Tag Archive for 'halbjahresbericht'

Heute Morgen hat die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes den ersten Halbjahresbericht 2008 (Januar – Juni) publiziert. Schwerpunkte im Bericht sind unter anderem:

Interessant ist vor allem Eines: Laut dem Bericht wächst die Zahl der gehackten Webseiten, welche den Besucher mittels Drive-By-Infektion infiziert, rasant an. Die gehackten Webseiten werden dann mit einem obfuskierten Javascript Code ausgerüstet, welche im Hintergrund versucht, verschiedene Schwachstelle im Browser des Besuchers auszunutzen.

Bei den Attacken auf die Webserver zum Einschleusen eines solchen Jsvascript Codes handelt es sich oft nicht um gezielte Attacken, sondern viel mehr um so genannte Massenhacks. Dabei scannen bereits gehackte bzw. infizierte Webserver das Web nach verwundbaren Webservern ab. Oft werden die verwundbaren Webserver mittels entsprechenden Abfragen über eine Suchemaschine gesucht, teilweise scannt der bereits infizierte Webserver aber auch einfach die IP Adressen ab. Weiss ich also, dass z.B. die Version 1.5.x von Joomla eine Schwachstelle enthält, setzte ich bei einer Suchmaschine (z.B. Google) einfach einen entsprechenden search Befehl ab und ich bekomme tonnenweise Webseiten geliefert, welche potenziell verwundbar sind. Das Script macht nun nichts anderes, als bei jedem aufgelisteten Webserver zu versuchen die Schwachstelle auszunutzen.

Nun stellt sich die Frage, wieso die Autoren von Malware zunehmend auf Drive-By Infektionen setzten. Die Vorteile gegenüber dem konventionellen Weg, nämlich per E-Mail, liegen auf der Hand: Einerseits können die immer besser werdenden DNS-Blacklisten wie die von Spamhaus oder Spamcop umgangen werden. Des Weiteren kann ein vorhandener Attachement Filter sowie der verstärkte Viren- und Spam-Schutz am E-Mail Gateway einfach umgangen werden. Zurzeit nutzt vor allem der Banken-Trojaner Torpig den Weg der Drive-By Infektion. Vereinzelt wird aber auch WSNPoem über Drive-By Infektionen verteilt (siehe Post “wsnpoem per DriveBy-Infektion”).

Was kann ich also tun, um meinen Computer zu schützen? Einerseits empfiehlt sich der Umstieg auf einen alternativen Browser wie z.B. Firefox oder Opera. Was auch nicht fehlen darf, ist ein regelmässiges Patchen der installierten Applikationen wie dem Adobe Flash Player, Adobe Reader, Java RunTime, RealTime Player, und nicht zu vergessen das Einspielen von Windows und Office Updates.

Und wie schütze ich meinen Webserver? Auf der obersten Liste steht auch hier das Patchen der installieren Webapplikationen wie die Webserver-Software selbst (Apache/IIS etc.) aber auch die ggf. installierte CMS Software (Joomla/Typo3 etc.) und weiterer Applikationen wie PHP und MySQL. Auch dem Zugang zum FTP sollte vermehrt ein Blick gewidmet werden: Starke Passwörter sowie die Verwendung einer verschlüsselten Passwort Authentifizierung am Server (Secure FTP). Die für den Upload genutzten PCs sollten ausserdem einen aktuellen Virenschutz beinhalten, da sie ein attraktives Ziel für Keylogger sind, um an die FTP Passwörter zu gelangen. Auch auf keinen Fall fehlen darf eine Web Application Firewall (WAF) wie z.B. mod_security2 von Breach. Ebenfalls hilfreich könnte die Verwendung einer httpBL sein wie z.B. httpbl.abuse.ch.

Was in dem Bericht ebenfalls erwähnt wird, sind die Spam-Wellen in der ersten Jahreshälften mit dem Betreff “Nachricht über eine radioaktive Kontamination in der Schweiz” [1] sowie “Eine Bankenkrise der Schweizer Banken ist unvermeidlich” [2]. Im Attachement befand sich damals der Banken Trojaner WSNPoem.

Im Anhang des Halbjahresberichts unter “Professionalisierung der Internetkriminalität am Beispiel ZeuS” wird noch die Benutzerlizenz der Software “ZeuS” beschrieben, über welche ich im Mai bereits berichtet habe (siehe Post “EULA & Anleitung von wsnpoem”).

Der Halbjahresbericht kommt mit einer entsprechenden Medienmitteilung, in welcher auch ein Tool vorgestellt wird, um Webseiten auf verdächtigen JavaScript Code zu überprüfen. Besorgte Webseiten-Betreiber können somit ihre Webseite mit dem von MELANI bereitgestellten Webcheck Tool gefahrlos auf verdächtigen JS-Code überprüfen:

Das Tool vergleicht die Seiten mit momentan aktuellen Mustern von Code, welcher ein grosses Schadenspotenzial aufweist. Werden solche Stellen aufgefunden, so färbt das Tool den betroffenen Code-Abschnitt im Quellcode Rot ein:

Dabei ist es wichtig, zu wissen, dass dieses Tool im Moment keine umfassende Suche nach aller Art von Schadcode beinhaltet, sondern in einem ersten Schritt auf die momentan kursierenden, besonders bösartigen Code-Elemente mit Schweizer Bezug fokussiert ist; je nach Erfolg soll es in Zukunft aber an die aktuelle Situation angepasst werden. Eine solche automatische Suche kann eine manuelle Verifikation ohnehin nie ersetzen. Da der Test heuristisch ist, kann es natürlich auch verdächtige Stellen detektieren, die kein Problem darstellen (False Positives). Wer sich zusätzlich noch absichern möchte, kann die eigene Webseite ebenfalls noch mit Exploit Prevention Labs LinkScanner nach Schadhaften Code scannen lassen (Doppelt gemoppelt hält bekanntlich besser):

Diese beiden Tools sollten als gegenseitige Ergänzung betrachtet werden. Während der LinkScanner umfassender ist, werden etwa Javascripts des aktuellen Trojaners Torpig durch das Webcheck-Tool von MELANI besser erkannt.

Mit dem MELANI Web-Check Tool ist ebenfalls möglich, einen Server sowie einen FTP-Benutzername anzugeben. Dabei überprüft das Tool, ob diese Informationen in dem für die Schweiz relevanten Teil der vor kurzem von Alladin gefundenen Liste mit gekaperten FTP Accounts vorhanden ist. Ein Passwort muss dabei nicht eingegeben werden, und es wird auch keine FTP-Verbindung aufgebaut.

Wie in dem Bericht erwähnt, kommt es durch aus auch vor, dass populäre und vertrauenswürdige Webseiten Opfer von solchen Attacken werden. Deshalb lege ich jedem Admin nahe, die eigenen Webseiten mit dem von MELANI bereitgestellten Tool zu überprüfen.

Weiterführende Links