195800

Black Hat: Hybrid-Würmer reisen im Browser zum nächsten Server

07.08.2007 | 08:51 Uhr |

Eine neue potenzielle Gefahr stellen so genannte Hybrid-Würmer dar, die in Javascript verpackt im Browser von Web-Nutzern von einem Server zum nächsten wandern, um weitere Server zu infizieren.

Bislang ist die verbreitete Vorstellung eines Netzwerk-Wurms von einem direkten Infektionsvektor vom einem infizierten System zum nächsten geprägt. Billy Hoffman von SPI Dynamics hat auf der Sicherheitskonferenz Black Hat in Las Vegas ein Szenario entworfen, in dem ein Wurm im Browser von Besuchern einer Website zu einem neuen Server wandern kann, um diesen zu verseuchen.

Billy Hoffman, der auch den Javascript-basierten Jikto-Scanner entwickelt hat, nennt sein Konzept einen "hybriden Web-Wurm". Er soll Einschränkungen überwinden, denen herkömmliche Würmer bislang unterliegen. So können sie sich meist nicht direkt von einem Server zum nächsten verbreiten, weil Firewalls und andere Sicherheitsmaßnahmen dies unterbinden.

Hoffmans Hybrid-Wurm könnte zunächst den Browser eines Besuchers einer Website mittels Javascript infiltrieren, wie dies auch Jikto macht. Dieser Code enthält den eigentlichen Schad-Code gut verpackt und versucht weitere Server zu verseuchen, die der Web-Nutzer danach besucht. Dabei kann er sich über öffentlich verfügbare Sicherheitsinformationen mit neuen Exploits versorgen, sobald diese bekannt werden. Er kann außerdem seinen Code ständig umbauen, um die Erkennung durch Virenscanner zu erschweren.

Das Konzept von Hoffman ist bislang nur eine theoretische Möglichkeit, Hoffman hat keinen funktionsfähigen Wurm entwickelt. Während seiner Präsentation auf der Black-Hat-Konferenz hat er jedoch einzelne Komponenten voneinander isoliert demonstriert. Solche Szenarien sind nicht dazu gedacht, Malware-Programmierer auf neue Ideen zu bringen. Vielmehr sollen sie Sicherheitsforschern, Software-Entwicklern und Administratoren die Möglichkeit bieten sich auf neue Angriffsformen vorzubereiten, lange bevor sie zu einer realen Gefahr werden. Das gilt zum Beispiel auch für Joanna Rutkowskas " Blue Pill " - ein Rootkit, das Virtualisierungstechniken nutzt, um nicht entdeckt zu werden.

0 Kommentare zu diesem Artikel
195800