Malware auf der Spur
Seite 2: Java-Decompiler
Kaffeesatzlesen
Da Malzilla nur JavaScript verarbeiten kann, benötigt man zur Analyse des Java-Archivs jjj.jar ein weiteres Tool: den Java-Decompiler Jode. Der konvertiert den Java-Byte-Code der im Archiv zusammenfassten Java-Klassen in für Menschen lesebaren Java-Code. Jode ist selbst in Java geschrieben und daher auf verschiedenen Betriebssystemen lauffähig. Es benötigt keine Installation, es genügt das Jode-Archiv (jode-1.x.jar) in ein Verzeichnis abzulegen. Allerdings sollte man den Ablageort in die Java-Umgebung-Variable CLASSPATH aufnehmen; wie man das macht, erläutert die Jode-Dokumentation.
Um das Archiv jjj.jar mit dem Exploit-Code zu analysieren, lädt man es vom Server auf die Festplatte und dekompiliert es mit dem Befehl java jode.decompiler.Main --dest srcdir jjj.jar. Jode erzeugt drei Java-Quelltexte und ein Unterverzeichnis. Wie der Exploit nun arbeitet und welche Schwachstelle er im Java-Plug-in des Browser ausnutzt, würden genauere Tests zeigen. Im vorgeführten Beispiel haben wir uns damit begnügt, zu sehen, dass die Datei PayloadX.Java offenbar einen Backdoor auf Port 4444 öffnet.
Stellvertreter
Wem die Bedienung oder Installation der Tools zu aufwändig oder riskant ist oder wer eine Webseite mal eben von unterwegs ohne eigenen PC auf ihre "Bösartigkeit" untersuchen möchte, kann auch auf Online-Dienste zurückgreifen. Der für iDefense tätige Malware-Analyst Blake Hartstein stellt den Dienst jsunpack zur Verfügung, der auf dem von ihm entwickelten Analyse-Toolkit jsunpack-ng beruht.
Jsunpack dekodiert wie Malzilla verschleiertes JavaScript und versucht deren Arbeitsweise zu interpretieren sowie eine Einschätzung abzugeben, ob die Seite infektiös ist und worauf das Risiko beruht. Zum Start benötigt es nur eine URL. Bei der bereits mit Malzilla untersuchten Domain www.bowwow.co.uk zeigte sich jedoch ein interessanter Unterschied: jsunpack folgte zuerst einem offenbar von Crackern in die Webseite eingebauten, unverschlüsselten Link zu einer anderen Seite. Dort analysierte das Tool im Weiteren verschlüsselt vorgefundene JavaScript-Codeteile und stieß schließlich auf einen PDF-Exploit. Das später im HTML-Quelltext auftauchende, ebenfalls von Crackern eingebettete verschleierte JavaScript ignorierte jsunpack. Warum man es in einer manipulierten Seite mehrere Umleitungen zu PDF-Exploits gibt, ist unklar. Nach Meinung des Malware-Spezialisten Thorsten Holz handelt es sich möglicherweise um eine Mehrfachinfektion, die auf Angriffe verschiedener Cracker zurückzuführen ist.
Jsunpack fasst die Ergebnisse seiner Analysen in einem kurzen Bericht zusammen. Allerdings arbeitet es nicht immer zuverlässig und meldete auf einigen getesteten, nachweislich manipulierten Seiten keinerlei verdächtige Hinweise.
Malware-Crawler
Der von der Computer Security Group der University of California betriebene Dienst Wepawet ist erheblich zuverlässiger und zudem in der Lage, etwa bei Angriffen auf das Adobe-Flash- und das -Reader-Plug-in konkret die ausgenutzte Schwachstelle zu benennen. Da Exploits aktuellen Studien zufolge fast ausschließlich Lücken in Adobes Produkten ausnutzen, dürfte man mit Wepawet eine hohe Erfolgsquote bei der Analyse haben. Aber auch darüber hinaus kann Wepawet zahlreiche Exploits erkennen, wozu es die Ergebnisse der Online-Malware-Scanner Anubis und Virus Total hinzuzieht.
Wepawet erwartet wie jsunpack eine URL, dekodiert alle verschleierten JavaScript-Codesequenzen und stellt sie in einer Übersicht dar. Zudem führt es alle relevanten Aktivitäten der Skripte auf, beispielsweise ob und von wo weitere Skripte nachgeladen, welche ActiveX-Controls der Internet Explorer geladen hat oder wohin Redirects führen. Den Redirects folgt es automatisch und führt dort weitere Analysen durch, ohne dass man das Tool mit weiteren URLs füttern müsste
Wer also auf die Schnelle prüfen will, was eine verdächtige Seite macht, findet in Wepawet ein großartiges Tool. Ohne größere Einarbeitung liefert es tiefergehende Erkenntnisse über den Ablauf eine Angriffs – und erspart einem damit aufwändigere manuelle Analysen.Wie bei Virenscannern gilt auch hier: Je mehr Augen über etwas Verdächtiges schauen, desto größer die Erfolgsquote. Daher sollte man sich nicht auf ein Werkzeug verlassen, sondern sie miteinander kombinieren. (dab)
