| |
Home / Weblog
Analytiker-Tagebuch
CVE-2012-0003 Exploit ITW |
|
Südkoreanische Anwender deaktivieren den öffentlich verteilten Schadcode, der die Lücke CVE-2012-0003, eine mittels des von Microsoft im Januar 2012 bereitgestellten Patches MS12-004 geschlossene Schwachstelle ausnutzt, nur sehr schleppend. Wir haben mit Reportern darüber diskutiert, dass der Code bereits seit dem 21. zur Verfügung steht, und eine Website scheint während des gestrigen Tages oder so nur eine sehr geringe Zahl koreanischer User angegriffen zu haben. Diese Seite ist gegenwärtig immer noch aktiv. Das Exploit selbst scheint einfach und mit großer Zuverlässigkeit replizierbar zu sein, so dass wir davon ausgehen, es in einer Reihe öffentlich verfügbarer Commodity-Exploit-Packs erneut anzutreffen. Chatter von den Exploit-Entwicklern zeigen, dass der „Proof-of-Concept-Schädling“ schon bald quelloffen sein wird, mit der Konsequenz, dass in den nächsten paar Tagen eine weitere Verteilung des Exploits stattfinden wird. Während wir das ursprüngliche Release des Codes mithilfe eines mehrere Jahre alten generischen Detektionsverfahren erkannt haben, wurde dieses einem Update unterzogen, um das Javascript und das als „Exploit.x.CVE-2012-0003“ verwendete Exploit besser identifizieren zu können. Die sehr kleine Zahl der Besucher der Website wurde mit einem Code getroffen, der zur Übertragung eines Rootkits und einer Reihe von Spyware-Komponenten entwickelt worden war. Anscheinend standen die Rootkit-Komponenten in Zusammenhang mit Zielen im Bereich von Online-Games, die von südkoreanischen Spieleherstellern in ungefähr dem letzten halben Jahr produziert worden waren. Das Exploit greift den Windows Media Player Code in winmm.dll an und überträgt ein Heap Spray, das etwas überraschend auf den meisten Windows-Versionen bis einschließlich Windows Server 2008 für x64-basierte Systeme SP2 funktioniert. Stellen Sie bitte unbedingt sicher, dass Ihr System upgedated ist.
Der Zappos-Einbruch und die Authentifizierung mittels Textpasswort` |
|
Nach dem umfangreichen Einbruch in seine Datenbanken macht die Geschäftsleitung des US-Onlinehändlers Zappos genau das Richtige, indem sie anscheinend ohne Umschweife und eindeutig bekannt gibt, auf welche Daten zugegriffen wurde und welche nicht betroffen waren – es gibt ihrerseits keine unerklärlichen Verzögerungen oder widersprüchlichen Meldungen hinsichtlich des Zwischenfalls. Für mich ist es wie ein zweites Aurora-Erlebnis, als Google außergewöhnlich offen mit dem Hackereinbruch umging, während die anderen 30 von Aurora angegriffenen Großunternehmen genau das Gegenteil taten und sich in aggressiver Weise hinter ihren Verschwiegenheitsverpflichtungen verschanzten, um den Aurora-Angriff auf ihr Unternehmen zu verschleiern und den Kopf in den Sand zu stecken. Zappos setzt die Kennwörter von 24 Millionen Kunden zurück und informierte diese kürzlich per E-Mail über das Problem. 
Zappos erklärte allen 24 Millionen Nutzern in einer kurzgefassten E-Mail auch, dass „wir Ihnen schreiben, da möglicherweise ein widerrechtlicher und nicht autorisierter Zugriff auf einige Ihrer Kundenkontoinformationen auf Zappos.com stattgefunden hat, darunter auf eine oder mehrere Ihrer folgenden Informationen: Name, E-Mail-Adresse, Rechnungs- und Lieferadresse, Telefonnummer, die letzten vier Stellen Ihrer Kreditkartennummer (d.h. die Standardinformationen, die auf allen Belegen aufscheinen), und/oder Ihr kryptografisch verwürfeltes Passwort,“ während „DIE DATENBANK, IN DER SENSIBLE KREDITKARTEN- ODER ANDERE ZAHLUNGSINFORMATIONEN UNSERER KUNDEN GESPEICHERT SIND, NICHT BETROFFEN WAR.“ Über all das ist ausreichend diskutiert worden und sollte einfach gängige Praxis sein, zeitgerechte Benachrichtigungen eben. Trotzdem bleiben noch ein paar interessante Punkte offen. 1. Zappos sollte Regeln für stärkere Passwörter aufstellen.
