„Pony Botnet“ spioniert Passwörter aus

goneo_warnung_bugBotnetze bestehen aus oftmals vielen Tausend PCs oder auch Servern, die gewissermaßen ferngesteuert werden, um Daten auszuspionieren, Angriffe auf andere System zu gemeinsam auszuführen oder Spam zu versenden.

Eine akute Bedrohung geht nach wie vor vom Pony Botnet aus.

Die Sicherheitsfirma Trustwave SpiderLabs hat Details zu einer Installation veröffentlicht, die das Ausmaß erahnen lassen: Nach einem aktuellen Bericht der Firma seien 1,58 Millionen Zugangsdaten für Webservices gestohlen worden, dazu noch 320.000 E-Mail-Accountdaten, 41.000 FTP-Zugangsdaten und noch einige weitere Zugangsdaten für Remote Desktop und Secure Shell – Zugänge.

Große und kleine Dienste betroffen

In entsprechenden Meldungen werden immer wieder Massendienste wie Google, Facebook, Yahoo. LinkedIn genannt, da viele der Opfer diese Dienste nutzen. Aber: Die Bedrohung beschränkt sich nicht auf diese Dienste wie Google und Co. Hacker sind auch an Ihrem goneo-E-Mail-Zugangsdaten interessiert, denn damit lässt sich zum Beispiel Spam versenden. Oder: Mit den ergatterten FTP-Zugangsdaten wird eine Phishing-Seite hochgeladen, mit der wiederum neue  Zugangsdaten für das Onlinebanking etc. erbeutet werden.

Man kann damit rechnen, dass viele Webfirmen nun die betroffenen Passwörter zurücksetzen und die Kunden informieren.

Keylogger „Overkill“ im Einsatz

Die Software für Pony kann man sich aus dem Web laden, da der Quellcode vor einiger Zeit veröffentlicht worden ist. Die Menübenennungen in der Oberfläche sind in russischer Sprache. Mit der Software kann man sich die täglichen Aktivitäten des aufgebauten Netzwerks ansehen und sich auch graphisch anzeigen lassen, wie erfolgreich das Botnetzwerk beim Ausspionieren von Zugangsdaten pro Zeitabschnitt war.

Die Daten werden mit eingeschleuster Keylogger Software  gewonnen. Der Keylogger zeichnet alle Tastatureingaben auf. Verwendet wurde meist der Keylogger „Overkill“.

Die Frage ist nun: Wie kann man feststellen, ob sich ein Keylogger oder andere Spyware auf dem System befinden? Mit einer gewissen Sicherheit, aber nicht mit absoluter Sicherheit, finden Antivirenprogramme die Schadsoftware und helfen auch beim Entfernen. In diesem Zusammenhang wird auch immer wieder SpyBot Search & Destroy empfohlen, allerdings auch eine komplette Neuinstallation von Windows.

Eine weitere Frage ist: Wie kommen Keylogger überhaupt auf den Rechner? Bekannte Wege, Schadsoftware einzuschleußen ist, den User zu einem Klick zu veranlassen, der Zugang zu wichtigen oder interessanten Informationen verspricht. Beliebt sind als an sich harmlose Dateien getarnte Anhänge an E-Mails. Je nach Zielgruppe sollen diese teilweise auch gezippten Dateien Bilder enthalten, Rechnungen, ein Jobangebot, eine Ausschreibung oder eine Einladung zu einer Konferenz. Besonders perfide: Es gibt auch als Servicemails getarnte betrügerische Aufforderungen, seine Zugangsdaten für einen beliebten Dienst einzugeben.

 So gelangt Schadcode auf den Rechner

Ein unbedachter Doppelklick auf einen E-Mail-Anhang mit getarnter Schadsoftware startet zum Beispiel die Installation des Keyloggers. Auf dem Bildschirm wird vielleicht eine Fehlermeldung wie „Datei nicht lesbar“ ausgegeben. Der User denkt sich nichts dabei und arbeitet normal weiter. Ab nun jedoch werden Tastatureingaben unbemerkt mitprotokolliert, gefiltert und die im Buchstabensalat gefundenen Benutzernamen-Passwort-Kombinationen an den Steuerrechner übermittelt.

Verspricht Unterstützung: botfrei.de

Zum Schutz von Anwendern hat der Branchenverband eco zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Website gestartet. Unter botfrei.de kann man sich über aktuelle Bedrohungen informieren, Botfrei.de hilft aber auch beim Säubern und Vorbeugen.

Im Grund ist botfrei.de genauso wie eine ähnliche Initiative für Webseitenbesitzer (initiative-s.de) eine gute Sache, doch leider sind diese Initiativen bei der Auswahl ihrer Partner sehr selektiv, was nicht gerade das Vertrauen in diese Closed-Shop-Initiativen fördert. Die Transparenz fehlt. Schließlich hat auch die positive Vertrauenswirkung des Bundesadlers, der im Logo des BSI Verwendung findet, gelitten, seitdem der Einsatz von „Bundestrojanern“ durch deutsche Regierungsstellen bekannt wurde.

Auch Google gibt allgemeine Sicherheitstipps unter http://www.google.de/goodtoknow. Hier geht es um Tipps für Passwörter, Schutz vor Malware und Identitätsdiebstahl.

User benutzen zu einfache Passwörter

Was bei der Analyse der mit Pony geernteten Daten außerdem erneut auffällt: User verwenden oft – zu oft – sehr einfach strukturierte Passwörter. Ganz oben auf der Liste der meistverwendeten Daten steht die Zeichenfolge „123456“, gefolgt von „123456789“ und „1234“. Zudem wird auch deutlich, dass es einen Trend gibt: Immer mehr Zugänge werden mit zu einfachen Passwörtern geschützt. Das verwundert nicht. Schließlich müssen wir uns alle immer mehr Benutzernamen-Passwort-Kombinationen merken und Leichtsinn ist eher typisch menschlich.

Auch wenn Keylogger eingesetzt werden: Komplexe Passwörter machen auch den Keyloggern das Leben schwerer. Bei hinreichend komplexen Passwörter kann die automatische Eingabe greifen und der User muss die einzelnen Zeichen nicht eintippen – der Keylogger bekommt den Rest des Passworts nicht mit und dann muss die Keyloggersoftware versuchen, die wahrscheinlichste Endung des abgefangenen Anfangs zu finden.

Wir empfehlen, die Benutzernamen-Passwort-Kombinationen hinreichend komplex zu gestalten und die Zugangsdaten auch regelmäßig zu ändern. Um den Durchblick zu behalten, können Sie einen Passwortmanager verwenden. Dann allerdings müssen Sie besonders gut auf das Master-Passwort aufpassen.

Erstellen Sie regelmäßig Backups und heben Sie mehrere Generationen auf

Natürlich ist es wichtig, Keylogger und andere Schadsoftware nicht auf das System kommen zu lassen. Doch bei aller Vorsicht, die Sie walten lassen, sollten Sie auch den Ernstfall einplanen.

Zuverlässige Entfernung von schädlicher Software ist manchmal nur möglich, wenn Sie alles löschen und das Betriebssystem neu aufsetzen. Das heißt aber auch: Ihre persönlichen Daten, Ihre Einstellungen, Mails, alles, was auf diesem Gerät gespeichert ist, ist verloren, wenn Sie die Festplatte neu formatieren müssen. Sie benötigen also aktuelle Backups. Sichern Sie regelmäßig Ihre Daten auf eine externe Festplatte oder einen anderen Datenträger.  In neueren Windows-Versionen gibt es dafür geeignete Bordmittel. Mac User nutzen dafür Time Machine. Sie benötigen aber viele Backups und sollten die Vorversionen aufbewahren, denn wenn sich Schadsoftware ins System einnisten konnte, ist sie möglicherweise auch vom Backup erfasst und mitgespeichert worden.

Hier haben wir noch ein Sammlung weiterer hilfreicher Links:

http://www.pcwelt.de/ratgeber/Die-besten-Passwort-Manager-47695.html

http://www.computerwoche.de/a/die-besten-passwort-manager,2519783

http://www.spiegel.de/netzwelt/apps/passwort-manager-fuer-iphone-co-im-ueberblick-a-926133.html

http://www.netzwelt.de/software/passwort-manager.html

http://de.wikipedia.org/wiki/Kennwortverwaltung

Dieser Beitrag wurde unter Aus dem Support, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.