Archiv für den Monat: Mai 2012

Trend Micro schützt vor Flame

Hinterlassen Sie eine Antwort

Originalartikel von Trend Micro

Die Angriffe auf Behörden und Industrieunternehmen mithilfe der Spionagesoftware Flame sind in aller Munde, und es herrscht Einigkeit darüber, dass der Schädling noch gefährlicher ist als Stuxnet. Trend Micro hat die Malware als WORM_FLAMER.A identifiziert. Der Wurm verbreitet sich über Wechselmedien und kann auch auf andere Computer in einem lokalen Netzwerk übergreifen. Er ist in Lage, laufende Prozesse zu beenden, vor allem solche, die Anti-Malware- oder Firewall-bezogen sind, kann Screenshots und Audioaufnahmen kapern sowie Aktivitäten loggen und vieles mehr.

Trend Micro schützt seine Anwender vor diesem gefährlichen Wurm, denn das Smart Protection Network erkennt und entfernt den Schädling von den betroffenen Computern, genauso wie die Konfigurationsdateien TROJ_FLAMER.CFG. Zudem wird der Zugriff auf alle damit in Verbindung stehenden URLs geblockt.

ZTEs Score M-Smartphones haben eine offene Hintertür

Hinterlassen Sie eine Antwort

Originalartikel von Weichao Sun, Mobile Threats Analyst

Der chinesische Hersteller ZTE hat das Vorhandensein einer Sicherheitslücke in seinem Android-Smartphone Score M bestätigt. Angreifer könnten über diese Lücke Root-Privilegien erlangen und die vollständige Kontrolle über das betroffene Gerät übernehmen.

Die Sicherheitsforscher von Trend Micro haben diese Hintertür analysiert und festgestellt, es handelt sich um eine ELF (Executable and Linkable Format)-Datei unter /system/bin/ namens “sync_agent” mit setuid-Berechtigung. Damit kann sie sich selbst als Root konfigurieren.

Wird die Datei ausgeführt, so prüft sie das mitgelieferte Kennwort gegen das im eigenen Code angegebene Kennwort “ztex1609523” und, falls es übereinstimmt, setzt sie einen System Call [setuid) mit 0 als Parameter ab. Auch wenn der Nutzer, der die Hintertür anstößt, keine Root-Berechtigung hat, kann der Systemaufruf trotzdem erfolgreich sein, sa die Hintertür ein setuid-Attribut hat. Damit wird die EUID (Effective UID) der Hintertür auf 0 gesetzt, ebenfalls ein Root-Privileg.

Dann launch die Hintertür das Programm /system/bin/sh, um eine Root-Shell zu erhalten.

Mit strace konnten die Sicherheitsexperten alle Systemaufrufe im Backdoor-Prozess nachvollziehen. Die Hintertür war in der Lage, sich als Root zu setzten und /system/bin/sh auszuführen.

Während dieser Systemaufrufe bekam der Nutzer nie einen Hinweis darauf zu sehen, dass der Schädling Root-Privilegien erlangt hat oder dass Befehle ausgeführt wurden.

Die Analyse zeigte auch, dass diese Root-Shell nur lokal verwendet werden kann, denn die Hintertür öffnete keinen Socket oder entfernten Kommunikationstunnel. Dennoch glauben die Experten, dass sie von weiteren bösartigen Anwendungen genutzt werden kann, um auch eine entfernte Root-Shell damit zu kombinieren. Eine solche App muss der Hintertür lediglich ein Bash-Skript liefern, das dann ausgeführt wird. Ein solches Skript könnte folgendermaßen aussehen:

Dieses Beispiel tut nichts al seine Zeile mit mehreren Ls und seine ID auszugeben sowie die Root-Berechtigungen anzukündigen. Nun ließen die Forscher die Hintertür mit diesem Skript als Parameter laufen:

Man sieht, das Skript war erfolgreich. Mit strace lässt sich der System Call ausgeben:

Die an die Funktion execve gesendeten Argumente wechselten zu besagtem Skript.