2. Zappos sollte Licht in bestimmte Details des Einbruchs bringen und genau erklären, welche Daten in der Datenbank gespeichert waren und was zum Teufel sie mit „kryptografisch verwürfelten Passwörtern“ meinen. Jeder hat seine eigene Meinung zu Passwort-Regeln und Trade-offs. Meine eigene sieht, einfach ausgedrückt, folgendermaßen aus: Ich bin ein Verfechter von langen Passwörtern und eher ein Befürworter von OpenID für nicht sensible Accounts (ist es wirklich so verheerend, wenn die Kommentare der meisten Leute in ihrem Account bei ihrer Lokalzeitung oder sogar bei größeren Foren zeitweise gekapert werden?) und von der Einrichtung verschiedener Sensibilitätsstufen pro Account-Typ, und ich bin auch ein Befürworter von Kennwort-Tresoren, die eine Verwaltung der wachsenden Zahl von Konten und Passwörtern ermöglichen.
Haben die Website-Betreiber etwas aus den vergangenen Vorfällen gelernt, was die Einrichtung und Durchsetzung starker Passwörter für die Zeit der Kunden nach dem Einbruch betrifft? Vor dem Hintergrund, dass es sich bei Zappos um eine Händler-Website handelt, die auch Finanztransaktionen involviert, sind hier sämtliche Daten der Nutzerauthentifizierung als sensibel zu betrachten. Sehr wahrscheinlich nutzte Zappos in der gehackten Datenbank einen verschlüsselten Hash seiner Kundenpasswörter, zusammen mit einem einmaligen Saltwert. Aber es müsste klargestellt werden, ob es diese Struktur ist, die sie als „kryptografisch verwürfelt“ bezeichnen? „Verwürfelt“ ist kein allgemein gebräuchlicher Sicherheits-Jargon und wurde höchstwahrscheinlich von einem Marketing-Menschen kreiert, der in dieser Situation sein Bestes versucht hatte. Nutzt Zappos gesalzene MD5-Hashes für seine Passwort-Werte? Wie wäre es mit etwas Stärkerem und warum nicht? Diese Einbrüche ereigneten sich durchwegs in 2011, häufig nur „wegen der Lulz“ (aus Spaß am Schabernack) - die meisten Website-Betreiber sollten sich auf das Schlimmste vorbereiten. Weiterhin untersagt Zappos seinen Nutzern die Verwendung eines ihrer letzten sechs Passwörter. Muss das Unternehmen aber wirklich die sechs vorigen Passwörter seiner Kunden speichern? Wurden alle diese Passwörter ebenfalls gestohlen, gibt es in der E-Mail keinen Hinweis darauf? Als das Zappos-Team seine Nutzer kürzlich dazu verpflichtete, ihre Kennwörter zu erneuern, ermöglichte es ihnen, Passwörter aus einem Minimum von 8 Stellen, darunter 1 Klein- und 1 Großbuchstabe oder 1 Sonderzeichen zu verwenden. Demnach könnte ein Nutzer-Passwort z.B. „Zappos12“ lauten, und genau hier liegt ein größeres Problem. Mit Hilfe von „Rainbow Tables“, die als Teil sowohl von Produkten als auch von Open Source-Projekten, die auf den wichtigsten IT-Sicherheitskonferenzen jahrelang diskutiert worden waren, in Umlauf gewesen sind, kann eine derart schwache Kennwort-Struktur schnell offline geknackt werden. Es reicht nicht mehr aus, einfach zu sagen, „verwenden Sie einen Mix aus 8 Zeichen“ und damit hat es sich dann. Mark Burnetts Bericht von 2006 über „Perfekte Passwörter“ beschreibt das Zahlenspiel von Passwort-Crackern bzw. -Erfindern - in heute bereits veralteter Terminologie - sehr gut., und in einigen Präsentationen bei der letztjährigen Defcon 19 wurden die Ökonomie und die Möglichkeiten der gegenwärtigen Cracker-Methoden, insbesondere im Bereich von GPU, demonstriert. Leistungsfähige, spottbillige GPGPU-Hardware und aktuelle Cloud-Lösungen sind in der Lage, unglaubliche Stufen und Bandbreiten der Unberechenbarkeit und Einmaligkeit von Passwörtern in sehr kurzen Zeitspannen zu knacken. Acht Zeichen tun es einfach nicht. Schlussendlich brauchen wir nicht nur stärkere, sondern auch praxistauglichere Regen für die Erstellung von Passwörtern als jene, die von den größten Website-Betreibern forciert werden, aber wir müssen mehr als nur für einige wenige Jahre über die mangelhaften Authentifizierungsstrukturen, die dringend behoben werden müssen, einschließlich der allgegenwärtigen Verwendung von Simple Text-Passwörtern, vorausdenken.
Wallpaper des Malware-Kalenders für 2012 |
Wie einige von Ihnen sich erinnern werden, haben wir 2011 für jeden Monat ein Wallpaper unseres Malware-Kalenders eingestellt. Das werden wir auch in diesem Jahr – mit aktuellen Informationen aus 2011 – weiter beibehalten. Allerdings haben wir uns entschieden, es dieses Jahr ein wenig anders zu machen und alle 12 Kalenderblätter auf einmal zu zeigen. Sie können alle hier abgerufen werden. Wir hoffen, dass Ihnen die diesjährigen Designs gefallen und die Informationen für Sie interessant sind.
