Wie Makroviren entstehen

Der Malware Melting Pot

Peter Lahmann arbeitet seit 2002 in der IT-Sicherheit als Auditor und Berater und betreut heute das Sicherheitsmanagement von Kunden eines namhaften Cloud-Betreibers. Als Autor widmet er sich der Schnittstelle von unternehmerischen Anforderungen, Industriestandards und rechtlichen Rahmenwerken.
Die Serien von Cyber-Angriffen reißen nicht ab. Die Malware-Sorten "Dridex", "Emotet" und "BitPaymer" sind dabei alte Bekannte im immer neuen Gewand.
Mittlerweile sind im Internet Bausätze für das Zusammensetzen von Makroviren erhältlich.
Mittlerweile sind im Internet Bausätze für das Zusammensetzen von Makroviren erhältlich.
Foto: fotogestoeber - shutterstock.com

Deutsche Industrie-Unternehmen sind immer wieder von Cyber-Angriffen betroffen. Erst Mitte Oktober war ein Hersteller von Relais und Sensoren für mehr als eine Woche lang lahmgelegt. Betroffen waren PC-Arbeitsplätze, Bestellsysteme und die gesamte Kommunikation an allen weltweit 76 Standorten. Als Ursache der Infektion konnte die "BitPaymer"-Ransomware ausgemacht werden.

Bereits Anfang 2019 hatte die EU Agentur für Cybersecurity (ENISA) eine Meldung über die vermutete Zusammenarbeit von Cyberkriminellen veröffentlicht. Die Analysen verschiedener Malware-Familien deuten darauf hin, dass deren Urheber in einem Wissensaustausch stehen. Auffällige Gemeinsamkeiten wurden dabei u.a. in den Malware-Sorten "Dridex", "Emotet" und auch besagter "BitPaymer" festgestellt. Gerade "Dridex" und "Emotet" zählen zu den Banking-Trojanern, die es auf die Login-Informationen des Online-Bankings abgesehen haben.

Die meisten Malware-Sorten wie "Dridex" fassen eine Reihe von schädlichen Routinen und Techniken zusammen. Mit diesen Mitteln können Angreifer einen befallenen Rechner ausspionieren und die so gewonnenen Informationen über ein Botnetz absaugen. Mit zusätzlichen Programmzeilen kann verhindert werden, dass der installierte Schadcode erkannt wird. Ein Kernelement von "Dridex" ist ein Makrovirus. Als Makrovirus ist der Verbreitungsweg weitgehend vorherbestimmt. Die wohl bekanntesten Anwendungen, die immer wieder von Makroviren betroffen ist, ist "Microsoft Word".

Durch die gemeinsame Nutzung von infizierten Dokumenten kann sich die MalwareMalware relativ schnell ausbreiten. Ein typischer Weg ist die über einen E-Mail-Anhang. Eine andere gängige Masche ist das Versenden von Hyperlinks, über die infizierte HTML-Dokumente aus dem Internet heruntergeladen werden sollen. Angriffsvehikel sind aber auch "Excel"-Tabellen, der "Adobe Reader" mit PDF-Dokumenten, Zip-Dateien oder JavaScript Code im Internet. Häufig werden die schadhaften Dateien auch hinter gefälschten Dateiendungen, etwa vom Bildformat JPEG, verborgen. Sobald der Nutzer dazu gebracht wurde das Makro zu aktivieren, wird auf dem Rechner die bösartige Nutzlast implementiert. Alles zu Malware auf CIO.de

Makrosprachen

Viele Makroviren basieren auf der Makrosprache Visual Basic Script (VBS). VBS ist eine einfache Variante von Visual Basic for Applications (VBA). Eingeführt wurde das Skript zusammen mit dem Windows Scripting Host (WSH) des Betriebssystems Microsoft Windows 98 und dem Internet Explorer 5.0. Von den heute aktuellen "Microsoft"-Betriebssystemen wie Windows 7, 8 oder Windows 10 wird das Rahmenwerk weiterhin unterstützt.

Die installierte Malware auf dem befallenen Rechner fungiert zunächst als "Dropper", über die Software jeglicher Art hoch- und runtergeladen oder ausgeführt werden kann. Im lokalen Computer eines angegriffenen Bankkunden können über Keylogger die Login-Informationen des Online-Bankings mitgeschrieben werden.

