Vom Paulus zum Saulus

Ein ehemaliger Antivirenspezialist verkauft nun Malware

Trends & News | News

Dass ein böser Hacker zum guten Hacker wird und anschließend in einem Sicherheitsunternehmen arbeitet, kommt häufiger vor. Der umgekehrte Weg ist eher ungewöhnlich und sorgt aktuell in der Sicherheitsgemeinde für Ärger.

Auf der internationalen Sicherheitskonferenz Black Hat 2009 bekam der damals 17-jährige Österreicher Peter Kleissner für sein Windows-Bootkit Stoned noch einigen Applaus. Es versteckt sich im MBR der Festplatte, um etwa die sicheren Bootprozesse von Windows und Verschlüsselungssoftware auszuhebeln. Doch bereits damals regte sich Kritik, dass das Tool des bis dato jüngsten Redners der Konferenz eigentlich der falschen Seite in die Hände spiele. Offenbar unfähig mit derartiger Kritik umzugehen, aber angestachelt vom Medienhype um ihn, hat sich der mittlerweile 18-Jährige nun von der Antivirenindustrie abgewandt und arbeitet offen gegen sie.

Beispielsweise hat Kleissner die Webseite AV-Tracker ins Leben gerufen, auf der er die IP-Adressen von Analysesystemen der Antivirenhersteller veröffentlicht. Virenautoren können diese Liste beispielsweise nutzen, damit ihre Schädlinge auf diesen Systemen ein harmloses Verhalten an den Tag legen. Kleissner schlug anfangs auf der Startseite von avtracker.org sogar vor, die Systeme per DDoS-Attacke lahmzulegen.

Um die IP-Adresse herauszubekommen, arbeitet Kleissner mit einem einfachen Trick: Er lädt ein Programm auf öffentlich verfügbare Scanner wie CWSandbox und Anubis, die nicht nur per Signatur ein hochgeladenes Sample einstufen, sondern das Programm auch ausführen und das Verhalten beobachten. Die Aufklärungsdrohne setzt dann nur einen einzigen speziellen HTTP-Request von dem Analysesystem an Kleissners Server ab, der die Quell-IP in eine Liste einträgt und veröffentlicht. Aber auch die internen Systeme der Antivirenhersteller lassen sich auf dieser Weise ausfindig machen.

Der russische Hersteller Kaspersky fand das Ausspähen seiner Systeme gar nicht lustig und ergriff Gegenmaßnahmen, indem er die von der Drohne an Kleissners Server verschickten Antworten manipulierte und beobachtete, was auf dem Server geschah. Das brachte nun wiederum Kleissner auf die Palme, der Kaspersky vorwarf, seine Systeme hacken zu wollen, und Schadenersatz forderte. Unter anderem soll Kaspersky versucht haben, HTML-Code für einen iFrame einzuschleusen, der auf eine infizierte Webseite zeigt. Kaspersky hat mittlerweile den ganzen Fall einem Rechtsanwalt übergeben, der Strafanzeige gestellt hat.

Mit dem AV-Tracker-Fall allein ist es jedoch nicht getan. Kleissners Drohne enthielt noch eine Mitteilung an die Antivirenhersteller mit einiger Sprengkraft:

„This is Peter Kleissner fuck Ikarus fuck the world fuck you all! I was once working with Ikarus and was a white hat, now I am the worst mean motherfucker black hat and I am selling the source code of Ikarus T3 :D I am with the SinowalWhistler developers, funny days, aren’t ;) and fuck Avira they don’t have no idea :D bitches“

Kleissners Tirade gegen den österreichischen Antivirenhersteller Ikarus erklärt sich mit seiner früheren Tätigkeit als Virenanalyst dort – während er noch zur Schule ging. Als herauskam, dass Kleissner Teile seines auf der Black-Hat-Konferenz vorgestellten Bootkit-Entwicklungsframeworks Stoned im Internet an Interessierte für 3000 Euro verkaufen wollte, stellte ihn Geschäftsführer Josef Pichlmayr zur Rede. Schließlich sei der Verkauf von Malware auf der einen Seite und der Verkauf von Antivirenprogrammen auf der anderen Seite unvereinbar.