Eine Schule für Cybercrime: Wie werde ich ein Black Hat |
|
Für brasilianische Hacker ist das Leben einfach herrlich: Wegen fehlender spezifischer gesetzlicher Regelungen gegen Cybercrime fühlen sie sich derart unangreifbar, dass diese bösen Jungs sogar die Unverschämtheit besitzen, ihre Diebstähle öffentlich zu machen und mit den finanziellen Erfolgen ihres Gangsterlebens zu prahlen. Bei der letzten Virus Bulletin Konferenz haben wir in einer Präsentation einige dieser Auftritte gezeigt; und You Tube-Clips von brasilianischen Bankern und Cardern, die in Erinnerungen an ihre unrechtmäßig erworbenen Gewinne schwelgen und den geschröpften Opfern ihr schnell gemachtes Geld unter die Nase reiben, sind längst zur Normalität geworden (ein Beispiel kann hier abgerufen werden, im Web lassen sich noch unzählige weitere finden). Dass sich die Profile dieser Kriminellen in sozialen Netzwerken wie Twitter, Tumblr, etc. nachlesen lassen, ist genauso alltäglich. Alles geschieht ganz offen, ohne jede Furcht, erwischt zu werden. Zur Unterstützung neuer „Unternehmer“ oder von Anfängern, die sich für eine Cybercrime-Karriere interessieren, sind ein paar brasilianische Kriminelle dazu übergegangen, kostenpflichtige Kurse anzubieten. Andere sind mit der Gründung einer Cybercrime-Schule, in der jedermann, der mit einem Leben in der Computerkriminalität liebäugelt, aber nicht über das technische Know-how verfügt, die notwendigen Fertigkeiten verkauft werden, sogar noch weiter gegangen. Auf der Website, wo diese Kurse angeboten und die „Schule“ beworben wird, fördert eine sorgfältige Suche Kursangebote wie „Wie werde ich ein Banker“, „Kit Spammer“ oder „Wie werde ich ein Defacer“ zutage. 
Jeder Kurs wird in einem hochwertig aufgemachten Paket, das den vollständigen Umfang des zu studierenden „Lehrplans“ enthält, geliefert. Bei dem Kurs „Wie werde ich ein Banker“ heißt es: 
„Dieses Kursangebot richtet sich an all diejenigen, die Online-Transaktionen durchführen. Sie lernen, wie Cracker die Kontrolle über die Computer von Unternehmen oder Heimanwendern übernehmen, worum es bei dem Thema „Social Engineering“ geht, wie die Selbstinfektion von Programmen funktioniert, wie der Quellcode (von Trojanern) genutzt werden kann, wie sich die auf Browsern, wie z.B. Internet Explorer, Firefox, Chrome, Avant, Opera und Antiviren-Lösungen oder Firewalls installierten Sicherheits-Plugins manipulieren lassen. Wie Spamming dazu beiträgt, neue Opfer zu rekrutieren, was „Loader“ tun und wie Cracker sie sich zunutze machen. Weiterhin erlernen Sie sämtliche, von Crackern und Bankern verwendeten Slang-Wörter und erfahren mehr über Dinge wie „Loader“, „info”, „cc”, „admin”, „laras (Money-Mules)”, „Desco, Ita, Uni, Sta, CEF, BB, City (verbreiteter Name von brasilianischen Banken) und vieles mehr. Sie entdecken, wie Cracker Kreditkarten, Scheckbücher, IDs, Führerscheine, Geburtsurkunden und andere Dokumente nachmachen. Sie erfahren, wie Cracker in den Besitz von E-Commerce-Websites, die Kreditkartennummern speichern, kommen und wie sie diese Daten einsetzen. Sie erhalten Informationen über die Gesetzeslage in Brasilien und über das mögliche Strafausmaß im Falle einer Festnahme, sowie über mögliche Risiken und Strategien zur Vermeidung einer Entdeckung. Alle genannten Punkte und einiges mehr sind Teil unseres Kurses.“ Angeboten wird auch einen Kurs für Spammer, mit dem sich sämtliche Techniken für effektives Spammen erlernen lassen. Gratis mit dem Kurs mitgeliefert wird: eine Liste mit 60 Millionen E-Mail-Adressen, mit der die erlernten Spam-Techniken direkt angewendet werden können: 
„KIT SPAM UPDATED: Heutzutage herrscht in dem virtuellen Umfeld ein harter Wettbewerb, der es neuen Nutzern erschwert, sich in einem ständig wachsenden Markt gegen erfahrenere Konkurrenten zu behaupten. Dies inspirierte uns dazu, KIT SPAM zu entwickeln, in das wir über 60 Millionen E-Mail-Adressen, unterteilt in verschiedene Kategorien: Fachleute, Privatpersonen und Unternehmen, Beamte, Geschäftsleute, Politiker, eingefügt haben. Das Kit beinhaltet Absender, Social Engineering-Techniken, mit denen eine hohe Verbreitungsrate sichergestellt wird, ein E-Mail-Extrahierungstool und Quellcodes in Delphi. Sie brauchen die Massenmails nur noch zusammenzustellen und zu versenden. Alles für nur R$ 130.00 (rund $75).
