21.06.2007 15:27
Weitere Details zu Web-Attack-Toolkit MPack
Das Internet Storm Center hat eine Analyse von iDefense zu dem Web-Attack-Toolkit MPack und den derzeit stattfindenden Angriffen veröffentlicht. Demnach ist MPack das aktuellste und leistungsfähigste Tool, das aus dem russischen Untergrund stammt und für 500 bis 1000 US-Dollar verkauft wird. Der Autor des Tools soll Verisign zufolge den Käufern eine 45 bis 50 prozentige Wahrscheinlichkeit für erfolgreiche Angriffe versprechen. MPack hat eine integrierte Statistikfunktion, die seinen Meister über die Zahl der angegriffenen PCs und der Erfolgsquote der Infektionen informiert. In der Version 0.9 enthält MPack Exploits für die ANI-Lücke und Löcher in der MDAC-Funktion, dem Windows Media Player, der Microsoft Management Console, den XML-Funktionen, dem WebViewFolderIcon, QuickTime und WinZip.
Der Ausgangspunkt für die aktuellen Angriffe sollen hauptsächlich Seiten in Italien sein. Die für die Attacken notwendigen IFrames auf diesen Seiten wurden wahrscheinlich bei Einbrüchen in die Server eingebaut. Dabei soll eine Lücke in der Hosting-Konfigurationssoftware cPanel die Ursache sein: Beim Einbruch in einen Hosting-Server lassen sich gleich Hunderte von Auftritten kompromittieren und manipulieren. Bereits im Herbst des Jahres 2006 gab es einen Massenhack bei HostGator aufgrund einer Lücke in cPanel, in dessen Anschluß Besucher über die VML-Lücke im Internet Explorer 6 mit Trojanern verseucht wurden.
Sobald ein Opfer mit seinem PC eine präparierte Webseite besucht, lädt der Browser über den eingebauten IFrame weiteren Code vom MPack-Server nach. Dabei probiert das Angriffsmodul nach Analyse des Betriebssystems und Browsers mehrere Exploits durch, bis es Erfolg hat – oder die Exploits alle sind. Bei Erfolg installiert der Server einen Schädling auf dem PC. Ob MPack auch andere Systeme als Windows infizieren kann, schreibt iDefense nicht. Im Quellcode von MPack sind zumindest noch Weichen für andere Browser wie Firefox und Opera zu finden. Derzeit benutzt MPack nur bekannte Lücken, für die es bereits Updates zum Schließen gibt.
Bei einem der Schädlinge soll es sich um den Banking-Trojaner Torpig handeln. Laut iDefense stammt Torpig aus dem Russian Business Network (RBN), das derzeit Ausgangspunkt vieler Internet-basierter Angriffe ist. Der Stammsitz des RBN, das zudem im Phishing und der Verbreitung von Kinderpornographie tätig sein soll, soll in Sankt Petersburg liegen.
Siehe dazu auch:
- MPack Analysis, Analyse von iDefense
- Groß angelegter Angriff auf Web-Anwender im Gange
(dab)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
