Der scharfäugige Nutzer Theharmonyguy hat entdeckt, dass bösartiger Code in die WordPress-Installation auf der TechCrunch Europe eingeschleust wurde.

Der Code leitet auf einen Host um, der bösartige PDF-Dateien enthält. Diese nutzen eine Sicherheitslücke aus, die wiederum zu Servern des ZeuS-Botnetzes führt. Der infizierte Server wird bei dem schillernden Provider Netdirect in Frankfurt gehostet.

Web Reputation unterbricht die Infektionskette

Die Datei selbst weist derzeit nur sehr niedrige Erkennungsraten auf. Anwender von Trend Micro-Lösungen sind über das Smart Protection Network vor dieser Gefahr geschützt. Die Content-Sicherheitsinfrastruktur entdeckt mithilfe der Web-Reputationsdienste die Bedrohung und blockiert die Website.

Quelle: Philo Nordlund’s Flickr stream

Weil viele Leser dieses Blogs auch regelmäßig Facebook und Twitter nutzen, hier ein paar Tipps dazu, was für die Sicherheit beim social Networking wichtig ist:

• Machen Sie sich vertraut sowohl mit den Privacy-Einstellungen als auch mit der Sicherheits-Policy jedes sozialen Netzwerks, dass Sie nutzen. Wenn Sie Zweifel an der Sicherheit haben, lassen Sie die Site lieber außen vor.
• Beim Erstellen des eigenen Profils sollten Sie bei jeder einzelnen Information, die Sie veröffentlichen, gut überlegen, ob das Detail wirklich relevant für die Site ist. Geben Sie beispielsweise keine Telefonnummer an, und füllen Sie kein Formular aus, nur weil es vorhanden ist!
• Wenn Sie Inhalte, Chats, Mail oder Kommentare zu den Einträgen oder Profilen anderer ansehen oder teilen, sollten Sie die Kommunikation nie für persönlich oder privat halten. Auch wenn Sie alle verfügbaren Privacy-Einstellungen nutzen, können Sie nie davon ausgehen, dass Ihre Inhalte nicht ohne Ihr Wissen kopiert, herunter geladen oder sonst auf eine Weise benutzt werden.
• Die meisten Sites bieten eine Möglichkeit des Resets eines Kennwort, falls Sie dieses vergessen. Doch stellt dies auch eine der üblichsten Arten des Einbruchs in ein Konto dar. Sollten Sie dazu aufgefordert werden, auf „Sicherheitsfragen“ zu antworten, überlegen Sie, ob die Antworten auch wirklich sicher sind. Sicher heißt, dass Sie die einzige Person sind, die diese Frage beantworten kann! Gibt es die Möglichkeit, eigene Fragen aufzusetzen, so nutzen Sie diese! Werden Sie jedoch dazu gezwungen, Standardfragen wie „erste Schule“ oder „erstes Haustier“ zu beantworten, so denken Sie daran, Sie müssen keine wahrheitsgemäß Angaben machen.
• Verwenden Sie nicht ein und dasselbe Kennwort für mehrere unterschiedliche Sites. Falls die eine infiziert wird, müssen Sie sich um die anderen keine Sorgen machen. Setzen Sie komplexe Kennwörter auf, die Groß- und Kleinbuchstaben enthalten, Zahlen und Sonderzeichen. Finden Sie einen Weg, um die Kennwörter für die verschiedenen Sites zu unterscheiden, etwa indem der erste und letzte Buchstabe der Website am Anfang beziehungsweise Ende des Passwortes enthalten ist
• Erhalten Sie eine „Friend“-Anfrage von jemand, den Sie nicht kennen, so kontaktieren Sie die Person direkt, bevor Sie sie zu ihren Vertrauten hinzufügen. Fragen Sie nach, woher die Person Sie kennt. Damit schützen Sie nicht nur Ihre eigene Vertraulichkeit sondern auch die Ihrer Freunde.
• Es mag sinnvoll sein, die Freunde in Gruppen zu unterteilen, um bestimmte Inhalte nur mit bestimmten Leuten zu teilen.
• Versuchen Sie, die Zahl der installierten Apps und Dienste von Drittanbietern, die Zugriff auf Ihr Konto haben, möglichst gering zu halten. Sie sollten auch wissen, wie man diese Apps entfernt oder sperrt, wenn Sie sie nicht mehr benutzen wollen. Denken Sie daran, dass auch auf Twitter jeder von Ihnen autorisierte Service seine Berechtigungen behält, es sei denn, Sie ändern diese per Hand.
• Klicken Sie keine Links in Nachrichten oder Einträgen an, auch wenn die Links von Freunden kommen. Prüfen Sie erst, ob die Person die Links auch wirklich an Sie schicken wollte. Damit verhindern Sie nicht nur, Opfer eines Phishing- oder Scam-Angriffs zu werden, sondern könnten auch einem Freund einen Gefallen tun, indem Sie ihn darüber informieren, dass sein Konto kompromittiert ist und von dort Links verschickt werden.

Letzte Woche wurde das Pushdo-Botnetz dank der Bemühungen einiger Sicherheitsforscher vom Netz genommen. Das Botnet hatte über das Cutwail-Modul Spam verbreitet. Von den 30 als Command-&Control-Server (C&C) identifizierten Systemen wurden 20 stillgelegt, nachdem die entsprechenden Internet Hosting Provider davon in Kenntnis gesetzt wurden.

Die Aktion zeigt bislang Erfolg. Das Monitoring bei Trend Micro hat ergeben, dass die Spam-Menge über die Cutwail-Bots erheblich zurückgegangen ist und die C&C-Server seither inaktiv sind. Noch ist es zu früh, um Prognosen über den Langzeiteffekt dieser Aktion abzugeben. In der Vergangenheit waren schon häufiger Botnetz-Server stillgelegt worden, so etwa diejenigen von McColo Ende 2008. Leider konnten die Kriminellen in vielen Fällen die betroffenen Botnetze schnell wiederherstellen und ihre Tätigkeit innerhalb von Wochen wieder aufnehmen.

Botnetze lahmzulegen ist eine gute Sache, doch reicht es nicht aus, um die Spam-Pandemie zu stoppen. Das Botnetz mag erst einmal zerstört sein, doch die Spammer dahinter sind immer noch da und können weitere Botnetze erzeugen. Diese Kriminellen müssen verhaftet und hinter Gitter gebracht werden. Nur so haben wir eine Chance diesen Cyber-Krieg zu gewinnen. Trend Micro arbeitet eng mit den Polizeibehörden zusammen, um die Kriminellen zu finden.

Nähere Informationen zu den Aktivitäten des Pushdo/Cutwail-Botnetzes gibt es in dem Papier “A Study of the Pushdo/Cutwail Botnet”.

Eine Gruppe unabhängiger Sicherheitsforscher haben angekündigt, während des Monats September Zero-day- und Webanwendungsschwachstellen sowie Proof-of-concept (PoC) Exploits für gepatchte Sicherheitslücken zu veröffentlichen. Unter den Anbietern, deren angebliche Produkt-Sicherheitslücken an die Öffentlichkeit geraten sollen sind renommierte Unternehmen wie Adobe, Apple, Microsoft oder Mozilla.

Dem Trend Micro-Forscher Rajiv Motwani zufolge handelt es sich um eine Sammlung neuer und alter Lücken, die in erster Linie Microsoft betreffen. Die neuen Sicherheitslücken können als Zero-day-Schwachstellen gesehen werden, die die Nutzer verwundbar machen, bis ein Hersteller einen Patch anbietet. Das kann jedoch dauern, und daher sollten die Anwender jeden angebotenen Workaround nutzen.

