Erstellt am: 20. 9. 2012 - 13:46 Uhr

Preisexplosion auf dem Virenmarkt

Hochkarätige Sicherheitslücken wie die aktuellen im Internet Explorer seien auf dem Schwarzmarkt schon rund eine Million Dollar wert, sagt Sicherheitsexperte Franz Lehner.

"Was wir da sehen, ist nur die Spitze des Eisbergs. Wie viel an solcher Schadsoftware wirklich unterwegs ist, die auf noch unbekannten Sicherheitslücken aufsetzt, lässt sich nicht realistisch abschätzen", so bringt Franz Lehner von Ikarus Security die augenblickliche Situation auf den Punkt.

Am Montag kam, wie berichtet, eine gravierende Sicherheitslücke in verschiedenen Versionen des Internet Explorers ans Licht, die mit Windows 7, Vista und XP praktisch alle aktuell verwendeten Microsoft-Systeme betrifft. Bemerkenswert ist dabei, dass schon eine Schadsoftware in Umlauf ist, die diese Lücke ausnützt. Solange sie nicht analysiert ist, wird sie von Virenscannern nicht erkannt.

Anders als die breit angelegten Angriffe der gemeinen Internetkriminellen zielen diese nur auf sorgsam ausgewählte Personen, die für bestimmte Firmen und staatliche Institutionen tätig sind. Andere Rechner sollen hingegen keinesfalls infiziert werden, da damit die Gefahr steigt, aufzufliegen und die gesamte "Mission" der Schadsoftware zu gefährden.

Explodierende Preise

Seit wann das läuft, ist beim derzeitigen Wissensstand noch nicht zu sagen. Sehr wohl aber lässt sich abschätzen, dass der ursprüngliche Entdecker des Sicherheitsloches eine hohe Summe dafür erlöst haben muss. "In den letzten Jahren sind die Preise für 'Zero Day Exploits' richtiggehend explodiert", sagt Lehner, ein ausgewiesener Kenner der Malware-Szene, "unter 50.000 Dollar ist mittlerweile nichts Sinnvolles mehr zu haben." Noch vor wenigen Jahren war das der Standardpreis, die Oberklasse lag bei etwa 100.000.

Die weitaus teuerste Handelsware sind "Zero Day Exploits" ("0days") , kleine Programme, die öffentlich nicht bekannte Sicherheitslücken ausnützen und dem Angreifer Administratorenrechte auf dem Rechner verleihen. Während bekannte Schadsoftware von Virenscannern erfasst und abgeschossen wird, fliegen die "0days" wie Tarnkappenjets unter dem Antivirus-Radar hindurch und bringen ihre Ladung ins Ziel.

Arbeitsteilung, Preisgestaltung

Die Zeiten, in denen eine Gruppe Programmierer eine komplette Angriffssuite selbst produzierte, sind längst vorbei. Heute werden die einzelnen Komponenten von darauf spezialisierten Teams erledigt, zumal die Lückenjäger ja technisch vor völlig anderen Herausforderungen stehen als jene Teams, die für den eigentlichen Zweck böse Anwendungen und Features programmieren.

Egal ob es sich beim Angriffsziel um Steuerungssysteme von Produktionsanlagen wie im Fall von Stuxnet oder um Spionagesoftware (Flame) handelt, den Preis bestimmt, welche Betriebssysteme wie damit angreifbar sind. Vor allem aber gibt die Qualität des "Exploits" den Ausschlag für den Preis.

"Bis zu einer Million Dollar"

Die am Montag bekanntgewordenen Löcher fallen eindeutig in die oberste Kategorie, zumal sie auf praktisch allen Windows-Systemen existieren. "Für eine solche Qualität sind mittlerweile bis zu eine Million Dollar zu erzielen" sagt Lehner, "die große Nachfrage von staatlichen Stellen treibt nämlich die Preise an."

Allein im Falle Stuxnet wurden vier hochkarätige "0days" verbraten, die ab ihrem Bekanntwerden natürlich wertlos waren. Dazu kommen die während des "arabischen Frühlings" aufgeflogenen Exploits, die Spionagetrojaner auf PCs der Regimegegner schmuggelten und eine ganze Serie von aufgeflogenen "0days", die vom Acrobat-Reader bis zu Flash-Videos alle möglichen Produkte von Adobe betrafen.

