Thema: Antivirensoftware: Keine Chance gegen Stuxnet und Co

[SiLæncer]

Mikko Hypponen, zuständig für Forschung und Entwicklung beim skandinavischen Antivirensoftwarehersteller F-Secure, gesteht ein, dass seine Firma bei Schadsoftware wie Flame oder Stuxnet versagt hat und sucht nach Gründen für diese Fehlleistungen.

Hypponen, der seit 20 Jahren in der Branche tätig ist, räumt in einem Beitrag für ars technica ein, dass F-Secure sogar bereits seit 2010 Muster des gerade in den Schlagzeilen befindlichen Schädlings Flame vorlagen. Dessen Schadfunktionen blieben offenbar trotzdem unbemerkt, weil er lediglich über automatisierte Berichte in die Datenbank gelangte, aber von der hauseigenen Software nicht zur genaueren Begutachtung markiert wurde. Bei anderen Antivirenfirmen fanden sich Flame-Muster sogar schon länger in den Datenbanken, sodass davon ausgegangen werden muss, dass die Malware bereits mehr als zwei Jahren unentdeckt arbeitete.

Hypponen konstatiert ein ähnliches Versagen von Antivirensoftware und deren Herstellern bereits bei Stuxnet und Duqu. Damals nutzte die Malware digital signierte Komponennten, um sie als vertrauenswürdig zu tarnen. Auf den Schutz durch übliche Verschleierungssoftware, die unter Umständen Aufmerksamkeit erregt hätte, verzichtete der Code und verbarg sich einfach, indem er für jeden sichtbar blieb und so nicht beachtet wurde. Bei Flame nutzten die Angreifer außerdem SQLite, SSH, SSL und LUA Libraries, so dass der Code eher wie eine geschäftliche Datenbank wirkte und nicht wie Malware.

Hypponen folgert aus den bisher bekannten Fällen, dass die Antivirenhersteller Ihre Nutzer zwar gegen alltägliche Bedrohungen wie Bank-Trojaner, Key-Logger oder E-Mail-Würmer schützen können, nicht jedoch gegen spezielle Angriffe, die von Staaten mit nahezu unlimitierten Budgets ausgehen. Die Angriffe wurden offenbar zuvor mit allen gängigen Antivirenprogrammen getestet, wohingegen für die Hersteller die Bedrohung absolut neu war. Gegen solch eine Übermacht an Ressourcen und Vorsprung an Wissen sieht sich Hypponen machtlos und räumt ein, dass man da einfach in einer anderen Liga spielt.

Doch die Situation ist eigentlich noch schlimmer. Denn was Hypponen dabei außer Acht lässt: Kriminelle Banden, die Online-Banking-Trojaner wie Zeus und SpyEye bauen, arbeiten durchaus ähnlich, sind genauso motiviert und haben teilweise vergleichbare Ressourcen zur Verfügung wie die Macher von Flame, Duqu und Stuxnet. So testen sie ebenfalls systematisch gegen AV-Software und optimieren so lange, bis ihr Trojaner nicht mehr erkannt wird. Als Resultat konstatiert etwa die Statistik des Projekts Zeus-Tracker eine Erkennungsrate von Antirviren-Software von weniger als 40%; derzeit sind demnach ganze 294 Zeus-Varianten unterwegs, die kein einziges AV-Programm erkennt. Wie heise Security in den FAQs zum Superspion Flame erläutert, ist der wichtigste Unterschied zwischen Flame und Zeus, dass letzterer auf maximale Verbreitung setzt und dabei viel mehr auffällt, als ein Spionage-Programm, das in 2 Jahren weltweit nur 1000 Rechner infiziert. Doch das reicht ganz offensichtlich nicht aus, damit Antiviren-Software Zeus & Co wirklich zuverlässig abwehren könnte – wie nicht zuletzt die Statistiken zum Online-Banking-Betrug deutlich belegen.

