Archiv für den Monat: Oktober 2010

Outsourcing der Malware-Verteilung

Hinterlassen Sie eine Antwort

Originalartikel von Ranieri Romera (Senior Threat Researcher bei Trend Micro)

Im Zuge einer kürzlich durchgeführten Analyse eines Malware-Musters fanden die Threat Researcher von Trend Micro auch den Online-Spitznamen des Autors heraus. Damit konnten sie den Ort ausfindig machen, woher er seine Schadsoftware anpries und anderen einen freien Zugang zum Sourcecode gewährte.

Der Text auf dieser Seite preist einige der Funktionen der Malware, wie etwa die Tatsache, dass sie unter Windows XP, Vista und Windows 7 funktioniert und Screenshots festhält. Auch werden die Banken und Browser aufgelistet, von denen die Malware Informationen stehlen kann. Eine Woche später stellte derselbe Kriminelle eine neue Version der Malware vor, die er Version 2.0 nannte. Er hatte ein neues Ziel (eine Firma zur Prüfung der Kreditwürdigkeit) hinzugefügt und auch die Möglichkeit, zwei Sicherheitsprogramme abzuschalten.

Wieder eine Woche später führte er e seine Ultimate Version ein. Er hatte darin mehrere Fehler korrigiert und konnte nun noch ein weiteres Sicherheitsprogramm ausschalten.

Die folgende Grafik zeigt einen Vergleich der betroffenen Institutionen und der Funktionen in allen drei Varianten:

Die Überprüfung des Quellcodes aller drei Versionen ergab, dass nicht alle Teile direkt zugänglich sind. Der ursprüngliche Autor hatte Teile des Codes in Delphi Compiled Unit (DCU) Dateien kompiliert – gemischte Dateien, die Code und Daten in einer separaten .PAS-Datei enthalten. Er nutzte den Low-Level-Code, um die Hauptroutinen seines Machwerks zu schützen oder zu verstecken. Die .PAS-Dateien im Paket dienen lediglich dazu, die E-Mail-Adresse einzufügen, an die die Daten der Opfer geschickt werden.
Doch was hat der ursprüngliche Autor davon, wenn er seine Software kostenlos weitergibt? Bei der Vorstellung der ersten Version machte er darauf aufmerksam, dass alle Daten, die die Malware sammelt und die für Banco Itau bestimmt waren, nicht nur an die Downloader gesendet werden, sondern auch an ihn selbst.
Die Pakete umfassen auch eine eingebettete .RES-Datei mit einer weiteren bösartigen Datei, die für jede Version unterschiedlich ist. Die erste Version nutzt TROJ_BANCOS.SER, Version 2.0 RTKT_BANKER.RAG und die Ultimate Version TROJ_KILLAV.PB. Alle drei versuchen, den Sicherheits-Plugin zu entfernen, den einige Banken in Brasilien zum Schutz ihrer Anwender beim Zugriff auf die Online-Seiten nutzen. Die beiden neuesten Schädlinge versuchen auch, das Auto-Update-Programm verschiedener Sicherheitslösungen auszuschalten.
Diese Erkenntnisse zeigen deutlich, dass der Kriminelle einen neuen Ansatz zur Malware-Verteilung gewählt hat. Er hat die Distribution an „rangniedrigere“ Kriminelle, sozusagen outgesourct und lässt diese sowohl die Binaries erstellen, die an die Opfer verteilt werden, als auch die tatsächliche „Kampagne“ führen, um sie zu verbreiten. Sein Profit dabei: Er bekommt einen Teil der gestohlenen Daten.
Für die Anwender heißt dies, dass sich künftig die Angriffe mehren werden, denn auch Möchtegern-Kriminelle können nun die „Verkaufstools“ kostenlos erwerben. Auch wenn diese nicht so raffiniert sind, wie die von erfahrenen Kriminellen, so wird die Menge der Bedrohungen den Nutzern dennoch Probleme bereiten.