Auch ist davon auszugehen, dass Einzelheiten zu den kürzlich veröffentlichten Advisories publiziert werden und dass auch PoC-Code dabei ist – damit aber Exploits wahrscheinlicher sind. Damit wiederum steigt das Risiko für die Anwender. Für Anwendungen wie der Internet Explorer (die Forscher haben angekündigt, dazu eine Schwachstelle zu veröffentlichen) kann ein Exploit innerhalb von Stunden nach der Ankündigung publik werden. Teile der vielen in Umlauf befindlichen Exploits lassen sich zudem für neue Angriffe wiederverwenden, sodass der Prozess sich nochmals beschleunigt.

Unternehmensanwender sollten wissen, dass Serveranwendungen ebenfalls von den veröffentlichten Sicherheitslücken betroffen sind. Möglicherweise dauert es länger, bis diese geschlossen werden. Außerdem ist auch der potenzielle Schaden für einen betroffenen Server höher als bei Privatanwendern.

Andererseits ist es für einzelne User schwieriger, sich zu schützen. Es gibt keine zentralen Benachrichtigungsmechanismen zu Updates, und die teilweise verfügbaren Auto-Update-Fähigkeiten stellen eine zusätzliche Belastung für diese Anwendergruppe dar.

Trend Micro bietet einige kostenlose Tools zum Herunterladen, die Anwender dabei unterstützen ihre Computer zu schützen.

Ein gutes Timing ist alles, vor allem wenn man Malware verbreiten will. Letzte Woche benachrichtigten die Entwickler des beliebten Echtzeit-Browsers TweetDeck die Nutzer, dass sie diese Anwendung aktualisieren müssen, weil es Änderungen in den von Twitter unterstützten Authentifizierungsprotokollen gibt.

Cyberkriminelle witterten sofort ihre Chance und verschickten ihre eigenen Tweets mit gleichem Inhalt. Doch diese bösartigen Nachrichten enthielten einen URL-verkürzten Link auf einen angeblichen TweetDeck-Installer namens tweetdeck-08302010-update.exe.

Die Datei enthält natürlich keinen legitimen Installer sondern eine TDSS-Variante, die Trend Micro als TROJ_TDSS.FAT identifiziert hat. Die TDSS-Schädlingsfamilie liefert Rootkits, die die vollständige Kontrolle über betroffene Systeme übernehmen können. Auch sind sie aufgrund ihrer Komplexität und ausgeklügelten Programmierung schwer zu entfernen.

TweetDeck hat die Nutzer offiziell davor gewarnt,  einen Installer herunter zu laden, dessen URL mit http://alturl.com/ beginnt. Auch ist die Website, auf der die bösartige Datei liegt, blockiert worden.

FAKEAV-Malware wird mittlerweile wie als ganz normales Geschäft betrieben, und das trotz der hohen Aufmerksamkeit von Seiten der Medien. Trend Micro-Sicherheitsforscher haben drei wichtige Aspekte – nämlich Social Engineering-Techniken, FAKEAV-Techniken und das Geschäft mit der Malware — untersucht, um herauszufinden, warum diese berüchtigte Malware sich so hartnäckig behaupten kann.

Social Engineering stellt die überwiegend genutzte Technik für die Weiterentwicklung böswilliger Aktivitäten dar, sowohl online als auch offline. FAKEAV ist ein gutes Beispiel für eine Online Social Engineering-Erfolgsstory. Die Malware nutzt menschliche Schwächen aus und setzt Techniken wie „Black Hat“ Search Engine Optimization (SEO) ein, um Nutzer auszutricksen.

Hinter professionell wirkenden Benutzerschnittstellen, störenden Pop-ups und sonstigen Scareware-Taktiken von FAKEAV steckt eine einfache Technologie. Man kann daher sagen, dass die FAKEAV-Technik eher trickreich als komplex ist. Aber ungeachtet der Einfachheit der Technik spielt sie eine erfolgskritische Rolle für die Social Engineering Malware-Taktik.

Natürlich ist eine böswillige Kampagne sinnlos, wenn sie den Betreibern nichts bringt. Im FAKEAV-Geschäft geht es um hohe Einsätze, denn neben den 40 bis 100 Dollar, die die Nutzer als Preis für eine Schwindelsoftware zahlen, geht es vor allem um Informationsdiebstahl.

Weitere Einzelheiten zu den Aspekten gibt es im Security Spotlight Artikel “Why FAKEAV Persists”.

Microsoft hat ein neues Security Advisory veröffentlicht, dass Erläuterungen zu einer Sicherheitslücke bezüglich der Handhabung von DLL-Dateien durch Windows enthält. Folgendes Angriffsszenario ist möglich: Eine verwundbare Anwendung wird zum Öffnen einer völlig legitimen Datei genutzt. Außerdem muss eine bösartige Datei vorhanden sein, die  in demselben Verzeichnis liegt und denselben Namen hat wie die legitime DLL-Datei. Wenn die angreifbare Anwendung lädt, so wird statt der legitimen DLL-Datei die bösartige Datei aufgerufen und geladen.

Möglich ist dies aufgrund von Fehlern in der Art und Weise, wie Windows die zu ladende DLL-Datei auswählt: Das Betriebssystem zieht nämlich die Bibliotheken vor, die in demselben Verzeichnis liegen wie die geöffnete Datei, anstatt die Bibliotheken in den korrekten Systemverzeichnissen zu nehmen. Jedwelcher Code in den bösartigen Dateien wird ausgeführt.

Diese Art der Attacke – auch Binary Planting oder DLL Preloading genannt – ist seit Jahren bekannt. Doch bislang stellte sie keine große Gefahr dar, denn die bösartige Datei musste bereits auf dem System des Nutzers vorhanden sein. Doch kürzlich fanden Forscher eine Möglichkeit, den Angriff über remote Netzwerkfreigaben zu starten. Deshalb hat jetzt Microsoft mit dem Advisory reagiert.

Unter den ersten, von Exploits betroffenen Anwendungen sind laut dem Online-Nachrichtendienst The Register Firefox und Powerpoint. Doch gibt es auch weitere Berichte zu Angriffen über besagte Sicherheitslücke, die auch viele andere Anwendungen betreffen.

Angesichts der Malware-Attacken wird Microsoft wohl gezwungen sein, drastischere Maßnahmen zu ergreifen. Solange es jedoch keine klare Lösung für die Lücke gibt, sollten Nutzer besonders vorsichtig mit dem Öffnen von Dateien auf Netzwerkfreigaben umgehen. Die Anwender von Trend Micro-Produkten wie Deep Security und OfficeScan mit Intrusion Defense Firewall (IDF) Plug-in sollten die neuesten Regeln herunter laden, um sich gegen diese Bedrohung zu schützen. Diese Regeln verhindern, dass DLLs von remote Freigaben geladen werden.

Smartphones werden bei Cyberkriminellen immer beliebter als Angriffsziel zur Verbreitung von Malware. In der vergangenen Woche hat TrendLabs⁽ über den allerersten, im Umlauf befindlichen Android-Trojaner (identifiziert als TROJ_DRIODSMS.A) berichtet. Obwohl die damit intendierte Routine nicht ausgeführt werden konnte, zeigt der Angriff, dass die Cyberkriminellen ständig nach neuen Mitteln und Wegen suchen, um Malware zu verteilen.

Aktuell haben die Trend Micro-Bedrohungsanalysten Edgardo Diaz und Alvin Jethro Bacani eine möglicherweise bösartige App für das Android entdeckt. Die App ist unter dem Namen Tap Snake (identifiziert als TSPY_DROISNAKE.A) bekannt und zirkuliert im Android-Markt. Die App besitzt die Fähigkeit, die GPS-Standortdaten eines Benutzers über HTTP POST (gpsdatapoint.appspot.com/addpoint) zu verschicken, sobald der Anwender die Endverbraucherlizenzvereinbarung (EULA) akzeptiert.

Schlimmer noch: Die App lässt sich nicht beenden, um den Versand der Anwenderdaten zu verhindern. Dem Benutzer bleiben somit lediglich zwei Möglichkeiten – entweder die App zu deinstallieren oder den SnakeService zu stoppen. Ein entfernter Benutzer kann nämlich eine andere Android App mit dem Namen GPS SPY dazu verwenden, den Tap Snake-Standort eines Anwenders zu überwachen, solange die App auf dessen Gerät installiert ist.


