Das Geheimnis des wachsenden KOOBFACE-Geschäfts: das Traffic Direction System

Originalartikel von Jonell Baltazar, Senior Threat Researcher

Das KOOBFACE-Botnetz ist dafür berüchtigt, mit dem Pay-per-Install (PPI) und Pay-per-Click (PPC)-Geschäftsmodell Geld zu machen. Allein 2009 verdiente die Bande mehr als zwei Millionen US-Dollar. Doch das scheint nicht genug gewesen zu sein, denn die Kriminellen rüsteten ihr Botnetz-Framework mit einem ausgeklügelten Traffic Direction System (TDS) auf, das den Internet-Verkehr auf von ihnen angegebene Sites lenkt. Darüber hinaus fügten sie neue Komponenten hinzu, um die Menge des Internetverkehrs in Richtung ihres TDS zu steigern. TDS lenkt den Verkehr hauptsächlich auf Werbeseiten um, wofür die Kriminellen nach Anzahl der Clicks bezahlt werden. Folgende Schautafel zeigt die Schritte, über die TDS den Kriminellen Geld in die Kasse spült:

  1. Erzeugen und Registrieren von E-Mail-Adressen: Nachdem KOOBFACE nicht länger automatisch Google-Konten für die bösartigen Aktivitäten erzeugen kann, sind die Kriminellen nun auf Yahoo! Mail-Konten umgestiegen, um so die benötigten Google-Konten zu kreieren.
  2. Erzeugen von Konten in sozialen Netzwerken: Die von KOOBFACE generierten E-Mail-Adressen werden dafür genutzt, um sich bei sozialen Netzwerken wie Twitter, Tumblr, FriendFeed3, FC24, livedoor5, So-net6 und Blogger anzumelden. Einige Konten wurden auch in altervista.org7 generiert. Die vom Botnetz erzeugten Domänen der Blog-Konten enthielten Wörter wie „news“ oder „2011 news“.
  3. Bilder sammeln: Das Botnetz wurde auch um eine neue binäre Komponente angereichert, die vor allem pornografische Bilder, Fotos von Berühmtheiten, Hochzeiten, Tattoes und Autos sowie Hintergrundbilder von Googles Image-Suche sammelt. Diese nutzen die Kriminellen dann in ihren Blog-Veröffentlichungen.
  4. Erstellen von Blog-Veröffentlichungen: Die Bande missbraucht beliebte japanische Blogging-Plattformen wie FC2, Livedoor, So-net, Jugem und Cocolog. Daneben nutzen sie aber auch die bewährte Google Blogger-Site mithilfe einer darauf zugeschnittenen Schadsoftware-Komponente, die Blog-Konten generiert, während andere Inhalte oder Veröffentlichungen von dem Proxy C&C-Server abzieht. Diese Posts werden automatisch auf die Zielplattformen hochgeladen. Sie enthalten Bilder, Links und Schlüsselwörter, die dem SEO-Ranking der entsprechenden Sites zuträglich sind. Zusätzlich verbergen sie auch JavaScript-Code, der auf die TDS-Domäne des Botnetzes weist. So kann das TDS die Zahl der Besuche der einzelnen Blog-Veröffentlichungen nachverfolgen und die Besucher auf die gewünschten Sites umlenken. Das Botnetz verdient Geld mit den Umlenkungen und der Anzahl der Clicks der Opfer während des Lesens der Veröffentlichungen.
  5. Links auf Posts mit möglichst vielen teilen: Die Bande erhöht den Verkehr zu den bösartigen Blog-Veröffentlichungen auch, indem sie aktiv Schlüsselwörter dazu im Web verteilt und besagte Posts über soziale Netzwerke bewirbt.

Mit TDS hat KOOBFACE ein exzellentes Mittel gefunden, um Star-Fans, Online-Daters, gelegentliche Porno-Surfer oder Autofans effizient anzusprechen und sie für ihre Zwecke einzuspannen.

