Mac Security – Ein Satz mit X? Teil 3: Schädlinge und Virenscanner
Kommentare

Mac OS X ist sicher. Behauptet zumindest Apple. So sicher, dass man dort lange Zeit behauptete, Virenscanner seien überflüssig und Viren ein Windows-Problem. Dass das die Hersteller der Virenscanner natürlich ganz anders sehen, ist verständlich. Wer hat Recht? Kann man Mac OS X nicht angreifen, oder wollte es nur keiner angreifen?
In unserer fünfteiligen Serie nehmen wir die Sicherheitsrisiken von Mac OS X genau unter die Lupe.

Schadsoftware im Überblick

Natürlich gibt es Schadsoftware für Mac OS X. Aber bis die gefährlich wurde, war es ein langer Weg. Der Vollständigkeit halber geht es jetzt noch weiter zurück in die Vergangenheit als oben.

Der erste Trojaner für Mac OS X wurde bereits im April 2004 veröffentlicht: Amphimix gab sich als MP3-Datei aus und war sogar eine, gleichzeitig aber tatsächlich ein ausführbares Programm. Wurde der Trojaner geöffnet, startete das Programm und übergab die MP3-Datei an iTunes. Es handelte sich um einen reinen Proof-of-Concept ohne weitere Relevanz.

Im Oktober 2004 folgte der erste Wurm für Mac OS X: Renepo. Renepo war ein Shellscript und ebenfalls lediglich ein Proof-of-Concept, der nicht „in the wild“ gesichtet wurde. Seine Schadfunktion bestand darin, Schutzfunktionen wie die Firewall auszuschalten und weitere Systemeinstellungen zu ändern.

Im Februar 2006 wurde der erste Instant-Messaging-Wurm für Mac OS X gefunden: Leap verbreitete sich über iChat und versuchte, die zuletzt genutzten Programme mit sich selbst zu überschreiben. Außerdem versuchte der Wurm, sich an alle iChat-Kontakte zu senden. Seine Verbreitung war sehr gering. Kurz darauf folgte der Wurm Inqtana, der sich über Bluetooth verbreitete. Eine Schadfunktion gab es nicht, und die Verbreitung war auch nicht der Rede wert. Kein Wunder, mit Bluetooth kommt man nun mal nicht weit, sofern der infizierte Rechner nicht ständig eingeschaltet durch die Gegend getragen wird.

Der erste Virus für Mac OS X wurde im November 2006 entdeckt: Macarena verbreitet sich, indem er sich an andere Programme anhängt. Es handelte sich um einen ziemlich fehlerhaften Proof-of-Concept ohne nennenswerte Verbreitung.

Der erste plattformübergreifende Schädling, der neben Windows auch Linux und Mac OS X infizierte, wurde im Mai 2007 „entdeckt“: BadBunny. Es handelte sich um einen Makro-Wurm für OpenOffice, der unter Mac OS X eins von zwei Ruby-Skripten anlegte, die für die weitere Verbreitung zuständig waren. Das „entdeckt“ steht in Anführungszeichen, weil die Wurm-Entwickler ihn direkt an Sophos geschickt haben, in freier Wildbahn wurde der Wurm nicht gesichtet.

Langsam wird es ernst. Sehr langsam!

Wir sind jetzt im Sommer 2007, und bisher war relativ wenig los. Gäbe es ein Zeugnis, würde das wohl „Theorie ausreichend – Praxis mangelhaft“ lauten. Aber so langsam wurden die Cyberkriminellen aktiver und gaben sich bei der Entwicklung ihrer Schädlinge mehr Mühe.

Der erste Trojaner für Mac OS X, der die DNS-Einstellungen manipuliert, wurde im November 2007 entdeckt. RSPlug wurde als angeblicher Codec verbreitet – im Allgemeinen über Porno-Seiten, denn auch für Schadsoftware gilt die alte Regel „Sex sells!“. Wollte ein Besucher der Seiten ein Video ansehen, sollte er einen angeblich fehlenden Codec installieren, der als Disk-Image zum Download angeboten wurde. Installierte der Benutzer den „Codec“, wurden die DNS-Einstellungen geändert und der erfolgreiche Angriff an einen Server der Cyberkriminellen gemeldet. Dieser Trojaner erreichte sogar eine gewisse Verbreitung, wenn sie auch recht gering blieb.

[ pagebreak ]

Die ersten Versuche zur Verbreitung von Scareware in Form von Fake-Virenscannern wurden im Februar 2008 entdeckt. Der „MacSweeper“ oder „Imunizator“ genannte Fake-Virenscanner fand angeblich jede Menge gefährlicher Dateien, für deren Beseitigung man das Programm kaufen sollte. Im Grunde war das nichts Neues, für Windows gibt es diese Schädlinge schon lange, die Cyberkriminellen mussten nur ihre Oberfläche an den Mac anpassen, denn es handelte sich lediglich um Flash-Anwendung. Scareware blieb für einige Zeit auch die größte Gefahr für den Mac, wie Sie gleich noch sehen werden.

