Thema: Bundestrojaner diverses

[SiLæncer]

Mittlerweile melden die meisten Viren-
Scanner etwas mit R2D2, wenn sie auf
eine der Trojaner-Dateien stoßen.
(Bild vergrössern)

Spätestens seit Montag schlagen alle Viren-Scanner Alarm, wenn man den vom CCC enttarnten Trojaner auf seinen Rechner laden will. Wer jedoch glaubt, er wäre damit vor der Spionage-Software im Staatsauftrag geschützt, der irrt sich gewaltig. Antiviren-Software hat kaum Chancen gegen derartige Schädlinge; einige der Alarmmeldungen waren sogar richtige Dummies.

Noch am Samstagvormittag erkannte kein einziges AV-Programm die Dateien als Gefahr. Mittlerweile melden die meisten etwas mit "Backdoor.R2D2" , wenn sie auf eine der vom CCC bereitgestellten Dateien treffen. Das soll Vertrauen bei den Anwendern schaffen.

In einem Test am Montag von heise Security stellte sich jedoch heraus, dass unter anderem Ikarus, Panda, Trend Micro und McAfee schon nach einer minimalen Änderung an der Datei keinen Alarm mehr gaben. Wir ersetzten dazu lediglich das große O in der Zeichenkette "DOS" durch ein kleines. Vorher meldete etwa McAfee die Datei mfc42ul.dll noch als Artemis!930712416770, nach der Änderung blieb es stumm.

Es ist kein Zufall, dass es da gerade drei prominente Fürsprecher von "In the Cloud"-Erkennung erwischt hat. Primitive Cloud-Erkennung arbeitet nämlich nur mit Hash-Werten der fraglichen Dateien. Und die ändern sich schon dann, wenn sich in einer Datei nur ein einziges Bit ändert. Da der CCC die veröffentlichten Dateien bereits vorab verändert hatte, springen diese Signaturen nicht einmal auf die unveränderten, wirklich eingesetzten Originale an. Und selbst wenn der Hersteller die Hashes aller beim CCC eingegangenen Trojaner in seine Datenbank aufgenommen hat – die Trojaner-Versionen, die einem anderen Fall zugeordnet sind, tragen andere Fallnummern und wahrscheinlich auch andere Versionsnummern. Richtige Signaturen, die auch geringfügig modifizierte Varianten erkennen, lieferten Ikarus, Panda, Trend Micro und McAfee zum Teil erst mehrere Tage nach den anderen Herstellern.

Doch auch solche lokalen Signaturen lassen sich einfach austricksen, wie Online-Banking-Betrüger tagtäglich beweisen. Und ganz offenbar sind auch die Heuristiken, mit denen die Hersteller unbekannte Schädlinge entdecken wollen, der Aufgabe nicht gewachsen. Sonst hätten diese ja schon vor der Veröffentlichung des CCC Alarm schlagen müssen. Dass sie das nicht taten, liegt wohl unter anderem daran, dass der Staatstrojaner auf viele Dinge verzichtet, die bei den aktuellen 08/15-Trojanern der Betrüger zum Standardrepertoire gehören. So versucht er nicht, sich in Browser einzuklinken, er liest keinen verschlüsselten https-Verkehr mit und er betätigt sich auch nicht als Spam-Schleuder.

Die CCC-Analyse zeigt auch, wie der Trojaner die verbliebenen, verdächtigen Aktivitäten wie das Starten einer aus dem Netz nachgeladenen Datei an der Heuristik vorbeimogelt. Er zerlegt den Verweis auf die dafür genutzte Funktion des Windows-APIs in die Fragmente "Crea" + "teProc" + "essA" und setzt die erst zur Laufzeit in das verräterische "CreateProcessA" zusammen.

Bleibt als letzte Hoffnung der verunsicherten Anwender die Verhaltenserkennung. Prompt beteuern die AV-Hersteller auch bereits reihenweise, versagt habe ja nur die statische Signatur- und Heuristik-Erkennung. Bei einem Versuch, den Trojaner auf einem System tatsächlich zu starten, würde natürlich sofort die Verhaltenserkennung zuschlagen, vernimmt man. Ob dem wirklich so ist, werden wir leider nicht erfahren. Denn der CCC hat nur nur die statische Erkennung getestet. Und nachträglich lassen sich derartige Tests nicht mehr sinnvoll durchführen, weil sich die jetzt anspringende Signatur-Erkennung nicht allein abschalten lässt.

