Abo
  • Services:
Anzeige
Ein Exit-Server im Tor-Netzwerk hatte Binärdateien manipuliert. Er ist inzwischen aus dem Tor-Netzwerk erntfernt worden.
Ein Exit-Server im Tor-Netzwerk hatte Binärdateien manipuliert. Er ist inzwischen aus dem Tor-Netzwerk erntfernt worden. (Bild: Tor Project/Screenshot: Golem.de)

Malware: Manipulierte Binaries im Tor-Netzwerk

Ein Exit-Server im Tor-Netzwerk hatte Binärdateien manipuliert. Er ist inzwischen aus dem Tor-Netzwerk erntfernt worden.
Ein Exit-Server im Tor-Netzwerk hatte Binärdateien manipuliert. Er ist inzwischen aus dem Tor-Netzwerk erntfernt worden. (Bild: Tor Project/Screenshot: Golem.de)

Security-Experten haben die Verbreitung manipulierter Windows-Dateien im Tor-Netzwerk entdeckt, die mit Malware infiziert sind. Der Exit-Server ist inzwischen auf der schwarzen Liste, ein vollkommener Schutz ist das jedoch nicht.

Anzeige

Auch wenn das Tor-Netzwerk für mehr Anonymität sorgt, ist es keinesfalls sicherer als das offene Internet. Der Sicherheitsexperte Josh Pitts hat einen sogenannten Exit-Server im Anonymisierungsnetzwerk entdeckt, der Windows-Dateien manipuliert, während sie dort durchlaufen: Ihnen wird Malware hinzugefügt. Inzwischen wurde der Server mit einem sogenannten Bad-Exit-Flag versehen und so auf die schwarze Liste gesetzt. Allerdings ist das kein ausreichender Schutz.

Pitts hatte zuvor die Möglichkeit beschrieben, wie auch Binärdateien auf dem Weg vom eigentlichen Server zum Client manipuliert werden können. Seine Backdoor Factory war eine Machbarkeitsstudie, mit der er sowohl in PE-Binärdateien und DLL-Bibliotheken für Windows als auch in ELF für Linux sowie Mach-O-Dateien für Mac OS X Schadcode während eines Transfers einschleusen konnte.

Mehr Gefahr durch Fixit

Normalerweise schlagen Betriebssysteme oder Software Alarm, wenn ein Nutzer versucht, solch manipulierte Anwendungen zu verwenden. Allerdings passiert das nicht immer und kann auch vom Benutzer selbst umgegangen werden, etwa bei Microsoft. Der von einer so manipulierten Binärdatei von Windows generierte Fehlercode lautet 80200053. Für einen solchen Fall bietet Microsoft selbst ein Fixit-Werkzeug.

Pitts analysierte die von dem bösartigen Server verbreiteten manipulierten Dateien und stellte fest, dass die Verwendung des Fixit-Tools eine gefährliche Infektion erst möglich macht. Denn das Werkzeug wird selbst mit der Malware infiziert. Da der Nutzer und nicht das Betriebssystem das Fixit-Werkzeug herunterlädt und verwendet, wird es nicht mehr verifiziert. Außerdem müssen die Fixit-Werzeuge mit Administratorrechten gestartet werden, die dann auch die Malware nutzen kann. Windows ab Version 7 lässt sich über Applocker aber so einstellen, dass nur signierte Binärdateien ausgeführt werden dürfen. Standardmäßig ist das jedoch nicht der Fall.

Die von Pitts entdeckten manipulierte Versionen umfassen Setupdateien für das Microsoft Visual C++ Redistributable-Paket Vcredist sowie aus der Werkzeugsammlung Systinternals, darunter die Prozessviewer Psexec.exe und Procexec.exe sowie das Netzwerkanalysewerkzeug Tcpview.exe. Eine Windows-Version von Nmap sei von dem Exitserver ebenfalls manipuliert worden.

Das Problem erfordert mehr Aufmerksamkeit

Den Server auf die schwarze Liste zu setzen, reiche möglicherweise nicht aus, schreibt Roger Dingledine vom Tor-Projekt. Es könnten immer wieder Nachahmer weitere Exit-Server aufsetzen, die wieder Dateien auf diese Weise manipulierten. Dingledine forderte dazu auf, ein entsprechende Modul in Exitmap einzubauen, das solche Manipulationen aufspürt. Pitts hatte unter anderem Exitmap für seine Analyse genutzt.

