Dipl.-Inform. Carsten Eilers

Trend Micro hat einige neue Informationen zu zwei der 0-Day-Schwachstellen veröffentlicht, die Microsoft am Oktober-Patchday mit der Veröffentlichung der Patches bekannt gemacht hat:

Trend Micro berichtet, dass sich die Angriffe des "Sandworm Team", dass die Schwachstelle CVE-2014-4114 ausnutzt, (auch?) gegen "SCADA-centric victims" richtet, die die Client-Server-basierte Visualisierungs- und Steuerungslösung CIMPLICITY HMI von GE Intelligent Platforms verwenden. Das "Sandworm Team" setzt die von CIMPLICITY verwendeten .cim- und .bcl-Dateien als Angriffsvektoren ein und legt Dateien in der CIMPLICITY-Installation unter der Environment-Variablen %CIMPATH% ab. Was man ja wohl kaum machen würde, wenn man es auf etwas ganz anderes wie zum Beispiel Onlinebanking-Informationen abgesehen hätte. Allerdings sind die Angriffe (zumindest noch) nicht gegen die SCADA-Geräte selbst gerichtet. Trend Micro konnte aber auch noch nicht alle Komponenten des Angriffs analysieren, da einige der dafür verwendeten Dateien noch nicht gefunden wurden. SCADA, 0-Day, also spontan musste ich da an Stuxnet denken. Welcher Geheimdienst da wohl seine Finger im Spiel hat?

Des weiteren hat Trend Micro auch eine Analyse des Exploits für die Privilegieneskalations-Schwachstelle CVE-2014-4113 im Kernel veröffentlicht. Bei der Analyse des Exploits hat man unter anderem herausgefunden, dass der Sourcecode eines Exploit-Generators veröffentlicht wurde. Es ist also mit Varianten des bisher bekannten Exploits zu rechnen. Nicht, dass die noch besonders viel Schaden anrichten könnten, nachdem die Patches raus sind. Wenn sie denn erst mal überall installiert sind. Was ja vor allem im SCADA-Umfeld mitunter schwierig ist. Hmmm.... gut, dass diese Schwachstelle nicht von den Sandwürmern genutzt wird.

Werbung, jetzt nicht nur lästig sondern auch besonders bösartig!

Die Hintermänner von Advanced Persistent Threats, insbesondere wenn sie als Wasserloch-Angriff starten, haben einige Probleme zu bewältigen:

1. Sie müssen die Website auswählen, die ihre gewünschten Opfer regelmäßig aufsuchen,
2. dann ihren Schadcode für die Drive-by-Infektion auf diesem Webserver einschleusen,
3. ihn also im Allgemeinen unbemerkt so lange kompromittieren, bis der Rechner des Opfers über die Drive-by-Infektion infiziert wurde, und
4. auch danach sollte die Kompromittierung möglichst nicht auffallen, damit das Opfer nicht gewarnt wird.

Schritt 2-4 lässt sich teilweise vereinfachen, indem nicht der Server selbst, sondern ein davon genutzter Add-Server kompromittiert oder ihm als Kunde präparierte Werbung untergeschoben wird. Im Rahmen von APT wurden aber bisher meist direkt die jeweiligen Webserver angegriffen.

Inzwischen haben aber zumindest die Hintermänner eines APT die Möglichkeiten zielgerichteter Werbung erkannt. Die ist inzwischen so zielgerichtet, dass sie von Angreifern genutzt werden kann, um ihre präparierte Werbung nur dem anzugreifenden Unternehmen oder der anzugreifenden Organisation zu präsentieren, indem die Anzeigen nur für deren jeweiligen IP-Bereiche angezeigt werden.

Von den sonstigen üblichen Konfigurationsmöglichkeiten für die Werbung wie den Interessen des Benutzers, Werbeprofilen und geographischer Region oder auch Informationen aus dem User-Agent-String des Browsers (Versionen von Browser und Plugins), mit denen die Anzeige und damit der Angriff auf ganz bestimmte Benutzer zugeschnitten werden kann, ganz zu schweigen.

Da die bösartige Werbung immer nur für kurze Zeit verteilt und die verwendete Website danach aufgegeben wird hinterlässt der Angriff keine verdächtigen Spuren. Denn oft kommen die Forscher den Hintermännern der Angriffe ja nur auf die Spur, weil die immer wieder die gleichen C&C-Server etc. verwenden. Insgesamt also eine sehr schlaue Taktik, auf die ich im Rahmen der Grundlagenartikel noch näher eingehen werde.

Entdeckt wurde der Angriff von Forschern von Invincea, die ihn "Operation DeathClick" genannt und in einem Whitepaper beschrieben haben. Vor dem Download des Whitepapers wird eine E-Mail-Adresse abgefragt. An die man dann ja wohl Werbung bekommt. Ob das in diesem Zusammenhang besonders schlau ist? Das erinnert mich an die Analyse eines PDF-Exploits, der stilecht als PDF-Datei daher kam.

Pro und Contra, Hüh und Brrhh, oder so

Zum Abschluss noch etwas Widersprüchliches. Los geht es mit Apple:

Einerseits verschlüsselt die neue Version von Mac OS X "Yosemite" die Laufwerke per Default und zeigt damit dem FBI und Co. erneut den Stinkefinger, andererseits sendet die Suchfunktion Spotlight die Geolocation-Daten an Apple. Als entweder man nimmt den Schutz der Privatsphäre nun ernst oder man lässt es bleiben. Oder wollen die bei Apple nur trollen? Und das in alle Richtungen? Hier ein Stinkefinger Richtung Regierungen, da ein Tritt in den Allerwertesten der Benutzer? Wann sind die Aktionäre dran?

Und dann ist da die Sache mit Whisper: Einerseits berichtet The Guardian über Datensammlungen und Datenweitergaben, die Whisper Mitarbeitern des Guardian in Vorbereitung einer Kooperation demonstriert bzw. erklärt hat. Andererseits wiegelt der CTO von Whisper ab, dass das ja alles nicht so schlimm wäre wie dargestellt und man die Daten nur im Interesse der Nutzer verwendet. Auch wenn das mit dem mit Bildern dokumentierten Guardian-Artikel nur schwer vereinbar ist.

Meine bescheidene Meinung dazu: Wenn man es mit dem Schutz der Benutzer wirklich ernst meint und mit diesem Anspruch auch noch hausieren geht, dann sammelt man gefälligst keine Daten. Und selbst wenn Whisper die bisher nicht an die Behörden weitergegeben hat: Nachdem NSA und Co. nun wissen, dass es diese Daten gibt, werden sie die sicher bald haben wollen. Alles natürlich nur im Rahmen der Gesetze. Die, nach denen Nicht-US-Bürger generell höchst verdächtig sind, so dass sie alle unbedingt ausgeschnüffelt werden müssen. Verbunden mit einem Maulkorb für Whisper, dass man darüber natürlich nicht reden darf. Oder hat man den vielleicht schon bekommen und versucht deswegen, das Ganze unter den Teppich zu kehren?

Carsten Eilers