Im August 2008 gab es den nächsten Trojaner, der sich als angeblicher Codec verbreitete: RKOSX. Seine Schadfunktion: das Installieren einer Hintertür. Seine Verbreitung: nicht der Rede wert. Was der Rede wert ist, ist die Verwirrung, die entsteht, wenn verschiedene Antivirenhersteller unterschiedliche Namen für den gleichen Schädling verwenden. Am Ende spricht man dann schnell über den falschen Schädling.

Ein weiterer Trojaner folgte im November 2008: Jahlav. Angeblich ein Key-Generator für Raubkopien, tatsächlich ein Programm zum Installieren einer Backdoor. Über seine Verbreitung brauchen wir gar nicht zu reden, es lohnt sich nicht.

Im Januar 2009 begannen die Cyberkriminellen, Raubkopien zum Verbreiten ihrer Trojaner zu nutzen. Die erste so präparierte Raubkopie war eine Version von iWork 09, was dem Trojaner den Namen iWorkService oder iWorkS einbrachte. Seine Schadfunktion bestand im Öffnen einer Backdoor. Etwas später wurden dann Raubkopien von Photoshop zur Verbreitung genutzt, der Trojaner gab sich dabei als angeblich benötigtes Crack-Programm aus. Allem Anschein nach waren diese Ansätze zumindest in engen Grenzen sogar erfolgreich.

Im März 2009 tauchte eine neue Version des Trojaners RSPlug auf, diesmal nicht als Video-Codec, sondern als angebliches HDTV/DTV-Programm mit den Namen „MacCinema.

Der erste E-Mail-Wurm für Mac OS X wurde im Mai 2009 entdeckt: Tored. Fehler im Code schränkten seine Verbreitung aber ziemlich ein, so dass die Schadfunktion keinen großen Schaden anrichtete: das Sammeln von E-Mail-Adressen.

Apple veröffentlicht einen Virenscanner

Im August 2009 wurde Mac OS X „Snow Leopard“ veröffentlicht – die erste Mac-Version, die einen rudimentären Virenscanner enthielt (den Apple aber nicht als solchen bezeichnet sehen wollte). Ganze zwei Trojaner-Familien wurden davon erkannt. Zudem wurden die Trojaner nur bemerkt, wenn sie von einem Programm heruntergeladen wurden, dass die entsprechenden Funktionen nutzt, wie beispielsweise Safari und Mail (und sonst eigentlich keins weiter). Es handelt sich also eigentlich nicht wirklich um einen Virenscanner, eher um einen Virenerkenner – wenn er über einen bekannten Schädling stolpert, erkennt er ihn. Gesucht wird nicht, und viele Bekannte hat dieser digitale Einsiedler auch nicht.

Ein gefährliches Spiel sorgte im November 2009 für Aufregung: Bei „Lose/Lose“ sollten die Spieler Aliens abschießen, und bei jedem Treffer wurde vom Spiel eine Datei von der Festplatte gelöscht. Bevor Sie jetzt schimpfen, wie fies das doch ist: Die Benutzer wurden beim Start des Spiels über die Konsequenzen informiert. Jede Alien-Figur war mit einer zufällig ausgewählten Datei verknüpft. Wurde die Figur abgeschossen, wurde die Datei gelöscht. Für die Antivirenhersteller war das Spiel ein Trojaner, der Entwickler selbst hielt es für Kunst. Da die Benutzer über die Konsequenzen informiert wurden, hätten sie sich besser an die Erkenntnis des Computers aus dem Film „Wargames“ halten sollen: „Ein seltsames Spiel. Der einzig gewinnbringende Zug ist, nicht zu spielen.“ („A strange game. The only winning move is not to play.“).

[ pagebreak ]

Ein weiterer echter Trojaner wurde im April 2010 entdeckt: Pinhead bzw. HellRTS (die Antivirenhersteller waren sich beim Namen mal wieder nicht einig). Getarnt als iPhoto, installierte das Programm in Wahrheit eine Hintertür. Seine Verbreitung war zumindest so groß, dass sogar Apple darauf aufmerksam wurde: Im Juni 2010 aktualisierte man den Virenschutz in Mac OS X „Snow Leopard“, so dass auch HellRTS erkannt wird.

Ebenfalls im Juni 2010 wurde Spyware für Mac OS X entdeckt: OpinionSpy wurde beispielsweise zusammen mit Bildschirmschonern verbreitet und spähte das Onlineverhalten der Benutzer aus. Es soll sich ja kein Mac-Benutzer beklagen können, für Mac OS X gäbe es nicht die gleiche Programmauswahl wie für Windows.

Ein Trojaner, der über Facebook verbreitet wurde und Windows, Linux und Mac OS X angreifen konnte, wurde im November 2010 entdeckt: Boonana kam als Java-Applet auf die Rechner und lud dann den zum System passenden Schadcode nach. Und das sogar mit einigem Erfolg.

