infostudium.de

[Coolcat]

Für alle die nicht in der [rwth-security]-Mailingliste hängen...

Message: 1
Date: Fri, 25 May 2007 11:14:35 +0200
From: Jens Hektor <hektor (ät) rz.rwth (minus) aachen (pünktchen) de>
Subject: [rwth-security] BHOs und das Domaingrabbing Grid
(DFN-CERT#4876)

Hallo,

wir schlagen uns hier seit ein paar Tagen mit einer
ganzen Reihe (die Anzahl ist deutlich zweistellig, eventuell
sogar dreistellig) von Rechnern herum, bei denen ein sogenanntes
Browser Helper Object (BHO) im Internet Explorer sein Unwesen
treibt.

Dazu werden heute und in den n?chsten Tagen s?mtliche Rechner
gesperrt werden, die uns mit einschl?gigem Traffic auffallen.

Worum gehts genau? Fang ich doch mal vorne an.

Am 8.5. erhielten wir vom BSI (Bundesamt f?r Sicherheit in der IT)
den dezenten Hinweis, dass drei Rechner der RWTH beim niederl?ndischen
NIC (Network Information Center - dort werden ".nl" Domains verwaltet)
mit einer sehr hohen Anzahl von WHOIS [1] Anfragen aufgefallen waren.

Eine ?berpr?fung unseres Traffics ergab sehr schnell ein anderes
Bild, n?mlich dass noch wesentlich mehr Systeme das DENIC
(zust?ndig f?r ".de" Domains) via WHOIS nach ".de" Domains
abgrasten, und dieses zum Teil sehr systematisch.

Genauere Beobachtung des Traffics der gemeldeten Systeme offenbarte,
dass die User wohl der Installation einer Software zugestimmt hatten,
die sich vermutlich als "Suchtool" oder "Accesshelper f?r Content"
darstellte, und bei der Installation eine AGB und eine
"Datenschutzerkl?rung" akzeptiert hatten, die folgende Punkte enthielt:

"(3) Mittels 'Software XYZ' gew?hrt der Lizenzgeber dem Lizenznehmer den
kostenlosen Zugriff auf normalerweise kostenpflichtige Web-Seiten des
Lizenzgebers oder Vertragspartnern des Lizenzgebers."

"(2) Der Lizenznehmer stellt dem Lizenzgeber einen nicht erheblichen Teil
der Rechner-Kapazit?ten seines Computers, auf dem 'Software XYZ' installiert
ist, f?r Online-Analyse-Zwecke zur Verf?gung. Der Lizenzgeber erkl?rt,
dass die Inanspruchnahme der Rechner-Kapazit?ten sich in einem solchen
Rahmen h?lt, das der laufende Computer-Betrieb des Lizenznehmers dadurch
nicht grundlegend beeintr?chtigt wird. Der Lizenzgeber erkl?rt, dass er
diese Rechner-Kapazit?ten ausschlie?lich zu legalen und rechtm??igen
Handlungen im Analyse -Bereich verwendet."

(Der Name der Software wurde ge?ndert)

Dieses St?ck Software wurde von einem Server in den USA geliefert, nachdem
man sich auf eine "Typo-Domain" (Tippfehlerdomain) begeben hatten, im
vorliegenden Fall war es www.aesag.de statt www.aseag.de. Meistens verweisen
dann solche Seiten auf Pseudosuchseiten oder ?hnliches, aber eben oftmals auch
mit "Nebeneffekten".

Leider erkl?rte diese Software aber nicht das Verhalten s?mtlicher Systeme
mit WHOIS Traffic.

Bei weiteren Systemen wurden die bereits oben erw?hnten Browser Helper Objects
gefunden, zu deren Installationsgeschichte aber derzeit keine weiteren
Erkenntnisse vorliegen. Die BHOs findet man im Internet Explorer
(benutzerspezifisch!) im Men? "Extras" unter "Add-Ons". Dort kann man
entsprechende Eintr?ge deaktivieren.

Details: offensichtlich werden von den BHOs periodisch kryptische URLs
angefordert, etwa diese hier:

/update/version.htm?id=7659D341-B231-40D6-98B5-0537ABD65629&wid=21930&re=3&os=WinXP,SP2&wpa=default&ag=Mozilla/4.0%20(compatible;%20MSIE%206.0;%20Windows%20NT%205.1;%20SV1;%20HbTools%204.8.4)&um=A


oder so:

/get.htm?run=0

Die angefragten Server (in DE bzw. NL, aber sehr identisch aufgesetzt)
antworten dann mit bin?ren (also verschl?sseltem Traffic).
Offensichtlich wird hierbei eine Liste der DE-Domains ?bermittelt,
die anschliessend auf Verf?gbarkeit mittels einer WHOIS-Anfragen
beim DENIC ?berpr?ft werden.

Wat soll dat?

Nach meiner Einsch?tzung hier geht es darum, Domainnamen, die wieder
freiwerden, m?glichst schnell zu "grabben", um diese eventuell f?r
mehr Geld weiter zu verkaufen, bzw. auf andere Art Profit daraus
zu ziehen.

So gesehen ist es also jemandem gelungen, eine Art

Domain Grabbing Grid (C)

mit Beteiligung von Rechnern der RWTH hochzuziehen. Ich gehe
davon aus, dass die gesamte Anzahl der so "behandelten" Rechner
locker in die tausende geht.

Wir halten hier im NOC diese Art von Software f?r *unerw?nscht*
und ?hnlich wird sie auch von vielen Virenscannern erkannt und
klassifiziert ("adware", "not-a-virus:adware", "potentially
unwanted software", usw.).

Allerdings wird diese Software von Sophos nicht beim Access,
sondern erst beim "on demand" Scan erkannt. Das beliebte Toll "adaware"
erkannte sie dann gleich gar nicht. Soviel zum Thema Virenscanner
und anderer sogenannter "Sicherheitstools".

Ich werde beginnend ab heute systematisch alle Rechner, die uns
mit derartigen Whoisanfragen bzw. Anfragen auf die bekannten
Webserver auffallen, sperren und die Administratoren bzw. Nutzer
mit Verweis auf diesen Artikel im Web benachrichtigen.

Zum Identifizieren der entsprechenden BHOs oder DLLs sollte man
eine aktuelle Version der "Process Explorer" bzw. von "Autoruns"
von Sysinternals (bzw. Microsoft) einsetzen [2].
Mit dem Process-Explorer kann man sowohl den Traffic
processbezogen sehen als auch geladene DLLs identifizieren.
Unter Umst?nden reicht auch ein "verstehender Blick" in die
Liste der Browser Add-Ons.

Wir sind an den gefundenen DLLs oder anderer Software zwecks
?berpr?fung interessiert, insbesondere, wenn Sophos sie nicht
erkennt.
Hierzu noch zwei n?tzliche URLs:

http://www.virustotal.com/
http://virusscan.jotti.org/

Dort kann man verd?chtige Software von mehreren Virenscannern
testen lassen.

Dank geht an Edwin Reusch (BSI), das DFN-CERT, Holger Rudat
(GIA), sowie Dieter M?ller and Sascha Schmelter (beide VKA).

Gruss, Jens Hektor

P.S.: Mich wundert, dass google bei "BHO" und "Security" praktisch
nur einen Case von vor drei Jahren erw?hnt. Vielleicht h?tte ich als
Subject "BHO reloaded" w?hlen sollen

[1] Allgemine Infos zu WHOIS: http://de.wikipedia.org/wiki/Whois
Auch die RWTH betreibt einen WHOIS-Dienst.
Mit Whoisclient: whois -h whois.rwth-aachen.de <eine-RWTH-IP>
Ohne Whoisclient: telnet whois.rwth-aachen.de 43, danach IP eingeben.

[2]
http://www.microsoft.com/technet/sysint ... lorer.mspx
http://www.microsoft.com/technet/sysint ... oruns.mspx

CC: dfn-cert, BCC: weitere beteiligte Personen.