2004 – Der Aufbruch der Würmer ins Web
2004 gab es nicht nur viele
herkömmliche Würmer,
sondern auch den ersten Wurm, der sich in Webanwendungen ausbreitete:
Santy. Bekannter sind die danach entstandenen
XSS- oder JavaScript-Würmer,
deren berühmtestes Exemplar der MySpace-Wurm Samy sein dürfte,
der gleichzeitig der erste seiner Art war.
Santy – Mit Perl gegen phpBB
Santy
war in Perl geschrieben und nutzte eine
Schwachstelle
in phpBB aus, um sich zu verbreiten. Die Schwachstelle wurde am 18.
November 2004 in phpBB Version 2.0.11
behoben,
der Wurm wurde erstmal im Dezember 2004 entdeckt und sorgte für
Massen-Defacements
der betroffenen Websites. Wie war das doch gleich mit dem “We
encourage everyone to update as soon as possible.” in der
Ankündigung von Version 2.0.11? Vermutlich war das dass letzte Update, mit
dessen Installation die betroffenen Admins längere Zeit gezögert haben.
Sofern sie aus Schaden klug geworden sind.
Neue Opfer fand Santy mit Hilfe von Google. Nachdem ein verwundbarer
Server gefunden wurde, wurde der Wurmcode über die phpBB-Schwachstelle
eingeschleust. Der enthaltene Schadcode durchsuchte alle erreichbaren
Verzeichnisse und
überschrieb
alle Dateien mit den Endungen .ASP, .HTM,
.JSP, .PHP, .PHTM und
.SHTM mit der Defacement-Seite. Die enthielt nur den Text
This site is defaced!!!
NeverEverNoSanity WebWorm generation X
wobei X die “Generation” des Wurms war, die mit jeder neuen Infektion um 1
erhöht wurde. Der Schadcode und damit das Defacement wurde nur aktiv, wenn
die Generation größer als 3
war.
Trotzdem (oder gerade weil der Wurm sich anfangs still verhielt?) wurden
in kurzer Zeit
“tens of thousands”
Websites defaced – die sich aber evtl. als nur
einige Hundert
tatsächliche Defacements entpuppten.
Mit dem Defacement hatten die Website-Betreiber noch Glück, heutzutage
würde so ein Wurm sehr wahrscheinlich nur heimlich, still und leise Code
für eine
Drive-by-Infektion
in die Seiten einfügen und sich ansonsten möglichst unauffällig verhalten.
Santy(.A) folgten verschiedene Varianten, die u.a.
andere Suchmaschinen
oder -abfragen nutzten, da Google die von der ersten Version genutzte
Abfrage sehr bald
ins Leere laufen ließ.
Auch die Schadfunktionen der
neueren Varianten änderten sich, so wurden u.a.
Hintertüren
geöffnet. Und auch einen
“Anti-Santy-Wurm”
gab es, der die Schwachstelle in phpBB patchen sollte, um die Verbreitung
von Santy zu stoppen.
Samy – Freunde kann man nie genug haben
Samy Kamkar
war 2005 der Meinung, zu wenig Freunde auf MySpace zu haben.
Samy
(der Wurm) sollte das
ändern.
Und tat es so erfolgreich, dass MySpace
seine Website abschalten musste, um die Freundesflut zu stoppen.
Ausgehend von Samy Kamkars Profilseite verbreitete sich der Wurm über
eine persistente XSS-Schwachstelle in die Profilseiten der Besucher eines
befallenen Profils. Über einen XMLHttpRequest wurde Samy zum Freund
und ‘Hero’ des Besuchers gemacht und der Wurmcode in dessen Profilseite
integriert. Innerhalb von 20 Stunden hatte Samy Kamkar mehr als 1 Million
Freunde und Samy (der Wurm) entsprechend viele Seiten verseucht. MySpace
musste den Betrieb vorübergehend komplett einstellen, um den Wurm zu
stoppen und alle befallenen Seiten zu reinigen.
Eine technische Beschreibung des Wurm finden Sie in About Security
#138
und
#139.
Auf Samy folgte
Yamanner, der Webmail-Wurm
Yamanner
fiel am 12. Juni 2006 über Yahoo! Mail her und nutzte dabei eine
Schwachstelle im JavaScript-Filter aus. Beim Öffnen einer
infizierten Mail sendete der Wurm sich selbst an alle im Adressbuch des
Opfers gespeicherten Adressen, außerdem wurden die gefundenen
E-Mail-Adressen an einen Server des Wurm-Autors geschickt und der Benutzer
auf eine Seite mit eingeblendeter Werbung weitergeleitet.
Yahoo!s JavaScript-Filter prüfte die Daten einmal und löschte
dabei gefundene unerwünschte Bestandteile, danach wurde das Ergebnis
ohne weitere Prüfung verwendet. Wozu dass führt? Natürlich
dazu, dass aus geschickt geschachteltem Code nach dem Löschen
funktionsfähiger Schadcode wird. Eigentlich logisch, oder?
Heutzutage weiß das fast jedes Kind, damals aber nicht, und auch die
Filter-Entwickler habe nicht so weit gedacht. Dafür der
Wurm-Autor.
Eine ausführliche Beschreibung von Yamanner finden Sie in About Security
#140.
Während Samy und Yamanner Schwachstellen in den Cross-Site-Scripting-
bzw. JavaScript-Filtern der Websites ausnutzten, verwendete der
nächste bekannte Wurm
Flash als Transportmittel
Der
Orkut-XSS-Wurm
breitete sich im Dezember 2007 auf Orkut aus. In den von Orkut ‘Scraps’
genannten Nachrichten an Freunde war das Einbinden von Flash erlaubt. Der
Wurm sendete zuerst eine Flash-Datei als Scrap, bei deren Betrachten eine
Datei mit getarnten (obfuscated) JavaScript-Code geladen wurde. Der
Wurmcode fügte das Opfer dann zur Gruppe “Infectatos pelo Virus do
Orkut” (dt. “Infiziert vom Orkut-Virus”) hinzu und begann,
die Flash-Datei als Scrap an die Freunde des Opfers zu senden. Die Gruppe
soll bis zu 655.000 Mitglieder gehabt haben, entsprechend viele Opfer hat
der Wurm also gefunden. Der Wurm sollte der Demonstration der durch das
Zulassen von Flash entstehenden XSS-Schwachstelle dienen und enthielt
keine Schadfunktion.
Der Orkut-XSS-Wurm nutzte keine Schwachstelle aus, sondern missbrauchte
eine erlaubte Funktion. Bei Orkut hatte einfach niemand daran gedacht,
dass Flash mit ActionScript einen JavaScript-“Dialekt” verwendet, der
ebenso mächtig wie JavaScript ist. Aber dessen Fähigkeiten wurden vom
Wurm-Autor gar nicht verwendet, er lud einfach über ActionScript
JavaScript-Schadcode nach, der mit Hilfe von
Dean Edwards JavaScript Packer
getarnt war. Getarnter JavaScript-Code ist heutzutage generell verdächtig,
schließlich wird er z.B. für
Code
für Drive-by-Infektionen verwendet. Damals sah man das Packen noch als
gute Möglichkeit, Speicherplatz und Übertragungskapazitäten zu sparen.
Eine ausführliche Beschreibung des Orkut-XSS-Wurm finden Sie in About Security
#141.
In der
nächsten Folge
geht es weiter mit der Reise durch die Welt der
Würmer. Dann lernen Sie unter anderen den Storm-Wurm kennen, der 2007
entdeckt wurde und in Varianten immer noch aktiv ist.
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware – Der Spion in Ihrem Computer
- Viren – Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer
-
- Würmer – Schadsoftware, die sich selbst verbreitet
- Schadsoftware – Die Entwicklung der Würmer
- 1999 – Die Ausbreitung der Würmer beginnt
- 2003 – Würmer ohne Ende
- 2004 – Mehr Würmer, mehr Ziele, mehr Opfer
- 2004 – Der Aufbruch der Würmer ins Web
- 2007 – Würmer im Sturm und in Facebook
- Conficker, Stuxnet, “Here you have” – die aktuellen Würmer
- Smarte Telefone, mehr oder weniger smarte Würmer
- Trojaner – Der Feind im harmlosen Programm
- Zeus – Trojaner, Botnet, Schädlingsbaukasten, …
- Exploit-Kits – Die Grundlage für Drive-by-Infektionen
- Rootkits – Schadsoftware im System
- Remote Administration Toolkits – Fernwartung in der Grauzone
- Botnets – Zombie-Plagen im Internet
- Schadsoftware – Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks
Keine Trackbacks
Kommentar schreiben
Kommentare
Ansicht der Kommentare:
Linear | Verschachtelt