Archiv für den Monat: September 2010

ZeuS umgeht auch Zweifaktor-Authentifizierung

Hinterlassen Sie eine Antwort

Originalartikel von Jonathan Leopando (Technical Communications bei Trend Micro)

Das Sicherheitsteam von Trend Micro hat herausgefunden, dass bestimmte ZeuS/ZBOT-Varianten mittlerweile in der Lage sind, Bankkonten zu knacken, auch wenn diese über Zweifaktor-Authentifizierungssystemen geschützt sind. Diese ZeuS-Abkömmlinge nutzen eine spezielle mobile Malware, um Systeme zu überlisten, die sich auf Textnachrichten verlassen, die über Handys mit dem Symbian-Betriebssystem verschickt werden.

Die Technik hinter diesen Angriffen ist einfach: Eine ZBOT-Variante verändert die Website der angepeilten Bank, sodass jedes Mal, wenn die Bank einen Authentifizierungscode über das Handy anfordert, der Nutzer zuerst seine Handynummer angeben muss. Dann erhält er eine Textnachricht, die einen Link auf eine gefälschte Symbian-Anwendung enthält.

Sobald diese mobile Malware installiert ist, fängt sie alle Textnachrichten von einem bestimmten Absender (beispielsweise Banken) ab und schickt sie weiter an eine andere Nummer, die von dem Angreifer kontrolliert wird. Da dieser sowohl den Benutzernamen und das Kennwort als auch jeden Authentifizierungscode, der über das Mobiltelefon gesendet wurde, hat, können die Kriminellen ihre bösartigen Machenschaften so führen, als ob es nie eine Zweifaktor-Authentifizierung gegeben hätte. Trend Micro hat die mobile Malware als SYMBOS_ZEUSMIT.A identifiziert zusammen mit der Hauptanwendung SYMBOS_ZBOT.A.

Die Zweifaktor-Authentifizierung bietet bestimmt eine höhere Sicherheit, doch zeigen die Angriffe, dass auch diese Methode keine Garantie gegen alle Formen des Identitätsdiebstahls liefern kann.

Trend Micro schützt seine Anwender vor der beschriebenen Attacke über das Smart Protection Network, das auch die Grundlage für die mobile Sicherheitslösung Mobile Security 5.0 bildet. Diese Content- Sicherheitsinfrastruktur sorgt mit ihren eingebauten Webreputationsdiensten dafür, dass die Weiterleitung auf die bösartigen Webseiten unterbunden wird.

ZeuS- und Azvhan-Bots bei der Arbeit

Hinterlassen Sie eine Antwort

Originalartikel von Roland Dela Paz (Threat Response Engineer bei Trend Micro) und Patrick Estavillo (Threats Analyst bei Trend Micro)

Der kommerzielle Betrieb von Botnetzen stellt mittlerweile eine der größten Sicherheitsbedrohungen dar, weil sie häufig immensen wirtschaftlichen Schaden anrichten. Die berüchtigte ZeuS-Crimeware etwa ist vor allem darauf ausgerichtet, die Zugangsdaten für Online-Banking von Nutzern zu stehlen. Zum „Standardverhalten“ der ZeuS/ZBOT Trojaner gehört das Herunterladen einer Konfigurationsdatei, welche Informationen zu dessen Bot-Routinen enthält, etwa Zielseite, URLs für den Download aktualisierter Eigenkopien oder URLs, an die die gestohlenen Daten gesendet werden sollen sowie URLs für den Download zusätzlicher Backup-Konfigurationsdateien.

Kürzlich sind ZeuS-Varianten aufgetaucht, deren Standard-Konfigurationsdatei eine verdächtige Liste von URLs für das Herunterladen von Backup-Konfigurationsdateien führt.

Obige Liste stammt von einer ZeuS-Variante, die Trend Micro als TSPY_ZBOT.BVQ identifiziert hat. Diese Liste scheint länger zu sein als die anderer typischer ZeuS-Varianten und die Domänennamen sind atypisch. Eine Überprüfung ergab, dass alle diese URLs bereits nicht mehr zugänglich und die meisten Domänen nicht registriert sind. Auch umfasst die URL-Liste nicht {BLOCKED}ikal.com mit der Ablagebereiche und den aktualisierten Kopien. Ablagebereiche, aktualisierte Kopien und Konfigurationsdateien liegen eigentlich typischerweise in derselben Domäne. Die Überprüfung des Malware-Codes selbst ergab, dass der Schädling seine Hauptkonfigurationsdatei von http://{BLOCKED}ikal.com/eu5.bin lädt.

