Exploit Kits in der Cloud
Cybercrime als Service
Millionen von Unternehmen jeglicher Größe müssen durch Internet-Kriminalität und Malware-Attacken alljährlich Verluste in Milliardenhöhe verbuchen. Es handelt sich um ein Problem von globalem Ausmaß. Die Bemühungen der Security-Branche, mit der aktuellen Entwicklung Schritt zu halten, scheitern oft, wenn sie nur auf althergebrachten Lösungen fußen.Experten schätzen die Kosten, die der Wirtschaft weltweit durch die Internet-Kriminalität im Jahr entstehen, auf mindestens 100 Milliarden Dollar. Seit 2007 sind diese Kosten um 376 Prozent gestiegen. Dies ist ein deutlich stärkerer Anstieg als die Ausgaben für IT-Sicherheit, die im gleichen Zeitraum nur um geschätzte 41 Prozent zulegten.
Der meistgenutzte Angriffsvektor für Cyber-Kriminelle und Malware ist inzwischen das Internet. Die meisten Attacken, nämlich 92 Prozent, gehen auf das arglose Surfen auf legitimen Websites zurück, und tatsächlich sind 84 Prozent aller infizierten Websites legitim. Das Internet lässt sich heute jedoch nicht einfach "abschalten", denn immerhin entfallen mehr als 80 Prozent des Netzwerkdatenverkehrs inzwischen auf Web-Traffic. Zudem lässt die Popularität des Cloud Computings und der Web-Applikationen diesen Datenverkehr immer stärker anschwellen. Die eingesetzte Malware ist überdies dynamischer und zielgerichteter als je zuvor.
Ein wichtiger Faktor für die exponentielle Zunahme der Internet-Kriminalität ist die Einfachheit, mit der sie sich verbreiten kann. Ein weiterer Punkt ist die Tatsache, dass das Risiko einer Strafverfolgung verglichen mit anderen Formen der Kriminalität relativ gering ist. Für Internet-Kriminelle sind Exploit Kits so etwas wie die Befehls- und Steuerzentrale zum Entwickeln, Herausbringen und Überwachen ihrer Cyber-Attacken. Diese Kits sind zudem einfach zu beschaffen und anzuwenden. Da Cyber-Kriminelle inzwischen vermehrt auf das Cloud Computing setzen, geraten die Einstiegshürden immer niedriger.
Die ersten Exploit Kits erschienen Anfang 2006. Das erste populäre seiner Art mit dem Namen Web Attacker nutzte sieben bis dahin unbekannte Sicherheitslücken im Internet Explorer und im Mozilla Firefox aus. Als es noch keine Exploit Kits gab, mussten Cyber-Kriminelle ihre Exploits selbst entwickeln und anfertigen. Für das Erforschen und Testen neuer Schwachstellen war viel technisches Fachwissen nötig.
Die Verfügbarkeit von Web Attacker bahnte neueren Exploit Kits wie Neosploit, M-Pack und G-Pack den Weg. Mit der wachsenden Beliebtheit dieser Kits kamen in immer kürzeren Abständen immer neue hinzu. Sie kosten zwischen 400 und über 1.300 Dollar und weisen in Sachen Qualität und Support erhebliche Unterschiede auf.
Die Entwicklung der Exploit Kits vollzog sich ganz ähnlich wie bei normaler kommerzieller Software. Web Attacker etwa bot anfangs nur ganz wenige Exploits und minimale Anpassungsmöglichkeiten. Reportfunktionen gab es überhaupt nicht. Support wurde ausschließlich per E?Mail geboten, und die Installation des Pakets auf dem vorgesehenen Server gestaltete sich recht komplex. Genau wie kommerzielle Software boten auch Exploit Kits im Zuge ihrer Entwicklung immer mehr Features, einfachere Installation und besseren Support.
Es ist kaum verwunderlich, dass diese Exploit Kits immer raffinierter und bedienungsfreundlicher werden und dadurch die massive Zunahme der weltweiten Internet-Kriminalität unterstützen. Das 2007 erschienene Neosploit etwa wurde bei Cyber-Kriminellen sehr schnell beliebt, da es häufig das erste war, das neue Features und Fähigkeiten zur Verfügung stellte. Als eines der ersten Exploit Kits bot es Telefonsupport rund um die Uhr, Wartungsverträge, professionelle Services für den einfachen Start sowie eingebaute Erkennungsfunktionen.
Diese eingebauten Erkennungsfunktionen sollen dem Angreifer einen Eindruck davon vermitteln, wie erfolgreich sein Angriff voraussichtlich sein wird. Auch ob seine Malware durch populäre Virenscanner entdeckt würde und ob seine Website-Infektionen für die Tools der Sicherheitsforscher erkennbar sind, legen die Entwickler dar.
