Abo
  • Services:
Anzeige
Ein Exit-Server im Tor-Netzwerk hatte Binärdateien manipuliert. Er ist inzwischen aus dem Tor-Netzwerk erntfernt worden.
Ein Exit-Server im Tor-Netzwerk hatte Binärdateien manipuliert. Er ist inzwischen aus dem Tor-Netzwerk erntfernt worden. (Bild: Tor Project/Screenshot: Golem.de)

Malware: Manipulierte Binaries im Tor-Netzwerk

Ein Exit-Server im Tor-Netzwerk hatte Binärdateien manipuliert. Er ist inzwischen aus dem Tor-Netzwerk erntfernt worden.
Ein Exit-Server im Tor-Netzwerk hatte Binärdateien manipuliert. Er ist inzwischen aus dem Tor-Netzwerk erntfernt worden. (Bild: Tor Project/Screenshot: Golem.de)

Security-Experten haben die Verbreitung manipulierter Windows-Dateien im Tor-Netzwerk entdeckt, die mit Malware infiziert sind. Der Exit-Server ist inzwischen auf der schwarzen Liste, ein vollkommener Schutz ist das jedoch nicht.

Anzeige

Auch wenn das Tor-Netzwerk für mehr Anonymität sorgt, ist es keinesfalls sicherer als das offene Internet. Der Sicherheitsexperte Josh Pitts hat einen sogenannten Exit-Server im Anonymisierungsnetzwerk entdeckt, der Windows-Dateien manipuliert, während sie dort durchlaufen: Ihnen wird Malware hinzugefügt. Inzwischen wurde der Server mit einem sogenannten Bad-Exit-Flag versehen und so auf die schwarze Liste gesetzt. Allerdings ist das kein ausreichender Schutz.

Pitts hatte zuvor die Möglichkeit beschrieben, wie auch Binärdateien auf dem Weg vom eigentlichen Server zum Client manipuliert werden können. Seine Backdoor Factory war eine Machbarkeitsstudie, mit der er sowohl in PE-Binärdateien und DLL-Bibliotheken für Windows als auch in ELF für Linux sowie Mach-O-Dateien für Mac OS X Schadcode während eines Transfers einschleusen konnte.

Mehr Gefahr durch Fixit

Normalerweise schlagen Betriebssysteme oder Software Alarm, wenn ein Nutzer versucht, solch manipulierte Anwendungen zu verwenden. Allerdings passiert das nicht immer und kann auch vom Benutzer selbst umgegangen werden, etwa bei Microsoft. Der von einer so manipulierten Binärdatei von Windows generierte Fehlercode lautet 80200053. Für einen solchen Fall bietet Microsoft selbst ein Fixit-Werkzeug.

Pitts analysierte die von dem bösartigen Server verbreiteten manipulierten Dateien und stellte fest, dass die Verwendung des Fixit-Tools eine gefährliche Infektion erst möglich macht. Denn das Werkzeug wird selbst mit der Malware infiziert. Da der Nutzer und nicht das Betriebssystem das Fixit-Werkzeug herunterlädt und verwendet, wird es nicht mehr verifiziert. Außerdem müssen die Fixit-Werzeuge mit Administratorrechten gestartet werden, die dann auch die Malware nutzen kann. Windows ab Version 7 lässt sich über Applocker aber so einstellen, dass nur signierte Binärdateien ausgeführt werden dürfen. Standardmäßig ist das jedoch nicht der Fall.

Die von Pitts entdeckten manipulierte Versionen umfassen Setupdateien für das Microsoft Visual C++ Redistributable-Paket Vcredist sowie aus der Werkzeugsammlung Systinternals, darunter die Prozessviewer Psexec.exe und Procexec.exe sowie das Netzwerkanalysewerkzeug Tcpview.exe. Eine Windows-Version von Nmap sei von dem Exitserver ebenfalls manipuliert worden.

Das Problem erfordert mehr Aufmerksamkeit

Den Server auf die schwarze Liste zu setzen, reiche möglicherweise nicht aus, schreibt Roger Dingledine vom Tor-Projekt. Es könnten immer wieder Nachahmer weitere Exit-Server aufsetzen, die wieder Dateien auf diese Weise manipulierten. Dingledine forderte dazu auf, ein entsprechende Modul in Exitmap einzubauen, das solche Manipulationen aufspürt. Pitts hatte unter anderem Exitmap für seine Analyse genutzt.