Allerdings sind durchaus Zweifel angebracht, ob eine Verhaltenserkennung tatsächlich präventiv schützen würde. Zu untypisch ist das Verhaltensmuster des Staatstrojaners, der nur bei wenigen Prozessen überhaupt aktiv wird. Und Programme wie Skype gehören nicht zu den typischen Zielen von Schädlingen wie Zeus, SpyEye & Co. Wenn überhaupt, würde ein Virenwächter wohl am ehesten beim Ausführen des Installationsprogramms Verdacht schöpfen. Und auch das hilft nicht wirklich, wenn der Trojaner – wie im bis jetzt einzigen dokumentierten Fall – bei einer Zollkontrolle installiert wird. Dabei könnte der Beamte im Zweifelsfall die Spionage-Software auch gleich in die Ausnahmeliste der AV-Software eintragen. Vor einem solchen Szenario schützt am ehesten eine Komplettverschlüsselung des Notebooks mit Pre-Boot-Authentifizierung.

Überhaupt kann man Staatstrojaner nicht wirklich mit den massenhaft verbreiteten Schädlingen vergleichen. Viel ähneln eher den Maßanfertigungen, die für Einbrüche und Spionage in Unternehmen zum Einsatz kommen. In beiden Fällen handelt es sich um Spionageprogramme, die gezielt für einen bestimmten Zweck entwickelt werden und die nie große Verbreitung finden. Und ähnlich viel Schutz bietet AV-Software auch vor dieser Gefahr – nämlich nahezu gar keinen. Die jetzt nachgereichten Signaturen sind eher ein Feigenblatt als ein Schild. Wer also sicher sein will, dass derartige Schnüffelei nicht in seine digitale Privatsphäre vordringt, die ihm das Verfassungsgericht zubilligt, darf sich nicht auf die Technik verlassen, sondern muss jetzt auf politische Konsequenzen drängen.

Quelle : www.heise.de

[SiLæncer]

Anlässlich des Staatstrojaner-Leaks vom letzten Wochenende gibt der finnische Antiviren-Spezialist F-Secure bekannt, dass Vereinbarungen mit staatlichen Ermittlungsstellen, bestimmte Schädlinge nicht in die Signaturlisten aufzunehmen, für das Unternehmen ausgeschlossen seien. Diesbezüglich habe man klare Richtlinien.

Nachdem der Chaos Computer Club die Analyse des - angeblich ebenso rechtswidrigen wie fehlerhaften - Staatstrojaners veröffentlicht hatte, entstanden lebhafte Diskussionen über alle möglichen Aspekte der umstrittenen Sicherheitsmaßnahme. Dass nun auch Sicherheitsanbieter ins Zentrum der Aufmerksamkeit geraten, ist wenig verwunderlich - immer wieder gab es im Internet Spekulationen, dass diese Firmen die Entdeckung staatlicher Spionageprogramms durch eine Hintertür in der jeweiligen Sicherheitssoftware verhindern. Diese lebten nun neu auf.

Das finnische Sicherheitsunternehmen F-Secure distanziert sich nun ausdrücklich von diesen Vorwürfen. Man habe klare Richtlinien, was eventuelle Forderungen staatlicher Ermittlungsstellen bezüglich einer Nichterkennung von Spionageprogrammen betrifft, erklärt das Unternehmen. "F-Secure wird zu keiner Zeit Lücken in der Sicherheitssoftware zulassen - ganz gleich, woher die Schadprogramme auch kommen mögen", sagte F-Secures "Chief Research Officer" Mikko Hyppönen, "Mit jedem Sample, das wir erhalten, müssen wir eine ganz klare Entscheidung treffen, was die Entdeckung des Programms betrifft. Und diese Entscheidungsfindung ist ausschließlich durch technische Faktoren beeinflusst - andere Faktoren spielen keine Rolle. Selbstverständlich immer im Rahmen gesetzlicher Richtlinien, in diesem Fall des EU-Rechts."

Zudem weist Hypponen darauf hin, dass F-Secure den Staatstrojaner schon seit längerer Zeit erkenne. Für Kunden von F-Secure sei vom Bundestrojaner zu keiner Zeit eine Gefahr ausgegangen, denn F-Secure erkenne den Trojaner und hab ihm sogar seinen Namen gegeben: "Backdoor:W32/R2D2.A". Als erster Antiviren-Hersteller habe F-Secure die Thematik des Bundestrojaners aufgegriffen und Informationen dazu im unternehmenseigenen Weblog veröffentlicht. Auch sei F-Secure der erste Anbieter gewesen, der eine entsprechende Signatur seiner Datenbank hinzufügt und somit seinen Kunden reaktiven Schutz vor dem Spion bereitgestellt habe.

Einen endgültigen Schutz vor dem Staatstrojaner bietet allerdings keine Sicherheitssoftware, wie auch F-Secure betont. Der Staatstrojaner werde nach derzeitigem Wissensstand manuell installiert, weswegen der Angreifer physischen Zugriff auf den fraglichen Rechner haben müsste, berichtet F-Secure. Dies deckt sich mit Berichten, dass in mindestens einem bekannten Fall die staatliche Spionage-Software im Rahmen einer Zollkontrolle auf einem Laptop installiert wurde. In dieser Situation, so F-Secure, können natürlich auch die Schutzmechanismen ausgeschaltet oder das Spionage-Tool zur Liste vertrauenswürdiger Programme hinzugefügt werden, so dass es von der Security-Software ignoriert werde. Sollte der Trojaner dagegen auf nicht physischem Wege verbreitet werden, würden die F-Secure-Schutzmechanismen die Installation blockieren. Angeblich wird der Trojaner auch von F-Secures Heuristik (Verhaltensanalyse) als verdächtig eingestuft.

Quelle : www.gulli.com

[SiLæncer]

Virenanalysten von Kaspersky haben eine neue Version des Staatstrojaners von Digitask entdeckt. Sie unterstützt auch 64-Bit-Windows und kann deutlich mehr Programme belauschen. Der große Bruder des vom CCC analysierten Trojaners besteht aus insgesamt fünf Dateien. Sie fanden sich in einem Installationsprogramm namens scuinst.exe (Skype CaptureUnit Installer), das F-Secure kürzlich aufgespürt hatte.

Neben Skype stehen eine Reihe von weiteren Voice-Over-IP-Applikationen auf der Liste der zu überwachenden Prozesse, aber auch Browser, Mail- und Instant-Messaging-Programme. Die vollständige Liste ist:

   - explorer.exe
   - firefox.exe
   - icqlite.exe
   - lowratevoip.exe
   - msnmsgr.exe
   - opera.exe
   - paltalk.exe
   - simplite-icq-aim.exe
   - simppro.exe
   - sipgatexlite.exe
   - skype.exe
   - skypepm.exe
   - voipbuster.exe
   - x-lite.exe
   - yahoomessenger.exe

Darüber hinaus haben die Experten einen signierten 64-Bit-Treiber entdeckt, dessen Zertifikat vom fiktiven Herausgeber Goose Cert ausgestellt wurde. Eine Signatur ist Voraussetzung dafür, dass ein 64-Bit-Windows den Treiber lädt. Allerdings akzeptiert ein normales Windows das gefälschte Zertifikat nicht, so dass bei der Installation eigentlich auch der Zertifikatsspeicher von Windows manipuliert werden müsste. Wie dies geschieht, ist bislang unklar. Aber es wird immer klarer, dass Antiviren-Software keinen Schutz vor einem solchen Staatstrojaner bieten kann. Denn wer den Zertifikatsspeicher manipuliert, kann auch eventuell aufmüpfige AV-Software zum Schweigen bringen.

Und schließlich haben die Digitask- Entwickler offenbar weitere Rootkit-Methoden abgekupfert und neben der bekannten AppInit-Methode auch einen neuen Mechanismus implementiert, die Trojaner-Bibliothek im Kontext der Zielprozesse zu aktivieren.

