Ivan Buetler - Malware via Web category

Was ist Scareware? Was ist Rogueware?

Sun, 27 Sep 2009 19:11:00 GMT

Wenn jemand eine gefälschte Security Software unter die Leute bringt welche anstatt der erhofften Funktionalität ein Backdoor, Trojaner oder Virus enthält, wird dies im Fachjargon als "Fake Security Software", Scareware oder Rogueware bezeichnet. Eine relativ gute Zusammenfassung des Themas, das sich als Evergreen der Hacker entpuppt ist auf dem ZDNET Blog erschienen.

http://blogs.zdnet.com/security/?p=4297
Have a safe day
E1

Microsoft IIS Unicode Sicherheitslücke in WebDAV

Tue, 19 May 2009 07:07:00 GMT

Vor ein paar Jahren wurde bereits eine Unicode Sicherheitslücke beim IIS bekannt, mit welcher man auf das System zugreifen konnte. Viele Hacker Script Kiddies Tools haben danach gesucht und ausgenützt. Heute ist grundsätzlich das gleiche Problem im IIS Web DAV Handler publiziert worden. Ein Zusatz zum IIS der das gleiche Sicherheitsproblem hat wodurch man via Web DAV auf passwort geschützte Inhalte ohne Angabe von Passwörtern zugreifen kann (Bypass Authentication).

Info bei Microsoft

Info bei Security Focus (Exploit)

Gruss Ivan

Evilgrade - Trojaner beim Updaten von Software

Tue, 05 May 2009 05:31:00 GMT

An der letzten BlackHat 2008 in Las Vegas hat ein Vertreter vom deutschen BKA erläutert, dass man bei Verdacht auf Internet Kriminalität und unter Berücksichtigung der amtlichen Verfahren (Richterlicher Beschluss) die Tatverdächtigen mit einem Bundestrojener ausspioniert. Das ist die elektronische Wanze, welche über Schuld oder Unschuld entscheiden soll. Bei der Auslieferung des Trojaners wurde erklärt, dass dies über Update Services von Windows geschehe. Das BKA modifiziert das Update des Verdächtigen und installiert auf diese Weise die Überwachungssoftware.

Am Swiss Cyber Storm II haben wir ein ähnliches Wargame vorgesehen. Die von uns vorgestellte Lösung arbeitete mit ettercap und etterfilter. Damit lassen sich ebenfalls Trojaner einspielen, aber auf einer recht umständlichen Art und Weise. Ein Wargame Teilnehmer hat uns auf "evilgrade" aufmerksam gemacht (Evil Upgrade), das sich speziell auf die Installation von Malware via Update Services fokussiert. Das Tool hat diverse fix-fertige Plugins, z.B. für Java Updates und kann von jedermann(frau) einfach bedient werden. Natürlich setzt evilgrade wie auch alle anderen Verfahren voraus, dass sich der Angreifer als Man-in-the-Middle in den Verkehr einbinden kann.

Die Hersteller von evilgrade haben einen Demo Video für den Einsatz von evilgrade erstellt. Im Film wird zuerst eine Kaminsky DNS Attacke durchgeführt (um die Voraussetzungen für die MitM Attacke zu schaffen) und anschliessend via evilgrade ein Angriff über JavaUpdates gemacht.

Gruss Ivan

Wie wird die Zukunft? BSI Prognose

Fri, 03 Apr 2009 14:05:00 GMT

An der CeBIT haben wir vom BSI ein super Dokument zur Lage der Nation und Prognose in die Zukunft erhalten. Ich habe das Dokument zurück in die Firma genommen und vor allem die drei hinteresten Seiten mit den Trends dem Compass Team vorgestellt. Wollen Sie auch wissen was das BSI über die Gefahr im Internet denkt und welche Angriffe im 2009/2010 vermehrt, gleichbleibend oder vermindert auftreten? Dann empfehle ich Ihnen mindestens die Seiten 69-72 der BSI Studie zu lesen. Gute Qualität!

Gruss
E1

Link: BSI Studie http://www.bsi.de/literat/lagebericht/Lagebericht2009.pdf

Was ist Fast Flux und Fast Double Flux

Thu, 22 Jan 2009 20:45:00 GMT

Wenn man sich mit Malware und Botnets beschäftigt, dann stösst man über kurz oder lang auf die Keywords "Fast Flux" und "Fast Double Flux". Was ist damit gemeint? Ein paar Worte zur Erklärung...

Grundsätzlich arbeiten moderne Botnets mit Zombie Hosts. Das sind virenverseuchte Computer von tausenden Leuten, die wahrscheinlich gar nicht wissen dass der eigene Computer verseucht ist. Während einer Cyber Attacke auf MySpace, Facebook oder Storm Botnet Attacke verbindet sich ein Opfer auf den Zombie Host, der den Verkehr zum "Mothership" weiterleitet. Aus Sicht des Forensiker stehen die IP Adressen des Zombie Host im Log. Diese sind somit exponiert und der erste Anhaltspunkt in der Analyse. Das wissen natürlich auch die Cyber Criminals! Deshalb verbindet sich ein Opfer während des Angriffs ständig auf andere Zombie Hosts. Dies erreicht man über ständig wechselnde A-Records zum selben Hostname. Technisch gesehen werden vom DNS Nameserver für einen Hostname eine grosse Anzahl von verschiedenen IP Adressen mit einer sehr kleinen TTL (time to live) zurückgegeben. Nach rund 30 Sekunden gibt die gleiche Abfrage auf den DNS eine ganz andere Liste von IP Adressen (A-Records) zurück. Somit hat der Hostname eine ständig ändernde IP Adresse.

