27614

Anatomie eines Einbruchswerkzeugs

18.09.2008 | 16:09 Uhr |

Selbst unter den inzwischen mehreren tausend täglich neu entdeckten Schädlingen fällt ein Trojanisches Pferd noch auf, das versucht in die SQL-Datenbanken von Web-Servern einzubrechen.

Im Jahr 2003 machte ein Wurm namens "SQL Slammer" noch Schlagzeilen, weil er sich mit Hilfe der Datenbanksprache SQL (Structured Query Language) fortgepflanzt hat. Heute sind Einbrüche in unzureichend geschützte Datenbanken, die der Verwaltung von Websites dienen, alltäglich geworden. Und doch sticht ein Trojanisches Pferd, das SQL-Server angreift, in der Masse neuer Malware immer noch hervor. So etwa ein Schädling mit dem viel sagenden Namen "Trojan.Eskiuel", der Malware-Forschern von Symantec aufgefallen ist.

Andrea Lelli berichtet im Symantec Security Response Blog über den neu entdeckten Schädling. Wie schon der Name (sprich: "S-Q-L") verrät, zielt dieser auf SQL-Server. Er durchsucht das Internet nach solchen mit schwachen oder gar keinen Passwörtern und verschafft sich Zugriff darauf.

Trojan.Eskiuel nimmt eine IP-Adresse auf der Kommandozeile entgegen und scannt dann das komplette Klasse-B-Subnetz dieser Adresse nach SQL-Servern, die unter Windows laufen. Das sind jeweils 65.534 (2^16 - 2) IP-Adressen, die es zu scannen gilt. Findet er einen, startet er einen Brute-Force-Angriff mit einer Liste einfacher Passwörter, um einen Admin-Zugriff auf den Server zu erlangen.

Der Schädling setzt eine ganze Reihe von Sicherheitseinstellungen herab, um unsicheren Code ungehindert ausführen zu können. Diesen lädt er dann per FTP in Form diverser EXE-Dateien von einem Server der Angreifer herunter. Ist dieser Einbruch erfolgreich, stehen den Angreifern alle Möglichkeiten offen, den Server zu steuern und zu manipulieren. Handelt es sich um einen Web-Server, können sie etwa die Web-Seiten manipulieren und Script-Aufrufe einbauen, die Besuchern per Drive-by-Download Malware unterschieben.

Der Schädling nutzt beim Einbruch in den Server keine Sicherheitslücken in der Software aus - nur schwache oder fehlende Admin-Passwörter. Die logische Empfehlung für Schutzmaßnahmen muss daher vor allem lauten stärkere, also längere und komplexere Passwörter zu verwenden.

0 Kommentare zu diesem Artikel
27614