Eine kleine Geschichte der Malware

"Elk Cloner" war ein Virus mit einer Botschaft.
Die Entwicklung der Malware in den letzten 35 Jahren, vom poetischen "Elk Cloner" bis zu Cryptolocker und Co. Ein Gastbeitrag von Fred Touchette, Security-Analyst bei Appriver.
 
1975 kamen die ersten Personal Computer überhaupt auf den Markt. Danach dauerte es nicht ein mal sechs Jahre, bevor die Welt zum ersten Mal von einem Computer-Virus hören sollte. Sein Name: "Elk Cloner". Sein Angriffsziel: Das Betriebssystem des Apple IIc, auch unter dem Namen Apple DOS 3.3 bekannt. Der Virus wurde über ein aktuelles Spiel eingeschleust, infizierte den Boot-Sektor und verbreitete sich, in dem er Kopien seiner selbst auf jede benutzten Diskette schrieb. Einmal aktiviert, erschien auf dem Bildschirm ein Gedicht, das beschrieb Elk Cloner sich verbreitete. Nebst dem Hinweis, dass es möglicherweise keine ganz so leichte Aufgabe sein würde, die entsprechenden Auswirkungen wieder rückgängig zu machen. Praktisch zeitgleich mit der Veröffentlichung dieses vergleichsweise harmlosen Virus, tauchte diese Form des "Scherzes" in vielfältigen Spielarten weltweit auf.
 
Die 80er: Vom Scherz zur gezielten Attacke
Aus heutiger Sicht nicht ganz unerwartet verschoben sich die Grenzen schnell. Weg vom simplen Scherz, hin zur Hackerattacke mit Hilfe einer böswillig agierenden Software. Software, die bereits fähig war, ihre jeweiligen Opfer gezielt anzugreifen. Weniger als ein Jahr später tauchte in der Computerwelt die erste "richtige" Malware auf. In ihrem Gefolge ging man dazu über mit dem Terminus "Computer-Virus" ein Schadprogramm zu bezeichnen, das ausschliesslich dem Zweck dient, Daten zu zerstören oder Systeme zu korrumpieren.
 
Etwa Mitte der 80er Jahre kamen die ersten kommerziellen Antivirenlösungen auf den Markt.
 
Im Laufe der Zeit wurde die Malware azfgrund unterscheidlicher Verhaltensweise in verschiedene Kategorien eingeteilt. Ursprünglich war der Begriff "Virus" eine übergeordnete Bezeichnung für jedwede Form von Schadsoftware. Später grenzte man den Begriff auf diejenige Malware ein, die imstande ist Systeme gezielt zu attackieren. Diese Form der Malware ist allerdings nicht in der Lage sich selbst zu replizieren. Dies können nur die sogenannten "Würmern". Sie sind in der Lage Kopien ihrer selbst zu erstellen und sich auf diese Weise blitzartig in Computersystemen zu verbreiten. Die "Trojaner" wiederum geben vor, etwas anderes zu sein, beispielsweise ein Spiel oder eine legitime Software. In Wirklichkeit enthalten sie aber gefährlichen Schadcode.
 
Dazu kam in schneller Folge eine lange Reihe weiterer Begriffe, um die wachsende Zahl unterschiedlicher Attacken und Angriffsvektoren besser zu beschreiben. Dazu gehören Spyware, Scareware, Ransomware, Rootkits, Botnets und so weiter - alle inzwischen im Internet und darüber hinaus weit verbreitet.
 
Die 90er: Die eingebaute Schwachstelle und der erste Makro-Virus
Die Malware-Autoren fanden sehr schnell Mittel und Wege die bereits in der Computerarchitektur angelegten Schwachstellen auszunutzen. Eine der ersten Techniken dieser Art, die im Übrigen auch heute noch gerne verwendet wird, wurde erstmals 1988 beim Auftreten des Wurms "Morris" beobachtet. Der berüchtigte Wurm nutzte eine Buffer-Overflow-Attacke gegen BDS-Linux-Systeme, um sich weiter zu verbreiten. Bei einer Buffer-Overflow-Attacke werden so lange Daten in den Speicher eingeschrieben, bis dieser an seine Kapazitätsgrenzen kommt und in angrenzende Speicherbereiche überläuft. Der existierende Code kann anschliessend überschrieben in diesem neuen Speicherplatzbereich ausgeführt werden. Diese Technik ist auch heutzutage noch durchaus gebräuchlich, weil einige der gängigen Programmiersprachen keine Schutzmassnahmen haben, um solche Attacken zu vermeiden.
 
