Beim
"Binary Planting"
oder "DLL Preloading" nutzt der Angreifer aus, dass eine Anwendung
beim Laden einer Datei auch benötigte Bibliotheken im aktuellen
Arbeitsverzeichnis sucht. Befindet sich das in der Reihenfolge vor dem
Verzeichnis mit den richtigen Bibliotheken, werden vom Angreifer im
Arbeitsverzeichnis gespeicherte präparierte Versionen zuerst gefunden
und an Stelle der richtigen Versionen geladen.
Anscheinend
wurde mit
Stuxnet
tatsächlich das iranische Atomwaffenprogramm sabotiert, die restlichen
verseuchten Windows-Rechner wären dann sozusagen "Kollateralschäden".
Auf der
Virus Bulletin International Conference,
die vom 29. September bis 1. Oktober im kanadischen Vancouver
stattfindet, wollen auf zwei Vorträgen Mitarbeiter von Symantec
("An indepth look into Stuxnet")
sowie Microsoft und Kaspersky
("Unravelling Stuxnet")
ihre Erkenntnisse über Stuxnet vorstellen. Angeblich soll es auch Hinweise
auf den oder die Urheber geben. Von ESET gibt es bereits eine
ausführliche
Analyse.
Wirklich fest steht aber eigentlich nur eines: Schützen kann man sich vor
derartig aufwändigen gezielten Angriffen kaum. Aber was macht man dann?
Angriffe auf die WLAN-Clients bilden den Abschluss des Themenblocks
"Netzwerk-Sicherheit". Während Access Points i.A. recht gut
geschützt sind, sieht es bei den Clients in der Hinsicht oft deutlich
schlechter aus. Mögliche Angriffe auf den Client hat
Kismet-Autor
Mike Kershaw auf der Konferenz Black Hat DC 2010
vorgestellt.
Stuxnet ist ein sehr interessanter Schädling. Erstmals aufgefallen ist
der Wurm im Juni, als er die
Shortcut-Lücke
in Windows zur Verbreitung ausnutzte. Sein Ziel:
SCADA
(Supervisory Control and Data Acquisition) Systeme zur Überwachung und
Steuerung technischer Prozesse von
Siemens.
Und genau in denen hat er sich inzwischen häuslich eingerichtet.
Stuxnet ist ein sehr interessanter Schädling, der es gezielt auf
bestimmte Produktionsanlagen abgesehen hat. Ein paar Fakten habe ich
hier
zusammengefasst, in diesem Text geht es um Spekulationen über über die
Herkunft und das Ziel des Wurms.
Kurz nochmal die Fakten
Der Wurm kann allgemein Daten ausspähen und ganz bestimmte Systeme
auch manipulieren
Diese Systeme stehen sehr wahrscheinlich im Iran (da dort die
meisten Infektionen, sowohl von SCADA-Systemen als auch allgemein,
entdeckt wurden)
Auf allen bisher Siemens bekannt gewordenen infizierten Systemen hat
der Wurm keinen Schaden angerichtet, das Zielsystem war aber auch nicht
darunter
Die Entwicklung des Wurms war sehr aufwändig
Der Wurm kann an andere SCADA-Systeme angepasst werden
In dieser Folge geht es insbesondere um das sog. NAT-Pinning, bei dem
Client und Router unterschiedliche Ansichten über das aktuelle
Protokoll haben. Außerdem wurden 2010 eine Reihe neuer Angriffe auf
Cisco-WLANs vorgestellt, und ein neues Tool erlaubt das Testen von und
Angriffe auf Router.
NAT-Pinning: Für den Client ist es HTTP, für den Router IRC
Sowohl in Adobe Reader und Acrobat als auch im Flash Player gibt es zur
Zeit 0-Day-Schwachstellen, die bereits für Angriffe ausgenutzt werden.
Die Schwachstelle im Adobe Reader und Acrobat wurde bereits in der vorigen
Woche gemeldet, die im Flash Player, die zusätzlich auch den Adobe
Reader und Acrobat betrifft, am Montag.
Die 0-Day-Schwachstelle in Adobe Reader und Acrobat
Die Zeit der E-Mail-Würmer schien eigentlich vorbei zu sein. Wer
rechnet 2010 schon noch damit, dass sich ausgerechnet ein E-Mail-Wurm
rasant verbreitet? Das haben sich anscheinend auch Cyberkriminelle gedacht
und gerade dieses "nicht damit gerechnet haben" ausgenutzt.
Jedenfalls hat sich Ende letzter Woche ein neuer E-Mail-Wurm vor allem in
den USA schnell verbreitet. Unter dem Subject "Here you have" oder
"Just For you" werden Links zu einem Sex-Video ("This is The
Free Dowload Sex Movies,you can find it Here") oder einem angeblich
angekündigten Dokument ("This is The Document I told you about,
you can find it Here") verbreitet.
Berichten zufolge
wurden u.a. die Netze einiger amerikanischer Unternehmen,
vor allem ABC/Disney,
hart getroffen.
Der von Cisco in WLAN Access Points implementierte WPA Migration
Mode erlaubt Clients die wahlweise Nutzung von WEP oder WPA mit dem
gleichen Service Set Identifier (SSID). Leandro Meiners und Diego Sor
haben auf der Konferenz "Black Hat USA 2010" einen Angriff auf den WPA
Migration Modevorgestellt,
bei dem sie auch ohne vorhandene WEP-Clients den WEP-Schlüssel in
relativ kurzer Zeit ermittelt haben. Mit vorhandenen WEP-Clients ist der
Angriff trivial, da dann sehr schnell ausreichend viele
WEP-verschlüsselte Pakete gesammelt werden können, aus denen dann
der WEP-Schlüssel innerhalb weniger Minuten
berechnet werden kann.
Ohne WEP-Client war ein Angriff zwar bisher schon möglich, aber sehr
langwierig.
Eine 0-Day-Schwachstelle in QuickTime, die man fast als Backdoor bezeichnen
kann, liefert den Ausgangspunkt für zwei wichtige Lektionen zur
IT-Sicherheit: Beim Entfernen von Code kann man genau so schlimme Fehler
machen wie beim Hinzufügen, und Schwachstellen können durchaus
öfter als einmal entdeckt werden.