Manchmal bekomme ich auch E-Mails mit Fragen zum Thema Malware. Da fragt mich jemand ob die Malware (ein umfangreiches JavaScript), die er via Google-Bildersuche untergeschoben bekam, etwas mit SQL-Injection zutun haben könnte. Ohne ein Beispiel parat zu haben, vermutete ich:

Solche JavaScripte könnten schon zu Massen-SQL-Injection wie LizaMoon passen. Da du es aber in der Bildersuche gefunden hast, nehme ich an, dass es eher dazu gedacht ist, einen User direkt, also ohne Umwege über eine SQL-Injection, anzugreifen. Wonach hast du denn gesucht?

Gestern antwortete er mir mit dem Keyword nach dem er suchte. Drei Suchergebnisseiten später fand ich die Malware auf die er gestoßen war und nun weiß ich: In diesem Fall hat es nichts mit SQL-Injection zutun.


Als Windows-User bekomme ich ein sehr umfangreiches JavaScript untergeschoben, wobei eine 404-Fehlermeldung angezeigt wird — das Opfer also erst einmal gar nicht vermutet dass es gerade angriffen wird. Das JavaScript, welches im Hintergrund ausgeführt wird, sucht offensichtlich nach verschiedenen Sicherheitslücken auf dem Computer des Opfers. Es wird in Flash, im Acrobat Reader und auch in Java nach Lücken gesucht. Was bei einem Fund genau passiert, kann ich nicht sagen, da ich kein Spezialist für Malware bin. Mir ist es i.d.R. auch nicht wichtig zu erforschen welche Viren, Würmer und Trojaner sich nun genau einnisten. Schadsoftware ist Schadsoftware, egal ob sie nun HurZelBurzel0815 oder DummZeUch007 heißt. Für die Details, auch der Gegenmaßnahmen, sind die Malware-Spezialisten zuständig. Ich interessiere mich eher für die Verbreitungswege.


Die Malware unterscheidet zwischen Windows und OS-X. Ein Test unter Ubuntu brachte die gleiche Weiterleitung wie unter Windows. Da dies für mich unter Windows etwas unergiebig war, schaute ich es mir als MacLoser an. ;O)

(Ein kleines Video dazu: http://www.youtube.com/watch?v=FuNHSF6xv1U)

Dieser Fake-Antivirus Scanner ist extra für die Fanboys gedacht, die meinen, mit OS-X das sicherste Betriebssystem aller Zeiten zu benutzen. :O)

In dem Video sieht man das ein Download automatisch gestartet werden soll. Hierbei wird eine anti-malware.zip geladen, in der die Installationsdatei MacProtector.mpkg steckt. Der Server hinter der IP-Adresse aus dem Beispiel (69.50.202.201) wurde mittlerweile deaktiviert, aber mit 69.50.201.186 nutzt der Angreifer einen anderen Server, beim gleichen Provider. Zur Zeit startet auf der neuen Maschine noch kein Download.


Aber nun zum Verbreitungsweg.

Ein Blog, in dem es nur drei Einträge gibt, hat offensichtlich eine Sicherheitslücke über die der Angreifer ein eigenes PHP-Script einbringen konnte. Das Blog gehört zu den nutzlosen Seiten im Netz, die nur zum “Linkbuilding” bzw. Suchmaschinen-Zuspammen genutzt wird. Der Betreiber hat es wohl vergessen oder die SEO-Kampagne wurde einfach abgeblasen, denn der letzte Eintrag ist knapp 6 Monate alt.

Angeblich bietet dieses Blog aber mehr als 10.000 Bilder an und diese wurden alle von der Bildersuche von Google aufgenommen. Wird einem ein entsprechendes Bild angezeigt und klickt man darauf, so folgen die nächsten Schritte:

1. PHP-Script des Blogs wird aufgerufen.
   http://opfer.tld/15.php?q=zeuch
[REFERRER] http://www.google.

Wichtig ist hier der Referrer, also die aufrufende Seite. Ist kein oder der falsche Referrer enthalten, wird einfach nur die Startseite des Blogs angezeigt. Gültige Referrer sind: google, bing oder yahoo, aber nicht yandex.

2. Das Blog lädt eine Seite mit drei Zeilen JavaScript, welches nur zur Weiterleitung dient.
3. Eine ce.ms-Subdomain leitet nun weiter, auf den Server der die FakeAV-Seite anzeigt und die Malware zum Download anbietet.

Zum Teil werden die Server die den Fake-Antivirus Scanner anzeigen bereits deaktiviert oder vom Browser als Malware-Schleuder erkannt. Schaut man sich den obigen Punkt 2 etwas genauer an, so bemerkt man: Der Angreifer nutzt verschiedene ce.ms-Subdomains

http://www.utrace.de/?query=npbtfqxt.ce.ms

http://www.utrace.de/?query=vzaynvro.ce.ms

http://www.utrace.de/?query=jxqfkgny.ce.ms
die aber alle auf den gleichen Server zeigen.

Da Google bzw. die Browser und die Antivirus-Spezialisten automatisiert Malware erkennen und blockieren, erkennen sie nur den letzten Punkt, nämlich den, der beim User den angebliche Virenalarm auslöst. Würde man sich etwas mehr Mühe bei der Bekämpfung von Malware geben, so müsste der Server in Rumänien gesperrt werden.


