Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2015  
Jan Feb Mär
Apr Mai Jun
Jul    
     
Über die Autoren des Tagebuches
Über die Autoren des Tagebuches

Das Analytiker-Tagebuch ist ein weblog, das von den Analytikern des Kaspersky Lab unter der Leitung von Eugene Kaspersky unterhalten wird. Erfahren Sie mehr über die Autoren des weblog.

Cybercrime Umfrage

Sobald Sie Ihren PC mit dem Internet verbinden, wird er zu einem potenziellen Ziel für Cyberkriminelle. Genauso wie Einbrecher bei einem ungesicherten Haus leichtes Spiel haben, ist ein ungeschützter PC wie eine offene Einladung an Autoren von Malware. Cyberbedrohungen werden nicht nur immer raffinierter, sondern nehmen auch ständig zu: Unser Antiviruslabor verzeichnet derzeit über 17.000 neue Internetbedrohungen pro Tag.

Zur Umfrage

 

  Home / Weblog

Analytiker-Tagebuch

Spiele sind out: Winnti greift nun Pharma-Unternehmen an


  Dmitry Tarakanov        29 Juni 2015 | 14:54  MSK

Ihr Kommentar  

Lange Zeit wurde die Winnti-Gruppe für einen chinesischen Bedrohungsakteur gehalten, der in erster Linie Game-Unternehmen angreift. Kürzlich haben wir Informationen erhalten, die darauf hinweisen, dass das Zielspektrum ausgeweitet und nicht mehr ausschließlich auf die Unterhaltungsindustrie beschränkt sein könnte. Wir beobachten zwar in der Tat pausenlos Samples der Winnti-Malware, doch bisher konnten wir nicht einen handfesten Anhaltspunkt dafür finden, dass auch andere Branchen angegriffen werden. Doch auch als AV-Anbieter erstreckt sich unser Sichtfeld nicht auf jedes Unternehmen in der Welt (jedenfalls noch nicht ;)) und das Kaspersky Security Network (KSN) hat keine Attacken aufgedeckt, die sich gegen andere Unternehmen als solche aus der Game-Industrie richteten. Manchmal gehörten die angegriffenen Konzerne auch der Telekommunikationsbranche an, oder besser noch, es waren große Holdinggesellschaften, aber immer hatte mindestens einer ihrer Geschäftszweige auf irgendeine Weise mit der Produktion oder mit dem Vertrieb von Computerspielen zu tun.

Im April veröffentlichte Novetta seinen hervorragenden Bericht über die Winnti-Malware, die in den Operationen der Axiom-Gruppe aufgetaucht war. Die Axiom-Gruppe wurde als ein fortschrittlicher chinesischer Bedrohungsakteur präsentiert, der Cyberspionage-Attacken gegen ein weites Spektrum unterschiedlicher Branchen durchführt. Für uns war der Novetta-Report eine weitere Quelle, die belegt, das Winnti bereits jenseits von Online-Games operiert. Eins der kürzlich von uns gefundenen Winnti-Samples scheint diese Annahme ebenfalls zu bestätigen.

Das neue Sample gehört zu einer der Winnti-Versionen, die im Bericht von Novetta beschrieben werden – Winnti 3.0. Das ist eine der Dynamic Link Libraries, aus der sich die RAT-Plattform (Remote Access Trojan) zusammensetzt – die Worker-dll (die im Wesentlichen die RAT DLL ist) mit dem internen Namen w64.dll und den exportierten Funktionen work_end und work_start. Da diese Komponente wie gewöhnlich auf der Festplatte gespeichert ist, wobei die Strings und viele andere Daten in dem PE-Header entfernt/auf Null gestellt wurden, ist es unmöglich das Kompilierungsdatum dieser DLL wiederherzustellen. Aber diese Bibliothek enthält zwei Treiber, die am 22. August und 04. September 2014 kompiliert wurden. Das Sample hat einen verschlüsselten Konfigurationsblock, der im Overlay platziert wurde. Dieser Block kann einen Tag für das Sample enthalten – normalerweise ist das eine ID für die Kampagne oder das Opfer. In diesem Fall haben die Betreiber einen solchen Tag in der Konfiguration platziert und es hat sich herausgestellt, dass es der Name eines sehr bekannten internationalen Pharma-Unternehmens mit Sitz in Europa ist:

Abb. 1: Konfigurationsblock

Neben dem Sample-Tag enthält der Konfigurationsblock die Namen anderer Dateien, die in die Arbeit der RAT-Plattform verwickelt sind, sowie den Namen des Dienstes (Adobe Service), unter dem die Malware installiert wird. Das Vorhandensein der folgenden Dateien könnte darauf hinweisen, dass das System kompromittiert wurde:

C:\Windows\TEMP\tmpCCD.tmp
ServiceAdobe.dll
ksadobe.dat

Einer der erwähnten Treiber (ein bekanntes, schädliches Winnti-Netzwerkwerk-Rootkit) wurde mit einem gestohlenen Zertifikat einer Abteilung eines riesigen japanischen Konzerns signiert. Auch wenn sich diese Abteilung mit der Herstellung von Mikroelektronik beschäftigt, gehören zu den anderen Geschäftszweigen des Mischkonzerns auch die Entwicklung und Produktion von Medikament und medizinischer Ausrüstung.

