Digital Life 

Fieses Malware-Versteck: Hier scheitern sogar die Admins – mit fatalen Folgen

Achtung Virus-Gefahr: Hinter diesem Verzeichnis verbirgt sich ein hinterlistiges Malware-Versteck.
Achtung Virus-Gefahr: Hinter diesem Verzeichnis verbirgt sich ein hinterlistiges Malware-Versteck.
Foto: imago/imagebroker
Das Verzeichnis "/.well-known/" sollte wohl eher mit "unknown" betitelt werden. Denn es bietet ein optimales Heim für listige Malware, das nicht einmal von Admins gefunden wird.

Das "/.well-known/"-Verzeichnis wird, anders als sein Name vermuten lässt, oftmals von Admins übersehen. Und das ist gefährlich: Denn kriminelle Hacker, die Server angreifen, um dort Malware zu hinterlassen, nutzten in letzter Zeit immer öfter diesen Bereich um Schadcodes zu platzieren.

Hinterlistiges Verzeichnis als Versteck für Malware wird auch von Admins übersehen

Das stellten mehrere Analysten der IT-Sicherheitsfirma ZScaler fest. Sie konnten das Problem bei Hunderten HTTPS-Webseiten ausfindig machen. Malware macht es sich dort wohl gerne gemütlich, da "/.well-known/" beim Abruf mit dem Kommandozeilenbefehl ls (list), über den Dateien aufgelistet werden, nicht gefunden wird.

Wofür werden die "/.well-known/"-Verzeichnisse genutzt?

Die Verzeichnisse weisen oft auf Informationen des Nutzers hin. So werden etwa bei der Bestellung eines SSL/TLS-Zertifikats die Unterverzeichnisse /.well-known/acme-challenge/ oder /.well-known/pki-validation/ eingesetzt. Ein solches Zertifikat wird zu Absicherung von Internetverbindungen benötigt.

Admins platzieren daraufhin an einem von beiden Orten eine Prüfdatei, um zu bestätigen, dass sie die Inhaber der Domain sind. Von dort kann der Zertifikatsaussteller darauf zugreifen, um die Inhaberschaft zu bestätigen. Somit hinterlässt er Spuren an Daten, die dann von Hackern ausfindig gemacht werden könnten.

Wer wurde bereits angegriffen?

Das IT-Team von ZScaler stellte fest, dass vor allem die bekannten Content-Management-Systeme (CMS) WordPress und Joomla durch Troldesh-Verschlüsselungstrojaner angegriffen wurden. CMS werden hauptsächlich zum Betreiben von Webseiten eingesetzt. Rund 60 Prozent aller Webseiten laufen über WordPress – darunter auch die von Facebook Newsroom, Microsoft und Mercedes Benz.

Außerdem fanden die Sicherheitsexperten auf den gehackten Webservern hinterlegte Phishing-Webseiten. Diese geben unter anderem das Corporate Design der Unternehmen DHL, Dropbox, Bank of America, Yahoo, Gmail oder Microsoft vor – und können dich somit in die Irre führen.

Fall nicht auf Fake-Webseiten herein

Hacking-Opfer sollen etwa via Phising-Mails auf Webseiten gelotst worden sein, auf denen dann die Schadsoftware unfreiwillig heruntergeladen wurde.

Fazit: Admins sollten auf der Hut sein

Es ist empfehlenswert, die Verzeichnisse /.well-known/acme-challenge/ und /.well-known/pki-validation/ bei Sicherheitsüberprüfungen penibel unter die Lupe zu nehmen. Malware ist schneller heruntergeladen, als du denkst, weswegen du unbedingt davon ablassen solltest "Game of Thrones" illegal downzuloaden. Nicht nur Verzeichnisse werden von Kriminellen ausgenutzt, auch dieses Hacking-Tool ist gefährlich.

Zu den Kommentaren
Neueste Videos auf futurezone.de

Neueste Videos auf futurezone.de

Beschreibung anzeigen