Webseiten werden optisch verändert, Server zu Knotenpunkten in Botnetzen umgewandelt und Shell-Accounts oder Backdoor-Trojaner auf dem Schwarzmarkt verkauft – all das spielt sich tagtäglich im Internet ab. In diesem Artikel untersuchen wir die Methoden und Vorgehensweisen der Angreifer sowie unsere Möglichkeiten, zu verhindern, dass wir zu ihrer Zielscheibe werden.
Gemeinsam mit meinem Kollegen Tim Armstrong (Kaspersky Lab USA) habe ich kürzlich einen schnellen Blick auf ein Tool geworfen, mit dem die Defacer ihre Massendefacements an ein großes Defacement-Archiv melden. Auf der Webseite mit dem Defacement-Tool wurde außerdem auch ein PHP-Backdoor-Trojaner angeboten. Aus Neugierde gab ich ein paar Suchanfragen in Google ein. Ich wollte sehen, wie verbreitet der PHP-Backdoor ist und ob ich noch auf weitere PHP-Backdoors beziehungsweise Hunderte von infizierten Servern stoßen würde, auf denen verschiedenen PHP-Backdoors laufen.
Anschließend begann ich zu untersuchen, wie diese Backdoors auf den Servern platziert werden und welche Methoden und Techniken die Angreifer verwenden.
Generell ist das ganze Verfahren ziemlich simpel, aber bevor ich ins Detail gehe, möchte ich die in diesem Artikel in Bezug auf die Angreifer verwendete Terminologie präzisieren. Die Begriffe „Defacer“, „Cracker“ und „Hacker“ sind zwar in Fachkreisen allgemein gebräuchlich, die Medien neigen allerdings dazu, solche Angreifer pauschal als „Hacker“ zu bezeichnen. Trotzdem ziehe ich den Begriff „Defacer“ zur Beschreibung der Leute hinter diesen Tools und Defacement-Spielereien vor.
Einen Defacer kümmert es nicht wirklich, welche Webseite er angreift. Sein Hauptanliegen besteht einfach nur darin, eine Sicherheitslücke auf einem Server auszunutzen. Dann tauscht er entweder den Inhalt der Webseite aus oder lädt eine Datei hoch, anhand der zu erkennen ist, dass er diese Seite besucht hat. Man weiß nicht genau, warum Defacer dies tun, da sich aus einem solchen Angriff kein finanzieller Gewinn ziehen lässt. Ein Blick auf die Exploit-Archive zeigt allerdings, dass verschiedene Defacing-Gruppen miteinander konkurrieren. Zwar werden diese Leute in den Medien, wie bereits erwähnt, tendenziell als Hacker bezeichnet. Aber ich würde sagen, dass „richtige“ Hacker bei ihren Angriffen auf Webseiten nicht willkürlich vorgehen, sondern ihre Kenntnisse eher dazu nutzen, zielgerichtete Angriffe auszuführen. Hacker versuchen absichtlich zu verhindern, dass die Webseiten-Besitzer ihre Attacken bemerken und unternehmen alles ihnen Mögliche, um sämtliche Beweise für einen Angriff zu beseitigen.
Die von Defacern durchgeführten Attacken werden üblicherweise „Defacements“ genannt. Große Webseiten fungieren als Defacement-Archive und diverse Gruppen treten gegeneinander an, um zu festzustellen, welche Gruppe die meisten Websites verändert. Diese Archive sind öffentlich zugänglich, so dass jede Gruppe nachschauen kann, wie viele Punkte sie (beziehungsweise die anderen Gruppen) erzielt hat.
Wie ich bereits angesprochen habe, sind Defacer bei der Auswahl ihrer Angriffsziele nicht eben wählerisch: In den meisten Fällen verwenden sie lediglich automatisierte Tools zum Aufspüren ungeschützter Server und infizieren diese dann automatisch. Das Schadprogramm lädt automatisch einen Backdoor-Trojaner auf den kompromittierten Server, der beispielsweise einen Shell-Zugriff auf diesen Server herstellt. Über den Backdoor kann der Defacer weitere Angriffe ausführen wie zum Beispiel den Versuch, Rechte mittels lokaler Kernel-Exploits zu erweitern oder den kompromittierten Server einem Defacement-Archiv anzuzeigen. Diese außerdem auf dem Schwarzmarkt verkauften Backdoor-Trojaner ermöglichen es den Käufern beispielsweise, einen kompromittierten Server in einen Knotenpunkt in einem DDoS-Netzwerk umzuwandeln oder ihn als Relay-Host für Spam-Nachrichten zu benutzen. Ein ausgeführter Angriff wird automatisch in einem Archiv vermerkt. Untenstehender Screenshot zeigt einen Backdoor-Trojaner, der eine Meldung an ein großes Defacement-Archiv übermittelt:
Nachstehend sind weitere Screenshots einer Website zu sehen, auf der statistische Daten über Defacement-Gruppen aufgeführt sind.
Für so genannte High-Profile-Webseiten, bei denen optische Veränderungen vorgenommen wurden, ist eine eigene Kategorie vorgesehen. High-Profile-Webseiten sind zum Beispiel die Homepages großer Unternehmen, Organisationen oder Regierungen. Einige TLD (Top Level Domains) gelten automatisch als „High-Profile“. Nachstehend ein Screenshot von Angriffen, die gegen High-Profile-Websites gerichtet waren:
Auf der Webseite lassen sich sogar Tages-, Monats- und Jahresstatistiken abrufen:
Methoden
Defacer arbeiten tendenziell immer mit sehr ähnlichen Methoden, sogar über verschiedene Gruppen hinweg: Sie benutzen Scanner, um ungeschützte Server aufzuspüren und zu infizieren und laden dann Backdoor-Trojaner hoch, die dem Angreifer den infizierten Server melden und gelegentlich auch als zusätzliche Scanner eingesetzt werden.
In den meisten Fällen handelt es sich bei den verwendeten Exploits eher um allgemein verfügbare Programme als um Zero-Day-Exploits. Der nachstehende Screenshot liefert einen Überblick über an einem bestimmten Tag öffentlich bekannt gewordene Sicherheitslücken.
Häufig verwenden die Angreifer „Google Dorks“ zur Identifizierung ungeschützter Server: Ein „Google Dork“ ist eine speziell gestaltete Suchanfrage, mit der sich alle Webseiten anzeigen lassen, auf denen eine bestimmte Version einer bestimmten Applikation läuft. In einigen Fällen lädt der Backdoor Datenbanken mit Google Dorks auf den Computer und wird zu einem Scan-Knoten zum Suchen und Auffinden weiterer ungeschützter Server.
Der folgende Screenshot zeigt einen „Google Dork“ für VopCrew IJO Scanner v1.2.
Tools
Die von den Defacern zum Aufspüren weiterer ungeschützter Server eingesetzten Tools suchen hauptsächlich nach zwei Arten von Sicherheitslücken: Remote- oder Local-File-Inclusion-Schwachstellen. In der nachfolgenden – nicht vollständigen – Liste sind derartige kostenlose Tools angeführt, die ausnahmslos öffentlich erhältlich sind:
LFI Intruder
VopCrew IJO Scanner v1.2
Single LFI Vulnerability Scanner
SCT SQL SCANNER
Priv8 RFI SCANNER v3.0
PITBULL RFI-LFI SCANNER
Osirys SQL RFI LFI SCANNER
FeeLCoMz RFI Scanner Bot v5.0 By FaTaLisTiCz_Fx
Wie bereits erwähnt, laden die Defacer nach dem Aufspüren und Infizieren eines Servers einen Backdoor-Trojaner auf diesen Server. Die Backdoors sind mit einer ganzen Reihe von Funktionen ausgestattet, aber der Großteil von ihnen enthält Methoden zur Umgehung der PHP-Sicherheitsfunktionen, zum Stehlen von Daten, Lesen und Ändern von Dateien, Zugreifen auf SQL-Datenbanken, Knacken von Kennwörtern, Ausführen willkürlicher Befehle und Erweitern von Rechten. Bei meiner Recherche habe ich mehr als hundert verschiedene PHP-Backdoors und Shells gefunden, von denen die meisten jedoch scheinbar dieselbe Basis nutzen. Die meisten der identifizierten Backdoors basieren auf:
r57
c99
Locus7Shell
Backdoors benutzen zum Testen und Erweitern von Rechten vornehmlich so genannte „Autorooter“ oder extrahieren Kennwörter aus Konfigurationsdateien, die sich auf dem kompromittierten Server befinden. Diese „Autorooter“ sind nichts anderes als einfache Shell-Skripte, die ein Exploit-Pack herunterladen, in dem vorkompilierte, sofort ausführbare Exploits enthalten sind. Das Shell-Skript analysiert dann das Zielsystem, um festzustellen, welche der vorhandenen Schadcodes ausgeführt werden sollen und führt diese dann ganz einfach aus. Hat das Exploit die Rechte erfolgreich erweitert, wird ein weiterer Backdoor oder ein weiteres Rootkit installiert. Angeboten werden diese „Autorooter“ auf diversen Websites (nachstehend ein Beispiel):
Lösungsansätze
Eines der Hauptprobleme im Kampf gegen die optische Veränderung von Websites besteht darin, dass die Defacer nicht nur technische Schwachstellen ausnutzen, sondern ebenso die Ignoranz der Nutzer. Die meisten Menschen, die heutzutage mit Webservern arbeiten, wissen nicht um die Bedeutung eines Sicherheitssystems, das stets auf dem neuesten Stand gehalten wird und für das alle verfügbaren Patches installiert sind.
Obwohl die Installation von Sicherheitspatches wichtig und relativ leicht zu bewerkstelligen ist, entsteht aus welchen Gründen auch immer eines der häufigsten Sicherheitsprobleme durch das Versäumnis, neue Schwachstellen mit Patches zu schließen. Oft betreiben Unternehmen und Organisation einen großen Aufwand, ihren IT-Mitarbeitern beizubringen, wie SQL-Injections und Buffer-Overflows funktionieren und auf welche Weise diese von Angreifern für deren Zwecke ausgenutzt werden können. Doch im Grunde wäre es weitaus zweckmäßiger, sich auf Maßnahmen zu konzentrieren, mit denen stets sichergestellt ist, dass die Sicherheitssysteme vollständig gepatcht und korrekt konfiguriert sind.
Ein weiteres großes Problem liegt darin, dass Administratoren automatisch davon ausgehen, dass Linux/Unix ein höheres Sicherheitsniveau als Windows bietet und daher einfach kein lokales „Hardening“ beziehungsweise Konfigurationen vornehmen.
Durch eine entsprechende Konfiguration lassen sich bestimmte Typen von Schadprogrammen mehr oder weniger vollständig ausschalten. So betreffen viele der in diesem Artikel angesprochenen Exploits „File Inclusion“-Sicherheitslücken, was es einem Angreifer ermöglicht, jede beliebige Datei einzuschleusen, wobei diese Dateien gelegentlich von externen Webseiten stammen. Durch die einfache Festlegung, von welchem Verzeichnis eine bestimmte Webapplikation oder Webseite Dateien einfügen darf, erhält man einen wirksamen Schutz vor dieser Art von Infizierungen.
Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.
SELFPHP
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt