HTTPS im Dienste Cyberkrimineller

Täglich tauchen im Internet neue infizierte Websites auf. Unter ihnen sind auch persönliche Blogs auf WordPress, die im Zuge einer massenhaften automatisierten Attacke infiziert wurden, sowie Websites von Massenmedien, die Cyberkriminelle jede einzeln nach vorherigen Vorbereitungen manuell infiziert haben. Alle diese Ressourcen erweitern das Arsenal der so genannten „Traffic-Händler“ – Cyberkrimineller also, die die Besucher infizierter Sites auf die Webressourcen ihrer Kunden, sprich Virenautoren, umleiten. Im Endeffekt wird auf den nichts ahnenden Besucher solcher Websites eine so genannte Drive-by-Attacke verübt, und wenn im Browser des Anwenders oder in den entsprechenden Plug-Ins irgendwelche Sicherheitslücken vorhanden sind, so wird auf seinem Rechner Malware installiert.

Kaspersky Lab arbeitet mit einem System, das infizierte Websites automatisch erkennt und „besucht“, um auf diese Weise in den Besitz eines schädlichen Samples zu gelangen und es daraufhin zur Untersuchung an das Virenlab zu schicken. Doch damit dieses System Webbedrohungen noch effektiver erkennt, werden die infizierten Websites von Virenanalysten unter die Lupe genommen. Mit der Präzision eines Gerichtsmediziners fördern sie zutage, auf welche Weise die Attacke auf den Computer des Anwenders, der auf dieser Site gelandet ist, erfolgte.

Kürzlich spielte ich selbst die Rolle eines solchen „Gerichtsmediziners“. Nachdem ich eine Website zur Analyse erhalten hatte, bei deren Besuch schädliche Software auf den Computer geladen wurde, machte ich mich mit Hilfe des kostenlosen HTTP-Debuggers Fiddler an die Untersuchung seines Inhalts. Als allererstes durchsuchte ich die Seiten der Website nach den auch für die simpelsten Web-Infektionen typischen Tags <script> und <iframe>, die auf schädliche Webressourcen führen. Bei den Tags fand ich nichts, und das überrascht auch nicht, denn Hacker lassen Links auf Schadprogramme doch eher selten in offener Form stehen. Daher begann ich, alle auf der Website platzierten JavaScript-Dateien eingehend zu untersuchen, doch auch dort wurde ich nicht fündig! Auf der zu analysierenden Ressource befanden sich einige Flash-Videos, und da der Download von Malware auch durchaus über solche vollzogen werden kann, dekompilierte ich jedes einzelne und schaute es mir an. Doch leider führte auch dieser Ansatz zu nichts. Die Situation erschien völlig unerklärlich , daher überprüfte ich alles ein zweites Mal, allerdings wieder ergebnislos.

Nun fiel mein Blick auf eine unscheinbare graue Zeile in Fiddler, die besagte, dass irgendein Teil des Inhalts der Website über einen verschlüsselten Kanal via HTTPS geladen wird.

 

Es fiel schwer zu glauben, dass die Cyberkriminellen sich auf die kostenpflichtige Prozedur zum Erhalt eines SSL-Zertifikats für eine Website, die Schadprogramme verbreitet, eingelassen hatten, zumal solche Ressourcen sehr schnell auf den Schwarzen Listen der AV-Unternehmen landen und daher auch ihren Wert verlieren. Doch wie bereits Sherlock Holmes sagte: ‚Eliminiere alle anderen Faktoren, und was übrig bleibt, muss die Wahrheit sein.‘

Mit nur geringer Hoffnung auf Erfolg aktivierte ich in Fiddler die Option Entschlüsselung des HTTPS-Traffics, und wie sich zeigte, verbarg sich unter der unscheinbaren grauen Zeile tatsächlich eine Umleitung auf eine schädliche Website.

 

Die Quellsite der Malware – wie auch die auf sie umleitende Vermittlersite mit SSL-Zertifikat – wurden umgehend unserer Schadressourcen-Datenbank hinzugefügt. Alle mit Hilfe der analysierten Website verbreiteten Schadprogramme wurden von Kaspersky Lab auch schon vorher detektiert.

Doch mich interessierte nun, ob die Online-Gangster tatsächlich ein vertrauenswürdiges Zertifikat für die sichere Übertragung des Schadcodes erworben hatten, oder ob es ihnen irgendwie gelungen war, die Überprüfung des Browsers auf gefälschte SSL-Zertifikate zu umgehen. Es ist erstaunlich, aber das Zertifikat schien tatsächlich vertrauenswürdig zu sein.

 

Es kommt sehr häufig vor, dass Computerbetrüger auf die Vertrauensseligkeit ihrer Opfer setzen: Sie hacken Accounts in sozialen Netzwerken, um an alle Freunde Links auf niedliche Kätzchen zu versenden (mit der Erweiterung .exe, versteht sich), sie fälschen die Logos von Strafverfolgungsbehörden im Interface von Trojan-Blockern und überreden die Anwender, ihre reale Handynummer „zum Kampf gegen Bots“ anzugeben. Allerdings verwenden Cyberkriminelle häufig auch große Anstrengungen darauf, Antiviren-Anbieter und unabhängige Forscher auszutricksen. Die unscheinbare hellgraue Zeile der HTTPS-Verbindung ist ein Beispiel einer solchen Irreführung, die auf dem Vertrauen der Spezialisten in die Technologien begründet ist, die ursprünglich zum Schutz der Anwender vor IT-Schädlingen entwickelt wurden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.