Tatort Internet
Folge 4: Angriff der Killervideos
Sergei Shevchenko - 04.08.2010
„Hast du den Rechner schon wieder kaputt gemacht? Ich wollte mir grade ein Video vom neuen iPhone anschauen. Aber er spielt es einfach nicht ab!“ Es war ein langer Tag und eigentlich hab ich keine Lust auf Fehlersuche. Aber wenn sie diesen Ton anschlägt, springt der Admin lieber. Und der Admin zu Hause bin nun mal ich.
Irgendwie kann ich aber nicht so recht glauben, dass die Ursache auf unserem PC zu suchen ist. Vielleicht ist ja das Video selbst kaputt. Im Quelltext der immer noch offenen Webseite findet sich ein <Object>-Tag mit einem Link zu einer SWF-Datei – also einem Video im Shockwave-Flash-Format, das sich im Web weitgehend durchgesetzt hat. Da die URL schon recht komisch aussieht, schwant mir Übles und ich lade es für weitere Untersuchungen auf meinen Rechner herunter.
Für ein SWF-File ist die Datei mit gerade mal 846 Bytes ziemlich klein. Da lässt sich nicht allzu viel Sinnvolles unterbringen. Obwohl es eine Multimedia-Datei ist, werfe ich wie üblich als erstes einen Blick mit dem Hex-Editor darauf. Gerade wenn eigentlich nur rohe, unleserliche Daten zu erwarten sind, geben eventuell trotzdem vorhandene Strings oft nützliche Hinweise.
So auch hier: Was hat ein Verweis auf die Windows-Bibliothek urlmon.dll in einer Flash-Datei zu suchen? In Kombination mit der ebenfalls sichtbaren URL und dem Dateinamen c:\6123t.exe erzählt das schon fast die ganze Geschichte – jedenfalls wenn man mal ein paar Exploits analysiert hat.
Die Müdigkeit ist verflogen, jetzt will ich es genau wissen. Von meinen letzten Experimenten mit Flash erinnere ich mich noch an die SWFTools, die mir damals gute Dienste geleistet haben. Sie lassen mich auch diesmal nicht im Stich. Der Befehl
swfdump -D -d -u exploit.swf
verrät mir als erstes, dass es sich um eine Datei im Flash-Format 9 handelt – aktuell ist Version 10. Doch das hat noch nichts zu bedeuten, denn Flash ist rückwärtskompatibel und Version 9 wird immer noch häufig eingesetzt. Dahinter folgen die sogenannten Tags mit den eigentlichen Inhalten. Weiter unten sehe ich, dass Pfadangabe, URL und der Verweis auf die Bibliothek Bestandteil eines Blocks mit der Bezeichnung DEFINEBITSJPEG sind. JPEG? Wer’s glaubt!
Meine Aufmerksamkeit wecken die nächsten beiden Datenblöcke:
[056] 40 SCENEDESCRIPTION
=> 99 b4 8e a0 08 20 20 20 20 20 20 20 20 20 20 20
=> 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
=> 20 20 20 20 20 20 20 43
[056] 12 SCENEDESCRIPTION
=> 01 00 e5 9c ba e6 99 af 20 31 00 00
Eine SCENEDESCRIPTION aus lauter 0x20-Zeichen? Der Datentyp 0x56, also dezimal 86, sagt mir nichts, deshalb ziehe ich die Beschreibung des SWF-Dateiformats zu Rate, die Adobe zum Glück öffentlich verfügbar gemacht hat. Typ 86 steht für DefineSceneAndFrameLabelData und enthält „Daten für Szenen und Rahmen eines MovieClips“. Also Verwaltungsinformationen für ein Flash-Filmchen, die hauptsächlich aus 0x20-Zeichen bestehen. Ja, nee, is klar! Ich wittere eine Spur – das seh ich mir genauer an.
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
