![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Bevor es bei mir untergeht: Der Archiv-Server des Pale Moon-Projekts wurde gehackt. Anschlie\u00dfend wurde Malware \u00fcber diesen Server verbreitet. Vielleicht f\u00fcr Nutzer des Pale Moon-Browsers von Interesse. Der Hack ist im Dezember 2017 passiert und wurde erst jetzt entdeckt (nachdem ein weiterer Hack den Server unbrauchbar machte). Hier die Details \u2013 die ich 'st\u00fcckweise' ver\u00f6ffentlichen musste.<\/p>\n
<\/p>\n
Der Verantwortliche des Pale Moon-Entwicklerteam hat die Information am 10. Juli 2019 in diesem Post<\/a> \u00f6ffentlich gemacht. Hier die wichtigsten Passagen in Deutsch.<\/p>\n Es gab einen erfolgreichen Hack des Archivserver s(archive.palemoon.org), bei dem versucht wurde, das Projekt zu sabotieren. Beim Hack wurden alle archivierten ausf\u00fchrbaren Dateien auf dem Server mit einem Trojan\/Virus-Dropper infiziert. <\/p>\n<\/blockquote>\n Die Information wurde als Post-Mortem-Bericht ver\u00f6ffentlicht, da das Entwickler-Team gegen\u00fcber der Community volle Transparenz geben m\u00f6chte, was passiert ist. Es soll offen gelegt werden, welche Dateien betroffen waren, was Nutzer tun k\u00f6nnen, um ihre Downloads zu \u00fcberpr\u00fcfen und was getan wird, um solche Verletzungen in Zukunft zu verhindern. Allerdings liegen noch einige Dinge im Dunkeln. <\/p>\n Ein Angreifer erhielt Zugriff auf den damals Windows-basierten Archivserver (archive.palemoon.org) des Projekts. Der Server war bei Frantech\/BuyVM angemietet. Auf dem Server wurde ein Skript ausgef\u00fchrt, um selektiv alle darauf gespeicherten archivierten Pale Moon.exe-Dateien (Installer und portable selbstentpackende Archive) mit einer Variante von Win32\/ClipBanker.DY (ESET-Bezeichnung) zu infizieren. <\/p>\n Wer diese infizierten ausf\u00fchrbaren Dateien unter Windows startet, dem wird ein Trojaner\/ eine Backdoor auf dem System abgelegt. \u00dcber die Backdoor kann das System m\u00f6glicherweise weiter kompromittiert worden sein. <\/p>\n Der Vorfall wurde den Entwicklern, laut Aussage, erst am 9. Juli 2019 bekannt und diese haben sofort den Zugriff auf den Archivserver beendet, um eine m\u00f6gliche weitere Verbreitung infizierter Bin\u00e4rdateien zu verhindern. Gleichzeitig begann eine Untersuchung, welche Auswirkungen das Ganze hat. <\/p>\n Gem\u00e4\u00df den Zeitstempeln der infizierten Dateien wurden diese bereits am 27. Dezember 2017 um ca. 15:30 infiziert. M\u00f6glicherweise wurde dieser Zeitstempel ver\u00e4ndert, aber anhand der Backups ist es wahrscheinlich, dass die Infektion damals passierte. <\/p>\n Das Problem: Die Entwickler haben nur begrenzten Zugriff auf die Logs, denn in einem weiteren Hack (m\u00f6glicherweise von den gleichen Leuten) wurde der Archivserver am 26.05.2019 vollst\u00e4ndig inoperabel gemacht. Ob bewusst oder unbewusst, bleibt mal dahingestellt. <\/p>\n Jedenfalls gab es Dateikorruption auf dem Server, so dass dieser sich nicht mehr booten l\u00e4sst und auch keine Daten mehr abrufbar sind. Leider bedeutet das auch, dass zu diesem Zeitpunkt Systemprotokolle mit genauen Angaben zum Hack verloren gegangen sind.<\/p>\n Der oder die Entwickler haben dann den Archivserver wieder auf einem anderen Betriebssystem (Wechsel von Windows auf CentOS) aufgesetzt. Gleichzeitig wurde der Zugriff von FTP auf HTTP ge\u00e4ndert (da Linux FTP nicht einfach auf die gleiche Weise eingerichtet werden kann).<\/p>\n Im Posting schreibt man, dass die Dateien, nach den ge\u00e4nderten Zeitstempeln zu urteilen, in schneller Folge infiziert wurden. Die Dateigr\u00f6\u00dfe erh\u00f6hte sich um ca. 3 MB f\u00fcr den Trojaner als b\u00f6sartiger Nutzlast. Die Modifikation erfolgte lokal auf dem System, h\u00f6chstwahrscheinlich mit einem Skript, das direkte Dateioperationen durchf\u00fchrte. Die infizierten Dateien wurden nicht im infizierten Zustand remote hochgeladen. Interessant ist auch die Aussage, wie der Hack erfolgt sein musste: <\/p>\n Im Post werden Remote-FTP-Zugriff, Remote-RDP-Zugriff und die Ausf\u00fchrung unsicherer Software auf der VM als potenzielle Angriffspunkte ausgeschlossen. Grund: Dieser Zugriff war zu jeder Zeit auf den Verantwortlichen des Projekts beschr\u00e4nkt und durch IP und mit sicherem, einzigartigem Passwortschutz gesperrt. Aus dieser Aussage schlie\u00dft der Verantwortliche, dass die Remote-Sicherheit des Windows-Systems solide gewesen sei. <\/p>\n Betroffen sind nur Leute, die archivierte ausf\u00fchrbare Dateien (Installer und portable selbstextrahierende Archive) von Pale Moon 27.6.2 und darunter heruntergeladen haben. Dies betraf auch alle archivierte Versionen von Basilisk auf dem gleichen Storage-Server.<\/p>\n Dies betraf nie einen der Download-Server von Pale Moon, und wenn man bedenkt, dass archivierte Versionen nur dann aktualisiert werden, wenn der n\u00e4chste Release-Zyklus stattfindet, werden zu keinem Zeitpunkt aktuelle Versionen, egal von wo sie abgerufen werden, infiziert. Wer nie vom Archiv-Server .exe-Dateien oder selbstextrahierende Archive f\u00fcr Windows heruntergeladen hat, ist und war sicher.<\/p>\n Die meisten Versionen von Pale Moon (auch die Bin\u00e4rdateien) werden mit zugeh\u00f6rigen .sig<\/em>-Dateien (pgp-Signaturen) geliefert. Damit l\u00e4sst sich sicherstellen, dass die Dateien nicht manipuliert oder in irgendeiner Weise ver\u00e4ndert werden. Allerdings gab es einen Zeitraum, in dem Code-Signatur aufgrund der Nichtverf\u00fcgbarkeit zu vern\u00fcnftigen Kosten f\u00fcr die Open-Source-Entwicklung nicht verwendet wurde. <\/p>\n Bin\u00e4rdateien lassen sich unter Windows durch einen Rechtsklick -> Eigenschaften -> Registerkarte \"Digitale Signaturen\" \u00fcberpr\u00fcfen. Wenn diese Registerkarte fehlt, dann ist die Bin\u00e4rdatei entweder nicht signiert oder wurde gegen\u00fcber dem Original ge\u00e4ndert.<\/p>\n Sp\u00e4tere Versionen der archivierten ausf\u00fchrbaren Dateien werden auch mit einem SHA256 hash in der zugeh\u00f6rigen Datei \"hashes.txt\" ausgeliefert. Sie k\u00f6nnen die Integrit\u00e4t auch auf diese Weise \u00fcber diese Pastebin-Datei<\/a> \u00fcberpr\u00fcfen.<\/p>\n Dar\u00fcber hinaus erkennen allen gro\u00dfen Antivirenanbieter die Infektion, so dass man die Downloads und die Systeme mit dem bevorzugten Antivirenscanner auf Infektionen pr\u00fcfen kann. Was mich aber wundert ist der Umstand, dass diese Infektion solange nicht aufgefallen ist. <\/p>\n Der Pale Moon Entwickler schl\u00e4gt vor: Wenn Sie versehentlich einen infizierten Installer oder einen portablen Self-Extracter haben, sollte man das System mit seri\u00f6ser Antivirensoftware vollst\u00e4ndig \u00fcberpr\u00fcfen und bereinigen lassen, um diese Malware zu entfernen. Mein Ratschlag: Wenn eine Infektion festgestellt wird, muss das komplette System neu aufgesetzt werden \u2013 denn das ist kompromittiert. <\/p>\n","protected":false},"excerpt":{"rendered":" Bevor es bei mir untergeht: Der Archiv-Server des Pale Moon-Projekts wurde gehackt. Anschlie\u00dfend wurde Malware \u00fcber diesen Server verbreitet. Vielleicht f\u00fcr Nutzer des Pale Moon-Browsers von Interesse. Der Hack ist im Dezember 2017 passiert und wurde erst jetzt entdeckt (nachdem … Weiterlesen \n
Was ist genau passiert? <\/h2>\n
Wann passierte der Hack?<\/h2>\n
Noch ein paar Hintergrundinformationen<\/h2>\n
\n
Wer ist betroffen?<\/h2>\n
Wie kann ich was pr\u00fcfen?<\/h2>\n