1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Darkleech infiziert reihenweise Apache-Server

Dieses Thema im Forum "PC&Internet News" wurde erstellt von DocKugelfisch, 3. April 2013.

  1. DocKugelfisch
    Offline

    DocKugelfisch Moderator Digital Eliteboard Team

    Registriert:
    9. Mai 2008
    Beiträge:
    3.179
    Zustimmungen:
    2.690
    Punkte für Erfolge:
    113
    Beruf:
    Systemintegrator
    Ort:
    Астана
    Eine Schadsoftware namens Darkleech soll seit mindestens einem dreiviertel Jahr tausende Webseiten mit unsichtbaren iFrames ausstatten, die auf verseuchte Webseiten verweisen. Der Schädling soll hierfür den

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    missbrauchen, allerdings wurde bisher das Einfallstor in die Software nicht gefunden. Auf den durch die Webserver verseuchten Webseiten sucht sich Darkleech seine Opfer genau aus. Nutzer mit IP-Adressen von Sicherheits- und Hosting-Firmen sowie die Seitenbetreiber werden beispielsweise nicht auf bösartige Webseiten gelenkt. Betroffen sollen vor allem Webseiten in den USA, Großbritannien und Deutschland sein.

    Wie Ars Technica

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    , sollen infizierte Webseiten in insgesamt 48 Ländern gesichtet worden sein. Der Netzwerkausrüster Cisco

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    Darkleech sechs Wochen lang zwischen Februar und März 2013 und stellte allein in diesem Zeitraum eine Infektion von 2.000 Webseiten fest. Da der gesamte Webserver infiziert ist und jeder Server im Schnitt zehn Webseiten hostet, wird mit einer Infektion von mindestens 20.000 Webseiten in diesem Zeitraum gerechnet.

    Darkleech verbirgt auf den betroffenen Webseiten unsichtbare iFrames, die auf verseuchte Seiten verweisen, über die sich Besucher mit dem Blackhole Exploit Kit infizieren können. Dieser nutzt wiederum gezielt Sicherheitslücken in Oracles Java, Adobes Flash und Reader und anderer weit verbreiteter Plug-ins aus – und davon gibt es reichlich. Laut einer WebSense-Untersuchung ist

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    .


    [​IMG]

    Besonders betroffen sind die USA. Darauf folgen allerdings schon Großbritannien und Deutschland.

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?


    Bild:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    Bei der Auswahl seiner Opfer geht Darkleech sehr vorsichtig und intelligent vor; die iFrames werden dynamisch von einem Apache-Modul beim Seitenaufruf eingebettet. So kann der Webmaster den Schadcode nur schwer lokalisieren – der Quellcode der Webseite auf dem Server bleibt unberührt. Zudem werden einigen IP-Adressen keine iFrames zugedacht und geblacklistet – wie etwa von Sicherheits- und Hostingfirmen. Ebenso werden bereits angegriffe User nicht mehr auf infizierte Seiten umgeleitet.
    Die Manipulation der Webseiten wird über einen Angriff auf Apache-Webserver-Software ausgeführt. Wie Mitarbeiter von Cisco verifizieren konnten, sind alle Apache Versionen ab 2.2.22 betroffen, die meistens auf Linux-Systemen installiert sind – wie die Angreifer Darkleech einschleusen können, ist immer noch unklar. Möglicherweise sind Sicherheitslücken in

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    ,

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    und anderer Software für die Manipulation genutzt worden. Plausibel ist aber auch, dass Passwörter geknackt wurden oder Social Engineering und andere Attacken den Zugang möglich machen.

    Zumindest haben die Entwickler von Darkleech auch der Reinigung der Webserver einige Steine in den Weg gelegt. Die Schadsoftware kontrolliert nach einer Infektion die Secure Shell (SSH) Mechanismen, da Darkleech den SSH-Daemon gegen eine manipulierte Version austauscht. Diese richtet eine Backdoor ein und speichert die Zugangsdaten. Administratoren müssen deshalb die Server mit Hilfe eines Backups neu einrichten und auch die Zugangsdaten ändern.
    Darkleech breitete sich während der Beobachtung von Cisco unter anderem auf den Webseiten der Los Angeles Times und von Seagate und anderen Unternehmen aus - auf diesen Webseiten blieben die schädlichen iFrames rund einen Monat unentdeckt, bis sie entfernt werden konnten.
    Die ersten Berichte zu der Schadsoftware waren auf dem

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    von

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    am 13. August 2012 erschienen. Laut Sinegubko erkennen Googles Malware-Scanner die iFrames – allerdings nicht alle.


    heise-security.de
     
    Zuletzt bearbeitet: 3. April 2013
    #1

Diese Seite empfehlen