Gumblar: Bye, bye, Japan

Zum ersten Mal wurde das Schadprogramm Gumblar im Frühjahr 2009 beobachtet. Seither hat Gumblar die Aufmerksamkeit zahlreicher lokaler Internetprovider auf sich gezogen, da es auf den Diebstahl von FTP-Zugriffspasswörtern spezialisiert ist und bösartige Links in legitime Websites einschleust und Backdoor-Trojaner auf infizierte Server hochlädt.

Die generelle Struktur von Gumblar ist hier bereits beschrieben worden. Die einzige Änderung seitdem betrifft die Anzahl der infizierten Server und die zusätzliche „Server-Schicht“ in der Kette des Infizierungsprozesses. Nun wird der Infizierungsprozess von einer legitimen Website mit einem eingeschleusten <script>-Tag (diese Seiten werden auch als HTML-Weiterleitung bezeichnet) aus in Gang gesetzt, das zu einem Server mit PHP hinweist (PHP-Weiterleitung genannt), der wiederum Javascript zur weiteren Umleitung des Browsers erstellt. Es können zwischen einer und vier solcher Weiterleitungen zwischengeschaltet werden, bis der Browser den Inhalt von demjenigen Server empfängt, der der eigentliche Infektor ist. Auf dem letzten Server in der Kette befindet sich ein ganzes Exploit-Bündel, mit dem Angriffe auf Internetnutzer durchgeführt werden. Die neuesten Zahlen verdeutlichen, wie hoch die Anzahl der unterschiedlichen URL-Typen in diesem Prozess ist:

Die oben angeführten Zahlen zeigen lediglich einen kleinen Teil des Gesamtbildes, das wir uns machen konnten, und in der Realität fallen diese Zahlen noch weitaus höher aus. Gegenwärtig gibt es keine gesicherten Informationen darüber, wie viele infizierte Client-Maschinen Teil des Gumblar-Botnetzes sind, aber wir sind der Meinung, dass sie die bloße Anzahl der infizierten Server übersteigen, da die Serveranzahl lediglich die Anzahl der infizierten Nutzer repräsentiert, die eigene Websites betreiben und FTP-Clients auf dem befallenen System verwenden.

Nach Auszählung aller Server-Backdoors von Gumblar sind wir zu dem Schluss gekommen, dass derzeit Computer 4.460 betroffen sind.

Die von dem Gumblar-System ausgehende Gefahr liegt nicht nur in dem möglicherweise riesigen Client-Botnetz, sondern zudem in der geballten Macht aller infizierten Server. Sicherheitsexperten und Providern ist diese Bedrohung durchaus bewusst, und es sind bereits zahlreiche Versuche unternommen worden, die Größe des Systems zu evaluieren und die dahinter stehenden Personen zu identifizieren.

Japan war eines der Länder, das beträchtliche Ressourcen auf das Gumblar-Problem verwendet hat, denn:

  • Japanische Server befinden sich hinsichtlich der Anzahl an Infektionen weltweit unter den Top 5;
  • In Japan selbst werden im Vergleich zu anderen Ländern nur wenige Schadprogramme geschrieben, so dass der Skript-Downloader Gumblar – der Landesgrenzen ungehindert überquert – schnell eine Menge Aufmerksamkeit auf sich zog.

Von unserem Virenlabor in Japan aus haben wir die Verbreitung von Gumblar von Anfang an verfolgt. So ist das Downloaden neuer Samples, Decodieren und Entpacken von Shellcodes und Extrahieren von URLs inzwischen nicht nur für uns, sondern auch für viele Virenforscher in Japan zu einer täglichen Routine geworden.

Die Entwickler von Gumblar haben auf die ununterbrochenen, von zahlreichen japanischen IP-Adressen ausgehenden und gegen ihr System gerichteten Aktivitäten reagiert. Die hartnäckige Analyse der Bedrohungen und das Abfischen aktiver Online-Daten aus Japan hat eine Antwort der bösen Jungs hervorgerufen. Erst kürzlich konnten wir eine neue Variante des von den Gumblar-Autoren verfassten Infektor-Skripts beobachten, welche das Ursprungsland des Remote-Client verifiziert. Das Skript nutzt eine kostenlose IP-nach-Land-Datenbank, um das Heimatland des Client festzustellen. Stellt sich heraus, dass es sich dabei um Japan handelt, stoppt das Skript und führt keinen Angriff aus. Unten ist der Teil des Codes zu sehen, der ihn implementiert:

In dem rot markierten Teil des Codes, erhält die Funktion ‘gC’ das Landeskürzel des aktuellen Client. Lautet dieses ‘111’ (dies ist in der IP-nach-Land-Datenbank das Kürzel für Japan), setzt der Code den Wert der Variablen ‘$zz’ auf 0, so dass die Anwendung gestoppt wird.

Aktivitäten ähnlicher Art konnten wir auch bei den von uns überwachten FTP-Servern feststellen. Japanische Server werden nicht mehr reinfiziert, während sich andere Ländern immer noch in der Schusslinie der Angreifer befinden (das Intervall zwischen den Server-Reinfektionen beträgt zwischen 11 und 33 Stunden).

Pech für die bösen Jungs, dass wir ein multinationales Experten-Team sind, denn selbst wenn sie versuchen, japanische IP-Adressen auszusperren – was die Zahl der Datensammler aus Japan vielleicht zurückgehen lässt – verfügen wir auch weiterhin über genügend Ressourcen, um unsere Analysen von anderen Ländern aus fortzuführen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.