Kriminelle, die Server kapern, um dort Schadcode zu deponieren, verwenden in letzter Zeit immer öfter ein bestimmtes Verzeichnis als Versteck – nämlich "https://<example.com>/.wellknown/". Analysten des IT-Sicherheitsunternehmens ZScaler haben das Phänomen bei mehreren hundert HTTPS-Webseiten beobachtet und ihre Erkenntnisse in einem Blogeintrag zusammengefasst. /.well-known/ ist das Präfix sogenannter "well-known URIs". Die verweisen meist auf Informationen über den Host, die über das Web abgefragt werden können. Beispielsweise kommen beim Bestellen eines SSL/TLS-Zertifikats mittels Automatic Certificate Management Environment (ACME) die Unterverzeichnisse /.well-known/acme-challenge/ oder /.well-known/pki-validation/ zum Einsatz. Admins platzieren in einem dieser Verzeichnisse eine Prüfdatei, um zu beweisen, dass sie die Inhaber der Domain sind. Der Zertifikatsausteller kann sie anschließend von dort abrufen, um die Inhaberschaft zu verifizieren. Als Versteck für schädlichen Code eignet sich /.well-known/ samt Unterverzeichnissen nicht nur deshalb, weil Admins selten hineinschauen – sondern auch, weil es als verstecktes Verzeichnis etwa beim Abruf mit dem Kommandozeilenbefehl ls (list) nicht angezeigt wird. Content-Management-Systeme als Angriffsziel Wie das ZScaler-Team in seinem Blogeintrag ausführt, zielten die Analysen des Teams auf die in den letzten Monaten verstärkt kursierende Ransomware Troldesh alias Shade sowie auf Phishing-Webseiten ab. Laut Netzwerkausrüster Juniper Networks nutzt Troldesh ein spezielles Brute-Force-Modul, um Content-Management-Systeme (CMS) anzugreifen. Dementsprechend basieren die von ZScaler untersuchten Webseiten ausnahmslos auf CMS, genauer: auf Joomla- und WordPress (letzteres in den Versionen 4.8.9 bis 5.1.1). Diese Dateien hinterlegt Troldesh in Verzeichnissen zur TLS-Validierung. (Bild: ZScaler ) Die Webseiten besaßen in allen Fällen via ACME ausgestellte SSL/TLS-Zertifikate von Anbietern wie Let’s Encrypt, GlobalSign, DigiCert und Co – und fast immer verbarg sich die von den Analysten entdeckte Malware in den Unterverzeichnissen acme-challenge oder pki-validation. Für Hacker ist diese Verzeichniswahl vorteilhaft, weil eines von beiden aufgrund von ACME auf fast jedem Webserver mit HTTPS bereits vorhanden ist. ZScaler berichtet neben Funden des Troldesh-Verschlüsselungstrojaners von auf den gehackten Webservern hinterlegten Phishing-Webseiten, die unter anderem das Corporate Design der Unternehmen DHL, Dropbox, Bank of America, Yahoo, Gmail und Office365 beziehungsweise Microsoft imitieren. Opfer würden unter anderem via Phishing-Mails auf die Webseiten gelockt, auf denen dann der Ransomware-Download veranlasst beziehungsweise Formulareingaben oder andere Interaktionen provoziert würden. Vorsicht ist besser als Nachsicht ZScalers Erkenntnisse bezüglich /.well-known/ sind nicht neu: Bereits im vergangenen Jahr berichteten verschiedene IT-Newsseiten von vermehrten Schadcodefunden, vorrangig in den bereits erwähnten ACME-Unterverzeichnissen. Die aktuelle Zunahme der Funde durch Ransomware wie Troldesh sollten Admins dennoch zum Anlass nehmen, das Verzeichnis grundsätzlich in Sicherheitsüberprüfungen ihrer Systeme mit einzubeziehen und hin und wieder einen Blick vor allem auch in /.well-known/acme-challenge/ und /.well-known/pki-validation/ zu werfen. (ovw) Zur Startseite
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Kriminelle, die Server kapern, um dort Schadcode zu deponieren, verwenden in letzter Zeit immer öfter ein bestimmtes Verzeichnis als Versteck – nämlich "https://<example.com>/.wellknown/". Analysten des IT-Sicherheitsunternehmens ZScaler haben das Phänomen bei mehreren hundert HTTPS-Webseiten beobachtet und ihre Erkenntnisse in einem Blogeintrag zusammengefasst. /.well-known/ ist das Präfix sogenannter "well-known URIs". Die verweisen meist auf Informationen über den Host, die über das Web abgefragt werden können. Beispielsweise kommen beim Bestellen eines SSL/TLS-Zertifikats mittels Automatic Certificate Management Environment (ACME) die Unterverzeichnisse /.well-known/acme-challenge/ oder /.well-known/pki-validation/ zum Einsatz. Admins platzieren in einem dieser Verzeichnisse eine Prüfdatei, um zu beweisen, dass sie die Inhaber der Domain sind. Der Zertifikatsausteller kann sie anschließend von dort abrufen, um die Inhaberschaft zu verifizieren. Als Versteck für schädlichen Code eignet sich /.well-known/ samt Unterverzeichnissen nicht nur deshalb, weil Admins selten hineinschauen – sondern auch, weil es als verstecktes Verzeichnis etwa beim Abruf mit dem Kommandozeilenbefehl ls (list) nicht angezeigt wird. Content-Management-Systeme als Angriffsziel Wie das ZScaler-Team in seinem Blogeintrag ausführt, zielten die Analysen des Teams auf die in den letzten Monaten verstärkt kursierende Ransomware Troldesh alias Shade sowie auf Phishing-Webseiten ab. Laut Netzwerkausrüster Juniper Networks nutzt Troldesh ein spezielles Brute-Force-Modul, um Content-Management-Systeme (CMS) anzugreifen. Dementsprechend basieren die von ZScaler untersuchten Webseiten ausnahmslos auf CMS, genauer: auf Joomla- und WordPress (letzteres in den Versionen 4.8.9 bis 5.1.1). Diese Dateien hinterlegt Troldesh in Verzeichnissen zur TLS-Validierung. (Bild: ZScaler ) Die Webseiten besaßen in allen Fällen via ACME ausgestellte SSL/TLS-Zertifikate von Anbietern wie Let’s Encrypt, GlobalSign, DigiCert und Co – und fast immer verbarg sich die von den Analysten entdeckte Malware in den Unterverzeichnissen acme-challenge oder pki-validation. Für Hacker ist diese Verzeichniswahl vorteilhaft, weil eines von beiden aufgrund von ACME auf fast jedem Webserver mit HTTPS bereits vorhanden ist. ZScaler berichtet neben Funden des Troldesh-Verschlüsselungstrojaners von auf den gehackten Webservern hinterlegten Phishing-Webseiten, die unter anderem das Corporate Design der Unternehmen DHL, Dropbox, Bank of America, Yahoo, Gmail und Office365 beziehungsweise Microsoft imitieren. Opfer würden unter anderem via Phishing-Mails auf die Webseiten gelockt, auf denen dann der Ransomware-Download veranlasst beziehungsweise Formulareingaben oder andere Interaktionen provoziert würden. Vorsicht ist besser als Nachsicht ZScalers Erkenntnisse bezüglich /.well-known/ sind nicht neu: Bereits im vergangenen Jahr berichteten verschiedene IT-Newsseiten von vermehrten Schadcodefunden, vorrangig in den bereits erwähnten ACME-Unterverzeichnissen. Die aktuelle Zunahme der Funde durch Ransomware wie Troldesh sollten Admins dennoch zum Anlass nehmen, das Verzeichnis grundsätzlich in Sicherheitsüberprüfungen ihrer Systeme mit einzubeziehen und hin und wieder einen Blick vor allem auch in /.well-known/acme-challenge/ und /.well-known/pki-validation/ zu werfen. (ovw) Zur Startseite