All About Security

14.04.2010 Anti-Malware, Fachartikel

Im Visier des ZeuS

Dank des Internet können wir heute fast alles von zu Hause aus kaufen und Rechnungen schnell und problemlos begleichen. Alles ist so komfortabel, dass man sich fast selbst beneiden könnte. Von den Zutaten fürs Mittagessen bis zur Yacht oder dem Ferienhaus steht uns im Internet die Wahl zum Kauf frei.

Es ist zudem heute keine Seltenheit mehr, dass Zahlungen zwischen Unternehmen über das Internet abgewickelt werden und jedermann an der Börse spekulieren kann. Um diese Möglichkeiten nutzen zu können, muss sich der Anwender selbstverständlich im jeweiligen Computersystem autorisieren und seine Kontodaten angeben.

Immer, wenn es um Geld geht, lassen die Geier nicht lange auf sich warten. Die effektivste Methode ist das Ausspionieren der wichtigen Daten für Geldgeschäfte, also der Inhabername nebst Kreditkartennummer, der PIN-Code, das Kennwort – alles, was eben nötig ist, um Geldgeschäfte online zu tätigen. Doch wie kommt der Cyberkriminelle die persönlichen Daten des Anwenders? Die Kriminellen verfügen hier über ein überaus effektives Werkzeug – das trojanische Programm. Mit diesem „Helferchen“ lässt sich praktisch jede Information über den User abschöpfen – und zwar so, dass dieser noch nicht einmal bemerkt, dass seine Daten gekapert wurden.

Schädliche Spione

Sich in den unermesslichen Weiten des Internets einen Schädling einzufangen, ist nicht schwer, sofern der Anwender nicht auf ein Antiviren-Programm setzt. Da heutige Betriebssysteme und auch viele Anwendungen überaus komplex sind, finden sich immer wieder Unzulänglichkeiten, die bei normalem, planmäßigen Betrieb des Programms nicht zutage treten, allerdings in unvorhergesehenen Situationen zu kritischen Fehlern führen können. Solche Fehler können ausgenutzt werden, um im System des Anwenders ein schädliches Programm zu starten. Schadprogramme haben viele Gesichter, doch unter den Trojanern gibt es die meisten Spielarten.

Klickt der Internet-User ungeschützt und arglos auf einen Link, beispielsweise in einer E-Mail oder einer ICQ-Nachricht, oder besucht er eine unbekannte (und manchmal sogar eine bekannte, aber mittlerweile gehackte) Website, so lädt er sich unter Umständen ein Schadprogramm auf seinen Computer. Dieser Trojaner verankert sich unbemerkt im System des eigenen PCs. Damit der Anwender die Aktivität des Schädlings für die Aktivität eines legalen und nützlichen Programms hält, dringt der Trojaner entweder in die Systemdienste ein und führt hier seinen Code aus, oder er maskiert sich als irgendein wichtiger Systemdienst.

Zu den Aufgaben eines solchen Trojaners gehört das Ausspionieren der Anwenderaktivität und der Arbeit der Programme, die der Anwender benutzt sowie der Daten, die der Anwender eingibt oder empfängt. Eines der gefährlichsten trojanischen Spionage-Programme ist ein Programm namens ZBot oder länger ZeuS Bot. Bot steht für Roboterprogramm, das in der Lage ist, ihm gestellte Aufgaben selbstständig auszuführen. In diesem Fall lautet die Aufgabe: Stiehl die persönlichen Daten des Anwenders!

Verwegen und gefährlich

Trojanische Programme der Familie ZBot (ZeuS) erschienen erstmals im Jahr 2007 auf der Bildfläche. Da sie sehr einfach zu konfigurieren und sehr bequem zum Datendiebstahl einzusetzen sind, mauserte sich ZeuS zu einer der am weitesten verbreiteten und auf dem Internet-Schwarzmarkt am besten verkauften Spionageprogramm-Sammlungen.

Hier die Übersicht, was diesen Trojaner so gefährlich macht:

