Spammer und Spione greifen mit »Spear Phishing« Unternehmen, Organisationen und Behörden an. Das jüngste Beispiel solcher Attacken richtete sich gezielt gegen Diplomaten-PCs, um diese auszuspionieren. Sascha Siekmann, Spezialist des IT-Sicherheitsunternehmens Cloudmark, zeigt, wie solche Attacken funktionieren.

Dass Prominente und Politiker Ziel von Angriffen aller Art sind, ist nicht neu. Beispiele hierfür findet man immer wieder. Doch als jüngst aufgedeckt wurde, dass auch die Exilregierung Tibets, die deutsche Botschaft in Australien, das Oberkommando der NATO (SHAPE) und eine Vielzahl anderer Regierungsorganisationen und Botschaften kürzlich Opfer eines solchen Angriffes wurden, war die Öffentlichkeit doch überrascht (siehe Bericht auf Network Computing Online).

Forscher des Munk Centre for International Studies der Universität Toronto analysierten auf Bitte der Exilregierung Tibets PCs in mehreren Ländern und installierten das frei erhältliche Netzwerkanalyse-Programm Wireshark.

Mithilfe dieses Programms wurde den Forschern in kürzester Zeit klar, dass die infiltrierten Rechner mit einem Kontrollzentrum in China kommunizierten. Der informationstechnische Super-GAU war eingetreten. Doch wie konnte es dazu kommen und wie hätten diese Angriffe verhindert werden können?

Schadsoftware wird via E-Mail verteilt

Die Forscher wiesen nach, dass die Rechner die schädliche Software über infizierte E-Mails erhielten. Der vermeintliche Absender, in diesem Fall campaigns@freetibet.org, schickte eine MS-Word-Datei mit dem authentisch klingenden Namen »Translation of Freedom Movement ID Book for Tibetans in Exile.doc«.

Das Dokument enthielt auch den erwarteten Text, allerdings auch die Malware, die sich beim Öffnen des Dokumentes im Hintergrund installierte und sofort die Arbeit aufnahm. Die Forscher konnten nachweisen, dass vertrauliche Dokumente auf einen Server in China hochgeladen wurden. Dies bedeutete einen irreparablen Schaden.

So wie der geschilderte Angriff mittels schädlicher Anhänge sind es oft E-Mails mit Links zu Webseiten, die schadhafte Software installieren. Unbedarfte Anwender sind oft überfordert, den Ernst der Lage richtig einzuschätzen.

Virenscanner versagen

Dass nur 13 von 36 Virenscannern bei der Attacke den Schädling überhaupt erkannten, stellt der Antiviren-Branche ein schlechtes Zeugnis aus. Der Grund für die niedrige Erkennungsrate liegt darin, dass die Spear-Phisher sehr gezielt vorgehen und unter der Wahrnehmungsschwelle bleiben.

Auf dem im Februar diesen Jahres in San Francisco abgehaltenen Treffen der Industrievereinigung MAAWG (Messaging Anti-Abuse Working Group)berichtete der Principal Scientist eines Antivirenherstellers, dass Malware-Autoren bereits heute so genannte »Boutique«-Software verbreiten. Dabei handelt es sich um einzigartige Versionen einer Schadsoftware, die keine Ähnlichkeiten mit Malware auf bereits infizierten PCs aufweisen.

Auch viele Anti-Spam-Lösungen versagen an dieser Stelle und blockieren derlei Angriffe nicht von vornherein. Oftmals liegt das Problem darin, dass die Angriffe in nur geringem Ausmaß, dafür jedoch äußerst gezielt ausgeführt werden und nicht dem üblichen Spam-Kriterium des Massenversands entsprechen.

Wenn sie zu wenige E-Mails eines bestimmten Versenders registrieren, lösen viele dieser Programme oder Services keinen »Alarm« aus. Doch auch ein gezielter Angriff, der lediglich aus wenigen tausend E-Mails besteht, sollte als ein Spam-Angriff behandelt werden.

Welche Art von E-Mail-Security-Lösung könnte solche Bedrohungen abwenden? Die schlichte Antwort: Eine, die eine mehrstufige Filterung und damit höheren Schutz bietet als etwa herkömmliche Antiviren- und Anti-Spam-Programme.

So liegt beispielsweise der Technologie von Cloudmark eine Filtertechnik zugrunde, die schädliche Quell-IP-Adressen und Domänennamen, die Malware hosten, erkennt. Sie ist zudem in der Lage, den Schädling in seiner ausführbaren Form (.exe-File) zu identifizieren.

Die Rückmeldungen einiger weniger Cloudmark-Anwender würden bereits ausreichen, um zuverlässige Fingerabdrücke selbst für polymorphe Viren zu erstellen. Insofern können auch gezielte »Tröpfel-Angriffe« mit wenigen E-Mails erfolgreich entdeckt und ausgefiltert werden.

Der Autor: Sascha Siekmann ist Senior-Technical-Support-Engineer bei Cloudmark Ergänzende Informationen

Der dem Angriff zugrunde liegende Exploit ist schon seit dem 13.6.2006 bekannt und ist als Microsoft Security Bulletin »MS06-027«“ veröffentlicht worden!

Nur 13 von 36 installierten Virenscannern erkannten den Schädling:

http://virscan.org/report/a9e561f9e78b3e4df006c1cf644d88ca.html

Komplette Analyse des Botnets: http://d.scribd.com/docs/1948tfencenn5ollw4e0.pdf

Tracking GhostnNet: http://www.infowar-monitor.net/ghostnet

Investigating a Cyber Espionage Network: http://www.tracking-ghost.net