Auch wenn die Art der Beteiligung von Winnti-Betreibern - von denen bisher immer angenommen wurde, dass sie nur für die Online-Gaming-Branche eine Bedrohung darstellen - an den Aktivitäten anderer Cyberspionage-Gruppen nach wie vor recht undurchsichtig ist, sind die Beweise nicht zu leugnen. Wenn von nun an also irgendwo von Winnti die Rede ist, sollte man nicht mehr ausschließlich an Unternehmen aus der Spiele-Branche denken – auch Firmen aus dem Bereich Telekommunikation und große Pharma-Konzerne könnten ins Visier der Angreifer geraten.

Hier die fraglichen Samples:

8e61219b18d36748ce956099277cc29b – Backdoor.Win64.Winnti.gy
5979cf5018c03be2524b87b7dda64a1a – Backdoor.Win64.Winnti.gf
ac9b247691b1036a1cdb4aaf37bea97f – Rootkit.Win64.Winnti.ai

The Mystery of Duqu 2.0: die Rückkehr eines raffinierten Cyberspionage-Akteurs


  Global Research and Analysis Team of Kaspersky Lab       11 Juni 2015 | 12:35  MSK

Ihr Kommentar  

Neue Zero-Day-Sicherheitslücke ermöglicht effiziente Einschleusung in den Kernelspeicher und das Verbergen im System

Duqu 2.0: Frequently Asked Questions

Die technische Dokumentation von Duqu 2.0 (PDF) ist hier verfügbar

Die Indicators of Compromise (IOC) stehen hier zum Lesen bereit

Yara-Regeln finden Sie hier.

Pressemitteilung

Früher im laufenden Jahr während eines Sicherheitschecks stießen wir bei Kaspersky Lab auf einen Cyberangriff, der mehrere unserer internen Systeme betraf.

Als Reaktion auf diese Erkenntnis leiteten wir umfassende Ermittlungen ein, die wiederum zur Entdeckung der neuen Malware-Plattform einer der kompetentesten, geheimnisvollsten und mächtigsten Gruppen in der APT-Welt führte, und zwar zu Duqu. Der Bedrohungsakteur Duqu verschwand im Jahr 2012 spurlos und es wurde angenommen, dass die Arbeit an diesem Projekt eingestellt worden war – bis jetzt. Unsere technische Analyse weist auf eine neue Angriffswelle hin, die eine aktualisierte Version der berüchtigten Duqu-Malware aus dem Jahr 2011 einschließt, welche manchmal als Stuxnets Stiefbruder bezeichnet wird. Wir tauften diese neue Malware und die damit zusammenhängende Plattform auf den Namen “Duqu 2.0”.

Einige der neuen Duqu-Infektionen aus den Jahren 2014-2015 werden mit den P5+1-Veranstaltungen und den Orten in Verbindung gebracht, an denen die Verhandlungen mit dem Iran über das Atomprogramm des Landes stattfinden. Der Bedrohungsakteur hinter Duqu scheint Angriffe auf die Veranstaltungsorte einiger dieser Gespräche auf höchster Ebene durchgeführt zu haben. Neben den P5+1-Events hat die Duqu 2.0-Gruppe auch ähnliche Angriffe auf die Veranstaltungen anlässlich des 70. Jahrestages der Befreiung von Auschwitz-Birkenau durchgeführt.

Im Fall von Kaspersky Lab machten sich die Angreifer eine Zero-Day-Schwachstelle im Windows-Kernel zunutze und möglicherweise bis zu zwei andere, aktuell gepatchte Sicherheitslücken, die zu der Zeit ebenfalls Zero-Day-Lücken waren. Die Analyse der Attacke ergab, dass das Hauptziel der Angreifer darin bestand, die Technologien von Kaspersky Lab, die laufenden Untersuchungen und interne Prozesse des Unternehmens auszuspionieren. Es wurden keine Störungen der Prozesse oder Systeme registriert. Weitere Details finden Sie in unserer Technischen Dokumentation.

Aus der Perspektive eines Bedrohungsakteurs muss es eine ziemlich gewagte Entscheidung sein, ein Sicherheitsunternehmen von Weltrang anzugreifen. Denn das bedeutet, dass die Attacke höchstwahrscheinlich aufgedeckt wird – es ist sehr unwahrscheinlich, dass der Angriff unbemerkt bleibt. Wird ein Sicherheitsanbieter attackiert, so muss man davon ausgehen, dass die Angreifer entweder sehr sicher sind, nicht geschnappt zu werden, oder dass es ihnen ziemlich egal ist, ob sie auffliegen oder nicht. Mit dem Angriff auf Kaspersky Lab hat die Duqu-Gruppe möglicherweise hoch gepokert, in der Hoffnung, unentdeckt zu bleiben – und sie hat verloren.

