Internet Security / Analysen

Malware abseits von Vista und XP

4.08.2009

Magnus Kalkuhl Marco Preuss

Jenseits der allgegenwärtigen Windows-Welt tummelt sich eine bunte Vielfalt an alternativen Betriebssystemen im Unternehmens- und Heim-Bereich – doch auch fern des Mainstreams lauern Gefahren.

Heise.de-Leser kennen das Spiel: Gerade erst wurde über einen neuen Trojaner geschrieben, schon füllen sich die Foren mit Kommentaren der Marke “Mit Linux wär' das nicht passiert!” Um es gleich vorwegzunehmen: Sie haben ja recht – zumindest in 99 Prozent aller Fälle. Tatsächlich hat es von den über 20.000 neuen Schädlingen pro Tag der Großteil auf die Redmonder Hausmarke abgesehen. Linux hingegen erscheint mit gerade einmal 1.898 bekannten Samples vergleichsweise sicher, und für Apples OS X wurden gerade einmal 48 Malware-Exemplare gesichtet.

Turbulente Kinderstube

In den frühen Siebzigern, noch vor der Gründung Microsofts, verbreitete sich bereits der Creeper-Virus auf Computern mit DECs Tenex-Betriebssystem. Dabei war er seinen späteren Malware-Enkeln insofern weit voraus, als er schon damals das ARPANET – also den Vorgänger des modernen Internets – zur Verbreitung nutzte. Im Jahr 1975 folgte „Pervade“ für UNIVAC-Systeme, dessen Schadroutine in der Verbreitung des Spiels „Animal” bestand. 1982 durften sich schließlich erstmals Apple-Kunden über Rich Skrentas „Elk Cloner” ärgern, der sich über Disketten verbreitete und dabei immer wieder für Abstürze sorgte.

Abb.1: Damals war es noch lustig: Vor 22 Jahren beleidigte
der BHP-Virus überraschte C64-Anwender

Vier Jahre später wurden dann auch C64-Nutzer erstmals Viren-Opfer – der vermutlich von der Hackergruppe „Bayrische Hacker Post“ entwickelte BHP-Virus brachte in unregelmäßigen Abständen den Bildschirm zum flackern und begrüßte das Opfer mit dem Hinweis „HALLO DICKERCHEN, DIES IST EIN ECHTER VIRUS!“ – gefolgt von einer Seriennummer, die mit jeder Infektion weiter hochgezählt wurde. Der Virus bog darüber hinaus eine ganze Reihe von Interrupts um, und überstand somit auch einen Reset ohne weiteres.

Erst im Jahr 1986 erschien schließlich der erste MS-DOS-kompatible Schädling: „Brain“. Praktischerweise enthielt dieser Bootsektor-Virus auch gleich die Namen, Adressen und Telefonnummern der Entwickler und Brüder Amjad und Basit Farooq Alvi. Sie hatten „Brain” entwickelt, um das Niveau von Computer-Piraterie in Indien auszuloten, mussten aber schließlich eingestehen, die Kontrolle über ihr Experiment verloren zu haben.

 
Abb. 2: Shellcode-Auszug der Unix-Backdoor “Galore”

Im Laufe der folgenden Jahre blühte die Virenszene erstmals auf und schon bald hatte jedes Betriebssystem seine eigenen Viren: So gab es allein über 190 Exemplare für den Commodore Amiga und immerhin noch zwei Dutzend für den Atari ST, darunter auch der c't-Virus [http://www.stcarchiv.de/am88/06_viren.php], der 1988 tatsächlich als Assemblerlisting zum Abtippen im iX-Schwestermagazin c't erschien – ein klarer Beleg für den damals noch spielerischen und sorglosen Umgang mit Computerviren.

Ungewolltes Malwaremonopol

Ihren endgültigen Boom erlebten Viren, Würmer & Co freilich erst mit dem Einzug des World Wide Web in private Haushalte. Wo sich ein Schädling vorher noch mühsam von Diskette zu Diskette schleppen musste, konnte er nun als „Melissa” oder „ILOVEYOU” innerhalb weniger Minuten seinen Siegeszug um die ganze Welt antreten. Und nun kam ein entscheidender Faktor ins Spiel: Die Verbreitung von Plattformen. Erst durch die Marktpräsenz von Windows und Outlook konnten E-Mail-Würmer ihr volles Potential entfalten und eine Bedrohung für den Großteil aller Internetnutzer darstellen. Die im privaten Sektor recht heterogene Systemlandschaft der achtziger Jahre hatte sich zugunsten von MS-DOS und Windows weitestgehend verloren.

