| Software Distribution Malware Infection Vector |
 |
 |
Software Distribution Malware Infection VectorWie kommt der Bundestrojaner auf Ihren Rechner?Hoffentlich bringen wir sie nicht auf Ideen .... Quelle: Chaos Computer Club, die datenschleuder. #93 / 2008
Wer kennt es nicht? Frisches Windows installiert, getfirefox.com angesurft: Softwareverteilung über das Internet ist ein integraler Bestandteil bei der Neuinstallation von diversen Betriebssystemen. Während dieser Weg sehr effizient für Free- und Open-Source-Software ist, birgt er auch Gefahren, auf die dieser Artikel eingeht.
Als 2007 das Thema des Bundestrojaners heiß in der Presse diskutiert wird, arbeitet bereits ein bayerisches Entwicklungsbüro an Software zum Mitschnitt von Skype-Telefonaten. Die Software entschlüsselt jedoch keine Skype-Netzwerkkommunikation, sondern nistet sich auf dem Rechner des Opfers ein und speichert die Audioeingänge des Mikrofons. Außer dem Installer gibt es keinen vorgesehenen Weg, um die Software auf den Rechner des zu überwachenden Opfers zu bringen. Also wie könnte die Exekutive eines Staates solche Malware nun unbemerkt installieren?
Design Bundestrojaner Kinowerbung: Die Datenschleuder. Chaos Computer Club. No. 92/2008 - März 2008.
Manuelle Installation Eine manuelle Installation, auf welche sich das BKA teilweise bezieht, setzt einen physikalischen Zugang zum Zielsystem voraus. Dies bedeutet, daß ein Ermittler unbemerkt in die Wohnung des Opfers eindringt und dabei mögliche Zugangssperren und Detektoren überwindet. Dann müssen lokale Sperren des Zielsystems überwunden werden, wie zum Beispiel Login-und BIOS-Paßwörter. Ein Ausbau und direkte Installation auf der Festplatte wäre möglich, falls das Opfer kein 24/7 Integrity Monitoring und verschlüsselte Dateisysteme verwendet. Eine technisch versierte Zielperson hätte genügend Wege, um sich gegen einen solchen Angriff zu schützen.
Social Engineering Eine weitere, vom Innenministerium nicht ausgeschlossene, Möglichkeit ist die Übergabe von USB-Sticks oder CDs sowie der Versand von E-Mails, um das Opfer zur Öffnung der Medien und Installation der Malware zu bewegen. Eine trickreiche Aufforderung zur Überzeugung des unvorsichtigen Opfers ist meist notwendig. Eine solche Aufforderung kann unter Umständen aufgrund einer Telekommunikationsüberwachung und der Kenntnisse von
Backdoor Häufig wurde in den Medien eine Hintertür in legitimer Software zur Sprache gebracht. Während dieser Infektionsweg bei Open-Source-Software erst gar nicht möglich ist, würde eine Hintertür in legitimer Software eine massive Diskreditierung bedeuten. Eine Detektion der Hintertür, durch Verwendung seitens der Ermittler oder durch Reverse Engineering, könnte bei falscher Konstruktion den Mißbrauch der Hintertür durch Dritte ermöglichen. Daher ist dieser Infektionsweg unwahrscheinlich. Client/Remote Exploits
Auch der gern genutzte Begriff von Zero-Days scheint eher unwahrscheinlich, da Zero-Days für gängige Software wie Betriebssysteme, E-Mail-Clients und Browser selten sind und dementsprechend einen hohen Marktwert haben. Eine periodische Entwicklung eines solchen Exploits ist unproportional aufwendig bei einer Halbwertszeit von sechs Monaten.
Download-Infektion Betrachtet man die 270000 Firefox-Downloads pro Tag oder die 100000 VLC-Downloads, eröffnet sich hier ein völlig neuer Infektionsweg. Ist es einem Angreifer möglich, eine ausführbare Datei (Win32 PE .EXE, Mac OS .APP, Linux Makefile im .TAR.GZ) während des Downloads zu modifizieren, ist eine Infektion des Zielsystems möglich. Dazu muß das Opfer die ausführbare Datei über einen kryptographisch ungesicherten Weg, als Update oder via Browser, herunterladen und ausführen.
Die Voraussetzungen sind also: 1. Kontrolle über Paketübertragungswege durch den Angreifer. Die Debatten über Internet-Teilhabe der Regierungen, diverse SINA-Boxen bei ISPs und Techniken der Deep-Packet-Inspection (DPI) in Großbritannien haben gezeigt, daß die Exekutive sehr wohl die Möglichkeiten haben kann, Internet-Traffic umzuleiten. 2. Keine kryptographische Integritätsprüfung im Übertragungsprotokoll und keine Integritätsprüfung durch das Betriebssystem (z. B. Signed Executables) beim Opfer. Zwar werden Microsoft- und Firefox-Updates auf Integrität überprüft, jedoch sind Erst- 3. Keine Erkennung durch Antivirus-oder Intrusion-Detection-Systeme beim Opfer. Diese Annahme ist sowohl von der Qualität der letztendlich genutzten Malware als auch vom Infektionsweg abhängig. Ein simpler Proof-of-Concept konnte mit einem modifizierten Privoxy und einem Win32 PE/ COFF-Prepend-Binder in einer Woche realisiert werden. Der Privoxy-Teil erkennt Win32EXE-Downloads anhand den Bytes MZ und injiziert den Binder (18665 Bytes umkomprimiert) mit einem regulären Ausdruck s-^MZ-\x4d\x5a\x00... MZ-. Wird der (134 SLOC C++) Binder aufgerufen, sucht der Algorithmus nach der angehängten Malware sowie der originalen Software und führt beide aus.
Somit ist Download-Infektion ein effektiver Infektionsvektor, der den Anforderungen und Ressourcen einer Exekutive genügt. Um dem entgegenzuwirken, müssen weiter sichere Übertragungskanäle für Software Distribution überprüft, entworfen und implementiert werden. Die Open-Source-Gemeinschaft ist mit den GPG-Signaturen von Softwarepaketen wie .DEB in diesem Bereich Vorreiter. Kurzfristig kann einer Download-Infektion mit einem VPN oder mit HTTPS verhindert werden, jedoch müssen sich langfristig Code-Signaturen zur Integritätsprüfung in Betriebssystemen etablieren.
|