Die KOOBFACE-Bande ist immer noch aktiv und wird auch weiterhin ihre Opfer suchen. Deren Zielplattformen sollten deshalb ihre Sicherheitsmaßnahmen verstärken, um durch Bots automatisierte Interaktion zu unterbinden.

Die Nutzer ihrerseits sind gut beraten, Sicherheitslösungen zu implementieren, die vor solchen Gefahren schützen können. Trend Micros Smart Protection Network schützt die Anwender auch vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur mittels des Email Reputation Service die Spam-Nachrichten blockiert, noch bevor sie die Inbox des Nutzers erreichen. Der Web Reputation Service wiederum verhindert den Zugriff auf bösartige Sites und Domänen, die Malware-infizierte Dateien enthalten.

Eine Alternative wäre, einen Webbrowser einzusetzen, der die mögliche Ausführung von JavaScript-Code verhindert. Das Problem dabei ist, dass damit auch „gutartiger“ Code von legitimen Websites blockiert wird.

Weitere Informationen zu den KOOBFACE-Strategien enthält das Whitepaper “More Traffic, More Money: KOOBFACE Draws More Blood”.

 

Kein A für ein O: Tippfehler bei URLs können fatal sein

Originalartikel Rik Ferguson, Director Security Research & Communication EMEA

Hektik und müde Augen bei den letzten Online-Weihnachtseinkäufen können Shoppern zum Verhängnis werden. Kriminelle warten nämlich nur darauf, dass Käufer Tippfehler bei den Adressen machen, und haben bereits Tausende falsch geschriebene Versionen von beliebten Online-Shop-Adressen, wie John Lewis, Debenhams und andere, registrieren lassen.

Quelle: Joe Shlabotnik’s Flickr stream

 

Diese kriminellen Websites sind häufig gut gemachte Kopien der legitimen Sites, die gefälschte Ware anbieten, den Besucher auf Werbe-Links umleiten (für die die Kriminellen bezahlt werden) oder persönliche Informationen abgreifen, falls es zu einem „Einkauf“ kommt. Andere falsch geschriebene Domänennamen führen zu anstößigen Inhalten oder auf Websites, die Schadcode enthalten, der das System des Opfers infiziert und es sogar in ein Botnet eingliedern kann.

Das so genannte Typosquatting gibt es schon lang, und die US-Behörden versuchen bereits seit 1999, mithilfe des Anticybersquatting Consumer Protection Act (Paragraf 3) gegen diese kriminellen Aktivitäten vorzugehen. Auch haben einige Unternehmen, so zum Beispiel Lego, schon viel Geld ausgegeben, um Cybersquatter vor Gericht zu bringen.

Doch bei der derzeitigen Typosquatting-Welle geht es nicht allein um Domänennamen, die Bezeichnungen beliebter Marken einschließen. Diesmal setzen die Kriminellen eher darauf, dass Nutzer nicht auf Details achten. In der Hitze des Gefechts beim Suchen nach den letzten Weihnachtsgeschenken merken nämlich viele nicht, ob sie etwa auf der legitimen Website debenhams.com einkaufen oder sich auf der gefälschten debanhams.com befinden.

Zwar versuchen die Behörden immer wieder, diese gefälschten Online-Shops zu ahnden und zu schließen, doch geht es dabei eher wie beim Blindekuh-Spielen zu. Die bösen Buben haben enorme Reserven an registrierten Domänennamen, und wenn eine Website geschlossen wird, so aktivieren sie einfach eine nächste.

Das Problem liegt unter anderem darin, dass viel zu viele DNS-Domänen, einschließlich .co.uk und die vieler anderer Länder, als „offene“ Domänen gehandhabt werden. Die britische Registrierungsstelle Nominet etwa erklärt: „Wir haben keinerlei Einschränkungen im Status eines Bewerbers für die Registrierung eines Domain Names in den folgenden Second Level Domains („Open SLD“): 1. 4.4.1 .co.uk; oder 2. 4.4.2 .org.uk.“ Und an anderer Stelle: „Wir verbieten keine Bewerbungen und unternehmen nichts gegen Registrierungen, die nicht der SLD Charter entsprechen.“

Nicht anders handhaben die Registrierungsstellen anderer EU-Staaten die Bewerbungen. Nun, solange die Gesetzgebung nicht verschärft und die internationale Zusammenarbeit verbessert wird, können auch die Aktionen von Behörden lediglich Symptome behandeln und nicht die Ursache.