Quelle : www.heise.de

[SiLæncer]

Während der noch andauernden Untersuchung des Spionage-Trojaners Flame hat der Virenexperte Costin Raiu von Kaspersky eine gleichermaßen spannende wie besorgniserregende Entdeckung gemacht: Flame konnte andere Rechner im Netzwerk offenbar über Windows Update infizieren.

Laut Raiu ist ein Flame-Modul namens Gadget dazu in der Lage, als Man-in-the-Middle anderen Rechnern im gleichen Netzwerk manipulierte Update-Pakete unterzujubeln. Ein konkretes Paket hieß WuSetupV.exe und war mit einem Zertifikat signiert, das von der "Microsoft Enforced Licensing Registration Authority CA" ausgestellt wurde – einer Sub-CA von Microsofts Root Authority. Ein weiterer Tweet des Virenexperten deutet darauf hin, dass Flame die Updates über einen virtuellen Server namens MSHOME-F3BE293C im Netzwerk verteilt hat.

Microsoft hatte bereits bestätigt, dass die Flame-Entwickler gültige Microsoft-Zertifikate ausstellen konnten. Unklar ist derzeit noch, ob Windows das Flame-Update tatsächlich klaglos akzeptiert hat. Hierzulande dürften die gefälschten Update-Pakete jedoch ohnehin keine Verbreitung gefunden haben. Laut Raiu wird das Gadget-MITM-Modul nur aktiv, wenn die Zeitzone auf GMT+2 und höher eingestellt ist – also östlich unserer Zeitzone.

Außerdem hat Kaspersky weitere Details zu der Botnetz-Infrastruktur hinter Flame veröffentlicht. Demnach haben die Flame-Betreiber mindestens 15 Kommandoserver genutzt, die für jeweils über 50 Opfer zuständig waren. Laut dem Bericht gingen wenige Stunde nach den ersten Veröffentlichungen zu Flame bei dem Botnetz "die Lichter aus".

Zur Registrierung der Domains nutzten die Betreiber zahlreiche falsche Identitäten. Die Server standen laut Kaspersky unter anderem in Deutschland, den Niederlanden, Großbritannien, der Schweiz, Hong Kong und der Türkei. Die meisten Opfer nutzten ein 32-bittiges Windows 7, darauf folgt XP mit 45 Prozent. Unter der 64-bit-Ausgabe von Windows 7 läuft Flame nicht.

Das Unternehmen konnte nach eigenen Angaben zahlreiche der Domains auf eine Sinkhole umleiten, wodurch die infizierten Systeme ihre Daten fortan bei Kaspersky ablieferten. Bei den Daten soll es sich vor allem um PDF- und Office-Dokumente, aber auch um AutoCAD-Dateien, also technische Zeichnungen, gehandelt haben.

Quelle : www.heise.de

[SiLæncer]

Den Entwicklern des Super-Spions Flame ist ein Kunststück gelungen, das bisher nur in Katastrophenszenarien versierter Sicherheitsexperten skizziert war: die Infektion von Windows-Systemen über die eingebaute Aktualisierungsfunktion Windows Update. Die Virenschreiber mussten zahlreiche Puzzleteile zusammensetzen, damit dies funktioniert.

Unter anderem benötigten sie ein gültiges Microsoft-Zertifikat, mit den sie ihr gefälschtes Windows-Update signieren konnten. Wie raffiniert der Flame-Trojaner das gefälschte Update im lokalen Netz verteilt hat, haben die Sicherheitsexperten von Symantec untersucht.

Dazu bei heise Security:

    Windows Update kompromittiert

Quelle : www.heise.de

[ritschibie]

(Bild: Kaspersky Lab)

Um ihre Spuren zu verwischen, haben die staatlichen Betreiber der Cyberwaffe Flame ein neues Selbstzerstörungsmodul versandt und gestartet.

Die Entwickler der Cyberwaffe Flame haben einen Selbstzerstörungsmechanismus gestartet. Das gaben Sicherheitsexperten von Symantec bekannt. Kompromittierte Computer wurden angewiesen, eine Komponente zu installieren und auszuführen, die alle Spuren der Schadsoftware zerstören soll.