Daraus lässt sich schließen, dass ein Schädling die Hintertür in Verbindung mit einer entfernten Hintertür oder einem Bot sehr einfach ausnützen kann. Die vorinstallierte Hintertür benötigt lediglichen einen SMS-Befehl oder die Verbindung zu einem entfernten C&C-Server, um Befehle zu empfangen.

 

Besitzer eines ZTE Score M können diese Hintertür in fünf Schritten beseitigen:

  • Führen Sie die Hintertür in einer adb shell: /system/bin/sync_agent ztex1609523 aus.
  • Um zu prüfen, welches Gerät Ihr /system dir gemountet hat, führen Sie den Befehl „mount“ aus. Sie erhalten eine Ausgabe, ähnlich der in der Abbildung:


  • Montieren Sie die System-Partition erneut als RW mit dem Befehl: mount –o remount,rw /your/device/name /system.
  • Entfernen Sie die Hintertür vom System mit dem Befehl: rm /system/bin/sync_agent.
  • Verlassen sie die Hintertür mit ctrl+C.

Es empfiehlt sich, eine vertrauenswürdige mobile Sicherheitslösung einzusetzen, wie etwa Mobile Security Personal Edition. Weitere Anleitungen für die mobile Sicherheit liefern die E-Guides:

 

Angriff über Hintertür in koreanischer Textverarbeitung

Hinterlassen Sie eine Antwort

Originalartikel von Roland Dela Paz, Threat Response Engineer

Vor ein paar Wochen entdeckten die Trend Micro-Sicherheitsforscher aus Korea ein speziell angefertigtes Hangul Word Processor-Dokument (.hwp), das eine Sicherheitslücke in der Textverarbeitungssoftware Hancom Office ausnützt. Das .hwp-Format ist in Korea sehr weit verbreitet und daher ein lohnenswertes Ziel für Cyberkriminelle.

Der Trojaner TROJ_MDROP.ZD verbirgt sich in einem als E-Mail-Anhang verschickten Dokument, das einen kürzlichen Mordfall in Korea als Köder einsetzt. Diese E-Mail wurde an eine Vielzahl von Mitarbeitern eines bekannten koreanischen Unternehmens verschickt.


Wird der bösartige Anhang geöffnet, so nutzt der Schädling eine noch nicht identifizierte Sicherheitslücke, um im Hintergrund einen Hintertür-Schädling (BKDR_VISEL.FO) abzulegen und auszuführen. Potenzielle Angreifer erhalten damit entfernten Zugriff und könnten bösartige Routinen auf der Maschine des Opfers ausführen. Die Analyse von BKDR_VISEL.FO zeigt, dass der Schädling auch Prozesse von Antivirus-Programmen beenden kann und damit seine Entdeckung beziehungsweise das Entfernen erschwert. Auch lädt er weitere bösartige Dateien herunter und führt diese aus, sodass ein infiziertes System für Datendiebstahl anfällig wird. Nachdem der Trojaner ausgeführt wurde, ersetzt er sich selbst mit einer sauberen .hwp-Datei, um bei den Nutzern keinen Verdacht zu erregen.

Dem Profil des betroffenen Unternehmens nach zu urteilen, könnte eine erfolgreiche Infektion zu einem Massendiebstahl von persönlichen Daten von Kunden führen. Hinzu kommt, dass hwp auch das Standardformat für die koreanische Regierungstextverarbeitung ist. Daher könnte dies der Auftakt zu einer künftigen breit angelegten regionalen Attacke sein.

Auch zeigt dieser Vorfall, dass Angreifer nach und nach auch Sicherheitslücken in lokal genutzten Anwendungen anpeilen. Hancom Office ist nicht die erste Software dieser Art, die von Angreifern ausgenützt wurde. Sicherheitslücke in der japanischen Textverarbeitungssoftware Ichitaro wurden auch schon für die Installation einer Hintertür missbraucht.

Die beiden Vorfälle zeigen, dass die Nutzung regionaler Software keine Garantie gegen Malware-Attacken bietet. Auch verdeutlichen sie ein weiteres Mal die hohe Bedeutung von Sicherheit, gerade für Unternehmen, die Kundeninformationen als Dienstleistung speichern. In vorliegendem Fall konnten glücklicherweise sofort die erforderlichen Schritte eingeleitet werden, um Schaden vom Unternehmen abzuwenden.