[berti]

Allerdings akzeptiert ein normales Windows das gefälschte Zertifikat nicht, so dass bei der Installation eigentlich auch der Zertifikatsspeicher von Windows manipuliert werden müsste

das muss nicht einmal der fall sein, denn wenn der spy direkt aufgespielt wird, kann man windows auch mit einfachen mitteln unzertifizierte oder falsch zertifizierte Dateien unterjubeln.
Und wenn man schon den Rechner vor sich hat, lässt sich auch relativ schnell fast jedes Antivieren-programm aushebeln, der Anwender sieht nix von den Modifikationen und sein AV-programm gaukelt ihm eine nicht existente Sicherheit vor.


Mich würde jetzt nur noch interessieren, wann die Linux-spy's publik gemacht werden und ab wann die Trojaner fürs I-phone bzw für die android-phones rauskommen  
Wobei: bei den Handys braucht es eigentlich nix, die plaudern auch so schon genug  



[private meinung] Wer noch immer seine Laptops/Note/Netbooks von der eingebauten unverschlüsselten Festplatte startet, ist selbst schuld, Und wer seinen Rechnern aus den Augen lässt und andere Leuts drann handwerken lässt, dem ist nicht zu helfen.
mal zum nachdenken: 32GB micro-sd kosten nicht die welt und sind verdammt klein, die könnten auch "versehentlich" bei Nichtgebrauch im Portemonnaie landen, und wie man von diesen dingern bootet, das ist unter anderem auch hier  nachzulesen.

[Jürgen]

Du hast wieder einmal vollkommen recht.

Allerdings frage ich mich, ob wir nicht komplett verkaspert werden sollen.
Wenn die erwähnte Liste von Programmen wirklich echt und vollständig wäre, könnte man ja recht einfach ausweichen.
Zwar geht's da um Prozess-Namen, die der Normaluser nicht einfach umbenennen kann, aber es gibt ja für die meisten Zwecke ausreichend alternative Anwendungen.
So mag ich nicht glauben, dass sich ein derartiges Spionagewerkzeug nur und immer um die genannten Prozesse bemüht.
Zumal man beispielsweise den erwähnten Browsern auch statt dessen recht einfach ein unauffälliges Plugin unterjubeln könnte.
Und wieso wird ausgerechnet iexplore.exe nicht erwähnt???

Jürgen

[ritschibie]

Und wieso wird ausgerechnet iexplore.exe nicht erwähnt???
Jürgen

Das hat mich auch zum grübeln gebracht 

[berti]

benutzt den überhaupt noch jemand ?  

denke eher, das es ein tapfäler gewesen ist und der erste eintrag auf besagter liste der Ie sein sollte. Denn': den einfachen Explorer zu überwachen ist zu aufwendig /müllig, dann eher andere Prozesse oder Task abgreifen.

[ritschibie]

denke eher, das es ein tapfäler gewesen ist

Möglich ist alles...aber wirklich alles!! 

[SiLæncer]

Der CCC hat die bereits von Kaspersky entdeckten, neueren Versionen des Staatstrojaners von Digitask analysiert. Diese datiert auf den Dezember 2010 und ist bislang keinem konkreten Fall zuzuordnen. Bei der Analyse lag der Schwerpunkt auf den Nachbesserungen bei den Schwächen des Vorgängers und der postulierten "revisionssicheren Protokollierung" aller Aktivitäten.

Das Tool BinDiff zeigt Ähnlichkeiten und Unterschiede
in der Struktur der beiden Trojaner-Versionen.
Bild vergrössern

So fanden die "Reverser" des CCC, dass an der etwa drei Jahre neueren Version zwar durchaus Verbesserungen vorgenommen wurden, diese aber keineswegs ausreichen, um eine rechtskonforme Erhebung von Beweismitteln zu ermöglichen.

So wird im Modell des Jahres 2010 tatsächlich der Datenverkehr in beide Richtungen verschlüsselt, und auch eine rudimentäre Authentifizierung ist vorhanden. Allerdings kommt nach wie vor der gleiche AES-Schlüssel wie beim drei Jahre älteren Bruder zum Einsatz. Auch an der peinlichen Nutzung des ECB-Modus der AES-Verschlüsselung hat sich demnach nichts geändert. Insgesamt kann nach einer kurzen Analyse eines Trojaners immer noch die gesamte Kommunikation zwischen Trojaner und C&C-Server belauschen und sogar manipulieren.