Ein höheres Maß an Sicherheit könne nur dann gewährleistet sein, wenn Unternehmen und Entwickler ihre Downloads nur noch über verschlüsselte Verbindungen anböten, egal ob die Binärdateien signiert seien oder nicht, schreibt Pitts. Anwender, die in Ländern Tor verwenden, in denen Zensur herrscht, sollten besonders vorsichtig sein. Außerdem sollten Nutzer immer die Möglichkeit haben, die Integrität der heruntergeladenen Dateien mit Hashes oder Signaturen zu verifizieren.


eye home zur Startseite
Nebucatnetzer 28. Okt 2014

Das ist leider schon ein bisschen doof. Für mich persönlich reichen zum Glück selbst...

manitu 27. Okt 2014

+1



Anzeige

Stellenmarkt
  1. Harvey Nash GmbH, Baden-Baden
  2. Harvey Nash GmbH, Karlsruhe
  3. Haufe-Lexware GmbH & Co. KG, Freiburg, Leipzig
  4. VSA GmbH, München


Anzeige
Blu-ray-Angebote
  1. (u. a. Das Boot, Memento, Ohne Limit und No Escape)
  2. 29,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Google Daydream

    Qualcomm verrät Details zu Standalone-Headsets

  2. Frontier Development

    Weltraumspiel Elite Dangerous für PS4 erhältlich

  3. Petya-Ransomware

    Maersk, Rosneft und die Ukraine mit Ransomware angegriffen

  4. Nach Einigung

    Bündnis hält Facebook-Gesetz weiterhin für gefährlich

  5. SNES Classic Mini

    Nintendo produziert zweite Retrokonsole in höherer Stückzahl

  6. 5 GHz

    T-Mobile startet LTE-U im WLAN-Spektrum mehrerer US-Städte

  7. Dirt 4 im Test

    Vom Fahrschüler zum Rallye-Weltmeister

  8. Ende der Störerhaftung

    Koalition ersetzt Abmahnkosten durch Netzsperren

  9. NNabla

    Sony gibt Deep-Learning-Bibliothek frei

  10. Mobilfunk

    Deutsche Telekom betreibt noch 9.000 Richtfunkstrecken



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Ninjas, Pyramiden und epische kleine Kämpfe
Mobile-Games-Auslese
Ninjas, Pyramiden und epische kleine Kämpfe
  1. Ubisoft Chaoshasen, Weltraumaffen und die alten Ägypter
  2. Monument Valley 2 im Test Rätselspiel mit viel Atmosphäre und mehr Vielfalt
  3. Mobile-Games-Auslese Weltraumkartoffel und Bilderbuchwanderung für mobile Spieler

Mesh- und Bridge-Systeme in der Praxis: Mehr WLAN-Access-Points, mehr Spaß
Mesh- und Bridge-Systeme in der Praxis
Mehr WLAN-Access-Points, mehr Spaß
  1. Eero 2.0 Neues Mesh-WLAN-System kann sich auch per Kabel vernetzen
  2. BVG Fast alle Berliner U-Bahnhöfe haben offenes WLAN
  3. Broadcom-Sicherheitslücke Vom WLAN-Chip das Smartphone übernehmen

Neues iPad Pro im Test: Von der Hardware her ein Laptop
Neues iPad Pro im Test
Von der Hardware her ein Laptop
  1. iFixit iPad Pro 10,5 Zoll intern ein geschrumpftes 12,9 Zoll Modell
  2. Office kostenpflichtig Das iPad Pro 10,5 Zoll ist Microsoft zu groß
  3. Hintergrundbeleuchtung Logitech bringt Hülle mit abnehmbarer Tastatur für iPad Pro

  1. Re: Einfach Online pruefen

    Malukai | 03:30

  2. Re: Warten auf DLC

    Shik3i | 02:55

  3. Re: So what?

    1ras | 02:27

  4. Re: Auf den Funk kann man sich verlassen.

    tg-- | 02:25

  5. Re: Helgoland...

    tg-- | 02:14


  1. 02:00

  2. 17:35

  3. 17:01

  4. 16:44

  5. 16:11

  6. 15:16

  7. 14:31

  8. 14:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel