogramm für Android
entdeckt. Wir vermuteten, dass die Cyberkriminellen
diesen Plattformen im Jahr 2010 wesentlich mehr Aufmerksamkeit widmen würden. Was das iPhone betrifft,
so gab es keine Vorfälle mit echten Schadprogrammen, die etwa mit dem Wurm Ike aus dem Jahr 2009
vergleichbar sind. Allerdings wurden im vergangenen
Jahr einige Konzept-Programme für diese Plattform
entwickelt, die demonstrieren, welche Waffen die Cyberkriminellen in ihr Arsenal aufnehmen könnten.
Durchaus erwähnenswert ist hier das Programm SpyPhone, das von Schweizer Forschern entwickelt wurde und sich unerlaubten Zugriff auf Informationen über
den Aufenthaltsort, die Interessen, die Passwörter und
den Suchverlauf im Internet sowie über den Beruf und
die Freunde des iPhone-Anwenders verschaffen kann.
Diese Informationen können daraufhin unbemerkt an
einen entfernten Server geschickt werden. Eine solche Funktionalität kann erfolgreich in einer harmlos erscheinenden Anwendung verborgen werden.
Früher waren vor allem die Endnutzer gefährdet, die
zur Installation von Anwendungen aus beliebiger Quelle einen Jailbreak für ihr Telefon durchführten. Doch die
Zeiten haben sich geändert: Heute sind Angriffe theoretisch vor allem dann möglich, wenn sich Anwender die
vielgeliebten Apps aus dem Apple Store auf ihr Smartphone laden. Einige Vorfälle mit legalen Anwendungen
sind bereits bekannt, bei denen unbemerkt Nutzerdaten gesammelt und diese an ihre Entwickler weitergeleitet werden.
Die oben beschriebene Gefahrenlage für iPhone-Nutzer trifft auch auf Android zu – mit einer wichtigen Ergänzung: Für diese Plattform wurden Schadprogramme
gefunden, die eine eindeutig kriminelle Ausrichtung
haben. Sie funktionieren nach der bereits erprobten
Methode mobiler Trojaner und verschicken SMS-Nachrichten an kostenpflichtige Nummern. Der Schädling
Trojan-SMS.AndroidOS.FakePlayer, für den offensichtlich russische Virenautoren verantwortlich sind, wurde
im September 2010 von Kaspersky Lab entdeckt und
ist die erste reale Android-Malware. Obgleich der Trojaner nicht über den Android Market (die offizielle Plattform zum Erwerb von Android-Anwendungen), sondern
über betrügerische Websites verbreitet wurde, halten
wir es für äußerst wahrscheinlich, dass auch im Android
Market schädliche Anwendungen auftauchen werden.
Außerdem gibt es eine Vielzahl legaler Anwendungen,
die bei der Installation auf dem Telefon den Anwender
um Zugriff auf private Daten, SMS-Sendefunktionen
6
und Anrufdetails bitten. In den meisten Fällen leisten
die Endnutzer diesen Bitten Folge – Anlass, an der Zuverlässigkeit des Sicherheitskonzepts von Android insgesamt zu zweifeln.
Zielgerichtete Attacken auf Unternehmen und Industrieobjekte
Die unter dem Namen „Aurora“ bekannte Attacke vom
Anfang des Jahres 2010 betraf nicht nur das Unternehmen Google. Zwar war Google das Hauptziel der Angreifer, dennoch traf es auch eine Reihe anderer Konzerne überall auf der Welt. Der Vorfall deckte ernsthafte
Sicherheitslücken in den Sicherheitssystemen auf und
zeigte, wo die potentiellen Ziele für Cyberspionage und
den Diebstahl sensibler kommerzieller Informationen
sind. Auch in Zukunft werden Großunternehmen im Visier zielgerichteter Attacken stehen.
Der Wurm Stuxnet ist nicht nur wegen seiner außergewöhnlichen Komplexität interessant, sondern in erster
Linie aufgrund seines Ziels. Er hat speicherprogrammierbare Steuerungen (SPS) im Visier, die in der industriellen Produktion verwendet werden. Stuxnet markiert das erste allgemein bekannt gewordene Beispiel
für industrielle Cyber-Spionage und -Sabotage, durch
die ernsthafte Schäden verursacht werden können. Die
frühere Grenze zwischen der virtuellen und der realen
Welt ist praktisch verschwunden, was uns alle vor völlig
neue Aufgaben stellt, die es in nächster Zeit zu lösen
gilt.
Digitale Zertifikate
Digitale Zertifikate und Signaturen gehören zu den
Säulen, auf denen das Vertrauen zu verschiedenen
Objekten in der Computerwelt fußt. Selbstverständlich
spielt das Vorhandensein einer Signatur in einer Datei
auch bei der Entwicklung von Antiviren-Lösungen eine
wichtige Rolle. So werden von vertrauenswürdigen
Herstellern signierte Dateien als sauber bewertet.
­Diese Technologie ermöglicht es den Entwicklern von
Antiviren-Programmen, die Zahl von False-Positives zu
reduzieren und gleichzeitig Ressourcen beim Scan des
Anwendercomputers auf Infizierungen einzusparen.
Die Ereignisse des Jahres 2010 haben gezeigt, dass
Cyberkriminelle, wie jeder andere Softwareentwickler,
auf völlig legalem Weg an digitale Zertifikate kommen
können. Etwa indem sie offiziell eine „Software zur
Remote-Steuerung ohne GUI“ entwickeln, bei der es
sich in Wahrheit um eine Backdoor handelt. Vor allem
Entwickler von AdWare, RiskWare und gefälschten
Antiviren-Programmen bevorzugen diese Methode, um
die eigene Malware vor Entdeckung durch eine Antiviren-Lösung zu schützen. Haben die Kriminellen erst
einmal den notwendigen Schlüssel vom Zertifizierungsdienstanbieter erhalten, können Sie damit ohne großen
Aufwand ihre Schadprogramme signieren. Man kann
nun mit Fug und Recht behaupten, dass die Idee der
Signatur von Programmen ernsthaft in Misskredit geraten ist. Nicht nur, dass unbescholtene Zertifizierungsdienstanbieter in Misskredit geraten – es sind die Cyberkriminellen selbst, die derartige Dienste anbieten.
Außerdem ist ein Zertifikat oder genauer ausgedrückt
sein geheimer Schlüssel nichts anderes als eine Datei,
die wie jedes andere virtuelle Eigentum auch gestohlen werden kann. Die entdeckten Komponenten des
Wurms Stuxnet waren mit Hilfe von Zertifikaten der Firmen Realtek Semiconductors und JMicron signiert.
Wie genau der geheime Schlüssel in die Hände der Cyberkriminellen gelangte, ist nicht bekannt. Doch offensichtlich gibt es hier verschiedene Möglichkeiten, um
an echte Zertifikate zu kommen. Womöglich haben die
Hintermänner von Stuxnet diese wichtigen Dateien Insidern abgekauft oder sie mit Hilfe einer Backdoor oder
eines ähnlichen Schadprogramms gestohlen. Der Diebstahl von Zertifikaten ist zum Beispiel eine der Funktionen des weit verbreiteten Trojaners Zbot (ZeuS).
Die bedeutendsten Ereignisse des Jahres
Aurora
Die Attacke der „Operation Аurora“ in den ersten Monaten des Jahres 2010 erregte nicht nur unter Sicherheitsexperten Aufmerksamkeit, sondern fand auch
in den Massenmedien große Beachtung. Wie bereits
oben erwähnt, standen große Unternehmen im Visier
der Angreifer, darunter auch Google und Adobe. Die
Cyberkriminellen, die hinter diesen Angriffen steckten,
wollten nicht nur vertrauliche Anwenderdaten stehlen,
sondern auch an die Quellcodes verschiedener Unternehmensprojekte gelangen.
Das wichtigste Werkzeug bei den Angriffen war ein
Exploit zu der Sicherheitslücke CVE-2010-0249 im Internet Explorer. Als diese erstmals durch Cyberkriminelle ausgenutzt wurde, verfügte Microsoft noch nicht
über einen entsprechenden Patch, um diese Lücke
zu schließen. So wurde „Aurora“ zu einem weiteren
krassen Beispiel für die Ausnutzung von Zero-DaySchwachstellen.
Erpresser-Trojaner
Anfang und Mitte 2010 wurde eine Vielzahl von Infizierungen mit verschiedenen Modifikationen so genannter
SMS-Blocker für User in Russland und einigen anderen osteuropäischen Ländern zu einem ernsthaften
Problem.
Diese Schadprogramme wurden auf verschiedene Arten verbreitet, mit Hilfe von Drive-by-Downloads unter anderem über populäre russischsprachige ­soziale
Netzwerke sowie über Filesharing-Netze. Auf den infizierten Computern blockierten sie BetriebssystemFunktionen oder auch den Zugriff auf das Internet. Anschließend forderten sie den Anwender auf, eine SMS
an eine kostenpflichtige Premium-Nummer zu senden,
um so den entsprechenden „Freischalt-Code“ zu erhalten.
Das Problem und die Zahl der betroffenen User nahmen derartige Ausmaße an, dass nicht nur Strafverfolgungsbehörden darauf aufmerksam wurden, sondern
auch die russischen Massenmedien ausführlich darü-
ber berichteten. Das geschah sowohl online als auch
im Fernsehen. Auch die Mobilfunkanbieter leisteten ihren Beitrag im Kampf gegen die Erpresser, indem sie
neue Regeln bei der Registrierung und Arbeit mit Kurzwahlnummern einführten, laufend die betrügerischen
Accounts sperrten und ihre Kunden über den SMSBetrug informierten.
Ende August wurden in Moskau mehrere Personen
verhaftet und wegen der Programmierung von SMSBlockern angeklagt. Angaben des Innenministeriums
der Russischen Föderation zufolge belaufen sich die
illegalen Einnahmen dieser Gruppe auf etwa 500 Millionen Rubel (zirka 12,5 Millionen Euro).
Aus der Welt geschafft ist dieses Problem damit noch
nicht. Cyberkriminelle haben andere Wege eingeschlagen, um das Geld der Betroffenen für die „Entsperrung“
abzukassieren, beispielsweise mittels Überweisung
über elektronische Bezahlsysteme und ähnlicher Methoden.
Überdies wurden Ende des Jahres neue Vorfälle von
Verschlüsselungs-Trojanern nach Art von Gpcode registriert, die Daten mit Hilfe der widerstandsfähigen Algorithmen RSA oder AES chiffrieren und ebenfalls Geld
für die Wiederherstellung der entsprechenden Informationen fordern.
Stuxnet
Die Entdeckung des Wurms Stuxnet im Sommer 2010
war bezüglich seines Einflusses auf die Branche eines
der wichtigsten Ereignisse – und zwar nicht nur des
Jahres 2010. Schon die erste Analyse des Wurms
brachte zwei entscheidende Faktoren zutage, die eine
eingehendere Untersuchung unumgänglich machten.
Erstens wurde festgestellt, dass der Wurm auf Windows-Betriebssystemen sofort eine Zero-Day-Sicherheitslücke ausnutzt, die mit der fehlerhaften Bearbeitung von LNK-Dateien zu tun hat (CVE-2010-2568).
Diese Sicherheitslücke wird dazu verwendet, Schaddateien von mobilen USB-Speichern aus zu starten.
Auch andere Cyberkriminelle wurden sehr schnell auf
diese Schwachstelle aufmerksam, und bereits im Juli
registrierten wir andere Schadprogramme, die ebenfalls die entsprechende Sicherheitslücke ausnutzten.
Insbesondere stellten wir fest, dass die Schädlingsverbreiter Sality und Zbot (ZeuS) einen Exploit für ­diese
Schwachstelle einsetzten. Allein im dritten Quartal
2010 waren 6 Prozent aller Mitglieder des Kaspersky
Security Network (KSN) von Angriffen betroffen, die auf
dem Exploit zur Sicherheitslücke CVE-2010-2568 basieren.
Zweitens verwendete der Wurm legale digitale Zertifikate der Firma Realtek. Interessant ist zudem, dass
nach einer gewissen Zeit eine schädliche StuxnetKomponente entdeckt wurde, die mit einem Zertifikat
der Firma JMicron signiert war. Die Original-Trägerdatei (Dropper), die diese Komponente vermutlich installiert hatte, konnte dagegen bisher nicht gefunden wer-
7
den. Die Herkunft dieser Komponente ist eine weitere
Unbekannte in der ohnehin schon überaus rätselhaften
Stuxnet-Geschichte.
Die eingehende Analyse förderte außerdem zutage,
dass der Wurm drei weitere Exploits für Zero-DaySchwachstellen in Windows einsetzt. Der erste dient
der Verbreitung des Wurms im lokalen Netzwerk und
nutzt eine Sicherheitslücke im Druckdienst aus. Diese
Schwachstelle wurde von Kaspersky Lab entdeckt, und
Microsoft veröffentlichte den entsprechenden Patch
im September 2010. Mit zwei weiteren Sicherheits­
lücken erhöhte der Wurm seine Privilegien im System
– über die Komponente win32k.sys und mit Hilfe des
Task Scheduler. An der Entdeckung der erstgenannten Schwachstelle waren ebenfalls Experten von Kaspersky Lab beteiligt.
Stuxnet nutzt insgesamt fünf Schwachstellen aus,
plus einer Sicherheitslücke in der Software Siemens
WinCC, die mit den standardmäßig eingestellten Zugriffspasswörtern zu tun hat. Das ist allerdings nicht
die bemerkenswerteste Eigenschaft des Wurms. Die
destruktive Aktivität von Stuxnet richtet sich gegen Systeme mit einer bestimmten Konfiguration von SIMATIC WinCC/PCS7, die – und das ist das Entscheidende
– auf spezielle Modelle von speicherprogrammierbaren
Steuerungen (SPS) sowie auf Frequenzumrichter von
bestimmten Herstellern zugreifen können.
Die vom Wurm installierte dynamische Bibliothek fängt
einen Teil der Systemfunktionen ab und kann dementsprechend Einfluss auf die Systemoperationen zur
Steuerung des Industrieobjektes nehmen. Die wichtigste Aufgabe des Wurms besteht darin, die Funktionslogik der Controller in den Frequenzumformern
zu ändern. Diese Controller überwachen die Drehgeschwindigkeit von Motoren. Dabei funktionieren sie nur
mit Motoren mit einer sehr hohen Drehgeschwindigkeit,
für die es nur wenige Einsatzgebiete gibt, zum Beispiel
in Zentrifugen.
TDSS
Unter den „klassischen“ Schadprogrammen gebührt
dem Schädling TDSS im Jahr 2010 der Siegerkranz.
Das Attribut „klassisch“ ist dem Auftauchen des oben
beschriebenen gefährlichen Wurms Stuxnet geschuldet, bei dem es sich zweifellos um eine absolute Neuheit in der Computerviren-Szene handelt, und der nicht
das Werk gewöhnlicher Cyberkrimineller sein kann.
