HoT (Hand of Thief) ist nichts mehr als heiße Luft (derzeit)

2 Kommentare Autor: Jürgen (jdo)

Matrix Teaser 150x150Mit HoT war plötzlich ein Banking-Trojaner für Linux aufgetaucht, der für Schlagzeilen gesorgt hat.  Allerdings ist die Malware weit weniger gefährlich als das zunächst publiziert wurde. rsa.com hat HoT auseinander genommen und die ernüchternde Erkenntnis ist: Wer das Ding für 2000 US-Dollar gekauft hat, wurde ordentlich beschissen.

Man hat die Malware zwar noch nicht in freier Wildbahn gefunden, rsa.com hat sich allerdings vorsichtshalber eine Kopie besorgt – beziehungsweise den Builder aus denen sich die Binaries basteln lassen. Die Untersuchung hat ergeben, dass HoTs Möglichkeiten, Daten von Linux-Anwender zu klauen, doch sehr limitiert bis gar nicht vorhanden sind. Es sei ein Prototyp in den man massiv mehr Arbeit stecken müsste, um daraus einen vernünftigen Banking-Trojaner zu machen.

Der HoT-Builder selbst ist eine Windows-EXE und lässt sich unter Linux mithilfe von Wine benutzen. Während des Builds liest es eine Konfigurations-Datei aus und produziert dann eine ausführbare Datei von Hand of Thief. Das ist aber eine 32-Bit-Datei und läuft ohne weiteres Zutun nur auf 32-Bit-Linux-Systemen.

Hand of Thief - HoT

Hand of Thief – HoT

Die Entwickler werben damit, dass Hand of Thief Web-Injection-Mechanismen mit sich bringt. Einen Beweis dafür konnten RSA nicht finden. Allerdings gebe es Anzeichen, dass sich so eine Funktion in der Entwicklung befindet.

Wie infiziert man sich?

Die Entwickler der Malware geben keine spezielle Infektions-Methode, wie Drive-by und ähnliches an. Stattdessen sollen Käufer den Trojaner via E-Mail versenden und über soziale Medien verteilen. Danach müssten sie noch darauf hoffen, dass der Linux-Anwender den Schadcode auch startet.

Anti-VM

HoT versucht herauszufinden, ob die Malware in einer virtuellen Maschine läuft. Sollte das der Fall sein, beendet sich Hand of Thief. HoT funktioniert ebenfalls nicht, wenn WIreshark auf dem entpsrechenden Rechner läuft.

Wo funktioniert HoT und wo nicht (nur x86 und Desktop-Versionen)?

  • Fedora\RFRemix 16 – komplett
  • Fedora\RFRemix 17 – komplett
  • Fedora\RFRemix 18 – komplett
  • Fedora\RFRemix 19 – komplett
  • Arch Linux – komplett
  • Gentoo – komplett
  • openSUSE 12.3 – komplett
  • Linux Mint 14.1 – nur Backdoor (sichtbar in der Prozessliste)
  • Linux Mint LMDE (Debian Edition) 201303 – komplett
  • Mageia 2 – komplett
  • Debian Squeeze – komplett
  • Debian Wheezy – komplett
  • Ubuntu 13.04 – nur Backdoor (sichtbar in der Prozessliste)
  • Manjaro 0.8.5.2 – komplett
  • Sabayon 13.04 – komplett

Desktop-Umgebungen (automatisch)

  • Gnome 2
  • Gnome 3
  • KDE 3
  • KDE 4
  • Mate
  • Cinnamon
  • XFCE
  • Unity – keine Funktionalität

Browser

  • Ice Weasel (neueste Version) – komplett
  • Aurora (aktuelle Version) – komplett
  • Mozilla FireFox (aus den Repositories) 10-22 – komplett
  • Mozilla FireFox (von offizieller Seite installiert) 10-22 – komplett
  • Chromium 18-28 – komplett
  • Google Chrome 18-27 – komplett

Test-Rechner

Die Entwickler haben HoT auf mehreren Betriebssystemen getestet. Die Malware konnte sich auch in die Browser einschleichen, hat dann aber immer wieder Abstürze produziert. Unter Firefox konnte die Malware keine relevanten Daten sammeln – diese waren lediglich leer. Unter Google Chrome konnte HoT wenigstens einige Daten sammeln und diese an den Server schicken.

Allerdings versuchte Hand of Thief sämtliche Anfragen zu sammeln. Der Cyberkriminelle hat keine Möglichkeit, bestimmte Filter zu setzen. Somit sind auf dem Drop-Server jede Menge unnützer Daten gelandet.

Unter Ubuntu 12.04 lief der Trojaner normal, schien aber überhaupt nichts zu tun. Der Grund hierfür war anscheinen, dass ptrace scope per Standard aktiviert ist.

Fazit

Hand of Thief wurde laut rsa.com zu einer Zeit auf den Markt geworfen, in der die Nachfrage nach Trojanern sehr hoch ist. Allerdings sei das Paket noch weit von einem funktionstüchtigen Produkt entfernt – eher ein Prototyp.

Man wird ein scharfes Auge auf die Weiterentwicklung von HoT werfen, aber im Moment ist das Ganze wohl eher heiße Luft und rausgeworfenes Geld für Cyberkriminelle. Auf der anderen Seite geschieht es den Käufern nur Recht, 2000 US-Dollar für Nichts bezahlt zu haben. Oder anders gesagt: Cyberkriminelle hauen Cyberkriminelle übers Ohr – damit trifft es zumindest nicht den Falschen …

(via)


 Alle Kommentare als Feed abonnieren

2 Kommentare zu “HoT (Hand of Thief) ist nichts mehr als heiße Luft (derzeit)”

  1. Mintkatze says:

    hi Jürgen,

    eine Frage von mir: kann dieses Teil auf LinuxMint 15 Cinnamon-Desktop x86_64 und auf LinuxMint 16 x86_64 ausgeführt werden?? Und bedeutet es dort eine Gefahr??

    Übrigens sind meine Browser diese hier: Midori-Browser und Epiphany-Browser.

    Bitte mal checken.

    Grüße
    Mintkatze