Alle Kurse können online erworben werden, oder – wenn jemand möchte, kann er auch persönlich an den Kursen teilnehmen. Die Adresse der „Schule“ ist ebenfalls auf der Website angegeben: 
Brasilianische Finanzinstitutionen meldeten für die erste Hälfte von 2011 einen Verlust von R$ 685 Millionen (rund US $380 Mio.) als Folge von Entschädigungszahlungen, die an Internet Banking-Kunden, welche Geld verloren hatten, geleistet werden mussten. Meiner Ansicht nach ist es höchste Zeit, dass die Politiker in Brasilien ein Gesetz auf nationaler Ebene gegen den lokalen Cybercrime verabschieden, damit die Polizei endlich in die Lage versetzt wird, den Kampf gegen den Cybercrime aufzunehmen. Angesichts der Internetkriminellen, die sich öffentlich mit ihren widerrechtlich erlangten Profiten brüsten, benötigen wir weitaus radikalere und energischere Aktionen, um sie aufzuhalten.
Tausende europäischer Kreditkarten nach Einbruch in Zahlungsprozessor gesperrt |
|
Mehrere osteuropäische Banken haben Anfang der letzten Woche damit begonnen, ihre Kunden zu informieren, dass ihre Kreditkarten gesperrt wurden und durch neue ersetzt werden. Der Großteil dieser Banken gab keine weiteren Einzelheiten zu dem Vorfall bekannt und verabsäumte es in vielen Fällen sogar, ihre Kunden vor der tatsächlichen Kartensperrung zu benachrichtigen. Nur ein weiterer Tag im Processing von Payment-Transaktionen? In Anbetracht der überhasteten Reaktion seitens der Banken und des Mangels an Informationen rund um diesen Fall würde ich sagen, nein. Begonnen hatte alles vor einer Woche, als die staatseigene rumänische CEC Bank als Reaktion auf einen Einbruch in einen der europäischen Zahlungsprozessoren von VISA rund 17.000 Kreditkarten sperren ließ. Die Reaktion anderer Banken ließ nicht lange auf sich warten. Die rumänische Niederlassung der ING Bank bestätigte ebenfalls, infizierte Karten gesperrt zu haben, ohne jedoch Zahlen zu nennen. Laut ihrer Aussage seien nur wenige Karten gesperrt worden, und die Situation würde genau beobachtet. Wenige Tage später begannen auch serbische Banken aus Sicherheitsgründen mit der Sperrung von Tausenden von Karten. Raiffeisen Bank, Komercijalna und Societé Générale bestätigen, von VISA darüber in Kenntnis gesetzt worden zu sein, dass die Karten einiger ihrer Kunden infiziert worden seien. Parallelen zu den Vorfällen in Rumänien sind unverkennbar. Die Gerüchte verdichten sich, dass der europäische Ableger eines E-Payment Service Providers, Euronet Worldwide, der Ausgangspunkt für diesen Einbruch ist. Diese Information geisterte durch die Businessmedien in Rumänien (1, 2), und obwohl nicht offiziell bestätigt, würde sich dadurch erklären lassen, warum Kunden von unterschiedlichen Banken in unterschiedlichen Ländern betroffen waren. Aufgrund der gemischten Reaktionen der Banken auf diese Ereignisse ist es nahezu unmöglich, die Schwere dieses Sicherheitsverstoßes einzuschätzen. Während einige Banken unverzüglich dazu übergingen, die betroffenen Karten ausnahmslos zu sperren und zu ersetzen, beschränkten sich andere darauf, die Situation genauestens zu verfolgen. So ist es aktuell äußerst schwierig, sich ein Gesamtbild von den Vorfällen und Entwicklungen zu machen, aber wie es der Normalfall ist, wird es sich wahrscheinlich nicht um Einzelfälle handeln. Tatsächlich könnten diese Geschichten nur die Spitze des Eisbergs sein. Bitte kontaktieren Sie uns, wenn Sie kürzlich eine derartige Benachrichtigung Ihrer Bank erhalten haben, speziell, wenn Sie nicht in Rumänien oder Serbien leben. In der Zwischenzeit empfehlen wir Ihnen dringend, die folgenden drei Regeln zu beachten, um zu vermeiden, Opfer eines Kreditkartenbetrugs zu werden:
- Kontrollieren Sie Ihre Kartenabrechnungen so oft wie möglich. Überprüfen Sie, ob alle angeführten Zahlungen auch wirklich von Ihnen selbst durchgeführt wurden. Sollten Sie eine betrügerische Buchung feststellen, kontaktieren Sie unverzüglich Ihre Bank.
