{"id":232010,"date":"2020-05-23T00:02:00","date_gmt":"2020-05-22T22:02:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=232010"},"modified":"2022-08-23T00:44:51","modified_gmt":"2022-08-22T22:44:51","slug":"kompromittiertes-silktide-cookie-consent-logo-teil-3","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/05\/23\/kompromittiertes-silktide-cookie-consent-logo-teil-3\/","title":{"rendered":"Kompromittiertes SilkTide Cookie-Consent Logo &ndash; Teil 3"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/05\/23\/compromised-silktide-cookie-consent-logo-part-3\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Das kompromittierte Amazon AWS S3 Buckets, welches ich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/05\/20\/achtung-mal-ransomware-infiziertes-cookie-consent-logo\/\">Achtung Mal-\/Ransomware: Infiziertes Cookie-Consent-Logo<\/a> thematisiert habe, liefert st\u00e4ndig neue 'Payloads' \u00fcber kompromittierte Dateien aus. Hier noch einige Erg\u00e4nzungen dazu.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/6cbf2ee2f7384e4da46b65d4ba51ac3b\" alt=\"\" width=\"1\" height=\"1\" \/>Im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/05\/22\/kompromittiertes-silktide-cookie-consent-logo-teil-2\/\">Kompromittiertes SilkTide Cookie-Consent Logo<\/a> \u2013 Teil 2 hatte ich einige Hintergrundinformationen zum Thema ver\u00f6ffentlicht. Aber es sieht so aus, als ob der Missbrauch des kompromittierten Amazon AWS S3 Buckets schon \u00fcber Jahre geht und st\u00e4ndig neue Nutzlasten ausgeliefert werden.<\/p>\n<h2>Fr\u00fcherer Missbrauch des AWS S3 Buckets<\/h2>\n<p>Nachdem ich den obigen Sacherhalt auf Twitter und in sozialen Netzwerken eingestellt hatte, gab es R\u00fcckmeldungen von Sicherheitsforschern und anderen Leuten. Das Amazon AWS S3 Bucket wird seit Jahren missbraucht. Daniel Ruf wies auf Facebook auf drei dokumentierte Missbrauchsf\u00e4lle in der Vergangenheit hin, die sch\u00e4dliche Dateien aus dem Amazon AWS S3 Bucket, thematisieren.<\/p>\n<h3>Mobile-Browser-Umleitung im September 2019<\/h3>\n<p>Der erste Fall, auf den Daniel Ruf bei Facebook hinwies, verwendete eine manipulierte Script-Datei aus dem Amazon AWS S3 Bucket. Folgender Tweet weist auf einen Fall vom September 2019 hin, wo ein Script kompromittiert wurde.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">If the user browse from a mobile device and the back button is pressed, it replaces the current page with a URL that refers to the fraudulent page. <a href=\"https:\/\/t.co\/y1rcje8wTc\">pic.twitter.com\/y1rcje8wTc<\/a><\/p>\n<p>\u2014 tike (@tiketiketikeke) <a href=\"https:\/\/twitter.com\/tiketiketikeke\/status\/1176336643013238784?ref_src=twsrc%5Etfw\">September 24, 2019<\/a><\/p><\/blockquote>\n<p><span id=\"preserve42b7041eb55e427986b2657351a2e24c\" class=\"wlWriterPreserve\"><script charset=\"utf-8\" src=\"https:\/\/platform.twitter.com\/widgets.js\" async><\/script><\/span><\/p>\n<p>Dort f\u00fchrt die Verwendung der <em>Zur\u00fcck<\/em>-Schaltfl\u00e4che eines Mobilger\u00e4ts dazu, dass der Benutzer zu einer betr\u00fcgerischen Webseite umgeleitet wird. Die Details sind in <a href=\"https:\/\/andrealazzarotto.com\/2019\/09\/08\/lo-strano-caso-delle-promozioni-truffa-che-infettano-i-siti-web-senza-bucarli\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem italienischen Beitrag<\/a> detaillierter beschrieben.<\/p>\n<h3>F\u00e4lle aus dem Juli 2017<\/h3>\n<p>Ein weiterer Fall aus dem Juli 2017 wurde in diesem Forenbeitrag kurz dokumentiert. Es geht ebenfalls um ein Redirect auf Mobilger\u00e4ten, dass von manipulierten Dateien des Cookie Consent Plugin von Silktide ausgeht. Der Beitrag beschreibt den damaligen Sachverhalt. Der n\u00e4chste Fall aus 2017 wird in <a href=\"https:\/\/gist.github.com\/PhilETaylor\/6db0c89c3e387fbb1db657b8c37bd746?fbclid=IwAR2z81To_129U6vvzeRJtY4pdtr3GgM2bC8u4XyJ-49b_LsfXAmtgBppTSw\" target=\"_blank\" rel=\"noopener noreferrer\">diesem GitHub-Beitrag<\/a> von Phil E. Taylor diskutiert. Die manipulierten Script-Dateien verfolgten das Ziel, Nutzer auf Porno-Seiten umzuleiten.<\/p>\n<h3>Angriff auf portugiesische Webseiten (Januar 2020)<\/h3>\n<p>Im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/05\/20\/achtung-mal-ransomware-infiziertes-cookie-consent-logo\/\">Achtung Mal-\/Ransomware: Infiziertes Cookie-Consent-Logo<\/a> hatte ich bereits den Hinweis von Lawrence Abrams gebracht, dass das kompromittierte Amazon AWS S3 Buckets schon mal im Januar 2020 ein Thema war.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">The WannaPeace Ransomware variant pushed by it was targeting Portugal. Appears to be from 2019.<a href=\"https:\/\/t.co\/mGL0VNuF3i\">https:\/\/t.co\/mGL0VNuF3i<\/a> <a href=\"https:\/\/t.co\/irella3TKM\">pic.twitter.com\/irella3TKM<\/a><\/p>\n<p>\u2014 Lawrence Abrams (@LawrenceAbrams) <a href=\"https:\/\/twitter.com\/LawrenceAbrams\/status\/1263453025269678080?ref_src=twsrc%5Etfw\">May 21, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Damals standen portugiesische Webseiten im Fokus. Lawrence Abrams von Bleeping Computer hat mir einen fr\u00fcheren <a href=\"https:\/\/www.virustotal.com\/gui\/file\/0ca2fae57221cea7f4d250110d0d4bc1fe9499da5fc416a2c93fca7962381319\/detection\">Link auf Virus Total<\/a> geschickt, wo sehr viele Virenscanner auf Virus Total eine Nutzlast als gef\u00e4hrlich erkannt. Das kann sich aber jederzeit \u00e4ndern.<\/p>\n<h2>Aktuelle Nutzlasten wechseln t\u00e4glich<\/h2>\n<p>Seit ich das den ersten Artikel vor wenigen Stunden verfasst habe, lassen Leute die URL mit der Logo-Datei \u00fcberpr\u00fcfen. Bei meinem Aufruf vor einigen Stunden haben nur zwei (Fortinet und Kaspersky) von 80 Virenscannern auf VirusTotal eine <a href=\"https:\/\/www.virustotal.com\/gui\/url\/427055305b0d881dd1f3a8a70f3929227cf6a27926a803744796f2ecaa815118\/detection\" target=\"_blank\" rel=\"noopener noreferrer\">Malware erkannt<\/a>. Dazu gibt es <a href=\"https:\/\/www.virustotal.com\/gui\/url\/427055305b0d881dd1f3a8a70f3929227cf6a27926a803744796f2ecaa815118\/community\" target=\"_blank\" rel=\"noopener noreferrer\">einen Community-Beitrag<\/a>, wo jemand diese Malware thematisiert.<\/p>\n<h3>Pl\u00f6tzlich WannaPeace Ransomware<\/h3>\n<p>Auf Grund meines Blog-Beitrags und der Diskussion auf Twitter hat sich Sicherheitsforscher Kevin Beaumont in folgendem Tweet gemeldet.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">I got a weird payload for it yesterday, was WannaPeace disguised as a software update, but broken. Wasn't on VT at time. <a href=\"https:\/\/t.co\/IfizlJGTH8\">https:\/\/t.co\/IfizlJGTH8<\/a> <a href=\"https:\/\/t.co\/cl8SSoHkQL\">https:\/\/t.co\/cl8SSoHkQL<\/a><\/p>\n<p>\u2014 Kevin Beaumont (@GossiTheDog) <a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1263584564561108992?ref_src=twsrc%5Etfw\">May 21, 2020<\/a><\/p><\/blockquote>\n<p><span id=\"preserve05a61c1c50424a1e86e38d61f61a61a5\" class=\"wlWriterPreserve\"><script charset=\"utf-8\" src=\"https:\/\/platform.twitter.com\/widgets.js\" async><\/script><\/span><\/p>\n<p>Am 21. Mail 2020 bekam er die WannaPeace-Ransomware als 'Nutzlast' von der kompromittierten Amazon AWS-Seite, als Software-Update getarnt, ausgeliefert. Aber die Payload war kaputt, wie eine Pr\u00fcfung der <em>.png<\/em>-Datei mit VirusTotal ergab.<\/p>\n<h2>Was man tun kann<\/h2>\n<p>Administratoren in Firmenumgebungen kann man nur raten, die URL *<em> <\/em>komplett f\u00fcr Zugriffe aus dem Netz zu sperren. Webmaster von Internet-Auftritten sollten dagegen pr\u00fcfen, ob die Cookie Consent-L\u00f6sung von SilkTide im Einsatz ist. In diesem Fall sollte der Code entfernt und auf eine andere L\u00f6sung umgestellt werden.<\/p>\n<blockquote><p><strong>Addendum:<\/strong> Die Aktion hat nun doch etwas 'Staub aufgewirbelt'. Amazon hat das Konto deaktiveirt und das S3 Bucket suspendiert. Nun sollten keine kompromittierten Dateien mehr von diesem S3 Bucket mehr ausgeliefert werden.<\/p><\/blockquote>\n<p><strong>Artikelreihe<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/05\/20\/achtung-mal-ransomware-infiziertes-cookie-consent-logo\/\">Achtung Mal-\/Ransomware: Infiziertes Cookie-Consent-Logo<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/05\/22\/kompromittiertes-silktide-cookie-consent-logo-teil-2\/\">Kompromittiertes SilkTide Cookie-Consent Logo<\/a> \u2013 Teil 2<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/?p=232010\">Kompromittiertes SilkTide Cookie-Consent Logo<\/a> \u2013 Teil 3<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Das kompromittierte Amazon AWS S3 Buckets, welches ich im Blog-Beitrag Achtung Mal-\/Ransomware: Infiziertes Cookie-Consent-Logo thematisiert habe, liefert st\u00e4ndig neue 'Payloads' \u00fcber kompromittierte Dateien aus. Hier noch einige Erg\u00e4nzungen dazu.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-232010","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232010","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=232010"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232010\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=232010"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=232010"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=232010"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}