In den frühen 90ern lernte die Malware zusätzlich die Kunst des Ausweichens. Inzwischen war aus den Anfängen der Antivirensoftware ein boomendes Business geworden. Signaturen und Hash-Werte bekannter Bedrohungen wurden erfasst, um sie wiedererkennen und so Viren abblocken zu können. Die Antwort der anderen Seite liess nicht lange auf sich warten. Mark Washburn entwickelte die erste Familie polymorpher Viren. Diese Viren ändern ihr Erscheinungsbild von Generation zu Generation, indem sie sich praktisch jedes Mal neu schreiben. Die ursprünglichen Funktionen behalten sie bei. Dadurch, dass sich der Code kontinuierlich verändert, gelingt es dieser Virenart von Antivirensoftware weitgehend unentdeckt zu bleiben. "OneHalf" und "Ply" sind zwei Beispiele.
 
1995 erblickte dann der erste Makrovirus das Licht der Welt. Die Funktionsweise: Die Viren nutzen die Fähigkeit von Microsoft Word und Excel ausführbare Dateien, sogenannten "Makros", in Dokumente einzubinden. Diese Makros werden immer dann ausgeführt, wenn die Dokumente im zugehörigen Programm geöffnet werden. Solche Makros können eine ganze Reihe von schädlichen Aktivitäten in Gang setzen. Sie laden beispielsweise Malware herunter, steuern (Malware)-Websites an oder führen jede beliebige Aktion aus, die sich der betreffende Autor ausgedacht hat. Um solche Infektionen fürderhin zu vermeiden verzichtete Microsoft darauf, die Makro-Funktion per Default in Word und Excel zu aktivieren. Das half zwar zunächst, allerdings konnte man damit das Problem nicht vollständig in den Griff bekommen. Ein Beispiel ist die "Cridex"-Malware-Familie, die auch 20 Jahre später noch äusserst aktiv ist.
 
Mit dem Ende des Jahrtausends umspannte das Internet inzwischen den Globus weltweit. In den USA hatten bereits 50 Prozent aller Haushalte einen Computer und fast 50 Prozent verfügte über einen Internetanschluss. Damit waren die idealen Ausgangsbedingungen für Malware wie wir sie heute kennen geschaffen. Die Dekade der 90er brachte denn auch eine ganze Reihe folgenschwerer Attacken hervor, darunter den berüchtigten "Melissa"-Virus und den ersten Linux-Virus überhaupt, "Staog". Praktisch gleichzeitig wurde das Konzept der Botnets entwickelt. Mit entsprechender Malware infizierte PCs werden dabei zu Netzwerken verbunden, und die Hintermänner können auf deren Netzwerkanbindung und andere Ressourcen zugreifen. Die Botnets können dann für verschiedenste Zwecke, beispielsweise zum Versand von Spam oder Phishing-Mails missbraucht werden.
 
Nach dem Jahrtausendwechsel: Social Engineering und Slammer
In den frühen Jahren des neuen Jahrtausends machten sich besonders aggressive "Social-Engineering"-Strategien breit. Der "I Love You"-Wurm - auch als "Love Letter" bezeichnet - ist wohl eines der bekanntesten Beispiele. Der Wurm richtete mehr Schaden an als jemals ein Schädling zuvor. Bereits 15 Minuten nach der Erstinfektion waren Millionen von Computern weltweit ebenfalls infiziert. Im selben Jahr tritt auch Malware auf, die sich - wie beispielsweise der "Pikachu"-Virus - explizit an Kinder richtete. Das Thema Computer-Infektion erlangte weltweit so grosse Bedeutung, dass sich die Behörden genötigt sahen, erstmals im grösserem Stil polizeilich gegen Cyberkriminelle vorzugehen. Jan de Wit war im Februar des Jahres 2001 einer der ersten Hacker die verurteilt wurden. De Wit hatte den Code des "Anna-Kournikova"-Wurms geschrieben. Die zugehörige, massenhaft versendete E-Mail enthielt angeblich ein Foto der damaligen Star-Sportlerin. Jan de Wit kam öusserst glimpflich davon und wurde schlussendlich zu 150 Stunden gemeinnütziger Arbeit verurteilt.
 