Dabei nutzten die Entwickler von Flame nicht die eingebaute Selbstzerstörungsfunktion Suicide, sondern ein neues Modul mit dem Titel browse32.ocx, dessen letzte Version am 9. Mai 2012 entwickelt wurde. "Es ist unklar, warum die Schadsoftwarehersteller nicht die Suicide-Funktion nutzten", erklärte Symantec. Das neue Entfernungstool findet jede Flame-Datei auf einem Datenträger und überschreibt sie mit Zufallsdaten, um eine Wiederherstellung zu verhindern.

Laut dem IT-Sicherheitsunternehmen Kaspersky Lab ist Flame in der Lage, Screenshots anzufertigen und Audioaufnahmen über ein Mikrofon im Computer zu erstellen und an die Angreifer zu senden. Die Software kann auch Dateien ausspähen. Flame soll seit März 2010 zum Einsatz kommen, wurde aber jahrelang von keiner Sicherheitssoftware entdeckt. Kaspersky hat Informationen, nach denen der Wurm voll gepatchte Windows-7-Systeme befallen kann. Mit Flame infizierte Systeme befinden sich laut Kaspersky vor allem im Nahen Osten.

Flame: 20 Programmierer und Bedienungspersonal für die Server

Analysen von Kaspersky zufolge hat sich Flame unter anderem über Microsofts Updatefunktion verbreitet. Über eine Man-in-the-Middle-Attacke hat sich ein mit Flame infizierter Rechner in das Netzwerk integriert und manipulierte Updatepakete an andere Rechner verteilt sowie einen eigenen Updateserver eingerichtet. Das Update war mit einem gefälschten Microsoft-Zertifikat unterzeichnet.

Alexander Gostew von Kaspersky Labs sagte Welt Online: "Wir haben keine Informationen darüber, wem die betroffenen Rechner gehören." Der Umfang der Codes von Flame sei 20-mal größer als der von Stuxnet. 10 bis 20 Programmierer und Bedienungspersonal für die Server seien beteiligt gewesen. Gostew: "Wir stufen Flame, genau so wie Stuxnet und Duqu, als Cyberwaffen ein, die von Staaten entwickelt wurden." Mindestens 80 Server in Deutschland, Türkei, Italien und Vietnam seien von den Betreibern von Flame benutzt worden.

Quelle: www.golem.de

[SiLæncer]

Nach und nach werden die Hintergründe der Kompromittierung von Windows Update bekannt. An der Entwicklung des Super-Spions Flame waren offenbar hochkarätige Kryptografie-Experten beteiligt, denen ein Versäumnis im Hause Microsoft in die Hände spielte.

Die Flame-Entwickler signierten ihr Spionage-Werkzeug mit einem gefälschten Microsoft-Zertifikat, das sie durch einen MD5-Kollisionsangriff erstellen konnten. Dabei nutzen die Virenschreiber jedoch nicht die bislang bekannten Verfahren, sondern entwickelten den Angriff weiter. Der Kryptografieexperte Marc Stevens stellte bei der Analyse des Flame-Zertifikats fest, dass die Virenschreiber eine "komplett neue Variante einer Chosen Prefix Collision Attack" genutzt haben. "Die Entwicklung dieser neuen Variante erforderte Kryptoanalyse von Weltklasse", merkt Stevens an.

Microsofts Sicherheitsabteilung hat ebenfalls neue Details zu dem Vorfall gebloggt: Demnach wäre dieser komplizierte Angriff gar nicht nötig gewesen, wenn es die Angreifer nur auf Windows XP abgesehen hätten. Eigentlich soll eine X.509-Erweiterung namens "Microsoft Hydra" das Zertifikat der Firmenkunden an einen ganz speziellen Zweck binden; in diesem Fall dem Lizenzmanagement in einer Terminal-Server-Umgebung. Allerdings wertet die Crypto-API von XP diese Angaben gar nicht aus, wodurch man anscheinend bereits mit dem Originalzertifikat XP-Updates signieren konnte.

