• IT-Karriere:
  • Services:

Malware: Manipulierte Binaries im Tor-Netzwerk

Security-Experten haben die Verbreitung manipulierter Windows-Dateien im Tor-Netzwerk entdeckt, die mit Malware infiziert sind. Der Exit-Server ist inzwischen auf der schwarzen Liste, ein vollkommener Schutz ist das jedoch nicht.

Artikel veröffentlicht am ,
Ein Exit-Server im Tor-Netzwerk hatte Binärdateien manipuliert. Er ist inzwischen aus dem Tor-Netzwerk erntfernt worden.
Ein Exit-Server im Tor-Netzwerk hatte Binärdateien manipuliert. Er ist inzwischen aus dem Tor-Netzwerk erntfernt worden. (Bild: Tor Project/Screenshot: Golem.de)

Auch wenn das Tor-Netzwerk für mehr Anonymität sorgt, ist es keinesfalls sicherer als das offene Internet. Der Sicherheitsexperte Josh Pitts hat einen sogenannten Exit-Server im Anonymisierungsnetzwerk entdeckt, der Windows-Dateien manipuliert, während sie dort durchlaufen: Ihnen wird Malware hinzugefügt. Inzwischen wurde der Server mit einem sogenannten Bad-Exit-Flag versehen und so auf die schwarze Liste gesetzt. Allerdings ist das kein ausreichender Schutz.

Stellenmarkt
  1. Lidl Digital, Berlin
  2. CYBEROBICS, Berlin

Pitts hatte zuvor die Möglichkeit beschrieben, wie auch Binärdateien auf dem Weg vom eigentlichen Server zum Client manipuliert werden können. Seine Backdoor Factory war eine Machbarkeitsstudie, mit der er sowohl in PE-Binärdateien und DLL-Bibliotheken für Windows als auch in ELF für Linux sowie Mach-O-Dateien für Mac OS X Schadcode während eines Transfers einschleusen konnte.

Mehr Gefahr durch Fixit

Normalerweise schlagen Betriebssysteme oder Software Alarm, wenn ein Nutzer versucht, solch manipulierte Anwendungen zu verwenden. Allerdings passiert das nicht immer und kann auch vom Benutzer selbst umgegangen werden, etwa bei Microsoft. Der von einer so manipulierten Binärdatei von Windows generierte Fehlercode lautet 80200053. Für einen solchen Fall bietet Microsoft selbst ein Fixit-Werkzeug.

Pitts analysierte die von dem bösartigen Server verbreiteten manipulierten Dateien und stellte fest, dass die Verwendung des Fixit-Tools eine gefährliche Infektion erst möglich macht. Denn das Werkzeug wird selbst mit der Malware infiziert. Da der Nutzer und nicht das Betriebssystem das Fixit-Werkzeug herunterlädt und verwendet, wird es nicht mehr verifiziert. Außerdem müssen die Fixit-Werzeuge mit Administratorrechten gestartet werden, die dann auch die Malware nutzen kann. Windows ab Version 7 lässt sich über Applocker aber so einstellen, dass nur signierte Binärdateien ausgeführt werden dürfen. Standardmäßig ist das jedoch nicht der Fall.

Die von Pitts entdeckten manipulierte Versionen umfassen Setupdateien für das Microsoft Visual C++ Redistributable-Paket Vcredist sowie aus der Werkzeugsammlung Systinternals, darunter die Prozessviewer Psexec.exe und Procexec.exe sowie das Netzwerkanalysewerkzeug Tcpview.exe. Eine Windows-Version von Nmap sei von dem Exitserver ebenfalls manipuliert worden.

Das Problem erfordert mehr Aufmerksamkeit

Den Server auf die schwarze Liste zu setzen, reiche möglicherweise nicht aus, schreibt Roger Dingledine vom Tor-Projekt. Es könnten immer wieder Nachahmer weitere Exit-Server aufsetzen, die wieder Dateien auf diese Weise manipulierten. Dingledine forderte dazu auf, ein entsprechende Modul in Exitmap einzubauen, das solche Manipulationen aufspürt. Pitts hatte unter anderem Exitmap für seine Analyse genutzt.

Ein höheres Maß an Sicherheit könne nur dann gewährleistet sein, wenn Unternehmen und Entwickler ihre Downloads nur noch über verschlüsselte Verbindungen anböten, egal ob die Binärdateien signiert seien oder nicht, schreibt Pitts. Anwender, die in Ländern Tor verwenden, in denen Zensur herrscht, sollten besonders vorsichtig sein. Außerdem sollten Nutzer immer die Möglichkeit haben, die Integrität der heruntergeladenen Dateien mit Hashes oder Signaturen zu verifizieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 299,00€ (Bestpreis! zzgl. Versand)

Nebucatnetzer 28. Okt 2014

Das ist leider schon ein bisschen doof. Für mich persönlich reichen zum Glück selbst...

manitu 27. Okt 2014

+1


Folgen Sie uns
       


Hallo Magenta und Alexa auf dem Smart Speaker der Telekom

Wetter, Allgemeinwissen, sächsische Aussprache - wir haben den Magenta-Assistenten gegen Alexa antreten lassen.

Hallo Magenta und Alexa auf dem Smart Speaker der Telekom Video aufrufen
Confidential Computing: Vertrauen ist schlecht, Kontrolle besser
Confidential Computing
Vertrauen ist schlecht, Kontrolle besser

Die IT-Welt zieht in die Cloud und damit auf fremde Rechner. Beim Confidential Computing sollen Daten trotzdem während der Nutzung geschützt werden, und zwar durch die Hardware - keine gute Idee!
Ein IMHO von Sebastian Grüner

  1. Gaia-X Knoten in Altmaiers Cloud identifzieren sich eindeutig
  2. Gaia-X Altmaiers Cloud-Pläne bleiben weiter wolkig
  3. Cloud Ex-SAP-Chef McDermott will Servicenow stark expandieren

Top-Level-Domains: Wem gehören .amazon, .ostsee und .angkorwat?
Top-Level-Domains
Wem gehören .amazon, .ostsee und .angkorwat?

Südamerikanische Regierungen streiten sich seit Jahren mit Amazon um die Top-Level-Domain .amazon. Bislang stehen die Regierungen als Verlierer da. Ein anderer Verlierer ist jedoch die Icann, die es nicht schafft, das öffentliche Interesse an solch einer Domain ausreichend zu berücksichtigen.
Von Katrin Ohlmer

  1. Icann Namecheap startet Beschwerde wegen .org-Preisen
  2. Domain-Registrierung Icann drückt .org-Vertrag ohne Preisschranken durch
  3. Domain-Registrierung Mehrheit widerspricht Icann-Plan zur .org-Preiserhöhung

Neuer Streamingdienst von Disney: Disney+ ist stark bei Filmen und schwach bei Serien
Neuer Streamingdienst von Disney
Disney+ ist stark bei Filmen und schwach bei Serien

Das Hollywoodstudio Disney ist in den Markt für Videostreamingabos eingestiegen. In den USA hat es beim Start von Disney+ technische Probleme gegeben. Mit Blick auf inhaltliche Vielfalt kann der Dienst weder mit Netflix noch mit Amazon Prime Video mithalten.
Von Ingo Pakalski

  1. Disney+ Disney korrigiert falsches Seitenverhältnis bei den Simpsons
  2. Videostreaming im Abo Disney+ hat 10 Millionen Abonnenten
  3. Disney+ Disney bringt seinen Streaming-Dienst auf Fire-TV-Geräte

    •  /