Beruflich Dokumente
Kultur Dokumente
Einem einfachen normalen PC-Heimanwender empfiehlt man, eine Antivirenlsung zu installieren und alle Programme auf dem aktuellen Stand zu halten. In Firmenumgebungen kommen dabei oft Antivienlsungen von zwei unterschiedlichen Firmen zum Einsatz. Das bringt den Vorteil, dass man eine Datei von zwei unterschiedlichen Virenscanner berprfen lassen kann, als extra Sicherheit.
Von Kay
Stutz
alle Passwr-
te die eingegeben werden, mitschneiden inklusive der Kreditkartendaten. Diesen Trojaner lsst man nun durch einen FUD Crypter verschlsseln. Anschliessend testet man, ob diese Datei von den gngigen Antivirensoftwareprogrammen erkannt wird. Dies geschieht indem man den FUD versch-lsselten Schdling aufeine Prfseite hoch ldt. Eine bekannte Seite dafiir ist www.virustotal.com. Dort hat man die MgIichkeit, eine Datei hochzuladen, ohne sich anzumelden. Diese wird anschliessend von mehreren Antivirenprogrmmen berprft. Man erhlt dan als Ergebnis zum Beispiel .ol4z". Somit wird der FUD Crypted Trojaner von keinem der 4z Antivirenprogrammen als Schdling erkannt. Die Gefahr, dass dieser Trojaner erkannt wird, ist praktisch null und man bezeichnet ihn als FUD, Fully Undetectable. Gefahr duch die einfache Verfgbarkeit Gibt man in Google ,,FUD Crypter" ein, erhlt man eie halbe Million Ergebnisse, und erstaunlich viele Youtube Videos, welche den FUD Crypter von dem jeweiligen Hersteller positiv prsentieren. Auch finden sich zahlreiche Anleitung zu den einzelnen Produkten. Es ist ein richtiger Markt entstanden, es gibt gratis FUD Crypter und kostenpflichtige. Es existieren ffentliche und nicht fentliche FUD Crypter. Und whrend frher dies alles in verborgenen Internet Schwarzmrkten angeboten wurde, ist es heute auch jemanden ohne Kenntnisse von Programmiersprachen oder Kontakten zu diesen Schwarzmrkten mglich, sich mit FUD Crypter und
entsprechenden Schdlingen einzudecken.
Einsatzbeispiel Es gibt sogenannte Trojanerbaukasten, dort kann man ganz einfach mit einer grafrschen Oberflche einen Trojaner zu-
r! : DBCBMBR! 2o1r
BERICHT
Stufe 1: I nfiziert
letzten Stufe
3
Verschlisselt
z
DieStuferzeigteineinfizierteDatei(Schdling),zumBeispieleinenTrojaner.
wird eine sogenannte" Stub" Datei ber die Datei von Stufe
DieserwirdinderStufezverschlsselt.AndiesemPunktkann
gelegt, welche die Aufgabe hat, die Datei zu entschlsseln und
er weder vom Betriebssystem noch von der Antivirensoftware gelesen werden. Es ist eine passwortgeschtzte und verschlsselte Datei. ln der
lesbar zu machen. Er agiert als Dolmetscher zwischen der veschlsselten Datei in Stufe 2 und dem Betriebssystem. Diese Stub Datei kann sich
dann im Betrebssystem ausfhren und der Antivirusscanner kann sie berprfen, sieht dabei aber nur die Signatur der Stub Datei und nicht
mehr was die ursprngliche Datei in der Stufe r war.
sich das Recht nimmt, alle Dateien die ihm zur Verfgung gestellt werden, an die Antivirushersteller weiterzuleiten. Das wissen natrlich nicht alle, die solche Produkte einsetzen. Das fhrt dazu, dass kostenlose FUD Crypter meist nach kurzer Zeitihren FUD Status verlieren und von immer mehr Antivirenprogrammen erkannt werden. Die kostenpflichtigen FUD Crypter variieren zwischen ro-5o$ pro Stck. Man erhlt je
nach Hersteller dann auch eine Garantie, dass der Crypter
sehr gut fern. Aber auch Programme, welche dem Hersteller nicht,,passen'. Im App Store kosystem funktioniert das bisher gut bezglich Schdlingen. Auch fr das Betriebssystem Mac OS X gibt es inzwischen einen App Store und Microsoft
fr
ihre Kufer natrlich dazu, die Datei nicht auf Virustotal.com hochzuladen. Der Preis von FUD Cryptern Preis ist deshalb so niedrig, weil es zwischen sehr viele Programmierer gibt, welche solche Software programmieren knnen. Denn aus Sicht der Programmierer ist das ein super Geschft. Er programmiert nur die Software. Und mit den anderen illegalen Geschften,
wie Eindringen in fremde Systeme und Klauen von Kreditkartendaten hat er nichts mehr zu tun. Aber trotzdem wird er natrlich indirekt von diesen Gewinnen bezahlt. Es ist aber
schwer, ihm eine Straftat nachzuweisen.
hat ziemlich schnell ein quivalent den Windows Market rausgebracht. Diese Stores fr den Computer verfgen aber ber keine Exklusivitt, d.h. man kann auch Programme ausserhalb dieser Stores, herunterladen und installieren. Es existieren einige Modelle, wie man die Authentizitt von Programmen berprfen kann. Doch ist es mglich, eine beliebige ausfhrare Datei zu ffnen oder einen Treiber zu installieren, auch wenn sie nicht von Microsoft signiert wurde oder aus einer nicht vertrauenswrdigen Quelle kommt. Grundstzlich msste man die Ausfhrung von Dateien blockieren. Doch daran sind die Antivirenhersteller vorlufig nicht interessiert, Denn ihr Geschft wrde durch eine solche Lsung zum Teil einbrechen. Man darf aber nie vergessen, die IT Branche wandelt sich schnell und sehr wahrscheinlich
werden die Betriebssysteme der verschiedenen Gerteklassen verschmelzen. Denn was sich auf den Tablets und Smartphones bewhrt hat, wird frher oder spter auch Einzug in den Desktop PC Bereich finden. Dabei ist eine der grssten Herausforderungen die Balance zwischen einem freien System
Diese FUD Crypter bringen auch fr die Programmierer von komplexer Schadsoftware grosse Vorteile. Sie knnen ihr Produkt stndig weiterentwickeln und verbessern und mssen sich nicht mehr verndern, falls eine Antivirensoftware ihre Definitionen im System gespeichert hat.
Je
T
Mglicher Lsungsansatz: Whitelist anstatt Blacklist
Die Lsung ist einfach, knnte man jetzt sagen. Anstatt alle schdliche Software zu verbieten, knnte man nur die <gute> Software zulassen. Das ist nicht einfach, aber durchaus machbar. Ein, fr viele zu restriktives Beispiel, dafr wre der App Store auf iOS Gerten von Apple, Man berprft alle Applikationen nach entsprechenden Richtlinien und lsst nur die zu, welche diesen Richtlinien entsprechen. Viren hlt man sich so
Staatsanwaltschaft Basel-Stadt
Kay Stutz
IT-Ermittlungen
Tel: +4r 61 267 7j 48
kastutz@stawa.bs.ch
SCHWETZBR KRIMINALISTIKJOURNAL
T5 _ DEZEMBER
2O11