Passive DNS - Beispiel PDF-Exploit, Fake-Antivirus

Der Virus-Alarm

Als bei einem Kollegen am ZID der Uni Wien eine Viruswarnung erschien, war klar: Hier ist etwas schiefgelaufen. Aber was und wie?

^Symbolfoto

Die Warnung selbst stammte freilich nicht vom Antivirus-Programm, sondern war selbst die Malware. Schadsoftware wie diese, treffend als Scareware oder Rogue Antivirus bzw. Fake-AV bezeichnet, ähnelt der Mafiosen Schutzgelderpressung mit anderen Mitteln: Gegen "Kauf" eines "Entfernungsprogramms" entfernt sich die Software selbst – zumindest hört sie auf, den Benutzer zu belästigen. Zu alledem können natürlich Spywarefunktionen und so weiter kommen, aber das ist nicht Gegenstand dieser Geschichte.

Die Reaktion des Kollegen war klar und deutlich: Er hat das System neu installiert, nicht ohne vorher die Browser-History zu und das Executable des Fake-AV zu sichern.

Untersuchung des Fake-AV-Programms

Das Executable des Fake-AV wurde im PC-Labor untersucht. Ergebnis: es wird von keinem Virenscanner erkannt. Allerdings erscheint reproduzierbar 15 Minuten nach Programmstart die bekannte Warnmeldung. Die Wartezeit hat den Zweck, die Erkennung der Schadfunktionen in einer Sandbox zu vermeiden.

Somit war der unmittelbare Schädling identifiziert, das Executable wurde einem AV-Hersteller geschickt und ab dem nächten Update als Malware erkannt.

Der Infektionsvektor?

In der Browser-History war ein PDF-File aufgefallen, das von der domain tmi4.co.cc geladen wurde und dem Anwender unbekannt war. Auch dieses wurde untersucht, vorerst indem ein PC nachgebaut wurde, auf dem die selben Softwareversionen wie am ursprünglich infizierten installiert wurden und darauf das PDF geöffnet wurde. Der Befund war negativ: Nichts passierte. War also das PDF-File unschuldig?

Eine genauere Analyse des PDF-Files hat letztlich gezeigt, daß das PDF-File in einem Formular einen exploit im imageEdit-Widget ausführt. Warum konnte die Infektion im Labor nicht nachgestellt werden?

Malwareserver blockieren?

Die naheliegende Maßnahme, Zugriffe auf die Quelle des PDF-Files zu blockieren oder wenigstens einen Alarm auszulösen, ist tags darauf daran gescheitert, daß die Domain tmi4.co.cc gesperrt war – und niemand hatte die IP-Adresse notiert. Durch die Domainsperre war die Gefahr keienswegs gebannt: Da es sich um eine Wegwerfdomain handelt, liegt es nahe, daß die selbe Schadsoftware unter neuem Namen weiter tätig ist.

Lösung mit pDNS

% CERT.at DNS replicator WHOIS server, version 0.2. Author: L. Aaron Kaplan <kaplan-at-cert.at>
%  (C) 2010 All rights reserved.
% returning 2 elements.
%
rr-name: tmi4.co.cc
rr-type: A
rr-address: 195.80.151.93
seen-first: 2011-02-08 11:23:59
seen-last: 2011-02-08 13:04:40
count-requested: 2

rr-name: tmi4.co.cc
rr-type: NS
rr-dname: its-blocked-domain.net
seen-first: 2011-02-08 16:24:06
seen-last: 2011-02-10 12:05:05
count-requested: 5 

Die Abfrage der Domain beim pDNS-Server hat gleich zwei Fragen auf einen Schlag beantwortet:

• bereits zu Mittag wurde die Domain gesperrt. Das erklärt, warum das PDF im Labor am Nachmittag nicht mehr "funktioniert" hat.
• die IP-Adresse hat sich auch bestimmen lassen.

Passive DNS ist auch in der Lage, die Domains zu finden, deren Abfrage zu einer IP-Adresse geführt hat. Das ist so ähnlich wie Reverse-DNS, funktioniert aber auch dann, wenn kein Reverse-DNS konfiguriert ist – was bei Malwaredomains wohl kaum der Fall sein wird. Das ist aus zwei Gründen interessant:

• wird diese IP-Adresse weiterhin verwendet? Unter welchen DNS-Namen?
• gibt es auch legitime Anwendungen hinter dieser IP-Adresse oder kann diese guten Gewissens gesperrt oder als Alarm-Auslöser verwendet werden?

% CERT.at DNS replicator WHOIS server, version 0.2. Author: L. Aaron Kaplan <kaplan-at-cert.at>
%  (C) 2010 All rights reserved.
% returning 4 elements.
%
rr-name: af2t.cz.cc
rr-type: A
rr-address: 195.80.151.93
seen-first: 20110121.110749
seen-last: 20110121.110749
count-requested: 1

rr-name: asm1.co.cc
rr-type: A
rr-address: 195.80.151.93
seen-first: 20110208.104725
seen-last: 20110208.104725
count-requested: 1

rr-name: bey1.co.cc
rr-type: A
rr-address: 195.80.151.93
seen-first: 20110127.210648
seen-last: 20110127.210648
count-requested: 2

rr-name: tmi4.co.cc
rr-type: A
rr-address: 195.80.151.93
seen-first: 20110208.112359
seen-last: 20110208.130440
count-requested: 2 

Damit ist klar: Die IP-Adresse wird nach dem selben Strickmuster nachhaltig "bewirtschaftet". QED.

Download

Folien zum Vortrag Ein harmloses(?) PDF-File und was passive DNS für uns tun kann, gehalten beim 23. Treffen der ArgeSecur am 29. April 2011.