Skip to content

Anatomie einer Spammail

Bei der LUG Jena hatten wir kürzlich eine Diskussion über Spammails und Viren. Der Grund war, dass ich die untenstehende E-Mail erhielt. Das ist mal kein alltäglicher Spam. Vielmehr wird hier versucht, mir Malware unterzuschieben. Ich will mal versuchen, die Details hier aufzuschreiben.

Zunächst werfen wir einen Blick auf die E-Mail. Die Received:-Zeilen geben Aufschluss über den Weg der E-Mail. Üblicherweise geht man vom Empfänger zum Absender vor. Der Computer mit dem Namen MeinRechner hat die E-Mail von jengate.thur.de entgegen genommen. Der Rechner mit dem Namen demokritos1.cytanet.com.cy hat die E-Mail dort eingeliefert. Dessen IP-Adresse war 195.14.130.192. Der Rechner, mit dem alles begann, nannte sich selbst charmex.ovh.net. Seine IP-Adresse war 94.23.84.123 und die löste zu dem Namen mail.charmex.net auf.

Wie schon zu vermuten ist, löst die Adresse charmex.ovh.net nicht auf. Die IP-Adresse und der richtige Hostname bringen da schon mehr. Der Domainname wurde von Charmex International aus Barcelona registriert. Wie man in untenstehendem StreetView-Ausschnitt sieht, ist das wohl eine richtige Firma mit Sitz in einer dnsmap sagte mir später, dass es die Namen {ftp,mail,smtp,webmail,www}.charmex.net gibt. In der Tat antworten ProFTPd, Apache, Postfix, Courier usw. an den entsprechenden Ports. Der Apache ist auch der Meinung, dass er aus einer Debian-Distribution stammt. Denn ein curl -I http://www.charmex.net/ führt unter anderem zu der Ausgabe Server: Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny8 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g . Robtex zeigt eine ganze Menge zu DNS-Kram an. Auch zu Charmex wusste es einiges zu berichten.

Der folgende Host demokritos1.cytanet.com.cy ist derzeit in zwei RBLs zu finden. Die komplette Domain ist auch bei rfc-ignorant gelistet. Genauere Informationen findet ihr wieder bei Robtex: zum Domainnamen und zur IP-Adresse.

Wenn man den Header-Zeiler glauben darf, wurde die Software The Bat! eingesetzt. Die Version stammt schon aus den Anfangsmonaten von 2005. Die Software kann man kaufen oder testen. Die Testversionen haben normalerweise enen bestimmten String und bei der gekauften ist theoretisch der Käufer registriert. Bei einer derart alten Version vemute ich jedoch, dass man auf dem Wege nicht mehr den wirklichen Besitzer finden würde.

Der Name des Empfängers ist zwar Schall und Rauch und kann leicht gefälscht werden. Dennoch stolperte ich über Namen. Der kann zwar bedeutungslos sein. Jedoch stimmt der mit dem russischen Namen ?????? überein.

Die Message-ID ist nicht vom Programm The Bat! erzeugt worden. Denn die Versionen bis mindestens 4 erzeugen ein Muster ZUFALLSWERT.DATUM@DOMAIN. Der Wert nach dem Punkt ist eindeutig kein Datum. Nun habe ich etwa 140.000 Mails nach einer Message-ID dieser Form durchsucht. Interessanterweise taucht das Muster nur bei Spammails und erst ab April 2011 auf. Viele dieser E-Mails behaupten von The Bat! verfasst worden zu sein. Ich vermute, dass der Mailer positive Punkte bei Spamerkennungssoftware bringt.

Ziemlich am Ende des Kopfes der E-Mail stehen die Zeilen:

MIME-Version: 1.0                                                    
Content-Type: text/plain;                                                       
        charset=“utf-8”                                                         
Content-Transfer-Encoding: 8bit

Diese passen nicht so recht ins Bild. Die meisten Mailprogramme, die ich kenne, erzeugen je nach dem Inhalt eine andere Zeile. In dieser Kombination habe ich es bisher nur von Skripten gesehen. Daher nehme ich an, dass auch diese E-Mail von einem Skript erzeugt wurde.

Im Header könnte man noch weiter herum orakeln. Aber wenden wir uns lieber dem Text der E-Mail zu. Die Anrede wurde klein geschrieben. Ein weiterer Hinweis auf ein Skript. Denn der Rest der E-Mail hat korrekte Groß- und Kleinschreibung. Wenngleich sich die E-Mail liest, als wäre sie durch den Babelfisch gejagt worden.