Und noch etwas änderte sich mit dem Internet: Erstmals gab es einen Rückflusskanal, über den die Schädlinge mit ihren Schöpfern sprechen konnten. War die Verbreitung von Viren und Würmern zuvor noch ein reines Experiment ohne Kontrollmöglichkeiten, so bestand nun die Möglichkeit, Daten vom Zielrechner abzuzweigen oder Befehle an den Agenten auf fremden Festplatten zu schicken – ideale Voraussetzungen für Distributed-Denial-of-Service-Angriffe (DDoS-Angriffe) und Spam-Versand; und damit auch eine Grundlage, mit der Verbreitung von Schadsoftware reales Geld zu verdienen. Nun ist klar, dass eine Person, die mit solchen Angriffen ihr Geld verdient, natürlich immer das System anvisieren wird, mit dem sich am meisten Treffer erzielen lassen. Genau aus diesem Grund werden täglich millionenfach Trojaner per E-Mail verschickt, die es auf Windows-Nutzer abgesehen haben – ein Schädling für BeOS oder Plan 9 würde vermutlich nicht den gewünschten Erfolg haben. Ob diese Systeme nun sicherer als Windows XP sind oder nicht, ist dabei völlig unerheblich – und selbst wenn ein Betriebssystemkern unknackbar wäre, gäbe es auf der Festplatte immer noch genügend Programme deren Schwachstellen sich für einen Angriff nutzen ließen.

Der Status Quo

So wurde Microsofts Windows-Familie aufgrund der hohen Marktpräsenz gleichzeitig auch zum Quasi-Standard der Malware-Welt. Und nicht nur die Zahl neuer Windows-Schädlinge setzte sich von der Non-Windows-Szene ab, sondern auch die Art der Schadsoftware. Es bildeten sich zwei Welten.

Abb. 3: Zwei Welten: Windows-User haben ihre Trojaner, während sich der Rest vor allem gegen
Rootkits und Exploits wehren muss

Bei Windows-Malware ist die Zielsetzung in den meisten Fällen, den Rechner für DDOS-Angriffe und Spamversand zu übernehmen, und wenn möglich über eine Wurmkomponente noch möglichst viele andere Rechner zu infizieren. Sollte die Infektion des Opferrechners dadurch auffliegen, ist das verschmerzbar. Experten nehmen beispielsweise an, dass das Kido/Conficker-Botnetz aus mehreren Millionen fernsteuerbaren Zombie-Rechner besteht.

Bei Angriffen gegen unixähnliche Systeme hingegen geht es meist darum, unbemerkt zu agieren, um so zum Beispiel Kreditkartendaten aus einem Online-Shop oder Passwörter einzelner Nutzer zu entwenden – auch Angriffe, die selbst in den meisten Fällen nicht per Trojaner, sondern über die Ausnutzung von bekannten Schwachstellen in Serverdiensten erfolgen.

OS X hat neue „Freunde“

Eine kleine Überraschung gab es dann im Herbst 2007 – bis dahin war die Malware-Situation für Apples OS X reichlich unspektakulär: zwei Exploits, vier Würmer, ein Virus und ein Rootkit – letztlich aber allesamt eher „Proofs of Concept“ und ohne ersichtlichen finanziellen Nutzen für den Angreifer. Das änderte sich im Oktober 2007 mit dem ersten OS-X-Trojaner namens OSX.RSPluga.A. Wie bereits erwähnt, würde es keinen Sinn machen, Trojaner für Non-Windows-Systeme per E-Mail-Spam zu verschicken. Die Entwickler dieses Schädlings waren wohl der gleichen Meinung, und so warben sie in zahlreichen Mac-Foren für eine vermeintliche Pornoseite. Wer jedoch eines der Videos anklickte, erblickte statt eines Films nur eine Fehlermeldung aufgrund eines angeblich fehlenden Codecs – natürlich inklusive des Angebots, diesen sogleich nachzuladen. Zwar muss der Anwender zur abschließenden Installation des „Codecs” sein Administrator-Passwort eingeben, doch so mancher Mac-User dürfte in freudiger Erwartung nicht viel vernünftiger gewesen sein als viele Windows-User in ähnlichen Fällen... OSX.RSPluga.A manipuliert die DNS-Einträge so, dass zahlreiche Adressen – darunter viele Banken sowie E-Bay und PayPal – nicht mehr korrekt aufgelöst werden und das Opfer stattdessen auf Phishing-Seiten landet.

