Kommentare zu trickreichen Drive-by-Infektionen und mehr
Heute gibt es Kommentare zur 0-Day-Schwachstelle im Flash Player, einer neuen Taktik für Drive-by-Infektionen und Werbung für bösartige Installationsprogramme. Und gleich zu Anfang einen Hinweis zu Schadsoftware anlässlich der Olympischen Winterspiele. Allerdings nicht den aktuellen, sondern denen vor 20 Jahren - im Blog von F-Secure gibt es einen Artikel von Mikko Hypponen dazu: Malware and Winter Olympics. 1994 gab es einen Virus, heutzutage wird mit dem Lockvogel "Olympische Spiele" alles mögliche verbreitet.
Eigentlich wäre auch mal ein Kommentar zu den ganzen Angriffen auf und über Router und den Schwachstellen darin fällig, das häuft sich in letzter Zeit ja. Aber dazu werde ich erst ein oder zwei Grundlagenartikel schreiben, das Thema "Netzwerksicherheit" ist ja nach dem Clickjacking sowieso mit Aktualisierungen an der Reihe.
Kurz etwas zur 0-Day-Schwachstelle im Flash Player
McAfee hat getestet, welche Versionen des Flash Players von der in der vorigen Woche behobenen 0-Day-Schwachstelle betroffen sind. Das je nach Standpunkt erstaunliche oder erwartbare Ergebnis: Die Schwachstelle wurde mit dem Update vom 12. November 2013 eingeführt, die davor veröffentlichten Versionen sind nicht betroffen. Ich wundere mich darüber nicht sonderlich. Zum einen können natürlich bei einem Update auch fehlerhafte Programme ausgeliefert werden, und natürlich sind manche dieser Fehler auch ausnutzbare Schwachstellen. Bei der bisherigen großen Anzahl von Schwachstellen im Flash Player würde ich mich eher wundern, wenn keine neuen dazu kommen würden.
Ansonsten gibt es nichts Neues zu den Angriffen, insbesondere nicht zu den Zielen der gezielten Angriffe. Was ist los? Ist keinem anderen Antivirenhersteller was aufgefallen? Oder wieso lassen die Antivirenhersteller diese Gelegenheit aus, zu betonen, dass ihr Programm den Angriff natürlich schon längst erkannt hat?
Besonders trickreiche Drive-by-Infektion
Peter Gramantik von Sucuri
berichtet
über eine besonders trickreiche
Drive-by-Infektion.
Erst mal wird in die betroffenen Websites ein iframe eingeschleust (eine
alte, bewährte Taktik). Im iframe wird dann die JavaScript-Datei
jquery.js geladen. Die sieht zumindest auf den ersten Blick
wie eine etwas veraltete Version der JavaScript-Bibliothek JQuery aus.
Erst am Ende dieser Datei tauchte verdächtiger Code auf: Die Funktion
loadFile() lädt die PNG-Datei dron.png nach.
Das ist schon etwas merkwürdig. Noch merkwürdiger ist, dass
diese PNG-Datei dann dekodiert wird. Warum sollte man eine PNG-Datei, also
ein Bild, dekodieren? Nun, weil in diesem Fall in der PNG-Datei der
eigentliche JavaScript-Schadcode
versteckt ist,
der dann ausgeführt wird. Und dieser Schadcode erzeugt dann einen iframe,
in dem der eigentliche Code für die Drive-by-Infektion
geladen wird.
Virenscanner interessieren sich normalerweise nicht für Bild-Dateien
(sofern sie nicht gerade nach Exploits für bekannte Schwachstellen
suchen, die über diese Bild-Dateien ausgenutzt werden), und da die
JavaScript-Datei jquery.js keinen Schadcode enthält,
bleibt der in der PNG-Datei versteckte Schadcode meist unentdeckt.
Ich frage mich nur, was die Cyberkriminellen damit bezwecken. Denn wenn
der über die PNG-Datei am Virenscanner vorbeigeschleuste
JavaScript-Code ausgeführt wird und seinen iframe füllen will,
werden die dabei geladenen Dateien natürlich wieder vom Virenscanner
geprüft. Also auf dem Client bringt die Cyberkriminellen das nicht
viel weiter. Ich vermute, dass über diesen Trick Prüfungen auf
JavaScript-Schadcode auf einem Ad-Server ausgetrickst werden, um
jquery.js und dron.png als Teil einer
Werbeanzeige verbreiten zu können. Jedenfalls ist das der einzige
brauchbare Anwendungszweck, der mir einfällt. Es gibt also für
die Website-Betreiber einen Grund mehr, beim Einbinden von Werbung
besonders aufmerksam zu sein.
Und weil ich gerade bei Werbeanzeigen bin:
Werbeanzeigen führen zu geänderten Browsereinstellungen
Chester Wisniewski von Sophos hat Werbeanzeigen entdeckt, die letzten Endes dazu führen, dass die Einstellungen des Webbrowsers manipuliert werden. Zum Glück nicht durch die Anzeigen selbst, sondern durch die Software, die darüber angepriesen wird. In Wisniewskis Beispiel ist das iTunes: Die Anzeige führt zu einer Seite, die einen Download-Manager zur Installation von iTunes bereit stellt. Der nebenbei noch "additional software" anbietet. Vor allem ein Tool, dass die Suchfunktion des Browsers ändert und danach dafür sorgt, dass sie nicht so einfach erneut geändert werden kann. Man möchte die gerade gekaperte Suche ja nicht gleich wieder verlieren, wenn der Benutzer merkt, auf was er sich da eingelassen hat.
Nachdem die Suche des Browsers gekapert wurde, wird dann das originale iTunes von Apples Website heruntergeladen. Aber nicht unbedingt die Version, die der Benutzer braucht, denn Chester Wisniewski wurde die 32-Bit-Version von iTunes herunter geladen, die auf seinem 64-Bit Windows 7 gar nicht läuft.
Das ist natürlich äußerst unschön, und eigentlich ein altes Problem. Aber es schadet ja nicht, immer wieder mal darauf aufmerksam zu machen, da die Cyberkriminellen ja anscheinend immer wieder Opfer finden, denn sonst würden sie dieses "Geschäftsfeld" ja wohl aufgeben.
Der beste Schutz vor diesen Angriffen besteht darin, Programme immer von den Servern der Entwickler zu laden und nicht von Drittanbietern. Wirklich sicher ist man dann vor diesen unerwünschten Tools aber auch nicht, da zum Beispiel Adobe und Oracle ebenfalls versuchen, vom Benutzer meistens unerwünschte Software installieren. Der Flash Player versucht, Google Chrome zu installieren und zum Default-Browser zu machen, sofern man nicht explizit darauf verzichtet, und Oracle versucht, den Java-Benutzern die Suchfunktion von Ask.com unter zu jubeln.
Fazit: Bei der Installation von Software muss man immer auf das "Kleingedruckte" achten. Und darauf, was man mit den diversen Checkboxen im Installationsprogramm erlaubt oder nicht verbietet.
Trackbacks