Technische Analyse von Hola

1. Juni 2015
Vectra AI Team für Sicherheitsforschung
Cybersecurity
Technische Analyse von Hola

Aktualisiert 3. Juni 2015 um 11:00 Uhr

In letzter Zeit hat eine beliebte Datenschutz- und Unblocker-Anwendung namens Hola die Aufmerksamkeit der Sicherheits-Community auf eine Reihe von Schwachstellen und äußerst fragwürdigen Praktiken gelenkt, die es dem Dienst ermöglichen, über seinen Schwesterdienst Luminati im Wesentlichen als Botnet-for-Hire zu agieren. Vectra hat diese Anwendung untersucht, nachdem sie in den letzten Wochen in Kundennetzwerken beobachtet wurde, und die Ergebnisse sind sowohl faszinierend als auch beunruhigend. Die Ergebnisse sind sowohl interessant als auch besorgniserregend. Zusätzlich zu den verschiedenen Botnet-Funktionen, die nun öffentlich bekannt sind, enthält die Hola-Anwendung eine Reihe von Funktionen, die sie zu einer idealen Plattform für die Durchführung gezielter Cyberangriffe machen.

Beginnen wir mit den Grundlagen‍

Hola wirbt damit, anonymes Surfen und einen Unblocker für den Zugriff auf beliebige Inhalte von jedem Ort aus anzubieten. Die "Entsperrung" erfolgt in zwei Formen. Die erste besteht darin, dass ein Hola-Nutzer vorgeben kann, in einem beliebigen Land zu sein, was den Zugang zu Inhalten ermöglicht, die nur im Zielland verfügbar sind. Ein gängiges Beispiel ist ein kanadischer Bürger, der auf die US-Version von Netflix zugreift. Zweitens kann ein Angestellter in einem Unternehmen, das bestimmten ausgehenden Datenverkehr blockiert, Hola nutzen, um die Blockade zu umgehen.

Die Software ist entweder als Browsererweiterung oder als eigenständige Anwendung mit Versionen für alle wichtigen Betriebssysteme erhältlich. Nach eigenen Angaben hat Hola weltweit 46 Millionen Nutzer. Vectra analysierte die Windows 32-Bit-Version von Hola für Windows sowie die Android ARM- und Android x86-Versionen von Hola für Mobiltelefone, die vor dem 27. Mai 2015 verfügbar waren.

Sobald der Dienst installiert ist, fungiert er als riesiges Peer-to-Peer-Netzwerk, das intern als "Zon" bekannt ist und in dem der Internetverkehr eines Nutzers durch andere Hola-Nutzer geleitet wird. Im Zon-Netzwerk wird jeder unbezahlte Benutzer als Ausgangsknoten verwendet, was bedeutet, dass Sie, wenn Sie die Anwendung installieren, den Datenverkehr von anderen anonymen Benutzern weiterleiten würden. Schlimmer noch, Hola speichert Inhalte auf den Geräten der Nutzer, was bedeutet, dass Sie nicht nur den Datenverkehr von anderen Nutzern ohne Ihr Wissen übertragen würden, sondern dass Sie auch dazu benutzt werden könnten, deren Inhalte zwischenzuspeichern. Auf all diese Dinge weist Hola auf seiner Website und in seiner Lizenzvereinbarung öffentlich hin. Während Nutzer, die dies gerade erst bemerkt haben, ihren Schock zum Ausdruck gebracht haben, ist die Geschichte damit noch nicht zu Ende.

Unsere Entscheidung, diese Software zu analysieren, bestand darin, dass sie in einigen Netzen unserer Kunden eine Art von Erkennung auslöste, die wir "External Remote Access" nennen. Der Algorithmus, der hinter dieser Erkennung steht, findet Verbindungen, die von innerhalb des Netzwerks eines Kunden zum Internet hergestellt werden, wobei die anschließende Interaktion eindeutig von einem Menschen außerhalb des Netzwerks des Kunden gesteuert wird. Dieses Muster stimmt mit der Funktionsweise eines anonymen Peer-to-Peer-Netzwerks überein. Der Computer des Mitarbeiters, auf dem Hola installiert ist, muss bekannte Techniken anwenden, um die Firewall dazu zu bringen, die Verbindung des Peers zuzulassen, und diese Techniken lassen es für die Firewall und für Vectra so aussehen, als ob die Verbindung vom Computer des Mitarbeiters zu dem Peer, der sie nutzen möchte, initiiert wurde. Sobald die Verbindung hergestellt ist, steuert der externe Mensch, der den Peer kontrolliert, die gesamte Aktion.

Lesen Sie einen Blog über Cyberangreifer, die The Onion Router benutzen

Tiefer graben‍

Die Sache wird noch interessanter, wenn Sie feststellen, dass Hola (das Unternehmen) eine zweite Marke namens Luminati betreibt, die den Zugang zum Hola-Netzwerk an Dritte verkauft. Wenn das für Sie wie ein Rezept für ein Botnet klingt, sind Sie nicht allein. Tatsächlich behaupten Moderatoren der umstrittenen Website 8chan, einen DDoS-Angriff erlebt zu haben , der vom Hola/Zon-Netzwerk ausging.

Darüber hinaus haben Forscher von Drittanbietern eine Reihe von Schwachstellen in der Hola-Software aufgedeckt, die es nicht nur ermöglichen, Nutzer zu verfolgen, sondern auch auszunutzen, um beliebigen Code auf dem Computer eines Hola-Nutzers auszuführen. Es ist anzumerken, dass Sicherheitslücken in völlig legitimer Software nichts Ungewöhnliches sind - die meisten Softwarehersteller werden nach der Kompetenz ihrer Programmierer bei der Vermeidung von Sicherheitslücken sowie nach der Schnelligkeit, mit der sie auf gemeldete Sicherheitslücken reagieren, beurteilt. Die Sicherheitslücken wurden am 29. Mai bekannt gegeben. Am 1. Juni erklärte Hola, dass die Schwachstellen gepatcht wurden. Diese Aussage wurde von den Drittanbietern in einem Update zu ihrem ursprünglichen Beitrag widerlegt.

Es scheint auch, dass der oben erwähnte DDoS nicht das erste Mal ist, dass Hacker versucht haben, Hola für bösartige Aktivitäten zu nutzen. Bei der Analyse des von Hola verwendeten Protokolls fanden die Forscher von Vectra auf VirusTotal 5 verschiedene malware -Samples, die das Hola-Protokoll enthalten. Die SHA256-Hashes für diese Beispiele sind unten aufgeführt:

  • 83fd35d895c08b08d96666d2e40468f56317ff1d7460834eb7f96a9773fadd2d
  • 2f54630804eeed4162618b1aff55a114714eeb9d3b83f2dd2082508948169401
  • 65687dacabd916a9811eeb139d2c2dada1cefa8c446d92f9a11c866be672280b
  • 43498f20431132cd28371b80aed58d357367f7fa836004266f30674802a0c59c
  • 59a9fedeb29552c93bb78fff72b1de95a3c7d1c4fc5ad1e22a3bbb8c8ddbfaba

Es überrascht nicht, dass dies bedeutet, dass die Bösewichte das Potenzial von Hola bereits vor den jüngsten Berichten der Guten erkannt hatten.

Ermöglichung eines menschlichen Angreifers

Bei der Analyse von Hola fanden die Forscher von Vectra Threat Labs heraus, dass Hola nicht nur Berichten zufolge ein Botnet ermöglicht, sondern auch eine Reihe von Funktionen enthält, die einen gezielten, von Menschen gesteuerten Cyberangriff auf das Netzwerk ermöglichen, in dem sich der Rechner eines Hola-Benutzers befindet.

Erstens kann die Hola-Software zusätzliche Software ohne das Wissen des Benutzers herunterladen und installieren. Das liegt daran, dass die Software nach der Installation von Hola nicht nur mit einem gültigen Codesignatur-Zertifikat signiert wird, sondern auch ihr eigenes Codesignatur-Zertifikat auf dem System des Benutzers installiert. Auf Windows-Systemen wird das Zertifikat dem Trusted Publishers Certificate Store hinzugefügt. Durch diese Änderung am System kann zusätzlicher Code installiert und ausgeführt werden, ohne dass der Benutzer vom Betriebssystem oder Browser benachrichtigt wird.

