Malware infiziert Windows, Mac OS X, Linux-PCs über Java-Sicherheitsanfälligkeit in von Oracle veröffentlichtem Patch

Es war zur gleichen Zeit im letzten Jahr, dass Java eine der kritischsten Phasen seiner Geschichte seit seiner Einführung erlebte. Die Hacker hatten zu diesem Zeitpunkt eine Sicherheitsanfälligkeit genutzt, die als ‚Zero Day Exploit‘ bezeichnet wurde, um in auf Java basierende Software einzudringen. Diese Exploits waren so mächtig, dass sie auf den Untergrund-Websites und Foren einen Preis von 5000 $ pro Exploit verlangten. Folglich veröffentlichte Oracle eine Reihe von Patches, um diese Sicherheitsanfälligkeit zu beheben. Allerdings scheint einer der von Oracle veröffentlichten Patches, genannt CVE-2013-2465, der im Juni 2013 zur Behebung der kritischen Sicherheitsanfälligkeit veröffentlicht wurde, selbst ein Exploit zu sein!!!

• 

• Die Forscher haben entdeckt, dass eine Botnet-Malware diesen Exploit nutzt, um Computer zu infizieren, die auf allen gängigen Betriebssystemen Windows, Mac OS X und Linux laufen, vorausgesetzt, diese haben das Java-Software-Framework von Oracle installiert und laufen. Da das Java-Framework fast überall und von jedem verwendet wird, wurde die Infektion als bedeutend beschrieben. Zweitens ist die Malware an sich eine plattformübergreifende Version, die den Zelix Klassmaster-Obfuskator verwendet, um zu verhindern, dass sie von Whitehat- und konkurrierenden Blackhat-Hackern zurückentwickelt wird. Der Name dieser Malware ist Heur:Backdoor.Java.Agent.a. Neben der Obfuskation von Bytecode verschlüsselt Zelix einige der inneren Abläufe der Malware, was es unmöglich macht, sie zu erkennen, zu heilen oder zurückzuentwickeln.

• Alle Maschinen, die die Java-Version 7 u21 und früher haben, sind wahrscheinlich von diesem Botnet betroffen. Sobald der Bot einen Computer infiziert hat, kopiert er sich in das Autostartverzeichnis seiner jeweiligen Plattform, um sicherzustellen, dass er jedes Mal ausgeführt wird, wenn die infizierte Maschine hochgefahren wird. Nach dem Hochfahren lässt die Malware dann die kompromittierten Computer an einen Internet-Relay-Chat-Kanal berichten, der als Kommando- und Kontrollserver fungiert. Die Hacker können dann diesen IRC-Kanal nutzen, um den gehackten/kompromittierten Computer aus der Ferne zu steuern. Wie bereits erwähnt, wird diese Malware aufgrund ihrer plattformübergreifenden Funktion als doppelt gefährlich bezeichnet.

• Die Hacker nutzen dieses Botnet, um gezielt D istributed Denial of Service (DDoS)-Angriffe auf Ziele ihrer Wahl durchzuführen. Dies geschieht, indem die Hacker die notwendigen Befehle über den IRC-Kanal ausgeben. Der angegebene IRC-Kanal ermöglicht es den Hackern, die IP-Adresse, die Portnummer, die Intensität und die Dauer der Angriffe festzulegen. Die Malware ist vollständig in Java geschrieben, was es ihr ermöglicht, auf Windows OS X und Linux-Maschinen zu laufen. Um den Hackern zusätzliche Flexibilität und Manövrierfähigkeit zu bieten, wurde der Bot auch mit PircBot, einer auf Java basierenden IRC-Programmierschnittstelle, ausgestattet.

• *Die Funktionsweise dieser Botnet-Malware ist so gestaltet, dass das Opfer des DDoS-Angriffs sowie der Angreifer (kompromittierter PC) beide nicht über den tatsächlichen Kriminellen hinter dem Angriff informiert sind. Dies erschwert es auch dem Webmaster, Sicherheitsanalysten und White-Hackern, die vom Opfer beschäftigt sind, ihre Websites zu überwachen und die Quelle des tatsächlichen Angreifers zu erreichen.