- Aktivieren Sie die Option Instant-SMS-Benachrichtigung, sofern Ihre Bank diese anbietet. Bei manchen Banken ist diese Option kostenlos, bei anderen kostenpflichtig – ganz gleich, es lohnt sich auf jeden Fall. Denn so erhalten Sie in Sekundenschnelle einen Bericht über die mit Ihrer Karte durchgeführten Zahlungen.
- Sorgen Sie dafür, dass der Großteil Ihres Geldes auf einem Konto liegt, mit dem keine Bankkarte verbunden ist. Zwar mag es lästig erscheinen, jede Woche oder jeden Monat Geld von einem Konto auf einen anderes transferieren zu müssen, aber es kann Ihnen eine ganze Menge Ärger ersparen, sollte Ihre Karte einmal kompromittiert werden.
Last, but not least, sind wir uns natürlich darüber im klaren, dass wir uns in der Urlaubssaison befinden und jedermann ans Shoppen denkt. Wenn Sie also auch beim Online-Shopping die Sicherheit Ihres Geldes nicht vernachlässigen möchten, ist dieser aufschlussreiche Artikel genau das Richtige für Sie: Online shopping made safe and convenient.
Patch-Dienstag Dezember 2011 |
|
Microsoft schließt dieses „Patch-Jahr“ mit der Veröffentlichung beträchtlicher Sicherheitsupdates, die allgemein verfügbar sind, ab. Während Fachleute über voraussichtliche 14 Sicherheitsbulletins informiert worden waren, wurden im Dezember schließlich 13 Bulletins veröffentlicht. In einem davon werden Vorfälle und Schadcodes, die einige Schlagzeilen verursachten, behandelt - und auch wenn weniger Sicherheitslücken das Label „kritisch“ erhalten haben, sind sie dennoch nicht weniger wichtig, oder? Wilde Spekulationen gab es bezüglich die Urheber von Stuxnet und dessen Vorläufer Duqu, und auch die Virenexperten von Kaspersky posteten auf Securelist mindestens ein halbes Dutzend Einträge mit ihren Forschungsergebnissen allein über Duqu. MS11-087 liefert ein Patch für den Verbreitungsvektor für Duqu selbst. Diese Sicherheitsanfälligkeit in Kernelmodustreibern wurde Anfang November öffentlich gemeldet und bestätigt, wobei es sehr gut möglich ist, dass sie unentdeckt bereits ein Jahr lang oder länger bei Angriffen rund um den Globus ausgenutzt worden ist.
Die angegriffene Funktion stellt TrueType Schriftartdateien für das Betriebssystem zur Verfügung, und die Betrüger missbrauchten diese Komponenten für ihre Zwecke, indem Sie Exploits in Form von Word-Dokumenten verbreiteten, die als Anhang von E-Mails gezielt an bestimmte Opfer gesendet wurden und für diese jeweils von besonderem Interesse waren. Diese Technik fungiert unter der Bezeichnung „Spear-Phishing“. Wie gemeldet, hat dieser fehlerhafte Schadcode weltweit lediglich eine sehr begrenzte Reihe von Systemen geschädigt. Ein anderer Vorfall mit einem Schadcode, der in den Medien für große Aufregung sorgte, für den die Bereitstellung eines Sicherheitsupdates erwartet worden war, ist die sogenannte SSL BEAST Schwachstelle. Vor ein paar Monaten haben wir über die mögliche Hysterie rund um die Präsentation bei Ekoparty-Konferenz in Argentinien berichtet, wo ein Forscher demonstrierte, wie sich SSL-Sitzungen auf einem Windows-System knacken lassen. Allerdings wurden keinerlei Angriffe gegen diese Lücke öffentlich gemeldet, und Microsoft wartet mit seinem Release noch ab, um sicherzustellen, dass sein Browser ohne Kompabilitätsaspekte nicht auf diese Weise gehackt werden kann, womit es dem Beispiel von Google Chrome und Firefox folgt. Gleichzeitig wurden eine Menge weiterer Patches veröffentlicht, darunter für Internet Explorer, Powerpoint und andere Komponenten, einschließlich die Komponente Microsoft IME Pinyin, die für die Generierung chinesischer Schriftarten verantwortlich ist. Für alle Schwachstellen sind Updates bereitgestellt. Interessant an der Sache ist, dass sogar Microsoft die Veröffentlichung von mindestens einem Dutzend Exploit-Codes als wichtig erachtet, und trotzdem nicht viele davon für Systemadministratoren als „kritisch“ zu beheben einstuft. Eine Lücke, die in meinen Augen ein Kandidat für die Bewertung „kritisch“ darstellt, ist das Problem in Active Directory. Unternehmen, die unter fortdauernden gezielten Attacken zu leiden haben, werden diese Anfälligkeit als äußerst dringlich empfinden, da gerade Domain Controller und Active Directory in früheren Angriffen für die Angreifer von höchstem Interesse waren.