Erst für das Signieren von Update-Paketen für spätere Windows-Versionen wurde der oben beschriebene Kollisionsangriff nötig: Die Virenentwickler konnten dadurch die Hydra-Erweiterung aus dem Zertifikat entfernen. Das gelang nur, weil Microsoft beim Signieren der Zertifikate noch das seit längerer Zeit als unsicher geltende MD5-Hash-Verfahren nutzte. Was es mit der Hydra-Erweiterung auf sich hat, geht aus dem Microsoft-Beitrag nicht klar hervor. Anhaltspunkte zur Funktionweise des Lizenzservers liefert der Blog Unmitigated Risk.

Beeindruckend ist der Aufwand, den die Flame-Entwickler allein in den oben beschriebenen Infektionsweg gesteckt haben. Darüber hinaus konnte sich Flame unter anderem auch noch ganz klassisch über USB-Stick verbreiten. Obwohl die Spionagesoftware viele Tricks kannte, andere Rechner zu infizieren, hat sie sich nach bisherigem Kenntnissstand nur auf ein paar Tausend Rechnern weltweit, vor allem im nahen Osten, eingenistet. Das lässt darauf schließen, dass Flame ein hochspezialisiertes Spionagewerkzeug ist, das nur für gezielte Einsätze genutzt wurde.

Quelle : http://www.heise.de/security/

[SiLæncer]

In der vergangenen Woche haben einige der noch aktiven Command-and-Control-Server (C&C-Server) eine spezielle Kommando-Datei mit dem Namen browse32.ocx an die von ihnen kontrollierten, mit dem Super-Spion Flame infizierten Rechner geschickt. Diese Datei funktioniert wie ein Uninstaller und entfernt alle Komponenten des Trojaners von der Festplatte, einschließlich sich selbst. Um eine Wiederherstellung und Analyse der Dateien zu verhindern, überschreibt das Modul sie anschließend mit Zufallszeichen, wozu es einen eigenen Zufallsgenerator mitbringt.

Der Anti-Viren-Spezialist Symantec konnte das Modul mit Hilfe eines eigens für Flame-C&C-Server aufgestellten Honeypots auffangen und untersuchen. Auf normalen Clients hätte sich die Datei zusammen mit allen Spuren des Flame-Trojaners vernichtet.

Flame wurde erst Ende Mai von den Viren-Fahndern entdeckt. Interessant ist das Erstellungsdatum des Selbstmord-Moduls: Es ist auf den 9. Mai 2012 datiert, nur wenige Wochen vor der Bekanntwerdung. Auch dass überhaupt eine separate Kommando-Datei verwendet wurde, macht die Spezialisten stutzig, da der Flame-Code selbst eine Komponente namens SUICIDE enthält, die die gleichen Funktionen wie browse32.ocx ausführt. Eine Erklärung für das neue Modul suchen die Viren-Forscher noch.

Flame zählt zu den komplexesten bislang gefundenen Trojanern und ist das erste bekannte Spionage-Programm, das zur Verbreitung die Update-Funktion von Windows benutzt. Es kopiert von infizierten Rechnern E-Mails und Dateien, nutzt angeschlossene Mikrofone und Kameras zum Abhören und Überwachen und zeichnet Screenshots, Tastatureingaben und Netzwerkverkehr auf. Die Verbreitung war jedoch begrenzt – Flame fand sich hauptsächlich auf Rechnern im Nahen Osten –, was die Entdeckung wahrscheinlich so lange hinausgezögert hat.

Quelle : http://www.heise.de/security/

[SiLæncer]

Der Antiviren-Hersteller Kaspersky hat ein Modul entdeckt, das ursprünglich im Rahmen von Flame entwickelt wurde, später dann aber bei einer Stuxnet-Version zum Einsatz kam. Bislang hatten Virenforscher wenig Ähnlichkeiten zwischen den beiden Super-Würmern gefunden, außer dass beide im Aufgabenbereich von Geheimdiensten zum Einsatz kamen.