Mitte Januar 2008 meldete das finnische AV-Unternehmen F-Secure zudem den Fund der ersten Rogue-AV-Lösung, also einem kostenlosen Programm, das selbst auf einem zu 100 Prozent sauberen Rechner zahlreiche angebliche Schädlinge findet. Zur Entfernung der nicht vorhandenen Gefahr müsste der Kunde die kostenpflichtige Variante der AV-Lösung erwerben – auch diese Art des Geschäftemachens ist für Windows-Nutzer nichts neues. Inwieweit sich Mac-User hier aufs Glatteis führen lassen, testen die Entwickler solcher Programme wohl gerade erst aus. Und auch 2009 wird es neue Schädlinge für den Rechner mit dem Apfel-Logo geben: Erst im Januar dieses Jahres tauchte wieder Malware für den Mac auf, als eine Raubkopie von Apples „iWork 2009" mit einem Trojaner an Bord über Torrents und Webseiten verteilt wurde.

Kein Grund zur Panik

Beim Blick auf die Zahlen wird sich manch einer Fragen „Wozu eigentlich die Aufregung?“ Im Vergleich zu Windows ist doch jedes andere System ein wahres Sicherheitsparadies. Hier sei noch einmal darauf hingewiesen: Ein Trojaner benötigt keine Root-Rechte, um das Home-Verzeichnis auszuspionieren und über Port 80 nach Hause zu telefonieren. Und in Zeiten, in denen selbst Nicht-IT-Profis schon von weitem rufen „Ist das nicht Ubuntu?“ müssen auch Linux-Anwender zunehmend damit rechnen, ins Fadenkreuz der Kriminellen zu kommen. Das größte Risiko ist letztlich das Gefühl, ein unverletzliches System zu haben. Während heutzutage schon jeder Rechner aus dem Discount-Markt ein vorinstalliertes Virenschutzprogramm hat, weigern sich gerade im Linux-Bereich viele Anwender, auch nur einen kostenlosen Scanner wie ClamAV zu installieren – man hat es ja nicht nötig. Dabei gibt es gerade im Opensource-Bereich mit Techniken wie SELinux, AppArmor oder diversen Intrusion-Detection-Systemen sehr leistungsfähige Lösungen. Wer sie aus Hochmut und Bequemlichkeit nicht nutzt wird vermutlich nie mitbekommen, wenn der eigene Rechner einen neuen Herren und Meister gefunden hat.

Schutzmaßnahmen im Unternehmen

Unternehmen können sich erst recht keinen falschen Stolz leisten. Hier steht außer Frage, dass jeder Server auch einen Virenschutz benötigt – allein schon, um die zahlreichen Windows-User im Netzwerk zu schützen.

Um Attacken bereits am Gateway abzufangen, lohnt es sich, Firewalls sowie Intrusion-Detection- und Intrusion-Prevention-Systeme einzusetzen. Ob Appliance oder ein dedizierter Server, oftmals finden sich hier Linux- oder Unix-Derivate als erster Schutzwall für das interne Netzwerk im Gateway-Bereich. Neben der Definition benutzbarer Dienste und der ersten Verteidigungslinie gegen „Cracker“ kann eine gut konfigurierte Firewall auch zur Abwehr von sich selbst verbreitenden Malicious Codes über Netzwerkverbindungen – umgangssprachlich als Würmer bekannt – eingesetzt werden. So kann beispielsweise der Netzwerk-Wurm „Lovesan.a“ abgewehrt werden, wenn die TCP-Ports 135 und 4444 dicht gemacht werden.

Eine Firewall kann aber auch Schadensbegrenzung leisten: Wenn sich im internen Netzwerk bereits infizierte Clients befinden, kann durch geschickte Port-Blockierung die Verbindungsaufnahme und somit das Ausnutzen des befallenen Systems verhindert werden. Bei der Firewall-Konfiguration sollten deshalb verschiedene Szenarien berücksichtigt und die zulässigen Dienste/Ports gut definiert werden, um auch das Gesamtinfektions- beziehungsweise das Angriffsrisiko zu minimieren.

Findige Programmierer haben natürlich trotzdem Möglichkeiten gefunden, solche einfachen Sicherheitsfunktionen zu umgehen. Durch getunnelte Verbindungen über erlaubte Dienste (etwa DNS, HTTP) lassen sich Pakete hinaus schmuggeln. Als Zusatz zur klassischen Firewall bieten sich deshalb intelligente Zusatz-Module wie Intrusion-Detection- oder Intrusion-Prevention-Systeme an, ebenso wie Application Level Firewalls.

Proxy sei Dank!

