Chinesischer Massenhack Teil 2

Vorgestern erlebten wir den Startschuss zu dem neusten Massenhack, wobei Websites geknackt und mit einem Link versehen werden, der zu einem schädlichen Server führt. Wir schätzen, dass in den letzten Tagen zwischen 2000 und 10 000 Server, hauptsächlich in Westeuropa und Amerika, gehackt wurden. Bisher ist noch nicht klar, wer dafür verantwortlich ist.
Wir sind immer noch damit beschäftigt, herauszufinden, wie die Sites genau gehackt wurden, doch unterm Strich erscheinen zwei Szenarien am wahrscheinlichsten: Der Einsatz einer SQL-Injection oder die Verwendung von bereits gestohlenen Accounts zu den entsprechenden Websites. Eine Gemeinsamkeit besteht darin, dass die meisten gehackten Sites auf irgendeinem Typ von ASP-Engine laufen.
Das Ausmaß dieser Angriffswelle ist zwar nicht mit dem ersten “Chinesischen Massenhack” im Frühjahr dieses Jahres vergleichbar, der mehr als 1,5 Millionen Webressourcen betraf. Aber die Sache befindet sich immer noch im Entwicklungsstadium und die Ähnlichkeit der Schadprogramme, die in beiden Fällen verwendet wurden, brachte uns zu dem Schluss, dass diese neue Angriffswelle eine potentielle Gefahr darstellt.

Wie funktionieren die Attacken?

Die Angreifer fügen dem html der gehackten Sites den Tag < script src=http://******/h.js > hinzu.
Der Link führt zu einem Java Script, das sich auf einem von sechs Servern befindet. Diese Server funktionieren als Gateways für weitere Umleitungen von Anfragen. Sechs dieser Gateways haben wir bereits identifiziert und der Blacklist in unserem Antivirus-Produkt hinzugefügt.

Wir empfehlen allen Systemadministratoren den Zugriff auf diese Seiten zu blockieren:
Alle Besucher der gehackten Websites werden unbemerkt auf einen schädlichen Server namens vvexe.com umgeleitet, der sich in China befindet. Daraufhin kommen Exploits zum Einsatz, die zum Angriff auf die Anwendercomputer verwendet werden.
Derzeit werden verschiedene Exploits eingesetzt, die Sicherheitslücken im Internet Explorer, im Macromedia Flash Player und die ActiveX-Schwachstelle (MS08-053) ausnutzen, für die Microsoft vor nicht einmal zwei Monaten ein Patch veröffentlicht hat. Einige Exploits richten sich gegen die Anwender von Firefox.
Die folgenden Schadprogramme werden auf der Site von unserem Antivirus entdeckt:
Ist Ihr Rechner von nur einem dieser Exploits angreifbar, so wird es von einem weiteren Schadprogramm, Trojan-Downloader.Win32.Hah.a, befallen.
Dieser Trojaner ist in der Lage, weitere Schädlinge herunter zu laden, deren Anzahl und Dateien in einer speziellen Konfiguraionsdatei auf vvexe.com site abgelegt sind.
Gestern konnten wir den Download von drei Trojanern beobachten:
Trojan-GameThief.Win32.WOW.cer – Ein Trojaner, der Zugangsdaten von World of Warcraft-Accounts stiehlt.
Trojan-Spy.Win32.Pophot.gen – Ein weiteres Spionageprogramm, das Daten stiehlt und zudem versucht, eine Reihe von Antiviren-Lösungen zu löschen.
Trojan.Win32.Agent.alzv – Dieser Trojaner lädt weitere Spionagetrojaner herunter, und zwar Trojan-PSW.Win32.Delf.ctw, Trojan-PSW.Win32.Delf.ctx, Trojan-PSW.Win32.Delf.cty.
Wenn Sie eine Website besitzen oder verwalten, die eine ASP-Engine verwendet, überprüfen Sie alle Seiten auf das Vorhandensein von Links wie z.B.: . Sollten Sie fündig werden, so löschen Sie den Link. Denn nicht nur Ihre eigene Sicherheit steht auf dem Spiel, sondern jeder, der Ihre Site benutzt, setzt sich der Gefahr einer Infizierung aus!