Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
Dezember 2008
19.12.2008 Keylogger-Studie
zurück zum Verweis zur nächsten Überschrift Gegenspionage wider 'ZeuS' und 'Nethell'
   
ZeuS/Zbot/Wsnpoem.
Diese Malware-Familie nutzt Spam-Mails zum Angriff, die eine Kopie des Keyloggers als Anlage enthalten. Die E-Mails verwenden gleichartige Social Engineering-Tricks, indem sie z.B. eine elektronische Rechnung vorzugeben, um das Opfer zu verleiten, die Anlage zu öffnen die Anlage.
Im Gegensatz zu Limbo, die eher einfache Techniken verwendet, um Anmeldeinformationen zu stehlen, ist ZeuS technisch weiter entwickelt: Die Malware infiziert den Arbeitsspeicher und versteckt seine Anwesenheit. Sobald sie erfolgreich den Internet Explorer injiziert hat, beginnt sie die HTTP-POST-Abfragen über Anmeldeinformationen zu beobachten. Diese Malware stiehlt auch Informationen aus Cookies und dem geschützten Speicher. Alle gesammelten Informationen wird in regelmäßigen Abständen an der Dropzone über HTTP-Anforderungen gesendet, die den Harvesting-Kanal bildet.
In der Dropzone arbeitet ein Webserver selbst ist als einer web-Anwendung, der die gestohlenen Anmeldeinformationen entweder im Dateisystem oder in einer Datenbank speichert. (5)
Fortsetzung
 

 
Ein Team um den Honeynet-Spezialisten Thorsten Holz von der Universität Mannheim hat eine Fallstudie (1) zu Bank-Trojanern, Keyloggern und deren Datensammelstellen (Dropzones) veröffentlicht. (2) Sie konzentrieren sich auf zwei populäre Malware-Familien, ZeuS und Nethell, die auf das Ausspähen von Daten spezialisiert sind (3), ohne gleichzeitig den Homebanking-Vorgang zu manipulieren (4). ZeuS verbreitet sich als E-Mail-Anhang und infiziert die Arbeitsprozesse im PC (7). Nethell dringt hingegen über infizierte Webseiten ein und missbraucht den Browser unmittelbar (8).

Bei der 7-monatigen Erhebung hat das Team mehr als 220.000 Zugangs-Datensätze und 350 Dropzones (9) (10) gefunden, von denen sie jedoch nur ein Fünftel auswerten konnten (11). Sie fanden 10.775 Kontendaten für das Homebanking und 2.263 Zugangsdaten zu PayPal-Konten (12).

Die wirkliche Masse der gestohlenen Zugangsdaten machen mit fast 150.000 Datensätzen Passwörter für Freemail-Angebote wie jene von AOL, Google, Microsoft oder Yahoo aus. Dazu kommen weitere Daten wie Identitäten für soziale Netzwerke, komplette Kreditkarten-Informationen oder Account-Daten für Auktionsplattformen. (10) Darunter fanden sich auch mehr als 10.000 Bankkontodaten inklusive PINs, mehr als 140.000 E-Mail-Passwörter und fast 80.000 Zugangsdaten zu Social-Networking-Seiten wie Facebook und Hi5. (2)
 

 
Den Keylogger Limbo hat das Team einer näheren Analyse unterzogen. Insgesamt beobachteten sie rund 164.000 Infektionen mit dem Schädling, wobei der Keylogger den größten Teil der gesammelten Daten in zwei chinesischen Dropzones hinterlegte. 16 Prozent der Infektionen waren Russland zuzuordnen, 14 Prozent den USA, 13 Prozent Spanien, 12 Prozent Großbritannien und immerhin rund 7 Prozent Deutschland. (2)

schätzt die Gefahr, die von den ausgespähten Daten ausgeht, für die meisten deutschen Bankkunden als gering ein, wenn sie das iTan-Verfahren über verschlüsselte Verbindungen verwenden (13), das fast ausnahmslos eingeführt ist. Das trifft im Hinblick auf das Phishing und die direkte Manipulation beim Homebanking zu, nicht aber wegen betrügerischer Missbräuche im Zusammenhang mit dem Lastschriftverfahren (14). Dazu werden nur die reinen Kontodaten ohne PIN und TAN benötigt. Dem Missbrauch des SEPA-Verfahrens ist damit ein guter Nährboden bereitet (15).
  