Der Backdoor TDSS war bereits mehr als einmal Thema in unseren Analysen aus den Jahren 2009 und
2010. Auch bei den Analysten anderer Antiviren-Anbieter ist dieser Schädling auf großes Interesse gestoßen, denn abgesehen von Stuxnet handelt es sich
bei TDSS um den derzeit kompliziertesten Schadcode
überhaupt. In TDSS werden nicht nur ständig neue Methoden umgesetzt, um seine Anwesenheit im System
zu verbergen und um das Botnetz zu steuern. Seine
Autoren nutzen auch immer wieder verschiedene Sicherheitslücken aus, sowohl bereits gepatchte als auch
Zero-Day-Schwachstellen.
8
Im Jahr 2010 lief TDSS erstmals auch auf 64-Bit-Systemen. Die entsprechende Modifikation wurde im August des vergangenen Jahres entdeckt und erhielt die
interne Nummer TDL-4. Zur Umgehung des Systemschutzes von Windows setzten die TDSS-Autoren auf
eine Infizierung des MBR, die in ähnlicher Form auch
Sinowal verwendet – ein anderer Trojaner. Bei erfolgreicher Infizierung des MBR wird der Schadcode noch
vor dem Start des Betriebssystems ausgeführt und
kann die Bootparameter dahingehend ändern, dass im
System nicht signierte Treiber registriert werden können.
Der Downloader des Rootkits, der bestimmt, ob der
Schädling unter einem 32-Bit- oder 64-Bit-System laufen soll, legt den Treibercode im Speicher ab und registriert diesen im System. Danach erfolgt der Start des
Betriebssystems mit dem bereits integrierten Schadcode. Dabei ändert das Rootkit nicht den Kernbereich
des Betriebssystems, den Windows mit der Technologie PatchGuard schützt.
Die Firma Microsoft wurde von unseren Experten über
das Problem informiert, stufte diese „Besonderheit“ jedoch nicht als kritisch ein und klassifizierte sie nicht als
Sicherheitslücke, da der Trojaner für die Registrierung
im Bootsektor bereits über administrative Privilegien im
System verfügen muss.
Um derartige Privilegien zu erhalten, setzt TDSS verschiedene Tricks ein und wird fortwährend perfektioniert. So entdeckten wir Anfang Dezember eine weitere
Zero-Day-Schwachstelle, die TDSS ausnutzt, um seine Privilegien zu erhöhen. Diese Sicherheitslücke im
Task Scheduler kam erstmals in Stuxnet zum Einsatz
und wurde erst Mitte Dezember 2010 von Microsoft geschlossen.
Zahlreiche Vorfälle bei Twitter und Facebook
Zwei der populärsten und sich am schnellsten entwickelnden sozialen Netzwerke standen 2010 im Zentrum zahlreicher Attacken. Diese Angriffe fanden nicht
nur vor dem Hintergrund statt, dass Cyberkriminelle in
diesen Netzen eine weitere Möglichkeit sahen, um ihre
Schadprogramme zu verbreiten. Die Attacken nutzten
auch in diesen Netzwerken entdeckte Sicherheitslücken aus, die ihnen den Vertrieb erleichterten.
Unter den Schädlingen für soziale Netzwerke waren
die zahlreichen Varianten des Wurms Koobface am aktivsten. Sie richteten sich im Wesentlichen gegen Twitter, wo Links auf trojanische Programme über gehackte
User-Accounts verbreitet wurden. Wie effizient Versendungen innerhalb sozialer Netzwerke sind, zeigt die
Statistik. Allein im Verlauf einer eher unbedeutenden
Attacke auf Twitter erhielten innerhalb einer Stunde
mehr als 2000 Anwender den entsprechenden Link.
Eine mit der Popularität des iPhones zusammenhängende und bezeichnende Geschichte ereignete sich im
Mai im sozialen Netzwerk Twitter. Am 19. Mai kündigten
die Betreiber von Twitter offiziell die neue Applikation
„Twitter für iPhone“ an. Cyberkriminelle entschlossen
sich, auf der Diskussionswelle mitzusurfen, die sich
nach Veröffentlichung der Bekanntmachung aufbaute.
Weniger als eine Stunde nach Erscheinen dieser Neuigkeit wurde Twitter von Mitteilungen überschwemmt, in
denen immer wieder die Wortkombination „twitter iPhone application“ auftauchte, und die zudem Links auf
das Schadprogramm Worm.Win32.VBNA.b enthielten.
2009 wurden die Aktionen fortgesetzt und führten zur
Beendigung der Tätigkeiten von UkrTeleGroup, RealHost und 3FN.
Zudem nutzten manche Malware-Autoren Twitter auch
beispielsweise dazu, neue Domainnamen für BotnetzSteuerungszentren zu generieren.
Für die Strafverfolgungsbehörden in verschiedenen
Ländern wurde 2010 zum erfolgreichsten Jahr im
Kampf gegen die Cyberkriminalität. Wir erwähnten bereits, dass einige Autoren von SMS-Blockern in Russland inhaftiert wurden, doch das ist nur ein kleiner Teil
einer weltweiten Kampagne, um die Verbrecher zur Rechenschaft zu ziehen.
Einige im Jahr 2010 bei Twitter entdeckte XSS-Sicherheitslücken wurden ebenfalls aktiv von Cyberkriminellen ausgenutzt. Besonders bemerkenswert waren
die im September durchgeführten Attacken. Einige
XSS-Würmer wurden auf das soziale Netzwerk losgelassen und verbreiteten sich ohne Beteiligung der
User – es genügte bereits, eine infizierte Mitteilung
anzuschauen. Wir schätzen, dass im Zuge dieser Epidemien mehr als eine halbe Million Twitter-User angegriffen wurden.
Anfang 2010 wurde ein Teil der Steuerungsserver
desjenigen Botnetzes abgeschaltet, das mit Hilfe des
Schädlings Email-worm.Win32.Iksmas alias Waledac
aufgebaut worden war. Das Zombienetz war aufgrund
massiver Spam-Attacken mit bis zu 1,5 Milliarden EMails in 24 Stunden bekannt geworden. Außerdem
integrierte es aktuelle Themen in seine Mitteilungen,
verschickte E-Mails mit Links auf Iksmas und setzte bei
seinen Bots serverseitigen Polymorphismus sowie die
Fast Flux-Technologie ein.
Im Mai etablierte sich bei Facebook eine ganz neue
Angriffsart, die mit der neu eingeführten Funktion „like“
(„gefällt mir“) zusammenhängt. Wie sich unschwer erraten lässt, ist diese Funktion für die Liste dessen verantwortlich, was dem Inhaber des jeweiligen Accounts
gefällt. Tausende Anwender fielen der Attacke zum
Opfer, die analog zu „clickjacking“ den Namen „likejacking“ erhielt.
Im Sommer verhaftete die spanische Polizei die Betreiber von Mariposa, einem der größten Botnetze überhaupt. Dieses Zombienetz wurde mit Hilfe des Wurms
P2P-worm.Win32.Palevo aufgebaut. Der Wurm verbreitet sich über Peer-to-Peer-Kanäle, Instant-Messaging-Systeme und über die Autorun-Funktion, das
heißt über beliebige mobile Geräte wie Fotoapparate
oder USB-Sticks. Die wichtigste Einnahmemethode von Palevo war der Verkauf und die Verwendung
gestohlener Userdaten: Anmeldeinformationen und
Passwörter verschiedener Dienste, in erster Linie Online-Banking. Später wurden in Slowenien vier junge
Leute verhaftet, die beschuldigt werden, den WurmSchadcode im Auftrag spanischer „Kunden“ entwickelt
zu haben. Nach Einschätzungen von Experten hat das
Botnetz Mariposa bis zu 12 Millionen Rechner umfasst,
was es zu einem der größten in der Geschichte des
Internets macht.
Auf Facebook wurden zudem Köder-Links platziert,
die zum Beispiel die „Fußball-WM 2010 in hoher Auflösung“ oder die „101 attraktivsten Frauen der Welt“ versprachen. Die Links führten auf eine speziell erstellte
Seite, auf der per Javascript direkt unter dem Mauspfeil
ein unsichtbarer „gefällt mir“-Button platziert wurde. Der
Button folgte dem Mauspfeil, so dass der User unausweichlich die Schaltfläche klickte und so automatisch
den Link auf seine „Pinnwand“ kopierte. Anschließend
wurden die Freunde des Anwenders darüber informiert,
dass ihm dieser Link gefällt. Nun funktionierte die Attacke nach dem Schneeballsystem: Die Freunde des
Users folgten dem Link, daraufhin die Freunde der
Freunde, dann deren Freunde und so weiter. Nachdem
der Link auf die „Pinnwand“ kopiert wurde, gelangte
der Anwender auf die Seite mit den anfangs versprochenen Informationen, zum Beispiel Fotos junger Mädchen. Hinter der der Attacke verbarg sich eine illegale
Einnahmequelle: Auf dieser Seite befand sich nämlich
ein kleines Javascript eines Werbeunternehmens, das
den Organisatoren der Attacke für jeden Besucher der
Seite eine kleine Geldsumme zahlte.
Verhaftungen von Cyberkriminellen und Schließung von Botnetzen
In den Jahren 2008 bis 2009 führte der Kampf der Aufsichtsbehörden, der Telekommunikationsunternehmen
sowie der Antiviren-Industrie gegen kriminelle InternetHostings und -Services zu gewissen Erfolgen. Den Anfang machte Ende 2008 die Schließung verschiedener
Dienste wie McColo, Atrivo oder EstDomains. Im Jahr
Im Frühjahr 2010 wurde in Russland einer der Organisatoren des so genannten „RBS hack“ festgenommen und im September verurteilt. Im Jahr 2009 wurde
ausführlich darüber berichtet, dass Unbekannte mehr
als neun Millionen Dollar aus Hunderten von Bankautomaten rund um den Globus gestohlen hatten. Ungeachtet der Schwere des Verbrechens und der Höhe der
Summe verurteilte ein Gericht in Sankt Petersburg den
Angeklagten zu sechs Jahren Freiheitsentzug auf Bewährung. Andere Organisatoren dieser Attacke wurden
in Estland verhaftet und an die USA ausgeliefert, wo
sie jetzt auf ihren Prozess warten. Zwei weitere an dem
Angriff Beteiligte wurden ebenfalls inhaftiert, einer in
Frankreich, der andere in Russland.
Im Herbst wurden viele Kriminelle verhaftet, die mit
dem Einsatz des Schadprogramms ZeuS zu tun hatten.
Ende September wurden 20 aus Russland, der ­Ukraine
und anderen osteuropäischen Ländern stammende
Personen verhaftet. Bei ihnen handelte es sich um
Money Mules: Wäscher von Geld, das mit Hilfe dieses
Trojaners gestohlen worden war. Gleichzeitig wurde in
9
Großbritannien eine Gruppe von Personen aufgrund
eines ähnlichen Tatbestandes festgenommen. Kurz
darauf erklärte der mutmaßliche Autor von ZeuS in verschiedenen Foren, in denen Vertreter der russischsprachigen Cyberkriminellen-Szene verkehren, dass er sich
„aus dem Geschäft zurückziehen“ und den Quellcode
des Trojaners und seiner Module an einen anderen
Entwickler weitergeben werde.
Mitte Oktober wurde auch die Geschichte eines weiteren bekannten Botnetzes beendet, das auf dem trojanischen Programm Bredolab basierte. Tatsächlich ist
hier nicht von einem einzelnen Zombienetz die Rede,
sondern gleich von mehreren, deren Steuerung Hunderte zentraler Server übernahmen. Sie alle wurden infolge einer Aktion der holländischen und französischen
Cyberpolizei abgeschaltet. Zum Zeitpunkt seiner Schließung bestand das größte Segment des Botnetzes aus
über 150.000 infizierten Rechnern. Der Betreiber des
Botnetzes ist Armenier. Er wurde mehrere Monate observiert und – nachdem die Server abgeschaltet waren
– bei seiner Ankunft aus Moskau am Flughafen Jerewan festgenommen. Es ist anzunehmen, dass er in
Russland illegalen Geschäften mit anderen Cyberkriminellen nachgegangen ist. Verschiedenen Quellen zufolge ist er bereits seit fast einem Jahrzehnt im Cyberkriminellen-Business aktiv und zudem verantwortlich für
eine Reihe Aufsehen erregender DDoS-Attacken und
Spam-Versendungen. Eine weitere illegale Einnahmequelle bestand in der Vermietung und dem Verkauf von
Teilen des Zombienetzes an andere Kriminelle.
Prognosen für 2011
Daten, Daten, Daten: Cyberattacken 2011 - Der ultimative Datenklau
Bei früheren Prognosen haben wir uns ausschließlich
аuf die Methoden der Cyberangriffe konzentriert, wie
zum Beispiel „Attacken auf mobile Plattformen“, „Sicherheitslücken“ und ähnliches. Das hängt damit zusammen, dass das einzige Ziel der Cyberkriminellen
immer nur Geld war.
Die Entwicklung des letzten Jahres hat allerdings gezeigt, dass die Welt der Cyberkriminalität sich im Wandel befindet und wir im Jahr 2011 zusätzlich zu den
Methoden nun auch die Bereiche Organisatoren von
Cyberattacken und deren Ziele eingehender betrachten müssen. Man kann diese Entwicklung mit dem
Verschwinden von Schadprogrammen vergleichen, die
„just for fun“ geschrieben wurden und mit dem darauffolgenden Aufkommen der modernen Cyberkriminalität.
Methoden
Zum Einstieg in diesen Abschnitt sei erwähnt, dass die
Methoden der Cyberattacken nicht von ihren Organisatoren und Zielen abhängen. Sie spiegeln vielmehr
die technischen Möglichkeiten wider, die moderne Betriebssysteme, das Internet und seine Services Cyberkriminellen heute bieten.
10
Rückblickend kann gesagt werden, dass 2010 das Jahr
der Sicherheitslücken war. Wir gehen davon aus, dass
sich im neuen Jahr dieses Problem weiter verschärfen wird. Programmfehler werden wohl noch häufiger
als schon geschehen ausgenutzt werden. ­Diese Entwicklung wird begünstigt durch die Entdeckung neuer
Sicherheitslücken in gängigen Produkten (Windows,
Office, Produkte von Adobe und Apple). Stichwort
„Zero-Day-Schwachstelle“: Vor wenigen Jahren war
die Ausnutzung von Zero-Day-Schwachstellen ein einzigartiges Phänomen – im ausgehenden Jahr jedoch
keine Seltenheit mehr. Und wir gehen davon aus, dass
diese Tendenz sich fortsetzen und die Zero-Day-Bedrohungen weiter zunehmen werden. Zudem werden
künftig nicht nur die unter Cyberkriminellen so beliebten
Sicherheitslücken der Klasse “remote code execution”
ausgenutzt werden, sondern auch die bisher kaum beachteten Schwachstellen zur Erhöhung der Systemprivilegien, der Datenmanipulation und der Umgehung
der Schutzmechanismen des Systems. Aber auch auf
der menschlichen Seite hat sich einiges getan, und so
werden die immer professioneller agierenden Cyberkriminellen schneller denn je auf ihre Aufdeckung und
Entdeckung reagieren können.