Die Erklärung dafür ist, dass die Kriminellen, die ZeuS nutzen, mit diesen falschen Konfigurationsdateien es den Security Researchern erschweren wollen, Informationen über ihre Aktivitäten zu sammeln. Auch zeigt sich, dass die neueren ZeuS-Varianten nicht mehr in einer virtuellen Maschine ablaufen, sodass die Researcher mehr Mühe aufwenden müssen, um ZeuS-Samples in tatsächlichen Windows-Umgebungen zu testen. Weiterführende Informationen zu ZeuS gibt es in dem Report „Zeus and Its Continuing Drive Toward Stealing Online Data” oder auch in dem Whitepaper „ZeuS – A Persistent Criminal Enterprise“.

Eine weitere, seit April bekannte Bot-Familie ist Avzhan (Mal_Scar-1). Diese Bots installieren sich selbst in einem Windows System-Directory unter dem Dateinamen {six random lower-case letters}.exe. Danach löschen sie ihre Ursprungskopie und führen die installierte Kopie aus. Der Bot registriert sich als Dienst, der auf jedem System-Startup ausgeführt wird:



Diese Malware versucht, sich mit den folgenden Domänen zu verbinden, um Anweisungen von den Botnet-Betreibern zu erhalten:

  • avzhan1.{BLOCKED}2.org
  • ei0813.{BLOCKED}2.org
  • wanmei8013.{BLOCKED}2.org
  • xhsb.{BLOCKED}2.org


Diese Domänennamen sind bei einem wohlbekannten chinesischen dynamischen DNS-Service registriert. Auch die IP-Adressen führen zu chinesischen ISPs. Wie alle typischen Botnet Zombies kann auch Mal_Scar-1 verschiedene Befehle eines Command & Control Servers ausführen, einschließlich dem Herunterladen und Ausführen möglicherweise bösartiger Dateien. Auch die komplette Übernahme des Nutzersystems ist möglich.

Zusätzlich stiehlt der Schädling auch bestimmte Informationen über das betroffene System, die Teil der Daten sind, die an die Botnet-Server zurück gesendet werden. Dazu gehören der Computernamen, CPU-Leistung, Sprache, Größe des Hauptspeichers sowie die Windows-Version. Das eigentliche Verhalten des Azvhan-Bots unterscheidet sich nicht sehr von dem älterer, etablierter Malware-Familien. Doch zeigt das Auftauchen dieses neuen Botnetzes die kontinuierliche Weiterentwicklung der Malware – denn die stetige Forschungsarbeit der Sicherheitsanbieter zeigen Wirkung auf die Machenschaften der Kriminellen. Diese wiederum müssen sich immer neues einfallen lassen, um die Analysen ihres Codes zu erschweren.

Das Einfügen von Scripts in Tweets ermöglicht Angriffe

Hinterlassen Sie eine Antwort

Originalartikel von Robert McArdle (Senior Threat Researcher bei Trend Micro)

Twitter kämpft derzeit mit einigen Problemen bezüglich Cross Site Scripting (XSS) und dem Missbrauch der Funktion OnMouseOver sowie MouseOver in der Skriptsprache JavaScript.

Es gibt eine Lücke in Twitter, die das Einfügen von JavaScript-Code in einen Tweet ermöglicht. Dies funktioniert folgendermaßen: Setzt ein Nutzer eine URL in seinen Tweet, erkennt Twitter dies und, sobald der Tweet über einen Browser angezeigt wird, verpackt der Dienst die dort enthaltene URL, wie folgt:

<a href=”YOUR_LINK” class=”tweet-url” rel=”nofollow” target=”_blank”>YOUR_LINK</a>

Das Problem dabei ist jedoch, dass der Dienst die URL vorher nicht “säubert”. Vor allem prüft er nicht, ob Anführungszeichen vorhanden sind, über die ein Nutzer etwa folgenden Link publizieren kann:

http://www.a.bc/@”onmouseover=alert(‘Sanitize user input!’)//

Twitter erkennt die Zeile als URL und packt sie in einen Link. Doch das Ausrufezeichen darin bewirkt, dass das onmouseover-Bit in die Link-Markierung () als Attribut eingefügt wird.

