Den Spruch kennen wir ja nun schon.
Um dieses "plötzlich..." in Zukunft zu vermeiden, gibt es hier am Ende
der Seite noch jede
Menge Anschauungsmaterial in Form einer Serie, die dokumentiert wie Spam
funktioniert.
Mit den entsprechenden Kommentaren und Hinweisen auf typische Merkmale von
gefährlichen E-Mails, sollte sich das Restrisiko deutlich reduzieren
lassen.
Wir werden unterscheiden zwischen lästiger
Werbung (Junk
Mail) und E-Mails die uns zu verschiedenen Zwecken auf
unbekannte Webseiten führen wollen, bzw. Mails die Anhänge enthalten,
mit denen man seinen Computer mit
Malware infiziert.
In meiner 79 E-Mails großen Sammlung sind 34 mit schädlichen Anhängen,
davon sind knapp 30 Trojaner!
Da also die meisten gefährlichen Dateianhänge Trojaner sind, gehe ich hier
vor der Serie noch speziell auf die Risiken und Möglichkeiten ein, die sie
mit sich bringen.
Insgesamt sind Trojaner zu knapp 70 Prozent unter den digitalen
Schädlingen vertreten.
Daher machen wir hier noch einen kleinen Ausflug,
der auch Infektionsrisiken auf anderen Wegen beschreibt, als nur den per
E-Mail.
Ein Trojaner ist so ziemlich das
Unangenehmste, was man sich an digitalen Schädlingen einfangen kann.
Allein die Möglichkeiten die ein Trojaner seinem Benutzer bietet. sind
gewaltig. Vom Schaden den man damit anrichten kann ganz zu schweigen.
Grundsätzlich ist ein Trojaner DAS Werkzeug um fremde Systeme zu kapern,
auszuspionieren, Daten zu stehlen und fremde Rechner oder Netzwerke zur
Verschleierung der eigenen Identität einzuspannen oder sie zu
manipulieren.
Ein
Trojaner besteht immer aus mindestens zwei Komponenten: Dem Server, mit dem der
angegriffene Rechner manipuliert und ausspioniert wird und dem Client. Mit dem
verschafft sich der Angreifer Zugang und kann dann Funktionen des Opfer-Rechners
manipulieren oder einen Keylogger aufrufen. Weitere Bestandteile können
Dropper,
Keylogger oder eine
Backdoor sein
Ursprünglich war "der Trojaner" als Administrationstool gedacht. Beispiel:
Die Sekretärin einer Firma in Kiel hat ein Problem mit ihrem Computer. Der
Administrator sitzt in Stuttgart, kann also nicht eben mal nach Kiel
fahren um das Problem zu beheben. Nun ruft unsere Sekretärin den Admin an
und der loggt sich von seinem Rechner aus, in den Computer in Kiel ein. Er
kann sich den Desktop der Sekretärin auf seinem Rechner anzeigen lassen
und hat nun Vollzugriff auf deren Rechner.
Unter Windows muss der Zugriff durch Tool "Remote Control" vom User
freigegeben werden, bevor ein anderer darüber den Rechner fern bedienen
kann. Der Administrator hat dafür Zugangsdaten, er muss nicht fragen.
Mit einem Trojaner wird einem
Rechner (oder Server) eine solche Hintertür vom Besitzer (oder Admin)
unbemerkt untergeschoben - gezielt oder auch zufällig, das ist dabei egal.
Wird der Trojaner ausgeführt und das System infiziert, sendet der Trojaner
(jedes Mal wenn der Rechner online ist) eine Nachricht an denjenigen, der
ihn steuert.
Das kann auch ein entsprechend programmierter Server sein! Es kommt auf
den Zweck an, der mit dem Trojaner verfolgt wird.
"Die andere Seite" findet in der Nachricht die aktuelle IP des
Zielrechners (Opfer) und kann ihn so lokalisieren. Mit weiteren Angaben zu
freien Ports findet der Trojaner eine offene Tür. Nun hat man
unerwünschten Besuch auf seinem Rechner (oder Server).
Egal ob Mensch oder illegaler Server, "die andere Seite" kann nun auf dem
gekaperten Rechner Schalten und Walten wie sie will.
Im allerschlimmsten Fall gibt der Hacker die Zugangsdaten zu seinem Opfer
an andere weiter.
Dann wird aus dem Rechner ein Bahnhof in dem jeder kommen und gehen kann.
Das "worest case scenario"
Ist die Infektion wegen einer Sicherheitslücke oder mangelnder Vorsicht
gelungen (oder weil der Schädling noch ganz neu und den Herstellern von
Sicherheitssoftware nicht bekannt ist) kommt der Trojaner nicht nur an der
Sicherheitssoftware vorbei, er hält ihr auch sprichwörtlich die Augen zu.
Dazu nistet er sich auch in Systemdateien ein und versteckt seine
Prozessaktivitäten vor dem Windows Taskmanager. Er lässt sich bei
laufendem System nicht ausschalten oder löschen. Er "beobachtet" seine
Umgebung durch Zugriff auf die Prozessliste und kann sogar vor
Virenscannern verschwinden. Dazu schreiben sich manche Trojaner von
alleine in andere Verzeichnisse, wenn sie Gefahr laufen gefunden zu
werden. Das sind die Gemeinsamkeiten mit einem Virus. Diese Kombination
von Funktionen zum Selbstschutz versteht sich unter dem Begriff "Rootkit"
Um einen Trojaner an einem Virenscanner vorbei zu schleusen, gibt es auch
sog. Binder Tools. Damit lässt sich z.B. beim Kopieren einer Software CD
die Trojanerinstallation gleich in die eigentliche Software einbauen. Der
Trojaner wird einfach "unter dem Deckmantel" eines gewollten Programms mit
eingeschleppt.
Es können Dateien auf dem
Opfer-Rechner hinzugefügt oder gelöscht werden.
Beispiele: Die eigene mp3- oder Fotosammlung ist plötzlich weg. Nicht in
den Papierkorb gelöscht, sondern unwiederbringlich weg. Futsch.
Oder man findet plötzlich Sachen auf dem eigenen Rechner, von denen man
nicht weiß wie sie da hin gekommen sind. Z.B. könnte der Rechner benutzt
werden, um ihn als
Node in einem p2p-Netzwerk zu missbrauchen und
urheberrechtlich geschütztes Material zu teilen. Das könnten auch Filme
sein, die es gar nicht geben sollte. Kinderpornografie oder Snuff Movies.
Hier stünde man früher oder später auch im Visier von Ermittlungen.
Ebenso unangenehm können eigene Fotos oder Videos sein, die plötzlich im
Internet auftauchen - nachdem sie vom eigenen Rechner gestohlen wurden.
Mit vollständigen Personendaten kann man im Internet auch im großen Stil
finanziellen Schaden anrichten.
Hier sollte dem Benutzer auffallen wenn
seine Internetleitung ständig ausgelastet ist. Im Taskmanager ist die
Netzwerkauslastung sichtbar. Wenn man selbst keine Massen von Daten sendet
oder empfängt, sollte man sich überlegen wie der Datenverkehr zustande
kommt und den Rechner auf Schädlingsbefall prüfen. Am besten indem man die
Festplatte extern an einen "sauberen" Rechner anschließt und sie von dort
mit einem aktuellen Virenscanner prüft.
Nach der Diagnose "Trojanerbefall" MUSS
das Betriebssystem neu aufgesetzt werden!
Ein Trojaner
"durchlöchert" das System wie einen Schweizer Käse. Er hinterlässt offene
Ports, die auch von anderen Angreifern genutzt werden können, wenn der
Trojaner schon beseitigt wurde! Kein wenn und aber - Windows muss neu
installiert werden!
Weitere Features eines Trojaners:
Zu fast jedem Trojaner gehört ein
Keylogger. Das ist eine kleine Textdatei. In dieser werden alle
Tastatureingaben und aufgerufene Internetseiten gespeichert.
Die Datei kann gezielt auf bestimmte Inhalte durchsucht werden --> Datei
--> Suchen.
Ein Beispiel für das, was man darin finden kann:
www.ebay.de
Steht in der nächste Zeile
https://signin.ebay.de dann wissen wir, dass sich jemand in seinen
eBay-Accont eingeloggt hat. Und was dann kommt, ist keine Überraschung
mehr.
Die erste Eingabe ist der Mitgliedsname und danach kommt das Passwort -
das sehen wir im Keylogger im Klartext!
Wir haben gerade die vollständigen Zugangsdaten zu einem eBay-Account
gefunden.
Neugierig suchen wir jetzt in "meine Daten" bei eBay nach der
E-Mail-Adresse die dort hinterlegt ist. Die kopieren wir in die
Zwischenablage und fügen sie in die Suche des Textdokument ein.
Hat unser Opfer richtig Pech, finden wir als nächstes das: "www.web.de"
und danach "ebaymember@web.de"
gefolgt von "Pfefferstreuer2008".
Jetzt haben wir auch die Zugangsdaten zu dem E-Mail-Postfach das zu eBay
gehört. Auf die Möglichkeiten bei eBay Missbrauch zu betreiben gehe ich
nicht weiter ein.
Der Hacker hat aber jetzt zwei Möglichkeiten. Er kann stiller Beobachter
bleiben oder den User raus werfen.
Dann ändert er zuerst das Passwort für "ebaymember@web.de"
- der User kommt da schon mal nicht mehr ohne weiteres ran.
Und dann das eBay-Passwort und auch die E-Mail-Adresse die bei eBay
gespeichert war.
Jetzt hat ein Hacker durch den Trojaner E-Mails und eBay in der Hand. Er
kann machen was er will.
Eine solche Datensammlung wird früher oder später Angriffsziele für
Datendiebe liefern und damit letztendlich auch finanziellen Schaden nach
sich ziehen.
Ein reiner Spionageangriff (der eher gezielt ausgeführt wird) wäre hier
das kleinere Übel.
