„Elk Cloner“ & Co.

Malware: So wurde aus Spaß gefährlicher Ernst

(Bild: stock.adobe.com)

2020: Regelrechte Malware-Kampagnen versetzen Unternehmen aller Branchen und Größen in Angst und Schrecken. Mithilfe von Schadsoftware legen Cyberkriminelle ganze Netzwerke und Produktionen lahm. Längst geht es hier um das ganz große Geld. Dabei begann alles ganz harmlos. Ein Rückblick.

Das erste bekannte Boot-Virus war „Elk Cloner“. 1982 wurde es vom damals 15-jährigen Schüler Rich Skrenta geschrieben und verbreitete sich - anders als seine Urenkel - ausschließlich über infizierte Disketten, wie der Sicherheitsanbieter 8com in einer Aussendung erläutert.

Skrenta schrieb demnach eine Art Huckepack-Software, die sich auf Disketten versteckte und in den Speicher jedes Computers kopierte, in den die Diskette eingeschoben wurde. So konnte sich „Elk Cloner“- noch ganz ohne Internet - verbreiten, in dem er alle weiteren Disketten infizierte, die im Laufwerk des befallenen Rechners landeten. Der Virus selbst blieb vom Nutzer so lange Zeit unbemerkt. Erst bei jedem 50. Disketteneinschub bekam der Nutzer ein Gedicht zu lesen, in dem der Schüler seinen Streich humorvoll offenbart.

(Bild: ©Terry - stock.adobe.com)

Aus Spaß wird Ernst
Laut 8com dauerte es allerdings nicht lange, bis aus Spaß Ernst wurde: Getrieben von krimineller Energie, begannen in den späten 1980er-Jahren Entwickler von Malware, Schwachstellen, die bereits in der Computerarchitektur angelegt waren, für sich zu entdecken und darauf aufbauend spezielle Angriffstechniken zu entwickeln. Bei der sogenannten Buffer-Overflow-Attacke, die erstmals beim Wurm „Morris“ ab 1988 zu beobachten war, wird eine fehlende Überprüfung der Speichergrenzen ausgenutzt. Dadurch wird es möglich, mehr Eingabedaten in einen vom Programm reservierten Speicherbereich zu kopieren, als das Programm dafür vorgesehen hat.

Ohne die Überprüfung der Eingabelänge kann ein Angreifer auf diese Weise Steuerdaten, die hinter dem reservierten Speicherbereich liegen, überschreiben und so die Kontrolle über den weiteren Programmablauf übernehmen. So gelingt es dem Wurm, sich beispielsweise über das Netzwerk nach Belieben auszubreiten. Noch heute ist diese Technik 8com nach gebräuchlich, da einige Programmiersprachen über keinerlei Schutzmaßnahmen gegen derartige Attacken verfügen.

Eine Lösung musste demnach her: Neben der Anpassung von Computerarchitekturen gibt es seit Ende der 80er-Jahre kommerzielle Antivirensoftware. Die Anbieter hatten damit begonnen, Signaturen und Hash-Werte bekannter Bedrohungen zu erfassen, um diese wiedererkennen und deren Ausführung verhindern zu können.

(Bild: stock.adobe.com)

Die wilden 90er
Die ersten polymorphen Viren Anfang der 1990er-Jahre waren die Antwort. Mark Washburn entwickelte die ersten Versionen, die in der Lage waren, ihr Erscheinungsbild von Generation zu Generation zu verändern. Das Programm des Virus wurde dabei mit leicht veränderter Befehlsabfolge immer wieder neu codiert. Damit blieben diese Viren nahezu unentdeckt von Antivirensoftware, die ausschließlich nach statischen Malware-Signaturen suchte.

Andere Entwickler spezialisierten sich darauf, ihre Schadsoftware in Dokumenten zu verstecken, statt ihre Opfer mit ausführbaren Programmen anzugreifen. Mit den ersten Makroviren nutzen die Entwickler ab 1995 die Fähigkeit von Microsoft Word und Excel aus, ausführbare Dateien in Dokumente einzubinden. Mithilfe dieser Makros können zahlreiche schädliche Aktivitäten in Gang gesetzt werden, wie zum Beispiel der Download von Schadsoftware.

Die Nullerjahre
Zur Jahrtausendwende wurde schließlich ganz viel Liebe verbreitet: Das „ILOVEYOU“-Virus versteckte sich in einem E-Mail-Anhang, bei dem es sich laut Benennung scheinbar um einen Liebesbrief handelte. Statt romantischer Geständnisse hagelte es allerdings entsetzte Flüche, als die Nutzer feststellen mussten, dass das Virus zahlreiche Dateien löschte. Über das Adressbuch von Microsoft Outlook verbreitete es sich anschließend rasant weiter.

Eine Kontrollanlage in einem iranischen AKW

(Bild: Associated Press)

Einen weiteren Meilenstein in der Geschichte der Malware bildet dem Sicherheitsanbieter nach „Stuxnet“ aus dem Jahr 2010. Dabei handelt es sich um den ersten Computerwurm, der gezielt für Angriffe auf Industrie- und Steuerungsanlagen eingesetzt wurde. Im Fokus standen damals iranische Atomanlagen, deren Urananreicherungsanlagen mithilfe des Wurms sabotiert wurden. Infolge der Entdeckung von „Stuxnet“ tauchte in den Medien schließlich vermehrt der Begriff „Cyberwar“ auf.

In den vergangenen Jahren besonders in Mode gekommen sind laut 8com Angriffe mit Verschlüsselungstrojanern. Dabei handelt es sich um Programme, die in der Lage sind, Dateien, Computer und ganze Netzwerke zu verschlüsseln. Bei sogenannten Ransomware-Attacken sollen die Opfer dann einer Lösegeldforderung nachkommen, um den Schlüssel zur Entschlüsselung der Dateien zu erhalten. Schlagzeilen schrieb hier vor allem „Wannacry“, der sich innerhalb von 24 Stunden in über 150 Ländern auf über 230.000 Computern verbreitete, was ein bis dato nie dagewesenes Ausmaß darstellte.

(Bild: ©normalfx - stock.adobe.com)

Status quo
Aktuell prägt ein Name das Geschehen besonders: „Emotet“. Hierbei handelt es sich in der Urform um einen sogenannten Banking-Trojaner, der zunächst auf das Abfangen von Online-Banking-Zugangsdaten spezialisiert war. Da das Schadprogramm darüber hinaus die Fähigkeit besitzt, eine Vielzahl weiterer Module nachzuladen, wird es immer öfter genutzt, um auch andere Angriffe auszuführen. Besonders perfide ist außerdem, dass jüngste Malware-Generationen die Fähigkeit besitzen, E-Mail-Kontakte auszulesen und sich in bestehende Konversationen einzuschalten. So kann die eigene Weiterverbreitung per E-Mail selbständig organisiert werden.

Im Bereich der zielgerichteten Angriffe stellten sogenannten Advanced Persistent Threats (APTs) derzeit die größte Bedrohung dar. Ziel dieser besonders komplexen Cyberangriffe sei es, nach der Erstinfektion eines Rechners weiter in die IT-Infrastruktur einzudringen und möglichst viele Informationen zu sammeln oder Schritt für Schritt weiteren Schaden anzurichten, so 8com. Mittlerweile konnten demnach verschiedene APT-Gruppen identifiziert werden, deren ausgeklügelten Cyber-Attacken von Regierungen beauftragt oder unterstützt werden und teilweise jahrelang unentdeckt blieben.

(Bild: thinkstockphotos.de)

Betrachtet man die durch Cyber-Kriminalität allein in Deutschland verursachten Schäden in den Jahren 2007 (31 Millionen Euro) und 2017 (71,8 Millionen Euro) sowie die Anzahl neuer Schadprogrammtypen in den jeweiligen Jahren (2007: 0,13 Millionen; 2017: 8,4 Millionen), werde klar, welche Bedeutung Schadsoftware für den Bereich Cyberkriminalität mittlerweile einnimmt, so 8com. „Die Geschichte von Malware wird daher auch in den kommenden Jahren fortgeschrieben“, ist das Unternehmen überzeugt.