<a href=”http://www.a.bc/@”onmouseover=alert(‘Sanitize user input!)//” class=”tweet-url web” rel=”nofollow” target=”_blank”>http://www.a.bc/@”onmouseover=alert(‘Sanitize user input!)//</a>

OnMouseOver löst im Internetbrowser schon dann eine Aktion aus, wenn ein Nutzer die Maus lediglich über den Link führt – und ermöglicht damit einen Angriff. Twitter-Nutzer können nämlich über diese Schwachstelle einfach JavaScript-Code in ihre Tweets einfügen. In diesem harmlosen Beispiel würde ein Fenster aufgehen, das den Satz “Sanitize your Input!” anzeigt. Natürlich lässt sich das auch für gefährliche Angriffe tun. Folgende URL würde bewirken, dass ein Nutzer eine Nachricht verschickt, sobald er die Maus über den gefährlichen Link geführt hat:

http://a.bc/@”onmouseover=”document.getElementById(‘status’).value=’RT YourTwitterId’;$(‘.status-update-form’).submit();”class=”modal-overlay”/

Trend Micro rät Twitter-Nutzern dringend, eine der Empfehlungen zu beherzigen:

  • Für Twitter eine Anwendung eines Drittanbieters zu nutzen, denn die Lücke bezieht sich lediglich auf Browser,
  • Will ein Nutzer dennoch seinen Browser weiter nutzen, so sollte die NoScript-Erweiterung für Firefox installiert werden, um die Ausführung von JavaScripts zu verhindern.

Twitter berichtet, die Sicherheitslücke sei gerade geschlossen worden.

Facebook mit aktuellen und möglichen künftigen Bedrohungen

Hinterlassen Sie eine Antwort

Originalartikel von Christopher Talampas (Fraud Analyst bei Trend Micro) und Rik Ferguson (Senior Security Advisor bei Trend Micro)

Cyberkriminelle haben wieder Facebook als Angriffsziel gewählt. Diesmal geht der Angriff über die Chat-Funktion, wobei die Nutzer eine Nachricht von einem angeblichen Freund erhalten, in die ein Link eingebettet ist, wie etwa der im Bild:

Dieser Link führte auf eine Site, wo der neugierige User seine Facebook-Zugangsdaten eingeben soll, um etwa das avisierte Video sehen zu können. Natürlich stecken dahinter Phisher, die diese Daten sammeln.

Diese Art der Attacken über Facebook-Anwendungen sind nicht ganz neu, doch die Verbreitung über die Chat-Funktion bringt eine neue Dimension in diese Bedrohung. Die Nachrichten erwecken den Anschein, von einem Freund zu kommen, und könnten somit mehr Nutzer dazu bewegen, die eingebetteten infizierten Links anzuklicken. Die dem Angriff zugrunde liegende Phishing-Seite wird von Trend Micro Smart Protection Network blockiert.

Der Social Networking-Dienst könnte künftig auch von weitere Arten von Angriffen bedroht sein. Der neue Service Facebook Places (Facebook Orte) erlaubt es Nutzern des iPhones oder anderer Touchscreen GPS-fähiger Geräte, sich einzuloggen (Check-in) und der Welt zu zeigen, wo sie sich gerade befinden. Der Dienst ist derzeit in den USA und in Großbritannien verfügbar und wird in absehbarer Zeit in Deutschland aktiv sein.

Die Nutzer können sich überall per Hand anmelden. Doch was auf den ersten Blick großartig klingt, nämlich Freunde und Bekannte zu finden, die sich am selben Ort befinden, kann ernste Auswirkungen auf die Vertraulichkeit der Daten haben. Der Dienst kann zwar über die Privacy-Einstellungen eingeschränkt werden. Auch muss die Anmeldung jedes Mal per Hand erfolgen, sodass nur diejenigen dem Nutzer von Ort zu Ort folgen können, denen er es gestattet.

Facebook Privacy-Einstellungen

Die Privacy-Einstellungen sind so gesetzt, dass zwar „nur Freunde“ den Ort, an dem sich der Nutzer befindet, sehen können, doch Facebook erlaubt es jedem, der gerade  in der Nähe ist, zu sehen, wo sich der Nutzer gerade aufhält. Das klingt nicht sehr vertrauenswürdig, denn somit kommt auch jemand mit weniger ehrenhaften Absichten an diese Information heran.

