Proof-of-Concept: Trojaner umgeht Firewall

Bei der "Def Con" in Las Vegas haben drei südafrikanische Entwickler einen Trojaner namens Setiri gezeigt, der sich von Firewalls nicht aufhalten lässt. Die Proof-of-Concept-Technologie bedient sich einer Funktion im Internet Explorer.

Der Weg von Setiri zum Benutzer unterscheidet sich den Entwicklern zufolge nicht von der üblichen Verschickung von Würmern und Viren. Als E-Mail-Attachment oder per Download könnte der Trojaner also auf der Platte landen, würden die Autoren nicht versichern, ihn gar nicht erst loszulassen.

Öffnet ein Benutzer das Attachment, mache Setiri sich mehr oder minder unsichtbar, zumindest für Firewalls. Der Trojaner nutze eine Funktion des Internet Explorer, die das Öffnen von unsichtbaren Instanzen des Browsers erlaube. Für eine Firewall ist das nach Angaben der Entwickler kein Grund, Alarm zu schlagen, da der übliche Port benutzt wird. Setiri führe zudem keine Kommandos aus, die einer Firewall verdächtig erscheinen. Letztlich tarne sich der Schädling einfach als Internet Explorer.

Bei der Proof-of-Concept-Demonstration auf der Def Conwar der Trojaner darauf programmiert, sich mit dem Anonymisierungsdienst Anonymizer.com zu verbinden. Von dort holte er seine Kommandos, die vom Ausspähen der Tastatureingaben bis zur Verschickung von Passwörtern reichen können. Über den Anonymizer-Dienst wäre es zudem schwer möglich, die Spuren des Angriffs zu verfolgen.

Laut Roelof Temmingh, einem der drei Entwickler, die alle als Berater bei Sense Post tätig sind, müsste Microsoft zur sicheren Abwehr die Möglichkeit zum Öffnen von unsichtbaren IE-Fenstern abschalten. Damit würden aber auch Funktionen des IE verloren gehen. Ein Microsoft-Sprecher sagte gegenüber den Entwicklern unverbindlich, man werde das demonstrierte Szenario untersuchen.

Für das Trio aus Südafrika Haroon Meer, Roelof Temmingh und Charl van der Walt besteht eines der Ziele der Demonstration darin, dass sich - neben Microsoft - auch Entwickler von Firewalls Gedanken darüber machen, wie ihre Produkte sicherer werden können. Das Augenmerk sollte insbesondere auf Anwendungen und Prozessen liegen, die als sicher eingestuft werden. Der einfache Trick von Setiri sei, standardmäßig als sicher eingestufte Anwendungen zu missbrauchen.

Im Special Der sichere PC sind Themen rund um Viren, Firewalls und sicheres Surfen zusammengefasst. Informationen zu aktuellen Viren entnehmen Sie unserem Virenticker. (uba)