G DATA Software AG: Antivirus, Virenschutz, Virenscanner, Internet Security

Ein neuer, boomender Trend in der Verwendung von Malware sind gezielte Angriffe auf Unternehmen und Behörden. Immer häufiger werden die Techniken, die sich beim Phishing von Bankdaten bewährt haben, auch auf andere Organisationen mit wertvollen Daten ausgerichtet. Man spricht in diesem Zusammenhang auch von Spear-Phishing. Wie MessageLabs im April-Report erwartet, findet diese Art des Datendiebstahls immer größere Verbreitung. Oft werden gezielt bestimmte Mitarbeiter - etwa aus dem Verkauf oder der Buchhaltung - angeschrieben und unter den verschiedensten Vorwänden dazu aufgefordert, ihre Logindaten preiszugeben oder eine Datei im Mailanhang zu öffnen oder von einer Webseite zu installieren.

Besonders kritisch in diesem Zusammenhang sind Sicherheitslücken in Programmen, die im täglichen Geschäftsverkehr mit Kunden zum Standard gehören. Dazu gehören mit Sicherheit die Produkte aus der Microsoft Office Serie. Durch einen wachsamen Angestellten in einer amerikanischen Organisation wurde nun eine solche Spear-Phishing Attacke bekannt. An bestimmte Personen seiner Organisation wurden E-Mails mit einem Word-Dokument im Anhang gesendet. In diesem Word-Dokument wird eine bislang unbekannte Sicherheitslücke in Works und Word (Versionen 2002, 2003 und XP) genutzt, um ein Trojanisches Pferd zu installieren, das zu diesem Zeitpunkt von keinem AV-Produkten erkannt wurde (das hat sich mittlerweile geändert). Nach der Installation versucht sich der Schädling zu verstecken. So wird z.B. die infizierte Word-Datei durch eine korrekte Version ersetzt. Dabei stürzt Word mit einer Fehlermeldung ab. Der nächste Versuch das Dokument zu öffnen, funktioniert dann fehlerlos. Damit ist es sehr wahrscheinlich, dass ein solcher ´Fehler´ als normale Windows-Anomalie ignoriert wird.

Ginwui.a - so die Bezeichnung für den Schädling - ist eine Backdoor, mit deren Hilfe der Angreifer u.a. folgende Aktionen durchführen kann:

* Dateien lesen, schreiben, löschen

* Registryeinträge lesen, erzeugen und ändern

* Dienste starten und beenden

* Windows einfrieren, neu starten und herunterfahren

* Eine Shell öffnen, um beliebige Befehle auszuführen

Damit hat der Angreifer volle Kontrolle über den infizierten PC. Damit aber noch nicht genug. Die Backdoor erlaubt es auch, den infizierten PC auszuspionieren. Sie kann geöffnete Fenster auflisten, Informationen über den infizierten PC sammeln, den Inhalt von Dateien auslesen und Screenshots aufnehmen. Da es für Ginwui.a essentiell ist, dass er nicht entdeckt wird, verfügt er über die Tarnfunktionen eines Rootkits. Damit wird die Anzeige der Backdoordateien im Explorer unterdrückt und auch die Registry-Einträge für den automatischen Start sind nicht sichtbar.

Der Angriff auf die amerikanische Organisation stammt offenbar aus dem südostasiatischen Raum. Die E-Mailadresse, die Domains und die IP-Adressen, die bei der weiteren Untersuchung auftauchten, sind in China oder Taiwan registriert. Das eigentliche Problem ist aber nicht dieser spezielle Schädling. Es ist sehr unwahrscheinlich, dass viele Leute solche Word-Dokumente erhalten. Durch die Entdeckung ist diese spezielle Lücke nun für Spear-Phisher wertlos geworden. Nun werden andere bislang unbekannte Sicherheitslücken genutzt. Für Rechner von Privatpersonen lohnt sich dieser Aufwand meist nicht. Wer allerdings einer Organisation angehört, deren Daten für CyberKriminelle von Wert sein können, sollte darauf gefasst sein, dass derartige Angriffe ganz gezielt vorgenommen werden. Als Gegenmaßnahmen kommen die Weiterbildung und Sensibilisierung der PC-Nutzer, die Einschränkung der Nutzerrechte, die Überwachung und Unterbindung von ausgehendem Datenverkehr und die Speicherung von wertvollen Informationen auf dem Server statt auf dem lokalen PC in Frage. Aber auch diese Maßnahmen bieten keinen umfassenden Schutz. Ein gesundes Misstrauen ist in manchen Organisationen angebracht.

Weitere Informationen:

Internet Storm Center: Microsoft Word Vulnerability (engl.)

Backdoor.Dropper.Ginwui.A im Virenlexikon des AntiViruslab