Bei Kaspersky Lab glauben wir an Transparenz, daher gehen wir mit diesen Informationen an die Öffentlichkeit. Kaspersky Lab ist davon überzeugt, dass seine Kunden und Partner sicher sind und es keine Auswirkungen auf die Produkte, Technologien und Services des Unternehmens gegeben hat.

Duqu 2.0 – Indicators of Compromise (IOCs)

MD5s

Action Loader:

089a14f69a31ea5e9a5b375dc0c46e45
16ed790940a701c813e0943b5a27c6c1
26c48a03a5f3218b4a10f2d3d9420b97
a6dcae1c11c0d4dd146937368050f655
acbf2d1f8a419528814b2efa9284ea8b
c04724afdb6063b640499b52623f09b5
e8eaec1f021a564b82b824af1dbe6c4d
10e16e36fe459f6f2899a8cea1303f06
48fb0166c5e2248b665f480deac9f5e1
520cd9ee4395ee85ccbe073a00649602
7699d7e0c7d6b2822992ad485caacb3e
84c2e7ff26e6dd500ec007d6d5d2255e
856752482c29bd93a5c2b62ff50df2f0
85f5feeed15b75cacb63f9935331cf4e
8783ac3cc0168ebaef9c448fbe7e937f
966953034b7d7501906d8b4cd3f90f6b
a14a6fb62d7efc114b99138a80b6dc7d
a6b2ac3ee683be6fbbbab0fa12d88f73
cc68fcc0a4fab798763632f9515b3f92

Kernel:

3f52ea949f2bd98f1e6ee4ea1320e80d
c7c647a14cb1b8bc141b089775130834

IPs der C&C

182.253.220.29
186.226.56.103

Um zu überprüfen, ob das Netzwerk von Duqu 2.0 befallen ist, können Sie auch die öffentliche IOC-Datei benutzen, die hier verfügbar ist.

Lehren aus Flame, drei Jahre später


   4 Juni 2015 | 13:43  MSK

Ihr Kommentar  

Mary-Beth Samekh

Vor drei Jahren, am 28. Mai 2012, gingen wir mit der Entdeckung einer Malware an die Öffentlichkeit, die wir Flame nannten. Als wir unsere FAQs veröffentlichten, stellte CrySyS Lab gleichzeitig seine umfassende Analyse von sKyWIper vor. Einige Tage zuvor hatte bereits das Maher CERT IOCs für Flamer veröffentlicht. Kurz gesagt: Flame, sKyWIper und Flamer sind unterschiedliche Namen für dieselbe Bedrohung, die als erste große Entdeckung nach Stuxnet und Duqu schnell die ganze Welt in Erstaunen versetzte.

Seit der Entdeckung von Flame haben wir schon von vielen anderen fortschrittlichen Malware-Plattformen berichtet, Regin und Equation eingeschlossen. Doch Flame ist und bleibt eine der komplexesten, überraschendsten und innovativsten Malware-Kampagnen, mit denen wir es je zu tun hatten.

Mit Rückblick auf die Entdeckung von Flame hier nun einige Lehren, die wir daraus gezogen haben.


