FinFly-ISP infect by download

By | 8. August 2013

Der Alptraum eines jeden Internet-Nutzers hat ein Gesicht bekommen: FinFly-ISP !
Ein PC zu infizieren wenn man darauf physischen Zugriff hat, ist heutzutage ein Kinderspiel.
Eine andere Hausnummer ist das infizieren aus der Ferne. Hier werden gerne infizierte Mails versendet oder der Nutzer zum download einer Datei, Besuch einer Webseite usw. animiert. Hierbei muss der Nutzer aber „aktive“ mithelfen.

FinFly-ISP ist jedoch anders. Hier reicht es schon aus, den Rechner einzuschalten wenn dieser eine Internetverbindung hat.

Der Trick: Fast alle Betriebssysteme haben eine automatische Update-Funktion. Diese arbeitet teilweise völlig ohne Benutzeraktion. Updates werden in der Regel geladen und beim herunterfahren installiert. Eigentlich sehr vorbildlich, ist doch der Rechner so immer auf dem aktuellen Stand.
Auch einige Programme wie Google-Chrome, Firefox oder der Flash-Player bieten automatische Programm-Updates an.
FinFly-ISP ist genau darauf spezialisiert! Der Infection-Proxy wird beim ISP(also deinem Internetprovider) aufgestellt. Dieser Proxy ist in der Lage, Downloads wie zum Beispiel Updates zu infizieren. Damit der Angriff auch wirklich den richtigen Rechner trifft, wird auch der Radius-Server des ISPs angezapft. Der Proxy kennt jetzt also deine IP-Adresse und deine MAC.
Der Operator kann dabei das ganze über einen Management-Server steuern. Dabei muss der Operator nicht einmal vor Ort beim ISP sitzen. Er kann auch ganz gemütlich in Florida in der Sonne sitzen.

Wenn man jetzt noch im Hinterkopf hat, dass die NSA alle großen Anbieter die Master-Schlüssel für SSL und zum signieren von Software abgepresst hat, wird der Proxy damit „on the fly“ den Download neu signieren können.
Nun wird auch klar, warum bei dieser Art der Infektion, keine Fehlermeldung vom Betriebssystem erzeugt wird.

Übrigens: Schon das einfache surfen im Internet reicht dem FinFly für eine Infektion aus. Hier wird dem Webbrowser vermutlich ein manipuliertes Bild, pdf-Dokument oder ähnliches unter geschoben.

Für den Nutzer ist es nahezu unmöglich, sich gegen solche Angriffe zu wehren….Nicht einmal Linux wird gegen solche Angriffe immun sein. Zumindest, wenn ich davon ausgehe, dass auch hier die Master-Keys erpresst wurden.