„Let’s Encrypt“ wird von Malvertisern missbraucht

Originalartikel von Joseph C Chen, Fraud Researcher

Das Verschlüsseln des gesamten HTTP-Verkehrs galt lange Zeit als eines der Hauptziele bezüglich der Sicherheit. Doch dem standen zwei Hindernisse im Weg: Zertifikate waren nicht kostenlos, viele wollten dafür nicht bezahlen, und die Zertifikate selbst ließen sich häufig nicht einfach vom Site-Besitzer aufsetzen. Das Projekt Let’s Encrypt sollte diese Hürden beseitigen. Ziel war es, allen Site-Besitzern kostenlose Zertifikate zur Verfügung zu stellen. Zusätzlich konnte Software auf einem Webserver aufgesetzt werden, um den Prozess soweit wie möglich zu automatisieren.
Das Projekt wird von vielen namhaften Internetunternehmen und gemeinnützigen Organisationen unterstützt – so Akamai, Cisco, Electronic Frontier Foundation (EFF), Facebook und Mozilla. „Let’s Encrypt” gibt nur Domänen-validierte Zertifikate aus und keine mit erweiterter Validierung, die zusätzliche Überprüfungen der Identität des Site-Besitzers einschliesst.

Leider bestand immer die Gefahr des Missbrauchs dieses Potenzials von „Let’s Encrypt“. Deshalb haben Trend Micros Sicherheitsforscher schon immer ein Auge auf bösartige Sites gehabt, die „Let’s Encrypt“-Zertifikate nutzen. Seit dem 21. Dezember beobachteten die Forscher Aktivitäten zu einem Malvertising-Server mit Verkehr, der von Nutzern aus Japan kam. Diese Kampagne führte auf Sites, die das Angler Exploit Kit hosteten, das den Banktrojaner (BKDR_VAWTRAK.AAAFV) auf die betroffene Maschine herunterlädt.

Bild 1. Tägliche Hits auf dem Malvertising-Server

Die Forscher gehen davon aus, dass dieser Angriff die Fortsetzung derselben Malvertising-Kampagne ist, die zum ersten Mal im September stattfand und ebenfalls japanische Nutzer im Visier hatte.

Die Malvertiser nutzten eine Technik namens „Domain Shadowing“. Angreifer, die das nötige Wissen haben, können Unterdomänen unter eine legitime Domäne erstellen, doch die neue Unterdomäne führt zu einem Server, den der Angreifer kontrolliert. In diesem speziellen Fall erstellten die Angreifer ad.{legitimate domain}.com unter der legitimen Site (der richtige Name der Site wird erst genannt, wenn die Webmaster das Problem adäquat gelöst haben).

Der Verkehr zu dieser Unterdomäne wurde mit HTTPS und einem Let’s Encrypt-Zertifikat geschützt.

Bild 2. Let’s Encrypt SSL-Zertifikat

Die Domäne hostete eine Werbeanzeige, die mit der legitimen Domäne in Zusammenhang zu stehen schien, um den Verkehr zu verbergen. Teile des Umleitungs-Skripts wurden ebenfalls von einer Java Script-Datei in eine .GIF-Datei verschoben, um die Identifizierung der Payload zu erschweren. Anti-AV-Code, ähnlich dem im September gefundenen, ist auch vorhanden. Zusätzlich nutzen die Angreifer eine offene DoubleClick-Umleitung – eine Taktik, die Malware don’t need Coffee beschreibt.

Bild 3. Bei Malvertising genutzter Code

Trend Micro ist selbst eine Certificate Authority und kennt als solche das Problem des Missbrauchs von SSL-Vertrauenssystemen. Eine Certificate Authority, die automatisch spezifische Zertifikate für diese Unterdomänen herausgibt, kann unbeabsichtigt den Cyberkriminellen helfen, da sich der Domänenbesitzer des Problems nicht bewusst ist und es damit auch nicht verhindern kann.

Domänenvalidierungs-Zertifikate bestätigen lediglich, dass die Domäne unter der Kontrolle des Site-Empfängers steht. Theoretisch sollte dies nicht die Identität des Empfängers validieren. Doch Endnutzer, die die Nuancen des Zertifikats nicht kennen, merken den Unterschied nicht, und so können die Zertifikate dem Hacker Legitimität verschaffen.

Idealerweise sollten CAs Zertifikate von illegalen Dritten löschen, die von verschiedenen Bedrohungsakteuren missbraucht wurden. Doch ist Infrastruktursicherheit nur dann möglich, wenn alle kritischen Beteiligten – Browser, CAs und Antivirus-Hersteller – aktiv an der Eliminierung der Bedrohungsakteure mitwirken. Eine Lehre aus dem Malvertising-Vorfall wäre, dass Website-Besitzer sicherstellen sollten, dass ihre Website über Kontroll-Panel geschützt ist, um zu gewährleisten, dass neue Unterdomänen nicht ohne ihr Wissen erstellt werden.

Trend Micro hat „Let’s Encrypt“ über das bestimmte, missbrauchte Zertifikat informiert.

Indicators of Compromise

Die Payload des Angler Exploit Kits hat folgenden SHA1 Hash:

  • 63c88467a0f67e2f3125fd7d3d15cad0b213a5cb

Zusätzliche Erkenntnisse von Kirk Hall und Stephen Hillier

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*