Nach Untersuchungen von Cisco werden seit Sommer 2012 massiv Apache-Webserver ab Version 2.2.2 mit der Server Malware “Darkleech” infiziert. Betroffen sind hauptsächlich linuxbasierte Serversysteme in den USA, Großbritannien und Deutschland. Weiterhin sind infizierte Webseiten in weiteren 48 Ländern aufgetaucht.

Apache_injection_attacks-550x533

Bild: Cisco

Cisco hat über einen Zeitraum von sechs Wochen die Aktivitäten der Malware beobachtet und festgestellt, dass in diesem Zeitraum ca. 2.000 Webseiten von Darkleech infiziert worden sind. Darkleech legt in den Quelltext der gehosteten Webseiten unsichtbare iFrames ab, welche dynamisch nur beim Aufruf der Webseite integriert werden. Ein Auffinden und Entfernen des Schadcodes wird dadurch erschwert. Die eingebetteten unsichtbaren iFrames verweisen auf infizierte Webseiten. Unbemerkt wird der Users umgeleitet und über Drive-By mit einem Blackhole Exploit Kit infiziert, welches bekannte Sicherheitslücken auf dem betroffenem System gnadenlos ausnutzt und somit das System übernimmt.
Es wird vermutet, dass auf dem Apache-Webserver verschiedene Module geändert, bzw. ausgetauscht werden und somit alles, was den Webserver verlässt dynamisch infiltriert wird. Die Schadsoftware tauscht unter anderem den systemeigenen SSH-Server gegen eine präparierte Version aus, sodass über SSH der Server von Cyberkriminellen übernommen und kontrolliert werden kann.
Entdeckt wurden die Infektionen im August 2012 vom russischen Malware-Forscher Denis Sinegubko, der darüber in seinem Blog berichtete.
Was kann ich als Betreiber eines Apache-Webservers tun?

  • Deinstallation und Neuinstallation des Apache Webserver
  • Zurückspielen von Backups
  • Alle Zugangsdaten des Servers ändern
  • Werden Sie Mitglied beim kostenfreien Dienst der Initiative-S und lassen Sie Ihre Domain regelmäßig von unseren Systemen auf Schadcode überprüfen.

Was kann ich als User gegen “Drive-by-Downloads” unternehmen?

  • Um das Risiko einer Blackhole Exploit Kit-Infektion zu verringern, sollten Sie immer die aktuellste Version Ihres Browsers installiert haben. Weiterhin sollten Sie darauf achten, dass die eingesetzten Plugins und Addons, wie Java, Adobe Flash und Adobe Reader immer Up-to-Date sind. Installieren Sie sinnvolle Erweiterungen für den Browser, wie z.B. NoScript oder FlashBlock.
  • Wenn Sie Java nicht dringend benötigen, deinstallieren Sie es komplett vom Betriebssystem, bzw. deaktivieren Sie Java im Browser. Hier prüfen>>.
  • Halten Sie Software und Betriebssystem immer aktuell, behilflich ist hier das kostenfreie Tool “CSIS Heimdal Security Agent“.

Fazit:
Im Grunde könnte jeder Apache Webserver ab 2.2.2 mit dem Darkleech infiziert sein und man würde es kaum bemerken. Noch trivialer ist aber, dass man die Lücke, also wie der Apache mit dem “Darkleech” infiziert wird, noch nicht gefunden hat. Interessant wäre eine Installation und Überprüfung des Systems mit einem Advanced Intrusion Detection Environment Checker (z.B. Aide). Dieses Programm überprüft die Integrität der Dateien über Checksummen und meldet alle Änderungen.