2004 - Der Aufbruch der Würmer ins Web | Dipl.-Inform. Carsten Eilers

2004 - Der Aufbruch der Würmer ins Web

Geschrieben von Carsten Eilers am Donnerstag, 27. Januar 2011 um 09:05

2004 gab es nicht nur viele herkömmliche Würmer, sondern auch den ersten Wurm, der sich in Webanwendungen ausbreitete: Santy. Bekannter sind die danach entstandenen XSS- oder JavaScript-Würmer, deren berühmtestes Exemplar der MySpace-Wurm Samy sein dürfte, der gleichzeitig der erste seiner Art war.

Santy - Mit Perl gegen phpBB

Santy war in Perl geschrieben und nutzte eine Schwachstelle in phpBB aus, um sich zu verbreiten. Die Schwachstelle wurde am 18. November 2004 in phpBB Version 2.0.11 behoben, der Wurm wurde erstmal im Dezember 2004 entdeckt und sorgte für Massen-Defacements der betroffenen Websites. Wie war das doch gleich mit dem "We encourage everyone to update as soon as possible." in der Ankündigung von Version 2.0.11? Vermutlich war das dass letzte Update, mit dessen Installation die betroffenen Admins längere Zeit gezögert haben. Sofern sie aus Schaden klug geworden sind.

Neue Opfer fand Santy mit Hilfe von Google. Nachdem ein verwundbarer Server gefunden wurde, wurde der Wurmcode über die phpBB-Schwachstelle eingeschleust. Der enthaltene Schadcode durchsuchte alle erreichbaren Verzeichnisse und überschrieb alle Dateien mit den Endungen .ASP, .HTM, .JSP, .PHP, .PHTM und .SHTM mit der Defacement-Seite. Die enthielt nur den Text

This site is defaced!!!

NeverEverNoSanity WebWorm generation X

wobei X die "Generation" des Wurms war, die mit jeder neuen Infektion um 1 erhöht wurde. Der Schadcode und damit das Defacement wurde nur aktiv, wenn die Generation größer als 3 war. Trotzdem (oder gerade weil der Wurm sich anfangs still verhielt?) wurden in kurzer Zeit "tens of thousands" Websites defaced - die sich aber evtl. als nur einige Hundert tatsächliche Defacements entpuppten.

Mit dem Defacement hatten die Website-Betreiber noch Glück, heutzutage würde so ein Wurm sehr wahrscheinlich nur heimlich, still und leise Code für eine Drive-by-Infektion in die Seiten einfügen und sich ansonsten möglichst unauffällig verhalten.

Santy(.A) folgten verschiedene Varianten, die u.a. andere Suchmaschinen oder -abfragen nutzten, da Google die von der ersten Version genutzte Abfrage sehr bald ins Leere laufen ließ. Auch die Schadfunktionen der neueren Varianten änderten sich, so wurden u.a. Hintertüren geöffnet. Und auch einen "Anti-Santy-Wurm" gab es, der die Schwachstelle in phpBB patchen sollte, um die Verbreitung von Santy zu stoppen.

Samy - Freunde kann man nie genug haben

Samy Kamkar war 2005 der Meinung, zu wenig Freunde auf MySpace zu haben. Samy (der Wurm) sollte das ändern. Und tat es so erfolgreich, dass MySpace seine Website abschalten musste, um die Freundesflut zu stoppen.

Ausgehend von Samy Kamkars Profilseite verbreitete sich der Wurm über eine persistente XSS-Schwachstelle in die Profilseiten der Besucher eines befallenen Profils. Über einen XMLHttpRequest wurde Samy zum Freund und 'Hero' des Besuchers gemacht und der Wurmcode in dessen Profilseite integriert. Innerhalb von 20 Stunden hatte Samy Kamkar mehr als 1 Million Freunde und Samy (der Wurm) entsprechend viele Seiten verseucht. MySpace musste den Betrieb vorübergehend komplett einstellen, um den Wurm zu stoppen und alle befallenen Seiten zu reinigen.

Eine technische Beschreibung des Wurm finden Sie in About Security #138 und #139.

Auf Samy folgte

Yamanner, der Webmail-Wurm

Yamanner fiel am 12. Juni 2006 über Yahoo! Mail her und nutzte dabei eine Schwachstelle im JavaScript-Filter aus. Beim Öffnen einer infizierten Mail sendete der Wurm sich selbst an alle im Adressbuch des Opfers gespeicherten Adressen, außerdem wurden die gefundenen E-Mail-Adressen an einen Server des Wurm-Autors geschickt und der Benutzer auf eine Seite mit eingeblendeter Werbung weitergeleitet.

Yahoo!s JavaScript-Filter prüfte die Daten einmal und löschte dabei gefundene unerwünschte Bestandteile, danach wurde das Ergebnis ohne weitere Prüfung verwendet. Wozu dass führt? Natürlich dazu, dass aus geschickt geschachteltem Code nach dem Löschen funktionsfähiger Schadcode wird. Eigentlich logisch, oder? Heutzutage weiß das fast jedes Kind, damals aber nicht, und auch die Filter-Entwickler habe nicht so weit gedacht. Dafür der Wurm-Autor.

Eine ausführliche Beschreibung von Yamanner finden Sie in About Security #140.

Während Samy und Yamanner Schwachstellen in den Cross-Site-Scripting- bzw. JavaScript-Filtern der Websites ausnutzten, verwendete der nächste bekannte Wurm

Flash als Transportmittel

Der Orkut-XSS-Wurm breitete sich im Dezember 2007 auf Orkut aus. In den von Orkut 'Scraps' genannten Nachrichten an Freunde war das Einbinden von Flash erlaubt. Der Wurm sendete zuerst eine Flash-Datei als Scrap, bei deren Betrachten eine Datei mit getarnten (obfuscated) JavaScript-Code geladen wurde. Der Wurmcode fügte das Opfer dann zur Gruppe "Infectatos pelo Virus do Orkut" (dt. "Infiziert vom Orkut-Virus") hinzu und begann, die Flash-Datei als Scrap an die Freunde des Opfers zu senden. Die Gruppe soll bis zu 655.000 Mitglieder gehabt haben, entsprechend viele Opfer hat der Wurm also gefunden. Der Wurm sollte der Demonstration der durch das Zulassen von Flash entstehenden XSS-Schwachstelle dienen und enthielt keine Schadfunktion.

Der Orkut-XSS-Wurm nutzte keine Schwachstelle aus, sondern missbrauchte eine erlaubte Funktion. Bei Orkut hatte einfach niemand daran gedacht, dass Flash mit ActionScript einen JavaScript-"Dialekt" verwendet, der ebenso mächtig wie JavaScript ist. Aber dessen Fähigkeiten wurden vom Wurm-Autor gar nicht verwendet, er lud einfach über ActionScript JavaScript-Schadcode nach, der mit Hilfe von Dean Edwards JavaScript Packer getarnt war. Getarnter JavaScript-Code ist heutzutage generell verdächtig, schließlich wird er z.B. für Code für Drive-by-Infektionen verwendet. Damals sah man das Packen noch als gute Möglichkeit, Speicherplatz und Übertragungskapazitäten zu sparen.

Eine ausführliche Beschreibung des Orkut-XSS-Wurm finden Sie in About Security #141.

In der nächsten Folge geht es weiter mit der Reise durch die Welt der Würmer. Dann lernen Sie unter anderen den Storm-Wurm kennen, der 2007 entdeckt wurde und in Varianten immer noch aktiv ist.

Carsten Eilers