Themen
Dienste
  Cybercrime    Ermittlungen    TK & Internet  Schriften   Literatur 
  Suche   Gästebuch   Newsletter   intern   Impressum 
April 2012
24.04.2012 IuK-Strafrecht
zurück zum Verweis zur nächsten Überschrift Erpressung mit Malware
Aufsatz als PDF-Version: Dieter Kochheim, Über das Verschwinden der Cybercrime, 30.04.2012 Automatisierung beim Einsatz von Malware
16.04.2012 

  Heise meldete am 13.04.2012: Die Antivirenexperten von Trend Micro haben einen Lösegeld-Trojaner entdeckt, der den Boot-Vorgang blockiert. Anders als der in Deutschland weit verbreitete BKA-Trojaner nistet er sich dazu im Master Boot Record (MBR) ein. Anschließend führt der Schädling einen Neustart durch und fordert den Nutzer auf, ein Lösegeld in Höhe von 920 Hrywnja (ukrainische Währung, umgerechnet rund 90 Euro) über den Zahlungsdienstleister QIWI an die Erpresser zu zahlen. (1)

 Das Zitat reizt zu einigen Erläuterungen und Spekulationen, zunächst zum Zahlungsverkehr und dann zu den technischen Fragen.
 
QIWI (2) ist ein russisches Handelsunternehmen, das von Mobiltelefonen über Tickets bis hin zu Versicherungen alles vertickert (3). Sein Kerngeschäft scheint aber aus Zahlungsverkehrsgeschäften, also Bankgeschäfte im herkömmlichen Sinne, Zahlungskarten und Zahlungsdienste nach dem Vorbild von Western Union, MoneyGram sowie PaySafeCard und anderen zu bestehen. Es ist vor Allem im russisch-asiatischen Bereich sowie vereinzelt in Amerika und Südafrika verbreitet (orange). Filialen in Europa und anderenorts sind in Planung (blau). 
Geldtransfer per QIWI
automatisierte Malware und ihre Steuerungseinheiten
Phasen der Malware-Installation
Versuch und strafbare Vorbereitungshandlungen
Homebanking-Malware
Fazit
Zum Aufsatz: automatisierte Malware

ungewöhnliche Angriffstiefe
variable Malware
eingeschränkte Autonomie und Automatisierung
Basis-Malware und produktive Malware
Malware-Installation
Vorbereitungsphase
Distanzdelikte und Fallensteller
Prozessstart als Beginn des beendeter Versuchs
Versuch und strafbare Vorbereitungshandlungen
Anlieferung
Injektion
Infektion, Einnisten und Tarnung
Homebanking-Malware. Gesamtschau
Einsatz von Homebanking-Malware
C & C- und Flux-Server
Organisierte Cybercrime
 

 

Seit 2010 arbeitet das Unternehmen mit ukash zusammen (4) und daher ergibt sich auch eine beachtliche Zahl: QIWI verfügte vor zwei Jahren schon über 100.000 eigene Verkaufsstellen.

Ansonsten ist das Unternehmen in Westeuropa ziemlich unbekannt gewesen. Das ändert sich jetzt durch die Erpressungs-Malware. Jedenfalls die Täter scheinen auf die Integrität des Unternehmens zu vertrauen. Das nennt man dann eine gelungene und typisch russische Markteinführung.

Auf weitere Nachrichten darf man gespannt sein.
 

zurück zum Verweis automatisierte Malware und ihre Steuerungseinheiten
 

24.04.2012 
Die Meldung hat mich dazu veranlasst, tiefer der Frage nachzugehen, in welchem Maße Malware heute automatisiert ist, welche Schritte sie ausführt und wie die einzelnen Schritte strafrechtlich behandelt werden können.

Zum Aufsatz: Automatische Malware. Automatisierung beim Einsatz von Malware und das IuK-Strafrecht.

Sein wesentlicher Inhalt wird hier zusammen gefasst.

Aus den Erfahrungen mit der Steuerung von Botnetzen durch Command & Control-Server - C & C - sowie dem Einsatz von Fluxservern, die den C & C tarnen und entlasten, und mehreren Berichten über automatisierte Homebanking-Trojaner leite ich die Annahme ab, dass jedenfalls die professionelle Malware so gut wie immer von automatischen Steuerungseinheiten begleitet, versorgt und geleitet werden. Insoweit unterscheide ich zwischen der Basis-Malware, die das Einnisten besorgt und weitgehend selbständig handeln muss, und der produktiven Malware, die in ihrer Nistumgebung als Zombiesteuerung, Homebanking-Trojaner oder für andere maliziöse Aufgaben eingesetzt. Diese Annahme wende ich auch auf die aktuellen Ramsonware-Angriffe an, die ich erpresserische Malware nenne, also den Bundespolizei-Trojaner und seinen anderen aktuellen Spielarten.

Der zunächst an dieser Stelle veröffentlichte (und jetzt verlagerte) Aufsatz behandelt folgende Themen:


 
Der neue Lösegeld-Trojaner weist eine ungewöhnliche Angriffstiefe auf, weil er die produktive Malware in den Konfigurationsdateien des BIOS verbirgt. Deshalb gehe ich zunächst auf strukturelle technische Fragen ein.

Stuxnet ist eine Malware, die für eine bestimmte Umgebung konstruiert wurde, die atomaren Anreicherungsanlagen im Iran. Sie haben keine Internetanbindungen (oder keine, die verlässlich zur Einschleusung von Malware genutzt werden konnten), so dass bei Stuxnet die Verteilung per USB-Sticks erfolgte. Das führte dazu, dass alle Basis- und produktiven Bestandteile gleichzeitig vorgehalten werden mussten. Diese Malware konnte jedoch auf die Umstände einer einzigen Umgebung und zu einem einzigen maliziösen Zweck konstruiert werden.

Darin liegt ein wesentlicher Unterschied zu der variablen Malware, die jetzt im Bereich der Cybercrime Gang und Gäbe ist. Die wichtigsten Formen sind die Botware, die Homebanking-Trojaner und die erpresserischen Formen der Malware. Aus ihren Erscheinungsformen leite ich die These von der eingeschränkten Autonomie und Automatisierung ab und unterscheide zwischen der Basis-Malware und der produktiven Malware.
 

zurück zum Verweis Phasen der Malware-Installation
 

 
Schaubilder zum "Einnisten" von Malware

 
Danach stellt sich die Frage nach der Abfolge bei der Installation von Malware. Ich unterscheide dabei nach folgenden Schritten:

Vorbereitungsphase  Vorbereitung der Basis- und produktiven Malware.
Einrichtung präparierter Webseiten oder von E-Mail-Anhängen.
Verbreitung von Spam.
Infektion anderer Webseiten.
Anlieferung Zulieferung der Basis-Malware bis zu einer Schnittstelle im Zielgerät.
Injektion Überwindung einer Schwachstelle, um die Basis-Malware in einen laufenden Verarbeitungsprozess einzubringen.
Infektion Aktivierung der Basis-Malware in den Verarbeitungsprozessen des Zielgerätes.
Erkundung der Systemumgebung.
Kontaktaufnahme zur Steuereinheit und Upload weiterer Komponenten.
Einnisten Einrichtung der Programmbestandteile der produktiven Malware.
Tarnung Einsatz von Rootkits, um die Malware vor der Erkennung zu tarnen.
Einsatz Unmittelbarer Einsatz: Ausführung der Schadfunktion, zum Beispiel bei erpresserischer Malware oder bei der Übernahme von Zombies in ein Botnetz. Verbreitung der eigenen Basis-Malware. Erforschung der Systemdateien nach verwertbaren Daten (Kontozugangsdaten, Schlüssel für hochwertige Anwenderprogramme).
Ruhender Einsatz: Gelegentliche Updates und Ergänzungen des Einnistens. Warten auf ein auslösendes Ereignis (koordinierte DDoS-Attacke, Homebanking).
Verzögerter Einsatz nach einem auslösenden Ereignis.
Deinstallation Beseitigung der eigenen Programmkomponenten und Spuren nach Abschluss des Einsatzes (Option für reine Spionage-Malware).

Schon die  Vorbereitungsphase ist strafrechtlich von besonderem Interesse, weil die Täter zunächst die Malware selber und den Verbreitungsweg über (meistens) Pharmen oder E-Mail-Anhänge oder Spam-Aktionen einkaufen müssen. Sobald sie aber die Aktion starten, haben sie ihre Handlungen abgeschlossen und agiert die Basis-Malware autonom. Von besonderer Bedeutung ist dabei, wann die straflose Vorbereitungshandlung endet und der Versuch der Computersabotage beginnt.

Strafrechtlich ist das das Handlungsmodell nämlich vergleichbar mit den Fällen, dass Bomben mit Zeitzündern gestartet oder Gift zum Verzehr bereit gestellt werden. Die rechtlichen Grundlagen behandelt das Kapitel Distanzdelikte und Fallensteller. Daraus leite ich folgende Ergebnisse ab:

Die Verbreitung der Basis-Malware als Anlage zu einer E-Mail erfordert ein Zutun des Opfers. Es muss (in aller Regel) die Anlage selber starten. Dadurch wird es zum "Tatmittler gegen sich selbst" und tritt eine konkrete, unmittelbare Gefährdung des geschützten Rechtsguts erst beim Start der Anlage ein. Der Versuch beginnt und endet in diesem Moment.