Anstatt die Mitarbeiter direkt ins Internet durchzuschleusen, gibt es noch die Möglichkeit, einen Proxy dazwischenzuschalten – das spart nicht nur Traffic, sondern kann auch der Sicherheit dienen. Denn viele Schädlinge verbreiten sich über bösartige Webseiten. Im Linux/Unix-Bereich ist Squid wohl der am meisten genutzte Proxy und bietet hierfür eine eigene Schnittstelle an: „ICAP“ das Internet Content Adaption Protocol (RFC 3507). Zur Bearbeitung von Benutzeranfragen gibt es hierbei die RESPMOD (response modification), bei der Objekte, die von Webservern angefragt wurden, untersucht werden, sowie die REQMOD (request modification), bei der gesendete Objekte zu Webservern gescannt werden. Um nicht nur HTTP-Traffic zu scannen, sondern auch nativen FTP-Traffic, kommen oftmals Parent-Proxies zum Einsatz (etwa HAVP http://www.server-side.de). Beliebt, da einfach zu integrieren, sind so genannte transparente Proxies. Hierbei wird dieser vor den eigentlichen Gateway geschaltet (Firewall o. ä.) und bedarf keiner Client-Konfiguration (Browser-Konfigurationseinstellung). Die technische Umsetzung dieser Lösung kann beispielsweise ein Server im Bridge-Modus sein, auf dem ein Proxy die Anfragen zum Content-Filter weiterleitet, oder der Proxy erhält HTTP-Anfragen, die von der Firewall umgeleitet werden (redirect), als dedizierter Server. In kleinen Netzwerken ist die Lösung auch auf der Firewall selbst integriert (TransProxy http://transproxy.sourceforge.net). Beides ist im Linux-/Unix-Bereich mit Bordmitteln relativ einfach umzusetzen. Einen vollständigen Schutz kann natürlich auch ein Proxy nicht garantieren: So kann der beste Virenscanner keine passwortgeschützten Dateien aufknacken. Auch bei VPN-verschlüsselten Verbindungen nach außen stößt der Proxy an seiner Grenzen.

Absichern des E-Mail-Verkehrs

Der E-Mail-Verkehr zählt nach wie vor zu den Hauptverteilungswegen für schädliche Objekte. Je nach Größe des Netzwerks (Benutzeranzahl) findet sich im Gateway-Bereich ein Mail-Gateway als vorgeschaltetes System für beispielsweise Exchange, Lotus Domino oder alternative Groupware-Lösungen. Auch hier sind häufig Linux, Unix (Solaris) oder Derivate (BSD) mit MTAs (Mail Transfer Agents) wie Postfix, Exim, Gmail oder Sendmail zu finden. Diese bieten eigene Filter-Schnittstellen für Virenscanner und Spamfilter. Am gängigsten ist die so genannte Dual-MTA-Methode: Das bedeutet, dass jede E-Mail zweimal zum MTA geliefert wird. Zuerst kommt vom Remotehost eine E-Mail. Diese wird an den Content-Filter zur Überprüfung gegeben und geht von diesem zurück an den MTA. Sendmail bietet auch eine API-Schnittstelle an (Milter-API). Bei diesen vorgeschalteten Systemen werden für den Mailtraffic auch gekoppelte Filter-Lösungen eingesetzt, die aus mehreren Virenscannern und Spamfiltern bestehen (zum Beispiel 2 bis 3 Virenscanner und 2 Spamfilter). Der Vorteil: Der eigentliche Scanner kann auch auf einem dedizierten System laufen und angesprochen werden, was den Mail-Gateway natürlich entlastet. So können auch sehr einfach hoch-verfügbare Lösungen wie ein Mailgateway-Cluster (MTA) und ein Content-Filter-Cluster integriert werden. Aber auch komplett integrierte Cluster- und HA-Lösungen sind verbreitet (MTA und Filter auf einem System). Auch der interne Mailserver profitiert von vorgeschalteten Filter-Systemen durch geringeren Ressourcenverbrauch für den Scan, die Speicherung von Malware und Spam sowie das Abarbeiten von E-Mailfluten. Die Lösung eines „Relay“-Servers ist deshalb auch für kleinere Unternehmen interessant. Hierfür bieten manche Hersteller auch integrierte „Out-of-the-Box“-Lösungen an, um die Administration zu vereinfachen.

Verteidigung des Fileservers

Elektronisch gespeicherte Informationen sind in der Regel für Unternehmen ein wichtiges Gut – egal ob Produktionspläne, Lagerverzeichnisse oder andere Daten. Gerade auch persönliche oder besonders schützenswerte Daten wie Mitarbeiterverzeichnisse, Abrechnungen und Lebensläufe sind auf Fileservern zu finden. Diese zentralen Ablageorte im Netzwerk sollten zum Schutz vor Datenvernichtung, -manipulation oder auch -spionage immer abgesichert werden.

In vielen Netzwerken finden sich neben Windows-Servern auch alternative Systeme mit Samba-Diensten. Möglich ist hier eine Integration über ein VFS-Modul (Virtual Filesystem Modul), das den Datenverkehr über den Virenscanner umleitet und so on-access (lesend und/oder schreibend) die Daten prüft.

Für mache alternative Systeme gibt es auch direkte Kernel-Module (Linux, FreeBSD), die nicht nur den Samba-Dienst an sich schützen, sondern alle Objekte auf dem jeweiligen System überprüfen. Dies bietet sich beispielsweise für NFS aber auch für FTP- und Web-Server an. Nachteilig bei dieser Lösung ist, dass bei einem neuen Kernel der Support überprüft werden und gegebenenfalls das Modul neu kompiliert werden muss.

Der Einsatz von nicht Windows-basierten Servern ist weitreichend: Von AS/400 über Solaris, HP-US und Irix bis zu AIX. Dies sind nur einige Systeme, die von File- bis Datenbank-System, Branchensoftware und Buchhaltung alles enthalten. Neben den OS-Plattformen ist es sehr schwer, hierfür geeignete Sicherheitslösungen zu finden – auch in den unterschiedlichen CPU-Architekturen (neben Intel auch Sparc, PPC, Itanium, Alpha, Mips, PA-Risc usw.). Wenn es für die jeweiligen Systeme an sich keine Lösung gibt, sollte man diese Systeme entsprechend vom restlichen Netzwerk abschotten, um die Gefährdung zu minimieren. Möglich sind hier getrennte Netzwerke mit eigenen Firewalls, Zugriffsbeschränkung, IDS oder IPS.

Vielfältige Client-Landschaft

In 99 Prozent aller Fälle wird man Client-seitig auf Windows-Rechner stoßen – doch natürlich muss auch eine unter Linux, BSD oder MacOS X laufende Workstation abgesichert werden. Denn Angriffe sind noch immer möglich. Ein Einfallstor sind beispielsweise Medien wie CD-ROMs und DVDs, teilweise auch noch Disketten oder Disks für ZIP-Drives. USB-Sticks und USB-/Firewire-Festplatten wandern ebenfalls von einem zum anderen System und bieten so Verbreitungsmöglichkeiten für Schädlinge.

Problematisch: Neben stationären Workstations und Notebooks sind zunehmend mehr Smartphones und PDAs im Einsatz, die natürlich ebenfalls geschützt werden sollten. Im klassischen Netzwerkaufbau war der Angriffsvektor bekannt: das Internet. In der heutigen Zeit muss sich der System-Administrator und Sicherheitsbeauftragte auch mit dem Schutz vor internen Nodes befassen. Erschwerend kommt hierbei hinzu, dass die Plattformen noch weiter expandieren werden. Neben Windows Mobile in diversen Versionen kommen Symbian, Linux und auch propriertäre Systeme zum Einsatz, für die Sicherheitslösungen nur schwer, teilweise gar nicht zu finden sind.

Fazit

Wer sich abseits des Mainstream bewegt, hat dadurch zwar einen gewissen Sicherheitsvorteil, aber noch lange keine Garantien – zumal etwa Solaris als Desktopsystem ungewöhnlich sein mag, im Serverbereich hingegen ganz normal ist und entsprechend wie alle anderen Server angegriffen wird. Wer seine Daten liebt, sollte seinen Rechner also unabhängig vom verwendeten Betriebssystem absichern – im besten Fall durch eine Kombination sich ergänzender Techniken. Und selbst dann ist noch Vorsicht geboten – immer mehr Anwendungsfälle spielen sich gar nicht mehr auf dem lokalen Computer ab, sondern werden über Webapplikationen abgewickelt. Ein typisches Beispiel sind hier mangelhaft abgesicherte Diskussionsplattformen, die das Einschmuggeln von Fremd-HTML-Code und damit Cross-Site-Scripting-Angriffe ermöglichen – völlig unabhängig vom verwendeten Betriebssystem. In diesem Sinne gilt also auch weiterhin: Pinguin, sei wachsam!

Quelle: Kaspersky Lab

Copyright © 1996 - 2009 Kaspersky Lab Industry-leading Antivirus Software All rights reserved