Mit den verschiedenen Beziehungen der Nutzer untereinander und gemeinsamen Gewohnheiten ist das Internet zu einem sozialen Knotenpunkt geworden, ähnlich einer virtuellen Nachbarschaft. Daran wollen auch die Bösen teilhaben, natürlich nicht mit freundlichen Absichten.

Als Schutz empfiehlt sich dringend der Einsatz einer Sicherheitslösung, aber genauso wichtig ist es, über die Gefahren Bescheid zu wissen. Trend Micros Infografik gibt einen guten Überblick über die unterschiedlichen Feinde in der virtuellen Nachbarschaft:

Im Laufe des Jahres 2011 wurde über viele Angriffe berichtet, so etwa über den auf RSA, wobei Daten zu RSA’s Secure ID gestohlen und für weitere Attacken genutzt wurden. Des Weiteren gab es Berichte zur Operation ShadyRAT, welche die Langlebigkeit von Command & Control-Infrastrukturen demonstrierte, oder zu Nitro und Night Dragon, die zeigten, dass Angreifer sich auf bestimmte Industriezweige konzentrieren.
Auch über Trend Micros Erforschung der Lurid-Angriffe wurde viel geschrieben. Diese Attacken führten vor, dass Angreifer an Zielen außerhalb der USA interessiert sind und vor allem, dass es keine Einzelangriffe mehr sind, sondern „Kampagnen“.
Daneben jedoch sind noch viele APT-Gefahren erforscht worden, über die nicht öffentlich geschrieben wurde. Hier sind die Top-Themen:

• Die “Contagio Dump”- und “Targeted Email Attacks”-Blogs – Mila Parkour und Lotta Danielsson-Murphy haben viele Informationen zu der Forschung in diesem Bereich veröffentlicht. Während bösartige Binaries häufig fĂĽr eine Analyse zur VerfĂĽgung stehen, ist der Inhalt der mit Social Engineering-Techniken infizierten E-Mails meist schwer nachvollziehbar. Diese Blogs liefern einzigartige Einsichten in diese Art von gezielten Angriffen.
• Der CyberESI-Blog – Hier gibt es detaillierte Analysen einiger der erfolgreichsten Malware-Familien.
• “Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kiill Chains” – Hutchins, Cloppert, und Amin erklären hier – allerdings sehr akademisch – wie die Phasen eines Angriffs nachvollzogen werden können und wie mehrfache Vorfälle in eine Kampagne einzuordnen sind. FĂĽr jeden, der APT-Angriffe erforschen will, eine PflichtlektĂĽre.
• „1.php“ – ist ein Bericht von Zscaler ĂĽber eine bestimmte Kampagne. Die Autoren analysieren die C & C-Infrastruktur und präsentieren die Ergebnisse als Grundlage fĂĽr VerteidigungsmaĂźnahmen.
• Sykipot – AlienLabs dokumentiert die Trends, die sich aus der Kampagne ableiten lassen, beschreibt aber auch die Exploits, die Schädlinge und die von den Angreifern genutzte C & C-Infrastruktur. Interessant an diesem Bericht sind auch die Spekulationen ĂĽber einen Cyberkrieg Chinas gegen die USA – oder anders rum?
• “What is an APT without a sensationalist name?” – Seth Hardys Präsentation auf der SecTor 2011 lieferte einen längst ĂĽberfälligen kritischen Blick auf den Hype rund um APT, aber auch eine detaillierte technische Analyse des Schädlings “SharkyRAT”.
• “Moli Hua” – Greg Walton dokumentierte einen Angriff auf Journalisten, be idem Facebook und ein MHTML-Exploit fĂĽr Gmail genutzt wurden, ĂĽber den die Angreifer ihre eigenen E-Mail-Adressen als “delegierte Konten“ hinzufĂĽgen konnten

Es gibt viele Arten der Untersuchung einer Bedrohung mithilfe unterschiedlicher Sachkenntnis – vor allem, wenn es sich um eine Gefahr handelt, die mehrere Schädlinge einbezieht und eine ziemlich robuste C&C (Command & Control)-Infrastruktur verwendet. Doch unabhängig davon, ob Reverse Engineering oder die Analyse der Botnet-Infrastruktur eingesetzt wird, das wichtigste Ziel ist, die Bedrohung an sich zu verstehen.

Trend Micro ist in der glücklichen Lage, einige Experten in seinen Reihen zu haben, die diese Herausforderung mit verschiedenen Mitteln angehen können. Deren technische Analyse und die benötigte Sorgfalt bei der Überwachung der Koobface-Aktivitäten führte zu einem gründlichen Verständnis des Botnets. Somit war Trend Micro in der Lage, zu reagieren und eine angemessene Lösung für den Schutz der Kunden zu liefern.

Koobface auf dem Höhepunkt

Zu seinen besten Zeiten, war Koobface als Schadsoftware bekannt, die sich ĂĽber das sich (zu der Zeit) rasant entwickelnde soziale Netzwerk Facebook verbreitete. Doch natĂĽrlich steckte mehr dahinter.
2008 bis 2009 war Facebook gerade dabei, sich von den anderen sozialen Netzwerken wie Myspace, Twitter, Friendster oder myyearbook abzugrenzen und die Vorherrschaft zu übernehmen. Trend Micros erstes Forschungspapier zu Koobface lieferte eine detaillierte Darstellung dazu, dass der Schädling nicht allein Facebook für seine Verbreitung nutzte, sondern auch andere damals beliebte soziale Netzwerke. Auch zeigten die Sicherheitsforscher auf, wie ein mit dem Koobface-Schädling infiziertes System weitere Malware installiert, die dann entweder dazu genützt wird, um infizierten Nutzer-Verkehr zu Geld zu machen oder um die betroffene Maschine in die Koobface C&C-Infrastruktur mit einzubinden.

Koobface und das C&C

Trend Micros zweites Forschungspapier beschäftigte sich ausführlich mit der C&C-Infrastruktur und -Kommunikation. Die Experten konnten die verschiedenen Kontrollebenen in der Koobface-Bande nachvollziehen – von der feingranularen Kontrolle der Social Engineering-Nachrichten, die der infizierte Nutzer als Spam verschickte, bis zu den verschiedenen Komponenten, Konten, Infrastrukturen und Befehlen, die der Bande zur Verfügung standen.

In dieser Phase gelang es den Sicherheitsforschern von Trend Micro, das C&C-Protokoll sowie die Befehle zu entziffern und die Botnet-Aktivitäten zu überwachen. Sie entdeckten die Facebook- und Google-Konten, die die Kriminellen kontrollierten und entkräfteten die Theorie, dass die Bad Guys billige Arbeitskräfte in Indien für das Knacken von CAPTCHAS beschäftigen. Auch stellten sie fest, dass die Leute hinter Koobface jeden Versuch, das Botnet kaltzustellen, unterliefen.

Noch fehlte aber die Antwort auf die zentrale Frage nach den Vorteilen fĂĽr die Gang.

Koobface als Goldesel

Die Antwort auf diese Frage kam durch den Beweis, dass die Koobface-Bande in kriminelle Machenschaften verwickelt war, so etwa FakeAV-Installationen, Click-Betrug, Informationsdiebstahl und Online-Dating.

An diesem Punkt der Untersuchung wandten sich die Forscher für eine Zusammenarbeit an die breitere Sicherheits-Community, denn eine so große Aktion wie die um Koobface bedarf auch der Kenntnisse anderer Forscher, Ermittler und Organisationen. Trend Micro arbeitete mit unabhängigen Ermittlern wie Jan Droemer zusammen, ebenso mit Facebook und Google oder auch mit den Sicherheitsforschern von Kaspersky und Sophos. Dass auch mehrere Polizeibehörden involviert waren, ist selbstverständlich.

Die Entwicklung von Koobface

Ein nächstes Forschungspapier beschrieb, wie die Koobface-Bande die C&C-Architektur und die Malware-Binaries veränderte sowie die Backend-Dienste verbesserte, um sich gegen Schließungen und das Aufdecken ihrer Aktivitäten zu schützen.

Vor ein paar Wochen dann kam das bislang letzte Papier heraus, das zeigte, wie die Kriminellen sich den strengen Sicherheits-Checks von Facebook anpassen, indem sie auf Twitter und Blogspot umschwenken und TDS (Traffic Direction Systems) fĂĽr ihre Zwecke nutzen.

Verfrühte Veröffentlichung

Die Beteiligten hielten die ganzen Daten zu den Untersuchungen und Nachforschungen geheim, um die laufenden Ermittlungen nicht zu gefährden. Doch leider veröffentlichte ein Blogger wichtige Informationen bezüglich der Koobface-Ermittlung, und zwar ohne sich mit den Beteiligten abzusprechen. Dies geschah, bevor es zu den gewünschten Ergebnissen kommen konnte (etwa Verhaftungen).  Die langsamen Ermittlungen sind verständlich, geht es doch um Beweise, die vor Gericht Bestand haben müssen. Es bleibt zu hoffen, dass trotz der aktuellen Situation die Ermittlungen zu einem guten Ende kommen und die Kriminellen ihrer gerechten Strafe nicht entgehen.

Trend Micro-Forscher Jonell Baltazar, Ryan Flores, Joey Costoya und Nart Villenueve haben erhebliche Anstrengungen unternommen, um die Koobface-Bedrohung zu untersuchen.  In diesem Whitepaper beschreibt Sophos ebenfalls die Entwicklung der Aktion Koobface.

Nachdem die schlimmsten Gefahren bereits beschrieben wurden, folgen nun weitere fünf Szenarien, die mithilfe der neuen Funktionalität von HTML5 denkbar sind.

• Clickjacking einfach gemacht: Clickjacking an sich ist keine neue Angriffsmethode. Ihr Ziel ist, effizient Mausclicks zu stehlen und sie an eine andere, vom Angreifer angegebene Seite umzuleiten. Damit klickt das Opfer, ohne es zu wissen, auf einen versteckten Link. Die derzeit beste GegenmaĂźnahme auf Seiten des Servers besteht im so genannten Framekilling. Im Prinzip geht es dabei darum, dass eine betroffene Site mithilfe von JavaScript prĂĽfen kann, ob sie in einem iframe läuft und wenn ja, sich nicht mehr anzeigen lassen. Facebook, Gmail und andere nutzen diese Technik bereits. HTML5 nun ist um ein neues Sandbox-Attribut fĂĽr iframes erweitert worden, das JavaScript stoppt. In vielen Fällen ist dies sinnvoll fĂĽr ein sicheres Setup, doch die Kehrseite bedeutet auch, dass der aktuelle Schutz gegen Clickjacking damit nicht mehr funktioniert.
• Port Scanning mit Cross Origin Requests oder WebSockets: Mit HTML5 kann ein Browser sich nun mit jeder IP-Adresse oder Site ĂĽber nahezu jeden Port verbinden. Der Browser kann jedoch die Antwort auf diese Verbindung nicht lesen, ohne dass dies von der Ziel-Site ausdrĂĽcklich erlaubt wird. Forscher haben aber bereits gezeigt, dass die Zeit, die eine Anfragebearbeitung benötigt, dazu genutzt werden kann, um festzustellen, ob der Ziel-Port offen ist. Damit kann der Angreifer Ports des lokalen Netzwerks eines Opfers direkt aus dem Browser scannen.
• Social Engineering mit Webbenachrichtigungen: Webbenachrichtigungen gehören zu den neuen Fähigkeiten in HTML5. Diese Popup-Fenster, die auĂźerhalb des Browser erscheinen, lassen sich mit HTML beliebig anpassen, um eine ausgefeilte Interaktion aufzusetzen. Andererseits sind die Popups auch eine Goldgrube fĂĽr Social Engineering-Angriffe wie Phishing oder FAKEAV. Das Bild vermittelt eine Vorstellung davon, was Angreifer mit der Funktionalität anstellen können:
  
  
• Verfolgen von Opfern mit Geolocation: Geolokalisierung ist die meisten beachtete neue Funktionalität in HTML5. Aus Sicherheits- und DatenschutzgrĂĽnden muss eine Site immer die Bewilligung des Nutzers einholen, bevor sie auf diese Informationen zugreift. Doch hat die Erfahrung mit Funktionalität wie Vistas User Access Control, Androids Anwendungsberechtigungen und ungĂĽltigen HTTPS-Zertifikaten gezeigt, dass Sicherheit auf Grundlage von Nutzerentscheidungen nur selten funktioniert. Sobald die Erlaubnis erteilt ist, kann die Site nicht nur den Standort des Opfers bestimmen, sondern auch die Bewegung des Opfers in Echtzeit nachvollziehen.
• Verfälschen von Formularen: Eine weitere neue Funktionalität erlaubt es Angreifern, die JavaScript-Code in eine Site eingefĂĽgt haben (etwa ĂĽber einen XSS-Angriff), das Verhalten der Formulare auf der Seite zu ändern. Beispielsweise kann ein Angreifer ein Formular in einem Online Shop so ändern, dass dieses statt Inhalte oder Login-Daten an die Einkaufsseite zu ĂĽbermitteln, diese Informationen an die Site der Kriminellen ĂĽbermittelt.

In dem ausfĂĽhrlichen Whitepaper HTML5 Overview: A look at HTML5 Attack Scenarios finden Interessierte alle Informationen zu den Neuerungen in HTML5 und auch den damit einhergehenden Gefahren.

Originalartikel von Robert McArdle, Senior Threat Researcher

HTML5 stellt die fünfte Revision der am meisten verbreiteten Markup-Sprache für die Erstellung von Webseiten dar. Es handelt sich dabei nicht um ein Upgrade, wie man es üblicherweise kennt, sondern um eine ganze Reihe von Features, jedes mit unterschiedlicher Browser-Unterstützung. Zu den wichtigsten Neuerungen gehören eine Grafikbibliothek, einfachere Unterstützung von multimedialen Inhalten, Geolocation, Drag & Drop-Funktionalität sowie Web-Benachrichtigungen. So mächtig die Neuerungen auch sind, so gefährlich können sie den Nutzern werden. Denn sie bieten nicht nur den Web-Entwicklern neue Möglichkeiten, sondern auch der kriminelle Untergrund wird sie für seine bösen Zwecke missbrauchen.

Die größte Bedrohung, die über HTML5 entsteht, sind BITB (Botnets In The Browser). Angreifer sind mit HTML5 in der Lage, ein Botnet zu erzeugen, das auf jedem Betriebssystem, überall auf jedem Gerät funktioniert. Es läuft vorwiegend im Hauptspeicher und berührt daher die Platte kaum. Somit ist es für traditionelle dateibasierte Antivirus-Programme schwierig, es zu entdecken. Auch lässt sich JavaScript einfach verschleiern, sodass auch Netzwerk IDS-Signaturen sich mit diesen BITB schwer tun. Schließlich ist das Botnet webbasiert, kommt also durch die meisten Firewalls leicht durch.

Schritte einer Browser-basierten Botnet-Attacke

Infektion: Das System eines Nutzers wird infiziert, indem er dazu verleitet wird, das ursprĂĽngliche JavaScript auszufĂĽhren. Es gibt viele Wege, dies zu tun, einschlieĂźlich XSS, Anklicken eines Links in einer Mail oder Instant Message, Blackhat Search Engine Optimization (SEO), Social Engineering, Kompromittieren eine Website oder andere Methoden mehr.

Persistenz: Ein Browser-basiertes Botnet ist von Natur aus nicht so beständig wie ein traditionelles. Sobald ein Opfer den Browser-Tab schließt, stoppt auch der bösartige Code. Dies muss ein Angreifer im Hinterkopf behalten, und die Aufgaben, die er einem BITB zuweist, der eher flüchtigen Natur der Botnet-Knoten anpassen. Wichtig ist dabei, dass Systeme einfach neu infiziert werden können, deshalb eignen sich persistente XSS als Angriffsvektoren besonders gut. Auch die Kombination aus Clickjacking und Tabnabbing stellen einen möglichen Ansatz dar. Clickjacking wird dazu genutzt, um ein Opfer zu zwingen, eine weitere Webseite zu öffnen, die exakt denselben Inhalt wie die ursprüngliche hat. Dabei merkt das Opfer nicht, dass der bösartige Tab im Hintergrund läuft. Um das Leben dieses Tabs zu verlängern, kann ein Angreifer die Technik des Tabnabbings nutzen. Damit maskiert er den ursprünglichen Tab und die Seite als eine häufig genutzte Seite wie Google oder YouTube. Eine sogar noch einfachere Form der Beständigkeit besteht darin, die bösartige Seite als interaktives Spiel darzustellen. Idealerweise ist das Spiel dann so aufgebaut, dass der Nutzer es den ganzen Tag über geöffnet hält und immer wieder darauf zurückgreift, um neue Aufgaben durchzuführen.

Payload: Ein solcher Angriff kann in verschiedene Möglichkeiten münden:

• DDoS-Attacke: Der Web Worker kann Cross Origin Requests nutzen, um Tausende von GET-Anfragen an eine Ziel-Site zu schicken, sodass es zu Denial of Service kommt.
• Spamming: Schlecht konfigurierte Web-Formulare auf den „Contact Us“-Seiten können zur Erzeugung von Spam genutzt werden.
• Bitcoin-Erzeugung: Bitcoins stellen die beliebteste Währung des cyberkriminellen Untergrunds. Es gibt bereits etliche Browser-basierte Bitcoin-Generatoren.
• Phishing: Mithilfe des Tabnabbing-Ansatzes kann ein Angreifer das Aussehen eines bösartigen Tabs jedes Mal ändern, wenn dieser nicht mehr im Fokus ist. Das heiĂźt, jedes Mal, wenn das Opfer zu diesem Tab zurĂĽckkehrt, erhält er ein Login eines anderen Dienstes. Somit ist der Angreifer in der Lage, die Login-Daten abzugreifen.
• Interne Netzwerkerkundung: Mit dieser Technik kann ein Angreifer nach SicherheitslĂĽcken oder die Ports im Netzwerk eines Opfers scannen.
• Verwendung eines Netzwerks als Proxy: Mit demselben Ansatz, den die Shell des Future-Tools verwendet, erlaubt es ein Netzwerk kompromittierter Systeme einem Angreifer, dieses als Proxy fĂĽr Attacken und Netzwerkverbindungen zu nutzen, sodass deren Verfolgung schwieriger wird.
• Verbreitung: Kriminelle können eine Wurmkomponente ins Botnet einfĂĽgen, die sich ĂĽber XSS-Angriffe oder SQL Injection auf angreifbaren Sites verbreitet.

Dies stellt eine bemerkenswerte Möglichkeit im Arsenal von Angreifern dar und wird sicherlich bald häufiger eingesetzt werden, vor allem bei gezielten Attacken. Herkömmliche Sicherheitsmaßnahmen gegen Malware können diese neuen Angriffsvektoren nicht abwehren, doch gibt es zwei kostenlose Tools, die einen sehr guten Schutz bieten.

NoScript: Das Browser Plugin ist unter Fachleuten bereits gut bekannt. NoScript schränkt die Funktionsweise von JavaScript und anderen Plungins auf nicht vertrauenswürdigen Seiten ein.

BrowserGuard: Trend Micros eigenes Tool umfasst eine Reihe von Funktionen, um webbasierte Angriffe abzuwehren. Dazu gehören unter anderem fortschrittliche heuristische Techniken.

In dem ausfĂĽhrlichen Whitepaper HTML5 Overview: A look at HTML5 Attack Scenarios finden Interessierte alle Informationen zu den Neuerungen in HTML5 und auch den damit einhergehenden Gefahren.

Am 8. November konnten das FBI und die estnische Polizei in Zusammenarbeit mit Trend Micro und einer Reihe anderer Branchenpartner ein langlebiges Bot-Netz aus mehr als 4.000.000 Bots auĂźer Gefecht setzen.

Im Rahmen der vom FBI als „Ghost Click“ bezeichneten Operation wurden zwei Rechenzentren in New York City und Chicago durchsucht und eine C&C-Infrastruktur (Command & Control) aus über 100 Servern abgeschaltet. Zur gleichen Zeit nahm die estnische Polizei in der Stadt Tartu in Estland mehrere Mitglieder fest. Unter diesem Link finden Sie die Pressemitteilung des FBI (in englischer Sprache).

