Mit ‘Malware’ getaggte Beiträge

„◾Failure is simply the opportunity to begin again, this time more intelligently.“ – Henry Ford

BitcoinHackerHeute hat ein Tweet von einem Twitter-User meine Aufmerksamkeit erregt. So versprach dieser doch, es gäbe eine Lücke im Bitcoin-Protokoll, mit der es möglich sei sich  bis zu 5 Bitcoins illegal zu generieren. Das es sich dabei nur um einen Fake handeln konnte dessen Sinn und Zwecks es sein sollte Schadsoftware zu verteilen war mir durchaus bewusst. Takedown-1

Also schnell die Virtuelle-Maschine hochgefahren, dem Link gefolgt und siehe da, ich soll ein Zip-Archiv runterladen in dem sich eine EXE-Datei verbirgt.
Die Datei selbst machte…nichts! So sah es zumindest aus. Eine genauere Analyse mit Wireshark offenbarte dann das wahre Gesicht und die Intention des Programmierers.
Wie in dem folgenden Screen zu sehen ist, baut das Programm eine FTP-Verbindung auf:

Takedown-2Das Ziel der Verbindung ist die IP-Adresse 5.9.106.213, welche bei Eingabe in den Browser zu den eu5.org-Servern bzw. zum Hosting führt.
Wie gleich weiter zu sehen ist, zeigt der TCP-Stream, dass ein Login mit ungesichertem (unverschlüsseltem) Zugriff auf den eu5-Server erfolgt:

Takedown-3

Im obigen Screen ist zu sehen, dass von meinem Rechner eine Datei *-wallet.dat an den Server übertragen wurde. Dabei handelt es sich um eine Bitcoin-Wallet-Datei!! Diese Walletdatei beinhaltet im schlimmsten Fall tatsächlich Geld in Form der virtuellen Währung Bitcoins! Wird diese Datei unverschlüsselt gespeichert und geklaut (wie hier geschehen), ist das Geld quasi WEG! In meinem Fall ist es eine leer Datei gewesen, die auf der VM für genau solche Analysezwecke im Standardpfad vom Bitcoin-Client abgelegt war (hier bestand für meine Bitcoins also keine Gefahr ;-).

Interessant ist, dass das Schadprogramm offenbar den Usernamen des angemeldeten Users als ersten Teil des neuen Dateinamen auf dem FTP-Server verwendet.
So wird auf dem Server sichergestellt, dass dem Hacker keine bisher schon erbeuteten Dateien mit gleichem Namen überschrieben werden….

Besonders dumm gelaufen ist es für den „Hacker“ aber, weil dessen Username und Passwort nun über Wireshark im Klartext übertragen und somit auch auslesbar sind.
Mit diesen Informationen ist dann auch der Login unter eu5.org möglich gewesen:

Takedown-4

Im Controllcenter hat man nun alle Möglichkeiten. Das Passwort für den Mitgliederbereich ist übrigens identisch (gewesen ;-) mit dem FTP-Passwort.
Sobald das Passwort also geändert wird, kann auch das Schadprogramm nicht mehr Daten vom infizierten PC übertragen.

Takedown-5

Ein Login auf den FTP-Server über den File-Manager mit dem Passwort war also unkompliziert möglich:

Takedown-6

Auf dem FTP-Server lagen neben meiner Wallet-Datei noch weitere Dateien, die erbeutet wurden:

Takedown-7

Im Controllcenter war die E-Mail-Adresse des Übeltäters im Klartext einsehbar:

Takedown-8Und wie der Zufall es wollte, hat der Bösewicht auch für die Mailadresse das gleiche Kennwort verwendet.
Zugriff auf den Mail-Account des Hackers:

Takedown-9

Und hier schließt sich der Kreis! Schnell ist ersichtlich, dass die Mailadresse zu genau dem Account gehört, der auf Twitter sein Unwesen treibt und versucht Leute dazu zu verleiten seinen Schadcode auszuführen! Also fix via Twitter einen Passwort-Reset anfordern:

Takedown-10

Und dem Spuk ein Ende bereiten:

Takedown-11

 

Dies wird den Hacker sicherlich nicht davon abhalten erneut ein entsprechendes Programm zu schreiben. Und auch eine eventuelle Kritik ich würde hier Hackern eine Anleitung geben wie man es „besser“ machen kann (bzw. besser nicht macht), lasse ich nicht gelten. Denn der Normalanwender hat eh keine Chance die Daten zu retten, wenn er schon so naiv ist eine Exe-Datei aus dem Netz von unsicherer/ unklarer Quelle zu starten.

Das obige Beispiel zeigt nur auf, welche Prozesse sich im Hintergrund nach einem einfachen unbedachten Klick auf ein Programm abspielen… und…,dass einen das verdammt viel Geld (in diesem Fall virtuelles Geld) kosten kann!