Neues Exploit für Java-Schwachstelle in BlackHole |
| Vyacheslav Zakorzhevsky | 12 Dezember 2011 | 18:50 MSK |
Ihr Kommentar
|
Am 3. Dezember registrierten wir einen starken Anstieg des Einsatzes von Exploits, die die Sicherheitslücke CVE-2011-3544 in der virtuellen Java-Maschine ausnutzen. Diese Schwachstelle wurde am 18. Oktober veröffentlicht, wird allerdings noch nicht so lange ausgenutzt. Sie ermöglicht Cyberkriminellen die Ausführung von willkürlichem Code auf einem entfernten Rechner. Sie kann in Exploits verwendet werden, die bei Drive-by-Attacken zum Einsatz kommen sowie für das Laden und Starten von Schadprogrammen. 
Anzahl einzelner Anwender, auf deren Computern Exploits der Familie Exploit.Java.CVE-2011-3544 entdeckt wurden
Den vom KSN gesammelten Daten zufolge wird ein großer Teil der Exploits zur Sicherheitslücke CVE-2011-3544 in einem der derzeit populärsten Exploit-Packs verwendet, dem BlackHole Exploit Kit. Wir haben die aktuelle Zusammensetzung von BlackHole analysiert. Auf den Sites, auf denen Drive-by-Attacken mit Hilfe von BlackHole durchgeführt werden, stießen wir auf ein recht altes Exploit zu der Sicherheitslücke CVE-2010-0188, die in Form einer PDF-Datei umgesetzt ist, sowie auf ein neues Java-Exploit, das die Sicherheitslücke CVE-2011-3544 ausnutzt. Die entsprechenden Dateien sind auf dem unten stehenden Screenshot rot eingekreist. 
Screenshot der Liste von Dateien, die abgefangen werden, wenn man eine Website besucht, auf der BlackHole installiert ist
Brian Krebs berichtet ebenfalls, dass die Entwickler von BlackHole ein neues Exploit in ihre Sammlung aufgenommen haben. Gemäß der KSN-Statistik richten sich die Angriffe des neuen Exploits gegen Anwender in Russland, den USA, Großbritannien und Deutschland. Offensichtlich hängt das damit zusammen, dass die neuen Exploits zu der Sicherheitslücke CVE-2011-3544, die in BlackHole integriert wurden, das trojanische Programm Carberp installieren, das Bankinformationen stiehlt, sowie SMS-Blocker. SMS-Blocker werden vornehmlich in Russland eingesetzt, und Bank-Trojaner attackieren üblicherweise Nutzer in Industrienationen. 
Wieder einmal wird deutlich, dass Cyberkriminelle nicht auf der Stelle treten und ihre Machwerke fortwährend perfektionieren. Alle Anwender sollten daher dringend regelmäßig Updates für Java von Oracle installieren. Das Patch, das unter anderem die Sicherheitslücke CVE-2011-3544 schließt, steht hier zum Download bereit.
|
Cyberkriminelle suchen ständig nach neuen Wegen, wie sie Systeme infizieren können – wobei sie idealerweise erst entdeckt werden, wenn es zu spät ist. Wie die letzte Welle von heimtückischen Startprogrammen (Bootloadern) illustriert, sind ihrer Kreativität dabei nach oben keine Grenzen gesetzt. Pioniere dieses Kits waren brasilianische Banking-Trojaner, die darauf abzielten, die Sicherheitssoftware von dem Computer zu entfernen. Diese unkonventionelle Infektion betrifft ausschließlich Systeme, die ntldr, das standardmäßige Startprogramm auf Windows NT bis und einschließlich Windows XP und Windows Server 2003 verwenden. Diese Eingrenzung war keineswegs zufällig, da XP in zahlreichen Ländern immer noch das am häufigsten verwendete Betriebssystem ist, wie auch in Brasilien, wo es auf nahezu 47% aller PCs läuft. 
