Thorsten Holz ist dem einen oder anderen bereits durch seine Arbeit für das deutsche Honeynet Project bekannt. Außerdem beschäftigt er sich seit geraumer Zeit mit Botnetzen und Schadprogrammen.
Klar, auf die üblichen Phishing-Mails fällt praktisch niemand mehr herein. Vielleicht noch ein paar trottelige Ebay-Nutzer, aber generell ist das nicht mehr State-of-the-Art. Die Angreifer verwenden daher Schadprogramme wie Viren, um Zugriff auf Zugangsdaten wie Ebay oder Online-Banken zu bekommen. Diese Viren enthalten einen Keylogger, der die ausgespäten Daten zu einem Server im Internet, der Dropzone schickt. Meist ist die Dropzone auch ein gehackter Rechner. Schadprogramme werden häufig mittels Social Engineering verbreitet, beispielsweise durch E-Mails mit dringend zu öffnendem Attachment. Aktuelle Trojaner sind beispielsweise Nethel/Limbo und ZeuS/Wsnpoem/Zbot.
Nethel/Limbo verwendet sogenannte Browser Helper Objects, Plugins für den Internet Explorer und klaut Zugangsdaten, Passwörter und Cookies. ZeuS verwendet keine BHO sondern injiziert sich direkt in Windows-Systemprozesse. Er kann außerdem HTML-Code in Webseiten injizieren, z.B. zusätzliche Formularfelder für die SSN oder CC-Nummer. Und er stiehlt sogar Zertifikate. Details zu ZeuS findet man bei reconstructer.org.
Dropzones entdeckt man am besten mit Honeypots, die von einem Angreifer übernommen werden können und genau beobachtet werden. Dann analysiert man, welche Netzwerkverbindungen vom Honeypot aufgebaut werden. Typische Honeypots sind Capture-HPC, HoneyClient, phoneyc. Alternativ kann man in einem Honeypot auch auf Spamattachments klicken und schauen was passiert. Dabei versucht man das typische Verhalten von Menschen automatisiert zu simulieren, das heißt den Browser starten, Webseiten ansurfen, Credentials eingeben, usw. Dazu wurde ein SimUser basierend auf AutoIT mit 17 Verhaltenstemplates entwickelt. Schadprogramme können auch mit CWSandbox analysiert werden.
Ziele von Zeus in Deutschland sind hauptsächlich Volks- und Raiffeisenbanken und Fiducia, international praktisch alle größeren und kleineren Banken. Der Zugang zu einem Bankaccount ist zwischen 10 und 1000 USD wert, Kreditkarten nur noch 0,40-20 USD und Identitäten nur noch 1-9 USD.
Mein Geschäftsmodell wäre ja jetzt, die Dropzones zu finden, zu hacken und die dort hinterlegten Daten weiterzuverkaufen. Dazu muss man weder Viren programmieren noch macht man sich selbst groß die Finger schmutzig. Aber Thorsten hat die Daten leider schon alle an AusCERT gemeldet. 😉
Kommentare gesperrt wegen Spam
Comment by Christian — 10. März 2009 @ 22:03