Finde die Sicherheitslücke – #secuthursday KW 19/2015

Header-Logo Sicherheit am Donnerstag

Gegen Sicherheitslücken helfen Updates, Analysesoftware und Antivirusprogramme. Doch was, wenn der Schädling sich gegen eine Analyse wehrt und dabei noch Schaden anrichtet? Das Versteckspiel betrifft beide Seiten und hat vor allem wirtschaftliche Hintergründe.

Rombertik – Nebelwerfer von beiden Seiten.

Dass Malware versucht, Gegenmaßnahmen zu täuschen oder ganz auszuschalten ist ebenso wenig neu, wie das Löschen oder Verschlüsseln von Daten. Doch die Reverse Engineering Analyse des Rombertik getauften Schädlings der Forscher Ben Baker und Alex Chui zeigt, dass im Wettlauf zwischen Black Hats und White Hats neue Dimensionen erreicht hat.

Die Entwickler von Rombertik bauten eine Vielzahl an unnützen Funktionen, Sprünge und Daten ein, die sowohl die automatische wie auch die manuelle Analyse erschweren sollen. Besonders beeindruckend sind die Graphen, die die beiden Forscher der Talos Group für Ihren Blogeintrag anfertigten und die schiere Masse der Täuschungsmanöver visualisieren:

Bild: Talos Group

Bild: Talos Group

960 Millionen Schreibvorgänge erschweren den Einsatz von Analyse-Logs und 335.000 API-Aufrufe dienen als Schutzmechanismus gegen Debuggingsoftware.

Sollte bei den zahlreichen Checks eine Sandbox-, Viren- oder Analysesoftware erkannt werden, startet Rombertik den Versuch, den Master Boot Record des Rechners komplett zu überschreiben und ihn nach einem Neustart in eine Bootschleife zu versetzen. Eine Wiederherstellung ist möglich, aber nicht unkompliziert. Sollte er dazu nicht die benötigten Rechte besitzen, verschlüsselt er den Inhalt des Home-Ordners mit einem zufällig generierten RC4-Schlüssel. Für den Fall, dass die Checks keinen Alarm schlagen, verhält sich das eigentliche Programm wie übliche Malware, indem sie sich in die Browser des Wirtssystems einklinkt, Daten abgreift und unverschlüsselt an einen Server versendet.

Schädlinge werden schon lang nicht mehr nur aus Ambition, Langeweile oder staatlichem Auftrag heraus entwickelt. Daten sind wertvolle Ware und deren Diebstahl oder Schutz hat sich zu einem gigantischen Wirtschaftszweig entwickelt. Baukastenlösungen und digitale Marktplätze für Daten machen es auch weniger Versierten möglich, kriminelle Aktivitäten zu starten. Wie in der restlichen Marktwirtschaft ist es notwendig, der Konkurrenz immer einen Schritt voraus zu sein, um sich behaupten zu können. Ein Schädling, der entdeckt und unfähig gemacht werden kann, bringt wenig bis keine Einnahmen mehr. Auch wenn eine Analyse nie unmöglich gemacht werden kann, so soll im Falle von Rombertik die Zeitspanne bis zur Veröffentlichung vergrößert werden, um die potentiellen Einnahmen durch unentdeckte Arbeit zu vergrößern. Die Programmierer reagieren damit auch die stärkere Verbreitung von Anti-Malware-Software, die mit ihrer Heuristik auch unbekannte Bedrohungen unschädlich machen sollen.

Ironischerweise wird der Schädling inzwischen von den meisten Antivirus-Routinen erkannt und erfolgreich bekämpft, solange die Urheber keine Änderungen vornehmen. Dennoch dürften die Programmierer mehr Zeit gehabt haben, die nächste Version zu entwickeln. Das Rennen geht weiter.

 

Anti-Phishing-Erweiterung für Chrome mehrfach unterwandert

Google versuchte ein sinnvolles Tool für den Alltag mit Chrome bereitzustellen, welches Phishingversuche unterbinden sollte. Sollte dabei während der Passworteingabe für Google-Dienste eine Anomalie festgestellt werden, wird dem Nutzer zu einem unverzüglichen Passwortwechsel geraten.

Bereits einen Tag nach Veröffentlichung konnte der Sicherheitsforscher Paul Moore das Plugin mit ganzen sieben Codezeilen überlisten.

Google fixte die Sicherheitslücke, doch Moore legte einen neuen Exploit nach, der bis jetzt nicht behoben wurde. Nutzer laden sich daher eine unsichere Version herunter, die sie in falscher Sicherheit wiegen könnte.

 

Schnelles zum Schluß:

 CVE-2014-0230: Apache Tomcat DoS | via seclists.org

Arbitrary Variable Overwrite in eShop WordPress Plugin | via Hight-Tech Bridge

 

———————————————————–

Haben Sie Neuigkeiten für uns? Twittern Sie unter dem Hashtag #secuthursday.

Haben Sie ein Problem festgestellt? Wissen Sie nicht, wie es um die Sicherheit ihrer Server steht? Nehmen Sie mit uns Kontakt auf, wir helfen Ihnen gerne bei der Beseitigung und der Administration Ihrer Server.

secu-ring

About secu-ring

Secu-ring ist Ihr Webdienstleister aus Berlin. Wir bieten Ihnen eine umfangreiche Servicepalette, um Ihre Idee erfolgreich im Internet umzusetzen: Konzeption und Planung, Webentwicklung, Serverbetreuung sowie Softwarewartung. Wir programmieren stabile und skalierbare Lösungen für Ihre Anforderungen und sorgen für einen problemlosen Betrieb. Konzentrieren Sie sich auf Ihr Geschäft, wir kümmern uns um den Rest.