News

Gefährliche Farben

Neuartige Techniken, mit denen sich Schadcode auf Websites obfuskieren lässt, sind eine optimale Methode, um Nutzer und Sicherheitslösungen gleichermaßen in die Irre zu führen. Kürzlich bin ich auf eine äußerst interessante Attacke gegen die Onlineshopping-Plattform osCommerce gestoßen, bei der durch Ausnutzen einer Remote File Inclusion-Schwachstelle in der osCommerce-Software schädliches Script in PHP-Dateien eingeschleust wurde.

Dieses PHP-Script funktioniert als Infektor und wird genutzt, um folgenden Code direkt nach spezifizierten Tags in HTML-Dateien und zu Beginn von JavaScript-Dateien einzufügen:

Auf den ersten Blick wirkt dieser Code gar nicht so verdächtig wie sonst, nichts, was irgendwie auffällig wäre: kein <iframe>-Tag, keine unescape()-Funktion, kein eval(). Stattdessen eine Funktion, die in irgendeiner Weise mit den in der Website enthaltenen Farben zusammenhängt, sowie ein Array, gefüllt mit Werten, die vorspiegeln, eine Hex-Repräsentation dieser Farben zu sein. Unachtsame Nutzer könnten glauben, dass es sich um legitimen, zu der Seite gehörenden Code handelt, aber wenn wir dem Code weiter folgen, können wir feststellen, welche Aktivitäten er tatsächlich ausführt. Der Code zieht die Werte aus dem Array, konvertiert sie auf bestimmte Weise und erstellt einen ASCII-String, und kann damit entweder die document.write oder die document.createElement Methode zum Einbetten von Text in den Quellcode der Website nutzen. Im letzteren Fall weist das erstellte Element eine Art von Text/Javascript auf.

Sieht es für Sie jetzt verdächtig genug aus? 🙂

Wird der zweite Parameter der div_pick_colours() Funktion spezifiziert, gibt die Funktion folgendes wieder:

wobei der letzte Wert immer unterschiedlich ist und von dem aktuellen Datum und der Uhrzeit abhängt. Anderenfalls wird dieselbe URL, jedoch ohne <script>-Tags wiedergegeben. Die vorgegebene Adresse ist nicht mehr aktiv, so dass nicht mehr nachverfolgt werden kann, zu welcher Art von Bedrohung sie geführt hat.

Von Kaspersky Lab wurde dieser Schädling als Trojan-Downloader.PHP.JScript.a und Trojan.JS.Redirector.px detektiert. Laut Virus Total wurde der PHP-Teil des Schädlings bei Redaktion dieses Artikels nur noch von einer weiteren Antivirenlösung erkannt. Bei Script-Code, der in JS und HTML eingeschleust war, lag die Rate lediglich bei 20%.

Wie können Sie Ihre Website vor Infektionen mit derartigen Schädlingen schützen und was ist im Falle einer Infektion zu tun?

Die zwei wichtigsten Maßnahmen sind Backup-Kopien und eine regelmäßige Überprüfung aller auf dem Server vorhandenen Dateien. Wenn Sie osCommerce oder ein anderes e-Commerce-Portal nutzen, sollten Sie immer nach Softwareupdates suchen lassen und diese sofort nach ihrer Bereitstellung installieren. Mitunter kann die Zeit zwischen der Entdeckung einer Schwachstelle und der Veröffentlichung des entsprechenden Sicherheitspatches entsetzlich lang sein, so dass es in Betracht gezogen werden sollte, das ein oder andere fehlerhafte Feature abzulehnen und angreifbare Dateien vom Server zu löschen. Kennwörter für das Root-Verzeichnis anzulegen ist ebenfalls eine sehr gute Möglichkeit, da es dem Schädling dadurch unmöglich gemacht wird, Kerndateien zu modifizieren.

Gefährliche Farben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach