Aufgegebene Webserver: Die unsichtbaren Helfer für Malware-Entwickler


blog_main_abandoned

Stellen Sie sich vor, Sie arbeiten seit Jahren in derselben unterbewerteten Position und freuen sich schon morgens nur auf Ihren Feierabend. Da Sie etwas verändern möchten, begeben Sie sich online auf die Suche nach etwas Interessanterem. Unter den Suchergebnissen finden Sie die Annonce einer Vermittlungsfirma für eine Stelle, die genau Ihren Wünschen entspricht. Als Sie darauf klicken, werden Sie jedoch auf die Seite eines Drittanbieters weitergeleitet und – zack – schon ist der Computer mit Malware infiziert.

Die Seite mag ursprünglich einem rechtmäßigen Vermittlungsbüro oder zu einem Blog gehört haben, aber sie wurde inzwischen gehackt. Noch schlimmer, als Sie den Administrator der Seite über die Malware-Verbreitung informieren möchten, erhalten Sie keinerlei Antwort.

Forcepoint beschrieb einen Angriff, der diesen Gedankengang sogar noch einen erschreckenden Schritt weiter führt:

„Besucher der kompromittieren Seiten werden von dem eingeschleusten Code auf betrügerische Anti-Virus-Seiten weitergeleitet, wo sie zum Herunterladen und Installieren eines Trojaners auf ihrem Computer verleitet werden.“

In diesem Beispiel tragen Sie selbst zum Herunterladen der Malware bei – schlicht, weil Sie davon ausgegangen sind, ein Mittel zum Entfernen der Malware gefunden zu haben.

Wie funktioniert das Ganze?

blog_content_breaker_abandoned

Aufgegebene Websites = Seiten, die von ihren Besitzern nicht mehr beaufsichtigt werden

Wie der Name schon andeutet, werden aufgegebene Websites nicht mehr gepflegt oder die Kontaktdaten ihres privaten oder geschäftlichen Besitzers sind unvollständig oder veraltet. Wird die Seite gehackt, gibt es keinen Ansprechpartner, um sie wieder zu bereinigen. Dann verbreiten sie an alle Besucher Malware, ohne dass jemand davon weiß oder es kontrollieren könnte. Wenn auf einer aufgegebenen Website Malware gefunden wird, bleibt als einzige Möglichkeit häufig nur, sich direkt an den Webhost zu wenden, damit dieser sie deaktiviert. Wie Sie der Abbildung unten entnehmen können, funktioniert das jedoch nicht immer. Michael Gillespie, ein Sicherheitsforscher von Malware Hunter Team, hat uns Unmengen an Seiten zugeschickt, in denen er Administratoren aufgegebener Websites darüber informiert, dass die Seiten Ransomware und andere Malware verbreiten. Für alle Meldungen hat er, wenn überhaupt, nur schwammige Antworten bekommen. Professionelle Sicherheitsforscher wenden Stunden dafür auf, derartige Seiten zu entfernen. Für normale Anwender stehen die Chancen also eher schlecht, dass das Problem gelöst wird. Die Verantwortlichkeit muss hier bei den Website-Administratoren liegen.

Abbildung: Michael Gillespie @demonslay335

Da die Administratoren sich nicht weiter um die Websites kümmern, kann davon ausgegangen werden, dass sie mit überholten Content-Management-Systemen (z. B. alte Versionen von Drupal, WordPress usw.), veralteten Plug-ins oder schlecht konfigurierten Webservern laufen. Dadurch werden aufgegebene Seiten zum idealen Wirt für eingeschleuste URLs.

Die Search Console-Hilfe definiert URL-Einschleusung für Administratoren wie folgt:

„Dies bedeutet, dass ein Hacker neue Seiten zu Ihrer Website hinzugefügt hat, die oftmals Spam oder Links enthalten. Manchmal enthalten diese neuen Seiten Code, der Aktionen bewirkt, die Sie nicht vorgesehen haben. Beispielsweise die Weiterleitung Ihrer Besucher auf andere Websites oder die Teilnahme Ihres Servers an einem Denial-of-service-Angriff gegen andere Seiten.“

Aufgegebene Websites lassen sich nicht von anderen Seiten unterscheiden

Das ist das größte Problem bei aufgegebenen Websites. Meistens handelt es sich dabei sogar um seriöse Seiten, etwa von kleinen Unternehmen oder einem privaten Blogger. Einige Seiten verbreiten dann sogenannte Exploit Kits, die Ransomware herunterladen. Diese sperrt Ihre Dateien und fordert ein Lösegeld von Ihnen, um sie wieder freizugeben. Andere dienen lediglich als Wirt für die schädlichen Dateien, auf den das Opfer zum Herunterladen von anderen gehackten oder bösartigen Seiten umgeleitet wird.

teslacrypt-640x577

Es lässt sich mitunter nur schwer nachvollziehen, wie es geschafft wurde, doch eine Reihe von Websites im Content-Management-System (CMS) von WordPress wurden bereits gehackt, um genau so Ransomware oder andere Schadsoftware zu verbreiten.

