DeepSec Konferenz 2010: Videos, Musik und Bilder immer häufiger zur Verbreitung von Schadsoftware verwendet

Deepsec_klein
Immer weniger Filme oder Musik werden gekauft oder bei Videotheken oder Freunden ausgeliehen. Gleichzeitig werden Portale wie YouTube immer beliebter. Allein in den USA haben Nutzer im Dezember über 14,3 Milliarden Filme und Videos heruntergeladen oder gestreamt angesehen. Das macht Video- und Musik-Downloads zu einem beliebten Medium für Angreifer.

Immer mehr Mediendateien und -Webseiten werden deshalb manipuliert und mit Schadsoftware infiziert. Aleksandr Yampolskiy, Vorsitzender der Sicherheitsabteilung der Gilt Groupe, hat mit seiner Abteilung eine Versuchsreihe mit 500 IT-Spezialisten durchgeführt, um herauszufinden, auf welche Tricks von Angreifern sie herein fallen.

Das Resultat: maximal zehn Prozent der Testpersonen fielen auf manipulierte Webseiten herein, die zum Download von Programmen zur Verbesserung der Geschwindigkeit des Computers oder für Bildschirmschoner warben, in denen Schadsoftware versteckt war. Soweit, so gut. Inzwischen wissen jedoch viele Nutzer, dass solche Downloads häufig manipuliert sind.

Dann wurden den IT-Spezialisten Webseiten gezeigt, auf denen ihnen interessante Youtube-Videos oder ein Update für ihre iTunes-Software angeboten wurden. 50% der Probanden klickten auf das manipulierte YouTube-Video und 98% auf den Link zum iTunes-Update. Damit infizierten beinahe alle der IT-Spezialisten Ihre Computer mit Schadsoftware. Wenn diese Tricks bei IT-Spezialisten, funktionieren, dann ist es sehr wahrscheinlich, dass auch andere Nutzer auf solche Tricks hereinfallen. Wie gravierend ist das Problem mit manipulierten Mediendateien?

Normalerweise sind Angriffe mit Hilfe von Mediendateien nicht zielgerichtet. Bei Versuchen fand Yampolskiys Abteilung allerdings heraus, dass ungefähr 50% aller Videodateien, 30% aller Musikdateien sowie 20% aller Bilder, die in sozialen Netzwerken, Nachrichten-Websites oder P2P-Websites verbreitet werden, mit Schadprogrammen infiziert sind. Das Ausführen solcher Dateien führt natürlich nicht immer gleich zum Befall des Computers durch Schadsoftware. Schließlich verwenden Nutzer unterschiedliche Wiedergabe-Programme, haben Antiviren-Software installiert oder führen regelmäßig Aktualisierungen durch. In diesen Fällen merken Nutzer oft überhaupt nichts von der Gefahr, es sei denn das Antiviren-Programm schlägt Alarm.

In einem Versuch, den Film „Ghost Writer“ von Roman Polanski nach seinem Erscheinen im Kino über ein Torrent-Netzwerk herunterzuladen, stellten Yampolskiys Mitarbeiter fest, dass bis auf 1,75% der Video-Dateien, die sie mit Hilfe der Torrent-Suchmaschine „isoHunt“ fanden, alle Dateien mit Schadprogrammen infiziert waren. Nachdem der Film auf DVD erschienen war, erhöhte sich die Zahl der „sauberen“ Dateien auf 66%. Aber selbst zu diesem späten Zeitpunkt waren immer noch 34% der Dateien mit Schadsoftware infiziert.

Die Spezialisten von Gilt fanden auch heraus, dass die Erfolgsrate bei der Verbreitung von Schadprogrammen über Soziale Netzwerke bei zehn Prozent liegt. Im Vergleich dazu: die Verbreitungsrate über E-Mail-Anhänge oder Links in E-Mails beträgt lediglich ein Prozent. Dies ist aller Voraussicht nach dem Umstand zuzuschreiben, dass Nutzer den Einträgen ihrer Freunde in sozialen Netzwerken Vertrauen schenken, egal ob diese Sinn machen oder nicht.

Wie funktionieren Angriffe über Mediendateien?

Unter den Angriffen über Mediendateien überwiegen drei Vorgehensweisen: Manipulation von Windows-Media-Dateien, Verbreitung infizierter JPEG-Bilder und die Erstellung von Medien-Webseiten, die bekannte Websites wie YouTube und die Darstellung Ihrer Inhalte imitieren.

Imitierte Webseiten

Oft wird der Nutzer beim Versuch der Wiedergabe einer Videodatei aufgefordert, einen speziellen „Codec“ herunterzuladen, den Lizenzbedingungen zuzustimmen oder eine aktuelle Version des Wiedergabe-Programms zu installieren. Die Meldung lautet dann beispielsweise: „Warnung: veraltete Version des Flash-Players entdeckt, Javascript ist abgeschaltet, bitte klicken Sie hier um eine aktuelle Version des Flash-Players zu erhalten“. Klicken Sie auf den Link wird Schadsoftware heruntergeladen und installiert.

Aber auch der Einsatz des Adobe-Flash-Players stellt ein Problem dar. So kann Schadsoftware auch durch die Manipulation richtiger Flash-Videodateien und das Ausnutzen von Sicherheitslücken im Player verbreitet werden. In 2009 wurden so viele Sicherheitslücken in Adobe Produkten gefunden wie noch nie zuvor. Das Flash-Format wird beispielsweise von YouTube eingesetzt. Hier gelten sehr strenge Regeln für die Dateien, die auf das Portal hochgeladen werden dürfen. Daher stellen Videos auf YouTube selber keine Gefahr dar. Allerdings überträgt sich das Vertrauen der Nutzer auf Webseiten, die die Darstellung von YouTube imitieren.

Bei einem weiteren Beispiel handelt es sich um eine Webseite die das Aussehen der CNN-Nachrichten-Website imitierte und angeblich ein Nachrichten-Video mit explosivem Inhalt enthalten sollte. Hier zeigte die Seite beim Öffnen die Meldung an: „Ihr Pop-up-Blocker blockiert den Zugang zu dem angeforderten Video, bitte klicken Sie hier um das Video anzuzeigen“. Durch einen Klick auf den Link wurde sofort ein Schadprogramm auf dem Computer installiert. Bis zu diesem Punkt handelte es sich um einen durchschnittlichen Angriff. Doch da das Video tatsächlich abgespielt wurde, während sich im Hintergrund das Schadprogramm auf dem Computer einnistete, war dieser Angriff besonders gefährlich. Das führte dazu, dass zahlreiche Nachrichten-Websites, darunter auch durchaus seriöse, den Link übernahmen und so in ihren Nachrichten auf die manipulierte Webseite verwiesen. Dadurch wurde die Verbreitung des Schadprogramms zusätzlich extrem gefördert.

Viele Menschen denken, dass die Erstellung manipulierter Videodateien oder Webseiten viel Aufwand und Fachwissen erfordert. Aber dies ist mitnichten der Fall: Programme die im Internet zum Herunterladen angeboten werden, ermöglichen es technischen Laien, automatisch manipulierte Mediendateien oder täuschend echte Webseiten zu erstellen.

Windows-Media-Dateien

Ein weitere oft verwendete Methode Schadsoftware zu verbreiten, ist die Verwendung von manipulierten Windows-Media-Dateien. Dazu kann das DRM-System zum Schutz urheberrechtlich geschützter Inhalte verwendet werden, das Microsoft anbietet. Bei geschützten Mediendateien bietet der Windows-Media-Player die Option, die Lizenzbedingungen automatisch herunterzuladen. Diese Option ist die Standardeinstellung. Wird eine manipulierte Mediendatei angeklickt, so versucht der Media-Player automatisch die Lizenzbedingungen von einem in der Datei spezifizierten Server im Internet herunterzuladen. Dieser Server kann allerdings auch ein normaler Webserver sein und die Lizenzbedingungen ein Schadprogramm, das so auf den Computer gelangt. Das Problem hier: Geschützte und damit möglicherweise manipulierte Dateien lassen sich von ungeschützten an Hand des Dateinamens nicht unterscheiden: beide besitzen die Datei-Endung „asf“.

Als weiteren Angriffspunkt bietet das asf-Dateiformat die Möglichkeit, durch einen Befehl beim Start der Wiedergabe der Filmdatei den Browser zu öffnen und eine beliebige Webseite zu öffnen. Hier kann dann durch einen Drive-by-Download-Angriff und andere Tricks ebenfalls Schadsoftware auf den Computer eingeschleust werden.