Eine als Trojan-Downloader.Win32.VB.aoff detektierte, winzige 10 KB-Schädlingsdatei, die als Link in einer E-Mail-Nachricht eingefügt ist, startet die Infektion. Sie lädt zwei neue, auf Amazon WS Cloud gehostete Dateien - xp-msantivirus (1.83 MB) und xp-msclean (7.4 MB) auf das System, nennt das legitime Startprogramm ntldr in ntldr.old um und installiert schließlich eine neue Datei, die als neuer, schädlicher Bootmanager fungiert, d.h. eine modifizierte Version von GRUB, die darauf zugeschnitten ist, die Datei menu.Ist auszuführen: 
Das heimtückische Startprogramm ntldr: eine modifizierte Kopie von GRUB
Zu gegebener Zeit ist die Datei menu.lst dann dafür zuständig, die Datei xp-msantivirus während des Bootens aufzurufen: 
Dateiinhalt von menu.lst. Die Meldung lautet: „Microsoft Malicious Software Removal Tool initialisieren“
Bei den Dateien xp-msantivirus und xp-msclean handelt es sich um *nix Bootimages, die von den Betrügern speziell für die Entfernung bestimmter Sicherheitsdateien während des Bootens prepariert wurden. Wenig überraschend, sind die Angriffe hauptsächlich gegen die Dateien, die zu einem von brasilianischen Banken stark genutzten Sicherheits-Plugin mit der Bezeichnung GBPlugin gehören, gerichtet. Dieses Plugin ist auf rund 23 Millionen Rechnern installiert. Weiterhin sollen mit dem schädlichem Bootloader Dateien von Microsoft Security Essentials, Windows Defender, und anderen, gelöscht werden: 
Ist die Infektion einmal abgeschlossen, zwingt der Trojaner das System zum Reboot… 
„Windows Update führt einen Neustart Ihres Systems aus, um die Installation kritischer Sicherheitsupdates abzuschließen“
…und sämtliche Änderungen werden ausgeführt. Der schädliche Bootloader zeigt eine gefälschte Meldung an, in der er vorgibt, das Malicious Software Removal Tool von Microsoft zu sein: 
„Malicious Software Removal Tool (KB890830). Schalten Sie den Rechner bis zum Abschluss dieses Vorgangs nicht aus”
Um die lange Boot-Dauer zu rechtfertigen, wird eine weitere Meldung mit der Behauptung, das System sei infiziert worden und „schädliche Dateien“ würden entfernt, angezeigt: 
"Bitte warten Sie solange, bis der Vorgang abgeschlossen ist. Schalten Sie den Computer nicht aus und führen Sie keinen Neustart durch. ACHTUNG: Auf Ihrem Computer wurden Viren gefunden. Der Vorgang zur Entfernung der Viren wurde gestartet. Dieser Vorgang kann einige Zeit in Anspruch nehmen, je nach Anzahl der vorgefundenen Viren. Schalten Sie den Computer während dieses Vorgangs keinesfalls aus und führen Sie keinen Neustart durch, sondern warten Sie die vollständige Durchführung ab, und Ihr Computer wird automatisch wieder hochfahren."
Ist der Computer schließlich wieder vollständig hochgefahren, löscht der schädliche Bootloader sich selbst und setzt den gesäuberten Bootloader ntldr auf aktiv - seine Mission ist nun erfüllt, und ein als Trojan-Downloader.Win32.Banload.bqmv detektierter Banking-Trojaner läuft in dem infizierten System weiter, bereit, die Zugangsdaten zu Online-Bankkonten zu stehlen. Natürlich werden die beschriebenen Änderungen an dem System durch eine Vielzahl weiterer Faktoren begünstigt, wie z.B. die Nutzung eines Betriebssystems unter Verwendung eines Administratorkontos, etc. Der heimtückische Bootloader wurde von Kaspersky Antivirus als Trojan.Boot.Burg.a detektiert und identifiziert. Vielen Dank an meinen Kollegen Vyacheslav Zakorzhevsky für seine Unterstützung
|
Für große Aufregung sorgt seit einiger Zeit eine auf vielen Mobiltelefonen installierte Software namens Carrier IQ. Nach Aussage des Herstellers dient die Software dem Ziel, Metriken zu sammeln, um einige Funktionen eines Gerätes, auf dem das Programm installiert ist, zu optimieren. Aufregung gab es deshalb, weil diese Software auf extrem viele private Nutzerdaten zugreifen kann. Eine Analyse von Trevor Eckhardt förderte zutage, dass Carrier IQ nahezu auf alles, was ein Nutzer auf seinem Gerät tut, Zugriff hat, angefangen von Keystroke-Loggern bis hin zu Benutzernamen und Passwörtern, die über SSL-verschlüsselte Verbindungen versendet werden (wenn auch bevor sie verschlüsselt werden). Zwar haben neueste Forschungen gezeigt, dass diese persönlichen Daten in keinem Fall wirklich weiterverwendet wurden, dennoch ist das für einen Missbrauch sehr hoch. 