Trend Micro-Anwender sind vor dieser Art von Gefahren über das Smart Protection Network geschützt, denn die Sicherheitsinfrastruktur entdeckt und löscht entsprechende Malware. Auch blockt sie die dazu gehörigen Nachrichten ab noch bevor sie die Inbox der Nutzer erreichen.

Spionagetool für Android stiehlt SMS-Nachrichten

Hinterlassen Sie eine Antwort

Originalartikel von Yoshikawa Takashi, Threats Analyst

Derzeit gibt es auf Google Play ein Spionagewerkzeug in einer Betaversion, das in bestimmten Hacker-Foren für Diskussionen sorgt. Geschätzte 500 bis 1000 Nutzer haben das Tool (ANDROIDOS_SMSSPY.DT) bereits heruntergeladen:



Besagtes Spytool sammelt SMS-Nachrichten von einem infizierten Mobilgerät und sendet diese regelmäßig während der Installation der App an einen FTP-Server. Die betroffenen Nutzer riskieren den Diebstahl ihrer persönlichen Daten durch die Angreifer.

Weil sich die App noch in der Betaphase befindet, stellt das Ausspionieren eines Mobilgeräts noch einige Herausforderungen. Zum einen sollte das Tool ohne Wissen des Opfers auf das Zielgerät installiert werden. Zum anderen müssen potenzielle Angreifer ihre eigenen FTP-Server aufsetzen, was ohne gute IT-Kenntnisse einige Schwierigkeiten bereiten dürfte. Allerdings wird eine aktualisierte, einfacher zu handhabende Fassung nicht lange auf sich warten lassen.

Die mobilen Geräte von Trend Micro-Anwendern sind über Mobile Security Personal Edition vor dieser Gefahr geschützt. Nutzer sind gut beraten, die Lock-Funktion auf ihren Geräten als zusätzliche Sicherheit zu aktivieren. Zudem sollten sie bei der Installation einer App die geforderten Berechtigungen gegenprüfen, vor allem, wenn die App mehr Rechte fordert als ihre Funktion braucht.

Weitere Informationen zum Schutz von Android-Geräten bieten die E-Guides:  “When Android Apps Want More Than They Need” und “5 Simple Steps to Secure Your Android-Based Smartphones” .

Wurm verbreitet sich über Nachrichten in Facebook und Instant Messengers

1 Antwort

Originalartikel von Cris Pantanilla, Threat Response Engineer

In letzter Zeit machten in Facebook Nachrichten die Runde, die einen Link verteilen, der in Form einer verkürzten URL auf eine Archivdatei “May09-Picture18.JPG_www.facebook.com.zip” verweist. Dieses Archiv wiederum enthält eine bösartige Datei namens “May09-Picture18.JPG_www.facebook.com”.


Sobald der Schädling (WORM_STECKCT.EVL) ausgeführt wird, beendet er Antivirus-bezogene Dienste und Prozesse und setzt so AV-Software außer Kraft. Der Wurm verbindet sich auch mit bestimmten Websites, um dahin Informationen zu senden und welche zu empfangen.

Des weiteren lädt der Wurm einen nächsten Wurm (WORM_EBOOM.AC) herunter und führt ihn aus. Dieser zweite Schädling kann die Browser-Aktivitäten des Opfers überwachen, so etwa das Veröffentlichen oder Löschen von Nachrichten sowie die privaten Nachrichten, die an Websites wie Facebook, Myspace, Twitter, WordPress und Meebo geschickt werden. Auch kann er sich über besagte Seiten durch die Veröffentlichung von Nachrichten, die einen Link auf eine Kopie seiner selbst enthalten, verbreiten.

Nutzer sozialer Medien sollten sich gut über die Risiken und deren Vermeidung informieren, etwa im „A Guide to Threats on Social Media“. Aufgrund der neuen Partnerschaft von Trend Micro mit Facebook sind die Anwender über das Smart Protection Network vor diesen Gefahren geschützt, denn die Sicherheitsinfrastruktur blockt den Zugriff auf die damit in Zusammenhang stehenden bösartigen Links. Zudem erkennt und löscht der Datei-Reputationsdienst beide Schädlinge.