Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
 
News Disclaimer
 
Verzeichnis "/.well-known/" beliebtes Malware-Versteck auf gehackten Webservern

05.04.2019

 zur Newsdatenbank home

In letzter Zeit verwenden Kriminelle, die Server kapern, um dort Schadcode zu deponieren, ein bestimmtes Verzeichnis als Versteck – nämlich "https://<example.com>/.wellknown/". Bei mehreren hundert HTTPS-Webseiten haben Analysten des IT-Sicherheitsunternehmens ZScaler das Phänomen beobachtet und ihre Erkenntnisse in einem Blogeintrag zusammengefasst.

/.well-known/ ist das Präfix sogenannter "well-known URLs". Meist verweisen die auf Informationen über den Host, die über das Web abgefragt werden können. Beim Bestellen eines SSL/TLS-Zertifikats mittels Automatic Certificate Management Environment (ACME) kommen beispielsweise die Unterverzeichnisse /.well-known/acme-challenge/ oder /.well-known/pki-validation/ zum Einsatz. In einem dieser Verzeichnisse platzieren Admins eine Prüfdatei, um zu beweisen, dass sie die Inhaber der Domain sind. Der Zertifikatsausteller kann sie anschließend von dort abrufen, um die Inhaberschaft zu verifizieren.

Für schädlichen Code eignet sich das Versteck /.well-known/ samt Unterverzeichnissen nicht nur deshalb, weil Admins selten hineinschauen – sondern auch, weil es als verstecktes Verzeichnis etwa beim Abruf mit dem Kommandozeilenbefehl ls (list) nicht angezeigt wird.

In seinem Blogeintrag hat das ZScaler-Team aufgeführt, dass die Analysen des Teams auf die in den letzten Monaten verstärkt kursierende Ransomware Troldesh alias Shade sowie auf Phishing-Webseiten abgezielt haben. Laut Netzwerkausrüster Juniper Networks nutzt Troldesh ein spezielles Brute-Force-Modul, um Content-Management-Systeme (CMS) anzugreifen. Dementsprechend basieren die von ZScaler untersuchten Webseiten ausnahmslos auf CMS, genauer: Auf Joomla- und WordPress (letzteres in den Versionen 4.8.9 bis 5.1.1).

In allen Fällen besaßen die Webseiten via ACME ausgestellte SSL/TLS-Zertifikate von Anbietern wie Let’s Encrypt, GlobalSign, DigiCert und Co – und fast immer verbarg sich die von den Analysten entdeckte Malware in den Unterverzeichnissen acme-challenge oder pki-validation. Diese Verzeichniswahl ist für Hacker vorteilhaft, weil eines von beiden aufgrund von ACME auf fast jedem Webserver mit HTTPS bereits vorhanden ist.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89