Zero-Day-Lücke in Firefox führt zur Infizierung der Friedensnobelpreis-Site

1 Antwort

Originalartikel von Jonathan Leopando (Technical Communications bei Trend Micro)

Die offizielle Website des Friedensnobelpreises ist infiziert worden. Das ist an sich schon schlimm genug, doch kommt hinzu, dass die Kriminellen für ihren Angriff eine Zero-Day-Schwachstelle im Mozilla Firefox-Browser ausgenützt haben. Mozilla bestätigte auf dem eigenen Blog die Sicherheitslücke  und versprach einen Patch dafür, sobald dieser ausgetestet ist. Besagte Lücke ermöglicht einen so genannten „Drive-by Download“, wobei eine bösartige Datei herunter geladen und ausgeführt wird, ohne dass der Nutzer dies mitbekommt.

Die Nobel-Site wurde mit einem bösartigen PHP-Skript kompromittiert, das die Threat Researcher als JS_NINDYA.A identifiziert haben. Aus irgendeinem Grund schränkte der Kriminelle den Wirkungsgrad des Angriffs ein. Mithilfe von Browser-Headern prüft der Exploit sowohl die Version von Firefox als auch die des genutzten Betriebssystems. Mozilla zufolge betrifft die Sicherheitslücke die Versionen Firefox 3.5 und 3.6, doch zielte der Angriff lediglich auf die neueren Version 3.6. Außerdem sind Systeme mit einer neueren Windows-Version (wie Vista, Windows 7, Server 2008 und Server 2008 R2) nicht betroffen.
Der Exploit lädt einen Backdoor (BKDR_NINDYA.A) auf das System des Nutzers, der Verbindung zu einem Command & Control-Server aufnimmt. Zu den von dort erhaltenen Befehlen gehört das Herunterfahren des Opfersystems aber auch das Löschen aller Dateien auf dem System.
Trend Micro hat sowohl das Skript als auch die Payload entdeckt, die diese Attacken nutzen, und die damit verbundenen URLs blockiert. Auch gilt die neueste Firefox-Version 4 Berta als sicher. Mozilla empfiehlt zudem, als Schutz die Noscript-Erweiterung zu nutzen, bis ein Patch verfügbar ist.

Die bösartigen Absichten hinter dem „Here you have“-Mail-Wurm

Hinterlassen Sie eine Antwort

Originalartikel von Edgardo Diaz, Jr. (Threats Analyst bei Trend Micro)

Im September hatte eine “Here You Have”-Spam-Welle die Mail-Inboxen der Nutzer überschwemmt. Auch wenn damals der Fokus der Kriminellen auf Spam lag, ist es wichtig, die Fähigkeiten der Hauptkomponente der Malware hinter der Spam-Kampagne, nämlich WORM_MEYLME.B, zu verstehen

Die Binärdatei des Wurms enthält Login-Informationen für bestimmte Gmail-Konten, die aber mittlerweile stillgelegt wurden. Dennoch helfen sie, die Zusammenhänge der Kampagne aufzudecken.

Auch konnten die Researcher die wahren Absichten des Wurms aufdecken. Er lädt von einem zentralen Ort verschiedene Programme herunter, die, obwohl sie nicht bösartig sind, dennoch für bösartige Angriffe genutzt werden können. Die so erhaltenen Dateien werden für drei Routinen verwendet:

  • Der Wurm versucht, das gesamte Netzwerk eines betroffenen Nutzers zu infizieren, genauso wie es ILOMO tut. Über die heruntergeladene Datei psexec.exe verbreitet er sich im Netzwerk. Wie schon die TROJ_ILOMO-Varianten zeigten, ist dies eine effiziente Technik, und IT-Administratoren, die absichtlich psexec nutzen, sollten vorsichtig sein.
  • WORM_MEYLME.B nutzt Tools für den Kennwortdiebstahl, führt diese aus und erzeugt eine c:\WINDOWS\*.dlm-Datei, welche die Login-Informationen des Opfers enthält. Diese Daten werden üblicherweise von weit verbreiteten Instant-Messaging-Anwendungen und Web Browsern gespeichert. Die gestohlenen Daten werden dann an einen entfernten böswilligen Nutzer geschickt.