Dasselbe gilt für Links, die in der E-Mail selber eingebettet sind, wenn sie zu einer präparierten Webseite führen. Mit der Betätigung des Links wird ein geplanter, automatisierter Ablauf in Gang gesetzt, der ebenfalls zur unmittelbaren Gefährdung führt und deshalb gleichzeitig beendet ist.

In E-Mails eingebetteter Malcode bedarf keines Zutuns des Opfers. Er ist "scharf", sobald er versandt wird. Somit beginnt der Versuch in diesen Fällen bereits beim Versand der Spam-Nachrichten. Weil ein weiteres Zutun des Täters nicht erforderlich ist, ist der Versuch damit auch schon beendet.

Die Einrichtung von Pharmen mit präparierten Webseiten ist vergleichbar den Gifttrunk-Fällen. Eine konkrete und unmittelbare Gefährdung tritt erst ein, wenn das Opfer die präparierte Webseite aufruft. Das ist der Beginn des gleichzeitig beendeten Versuchs.

Wurden dazu fremde Webseiten präpariert, liegt auch darin eine Datenveränderung, die aber als gesonderte Tat nichts mit der Verbreitung der Malware als solche zu tun hat.

Seltener werden Massenspeicher (USB-Sticks, CD / DVD, Speicherkarten, Wechselfestplatten) zur Verbreitung der Malware genutzt. In diesen Fällen tritt die unmittelbare Gefährdung ein, sobald der Datenträger in die Hand des Opfers gerät. Spätestens in diesem Moment verliert der Täter seine Herrschaft über den Angriff und ist der Versuch beendet.

Daneben gibt es aber auch eine Strafbarkeit im Vorbereitungsstadium:
 

zurück zum Verweis Versuch und strafbare Vorbereitungshandlungen
 

 
 Das Kapitel Versuch und strafbare Vorbereitungshandlungen konzentriert sich auf die Computersabotage im Zusammenhang mit dem Einsatz der Basis-Malware mit dem Ergebnis: Allein schon der Umgang mit der Basis-Malware ist als besonderes Gefährdungsdelikt strafbar ( §§ 303a Abs. 3 und 303b Abs. 5 StGB i.V.m. § 202c StGB). Aber auch schon in der Anlieferungsphase kann eine Übermittlung von maliziösem Code erfolgen, wobei die Strafbarkeit bis in das Vorbereitungsstadium vorverlagert ist ( § 303b Abs. 1 Nr. 2 StGB). Das gilt auch noch für den nächsten Schritt der Invasion, der Injektion.

 Im Zusammenhang mit den folgenden Schritten ( Infektion, Einnisten und Tarnung) werden die Funktionen der Basis-Malware genauer betrachtet:

Backdoor Einrichtung einer Außenverbindung, um mit einer Steuerungseinheit Kontakt aufnehmen, Updates und Anpassungen laden zu können.
Virenscanner Abschalten oder Umkonfigurieren vorhandener Virenscanner.
produktive Malware Installation der produktiven Malware, wobei zum Beispiel vorhandene Systemdateien ausgetauscht oder verändert werden. Denkbar ist es auch, dass die Programmkomponenten zu exotischen Massenspeichern (Grafikkarte, Router u.a.) ausgelagert werden, wo sie üblicherweise von Virenscannern nicht erfasst werden.
Autostart Manipulation der Registry oder anderer Autostart-Dateien (Bootsektionen), um den selbsttätigen Start der produktiven Malware zu gewährleisten.
Rootkits Veränderung der Systemrechte, Zeitstempel und Dateigrößen, um die produktive Malware vor ihrer Entdeckung zu tarnen.
 

Der Aufsatz beschränkt sich schließlich darauf, eine Einsatzform genauer zu betrachten, nämlich die:
 

zurück zum Verweis Homebanking-Malware
 

 
Die Grafiken in der dabei verwendeten Animation stammen aus dem Arbeitspapier IuK-Strafrecht und zeigen noch leichte Abweichungen zu den jetzt gewonnenen Erkenntnissen ( Homebanking-Malware). Das macht das Kapitel Einsatz von Homebanking-Malware mit einer eigenen Animation wett.