Der Virenscanner-Dienst ist keineswegs neu. Was dagegen neu ist, ist seine Einbindung in die Exploit Kits. Es gibt bereits Exploit Kits mit Modulen, die das Rating einer Site bei Diensten wie McAfee Site Advisor oder Norton Safe Web überprüfen. Dennoch ist das Einbeziehen von Virenscanner-Funktionen in die eigentlichen Kits folgerichtig.
Den neuesten Entwicklungsschritt bei den Exploit Kits bildet die Nutzung des Cloud Computings. Früher handelte es sich bei Kits im Wesentlichen um Softwareelemente, die man auf seiner eigenen Infrastruktur - meist gekaperte oder kostenlose Web-Hosts - installieren musste. Das Deployment und die Updates sowie der Support gestalten sich in der Cloud einfacher, der Zugang lässt sich mieten, und es ist keine kundenseitige Infrastruktur erforderlich.
Außerdem kann Cloud Computing von Kunden überall nutzbar und benötigt einen geringeren Kapitalbedarf und keinen Installationsaufwand. Die Administrationskosten sind meist niedrig und die Computing-Ressourcen lassen sich je nach Bedarf herauf oder herunter skalieren.
Neosploit bewegt sich als erstes Exploit Kit in diese Richtung und bietet partielle Cloud-Services an. Die künftige Entwicklung ist jedoch klar, und es gibt Bedenken, diese Entwicklung könne die Einstiegshürden in die Internet-Kriminalität deutlich senken. Die Unterschiede in der Strafverfolgung von gewöhnlichen kriminellen Aktivitäten und Verbrechen im Cyberspace sind verblüffend, besonders wenn man das heutige Ausmaß des Internet-Kriminalitätsproblems in Betracht zieht.
Cybercrime besitzt ein klar umrissenes Ökosystem. Es gibt eine Vielzahl von Akteuren mit unterschiedlichen Aufgaben, die an einem Strang ziehen, um einen erfolgreichen Angriff zu fahren. In Zukunft werden sich höchstwahrscheinlich all diese verschiedenen Akteure in einem Cybercrime-Portal zusammenfinden, wodurch es noch einfacher wird, im Bereich der Internet-Kriminalität aktiv zu werden. Die verschiedenen Akteure und Aufgaben sind:
Exploit Kit Creator: Dabei handelt es sich um die Softwareentwickler, die die Kits produzieren und in der Zukunft als Hosts für diese fungieren.
Exploit Kit Operator: Dies ist der eigentliche Internet-Kriminelle, der die Attacken startet und von ihnen profitiert. Man kann sie sich als Arbeiter vorstellen, die Aktivitäten, die sie nicht erledigen können oder wollen, an andere delegieren.
Exploit Creator: Dies sind die in hohem Maße technisch versierten Personen, die Applikationen auf Schwachstellen hin abklopfen, die sich zum Infizieren von Computern eignen. Möglicherweise sind diese Experten identisch mit den Exploit Kit Creators.
Bandwidth Specialist: Diese Spezialisten helfen dem Operator, seinen Attacken eine maximale Reichweite zu verleihen. Sie können helfen, legitime Websites mit der gewählten Malware zu infizieren und die Zahl der potenziellen Opfer zu maximieren. Dies geschieht in der Regel durch Blackhat Search Engine Optimization (SEO) oder Blended-E?Mail-Attacken.
Detection Monitoring: Diese Spezialisten überwachen die Cyber-Attacke und warnen den Operator, wenn seine Malware und die damit infizierten Websites von Sicherheitslösungen (zum Beispiel Virenscannern oder URL-Filterlisten) entdeckt werden. Der Operator kann dann reagieren und auf andere Malware-Muster wechseln oder andere Websites infizieren.
Money Mule Recruiter: Höchsten Stellenwert in der Internet-Kriminalität hat der finanzielle Nutzen. Das "erwirtschaftete" Geld muss dem Operator zufließen, damit dieser die anderen Spezialisten, deren Dienste er bei der Attacke möglicherweise in Anspruch genommen hat, bezahlen kann. Die Money Mule Recruiter bilden die erste Stufe in diesem Geldfluss. Sie rekrutieren teils unschuldige Personen, damit diese als Adressaten von Überweisungen der Opfer dienen und diese Mittel dann an weitere Money Mules (sinngemäß: Geldkurier) weiterleiten, bevor diese schließlich beim Operator landen. Dieses Konzept soll den Weg der ergaunerten Gelder so weit wie möglich verschleiern.
Fazit
Die Verlagerung der Internet-Kriminalität in die Cloud wird schneller gehen, als es der Markt erwartet. Cyber-Kriminelle werden mit Sicherheit nicht aufhören, die effektivste Plattform zu suchen, von der aus sie ihre Angriffe auf Firmen und Privatpersonen starten können. Der Trend zeigt, dass sie ihre Taktiken angelehnt an die technische Entwicklung immer weiter verfeinern.
Lesen Sie mehr zum Thema
