Web Cyberfahnder
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
November 2010
06.11.2010 Malware
     
zurück zum Verweis zur nächsten Überschrift Stuxnet Packer

 

10-11-05 
Bei Faz.net hat Rieger einen spannenden Bericht (1) über Stuxnet veröffentlicht (2).

Stuxnet ist nicht die erste cyberkriminelle Erscheinung, die die scheinbare Membran zwischen virtueller und realer Welt perforiert oder durchbricht. Das tun längst schon Bezahlsysteme wie E-Gold, WebMoney, PaysafeCard, Lindendollars und Spielkasinos, Homebanking-Trojaner, die sich in den Bezahlvorgang einklinken und ihn verbiegen, DDoS-Angriffe, die Server lahmlegen, oder Hacks gegen Computer, die Produktionsanlagen steuern.

Dennoch ist Stuxnet etwas Besonderes und Neues. Diese Malware scheint Entwicklungskosten im Millionenbereich verschluckt zu haben, verfügt über mindestens vier bislang unbekannte Angriffswaffen (Exploits), scheint sich an allen üblichen Sicherheitsvorkehrungen vorbei schleichen zu können und greift gezielt die Steuerungen von Industrieanlagen mit der Technik von Siemens an.

Mit Stuxnet beginnt die Phase des Heißen Cyberwars.
 

10-11-07 
Landläufig versteht man unter Packern solche Software, die Dateien oder ganze Verzeichnisse komprimieren, damit sie beim Transport oder auf dem Speichermedium weniger Platz einnehmen. Sie funktionieren im Prinzip so, dass sie häufig wiederkehrende Sequenzen im Code definieren und durch Kürzel ersetzen. Hinzu kommt häufig noch eine Verschlüsselung, die den Zugriff von Unbefugten verhindert.

Bei Shevchenko (7) wird die Funktionsweise einer anderen Art von Packern angedeutet, denen Mody, Muttik und Ferrie einen bei erschienenen Aufsatz widmen (8). Die von ihnen beschriebenen Packer ummanteln und verschlüsseln ein ausführbares Objekt (Target), das dadurch im Transportzustand seine Form verliert. Erst wenn es sich mit dem Packer im Arbeitsspeicher befindet, entfaltet es seine ursprüngliche Funktionalität. Dabei hat der Packer mehrere Funktionen:

Er maskiert das Objekt. Sicherheitssoftware und Virenscanner können beim Durchleuchten der gepackten Datei die Wirkung des Objekts nicht erkennen.

Er entschlüsselt, entpackt und aktiviert das Objekt, sobald er sich hat einnisten können. erst jetzt kann Sicherheitssoftware die Funktionen des Objekts erkennen.

Dem wirken besondere Formen von Packern entgegen: Sie bilden eine Laufzeitumgebung für das Objekt, in der es aktiv wird. Der Packer bildet dabei eine Zwischenschicht zwischen Objekt und Systemumgebung. Er übersetzt die Anforderungen des Objekts in die Zugriffskommandos, die die Systemumgebung zulässt, führt sie aus und gibt die Resultate an das einkapselte Objekt in seinem Inneren weiter.

Diese Methode ist von den Virtuellen Maschinen bekannt (9), nur sollen sie dort das Verhalten fremder, unbekannter oder schädlicher Software gegenüber der Systemumgebung abpuffern oder eine fremde Systemumgebung nachbilden. Packer dagegen simulieren in der Systemumgebung einen unschädlich wirkenden Prozess, der Sprengstoff in sich birgt.

Um 2007 florierten die Malware-Baukästen, mit denen jeder etwas erfahrene Daddeler Würmer und anderes Ungemach zusammenklicken konnte. Die modernen Formen der Malware bilden Familien, sind aber meistens Unikate, die von einem echten Programmierer gestaltet werden. Das macht's nicht einfacher für die Malwareabwehr.
 

Stromnetz-Hacking

10-11-06 
Über das Internet tauschen Umspannwerke, Netzbetreiber und Kraftwerke Daten aus, um Angebot und Nachfrage zu regulieren und damit auch den aktuellen Strompreis zu ermitteln (3). In einer Amerikanischen Studie werden in diesem Zusammenhang Szenarien entwickelt, in denen diese Daten manipuliert werden. Angreifer könnten die Kommunikationsleitungen zwischen Umspannwerken und Netzleitstellen anzapfen und falsche Informationen einschleusen. Die Angreifer könnten vorgeben, dass die Hochspannungsleitungen zwischen zwei Städten überlastet sind. Das würde die Leitstelle dazu veranlassen, Strom von entfernteren (und damit teureren) Kraftwerken anzufordern, was die Preise an diesem Netzknoten erhöhen würde. Mit diesen Informationen bewaffnet, könnte der Angreifer dann eine sichere Wette an einer Stromhandelsbörse abschließen – und anschließend kassieren.

Solche Überlegungen sind originell, aber nicht überraschend oder spekulativ. Sie passen in die Reihe von Meldungen, die etwa Kursmanipulationen (4), automatisches Phishing (5) oder spektakuläre Hacks betreffen (6).
 

zurück zum Verweis Anmerkungen
 


(1) Frank Rieger, Der digitale Erstschlag ist erfolgt, faz.net 05.11.2010

(2) Stuxnet spielt erst noch wie Nachbars Kampfhund, 16.09.2010

(3) Kevin Bullis, Kasse machen mit Stromnetz-Hacks, Technology Review 13.10.2010

(4) Aktienkursmanipulation, 22.11.2008

(5) Phishing mit Homebanking-Malware, 12.10.2008;
Gegenspionage wider 'ZeuS' und 'Nethell', 19.12.2008.

(6) Skimming-Coup, 06.02.2009
 

 
(7) Sergei Shevchenko, Tatort Internet
Folge 5: Matrjoschka in Flash
, c't 17.08.2010

(8) Samir Mody, Igor Muttik, Peter Ferrie, Standards and Policies on Packer Use (engl.), McAfee 11.10.2010

(9) Virtuelle Maschine
 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 21.12.2010