Darüber hinaus enthält Hola eine eingebaute Konsole, die auch dann aktiv bleibt, wenn der Benutzer nicht über den Hola-Dienst surft - sie ist in den Prozess integriert, der als Forwarder für den Verkehr anderer Peers fungiert. Das Vorhandensein dieser Konsole - "zconsole" genannt - ist an sich schon überraschend, da sie eine direkte menschliche Interaktion mit einem Hola-Knoten ermöglicht, selbst wenn der Dienst vom Systembenutzer nicht aktiv genutzt wird. Wenn also ein Mensch außerhalb des Systems Zugang zu dieser Konsole hätte, was könnte er tun?

  • Alle laufenden Prozesse auflisten und beenden
  • Herunterladen beliebiger Dateien mit einer Option zur Umgehung der Antivirenprüfung (AV)
  • Führen Sie eine heruntergeladene Datei aus und:
  • Ausführen der Datei mit dem Token eines anderen Prozesses
  • Ausführen als Hintergrundprozess
  • Öffnen eines Sockets zu einer beliebigen IP-Adresse, einem Gerät, einer Guid, einem Alias oder einem Windows-Namen
  • Lesen und Schreiben von Inhalten über den Socket auf die Konsole oder in eine Datei

Dies ist nur ein kleiner Ausschnitt der in der Konsole verfügbaren Funktionen. Die Entwickler der Konsole waren so freundlich, eine Manpage zur Verfügung zu stellen, um Personen, die mit den Befehlen nicht vertraut sind, zu helfen.

Mit diesen Fähigkeiten kann ein kompetenter Angreifer fast alles erreichen. Damit verlagert sich die Diskussion weg von einem undichten Anonymitätsnetzwerk, das ein Botnet ermöglicht, und zwingt uns stattdessen dazu, die Möglichkeit anzuerkennen, dass ein Angreifer Hola als Plattform für einen gezielten Angriff innerhalb eines beliebigen Netzwerks, das die Hola-Software enthält, nutzen könnte.

Aus diesem Grund empfehlen wir Unternehmen dringend, festzustellen, ob Hola in ihrem Netzwerk aktiv ist, und zu entscheiden, ob die in diesem Blog beschriebenen Risiken akzeptabel sind. Um dabei zu helfen, haben wir Yara-Regeln entwickelt, um festzustellen, ob Hola auf einem System vorhanden ist. Für Kunden, die ein Intrusion-Prevention-System (IPS) einsetzen, haben wir außerdem Snort-Signaturen erstellt, die ihnen helfen, Hola-Datenverkehr in ihrem Netzwerk zu identifizieren.

Ergänzungen und Klarstellungen seit der ersten Veröffentlichung

  • In den Fällen, in denen von Botnetzen in Verbindung mit Hola die Rede war, wurde klargestellt, dass Hola zur Aktivierung eines Botnetzes verwendet wurde und selbst kein Botnetz ist.
  • In Absatz drei wurden Informationen über die spezifischen Versionen von Hola für Windows und Hola für Mobilgeräte hinzugefügt, die für diesen Blog analysiert wurden. Diese Informationen waren bereits in dem späteren Abschnitt mit dem Titel SHA256-Hashes der analysierten Windows- und Android-Versionen der Hola-Software enthalten. Es wurden Informationen hinzugefügt, die nach der Veröffentlichung unseres Blogs über das Patchen der Software von Hola verfügbar wurden.
  • Es wurde klargestellt, dass die Beispiele auf VirusTotal auf böswillige Versuche hinweisen, Hola zu verwenden; Beweise für den Erfolg dieser Angriffe liegen nicht vor.
  • Aktualisierte unsere Empfehlung an Organisationen im letzten Absatz

Snort-Signaturen zur Erkennung von Hola- oder Luminati-Datenverkehr (Link zur Datei)

alert tcp any any -> any any (msg: "VECTRA TROJAN Zon Netzwerk verschlüsselt"; Inhalt:"

Häufig gestellte Fragen