Web Exploit Toolkits - Moderne Infektionsroutinen - Dominik Birk - Christoph Wegener 16. DFN Workshop Sicherheit in vernetzten Systemen Hannover, 18. März 2009 1
Die Vortragenden Dominik Birk Mitarbeiter am (HGI) Best Student Paper -Award des BSI 2007 E-Mail: dominik@code-foundation.de Web: www.code-foundation.de Dr. Christoph Wegener Mitarbeiter am (HGI) Gründer der wecon.it-consulting, Auditor und Sachverständiger, CISA, CISM, CBP, Fachautor/-lektor/-gutachter, Lehrtätigkeiten E-Mail: wegener@wecon.net Web: www.wecon.net 2
Was ist Malware? Malware is a set of instructions that run on your computer and make your system do something that an attacker wants it to do. Viren, Würmer, Trojanische Pferde, Rootkits, Backdoors... Entwicklung zur Crimeware 3
Russian Business Network (RBN) - die Quelle vielen Übels Aktivitäten Phishing Malware Scam DDoS Porn Basisvoraussetzungen Hosting Bandbreite Komponenten Bösartige Seiten Botnetze C & C Server Erweiterte Voraussetzungen Anonymisierung Interaktion der Kriminellen Ignorieren von Gesetzen Quelle: David Bizeul 4
Crimeware - das Geschäftsmodell Crimeware Administration Finanzdaten Persönliche Daten Crimeware Infektionsroutinen Crimeware Distribution Gecrackte Webseiten Spam IFRAME SEO-Infektion Bezahlservices Browser Exploits Unbedarfte Nutzer 5
Web Exploit Toolkits (WETs) MPack, IcePack, NeoSploit, FirePack, UniquePack Modular aufgebaute, serverseitige Scripte (PHP, Perl) Liefern browserspezifische Exploits (IE, FF, Opera) Preise variieren ja nach WET (500$ - 3000$) Besitzen meist eigenen SDLC Modernstes, effizientestes und einfachstes Mittel zur Infektion von Clients 6
Web Exploit Toolkits - Infektionsroutine Angreifer 2. SEO IFrame- Attacke IFrame-infizierter Webserver WET-Host 1. RFI 3. IFrame- Referenz 4. Client- Infektion 7
Web Exploit Toolkits - Host-Infektion WET-Host Dorking PHP Shell (r57,c99...) WET Software 8
Web Exploit Toolkits - SEO IFrame-Attacke usatoday.com unicef.org news.com zdnetasia.com XSS + SEO Poisoning = Quelle: Dancho Danchev 9
Web Exploit Toolkits - Client-Infektion IFrame-infizierter Webserver GET index.html Opfer GET IFrame Exploit () WET-Host HTML mit IFRAME auf WET Host GET Loader execute (Loader.exe) Loader.exe GET Malware execute (Malware.exe) Malware.exe 10
Zusammenspiel von Loader.exe und Malware.exe pack ( ) [UPX,..] + URL mit Malware = Loader.exe Loader.exe + exploit () = execute (GET Malware.exe) 11
Verschleierter Javascript-Payload function decrypt (hex, XOR key) unescape ( ) hex: \x10\x3d\x3a\x3d\x10 XOR key n-fache Wiederholung 12
Fortgeschrittene Verschleierung? Quelle: Finjan 13
Web Exploit Toolkits - Client - Infektion - Video Video 14
Logfile eines WET-Hosts Loader Referrer Malware 15
Remote PHP Code Injection in FirePack Angreifer kann beliebigen PHP Code auf Server ausführen Feindliche Übernahme des WETs möglich Schlampige FirePack- Programmierung? 16
Unique Pack - neuster Stand der Technik Exploitet Opera9, Firefox, Internet Explorer 4, 5, 6 und 7 Besitzt Modul für Binaries-Download via Social Engineering (ähnlich FakeAV Webseiten) Separates Module für Adobe Reader util.printf() Schwachstelle (CVE-2008-2992) 17
Maßnahmen gegen WETs Patchen! Patchen! Patchen! 0-day Exploits? Gefälschter User-Agent Blocken von Javascript (FF-Extension: NoScript ) Serverseitige Schutzmechanismen (kodierter Quellcode?) Blocken von IP-Ranges (RBN)? 18
Was bringt die Zukunft? Effizientere, komplexere WETs Noch mehr Automatisierung Schutz noch schwieriger Patching, Virenscanner helfen nicht umbedingt Crimeware nutzt legitime Web 2.0 Services zur Kommunikation 19
Vielen Dank!? Fragen? Anregungen? dominik@code-foundation.de wegener@wecon.net 20