Reverse Engineering zeigt, wie verseuchte PDFs Rechner kompromittieren

Nach und nach zeichnete sich das ganze Ausmaß des Spuks ab. Zögernd musste eine Regierungsbehörde nach der anderen zugeben, von Malware infizierte Computer in ihren Büros gefunden zu haben. Europa war nicht allein betroffen, auch die USA, Kanada und sogar der Dalai-Lama meldeten Einbrüche in sensible Rechner. Das Ghostnet hatte zugeschlagen und legte sich wie ein Spinnengewebe über das Internet, ehe es Ende 2008 seine größte Ausdehnung erreichte.

Unter Windows reicht es, ein PDF zu öffnen

Der Exploit im Adobe Reader, mit dessen Hilfe es sich verbreitete, war schon damals recht alt. Aber die Tatsache, dass ihm interessierte Admins mit Forensik- und Hacker-Tools wie Metasploit [1] ohne großen Aufwand auf die Schliche kommen, hinderte die Angreifer nicht daran, massenhaft PCs zu infizieren.

Wer dachte, nur DAUs fallen auf die typische Masche der Verbreitung von ausführbaren Dateien per E-Mail herein, sah sich eines Besseren belehrt, was auch ein Artikel zur Security Awareness in diesem Heft zeigt. Spätestens Ghostnet offenbarte, dass einfache, ganz alltägliche Dinge wie das Öffnen eines vermeintlich normalen PDF bereits ausreichen können, um einen PC zu infizieren und zu übernehmen.

Das funktioniert, weil der Acrobat Reader automatisch eingebetteten Javascript-Code ausführt. Der lässt sich ohne Probleme so gestalten, dass er unbemerkt auch komplexen Schadcode aus dem Internet nachlädt. Genau diese Technik nutzten die Erfinder des Geisternetzes, um im Jahr 2008 die Rechner des Oberhaupts der Tibeter zu infizieren, später folgte eine stattliche Anzahl von Regierungscomputern.

Über die Lücke im Reader, die Adobe erst in Version 8.1.3 behoben hat, verbanden sich die infizierten Computer anschließend vollautomatisch mit Ghost RAT, dem Command- und Controllcenter von Ghostnet (Abbildung 1). Die Autoren des Linux-Magazins haben die verschiedenen Komponenten von Ghostnet selbst kompiliert, um die Funktionalität im Rahmen von Trainings für Strafverfolgungs- und Sicherheitsbehörden zu testen und nachzuvollziehen ([2], Video der 3Sat-Sendung "Neues" auf [3]).

Abbildung 1: Webcam, Mikro und Keylogger des infizierten Rechners aktiviert der Angreifer per Mausklick im Kommando-GUI von Ghostnet.

Durchaus aufschlussreiche Folgerungen über die Herkunft der Software erlaubte der Blick in den Quelltext. Der C++-Code lag zuerst nur in chinesischer Sprache vor. Andererseits machte die Sprachbarriere die angebotenen Menüs nur eingeschränkt nutzbar. Abbildung 1 zeigt das Kontrollzentrum Ghost RAT Beta 3.6 in der späteren englischen Version.

Keylogger, Screenshots, Wanze und Webcam

Dem Management des Angriffs bietet die Geisterratte offensichtlich komfortable Funktionen:

• Kompletter Zugriff auf den gekaperten PC: Die Malware kann
  sowohl das Filesystem als auch den Bildschirm überwachen.

• Eingabegeräte: Der eingebaute Keylogger protokolliert auch
  bei Internetaktivitäten wie Onlinebanking oder der
  Passworteingabe mit.

• Raumüberwachung: Handelt es sich beim infizierten PC zum
  Beispiel um ein Notebook, kann der Ghostnet-Admin aus der Ferne das
  eingebaute Mikrofon einschalten und alle Gespräche im Raum
  mithören.

Auch eine eingebaute oder angeschlossene Webcam ließe sich aktivieren. Wegen der in den meisten Systemen eingebauten LED-Anzeige stellt das Feature für den Angreifer aber eine riskante Aktion dar und dürfte nur in wenigen Fällen zum Einsatz gekommen sein.