Deshalb konnten die CCC-Spezialisten auch in wenigen Stunden ihren nachgebauten Steuer-Server an die Veränderungen so umbauen, dass er mit den neuen Versionen funktioniert. Damit ließe sich ein mit dem Staatstrojaner infizierter Rechner steuern. Außerdem konnten Sie auch mit einem nachgebauten Fake-Trojaner selbst "Beweise" etwa in Form von Screenshots übertragen, die ein C&C-Server mangels "Authentisierungs-Checks [..], die auch nur annähernd zeitgemäß wären", als authentisch akzeptieren würde. Wenn ein solcher Fake-Trojaner auf dem belauschten Rechner liefe, würde auch ein Abgleich der IP-Adressen keine weiteren Auffälligkeiten zutage fördern. Letzlich kommt der CCC zu dem Schluss, "dass per Trojaner erlangte Screenshots (und andere „Beweise“) generell als gefälscht anzusehen sind und keinerlei Beweiskraft haben".

Im Übrigen enthält auch die 2010er-Version des Staatstrojaners die bedenkliche Nachladefunktion, über die der Trojaner beliebige Programme aus dem Internet herunterladen und ausführen könnte. Diese wurde vor allem kritisiert, weil sie gegen die vom Verfassungsgericht geforderte technische Beschränkung auf die Überwachung von Telekommunikation verstoße. Verteidiger bezeichneten sie hingegen als unverzichtbaren Update-Mechanismus.

Quelle : www.heise.de

[SiLæncer]

Experten der University of Toronto sind offenbar auf eine weitere Version des FinFisher-Trojaners gestoßen. Allem Anschein nach ist eine mobile Fassung des Schadprogramms auch mit gängigen Smartphones kompatibel. Durch die Angreifbarkeit von beispielsweise iOS oder Android-Systemen, könnte ein infiziertes Handy zum getarnten Spionage-Tool werden.

Bereits vor einigen Wochen konnten die Sicherheitsexperten des Citizen Labs die Existenz eines Staatstrojaners deutsch-englischer Herkunft nachweisen. Infolgedessen wurden dem Projekt aus aller Welt weitere mysteriöse Dateien unbekannter Herkunft übersandt, aus denen die Forscher nun ihre neusten Erkenntnisse ziehen konnten.

Auf ihrer Webseite schreiben die Mitarbeiter des Instituts der University of Toronto, vom Fund mehrerer Trojaner für iOS, Android, Blackberry, Windows Mobile und Symbian. Die Verhaltensweisen der Software entspreche dabei den beworbenen Methoden einer kommerziellen Software namens FinFisher, die von der Firma Gamma International vertrieben wird. Nach Angaben der Analysten kann ein Angreifer mit Hilfe der Tools den vollen Zugriff auf das betroffene Telefon erlangen. Möglich wäre also beispielsweise die Verfolgung des Zieles mittels des eingebauten GPS-Chips oder der Download sensibler Informationen.

Die Infektion eines Gerätes stellt sich allerdings nicht völlig problemlos dar. Der Benutzer muss für die Installation des Trojaners letztendlich selbst tätig werden, indem er eine Datei ausführt. Diese kann ihm beispielsweise in einer Email oder SMS als wichtiges Software-Update verkauft werden.

Im Rahmen der Dekompilierung der Programme stießen die Forscher wie Screenshots belegen auf den Namen eines Mitarbeiters der Herstellerfirma, sowie die Bezeichnung „Gamma International“ selbst. Das Unternehmen allerdings hält sich in einer zuletzt veröffentlichten Stellungnahme mit näheren Informationen zurück. Zwar würden die gefundenen Codezeilen Ähnlichkeiten mit FinFisher aufzeigen, für eine endgültige Identifikation bedürfe es allerdings weiterer Untersuchungen. Sollten sie die Vermutungen der Forscher allerdings bestätigten, könnte es sich bei den Funden nur um eine widerrechtlich kopierte Demoversion handeln.

Quelle : www.gulli.com