In diesem Report soll es vornehmlich um aktuelle und auch zukünftige Trends in der Backdoorszene gehen. Dabei sollen neben bereits existierenden Gefahren auch einige theoretische eine Rolle spielen.
Unter Backdoors versteht man eine besondere Art von Trojanern. Sie ermöglichen Fremden ohne das Wissen des Betroffenen auf dessen Rechner zuzugreifen und ihn quasi fernzusteuern.
Backdoors sind im Vergleich zu Computerviren relativ weit zurück in ihrer Entwicklung. Sie nutzen keine effektiven Verschlüsselungen, keine Tarnmethoden - sogenannte Stealthtechniken - um sich zu tarnen und sie verbreiten sich nicht selbst weiter, wie beispielsweise Würmer.
Dies wird sich in der Zukunft allerdings ändern. Prinzipiell kann man die Weiterentwicklung der Backdoors in 3 Bereiche einteilen.
1.Weiterentwicklung in der Verschlüsselung
2.Weiterentwicklung bei den Tarnmöglichkeiten
3.Weiterentwicklung bei den Verbreitungsmethoden
Vor geraumer Zeit machte ein Trojaner namens "MoSucker 2.2" von sich reden. Er sollte der erste Trojaner sein, der eine variable Verschlüsselung - eine sogenannte polymorphe Verschlüsselung - nutzt um sich vor Anti-Trojaner-Software schützen zu können. Man kann MoSucker 2.2 als eine Art Vorreiter in diesem Sektor betrachten. Zum Glück, war die entsprechende Verschlüsselungsroutine in MoSucker 2.2 nicht sonderlich gut, so daß die Erkennung den meisten Scannern keine Probleme bereiten sollte. Dies wird sich aber in Zukunft ändern, wenn Backdoors zu 100% polymorph werden sollten - diese also zu 100% variabel verschlüsselt sein könnten.
Ebenso gelangte ein Trojaner Namens "BioNet" zu Ruhm. Er bot mit als erster die Möglichkeit Schutzsoftware wie Firewalls und Virenscanner einfach abzuschalten. Diese Vorgehensweise ist in immer mehr Backdoors zu finden und scheint eine Art Volkssport unter den Backdoorprogrammierern zu werden ("Welcher Backdoor killt die meisten Programme?"). Allerdings wird dieser Trend wahrscheinlich bald durch folgende Technik abgelöst werden:
Windows bietet jedem Programmierer eine Programmierschnittstelle - die sogenannte API - über die bestimmte Aktionen und Anfragen durchgeführt werden können. Solche Aktionen wären z.B. "Datei öffnen", "Datei löschen", "Programm beenden" usw. . Neuere Backdoors klinken sich vor diese Schnittstelle. Dieses als API Hooking (to hook - einhacken) bezeichnete Vorgehen macht es Backdoors möglich gänzlich unsichtbar zu sein und die komplette Kontrolle über gestartete Programme zu übernehmen. Selbst Virenscannern wäre es nicht möglich einen solchen Trojaner zu finden.
Eine ähnliche Technik wird man demnächst auch für Firewalls finden. Es sind derzeit mehrere Backdoors in Programmierung, die ihren eigenen "Treiber" für TCP/IP, dem Übertragungsstandard für sämtliche Daten im Internet, nutzen - den sogenannten TCP/IP Stack - mit dessen Hilfe sie gänzlich unsichtbar für Firewalls sind, die nur den Windows-eigene TCP/IP Schnittstelle "WinSock" überwachen.
Ein Report von Andreas Haak (Autor von "ANTS")
Fragen, Anmerkungen im Bezug auf diesen Report sind direkt an den Autor zu richten.
