©pietus, 123RF.com
Reverse Engineering zeigt, wie verseuchte PDFs Rechner kompromittieren
Geisterstunde
von Tobias „Newroot“, Hans-Peter Merkel, Markus Feilner
Erschienen im Linux-Magazin
2010/01
Ghostnet nennt sich eine PDF-Hacksoftware aus China, die das Netzwerk des Dalai-Lama und zahlreicher west- licher Regierungen eroberte. Dieser Artikel hilft Admins, dem Geister-Code in PDFs den Schleier zu entreißen und nachzuvollziehen, was der Angreifer erreichen will.
Nach und nach zeichnete sich das ganze Ausmaß des Spuks ab. Zögernd musste eine Regierungsbehörde nach der anderen zugeben, von Malware infizierte Computer in ihren Büros gefunden zu haben. Europa war nicht allein betroffen, auch die USA, Kanada und sogar der Dalai-Lama meldeten Einbrüche in sensible Rechner. Das Ghostnet hatte zugeschlagen und legte sich wie ein Spinnengewebe über das Internet, ehe es Ende 2008 seine größte Ausdehnung erreichte.
Unter Windows reicht es, ein PDF zu öffnen
Der Exploit im Adobe Reader, mit dessen Hilfe es sich verbreitete, war schon damals recht alt. Aber die Tatsache, dass ihm interessierte Admins mit Forensik- und Hacker-Tools wie Metasploit [1] ohne großen Aufwand auf die Schliche kommen, hinderte die Angreifer nicht daran, massenhaft PCs zu infizieren.
Wer dachte, nur DAUs fallen auf die typische Masche der Verbreitung von ausführbaren Dateien per E-Mail herein, sah sich eines Besseren belehrt, was auch ein Artikel zur Security Awareness in diesem Heft zeigt. Spätestens Ghostnet offenbarte, dass einfache, ganz alltägliche Dinge wie das Öffnen eines vermeintlich normalen PDF bereits ausreichen können, um einen PC zu infizieren und zu übernehmen.
Das funktioniert, weil der Acrobat Reader automatisch eingebetteten Javascript-Code ausführt. Der lässt sich ohne Probleme so gestalten, dass er unbemerkt auch komplexen Schadcode aus dem Internet nachlädt. Genau diese Technik nutzten die Erfinder des Geisternetzes, um im Jahr 2008 die Rechner des Oberhaupts der Tibeter zu infizieren, später folgte eine stattliche Anzahl von Regierungscomputern.
Über die Lücke im Reader, die Adobe erst in Version 8.1.3 behoben hat, verbanden sich die infizierten Computer anschließend vollautomatisch mit Ghost RAT, dem Command- und Controllcenter von Ghostnet (Abbildung 1). Die Autoren des Linux-Magazins haben die verschiedenen Komponenten von Ghostnet selbst kompiliert, um die Funktionalität im Rahmen von Trainings für Strafverfolgungs- und Sicherheitsbehörden zu testen und nachzuvollziehen ([2], Video der 3Sat-Sendung "Neues" auf [3]).
|
Abbildung 1: Webcam, Mikro und Keylogger des infizierten Rechners aktiviert der Angreifer per Mausklick im Kommando-GUI von Ghostnet.
|
Durchaus aufschlussreiche Folgerungen über die Herkunft der Software erlaubte der Blick in den Quelltext. Der C++-Code lag zuerst nur in chinesischer Sprache vor. Andererseits machte die Sprachbarriere die angebotenen Menüs nur eingeschränkt nutzbar. Abbildung 1 zeigt das Kontrollzentrum Ghost RAT Beta 3.6 in der späteren englischen Version.
Keylogger, Screenshots, Wanze und Webcam
Dem Management des Angriffs bietet die Geisterratte offensichtlich komfortable Funktionen:
-
Kompletter Zugriff auf den gekaperten PC: Die Malware kann
sowohl das Filesystem als auch den Bildschirm überwachen.
-
Eingabegeräte: Der eingebaute Keylogger protokolliert auch
bei Internetaktivitäten wie Onlinebanking oder der
Passworteingabe mit.
-
Raumüberwachung: Handelt es sich beim infizierten PC zum
Beispiel um ein Notebook, kann der Ghostnet-Admin aus der Ferne das
eingebaute Mikrofon einschalten und alle Gespräche im Raum
mithören.
Auch eine eingebaute oder angeschlossene Webcam ließe sich aktivieren. Wegen der in den meisten Systemen eingebauten LED-Anzeige stellt das Feature für den Angreifer aber eine riskante Aktion dar und dürfte nur in wenigen Fällen zum Einsatz gekommen sein.
| Whitepaper |
|---|
|
Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele
Über die letzten Jahre hinweg haben sich Open Source Lösungen als fester Bestandteil des gesamten Datenintegrationsmarktes etabliert. Viele Unternehmen haben bereits das Open Source Modell für Ihre Datenintegrationsprojekte aufgegriffen. Das vorliegende White Paper illustriert anhand ausgewählter Fallstudien und Anwendungsbeispiele die Implementierung von Open Source Datenintegration in der Praxis und benennt die daraus resultierenden Vorteile.
Download PDF (Registrierung erforderlich)
|
|
The Role of Open Source in Data Integration
Obwohl in den letzten Jahren viele technische Fortschritte erzielt werden konnten, verfügen die meisten Datenintegrationsprozesse nach wie vor nur über eine sehr begrenzte Automatisierung. Das vorliegende White Paper von dem Industry Analyst Mark Madson wird zunächst ein grundlegendes Verständnis von Daten Integration vermitteln, die Vorzüge von Open Source Lösungen für Daten Integration erläutern und Ihnen professionelle Empfehlungen geben, damit Sie Ihre Integrationsjobs noch einfacher und produktiver gestalten können.
Download PDF (Registrierung erforderlich)
|
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links"
nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedrucken Fassung entsprechen.
|
