Hacker hacken Hacker

Hacker sind dafür bekannt unerfahrene User anzugreifen. Außerdem sind sie dafür bekannt, in Teams zu arbeiten, wobei jedes Teammitglied seine speziellen Fertigkeiten nutzt, um zum Gelingen des großen Ganzen beizutragen.

Aber wer hätte schon mal von Hackern gehört, die nicht die User direkt angreifen, sondern versuchen, unerfahrenen Hackern Informationen abzuluchsen, die sie dann selbst weiter benutzen? Doch auch solche gibt es.

Kürzlich ist mir ein interessantes Beispiel dafür untergekommen, wie Hacker sich bei anderen Hackern bedienen.

Sie erstellen eine Website die PHP-Shells hostet – Backdoors, die zum Hacken angreifbarer Websites verwendet werden. Das ist zunächst einmal nichts Ungewöhnliches – ein Hilfsdienst eines Hackers an einem anderen. Wenn Hacker jedoch darauf aus sind, Daten von ihren „Kollegen“ zu stehlen, so haben diese PHP-Shells einen Haken: Sie sind geringfügig modifiziert, aber so, dass ein unerfahrener Hacker diese Modifikation nicht bemerkt.

Jede Shell enthält ein entstelltes Javaskript, das sich normalerweise am Ende des PHP-Shell-Codes befindet. Manchmal ist es auch mehrere Male an verschiedenen Stellen innerhalb ein und derselben Datei integriert, so dass ein ungeübtes Auge es noch schwerer erkennen kann.

Nach der Deobfuskation ist deutlich erkennbar, dass der Code ein externes Skript ausführt:

Und so sieht das externe Skript aus:

Es benutzt das Javasckript-Objekt „location.href“, um an die URL der angreifbaren Website zu kommen, die der unerfahrene Hacker versucht auszunutzen und ruft die Datei yaz.php mit einem Parameter auf, das auf die URL der Seite verweist, auf der die Shell verwendet wurde. Die Datei yaz.php sammelt vermutlich alle URLs, die auf diese Weise zusammengetragen werden, in einer Datenbank. Das bedeutet, dass die Urheber dieser Website an eine umfassende Sammlung angreifbarer Websites kommen. Welche wiederum von Hackern zusammengetragen wurde, die zu unerfahren sind, um die Modifikationen in der verwendeten PHP-Shell zu bemerken.

Die ganze Sache zeigt sehr eindeutig, dass es so etwas wie einen Ehrenkodex unter Hackern nicht gibt – sie greifen nicht nur ahnungslose User an, sondern auch ihresgleichen, und zwar nur zu dem Zweck, Zugang zu so vielen Servern wie möglich zu bekommen. Im Übrigen kommt dergleichen auch unter Phishern vor: Einige Phisher fügen ihren Phish-Kits ein Skript hinzu, das bewirkt, dass die gekaperten Daten nicht nur zu dem Käufer des Kits, sondern auch zu ihnen selbst zurückgesendet werden. Handelt es sich bei diesen Fällen nur um Ausnahmen oder entwickelt sich „Hacker hacken Hacker“ (dreimal schnell hintereinander und es ist ein Zungenbrecher!) zu einem echten Trend?

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.