„Körperloser“ Bot greift Besucher von Nachrichtenportalen an

Anfang März erhielten wir von einem unabhängigen Experten die Mitteilung über massenhafte Infizierungen von Computern in einem Unternehmensnetzwerk, nachdem Anwender eine Reihe verschiedener russischer Nachrichtenressourcen besucht hatten. Die Infektionssymptome waren immer dieselben: Der Computer sendete einige Netzanfragen an dritte Ressourcen, woraufhin in manchen Fällen auf der Festplatte eine Reihe verschlüsselter Dateien auftauchte.

Es erwies sich als recht schwierig, den Infektionsmechanismus nachzuvollziehen. Die Websites, über die die Infektion der Anwender vollzogen wurde, sind auf verschiedenen Plattformen untergebracht und haben unterschiedliche Architekturen, wobei all unsere Versuche, die Infektion nachzustellen, nicht von Erfolg gekrönt waren. Eine schnelle Analyse der KSN-Statistik, auf Grundlage derer unter Umständen ein Zusammenhang zwischen den gehackten Ressourcen und dem sich verbreitenden Schadcode hätte festgestellt werden können, brachte ebenfalls keine Ergebnisse. Trotz alledem fanden wir etwas, das die Nachrichtenportale gemeinsam haben.

Infection sources

Für die Analyse wählten wir zwei Info-Ressourcen, über die – wie wir wussten – ein Schadprogramm verbreitet wurde, und zwar die Website von RIA, einer der größten russischen Nachrichtenagenturen – http://www.ria.ru/ – und die Website einer bekannten russischen Online-Zeitung http://www.gazeta.ru/. Das regelmäßige Speichern des Inhalts dieser Ressourcen hatte keinen Einfluss darauf, dass in Abständen immer wieder JS-Skripte von Dritten, „iframe“-Tags, die Fehlermeldung 302 oder irgendwelche anderen Anzeichen eines unautorisierten Eindringens erschienen. Gemeinsam hatten diese Sites lediglich, dass auf beiden Websites Codes des Werbungs-Verwaltungssystems der AdFox verwendet wurden, über das der Austausch von Nachrichten-Teasern organisiert wurde.

 

Code der Homepage von RIA.ru, der zum Download zusätzlichen Inhalts von AdFox.ru genutzt wird

Wir haben herausgefunden, dass der Schadcode über die Teaser des Netzes geladen wird, die mit Hilfe der Technologien von AdFox.ru organsiert werden.

Wie wurde die Infektion nun umgesetzt? Zusammen mit einem Teaser wurde im JS-Skript auf der Site iframe geladen, der den Anwender auf eine schädliche Website mit einem Java-Exploit umleitet, das sich in der Zone .EU befindet.

 

Inhalt des infizierten und des sauberen JS-Skriptes

Die Analyse der JAR-Datei des Exploits hat gezeigt, dass es eine Sicherheitslücke in Java (CVE-2011-3544) ausnutzt. Diese Sicherheitslücke wird seit November von Cyberkriminellen für Attacken auf Anwender von MacOS sowie auf Windows-User genutzt. Derzeit sind Exploits für diese Schwachstelle die wohl effektivsten überhaupt und sind Bestandteil der am weitesten verbreiteten Exploit-Packs.

In unserem Fall war das verwendete Exploit allerdings einmalig und war uns bis dahin in keinem einzigen Exploit-Pack untergekommen: Die Cyberkriminellen verwendeten die eigene Payload für die Attacke.

 

Teil der Payload der JAR-Datei

Teil der Payload der JAR-Datei

In der Regel installieren derartige Exploits irgendeine Schaddatei auf der Festplatte, in den meisten Fällen einen Dropper oder Downloader. Doch in diesem Fall erwartete uns eine Überraschung – es tauchten keine Dateien auf der Festplatte auf.