Im Februar 2011 wurden die ersten Versionen von zwei Remote Access Toolkits (RAT, teilweise wird das T auch als Abkürzung für Trojan gedeutet) entdeckt, die als Backdoor auf kompromittierten Rechnern installiert werden (siehe auch: nakedsecurity). Es handelt sich dabei im Grunde um Fernwartungsprogramme, aber aus der sehr dunklen Grauzone zwischen normaler Software und Schadsoftware. Wenn sich gleich zwei Entwickler die Mühe machen, RATs für Mac OS X zu entwickeln, scheinen sie mit einem Markt für solche Programme zu rechnen.

Fake-Virenscanner machten im Mai 2011 mal wieder von sich reden (siehe auch nakedsecurity). Darunter befand sich auch der erste auf JavaScript basierende Fake-Scanner für Mac OS X. Fake-Scanner richten keinen Schaden an, verleiten den Benutzer aber womöglich zum Kauf der angeblich benötigten Vollversion. Mit etwas Glück macht die gar nichts (außer Geld zu kosten), im schlimmsten Fall enthält sie selbst weitere Schadsoftware.

Diese Fake-Scanner entwickelten sich zu einer kleinen Plage. Aber sollte ein Benutzer auf die Idee kommen, Apple um Hilfe zu bitten, hatte er zumindest anfangs damit kein Glück: Bei Apple vertrat man den Standpunkt, dass man in solchen Fällen keine Hilfestellung geben könne. Zum Glück besann man sich dann doch noch eines Besseren, denn die Scareware wurde immer besser: Während die ersten Versionen noch die Eingabe des Administrator-Passworts für die Installation erforderten, gab es Ende Mai die erste Version, die auch ohne Authentifizierung auskam. Das Programm sah wie das normale Installationsprogramm von Apple aus, installierte die Scareware aber „nur“ für den angemeldeten Benutzer. Apple erweiterte den eigenen Virenscanner durch ein Update um eine Erkennung der Scareware. Außerdem kann nun täglich nach Updates gesucht werden werden.

Im September 2011 gab es dann mal wieder einen Trojaner für Mac OS X, der sich diesmal als PDF-Datei tarnte, um eine Backdoor zu installieren: Revir.

Großes deutet sich an – blitzartig!

Ebenfalls im September 2011 tauchte erstmals der Flashback-Trojaner auf, der damals noch eine steile Karriere vor sich hatte. Wie der Name schon verrät, tarnt sich der Trojaner als angebliches Update für Adobes Flash Player, installiert aber heimlich eine Backdoor.

Ein weiterer Trojaner, der eine Backdoor installiert, wurde im Oktober 2011 entdeckt: Tsunami. Das Besondere an diesem Trojaner: Es handelt sich vermutlich um die Portierung eines Linux-Trojaners, der für DDoS-Angriffe genutzt wird. Zumindest Sophos hat den Trojaner aber nicht im Umlauf gefunden.

Weiter verbreitet war der ebenfalls im Oktober 2011 entdeckte Trojaner Miner, der zum Beispiel mit Kopien des GraphicConverter über Torrent-Sites verbreitet wurde. Dieser Trojaner hatte eine interessante Schadfunktion: Außer die Benutzer auszuspähen, nutzte er auch die GPU zum Berechnen von Bitcoins.

Im März 2012 gab es dann mal wieder einen Trojaner, der das alte „Sex sells“-Motto nutzte und sich als Foto des halbnackten Models Irina Shayk tarnte: Imuler. Im gleichen Monat wurde ein Trojaner entdeckt, der eine 2009 gepatchte Schwachstelle in Microsoft Word ausnutzte. Wird eine präparierte Word-Datei geöffnet, wird ohne weitere Aktion des Benutzers eine Backdoor im System installiert.

Zwischenfazit 3

Bis hierhin konnten sich die Mac-Benutzer in relativer Sicherheit wiegen: Solange sie keinem Social-Engineering-Trick zum Opfer fielen und beispielsweise einen Trojaner installierten, konnten sie ihre Rechner kaum mit Schadsoftware infizieren. Selbst die präparierte Word-Datei stellte keine Gefahr dar, solange der Benutzer sie nicht freiwillig öffnete. Jetzt aber wird es hässlich, die ersten Infektionen ohne Benutzeraktion treten auf.

Im dritten Teil des Artikels geht es morgen unter anderem weiter mit dem Themen Drive-by-Infektionen und Java als Grundlage systemübergreifender Schadsoftware.

Teil 1 der Mac Security Week: Timeline der Mac OS X Angriffe

Teil 2 der Mac Security Week: Forscherangriffe & Pwn2Own

Entwickler Magazin

Entwickler Magazin 2.2013Der Artikel „Mac Security – Ein Satz mit X?“ von Carsten Eilers erscheint im Entwickler-Magazin 2.2013. Mehr Infos zum Heft findet Ihr auf der Homepage des Entwickler Magazins.


Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -