computerwoche.de

Security

Hacker-Tool tarnt Angriffscode

18.10.2006
Ein noch in Entwicklung befindliches Angriffs-Tool soll Browser-Exploits für Security-Software nahezu unauffindbar machen.

Das im Rahmen eines Hacker-Projekts namens "VoMM" (eVade o' Matic Module) entstehende Tool soll in der Lage sein, bekannten Exploit-Code immer wieder neu zusammenzustellen, so dass er für gewisse Arten von Antivirensoftware nicht mehr zu identifizieren ist. Nach Angaben von Aviv Raff, einem in das Projekt involvierten Entwickler, kann das Werkzeug auf diese Weise unbegrenzt Varianten von ein und demselben Exploit erstellen. Ziel sei es, eine Reihe von Out-of-the-Box-Techniken zu liefern, die es ermöglichen, Browser-Exploits nahezu unauffindbar zu machen, heißt es in einem Blog-Posting eines der Projektgründer, einem Hacker namens "LMH".

Das Tool nutzt Server-seitige Technik, um neue Versionen eines Exploits zu erstellen. Diese fängt sich der Browser-Nutzer ein, sobald er die Web-Seite des jeweiligen Angreifers aufsucht. Die VoMM-Software nimmt hierzu am Code eine Reihe kosmetische, dessen Funktionalität jedoch nicht beeinträchtigende Veränderungen vor, um eine neue und somit für signaturbasierende Techniken nicht zu identifizierende Version der Schadsoftware zu kreieren.

Laut Raff stützt sich das Gros der gängigen Antivirensignaturen auf das "Varianten"-Prinzip, sprich: jede noch so kleine Veränderung im Schadcode wird von der Schutzsoftware als neue Variante interpretiert. Ziel des Projekts sei nun zu demonstrieren, dass diese Vorgehensweise für Browser-Exploits ungeeignet ist, da jeder dieser Exploits eine unbegrenzte Zahl von "Varianten" haben könne - und zwar ohne Code-Veränderungen auf Server-Seite. So ist das VoMM-Tool dazu in der Lage, durch das Hinzufügen von Komponenten wie Tabs, Leerstellen, beliebiger Kommentare oder wechselnder Namen, die nicht zu den bekannten Signaturen zählen, Schadsoftware zu kreieren, die nicht als solche zu erkennen ist.

Nach Angaben von Raff wird der VoMM-Code voraussichtlich in die kommende Version 3.0 des weit verbreiteten Hacking-Toolkits Metasploit integriert. Metasploit-Entwickler HD Moore ist ebenfalls an der Entstehung der Software beteiligt. Raffs Posting zu dem laufenden Projekt findet sich hier. (kf)