Administratoren: Sie sind verantwortlich, um derartige Angriffe möglichst zu verhindern.

Angreifer werden folgende Verfahren (einzeln oder in Kombination) einsetzen, um Ihre Website für sich auszunutzen:

  1. Erstellen einer eigenen bösartigen Website, auf die die Besucher Ihrer Website umgeleitet werden
  2. Ausnutzung einer Schwachstelle in Ihrem Webserver oder seiner Konfiguration, etwa Lücken in einem veralteten CMS
  3. Zugriff über eine Schwachstelle in den Anwendungen, mit denen Ihre Website arbeitet, wie Twitter-, Facebook- und Instagram-Widgets

Offensichtliche Hinweise auf einen Hack können willkürliche Ordner in Ihrem FTP-Konto sein. Sie erhalten zum Beispiel eine Malware-Warnmeldung von Google oder eine Information von einem Kunden, der Ihre Seite besucht. Wenn Sie sich dann bei Ihrem FTP-Konto anmelden, liegen dort möglicherweise Tausende zufällig benannte Ordner – alle mit einer vollständigen Website, die der Angreifer für seinen Betrug verwendet.

Das ist eine weitere Gefahr: Der Angreifer kann Ihre Website in Beschlag nehmen, um sie als Host für eine komplett andere Seite zu nutzen. Dabei könnte es sich zum Beispiel um eine Phishing-Seite für Bankdaten oder die Bezahlseite für Ransomware-Opfer handeln. Eine weitere Möglichkeit ist die Vortäuschung eines anderen Unternehmens, um dessen Ruf auszunutzen oder zu schädigen.

Nemucod schleust Ransomware ein und verwaltet Lösegeld-Bezahlseiten

Ein konkretes Beispiel für einen typischen Angriff ist Nemucod. Die Malware-Familie hackt Websites, fügt einen Ordner (meistens mit dem Namen „Counter“) zum FTP-Server hinzu und nutzt diese Seite dann als Host für die von den Opfern heruntergeladene Malware (in der Regel die eigene schwache Ransomware und der Banking-Trojaner Kovter). Außerdem stellt es darüber das „Bezahlportal“ bereit, über das die Opfer nach dem Bezahlen des Lösegeldes den Decrypter erhalten. Alles in allem wird die von Ihnen vernachlässigte Seite also zum Ausbeuten von Ahnungslosen verwendet und, sofern Sie nichts dagegen unternehmen, kann sich das über Monate hinziehen.

recover_txt-eg-for-dan

Obwohl diese Seiten immer wieder deaktiviert werden, fügen die Angreifer einfach fünf Domains zu der ursprünglichen Malware (also dem Nemucod-Dropper) hinzu. Diese überprüft nun, ob von diesen fünf noch eine zum Herunterladen der Malware-Dateien aktiv ist. Die nächste Version wird dann um fünf andere zufällige Domains ergänzt. Nemucod ist jetzt schon sehr lange aktiv. Sicherheitsforscher Michael Gillespie von Malware Hunter Team berichtet, dass die Malware bis heute über sein Tool „ID Ransomware“ gemeldet wird.

Sie sind Opfer von Nemucod oder einer anderen Ransomware-Familie geworden? Nicht verzagen. Hier haben wir eine große Auswahl an Entschlüsselungstools für Sie bereitgestellt.

Tipp für Administratoren zum Schutz Ihrer Website vor Malware

Achten Sie darauf, dass die Software Ihrer Website (CMS, Plug-ins, Themes usw.) immer aktuell und sämtliche Zugänge, etwa zu FTP oder cPanel, durch starke Kennwörter geschützt sind.

Vorsichtiges Surfen als bester Schutz für Anwender

Auch online gilt: Nutzen Sie Ihren gesunden Menschenverstand. Wenn Sie auf fremde Seiten umgeleitet werden, schließen Sie Ihren Browser und führen Sie einen Scan mit Ihrer Anti-Malware-Software durch. Schützen Sie Ihren Computer, indem Sie immer eine hochwertige Anti-Malware-Lösung mit Internetschutz laufen lassen. Damit stellen Sie sicher, dass Sie beim unbeabsichtigten Aufrufen einer bösartigen Seite, die Trojaner oder andere Malware einzuschleusen versucht, gewarnt werden und der Zugriff darauf verhindert wird.

Wir wünschen eine schöne (Malware-freie) Zeit!

 

Übersetzt von Doreen Schäfer

Senan Conrad

Weitere Artikel