30.05.2014 13:51
FTP Zugangsdaten
Wie Heise berichtet, hat das BSI/CERT-Bund viele Provider informiert, dass Zugangsdaten zu FTP-Accounts gefunden wurden.Das betraf nicht nur Deutschland; die gleiche Quelle hat auch andere CERTs und Sicherheitsteams informiert. Wir bekamen die gleichen Daten wie unsere deutschen Kollegen, und auch wir haben für alle Datensätze zu unserem Verantwortungsbereich (IP-Adresse in Österreich und/oder .at-Domain) eine entsprechende Warnung an die ISPs geschickt.Das waren rund 11 tausend Accounts, verteilt auf ~ 4300 IP-Adressen bei ~ 280 ISPs.Zur Quelle dieser Daten können auch wir nicht viel öffentlich sagen, außer dass wir die Daten von einem Security-Researcher bekamen, der in der Szene sehr bekannt ist, und der (und das Team in dem er arbeitet) regelmäßig gute Telemetrie zu Cybercrime/Botnetzen liefert.Ob er selber die Daten bei einer Aktion gegen ein Botnet gefunden hat, oder das nur über ihn gespielt wurde, wissen wir nicht.Inzwischen gibt es diverses Feedback von den Netzbetreibern (international, als auch auf unsere Mails hin). Damit lässt sich etwas mehr zu diesem Fall sagen:
- Der Datensatz enthält auch einige Credentials zu Hostnamen, die auf RFC1918-Adressen aufgelöst werden.
- Wir gehen u.A. daher davon aus, dass die Zugangsdaten aus Konfigurationsfiles von FTP-Clients auf infizierten PCs stammen. Es ist bekannt, dass es zum Standard-Repertoire von Malware gehört, gespeicherte Passwörter diverse Programme auszulesen und an die Botnet-Zentrale zu melden.
- Ein guter Teil der Credentials ist nicht (mehr) gültig
- Oft genug landen Tippfehler in solchen "Saved Passwords"-Ablagen
- Viele User löschen gespeicherte Passwörter nicht in der Client-Konfiguration, wenn sich am Server etwas ändert, oder sie den Zugang gar nicht mehr brauchen. Es sind daher auch in aktuellen Client-Configs genug obsolete Daten enthalten.
- Ein Grund dafür kann auch der Wechsel des Hosters der Webseite sein: Wir haben den aktuell für den betroffenen Hostnamen zuständigen Betreiber angeschrieben, der FTP-Zugang könnte aber noch zum alten ISP passen.
- Wir wissen nicht, wann diese Credentials von der Malware kopiert wurde. Das mag in einigen Fällen schon länger her sein.
- Wir sehen keine rechtlich zulässige Möglichkeit, wie wir als CERT eine Gültigkeitsprüfung dieser Accounts machen könnten.
- Einige dieser Accounts wurden benutzt um Webseiteninhalte zu manipulieren.