Nach wie vor werden die wichtigsten illegalen Einnahmequellen im Diebstahl von Online-Banking-Accounts,
Spamversand, der Organisation von DDoS-Attacken,
Erpressung und Betrug liegen. Um diese Ziele zu erreichen, werden mehr oder weniger häufig dieselben
Methoden wie heute auch angewendet werden.
Ohne Zweifel wird die Zahl der Bedrohungen für 64-BitPlattformen zunehmen. Da das Leben sich zunehmend
in sozialen Netzwerken abspielt, wird auch im neuen
Jahr die Zahl der Angriffe auf Nutzer sozialer Netzwerke zunehmen. Dabei werden die meisten Attacken
Sicherheitslücken ausnutzen und über den Browser realisiert werden. DDoS-Attacken bleiben eines der wichtigsten Probleme des Internets. Zudem müssen wir uns
auf neuartige Angriffe auf mobile Geräte und Betriebssysteme einstellen. In erster Linie wird das neue Jahr
für Android recht gefährlich werden. Doch all das wird
nur der Hintergrund sein vor einer sich grundlegend gewandelten Landschaft, die geprägt sein wird von dem
Auftreten neuer Organisatoren und neuer Ziele der Cyberattacken.
Neue Organisatoren und neue Ziele
Wie eingangs erwähnt, waren die letzten Jahre hinsichtlich des Zwecks der Cyberattacken recht überschaubar, ging es doch größtenteils um Geld. Das Auftreten von Stuxnet allerdings läutete eine neue Ära ein,
denn hier wurden gewisse moralische und technische
Grenzen überschritten. Die Angriffe des Wurms haben
der ganzen Welt eindrucksvoll gezeigt, dass es Cyberwaffen gibt, denen man nicht ohne Weiteres, ganz im
Gegenteil nur mit äußerster Anstrengung Widerstand
leisten kann. Nachdem die erste Stuxnet-Welle für die
Cyberkriminellen so erfolgreich gelaufen ist, ist es nicht
ausgeschlossen, dass zukünftig auch Cyber-Nachrichtendienste und kommerzielle Unternehmen ihr Wissen
und ihre Möglichkeiten in Stuxnet-ähnliche Programme
stecken werden. Traditionelle Cyberangriffe werden
natürlich nach wie vor Standard sein und somit die Basis der Kriminalität im Web bilden. Der normale Nutzer wird auch höchstwahrscheinlich nicht von Stuxnetartigen Schädlingen betroffen sein. Das Szenario wird
vielmehr einem unsichtbaren Kampf gleichen, dessen
Episoden nur äußerst selten und wenn, dann zufällig
ins Blickfeld der Massenmedien geraten. Die meisten
Opfer werden daher nie erfahren, wie und von wem
ihnen Schaden zugefügt wurde. Dabei ist die Rede
noch nicht einmal unbedingt von Cyberspionage, wie
Stuxnet sie betrieben hat. Das generelle Ziel dieser Art
von Angriffen werden Informationen jeglicher Art sein.
Stuxnet hat eine neue Ära der Cyberbedrohungen eingeläutet. Wir gehen davon aus, dass diese Entwicklung
im Jahr 2011 nur ihren Anfang nimmt und erst in den
darauffolgenden Jahren zur vollen Entfaltung kommt.
Allerdings ist schon jetzt klar, dass durch diese neue
Qualität der Attacken und derer, die sie vorbereiten, der
Kampf gegen Cyberbedrohungen wesentlich schwerer
wird.
Spyware 2.0
Die Zeit ist reif für ein neues Konzept: Spyware 2.0 löst
das alte Konzept der Malware 2.0 ab. Neben Spamversand und Organisation von DDoS-Attacken besteht
die Hauptfunktionalität moderner Schadprogramme
im Diebstahl von Anwender-Accounts. Im Fokus stehen hier Banken, E-Mail, soziale Netzwerke und vieles
mehr. Doch Account-Daten sind bei Weitem nicht alles,
und vor allem nicht das Wertvollste, was beim Anwender zu holen ist. Im Jahr 2011 erwarten wir eine neue
Klasse von Spionageprogrammen, deren Funktionalität schlicht und einfach darin besteht, alles zu stehlen,
was es zu stehlen gibt. Diese Art der Spyware wird sich
für den Anwender selbst interessieren – Wohnort, Arbeit, Hobbys, Bekannte, Familienstand und Familie,
Haarfarbe, Augenfarbe, Dokumente, Fotos und so weiter. Nichts auf dem infizierten Computer wird vor ihnen
sicher sein.
Derartige Daten werden schon jetzt von sozialen Netzwerken und Verkäufern von Internetwerbung gesammelt, denn der Markt dafür existiert. Und wo ein Markt
ist, gibt es Nachfrage, lässt sich Geld verdienen. Dabei
ist die weitere Verwertung dieser Daten nicht einmal
wichtig. Die Hauptsache bei Nachfrage und Angebot
besteht darin, dass sich hier Cyberkriminellen eine
neue Einnahmequelle eröffnet.
Informationen sind der größte Wert in der heutigen
Zeit. Der Interessensbereich derer, die solche Angriffe
initiieren, wird sich signifikant erweitern. 2011 wird also
auch das Jahr von universellen Allround-Dieben werden. Cyberkriminelle haben in den letzten Jahren einen
regelrechten Professionalisierungsprozess durchlaufen. Früher waren neben den Heimanwendern ausschließlich Finanzinstitute und verschiedene Bezahlsysteme für die Cyberkriminellen attraktiv. Heute sind
sie technisch so weit fortgeschritten, dass sie sich auf
den Markt der Industriespionage, des Betrugs und der
Erpressung vorwagen können.
Zusammenfassung der Haupttrends 2011
Der Ausblick auf das Jahr 2011 lässt Schlimmes ahnen.
Sicherlich war zu erwarten, dass Cyberkriminalität nicht
abnehmen wird – aber nun erreichen die Attacken eine
neue Qualität, und wir sehen uns einer neuen Professionalität der Cyberkriminellen gegenüber. Hier die Tendenzen im Überblick:
►Bei der Entwicklung von Schadprogrammen und der
Organisation von Cyberattacken treten neue, professionellere Spieler auf den Plan.
►Schädliche Programme werden nicht mehr nur entwickelt, um damit Geld zu verdienen, sondern vermehrt, um Informationen jeglicher Art zu erhalten.
►Informationen werden zum Hauptziel von Cyberattacken und gleichzeitig zu einer neuen Einnahmequelle der traditionellen Cyberkriminalität.
►Sicherheitslücken gehören weiterhin zu den wichtigsten Methoden zur Durchführung von Cyberattacken, wobei sowohl das Spektrum der
Schwachstellen erweitert als auch die AusnutzungsGeschwindigkeit erhöht werden.
►Mit Spyware 2.0 wird eine neue Klasse von Schadprogrammen auf den Diebstahl von persönlichen Anwenderdaten (Identitätsdiebstahl) spezialisiert sein,
aber auch auf den Diebstahl von allen nur erdenklichen Daten.
►Spyware 2.0 wird nicht nur ein Werkzeug in den
Händen der traditionellen Cyberkriminellen sein,
sondern auch von den neuen Profis für Attacken eingesetzt werden.
►Unternehmen werden vermehrt Opfer von Cyberkriminalität werden.
Infos zum Kaspersky Security Network (KSN)
Das Kaspersky Security Network (KSN) ist eine der
wichtigsten Funktionen in den Heimanwender-Produkten, und Kaspersky Lab arbeitet derzeit an der
Integration des Systems in seine Unternehmenslösungen.
Mit Hilfe des KSN können die Kaspersky-Experten in
Echtzeit auf neue Schadprogramme reagieren, für die
noch keine Signaturen vorliegen, und die noch nicht
heuristisch erfasst sind. KSN macht es möglich, die
Verbreitungsquelle von Schadprogrammen im Internet zu lokalisieren und diese für die Anwender zu
sperren.
Gleichzeitig verbessert KSN die Reaktionszeit auf
neue Bedrohungen entscheidend. Zum gegenwärtigen Zeitpunkt kann die Ausführung eines neuen
Schadprogramms auf den Computern der KSN-User
innerhalb weniger Sekunden nach Feststellung seines schädlichen Charakters blockiert werden. Anders
als bisher ist eine Aktualisierung der Antiviren-Datenbanken dafür nicht mehr nötig.
11
Schadprogramme im Internet (Attacken über das
Web)
Kaspersky Security Bulletin 2010/2011
Teil 2: Malware-Statistik
Die vorliegenden Daten wurden mit Hilfe des Kaspersky
Security Network (KSN) gesammelt und ausgewertet.
Das KSN setzt in den Produkten für Heimanwender
und Unternehmen eine Cloud-Architektur ein und gehört zu den wichtigsten Technologien von Kaspersky
Lab. Das Kaspersky Security Network ermöglicht es
unseren Experten, in Echtzeit selbst solche Schadprogramme aufzuspüren, für die es bisher noch keine Signaturen oder heuristische Erkennungsmethoden gibt.
Mit Hilfe des KSN können wir die Verbreitungsquellen
von Schadprogrammen im Internet identifizieren und
Anwender vor dem Zugriff auf diese Quellen schützen.
Gleichzeitig ermöglicht das KSN eine sehr schnelle
Reaktion auf neue Bedrohungen – innerhalb weniger
Sekunden nach seiner Entdeckung auf dem Computer des Anwenders wird das Schadprogramm blockiert,
und zwar ohne die sonst übliche Aktualisierung der
Antiviren-Datenbanken.
Die häufigsten Schadprogramme im Internet 2010
Platz Name
Anzahl der
Angriffe
Anteil
347.848.449
59,94%
1
Blocked
2
Trojan.Script.Iframer
37.436.009
6,45%
3
Trojan.Script.Generic
19.601.498
3,38%
4
Trojan-Downloader.Script.Generic
13.887.220
2,39%
5
Trojan.Win32.Generic
9.515.072
1,64%
6
Exploit.Script.Generic
9.118.706
1,57%
7
Exploit.JS.Agent.bab
3.161.815
0,54%
8
AdWare.Win32.Shopper.l
2.620.672
0,45%
9
Trojan-Clicker.JS.Iframe.bb
2.320.419
0,40%
10
Trojan-Dropper.JS.Hexzone.bu
2.125.007
0,37%
11
Trojan.JS.Agent.bhr
2.014.679
0,35%
12
Trojan.Win32.StartPage
1.610.123
0,28%
13
Trojan.HTML.Fraud.bl
1.547.961
0,27%
14
AdWare.Win32.FunWeb.q
1.463.179
0,25%
15
Trojan-Spy.Win32.Agent.bdpj
1.290.311
0,22%
16
Exploit.Java.CVE-2010-0886.a
1.246.382
0,21%
17
Trojan.JS.Iframe.fe
1.109.354
0,19%
18
Trojan-Downloader.Win32.Generic
1.071.929
0,18%
19
AdWare.Win32.HotBar.dh
1.046.306
0,18%
20
Trojan-Downloader.Win32.Zlob.aces
1.011.464
0,17%
Die im Jahresbericht vorgestellten Statistiken basieren auf Daten von Kaspersky Lab-Produkten, deren
Anwender zugestimmt haben, dass die Software statistische Informationen sammeln und zu Auswertungszwecken an Kaspersky Lab schicken darf.
12
Seit der Veröffentlichung unseres letzten Jahresberichts hat sich die Situation bezüglich der Attacken
über den Browser wesentlich verschlechtert. Während
im Jahr 2008 noch 23.680.646 Browser-Attacken auf
KSN-Mitglieder stattfanden und deren Zahl im letzten
Jahr auf 73.619.767 wuchs, so zählten wir im Jahr
2010 ganze 580.371.937 Angriffe.
Dieser Zuwachs hängt mit der Verbreitung von ExploitSammlungen zusammen, die Angriffe per Drive-byDownload einleiten. Unter diesen Sammlungen sind
Eleonore und Neosploit besonders erwähnenswert.
Cyberkriminelle setzen sie insbesondere zur Verbreitung von Malware über Partnerprogramme nach dem
Schema PPI (Pay Per Install) ein.
Auch die sich selbst verbreitenden Web-Infektionen wie
zum Beispiel Gumblar oder Pegel dürfen nicht außer
Acht gelassen werden. Diese Systeme verwenden von
Cyberkriminellen gestohlene Passwörter für den Zugriff
auf Webressourcen und sind in der Lage, Webseiten
automatisch zu infizieren. Web-Botnetze, die ihren
Pool an Zombie-Computern ständig aktualisieren, gehören zu den komplexesten Problemen der modernen
IT-Sicherheit. Der erste Schritt zur Verbreitung der Bots
läuft hauptsächlich über gehackte legitime Webseiten,
deren Zusammensetzung sich immer wieder ändert.
Die Attacken über den Browser waren im Jahr 2010 die
wichtigste Eindringungsmethode von Malware auf die
Computer der Anwender, und für die nähere Zukunft
sehen wir keinerlei Anzeichen dafür, dass sich diese
Situation ändert. Sicherheitslücken in Browsern (in erster Linie im Internet Explorer) und auch in BrowserAnwendungen wie Adobe Flash Player und PDF Reader tauchen weiterhin praktisch jeden Monat auf, und
jede von ihnen wird dann innerhalb kürzester Zeit von
Cyberkriminellen ausgenutzt.
Im Jahr 2010 haben wir das Kaspersky Security Network um neue Algorithmen zur Erkennung potentiell
gefährlicher Webseiten und Anwendungen im Netz erweitert. Zusammen mit dem System zur Entdeckung
von Phishing-Seiten ermöglichen uns diese Technologien, über 60 Prozent der Web-Attacken im allerfrühsten Stadium zu identifizieren. Das geschieht ganz
ohne Verwendung traditioneller signaturbasierter Erkennungsmethoden und ohne Aktualisierung der Antiviren-Datenbanken durch die Anwender.
Top 20 der Schadprogramme im Internet
In der Tabelle links sind die 20 aktivsten Schadprogramme aufgeführt, die im Jahr 2010 an Internet-Attacken auf die Computer der Anwender beteiligt waren.
Jede dieser 20 Bedrohungen wurde von Kaspersky
Lab mehr als eine Million Mal registriert, und mehr als
80 Prozent (461.046.555) aller registrierten MalwareVorfälle entfielen auf diese Schädlinge.
Den ersten Platz im Rating belegen Bedrohungen, die
mit Hilfe spezieller Algorithmen zur Entdeckung potentiell gefährlicher Seiten, Links und bereits erwähnter
Anwendungen blockiert wurden. Auf Position zwei befinden sich heuristisch erkannte schädliche Links, die
von Hackern oder häufig von den Schadprogrammen
selbst in den Code der gehackten Seiten eingeschleust
werden. Diese Links rufen im Browser heimlich eine andere Seite auf, die in der Regel die eigentliche ExploitSammlung enthält, welche Sicherheitslücken in Browsern und Anwendungen ausnutzt. Weitere Programme
dieser Art – und zwar die am weitesten verbreiteten
IFrame-Bedrohungen – landeten auf den Plätzen 9 und
17. In diesen Fällen handelt es sich jedoch um signaturbasierte Erkennung.
Im Jahr 2009 befanden sich in den Top 5 der WebBedrohungen die Skripte Gumblar und die Adware
Boran.z. Im Jahr 2010 belegten Schadprogramme, die
Kaspersky Anti-Virus heuristisch aufgespürt hat, die
Plätze 2 bis 6. Mit Gumblar und Boran.z vergleichbare
Programme wie Agent.bab und Shopper.l belegten die
Plätze 7 und 8.