Sprengköpfe und Tarnmaßnahmen

Neue Schwachstellen zu finden, werde daher immer aufwendiger, sagt Lehner, ein ausgewiesener Kenner der Underground-Szene. Mittlerweile würden auch Angriffspunkte genauestens erforscht, die man vordem links liegen ließ, weil sie - wenn überhaupt - nur mit enormem Aufwand zu erschließen waren.

Der am Montag auf einem verdeckten Kontrollserver entdeckte Exploit ist denn auch entsprechend komplex. Das und die rasant gestiegene Nachfrage zeigt, dass da ein Wettrüsten im Gange ist, bei dem permanent neue "Sprengkopftypen" und Tarnmaßnahmen entwickelt werden.

Wie der Angriff funktioniert

Der gesamte Angriff spielt sich in etwa so ab: Zuerst werden die Mitarbeiter einer Firma ausgeforscht, ihre Postings und Kontakte in Sozialen Netzen analysiert und weitere Informationen dazu gesammelt.

Der erste Angriffsschritt ist keineswegs technischer Natur, zuallererst "gehackt" wird die Person hinter dem Rechner. Die wird mit einer E-Mail oder einem Posting auf Facebook dazu gebracht, einen Link anzuklicken und schon setzt der "Exploit" eine ganz Serie von Prozessen in Gang (siehe rechts).

Die üblichen Verdächtigen

Sobald der "0day" den Browser überlistet hat, werden die Sicherheitseinstellungen samt Virenschutz ausgehebelt und die Maschine gekapert. Durch eine Hintertür kommen dann die üblichen Verdächtigen herein: Trojaner zur Fernsteuerung, Rootkits zur Tarnung usw.

Dabei handelt es sich meist um Varianten einer bekannten Schadsoftware, die schon vorher bei anderen gezielten Angriffen zum Einsatz kam. Der nun entdeckte "0day" werkt ebenfalls mit mindestens einer Komponente zusammen, die schon seit 2008 bekannt ist.

Immer höhere Spezialisierung

Fliegt eine solche umfassende Softwaresuite auf, wie etwa "Flame", dann sind die meisten Elemente davon auch weiterhin benutzbar, wenn sie für neue Einsätze adaptiert werden. Die für neue Angriffe essenziellen, neuen Exploits werden von einem darauf spezialisierten Team entwickelt und/oder zugekauft.

Auch hier sei ein klarer Trend zu immer höherer Spezialisierung zu beobachten, sagt Lehner. Wenn dem Entdecker einer neue Lücke die Ressourcen fehlten, einen komplexen Exploit dafür selbst zu entwickeln, dann lande die Entdeckung bei einem darauf spezialisierten Entwicklerteam.

Aus den wenigen Details, die bis jetzt über den aktuellen "0day" bekannt sind, ist bereits unschwer abzulesen, dass hier eine ganze Reihe von Programmiersprachen und Kodierweisen zum Einsatz kommen, die alle ineinandergreifen.

Komplexität und Kosten

Mit dem Grad der Komplexität steigt auch die Entwicklungsdauer, und das treibt die Preise auf diesem schwarzen Markt zusätzlich an, während die Nachfrage gleichzeitig steigt. Man sieht also, dass für die Untergrundökonomie ziemlich dieselben Regeln wie für legale Marktsegmente gelten.

Die jährlichen Kosten für ein Team von gerade einmal zehn auf die Entwicklung von Exploits spezialisierten Programmierern sind damit schon beträchtlich. Gelingt es freilich, eine Art temporäre Wunderwaffe herzustellen, indem über eine eher unscheinbare Schwachstelle durch die Kombination verschiedener Methoden und Programmiersprachen ein Riesenloch aufgerissen wird, dann ist das Ziel erreicht.

Vage Spur nach China

Die modulare Bauweise der Software und die Kombination neuester und bekannter Komponenten machen eine Zuordnung der neuen "0days" nach diesen Kriterien allein unmöglich.

Die einzigen bis jetzt bekannten Hinweise führen zu einer offenbar aus China stammenden Person, die in Zusammenhang mit einer bekannten Komponente zur Fernsteuerung namens "PLugX RAT" bereits aufgefallen ist. Dieses Modul wird von den aktuellen "0days" ebenfalls geladen.

Wie der "Exploit" genau aussieht, wer genau angegriffen wurde und vor allem, was mit den befallenen Rechnern dann tatsächlich angestellt wurde, ist zwar noch nicht bekannt. Mit hoher Wahrscheinlichkeit lässt sich hingegen allein von Qualität und damit Marktwert des "Zero Day Exploits" sagen, dass ein staatlicher Auftraggeber hinter allem stecken muss.