211service.com
Forscher kapern ein Drive-By-Botnet
Durch das Eindringen in ein kriminelles Computernetzwerk mit dem Ziel, Besucher legitimer Websites zu infizieren, haben Universitätsforscher aus erster Hand Einblick in Ausmaß und Umfang des sogenannten Drive-by-Downloads erhalten. Sie fanden mehr als 6.500 Websites, die bösartigen Code hosten, der fast 340.000 Besucher auf bösartige Websites umleitete.
Beim Drive-by-Download wird eine legitime Website gehackt, um heimlich bösartige Software auf den Computern der Besucher zu installieren oder sie auf eine andere Website umzuleiten.
In einem unveröffentlichten Artikel beschreiben Forscher der University of California in Santa Barbara eine viermonatige Studie, in der sie ihre Server mit einer Sammlung kompromittierter Computer, dem sogenannten Mebroot-Botnet, verbanden. Unter ihren Ergebnissen stellten die Forscher fest, dass, während die zwielichtigeren Websites im Internet – diejenigen, die Pornos und illegale Downloads hosten – am effektivsten bei der Weiterleitung von Benutzern auf eine bösartige Download-Site waren, Geschäftswebsites jedoch häufiger unter den kompromittierten Referrern waren.
Es war einmal, Sie dachten, wenn Sie keine Pornos durchsuchen, wären Sie in Sicherheit, sagt Giovanni Vigna , ein UCSB-Professor für Informatik und einer der Autoren des Artikels. Aber sich von den zwielichtigen Orten im Internet fernzuhalten, ist keine Garantie mehr für die Sicherheit.
Das Mebroot-Netzwerk wurde erstmals Ende 2007 von Forschern entdeckt und verwendet kompromittierte Websites, um Besucher auf zentralisierte Download-Server umzuleiten, die versuchen, den Computer des Opfers zu infizieren. Die bösartige Software, die nach ihrer Taktik benannt wurde, den Master Boot Record (MBR) eines Windows-Computers zu infizieren, weist Anzeichen einer professionellen Programmierung auf, einschließlich eines schnellen Debugging-Zyklus, sagen Forscher.
Es ist definitiv eines der fortschrittlichsten und professionellsten Botnets auf dem Markt, sagt Kimmo Kasslin, Director of Security Response des Antivirus-Unternehmens F-Secure mit Sitz in Helsinki, Finnland.
Mit unterschiedlichen Methoden infizieren die Kriminellen hinter Mebroot legitime Webserver mit Javascript-Code. Der Code leitet Besucher auf eine andere Internetdomäne um, die sich täglich ändert und in der ein bösartiger Server versucht, ihren Computer mit einem Programm zu kompromittieren, das den Besitzern des Botnets die Fernsteuerung dieser Maschine ermöglicht.
Die Technik der benutzerdefinierten Domänengenerierung ist eine relativ ausgeklügelte Methode, um Versuche, das Netzwerk dauerhaft abzuschalten, zu vereiteln, sagen die Forscher. Ältere Drive-by-Download-Schemata haben die Opfer an eine hartcodierte Webadresse umgeleitet. Anstelle einer statischen Adresse generiert das von Mebroot verwendete Javascript jeden Tag eine neue Adresse, ähnlich dem Domänenalgorithmus, der von einem anderen Computerschädling namens Conficker verwendet wird. Da der Algorithmus jedoch auf bekannte Eingaben angewiesen ist – nämlich das Datum – können Domänen vorberechnet werden, was den Verteidigern hilft. Die Conficker Working Group beispielsweise versuchte, zukünftige Domains mindestens einen Monat im Voraus zu reservieren.
Während der vier Monate, in denen die Forscher Mebroot untersuchten, verwendete das Infektionsnetzwerk drei verschiedene Algorithmen zur Domänengenerierung, von denen zwei nur das Tagesdatum als Eingabe verwendeten. Die letzte Variante fügt jedoch eine Variable hinzu, die nicht ohne weiteres im Voraus zu erraten ist: Die zweiten Zeichen des beliebtesten Suchbegriffs des Tages auf Twitter.
Sie (die Schöpfer von Mebroot) verwendeten eine Variable, die weder die Bösen noch die Guten kontrollierte, sagt Marco Cova, ein UCSB-Student und Mitautor des Papiers.
Nachdem sie den Algorithmus zur Domain-Generierung zurückentwickelt hatten, kaperten die Forscher Mebroot vorübergehend, indem sie die Schritte der kompromittierten Websites zur Berechnung der Domain des aktuellen Tages widerspiegelten und diese Domains selbst registrierten. Die Forscher stellten jedoch fest, dass die Mebroot-Gang auf die Registrierung einer Domain für ihre Sinkhole-Server reagiert, indem sie zukünftige Domains schneller registriert.
Die Forscher konnten auch das typische Opfer des Netzwerks profilieren. Fast 64 Prozent der Besucher, die auf die Server der Forscher umgeleitet wurden, liefen mit Windows XP, während 23 Prozent mit Windows Vista arbeiteten. Die nächsten beiden beliebtesten Betriebssysteme waren Mac OS X 10.4 Tiger und Mac OS X 10.5 Leopard, die 6,4 Prozent aller Besucher ausmachten.
Die Forscher haben die Systeme der Besucher nie kompromittiert. Aber sie konnten Beweise dafür finden, dass sie infiziert waren, indem sie zwei Arten von Informationen analysierten, die über das Netzwerk gesendet wurden. Einer vermutete, dass 6,5 Prozent der Besucher mit Malware infiziert waren. Der andere gab an, dass 13.3. Prozent der Systeme wurden durch bösartige oder unerwünschte Dateien modifiziert. Darüber hinaus liefen mehr als die Hälfte – etwa 54 Prozent – irgendeine Art von Antiviren-Software. Ungefähr 12 Prozent der Benutzer der Sicherheitssoftware waren ebenfalls mit Malware infiziert, fanden die Forscher heraus.
Die Forscher fanden auch heraus, dass fast 70 Prozent der von Mebroot umgeleiteten – nach Internetadresse klassifiziert – anfällig für eine von fast 40 Schwachstellen waren, die regelmäßig von den beliebtesten Infektions-Toolkits verwendet werden, die entwickelt wurden, um Computersysteme zu kompromittieren. Etwa die Hälfte dieser Zahl war anfällig für die sechs spezifischen Schwachstellen, die vom Mebroot-Toolkit verwendet werden.
Die Studie legt nahe, dass Benutzer häufiger aktualisieren müssen, sagt Vigna von UCSB.
Patches sind sehr gut darin, die Gefährdung der Endbenutzer zu reduzieren, aber Benutzer sind nicht sehr gut darin, ihr System zu aktualisieren, sagt er.