Anders als sein Name impliziert, wird das versteckte Verzeichnis „/.well-known/“ von Admins gern vergessen oder übersehen. Das kann fatale Folgen haben.

Kriminelle, die Server kapern, um dort Schadcode zu deponieren, verwenden in letzter Zeit immer öfter ein bestimmtes Verzeichnis als Versteck – nämlich „https:///.wellknown/“. Analysten des IT-Sicherheitsunternehmens ZScaler haben das Phänomen bei mehreren hundert HTTPS-Webseiten beobachtet und ihre Erkenntnisse in einem Blogeintrag zusammengefasst.

/.well-known/ ist das Präfix sogenannter „well-known URIs“. Die verweisen meist auf Informationen über den Host, die über das Web abgefragt werden können. Beispielsweise kommen beim Bestellen eines SSL/TLS-Zertifikats mittels Automatic Certificate Management Environment (ACME) die Unterverzeichnisse /.well-known/acme-challenge/ oder /.well-known/pki-validation/ zum Einsatz. Admins platzieren in einem dieser Verzeichnisse eine Prüfdatei, um zu beweisen, dass sie die Inhaber der Domain sind. Der Zertifikatsausteller kann sie anschließend von dort abrufen, um die Inhaberschaft zu verifizieren.

Als Versteck für schädlichen Code eignet sich /.well-known/ samt Unterverzeichnissen nicht nur deshalb, weil Admins selten hineinschauen – sondern auch, weil es als verstecktes Verzeichnis etwa beim Abruf mit dem Kommandozeilenbefehl ls (list) nicht angezeigt wird.

Wie das ZScaler-Team in seinem Blogeintrag ausführt, zielten die Analysen des Teams auf die in den letzten Monaten verstärkt kursierende Ransomware Troldesh alias Shade sowie auf Phishing-Webseiten ab. Laut Netzwerkausrüster Juniper Networks nutzt Troldesh ein spezielles Brute-Force-Modul, um Content-Management-Systeme (CMS) anzugreifen. Dementsprechend basieren die von ZScaler untersuchten Webseiten ausnahmslos auf CMS, genauer: auf Joomla- und WordPress (letzteres in den Versionen 4.8.9 bis 5.1.1).

Die Webseiten besaßen in allen Fällen via ACME ausgestellte SSL/TLS-Zertifikate von Anbietern wie Let’s Encrypt, GlobalSign, DigiCert und Co – und fast immer verbarg sich die von den Analysten entdeckte Malware in den Unterverzeichnissen acme-challenge oder pki-validation. Für Hacker ist diese Verzeichniswahl vorteilhaft, weil eines von beiden aufgrund von ACME auf fast jedem Webserver mit HTTPS bereits vorhanden ist.

ZScaler berichtet neben Funden des Troldesh-Verschlüsselungstrojaners von auf den gehackten Webservern hinterlegten Phishing-Webseiten, die unter anderem das Corporate Design der Unternehmen DHL, Dropbox, Bank of America, Yahoo, Gmail und Office365 beziehungsweise Microsoft imitieren. Opfer würden unter anderem via Phishing-Mails auf die Webseiten gelockt, auf denen dann der Ransomware-Download veranlasst beziehungsweise Formulareingaben oder andere Interaktionen provoziert würden.