Das Interessanteste am Text ist natürlich die URL hxxp://cdmirandes.com/.bestellen/Orden.zip. Ich habe absichtlich hier ein xx reingeschrieben. Wer sich die Datei herunterladen will, soll es wirklich wollen. Die Inhalte sind nicht für jeden Rechner gesund. :-)
Ich habe die URL an Virustotal weitergereicht. Nach dem URL-Scan erkannte nur TrendMicro die Seite als Malware-Seite. Der Rest der Virenscanner meldet diese auch heute noch als „clean“. Die Datei Orden.zip hat knapp 180 kB. Das erste Ergebnis von Virustotal war gemischt. Etwa ein Ein Sechstel aller Virenscanner erkannte irgendetwas Böses an der Datei. Mittlerweile erkennt die Mehrzahl der Scanner die Datei als eine Abart des Zeus- Trojaners. Vier Tage nach meinem ersten Scan lag die Erkennungsrate bei knapp 70%. Heute (zwei Wochen danach) sind 81% der Virenscanner der Meinung, dass es Malware ist. Die Jotti-Virenscanner liefern ein ähnliches Bild. Hier wird wieder klar, wie sehr oder wenig man sich auf einen Virenscanner verlassen kann.

Damit kann man auf die Löschtaste drücken und die E-Mail ins Nirvana schicken. Oder man übergibt die Datei an Seiten wie ThreatExpert, CWSandbox oder anderen und schaut nach, was der Trojaner so anstellt. ThreatExpert führt die Software in einer virtuellen Maschine aus und macht vorher und hinter einen Schnappschuss. Damit werden Änderungen an Dateien, der Registry uvm. sichtbar. Für die ausführbare Datei ergab sich folgende Analyse. Eine wesentliche tiefergehende Analyse liefert der Report von CWSandbox. Hier ist auch zu sehen, dass die Datei eine Netzwerkverbindung aufnehmen wollte. Von dem Hostnamen swarsdf45432.com sollte die Datei cfg1.bin abgerufen werden. Leider findet sich unter dem Namen nichts mehr. Er klingt für mich auch nach Fast Flux. Jedoch findet sich auch eine IP-Adresse 94.60.122.90. Unter der Adresse läuft ein Apache und einige weitere Software. Ein Versuch, die Datei abzurufen, endete mit Fehler 503. Damit stelle ich auch meine Rechercheversuche ein. Aber der geneigte Forscher kann sicher an der einen oder anderen Stelle ansetzen und noch ein wenig mehr herausfinden. Viel Spass!

Continue reading "Anatomie einer Spammail"

Im Gefängnis für 4,8 Millionen Downloads

Aaron Swartz ist (zumindest im Internet) ein recht bekannter Mann. Er hat mit sehr jungen Jahren an Standards mitgearbeitet, Firmen gegründet und ist in vielen Bereichen aktiv. Unter anderem engagiert er sich für den freien Zugang zu Dokumenten. In dieser Mission lud er 2009 öffentliche Gerichtsdokumente herunter und machte diese einfach zugänglich. Laut einem Artikel in der The New Times waren es knapp 20 Millionen Dokumente. Nun schlug Swartz erneut zu und lud knapp 5 Millionen wissenschaftliche Artikel bei JSTOR herunter. Die Webseite bietet Zugang zu diversen akademischen Zeitschriften. Das MIT hat, wie viele andere Unis, einen Zugang gekauft und bietet den Angehörigen darüber kostenfreien Zugang zu Dokumenten an. Laut der Anklageschrift kann ein derartiger Zugang durchaus 50.000 US-Dollar und mehr kosten. Der Anbieter verbietet die Benutzung von automatisierten Download-Programmen, das Herunterladen aller Ausgaben einer Zeitschrift oder eine Nutzung, die über die persönliche hinausgeht. Das MIT wiederum erlaubt allen Studenten, Mitarbeitern und Gästen den Download der Dokumente.

 Was genau tat Swartz? Die Anklageschrift schreibt, dass er sich einen Laptop kaufte und den unter einem Pseudonym beim MIT Netzwerk registrierte. Laut den Regeln darf man wohl bis zu 14 Tagen das Netz als Gast benutzen. Nachdem sich Swartz angemeldet hatte, startete er ein Python-Programm. Das begann die Daten herunterzuladen. Als JSTOR und das MIT dies entdeckten, begann das Katz-und-Maus-Spiel. IP-Adresse gesperrt, neue IP-Adresse benutzt, MAC-Adresse gesperrt, neue MAC ausgewürfelt. In der Folge sperrte JSTOR das gesamte MIT vom Zugriff auf die Dateien. Angeblich ging plazierte Swartz einen Laptop an einer versteckten Stelle, um die Daten herunterzuladen. Die Ermittler vermuten, er wollte die Dateien auf einer Filesharing-Seite verbreiten. Daher ließen sie ihn verhaften. Jetzt drohen ihm bei einer Verurteilung bis zu 35 Jahre Gefängnis. Insgesamt wird er sechs Vergehen (Wire Fraud, Computer Fraud,  Unlawfully Obtaining Information from a Protected Computer, Recklessly Damaging a Protected Computer, Aiding and Abetting sowie Criminal Forfeiture) beschuldigt. Davon kommt die Hälfte aus dem Titel 18, Abschnitt 1030 des United States Code. Der läuft unter dem Namen Computer Fraud and Abuse Act (CFAA).

 Wenn ich die Anklageschrift so lese, fühle ich mich an den Fall von Thomas Andrews Drake, einem NSA-Whistleblower, erinnert. Aber auch im Fall Bradley Manning berühren viele Anschuldigungen den CFAA. Ob dieser im Fall Swartz anwendbar ist, wird sich noch zeigen. Bei Drake wurden alle Anschuldigen bis auf eine fallen gelassen. Auch in anderen Fällen war der CFAA nicht unbedingt anwendbar.

Wenn man die diversen Beiträge liest, kommt entweder der Vergleich zu jemandem, der zu viele Bücher ausgeliehen hat bzw. der übliche Raubkopierer-Vergleich. Nach meiner Meinung treffen beide nicht den Punkt. In einer Bibliothek ist es in der Regel nicht möglich, in endlicher Zeit zwei Drittel des Bestandes auszuleihen. Weiterhin ist ein Buch nach der Rückgabe nicht mehr im eigenen Haushalt vorhanden. Swartz hat zwar mittlerweile alle Kopien zurückgegeben. Doch wer weiß, ob er nicht noch eine oder zwei Sicherheitskopien behalten hat. :-) Bei Diebstahl bzw. Raubkopie stellt sich die Frage, warum die Firma nach einem Diebstahl noch alle Daten hat. Mir gefällt folgender Vergleich recht gut: JSTOR bzw. das MIT haben Swartz in ihr Haus gelassen und sind jetzt sauer, dass er ihnen den Kühlschrank leer gegessen hat.

Letztlich bleibt für mich die Aussage, dass ein Crawler benutzt wurde. Dies verstößt gegen die TOS von JSTOR. Aber ob man ihn deswegen mit 35 Jahren belangen sollte? 

Weitere Quellen:

Lebe wohl Len Sassaman

Len SassamanAls ich das Buch zur Anonymität im Internet schrieb, gab es eine Person, die mir immer wieder „über den Weg“ lief. Len Sassaman hatte sehr früh Probleme beim Cypherpunk-Remailer gefunden und daraufhin Mixmaster mit entwickelt. The Pynchon Gate war eines der Ideen aus jüngerer Zeit, welches Len zusammen mit Nick Matthewson vom Tor Project und Bram Cohen von BitTorrent entwickelte. Len bat mich damals, eine Beschreibung mit in das Buch aufzunehmen. Die Zeit war jedoch zu kurz, um eine ordentliche Beschreibung einzubauen.

Im Laufe der Zeit sah ich Len Sassaman immer mal wieder auf Konferenzen. Wir unterhielten uns und ich lernte ihn sehr zu schätzen. Denn neben der Tatsache, dass er wirklich ein Fachmann auf seinem Gebiet war, war er ein unheimlich, hilfsbereiter Mensch.

Umso schockierter war ich, als ich gestern eine Twitter-Nachricht seiner Frau Meredith las. Sie schrieb, dass sie gerade mit der Polizei wegen seines Selbstmordes telefoniert hatte. Was zuerst noch wie ein schlechter Scherz klang, hat sich bestätigt. Len Sassaman ist aus dem Leben geschieden. Lebe wohl!

Bild von Wikipedia (Benutzer:AlexanderKlink)

tweetbackcheck