Noch kurz zu den mehr als 10.000 Bildern in dem 3-Seiten-Blog.

Der Angreifer hat es geschafft sehr viele Einträge in der Bildersuche von Google zu hinterlassen, für Bilder die zwar irgendwo gehostet sind, aber nicht in dem Blog. Wie dies genau funktioniert kann ich nicht sagen, BlackHat-SEOs wissen da sicher mehr.

---

Link in der Bildersuche von Google:
http://www.google.de/imgres
?imgurl=http://xyz.imageshack.us/zeuch.png
&imgrefurl=http://opfer.tld/15.php?q=zeuch&page=7
(...)
Es wurde ein vorhandenes Bild mit der Seite des Opfers verbunden.

---

Der Link zum rumänischen Server:
http://npbtfqxt.ce.ms/in.cgi
?seoref=http%3A%2F%2Fwww.google.de%2Fimgres(...)
&parameter=$keyword
&se=$se
(...)
Der Angreifer verwendet wahrscheinlich ein gut funktionierendes Script für SEO-Spam, ohne allerdings deren SEO-Features zu nutzen, weshalb beispielsweise das $keyword noch in dem Link zu finden ist.


Ohne die Lücke in der Google-Suche, die Links indexiert die es so nicht gibt bzw. offensichtlich nicht koscher sind, hätte es der Angreifer ungleich schwerer, seine Malware unter das Volk zu bringen.

Google sollte mehr gegen diese Manipulationen unternehmen, nicht nur wegen der Malware, sondern auch damit die Qualität der Suchergebnisse endlich wieder steigt und man nicht mit “Linkbuilding”-Mist zugemüllt wird.


Update: 12.05.2011 – 15:56 Uhr

Passend zum Thema: “Google Doodle führt zu Scareware-Seiten” (heise.de)
Was Heise dort schreibt ist nicht so ganz korrekt. Das eigentliche Problem hat nichts mit dem Doodle zutun, sondern mit der fehlerhaften Indexierung in der Bildersuche.

“Chaos Computer Club weist auf ernste Sicherheitslücken bei der Bundesfinanzagentur hin” (ccc.de)

Laut Vertretern der Bundesfinanzagentur ist dieser hochgradig fahrlässige Zustand des Internetauftrittes “schon sehr lange so, die Webagentur habe das so geliefert” (…) Trotz beauftragtem “Sicherheitsberater” und einer Beratung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden bisher keine Probleme an der Systemimplementierung identifiziert, (…) Auf nochmalige Rückfrage teilte die Bundesfinanzagentur dem CCC mit, daß der Server zwar einmal mit einem Penetrationstest auf Sicherheitsprobleme von außen untersucht wurde, es seien aber keine Mängel gefunden worden.

Eine “Webagentur” kopiert webadmin.php (“a simple Web-based file manager”) ins htdocs-Verzeichnis, benennt es in filedfa.php um (wahrscheinlich damit die Datei nicht gefunden werden kann…) und sagt Suchmaschinen via robots.txt, dass diese PHP-Datei nicht in den Index aufgenommen werden darf. Der Eintrag in der robots.txt sah so oder so ähnlich aus: Disallow: /filedfa.php
Mit anderen Worten — was Google nicht finden soll, das gibt es auch nicht und was Google nicht indexiert, das können Menschen schon gar nicht finden.

Da Sicherheitsberater, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und auch die gemeinen Penetrationstester niemals in die robots.txt reinschauen, gab es für sie keine Chance diese Sicherheitslücke zu finden.

Ein Screenshot von dem Dateimanager findet man bei Heise: “Webserver der Bundesfinanzagentur offen wie ein Scheunentor” (heise.de)


Ich habe ja keine Ahnung von so etwas, aber ich würde einen webbasierten Dateimanager schon mal gar nicht nutzen wollen, sondern nur SFTP und wenn doch, dann nur per Passwort zugriffsgeschützt, aber wie gesagt… ohne Informatikstudium, Diplom, etc. ist dies nur meine unmaßgebliche, unfachmännische Meinung.

Was bin ich froh dass ich kein gelernter Informatiker und Penetrationstester bin, sondern nur ein Autodidakt der als Penntester arbeitet. ;O)


filedfa.php
file
dfa => Deutsche FinanzAgentur

Welche “Webagentur” war da am Werk? Haben die evtl. auch bei ihren anderen Kunden so eine Backdoor hinterlassen?


Update: 12.03.2011 – 19:51 Uhr

“Angriff auf Web-Angebot der Bundesfinanzagentur” (zeit.de)

Die Website «www.bundeswertpapiere.de» sei am Donnerstag «offenbar Ziel einer Webattacke geworden», (…) Bei der Frankfurter Staatsanwaltschaft sei Strafanzeige gegen Unbekannt erstattet worden.

Weiß die Finanzagentur des Bundes nicht mehr welche “Webagentur” sie beauftragt hatte oder warum soll die Staatsanwaltschaft ermitteln und weiter Steuergelder verschwenden? Und die “Webattacke” ist ja wohl kaum am Donnerstag erfolgt, sondern sehr wahrscheinlich, wenn überhaupt, schon vor oder seit mehreren Jahren. Welcher PR-Fritze ist den auf diese grandiose Idee gekommen? Einfach nur ein lächerlicher Versuch die eigene Inkompetenz und die der Beteiligten unter den Teppich zu kehren.