Hinter den Kulissen der Cybercrime-Ermittlung

14 Mrz 2013

Immer wenn Sie über die Verhaftung oder Verurteilung eines Cyberkriminellen lesen , können Sie sicher sein, dass der Großteil der Ermittlungen durch die Arbeit verschiedener Malware-Forscher rund um den Globus durchgeführt wurde.

a1

Egal, ob es um die Zerschlagung eines Spam-Botnetzes geht, das Aufdecken der Koobface-Gruppe oder die Verhaftung der Cyberkriminellen hinter dem Banking-Trojaner ZeuS. Die weltweiten Strafverfolgungsbehörden verlassen sich stark auf die Kenntnisse der Security-Forscher – vor allem der Anti-Malware-Firmen –, um forensische Untersuchungen durchzuführen und verlässliche Informationen zu erstellen, die zur Verurteilung eines Cyberkriminellen führen können.

Jeff Williams kann einiges über die harte Arbeit erzählen, die nötig ist, um schädliche Attacken zu identifizieren und vor der kriminalistischen Ermittlung herauszufinden, wie man den Angriff unschädlich macht. Williams arbeitete als Group Program Manager beim Microsoft Malware Protection Center (MMPC), bevor er zu Dell SecureWorks wechselte. Beim MMPC war er unter anderem an der Zerschlagung mehrerer großer Botnetze beteiligt, unter anderem Waledac, ZeuS und Kelihos.

In einem Interview erklärte Williams die verschiedenen Arten von Ermittlungen, die fast immer in einem Virenlabor starten. „Manchmal geht es um eine behördliche Ermittlung, bei der die Polizei den Ton angibt. Manchmal beginnt das Ganze in der Forschung, wenn wir eine bestimmte Malware analysieren. Selbst wenn es sich um eine laufende Ermittlung handelt, kommen die Behörden zu uns, um ein besseres Verständnis für das Schadprogramm zu bekommen. Bei Microsoft wollten wir vor allem unsere Kunden schützen, daher mussten wir daran arbeiten, das Ausmaß der Problematik zu verstehen, wie sich Malware auf Windows-Nutzer auswirkt, und was wir für den Schutz der Anwender tun können“, erklärte Williams.

Diese Arbeit hat viele Facetten. „Die Jungs im Labor machen die Routinearbeit. Sie identifizieren Schadprogramme, sammeln Exemplare davon und zerlegen diese“, so Williams weiter. Bei dieser forensischen Arbeit werden komplexe Verschlüsselungsalgorithmen per Reverse-Engineering enttarnt und das Kommunikationsprotokoll, über das die Malware eventuell mit den Angreifern kommuniziert, entschlüsselt. „Wir wollen wissen, wie die Angreifer den Schädling über die Command-and-Control-Infrastruktur kontrollieren, wo die Netzknoten liegen, welche Kommandos eingesetzt werden können. Für all das ist das Virenlabor zuständig. Diese Arbeit ist enorm wichtig.“

Sobald das Labor die Arbeitsweise des Schädlings versteht, können technische Gegenmaßnahmen ergriffen werden – entweder mit einer Virensignatur oder verbesserten Verteidigungsmethoden. Erst dann gehen wir auf die Behörden zu, um eine Strafverfolgung zu erreichen. „Manchmal muss man ein Gericht anrufen, um die Erlaubnis zu bekommen, die Kontrolle über ein Botnetz zu übernehmen. Deshalb muss man die Polizeibehörden über seine Arbeit informieren und sehr eng mit ihnen zusammenarbeiten, um eine Operation erfolgreich aschließen zu können“, führt Williams die Vorgehensweise weiter aus.

Costin Raiu, Manger des Global Research and Analysis Teams von Kaspersky Lab, stimmt zu, dass Cybercrime-Ermittlungen sehr „komplex“ sein können. Raius Team hat bereits sehr eng mit Microsoft, CrowdStrike, OpenDNS und anderen Sicherheitsfirmen zusammengearbeitet, um Botnetze auszuheben. Er beschreibt die Arbeit als „facettenreich“ und arbeitsintensiv. „Ich würde sagen, die Expertise der Forscher ist manchmal essentiell und kann den Unterschied zwischen einer Verurteilung und einem Freispruch bedeuten“, so Raiu.

Neben dem Reverse-Engineering und der Datenweitergabe an die Strafverfolgungsbehörden, arbeiten Security-Forscher meist auch eng mit den globalen Computer Emergency Response Teams (CERTs) zusammen, um gehackte Server zu requirieren oder vom Netz zu nehmen, oder Beweise und Daten von einem Server per Sinkholing abzuziehen, so dass diese Daten in einem späteren Verfahren als Beweise genutzt werden können.

„Cyberkriminalität ist ein wahnsinnig komplexer Bereich mit vielen Teilbereichen. Deshalb werden Malware-Forscher oft gebeten als Experten bei Verhandlungen über Hi-Tech-Straftaten aufzutreten“, erklärt Raiu.

Die Cybersecurity-Forschung in einem Virenlabor enthält oft auch die so genannte Open Source Intelligence (OSINT). Dieser Teil einer Ermittlung ist sehr umfassend und man muss dabei oft das Internet mit einem feinen Kamm durchkämmen, um Hinweise zu finden, die vielleicht zu einem Angreifer oder einem Schadprogramm führen.

„Während einer Ermittlung können viele Hinweise zur wahren Identität eines Cyberkriminelle führen. Manche Teile des Codes enthalten vielleicht Spitznamen oder sind in einem speziellen Stil programmiert. Diese Informationen können als Startpunkt genutzt werden, um den Verbrecher zu finden“, so Williams von Dell SecureWorks weiter.

Forscher verwenden einen Spitznamen, Anhaltspunkte aus dem Code oder die E-Mail-Adresse einer registrierten Domain, um das Web und Seiten wie Facebook, Twitter, YouTube, Wikis oder Blogs nach diesen Hinweisen zu durchsuchen. Vielleicht hat der Kriminelle ja seinen Spitznamen oder seine E-Mail-Adresse auf einer dieser Seiten ebenfalls benutzt.

Im Fall von Koobface, nutzte das Security-Team von Facebook auch Open Source Intelligence in Zusammenarbeit mit Security-Forschern und veröffentlichte Namen, Fotos und Identitäten der Leute, die sie für die Verantwortlichen hinter den Angriffen auf das Netzwerk hielten. Diese Informationen wurden in einer Art öffentlicher Anklage auch an die Medien gegeben.

„Der Großteil der technischen Arbeit wird getan, um die Anwender zu schützen, doch solche Informationen werden mit Strafverfolgungsbehörden geteilt, um Verhaftungen zu erreichen. Wenn es zu Verhaftungen und Gerichtsverhandlungen kommt, können Sie sicher sein, dass die meiste Arbeit in einem Forschungslabor gemacht wurde“, so Williams weiter. „Verhaftungen sind nicht notwendigerweise ein Ziel der anfänglichen Tätigkeit. Doch wenn ein Virenlabor das Ökosystem aufwühlt und schützt, können die Ergebnisse dieser Arbeit an die Strafverfolgungsbehörden weitergegeben werden, damit sich diese um Verhaftungen und Verurteilungen kümmern.“

Williams wiederholte noch einmal, dass die Arbeit der Forscher von sehr hoher Qualität sein muss, denn sie muss vielleicht später glaubwürdig vor einem Gericht präsentiert werden.

a2

Security-Forscher ärgern sich bei manchen der bösartigsten Attacken oft über das langsame Fortschreiten juristischer Ermittlungen, vor allem im Fall von Banking-Trojanern und betrügerischen Botnetzen. Solche langsamen Untersuchungen brachten Facebook dazu, Details über die Koobface-Ermittlungen schon vor dem Start der Polizeiarbeit zu veröffentlichen, doch Williams betonte, dass die Lage allmählich besser wird.

„Die internationale polizeiliche Zusammenarbeit muss auf jeden Fall besser werden. Kriminelle wissen, wo die Gesetze nicht so drastisch sind, und was sie tun können, um nicht entdeckt zu werden und damit eine Verhaftung zu vermeiden. Ich denke allerdings, dass die Strafverfolgung immer besser weiß, wie sie solche Fälle voranbringen kann. Es gab schon einige Fälle, in denen Gesetze genutzt wurden, die eigentlich nichts mit Cyberkriminalität zu tun haben“, so Williams. Damit bezog er sich auf den Zotob-Fall, in dem die Cyberkriminellen aufgrund von Gesetzen zur Geldwäsche, Steuerhinterziehung und Finanzdelikten verurteilt wurden.

„Es ist ganz normal, dass sich die Verteidigung langsam zum Stören, Zerschlagen und zum Finden der Hintermänner cyberkrimineller Machenschaften entwickelt. Ohne die Zerschlagung [von Botnetzen],  machen die Cyberkriminellen viel Geld, das wieder in zukünftige Attacken investiert wird. Ohne Störung von außen, ist das ein einfaches Spiel. Ich denke, wir kommen endlich an den Punkt, an dem die Verteidiger gut zusammenarbeiten, passende Technologien nutzen können und gemeinsam mit den Strafverfolgungsbehörden agieren, um das Blatt zu wenden“, ergänzt Williams.