Menü
Security

Darkleech infiziert reihenweise Apache-Server

Von
vorlesen Drucken Kommentare lesen 223 Beiträge

Eine Schadsoftware namens Darkleech soll seit mindestens einem dreiviertel Jahr tausende Webseiten mit unsichtbaren iFrames ausstatten, die auf verseuchte Webseiten verweisen. Der Schädling soll hierfür den Apache-Server missbrauchen, allerdings wurde bisher das Einfallstor in die Software nicht gefunden. Auf den durch die Webserver verseuchten Webseiten sucht sich Darkleech seine Opfer genau aus. Nutzer mit IP-Adressen von Sicherheits- und Hosting-Firmen sowie die Seitenbetreiber werden beispielsweise nicht auf bösartige Webseiten gelenkt. Betroffen sollen vor allem Webseiten in den USA, Großbritannien und Deutschland sein.

Wie Ars Technica berichtet, sollen infizierte Webseiten in insgesamt 48 Ländern gesichtet worden sein. Der Netzwerkausrüster Cisco untersuchte Darkleech sechs Wochen lang zwischen Februar und März 2013 und stellte allein in diesem Zeitraum eine Infektion von 2.000 Webseiten fest. Da der gesamte Webserver infiziert ist und jeder Server im Schnitt zehn Webseiten hostet, wird mit einer Infektion von mindestens 20.000 Webseiten in diesem Zeitraum gerechnet.

Darkleech verbirgt auf den betroffenen Webseiten unsichtbare iFrames, die auf verseuchte Seiten verweisen, über die sich Besucher mit dem Blackhole Exploit Kit infizieren können. Dieser nutzt wiederum gezielt Sicherheitslücken in Oracles Java, Adobes Flash und Reader und anderer weit verbreiteter Plug-ins aus – und davon gibt es reichlich. Laut einer WebSense-Untersuchung ist Java nur auf jedem 20. Rechner aktuell.

Besonders betroffen sind die USA. Darauf folgen allerdings schon Großbritannien und Deutschland.

(Bild:  Cisco )

Bei der Auswahl seiner Opfer geht Darkleech sehr vorsichtig und intelligent vor; die iFrames werden dynamisch von einem Apache-Modul beim Seitenaufruf eingebettet. So kann der Webmaster den Schadcode nur schwer lokalisieren – der Quellcode der Webseite auf dem Server bleibt unberührt. Zudem werden einigen IP-Adressen keine iFrames zugedacht und geblacklistet – wie etwa von Sicherheits- und Hostingfirmen. Ebenso werden bereits angegriffe User nicht mehr auf infizierte Seiten umgeleitet.

Die Manipulation der Webseiten konzentriert sich auf Systeme mit Apache-Webserver-Software. Wie Mitarbeiter von Cisco verifizieren konnten, sind alle Apache Versionen ab 2.2.22 betroffen, die meistens auf Linux-Systemen installiert sind – wie die Angreifer Darkleech einschleusen können, ist immer noch unklar. Möglicherweise sind Sicherheitslücken in Plesk, Cpanel und anderer Software für die Manipulation genutzt worden. Plausibel ist aber auch, dass Passwörter geknackt wurden oder Social Engineering und andere Attacken den Zugang möglich machen.

Zumindest haben die Entwickler von Darkleech auch der Reinigung der Webserver einige Steine in den Weg gelegt. Die Schadsoftware kontrolliert nach einer Infektion die Secure Shell (SSH) Mechanismen, da Darkleech den SSH-Daemon gegen eine manipulierte Version austauscht. Diese richtet eine Backdoor ein und speichert die Zugangsdaten. Administratoren müssen deshalb die Server mit Hilfe eines Backups neu einrichten und auch die Zugangsdaten ändern.

Darkleech breitete sich während der Beobachtung von Cisco unter anderem auf den Webseiten der Los Angeles Times und von Seagate und anderen Unternehmen aus - auf diesen Webseiten blieben die schädlichen iFrames rund einen Monat unentdeckt, bis sie entfernt werden konnten.

Die ersten Berichte zu der Schadsoftware waren auf dem Unmask Parasites. Blog. von Denis Sinegubko am 13. August 2012 erschienen. Laut Sinegubko erkennen Googles Malware-Scanner die iFrames – allerdings nicht alle.

Update 3.4.2013, 15:20: Formulierung zum Angriffsvektor geändert, um Missverständnisse zu vermeiden. (kbe)