  • Der Schädling installiert eine mächtige Hintertür-Anwendung in Form einer BIFROSE -Variante. Möglicherweise haben sich die Kriminellen für eine solche Variante aufgrund ihrer weiten Verbreitung und der einfachen Benutzung entschieden. Die Forscher bei Trend Micro haben für ihre Analyse einen zu BIFROSE kompatiblen Command-&-Control-Server genutzt, um die Kommunikation zwischen BKDR_BIFROSE.SMU und der infizierten Maschine zu simulieren. BKDR_BIFROSE.SMU ist die eigentliche Hintertür-Komponente. WORM_MEYLME.B wurde für die Installation auf infizierten Systemen programmiert. Der Screenshot zeigt, dass das Opfersystem an diesem Punkt der Infektionskette vollständig kompromittiert ist und den Cyberkriminellen zur Verfügung steht.


    • Die “Here you have”-Spam-Kampagne war ein gezielter Angriff, der sich ursprünglich auf HR-Abteilungen von Behörden wie die  Afrikanischen Union oder die NATO richtete. Doch durch die klassischen doch effektiven Verteilungsroutinen geriet der Angriff außer Kontrolle und wurde zum weltweiten Problem. Die Massen-Mail-Routine, schickte „Here you have“-Spam an Mailadressen, die sich in den Kontaktlisten der Opfersysteme befanden. „Just for you“-Spam wiederum wurde an Adressen verschickt, die in den Yahoo! Messenger (YM) Nachrichtenarchiven der Opfer zu finden waren. Diese Verteilungsroutinen zusammen mit den Netzwerkverbreitungs- und weiteren Routinen von VBS_MEYLME.B führten dazu, dass sich die Attacke viel breiter gestaltete als ursprünglich geplant.

    Das folgende Diagramm zeigt die Dimensionen des Spam-Ausbruchs, die WORM_MEYLME.B verursachte.


    Dank der Korrelationsfähigkeiten des Smart Protection Networks konnte Trend Micro mit dem Schädling in Verbindung stehende bösartige URLs und Dateien identifizieren und als Teil der Attacke zuordnen. In der Folge blockierte die Sicherheitsinfrastruktur die URLs und schützt so die Anwender.

    FAKEAV nutzt verstärkt Java-Sicherheitslücken und verfeinerte gefälschte Alerts

    Hinterlassen Sie eine Antwort

    Originalartikel von Norman Ingal (Threat Response Engineer bei Trend Micro)

    In letzter Zeit sind Angriffe auf Java-Sicherheitslücken wieder stärker in den Mittelpunkt der Aufmerksamkeit gerückt. Letzte Woche beschrieb der Sicherheits-Blogger Brian Krebs, wie Exploit-Pakete Java nutzen. Auch zitierte er Microsoft, die vor einer „noch nie da gewesenen Welle“ der Java-Exploits gewarnt hatten.

    Die Security Researcher von Trend Micro bestätigen ebenfalls die steigende Nutzung von so genannten FAKEAV Brückenseiten, die Java-Lücken ausnutzen. Diese Technik setzt Blackhat Engine Optimizaton (SEO) ein, um infizierte Seiten als “Türöffner” (Doorways) für die Verteilung von FAKEAV zu benutzen. Wo diese Schwachstellen nicht ausgenutzt werden können, werden PDF-Exploits stattdessen herangezogen. Trend Micro hat besagte PDF- und Java-Exploits als TROJ_PIDIEF.HLL beziehungsweise JAVA_LOADER.HLL identifizieren können.
    Analysen der mit FAKEAV in Verbindung stehenden Brückenseiten zeigen, dass die bösartigen URLs, welche die Payloads hosten (Java- und PDF-Exploits) entweder das Seo Sploit Pack oder das Phoenix Exploit Pack nutzen. Außerdem wird die tatsächliche Payload nicht in den Brückenseiten gehostet. Die am Ende stehende URL ist das Ergebnis einer Reihe von Weiterleitungen, die von den Brückenseiten ausgehen. Diese Weiterleitungen ändern sich regelmäßig und bestimmen, wo sich die nächste Payload-URL befindet.