Deshalb kann der Autor den Nutzer nur eindringlich empfehlen, vor jedem Klick genau hinzuschauen und für die eigenen beliebtesten Online-Shops Lesezeichen zu erstellen, statt jedes Mal die URL per Hand neu einzugeben. Fünf weitere Empfehlungen für den Online-Einkauf finden Interessierte in „Sicheres Online-Shopping leicht gemacht“.

Android-Apps: Wie trennt man die Spreu vom Weizen?

Originalbeitrag von Kervin Alintanahin, Threats Analyst

Vor ein paar Tagen hatte der britische Online-Nachrichtendienst The Register darüber berichtet, dass die Google-Sicherheitsfachleute eine Reihe von manipulierten Smartphone-Spielen aus dem Android Market entfernt hatten. Sie enthielten eine Schadsoftware (die Trend Micro als ANDROIDOS_RUFRAUD.A identifiziert hat), welche unbemerkt Textnachrichten an Bezahldienste schickte.

Diese akute Gefahr ist zwar beseitigt, doch sollten die Android-Nutzer auch weiterhin besondere Vorsicht walten lassen, vor allem in Anbetracht des von Google ausgeschriebenen „10-Cent“-Angebots zur Feier der erreichten zehn Milliarden Downloads.

Ein paar Hinweise zur sicheren Installation und Nutzung von Apps können hier von großer Hilfe sein:

Nutzer sollten sich die Autoren beliebter Spiele merken

Cyberkriminelle nutzen die Popularität bestimmter Apps und versuchen diese nachzumachen. Doch da sie nicht als Originalentwickler auftreten können, dient dessen Namen als Hinweis auf die Echtheit einer App. Beispielsweise weist die Android Market-Seite für Angry Birds Rovio Mobile als Autor des Spiels aus, während die gefälschte als Autor Logastroid angibt.


Anwender können auch das Profil des Entwickler prüfen. Zudem bietet Google Entwickler-Ratings und den Status “Editor’s Choice” als weitere Hinweise auf die Legitimität eines Entwicklers an.

Das Gleiche gilt auch für andere Informationen auf der Webseite einer App, etwa der Icon und Name. Fehlt ein Element, so sollte die App lieber nicht heruntergeladen werden.

Beurteilungen und Anzahl der Besprechungen sind ein guter Hinweis

Beurteilungen von Apps und das Feedback der Nutzer liefert eine genauere Einsicht in die Erfahrung anderer mit einer bestimmten App. Diese Informationen finden sich unter dem App Icon.

Neben den qualitativen Aussagen über eine App ist auch die Anzahl der Beurteilungen ein gutes Indiz, denn weit verbreitete Apps erhalten naturgemäß auch mehr Feedback. Ist die Zahl der Beurteilungen auffallend niedrig, so handelt es sich wahrscheinlich um eine Fälschung – dies führte auch jüngst zur Enttarnung der bösartigen Apps im Android Market.



 Recherche auf anderen Websites bringt Gewissheit

 Neben den eigenen Webseiten von Android Market liefern auch andere Besprechungen zu Android-Apps und damit mehr Möglichkeiten der Echtheitsprüfung.

Diese weiter gehende Recherche ist auch deshalb wichtig, weil die Kriminellen alles tun, um Nutzer auch beim Feedback zu täuschen. Sie können selbst irreführende Besprechungen veröffentlichen und Ratings, um den Nutzer bezüglich der Echtheit einer App zu täuschen.
Die rot eingekreiste Besprechung ist eine Fälschung für eine bösartige App, die blau umrandete stammt von einem echten Anwender.

