Update 08.08.2017:
Dieser Artikel besitzt nicht die Absicht, die Torrent-Technologie in Frage zu stellen. Vielmehr wollen wir anhand unserer Telemetrie-Daten zeigen, wie oft Black-Hats versuchen, die P2P-Plattform für die Verteilung von Malware zu missbrauchen.
In vielen Bereichen wird die Torrent-Technologie ganz legal verwendet. Betriebssysteme und Open-Source-Software benutzen die Technologie, um ihre neusten Updates zu verteilen. Viele Gamer kennen die Ressource durch ihre Update Streams. Es gibt sogar Musiker, welche die Filesharing-Technik zur Verbreitung ihrer Musik gebrauchen.
Leider sind sich auch Cyber-Kriminelle der große Popularität von Torrents bewusst. Seit Anfang 2016 weisen ESET-Telemetrie-Daten rund 15 Mio. Fälle auf, in denen Schadcode mit dem bekannten P2P-Client bzw. Filesharing-Dienst verknüpft wurde.
Außerdem sind es nicht immer Torrents, die von Black-Hats missbraucht werden. Selbst BitTorrent-Clients sind betroffen. Schon das bloße downloaden der neusten BitTorrent Clients – benötigte Software für User, die Dateien aus dem Torrents-Ökosystem beziehen möchten – kann das eigene Computersystem kompromittieren und wichtige Dateien irreversibel beschädigen.
Mehrere solcher Vorfälle haben wir im letzten Jahr beobachten können. Angreifer attackierten Apples Betriebssystem macOS mit Hilfe einer gefälschten Version von Transmission (beliebter plattformunabhängiger BitTorrent Client). Das Programm wurde dazu missbraucht, bösartige Malware zu streuen.
Der erste Angriff wurde im März 2016 dokumentiert. Damals luden sich Opfer die Ransomware KeRanger auf ihre Computersysteme. Diese Malware verschlüsselte Daten, so dass sie nicht mehr zugänglich waren.
Ob wohl das Transmission-Entwicklerteam die kompromittierte Anwendung nur wenige Stunden nach dem Auftauchen entfernte, gab es immer noch tausende Opfer weltweit.
Viel schlimmer ist die Tatsache, dass die KeRanger-Entwickler einen kryptografischen Algorithmus verwendeten, der quasi unzerstörbar war und die Daten der Opfer dadurch unzugänglich machte.
Ein anderer Fall nach dem gleichen Muster tauchte im August 2016 auf. Eine macOS Malware namens OSX/Keydnap verteilte sich damals auch durch eine gefälschte Version des Transmission-Clients. Es wurde eine permanente Backdoor auf kompromittierten Rechner eingeschleust. Die Malware stahl Anmeldeinformationen aus der Keychain App.
Wieder reagierten die Entwickler des offiziellen BitTorrent-Clients sehr schnell und entfernten die gefälschte Schadversion von Transmission innerhalb weniger Minuten nach dem Hinweis durch ESET-Forscher.
Nichtsdestotrotz geht die Gefahr nicht nur von den Clients aus. Riskant sind auch die heruntergeladenen Dateien, die sich als Musik-, Film- oder Software-Datei tarnen und sich im Nachhinein als Schadsoftware entpuppen.
Das war auch der Fall mit dem Sathurbot Backdoor-Trojaner, der von ESET im April 2017 entdeckt wurde. Betroffene Geräte wurden durch schädliche Torrents kompromittiert und als Konsequenz einem Botnet angeschlossen. Dieses scannte das Internet nach verwundbaren WordPress Admin-Logins. Der Angriff erfolgte dann durch verteilte Brute-Force-Attacken.
Um die weitere Verteilung zu garantieren, tarnte sich Sathurbot als bekannter Film oder als Software. Erfolgreich kompromittierte WordPress Accounts halfen, die böswilligen Torrents weiterzuverbreiten. Im Endeffekt konnten die schädlichen Dateien gut gestreut werden und waren für das „untrainierte Auge“ nur schwer als Fälschung zu erkennen.
Das Film-Torrent-Paket beinhaltete eine Datei mit einer Video-Erweiterung in Verbindung mit einem Codec-Installationspaket und einer erklärenden Textdatei. Das Software-Torrent enthielt offensichtlich eine ausführbare Installationsdatei und eine kleinere Textdatei. Beide Torrents sollten das Opfer dazu bewegen, die Executables auszuführen, damit die Sathurbot.DLL laden konnte.
Im Februar 2017 missbrauchten Cyber-Kriminelle BitTorrents-Sites, um die neue Ransomware „Patcher“ zu verbreiten. Sie tarnte sich als Anwendung, um bekannte Software ohne Lizenz benutzen zu können.
Das Torrent beinhaltete eine einfache ZIP-Datei – ein Anwendungspaket. ESET-Forscher entdeckten zwei Versionen der Malware – eine als "Patcher" für Adobe Premiere Pro und eine für Microsoft Office für Mac. Allerdings war die Analyse nicht sehr umfangreich und es gab auch noch andere Versionen im Netz.
Obwohl die Malware-Entwickler schlecht programmierten, war die Verschlüsselungsroutine dennoch ausreichend, um Opfern den Zugriff auf ihre Dateien verwehren zu können. Allerdings besaß die Ransomware keine Kommunikationsschnittstelle zum C&C-Server. Das bedeutet, dass es in keiner Weise die Möglichkeit gab, Opfer einen Entschlüsselungsschlüssel zukommen zu lassen.
Das sind nur einige Beispiele von BitTorrent-Clients und Torrents, die für Cyber-Kriminelle einen Weg der Kompromittierung darstellen können. Dadurch erreichen sie vor allem viele ahnungslose User, deren Computer sie mit Malware infizieren. Letztendlich übernehmen sie die Kontrolle und missbrauchen die neuen Ressourcen (Computer) für andere schädliche Angriffe. Selbstverständlich trifft das nicht exklusiv auf Torrents oder die P2P-Technologie zu.