Browser-basierte Backdoors

Gnu­Ci­ti­zen schreibt in einem Ar­ti­kel über die prin­zi­pi­el­le Mög­lich­keit, Root­kits in Brow­sern ein­zu­bet­ten. Das ganze hat eine Reihe von Vor­tei­len:

  • Brow­ser haben an sich immer das Recht, Netz­ver­bin­dun­gen auf­zu­bau­en (wes­halb der Brow­ser auch als Tun­nel be­nutzt wird, um Per­so­nal Fire­walls aus­zu­he­beln). Netz­ver­kehr, der vom Brow­ser er­zeugt wird, ist üb­li­cher­wei­se eben­falls un­ver­däch­tig.
  • Root­kits müs­sen sich in der Pro­ze­ß­lis­te gegen Ent­de­ckung tar­nen. Dies wird ent­we­der mit ge­wöhn­lich klin­gen­den Namen ("svc32.​exe") be­werk­stel­ligt, oder mit viel Auf­wand durch Ver­an­ke­rung als Trei­ber. Im Brow­ser ein­ge­bet­tet er­scheint kein se­pa­ra­ter Pro­zeß­na­me, und der Brow­ser­pro­zeß selbst gilt als un­ver­däch­tig.
  • Das De­ploy­ment ist dank Plu­gin- und Ad­don-Schnitt­stel­len sehr kom­for­ta­bel. Die­ses muß le­dig­lich über die ge­ge­be­ne Schnitt­stel­le in­stal­liert wer­den. Mög­li­cher­wei­se wird das Root­kit auch als tro­ja­ni­sches Pferd mit Hilfe eines nütz­li­chen Plug­ins, wel­ches eine "un­be­kann­te Zweit­funk­tio­na­li­tät" hat, ein­ge­schleust. (der Ar­ti­kel zählt noch ei­ni­ge wei­te­re Mög­lich­kei­ten auf)
  • Die Brow­ser-Ad­dons kön­nen in ein­fa­chen Skript­spra­chen ver­fa­ßt wer­den, was so­wohl die Ent­wick­lung als auch die au­to­ma­ti­sche Ver­schleie­rung des Codes ver­ein­facht. Auch das In­fi­zie­ren von be­reits in­stal­lier­ten Brow­ser-Ad­dons soll­te so re­la­tiv ein­fach sein.

Na­tür­lich hat eine sol­che Back­door nur die Rech­te des Be­nut­zers und na­tür­lich läuft sie nur, wenn der Brow­ser offen ist. Aber die Nut­zer­rech­te rei­chen häu­fig aus (vom pa­tho­lo­gi­schen Win­dows, wo der "lo­ka­le Ad­mi­nis­tra­tor" Stan­dard ist, möch­te ich noch gar nicht reden) - und: Hand auf's Herz, der Brow­ser ist doch eh fast immer offen...
Man darf ge­spannt sein, ob (und was) sich an die­ser tech­ni­schen Front in der nä­he­ren Zu­kunft tun wird.