Der Schädling Exploit.JS.Agent.bab trat im Mai 2010
erstmals in Erscheinung und wurde in seinem ersten
„Lebensmonat“ mehr als 340.000 Mal entdeckt. Der
Exploit nutzt die Sicherheitslücke CVE-2010-0806
aus und lädt verschiedene Schadprogramme auf den
betroffenen Computer. Die Zusammenstellung dieser
Schädlinge weist eindeutig auf die chinesische Herkunft des Exploits hin: Trojan-Downloader.Win32.Geral und Backdoor.Win32.Hupigon, Trojan-GameTheif.
Win32.Maganiz, Trojan-GameTheif.Win32.WOW und
so weiter.
Das Werbeprogramm Adware.Win32.Shopper.l verhält
sich äußerst aggressiv, versucht auf verschiedene Arten in den Computer einzudringen und installiert eine
Erweiterung für den Microsoft Internet Explorer. Neben
Shopper schafften es zwei weitere Werbeprogramme
in die Hitliste der Web-Schädlinge: Funweb.q (Platz 14)
und HotBar.dh (Platz 19). Nahezu alle anderen Vertreter der Top 20 sind entweder Exploits oder werden bei
Attacken eingesetzt, die Sicherheitslücken mit Exploits
ausnutzen.
Top 20 der Länder und Gebiete, auf deren Webressourcen Schadprogramme untergebracht sind
Im Jahr 2010 hat Kaspersky Lab 580.371.937 Attacken
registriert, die von Internet-Ressourcen in 201 Ländern
ausgingen. Etwa 90 Prozent aller von uns im Netz erfassten Schadprogramme stammten aus zwanzig Ländern (siehe Tabelle rechts unten). Zur Bestimmung
der geografischen Ursprünge der Attacken wurden
Domainname und reale IP-Adresse gegenübergestellt,
auf der die entsprechende Domain untergebracht war.
Außerdem wurde die geografische Herkunft (GEOIP)
der jeweiligen IP-Adresse bestimmt.
Bei der Analyse dieser Statistik muss man unbedingt
berücksichtigen, dass es hier nicht nur um von Cyberkriminellen aufgebaute und unterhaltene schädliche
Hosting-Services geht, sondern auch um legale Webseiten, die gehackt und als „Obdach“ für Schadcode
ausgenutzt wurden. Eine falsche Auslegung dieser Daten könnte dazu führen, dass einem Land die „Schuld“
für die Attacken gegeben wird – und solche Beschuldigungen gab es bereits. Doch das ist grundlegend
falsch. Die Statistik zeigt vielmehr, dass sich die Länder
in der Opferrolle befinden, weil deren Cyberspace von
Kriminellen ausgenutzt wird.
Im Jahr 2010 hat sich die Geografie der Web-Bedrohungen drastisch verändert. Noch 2009 führte China
das Ranking mit dem unglaublich hohen Wert von 52
Prozent an. Im Jahr 2010 ergriffen die chinesischen
Behörden Maßnahmen zur Verbesserung der Situation
und konnten viele schädliche Hosting-Services, die von
Cyberkriminellen auf der ganzen Welt genutzt wurden,
aus dem lokalen Cyberspace entfernen. Zudem wurden die Vorschriften zur Registrierung von Domains in
der Zone .cn verschärft. All das führte dazu, dass China
(13 Prozent) nun nicht mehr das Hauptherkunftsland
von Web-Bedrohungen ist und seine Vorreiterrolle an
die USA (26 Prozent) und Russland (15 Prozent) abgetreten hat.
Der Anteil der USA steigt mit jedem Jahr (7 Prozent
im Jahr 2008, 19 Prozent im Jahr 2009, 26 Prozent im
Jahr 2010) – eine beunruhigende Entwicklung. Selbst
nach einer Reihe spektakulärer Schließungen illegaler
Hosting-Dienste hat sich die Situation nicht verändert.
Wir haben es hier ganz klar mit einer Vielzahl von Infizierungen legaler Webseiten zu tun.
Länder/Gebiete, die Malware hosten
Platz Land
Anteil
1
USA
25,98%
2
Russland
15,13%
3
China
13,07%
4
Niederlande
6,66%
5
Deutschland
5,95%
6
Spanien
4,21%
7
Ukraine
3,84%
8
Großbritannien
3,52%
9
Schweden
2,60%
10
Lettland
1,78%
11
Frankreich
1,72%
12
Kanada
1,44%
13
Britische Jungferninseln
1,03%
14
Polen
0,73%
15
Moldawien
0,71%
16
Philippinen
0,49%
17
Türkei
0,45%
18
Vietnam
0,36%
19
Hong Kong
0,36%
20
Australien
0,36%
TOP 20 insgesamt
90,39%
13
Nach den USA und China folgten im Ranking üblicherweise Deutschland, Holland und Russland, dessen
höchste Positionierung bisher Platz fünf war. Im Jahr
2010 landete allerdings Russland auf dem zweiten
Platz. Der prozentuale Anteil von Attacken aus russischen Internet-Ressourcen stieg innerhalb eines Jahres von 2,6 auf 15,1 Prozent. Die Zunahme der WebRessourcen mit schädlichen Inhalten in Russland steht
in engem Zusammenhang mit den bereits erwähnten
Ereignissen in China. Die russischen Cyberkriminellen
zählten zu den wichtigsten Nutzern der illegalen Hosting-Dienste in China. Nach der Schließung dieses
„Marktes“ waren sie gezwungen, auf russische Ressourcen auszuweichen.
Web-Attacken, aufgeschlüsselt nach Ländern
Der nächste zu analysierende Wert beschreibt, in welchen Ländern und Regionen User am häufigsten zur
Zielscheibe von Web-Attacken wurden. Etwa 82 Prozent aller 561.869.053 registrierten Infizierungsversuche entfielen auf die Computer der Einwohner aus
zwanzig Ländern (siehe Tabelle unten). Verglichen mit
2009 gibt es auch bei der geografischen Verteilung der
angegriffenen Computer wesentliche Veränderungen.
Obwohl chinesische User nach wie vor am häufigsten
im Visier der Angreifer stehen, hat sich der Wert für
dieses Land innerhalb eines Jahres mehr als halbiert
und ist von 46,8 auf 19,1 Prozent gesunken. Russland
und die USA haben die Plätze getauscht, und in beiden
Ländern nahm die Zahl der Angriffe zu – wir registrier-
Web-Attacken auf User
Platz Land
1
China
19,05%
2
Russland
17,52%
3
USA
10,54%
4
Indien
5,56%
5
Deutschland
3,16%
6
Ukraine
2,66%
7
Vietnam
2,60%
8
Großbritannien
2,56%
9
Frankreich
2,55%
10
Italien
2,39%
11
Spanien
2,06%
12
Saudi-Arabien
1,77%
13
Malaysia
1,62%
14
Türkei
1,60%
15
Brasilien
1,49%
16
Mexiko
1,47%
17
Kanada
1,31%
18
Thailand
1,15%
19
Polen
1,09%
20
Ägypten
1,02%
TOP 20 insgesamt
14
Anteil
83,17%
ten einen Anstieg von 5,8 auf 17,5 Prozent respektive
von 6,6 auf 10,5 Prozent. Der Anteil der russischen Anwender ist vor allem auf Grund der Attacken, die über
populäre russische soziale Netzwerke durchgeführt
wurden, so drastisch gestiegen. Anteil daran haben
auch die mit diesen Angriffen zusammenhängenden
Epidemien verschiedener SMS-Blocker, auf die wir
bereits im ersten Teil des Jahresberichts eingegangen
sind. Deutschland und Indien behielten ihre Positionen
in den Top 5 der am häufigsten über Web-Attacken angegriffenen Länder.
Die Gründe für die Zunahme der Angriffe auf User in der
Ukraine von 0,9 Prozent im Jahr 2009 auf 2,7 Prozent
im Jahr 2010 sind größtenteils mit den für Russ­land geltenden Gründen identisch, denn die Überschneidung
des Cyberspace dieser zwei Länder führt zu ähnlichen
Problemen. Der im Jahr 2009 beobachtete Rückgang
der Attacken auf Anwender in der Türkei, Ägypten und
Vietnam hat sich nur bei den ersten beiden Ländern
fortgesetzt. Für die Internet-User in Vietnam hat sich
die Situation dagegen verschlechtert. Das Land ist in
unserem Rating auf den 7. Platz geklettert.
Netzattacken
Ein Grundelement jedes modernen Schutzprogramms
ist die Firewall. Sie kann Angriffe von außen, die nicht
über den Browser laufen, blockieren, und sie wehrt Versuche ab, Anwenderdaten vom Computer zu stehlen.
Kaspersky Internet Security verfügt über eine Firewall
mit IDS (Intrusion Detection System), die eingehende
Pakete erkennt. Bei diesen handelt es sich häufig um
Exploits, die Sicherheitslücken in den Netzdiensten
der Betriebssysteme ausnutzen. Auf diese Weise
können Cyberkriminelle uneingeschränkt auf das System zugreifen. Im Jahr 2010 hat das IDS-System
1.311.156.130 Netzattacken abgewehrt (siehe Tabelle
auf der rechten Seite oben). Der Vorjahreswert lag bei
etwa 220 Millionen Vorfällen.
Im Vergleich zum Jahr 2009 haben die Spitzenreiter
dieses Ratings die Plätze miteinander getauscht. Nach
Anzahl der Attacken belegte NETAPI.buffer-overflow.
exploit den ersten Platz – ein Schädling, der die Sicherheitslücke MS08-067 ausnutzt und in Würmern der Familie Kido zur Anwendung kommt. Die Besetzung der
restlichen Top-5-Positionen blieb unverändert. Nach
wie vor sind hier schädliche Pakete der Würmer Helkern (Slammer) und Exploits zu der Sicherheitslücke
MS03-026 zu finden, die beispielsweise im Jahr 2003
der Wurm Lovesan ausnutzte.
Von besonderem Interesse ist die Netzattacke CVE2010-2729.a (Platz 19), die vom Wurm Stuxnet unter
Ausnutzung der Sicherheitslücke MS10-61 durchgeführt und schließlich von KasperskyExperten aufgedeckt wurde. Über eine Schwachstelle im WindowsDruckdienst konnte sich dieser Wurm über lokale
Netzwerke ausbreiten. Zum Zeitpunkt der Entdeckung
der Schwachstelle handelte es sich um eine Zero-DayAttacke. Nach nur fünf Monaten gelang ihr der Sprung
in die Top 20. Stuxnet ist nach wie vor das einzige
Schadprogramm, das diese Sicherheitslücke ausnutzt.
Vom IDS in Kaspersky Internet Security erkannte Netzwerkattacken
Platz Name
Anzahl
Anteil
1
Intrusion.Win.NETAPI.buffer-overflow.exploit
557.126.500
42,49%
2
DoS.Generic.SYNFlood
400.491.518
30,54%
3
Intrusion.Win.MSSQL.worm.Helkern
262.443.478
20,02%
4
Scan.Generic.UDP
45.343.780
3,46%
5
Intrusion.Win.DCOM.exploit
14.134.307
1,08%
6
Intrusion.Generic.TCP.Flags.Bad.Combine.attack
10.631.023
0,81%
7
Scan.Generic.TCP
5.238.178
0,40%
8
Intrusion.Win.LSASS.exploit
5.089.038
0,39%
9
Intrusion.Win.LSASS.ASN1-kill-bill.exploit
3.256.429
0,25%
10
DoS.Generic.ICMPFlood
2.341.724
0,18%
11
DoS.Win.IGMP.Host-Membership-Query.exploit
1.641.578
0,13%
12
Intrusion.Win.HTTPD.GET.buffer-overflow.exploit
1.399.613
0,11%
13
Intrusion.Win.PnP.exploit
579.249
0,04%
14
Intrusion.Win.EasyAddressWebServer.format-string.exploit
384.278
0,03%
15
Intrusion.Win.SMB.CVE-2009-3103.exploit
236.122
0,02%
16
Intrusion.Win.WINS.heap-overflow.exploit
190.272
0,01%
17
DoS.Win.ICMP.BadCheckSum
101.063
0,01%
18
Intrusion.Generic.FTPD.format-string.attack
98.239
0,01%
19
Intrusion.Win.CVE-2010-2729.a.exploit
71.671
0,01%
20
Intrusion.Win.MSFP2000SE.exploit
44.674
0,004%
1.310.842.734
99,99%
TOP 20 insgesamt
Lokale Infizierungen
Lokale Infizierungen sind von besonderer Bedeutung,
denn zu diesen zählen insbesondere die Objekte, die
nicht über das Netz, E-Mail oder Netzwerk-Ports in
Computer eingedrungen sind.
Verbreitetste Bedrohungen 2010
Platz Gefundenes Objekt
Anzahl
infizierter
Rechner
Die Antiviren-Lösungen von Kaspersky Lab haben fast
1,5 Milliarden (1.325.667.443) Virenvorfälle auf den
Computern der Anwender, die zum Kaspersky Security
Network gehören, entdeckt. Insgesamt wurden dabei
1.590.861 verschiedene schädliche oder potentiell unerwünschte Programme registriert. Die Top 20 der am
weitesten verbreiteten Bedrohungen des Jahres 2010
setzen sich wie aus der Tabelle rechts ersichtlich zusammen.
1
Trojan.Win32.Generic
9.226.235
2
DangerousObject.Multi.Generic
8.400.880
3
Net-Worm.Win32.Kido.ih
6.386.762
4
Virus.Win32.Sality.aa
4.182.229
5
Net-Worm.Win32.Kido.ir
3.785.066
6
Virus.Win32.Virut.ce
1.950.967
7
Worm.Win32.Generic
1.706.624
8
Worm.Win32.FlyStudio.cu
1.384.379
Auf mehr als 14 Millionen Rechnern wurden Infizierungsversuche blockiert, die das KSN erfolgreich mit
Hilfe universaler heuristischer Methoden erkannt hat.
(Trojan.Win32.Generic, Worm.Win32.Generic, Trojan.
Win32.Invader, Exploit.Script.Generic, Trojan-Downloader.Win32.Generic). Über 8 Millionen Computer
wurden mit Hilfe des im Kaspersky Security Network
integrierten Urgent Detection System (UDS) in Echtzeit geschützt. Neue Schaddateien wurden operativ als
DangerousObject.Multi.Generic registriert.
