3. MAL_HIFIRM auf Index

MAL_HIFIRM auf Index

  • N

    phlox81 schrieb:

    Auch die Rechte lassen sich exploiten 😉
    Wenn man den Exploit schon mal hat, kann man auch gleich die benötigten Rechte dazu sich zusammenklauen.
    Muss also garnicht sein, das der Wirtsdienst schon die Rechte hat, auch wenns dass natürlich einfacher macht.

    Nur wenn der entsprechende Dienst Sicherheitslöcher hat, die nicht geschlossen sind. Das ist in 0815-LAMP-Setups mit Distributionen mit brauchbarem Qualitätsmanagement leicht auszuschließen.

    0
  • E

    Im laufe der letzten Woche habe ich mich daran gemacht den Exploit Vektor des iframes genauer unter die Lupe zu nehmen.

    Nach dem laden wird ein neues script HTML element erstellt und die attribute src und defer gesetzt. Danach wird das body element gesucht und das script element als Kind element angehängt. Danach wird neuer Javascript Code von dem issue.php script nachgeladen. Per Javascript werden sehr vielen Sicherheitslücken versucht auszunutzen. Darunter sind sehr viele alte Bekannte. Die exploits sind vornehmlich auf den IE ausgerichtet aber auch andere sind nicht gefeit wenn diese z.B. Adobe Acrobat für PDFs automatisch aufrufen.

    Am Ende läuft alles auf den selben payload (shellcode) hinaus welcher folgendes tut:

    • Lädt folgende funktionen aus DLLs:

    • kernel32:ExitThread

    • kernel32:GetModuleHandleA

    • kernel32:LoadLibraryA

    • kernel32:WinExec

    • urlmon:URLDownloadToFileA

    • Führt 'netsh.exe firewall set opmode disable' aus

    • Lädt 1 malware exe nach

    • Führt malware exe aus

    • Ruft ExitThread(0) auf

    Die malware exe die heruntergeladen wurde ist ein sogenanntes Rogue security software Programm. In dem getesteten Fall handelte es sich um 'AntiVirus XP 2010" und hat sich relativ gut im System versteckt.

    Im großen und ganzen kann man schon sagen das dies einer der 'Professionellen' Angriffe auf das Forum war.

    Es ist jedem mit Windows System zu raten sein System mit einem aktuellen Virenscanner zu scannen. Die erkennung des Schädlings ist leider recht miserabel.

    Hier ist eine Übersicht welche der aktuellen Virenscanner den schädling erkannt hat:
    http://www.virustotal.com/analisis/d27a1e9933da1741727f65499b10ee54edbb69fc9b26c1fb14288ff3a1f0230b-1270625856

    0
Anmelden zum Antworten