Plattformübergreifender Java-Bot bei DDoS-Attacken eingesetzt

In den letzten Monaten gab es relativ wenige Sicherheitsprobleme mit Java, was insbesondere nach dem Jahresbeginn 2013 eine positive Wendung war, als eine Meldung über Bugs in dieser Plattform die nächste jagte. Doch nun hat es den Anschein, als neige sich diese segensreiche Flaute ihrem Ende entgegen: Die Experten von Kaspersky Lab haben einen plattformübergreifenden Bot entdeckt, der komplett in Java geschrieben ist.

Eine Analyse der schädlichen Java-App hat gezeigt, dass sie Anwendercomputer zu einem einzigen Zweck infiziert, nämlich um sie an ein DDoS-Botnetz anzuschließen. Für die Kommunikation mit dem С&C verwendet der Schädling das IRC-протокол; er ist in der Lage Angriffe des Typs HTTP- oder UDP flood durchzuführen.

Laut Aussage von Anton Ivanov, Experte bei Kaspersky Lab, läuft dieser DDoS-Bot unter Windows, Mac OS X und Linux. Für seine Verbreitung nutzen die Cyberkriminellen die Sicherheitslücke CVE-2013-2465, welche in Java 7 u21 und niedriger vorhanden ist sowie in verschiedenen Versionen von Java 6 und 5. Das entsprechende Exploit eröffnet die Möglichkeit, entfernt Code unter Umgehung der Sandbox auszuführen, was die Destabilisierung des Dienstes und die Aufdeckung von Informationen zur Folge haben kann. Ein Patch für diese Sicherheitslücke hat Oracle im Juni vergangenen Jahres veröffentlicht.

In seinem Bericht wies Ivanov auf eine interessante Besonderheit hin: Für die Umsetzung der Kommunikation via IRC verwendet der Bot das offene Java-Framework PircBot. Dabei „schleppt der Schädling alle unerlässlichen Klassen mit sich“. Der Hoster von PircBot, Jibble.org, beschreibt es folgendermaßen: „Mit PircBot kann man eine Menge spaßiger IRC-Tasks ausführen, aber es wird auch zum Schreiben seriöser Anwendungen verwendet, unter anderem von der US Navy, der US Air Force, der CIA (unbestätigt), einigen Verteidigungsbehörden; außerdem diente es als Grundlage für den BitTorrent-Client Azureus. Aber keine Sorge, es ist überaus einfach in der Bedienung.“

Beim Start einer infizierten Maschine kopiert sich der Bot in den Autostart für die verschiedenen Plattformen, die unterstützt werden. Daraufhin generiert der Schädling einen individuellen Identifier für jeden infizierten Rechner und baut eine Verbindung zum IRC-Server auf. Nach dem erfolgreichen Verbindungsaufbau geht der Bot laut Ivanov auf einen vorgegebenen Kanal und wartet auf die Befehle seines Herren. Diese Befehle definieren unter anderem den Angriffstyp, die IP-Adresse des Ziels, die Nummer des Ports, die Dauer des Angriffs sowie die Zahl der Threads.

Um möglichen Sicherheitsexperten das Leben zu erschweren nutzt der DDoS-Bot den Obfuskator Zelix Klassmaster. „Neben der Obfuskation des Bytecodes verschlüsselt Zelix auch die Stringkonstanten“, erklärt Ivanov. „Für jede Klasse erstellt Zelix verschiedene Schlüssel, folglich müssen zur Dechiffrierung aller Strings in einer Anwendung alle Klassen untersucht und alle Schlüssel für die Dechiffrierung gefunden werden.“

Kaspersky Lab detektiert das beschriebene Schadprogramm als HEUR:Backdoor.Java.Agent.a. Wir weisen darauf hin, dass es nicht der erste von KL registrierte Fall ist, in dem die Sicherheitslücke CVE-2013-2465 ausgenutzt wird. Ein Exploit zu dieser Java-Schwachstelle wurde im Rahmen einer kürzlich durchgeführten zielgerichteten Attacke auf uigurische Aktivisten entdeckt; bei Ausführung lud es eine aktualisierte Variante des Backdoors NetTraveler auf den Rechner des Opfers.

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.