Ich verstehe die Wut der Verbraucher. Ich möchte auch nicht, dass irgendjemand meine Textnachrichten liest oder sieht, nach welchen Internetadressen ich suche, oder meine E-Mails mitliest. Aber wie verhält es sich im Falle von Unternehmen? Was ist mit dem geistigen Eigentum, das möglicherweise auf diesen Geräten gespeichert ist? Es ist durchaus möglich, dass diese Software durch einen Angriff geknackt wird. Ich habe noch keine einzige Software gesehen, die nicht irgendwo eine Schwachstelle hat. Wäre es nicht vorstellbar, dass diese Software kompromittiert und dann die Daten, auf die sie Zugriff hat, abgezogen werden? Der wichtigste Punkt hierbei ist meiner Meinung nach die Tatsache, dass die Betroffenen, fast keine Chance haben, das Problem zu lösen. Die Software kann von einem durchschnittlichen Nutzer nämlich nicht einfach entfernt werden. Sogar wenn jemand zwecks Entfernung der Software ein ‚Root’ oder ein ‚Jailbreak’ auf seinem Gerät durchgeführt hat, gab es Meldungen, dass dadurch die Funktionen lahm gelegt wurden, oder sogar ein Softbrick entstand bzw. das Mobiltelefon vorübergehend außer Funktion gesetzt wurde. Einige andere spielten Custom ROMs auf ihre Systeme auf. Hierbei handelt es sich um maßgeschneiderte, vollständige Ersatzversionen des im Auslieferungszustand installierten Betriebssystems. In manchen Fällen haben Nutzer sogar nach diesen Maßnahmen noch Carrier-Dateien auf ihrem Gerät vorgefunden. Kaspersky rät davon ab, ein Gerät zu rooten oder vielen Nutzern eine Custom ROM zu installieren. Dies würde die gesamte Sicherheitsstruktur des Gerätes zerstören. Zudem sind Custom ROMs häufig extrem komplex und werden oft nicht einer genauen Überprüfung durch die Sicherheitsexperten unterzogen. Ist das gefährlicher als eine Anwendung mit Administrator-Rechten auf seinem Gerät zu haben, die sämtliche Aktivitäten mitschneiden kann? Eine schwierige Frage. Zusammenfassend ist zu sagen, dass Carrier IQ eine Logging-Applikation mit den Zugriffsrechten eines Administrators ist, die sich versteckt auf zahlreichen Geräten befindet. Obwohl ihre Kunden jedes Jahr für einen Festvertrag zahlen, sahen sich die Serviceprovider nicht in der Verantwortung, sie über die Existenz dieser Software auf ihren Geräten zu informieren. Nicht nur, dass diese Software in einem unglaublichen Ausmaß Zugriff auf persönliche Daten hat, sie lässt sich dazu noch kaum deinstallieren. Selbst wenn jemand eine Lösung zur Deinstallation gefunden hat, riskiert er, sein Gerät zu lahm zu legen. Ich habe kein Problem damit, wenn ein Service optimiert werden soll. Ich hasse es ebenfalls, wenn Telefongespräche plötzlich abbrechen. Allerdings habe ich ein Problem damit, wenn Serviceprovider vorsätzlich Informationen darüber zurückhalten, was sie mit den Nutzerdaten auf einem Gerät, für das der Nutzer bezahlt hat, veranstalten, und dann noch nicht einmal eine Entfernung oder Rücktrittsmöglichkeit zulassen. Das mag zwar nicht widerrechtlich sein, unmoralisch ist es allemal. Welche Möglichkeiten haben die Nutzer nun? Auch wenn eine möglicherweise vorhandene Carrier IQ-Software erkannt werden kann, ist es aktuell nicht möglich, sie einfach von dem Gerät zu entfernen. Die richtige Vorgehensweise wäre wahrscheinlich, sich direkt an den Serviceprovider zu wenden. Sollte der Serviceprovider Carrier IQ auf Ihrem Gerät installiert haben und Sie das nicht möchten, empfehlen wir Ihnen, den Kundendienst zu kontaktieren und dort Ihre Empörung mitzuteilen.
Wallpaper des Malware-Kalenders für Dezember 2011 |
|
Hier sehen Sie das neueste Wallpaper unseres Malware-Kalenders. 
1280x800 | 1680x1050 | 1920x1200 | 2560x1600
In der Weihnachtszeit wird das Internet von weitaus mehr Menschen genutzt, da Online-Shopping eine schnelle und Möglichkeit für die Weihnachtseinkäufe ist. Deshalb ist Weihnachten für Cyberkriminelle eine perfekte Zeit, bei den verstärkten Online-Aktivitäten abzucashen. Also ebenfalls ein guter Zeitpunkt, an die grundlegenden Maßnahmen zu erinnern, mit denen sich das Risiko, sich von Cyberkriminellen das Weihnachtsfest ruinieren zu lassen, verringern lässt.
- Internet-Sicherheitssoftware installieren und stets aktualisieren.
- Windows und alle weiteren Applikationen auf dem aktuellen/neuesten Stand halten.
- Regelmäßig Backup-Kopien auf CD, DVD oder einem externen USB-Gerät erstellen.
- Nicht auf E-Mail-Nachrichten antworten, wenn der Absender unbekannt ist.
- Keine E-Mail-Anhänge anklicken, wenn der Absender unbekannt ist.
- Nicht auf Links in E-Mail- oder IM-(Instant Messaging)Nachrichten klicken. Die Adresse direkt im Webbrowser eingeben.
- Keine persönlichen Informationen als Antwort auf eine E-Mail-Nachricht angeben, selbst wenn diese offiziell zu sein scheint.
- Nur auf sicheren Websites shoppen, Online-Banking durchführen oder in sozialen Netzwerken posten. Sichergehen, dass die URL mit ‘https://’ beginnt.
- Unterschiedliche Kennwörter für jede genutzte Website oder jeden Webdienst verwenden. Kennwörter niemals mehrfach verwenden (z.B. ‘jackie1’, ‘jackie2’). Sie sollten auf keinen Fall leicht zu erraten sein (wie z.B. den Namen der Mutter oder des Haustieres). Die Kennwörter keiner anderen Person mitteilen.
| |
