Hacker im Goldrausch: Web-Angriff-Toolkit Mpack

Was Mpack-Attacken so hinterhältig macht, ist die Tatsache, dass man nicht weiß, an welcher Stelle der Angriff ansetzt. Statt den Anwender per Social Engineering zum Besuch einer bösartigen Website zu verleiten, kompromittiert Mpack legitime Websites mithilfe eines automatischen Tools.

So kann ein Hacker denkbar einfach eine Codezeile einer normalen Webseite hinzufügen. Jeder, der eine derart kompromittierte Seite besucht, wird automatisch den schädlichen Code laden, üblicherweise über ein Iframe. Iframes werden von Webdesignern verwendet, um zusätzliche Inhalte – häufig von anderen Websites – innerhalb der eigentlichen Webseite einzubinden. Aber Iframes können von kriminellen Hackern auch dazu verwendet werden, Browser auf Websites mit Schadcode umzuleiten. Iframes mit entsprechendem Javascript stellen eine Verbindung zu einem Exploit-Server her. Das ist das Schöne am Web 2.0: Während der Browser den gewünschten Inhalt anzeigt, läuft im Hintergrund eine weitere Abfrage, eine Abfrage vom Iframe aus an einen Exploit-Server. Mit Mpack erfolgt diese Abfrage nicht direkt, sondern normalerweise über mehrere zwischengeschaltete Server, um die Malware noch besser zu verbergen.

Für Roger Thompson von den Exploit Prevention Labs steht das Thema kompromittierter legitimer Websites seit Monaten ganz oben auf der Tagesordnung. Nach Auskunft des Spezialisten gibt es in den meisten Fällen etwa zwei Dutzend Exploit-Webserver, die auf der ganzen Welt verteilt sind, vor allem in entlegenen Winkeln, wo lokales Geld dafür sorgt, dass die Rechner laufen, die Polizei ein Auge zudrückt und die Exploits fleißig verteilt werden. In anderen Fällen befinden sich die Exploits auf einem Server vor Ort, der aber schwierig zu kontaktieren ist, zum Beispiel im hintersten China. Einen Verantwortlichen zu finden, der den Server dichtmacht, ist eine echte Herausforderung.

Angenommen, man landet auf einer derart kompromittierten Webseite – was passiert dann? Mpack ist ein raffiniertes Programm: Wie jeder andere Webserver liest und analysiert es die http-Request-Header, die vom Browser verschickt werden. Damit kennt es sofort die Browserversion, das Betriebssystem und manchmal sogar, ob Add-Ons wie Quicktime installiert sind. Dann durchsucht Mpack seine Datenbank voller Tricks und reagiert je nach den auf dem jeweiligen Mpack-System installierten Komponenten mit den passenden Exploits für den angegriffenen Computer.

Eine weitere Angriffsmethode besteht darin, eine ausführbare Datei zu verwenden. Mpack verkauft ein Tool namens Dreamdownloader. Kriminelle geben einfach die URL ihres Mpack-Servers ein und Dreamdownloader liefert eine Datei, die Firewalls umgeht, eine Reihe von Antiviren-Scannern deaktiviert, virtuelle Systeme aufspürt und mit gängigen Komprimierungstools wie Upack, UPX oder Mew gepackt werden kann. $ash behauptet, dass das aktuelle Release von Mpack garantiert nicht von Antivirus-Scannern aufgespürt werden kann. Manchmal liefert $ash oder jemand anderes einen aktuellen Bericht von Virus Total, einer Website, auf der man eine Datei hochladen kann, um zu testen, welche Antiviren-Anbieter diese als Virus erkennen oder nicht.

Themenseiten: Hacker, Security-Analysen, Spam, Spyware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Hacker im Goldrausch: Web-Angriff-Toolkit Mpack

Kommentar hinzufügen
  • Am 12. Juli 2007 um 17:00 von sushi fotzi

    mit ps3 sicher im internet
    ich bin mit der ps3 sicher im internet. ich lade daten auf sd karte und kopiere sie auf xp um filme, fotos zu speichern und anzusehen. ich bin nie mehr online mit pc und brauche nie mehr angst vor hackern oder viren haben.

    • Am 12. Juli 2007 um 23:59 von Diddmaster

      Troll!
      k.w.t.

  • Am 15. Juli 2007 um 18:52 von bill gates

    besser mit gummi
    ich würde sagen ,besser wenn nicht jeder mit administrator rechten surfen würde.
    eine gute wahl ist auch der surfright plugin der zb auch im hitmanpro enthalten ist ,nimmt den internet anwendungen wie browsern und email die administrator rechte und macht es schwerer bösen code auf den rechner zu bringen auch wenn er ansonnsten als admin unterwegs ist.
    http://www.hitmanpro.nl

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *