Dipl.-Inform. Carsten Eilers

Am 5. November wurde im Palo Alto Networks Blog ein Whitepaper zu einem neuen Angriff auf Mac OS X und iOS angekündigt: WireLurker. Der Angriff besteht aus zwei Komponenten: Einem Schädling für Mac OS X, der dann auf einem über USB angeschlossenen iOS-Gerät einen Schädling für iOS installiert. Zusätzliche Informationen liefert Jonathan Zdziarski, der den Schädling ebenfalls untersucht hat (und der auch das Whitepaper direkt verlinkt).

Der Mac-Schädling ist mal wieder ein Trojaner. Und wird über Raubkopien verbreitet. Wie langweilig. Und wie ungefährlich. Zum Glück fällt den Cyberkriminellen nichts besseres ein, zum Beispiel echte Drive-by-Infektionen. Aber selbst bei denen hat man es unter Mac OS X ja bisher bis auf sehr wenige Ausnahmen nur soweit gebracht, den Schädling auf dem Mac herunter zu laden, installieren musste ihn der Benutzer dann selbst.

Aber zurück zum neuen Schädling (von dem es nebenbei bemerkt verschiedene Versionen mit etwas unterschiedlichen Funktionsumfängen gibt). Der wurde als Trojaner in 467 raubkopierte OS-X-Anwendungen integriert, die über einen chinesischen App-Store vertrieben wurden. Wie gefährlich ist das? Werfen wir dazu mal einen Blick auf das Sicherheitskonzept der aktuellen Mac-OS-X-Versionen. Das lässt mehrere Möglichkeiten zur Installation von Software zu:

1. Es dürfen nur Anwendungen aus Apples Mac App Store installiert werden. Die sind zum einen vom Entwickler signiert, man weiß also, von wem sie stammen und dass sie nicht manipuliert wurden. Zum anderen prüft Apple die Programme vor der Veröffentlichung im Store. Was durchaus auch problematisch sein kann, da dadurch Updates zum Beheben kritischer Schwachstellen unter Umständen erst verspätet ausgeliefert werden. Und es ist natürlich keine Garantie dafür, dass nicht doch mal ein Programm mit Schadfunktion die Prüfungen besteht (was als Proof-of-Concept auch schon vorgekommen ist). Aber solche Programme werden, wenn sie erkannt werden, ganz schnell zurück gezogen.
2. Es dürfen nur signierte Anwendungen installiert werden, die aber aus beliebigen Quellen stammen können. Man kann sich durch die Signatur sicher sein, dass die Anwendungen vom jeweiligen Entwickler stammen und nicht manipuliert wurden.
3. Es dürfen beliebige Anwendungen aus beliebigen Quellen installiert werden.

So, und wann kann man sich den neuen Trojaner einfangen? Nur wenn man die ausdrücklich nicht empfohlene Möglichkeit 3 wählt und unsignierte Programme aus eher dubiosen Quellen installiert. Und damit die Sicherheitskonzepte unterläuft. Ich hoffe nur, Apple nimmt das nicht irgendwann zum Anlass, die Installation beliebiger unsignierter Programme zu verhindern. Wer sich an die empfohlenen Vorgehensweisen hält und nur signierte Apps vertrauenswürdiger Herausgeber aus vertrauenswürdigen Quellen wie dem Mac App Store oder von der Website des Herstellers installiert ist im Allgemeinen auf der sicheren Seite. Und wer Raubkopien installiert und sich dabei einen Schädling einfängt, hat es ja eigentlich auch nicht besser verdient.

Wird die Raubkopie installiert, wird dabei parallel auch WireLurker installiert. Der kann dann unter anderem nach einem Update für sich selbst suchen oder iOS-Schadsoftware zur späteren Installation auf iOS-Geräten herunter laden.

Seine Hauptaufgabe ist aber etwas anderes: Einmal installiert, wartet der Schädling darauf, dass ein iOS-Gerät über USB mit dem infizierten Rechner verbunden wird, um dann darauf einen iOS-Schädling zu installieren. Dieses Verhalten ist auch für den Namen des Angriffs verantwortlich.

Zwischenfazit 1
Der neue Mac-Schädling ist vom Konzept her ein alter Hut und für die meisten Benutzer keine wirkliche Gefahr.

6.11.: WireLurker auch für Windows erhältlich!

Am 6. November wurde von Palo Alto Networks die Entdeckung einer Windows-Version von WireLurker gemeldet. Jaime Blasco von den AlienVault Labs hat einen Windows-Schädling entdeckt, der sich mit den C&C-Server von WireLurker verbindet. Bei einer Analyse durch die Forscher von Palo Alto Networks stellte sich das Programm als WireLurker-Version heraus. Die ebenso wie die Mac-Version als Trojaner verbreitet wird, aber über einen Cloud-Hoster verbreitet wird. Wo der Herauflader neben Windows- auch Mac-Anwendungen hochgeladen hat. Alle mit WireLurker versehen. Ansonsten folgt der Angriff mit kleinen Abweichungen dem schon bekannten Muster, sind aber aufgrund verschiedener Fehler weniger zuverlässig. Aber das sei hier nur der Vollständigkeit halber erwähnt.

Das Gesamt-Fazit finden Sie wie oben schon erwähnt hier, die Beschreibung des Angriffs auf iOS hier.

Carsten Eilers