Flashback-Trojaner: So funktioniert der Mac-Schädling

Seite 3: Schadensanalyse

Inhaltsverzeichnis

Der AV-Spezialist Dr. Web hat mehr als 700.000 infizierte Rechner ermittelt. Dazu leitete die Sicherheitsfirma einige der von der Malware generierten C&C-Server-Adressen auf eigene Server um. Ein Teil der infizierten Rechner schickte also Nachrichten an Dr. Web, statt an die Flashback-Entwickler. Anhand der so ermittelten infizierten Rechner, kann das Ausmaß der Infektionsrate errechnet werden. Es handelt sich also um eine fundierte statistische Berechnung, unter der Bedingung, dass die Bots tatsächlich immer aus ihren C&C-Servern streng mathematisch zufällig einen auswählen.

Insgesamt nutzen die Malware-Autoren wohl immer weltweit verteilt um die 50 bis 60 verschiedene C&C-Server, aus denen jeder Bot pro Anfrage einen zufällig auswählt. Der Schädling verwendet dabei eine sehr eigentümliche Routine, um die Domain-Namen der zu kontaktierenden Command-&-Control-Server zu erzeugen. Auch andere Antiviren-Firmen versuchten, diese Namen teilweise unter ihre Kontrolle zu bekommen, um die Anfragen und die enthaltenen IDs zu zählen. Der Zenith war aber schon Tage vor Apples Java-Fix überschritten und die infizierte Basis mehr als halbiert. Dr.Web widerspricht allerdings den Zahlen von Kaspersky und Symantec und geht weithin von rund 566.000 infizierten Macs aus.

Offenbar richtete die Malware keinen großen Schaden an. Bislang gab es weder Berichte über gelöschte oder ausspionierte Daten noch eine auffällige Häufung von Account-Missbräuchen, etwa in iTunes oder im App Store. Flashback nutzt seine Möglichkeiten nicht voll aus, denn technisch wäre die Malware zu weit mehr in der Lage: Durch die optional vom Anwender preisgegebenen Administrator-Rechte kann sie Root werden und damit theoretisch sehr viel mehr tun, als nur Safari manipulieren: Die Malware könnte sämtliche Dateien auslesen, verändern oder übertragen, System-Software nach eigenem Gutdünken installieren und so etwa via Keylogger weitere Logins und Passwörter an ihre Schöpfer senden.

Abhängig davon, ob der Trojaner Admin-Rechte erlangt, geht er unterschiedlich vor.

Wer sich schon einmal etwas näher mit der Materie beschäftigt hat, mag sich fragen, warum die Angreifer nicht einen einfacheren Weg gewählt haben. Nur um Safari fernzusteuern, benötigt man keine Admin-Rechte, denn jeder Anwender kann mit einfachen Benutzerrechten nach Belieben Safari-Erweiterungen installieren. Diese haben vollen Zugriff auf den gesamten Web-Verkehr des Anwenders, der nicht nur ausgelesen, sondern auch manipuliert werden kann. Plug-ins wie Ad-Blocker demonstrieren das eindrücklich. So könnte sich auch ein Schädling bei Safari einklinken und sich den Umweg über die Injektion von Bibliotheken ersparen. Ebenso mag man sich fragen, warum die Angreifer nicht mit Hilfe des ergaunerten Administrator-Accounts ein Rootkit installierten.

Dann hätten sie auch das etwas unzuverlässige Laden der Payload-Libraries über Umgebungsvariablen nicht benötigt. Denn die von ihnen verwendete Variable DYLD_INSERT_LIBRARIES wird primär von Entwicklern zu Testzwecken eingesetzt. Flashback definiert diese Variable, wenn er nicht an Root kommt, in der ~/.MacOSX/environment.plist, die jedoch von Mac OS X 10.5 Leopard gar nicht berücksichtigt wird, wenn man Programme via Spotlight oder über intelligente Ordner aufruft. Auch dass sämtliche DYLD_*-Variablen nicht in der Ausgabe des env-Befehls auftauchen, hätte sie aufhorchen lassen können. Diese Variablen werden zudem für alle Setuid-Binaries ausgefiltert und aus deren Environment entfernt, damit deren Kind-Prozesse sie auch nicht sehen, wie man im Kernel-Quelltext von Mac OS X nachlesen kann.