    Zwei Sicherheitslücken werden auf diese Weise besonders häufig missbraucht:

    Doch dies ist nicht die einzige Art, wie FAKEAV neuerdings in Erscheinung tritt. Browser-spezifische Payloads und Seiten sind nicht neu, doch werden diese Seiten immer mehr „aufgemöbelt“. Die Abbildungen zeigen zwei Beispiele dieser Art von Seiten – eine für den Internet Explorer und eine weitere für Firefox:





    Beide Seiten ahmen die tatsächliche Schnittstelle der beiden Browser perfekt nach. Im Fall von Firefox ist nicht nur das Site-Design perfekt sondern auch die Browser-Version für ein bestimmtes System ist richtig. Damit werden Nutzer noch einfacher in die Irre geführt.

    Die gefälschten Viren-Alerts selbst sind auf zwei Arten weiter entwickelt worden. Online-FAKEAV-Varianten verstecken ihren Code sehr gut und nutzen AES, um ihn zu verschlüsseln. Lokale FAKEAV-Varianten wiederum setzen auf Audio-Warnungen als Teil ihrer Verhaltensweise. Die Hauptschnittstelle hat sich nicht wirklich geändert, aber es gibt einen neuen Icon für die „Pille“.



    Alle diese Entwicklungen deuten darauf hin, dass die Kriminellen hinter der gefälschten Antivirus-Software ihre Techniken weiter entwickeln, auch wenn sie nicht im Scheinwerferlicht stehen. Die Anwender der Trend Micro-Produkte sind über das Smart Protection Network vor diesen Gefahren geschützt, denn die Sicherheitsinfrastruktur erkennt mithilfe der Reputationsdienste die bösartigen Sites und Dateien, bevor diese das System des Nutzers erreichen.

    Threat Researcher zerren ZeuS-LICAT ans Licht

    Hinterlassen Sie eine Antwort

    Originalartikel von Joseph Cepe (Threats Analyst bei Trend Micro)

    Im Zuge der Analyse des neuen ZeuS-„Upgrades“, als LICAT bekannt, treten immer weitere Einzelheiten dazu ans Licht. Der Hauptunterschied zwischen LICAT und ZeuS besteht darin, dass das Upgrade seine Server über Domänen kontaktieren kann, die der Schädling aus dem aktuellen Datum generiert (siehe auch Blog-Eintrag Datei-Infector nutzt von DOWNAD/Conficker bekannte Technik und ZeuS legt mit LICAT nochmal nach). Wie nicht anders zu erwarten war, sind einige der so erzeugten Domänen aktiv geworden und hosten neue oder aktualisierte Versionen von LICAT- und ZeuS-Konfigurationsdateien. Die meisten dieser aktiven Domänen lassen sich auf bereits bekannte ZeuS-IP-Adressen zurückführen.

    Obige Domänen werden bereits zum Hosten verschlüsselter Konfigurationsdateien genutzt, die LICAT herunter lädt, entschlüsselt und in seiner Routine für den Datendiebstahl verwendet. Die Konfigurationsdatei enthält eine Liste der Informationsarten, die gestohlen werden sollen. Es sind vor allem Anmeldedaten für Online-Transaktionen, aber auch Anleitungen dazu, wo diese hochgeladen werden können.

    Darüber hinaus gibt es auch einige aktive Domänen, die LICAT- beziehungsweise ZeuS-Schädlingsvarianten hosten. Dies sind TSPY_ZBOT.BYZ und PE_LICAT.A-O. TSPY_ZBOT.BYZ nutzt auch Techniken, um der Entdeckung über automatisierte heuristische Methoden zu entgehen. Die Variante importiert im Gegensatz zur Zeus-Schadsoftware viele externe APIs. Damit ändert sich für heuristische Scanner das Erscheinungsbild der Datei, und die Chancen auf Entdeckung sinken. Weitere Unterschiede sind eine etwas andere Art der Komprimierung und Eigenschaften, die die Analyse des Schädlings in Sandbox-Umgebungen erschweren.

    Die neuen Samples hatten verschiedene Hash-Summen, die über heuristische Methoden als TSPY_ZBOT.SMEQ identifiziert werden konnten. Schließlich können diese neu generierten Domänen auch einfach von anderen Cyberkriminellen registriert werden, um sie zum Verteilen weiterer Schädlinge zu nutzen. Damit entsteht eine neue Gefahr für die Anwender, denn das Infektionsrisiko erhöht sich. Deshalb sind stets aktuelle Virusdefinitionen ein Muss.