Inzwischen sollte JEDEM (also auch denen
die nichts zu verbergen haben) klar sein, dass ein Trojaner kein Spaß ist.
Vollzugriff zu haben bedeutet weiter, dass man laufende Webcams ins
Internet streamen oder aufzeichnen kann. Alle Aktivitäten die am Monitor
sichtbar sind, können aufgezeichnet werden. Also auch die Nutzung von
Bildschirmtastaturen!
Der Hacker kann den Zielrechner auch herunterfahren wenn es ihm gefällt.
Das Bild auf den Kopf stellen, die Lautstärke ändern, einen Film starten,
ein Dokument oder eine Seite schließen.
Über einen Trojaner kann ein
Fremder alles am Rechner machen, was wir auch können
vielleicht davon abgesehen, dass er den Monitor nicht vom Tisch werfen
oder das Notebook zuklappen kann. Und wenn man richtig Pech hat, merkt man
lange Zeit nichts davon.
DESHALB
sollte es jedem wichtig sein, zu wissen wie
man sich gegen Malware schützt.
Eine zufällige Infektion durch eine E-Mail von einem unbekannten Absender,
wird im Regelfall zum Ziel haben, den Benutzer um sein Geld zu bringen
oder seine Daten zu stehlen.
Neben dem Bundestrojaner, könnte man auch von einem Bekannten ein Trojaner
untergejubelt nekoen, der keine monetären Absichten verfolgt.
Neugier hat schon einige Leute für einen Hack vor einem Richter antreten
lassen.
Wer z.B. unter Windows mit dem Autostart arbeitet, sollte das IMMER nur
aus einem eingeschränkten Benutzerkonto tun. Warum?
Beispiel: Wir bekommen eine CD mit mp3 oder Fotos. Auf der CD befindet
sich aber auch ein Trojaner (ein relativ kleines Dateipaket das hier nicht
auffallen würde).
Das Dateisymbol für die Installationsdatei des Trojaners kann man beliebig
ändern.
Auf Dateisymbole sollte man sich keinesfalls verlassen - die sind zu
leicht zu manipulieren! Wenn ich z.B. weiß das mein Opfer seine mp3 immer mit winamp
abspielt, wähle ich das Symbol von winamp. Öffnet mein Opfer seine Fotos
immer mit der "Windows Bild & Fax Anzeige", vergebe ich das Windowssymbol
für jpg-Dateien. So wird der Trojaner optisch "eingereiht". Als Dateinamen
noch ein flottes "Dance with me", "Ballermann_2014.05.21" oder ähnlich
unauffälliges und fertig.
Zusätzlich befindet sich auf der CD eine Datei namens
autorun.inf. Diese Datei wird beim Windows Autostart als erste
ausgelesen wenn eine CD oder ein Wechseldatenträger (Speicherkarte,
USB-Stick) gefunden werden. In dieser Datei steht nun z.B. folgender
Befehlstext:
[AutoRun]
open=Dance with me.exe
icon=winamp.ico
action=Programm starten
Der Rechner startet automatisch die
angegebene Datei - und das wäre in dem Fall die Installation des
Trojaners. Dann ist es zu spät. Der Trojaner benötigt keinen Neustart :-(
Besonders einfach macht es uns unser Opfer, wenn es die Dateiendungen
nicht anzeigen lässt. Dann ist bei unserem Beispiel nämlich die Endung .exe
nicht mehr zu sehen.
Die kann man auch verschleiern, indem man den Dateinamen so lang wählt,
dass er nicht mehr bis zum Ende angezeigt wird. Zum Beispiel würde der
Dateiname
dance.with.me_gwen.stefani_top.fuenfzig_2014_Juli_charts_deutschland.exe
dann im Explorer so angezeigt
dance.with.me
_gwen.stefani_
top.fuenfzig
_2014_Juli
das Ende mit dem verräterischen .exe ist nicht zu sehen. Man kann aber
einfach mal rechts draufklicken und "umbenennen" wählen. Dann wird der
Name komplett angezeigt und rettet den User vor einer Dummheit. Aber NUR
"umbenennen"... keine blöden Sachen machen!
Ein Flash Speicher (Speicherkarte, USB-Stick) hat hier noch einen weiteren
Vorteil für den Bösewicht. Die Installationsdatei kann bei der
Konfiguration auch mit der Funktion "melt" versehen werden. Dann löscht
der Trojaner nach seiner Installation zuerst seinen Installer und damit
Spuren und Beweise zu seiner Herkunft.
Bei Verdacht auf eine Trojanerinfektion ist
das oberste Gebot: Sofort die
Netzwerkverbindung trennen!!!
Netzwerkkabel rausziehen oder am Router die W-LAN-Funktion ausschalten, je
nach dem. Ich würde mich hier nicht darauf verlassen, dass am Rechner die
W-LAN-Verbindung wirklich getrennt ist, nur weil es so aussieht!
Kommen wir jetzt zur Serie "E-Mails mit dubiosen Absichten", bitte einmal
hier
klicken.
(Die Serie ist noch im Aufbau, es kommen immer wieder neue Seiten dazu)