Diese Sicherheitslücke wurde beispielsweise durch einen Trojaner ausgenutzt, der sämtliche mp2- und mp3-Dateien auf dem Rechner des betroffenen Nutzers manipulierte und mit Verweisen auf Webseiten mit Schadprogrammen versehen hat. Wenn der Nutzer diese Dateien dann mit Freunden geteilt hat, wurde deren Computer auf diesem Wege ebenfalls infiziert.

Wer nun denkt, er wäre auf der sicheren Seite, wenn er lediglich Videos mit der Endung „avi“ wiedergibt, der irrt: asf-Dateien die mit einer avi-Endung versehen wurden, werden durch Windows immer noch als asf-Dateien erkannt und wiedergegeben.

Manipulierte JPEG-Bilder

Bilder im JPEG-Format können ebenfalls dazu verwendet werden, Schadprogramme zu verbreiten. Die Kommentarfunktion in jpg-Dateien kann so manipuliert werden, dass sie das Ausnützen einer Sicherheitslücke in der GDI-Grafik-Bibliothek von Windows erlaubt. Diese Sicherheitslücke ist schon jahrelang bekannt und dennoch gibt es immer noch viele Computer, bei denen noch keine Sicherheitsaktualisierung installiert wurde, die diese Lücke schließt. Bilder die so manipuliert sind, ermöglichen es dem Angreifer über das Internet mit dem Computer des Nutzers zu kommunizieren, so als ob er direkt vor dessen Bildschirm sitzen würde.

Andere beliebte Tricks

Die Verwendung von Facebooks „Like-Links“ unter Videos oder Bildern ist auch eine beliebte Variante Computer zu infizieren. Solche Links führen durch den Klick darauf nicht selten Schadsoftware aus oder laden diese herunter.

Bei vielen Angriffen kommt auch immer noch die inzwischen alt-bekannte Methode der doppelten Datei-Endung zum Einsatz. Infizierte Dateien werden einfach movie.avi.exe benannt. Durch die Eigenschaft von Windows, bekannte Datei-Endungen auszublenden, wird aus diesem Namen, beispielsweise in E-Mail-Anhängen, movie.avi und viele Nutzer halten diese Datei auf Grund Ihrer Endung für eine Video-Datei. Dabei handelt es sich in Wirklichkeit um eine ausführbare exe-Datei. Wird diese durch einen Mausklick ausgeführt, installiert sich das Schadprogramm.

Weitere Tricks von Angreifern sind beispielsweise, in torrent-Dateien ein ausführbares Schadprogramm mit dem Datei-Namen readme.txt.lnk einzufügen. Dabei werden gleich zwei Schwächen von Windows-Systemen ausgenutzt: das Ausblenden bekannter Datei-Endungen und eine Sicherheitslücke im Umgang mit lnk-Dateien, die normalerweise als Verknüpfungen zum Beispiel auf dem Desktop verwendet werden.

Regeln um diesen Gefahren zu begegnen

Aleksandr Yampolskiy nennt aber auch einfache Maßnahmen, wie Nutzer sich vor den meisten dieser Angriffe schützen können:

  • Im Media-Player das Öffnen des Browsers beim Beginn der Wiedergabe und die Option automatisch Lizenzinformationen herunterzuladen ausschalten.
  • Die Version ihrer Windows-Grafikbibliothek GDI mit Hilfe des „GDI Scan Tools“ überprüfen oder zumindest sicherstellen, dass das Windows Service Pack 2 installiert ist.
  • Die meisten Schadprogramme installieren sich nicht, wenn der Nutzer nicht etwas anklickt oder ausführt. Denken Sie deshalb darüber nach, was Sie tun und seien Sie misstrauisch.
  • Sich von zwielichtig aussehenden Websites fernzuhalten, ist nicht ausreichend um seinen Computer vor einer Infektion mit Schadprogrammen zu schützen

Selbstverständlich sollten Sie darüber hinaus ihre Programme regelmäßig aktualisieren, ein aktuelles Antiviren-Programm installiert haben und eine Firewall nutzen. Zusätzlich können Sie noch diese Tipps berücksichtigen:

  • Halten Sie auch Ihre Wiedergabe-Programme auf dem neusten Stand.
  • Schalten Sie das Ausblenden bekannter Dateinamen in Windows unbedingt aus.
  • Installieren Sie sich für Ihren Browser ein Add-on, wie beispielsweise NoScript beim Firefox, das Sie vor Clickjacking und anderen Scripting-Attacken schützt.