Gefälschtes Tor-Browser-Bundle mit Trojaner

Eine täuschend echte Kopie der Tor-Website torproject.org verteilt unter der Adresse torbundlebrowser.org ein infiziertes Tor-Browser-Bundle. Statt eines für das Anonymisierungs-Netzwerk vorkonfigurierten Browsers bekommt man einen Trojaner untergeschoben. Der Student Julien Voisin hat den beigepackten Schädling entschlüsselt, in seine Einzelteile zerlegt und Details darüber in seinem Blog veröffentlicht. Die nachgebaute Seite war bis zum Mittwochnachmittag online, ist aber derzeit nicht mehr erreichbar.

Voisin hat er das zum Download angebotene Programm mit dem .NET Decompiler ILSpy analysiert und festgestellt, dass es mit Dotfuscator Professional gepackt wurde. Mit de4dot entpackte er das Programm und fand darin eine Datei namens TorProject.vid.mkv, welche wiederum gepackt oder verschlüsselt zu sein schien. Durch weitere Analyse des Hauptprogramms fand Voisin die passende Entpackroutine samt dem Passwort "VisualStudio2010".

Bei der entschlüsselten Datei handelte es sich nicht um ein Video, sondern um einen weiteren Programmteil. Dessen Code enthält Methoden, deren Bezeichnungen wie "NiceShot()" oder "LevelUp()" nach Computerspiel klingen, tatsächlich aber zum Beispiel Informationen über gefundene Festplatten zurückgeben. Zudem gibt es Funktionen, welche eine Ausführung in einer VM oder Sandbox erkennen und verhindern sollten.

Auch die Befehle samt Parameter, mit denen der Schädling und sein Kontrollserver kommunizieren, konnte Voisin entschlüsseln. Diese waren Base64 kodiert und verschlüsselt mit DES3-ECB, als Passwort diente der md5-Hash des Textes "video game hall of fame". Vergleichsweise ungewöhnlich ist, dass der Kontrollserver selbst als Hidden Service im Tornetzwerk unter silkroad6cebts64.onion:24576 erreichbar ist.

Über den Server kann der Trojaner verschiedene Befehle empfangen. So kann der Schädling unter anderem angewiesen werden, einen Screenshot aufzunehmen oder eine Datei respektive ein ganzes Verzeichnis samt Unterverzeichnissen hochzuladen. Auch ein Update der Malware ist so möglich.

Chat mit den Angreifern

Außerdem konnte Voisin eigenen Angaben zufolge auf dem Port 24577, welcher wahrscheinlich für Dateiübertragungen gedacht ist, eine Verbindung mit netcat aufbauen, um mit den Machern des Trojaners zu chatten. Die Autoren beglückwünschten den Studenten zur erfolgreichen Analyse des Trojaners. In einer E-Mail behaupten sie später, dass sie eine kleine Gruppe seien, mit dem Ziel Pädophile zu fangen. Dafür würden sie den Link zu ihrer Website auf einschlägigen Foren verteilen und hätten eigenen Angaben zu Folge schon einen Täter an die kanadische Meldestelle für Kinderpornografie (Cypertip) gemeldet.

Voisin, der die Gruppe in China vermutet, äußert Zweifel am Wahrheitsgehalt dieser Darstellung. Der Student weist zudem auf zahlreiche Sicherheitslücken in dem Server der Gruppe hin: "Ihr Server ist voll mit altem Schrott."

(rei)