Abo
  • Services:
Anzeige
Ein Exit-Server im Tor-Netzwerk hatte Binärdateien manipuliert. Er ist inzwischen aus dem Tor-Netzwerk erntfernt worden.
Ein Exit-Server im Tor-Netzwerk hatte Binärdateien manipuliert. Er ist inzwischen aus dem Tor-Netzwerk erntfernt worden. (Bild: Tor Project/Screenshot: Golem.de)

Malware: Manipulierte Binaries im Tor-Netzwerk

Ein Exit-Server im Tor-Netzwerk hatte Binärdateien manipuliert. Er ist inzwischen aus dem Tor-Netzwerk erntfernt worden.
Ein Exit-Server im Tor-Netzwerk hatte Binärdateien manipuliert. Er ist inzwischen aus dem Tor-Netzwerk erntfernt worden. (Bild: Tor Project/Screenshot: Golem.de)

Security-Experten haben die Verbreitung manipulierter Windows-Dateien im Tor-Netzwerk entdeckt, die mit Malware infiziert sind. Der Exit-Server ist inzwischen auf der schwarzen Liste, ein vollkommener Schutz ist das jedoch nicht.

Anzeige

Auch wenn das Tor-Netzwerk für mehr Anonymität sorgt, ist es keinesfalls sicherer als das offene Internet. Der Sicherheitsexperte Josh Pitts hat einen sogenannten Exit-Server im Anonymisierungsnetzwerk entdeckt, der Windows-Dateien manipuliert, während sie dort durchlaufen: Ihnen wird Malware hinzugefügt. Inzwischen wurde der Server mit einem sogenannten Bad-Exit-Flag versehen und so auf die schwarze Liste gesetzt. Allerdings ist das kein ausreichender Schutz.

Pitts hatte zuvor die Möglichkeit beschrieben, wie auch Binärdateien auf dem Weg vom eigentlichen Server zum Client manipuliert werden können. Seine Backdoor Factory war eine Machbarkeitsstudie, mit der er sowohl in PE-Binärdateien und DLL-Bibliotheken für Windows als auch in ELF für Linux sowie Mach-O-Dateien für Mac OS X Schadcode während eines Transfers einschleusen konnte.

Mehr Gefahr durch Fixit

Normalerweise schlagen Betriebssysteme oder Software Alarm, wenn ein Nutzer versucht, solch manipulierte Anwendungen zu verwenden. Allerdings passiert das nicht immer und kann auch vom Benutzer selbst umgegangen werden, etwa bei Microsoft. Der von einer so manipulierten Binärdatei von Windows generierte Fehlercode lautet 80200053. Für einen solchen Fall bietet Microsoft selbst ein Fixit-Werkzeug.

Pitts analysierte die von dem bösartigen Server verbreiteten manipulierten Dateien und stellte fest, dass die Verwendung des Fixit-Tools eine gefährliche Infektion erst möglich macht. Denn das Werkzeug wird selbst mit der Malware infiziert. Da der Nutzer und nicht das Betriebssystem das Fixit-Werkzeug herunterlädt und verwendet, wird es nicht mehr verifiziert. Außerdem müssen die Fixit-Werzeuge mit Administratorrechten gestartet werden, die dann auch die Malware nutzen kann. Windows ab Version 7 lässt sich über Applocker aber so einstellen, dass nur signierte Binärdateien ausgeführt werden dürfen. Standardmäßig ist das jedoch nicht der Fall.

Die von Pitts entdeckten manipulierte Versionen umfassen Setupdateien für das Microsoft Visual C++ Redistributable-Paket Vcredist sowie aus der Werkzeugsammlung Systinternals, darunter die Prozessviewer Psexec.exe und Procexec.exe sowie das Netzwerkanalysewerkzeug Tcpview.exe. Eine Windows-Version von Nmap sei von dem Exitserver ebenfalls manipuliert worden.

Das Problem erfordert mehr Aufmerksamkeit

Den Server auf die schwarze Liste zu setzen, reiche möglicherweise nicht aus, schreibt Roger Dingledine vom Tor-Projekt. Es könnten immer wieder Nachahmer weitere Exit-Server aufsetzen, die wieder Dateien auf diese Weise manipulierten. Dingledine forderte dazu auf, ein entsprechende Modul in Exitmap einzubauen, das solche Manipulationen aufspürt. Pitts hatte unter anderem Exitmap für seine Analyse genutzt.

Ein höheres Maß an Sicherheit könne nur dann gewährleistet sein, wenn Unternehmen und Entwickler ihre Downloads nur noch über verschlüsselte Verbindungen anböten, egal ob die Binärdateien signiert seien oder nicht, schreibt Pitts. Anwender, die in Ländern Tor verwenden, in denen Zensur herrscht, sollten besonders vorsichtig sein. Außerdem sollten Nutzer immer die Möglichkeit haben, die Integrität der heruntergeladenen Dateien mit Hashes oder Signaturen zu verifizieren.


eye home zur Startseite
Nebucatnetzer 28. Okt 2014

Das ist leider schon ein bisschen doof. Für mich persönlich reichen zum Glück selbst...

manitu 27. Okt 2014

+1



Anzeige

Stellenmarkt
  1. Vodafone Kabel Deutschland GmbH, Unterföhring bei München
  2. cbb-Software GmbH, Lüneburg, Lübeck
  3. T-Systems International GmbH, verschiedene Standorte
  4. Vodafone Kabel Deutschland GmbH, Unterföhring


Anzeige
Spiele-Angebote
  1. 4,99€
  2. 23,99€
  3. (-65%) 6,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Delid Die Mate 2

    Prozessoren köpfen leichter gemacht

  2. Rückzieher

    Assange will nun doch nicht in die USA

  3. Oracle

    Critical-Patch-Update schließt 270 Sicherheitslücken

  4. Android 7.0

    Samsung verteilt Nougat-Update für S7-Modelle

  5. Forcepoint

    Carbanak nutzt Google-Dienste für Malware-Hosting

  6. Fabric

    Google kauft Twitters App-Werkzeuge mit Milliarden Nutzern

  7. D-Link

    Büro-Switch mit PoE-Passthrough - aber wenig Anschlüssen

  8. Flash und Reader

    Adobe liefert XSS-Lücke als Sicherheitsupdate

  9. GW4 und Mont-Blanc-Projekt

    In Europa entstehen zwei ARM-Supercomputer

  10. Kabelnetz

    Vodafone stellt Bayern auf 1 GBit/s um



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  2. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel
  3. Raspberry Pi Compute Module 3 ist verfügbar

Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

  1. Re: was für einen Unterschied macht es für ihn...

    FranzBekker | 00:37

  2. Keine öffentlichen Aufträge mehr oder Aussagen

    schily | 00:37

  3. Re: Dumm ist er nicht.

    FranzBekker | 00:35

  4. Re: Rust?

    pythoneer | 00:33

  5. Re: Ein vom Provider gemanagter Router hat mehr...

    Schattenwerk | 00:21


  1. 18:28

  2. 18:07

  3. 17:51

  4. 16:55

  5. 16:19

  6. 15:57

  7. 15:31

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel