Gefährliche Farben

Neuartige Techniken, mit denen sich Schadcode auf Websites obfuskieren lässt, sind eine optimale Methode, um Nutzer und Sicherheitslösungen gleichermaßen in die Irre zu führen. Kürzlich bin ich auf eine äußerst interessante Attacke gegen die Onlineshopping-Plattform osCommerce gestoßen, bei der durch Ausnutzen einer Remote File Inclusion-Schwachstelle in der osCommerce-Software schädliches Script in PHP-Dateien eingeschleust wurde.

Dieses PHP-Script funktioniert als Infektor und wird genutzt, um folgenden Code direkt nach spezifizierten Tags in HTML-Dateien und zu Beginn von JavaScript-Dateien einzufügen:

Auf den ersten Blick wirkt dieser Code gar nicht so verdächtig wie sonst, nichts, was irgendwie auffällig wäre: kein <iframe>-Tag, keine unescape()-Funktion, kein eval(). Stattdessen eine Funktion, die in irgendeiner Weise mit den in der Website enthaltenen Farben zusammenhängt, sowie ein Array, gefüllt mit Werten, die vorspiegeln, eine Hex-Repräsentation dieser Farben zu sein. Unachtsame Nutzer könnten glauben, dass es sich um legitimen, zu der Seite gehörenden Code handelt, aber wenn wir dem Code weiter folgen, können wir feststellen, welche Aktivitäten er tatsächlich ausführt. Der Code zieht die Werte aus dem Array, konvertiert sie auf bestimmte Weise und erstellt einen ASCII-String, und kann damit entweder die document.write oder die document.createElement Methode zum Einbetten von Text in den Quellcode der Website nutzen. Im letzteren Fall weist das erstellte Element eine Art von Text/Javascript auf.

Sieht es für Sie jetzt verdächtig genug aus? 🙂

Wird der zweite Parameter der div_pick_colours() Funktion spezifiziert, gibt die Funktion folgendes wieder:

wobei der letzte Wert immer unterschiedlich ist und von dem aktuellen Datum und der Uhrzeit abhängt. Anderenfalls wird dieselbe URL, jedoch ohne <script>-Tags wiedergegeben. Die vorgegebene Adresse ist nicht mehr aktiv, so dass nicht mehr nachverfolgt werden kann, zu welcher Art von Bedrohung sie geführt hat.

Von Kaspersky Lab wurde dieser Schädling als Trojan-Downloader.PHP.JScript.a und Trojan.JS.Redirector.px detektiert. Laut Virus Total wurde der PHP-Teil des Schädlings bei Redaktion dieses Artikels nur noch von einer weiteren Antivirenlösung erkannt. Bei Script-Code, der in JS und HTML eingeschleust war, lag die Rate lediglich bei 20%.

Wie können Sie Ihre Website vor Infektionen mit derartigen Schädlingen schützen und was ist im Falle einer Infektion zu tun?

Die zwei wichtigsten Maßnahmen sind Backup-Kopien und eine regelmäßige Überprüfung aller auf dem Server vorhandenen Dateien. Wenn Sie osCommerce oder ein anderes e-Commerce-Portal nutzen, sollten Sie immer nach Softwareupdates suchen lassen und diese sofort nach ihrer Bereitstellung installieren. Mitunter kann die Zeit zwischen der Entdeckung einer Schwachstelle und der Veröffentlichung des entsprechenden Sicherheitspatches entsetzlich lang sein, so dass es in Betracht gezogen werden sollte, das ein oder andere fehlerhafte Feature abzulehnen und angreifbare Dateien vom Server zu löschen. Kennwörter für das Root-Verzeichnis anzulegen ist ebenfalls eine sehr gute Möglichkeit, da es dem Schädling dadurch unmöglich gemacht wird, Kerndateien zu modifizieren.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.