Damit sind die Zombie Hosts die "Bauern" im Schachspiel und haben eine geringe Wertigkeit, welche die Cyber Criminals gerne aufgeben wenn es dafür Geld, Passworte, Kreditkarten oder ähnliches zu gewinnen gibt.

Der DNS Server bleibt bei Fast Flux ständig konstant. Wenn auch noch der Authorative Nameserver ständig wechselt, und das geschieht über das gleiche Prinzip, spricht man von Fast Double Flux. Um dies zu realisieren muss die verantwortliche Registration Authority der Domain das schnelle Authorative Nameserver Re-Configuration unterstützen, was immer weniger möglich ist.

Auf der Seite http://dnsbl.abuse.ch/fastfluxtracker.php ist ein Online Tracker von FastFlux wo man aktuelle Zombie Hosts und deren Domains erkennen kann. Dies ist ein wichtiges Instrument bei der Analyse von Malware!

Warum das alles? Morgen treffe ich mich mit den Verantwortlichen von abuse.ch für einen Gedankenaustausch. Ich freue mich!

Malware Analyse mit HBGary Flypaper

Mon, 19 Jan 2009 21:38:00 GMT

Eine Malware hat üblicherweise 2-3 Phasen

a) Ein Dropper Programm entpackt die Malware und startet diese
b) Das Dropper Programm löscht sich selbst
c) Die Malware aus a) wird ausgeführt oder wird in einen anderen Prozess "injected"

All das läuft in Milisekunden ab, sprich schwer zu untersuchen. Es gibt nun ein neues Tool für die Analyse von Malware, das den Löschversuch das Memory, des Prozesses oder sonstige Löschversuche unterbindet. Damit stehen dem SecAnalyst alle Binaries zur Verfügung welche der Trojaner verwendet, inklusive Dropper Programm.

Flypaper arbeitet als Device Treiber und sollte nur in Kombination einer Malware Analyse VMWare installiert werden (wo man Revert to Snapshot) installiert hat. Das Tool arbeitet mit OllyDbg oder HBGary's Responder Product zusammen.

http://www.hbgary.com/download_flypaper.html

Acrobat Reader V8.0 Exploit

Wed, 03 Dec 2008 14:34:00 GMT

Gibt es einen Grund für den Update des Adobe Reader auf die Version 9.0 (Stand 5. November 2008)? Ja den gibt es. Es ist gemäss WebSense ein Adobe 8.0 Exploit im Umlauf.

Link zu WebSense
http://securitylabs.websense.com/content/Alerts/3232.aspx

Update Info von Adobe
http://www.adobe.com/support/security/bulletins/apsb08-19.html

Ivan

Etterfilter Man in the Middle

Wed, 03 Dec 2008 14:12:00 GMT

Viele kennen das Tool "ettercap". Ein Klassiker wenn es um Man in the Middle geht. Doch erst diese Woche bin ich auf "etterfilter" aufmerksam geworden. Etterfilter erlaubt es in ettercap sogenannte Filter zu setzen, die den Inhalt des Traffic verändern. Im Beispiel geht es darum, dass wenn ein User im Browser via http ein EXE herunterlädt, dass immer die Trojaner Software heruntergeladen wird (anstatt das vom User gewünschte EXE).

1) Etterfilter mit einem Editor definieren -> vi, notepad > myfirst.filter
2) Etterfilter "kompillieren" -> etterfilter myfirst.filter -o myfirst.ef
3) Etterfilter anwenden -> ettercap -T -q -F myfirst.ef -M ARP // // -P autoadd

http://forums.remote-exploit.org/showthread.php?t=12885
http://r00tsecurity.org/forums/index.php?showtopic=7236

Meiner Meinung nach ein neues Wargame im Hacking-Lab?

Grüsse Ivan

Deutsche Telekom mit Vulnerable E-Banking Client Software

Thu, 20 Nov 2008 22:21:00 GMT

Die Deutsche Telekom liefert neu einen eigenen E-Banking Client für Windows aus um der drohenden Gefahr von Man in the Browser und ähnlichen Hacker Tricks entgegenzuwirken. Stefan Kanthak hat sich die Client Software etwas genauer angeschaut und diverse Schwachstellen in Full Disclosure publiziert

Alte OpenSSL Version
Alte LibCurl Bibliothek
Alte ZLib Bilbiothek
Abgelaufenes Zertifikate

So hat sich die deutsche Telekom das sicher nicht vorgestellt.

Link: http://packetstormsecurity.org/0811-advisories/tonline-multi.txt

Ivan

Malware Analyse in PCAP Files (TCPDUMP)

Fri, 24 Oct 2008 05:49:00 GMT

Es gibt sehr gute Online Malware Analyse Tools. Wenn man diese austestet, dann hat man hauptsächlich EXE oder EXE-ähnliche Dateien (Samples) via Browser hochgeladen und den Report abgewartet. Wenn man jedoch "nur" ein Tcpdump (Sniffing File) im PCAP Format hat, dann musste man manuell das EXE extrahieren und zusammenbasteln. Gemäss CWSandbox kann nun aber dieser Malware Analyse Dienst auch PCAP Files verarbeiten. Siehe das Blog von TAO.

http://taosecurity.blogspot.com/2008/10/cwsandbox-offers-pcaps.html

Ivan