PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Neues Toolkit für bösartige Webseiten im Umlauf



Stegum
03.02.08, 13:10
Auch 2008 wird das Internet nicht von gefährlichen Webseiten verschont bleiben. Dafür sorgen Exploit-Toolkits, wie etwa das MPack oder das IcePack, die bereits letztes Jahr das Netzt unsicher gemacht haben. Welchen Schaden solche Webseiten anrichten, war auch hier im Blog eines der großen Themen.
Jetzt ist eine neue Bedrohung auf dem Markt und macht in einschlägigen Kreisen von sich reden. Das (sehr einfallsreich getaufte) FirePack führt die Tradition einfach bedienbarer und gefährlicher Toolkits fort und könnte sich zum wichtigsten Paket der kommenden Monate emporschwingen.
Da ich das Glück habe und mir eine Kopie organisieren konnte, kann ich nun hier im Blog einige Details zum FirePack verraten.

1. Vorraussetzung
Viel braucht es nicht, um das FirePack auf einem (gehackten) Server zu installieren. PHP muss installiert sein und nicht einmal ein Megabyte Platz sollte vorhanden sein. Außerdem muss der Betreiber des FirePacks seinen eignen Payload (sprich einen Trojaner oder Downloader) auf dem Server platzieren. In meiner Version war allerdings bereits ein Trojaner enthalten, der sich bei der Analyse durch Virustotal als Pinch entpuppt.

2. Konfiguration
Das FirePack muss nicht großartig eingerichtet werden. Lediglich ein paar Pfade müssen angepasst werden. Außerdem muss ein Benutzer und Passwort vergeben werden, damit man sich später in das Administrations-Interface (siehe Screenshot) einloggen kann. Dort lassen sich dann Statistiken zu den Opfer-PCs abrufen. (Betriebssysteme, IPs, Browser-Versionen)

3. Verfügbare Angriffsmodule
Die mir vorliegende Version des FirePacks (v.0.11) enthält für alle gängigen Browser Exploits. Betroffen sind der Internet Explorer 6 und 7, Firefox 1 und 2, sowie Opera in der Version 7 und 9. Sämtliche Exploits benötigen JavaScript um ausgeführt zu werden.

4. So schützt man sich
Sämtliche mir vorliegenden Exploit-Module nutzen Sicherheitslücken aus, die in den jeweils neuesten Versionen der Browser bereits geschlossen wurden. Das heißt: Wer seine Software auf dem neuesten Stand hat, würde einen Besuch einer solchen Webseite “überleben”. Plugins wie NoScript, die das Ausführen von JavaScript verhindern, erweisen sich ebenfalls als ein guter Schutz.

Quelle (http://blog.chip.de/0-security-blog/neues-toolkit-fuer-boesartige-webseiten-im-umlauf-20080105/)