  • Auf alles, was Sie dem „Gedächtnis“ des Computers übergeben haben (indem Sie z.B. das Häkchen „Passwort speichern“ aktiviert haben), hat der Trojaner nun Zugriff – seien es Logins, Passwörter oder irgendwelche anderen Daten, wie etwa zum automatischen Ausfüllen von Webformularen.
  • Selbst wenn Sie keinerlei Daten automatisch gespeichert haben, verfolgt der Trojaner, welche Tasten Sie betätigen. Außerdem wird die Reihenfolge der Symbole, die sie eingeben und die den Zugriff auf Ihr Geld ermöglichen, protokolliert und an die Kriminellen weitergeleitet.
  • Um das Protokollieren der auf der Tastatur eingegebenen Daten zu verhindern, wird auf vielen Webseiten eine virtuelle Tastatur verwendet. Zur Eingabe des Passwortes klickt der Anwender dann mit der linken Maustaste auf die entsprechenden Zeichen der Tastatur, die auf dem Bildschirm angezeigt wird. In diesem Fall aktiviert ZeuS einen anderen Mechanismus zum Abfangen der Anwenderdaten: Sobald Sie mit der linken Maustaste klicken, speichert ZeuS ein Bild – den Bereich des Bildschirms um den Cursor herum – so dass die Betrüger nachvollziehen können, welche Tasten Sie auf dem Bildschirm mit der Maus gewählt haben.
  • ZeuS kontrolliert alle Daten, die über Ihren Browser laufen. Wenn Sie versuchen, eine Website zu öffnen, deren Adresse in der Konfigurationsdatei von ZeuS enthalten ist, ist der Trojaner in der Lage, den abgerufenen Code der Seite soweit zu verändern, dass Sie eine andere Darstellung im Browserfenster sehen. In der Regel bestehen diese Änderungen in dem Hinzufügen neuer Eingabefelder für persönliche und vertrauliche Daten. Wenn nun Ihre Bank Sie bittet (und Sie sind ja schließlich überzeugt davon, dass Sie sich auf der Website Ihrer Bank befinden), neben Ihrem Passwort auch den PIN-Code Ihrer Bankkarte einzugeben, dann tappen Sie in die Falle der Betrüger! Die Frage nach dem PIN-Code stammt von ZeuS. Den eingegebenen PIN-Code fängt der Trojaner ab und sendet ihn an die Cyberkriminellen.
  • Manche Websites erstellen bei der Registrierung der Anwender auf dessen Computer eine digitale Signatur (quasi eine elektronische Unterschrift), deren Vertrauenswürdigkeit bei den nächsten Besuchen der Seite überprüft wird. Diese Signaturen heißen Zertifikate. Stellt der Browser der Site kein entsprechendes Zertifikat zur Verfügung, erlaubt die Website ihm keinen vollständigen Zugriff. Auf einem infizierten Computer findet ZeuS diese Sicherheitszertifikate, stiehlt sie und schickt sie an die Online-Verbrecher.
  • Wenn die Cyberkriminellen Ihren Computer als Werkzeug zur Durchführung illegaler Aktionen (z.B. zum Versand von Spam-Mails) benötigen, so ermöglicht ZeuS seinen Herren und Gebietern die Installation aller dafür erforderlichen Programme.

Ist Ihr Computer also mit dem Trojaner ZeuS infiziert und gibt es bei Ihnen etwas zu holen, so werden die Cyberkriminellen sich bei Ihnen bedienen. Und selbst wenn es bei Ihnen nichts zu holen gibt, so haben die Online-Betrüger in jedem Fall die Möglichkeit, Ihren Computer zu ihren verbrecherischen Zwecken zu benutzen.

Infizierte Computer, die mit einem „Herrn“ verbunden sind, bilden ein so genanntes Botnetz, auch Zombie-Netz genannt. Die Kriminellen kontrollieren die zu ihrem Netz gehörenden Computer wie ein Puppenspieler seine Marionetten. Die Anwender ahnen meist gar nicht, dass von ihren Rechnern aus Spam versendet wird oder dass Online-Betrüger ihre Internetverbindung missbrauchen, um ihren Zugangspunkt im World Wide Web zu verbergen. Monatelang können die Opfer in fataler Unwissenheit darüber verbleiben, dass ihre Computer Teil krimineller Machenschaften sind.

Unbeständig und populär

ZeuS ist ein ungemein effektives Werkzeug – sowohl zur Sammlung von Daten als auch für die Organisation von Botnetzen, die zu unterschiedlichen cyberkriminellen Zwecken verwendet werden können. Das begründet auch die Popularität dieses Schädlings unter den Cyber-Verbrechern.

Heute hat praktisch jeder, der eine cyberkriminelle Karriere starten will, die Möglichkeit, sich ein Exemplar des Trojaners ZeuS zu besorgen, danach ohne besondere Anstrengung nach eigenem Ermessen die Konfigurationsdatei einzurichten und ihn mittels einer individuellen Methode zu verschlüsseln, um so den Algorithmus vor den Antiviren-Programmen zu verbergen. Beim Kauf des Schädlings besteht sogar die Möglichkeit, ein Exemplar mit zusätzlichen Optionen zu bestellen, die nicht im Basispaket enthalten sind. Die Verbreitung von ZeuS ist mittlerweile der absoluten Kommerzialisierung anheimgefallen.