9
Net-Worm.Win32.Kido.iq
1.057.900
10
P2P-Worm.Win32.Palevo.fuc
1.049.861
11
HackTool.Win32.Kiser.il
1.007.745
12
Trojan.Win32.Invader
974.957
13
Trojan.Win32.Pakes.Katusha.o
968.850
14
Worm.Win32.VBNA.b
941.102
15
Trojan.JS.Agent.bhr
941.092
16
Trojan-Dropper.Win32.Flystud.yo
886.356
17
Exploit.Script.Generic
855.842
Der Wurm Kido bleibt das am weitesten verbreitete
Schadprogramm, das auf den Computern der Anwender blockiert wurde, obwohl es Ende 2010 bereits seinen zweiten Geburtstag feierte. Leider ist auch kein
18
Trojan-Downloader.Win32.Generic
806.024
19
Worm.Win32.Mabezat.b
783.831
20
Virus.Win32.Sality.bh
739.712
15
Rückgang der durch diesen Wurm verursachten Vorfälle zu beobachten. Vielmehr registrierten wir im Jahr
2010 eine Zunahme um mehr als das Doppelte. Offensichtlich wird die Bedrohung durch Kido sowie durch
den Virus Sality (Spitzenreiter 2008) mindestens noch
das gesamte Jahr 2011 gleich hoch bleiben, und auf
ein völliges Verschwinden dieser beiden Bedrohungen
aus den Ratings braucht man vermutlich in den nächsten zwei bis drei Jahren nicht zu hoffen.
Auf dem 10. Platz befindet sich eine Variante des
Wurms Palevo, der für den Aufbau des Botnetzes Mariposa verantwortlich ist. Über die Verhaftung des Virenautors und Botnetz-Inhabers berichten wir im ersten
Teil unseres Jahresberichts. Die Position von Palevo
im Ranking zeugt von seiner weiten Verbreitung. Nach
all dem zu urteilen, sind die Vermutungen über 12 Millionen mit Palevo infizierter Computer vollkommen gerechtfertigt.
Die bereits vor einem Jahr beschriebenen Schadprogramme, die mit Hilfe der Skript-Sprache FlyStudio entwickelt wurden, sind nach wie vor in den Top 20 vertreten (Plätze 8 und 16).
Auch das Verpacken und die Tarnung von Schadprogrammen mit Hilfe speziell entwickelter Packer erfreuen sich weiterhin großer Beliebtheit. An die Stelle einiger Packer, die im Jahr 2009 von Cyberkriminellen
verwendet wurden, traten im Jahr 2010 die Packer Katusha und VBNA.
Lokale Infizierungen von Computern, aufgeschlüsselt nach Ländern
Die eben beschriebenen lokalen Infizierungen wurden
bei Anwendern in praktisch jedem Land der Welt registriert. Die Top 20 der Länder, auf die 80 Prozent aller
einmaligen Computer-Infizierungen entfallen, sind mit
dem Ranking der am häufigsten von Web-Attacken betroffenen Länder nahezu identisch (siehe Tabelle links
unten).
„Die Weltkarte“
Die Statistiken jedes Antiviren-Unternehmens basieren
in erster Linie auf den Informationen seiner Kunden.
Die Popularität der Produkte eines Unternehmens in
den verschiedenen Ländern hat dabei natürlich einen
großen Einfluss auf die Zusammensetzung dieser Daten. Um das Infizierungsrisiko, dem die Computer in
den verschiedenen Ländern ausgesetzt sind, möglichst
genau einzuschätzen, haben wir für jedes Land berechnet, wie häufig bei den Usern im jeweiligen Land im
Laufe des Jahres 2010 ein Antiviren-Programm Alarm
geschlagen hat.
Web-Bedrohungen
In der Tabelle unten sehen Sie die Top 20 der Länder,
deren Einwohner am häufigsten von Web-Attacken betroffen waren. Aus unseren Berechnungen haben wir
die Länder ausgenommen, in denen die Zahl der Nutzer
Lokale Infizierungen
Platz Land
1
China
19,86%
2
Russland
15,53%
3
Indien
7,35%
4
USA
5,72%
5
Vietnam
4,44%
6
Ukraine
2,59%
7
Deutschland
2,36%
8
Mexiko
2,18%
9
Italien
2,08%
10
Malaysia
2,07%
11
Frankreich
2,00%
12
Saudi-Arabien
1,92%
13
Türkei
1,91%
14
Spanien
1,88%
15
Brasilien
1,77%
16
Großbritannien
1,67%
17
Ägypten
1,66%
18
Thailand
1,58%
19
Polen
1,26%
20
Indonesien
1,12%
TOP 20 insgesamt
16
Anteil
80,95%
Web-Bedrohungen
Platz Land
Anteil
1
Irak
61,84%
2
Oman
56,19%
3
Russland
53,69%
4
Weißrussland
48,03%
5
USA
46,15%
6
Sudan
45,93%
7
Kuwait
44,24%
8
Armenien
44,20%
9
Kasachstan
43,20%
10
Angola
42,99%
11
Ukraine
42,63%
12
China
41,36%
13
Aserbaidschan
40,98%
14
Indien
40,61%
15
Turkmenistan
39,97%
16
Bangladesh
39,85%
17
Libyen
39,79%
18
Sri Lanka
39,58%
19
Saudi-Arabien
38,72%
20
Dschibuti
37,78%
von Kaspersky-Lab-Produkten relativ gering ist (weniger als 10.000). Im Irak wurden im Jahr 2010 beispielsweise fast zwei von drei Internet-Nutzern über das Netz
angegriffen, in Russland gut jeder zweite User.
Insgesamt lassen sich alle Länder in mehrere Gruppen
einteilen. In die Gruppe mit dem höchsten Risiko, also
einem Wert von mehr als 60 Prozent über das Web
attackierter Anwender, fällt nur ein einziges Land – der
Irak. In die Gruppe mit erhöhtem Risiko und Werten
zwischen 41 Prozent und 60 Prozent gehören die auf
den Irak folgenden 11 Länder aus den Top 20. Die geringer gefährdete Risikogruppe wird von Ländern mit
Werten zwischen 21 Prozent und 40 Prozent gestellt.
Im Jahr 2010 fielen insgesamt 116 Länder der Welt in
diese Gruppe. Die Werte der letzten Gruppe liegen zwischen 0 Prozent und 20 Prozent. Es handelt sich hierbei um die vergleichsweise sichersten Länder, und die
insgesamt fünf Vertreter dieser Gruppe sind Deutschland, Japan, Luxemburg, Österreich und Norwegen.
Ihre Werte schwanken zwischen 19 und 20,8 Prozent.
Lokale Bedrohungen
Eine ähnliche Statistik lässt sich für die Entdeckung lokaler Bedrohungen erstellen – solchen, die auf einem
Computer entdeckt werden und schon auf irgendeine
andere Art und Weise vorher auf das System gelangt
sind, beispielsweise über das lokale Netzwerk oder
über mobile Datenträger (siehe Tabelle unten). Diese
Zahlen spiegeln wider, wie hoch die durchschnittliche
Infizierungsrate von Computern in den verschiedenen
Ländern der Welt ist. Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl
der Nutzer von Kaspersky-Lab-Produkten relativ gering ist (weniger als 10.000). Dass es sich bei den in
diesem Ranking aufgeführten Ländern ausschließlich
um Entwicklungsländer in Afrika und Asien handelt,
lässt sich mit dem stetigen Vormarsch des Internets
in diesen Regionen erklären. Damit einher gehen ein
niedriges Niveau der Computerkenntnisse bei den Anwendern und fehlende Erfahrungen im Kampf gegen
Cyberbedrohungen.
Auch bei den lokalen Bedrohungen ist es sinnvoll, die
Länder in verschiedene Gruppen einzuteilen. Zur Gruppe mit der höchsten Infizierungsrate gehören die ersten
zwölf Länder der Top 20. In der zweiten Gruppe (41 bis
60 Prozent) sind 66 Länder vertreten, in der dritten 45
Länder (21 bis 40 Prozent). Die „saubersten“ Computer
(0 bis ca. 20 Prozent) befinden sich in insgesamt 16
Ländern (siehe Tabelle rechts unten). Diese Werte sind
selbstverständlich relativ, da sie sich wie bereits mehrfach erwähnt allein auf die Anwender von KasperskyProdukten beziehen.
Auch in diesem Rating sind fünf der in Bezug auf WebAttacken sichersten Länder vertreten: Österreich,
Deutschland, Luxemburg, Norwegen und Japan. Dass
diese Länder in beiden Rankings aufgelistet sind, kann
man als Zeichen eines hohen Schutzniveaus der Computer in diesen Ländern werten.
Lokale Bedrohungen
Platz Land
Anteil
1
Irak
79,26%
2
Sudan
70,42%
3
Ruanda
69,18%
4
Nigeria
67,77%
Platz Land
Anteil
5
Tansania
67,68%
1
Japan
8,65%
6
Bangladesh
67,27%
2
Deutschland
10,79%
7
Angola
66,01%
3
Luxemburg
11,79%
8
Burkina Faso
62,58%
4
Österreich
12,87%
9
Afghanistan
62,50%
5
Schweiz
10,15%
10
Uganda
62,02%
6
Dänemark
13,15%
11
Oman
61,95%
7
Finnland
15,91%
12
Turkmenistan
61,25%
8
Norwegen
16,20%
Schweden
16,61%
Länder mit minimalen Infizierungsraten
13
Dschibuti
60,80%
9
14
Nepal
60,44%
10
Großbritannien
17,43%
15
Mongolei
60,10%
11
Kanada
18,28%
16
Kamerun
59,66%
12
Niederlande
18,31%
17
Kenia
59,49%
13
Neuseeland
19,73%
18
Malediven
58,29%
14
Estland
20,00%
19
Sambia
58,24%
15
USA
20,06%
20
Mali
58,00%
16
Irland
20,09%
17
Sicherheitslücken
In den letzten fünf bis sechs Jahren wurde alljährlich
ungefähr die gleiche Menge an Sicherheitslücken entdeckt. Das änderte sich im Jahr 2010. Der Statistik von
CVE (cve.mitre.org) zufolge wurden in Microsoft-Produkten und populären Windows-Anwendungen anderer Anbieter um einiges mehr Schwachstellen entdeckt
als im Jahr 2009.
Auch wenn sich die Zahl der entdeckten Sicherheitslücken nur unwesentlich ändert, nutzen Cyberkriminelle
Schwachstellen Jahr für Jahr aktiver zu ihren Zwecken
aus. Im Jahr 2010 erregte das Sicherheitslücken-Problem in gängigen Programmen mehr als einmal die
Aufmerksamkeit der Computersicherheitsexperten und
Journalisten. Unter Ausnutzung von Sicherheitslücken
wurden Attacken durchgeführt, die auch in den Massenmedien hohe Wellen schlugen: die Operation Aurora und die Stuxnet-Attacke. Der Effekt dieses öffentlichen Interesses hat zwei Seiten. Einerseits begannen
auch andere Cyberkriminelle die „bekannt gemachten“
Schwachstellen auszunutzen, andererseits beeilten
sich die Hersteller, die Löcher in ihrer Software zu stopfen.
Früher gehörten die Komponenten des Betriebssystems Windows und andere Microsoft-Produkte zu den
interessantesten Objekten von Cyberkriminellen und
Forschern, die nach Sicherheitslücken suchen. Doch
Am weitesten verbreitete Schwachstellen 2010
18
Platz
Nr.
Name
Anteil
Prio
Auswirkung
Datum
1
31744
Microsoft Office OneNote URI Handling Vulnerability
26,98%
Hoch
kritisch
Systemzugriff
9.9.2008
2
35377
Microsoft Office Word Two Vulnerabilities
26,64%
Hoch
kritisch
Systemzugriff
9.6.2009
3
38805
Microsoft Office Excel Multiple
Vulnerabilities
24,98%
Hoch
kritisch
Systemzugriff
9.3.2010
4
Sun Java JDK / JRE Multiple Vulne37255
rabilities
Systemzugriff, DoS, Aufdecken sensibler
Daten, Aufdecken von Systeminformationen, Datenmanipulation, Umgehung der
Systemsicherheit
31.3.2010
5
38547
Adobe Flash Player Domain Sandbox Bypass Vulnerability
17,41%
Mäßig
kritisch
Umgehung der Systemsicherheit
12.2.2010
6
34572
Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability
15,87%
Extrem
kritisch
Systemzugriff
3.4.2009
7
37690
Adobe Reader/Acrobat Multiple
Vulnerabilities
14,46%
Extrem
kritisch
Systemzugriff, Cross-Site-Scripting
15.12.2009
8
29320
Microsoft Outlook "mailto:" URI
Handling Vulnerability
12,96%
Hoch
kritisch
Systemzugriff
11.3.2008
9
Adobe Reader / Acrobat SING
41340 "uniqueName" Buffer Overflow
Vulnerability
12,63%
Extrem
kritisch
Systemzugriff
8.9.2010
10
39272
Adobe Reader / Acrobat Multiple
Vulnerabilities
12,55%
Hoch
kritisch
Systemzugriff, Cross-Site-Scripting
14.4.2010
11
40026
Adobe Flash Player Multiple Vulnerabilities
12,38%
Extrem
kritisch
Systemzugriff, Cross-Site-Scripting
5.6.2010
12
23655
Microsoft XML Core Services Multiple Vulnerabilities
12,27%
Hoch
kritisch
Systemzugriff, Cross-Site-Scripting, DoS
9.1.2007
13
41917
Adobe Flash Player Multiple Vulnerabilities
11,99%
Extrem
kritisch
Systemzugriff, Aufdecken sensibler Daten, Umgehung der Systemsicherheit
28.10.2010
14
Sun Java JDK / JRE / SDK Multiple
41791
Vulnerabilities
Systemzugriff, DoS, Aufdecken sensibler
Daten, Aufdecken von Systeminformationen, Datenmanipulation, Umgehung der
Systemsicherheit
13.10.2010
15
32428
Microsoft PowerPoint Multiple
Vulnerabilities
16
40907
17
Hoch
23,18%
kritisch
Hoch
11,21%
kritisch
10,33%
Hoch
kritisch
Systemzugriff
12.5.2009
Adobe Flash Player Multiple Vulnerabilities
9,99%
Hoch
kritisch
Systemzugriff
11.8.2010
25952
ACDSee Products Image and Archive Plug-ins Buffer Overflows
9,88%
Hoch
kritisch
Systemzugriff
2.11.2007
18
38551
Adobe Reader/Acrobat Two Vulnerabilities
9,50%
Hoch
kritisch
Systemzugriff, Umgehung der Systemsicherheit
12.2.2010
19
37231
Sun Java JDK / JRE Multiple Vulnerabilities
9,03%
Hoch
kritisch
Systemzugriff, DoS, Aufdecken sensibler
Daten, Umgehung der Systemsicherheit
4.11.2009
20
39375
Microsoft Office Publisher File Parsing Buffer Overflow Vulnerability
8,51%
Hoch
kritisch
Systemzugriff
13.4.2010
das ständig steigende Sicherheitsniveau dieses Betriebssystems und die Entwicklung eines Moduls zum
automatischen Update haben dazu geführt, dass die
meisten Anwender ihre Microsoft-Produkte nun ausreichend schnell aktualisieren. Daher gelingt es Cyberkriminellen nicht allzu lange, Schwachstellen in dieser
Software auszunutzen. Das wiederum zwingt OnlineKriminelle dazu, nach Lücken in Programmen zu suchen, deren Hersteller der Sicherheit keine derart große
Aufmerksamkeit widmen. So haben sich Schwachstellen in gängigen Anwendungen von anderen Anbietern
gefunden, die nicht zur Windows-Standardausstattung
gehören. In der Regel hat jeder User auf seinem Rechner zwei Dutzend solcher Anwendungen installiert, auf
deren Aktualisierung nicht allzu sehr geachtet wird.