  1. Erstklassige Schadsoftware auf Regierungsniveau kann groß sein. Ein vollständig bereitgestelltes Set an Flame-Modulen betrug um die 20 Megabytes, was viel ist. Vorher bewegte sich raffinierte Malware im Bereich von Kilobytes oder einigen hundert Kilobytes; die meisten Leute hätten damals eine ausführbare Datei von 6MB als „uninteressant“ verworfen. Nun nicht mehr.
  2. Hüpfende Air Gaps. Flame gehörte zu den ersten Schadprogrammen, die einen Mechanismus zur Umgehung von Air Gaps durch die Benutzung von USB-Sticks einführte. Wenn ein USB-Stick mit einem mit Flame infizierten Computer ohne Verbindung zum Internet verbunden wurde, speicherte die Schadsoftware die gestohlenen Information auf einer verborgenen Datei auf dem Stick. Diese Datei war für die meisten Datei-Explorer unsichtbar und enthielt bis zu 16MB gestohlener Dokumente und anderer Informationen von dem Opferrechner. Wurde so ein Stick in einen mit Flame infizierten Computer gesteckt, der mit dem Internet verbunden war, so wurden die verborgenen Informationen vom Stick gezogen und an die C&Cs gesendet.
  3. Dutzende von C&Cs. Im Fall von Flame zählten wir schließlich fast 100 unterschiedliche Command und Control-Server. Für eine zielgerichtete Malware ist das sehr ungewöhnlich und eine sehr große Zahl. Die Autoren von Flame schufen verschiedene Versionen der Schadsoftware, die sich mit vielen C&Cs verbanden, um so die potentiellen Auswirkungen einer Beschlagnahme zu begrenzen.
  4. Übernahme von Bluetooth Audio. Eins der Flame-Module versuchte, Bluetooth-Geräte in der Nachbarschaft des infizierten Computers zu identifizieren, um sie dazu zu benutzen, Geräusche aus dem Raum aufzunehmen. Das ist ein sehr seltener Angriffstyp, der erstmals von Flame eingesetzt wurde.
  5. Zeitalter der Massenüberwachung. Wir meinen, dass der Hauptzweck von Flame in der Durchführung von Massenüberwachung lag. Die Schadsoftware wurde entwickelt, um automatisch alles nur Erdenkliche von infizierten Rechnern zu sammeln – von Dokumenten und Screenshots über Tastatureingaben bis zu Audio-Aufnahmen. Die C&C-Server von Flame enthielten keine Option für manuellen Betrieb, alles lief automatisiert ab.
  6. MD5 ist tot. Eine der interessantesten Funktionen von Flame war die Art und Weise, wie die Malware andere Computer im lokalen Netzwerk infizierte. Die Attacke schloss das nahezu magische Re-Engineering eines Zertifikats ein, das benutzt werden kann, um Windows-Updates zu signieren. Dieses Zertifikat basierte auf einer MD5-Signatur, die die Angreifer erfolgreich fälschten, was darauf hinweist, dass sie die Möglichkeit hatten, willkürliche MD5-Hashes zu knacken.
  7. Untergraben des Vertrauens in Windows-Updates. Eins der interessantesten Flame-Module macht das, was eigentlich als „Gottesmodus“-Exploit beschrieben werden kann, und zwar sabotiert es Windows-Updates durch das Abfangen der Update-Anfragen. Jahrelang haben wir den Leuten gesagt, sie müssen wann immer möglich Windows aktualisieren, ebenso wie die Software von Drittanbietern. Flame hat sich das Vertrauen zunutze gemacht, das die Menschen in Updates hatten, und dieses wirkungsvoll untergraben.
  8. Die Spitze des Eisbergs. Nachdem wir Flame entdeckt hatten, reagierte unsere Generic Detection auch auf andere Samples. Aufgrund der Ähnlichkeit des Codes fanden wir zwei weitere Schadprogramme aus derselben Gruppe: Gauss und MiniFlame. Dadurch wurde uns klar, dass es viele andere unentdeckte Schadprogramme gibt und es möglicherweise Jahre dauert, sie zu alle finden.
  9. Alles hängt zusammen. Als wir Flame entdeckten, fragten die meisten Leute: “Hat es mit Stuxnet zu tun?”. Wir entgegneten: “Nein, dafür gibt es keine Anzeichen. Wir lagen falsch. Wochen später fanden wir ein Flame-Modul, das auch von der Stuxnet-Version aus dem Jahr 2009 zur Vervielfältigung benutzt wurde. Im Grunde wurde die 2009er-Version von Stuxnet eigens so konstruiert, dass sie sich mit einem Exploit von Flame reproduzieren kann. Das deutet darauf hin, dass diese zwei tatsächlich miteinander verbunden waren. Gleichzeitig hing Stuxnet mit Duqu zusammen und – wie wir erst kürzlich herausgefunden haben - auch mit der Equation group, und zwar über ihre Exploits, die ursprünglich vom Wurm Fanny benutzt worden waren. Manchmal dauerte es etwas länger, alle Verbindungen zu erkennen, auch wenn sie anfangs nicht besonders offensichtlich sind.
  10. “Flame ist lahm”. Als Kaspersky und CrySyS Lab die gemeinsame Analyse von Flame veröffentlichten, taten einige Leute die Malware als uninteressant ab. “Ein Schadprogramm von 20 Megabytes kann doch nichts sein! Unmöglich!”. (Die Zweifler verstummten, nachdem die Attacken auf die Microsoft Windows Updates und die MD5-Kollision aufgedeckt und gepatcht worden waren). Mikko Hypponen von F-Secure hat zu diesem Thema einen wundervollen Beitrag geschrieben: https://www.f-secure.com/weblog/archives/00002383.html

Wir möchten mit der Aufnahme einer phantastischen Rede des Bürgerrechtlers Chris Soghoian schließen, die den Titel trägt: “Lessons from the Bin Laden Raid and Cyberwar: Immunizations and Security Updates”.

https://archive.org/details/ChrisSoghoian-LessonsFromTheBinLadenRaidAndCyberwarImmunizations

Seine Ausführungen zu Flame beginnen bei 5:00, doch wir empfehlen Ihnen, den ganzen Clip anzuschauen. Chris bringt es in der Aufnahme auf den Punkt: “Trotz des kurzfristigen geheimdienstlichen Vorteils des Hackens von Software-Updates ist es es doch nicht wert“. Wir pflichten ihm bei und ergänzen, dass das Unterwandern der Sicherheit immer nach hinten losgeht.