zurück zum Verweis Schwarzmarkt sicheres Homebanking
   
Limbo/Nethell.
Diese Malware-Familie verwendet infizierte Websiten und den Drive-by-Download als Angriffsmethode für die Infektion des Opfers, das mit Überredungstricks auf die Webseite gelockt wurde.
Die Malware selbst ist als ein Browser Helper Objekt - BHO, also ein Plugin für den Internet Explorer, das auf Browser-Aktivitäten wie Navigation, Tastenanschläge und Seitenaufrufe reagiert. Mit Hilfe der Schnittstelle, die der Browser liefert, kann Limbo Zugriff auf das Document Object Model - DOM - der aktuellen Seite zugreifen und sensible Bereiche wie Anmeldeinformationen (form grabbing) überwachen und kopieren.
Die Malware bietet einen flexiblen Einsatz, der in Laufzeit konfiguriert werden kann.  Beim Starten kontaktiert die Malware die Dropzone um die aktuellen Konfigurationsoptionen von dort abzurufen. Außerdem hat diese Malware die Fähigkeit, Informationen aus den geschützten Speicher zu extrahieren, um Cookies zu stehlen. (6)
 


Je nach Liquidität ist ein Bankkonto für 10 bis 1000 US-Dollar zu haben. Kreditkarten scheinen langsam zu Ramschware zu verkommen: Bereits für 40 US-Cent kann man die Daten einer Karte kaufen. E-Mail-Passwörter nehmen an Wert zu und kosten zwischen 4 und 30 US-Dollar. (16)

Insgesamt würden die von den Forschern gefundenen Daten auf dem Schwarzmarkt irgendwo zwischen knapp 800.000 und etwas mehr als 16,6 Mio. Dollar bringen. Für Cyberkriminelle sind die Keylogger damit sehr lohnend, denn die Investitionskosten sind gering. "Das komplette ZeuS-Kit ist auf dem Schwarzmarkt für etwa 2000 bis 3000 Dollar erhältlich", erklärt Holz. (17)

Diese Einschätzungen bestätigen die Zahlen, die Symantec noch im November 2008 vorgestellt hat (18). Danach sollen im vergangenen Jahr im Internet gestohlene Dienste und Waren im Gesamtwert von 276 Millionen US-Dollar angeboten worden sein. Die Cybercrime entwickelt sich zum lukrativen Geschäft und sucht neue Wege, um sich wirtschaftlich effektiv aufzustellen.
 

 
Über die auch im Cyberfahnder vorgestellten Banking-Trojaner (19) berichtet Daniel Bachfeld in (20): Solche Trojaner bauen eigene Verbindungen zum Online-Banking des Kunden auf und nehmen mit einer abgeluchsten TAN eigene Überweisungen vor. Dabei präsentieren sie dem Anwender im Browser nachgemachte Banking-Seiten. Der Trojaner Win32.Banker.ohq soll beispielsweise laut dem Antiviren-Spezialisten Kaspersky 56 Bankenseiten imitieren können.

Bachfeld widmet sich besonders der Sicherheit des Homebankings, geht auf TAN, iTAN (21), eTAN (22) und mTAN (23) sowie auf Kartensysteme ein (24). Eine lesenswerte Zusammenfassung, die in eine Empfehlung für Bankix mündet (25).

Dieser Artikel enthält 25 Fußnoten, 5 Links zu fremden Webseiten und 21 Links zu anderen Seiten im Cyberfahnder. Der Index enthält 25 Verweise zu ihm.

Eine aufwändige Seite.
 

zurück zum Verweis Anmerkungen
 


(1) Thorsten Holz, Markus Engelberth, Felix Freiling, Learning More About the Underground Economy: A Case-Study of Keyloggers and Dropzones, Uni Mannheim 18.12.2008 (englisch)

(2) Keylogger unter die Lupe genommen, Heise Security 18.12.2008

(3) Missbrauch fremder Identitäten. Carding

(4) neue Methode gegen Homebanking-Malware, Phishing mit Homebanking-Malware

(5) freie Übersetzung von S. 7 der Studie;
Harvest ~ sinngemäß "Ernte"

(6) freie Übersetzung von S. 8 der Studie

(7) gewandelte Angriffe aus dem Netz

(8) SQL-Würmer, Massenhacks von Webseiten werden zur Plage

(9)  Drop Zones. Carder, kriminelle Unternehmer

(10) Kriminelle verdienen kräftig an Keyloggern, tecchannel 19.12.2008

(11) Passwort-Diebstahl bei PayPal und Webmail am häufigsten, diepresse.com 19.12.2008
 

 
(12) Quelle: siehe (10);
Billing-Systeme

(13) Sicherheit von Homebanking-Portalen

(14) Einzugsermächtigung und Lastschriftverfahren

(15) Single Euro Payments Area - SEPA

(16) siehe (2)

(17) siehe (11)

(18) Schattenwirtschaft im Internet

(19) siehe (4)

(20) Daniel Bachfeld, Zahl oder Karte. Sicherer Zugriff aufs Online-Konto, c't 17/2008, S. 94

(21) siehe (13),

(22) BW-Bank-TAN-Generator (eTAN) bzw. Sm@rtTAN-Plus-Generator

(23) Bezahlen mit dem Handy

(24) Home Banking Computer Interface - HBCI

(25) Bankix
 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 29.07.2009