Dass nun in erster Linie Programme im Fokus stehen,
die nicht zum Betriebssystem Windows gehören, zeigt
auch unsere Statistik: Im ersten Quartal 2010 gehörten
noch 6 der 10 am weitesten verbreiteten Sicherheitslücken zu Microsoft-Produkten, im vierten Quartal war
es nur noch eine von 10! Bei allen übrigen handelt es
sich um Schwachstellen in populären Anwendungen
wie Playern, Programmen zum Lesen elektronischer
Dokumente, Browser und virtuellen Maschinen.
Noch ein Jahr zuvor belegten Microsoft-Produkte mit
recht großem Abstand die Führungsposition in dieser
Kategorie. Im Jahr 2010 hat sich das Bild grundlegend
gewandelt: Den ersten Platz in den Top 20 nach Anzahl der entdeckten Sicherheitslücken teilen sich Produkte von Microsoft und Adobe. Eine nicht unwesentliche Rolle spielte dabei der Umstand, dass in den Top
20 des Jahres 2009 nur Sicherheitslücken des Adobe
Flash Player vertreten waren und im Jahr 2010 vier
von acht Schwachstellen in Adobe-Produkten auf den
­Adobe Reader entfielen, der zu einem der Lieblingsziele von Cyberkriminellen avanciert ist.
Die anfälligsten Anwendungen auf Windows-Plattformen waren im Jahr 2010 Programme aus dem Microsoft Office-Paket, der Adobe Reader und der Adobe
Flash Player. Auch der Anteil entdeckter Sicherheitslücken in Sun (Oracle) Java JDK/JRE nimmt stetig zu.
Gleichzeitig waren in den Top 20 dieses Mal keine
Schwachstellen im Apple QuickTime Player vertreten,
auf den im Jahr 2009 noch 70 Prozent aller entdeckten
Schwachstellen entfielen. Kategorisiert man die Top 20
der auf den Computern der KSN-Nutzer entdeckten Sicherheitslücken nach ihren Auswirkungen auf das System, so ergibt sich die folgende Verteilung:
Verteilung der Top-10-Sicherheitslücken
Microsoft Adobe Oracle Mozilla
Apple
HP
Q1
6
3
1
0
0
0
Q2
6
3
1
0
0
0
Q3
5
4
1
0
0
0
Q4
1
5
1
1
1
1
Im Jahr 2010 erkannte unser System zur Analyse von
Sicherheitslücken 510 verschiedene Schwachstellen
auf den Computern der KSN-Nutzer. Kaspersky Lab
hat die 20 häufigsten Sicherheitslücken des Jahres
2010 analysiert, auf die 89,6 Prozent aller erkannten
Schwachstellen entfallen.
Bemerkenswert ist, dass es sich bei fast der Hälfte der
hier aufgeführten Schwachstellen um Fehler in der Software handelt, die bereits vor 2010 bekannt waren. Zwei
dieser „alten“ Sicherheitslücken (welche sich in Microsoft XML Core Services und ACDSee Products Image
and Archive Plug-in befanden) wurden bereits im Jahr
2007 (!) entdeckt. Im Jahr 2010 verteilen sich die 20 am
häufigsten in Anwendungen gefundenen Schwachstellen auf die Produkte von vier Unternehmen: Microsoft,
Adobe, Oracle und ACDSee:
Das Hauptziel der Kriminellen ist es natürlich, entfernten
Zugriff auf das System des Anwenders zu erhalten. Wie
auch im Vorjahr ermöglichen 19 von 20 Schwachstellen Online-Betrügern praktisch uneingeschränkten Zugriff auf das System (Auswirkungstyp „System access“
– Systemzugriff). Interessant dabei ist, dass 6 dieser
19 Sicherheitslücken Cyberkriminellen außerdem dabei helfen, die Systemsicherheit zu umgehen.
Das höchste Gefahrenpotential (Extrem kritisch) wiesen je zwei Schwachstellen im Adobe Reader und
­Adobe Flash Player sowie eine in Microsoft PowerPoint
auf. Leider ist es so, dass nicht alle Anbieter UpdateMechanismen für ihre Produkte entwickeln und sie in
die Software integrieren. So wird die Sorge um die Aktualisierung des Systems meist den Usern überlassen.
Die meisten Anwender sind allerdings nicht sonderlich
an der Aktualisierung der Anwendungen interessiert,
sofern diese nicht mit einem neuen Feature verbunden ist. All das hat dazu geführt, dass populäre Programme, die noch nie aktualisiert wurden, auf Millionen
von Computern existieren. Diese Computer öffnen Cyberkriminellen Tür und Tor.
19
Kaspersky Security Bulletin 2010/2011
Teil 3: Spam
Kaspersky Lab analysiert täglich etwa 1,5 Millionen
Spam-Mails. Als Material für die Analyse dienen Querschnitte aus qualitativ und quantitativ unterschiedlichen
Mail-Strömen unserer Kunden und Partner sowie
Spam, der in bestimmten „Fallen“ hängen bleibt. Der
gesamte Spam wird automatisch klassifiziert und ein
Teil der eingehenden Mails zusätzlich manuell analysiert. Eine einzigartige Klassifizierungstechnologie ermöglicht es uns, die prozentuale und thematische Verteilung der unerwünschten Nachrichten zu ermitteln.
Kampf gegen Spam und den Versand von Schadcode im Jahr 2010
Der Kampf gegen Spam war im Jahr 2010 auf verschiedenen Ebenen nahezu revolutionär. Vor allem die
Erfolge der Strafverfolgungsbehörden verschiedener
Länder im Kampf gegen die Cyberkriminalität, unter
anderem gegen den Versand von Spam, sind bemerkenswert.
Im vergangenen Jahr wurden Steuerungszentren von
Spam-Botnetzen wie Waledac, Pushdo/Cutwail, Lethic
und Bredolab abgeschaltet, mehrere große Prozesse
gegen mutmaßliche Cyberverbrecher geführt, und das
Spam-Partnerprogramm SpamIt stellte seine Tätigkeit
ein. Als Folge dieser Ereignisse änderte sich die geografische Verteilung der wichtigsten Spam-Quellen
sowie die thematische Zusammensetzung der unerwünschten Nachrichten. So nahm zum Ende des Jahres der Anteil der aus den USA stammenden SpamMenge dramatisch ab, der Spam-Anteil aus Osteuropa
stieg hingegen an. Erstmals seit Beginn unserer Untersuchungen beobachten wir eine stetige Abnahme des
Spam-Anteils im gesamten E-Mail-Verkehr. Allerdings
gibt es auch eine schlechte Nachricht: Spam ist um einiges gefährlicher geworden.
Wir haben bereits über die Kriminalisierung von Spam
berichtet – darüber, wie kleine und mittlere Unternehmen langsam aus dieser Nische der illegalen Werbung
verschwinden und diese immer mehr zum Werkzeug
von Betrügern und Verkäufern imitierter oder illegaler
Produkte wird. Im Jahr 2010 wurde Spam zudem zur
Quelle zahlreicher schädlicher Attacken: Innerhalb des
Jahres stieg der Anteil schädlicher Anhänge in SpamE-Mails um das 2,6-fache an.
Schädlicher Spam
Im Jahr 2010 erreichte der Anteil schädlicher Mitteilungen im E-Mail-Verkehr 2,2 Prozent (der Vorjahreswert lag bei 0,85 Prozent). Auf dem Höhepunkt der
Attacken im August betrug die Menge der E-Mails mit
schädlichen Anhängen 6,29 Prozent des gesamten
Verkehrs. Möglicherweise lenkten gerade diese gehäuften Angriffe die Aufmerksamkeit der Strafverfolgungsbehörden auf den Spam.
20
Die effektivsten Methoden und Tricks setzten die
Spammer insbesondere in Versendungen ein, mit deren Hilfe sie Malware verbreiteten. Die Mitteilungen in
solchen Versendungen waren geschickt als offizielle
Mitteilungen populärer Webressourcen wie zum Beispiel soziale Netzwerke, Online-Shops, Banken und
Web-Hoster getarnt. Dabei wurden auch Social-Engineering-Methoden verwendet. Klickte ein Anwender
auf einen in solchen E-Mails enthaltenen Link, so wurde dessen Browser beispielsweise auf eine Website
mit Viagra-Werbung umgeleitet und gleichzeitig heimlich auf eine schädliche Webseite gelotst.
Zum Ende des Jahres änderte sich das Angriffsziel der
Verbreiter schädlichen Spams: Unter den Empfängern
befanden sich immer mehr Einwohner von Entwicklungsländern. Der Grund dafür liegt sehr wahrscheinlich im aktiven Kampf gegen Botnetze in den USA und
in Westeuropa. Die Cyberkriminellen weiteten nun ihre
Botnetze aus, indem sie die Computer der Anwender
in Ländern angriffen, in denen die Strafverfolgungsbehörden dem Kampf gegen Cyberkriminalität nicht die
gebührende Aufmerksamkeit widmen.
Schließung von Botnetzen: Eine Chronologie
Anfang Januar 2010 wurde das Botnetz Lethic geschlossen. Leider hatte das fast keinen Einfluss auf die
Spam-Menge im E-Mail-Verkehr, und bereits im Feb­
ruar war Lethic wiederhergestellt.
Ende Februar wurden 277 Domains geschlossen, die
mit dem Steuerungssystem des Botnetzes Waledac
zusammenhingen, und in der ersten Märzhälfte ging
der Spam-Anteil im E-Mail-Verkehr um 3,1 Prozentpunkte zurück. Allerdings erreichte die Spam-Menge
im Mai wieder ihr altes Niveau.
Im August wurden etwa 20 Steuerungszentren des
Botnetzes Pushdo/Cutwail geschlossen, die nach verschiedenen Einschätzungen für 10 Prozent des weltweiten Spam-Aufkommens verantwortlich waren. Verglichen mit August führte das im September zu einem
Rückgang der Spam-Menge um 1,5 Prozentpunkte.
Der letzte und zugleich auch effektivste Schlag gegen
Spammer gelang mit der Abschaltung von 143 Control & Command-Servern des Botnetzes Bredolab am
25. Oktober 2010. Nach Angaben der holländischen
Polizei umfasste das Zombie-Netz zum Zeitpunkt der
Schließung seiner Steuerungszentren etwa 30 Millionen Computer von Anwendern in verschiedenen Ländern. Das Botnetz diente zum Versand pharmazeutischen Spams und zur Verbreitung von Schädlingen
aller Art mit Hilfe von Spam. In unserem Bericht zum
dritten Quartal des Jahres 2010 haben wir bereits ausführlich über die Spam-Versendungen berichtet.
Die Schließung des Botnetzes Bredolab hat sich deutlich auf die Spam-Menge im E-Mail-Verkehr ausgewirkt. Nach der Abschaltung ging der Spam-Anteil sofort kurzzeitig um zirka 8 bis 9 Prozentpunkte zurück.
Allerdings war der Durchschnittswert auch im Oktober
niedrig und betrug 77,4 Prozent – rund 3,6 Prozent-
punkte weniger als im September. Der aus den USA
stammende Spam-Anteil nahm aufgrund des erfolgreichen Kampfes gegen Botnetze beispiellos stark ab
und sank von 15,5 Prozent im August auf 1,6 Prozent
im Oktober.
Die Schließung der Steuerungszentren des Botnetzes
Bredolab wurde vom Computer Emergency Readiness Team (CERT) zusammen mit Spezialeinheiten
der holländischen Polizei, Experten für IT-Sicherheit
und dem Hosting-Provider, in dessen Netzen die entsprechenden Server gefunden worden waren, durchgeführt. Am folgenden Tag wurde am internationalen
Flughafen Jerewan einer der Inhaber des abgeschalteten Zombie-Netzes verhaftet. Konnte man Besitzer
von Zombie-Computern ausfindig machen, wurde ihnen eine Benachrichtigung über die Infizierung sowie
Instruktionen zur Desinfizierung geschickt.
Anzumerken ist in diesem Zusammenhang, dass
Bredolab bis zur Abschaltung der Botnetze unter anderem Spam-Bots wie zum Beispiel Rustock (Backdoor.Win32.HareBot) und Pushdo (Backdoor.Win32.­
NewRest.aq) auf die Rechner der User geladen hatte.
Das Spam-Botnetz Pushdo gehörte seinerseits zu den
wichtigsten Verbreitungsquellen von Backdoor.Win32.
Bredolab.
Spam und das Gesetz
Die Inhaftierung des Betreibers des Bredolab-Botnetzes war nicht die einzige Aktion, die aufgrund von
Ermittlungen gegen Spammer erfolgreich abgeschlossen werden konnte. Ende September gab es Massenverhaftungen von Mitgliedern einer Gruppierung, die
das Schadprogramm ZeuS verbreitet hatte, welches
häufig mit Hilfe von Spam in Umlauf gebracht wird. Infolge der Verhaftungen wurden deutlich weniger Computer mit diesem Schädling infiziert.
Im Oktober nahmen die Strafverfolgungsbehörden die
auf den Versand pharmazeutischen Spams spezialisierten Partnerprogramme ins Visier. Am ersten Tag
des Monats schloss das Programm SpamIt seine virtuellen Pforten – eines der weltweit größten Partnerprogramme für den Verkauf pharmazeutischer Präparate.
Schon Ende Oktober strengte die Untersuchungsabteilung der Moskauer Polizei ein Strafverfahren gegen
Igor Gusev, Generaldirektor der LLC „Desmedia“, an.
Er wird des Verkaufs gefälschter pharmazeutischer
Präparate wie Viagra in den USA, Kanada und anderen Ländern beschuldigt. Diese Präparate wurden
über das Partnerprogramm Glavmed.com mit SpamMitteilungen beworben. Dieses ist nach Meinung vieler
zum Teil mit dem oben erwähnten Partnerprogramm
SpamIt identisch. Bekanntermaßen wird der Versand
von Spam in Russland bislang nicht strafrechtlich verfolgt, und auch der Begriff „Spam“ ist noch nicht juristisch definiert. Das Strafverfahren gegen Igor Gusev
wurde nach Teil zwei, Paragraph 171 („Über illegales
Unternehmertum in Verbindung mit Einnahmen in besonders großem Umfang“) des Strafgesetzbuches der
Russischen Föderation angestrengt. Den Ermittlungsergebnissen zufolge belief sich der Umsatz von Glav-
med.com in den letzten dreieinhalb Jahren möglicherweise auf 120 Milliarden US-Dollar.
Ende 2010 wurde Oleg Nikolaenko in den USA festgenommen. Er wird des Spam-Versands mit Hilfe des
Botnetzes Mega-D beschuldigt, dessen Steuerungsserver im November 2009 abgeschaltet wurden. Der
im Dezember vergangenen Jahres verurteilte Australier Lance Atkinson, Mitgründer von Affking – einem
Partnerprogramm, das auf Werbung für gefälschte
Rolex-Uhren und nachgeahmte Medikamente spezialisiert ist –, lieferte den Behörden die entscheidenden
Informationen über Nikolaenko. Es wird angenommen,
dass Nikolaenko nach der Schließung des Botnetzes
Mega-D und des Programms Affking als aktiver Teilnehmer am Partnerprogramm SpamIt weiterhin Spam
verbreitete. Bis zum Prozessbeginn am 11. Februar
2011 blieb Nikolaenko in Untersuchungshaft. Er streitet
seine Schuld ab.