Das Bot-Netz bestand aus infizierten Computern, deren DNS-Einstellungen so manipuliert worden waren, dass sie auf ausländische IP-Adressen zeigten. DNS-Server lösen menschenlesbare Domänennamen in IP-Adressen auf, die bestimmten Computerservern im Internet zugewiesen sind. Die meisten Internet-Benutzer verwenden automatisch die DNS-Server ihrer Internet-Service-Provider.

DNS-modifizierende Trojaner ändern die Computereinstellungen still und heimlich,‏ so dass ausländische DNS-Server verwendet werden. Diese DNS-Server werden von bösartigen Dritten installiert und übersetzen bestimmte Domänen in bösartige IP-Adressen. Das Ergebnis: Die nichts ahnenden Opfer werden unbemerkt auf potenziell bösartige Websites umgeleitet.

Kriminelle verwenden eine ganze Palette von Methoden, um aus dem DNS Changer-Bot-Netz Geld zu schlagen. Beispielsweise ersetzen sie Werbeanzeigen auf Websites, die von den Opfern geladen werden, „entführen“ Suchergebnisse und verbreiten zusätzliche Malware.

Wir bei Trend Micro wussten bereits seit 2006, wer mit aller Wahrscheinlichkeit hinter diesem Bot-Netz steckt, doch wir beschlossen, gewisse Daten und Einblicke unter Verschluss zu halten, um die Arbeit der Strafverfolgungsbehörden nicht zu behindern.

Jetzt, da die Hauptverantwortlichen festgenommen wurden und das Bot-Netz abgeschaltet wurde, können wir einige der von uns in den vergangenen fünf Jahren gesammelten Daten veröffentlichen.

Rove Digital

Die cyber-kriminelle Gruppe, die jeden Schritt von der Infizierung mit Trojanern bis hin zur Monetarisierung der infizierten Bots kontrollierte, war das estnische Unternehmen Rove Digital. Dabei handelt es sich um einen Mutterkonzern, dem eine Reihe anderer Unternehmen wie Esthost, Estdomains, Cernel, UkrTelegroup und weniger bekannte Mantelgesellschaften unterstellt waren.

Rove Digital ist ein scheinbar rechtmäßiges IT-Unternehmen mit Sitz in Tartu. In den Büros des Hauptsitzes gehen die Menschen tagtäglich ihrer ganz „normalen“ Beschäftigung nach – wie in Tausenden anderen Unternehmen auch. In Wirklichkeit aber steuert die Zentrale in Tartu Millionen infizierter Hosts rund um den Globus und macht Jahr für Jahr unrechtmäßig erworbene Millionengewinne mit ihren Bots.

Esthost, ein Reseller von Webhosting-Services, tauchte bereits im Herbst 2008 in der Presse auf. Damals ging das Unternehmen offline, als sein Provider Atrivo in San Francisco aufgrund von Klagen durch Privatpersonen dazu gezwungen wurde, vom Netz zu gehen. Zur gleichen Zeit verlor ein Domänenregistrierungsunternehmen von Rove Digital – Estdomains – seine ICANN-Akkreditierung, da der Eigentümer, Vladimir Tsastsin, in seiner Heimat Estland wegen Kreditkartenbetrugs verurteilt wurde.

Diese Aktionen waren das Ergebnis öffentlichen Drucks, der aus dem Verdacht entstand, dass Esthost in erster Linie mit Kriminellen Geschäfte machte. Rove Digital wurde gezwungen, die von Esthost bereitgestellten Hosting-Services einzustellen, nichtsdestotrotz aber setzte das Unternehmen seine kriminellen Machenschaften fort. Ihre Lektion lernten die Köpfe, die hinter Rove Digital steckten, erst, als sie die C&C-Infrastruktur weltweit verbreiteten und einen Großteil der zuvor bei Atrivo gehosteten Server zum Rechenzentrum Pilosoft in New York City verschoben, wo bereits einige ihrer Server gehostet wurden.

Im Jahr 2008 war es kein Geheimnis mehr, dass viele der Kunden von Esthost Kriminelle waren. Nicht bekannt aber war, dass sowohl Esthost als auch Rove Digital intensiv in cyber-kriminelle Machenschaften verwickelt waren.

Trend Micro war bekannt, dass Rove Digital nicht nur Trojaner hostete, sondern auch C&C-Server und bösartige DNS-Server sowie die Infrastruktur steuerte, über die aus den betrügerischen Klicks des DNS Changer-Bot-Netzes Geld gemacht wurde. Neben den DNS-modifizierenden Bot-Netzen verbreiteten Esthost und Rove Digital auch FAKEAV- und Trojaner-Klicker. Außerdem waren die Unternehmen in den Online-Verkauf fragwürdiger Medikamente und andere Cybercrimes verwickelt, die in diesem Blog nicht weiter erläutert werden.

Die Beweise, die wir in den letzten Jahren zusammengetragen haben, lassen keinen Zweifel daran, dass Esthost und Rove Digital unmittelbar in Cybercrime und Betrug zu tun haben. Erste Verdachtsmomente basierten auf schlichten aber eindeutigen Hinweisen:

Indikatoren für cyber-kriminelle Aktivitäten

Im Jahr 2006 bemerkten wir zunächst, dass es sich bei zahlreichen C&C-Servern des DNS-Changer-Netzwerks um Unterdomänen von Esthost.com handelte; beispielsweise die ausländischen, bösartigen DNS-Server, deren IP-Adressen in DNS-Changer-Trojanern hartkodiert waren und die auf „dns1.esthost.com“ bis „dns52.esthost.com“ gehostet wurden (52 Domänennamen).

Ein Backend-Server, der alle bösartigen DNS-Server gleichzeitig aktualisieren konnte, befand sich unter dns-repos.esthost.com. Ein Backend-Server für Trojaner mit gefälschtem Codec befand sich unter codecsys.esthost.com. Sofern die Domäne esthost.com nicht gehackt wird, kann nur Esthost diese sehr vielsagenden Unterdomänen zum Domänennamen hinzufügen. Als die Domäne esthost.com abgeschaltet wurde, begannen die C&C-Server von Rove Digital, private Domänennamen mit der Endung „.intra“ zu nutzen. Es gelang uns, die vollständige .intra-Bereichsdatei von einem der Server von Rove Digital in den USA herunterzuladen.

2009 erhielten wir eine Kopie der Festplatten zweier C&C-Server, die Werbeanzeigen auf Websites ersetzten, sobald sie von Opfern des DNS-Changers geladen wurden. Auf den Festplatten fanden wir öffentliche SSH-Schlüssel von diversen Rove Digital-Mitarbeitern. Mithilfe dieser Schlüssel konnten sich die Mitarbeiter auf den C&C-Servern ohne Kennwort anmelden – sie benötigten lediglich ihren persönlichen Schlüssel. Aus den Protokolldateien auf den Servern konnten wir darauf schließen, dass die C&C-Server über die Zentrale von Rove Digital in Tartu gesteuert wurden.

Darüber hinaus unterhielt Rove Digital ein FAKEAV- bzw. ein bösartiges DNS-Partnerprogramm namens Nelicash. Es gelang uns, ein Schema der Infrastruktur für den FAKAV-Bereich herunterzuladen. Über einen Nelicash-C&C-Server entdeckten wir Informationen über Opfer, die gefälschte Antiviren-Software erworben hatten.

Unter diesen Käufen befanden sich zahlreiche Testbestellungen von Mitarbeitern von Rove Digital über IP-Adressen, die von Rove Digital in Estland und den USA kontrolliert wurden. Dies zeigt, dass Rove Digital direkt in den Verkauf von FAKEAV involviert war.

Über denselben Nelicash-C&C-Server könnten wir außerdem einen detaillierten Plan zur Entwicklung neuer bösartiger DNS-Server für 2010 und 2010 herunterladen. Tag für Tag verbreitete Rove Digital eine neue Malware, die die DNS-Einstellungen von Systemen in ein einzelnes Paar ausländischer Server änderte. Wir überprüften Trojaner von DNS-Changer einige Tage lang und stellten fest, dass diese Trojaner die DNS-Einstellungen der Opfer genau nach diesem Plan modifizierten.

Es würde den Rahmen sprengen, wenn wir an dieser Stelle die Vielzahl weiterer, von uns gesammelter Beweise aufführen würden. Alle Ergebnisse weisen darauf hin, dass Rove Digital tatsächlich Cybercrime im großen Maßstab durchführt und unmittelbar verantwortlich für das riesige DNS Changer-Bot-Netz ist.

Angesichts dieser Tatsache freuen wir uns sehr, Ihnen mitteilen zu können, dass die enge Zusammenarbeit zwischen dem FBI, der estnischen Polizei, Trend Micro und anderen Branchenpartnern zur Abschaltung dieses gefährlichen Bot-Netzes geführt hat. Außerdem konnten die Hauptverantwortlichen festgenommen werden, und das, obwohl das Unschädlichmachen von Rove Digital kompliziert und extrem aufwändig war.

Trend Micro konnte die C&C-Infrastruktur von Rove Digital sowie die Backend-Infrastruktur bereits frühzeitig erfolgreich identifizieren und überwachte die C&C-Infrastruktur auch weiterhin bis zum 8. November 2011. Andere Branchenpartner stellten sicher, dass die Abschaltung des Bot-Netzes kontrolliert und ohne größere Störungen für die infizierten Kunden verlief, und leisteten somit einen überragenden Beitrag zur gesamten Operation bei.

Die folgenden Links befassen sich ebenfalls mit diesem Thema:

• Making a Million, Part One—Criminal Gangs, the Rogue Traffic Broker, and Stolen Clicks
• Making a Million, Part Two—The Scale of the Threat
• A Cybercrime Hub

Weitere Informationen finden Sie im Beitrag von Rik Ferguson. Er beschreibt wie Sie prüfen können, ob auch Sie ein Opfer dieser Cyber-Kriminellen sind.

Zusätzlicher Text von Paul Ferguson

Kriminelle bringen immer raffiniertere Android-Schädlinge in Umlauf. Trend Micro hat eine neue Hintertür-Malware analysiert, die eine höhere Performance aufweist und neue Techniken für die Verschleierung nutzt.

Der Android-Schädling (ANDROIDS_ANSERVER.A) tarnt sich als E-Book Reader-Anwendung und kann aus einem chinesischen App Store herunter geladen werden. Bei der Installation fordert er die folgenden Berechtigungen:

Schon anhand dieser Berechtigungen last sich ablesen, dass der Schädling eine Vielzahl von Fähigkeiten besitzt. Er nutzt die ihm gewährten Berechtigungen um folgende Aufgaben auszuführen:

• Zugriff auf Netzwerkeinstellungen
• Internet-Zugriff
• Kontrolle ĂĽber den Vibrationsalarm
• Deaktivieren der Tastensperre
• Anruf tätigen
• Lesen der Low-level Logdateien
• Lesen und Schreiben von Kontakten
• Neustart von Applikationen
• Wecken des Geräts
• Schreiben, Lesen, Erhalten und Senden von SMS

Weitere Informationen über die Art und Weise, wie Kriminelle Berechtigungen nutzen, um bösartige Routinen auszuführen, gibt es im E-Book „When Android Apps Want More Than They Need“.

Die Sicherheitsforscher fanden zwei hart codierte Command & Control-Server, die dem Schädling Anweisungen senden und Routinen liefern. Der eine stellt sich als übliche Remote Site dar, wo die Malware Informationen ablegt und neue Befehle holt. Der zweite jedoch stellt eine Blog-Site mit verschlüsseltem Inhalt dar. Diese Art einer Android-Malware, mit ihrem Server zu kommunizieren, ist neu. Das Diagramm zeigt, wie der Schädling die Blog Site als C&C-Server nutzt:

Die Prüfung des Blog-Inhalts ergab sechs verschlüsselte Einträge, die Backup-C&C-URLs enthielten. Des weiteren sind 18 ausführbare Dateien auf dem Blog (vom 23. Juli bis zum 26. September). Eine davon, _test genannt, scheint noch weiter entwickelt zu werden.

Die Analyse ergab auch, dass diese Dateien verschiedene Versionen ihrer selbst sind, wobei die neueren Versionen Benachrichtigungen anzeigen können, um User dazu zu verleiten ein Update herunter zu laden. Auch können die neuen Versionen vier Sicherheitsanwendungen beenden:

• com.qihoo360.mobilesafe
• com.tencent.qqpimsecure
• com.ijinshan.mguard
• com.lbe.security.

Die Nutzung von Blog-Plattformen für Malware-Aktivitäten ist nicht ganz neu. Beispielsweise gab es Anfang des Jahres ein Botnetz, dass Twitter für die Ausgabe von Befehlen verwendete.

Mysql.com scheint ein attraktives Angriffsziel zu sein. Unbekannte Hacker haben die Website von MySQL mit JavaScript-Code infiziert, berichtete eWeek. Ziel des Angriffs ist es, Besucher der Website auf eine mit einem BlackHole Exploit Kit kompromittierte URL umzuleiten, wo automatisch Malware auf das System des Opfers heruntergeladen wird.

Gleichzeitig stießen die Sicherheitsforscher von Trend Micro kürzlich auf einen interessanten Eintrag in einem russischen Untergrund-Forum, in dem Hacker Informationen über ihre illegalen Aktivitäten austauschen. Der Nutzer sourcec0de mit der ICQ-Nummer 291149 bietet dort Root-Zugriff auf einige der Cluster-Server von mysql.com, die Website der quelloffenen Datenbank MySQL, und dessen Unterdomänen zum Kauf an. Für 3000 US-Dollar pro Zugriff erhält der Interessent einen Root-Zugriff über ein Shell-Fenster auf der Konsole. Das Geschäft wird über ein Treuhandsystem abgewickelt.

Die Sicherheitsforscher waren bereits bei frĂĽheren Untergrundrecherchen auf sourcec0de gestoĂźen, der gestohlene PayPal-Kontodaten verkaufte und ĂĽber das Management von Botnetz C&C-Server diskutierte. Trend Micro hat MySQL ĂĽber den Sachverhalt informiert.

Ein Zusammenhang zwischen diesem Angriff und dem Verkäufer von Root-Zugriffen ist nicht herzustellen.

Quelle: Flickr

Trend Micro hat eine Reihe von gezielten Angriffen aufgedeckt, bei denen 1465 Computer 61 Ländern infiziert wurden. Die Sicherheitsforscher konnten 47 Opfer der als LURID bekannten Methode identifizieren, unter anderem diplomatische Missionen, Ministerien, Raumfahrtbehörden sowie Forschungsinstitute. Am meisten davon betroffen sind Russland, Kasachstan und Vietnam und weitere Länder vor allem in der Gemeinschaft Unabhängiger Staaten (GUS).

In den 300 zielgerichteten Angriffen nutzten die Hacker einen in einen Schädling eingebetteten eindeutigen Erkennungsmarker (unique identifier) und ein Command-&-Control-Netzwerk mit 15 Domänennamen und zehn aktiven IP-Adressen für eine ständige Kontrolle über die Opfersysteme. Die Schadsoftware wurde bereits in der Vergangenheit für Angriffe auf Behörden und Nichtregierungsorganisation in den USA eingesetzt. Die Trend Micro-Sicherheitsexperten gehen aber davon aus, dass es keine Verbindung zwischen dem früheren und dem aktuellen Netzwerk gibt.