"Ressource 207" ist der interne Name einer Komponente der Stuxnet-Version von 2009, die ursprünglich für deren Verbreitung über USB-Sticks verantwortlich war, aber später dann ersetzt wurde. Sie soll laut einem Blog-Eintrag von Kaspersky so eng mit dem Flame-Modul atmpsvcn.ocx verwandt sein, dass der Virenanalyst Alexander Gostev sogar vermutet, dass der Stuxnet-Baustein zunächst auf der "Flame-Plattform" entwickelt und dann erst später in Stuxnet integriert wurde.

"Ressource 207" nutzte nach der Infektion sogar eine Sicherheitslücke im Windows-Kernel win32k.sys aus, um an höhere Rechte zu gelangen. Diese Lücke war zum Zeitpunkt der Entdeckung von Stuxnet noch nicht bekannt – also ein echter Zero-Day-Exploit (0day).

Gostev spekuliert, dass es zwei Entwickler-Teams gab, zwischen denen zwar ein gewisser Austausch stattfand, die aber ihre jeweiligen Projekte seit etwa 2007/08 getrennt entwickelt haben. Das fragliche Modul sei wahrscheinlich vom Flame-Team speziell für Stuxnet entwickelt worden. Dies würde erklären, warum es sonst so wenig Ähnlichkeiten zwischen den beiden Super-Würmern gibt. Andere Erklärungen – wie von Dritten eingekaufte Exploits – diskutiert der Blog-Eintrag allerdings nicht.

Als treibende Kraft bei Entwicklung und Einsatz von Stuxnet hatte erst kürzlich die New York Times die US-Regierung zunächst unter Bush und dann auch Obama ausgemacht. Vor allem letzterer sah demnach darin eine effiziente Methode, das iranische Atomprogramm lahmzulegen. Flame wurde ebenfalls schwerpunktmäßig im Iran eingesetzt; über seine Urheber gibt es bislang aber nur Spekulationen.

Quelle : www.heise.de

[SiLæncer]

Als Lehre aus dem Flame-Desaster hat Microsoft nun eine eigene Sperrlistentechnik für seinen Zertifikatsspeicher unter Windows eingebaut. Sie wird mit dem gestrigen Patch-Set verbreitet. Das Spionageprogramm Flame hatte sich mit Hilfe der Update-Funktion von Windows verbreitet, indem es die zu dessen Absicherung gedachten Zertifikate manipulierte.

Mit der jetzigen Änderung, die ein Blog-Eintrag beschreibt, werden kompromittierte Zertifikate automatisch als nicht vertrauenswürdig markiert. Dazu konsultiert der Zertifikatsspeicher einmal täglich eine von Microsoft verwaltete Liste. Certificate Authorities müssen das Unternehmen von widerrufenen Zertifikaten unterrichten, das sie dann in dieses Verzeichnis aufnimmt. Das Verfahren sei wesentlich schneller als das Verteilen von Certificate Revocation Lists (CRLs), heißt es im Blog.

Gleichzeitig hat Microsoft angekündigt, dass nach Installation der kommenden August-Patches Windows RSA-Keys mit einer Schlüssellänge von weniger als 1024 Bits nicht mehr akzeptieren werde. Das betrifft unter anderem SSL-Zertifikate von Websites: Browser reagieren dann mit einer Fehlermeldung, wenn sie eine Verbindung dorthin herstellen. Auch Active-X-Controls und Anwendungen, die mit solchen kurzen Schlüsseln signiert wurden, lassen sich nicht mehr installieren.

Quelle : www.heise.de

[SiLæncer]

Ursprünglich an der Uni Bonn hat Sebastian Poeplau den Ghost USB Honeypot entwickelt, den er jetzt im Rahmen des Honeynet-Projekts weiterentwickelt. Er simuliert in Software einen USB-Stick, der an ein Windows-System angesteckt wird und somit als Köder fungiert. Auf Systemen, die mit Würmern wie Conficker, Stuxnet oder Flame infiziert sind, kopiert sich der Schädling auf den vermeintlichen Stick. Dabei landet er in dem Imagefile, das Ghost als USB-Stick ausgegeben hat und kann dort direkt analysiert werden.

Die Idee ist, die Honeypot-Software auf Produktionssystemen im Hintergrund regelmäßig auszuführen – etwa während der Anwender nicht aktiv ist und der Screensaver läuft. Wenn sich dann innerhalb eines bestimmten Zeitraums von etwa 30 Sekunden etwas auf den virtuellen Stick kopiert, kann man davon ausgehen, dass man einen Schädling eingefangen hat. Derzeit läuft Ghost USB nur auf Windows XP. Auf der Projekt-Seite gibt es bereits fertig übersetzte Treiber, mit denen man erste eigene Experimente anstellen kann. Um den als Open Source bereitgestellten Quellcode zu übersetzen, benötigt man ein Windows Driver Kit.

Quelle : www.heise.de

[ritschibie]

AC/DC-Gitarrist Angus Young: Thunderstruck
in voller Lautstärke (Bild: John Gress/ Reuters)

Bei einem Angriff auf die Computersysteme von zwei iranischen Atomanlagen sollen erneut Steueranlagen abgeschaltet worden sein. Außerdem sollen die Angreifer mehrere Computer dazu gebracht haben, das AC/DC-Stück Thunderstruck zu spielen. Mit voller Lautstärke.

Die iranischen Atomanlagen in Natanz und Fordo scheinen erneut mit Schad-Software angegriffen worden zu sein. Diese Angreifer sollen jedoch nicht nur die Steuerungen der Anlagen abgeschaltet, sondern auch für laute Unterhaltung gesorgt haben - mit einem Song von AC/DC.

Zugang zum VPN

Ein Mitarbeiter der Iranischen Organisation für Atomenergie (AEOI) habe ihn per Mail über den Angriff informiert, berichtet Mikko Hypponen, Sicherheitsexperte bei F-Secure, im Unternehmensblog. Demnach haben sich Angreifer Zugang zum VPN der AEOI verschafft, schreibt der Wissenschaftler - wahrscheinlich mit Hilfe mit der Schadsoftware Metasploit.

Es seien erneut die Steueranlagen von Siemens betroffen gewesen, heißt es in der Mail. Gegen diese Systeme war auch schon der Angriff mit der Schadsoftware Stuxnet gerichtet. Die Attacke, die die USA und Israel durchgeführt haben sollen, war 2010 bekannt geworden.

Vom Donner gerührt

Um Geheimhaltung waren die Angreifer dabei nicht bemüht: Einige der betroffenen Rechner hätten mitten in der Nacht mit voller Lautstärke Musik gespielt, schreibt der Iraner. "Ich glaube, da lief 'Thunderstruck' von AC/DC"

Er wisse nicht, was er von den Mails des iranischen Wissenschaftlers halten solle, schreibt Hypponen. Er könne ihren Wahrheitsgehalt nicht verifizieren. Sicher sei lediglich, dass die Mails von der AEOI verschickt worden seien.

Quelle: www,golem.de

[Jürgen]

Soll das bedeuten, dass die Prozessrechner zur Steuerung von Ultrazentrifugen oder ähnlichen Maschinen über leistungsstarke Audioverstärker und Lautsprecherboxen verfügen?
Wozu bräuchte man dort solche Komponenten?
Oder sind die Alarm- und Durchsage-Einrichtungen derartiger extrem sicherheitskritischer Anlagen vom Zentralcomputer abhängig und bei jedem Softwarebug abgängig?
Und der Not-Aus-Schalter dann wohl auch...

Hat man etwa auch 1986 in Tchernobyl Musik gehört, z.B. Jethro Tull, Living in the Past?
Und neulich in Fukoshima "Yellow Submarine"  

Jürgen