Von Bedeutung dürfte deshalb diese Aufstellung sein, die auf die Homebanking-Malware abgestimmt ist:

Vorbereitungsphase  tateinheitlicher Umgang mit Programmen zur Computersabotage und zum Computerbetrug ( §§ 303b Abs. 5 StGB i.V.m. 202c Abs. 1 Nr. 2 StGB, 263a Abs. 3 StGB)
Anlieferung versuchte Computersabotage in Tateinheit mit versuchtem Computerbetrug und mit versuchter Fälschung beweiserheblicher Daten ( §§ 303b Abs. 1, Abs. 3, 263 Abs. 2 i.V.m. 263a Abs. 2, 269 Abs. 2 StGB)
Injektion vollendete Übermittlung nachteiliger Daten ( §§ 303b Abs. 1 Nr. 2 StGB) in Tateinheit mit versuchtem Computerbetrug und mit versuchter Fälschung beweiserheblicher Daten ( §§ 263 Abs. 2 i.V.m. 263a Abs. 2, 269 Abs. 2 StGB)
Einnisten vollendete Computersabotage ( §§ 303b Abs. 1 StGB) in Tateinheit mit versuchtem Computerbetrug und mit versuchter Fälschung beweiserheblicher Daten ( §§ 263 Abs. 2 i.V.m. 263a Abs. 2, 269 Abs. 2 StGB)
Einsatz Computersabotage in Tateinheit mit Computerbetrug und mit Fälschung beweiserheblicher Daten ( §§ 303b Abs. 1, 263a Abs. 2, 269 Abs. 2 StGB)

Den Abschluss des Aufsatzes bilden Ausführungen zu den C & C- und Flux-Servern und zum Standort der Betreiber automatisierter Malware in den Strukturen der Organisierten Cybercrime.
 

zurück zum Verweis Fazit
 

 
Mit dem Arbeitspapier Cybercrime habe ich 2010 nur die Erscheinungsformen der Cybercrime zusammen gefasst und dabei das materielle Cybercrime-Strafrecht respektvoll außen vor gelassen oder allenfalls gestreift. Im Nachhinein hat es sich als richtig erwiesen, dass ich meine materiellen Forschungen zunächst auf eine Erscheinungsform der Cybercrime beschränkt habe, dem Skimming. So konnte ich das umgrenzte Thema Schritt für Schritt erfassen und mich auch selber fortbilden, zumal die schwierigsten Probleme (wie so häufig) im allgemeinen Teil des Strafrechts liegen: Täterschaft und Teilnahme sowie Vorbereitung und Versuch. Aufsätze zum Skimming gibt es inzwischen viele, aber mir wurde schon mehrfach nachgesagt, dass kein anderer Autor zu tief in die Einzelheiten und Verästelungen eingestiegen ist. Ein besonderes Lob stammt von einem BGH-Richter, der sinngemäß sagte: Wenn ich über das Skimming schreiben wollte, dann könnte ich auch nur von ihnen abschreiben (Mai 2011).

2009 habe ich mich besonders mit den strukturellen Formen der Cybercrime befasst und die seinerzeit entwickelten Grundlagen haben Bestand bewiesen. 2010 habe ich mich endlich auch tieher mit den Boards befasst und auch die dabei gewonnenen Erkenntnisse stimmen noch immer. Ungeplant und überraschend gewann ich auch Erkenntnisse über den Cyberwar, noch bevor er zum öffentlichen Thema wurde ( Arbeitspapier Netkommunikation). Meine Unterscheidung zwischen dem Kalten und dem Heißen Cyberwar hat noch immer Geltung.

2011 habe ich zwei heiße Eisen angefasst. Zunächst habe ich den Mut gefasst, über die offenen und verdeckten Ermittlungen im Internet zu schreiben. Rumzutrollen ist die eine Sache, Farbe zu bekennen die andere. Der Aufsatz hat Bestand bewiesen.

Mit erheblich größeren Respekt bin ich an das umfassende Thema IuK-Strafrecht herran gegangen. Dazu musste ich zunächst mehrere Rechtsgebiete durchdringen, die auf dem ersten Blick nichts mit dem Cybercrime-Strafrecht zu tun haben scheinen, zum Beispiel dem Recht zur Urkundenfälschung und der kriminellen Vereinigung. Mit den Ergebnissen bin ich auch jetzt noch ganz zufrieden.

Auch der jetzt vorliegende Aufsatz über die automatisierte Malware fußt auf intuitiven Annahmen und verlangte eine tiefere Einarbeitung in fremd erscheinende Rechtsfragen (Distanzdelikte, Giftfallen). Ich habe den Eindruck, dass ich wieder einmal nicht ganz falsch liege.
 

zurück zum Verweis Anmerkungen
 


(1) Malware blockiert Bootvorgang, Heise online 13.04.2012

(2) Übersetzung von Google: QIWI weltweit.

(3) Übersetzung von Google: Produkte und Dienstleistungen.

(4) Partnerschaft mit QIWI: Ukash erschließt 100.000 Verkaufsstellen in Russland, ukash 01.04.2010
 

zurück zum Verweis Cyberfahnder
© Dieter r Kochheim, 30.04.2012