Am 7. Dezember wurden in der südrussischen Stadt
Taganrog drei Personen verhaftet, die der Verbreitung
von Malware verdächtigt werden. Sie werden beschuldigt, unter Verwendung von Spam hunderttausende
Computer gehackt, mit Viren infiziert und Unbefugten
Zugriff auf die Rechner bereit gestellt zu haben. Im Falle einer Verurteilung drohen ihnen bis zu drei Jahren
Freiheitsentzug.
Im Zuge der zahlreichen Verhaftungen und Anklagen
im Zusammenhang mit Spam begann die Staatsduma
der Russischen Föderation zusammen mit der Russischen Gesellschaft für elektronische Kommunikation
(RAEK) Korrekturen im föderalen Gesetz „Über den
Schutz von Informationen“ vorzubereiten. Unter anderem ist vorgesehen, in dieses Gesetz eine Definition
des Begriffs „Spam“ aufzunehmen und strafrechtliche
Verantwortlichkeit für die Versendung von Spam darin
zu verankern. Man muss allerdings hinzufügen, dass
dies nicht die erste Initiative dieser Art ist. Bereits im
Jahr 2004 waren Korrekturen in dem entsprechenden
Gesetz sowie die Einführung einer strafrechtlichen
Verantwortlichkeit für die Versendung unerwünschter
Nachrichten geplant. Es bleibt zu hoffen, dass die verantwortlichen Personen die Sache dieses Mal zu Ende
bringen. Allerdings sind bisher weder Fristen noch das
Endergebnis dieser Initiativen bekannt. Vertreter der
RAEK erklärten, dass die Organisation bisher nicht an
konkreten Korrekturen des Gesetzes arbeitet, sondern
vielmehr mit Ergänzungen zu dem von der RAEK vorgeschlagenen Gesetzbuch der professionellen Tätigkeit im Internet beschäftigt ist.
Spam-Statistiken
Die oben aufgezählten Ereignisse – die Abschaltung der
Steuerungsserver verschiedener Botnetze, die Schließung des Partnerprogramms SpamIt und die Verhaftungen von Spammern – beeinflussten die Struktur und
den Charakter von Spam. So sank die Gesamtmenge
der unerwünschten Nachrichten, und die Liste der Länder, aus denen der meiste Spam verschickt wurde, änderte sich.
21
Spam-Anteil im E-Mail-Traffic
Die folgende Grafik zeigt, wie der Spam-Anteil im
­E-Mail-Verkehr im Jahr 2010 abgenommen hat:
Diese Vermutung wird indirekt durch die Tatsache bestätigt, dass im November der größte Teil des schädlichen Spams aus Russland, Indien und Vietnam
stammte (8,6, 6,8 und 6,5 Prozent). Dagegen nahm
der Anteil der aus den USA und westeuropäischen
Ländern verschickten unerwünschten Nachrichten mit
schädlichen Anhängen und Links deutlich ab.
Die größte Spam-Menge im E-Mail-Verkehr im Jahr
2010 wurde mit 90,8 Prozent am 21. Februar registriert, die geringste mit 70,1 Prozent am 28. Oktober.
Der Spam-Anteil im E-Mail-Verkehr betrug 2010 durchschnittlich 82,2 Prozent.
Spam-Herkunftsländer
Spam-Anteil im E-Mail-Verkehr
Dieser Rückgang war in den Herbstmonaten besonders deutlich. Zu dieser Zeit wurden nämlich die Steuerungszentren der riesigen Botnetze Pushdo/Cutwail
und Bredolab geschlossen, das Spam-Partnerprogramm SpamIt abgeschafft und verschiedene Strafverfahren gegen Spammer angestrengt.
Es ist schon einige Jahre her, dass die
Spam-Menge im E-Mail-Verkehr für eine
relativ lange Zeit auf einem so niedrigen
Niveau war. Man denke zum Beispiel an
den berühmt-berüchtigten Hosting-Provider
McColo, der Steuerungszentren mehrerer
Botnetze beherbergte. Nach deren Schließung im Jahr 2008 blieb das Spam-Niveau
für etwa einen Monat niedrig (73,7 Prozent).
Wie lange die Flaute dieses Mal anhalten
wird, lässt sich noch nicht sagen. Die Praxis
zeigt allerdings, dass es sich nicht lohnt, darauf zu hoffen, dass das Spam-Niveau auch
dieses Jahr so niedrig bleiben wird. Die Virenautoren können neue Botnetze in Ländern aufbauen, in denen die Gesetze gegen
Cyberkriminalität weniger streng sind.
Spam-Herkunftsländer im Jahr 2010
22
Die größte Spam-Menge stammte im Jahr 2010 aus
den USA (11,3 Prozent), den zweiten Platz belegte Indien mit 8,3 Prozent, und auf Platz drei lag Russland
mit 6 Prozent. Wie auch schon im Jahr 2009 waren die
osteuropäischen Länder und die asiatische Region in
den Top 20 stark vertreten, während die westeuropäischen Staaten in der Minderheit waren (siehe Grafik
links unten).
Die aus den unterschiedlichen Ländern versendete
Spam-Menge änderte sich im Laufe des Jahres. Besonders deutlich werden diese Veränderungen am Beispiel der fünf vordersten Plätze:
Entwicklung des Spamversands der Top-5-Länder
In den ersten acht Monaten des Jahres führten die USA
das Rating der Spam-Herkunftsländer mit großem Abstand an. Nach Abschaltung der Steuerungszentren
der Botnetze Pushdo/Cutwail und Bredolab nahm der
Spam-Anteil aus den USA im September drastisch ab,
und im Oktober reichte es nicht mehr für die Top 5. Bis
Ende 2010 lag der Spam-Anteil aus den USA auf beispiellos niedrigem Niveau – einige Prozent statt der üblichen 15 bis 20 Prozent. Im November und Dezember
waren die USA nicht einmal unter den Top 20 der Spam
versendenden Länder vertreten. Doch seit Oktober registrieren wir starke Schwankungen bei den prozentualen Werten der ersten fünf Spam-Herkunftsländer. Es
ist anzunehmen, dass die Spammer, die nun den Druck
der Strafverfolgungsbehörden in den USA und Westeuropa spüren, versuchen, neue Botnetze in anderen
Ländern aufzubauen.
Verteilung der Spam-Quellen nach Regionen
Länder. Während bei manchen Ländern der SpamAnteil zunimmt, verzeichnen andere dagegen einen
Rückgang:
Verteilung der Spam-Quellen nach Regionen
Die größte Spam-Menge stammte im Jahr 2010 aus
Ländern der asiatischen Region. Im vorausgegangenen Jahr hatten wir bereits über eine Verschiebung
der Spam-Quellen nach Osten berichtet. 2010 wurde
über die Hälfte (55,9 Prozent) des weltweiten SpamAufkommens aus asiatischen und osteuropäischen
Ländern verschickt. Insgesamt unterscheidet sich die
Verteilung der Spam-Quellen im Jahr 2010 nur unwesentlich von der Verteilung im Jahr 2009.
Entwicklung des Spam-Versands in den Ländern Westeuropas
Im Gegensatz zu den westeuropäischen Ländern entwickeln sich die Anteile einiger Länder aus anderen
Regionen gleichförmig:
Hier ein Blick auf die Entwicklung der Spam-Versendungen aus verschiedenen Regionen:
Entwicklung der Spam-Versendungen aus verschiedenen Regionen im Jahr 2010
Die bedeutendsten Veränderungen fallen in das vierte
Quartal: Gegenüber dem drastischen Rückgang des
aus den USA stammenden Spam-Anteils nahm die aus
osteuropäischen Ländern verschickte Menge an unerwünschten Nachrichten kontinuierlich zu. Wie wir bereits erwähnten, nutzen die Spammer nach der Schließung der Steuerungszentren verschiedener Botnetze
nun alternative Versandquellen.
Ähnlich verlaufende Entwicklung des Spam-Versands
von zwei Ländern aus der gleichen Region
Das zeigt, dass die aus diesen Ländern verschickten
Spam-Versendungen identisch sind. Es ist anzunehmen, dass die infizierten Computer der Anwender in
diesen Ländern zu denselben Botnetzen gehören.
Der Anteil Westeuropas ist insgesamt recht stabil, verteilt sich aber sehr unterschiedlich auf die einzelnen
23
Thematische Zusammensetzung von Spam
Im Jahr 2010 führte die Spam-Kategorie „Bildung“ die
Liste der häufigsten Spam-Themen an, sehr dicht gefolgt von „Medikamente; Waren/Dienstleistungen für
die Gesundheit“, der wichtigsten Rubrik des englischsprachigen Spams. Diese Kategorie liegt nur 0,2 Prozent hinter dem Spitzenreiter zurück.
Im Vergleich zum Jahr 2009 gingen die Anteile der
Rubrik „Spammer-Eigenwerbung“ (minus 6,1 Prozentpunkte) und „Spam für Erwachsene“ (minus 4,6
Prozentpunkte) deutlich zurück. Die Menge der Mitteilungen, die Merkmale von Computer-Betrug aufwiesen,
hat sich hingegen fast verdoppelt (plus 3,8 Prozentpunkte):
Anteil der Spam-Kategorie „Medikamente; Waren und
Dienstleistungen für die Gesundheit“ im Jahr 2010
Seit September probieren Spammer, die von der Werbung für pharmazeutische Produkte leben, zunehmend
andere Partnerprogramme aus. Diese Entwicklung
lässt sich aus dem Anstieg verschiedener Arten von
Partner-Spam ableiten, darunter Spam mit Werbung
für Online-Casinos und unerwünschte E-Mails mit pornografischen Inhalten.
Verteilung von Spam nach thematischen Kategorien im
Jahr 2010
Die Schließung von Botnetzen und großen Partnerprogrammen musste sich auch auf das Verhältnis von
Partner-Spam und Auftrags-Spam auswirken. So stieg
im August der Anteil von Spam aus Partnerprogrammen an, nahm aber seit September kontinuierlich ab.
Im Rating der am häufigsten in Spam verwendeten
Themen gab es 2010 einen Neueinsteiger: die Rubrik
„Filme auf DVD“. Es handelt sich dabei in der Regel
um Mitteilungen mit Werbung für Film- und TrickfilmSammlungen sowie für Dokumentationen auf DVD.
Werbung dieser Art landete auch schon früher in den
E-Mail-Postfächern, doch 2010 waren es derart viele,
dass wir sie einer eigenen Rubrik zugeordnet haben.
Solche Produkte werden mit Hilfe von Partnerprogrammen verbreitet, und es handelt sich bei ihnen in der
Regel um Raubkopien.
Im Laufe des Jahres änderte sich die thematische
Spam-Struktur mehr als einmal. Besonders erwähnenswert sind der drastische Anstieg und die hohe
Position von Spam-E-Mails der Rubrik „Medikamente“
im August des vergangenen Jahres sowie auch deren
relativ hoher Anteil am unerwünschten E-Mail-Verkehr
im September und Oktober. Das geschah unmittelbar
vor der Aufgabe des Partnerprogramms SpamIt, das
auf den Versand von Werbung für pharmazeutische
Produkte spezialisiert war. Möglicherweise wusste ein
Teil der Spammer von der drohenden Schließung und
versuchte, kurz vor Schluss noch einen maximalen Gewinn aus SpamIt herauszuholen.
24
Anteile von „Partner“- und „Auftrags-Spam“ im Jahr
2010
Zum Ende des Jahres sank der Wert für Partnerspam
auf seinen Jahrestiefpunkt und lag bei nur etwa 30 Prozent der Gesamt-Spammenge. Sehr wahrscheinlich
wird sich mit der Wiederherstellung der geschlossenen
Botnetze auch der Anteil an Partner-Spam wieder erholen.
Methoden und Tricks der Spammer
Im vergangenen Jahr setzten die Verbreiter von Schadprogrammen die interessantesten Tricks ein. Um die
Anwender dazu zu bringen, auf schädliche Links zu klicken, verschickten sie Spam-E-Mails, bei denen es sich
um sehr gut gefälschte Benachrichtigungen bekannter
Banken, Online-Shops, E-Mail-Provider, sozialer Netzwerke, populärer Web-Hoster und vieler andere handelte. Sogar die technischen Details im Header wurden
gefälscht, was der Anwender zwar nicht sieht, für die
Arbeit der Spam-Filter aber von großer Bedeutung ist.
Normalerweise sind Phishing-E-Mails so aufgebaut,
dass sie den Anwender erschrecken, mit seinen Befürchtungen spielen und ihn so dazu veranlassen,
seinen Benutzernamen und sein Passwort auf der
entsprechenden Phishing-Seite einzugeben. Diesmal
jedoch waren sowohl die Verbreiter von Schadprogrammen als auch Phisher nicht darauf aus, dem User
Angst einzujagen. Ein Teil der Nachrichten kopierte lediglich Standard-Mitteilungen, die Anwendern und Kunden von legitimen Ressourcen geschickt werden (siehe
Beispiel links unten).
Solche Fälschungen „neutraler“ Mitteilungen sind sehr
gefährlich: In der Regel kann ein erfahrener User eine
Fälschung aufgrund des Inhalts erkennen. Beispielsweise fordern Banken ihre Kunden nie auf, ihren Benutzernamen und ihr Passwort auf einer Seite ein-
zugeben, deren Link sie per E-Mail erhalten. In den
beschriebenen Fällen war die Fälschung bis auf den
Link mit dem Original identisch. Klickte der Anwender
darauf, lud er sich ein ganzes Bündel Schadprogramme
auf seinen Computer.
In anderen Mitteilungen setzten die Spammer raffinierte
Social-Engineering-Methoden ein. So wurde der User
beispielsweise in einigen dieser Spam-E-Mails darauf
hingewiesen, dass er einen Kauf getätigt habe, dessen
Details er mit einem Klick auf den entsprechenden Link
einsehen könne (siehe Beispiel unten in der Mitte).
Beobachtet wurden auch Versuche von Attacken auf
eine ganz bestimmte User-Zielgruppe. Eine dieser
E-Mails stammte angeblich von einer der KasperskyAdressen (siehe Screenshot rechts unten). Diese
­E-Mail ist eine gefälschte Benachrichtigung, die vorgibt,
vom technischen Support von Kaspersky Lab zu stammen: Der User wird gebeten, seine angebliche Anfrage
bezüglich einer Änderung seines Passworts zu bestätigen oder den Vorgang der Passwortänderung abzubrechen. Auffällig ist, dass im E-Mail-Text die Domain
jedes Mal richtig angegeben ist und die im AbsenderFeld „From“ angegebene Adresse der tatsächlichen
Adresse des technischen Supports entspricht. Das bedeutet also, dass die Personen, die solche E-Mails versenden, entweder manuell oder mit technischen Mitteln nach der Adresse des technischen Supports von
Kaspersky Lab gesucht und sie an der entsprechenden
Beispiel für eine Spam-­
E-Mail, die Social-Engineering-Methoden einsetzt
Beispiel für eine Spam-E-Mail, die sich an eine bestimmte Anwender-Zielgruppe richtet
Beispiel für eine Spam-Mitteilung, getarnt als Benachrichtigungen von legalen Ressourcen
25
Stelle eingefügt haben, damit ihre E-Mails vertrauenswürdiger wirken. Genau wie in den vorhergehenden
Beispielen führten alle Links in der E-Mail auf ein und
dieselbe infizierte Webseite.
