"Wenn sie es primitiv machen, wird es ein Trojaner, wenn sie es intelligenter machen, wird ein Rootkit dabei sein", sagte der IT-Sicherheitsexperte Florian Eichelberger zu ORF.at. Sein Tool "Radix" rupft aus Windows-Systemen auch gut getarnte Rootkits aus, ob sie nun von Kriminellen, dem chinesischen Geheimdienst oder Österreichs Polizei stammen.
[futurezone.orf.at] Ein Trend, der sich in den Jahren davor bereits abgezeichnet hatte, hat sich 2008 verfestigt: Neben den zahlenmäßig starken jährlichen Zuwächsen bei mäßig intelligenter Schadsoftware sind immer öfter gezielte Attacken auf ganz bestimmte PCs zu beobachten.
Während Bot-Net-Kriminellen in der Regel immer neue Varianten von gewöhnlichen Trojanern genügen, um weltweit immer neue PCs für ihre Netze zu akquirieren, arbeitet eine "höherwertige" Form von Kriminalität weitaus subtiler und unauffälliger.
"Gezielte Attacken"
"Targeted Attacks" dienen einem anderen Ziel, als irgendwo auf der Welt irgendwelche PCs zu kapern, die an bandbreitenstarken Leitungen hängen.
Angegriffen werden nämlich die Rechner ganz bestimmter Gruppen, hinter den Angriffen stecken auch keine gemeinen Spammer, Phisher oder anderes Gelichter, sondern einerseits "höherwertige" Kriminelle wie Großbetrüger oder Wirtschaftsspione und andererseits – der Staat.
Am Beispiel China
Im Frühjahr 2008 hatten Anti-Virus-Spezialisten, die "Zero-Day-Exploits" (siehe unten) nachspürten, eine verblüffende Gemeinsamkeit entdeckt. Ob es sich um ein verseuchtes Flash-Filmchen handelte oder um ein Word-Dokument: Die Trägerdateien, die Key-Logger, Rootkits und/oder Trojaner einschleusten, hatten jeweils direkten inhaltlichen Bezug zur demokratischen Opposition in China oder zu Tibet.
Die Schadsoftware kam über bis dahin unbekannte Sicherheitslücken im jeweiligen Trägerprogramm auf die Zielrechner, wodurch auch auf dem neusten Stand gehaltene Anti-Viren-Programme chancenlos waren.
Bundestrojaner, europäische Version
Diese ganz offensichtlich von chinesischen Geheimdiensten gesteuerten Angriffe mit Schadsoftware auf Dissidenten verwendeten dieselben Mittel, die österreichische und deutsche Innenministerien 2009 endgültig als polizeiliche Ermittlungsmethoden festschreiben wollen: die "Bundestrojaner".
"Wenn sie es primitiv machen, wird es bloß ein Trojaner, wenn sie es intelligenter machen, wird ein Rootkit dabei im Spiel sein", sagte Florian Eichelberger, Experte für Informationssicherheit, zu ORF.at.
Um einen Polizeitrojaner zu entdecken, gelte natürlich dieselbe Vorgangsweise wie gegen chinesische Schadsoftware, besonders wenn sich der Trojaner mit einem Rootkit tarne.
Die Tarnkappe
Das Rootkit läuft nicht auf Programm-, sondern auf Systemebene und hat in erster Linie die Funktion, dem Anti-Viren-Programm eine heile Systemwelt vorzugaukeln, während ein Keylogger jeden Tastaturanschlag weitermeldet und ein Trojaner gerade die Inhalte der Festplatte irgendwohin kopiert.
Zuerst mache sich das Rootkit in der Regel unsichtbar, indem es sich aus den Kernel-Strukturen entferne, so Eichelberger, dann würden andere Prozesse unsichtbar gemacht, Dateien, Treiber und Registry-Schlüssel versteckt.
Das Tool Radix
Über die "Alternate Data Streams"-Funktion könne an eine völlig harmlos aussehende TXT-Datei eine Unzahl von anderen Dateien unsichtbar angehängt werden, so Eichelberger. Um derlei aufzufinden, gelte es, mit Funktionen zu arbeiten, über die der Großteil der erhältlichen Anti-Virus-Produkte in nur sehr unzureichendem Ausmaß verfüge.
Um dem abzuhelfen, hat Eichelberger mit seinem Kollegen Ludwig Ertl ein Tool namens "Radix" geschrieben, das kostenfrei (bzw. gegen freiwillige Spende) erhältlich ist.
Generisch, nicht signaturbasiert
"Radix funktioniert generisch und nicht signaturbasiert, das heißt, es wird nach Anomalien gesucht, oft sind es logische Fehler", sagt Eichelberger. Mit einer Kombination aus mehreren Methoden ließen sich mit Radix Rootkits dauerhaft entfernen, dann würden Manipulationen wie gesperrte Dateien und veränderte Prozesse rückgängig gemacht.
Radix und zwei weitere USEC-Applikationen seien keineswegs als Ersatz für einen aktuellen Virenscanner anzusehen, sondern als Ergänzung, sagt der Mitautor des Programms.
Mehr zum Thema "Bundestrojaner"
Bei einer futurezone-Umfrage unter den österreichischen Parteien vor der jüngsten , wie sie es denn mit dem Bundestrojaner (alias "Online-Durchsuchung") hielten sprachen sich ÖVP, SPÖ und BZÖ dafür, FPÖ und Grüne dagegen aus.
* Alle Antworten aus den Parteien zum Thema IT-Sicherheit
* Der Bericht der österreichischen Bundestrojaner-Arbeitsgruppe
* Bayern führt Polizeitrojaner ein
Code vom Tage null
"Zero Day Exploits", also Code, der das Ausnutzen einer noch unbekannten Sicherheitslücke ermöglicht, sind auf dem Internet-Schwarzmarkt ab mehreren Tausend Dollar erhältlich. Die Angreifer auf Chinas Dissidenten hatten ein beträchtliches Arsenal an verschiedensten derartigen Exploits zur Verfügung, das heißt, sie verfügten über ein eigenes Forschungslabor.
Über diese Angriffsskripts schleuste man dann chinesische "Bundestrojaner" in "kriminelle Zirkel", also in Dissidentenkreise ein, in den allermeisten Fällen waren Rootkits mit dabei.
* Targeted Attacks: Fallbeispiel Falun Gong
* Rüstungswettlauf im Cyber-Krieg
Ein konziser historischer Abriss über "Targeted Attacks" findet sich in diesem Vortrag, PDF-Datei.
Source: http://www.futurezone.orf.at
