BEDEP: Flash Zero-Days bringen Hintertüren ans Licht

Originalartikel von Trend Micro

Die Flash-Zero-Days dieses Jahres haben eine neue Schadsoftware ins Licht der Öffentlichkeit gesetzt: die BEDEP-Familie. In den letzten Wochen tauchte sie als Payload von zwei Zero-Day-Exploits auf, CVE-2015-0311 Ende Januar und CVE-2015-0313 Anfang Februar.
Die Familie ist nicht unbedingt eine neue Schadsoftware, hat sich aber durch diese Angriffe weiter verbreitet. BEDEP wurde zuerst im September 2014 gesichtet, und die Forscher gehen davon aus, dass sie sowohl in Werbebetrugs- als auch andere Botnet-bezogene Aktivitäten verwickelt war. Ihre Beliebtheit als Angriffsplattform stieg als direkte Folge ihres Einsatzes in verschiedenen Exploit Kit-Angriffen 2015 erheblich.

Etwa zwei Drittel der insgesamt 7600 BEDEP-Opfer zwischen November 2014 und Februar 2015 kamen aus den USA und ca. 21 Prozent aus Japan, aber auch Australien und Deutschland waren betroffen.



Bild 1. Geografische Verteilung der BEDEP-Opfer

Wie gelangt BEDEP in die Nutzersysteme? Die Zero-Day-Angriffe dieses Jahres weisen auf eine Methode hin: Exploit Kits, die über bösartige Werbung von legitimen Sites in die Systeme von Nutzern gebracht werden. Sowohl Angler als auch Hanjuan Exploit Kits verbreiteten BEDEP.

Eine weitere nicht so gut dokumentierte Infektionsmethode ist der Weg über „legitime“ Software. Anwendungen haben heutzutage häufig Komponenten, die ein Sicherheitsrisiko darstellen. Das hat kürzlich die Superfish Adware veranschaulicht, mit Komponenten, die für den Angriff auf SSL genutzt werden konnten. In den vorliegenden Fällen ging dies noch weiter: Die BEDEP-Hintertür wurde in das System des Nutzersinstalliert (unter dem Namen rifa.dll).

BEDEP hat typische Backdoor-Routinen, die es einem Angreifer ermöglichen, die Kontrolle über die Maschine des Opfers zu übernehmen (indem verschiedene Payloads heruntergeladen und installiert werden).

Weitere Details zu BEDEP und auch Best Practices dagegen, sowie die vorhandenen Trend Micro Lösungen gibt es hier.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*