Malware 101: Würmer und wie sie sich verbreiten

Es ist wieder Montag und während die Ereignisse des Wochenendes in den Hintergrund rücken, schnappen Sie sich eine Tasse Ihrer morgendlichen Koffein-Dosis und schalten Ihren Arbeitsplatz ein. Das Startvorgang ist beendet und Sie sehen eine Security-Warnung: Ein System wurde mit Malware infiziert.

Als Sie beginnen der Sache nachzugehen, kommt eine weitere Warnung und dann noch eine. Was als einzelner Vorfall von Malware auf einem System begann, hat sich über das Netzwerk verbreitet und eine große Anzahl von Systemen getroffen. Ihr Netzwerk ist einem Wurm zum Opfer gefallen – einer Art von Malware, die sich in Netzwerken verbreitet und in lokalen Netzwerken und im gesamten Internet verheerende Schäden anrichten kann.

Eine kurze Geschichte der Würmer

Würmer nutzen die vernetzte Natur von Netzwerken aus, die das Internet möglich machen, manchmal mit katastrophalen Auswirkungen. Sie entstanden auch nicht lange nach dem, was sich schließlich als Internet etablierte und reiften mit ihm.

1971 wurde die erste bekannte Malware geschrieben, Creeper genannt. Es war ein Wurm, der sich durch ARPANET bewegte und einfach die Nachricht „ICH BIN DER CREEPER: FANG MICH, WENN DU KANNST“ ausgab. Obwohl er keine nennenswerten Auswirkungen hatte, führte er zur ersten Antimalware-Software, die speziell dafür geschrieben wurde, ihn zu fangen.

Der Morris-Wurm, geschrieben in 1988 hatte weitaus größere Auswirkungen und führte sogar zu einer Straftat für seinen Autor. Der Morris-Wurm nutzte einen Sendmail-Bug zur Verbreitung, gepaart mit einem Pufferüberlauf im Dienstprogramm-Finger und schwachen Passwörtern, die für Shells verwendet wurden. So schaffte es der Morris-Wurm, schnell mehr als 2.000 Computer zu infizieren (keine unbedeutende Zahl, wenn man bedenkt, wie wenige Computer es damals gab). Da er außerdem nicht prüfte, ob es bereits eine Instanz von ihm auf einem Computer gab, infizierte er viele Computer neu und machte sie durch unbeabsichtigte Denial-of-Service-Attacken unbrauchbar.

So verbreiten sich Würmer

Ein Wurm ist eine Art von Malware, die sich mithilfe von Netzwerkprotokollen auf andere Geräte kopiert, und somit eine Verbreitungsmethode beschreibt. Er kann sich per E-Mail verbreiten, indem er sich selbst an alle Kontakte sendet, die er auf den infizierten Systemen findet, oder einen Exploit in einem Netzwerkprotokoll wie WannaCry verwenden.

Durch die automatische Ausbreitung kann ein Wurm die Anzahl der infizierten Systeme maximieren, ohne dass der Angreifer dafür weniger Arbeit leisten muss. Während die ersten Würmer einfach nur darauf abzielten, Systeme zu infizieren, ist das Zeitalter der Malware als Experiment längst vorbei und die Würmer von heute haben auch einen Zweck. Dieser kann sein, eine Hintertür auf dem System schaffen, die der Angreifer später nutzen kann, um Informationen zu stehlen, um als Bot zu agieren, der einen Command-and-Control-Server nach Befehlen abfragt, oder um eine zusätzliche Nutzlast herunterzuladen, nachdem ein System infiziert wurde.

Da sich die meisten Würmer schnell verbreiten, werden sie in der Regel eher wahrgenommen, da Security-Experten darauf abzielen, die Verbreitung zu stoppen und Systeme vor einer Infektion zu schützen. Allerdings können Würmer gelegentlich eine Zeit lang unbemerkt bleiben, wie es bei Mirai der Fall war.

