26.09.2008, 15:49

Frank Ziemann

Totgesagte leben länger

Angriffs-Toolkit Neosploit ist wieder im Geschäft

Eines der bekannteren Exploit-Toolkits wird nach einer längeren Pause wieder recht aktiv eingesetzt. Sicherheitsforscher hatten bereits einen Nachruf geschrieben - offenbar verfrüht.
PDF im Fadenkreuz

PDF im Fadenkreuz

Das Exploit-Toolkit "Neosploit" ist einer der bekannteren Angriffsbaukästen, mit denen Online-Kriminelle versuchen Malware in die Rechner von Web-Nutzern einzuschleusen. Im Juli hatten Forscher der RSA FraudAction Research Labs gemeldet. die Macher von Neosploit hätten das kommerziell vertriebene Toolkit vom Markt genommen. Ian Amit, Direktor der Sicherheitsforschung bei Aladdin Knowledge Systems, widerspricht nun diesem anscheinend verfrühten Abgesang.
Amit meint, Neosploit sei nicht nur wieder im Geschäft, es sei auch mitverantwortlich für die beobachtete starke Zunahme der Angriffe mit PDF-Exploits. Die Neosploit-Programmierer hätten lediglich starken Gegenwind verspürt und ihr Toolkit aus der Schusslinie der Ermittler nehmen wollen.
Neosploit gilt als Nachfolger von Toolkits wie "MPack" und "WebAttacker". Angriffsbaukästen wie diese werden in präparierten Web-Seiten eingesetzt, um Malware zu verbreiten. Sie erkennen mit Hilfe von Javascript technische Details wie die Versionsnummern des benutzten Browsers und der installierten Plug-ins. Entsprechende Verzweigungen im Angriffs-Code nutzen dann passende Exploits für bekannte Sicherheitslücken.
In der Vergangenheit waren dies vorwiegend Schwachstellen im Internet Explorer, etwa anfällige ActiveX-Komponenten, oder in Plug-ins wie Flash und Quicktime. Inzwischen konzentrieren sich verschiedene Angriffsbaukästen auf PDF-Exploits, da diese offenbar recht erfolgreich sind.
Ian Amit und seine Mitarbeiter haben einen Server in Argentinien unter Beobachtung, der von einem altbekannten Kunden des Neosploit-Toolkits betrieben wird. Auf diesem Server mehren sich die Hinweise darauf, dass mit Neosploit 3.1 wieder eine neue Version auf dem Markt ist, die ebenfalls stark auf PDF-Exploits setzt.
Allein auf diesem Server tummeln sich 20 bis 30 Neosploit-Nutzer, die etwa 200 bis 300 Websites kompromittiert und mit dem Neosploit-Kit präpariert haben. Etwa eine Viertelmillion PCs sollen damit bereits erfolgreich angegriffen worden sein. Dies schließt Amit aus den auf dem Server gespeicherten Daten.
Die Macher von Neosploit haben auch Verbesserungen an ihrem Lizenzmodell vorgenommen, um den Schutz vor Raubkopierern zu verbessern. So soll eine kostenpflichtige Lizenz fest an eine IP-Adresse gekoppelt sein. Frühere Versionen wurden offenbar teilweise von Trittbrettfahrern genutzt, die nicht bereit waren für das Toolkit zu bezahlen.
Neosploit ist also weiterhin im Geschäft. Solange es eine Nachfrage nach solchen Angriffs-Toolkits gibt, werden die Machen solcher Baukästen auch liefern.
Diskutieren Sie mit anderen Lesern über dieses Thema:
Ersten Kommentar erstellen
Direkt zum PC-WELT-Forum
PC-WELT-Experten lösen Ihr PC-Problem
Immer informiert mit dem PC-WELT Newsletter
Best-of PC-WELT   PC-WELT Apps
PC-WELT Business-IT   PC-WELT Community
PC-WELT iPhone- und Android-App
PC-WELT iPhone- und Android-App

Gratis! Laden Sie sich die PC-WELT-App jetzt auf Ihr Smartphone oder Ihr Tablet und lesen Sie auch unterwegs aktuelle News, Tests & Ratgeber aus der PC- und Smartphone-Welt.

Facebook-Freunde empfehlen
3x PC-WELT testen!
Ja, ich teste 3x die PC-WELT mit DVD für nur 11,90 € (19,- Sfr). Den 4 GB USB-Stick erhalte ich gratis dazu.
PC-WELT 6/ 2012
PC-WELT 6 / 2012

Zurück
Anrede:
Vorname:
Nachname:
Straße/Nr:
PLZ/Ort:
Land:
E-Mail:
Nur wenn ich innerhalb von 2 Wochen nach Erhalt der 3. Ausgabe nichts von mir hören lasse, möchte ich die PC-WELT mit DVD zum gleichen Preis weiterbeziehen (D: 55,80 €/Jahr, EU: 64,80 €/Jahr, CH: 103,70 Sfr/Jahr). Nach dem Testzeitraum ist der Bezug jederzeit kündbar.
Ich bin damit einverstanden, dass die IDG Tech Media GmbH und ihre Partner mich per E-Mail über interessante Vorteilsangebote informieren.
Aktuelle Forumsthemen
71286
Content Management by InterRed