Über das Botnetz gehen die Informationen an den Command-and-Control-Server (C&C) des Angreifers. Dies kann auch sämtliche Daten einer 2-Faktor-Authentifizierung nach der neuen EU -Richtlinie PSD2 umfassen. Oder die Screenshots von den Bildern und Videos auf dem Webbrowser. Als weitere über das Botnetz eingeschleuste Malware nennt die ENSIA beispielsweise "Locky" und "BitPaymer". Beides ist Ransomware. Bei Ransomware versprechen die Angreifer einen angerichteten Schaden nach Zahlung eines Lösegeldes zu beheben. Den Schaden stellen regelmäßig verschlüsselte Dateien auf den angegriffenen Computersystemen dar, die über das Botnet gesteuert wird.

Der Marktplatz der Malware

Nach der Meldung der ENISA rücken die Programmierer der Malware immer näher zusammen. Aber auch das IT-Verhalten der Angegriffenen, privat und in Betrieben, ähnelt sich zunehmend. Die Dominanz von wenigen Hard-, Software- und Social-Media-Plattformen und Netzwerken ist ungebrochen. Unternehmen und Privatpersonen verwenden die immer gleichen Routinen. Ein Paradebeispiel ist gerade die übliche E-Mail-Korrespondenz mit makrofähigen Dokumenten in der Anlage.

Makros sollen auch ohne größere Programmierkenntnisse auf Dokumente gestanzt werden können. Dazu werden Makrosprachen zunehmend einheitlich. Einzelne Makrosprache soll auf möglichst vielen Anwendungen verwertbar sein. Dies ist für gutgemeinte Programmierungen eine durchaus sinnvolle Entwicklung. Es begünstigt auf der anderen Seite aber auch die Migration von Viren zwischen vielen verschiedenen Anwendungen.

Zum besseren Verständnis verwenden die Makrosprachen Anweisungen in den unterschiedlichsten Landessprachen. Mit dieser Funktionalität können allerdings auch Makroviren sprachspezifisch auf bestimmte Regionen zugeschnitten werden. Neuere Versionen von Makrosprachen bieten aber auch die Option von sprachunabhängigen oder automatisch übersetzen Makro-Anweisungen. Diese Vereinfachungen helfen sowohl gut- als auch böswilligen Programmierern.

Um die Situation noch weiter zu vereinfachen, sind im Internet Bausätze für das Zusammensetzen von Makroviren erhältlich. Für solche Marktplätze bietet das Darknet ein augenscheinlich gutes Forum. Das Darknet umfasst verschlüsselte Teile auf dem Internet. So werden Netzbereiche gebildet, die mit entsprechenden Webbrowsern ein anonymes Surfen versprechen. Das kann auch illegale Aktivitäten beinhalten.

Jedermann kann sich ein eigenes Bild machen, wie gut sich ein selbstgebauter Computer-Virus vor Virenschutzprogrammen verbergen kann. Mit "VirusTotal" stellt "Google" dafür ein kostenloses Portal online. Interessierte können dort Dateien hochladen und von über 70 Antivirenprogrammen und Malwarescannern analysieren lassen. Es gibt Belege, wonach Malware-Bauer von diesem Tool fleißig Gebrauch machen.

Es soll sich nun einmal angeschaut werden, was über die "Dridex"-Akteure bekannt geworden ist. Es ist der Beginn einer kleinen Weltreise.

Die Fälle

Im Februar 2016 ging der Cyber-Überfall auf die Zentralbank von Bangladesch durch die Schlagzeilen. Letztendlich verschwanden 101 Millionen US Dollar von den New Yorker Konten der Bank nach Sri Lanka und auf die Philippinen. Ermittler vermuten, dass ein mit "Dridex" gestohlener Login der Ausgangspunkt der falschen Überweisungen war. Auf der Suche nach den Urhebern ermittelten Bundesanwälte in den USA auch in Richtung Nordkoreas. Zudem sollen chinesische Mittelsmänner beim Geldtransfer geholfen haben.

Ähnlich multinational war eine Epidemie mit dem Dridex-Vorgänger "Bugat" ab dem Jahr 2014. In einiger Hinsicht ist der daraus resultierende Kriminalfall bemerkenswert. Wie so oft hat sich die Epidemie den Weg über E-Mail-Anhänge gebahnt. Über Spracheinstellungen und ein über den Webbrowser ausgelöstes Popup-Fenster wurde dabei besonders auf Surfer in den USA und Großbritannien abgezielt.

