Mac Security – Ein Satz mit X? Teil 4: Drive-by-Infektionen
Kommentare

Mac OS X ist sicher. Behauptet zumindest Apple. So sicher, dass man dort lange Zeit behauptete, Virenscanner seien überflüssig und Viren ein Windows-Problem. Dass das die Hersteller der Virenscanner natürlich ganz anders sehen, ist verständlich. Wer hat Recht? Kann man Mac OS X nicht angreifen, oder wollte es nur keiner angreifen?
In unserer fünfteiligen Serie nehmen wir die Sicherheitsrisiken von Mac OS X genau unter die Lupe.

Drive-by-Infektionen – Angriffe ohne Benutzeraktion

Im April 2012 gab es den nächsten Angriff über Schwachstellen, diesmal in Java. Ausgenutzt wurden zwei Schwachstellen, die Oracle schon im Februar in der offiziellen Java-Implementierung behoben hatte, die aber in Apples davon abgeleiteter Version noch vorhanden waren. Erst jetzt veröffentlichte Apple ein Update, um die eigene Version auf den offiziellen Stand bringen.

Der Schädling, der diese Schwachstelle ausnutzte, war der erstmals im September 2011 entdeckte Trojaner Flashback. Statt sich als Flash Player zu tarnen, nutzte er nun die Java-Schwachstellen aus, um sich auf den Rechnern der Besucher präparierter Webseiten einzuschleichen. Nach dem Start tarnte der Trojaner sich als das offizielle Installationsprogramm von Apple und erschlich sich per Social Engineering die Erlaubnis zum Installieren des Schadcodes Installieren des Shadcodes.

So weit, so schlecht. Vorsichtige Benutzer waren aber noch relativ sicher. Wer einem plötzlich auftauchenden Installationsprogramm die Zustimmung verweigerte, entging dem Trojaner. Zumindest in der Theorie. Anscheinend hat man den Leuten nicht oft genug gesagt, dass sie nicht einfach mal so das Administrator-Passwort eingeben sollen. Denn in der Praxis fielen sehr viele Benutzer auf den Trick herein, evtl. weil sie durch sich selbst aktualisierende Programme an das Auftauchen entsprechender Nachfragen gewohnt waren? Jedenfalls gelang es Flashback, ein für Mac-Verhältnisse riesiges Botnet aufzubauen, das ca. 600.000 Macs und damit ungefähr 1% aller vorhandenen Mac-Rechner umfasste.

Schon wenig später gab es eine Flashback-Variante, die als echte Drive-by-Infektion ohne Passwort-Eingabe auskam. Nun reichte der Besuch einer präparierten Webseite, um den Rechner mit Flashback zu infizieren. Weitere Schädlinge, die die Java-Schwachstelle, folgten, (siehe auch nakedsecurity).

Inzwischen hat auch Apple eingesehen, dass es nicht mehr möglich ist, die Gefahr durch Schadsoftware zu ignorieren. Zumindest die Marketingabteilung hat ihre Aussagen angepasst.

Und wie geht es weiter?

Mit der als Drive-by-Infektion verbreiteten Flashback-Variante ist klar, dass Mac OS X ebenso gefährdet ist wie Windows. Drive-by-Infektionen sind die zurzeit größte Gefahr im Internet, entsprechend präparierte Seiten gibt es schon lange nicht mehr nur in den Schmuddelecken bei Pornos und Raubkopien. Auch harmlose Seiten werden immer wieder entsprechend präpariert, zum Beispiel durch SQL-Injection-Angriffe, ausgespähte Zugangsdaten oder kompromittierte Werbe-Server.

Und die Cyberkriminellen werden auch flexibler: Im Juli 2012 wurde ein Java-basierter Schädling entdeckt, der Windows, Linux und Mac OS X angreifen kann, so wie es schon 2010 Boonana konnte. Beim Aufruf einer infizierten Seite versuchte das signierte Applet, sich mittels Social Engineering die Erlaubnis zur Ausführung zu erschleichen. Stimmt der Benutzer zu, prüft die JAR-Datei, um welches Betriebssystem es sich handelt, um dann den passenden Schadcode zum Öffnen der Hintertür nachzuladen.

Ebenfalls im Juli 2012 wurde Crisis bzw. Morcut entdeckt, ein Mac-Schädling, der über ein Java-Applet, anfangs unter dem Namen AdobeFlashPlayer.jar, verteilt wurde verteilt wurde. Bei Bedarf kann das Applet auch eine Windows-Variante installieren. Auffällig ist, dass der Schädling nicht in freier Wildbahn, sondern nur bei VirusTotal gefunden wurde.

Crisis/Morcut ist unter anderem in der Lage, den Benutzer über Webcam und Mikrofon auszuspionieren. Bei Kaspersky vermutet man, dass Crisis/Morcut nicht für den Schwarzmarkt, sondern für Strafverfolgungsbehörden entwickelt wurde entwickelt wurde, was von Intego unterstützt wird. Kurz darauf hat Intego dann berichtet, dass der Schädling im Rahmen eines gezielten Angriffs auf marokkanische Journalisten eingesetzt wurde.

In der Windows-Version wurden von Symantec im August weitere unangenehme Fähigkeiten entdeckt unangenehme Fähigkeiten entdeckt: Der Schädling infiziert auch VMware-Images und Windows-Mobile-Systeme. Symantec hat ein Whitepaper mit einer detaillierten Beschreibung des Schädlings veröffentlicht veröffentlicht.

Zum Abschluss des Jahres 2012 gab es dann noch einen Trojaner, der seine Opfer teuer zu stehen kommen konnte: SMSMonster bzw. SMSSend.3666 tarnt sich als Installationsprogramm für die Mac-Version des Programms „VKMusic“ zum Herunterladen von Videos und Audios von Websites. Tatsächlich fragt das Programm die Handynummer des Benutzers ab, um ihm über einen SMS-Dienst Geld zu stehlen (siehe auch Dr. Web). Auch diesmal kamen Windows-Benutzer nicht ungeschoren davon, auch für sie gab es eine Variante Variante. Apple hat sehr schnell reagiert und seinen Virenscanner Xprotect angepasst.

Java – Grundlage systemübergreifender Schadsoftware

Generell scheint der Trend in Richtung „Multi-Plattform-Schädlinge“ zu gehen: Ebenfalls im August 2012 wurde das Fernwartungstool NetWire für Mac, Windows, Linux und Solaris veröffentlicht, das zumindest teilweise zur Schadsoftware zu rechnen ist (siehe auch Naked Security)

Eine 0-Day-Schwachstelle in Java, über die beliebiger Code ausgeführt werden konnte, wurde Ende August 2012 entdeckt und ausgenutzt. Obwohl der Exploit sowohl unter Windows als auch unter Mac OS X funktionierte, wurde anfangs nur ein Windows-Schädling verbreitet (Windows-Schädling). Angeblich wurde später aber auch noch eine Tsunami-Variante über diese Schwachstelle verteilt.

„Jacksbot“ (auch als Java RAT bzw. jRAT bekannt), eine Java-basierte Hintertür für Windows, die zumindest teilweise auch unter Linux und Mac OS X funktioniert, wurde im Oktober 2012 entdeckt. Ende November/Anfang Dezember 2012 wurden tibetanische Websites mit einem Java-basierten Exploit für Drive-by-Infektionen präpariert, der Spyware für Mac OS X (genannt Dockster) und Windows installieren kann (siehe auch intego).

Fazit

Wenn Sie jetzt den Rat „Installieren Sie einen Virenscanner, dann sind Sie in Sicherheit“ hören wollen, muss ich sie enttäuschen. Ein Virenscanner ist gut, wenn es um das Erkennen bekannter Angriffe geht. Bei neuen Schädlingen versagt er oft. Man muss ihn deshalb nicht gleich als Schlangenöl bezeichnen, er ähnelt mehr einer digitalen Schutzimpfung. Denken Sie mal an die jährliche Grippeschutzimpfung, die wirkt auch nur gegen einige wenige Erreger, auch wenn viele Leute denken, sie wäre damit auch vor einer normalen Erkältung sicher.

Sie können einen Virenscanner installieren; viel wichtiger ist es aber, das System und die Anwendungen auf dem aktuellen Stand zu halten (was mit dem Mac App Store nicht unbedingt immer garantiert ist [3]) und das System etwas härten. Das betrifft unter Mac OS X vor allem Java. Wenn Sie Java im Browser nicht brauchen, schalten Sie das Java-Plug-in aus. Weitere Hinweise zur Sicherung von Mac OS X gibt es vom Bundesamt für Sicherheit in der Informationstechnik (BSI) (siehe auch).

Im vierten Teil des Artikels geht es morgen präsentieren wir Euch abschließend eine Infografik.

Teil 1 der Mac Security Week: Timeline der Mac OS X Angriffe

Teil 2 der Mac Security Week: Forscherangriffe & Pwn2Own

Teil 3 der Mac Security Week: Schädlinge und Virenscanner 


Entwickler Magazin

Entwickler Magazin 2.2013Der Artikel „Mac Security – Ein Satz mit X?“ von Carsten Eilers erscheint im Entwickler-Magazin 2.2013. Mehr Infos zum Heft findet Ihr auf der Homepage des Entwickler Magazins.


Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -