Verschlüsselung & Datensicherheit

Achtung! In diesem Verzeichnis lauert Malware

Es ist das Verzeichnis „/.well-known/“ , das von Cyberkriminellen als Ablageplatz für Malware genutzt wird. Diese zu finden, bringt selbst Admins in Verlegenheit. Das Verzeichnis wird einfach übersehen obwohl kriminelle Hacker diesen Bereich nutzen, um Schadcode zu platzieren.

Hinterlistiges Verzeichnis

Das hinterlistige Versteck stellten mehrere Analysten der IT-Sicherheitsfirma ZScaler fest, wie futurezone.de dazu berichtete. Sie konnten das Problem bei Hunderten HTTPS-Webseiten ausfindig machen. Malware macht es sich dort wohl gerne gemütlich, da "/.well-known/" beim Abruf mit dem Kommandozeilenbefehl ls (list), über den Dateien aufgelistet werden, nicht gefunden wird.

Wofür werden die "/.well-known/"-Verzeichnisse genutzt?

Die Verzeichnisse weisen oft auf Informationen des Nutzers hin. So werden etwa bei der Bestellung eines SSL/TLS-Zertifikats die Unterverzeichnisse /.well-known/acme-challenge/ oder /.well-known/pki-validation/ eingesetzt. Ein solches Zertifikat wird zu Absicherung von Internetverbindungen benötigt.

Admins platzieren daraufhin an einem von beiden Orten eine Prüfdatei, um zu bestätigen, dass sie die Inhaber der Domain sind. Von dort kann der Zertifikatsaussteller darauf zugreifen, um die Inhaberschaft zu bestätigen. Somit hinterlässt er Spuren an Daten, die dann von Hackern ausfindig gemacht werden könnten.

Wer wurde bereits angegriffen?

Das IT-Team von ZScaler stellte fest, dass vor allem die bekannten Content-Management-Systeme (CMS) WordPress und Joomla durch Troldesh-Verschlüsselungstrojaner angegriffen wurden. CMS werden hauptsächlich zum Betreiben von Webseiten eingesetzt. Rund 60 Prozent aller Webseiten laufen über WordPress – darunter auch die von Facebook Newsroom, Microsoft und Mercedes Benz.

Außerdem fanden die Sicherheitsexperten auf den gehackten Webservern hinterlegte Phishing-Webseiten. Diese geben unter anderem das Corporate Design der Unternehmen DHL, Dropbox, Bank of America, Yahoo, Gmail oder Microsoft vor – und können dich somit in die Irre führen.

Fall nicht auf Fake-Webseiten herein

Hacking-Opfer sollen etwa via Phising-Mails auf Webseiten gelotst worden sein, auf denen dann die Schadsoftware unfreiwillig heruntergeladen wurde.

Fazit: Admins sollten auf der Hut sein

Es ist empfehlenswert, die Verzeichnisse /.well-known/acme-challenge/ und /.well-known/pki-validation/ bei Sicherheitsüberprüfungen penibel unter die Lupe zu nehmen. Malware ist schneller heruntergeladen, als du denkst, weswegen du unbedingt davon ablassen solltest "Game of Thrones" illegal downzuloaden. Nicht nur Verzeichnisse werden von Kriminellen ausgenutzt, auch dieses Hacking-Tool ist gefährlich.

Zurück

Diesen Beitrag teilen
oben