Dipl.-Inform. Carsten Eilers

Vor etwas mehr als einem Jahr gab es einen Massenangriff zum Präparieren von Websites für Drive-by-Infektionen, der wegen der damals als Weiterleitungsziel verwendeten Domain "Lizamoon" genannt wurde. Solche Massenhacks laufen eigentlich ständig, zuletzt habe ich im Januar über einen Angriff berichtet, genannt "lilupophilupop". Als Namensgeber, wenn der Angriff denn überhaupt einen Namen bekommt, dient oft der Domainname, von dem der eingeschleuste iframe bei der ersten Entdeckung seinen Code lädt.

Jetzt ist es mal wieder so weit, aber diesmal können wir uns den neuen Namen sparen: Es werden zwar neue Domains als Weiterleitungsziel verwendet (die alten wurden ja auch längst aus dem Verkehr gezogen), der Registrant ist aber immer noch der gleiche wie bei Lizamoon, und auch sonst ändern sich die Angriffe kaum. Wozu auch, verfolgen sie doch alle den gleichen Zweck: Die Opfer über eine oder mehrere Zwischenziele zu seiner Seite weiterzuleiten, auf der dann ein oder mehrere Exploits zum Einschleusen von Schadcode ausgenutzt werden sollen. Wieso sollten die Cyberkriminellen also etwas an ihrem funktionierenden System ändern? Und dass immer noch der gleiche Registrant auftritt, ist auch kein Wunder - warum sollten die Cyberkriminellen einen neuen Namen und eine neue E-Mail-Adresse verwenden, solange es die alten Daten noch tun? Wenn irgendwann niemand mehr Domains an jemanden mit der E-Mail-Adresse jamesnorthone@hotmailbox.com verkauft, werden die Cyberkriminellen sicher genug Alternativen bereit haben. Aber wieso sollten sie die vorher ändern?

Genauso sieht es beim Einschleusen der iframes über SQL-Injection aus: Solange es genug Webanwendungen gibt, die auf die altbekannten Angriffe herein fallen, besteht für die Cyberkriminellen kein Grund, neue zu verwenden. Ganz im Gegenteil wären sie sogar ausgesprochen dämlich, wenn sie ohne Not vorzeitig einen neuen Angriff verraten, gegen den dann ja vielleicht Gegenmaßnahme ergriffen werden. Obwohl ich in der Hinsicht eher pessimistisch bin: iframes über SQL-Injection in ASP-Websites einzuschleusen war schon 2008 nicht mehr besonders neu und funktioniert heute immer noch. Warum zum Kuckuck bekommen die ASP-Entwickler es nicht hin, ihre Websites vor SQL-Injection zu schützen? Für die, die nicht wissen, wie das geht, gibt es z.B. das SQL Injection Prevention Cheat Sheet von OWASP.

Rühriges Exploit-Kit as a Service

Die SpiderLabs haben ein neues Exploit-Kit "in the wild" entdeckt. Da die Cyberkriminellen dem Kit keinen Namen gegeben haben, wurde es von den SpiderLabs "RedKit" getauft, da die grafische Oberfläche zumindest anfangs rote Rahmen verwendete. Das besondere an diesem Exploit-Kit, mal abgesehen davon, dass es anscheinend als "Exploit-Kit as a Service" vermarktet wird: Die Ziel-URL wird stündlich neu erzeugt. Wieso erinnert mich das nur so sehr an etwas?

Bisher sind nur zwei Exploits enthalten: Einer für eine seit zwei Jahren gepatchte Schwachstelle in Adobe Reader und Acrobat und einer für die erst vor kurzem behobene AtomicReferenceArray-Schwachstelle in Java. Eine interessante Kombination: Auf der einen Seite ein gut abgehangener Exploit für eine eigentlich überall zumindest theoretisch seit langem gepatchte Schwachstelle, zum anderen ein Exploit für eine neue Schwachstelle, die vielleicht noch nicht überall gepatcht wurde. Soweit die Theorie. In der Praxis sieht es leider anders aus und auch der alte Exploit findet noch so viele Opfer, dass sein Einsatz sich lohnt. Wäre es nicht schön, wenn alle Benutzer mal ihre uralten Adobe Reader aktualisieren oder gleich deinstallieren würden? Hey, man wird doch noch mal träumen dürfen, oder?

iJava - Cyberkriminelle ohne Angst vor Apple?

Wie könnte man einen Exploit-Generator für Java-Drive-by-Exploits nennen? Die Cyberkriminellen haben sich für iJava entschieden. Wenn sie da mal nicht die Rechnung ohne Apples Rechtsabteilung gemacht haben. Die klagen ja gerne jeden, der ein "i" vor irgendwas IT-mäßiges setzt, in Grund und Boden. Die machen sicher auch vor Cyberkriminellen nicht Halt, und auch wenn die Polizei die Cyberkriminellen nicht findet, die Rechtsanwälte finden sicher einen Weg... In diesem Fall hätte ich nicht mal was dagegen.

Carsten Eilers