Die Analyse von Malware braucht nicht nur Einiges an Talent und Geschick, sondern auch die richtigen Werkzeuge und Methoden. Doch wie sieht es bei IoT-Malware aus?
Schadsoftware zu analysieren ist das tägliche Geschäft in zahlreichen Sicherheitsunternehmen weltweit – so natürlich auch bei G DATA. Unterstützt von KI- und Machine Learning lässt sich jedes Schadprogramm auseinandernehmen, sodass die inneren Mechanismen zutage treten. Doch Schadsoftware gibt es nicht nur für PCs und Smartphones. Mit der Ankunft von allen möglichen „smarten“ Geräten hat sich hier für Kriminelle ein neues Betätigungsfeld aufgetan.
Hier warten sowohl technische Herausforderungen als auch maximale Wirkung. Ob Router, internetfähige Kamera, smarter Stromzähler oder Kinderspielzeug mit Cloud-Unterstützung: überall gibt es kleine Computer, die dieses „Internet of Things“ (dt: „Internet der Dinge“) ausmachen, und damit natürlich auch Betriebssysteme und Software, die Schwachstellen hat. Und wo es Geräte mit Internetverbindung gibt, sind Kriminelle heutzutage nicht weit, die Daten zerstören und Informationen stehlen wollen.
Eine für kriminelle und Sabotagezwecke eingesetzte IoT-Schadsoftware nennt sich „AcidRain“ (en.: „saurer Regen“). Diese zielt primär auf Modems, Router und ähnliche Geräte ab. Ziel von AcidRain ist das Löschen wichtiger Daten aus dem Speicher des infizierten Geräts – ohne diese Informationen kann das Gerät nicht mehr arbeiten – und alles, was an ein Modem angeschlossen ist und auf dieses angewiesen ist, kann nicht mehr mit der Außenwelt kommunizieren. Ergebnis: Das Gerät muss entweder auf Werkseinstellungen zurückgesetzt und neu konfiguriert werden – oder es muss Ersatz beschafft werden, da man zuerst mit recht großem Aufwand die Firmware des infizierten Modems neu aufspielen müsste.
Um herauszufinden, wie eine Schadsoftware funktioniert, muss man sie irgendwo ausführen. Das funktioniert jedoch nicht so ohne Weiteres, vor allem wenn die entsprechende Hardware nicht vorhanden ist. Und selbst wenn: Schadprogramme wie AcidRain erfordern gegebenenfalls nach jedem Versuch entweder eine Neueinrichtung oder Neuinstallation. Für ausgedehntee Versuche skaliert das nicht besonders gut. Für PC-Malware ist das einfach – hier gibt es Programme, mit denen sich komplette PCs simulieren lassen, so genannte virtuelle Maschinen. VirtualBox, VMWare oder OpenBox ist vielen Interessierten ein Begriff.
Ein wichtiger Unterschied, den es bei IoT-Malware zu beachtgen gibt: Aus Kostengründen und aus Energiespar-Gründen kommen hier nur sehr selten traditionelle Desktop-Prozessoren zum Einsatz. Hier finden sich eher MIPS-Architekturen, PPC- oder ARM-Prozessoren. Diese kommen in vielen Geräten zum Einsatz, von Babyphones über Heim-Automatisierungssysteme bis zu Routern oder Spielekonsolen. Damit Malware die Dinge tut, die sie eben tut, muss sie sich „zuhause fühlen“. Hier kommen passende Emulationen zum Zug.
Welche Werkzeuge für die Analyse von IoT zum Einsatz kommen und wie eine Analyse abläuft, hat Tatjana Ljucovic näher beleuchtet – im ersten Teil ihrer Artikelserie auf cyber.wtf (Artikel in englischer Sprache; Link öffnet sich in einem neuen Fenster) geht es um das Aufsetzen einer Analyse-Umgebung für eine IoT-Malware namens „AcidRain“ – diese löscht unter anderem Dateien und Ordner auf einem befallenen System.