Wie Pichlmayr gegenüber heise Security jedoch klarstellte, kündigte Kleissner jedoch auf Grund der Vorwürfe zuerst (fristgerecht) selbst – und bedankte sich auch zunächst für die Chance, bei Ikarus zu arbeiten. Allerdings entließ ihn Ikarus aufgrund seiner Uneinsichtigkeit in einem klärenden Gespräch dann fristlos. Ob Kleissner jedoch wirklich den Quellcode der Ikarus-Software kopiert und mitgenommen hat, ist nicht bekannt. Nach Angaben von Ikarus-Geschäftsführer Josef Pichlmayr habe man Strafanzeige gestellt, aufgrund dessen die Polizei die Computer von Kleissner beschlagnahmt haben soll – das dazugehörige Aktenzeichen liegt c't vor.

Auf Anfrage von c't bestreitet Kleissner dies jedoch, auch wisse er von keiner weiteren Strafanzeige außer der von Kaspersky. In seiner Antwort spielt Kleissner zudem die Bedeutung seiner Botschaft herunter. „Das Osterei ist nicht ernst zu nehmen und wird eben auch von so gut wie allen nicht ernst genommen. Es sollte vielmehr sarkastisch gemeint sein, da Antivirenfirmen mich immer zu einen Black Hat machen“, so Kleissner. Er arbeite auch nicht mit den Sinowal-Entwicklern und Malware-Gangs zusammen.

Kleissner stellt sein Framework zwar in Teilen öffentlich zur Verfügung, wichtige Teile hält er jedoch zurück – und genau dafür sollen Interessierte zahlen. Kleissner will durch den Verkauf seiner Software nach eigenen Angaben das Startkapital für sein eigenes Unternehmen sammeln. Offiziell betont Kleissner zwar, er wolle nur Behörden sein Framework verkaufen. Stutzig macht allerdings, dass er in der Preisliste seines Bootkit-Frameworks möglichen Käufern Anonymität zusicherte – was bei Behörden eher ungewöhnlich ist. Seltsam ist zudem, dass Kleissner nach eigenen Angaben selbst entschieden gegen Online-Durchsuchungen (mit Bundestrojanern) sein will, obwohl er unabhängig davon mit Stoned ein Tool entwickelt, was genau dies kann.

Aber auch an der Genialität von Kleissner gibt es Zweifel. Stoned weist nach Analysen von Virenspezialisten einige Ähnlichkeit zu dem Banking-Trojaner Sinowal auf, der sich in den MBR der Platte schreibt und sich per Rootkit dem Zugriff von Virenscannern entzieht. Dass Kleissner an den originalen Quellcode von Sinowal gelangt ist, sind indes nur Spekulationen. Wahrscheinlicher ist vielmehr, dass Stoned eine Neuimplementierung von Sinowal ist, wobei sich Kleissner auf die im Rahmen seiner Arbeit bei Ikarus durchgeführten Analysen von Sinowal stützte. Zumindest Teile des Sinowal-Codes will Kleissner durch Reverse Engineering ermittelt haben. Aufgrund der sehr großen Ähnlichkeit schlägt auch beispielsweise der Virenscanner des Herstellers Avira bei Stoned mit einer generischen Sinowal-Signatur an. In ersten Versionen von Kleissners Framework findet sich auch Teile der Arbeiten der indischen Brüder Nitin und Vipin Kumar, die ein eigenes Bootkit für Vista bereits im Mai dieses Jahres unter der GPL veröffentlichten.

Peter Kleissner, der sich selbst als Software Developer Guru bezeichnet, bastelt unterdessen weiter fleißig an seinem Bootkit Stoned weiter. Mittlerweile hat er Stoned V2 Alpha 3 R2 veröffentlich, das in einer nichtöffentlichen Variante ein „Remote Surveillance Tool“ mitbringt – vulgo ein Programm zum Fernsteuern eines infizierten Windows-PCs. Dies stammt allerdings auch nicht aus seiner Tastatur, sondern vom österreichischen Programmierer Michael Eisendle.

Der vorerst letzte Tiefpunkt in Kleissners Karriere dürfte ein drohender Rauswurf aus seiner Schule sein, nachdem er versucht haben soll, die USB-Sticks von Lehrern mit Keyloggern zu infizieren. Trotz aller Eskapaden und prahlerischer „tv total“-Auftritte scheint Kleissner aber nicht nur Kritiker zu haben. Auf der kommenden Sicherheitskonferenz DeepSec in Wien, auf der auch Redner aus der Antivirenindustrie auftreten, will er neueste Informationen zu Stoned präsentieren. Möglicherweise reißct so der Kontakt zur anderen Seite nicht vollends ab und der jugendliche Heißsporn lässt sich doch wieder besänftigen.

Kommentare