Phish Pharm: Cyberkriminelle nutzen Schwächen von Routern für Man-in-the-Middle-Attacken
Von Monika Schaufler, Regional Sales Director CEMEA, bei Proofpoint
Jede Saat, jeder Garten benötigt Vorbereitung und Pflege. Auch Cyberkriminelle kultivieren ihre Ressourcen – von Botnets und Exploit Kits bis zu SOCKS-Netzwerken und infizierten DNS-Servern –, um Opfern in aller Welt wertvolle Daten zu entlocken. Die als Pharming bekannte Technik verdeutlicht diese Analogie: Hacker nutzen infizierte DNS-Server, um Adressanfragen – in der Regel solche für Online-Banking-Websites – auf eine realistische, aber absolut betrügerische Website umzuleiten, um an die Online-Banking-Zugangsdaten des nichtsahnenden Endanwenders zu gelangen. Pharming ist in der Regel eine „passive Angriffstechnik“, bei der auf die DNS-Suchanfrage eines potenziellen Opfers gewartet wird, um diese auf den infizierten Server umzuleiten.
Proofpoint hat kürzlich eine Aktualisierung zu einer konzentrierten Phishing-Kampagne entdeckt, die eine moderne Variante dieser Methode darstellt. Wie bei der Nutzung von Fischresten als Dünger für Farmen im Ackerbau, so verwenden moderne Hacker Phishing-E-Mails, um den Ertrag ihrer Pharming-Kampagnen zu steigern. Dieser Fall ist aus mehreren Gründen besonders auffallend, nicht zuletzt wegen der Einführung von Phishing als Angriffsvektor zur Ausführung einer Manipulation, die üblicherweise komplett über das Netzwerk erfolgt.
Analyse
Über vier Wochen hinweg, von Dezember 2014 bis Mitte Januar 2015, beobachteten Proofpoint-Forscher vier unterschiedliche URLs, die bei einer relativ kleinen Kampagne in Umlauf gebracht worden waren – mit weniger als 100 E-Mail-Nachrichten, die an einige wenige Organisationen, überwiegend brasilianische Adressaten, verschickt wurden.
Eine Analyse der Nachrichten und Links ergab, dass die Attacken auf Kunden abzielten, die folgende Heimnetzwerk-Router besaßen:
- UTStarcom
- TP-Link
Die bösartigen URLs wurden in E-Mails wie der unten dargestellten gefunden:
Die obige E-Mail-Nachricht stammt angeblich vom größten Telekommunikations-Unternehmen Brasiliens. Die Hacker nutzten den Namen des Anbieters in einer Phishing-E-Mail als Lockmittel, um sich in die Router-Anlage des Anbieters einzuschleusen.
Die URLs sind mit Webseiten verknüpft, die darauf ausgelegt sind, CSRF-Attacken (cross-site request forgery) per Exploit-Kit an bekannten Schwachstellen der anvisierten Router auszuführen. Die Seiten versuchen, verschiedene Standard- bzw. allgemeine IP-Adressen für Heimnetzwerk-Router (z. B. 192.168.1.1) sowie bekannte Standardpasswörter für diese Geräte aufzurufen.
Sobald darauf geklickt wird, leitet der Link in der Phishing-E-Mail das Opfer auf eine Website, die mittels bösartiger iframes CSRF-Schwachstellen der anvisierten Router ausnutzt. Der iframe-Code erzwingt in mehreren HTTP-Anfragen eine Anmeldung beim Router über die Administrator-Seite, wie unten dargestellt:
Bei näherer Ansicht der im iframe eingebetteten HTTP-Anfragen kann man jede erfolgte Eingabe des standardmäßigen Administrator-Benutzernamens und des Passworts für den Router zur Standard-IP-Adresse für die Router-Verwaltungsseite erkennen. Ebenfalls sind ein String zur Festlegung der IP-Adresse des bösartigen DNS des Hackers als Primär-Adresse sowie ein allseits bekannter DNS als Sekundär-Adresse angegeben. Hier die Syntax der Anfrage:
.<username>:<password>@<homerouterIP>/dnscfg.cgi?dnsPrimary=<attackerDNS>&dnsSecondary=8.8.8.8
Durch die Festlegung eines funktionierenden DNS-Servers als Sekundär-Adresse können DNS-Anfragen von Clients in diesem Netzwerk auch dann aufgelöst werden, wenn der bösartige DNS nicht mehr verfügbar ist. Der Benutzer wird in der Regel nicht ahnen, dass ein Problem vorliegt, und daher auch nicht den Support seines Telekommunikationsanbieters um Unterstützung bitten – was zur Aufdeckung und damit zur Beseitigung der Manipulation führen könnte.
Kurz ausgedrückt: Sobald der Empfänger der Phishing-E-Mail auf den Link klickt und die Schwachstelle mit Erfolg ausgenutzt wird, ruft jeder Computer, der über Kabel oder drahtlos mit diesem Router verbunden wird einen bösartigen DNS-Server auf, der jeden Hostnamen im Internet abfragt. Im Wesentlichen handelt es sich hierbei um eine Variante des Pharming, deren Vorteil darin liegt, dass der Angreifer keinen öffentlichen DNS manipulieren muss. Diese Technik ermöglicht es dem Hacker unter Umständen, Man-in-the-Middle-Attacken gegen jeden Internetdienst auszuführen, was im Januar 2015 als theoretisch möglich beschrieben wurde. Dies könnte insbesondere zum Abfangen und Manipulieren von E-Mail-Kommunikations-Websites, Logins und Passwörtern oder anderen vertraulichen bzw. sensiblen Informationen und Software-Downloads verwendet werden. Andere potenzielle Gefahren sind das Hijacken von Suchabfragen, das Umleiten auf TDS und Malware oder sonstige böswillige Aktionen.
Ein lukratives Geschäft…
Der Sicherheit von Heimnetzwerk-Routern wurde in der letzten Zeit hohe Aufmerksamkeit in der Security-Presse geschenkt – von der Schwachstelle Misfortune Cookie / RomPager Ende 2014, die bis zu 12 Millionen Geräte weltweit schädigte, bis zum Lizard Stresser DDoS-Tool, das auf gehackten Heimnetzwerk-Routern läuft; dazu zählen verschiedene Berichte über DNS-Konfigurationsänderungen Anfang 2014. Ihre Allgegenwärtigkeit und wachsende Anfälligkeit machen Heimnetzwerk-Router zu verlockenden Zielen für Hacker – insbesondere für diejenigen, die nach einer effizienten, kostengünstigen Möglichkeit suchen, über Pharming-Attacken an Online-Banking-Zugangsdaten zu gelangen. Die Router, die von den Telekommunikationsdiensten an ihre Heimanwender verteilt werden, sind oft besonders lohnenswerte Ziele, da Zehntausende Geräte die gleiche Konfiguration verwenden können; selbst der bewanderte User ist möglicherweise nicht in der Lage, das Problem auf seinem Gerät daheim zu überprüfen und zu beheben. Der begrenzte physische und geographische Umfang dieser ersten Probe besagt nicht, dass es dabei bleiben wird: Die Geschichte der Malware ist eine Geschichte der Verbreitung von Techniken – vom lokalen Signalton bis zur globalen Bedrohung –, wobei die Hacker fortlaufend neue Techniken einführen, die ihre Effektivität gegenüber den vorhanden Abwehrmechanismen unter Beweis stellen. Die Tatsache, dass die Hacker in diesem Fall das Medium E-Mail als ersten Vektor für den Versuch der Manipulation verwundbarer Router nutzten (die in der Regel als netzwerkbasierte Attacken gut durch Netzwerk-IPS-Lösungen abzuwehren sind), verdeutlicht sowohl die fortwährende Weiterentwicklung der Angriffstechniken als auch das ständige Neuaufkommen von E-Mails als „Go-to“-Angriffsvektor für Cyberkriminelle.