Tag Archive for 'wsnpoem'

Vor kurzen stolperte ich über eine kompromittierte CH-Webseite, welche den Besucher mittels drive-by infection einen Trojaner unterjubelte. So weit eigentlich nichts Aussergewöhnliches. Was jedoch interessant ist, ist die Art, wie die drive-by infection in diesem Fall funktioniert hat. Ich habe mich deshalb dazu entschlossen, kurz aufzuzeigen, wie raffiniert so genannte drive-by infections in der heutigen Zeit sein können.

Was der Bösewicht als Erstes benötigt, ist einen Zugang zu einem legitimen Webserver. Nun gibt es verschiedene Möglichkeiten, wie sich ein Krimineller Zugriff auf ein System verschaffen kann:

In unserem Falle handelt es sich um eine Schweizer Webseite, welche eine Plattform für politische Diskussionen im Internet anbietet. Ein kurzer Blick in den Quellcode der Webseite verrät, dass die Webseite eine veraltete Version der Blogging Software WordPress verwendet, und somit ein Einfallstor für Attacken bietet:

Was der Kriminelle als nächstes braucht bzw. macht, ist (meistens) ein obfuskiertes JavaScript irgendwo auf der Webseite einzubinden:

In unserem Fall ist dies etwas exotisch: Besucher, welche nähmlich die Webseite mit einem Alternativbrowser an surfen, bekommen den obfuskierten JavaScript-Code erst gar nicht zu Gesicht:

Nur wenn ein Besucher die Webseite mit dem Internet Explorer ansteuert, wird der Javascript Code überhaupt erst zurückgeschickt und dadurch zwei IFrames in die Seite eingebunden. Deobfuskiert sieht das wie folgt aus:

Die beiden Webseiten werden in den USA gehosted (APS telecom):

Die beiden Webseiten geben sich als YouTube aus und versuchen den Besucher dazu zu animieren, die neuste Version des Adobe Flash Player herunter zu laden:

Dabei tarnt sich die Webseite erneut, diesmal als falsche Download Seite des Adobe Flash Player get.adobe.com. Die Fäschung sieht täuschend echt aus:

Fälschung (get.adobe.com.flashplayer.usrv03.com):

Orginal (get.adobe.com):

Die Datei, welche der Besucher der gefälschten Adobe Webseite bekommt, ist nicht etwa der Adobe Flash Player, sonder ein Trojaner:

Bei dem Trojaner Eldorado handelt es sich um einen so genannten Trojan-Dropper, welcher in der Lage ist, weiteren Schadcode aus dem Internet nach zu laden. Und dies macht er auch fleissig. Führt der Benutzer das EXE-File aus, nistet sich der Trojaner im System ein und lädt weiteren Schadcode nach.

Als erstes meldet sich der Trojaner bei einem Command&Control server:

Der frisch infizierte Rechner bekommt nun die Anweisung vom C&C, dass dieser weiteren Schadcode nachladen soll:

Und dies tut der infizierte Client auch:

Bei dem nachgeladenen Schadcode handelt es sich einmal mehr um das ZeuS Crimeware-kit (aka WSNPoem / Zbot):

Hat sich ZeuS einmal im System eingenistet, stiehlt dieser sensible Zugangsdaten, beispielsweise für E-Banking Accounts etc. (Siehe abuse.ch ZeuS Tracker: polotomo.com).

Wer nun denkt, dass sei alles gewesen, irrt sich. Der Trojaner lädt noch weiteren Schadcode nach:

Der nachgeladene Trojaner meldet sich nun ebenfalls regelmässig bei einem Command&Control Server:

Fazit

Im schlimmsten Fall ist der Besucher nach dem Besuch der gehackten Webseite um drei Trojaner reicher. Deshalb gilt:

Webseitenbesitzern sollten sich zudem bewusst sein, dass die auf dem Server installierte Software wie z.B CMS-Systeme & Co stets auf dem neusten stand gehalten werden müssen, um unbefugte Zugriffe zu verhindern.