Diese Art der zielgerichteten Malware-Attacken werden mittlerweile als Advanced Persistent Threats bezeichnet. Dabei erhält das potenzielle Opfer eine E-Mail-Nachricht mit einem Dateianhang, dessen bösartiger Inhalt Schwachstellen in Programmen wie dem Adobe Reader (.PDF) und Microsoft Office (.DOC) ausnutzt. Öffnet der Empfänger die Datei so wird der Code unbemerkt auf seinem Computer ausgeführt und die Angreifer können danach das System kontrollieren und sich frei in dem Netzwerk des Betroffenen bewegen. Schlussendlich können die Hacker kritische Informationen aus diesem Netzwerk abgreifen.

Analyse des Angriffs

Weiterentwicklung: Diese Angriffsserie hat eine Reihe von Schwachstellen in Adobe Reader, einschließlich CVE-2009-4324, CVE-2010-2883, sowie mit RAR komprimierter Dateien (mit infizierten Bildschirmschonern) ausgenutzt. Jeder Angriff brachte das Opfersystem dazu, sich mit demselben Netzwerk von C&C-Servern zu verbinden. Die Hacker nutzten  nicht immer „Zeroday“-Exploits aus, sondern griffen häufig auch auf ältere, „verlässliche“ Exploit zurück und sparten die neuen für schwerer zugängliche Ziele auf. Die Analysen solcher Exploits durch Trend Micro sind noch im Gange.

Persistenz: Die Malware nutzte zwei verschiedene Persistenzmechanismen. Die eine Version installierte sich selbst als Windows-Dienst, um ihre Beständigkeit aufrecht zu erhalten, die andere kopiert sich selbst in das Systemverzeichnis und veränderte das allgemeine Start-up Windows-Verzeichnis. Dann kopierte der Schädling alle üblichen Autostart-Prozeduren und sich selbst dahin. Die Sicherheitsforscher konnten die Malware und Opfer der von der Schadsoftware ausgebenen Marker verschiedenen „Kampagnen“ zuordnen.

Bedrohung: Die Schadsoftware schickt die von den infizierten Computern gesammelten Informationen über HTTP POST an einen C&C-Server. Mittels dieser Kommunikation sind die Hacker in der Lage, eine Vielfalt an Befehlen an die kompromittierten Computer zu schicken, um Dateien zu versenden und zu erhalten, aber auch um eine interaktive Remote Shell auf den Opfersystemen zu aktivieren. Unter anderem konnten die Angreifer so Verzeichnisse abgreifen und Daten, wie bestimmte XLS-Dateien, stehlen. Anhand der Informationen, die Trend Micro von den C&C-Servern holen konnte, lässt sich sagen, dass es sich um 1465 eindeutige Hosts (Hostname und MAC-Adresse) sowie um 2272 eindeutige externe IP-Adressen handelt. Die zehn am meisten betroffenen Länder (den IP-Adressen zufolge) sind:

Wie so häufig ist es schwierig zu sagen, wer hinter den Angriffen steckt, denn die Merkmale wie IP-Adressen oder Domänennamen-Registrierung sind einfach zu manipulieren, um die Sicherheitsforscher in die Irre zu führen. Aufgrund der Analyse lässt sich feststellen, dass die Hacker es auf bestimmte Dokumente und Spreadsheets abgesehen haben, doch nicht welche Daten sie interessiert haben.

Bitcoins scheinen sich steigender Beliebtheit zu erfreuen – leider nicht nur in der Computerindustrie sondern auch im kriminellen Untergrund.

Erst kürzlich konnte Trend Micro eine Reihe von Angriffen aufdecken, bei denen mithilfe eines Schädlings eine Bitcoin Mining-Anwendung auf Opfersysteme installiert wurden. Damit werden diese Systeme nicht nur als Miner missbraucht, die Malware verursacht auch erhebliche Störungen für die Nutzer, weil der Mining-Prozess einen guten Teil der Systemressourcen auffrisst.

Jetzt haben die Sicherheitsforscher weitere Attacken auf Bitcoin-Nutzer entdeckt, die aber andere Methoden verwenden. Maela Angeles, Fraud Analyst bei Trend Micro, berichtet über Phishing Sites, die die Nutzer des bekannten Bitcoin-Handelsplatzes Mt. Gox anpeilen. Angesichts dieser Art von Bedrohung drängt sich der Gedanke auf, dass ein ähnlicher Angriff wahrscheinlich ein Bitcoin-Konto des Handelsplatzes infiziert hatte, mit der Folge, dass der Bitcoin-Preis von 17,50 Dollar auf nur wenige Cents sank. Mt. Gox hat Ende letzten Monats eine Warnung vor dem Ansteigen der Phishing-Angriffe herausgegeben.

Auch berichtete ein Webmaster von einem Erpressungsversuch eines Cyberkriminellen, seine Website ĂĽber eine Denial-of-Service-Angriff lahmzulegen, falls dieser die geforderten 100 Bitcoins an das angegebene Konto nicht ĂĽberweisen sollte.

Das Bitcoin-Konzept bietet Kriminellen viele Missbrauchsmöglichkeiten und lassen sich auch sehr gut für die kriminellen Machenschaften einsetzen. Die derzeitigen Angriffe und Bedrohungen sind eindeutig nur ein Anfang!