Manfred Kloiber: Am Mittwoch dieser Woche gab es Sicherheitsalarm aus dem Internet Storm Center. Rund 10.000 Web Sites in Europa seien mit Schadsoftware infiziert worden. Verbunden damit sei das Ausspähen von Kontendaten. Was steckt hinter diesem Internet-Alarm, Peter Welchering?
Peter Welchering: Basis des Ganzen sind zwei Sicherheitslücken, eine im Internet Explorer, die zweite im Real Player. Über diese Sicherheitslücken kann ein Trojanisches Pferd auf Windows-PCs geladen werden. Und dieses Trojanische Pferd lädt dann weitere Schadsoftware herunter. Ausgangspunkt sind so genannte Exploits, Angriffsprogramme, die offensichtlich schon seit dem 1. Januar von zwei chinesischen Servern weltweit verbreitet wurden. Die Internet-Domains dieser Server sind übrigens auch ermittelt, die Exploits, also die Angriffsprogramme, konnten zurückverfolgt werden. Und inzwischen ist auch klar, was diese Angriffsprogramme gemacht haben. Die haben über so genannte "Inline-Frames" Schadsoftware auf mehr als 10.000 europäische Web-Server geschleust. Solche Inline-Frame werden normalerweise dazu genutzt, Webdokumente von anderen Servern in die eigene Seite mit einzubinden, ohne dass diese Dokumente auf dem eigenen Server liegen müssen. Das ist zum Beispiel bei der Einbindung von Werbung oder Videos externer Anbieter ganz interessant, weil solch ein Inline-Frame es dann erlaubt, dass die eigenen Seite schon mal im Browser aufgebaut wird, während die fremden Inhalte parallel dazu nachgeladen werden. Also der Betrachter bekommt die Ladezeit von so einem Video oder einer Werbung gar nicht mit. Ja und dieser Inline-Frame, der da auf mehr als 10.000 Webservern in Europa gelandet ist, der hat Schadprogramme von zwei chinesischen Servern nachgeladen, die mit dem Angriffsprogramm-Toolkit MPACK programmiert worden sind. Diese Schadsoftware sucht also automatisch Sicherheitslücken auf den PCs der Besucher der infizierten Web Sites.
Kloiber: Und was machen diese MPACK-Schadprogramme dann konkret auf meinem PC – außer nach Sicherheitslücken suchen?
Welchering: Die machen dreierlei. Erstens installieren sie einen so genannten Downloader, das ist ein Trojanisches Pferd, das weitere Schadsoftware herunter lädt. Zu dieser Schadsoftware gehört dann ein Keylogger, also ein Programm, das Tastatureingaben mitliest und eine Remote Forensic Software, die die gesamte Festplatte des befallenen PCs nach Passwortdateien durchsucht. Und drittens wird der Trojaner Torpig auf die infizierten PCs geschleust. Torpig stammt eigentlich aus dem Russian Business Network, aus dem RBN, und deshalb hat bei den jetzt laufenden Angriffen, die ja von zwei chinesischen Servern ausgehen, auch niemand damit gerechnet. Deshalb ist Torpig auch erst relativ spät identifiziert worden.
Kloiber: Was genau richtet Torpig auf den infizierten PCs an?
Welchering: Torpig ist auch als Banking-Trojaner bekannt. Torpig lädt Schadsoftware nach, die im Wesentlichen überwacht, ob Internet-Verbindungen zu Servern aufgebaut werden, die als Online-Banking-Hosts bekannt ist. Ist das der Fall, simuliert die Torpig-Schadsoftware eine getunnelte Verbindung, schaltet also einen gefälschten Bankrechner dazwischen und schreibt die Tastatureingaben auf dem infizierten PC mit. In einigen Fällen wurden dabei außer den Anmeldenamen und PIN auch Transaktionsnummern erbeutet. Und weil mit einem zwischengeschalteten Rechner gearbeitet wird, überlistet dieses System auch indizierte Transaktionsnummern.
Kloiber: Wie kann ich mich als Internet-Nutzer vor diesen aktuellen Angriffen schützen?
