Massenhafte Ausnutzung von OS X – Warum gerade jetzt?

Marktanteil! Diese Antwort liegt auf der Hand, aber es steckt noch mehr dahinter.

Im Jahr 2011 betrug der geschätzte Marktanteil von Apple an Desktop/Laptop weltweit über 5%. Das war eine wichtige Hürde, die es zu nehmen galt – Linux hält unter 2% des Marktanteils und Google ChromeOS sogar noch weniger. Dieser nach 15 Jahren erreichte Spitzenwert fällt zeitlich zusammen mit dem ersten Erscheinen von aggressiver FakeAv/Rogueware, die Apple-Computer angriff, und die wir entdeckten und zunächst im April 2011 und dann später im Mai 2011 beschrieben. Wobei diese zeitliche Übereinstimmung heutzutage gar nicht mehr so merkwürdig erscheint. Auch die Tatsache, dass die Entwicklung von Malware für Apple so lange auf sich warten ließ, liegt höchstwahrscheinlich nicht daran, dass es keine Apple Exploits gab, oder daran, dass das Betriebssystem Mac OS X besonders sicher ist. Der „Monat derApple Bugs“ im Jahr 2007 hat gezeigt, dass Mac OS X und der unterstützte Code voller Mängel stecken. Safari, Quicktime und andere auf Apple-Geräten verwendete Software wird auf pwnage-Contests regelmäßig ausgenutzt, doch bis zum letzten Jahr war das Interesse der Cyberkriminellen daran kaum ausgeprägt.

Derzeit wissen wir nicht, wer hinter Flashfake steckt, daher können wir auch nicht mit Sicherheit sagen, dass es sich dabei um dieselbe Gruppe handelt, die die FakeAv/Rogueware für Mac OS X entwickelt hat. Es ist allerdings recht wahrscheinlich, dass osteuropäische Cyberkriminelle für das Botnetz verantwortlich sind. Bekannte Gruppen aus dieser Region haben mit Erfolg Werbeeinnahmen durch Traffic-Hijacking erzielt. Wir glauben nicht, dass sie auch andere sensible Daten im Visier hatten. Und die Exploits verbreitenden URLs, von denen wir wissen, richteten sich ausschließlich gegen Mac-User. Diese Faktoren schränken die operativen und technischen Anforderungen einer finanziell motivierten Cybercrime-Gang ein.

In gewisser Weise glich ihr Vorgehen dem der Gruppen, die für Koobface oder Tdss verantwortlich sind. Sie haben keine großangelegten Finanzverbrechen begangen, um die Aufmerksamkeit der Strafverfolgungsbehörden nicht auf sich zu ziehen, und ihre Malware enthält Hooks und anderen Code, um raffiniertere Bankverbrechen zu verüben als das Hijacken von Such-Traffic, aber sie waren höchstwahrscheinlich darauf aus, viele, viele kleinere finanzielle Gewinne zu erzielen. Andererseits hat Apple den Gaunern glücklicherweise nicht ausreichend an die Hand gegeben, damit diese ihr Spiel zu Ende spielen können. In diesem Geschäft geht es unter Umständen um eine Menge Geld – es wird geschätzt, dass die Koobface-Jungs sich mit einer Million davon gemacht haben, nachdem Facebook ihre Machenschaften aufgedeckt hatte. Doch auf der Grundlage der Domain-Registrierungen haben wir festgestellt, dass die Individuen nicht wirklich so öffentlich sind und sie ihre Identitäten verbergen, während sie den Suchmaschinen-Traffic hijacken. Die Malware selbst schleust eine Reihe von Hooks in laufende Applikationen ein, ganz wie Zeus, SpyEye und andere Spionage-Software. Würden sie für Finanzverbrechen eingesetzt, so müsste die Gruppe hinter dem Botnetz Geldesel und andere Komplizen hinzuziehen, um das gestohlene Geld zu waschen. Dadurch würde die Gruppe wachsen und die Aufmerksamkeit der Obrigkeit auf sich ziehen.