Statistik zu Botnetz-basierten DDoS-Attacken im ersten Quartal 2015


  Kaspersky Lab       29 Mai 2015 | 12:00  MSK

Ihr Kommentar  

Methodologie
Quartalsergebnisse
Geografie der Attacken
Veränderungsdynamik der Menge von DDoS-Attacken
Art und Dauer der DDoS-AttackenSteuerungsserver und Botnetztypen
Fazit
Glossar

Methodologie

DDoS-Attacken (Distributed-Denial-of-Service-Attacken) gehören zu den am weitesten verbreiteten Angriffsmethoden im Repertoire Cyberkrimineller. Der Sinn einer Attacke dieser Art besteht darin, das Informationssystem (zum Beispiel eine Webseite) in einen Zustand zu versetzen, in dem Anwender keinen Zugriff mehr darauf erhalten können. Eines der populärsten DDoS-Szenarien ist ein Angriff mit Hilfe von Botnetzen.

Kaspersky Lab verfügt über langjährige anerkannte Expertise in der Bekämpfung von Cyberbedrohungen, darunter auch DDoS-Attacken der unterschiedlichsten Art und verschiedenster Komplexitätsniveaus. Unsere Experten beobachten die Aktivität von Botnetzen hauptsächlich mit Hilfe des Systems DDoS Intelligence (eine Komponente der Lösung 'Kaspersky DDoS Protection'), und können dadurch dazu beitragen, die Technologien zum Schutz vor DDoS-Attacken ständig zu verbessern. Das System DDoS Intelligence basiert auf einer Analyse von Befehlen, die von den Steuerungsservern der Cyberkriminellen an das Netz der Bots gesendet werden. Dabei ist es nicht erforderlich, dass auf dem Gerät des Anwenders ein Bot vorhanden ist oder dass die vom Server gesendeten Befehle ausgeführt werden.

Es gibt verschiedene Ansätze für die Analyse von DDoS-Aktivität. Einer davon ist die Untersuchung von Attacken, die auf konkrete Ressourcen durchgeführt werden (in der Regel auf die Kunden der Unternehmen, die für deren Schutz vor DDoS-Attacken verantwortlich sind). Die im vorliegenden Bericht angewandte Methode zur Analyse von Botnetzaktivität erlaubt es nicht, sich auf einzelne Kunden zu beschränken, sondern macht einen anderen Blickwinkel erforderlich.

Dieser Bericht vergleicht die von dem System DDoS Intelligence in der Zeit zwischen dem 1. Januar und dem 31. März (erstes Quartal) 2015 gesammelten Daten mit den entsprechenden Daten des vorangegangenen Quartals (1. Oktober bis 31. Dezember 2014).

Eine DDoS-Attacke gilt in diesem Bericht immer dann als einzelner Angriff, wenn die Pausen zwischen den Aktivitätsperioden des Botnetzes 24 Stunden nicht überschreiten. Falls beispielsweise ein und dieselbe Ressource von ein und demselben Botnet nach einer Pause von 24 Stunden erneut angegriffen wird, werten die Kaspersky-Experten das als zwei Attacken. Als einzelne Attacken werden ebenfalls diejenigen Anfragen an eine Ressource gewertet, die von Bots aus unterschiedlichen Botnets stammen.

Der geografische Standort der Opfer der DDoS-Attacken und die Server, von denen die Befehle verschickt werden, werden nach ihren IP-Adressen definiert. Die Anzahl der individuellen Ziele der DDoS-Attacken berechnet Kaspersky Lab in diesem Bericht nach der Zahl der individuellen IP-Adressen in der Quartalsstatistik.

Wir weisen ausdrücklich darauf hin, dass die Statistik des Systems DDoS Intelligence nur auf diejenigen Bots beschränkt ist, die Kaspersky Lab entdeckt und analysiert hat. Man sollte zudem bedenken, dass Botnetze nur eines von vielen Werkzeugen zur Umsetzung von DDoS-Attacken sind, und dass die hier aufgeführten Daten nicht ausnahmslos alle DDoS-Attacken umfassen, die in dem entsprechenden Zeitraum durchgeführt wurden.

