Malware: Manipulierte Binaries im Tor-Netzwerk

Security-Experten haben die Verbreitung manipulierter Windows-Dateien im Tor-Netzwerk entdeckt, die mit Malware infiziert sind. Der Exit-Server ist inzwischen auf der schwarzen Liste, ein vollkommener Schutz ist das jedoch nicht.

Artikel veröffentlicht am ,
Ein Exit-Server im Tor-Netzwerk hatte Binärdateien manipuliert. Er ist inzwischen aus dem Tor-Netzwerk erntfernt worden.
Ein Exit-Server im Tor-Netzwerk hatte Binärdateien manipuliert. Er ist inzwischen aus dem Tor-Netzwerk erntfernt worden. (Bild: Tor Project/Screenshot: Golem.de)

Auch wenn das Tor-Netzwerk für mehr Anonymität sorgt, ist es keinesfalls sicherer als das offene Internet. Der Sicherheitsexperte Josh Pitts hat einen sogenannten Exit-Server im Anonymisierungsnetzwerk entdeckt, der Windows-Dateien manipuliert, während sie dort durchlaufen: Ihnen wird Malware hinzugefügt. Inzwischen wurde der Server mit einem sogenannten Bad-Exit-Flag versehen und so auf die schwarze Liste gesetzt. Allerdings ist das kein ausreichender Schutz.

Stellenmarkt
  1. Digital Operation Specialist (m/w/d)
    Bundeskriminalamt, Wiesbaden, Berlin, Meckenheim
  2. (Junior) Applikationsingenieur Software (w/m/d)
    ProLeiT GmbH, Herzogenaurach
Detailsuche

Pitts hatte zuvor die Möglichkeit beschrieben, wie auch Binärdateien auf dem Weg vom eigentlichen Server zum Client manipuliert werden können. Seine Backdoor Factory war eine Machbarkeitsstudie, mit der er sowohl in PE-Binärdateien und DLL-Bibliotheken für Windows als auch in ELF für Linux sowie Mach-O-Dateien für Mac OS X Schadcode während eines Transfers einschleusen konnte.

Mehr Gefahr durch Fixit

Normalerweise schlagen Betriebssysteme oder Software Alarm, wenn ein Nutzer versucht, solch manipulierte Anwendungen zu verwenden. Allerdings passiert das nicht immer und kann auch vom Benutzer selbst umgegangen werden, etwa bei Microsoft. Der von einer so manipulierten Binärdatei von Windows generierte Fehlercode lautet 80200053. Für einen solchen Fall bietet Microsoft selbst ein Fixit-Werkzeug.

Pitts analysierte die von dem bösartigen Server verbreiteten manipulierten Dateien und stellte fest, dass die Verwendung des Fixit-Tools eine gefährliche Infektion erst möglich macht. Denn das Werkzeug wird selbst mit der Malware infiziert. Da der Nutzer und nicht das Betriebssystem das Fixit-Werkzeug herunterlädt und verwendet, wird es nicht mehr verifiziert. Außerdem müssen die Fixit-Werzeuge mit Administratorrechten gestartet werden, die dann auch die Malware nutzen kann. Windows ab Version 7 lässt sich über Applocker aber so einstellen, dass nur signierte Binärdateien ausgeführt werden dürfen. Standardmäßig ist das jedoch nicht der Fall.

Golem Akademie
  1. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    8.–12. November 2021, Virtuell
  2. SAMBA Datei- und Domänendienste einrichten: virtueller Drei-Tage-Workshop
    15.–17. November 2021, Virtuell
Weitere IT-Trainings

Die von Pitts entdeckten manipulierte Versionen umfassen Setupdateien für das Microsoft Visual C++ Redistributable-Paket Vcredist sowie aus der Werkzeugsammlung Systinternals, darunter die Prozessviewer Psexec.exe und Procexec.exe sowie das Netzwerkanalysewerkzeug Tcpview.exe. Eine Windows-Version von Nmap sei von dem Exitserver ebenfalls manipuliert worden.

Das Problem erfordert mehr Aufmerksamkeit

Den Server auf die schwarze Liste zu setzen, reiche möglicherweise nicht aus, schreibt Roger Dingledine vom Tor-Projekt. Es könnten immer wieder Nachahmer weitere Exit-Server aufsetzen, die wieder Dateien auf diese Weise manipulierten. Dingledine forderte dazu auf, ein entsprechende Modul in Exitmap einzubauen, das solche Manipulationen aufspürt. Pitts hatte unter anderem Exitmap für seine Analyse genutzt.

Ein höheres Maß an Sicherheit könne nur dann gewährleistet sein, wenn Unternehmen und Entwickler ihre Downloads nur noch über verschlüsselte Verbindungen anböten, egal ob die Binärdateien signiert seien oder nicht, schreibt Pitts. Anwender, die in Ländern Tor verwenden, in denen Zensur herrscht, sollten besonders vorsichtig sein. Außerdem sollten Nutzer immer die Möglichkeit haben, die Integrität der heruntergeladenen Dateien mit Hashes oder Signaturen zu verifizieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Pixel 6 und Android 12
Googles halbgare Android-Update-Schummelei

Seit Jahren arbeitet Google daran, endlich so lange Updates zu liefern wie die Konkurrenz. Mit dem Pixel 6 und Android 12 enttäuscht der Konzern aber.
Ein IMHO von Sebastian Grüner

Pixel 6 und Android 12: Googles halbgare Android-Update-Schummelei
Artikel
  1. Impfnachweise: Covid-Zertifikat für Adolf Hitler aufgetaucht
    Impfnachweise
    Covid-Zertifikat für Adolf Hitler aufgetaucht

    Im Internet sind gefälschte, aber korrekt signierte QR-Codes mit Covid-Impfnachweisen aufgetaucht.

  2. Open RAN: Alle 1&1-Mobilfunkkunden kommen ins neue Netz
    Open RAN
    Alle 1&1-Mobilfunkkunden kommen ins neue Netz

    Erstmals legt 1&1 United Internet ausführlich offen, wie sein eigenes Mobilfunknetz aussehen soll und warum es komplett anders sein wird.

  3. Apple: Notch des Macbook Pro legt sich über Inhalte
    Apple
    Notch des Macbook Pro legt sich über Inhalte

    Erste Käufer des neuen Macbook Pro berichten von einer schlechten Software-Anpassung. So legt sich die Notch über Menüs oder den Mauszeiger.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 4K-Monitore & TVs günstiger (u. a. 50" QLED 2021 749€) • Seagate Exos 18TB 319€ • Alternate (u. a. Asus B550-Plus Mainboard 118€) • Switch OLED 369,99€ • Neues Xiaomi 11T 256GB 549,90€ • Ergotron LX Desk Mount Monitorhalterung 124,90€ • Speicherprodukte von Sandisk & WD [Werbung]
    •  /