Welchering: Die Sicherheitslücke im Internet Explorer kann mit Patches von Microsoft geschlossen werden. Ich persönlich benutze allerdings momentan einen anderen Browser, um da etwas mehr Sicherheit zu haben. Und ich verwende momentan auch nicht den Real Player. Außerdem ist es sehr empfehlenswert, vor dem Aufbau einer Online-Banking-Verbindung erst mal einen Virencheck auf dem eigenen PC zu fahren. Denn die Downloader, die da auf den PV geschleust werden sollen, die werden mit einer sehr hohen Trefferquote inzwischen von allen handelsüblichen Antivirenprogrammen erkannt. Voraussetzung dafür: Die Virensignatur, mit denen die Antivirenprogramme auf dem eigenen PC arbeiten, sollten nicht älter als 36 Stunden sein. Denn das scheint ein Zettabschnitt zu sein, innerhalb dessen die Downloader von den Angreifern leicht mutiert werden.
Kloiber: Im Juni vergangenen Jahres gab es ja schon einmal eine ähnliche Attacke, die war im Wesentlichen nach vier Tagen vorbei. Wie lange läuft diese Attacke schon und wann wird sie zurückgeschlagen sein?
Welchering: Die Exploits sind offensichtlich sind ab dem 1. Januar freigesetzt worden. Bis die Schadsoftware inklusive Torpig dann auf PC installiert war, das hat natürlich ein paar Tage gedauert. Also die ersten infizierten PCs sind in Mailand und Florenz am vier Januar gemeldet worden. Und am Mittwoch hat diese Angriffswelle offensichtlich einen vorläufigen Höhepunkt erreicht. Die meisten Administratoren von Web Sites haben Verbindungen ihrer Server zu den Domains uc8010.com und ucmal.com, unterbunden. Zu diesen Domains konnten ja die Exploits zurückverfolgt werden. Es hängt jetzt davon ab, ob von diesen Domains noch weitere iFrames versandt werden. Wenn das unterbunden werden kann, weil die Verbindungen der Web-Server einfach blockiert werden, dann könnte dieser Angriff in vier bis sechs Tagen abgewehrt sein. Aber das wird nicht die einzige Web-Attacke sein, über die wir in diesem Jahr berichten müssen.
Peter Welchering: Basis des Ganzen sind zwei Sicherheitslücken, eine im Internet Explorer, die zweite im Real Player. Über diese Sicherheitslücken kann ein Trojanisches Pferd auf Windows-PCs geladen werden. Und dieses Trojanische Pferd lädt dann weitere Schadsoftware herunter. Ausgangspunkt sind so genannte Exploits, Angriffsprogramme, die offensichtlich schon seit dem 1. Januar von zwei chinesischen Servern weltweit verbreitet wurden. Die Internet-Domains dieser Server sind übrigens auch ermittelt, die Exploits, also die Angriffsprogramme, konnten zurückverfolgt werden. Und inzwischen ist auch klar, was diese Angriffsprogramme gemacht haben. Die haben über so genannte "Inline-Frames" Schadsoftware auf mehr als 10.000 europäische Web-Server geschleust. Solche Inline-Frame werden normalerweise dazu genutzt, Webdokumente von anderen Servern in die eigene Seite mit einzubinden, ohne dass diese Dokumente auf dem eigenen Server liegen müssen. Das ist zum Beispiel bei der Einbindung von Werbung oder Videos externer Anbieter ganz interessant, weil solch ein Inline-Frame es dann erlaubt, dass die eigenen Seite schon mal im Browser aufgebaut wird, während die fremden Inhalte parallel dazu nachgeladen werden. Also der Betrachter bekommt die Ladezeit von so einem Video oder einer Werbung gar nicht mit. Ja und dieser Inline-Frame, der da auf mehr als 10.000 Webservern in Europa gelandet ist, der hat Schadprogramme von zwei chinesischen Servern nachgeladen, die mit dem Angriffsprogramm-Toolkit MPACK programmiert worden sind. Diese Schadsoftware sucht also automatisch Sicherheitslücken auf den PCs der Besucher der infizierten Web Sites.
Kloiber: Und was machen diese MPACK-Schadprogramme dann konkret auf meinem PC – außer nach Sicherheitslücken suchen?
Welchering: Die machen dreierlei. Erstens installieren sie einen so genannten Downloader, das ist ein Trojanisches Pferd, das weitere Schadsoftware herunter lädt. Zu dieser Schadsoftware gehört dann ein Keylogger, also ein Programm, das Tastatureingaben mitliest und eine Remote Forensic Software, die die gesamte Festplatte des befallenen PCs nach Passwortdateien durchsucht. Und drittens wird der Trojaner Torpig auf die infizierten PCs geschleust. Torpig stammt eigentlich aus dem Russian Business Network, aus dem RBN, und deshalb hat bei den jetzt laufenden Angriffen, die ja von zwei chinesischen Servern ausgehen, auch niemand damit gerechnet. Deshalb ist Torpig auch erst relativ spät identifiziert worden.
Kloiber: Was genau richtet Torpig auf den infizierten PCs an?
Welchering: Torpig ist auch als Banking-Trojaner bekannt. Torpig lädt Schadsoftware nach, die im Wesentlichen überwacht, ob Internet-Verbindungen zu Servern aufgebaut werden, die als Online-Banking-Hosts bekannt ist. Ist das der Fall, simuliert die Torpig-Schadsoftware eine getunnelte Verbindung, schaltet also einen gefälschten Bankrechner dazwischen und schreibt die Tastatureingaben auf dem infizierten PC mit. In einigen Fällen wurden dabei außer den Anmeldenamen und PIN auch Transaktionsnummern erbeutet. Und weil mit einem zwischengeschalteten Rechner gearbeitet wird, überlistet dieses System auch indizierte Transaktionsnummern.
Kloiber: Wie kann ich mich als Internet-Nutzer vor diesen aktuellen Angriffen schützen?
Welchering: Die Sicherheitslücke im Internet Explorer kann mit Patches von Microsoft geschlossen werden. Ich persönlich benutze allerdings momentan einen anderen Browser, um da etwas mehr Sicherheit zu haben. Und ich verwende momentan auch nicht den Real Player. Außerdem ist es sehr empfehlenswert, vor dem Aufbau einer Online-Banking-Verbindung erst mal einen Virencheck auf dem eigenen PC zu fahren. Denn die Downloader, die da auf den PV geschleust werden sollen, die werden mit einer sehr hohen Trefferquote inzwischen von allen handelsüblichen Antivirenprogrammen erkannt. Voraussetzung dafür: Die Virensignatur, mit denen die Antivirenprogramme auf dem eigenen PC arbeiten, sollten nicht älter als 36 Stunden sein. Denn das scheint ein Zettabschnitt zu sein, innerhalb dessen die Downloader von den Angreifern leicht mutiert werden.
Kloiber: Im Juni vergangenen Jahres gab es ja schon einmal eine ähnliche Attacke, die war im Wesentlichen nach vier Tagen vorbei. Wie lange läuft diese Attacke schon und wann wird sie zurückgeschlagen sein?
Welchering: Die Exploits sind offensichtlich sind ab dem 1. Januar freigesetzt worden. Bis die Schadsoftware inklusive Torpig dann auf PC installiert war, das hat natürlich ein paar Tage gedauert. Also die ersten infizierten PCs sind in Mailand und Florenz am vier Januar gemeldet worden. Und am Mittwoch hat diese Angriffswelle offensichtlich einen vorläufigen Höhepunkt erreicht. Die meisten Administratoren von Web Sites haben Verbindungen ihrer Server zu den Domains uc8010.com und ucmal.com, unterbunden. Zu diesen Domains konnten ja die Exploits zurückverfolgt werden. Es hängt jetzt davon ab, ob von diesen Domains noch weitere iFrames versandt werden. Wenn das unterbunden werden kann, weil die Verbindungen der Web-Server einfach blockiert werden, dann könnte dieser Angriff in vier bis sechs Tagen abgewehrt sein. Aber das wird nicht die einzige Web-Attacke sein, über die wir in diesem Jahr berichten müssen.