Werfen wir einmal einen Blick darauf, wie sich seine Popularität entwickelt hat. Die Grafik zeigt die Anzahl der entdeckten neuen Varianten (Samples) pro Monat.

 


Anzahl neuer ZeuS-Varianten pro Monat (2007 – 2009)  Grafikdownload

Bis zum Herbst 2007 wurde ZeuS ausschließlich von seinem Entwickler verbreitet. Mitte des Jahres 2007 stellte der Autor den Verkauf seines Machwerks ein. Wie das vor sich ging, können Sie hier nachlesen. Allerdings befand sich in den Händen von anderen Hackern der ZeuS-Konstruktor (ein Baukasten für ZeuS). Unternehmungslustige Cyberkriminelle verlegten sich daher auf die Entwicklung von Modifikationen und die Verbreitung neuer Versionen. Ab Oktober 2007 begann die Zahl neu erscheinender ZeuS-Versionen anzusteigen. Im Jahr 2008 fand der Trojaner dann seine Stammklientel: Bis September 2008 waren keine nennenswerten Schwankungen der ZeuS-Aktivität zu verzeichnen, monatlich erschienen um die 500 neue Modifikationen von ZeuS.

Der spürbare Anstieg der Popularität des Trojaners Ende 2008 hängt aller Wahrscheinlichkeit nach mit der Wirtschaftskrise zusammen. Viele Programmierer wurden arbeitslos. In einer solchen Situation ist die Versuchung sehr groß, sich auf die schiefe Bahn zu begeben. So entschied sich der Eine oder Andere, seine Fähigkeiten einmal im Bereich des Internet-Betrugs zu erproben, wovon die Verkäufer Verkäufer von ZeuS profitierten.

Die höchsten Werte hatte ZeuS mit 5.079 neuen Modifikationen im Mai des Jahres 2009 zu verzeichnen. Man stelle sich diese Zahl nur einmal vor – mehr als 5.000 Varianten ein und desselben Trojaners innerhalb eines Monats! Ein wahrer Bestseller. Die Verschlüsselungsmethoden des Programmcodes sind in den meisten Fällen schon bekannt, so dass sie automatisch von den Antivirensystemen erkannt und den Antiviren-Datenbanken hinzugefügt werden.

Allerdings werden die Verschlüsselungsalgorithmen unentwegt von den Virenautoren modernisiert, was die Programmanalyse erheblich erschwert. Mit der spürbar gestiegenen Nachfrage nach ZeuS zu Beginn des Jahres 2009 unterzogen seine Autoren die ursprüngliche Version des Trojaners einer qualitativen Veränderung. Insbesondere der Verschlüsselungsalgorithmus wurde perfektioniert – sowohl für den Programmcode als auch für die Dateikonfiguration.

ZeuS verändert regelmäßig sein Aussehen, und hat er ein System befallen, aktualisiert er sich überdies von wechselnden Internet-Adressen. Die Anwender, auf deren Computern sich neue Versionen des Trojaners geladen haben, ziehen nur noch geringen Nutzen aus dem „Gegengift“ für frühere Varianten. Daher muss so schnell wie möglich auf die Aktualisierung des Schädlings reagiert werden. Die Reaktionsgeschwindigkeit spielt in diesem Fall eine große Rolle – die Analysten der AV-Unternehmen schieben Tag und Nacht Wache und entwickeln bei Erscheinen eines neuen Algorithmus, mit dem ein PC nicht fertig wird, umgehend einen Schutz vor der neusten Modifikation des Schadprogramms.

Seit Erscheinen der ersten ZeuS-Version bis heute wurden mehrere hunderttausend Abarten dieses Schadprogramms registriert. Nach Anzahl der unterschiedlichen Variationen und nach Anzahl der Adressen, über die die Daten an die Cyberkriminellen fließen und von denen die Befehle an die Zombie-Computer geschickt werden (solche Adressen werden Steuerungszentren genannt), nimmt ZeuS eine Spitzenposition unter der illegalen Software insgesamt ein.

<< Erste < Vorherige 1 2 Nächste > Letzte >>

Diesen Artikel empfehlen

Autor: Dmitry Tarakanov
Aktuelle Angriffe durch hochgefährliche Zeus-CrimewareIn einem Sicherheitshinweis seines Prolexic Security Engineering & Response Teams (PLXsert) warnt Akamai Technologies vor aktuellen Attacken durch Zeus-Crimeware. Betroffen sind davon unter anderem die weltweit 500 umsatzstärksten Unternehmen der Fortune-Liste. Der Crimeware-Baukasten...