Skip to content

Windows 8 Metro erleichtert Phishing, das Blackhole Exploit-Kit Kompromittierungen

Windows 8 Metro begünstigt Phishing, und das Exploit-Kit Blackhole macht wieder von sich reden. Zwei Themen, zu denen ich unbedingt meinen Senf dazugeben möchte.

Phisher-freundliches Windows 8 Metro

Prashant Gupta von McAfee hat in der ersten Folge einer angekündigten Serie von Blogposts zur Sicherheit von Windows 8 Metro auf einen wichtigen Punkt hingewiesen: Metro-Apps haben keine Menüzeile, insbesondere blendet der Internet Explorer 10 mit Metro-Oberfläche die Adresszeile erst auf Anforderung durch den Benutzer ein. Damit entfällt aber auch die Warnung vor Phishing-Seiten - ohne Adresszeile keine grün eingefärbte URL bei der Verbindung mit z.B. paypal.com.

Da muss Microsoft in der Tat noch nachbessern. Aber einfach nur die Adresszeile permanent einzublenden (denn man weiß ja nicht, welche Seiten Phishing-gefährdet bzw. Phishing-Seiten sind) wäre die einfachste Lösung, aber nicht unbedingt die sicherste. Es wäre ganz gut, mal der Frage nach zu gehen, wie viele Benutzer wirklich auf die Adresse achten, und dann ggf. eine bessere Lösung zu finden. Sicherheitsbewusste Benutzer, die auf Phishing achten, werden sich die Adresszeile sicher einblenden lassen, bevor sie sich irgendwo anmelden etc.. Allen anderen dürfte auch eine eingeblendete Adresszeile nicht viel helfen.

Wie die Lösung aussehen könnte, weiß ich aber auch nicht. Zwar ist es kein Problem, bei bekannten bzw. erkannten Phishing-Seiten eine Warnung einzublenden oder das Absenden des Formulars zu unterbinden. Aber was ist mit den Seiten, die der Phishing-Schutz (noch) nicht kennt? Ganz ehrlich: Ich habe nicht den Schimmer einer Ahnung, wie eine DAU-freundliche (um mal ein unfreundliches Wort freundlich zu nutzen) Lösung aussehen könnte.

0-Day-Exploit für XML Core Services in Blackhole Exploit-Kit

Ein Exploit für die 0-Day-Schwachstelle in den XML Core Services von Windows, über die ich vor kurzem berichtet habe, wurde in das Exploit-Kit Blackhole aufgenommen. Bisher wurde nur eine einzige damit präparierte Website gefunden, aber es dürfte nicht lange dauern, bis der 0-Day-Exploit wirklich in großem Maßstab eingesetzt wird. Denn einen Patch gibt es immer noch nicht, lediglich das Fix-It-Tool, dass den aktuell ausgenutzten Angriffsvektor versperrt. Warum sollten die Cyberkriminellen also diese günstige Gelegenheit ignorieren?

Allenfalls ein unzuverlässiger Exploit würde gegen die massenhafte Verwendung sprechen, aber warum sollten die Cyberkriminellen hinter Blackhole einen unzuverlässigen Exploit überhaupt in das Kit aufnehmen? Vor allem, da es zuverlässige Exploits ja gibt? Und falls der Exploit nur in einer "Premium-Version" des Kits enthalten wäre, wäre es erst Recht ein Grund, ihn massenhaft einzusetzen, um möglichst viel Profit daraus zu erzielen, bevor ein Patch veröffentlicht wird.

Pseudo-zufällige Domainnamen für Exploit-Kits

Seit kurzem verwendet das Blackhole-Exploitkit pseudo-zufällige Domainnamen für die Redirections, um das Lahmlegen der Infektionswege durch Sinkholing zu erschweren. Der Angriff wird "Run Forest" oder "RunForestRun" genannt, da hinter allen zufällig erzeugten Domainnamen der identische Pfad

/runforestrun?sid=

steht. Der Domainerzeugungs-Code wird außer von Blackhole auch von anderen Exploit-Kits, namentlich genannt wird RedKit, genutzt.

Laufende Wälder

Der Pfad soll wohl auf Forrest Gump anspielen, durch den Schreibfehler werden daraus aber laufende Wälder. Was angesichts des Ausspruchs "den Wald vor lauter Bäumen nicht sehen" auch nicht ganz unpassend ist, da man die genutzten Domainnamen vor lauter möglichen Domainnamen schlecht erkennen kann. Eine weitere mögliche Erklärung gibt es in einem Kommentar zu einen Eintrag im Handler's Diary des ISC: Wenn man Bots als Bäume bezeichnet, versuchen die Botnet-Betreiber einen Wald zum Laufen zu bringen. Nunja, warum nicht? Laufende Bäume kenne ich allerdings nur aus den Werken von J. R. R. Tolkien.

Raffinierte Angriff

Die pseudozufälligen Domainnamen sind aber nur ein Teil der Schutzmaßnahmen, auch danach geht es raffiniert weiter. Weiterleitungen werden nur ausgeführt, wenn Cookies passend gesetzt sind, ansonsten gibt es eine "Fehlermeldung" nach dem Motto "This domain has been suspended for policy violations". Viele Verfolger eines Angriffs werden an der Stelle aufgeben - die Domains wurde ja anscheinend aus dem Verkehr gezogen.

Auch beim eigentlichen Angriff gehen die Angreifer auf Nummer sicher: Wenn sie mit keinem der verwendeten Exploits Erfolg haben, versuchen sie es mittels eines Fake-Virenscanners. Mit etwas Glück installiert das Opfer ja den Schadcode freiwillig. Bisher werden übrigens nur ein aktueller Exploit für Java und mehrere ältere Exploits, z.b. für den Adobe-Reader, eingesetzt. Da wäre also noch Platz für den 0-Day-Exploit.

Angriff über Plesk-Schwachstelle

Eingeschleust wird "Run Forest" anscheinend über eine SQL-Injection-Schwachstelle in Plesk, für die es bereits einen Patch gibt. Wenn Sie Plesk einsetzen, sollten Sie also mal nachsehen, ob die Installation auf dem aktuellen Stand ist. Und wenn Sie es nicht ist, sollten Sie prüfen, ob JavaScript-Code in die Webseiten eingefügt wurde. Zumindest bisher ist der an den umgebenden Kommentaren

/*km0ae9gr6m*/ ... /*qhk6sa6g1c*/

erkennbar. Aber die können die Angreifer natürlich jederzeit wechseln oder auch ganz weg lassen.

Ich kann mir sowieso nicht erklären, was die Angreifer mit den Kommentaren bezwecken wollen. Die Cyberkriminellen sollten wissen, welche Server sie schon kompromittiert haben und wo der Code eingefügt wurde. Warum also extra darauf hinweisen? Eigentlich erleichtern die Kommentare nur allen, die fremde Seiten analysieren müssen, die Arbeit (Websitebetreiber sollten fremden Code in ihren Seiten generell erkennen, merkwürdige Kommentare hin oder her). Und das ist ja wohl kaum im Interesse der Cyberkriminellen, oder? Dann hätten sie ihren Code auch gleich noch tarnen können. Denn wie ich es auf der IPC Spring formuliert habe:

"If it's obfuscated, it's suspect"

Übrigens sehen die Kommentare auch ziemlich obfuscated aus. Noch verdächtiger ging es wohl kaum, solange nicht direkt "Hier kommt der Schadcode" dran stehen soll. Aber wenn die Cyberkriminellen ihren Opfern das Aufräumen leichter machen wollen, bin ich der letzte, der etwas dagegen hat.

Carsten Eilers

Trackbacks

Keine Trackbacks