Technologisch gesehen ist Java ein wichtiges Teil in diesem Puzzle. Obgleich der Trojaner Flashfake heißt, da die Nutzer davon überzeugt werden sollten die Malware als ein angebliches Update von Adobe Flash zu installieren, wurden neuere Versionen des Schädlings via clientseitiger Ausnutzung von Java installiert.

Drei Sicherheitslücken wurden mit clientseitigen Exploits ausgenutzt, von denen keine eine 0-Day-Schwachstelle war, an die man anscheinend immer schwerer herankommt. Außerdem funktionierte dieses Set für diese Anwender ebenso gut. Interessant ist die Dauer, die zwischen der Veröffentlichung des ursprünglichen Oracle Java Sicherheitsupdates und des Apple Java Sicherheitsupdates vergangen ist, sowie der Zeitpunkt, zu dem in diesem Rahmen die Ergebnisse der Sicherheitsuntersuchungen öffentlich gemacht wurden. Und wann wurden die Metasploit Open Source Exploit-Module, die die entsprechenden Java-Sicherheitslücken ausnutzen, veröffentlicht? Die Größe der Zeitfenster ist alarmierend – es handelt sich hier nicht um 0-Day-Exploits, sondern Apple hat ganz einfach keine Patches herausgegeben und seine Kunden damit dem Äquivalent zu bekannten 0–Day-Exploits überlassen.

CVE-2012-0507

15.02.2012 Oracle patcht die Atomic Reference Array Sicherheitslücke

10.03.2012 Erste Itw Exploits für diese Schwachstelle

2012-03-30 die Metasploit Entwickler fügen Java das Exploit-Modul atomicreferencearray hinzu

03.04.2012 Apple patcht seinenCode

CVE-2011-3544

12.05.2011 Anbieter wird informiert

18.11.2011 Oracle patcht seine Java SE

30.11.2011 die Metasploit Entwickler fügen das „Rhino Exploit“-Modul hinzu

30.11.2011 Krebs berichtet von einer funktionsfähigen Blackhole-Site mit dem neuen Java-Exploit

29.03.2012 von Apple gepatcht

CVE-2008-5353

„Deserializing Calendar objects“

01.08.2008 Sun wird erstmals von der Sicherheitslücke berichtet

03.12.2008 Sun patcht seinen Code (Sun link down)

15.05.2009 Apple patcht MacOSX-Code

16.06.2009 Metasploit Entwickler fügen Java das Deserialization-Exploit hinzu
Ebenfalls auf dieser Liste ist ein schwaches Exploit, das als signiertes Applet Social Engineering-Trick beschrieben wird.

Ich würde es die „der fürchterlich verwirrte Anwender, der unter dem Einfluss des Java-Dialogs ‚Wollen Sie diesem Applet trauen?‘ steht und alles startet, was man ihm präsentiert“-Abzocke nennen. Erstmals wurde es der Metasploit Exploit-Modulliste am 27.01.2010 hinzugefügt. Die Ganoven schieben dem Nutzer eine Datei unter, die er für ein von Apple Inc. selbst zur Verfügung gestelltes JavaUpdate hält, dem sie zugestehen, jegliche Aktion auf ihrem Rechner auszuführen. Der Downloader beginnt dann mit verschiedenen Sites zu kommunizieren, um neue Flashfake-Komponenten zu registrieren und herunterzuladen. Diese Komponenten sammeln das System UUID und Zeitstempel, autogenerieren dann mit einem Krypto-Algorithmus ein Set von C2-Domains nebst der Erhaltung einer Liste von hartkodierten Domains. Einige der neueren Komponenten schleusen in laufende Prozesse auf dem System Hooking-Software-Funktionalität und Hijacking-Traffic ein, so wie frühere TDS-Malware auch.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.