Quartalsergebnisse

  • Im ersten Quartal 2015 wurden 23.095 DDoS-Attacken unter Verwendung von Botnetzen registriert, rund elf Prozent weniger als im vorangegangenen Quartal (25.929 Attacken).
  • Im Berichtszeitraum gab es 12.281 individuelle Opfer von DDoS-Attacken. Das sind etwa acht Prozent weniger als im vorherigen Quartal (13.312 Ziele).
  • China, die USA und Kanada führen das Rating der Länder an, die den meisten DDoS-Attacken ausgesetzt waren.
  • Die längste DDoS-Attacke, die im ersten Quartal 2015 registriert wurde, dauerte 140 Stunden (etwa sechs Tage). Die am stärksten angegriffene Ressource war innerhalb von drei Monaten 21 Attacken ausgesetzt.
  • SYN-DDoS und HTTP-DDoS waren die im ersten Quartal 2015 am weitesten verbreiteten Typen von DDoS-Attacken, die mit Hilfe von Botnetzen durchgeführt wurden.

Geografie der Attacken

Innerhalb des Berichtszeitraums wurden 23.095 DDoS-Attacken auf Ressourcen in 76 Ländern registriert. Gegenüber dem vorangegangenen Quartal ging die Zahl der Angriffe von 25.929 um rund 11 Prozent zurück. Gestiegen ist dagegen die Zahl der Länder, in denen sich die Angriffsziele befinden (vorher 66).

Die meisten DDoS-Attacken entfielen wie auch schon im vierten Quartal 2014 auf Ressourcen in China, den USA und Kanada. Unter den Zehn am stärksten angegriffenen Ländern gibt es geringfügige Veränderungen, doch die zehn Länder selbst blieben gleich.

Abb. 1: Top 10 der Länder nach Zahl der Attacken im vierten Quartal 2014 und im ersten Quartal 2015

Auf obenstehender Grafik ist zu erkennen, dass, während die Zahl der Angriffe auf Ressourcen in China und den USA deutlich zurückging, die Zahl der Attacken auf kanadische Server aber zugenommen hat. Ebenfalls gestiegen ist die Zahl der Angriffe auf Ressourcen in Russland, Südkorea und Frankreich.

Betrachtet man die Anzahl der Opfer von DDoS-Attacken in jedem der Länder, so sehen die aktuellen Top 10 aus wie die vorangegangenen. Im ersten Quartal 2015 griffen Botnetze insgesamt 12.281 Ziele an, das sind etwa acht Prozent weniger als im vorherigen Quartal (13.312 Ziele).

Abb. 2: Top 10 der Länder nach Zahl der individuellen Opfer von DDoS-Attacken im vierten Quartal 2014 und im ersten Quartal 2015

In Russland, Südkorea und Frankreich stieg die Zahl der angegriffenen Ressourcen im Vergleich zum vorangegangenen Quartal ebenso wie die Zahl der Angriffe auf diese Länder. In Kanada ging aber die Zahl der Opfer – trotz der Zunahme der Attacken – zurück, was von intensiveren Überfällen durch Cyberkriminelle auf ein und dieselben Ressourcen in diesem Land zeugt.

China und die USA führen in beiden Ratings, also sowohl nach Anzahl der Attacken als auch nach Zahl der Angriffsziele. Das ist dadurch zu erklären, dass das Hosting in diesen Ländern relativ günstig ist und viele Unternehmen einen Hosting-Provider in diesen Ländern wählen.

Die im ersten Quartal registrierte höchste Zahl von Attacken auf eine Ressource betrug 21:

Zahl der AttackenRessource
21Russischsprachige Webseite (Investitionsgruppe)
16A Vietnamesische Webseite (Hochzeitsdienstleistungen)
15Hosting-Provider in den USA

Abb. 3: Тop 3 nach Anzahl der Attacken auf eine Ressource, erstes Quartal 2015

Auch wenn innerhalb des Berichtszeitraums die meisten Attacken auf China, die USA und Kanada entfielen, belegten im Rating nach Anzahl der Attacken trotzdem russische und vietnamesische Ressourcen die ersten zwei Plätze. Erst auf Position drei folgt ein Hosting-Provider in den USA.

Veränderungsdynamik der Menge von DDoS-Attacken

Im Laufe des ersten Quartals* schwankte die Zahl der DDoS-Attacken sehr stark. Ende Januar waren die Botnetze am aktivsten, Mitte Februar waren sie am wenigsten aktiv.

Abb. 4: Veränderungsdynamik der Zahl der DDoS-Attacken, erstes Quartal 2015

* DDoS-Attacken können ununterbrochen mehrere Tage lang andauern. Eine einzelne Attacke könnte daher auf dem Zeitstrahl als mehrere Male zählen, und zwar als jeweils eine Attacke pro Tag. Zählt man nicht jede ununterbrochene Attacke einzeln (23.095), ergeben sich nach den zugrunde liegenden Daten daher etwas mehr Attacken (30.064).

Wie auf der unten stehenden Grafik zu erkennen ist, war im Dezember vergangenen Jahres ein deutlicher Sprung in der Anzahl der DDoS-Attacken über Botnetze zu verzeichnen. Daraufhin nahm die Zahl der Angriffe im Laufe der Monate Januar und Februar gleichmäßig ab, begann dann aber im März erneut zu steigen. Die Spitze im Dezember lässt sich mit den Ferien über Weihnachten und Neujahr erklären, als Online-Gangster versuchten, die Funktionsfähigkeit der von Anwendern aufgerufenen Webseiten und Services zu untergraben.

Abb. 5: Zahl der Attacken pro Monat, viertes Quartal 2014 bis erstes Quartal 2015

Der in Bezug auf Angriffe über Botnetze aktivste Wochentag war im ersten Quartal der Donnerstag, der damit den im vorangegangenen Quartal führenden Montag ablöste. Sonntags sind die Cyberkriminellen nach wie vor am wenigsten aktiv.

Abb. 6: Die für DDoS-Attacken beliebtesten Wochentage im vierten Quartal 2014 und im ersten Quartal 2015

Art und Dauer der DDoS-Attacken

Zu den wichtigsten Charakteristika von DDoS-Attacken zählen die Dauer und das Szenario, denn sie definieren die Höhe des Verlustes für die verteidigende Seite. Die überwiegende Mehrheit der Angriffe im Untersuchungszeitraum hatte eine Dauer von weniger als einer Stunde. Und während im vorangegangenen Quartal auch Attacken mit einer Dauer von bis zu zwei Wochen beobachtet wurden, gab es im ersten Quartal keine so lange andauernden Angriffe.


Dauer in StundenZahl der Angriffsziele, Q4 2014Zahl der Angriffsziele, Q1 2015
Über 15050
100-14983
50-99299121
20-49735433
10-191679703
5-921611426
Weniger als 484259594

Abb. 7: Dauer der DDoS-Attacken im vierten Quartal 2014 und im ersten Quartal 2015

Der Typ einer DDoS-Attacke wird aufgrund des Formats der „Junk“-Anfragen definiert, die an die Zielressource geschickt werden. Im ersten Quartal 2015 war die populärste Art von DDoS-Attacken wie auch schon im vierten Quartal 2014 die Methode SYN-DDoS. Die Attacken des Typs TCP-DDoS traten den zweiten Platz an die Angriffsart http-DDoS ab.

Abb. 8: Die populärsten Typen von DDoS-Attacken im vierten Quartal 2014 und im ersten Quartal 2015

Steuerungsserver und Botnetztypen

Die Steuerungszentren, die Verbrecher zur Kontrolle ihrer Botnetze benutzen, können sich in unterschiedlichen Ländern befinden. Ihr Standort steht in der Regel in keinerlei Verhältnis zum Aufenthaltsort der Cyberkriminellen oder zur Geografie der Verteilung der Bots, die über diesen Steuerungsserver kontrolliert werden. Nach Anzahl der Steuerungsserver, die im ersten Quartal in den jeweiligen Ländern aktiv waren, stehen die USA, China und Großbritannien an erster Stelle.

Abb. 9: Verteilung der Botnetz-Steuerungsserver nach Ländern, erstes Quartal 2015

Im ersten Quartal 2015 waren wie schon im vorangegangenen Quartal die Bots nach Anzahl der Attacken am aktivsten, die für die Infektion von Servern unter Linux vorgesehen sind – im Vergleich zu Bots, die für Windows-Geräte entwickelt wurden. Gleichzeitig blieb die Zahl der Attacken unter Verwendung von Windows-Botnetzen praktisch unverändert, während die Zahl der Angriffe von Linux-Botnetzen zurückging.

Abb. 10: Zahl der Attacken von Windows- und Linux-Botnetzen, viertes Quartal 2014 und erstes Quartal 2015

Obwohl es wesentlich weniger Botnetze auf der Grundlage von Linux gibt, übersteigt die Zahl der von ihnen ausgehenden Attacken sowie auch die Durchschlagskraft dieser Attacken die Angriffe von Zombie-Netzen auf der Windows-Plattform. Das hängt damit zusammen, dass Cyberkriminelle durch die Infektion eines Servers unter Linux ein breites Spektrum an Möglichkeiten zur Manipulation von Netzwerkprotokollen erhalten, und auch damit, dass die Internetverbindung infizierter Server gewöhnlich schneller ist als die von privat genutzten Rechnern. Dadurch können die Attacken mit größerer Durchschlagskraft erfolgen.

Zudem ist die Lebensdauer von Botnetzen auf Linux-Basis wesentlich länger als die der Windows-basierten Botnetze. Das liegt daran, dass es wesentlich schwieriger ist, solche Zombie-Netzwerke aufzuspüren und unschädlich zu machen, da Server unter Linux selten mit speziellen Schutzlösungen ausgestattet sind – im Gegensatz zu Geräten und Servern unter Windows.