Mirai: Ein modernes Beispiel

Mirai war ein Botnet, das hauptsächlich auf Router und einige Internet-of-Things (IoT)-Geräte wie Smart-Home-Systeme abzielte. Es scannte und visierte Geräte mit einem bestimmten Prozessor an, auf dem eine reduzierte Version von Linux ausgeführt wurde, was bei Routern und IoT-Technologien sehr verbreitet ist. Damit verschaffte es sich dann mit Hilfe von Standard-Zugangsdaten Zugriff, die leider oft vom Benutzer bei der Einrichtung nicht geändert wird oder in einigen Fällen von den Entwicklern hart codiert ist. Sobald der Zugriff erfolgt war, wurde das Gerät mit Mirai infiziert, um Teil des Botnets zu werden und die Suche nach neuen Geräten fortzusetzen, während es auf Befehle von der Command-and-Control-Infrastruktur wartete.

Mirais Tarnung flog auf, als seine Betreiber beschlossen, einen Distributed Denial of Service (DDoS)-Angriff unter Verwendung des Botnets gegen Dyn, einen DNS-Anbieter, zu starten. Die metaphorische Redewendung vom „Hacker im Kapuzenpulli in einem dunklen Raum“ ist falsch. Mirai wurde tatsächlich von College-Studenten geschrieben, die das Interesse an ihrem DDoS-Schutzgeschäft steigern wollten, indem sie DDoS-Angriffe auf ihre Zielkunden durchführten, nämlich Minecraft-Serveranbieter.

Nachdem sie herausgefunden hatten, dass Dyn DNS-Services für diese „Kunden“ bereitstellte, beschlossen die Autoren, dass es effektiver wäre, Dyn ins Visier zu nehmen als einzelne Anbieter. Sie zogen jedoch nicht in Betracht, dass Dyn DNS-Services für einen beträchtlichen Prozentsatz des restlichen Internets bereitstellt und schafften es dabei, den Zugang zu vielen wichtigen Websites im Internet lahmzulegen. Sie wurden für etwas berüchtigt, was ursprünglich als dubiose Geschäftsmarketing-Praktiken geplant war.

Stuxnet: Ein Wurm, der für die Tarnung entwickelt wurde

Während Mirai durch die Infizierung von Geräten, die in der Regel keinen Malware-Schutz hatten, eine Zeit lang aus den Schlagzeilen herausgehalten werden konnte, enthielt Stuxnet eine Wurmkomponente, die auf Tarnung abzielte. Stuxnet soll in einer Zusammenarbeit zwischen US-amerikanischen und israelischen Geheimdiensten entwickelt worden sein. Stuxnet nutzte Tarnung ebenso wie vier separate Zero -Day-Exploits zur Verbreitung, denn sein Ziel war eindeutig und sehr spezifisch: SCADA-Systeme zu infizieren, die Teil des iranischen Atomprogramms waren und die Zentrifugen zu zerstören, die zur Anreicherung von Uran zu waffenfähigem Material verwendet werden.

Stuxnet verbreitete sich zwar auf viele Geräte und SCADA-Systeme, aber es war so konzipiert worden, nur die spezifischen Systeme zu beschädigen, die vom Nuklearprogramm verwendet werden. Stuxnet war erfolgreich und sorgte daher für seine eigenen Schlagzeilen. Allerdings hatte Stuxnet auch unbeabsichtigte Auswirkungen, da Teile des Programms und die Exploits noch jahrelang von Cyberkriminellen genutzt wurden.

Wie Mirai zeigt auch Stuxnet, dass Würmer gelegentlich relativ unauffällig bleiben können, bis Schaden angerichtet wurde und das Ziel und die Auswirkungen weitaus mehr Nachrichtenwert haben als die tatsächliche Verbreitung. Dies macht Würmer, denen es gelingt, sich zu tarnen, ziemlich gefährlich, da sie die Zeit haben, sich auf mehr Rechnern zu verbreiten und letztlich ist die Anzahl der Systeme, die ein Wurm infizieren kann, seine gefährlichste Eigenschaft.