Um den SnakeService zu beenden, können Anwender folgendermaßen vorgehen:

1. Öffnen Sie Settings, dann Applications, dann Running Service
2. Gehen Sie zu SnakeService und wählen Sie Stop.

Bedrohungsanalyst Mark Balanza rät Anwendern, noch vor der Installation zuallererst zu überprüfen, was für Berechtigungen eine App erfordert. Im vorliegenden Fall verlangt Tap Snake nicht nach GPS-Daten, fragt aber nach einer diesbezüglichen Berechtigung in EULA. Dies sollte Anwender unmittelbar dazu veranlassen, der App-Installation kritisch gegenüber zu stehen.

In dieser Woche hat ein Entwickler, bekannt unter dem Namen “Comex”, einen so genannten Jailbreak für Apples iPhone 4 veröffentlicht. Man spricht von Jailbreaking, wenn Nutzer das Betriebssystem ihres iPads, iPhones oder des iPod Touch Geräts modifizieren, um Anwendungen ablaufen zu lassen, ohne über Apples App Store zu gehen. Nutzer können nun über eine spezielle Website ihre Geräte viel einfacher manipulieren, als es bisher möglich war. Außerdem funktioniert jetzt Jailbreaking nicht nur mit dem iPhone 4, sondern auch bei älteren Produkten, in denen iOS läuft.

Bekannte Apple-Sicherheitsforscher wie Charlie Miller zeigten sich von der Qualität de Jailbreak beeindruckt. Der Jailbreak nutzt zwei unterschiedliche Sicherheitslücken aus. Die eine liegt in der Art und Weise, wie der Safari-Browser mit pdf-Dateien umgeht. Diese Dateien können speziell aufgesetzte Fonts enthalten, die eine willkürliche Ausführung von Code ermöglichen. Diese Lücke scheint in Zusammenhang mit einer ähnlichen in Mac OS X zu stehen, die im März geschlossen wurde. Eine zweite Lücke wird genutzt, um höhere Privilegien auf dem Gerät zu erlangen, doch Details dazu sind öffentlich nicht verfügbar. Dieselben Techniken für Jailbreaking können auch von böswilligen Nutzern angewendet werden, um Malware auf iOS-Geräte zu schieben. Trend Micro hat die für Angriffe genutzten pdf-Dateien als TROJ_PIDIEF.HLA erkannt. Obwohl bislang noch keine bösartige Payload mit dieser Datei in Verbindung steht, lässt sie sich doch für böswillige Aktivitäten nutzen. Apple hat auch noch nicht offiziell dazu Stellung genommen.

Anwender können Trend Micros Smart Surfing for iPhone nutzen, um sich gegen bösartige Websites, einschließlich derer gegen iOS-Geräte gerichteten, zu schützen. Die Site mit dem Jailbreaking Code beispielsweise wird derzeit folgendermaßen geblockt:

Auf der Blackhat- und DEFCON-Konferenz letzte Woche führte der unabhängige Sicherheitsforscher Craig Heffner einen neuen Angriff gegen Heimanwender-Router vor. Die Attacke kombiniert DNS-Rebinding sowie Cross Site Request Forgery (CSRF) und nutzt JavaScript, um die Browser der Nutzer dazu zu bringen, einen Kommunikationskanal zwischen dem Angreifer und der Admin-Konsole des Heim-Routers aufzusetzen. Ist das Router-Kennwort einfach zu erraten (etwa router oder password) oder gar noch auf das Fabriks-Default gesetzt, kann der Angreifer schnell die vollständige Kontrolle über das Gerät erlangen und damit alle Geräte einem Netzwerkangriff aussetzen. Der Kriminelle könnte beispielsweise die DNS-Einstellungen des Routers ändern, sodass jeder, der an diesen Router angeschlossen ist, Phishing-Attacken riskiert.

Als erster muss der Angreifer eine Position einnehmen,  in der er in der Lage ist, die DNS-Records der Domäne zu ändern, die er für seinen Angriff nutzen will. Dann muss er verschiedene Seiten in der infizierten Domäne erzeugen, die die Website für den Angriff hosten soll und diese mit DNS verlinken. Schließlich wird der Angreifer eine ausreichende Kontrolle über den Webserver haben, sodass er ihn dazu bewegen kann, bei Bedarf einen TCP reset (RST) Befehl zu versenden.

Der Angriff beginnt, wenn der Nutzer die bösartige Site besucht. Heffner nutzte DNS, um die öffentliche IP-Adresse des Opfers zu bekommen, doch gibt es auch andere Möglichkeiten dafür. Sobald der Kriminelle die IP-Adresse hat, muss er schnell eine neue Unterdomäne in der Angriffsdomäne erzeugen mit zwei A-Records, die einen Host-Namen einer IP-Adresse zuordnen. Der erste Record zeigt auf den Server, während der zweite auf die öffentliche IP-Adresse des Routers des Opfers weist. Der Webserver leitet nun den Browser des Opfers auf eine Seite um mit JavaScript-Code, der den CSRF-Teil des Angriffs ausführt.

Jetzt wird es interessant! Der Browser beginnt den JavaScript-Code auszuführen und der versucht, sich mit der temporären Unterdomäne zu verbinden. Der angreifende Server antwortet mit einem RST-Befehl und beendet die Session. Das System des Users probiert dann eine weitere ihm bekannte IP-Adresse für denselben Host-Namen – und das ist die externe Adresse des Routers. Alle Ergebnisse werden an den angreifenden Server über ein Portal weitergegeben, sodass der Angreifer verschiedene Nutzernamen und Kennwortkombinationen ausprobieren kann, bis er sich erfolgreich verbindet oder der Browser Window/Tab geschlossen wird.

Normalerweise ist die Admin-Konsole für das Internet nicht sichtbar, denn viele Anwender-Router beinhalten eine Default-Einstellung, die verhindert, dass eine IP-Adresse außerhalb des lokalen Netzwerks sich damit verbindet. Doch viele Services auf diesen Geräten lauschen auf Verbindungen auf allen Schnittstellen. Paketfilterfunktionen hindern externe Nutzer daran, auf die Admin-Konsole zuzugreifen, doch interne Nutzer haben häufig Zugang zur Konsole über eine externe IP-Adresse.

Folgende Liste mit Empfehlungen soll dazu beitragen, das Risiko, angegriffen zu werden, zu reduzieren:

• Aktivieren Sie die HTTPS-Admin-Konsole auf dem Gerät und vergessen Sie dabei nicht, die http-Konsole, wenn möglich, zu deaktivieren.
• Verwenden Sie ein starkes Kennwort für den Router, ändern Sie den Benutzernamen von Zeit zu Zeit.
• Deaktivieren Sie den Zugang von einem externen Netzwerk zur Admin-Konsole des Routers. Dies lässt sich meistens von der Konsole aus tun.
• Falls Sie nicht die von dem ISP automatisch mitgelieferten DNS-Server verwenden, so nutzen Sie einen anderen rekursiven Resolver oder einen, der für die öffentliche Nutzung angeboten wird, etwa OpenDNS. Damit sind Sie gegen die veröffentlichte Version dieses Angriffs geschützt.
• Wenn möglich, fügen Sie eine Firewall-Regel hinzu, die die Geräte im lokalen Netz daran hindert, Pakete an den Block zu versenden, in dem Ihre öffentliche IP-Adresse Mitglied ist. Dies hindert alle IPs im lokalen LAN daran, die externe IP des Routers zu kontaktieren. Ändert der ISP den Block, der in Ihrer Nachbarschaft genutzt wird, so muss die Regel entsprechend angepasst werden. Als zusätzlicher Vorteil verhindert diese Regel, dass Ihr System unbeabsichtigt an Ihre Nachbarn sendet.
• Halten Sie die Firmware des Router und anderer Netzwerkgeräte immer auf aktuellem Stand.