Aurora-Exploit im Detail

Das Aurora-Exploit, die Malware wird auch unter dem Namen Hydraq geführt, hat in den letzten Wochen für einen ziemlichen Aufruhr gesorgt. Hinter dem Namen steckt eine erst kürzlich bekannt gewordene Lücke im Internet Explorer, über die Angreifer Kontrolle über das attackierte System erhalten können. Schlagzeilen hat Aurora im Zusammenhang mit einer Attacke auf Google gemacht, zudem hat das BSI in der Bugwelle der Lücke vom Internet Explorer abgeraten, solange Microsoft keinen Patch bereitstellt.

Inzwischen haben die Anti-Viren-Forscher die Lücke und die dazugehörige Malware im Detail analysiert - geholfen hat dabei sicher auch der auf Metasploit veröffentlichte Code. Das McAfee-Team hat die Programmaufrufe der Malware analysiert und das Ergebnis hier veröffentlicht. Aurora versucht die eigene Präsenz zu verschleiern, der Code wimmelt von Sprüngen und verschiedenen Aufrufen. Allen Beispielen gemein ist allerdings, dass die Malware über Port 443 eine SSL-verschlüsselte Verbindung zum Command & Control-Server aufbaut. Die Malware überträgt anschließend zahlreiche Informationen des befallenen Systems an den Server. Dazu zählen der Inhalt des HARDWARE\DESCRIPTION\System\CentralProcessor\MHz Registry Key, der Name des installierten Service Packs, den Namen der Maschine sowie die Version des installierten Betriebssystems.

Auch Symantec hat den Code auseinandergenommen. Dieser Blog-Eintrag geht genauer auf die Möglichkeiten von Hydraq ein. Die Malware kann unter anderem die Rechte von Token verändern, eine Backdoor auf dem befallen System einrichten, Prozesse und Dienste stoppen oder starten sowie den Computer herunterfahren oder neu starten. Zudem kann Aurora Daten herunterladen, und verschiedene DLLs verändern oder löschen. Daneben enthält der Code von Aurora eine De-Installationsroutine.

Mittlerweile wird die Malware von zahlreichen Sicherheitslösungen erkannt. Allerdings steht noch kein Patch von Microsoft bereit. (mja)