Um diese Einstellungen zu ändern, muss der Nutzer auf seinem Facebook-Bildschirm auf „Account“ klicken, „Privacy Settings“ wählen und dann den kleinen „Customize Settings“-Link. Hier lässt sich die Einstellung „People here now“ deaktivieren, aufgrund derer Freunde, die in der Nähe sind, den Nutzer lokalisieren können.

Auch ist es leider möglich, ohne Einwilligung oder sogar gegen den eigenen Willen „eingecheckt“ zu werden. Freunde können einen Nutzer überall einchecken, unabhängig von seinem tatsächlichen aktuellen Standort. Sobald ein Nutzer einen Tag im Check-in eines anderen hat, erhält er eine Benachrichtigung darüber und hat die Möglichkeit, den Tag zu entfernen. Doch Facebook hält die Information, auch ohne Zustimmung des Nutzers fest, sogar dann, wenn er selbst Places nicht nutzt. Außerdem können die Freunde einer Person, die ein Nutzer mit einem Tag versehen hat, den Standort des Users ebenfalls sehen.

Facebook Wall Post

Diese Systeme stellen ohne Zweifel ein großes Risiko für die individuelle Vertraulichkeit dar. Will Facebook auch weiterhin die Check-ins von Dritten erlauben, so muss der Dienst sicherstellen, dass diese Informationen nicht öffentlich werden, es sei denn, alle Beteiligten sind damit einverstanden. Auch sollte der Netzwerkdienst gewährleisten, dass alle Privacy-Einstellungen vollständig respektiert werden, und die Auswirkungen der Aktionen klar sind. Passiert dies nicht, so kann jeder an dem Standort Interessierte – Kollegen, Freunde, Ex-Partner oder gar Einbrecher – der Freund eines Freundes werden und Facebook erledigt die gesamte Spionagearbeit dafür.

Wie Spammer sich hinter mehreren Web-Schichten verstecken

2 Antworten

Originalartikel von David Sancho (Senior Threat Researcher bei Trend Micro)

Das Research-Team von Trend Micro entdeckte kürzlich eine Spam-Mail, die dank einiger einfacher Tricks alle Spam-Filter passiert hatte. Die Nachricht bestand lediglich aus einem kurzen Satz und einem verkürzten Link. Der Satz war in spanischer Sprache verfasst, was die Arbeit der Spam-Filter erschwert haben mag. Auch zeigte sich wieder einmal, dass „In der Kürze liegt die Würze“ immer gilt – auch bei Spam!

Außerdem hatten die Kriminellen einen verkürzten Link eingefügt. Reputationssysteme können Shortened URLs nicht sofort mit dem Tag „bösartig“ versehen, und diese Tatsache unterstützt Angreifer beim Versenden von Spam. URL Shortener verschleiern Links, sodass sie nicht gleich zu erkennen sind. Während die verkürzten Links in der Web 2.0-Welt sehr häufig verwendet werden, sind sie in E-Mails nicht so gebräuchlich, denn es gibt dort im Gegensatz zu Twitter (Länge der Nachrichten ist 140 Zeichen) keine Beschränkung der Message-Länge.

Die Verschleierung über den Shortener war nicht ausschlaggebend, denn das endgültige Ziel war ein Blogspot-Link. Es handelt sich dabei um einen kostenlosen Blogging-Dienst, den Spammer für die Umleitung auf tatsächliche Spammer-Sites, die gefälschte Rolex-Uhren vertreiben, missbraucht haben.

Die Analyse des HTML-Codes der Blogging-Site zeigte, dass die Kriminellen sehr geschickt JavaScript-Code für ihre Zwecke genutzt hatten.


Blogspot erlaubt nämlich das Einfügen von JavaScript in eigene Blogs. Das aber ist einfach eine Einladung zum Missbrauch der Plattform!

Dieser Vorfall führt erneut vor Augen, dass die Bad Guys mit verschiedenen Methoden immer wieder die Schutzsysteme austricksen können. Auf der anderen Seite aber zeigt er auch die Mächtigkeit von JavaScript, das in falschen Händen zur Waffe werden kann. Deswegen sollte die Script-Sprache in Tools für die persönliche Kommunikation blockiert werden. Das Potenzial für Missbrauch reicht noch weiter: Cross-site Scripting (XSS), Cross-site Request-Fälschungen und weitere Web-Techniken beruhen auf der Nutzung von JavaScript.