Schädliche Anhänge
Im Jahr 2010 enthielten 2,2 Prozent aller elektronischen
Mitteilungen schädliche Dateien, das ist 2,6 Mal so viel
wie im Jahr 2009, als nur 0,85 Prozent des Verkehrs
auf schädliche Programme entfielen.
Die gehäuften Versendungen von Schadprogrammen
im Sommer und zum Herbstanfang 2010 haben wesentlich zum hohen Anteil schädlichen Spams über
das gesamte Jahr beigetragen. Die Hauptsaison der
schädlichen Versendungen fiel auf den August.
Von diesen massiven schädlichen Versendungen gab
es insgesamt sechs, jeweils drei im August und September. In diesen Tagen verschickten Cyberkriminelle
aktiv neue Modifikationen verschiedener Schädlinge,
darunter auch des berühmt-berüchtigten Schadprogramms Zbot. Näheres zu diesen Versendungen finden Sie im Spambericht für das dritte Quartal 2010.
Zu den Folgen der massiven schädlichen Versendungen im August und September zählte der drastische
Anstieg von Mitteilungen mit Anhängen im ZIP-Format.
Normalerweise macht Spam dieser Art nicht mehr als
ein halbes Prozent am gesamten Spam-Aufkommen
aus. In dieser Zeit erreichte der Anteil unerwünschter
Nachrichten mit ZIP-Anhängen allerdings rekordverdächtige 2,6 Prozent an der gesamten Spam-Menge.
Im vierten Quartal ging die Anzahl der Nachrichten mit
ZIP-Anhängen auf die gewohnt niedrigen Werte zurück
und lag bei etwa 0,3 Prozent des gesamten SpamAufkommens. Trotzdem möchten wir den Anwendern
einmal mehr eine wichtige Regel der Internetsicherheit
ins Gedächtnis rufen: Öffnen Sie niemals merkwürdig
aussehende Archive in verdächtigen E-Mails.
Die Top 10 der im E-Mail-Verkehr verbreiteten Schadprogramme sieht für das Jahr 2010 folgendermaßen
aus:
Prozentualer Anteil an Spam mit schädlichen Anhängen im E-Mail-Verkehr im Jahr 2010
Der Anteil an Spam mit schädlichen Anhängen begann
allerdings schon im Mai zu steigen und erreichte bereits
im Juni mit fast 2,7 Prozent einen recht hohen Wert.
In Bezug auf Schadcode war Juni einer der bemerkenswertesten Monate des Jahres 2010. Im ersten
Sommermonat wurde das Internet förmlich von SpamE-Mails überschwemmt, welche HTML-Anhänge mit
darin integrierten Skript-Schädlingen enthielten. Darunter befand sich auch Trojan-Downloader.JS.Pegel.g,
der im Jahresranking der über E-Mail verbreiteten Malware den zweiten Platz belegt. Die E-Mails waren als
Benachrichtigungen verschiedener legitimer Services
getarnt, unter anderem von Online-Shops und sozialen
Netzwerken. Die Cyberkriminellen verwendeten ein
recht kompliziertes Schema, um die Schädlinge mit Hilfe der beschriebenen Spam-E-Mails zu verbreiten und
die infizierten Computer der Anwender an ein ZombieNetz anzuschließen.
Im August und September erreichte der Anteil der Versendungen mit schädlichen Anhängen seine Höchstwerte (6,29 Prozent respektive 4,33 Prozent). Ein derart hoher Prozentsatz schädlicher Mitteilungen kam
durch mehrere massenhafte und über einen kurzen
Zeitraum verschickte E-Mails mit Schadcode zustande.
26
Top 10 der Schadprogramme im E-Mail-Verkehr
An der Spitze des Ratings steht Trojan-Spy.HTML.
Fraud.gen, dessen Hauptaufgabe im Sammeln von
persönlichen Informationen und Registrierungsdaten
von Anwendern besteht.
Platz zwei belegt der bereits erwähnte Trojan-Down­
loader.JS.Pegel.g. Dieses Schadprogramm führte die
Hitliste im Juni mit großem Abstand zum Rest des
Feldes an. Bei den Vertretern der Familie Pegel handelt
es sich um eine HTML-Seite, die Javascript-Code enthält. Nach dem Öffnen der infizierten Seite im Browser
beginnt der Trojaner, per Javascript seinen Code zu
entschlüsseln und startet sich daraufhin selbst. Dabei
wird der Anwender auf eine mit Exploits infizierte Webseite umgeleitet, von der aus – unter Ausnutzung einer
Sicherheitslücke im Browser –andere Malware auf den
Computer geladen werden kann.
Auf der vierten und fünften Position des Ratings befinden sich Packer der Familie Krap. Die Modifikationen
Krap.an und Krap.x werden gewöhnlich zum Packen
von Zbot, FraudTools und Iksmas verwendet. Im Packer Trojan.win32.pakes.Katusha.o, der Platz neun der
Top 10 belegt, können sich mit ebenso großer Wahrscheinlichkeit gefälschte Antiviren-Programme wie
auch der eben genannte Zbot befinden. Bei über 15
Prozent aller von Kaspersky Anti-Virus im Jahr 2010
gefundenen Objekte handelte es sich zum Zeitpunkt
ihrer Entdeckung um noch unbekannte Bedrohungen.
Zwischen März und August 2010 war der Anteil an
Phishing-Spam extrem niedrig und lag bei etwa 0,02
Prozent. Wie die folgende Grafik zeigt, machten
Phishing-E-Mails nur zu Beginn und am Ende des Jahres einen merklichen Teil des E-Mail-Verkehrs aus.
Die Liste der Länder, in denen Kaspersky Anti-Virus am
häufigsten Alarm schlug, führen die USA an. Es folgen
Deutschland, Großbritannien und Japan. Zudem waren
mit Frankreich und Spanien noch zwei weitere europäische Länder in den Top 10 vertreten.
Prozentualer Anteil von Phishing-Mails im E-Mail-Verkehr im Jahr 2010
Top 10 der Alarme von Kaspersky Anti-Virus nach Ländern
Das oben dargestellte Diagramm lässt den Schluss zu,
dass Cyberkriminelle ihre Angriffe auch im Jahr 2010
auf die Industriestaaten ausgerichtet haben. Der Grund
dafür liegt auf der Hand: Die persönlichen Daten der
Anwender in diesen Ländern sind für Cyberkriminelle
von großem Interesse.
Zum Ende des Jahres begannen die Online-Betrüger
allerdings, eifrig schädliche E-Mails auch in Entwicklungsländer zu versenden. Allem Anschein nach hängt
das mit dem aktiven Kampf gegen Botnetze in den
USA, Großbritannien und den westeuropäischen Ländern zusammen. Die Schließung von Steuerungszentren großer Zombie-Netze sowie auch der Druck der
zuständigen Behörden zwingen die Kriminellen dazu,
ihre Botnetze zu erweitern, indem sie Computer in
Ländern infizieren, in denen dieser Kampf entweder
weniger erfolgreich oder gar nicht geführt wird. Im November schlug Kaspersky Anti-Virus am häufigsten in
Russland, Indien und Vietnam an. Bei den am häufigsten in diese Länder verschickten Schädlingen handelte es sich um verschiedene Modifikationen von Zbot
sowie um Trojan-Downloader der Familie Oficla, zu deren Aufgaben unter anderem gehört, Bots auf die Computer der Anwender zu laden.
Phishing
Der Anteil an Phishing-Mails im E-Mail-Verkehr lag im
Durchschnitt bei 0,35 Prozent, das sind 0,51 Prozentpunkte weniger als der Vorjahreswert.
Der „Geschmack“ der Spammer hat sich dabei im Vergleich zum Vorjahr ein wenig geändert. Auch wenn die
beiden ersten Plätze im Ranking der am häufigsten
von Phishern missbrauchten Organisationen nach wie
vor an PayPal und eBay vergeben sind, hat es in der
übrigen Zusammensetzung der Hitliste doch deutliche
Veränderungen gegeben.
Am häufigsten von Phishern missbrauchten Organisationen im Jahr 2010
Während es sich im Jahr 2009 bei sechs der Organisationen in den Top 10 um Banken handelte, so hat
sich die Interessenssphäre der Phisher im Jahr 2010
in Richtung verschiedener Online-Dienste verschoben.
Nach den traditionellen Spitzenreitern PayPal und
eBay sind Accounts in sozialen Netzwerken von größtem Interesse für die Phisher, wobei hier das derzeit
populärste soziale Netzwerk Facebook an erster Stelle steht. Der Anteil der Angriffe auf Facebook an allen
Phishing-Attacken betrug 6,95 Prozent. Ebenfalls in
den Top 10 vertreten ist das soziale Netzwerk Habbo,
auf das 1,34 Prozent aller Attacken entfielen.
27
Auch an den Google-Services fanden die Phisher Gefallen. Im Spam-Bericht für das dritte Quartal haben
wir bereits darauf hingewiesen, dass Accounts für Services wie Google AdWords und Google Checkout nicht
weniger interessant für Phisher sind als Accounts für
Online-Banking-Dienste, da sie die Kreditkarten-Daten
der Anwender enthalten. Daher gelangen Cyberkriminelle in diesen Fällen bei erfolgreichen Attacken nicht
nur an die Accounts, sondern auch an die Finanzdaten
ihrer Opfer.
tren gleich mehrerer großer und auf den Versand von
Spam spezialisierter Botnetze, die Aktivität der Strafverfolgungsbehörden sowie einige gesetzgeberische
Initiativen im Jahr 2010 geben Anlass zur Hoffnung,
dass Spam nun als Erscheinung wahrgenommen wird
und die Sorge darum nicht mehr allein den Anbietern
von Sicherheitssoftware überlassen wird. Und es gibt
Anlass zur Hoffnung, dass dies nur der Anfang ist und
das nächste Jahr im Kampf gegen Spam tatsächlich
die Wende bringt.
Das Online-Spiel World of Warcraft war ebenfalls über
das gesamte Jahr 2010 ein beliebtes Phishing-Ziel.
Hierbei sind sowohl die Accounts der Spieler als auch
das so genannte WoW-Gold für die Betrüger interessant, denn das eine wie auch das andere können Cyberkriminelle in echtes Geld umtauschen.
Setzen die Strafverfolgungsbehörden in Zusammenarbeit mit IT-Experten und Hosting-Providern den Kampf
gegen Cyberkriminalität fort, wird das Internet eines Tages ein sichererer Ort für die Anwender sein.
Da Zahlungsmittel aus virtuellen Welten unter Phishern
immer beliebter werden, kann man mit Bestimmtheit
sagen, dass virtuelles Geld künftig noch interessanter
für Cyberkriminelle wird als reales. Der Diebstahl virtueller Werte ist für Phisher nicht weniger ertragreich,
das Risiko allerdings geringer als beim Diebstahl realen Geldes.
Bis dahin empfehlen wir den Anwendern einen vorsichtigen Umgang mit Werbung und Links in Spam-E-Mails
sowie die rechtzeitige Installation von Updates verschiedener Programme und die Nutzung eines aktuellen Anti-Malware-Programms. Denn heute ist selbst
eine einfache „Junk“-E-Mail gefährlich und in der Lage,
den Computer zu beschädigen.
Prognosen
In diesem Jahr werden vermutlich komplizierte und
komplexe Attacken fortgesetzt, die Technologien der
Phisher, Spammer und Social-Engineering-Methoden
in sich vereinen. Auch die aktive Verbreitung schädlichen Spams wird vermutlich nicht abreißen, denn
Spammer müssen ihre verlorenen Botnetze wieder
aufbauen.
Man muss dabei bedenken, dass mit der Wiederherstellung der Botnetze auch die Spam-Menge im E-MailVerkehr wieder zunehmen wird. Bisher haben sich die
Spammer noch nicht von dem wirkungsvollen Schlag
gegen die Zombie-Netze erholt. Doch in ein paar Monaten wird die Spam-Menge im E-Mail-Verkehr aller
Wahrscheinlichkeit nach wieder auf ihr altes hohes Niveau zurückgekehrt sein.
Vermutlich werden Cyberkriminelle noch vorsichtiger
vorgehen und versuchen, ihre Botnetze in Ländern
aufzubauen, die weniger vor Cyberbedrohungen geschützt sind – sowohl gesetzgeberisch als auch mit Hilfe entsprechender Software. Diese Annahme wird indirekt auch von der Tatsache bestätigt, das Kaspersky
Anti-Virus im November häufig in Russland, Indien und
Vietnam Alarm schlug und unter den in diesen Ländern
verbreiteten Schadprogrammen auch Trojaner waren,
die Bots laden. Dementsprechend ist die Verteilung der
Spamquellen nach Ländern weiterhin Veränderungen
unterworfen.
Wir haben mehr als einmal darauf hingewiesen, dass
der Kampf gegen Spam auf mehreren Ebenen geführt
werden muss: auf der gesetzgeberischen, juristischen,
technischen und auf der Ebene der Aufklärung. Das
Jahr 2010 hat gezeigt, dass dieser Kampf sehr erfolgreich sein kann. Die Schließung von Steuerungszen-
28
Kaspersky Lab
Kaspersky Lab ist Europas größtes Unternehmen für
Antivirus-Technologie und reagiert im weltweiten Vergleich von Antivirus-Herstellern meist am schnellsten
auf IT-Sicherheitsbedrohungen wie Viren, Spyware,
Crimeware, Hacker, Phishing-Attacken und Spam.
Das Unternehmen gehört zu den weltweit vier erfolgreichsten Herstellern von Sicherheits-Lösungen
für den Endpoint (IDC 2008). Die Produkte von Kaspersky Lab haben sich sowohl bei Endkunden als
auch bei KMUs, Großunternehmen und im mobilen
Umfeld durch ihre erstklassigen Erkennungsraten
und kurzen Reaktionszeiten einen Namen gemacht.
Neben den Stand-Alone-Lösungen des Security-Experten ist Kaspersky-Technologie Bestandteil vieler
Produkte und Dienstleistungen führender IT-Sicherheitsunternehmen.
Kontakt
Kaspersky Labs GmbH
Despag-Straße 3
85055 Ingolstadt
Telefon: +49 (0)841 981 89 0
Telefax: +49 (0)841 981 89 100
[email protected]
www.kaspersky.de
29
30
31
w w w . k a s p e r s k y . d e
Kaspersky Labs GmbH
Telefon: +49 (0)841 98 189 0
Despag-Straße 3
Telefax: +49 (0)841 98 189 100
85055 Ingolstadt
Kontakt:www.kaspersky.de/kontakt