Kuriose Angriffe: Auf der Suche nach Bitcoin Wallet Dateien

Angriffe auf IT Systeme sind tagtäglich zu finden, dabei wird regelmäßig versucht die volle Kontrolle über ein System zu erhalten. Im wesentlich wird häufig der SSH und RDP Port eines Systems abgefragt. Dazu verwenden Angreifer meistens Portscanner wie etwa nmap. Ein Port, der so gut wie immer frei zugänglich ist, ist der HTTP Port 80. Jeder Webserver hat diesen Port offen und frei, so dass Anfragen angenommen werden können. An diesen Stellen sind auch die Firewalls kein sicherer Schutz, denn sie sollen ja die Anfragen auf Webseiten, wie eben diese hier, weiterleiten.

Hat ein Server keinen Angriffspunkt außer den Port 80 und der dahinterliegende Dienst ist ein relativ sicherer, wie beispielsweise Apache, so wird ein erfolgreicher Angriff nur schwer. Es gibt wesentlich einfachere Wege für einen Angreifer Profit aus seiner Sache zu schlagen. Er sucht letztlich nach verwertbaren Informationen auf dem Zielserver. Google macht dies mit seinen Bots automatisch, aber missbraucht hoffentlich keine Daten :-)

Unsere lieben Angreifer hingegen spezialisieren sich scheinbar auf das Auffinden von sogenannten wallet-Dateien. Diese Dateien liegen in der Regel innerhalb des Verzeichnisses, in welchem sich ein Bitcoin Client befindet. Genau diese Datei liefert den Zugriff auf die eigentliche Bitcoin Wallet, oder in diesem Fall eben „Brieftasche“. Wer also die wallet Datei hat, kann Zugriff auf die dahinterliegende Wallet innerhalb der Blockchain haben. Ist diese Datei verloren, so bleiben die Bitcoin für immer verschollen auf der Wallet liegen wie in diesem Beispiel vermutlich:

Im obigen Beispiel sieht man, dass wohl der damalige Miner die ganzen 50 Bitcoins als Reward bekommen hat. Auf seine Adresse ist nie wieder etwas ein- noch abgeflossen. Man kann davon ausgehen, dass der Besitzer sich sehr über die aktuelle Entwicklung freut (ca. 6000 Euro pro Bitcoin), oder seine wallet.dat Datei irgendwann 2009 verloren hat. Meine Wallet Datei von 2009 beinhaltete 8 Bitcoin zu einem damaligen Wert von nur wenigen Cent. Wer hätte gedacht, dass wir irgendwann 6000 Euro pro Bitcoin verlangen können? :-)

Umso wertvoller sind diese wallet Dateien, vor allem wenn jemand „ausversehen“ die wallet Datei als Backup falsch verlegt und auf einen Webserver hochlädt. Damit wäre sie über eine URL leicht herunterladbar und die dort liegenden Bitcoins ließen sich schnell übernehmen. Und genau hier kommt Didier Stevens, ein Security Researcher, in’s Spiel. Er selbst hat so einen Angriff auf sein System gesehen und es im Internet Storm Center publik gemacht. Interessant ist, dass die Angreifer nicht einfach nur die wallet.dat Datei suchen, sondern auch Variationen wie etwa:

  • wallet – Copy.dat (sehr kreativ!)
  • wallet.dat
  • wallet.dat.1
  • wallet.dat.zip
  • wallet.tar
  • wallet.tar.gz
  • wallet.zip
  • wallet_backup.dat
  • wallet_backup.dat.1
  • wallet_bckup.dat.zip
  • wallet_backup.zip

Sucht doch mal selbst in euren Webserver Logs nach Anfragen hierzu und meldet euch, ob ihr auch solche Angriffe feststellen konntet.

Beitragsbild: Bitcoin Wallpaper von Jason Benjamin – Lizenz: CC0 1.0 Public Domain Dedication

Schreibe einen Kommentar