2003 konnte dann die Internetgemeinde endgültig nicht mehr die Augen davor verschliessen, dass Computerviren gekommen waren um zu bleiben. Es war das Jahr, in dem der "SQL-Slammer" sein Debut feierte. Solche Slammer nutzen Schwachstellen in Microsofts SQL-Datenbank aus, um das System zu infizieren und sich weiter zu verbreiten. Innerhalb von 15 Minuten gelang es dem Slammer über eine Denial-of-Service-Attacke gegen zahlreiche Hosts, praktisch das komplette Internet kurzfristig in die Knie zu zwingen.
 
Konkurrenz belebt das Geschäft - Spam, MyDoom, Botnets
Mitte der 2000er gab es eine Vielzahl verschiedener Würmer, die im Internet kursierten. Das führte zu einem Konkurrenzkampf zwischen Malware-Autoren und verschiedenen Malware-Familien untereinander. Spam via E-Mail war ein grosses Geschäft geworden, mit dem Malware-Autoren gutes Geld verdienten. Sie brachten riesige Mengen unerwünschter E-Mails auf den Weg. Aufgrund der enormen Menge an verschickten Nachrichten reicht schon ein minimaler Prozentsatz an Käufern oder Anwendern, die auf den enthaltenen Link klicken, um ein einträgliches Verdienstmodell zu etablieren. Es existierten einige zentrale Botnetze, deren Zweck in nichts anderem bestand als Tonnen von unerwünschten E-Mails in die Posteingänge der Empfänger zu befördern.
 
Aber es gab noch ein Problem. Inzwischen befanden sich derart viele Malwarevarianten im Umlauf, dass ein und derselbe Rechner nicht selten gleichzeitig von unterschiedlichen Viren angegriffen wurde. Die Viren ringen in einem solchen Fall um die Kontrolle über den Host, was dazu führt, dass die betroffenen Systeme nur noch mit gedrosselter Leistung arbeiten. Das hatte dann einen quasi paradoxen Effekt. Denn der betreffende Rechner war weder für den legitimen Anwender noch für den Urheber des Virus nutzbar. Von dieser Situation hatte also keiner etwas.
 
Schlaue Würmer für's Web
Mit dem "Sasser"-Wurm änderte sich auch das. Er machte sich die Microsoft-eigene Sicherheits-Policy (LSASS) zu nutze, die ja eigentlich Systeme schützen sollte. Hatte es Sasser bis zu einem Host geschafft, suchte der Wurm von dort aus nach möglichen Konkurrenten wie "MyDoom" und"Bagle" und deinstallierte die unerwünschten Mitbewerber. Die frei gewordenen Ressourcen konnte Sasser für sich selbst in Anspruch nehmen. In schneller Folge begannen auch andere Malware-Typen damit, diese Funktionen zu integrieren.
 
Im selben Jahr schafften die Würmer den Sprung von den E-Mail-Postfächern ins Web. "Santy" wird im Allgemeinen als der erste Web-Wurm bezeichnet. Er nutzt einen phpBB-Fehler, um sich auf Webseiten zu verbreiten, welche die PHP Bulletin-Board-Software einsetzen. Hat der Wurm sich Zugang zu einer solchen Seite verschafft, benutzt er anschliessend Google, um weitere potenziell verwundbare Seiten zu finden und verbreitet sich so weiter.
 