Im August 2015 wurde der Strippenzieher der Virenwelle während seines Urlaubs auf Zypern verhaftet. Der moldawische Staatsbürger, alias "Smilex", war damals Ende 20 und Miteigentümer einer Tankstellenfirma. Im Februar 2016 wurde er an die USA ausgeliefert. Noch nicht üblich für Cyber-Ermittlungen haben hier das FBI und die Gesetzeshüter aus Großbritannien eng kooperiert. Im Dezember 2018 schließlich wurde der Angeklagte vor einem US-Bundesgericht für schuldig befunden. Die Richter sahen die Tatbestände der Verschwörung und der Beschädigung von Computern mit dem Tatmittel eines Botnetz als erwiesen an. Nach einer Absprache mit den Staatsanwälten wurde der Verurteilte direkt aus dem Gefängnis abgeschoben. Die Strafe galt mit der U-Haft abgegolten. Die Strafe hätte jedenfalls auch bedeutend höher ausfallen können.

Möglicherweise wollten die Ermittlungsbehörden im Rahmen des Prozesses vermeiden, zu viel von ihren Ermittlungsmethoden offenzulegen. Dies war jedenfalls Anfang 2017 vor einem US-Bundesgericht in Washington State der Fall, als eine Anklage wegen der Nutzung von Kinderpornos fallengelassen wurde. Um die Klage aufrechtzuerhalten, hätten die Ermittler die Techniken offenbaren müssen, wie sie im Tor-Netzwerk des Darknets die Beweise gegen den Angeklagten gesammelt haben.

Cui Bono?

Die von der ENISA gemeldete Zusammenarbeit der Malware-Bauer hätte einige Vorteile. Die verschiedenen Fähigkeiten der Designer kann optimal eingesetzt werden. Die Bereitstellungszeit wird verkürzt. Mit Peer-Review-Prüfungen unter Gleichgesinnten können Kodierungsfehler reduziert oder ganz vermieden werden. Die Effizienz steigt mit der Kollaboration.

Mit bestehenden Tools können leistungsstarke Out-of-the-Box-Pakete geschnürt werden. Schlankere Programme können zudem leichter einer Entdeckung entgehen. Damit liegen in der Zusammenarbeit die gleichen Triebfedern, die auch die Ingenieure in multinationalen Konzernen oder die akademische Welt antreibt. Es wäre wohl naiv anzunehmen, dass in diesen Malware-Foren nicht auch die entsprechenden Geheimdienste mitschreiben, wenn nicht sogar manchmal federführend sind.

Die Enthüllungen von Edward Snowden machen diese Vermutungen durchaus plausibel. Dazu gehören die Hinweise, dass die NSA das Tor-Netzwerk unterwandert und die Sicherheitslücken verschiedener Computerhersteller sammelt. So werden die Malware-Foren zu einer Werkstatt, wo Computer-Liebhabern, Mafiosi und eben auch Geheimdienstler aus aller Herren anonym und einträchtig zusammenarbeiten. Einiges spricht jedenfalls für eine gewisse Seriosität bei den Erbauern von "Dridex". Nach Erkenntnissen von Sicherheitsforschern von "Symantec" soll die Gruppe in vielerlei Hinsicht ähnliche Routinen wie ein gewöhnliches Unternehmen aufweisen. So ist etwa die Arbeitswoche von Montag bis Freitag mit normalen Bürozeiten. Und Weihnachten ist frei.

In den westlichen Volkswirtschaften spielen elektronische Geldüberweisungen eine große Rolle. Mit einzelnen gefälschten Überweisungen können sich einzelne bereichern. Eine Motivation also, so alt wie die Menschheit. Eine Schwemme von gefälschten Überweisungen kann jedoch den gesamten Zahlungsverkehr einer Volkswirtschaft massiv schaden.

Zu dem finanziellen Schaden kommt der Vertrauensverlust in den Finanzsektor und vielleicht sogar die eigene Währung. Selbst das internationale Finanzsystem kann dadurch destabilisiert werden. Ein solcher Angriff kann so zweifelsohne die Ouvertüre oder Begleitmusik eines kriegerischen Akts sein. Und da kommen wieder die Geheimdienste ins Spiel.

Zur Startseite