Ein höheres Maß an Sicherheit könne nur dann gewährleistet sein, wenn Unternehmen und Entwickler ihre Downloads nur noch über verschlüsselte Verbindungen anböten, egal ob die Binärdateien signiert seien oder nicht, schreibt Pitts. Anwender, die in Ländern Tor verwenden, in denen Zensur herrscht, sollten besonders vorsichtig sein. Außerdem sollten Nutzer immer die Möglichkeit haben, die Integrität der heruntergeladenen Dateien mit Hashes oder Signaturen zu verifizieren.


eye home zur Startseite
Nebucatnetzer 28. Okt 2014

Das ist leider schon ein bisschen doof. Für mich persönlich reichen zum Glück selbst...

manitu 27. Okt 2014

+1



Anzeige

Stellenmarkt
  1. Heraeus infosystems GmbH, Hanau
  2. Home Shopping Europe GmbH, Ismaning Raum München
  3. ASTERION Germany GmbH, Viernheim/Rüsselsheim
  4. über Duerenhoff GmbH, Raum Offenbach


Anzeige
Top-Angebote
  1. (u. a. HTC U Ultra für 399€ und Motorola Moto C Plus für 89€)
  2. 42,99€
  3. (heute u. a. Gran Turismo + Controller für 79€, ASUS ZenFone 4 Max für 199€ und Razer...

Folgen Sie uns
       


  1. Staingate

    Austauschprogramm für fleckige Macbooks wird verlängert

  2. Digitale Infrastruktur

    Ralph Dommermuth kritisiert deutsche Netzpolitik

  3. Elektroauto

    VW will weitere Milliarden in Elektromobilität investieren

  4. Elektroauto

    Walmart will den Tesla-Truck

  5. Die Woche im Video

    Ausgefuchst, abgezockt und abgefahren

  6. Siri-Lautsprecher

    Apple versemmelt den Homepod-Start

  7. Open Routing

    Facebook gibt interne Plattform für Backbone-Routing frei

  8. Übernahme

    Vivendi lässt Ubisoft ein halbes Jahr in Ruhe

  9. Boston Dynamics

    Humanoider Roboter Atlas macht Salto rückwärts

  10. Projekthoster

    Github zeigt Sicherheitswarnungen für Projektabhängigkeiten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smartphoneversicherungen im Überblick: Teuer und meistens überflüssig
Smartphoneversicherungen im Überblick
Teuer und meistens überflüssig
  1. Winphone 5.0 Trekstor will es nochmal mit Windows 10 Mobile versuchen
  2. Librem 5 Das freie Linux-Smartphone ist finanziert
  3. Aquaris-V- und U2-Reihe BQ stellt neue Smartphones ab 180 Euro vor

Erneuerbare Energien: Siemens leitet die neue Steinzeit ein
Erneuerbare Energien
Siemens leitet die neue Steinzeit ein
  1. Siemens und Schunk Akkufahrzeuge werden mit 600 bis 1.000 Kilowatt aufgeladen
  2. Parkplatz-Erkennung Bosch und Siemens scheitern mit Pilotprojekten

Cubesats: Startup steuert riesigen Satellitenschwarm von Berlin aus
Cubesats
Startup steuert riesigen Satellitenschwarm von Berlin aus
  1. Arkyd-6 Planetary Resources startet bald ein neues Weltraumteleskop
  2. SAEx Internet-Seekabel für Südatlantikinsel St. Helena
  3. Sputnik Piep, piep, kleiner Satellit

  1. "Filmreif" ist KEIN Gütesiegel

    Juge | 00:18

  2. Re: So viel zu der Behauptung, VW sei E- und...

    Hegakalle | 00:17

  3. Re: 1 Atomkraftwerk = xxx Trucks --- Alle...

    henryanki | 00:07

  4. Re: Der Akku wird zu schnell geladen

    Ach | 00:06

  5. Re: Sich an die eigene Nase zu fassen...

    misfit | 18.11. 23:57


  1. 17:14

  2. 13:36

  3. 12:22

  4. 10:48

  5. 09:02

  6. 19:05

  7. 17:08

  8. 16:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel