Weitere Details zu Web-Attack-Toolkit MPack
Das Internet Storm Center hat eine weitere Analyse von iDefense zu dem Web-Attack-Toolkit MPack und den derzeit stattfindenden Angriffen auf Web-Anwender veröffentlicht.
- Daniel Bachfeld
Das Internet Storm Center hat eine Analyse von iDefense zu dem Web-Attack-Toolkit MPack und den derzeit stattfindenden Angriffen veröffentlicht. Demnach ist MPack das aktuellste und leistungsfähigste Tool, das aus dem russischen Untergrund stammt und für 500 bis 1000 US-Dollar verkauft wird. Der Autor des Tools soll Verisign zufolge den Käufern eine 45 bis 50 prozentige Wahrscheinlichkeit für erfolgreiche Angriffe versprechen. MPack hat eine integrierte Statistikfunktion, die seinen Meister über die Zahl der angegriffenen PCs und der Erfolgsquote der Infektionen informiert. In der Version 0.9 enthält MPack Exploits für die ANI-Lücke und Löcher in der MDAC-Funktion, dem Windows Media Player, der Microsoft Management Console, den XML-Funktionen, dem WebViewFolderIcon, QuickTime und WinZip.
Der Ausgangspunkt für die aktuellen Angriffe sollen hauptsächlich Seiten in Italien sein. Die für die Attacken notwendigen IFrames auf diesen Seiten wurden wahrscheinlich bei Einbrüchen in die Server eingebaut. Dabei soll eine Lücke in der Hosting-Konfigurationssoftware cPanel die Ursache sein: Beim Einbruch in einen Hosting-Server lassen sich gleich Hunderte von Auftritten kompromittieren und manipulieren. Bereits im Herbst des Jahres 2006 gab es einen Massenhack bei HostGator aufgrund einer Lücke in cPanel, in dessen Anschluß Besucher über die VML-Lücke im Internet Explorer 6 mit Trojanern verseucht wurden.
Sobald ein Opfer mit seinem PC eine präparierte Webseite besucht, lädt der Browser über den eingebauten IFrame weiteren Code vom MPack-Server nach. Dabei probiert das Angriffsmodul nach Analyse des Betriebssystems und Browsers mehrere Exploits durch, bis es Erfolg hat – oder die Exploits alle sind. Bei Erfolg installiert der Server einen Schädling auf dem PC. Ob MPack auch andere Systeme als Windows infizieren kann, schreibt iDefense nicht. Im Quellcode von MPack sind zumindest noch Weichen für andere Browser wie Firefox und Opera zu finden. Derzeit benutzt MPack nur bekannte Lücken, für die es bereits Updates zum Schließen gibt.
Bei einem der Schädlinge soll es sich um den Banking-Trojaner Torpig handeln. Laut iDefense stammt Torpig aus dem Russian Business Network (RBN), das derzeit Ausgangspunkt vieler Internet-basierter Angriffe ist. Der Stammsitz des RBN, das zudem im Phishing und der Verbreitung von Kinderpornographie tätig sein soll, soll in Sankt Petersburg liegen.
Siehe dazu auch:
- MPack Analysis, Analyse von iDefense
- Groß angelegter Angriff auf Web-Anwender im Gange
(dab)
