Hacker im Goldrausch: Web-Angriff-Toolkit Mpack

Was Mpack-Attacken so hinterhältig macht, ist die Tatsache, dass man nicht weiß, an welcher Stelle der Angriff ansetzt. Statt den Anwender per Social Engineering zum Besuch einer bösartigen Website zu verleiten, kompromittiert Mpack legitime Websites mithilfe eines automatischen Tools.

So kann ein Hacker denkbar einfach eine Codezeile einer normalen Webseite hinzufügen. Jeder, der eine derart kompromittierte Seite besucht, wird automatisch den schädlichen Code laden, üblicherweise über ein Iframe. Iframes werden von Webdesignern verwendet, um zusätzliche Inhalte – häufig von anderen Websites – innerhalb der eigentlichen Webseite einzubinden. Aber Iframes können von kriminellen Hackern auch dazu verwendet werden, Browser auf Websites mit Schadcode umzuleiten. Iframes mit entsprechendem Javascript stellen eine Verbindung zu einem Exploit-Server her. Das ist das Schöne am Web 2.0: Während der Browser den gewünschten Inhalt anzeigt, läuft im Hintergrund eine weitere Abfrage, eine Abfrage vom Iframe aus an einen Exploit-Server. Mit Mpack erfolgt diese Abfrage nicht direkt, sondern normalerweise über mehrere zwischengeschaltete Server, um die Malware noch besser zu verbergen.

Für Roger Thompson von den Exploit Prevention Labs steht das Thema kompromittierter legitimer Websites seit Monaten ganz oben auf der Tagesordnung. Nach Auskunft des Spezialisten gibt es in den meisten Fällen etwa zwei Dutzend Exploit-Webserver, die auf der ganzen Welt verteilt sind, vor allem in entlegenen Winkeln, wo lokales Geld dafür sorgt, dass die Rechner laufen, die Polizei ein Auge zudrückt und die Exploits fleißig verteilt werden. In anderen Fällen befinden sich die Exploits auf einem Server vor Ort, der aber schwierig zu kontaktieren ist, zum Beispiel im hintersten China. Einen Verantwortlichen zu finden, der den Server dichtmacht, ist eine echte Herausforderung.

Angenommen, man landet auf einer derart kompromittierten Webseite – was passiert dann? Mpack ist ein raffiniertes Programm: Wie jeder andere Webserver liest und analysiert es die http-Request-Header, die vom Browser verschickt werden. Damit kennt es sofort die Browserversion, das Betriebssystem und manchmal sogar, ob Add-Ons wie Quicktime installiert sind. Dann durchsucht Mpack seine Datenbank voller Tricks und reagiert je nach den auf dem jeweiligen Mpack-System installierten Komponenten mit den passenden Exploits für den angegriffenen Computer.

Eine weitere Angriffsmethode besteht darin, eine ausführbare Datei zu verwenden. Mpack verkauft ein Tool namens Dreamdownloader. Kriminelle geben einfach die URL ihres Mpack-Servers ein und Dreamdownloader liefert eine Datei, die Firewalls umgeht, eine Reihe von Antiviren-Scannern deaktiviert, virtuelle Systeme aufspürt und mit gängigen Komprimierungstools wie Upack, UPX oder Mew gepackt werden kann. $ash behauptet, dass das aktuelle Release von Mpack garantiert nicht von Antivirus-Scannern aufgespürt werden kann. Manchmal liefert $ash oder jemand anderes einen aktuellen Bericht von Virus Total, einer Website, auf der man eine Datei hochladen kann, um zu testen, welche Antiviren-Anbieter diese als Virus erkennen oder nicht.