Nachdem das Exploit alle notwendigen Privilegien auf dem Opfercomputer erhalten hat, installiert es auf der Festplatte kein Schadprogramm mit Hilfe von Java, sondern verwendet die Payload zum Herunterladen einer verschlüsselten dynamischen Bibliothek dll aus dem Netz – direkt in den Speicher des Prozesses javaw.exe. Dabei wird die Adresse zum Download der betreffenden Bibliothek in verschlüsselter Form im iframe im JS-Skript von AdFox.ru angezeigt:

<applet code=“Applet.class“ archive=“/0GLMFss“><param name=“cookie“ value=“j::eHff8dCis:ys4iNfnUWP7yy“></applet>

 

Existenz einer neuen schädlichen RWE-Sektion im Prozess JAVAW.exe

Nach erfolgreicher Einschleusung und Start des schädlichen Codes (dll) beginnt Java Anfragen an Drittressourcen zu senden, die Anfragen an das Suchsystem Google des Typs „search?hl=us&source=hp&q=%s&aq=f&aqi=&aql=&oq=“… nachempfunden sind.

In diesen Anfragen sind Daten über den Verlauf aus dem Browser des Anwenders und verschiedene andere Dienstinformationen von dem infizierten System enthalten.

Wir hatten es hier also mit einer recht seltenen Spezies von Schädlingen zu tun – den so genannten „körperlosen“ Schadprogrammen, die nicht in Form einer Datei auf der Festplatte existieren, sondern ausschließlich im RAM des infizierten Computers funktionieren. Die bekanntesten Beispiele für solche Bedrohungen sind die Würmer CodeRed und Slammer, die zu Beginn des vergangenen Jahrzehnts durch Epidemien bekannt wurden.

Derartige Programme können nur bis zum Neustart des Computers funktionieren, was in diesem Fall für die Autoren des Trojaners allerdings kein kritisches Problem darstellt.

Erstens funktioniert ein „körperloses“ Schadprogramm wie ein Bot: Nach einer Reihe von Anfragen an den Steuerungsserver und den vom Server erhaltenen Antworten deaktiviert das Exploit mit verschiedenen Mitteln die UAC (User Account Control), und der Bot kann auf dem infizierten Computer das trojanische Programm Lurk installieren. Dabei wird die Entscheidung, ob Lurk im System installiert wird, vom Server der Cyberkriminellen getroffen.

Zweitens ist die Wahrscheinlichkeit, dass der Anwender nach dem Neustart des Systems erneut auf eine infizierte Nachrichten-Website gerät, recht hoch. Und das führt wiederum zu einer weiteren Infektion, so dass der Bot sich erneut im RAM befindet.

Das Fehlen einer Datei auf der Festplatte erschwert die Erkennung einer Infektion mit Hilfe von Antiviren-Programmen erheblich. Wird das Exploits nicht detektiert, kann der Bot erfolgreich in den Speicher eines vertrauenswürdigen Prozesses geladen werden und bleibt so praktisch unsichtbar.

Lurk

Das Schadprogramm Trojan-Spy.Win32.Lurk kann entweder mit Hilfe der Befehle „regsrv32“ und „netsh add helper dll“ oder über die Registry, mit Hilfe des Threads ShellIconOverlayIdentifiers im System installiert werden. Lurk installiert seine zusätzlichen Module in Form von chiffrierten dll-Dateien.

 

Für den Download zusätzlicher Module verantwortlicher Code-Teil des Schadprogramms Lurk

Die Analyse der zusätzlichen Lurk-Module brachte die Hauptfunktionalität dieses Schadprogramms zutage: den Diebstahl vertraulicher Anwenderdaten für den Zugriff auf die Online-Banking-Systeme verschiedener großer russischer Banken. Kaspersky Lab detektiert dieses Schadprogramm seit Juli 2011. Durch eine Analyse des Protokolls der Wechselbeziehungen zwischen Lurk und den Steuerungsservern konnten wir feststellen, dass im Laufe einiger Monate bis zu 300 000 infizierte Computer von diesen Servern kontrolliert wurden.

Gründe für den Vorfall

Nachdem wir uns mit der technischen Seite des Problems vertraut gemacht hatten, informierten wir die Verwaltung von Adfox über den Vorfall. Die umgehend von Adfox ergriffenen Maßnahmen ermöglichten es, den Schadcode in dem Banner, über das er sich verbreitete, zu erkennen und zu entfernen.

Im Zuge der Untersuchungen wurde festgestellt, dass unbekannte Cyberkriminelle vom Konto eines der Adfox-Kunden Änderungen im Code des Banners für die News-Ankündigungen vorgenommen haben, indem sie ihm iframe auf der schädlichen Website hinzufügten.

Nachdem sie den Code eines der Banner verändert hatten, erhielten sie die Möglichkeit, nicht nur die Besucher einer der Nachrichtensites anzugreifen, sondern auch die Besucher der übrigen Ressourcen, auf denen das entsprechende Banner platziert war. Auf diese Weise könnte die Zahl der attackierten Anwender in die Zehntausende gegangen sein. Dabei enthielten die Banner anderer Kunden des Systems AdFox keinen Schadcode.

Ergebnisse

Es handelt sich bei dem Vorfall um eine einzigartige Attacke, da die Cyberkriminellen den eigenen Downloader der PE-Dateien (Payload) verwendeten, der in der Lage ist auch ohne Erstellung von schädlichen Dateien im infizierten System zu funktionieren, indem er ausschließlich im Rahmen des vertrauenswürdigen Java-Prozesses arbeitet.

Die Ausnutzung eines Teaser-Netzes durch Cyberkriminelle ist eine der effektivsten Methoden zur Installation von Schadcode angesichts der großen Menge von Links auf populäre Ressourcen, die dort vorhanden sind.

Die Attacke richtete sich gegen russische Anwender. Allerdings schließen wir nicht aus, dass eben dieses Exploits und genau dieser körperlose Bot gegen Bewohner anderer Länder eingesetzt werden können — sie können sich mit Hilfe analoger Banner- oder Teaser-Netze ausbreiten. Dabei ist auch die Verwendung anderer Schadprogramme neben Trojan-Spy.Win32.Lurk denkbar.

Als Schutzmaßnahmen vor dieser Bedrohung empfehlen wir allen Anwendern nachdrücklich, das Patch zu installieren, das die Sicherheitslücke CVE-2011-3544 in Java repariert. Zum gegenwärtigen Zeitpunkt ist das die einzige Möglichkeit, eine Infektion garantiert zu verhindern. Wie bereits oben erwähnt, sind Exploits für die Sicherheitslücke CVE-2011-3544 überaus effektiv, und mit ihrer Hilfe kann eine Vielzahl von Schädlingen installiert werden.

Darüber hinaus muss ständig eine Sicherheitslösung mit Web-Anti-Virus auf dem System laufen. Den Anwendern von Kaspersky Lab-Produkten empfehlen wir zudem, die Funktion Geo Filter zu aktivieren, die es ermöglicht, den Zugriff des Browsers auf Ressourcen in unterschiedlichen Domain-Zonen manuell einzustellen, und die Verbindung mit Websites in der Zone .eu zu blockieren, wenn der Zugriff darauf nicht notwendig ist. Derzeit registrieren wir eine Vielzahl von schädlichen Ressourcen in dieser Zone, inklusive der oben beschriebenen, sowie Server, die das trojanische Programm Hlux verbreiten, über das wir vor kurzem berichteten.

 

P.S.: Wir bedanken uns für die Hilfe bei der Erstellung dieses Artikels bei dem unabhängigen Experten, der nicht namentlich genannt werden möchte.

Ähnliche Beiträge

Es gibt 1 Kommentar
  1. Michael Fries

    Sehr guter fundierter Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.