Zusätzlich zu obigen Empfehlungen gibt es weitere Möglichkeiten, um Android-Geräte zu sichern. Weitere Informationen und Empfehlungen liefert der Kommentar „Spielend einfach: In vier Schritten zu mehr Sicherheit bei Android“ und die Re unter „Mobile Threat Information Hub“.

 

DNSCrypt geht am Kern des Problems vorbei

Originalartikel von Ben April, Senior Threat Researcher

OpenDNS hat ein Vorschau-Release auf das neue Tool DNSCrypt veröffentlicht und es als großen Schritt hin zu Vertraulichkeit und Sicherheit im Internet bezeichnet. Dahinter steckt das einfache Konzept, den gesamten DNS-Verkehr zwischen dem Nutzer und dem rekursiven Resolver zu verschlüsseln. So gut die Idee auch sein mag, sie trifft den Kern des Problems nicht.

Dem Dienst zufolge stellt der Code die erste tatsächliche Implementierung des DNSCurve-Schemas dar. Ziel des Ganzen sei es, den Datenschutz und die Authentizität einer gesamten DNS-Transaktion zu gewährleisten. Doch so einfach ist dies nicht, denn eine verschlüsselte Hülle um ein vorhandenes Protokoll zu legen, reicht nicht aus, um mehr Sicherheit zu erreichen. Man muss das gesamte Ökosystem im Blick haben. Die DNS-Abfrage eines Nutzers ist zwar privat und für andere in demselben Netzwerk unsichtbar – doch eben nur dort. Das Problem beginnt ein paar Millisekunden, nachdem der User das Ergebnis erhält: Die Vertraulichkeit durch den verschlüsselten DNS-Verkehr verflüchtigt sich nämlich, sobald der Browser seine Anfrage an den Server stellt. Ein Angreifer, der den DNS-Verkehr des Nutzers sehen kann, wird höchstwahrscheinlich auch Einsicht in weitere Formen des Datenverkehrs haben.

Wer sich mehr um die Authentizität der Daten als um die Vertraulichkeit sorgt, hat bessere Möglichkeiten diese sicherzustellen. DNSSEC (DNS Security Extensions) steht dafür bereit. Ein großer Vorteil dieser IETF-Spezifikation besteht darin, dass DNSSEC für manche Top Level Domains die Ergebnisse bis zur Root authentifizieren kann. Laut den DNSCrypt Frequently Asked Questions bei OpenDNS arbeiten die beiden Techniken perfekt zusammen.

Als interessanter Nebeneffekt leitet DNSCrypt mehr Verkehr an die OpenDNS-Infrastruktur. Zwar haben sie den Client-Code unter Open Source gestellt, doch derzeit besitzen sie die einzige funktionierende Server-Implementierung. Ist die Sorge darüber, dass ein ISP im DNS-Verkehr seiner Nutzer schnüffelt, bei OpenDNS weniger berechtigt?

Falls ein Nutzer den Verdacht hegt, jemand schnüffelt in seinen Datenpaketen und verfolgt somit seine Internet-Aktivitäten, gibt es das quelloffene Programm Tor zur Anonymisierung von Verbindungsdaten oder andere VPN/Proxy-Dienste.

Carrier IQ: Nutzen schlägt Risiko

Originalartikel von Kervin Alintanahin, Threat Analyst

Während der vergangenen Woche überschlugen sich im Internet die Kommentare zu den Risiken und Datenschutzfragen im Zusammenhang mit Carrier IQ. Die Anwendung ist anscheinend auf verschiedenen Mobilgeräten vorinstalliert und überwacht die Performance des Netzwerks und des Handsets.

In den Veröffentlichungen ging es um mehrere Problemstellungen rund um die Art der Informationen, die die Software sammelt, um die Tatsache, dass die Anwendung ohne Zustimmung des Nutzers auf den Geräten vorinstalliert ist sowie darum, was Nutzer dagegen tun können.

Den Berichten zufolge speichert Carrier IQ Daten zu gesendeten und erhaltenen Textnachrichten, durchgeführten Suchläufen und in das Gerät eingegebenen Telefonnummern. Der Forscher Trevor Eckhart hatte mit einem von ihm veröffentlichten Video, das die Arbeit mit diesen Logs zeigt, die Diskussion um die Anwendung angestoßen.

Gehört alles zum Service

Die Funktionsweise von Carrier IQ ist durchaus sinnvoll. Die Anwendung ist auf das Monitoring der Leistung des Netzwerks und des Handsets ausgerichtet. Die Performance des Carriers aber lässt sich nur dadurch messen, dass die angebotenen Dienste, also Anrufe, Internetverbindungen, der Textnachrichtendienst und weitere Leistungen, geprüft werden. Dafür ist es erforderlich, die angebotenen Dienste effizient zu überwachen und auch Troubleshooting durchzuführen.

Rik Ferguson, Director Security Research & Communication EMEA, von Trend Micro erklärt zudem, dass die Inhalte in Eckharts Video zu einem guten Teil in dem verbose Debugging-Modus erzeugt wurden und damit die Art der Implementierung von Carrier IQ auf den verschiedenen Geräten nicht korrekt widerspiegeln.

Dem Hersteller zufolge loggt Carrier IQ keine Tastenbewegungen in SMS, sondern erkennt nur Tastendruck-Sequenzen, die als lokale Befehle für die Anwendung agieren, so zum Beispiel „upload diagnostics now”. Zwar überwacht die Software ankommende SMS, doch auch hier geht es um Nachrichten, die vom Carrier kommen und als Befehle für Carrier IQ dienen.

Laut Aussage des Herstellers rangiert die Software nichtrelevantes Material aus, noch bevor es von der lokalen App verarbeitet oder gar vom Carrier hochgeladen wird. Daher könne die Anwendung kein nennenswertes Risiko für den Datenschutz darstellen.

Die öffentliche Reaktion auf das Eckhart-Video zeigt, dass die Leute sich des Ausmaßes der Abhängigkeit der Funktionalität eines Telefons vom Carrier gar nicht bewusst sind. Anscheinend haben die meisten vergessen, dass jede Textnachricht, jeder Anruf und jeder Internet-Suchlauf mit der Weitergabe der Informationen an verschiedene Stellen verbunden ist.

Die Einwilligung des Nutzers ist unumgänglich

Das tatsächliche Problem um Carrier IQ besteht in der Notwendigkeit einer informierten Einwilligung, denn die Anwendung ist vorinstalliert, wird automatisch und vom Nutzer nicht erkennbar ausgeführt. Die Menschen aber wollen ihren Datenschutz berechtigterweise selbst bestimmen.
Carrier IQ ist kein bösartiges Programm, und seine Routinen werden benötigt, doch die Einwilligung des Nutzers zur Installation des Programms und seiner Funktion ist ebenso erforderlich. Anwender sollten immer darüber informiert werden, wenn ihre persönlichen Daten an Dritte weitergeleitet werden, und sie müssen auch die Möglichkeit haben, dies zu verhindern.

Potenzielle Gefahren

Rik Ferguson sieht als größtes Risiko durch Apps wie Carrier IQ die damit für Kriminelle verfügbare „Monokultur“. Sollten sie eine auszubeutende Sicherheitslücke in Carrier IQ finden, so stellt die riesige installierte Basis natürlich ein sehr attraktives Ziel dar. Für Ferguson ist dies das am schwersten wiegende Argument gegen die Implementierung desselben Codes durch mehrere Carriers – ohne dass der Anwender die Möglichkeit bekommt, sich dagegen zu wehren. Hinzu kommen die übertrieben langen Zeitspannen, die Carrier für das Rollout von Updates eingeführt haben, aber auch die verschiedenen Android-Varianten, die das Risiko erhöhen.
Für Nutzer, die wissen wollen, ob Carrier IQ auf ihren Geräten installiert ist, hält Trend Micro hier ein Tool zum Herunterladen bereit.