Datenschutz schützt auch ihren guten Ruf

Welche Trends derzeit die Hacker-Szene dominieren, wurde an der CSI-Konferenz ebenfalls eifrig diskutiert. Rasch war man sich einig: Kriminell organisierte Hacker arbeiten mit immer raffinierteren Methoden, um zu verhindern, dass die Malware, mit der sie Rechner infizieren, entdeckt wird. Am häufigsten wird derzeit mit mutierendem Code getrickst. Denn damit können Tools, die aufgrund bekannter Signaturen Malware identifizieren und blockieren könnten, überlistet werden. Codefragmentierung ist eine weitere beliebte Methode, denn sie erschwert das Säubern des infizierten Rechners, sowie schliesslich das Verschleiern von Code mittels Rootkits.

Im Gegensatz zu Massenwürmen vom Schlag eines MS Blaster oder SQL Stammer zielen die meisten Malware-Programme darauf ab, möglichst lange unentdeckt auf einem System zu residieren, so die Erfahrung von Matthew Williamson, einem Analyst bei Sana Security. Den Hackern geht es nicht darum, einfach möglichst viele Rechner zu infizieren, sondern gezielt wertvolle Informationen zu stehlen, ergänzt er. Zu diesem Zweck wird momentan bevorzugt polymorpher Code verwendet, der sich laufend verändert. Auch nutzen Hacker gern so genannte Packer, die Malware verschlüsseln. Wenn für die Entschlüsselung dann noch verschiedene Routinen genutzt werden, entsteht eine parktisch unbegrenzte Anzahl von Mutationen.

Ein Paradebeispiel dafür ist der Trojaner Swizzor, der Anfang des Jahres durch die Cyberwelten geisterte. Er packte sich jede Minute neu, um den mit Signaturen arbeitenden Tools zu entgehen, die nur funktionieren, wenn sie genau wissen, was sie blockieren sollen. Ausserdem kompilierte sich Swizzor pro Stunde neu.

Zahlreiche Spyware-Programme nutzen allgemein verfügbare Verschlüsselungs- oder Pack-Techniken, um ihre Existenz zu verschleiern, berichtet auch Gerhard Eschelbeck, Cheftechniker von Webroot Software. Viele Spyware-Programme nutzen Treiber auf Kernel-Ebene, und sie verarbeiten Blockiertechniken, um Antispyware abzuklemmen, so Eschelbeck.

Ralph Thomas, Malware-Spezialist bei Verisign, sagt, dass Malware heute oft so ausgelegt ist, dass sie sich in mehrere verlinkte Komponenten aufteilt, sobald sie sich auf einem System eingeschlichen hat. Jedes dieser Fragmente verfolgt dann die Aktivitäten der übrigen. Wird das System von einem der Fragemente gesäubert, startet beziehungsweise installiert ein anderes Fragment dieses erneut. Damit wird es sehr schwer, ein System wirklich clean zu bekommen, gibt Thomas zu bedenken. Ein frühes Beispiel für derartige Malware ist das 2004 erstmals aufgetretene Wintools. Es installiert eine Toolbar sowie drei separate Komponenten auf dem infizierten System. Entfernt man eine davon, ersetzen die übrigen die gelöschten Dateien und starten sie erneut auf.

Noch komplizierter wird das Ganze durch die zunehmende Verwendung von Rootkits, um die Existenz des bösartigen Codes zu verschleiern. Rootkits können sowohl auf Ebene des Betriebssystems als auch des Kernels installiert werden. Auch sie verschleiern Malware und Behindern die Arbeit von Detection-Tools, sagt Matthew Williamson.

Haxdoor ist ein Vertreter dieses Typs von Hacker-Code. Eine Variante davon wurde missbraucht, um im Oktober Daten von 8500 Rechnern in 60 Ländern zu klauen. Passwörter wurden ebenso abgegriffen wie Tastaturschläge, Screenshots der Rechner wurden angefertigt und sämtliche Informationen an einen Remote-Server weiter geleitet. Ausserdem gelang es Haxdoor, Firewalls im System abzuschalten, während er sich im Rootkit der infizierten Maschine versteckte.