Die Geburtsstunde des ersten Web-Wurms wurde allerdings von einem anderen berüchtigten Verwandten überschattet, dem "Storm"-Wurm. Im gelang es über eine der bislang effektivsten Social-Engineering-Attacken die Schadsoftware ans Ziel zu bringen. Der Wurm erreichte den Posteingang ursprünglich mit einer E-Mail-Nachricht, die vorgab wichtige Informationen zu einer drohenden Unwetter-Katastrophe zu enthalten. Der Betreff enthielt die Überschrift: "230 Tote aufgrund von verheerendem Sturm in Europa". Besorgte und interessierte Empfänger der betreffenden E-Mail klickten auf den Anhang, der angeblich ein Video zu den schockierenden Nachrichten enthalten sollte. Diese Vorgehensweise erwies sich als äusserst erfolgreich und Storm nutzte noch eine Reihe ganz ähnlicher Taktiken. Es dauerte etwas über ein Jahr bis der Schädling schliesslich vom Radar verschwand.
 
2008 bis heute: Malware kann überall sein
Malware hatte es jetzt geschafft - sie ist praktisch überall, selbst auf dem Mac OSX-Betriebssystem. Die speziell dafür geschriebene Malware brachte die Mac-Gemeinde dazu ihr "Macs haben keine Viren"-Credo noch zu überdenken.
 
Über vorinstallierte Malware in digitalen Bilderrahmen und auf Festplatten aus China erreichte die Schadsoftware auch die Ladenregale.
 
Etwa ab 2008 verbreiteten sich bösartige Würmer wie "Koobface" über Social-Media-Plattformen wie Facebook und MySpace. Malware hatte mittlerweile die Fähigkeit, Antivirenschutz auf den Zielrechnern zu entdecken und kurzerhand zu deinstallieren. Über diese Fähigkeit gelang der "Torping"-Malware-Familie eine der bisher grössten und erschreckendsten Masseninfektionen von Computern. 2008 war auch das Jahr des "Conficker"-Wurms, der ausschliesslich Microsoft-Systeme befällt. Innerhalb kürzester Zeit infizierte der Schädling über 15 Millionen Rechner weltweit.
 
Um den eigentlichen Standort des Command-and-Control-Servers zu verbergen, nutzte Conficker bei den Anfragen zufälli erzeugte Domains bis schlussendlich der Controller antwortete und neue Befehle ausgibt. Soviel Schaden Conficker auch angerichtet haben mag, hat er doch noch eine weitere beängstigende Eigenschaft. Nach der ursprünglichen Infektion verblieber nämlich quasi schlafend auf dem Host, und viele fragten sich, was der verstörend erfolgreichen neuen Malware-Art dort wohl als nächstes einfallen würde.
 
Die Profis: Behörden, Militärs und zielgerichtete Attacken
Nachdem man fünf unterschiedliche Varianten der Malware beobachtet hatte, verschwand sie schliesslich so schnell wie sie gekommen war. Forscher spekulierten darüber, dass es sich möglicherweise nur um ein Experiment gehandelt habe, um neue Funktionen zu testen und die Malware für einen späteren Zeitpunkt in Stellung zu bringen. Ebenso wurden Vermutungen laut, dass hinter Conficker möglicherweise eine Regierung stehen könnte.
 
Die Idee, dass sich auch Regierungen und Militärs einer Malware bedienen könnten, hatte ziemlich Konjunktur. Allerdings gab es bis zum Jahr 2010 noch keinen Beweis. Bis "Stuxnet" kam. Stuxnet wurde speziell auf ein Ziel hin entwickelt, nämlich als System zur Steuerung und Überwachung mit einer ganz bestimmten Hardware und Software. Über diese speicherprogrammierbare Steuerung konnten wichtige Ressourcen und Funktionen der Natanz Uranium Enrichment Facility im Iran massiv beschädigt werden. Im Laufe des Jahres tauchten noch einige Spin-offs von Stuxnet auf wie beispielsweise "Duqu", "Flame" oder der "Regin"-Trojaner. Die Welt hatte nun den Nachweis, dass von Regierungen gesponserte Attacken real und keinesfalls reine Theorie sind.
 
Das Jahrzehnt der Cyberbedrohungen
Heutzutage haben wir es mit zahlreichen Cyberbedrohungen zu tun und täglich schaffen es etliche davon in die Headlines. Mittlerweile verschanzen sich Unternehmen allerdings derart hinter mehrschichtigen Software- und Hardware-basierten Schutzwällen, dass der durchschnittliche Nutzer bisweilen abgestumpft ist gegenüber der Tatsache, dass diese Attacken wirklich permanent stattfinden.
 
Im September 2013 bekamen wir es mit "Cryptolocker "und seinen Abkömmlingen, "CryptoWall " und "CryptoDefense", und damit mit der sogenannten Ransomware zu tun. Diese Software dient nur dazu, die Opfer zu erpressen und von ihnen einen entsprechenden Geldbetrag einzufordern. Erst nach der Zahlung kann der hilflose Anwender, vielleicht, wieder auf seine böswillig verschlüsselten Dateien zugreifen. Ransomware gab es auch in der 80er Jahren schon, keine löste aber eine derartige Panik aus wie CryptoLocker und das durchaus zu recht. CryptoLocker verschlüsselt mit Hilfe starker Verschlüsselung praktisch jede Datei auf dem Zielrechner. Weder kann der Geschädigte auf die Dateien zugreifen noch sie wiederherstellen, ohne dass er den passenden privaten Schlüssel hat, um die Dateien wieder zu entschlüsseln. Selbst wenn es gelingt die eigentliche Infektion mit CryptoLocker erfolgreich zu beseitigen, die Dateien bleiben verschlüsselt und sind unbrauchbar.
 
Gerade jüngst haben Malware-Autoren erneut die Strategie gewechselt. Sie attackieren nicht mehr einzelne Nutzer, sondern immer öfter Unternehmen und andere Organisationen, zum Beispiel grosse Handelsketten. Anstatt mühsam zehntausende individuelle Rechner zu attackieren, ist es deutlich effektiver ein einzelnes System anzugreifen, in dem beispielsweise die Kontoinformationen und Zugangsdaten zehntausender Kunden gespeichert sind. Zur Zeit sind Point-of-Sale-Trojaner sicherlich eine der grössten Bedrohungen überhaupt und in aller Regel verlaufen diese Attacken ziemlich erfolgreich. Dazu reicht ein vergleichsweise simples Stückchen Code, dass auf dem betreffenden Zahlungsterminal-System eingeschleust wird. Einmal im System lassen sich sämtliche Kreditkarteninformationen kopieren, bündeln und in Massen zurück an die Hacker senden. Bei Angriffen auf diverse Handelsketten allein in diesem und im letzten Jahr sind hunderte Millionen persönlicher Daten und Informationen gestohlen worden.
 
Mit jeder neuen Cyberattacke lernen wir dazu, sowohl was die eigenen Verhaltensweisen anbelangt als auch in Bezug auf die IT-Sicherheitstechnologien, die wir einsetzen. Allerdings gilt das für Cyberattacken gleichermassen und die Entwicklung verläuft in wenig kalkulierbaren Sprüngen. Sich als Anwender selbstzufrieden zurückzulehnen ist kontraproduktiv. Jeder sollte sich mehr denn je bewusst sein, was zu tun ist, um das Unausweichliche wenigstens zu einem Gutteil zu verhindern beziehungsweise den Schaden in Grenzen zu halten. Es ist ziemlich unwahrscheinlich, dass die Attacken weniger werden, eher entwickeln sie sich weiter und Angreifer finden neue Wege wie sie am besten ihr Ziel erreichen. Jeder Nutzer sollte einigermassen auf dem Stand der Dinge sein, welche Arten von Bedrohungen es gibt und wie sie funktionieren; das kann ein nicht zu unterschätzender Vorteil sein, wenn man an zukünftige Formen von Cyberkriminalität und Malware-Attacken denkt. (Fred Touchette)
 
(Der Autor: Fred Touchette ist Security Analyst bei Appriver, einem Anbieter von E-Mail-Messaging und Web-Security- sowie Microsoft-365-Lösungen.)