Anzumerken ist auch noch, dass 93,2 Prozent der Ziele im ersten Quartal 2015 nur von einer einzelnen Bot-Familie angegriffen wurden. In 6,2 Prozent der Fälle waren an einer Attacke zwei Familien gleichzeitig beteiligt, und in 0,6 Prozent der Fälle drei oder mehr. Die Verbrecher benutzten dann entweder gleichzeitig mehrere verschiedene Bot-Familien für die Attacke, oder die Auftraggeber des Überfalls haben sich gleichzeitig an mehrere ausführende Cyberkriminelle gewandt.

Fazit

Die Zahl der mit Hilfe von Botnetzen durchgeführten DDoS-Attacken sowie auch die Zahl der Opfer dieser Attacken gingen im ersten Quartal 2015 gegenüber dem vorangegangenen Quartal zurück. Gleichzeitig stieg die Zahl der von dieser Bedrohung betroffenen Länder an. Traditionell entfallen die meisten Angriffe auf Ressourcen in den USA und China, da in diesen Ländern günstiges Hosting angeboten wird, wodurch es dort auch viele potenzielle Angriffsziele gibt. Allerdings befinden sich in den Top 10 auch Ziele aus Europa und der pazifischen Region. Wie unsere Statistiken zeigen, sind die unterschiedlichsten Ressourcen von den mit Hilfe von Botnetzen durchgeführten DDoS-Attacken betroffen, unabhängig von ihrer geografischen Zugehörigkeit. Mehr noch, diese Bedrohung weitet ihre Grenzen weiter aus.

Cyberkriminelle, die Botnetze zur Organisation von DDoS-Attacken benutzen, sind ziemlich hartnäckig: Die am längsten andauernde DDoS-Attacke, die Kaspersky Lab im ersten Quartal 2015 registrierte, lief etwa sechs Tage, und die am intensivsten angegriffene Ressource war innerhalb von drei Monaten 21 Attacken ausgesetzt. Doch wie Untersuchungen zeigen, ist selbst eine kurze einmalige Attacke in der Lage, die Funktionsfähigkeit einer ungeschützten Ressource zu zerstören. Eine einzige Attacke dieser Art kann ein Opfer bis zu 444.000 US-Dollar kosten, die Beeinträchtigung des guten Rufes einmal ganz außer Acht gelassen, die durch die Unzufriedenheit der Kunden entstehen kann, die den gewünschten Service nicht erhalten.

Unternehmen, die sich der Internet-Sicherheit verschrieben haben, investieren in die Bekämpfung von DDoS-Attacken und Botnetzen, insbesondere indem sie neue Malware aufspüren und Signatur-Datenbanken hinzufügen. Zudem schützen sie ihre Server vor Hacks und Computer vor Infektionen, indem sie die Aktivität von Steuerungsservern unterbinden und ähnliches. Doch DDoS-Attacken gehören nach wie vor zu den populärsten Methoden im Repertoire Cyberkrimineller. Organisationen sollten sich daher rechtzeitig darum kümmern, ihre Schutzmechanismen zu verbessern. Ein Service zur Filterung von „Junk“-Traffic macht es möglich, dass Online-Ressourcen selbst während einer lange andauernden und leistungsstarken Attacke für die Nutzer erreichbar bleiben.

Nützliche Links:

Ökosystem Botnetze

Schattenwirtschaft Botnetze - ein Millionengeschäft für Cyberkriminelle

IT Security Risks survey 2014: DDoS

Kaspersky DDoS Protection webpage

Kaspersky DDoS Protection whitepaper

Glossar

Bot – Schadprogramm, das auf Befehl von Cyberkriminellen verschiedene Aktionen durchführt.

Bot-Familie – Gesamtheit der Bots, die auf demselben Quellcode basieren, also verschiedene Versionen ein und desselben Bots, wobei ihre Steuerungsserver unterschiedlich sein können.

Botnetz – Gesamtheit der Geräte, die mit ein und demselben Bot infiziert sind, der mit ein und demselben Steuerungsserver verbunden ist. Cyberkriminelle verbreiten vorab spezielle Schadprogramme im Internet, die Server, Computer und mobile Geräte in aus der Ferne steuerbare „Zombies“ (oder auch Bots) verwandeln.

С&C (Steuerungs-/Befehls-) Server – ein Server, über den Onlinegangster die Befehle an die Bots senden, und auf dem sie deren Antworten empfangen. Im Falle von DDoS-Attacken senden die Bots auf Befehl der Verbrecher gleichzeitig Anfragen direkt an die Ressource des Opfers oder über Drittserver, das heißt sie führen eine „verteilte Attacke“ durch.

SYN-DDoS – Gesamtheit aller DDoS-Attacken, die eine Besonderheit des TCP-Protokolls (Transmission Control Protocol, Übertragungssteuerungsprotokoll) ausnutzen. Bei der Herstellung einer TCP-Verbindung führen der Client und der Server einen so genannten Threeway-Handshake durch. Der Client sendet ein Paket mit dem Flag SYN. Der Server antwortet, nachdem er das Paket erhalten hat, mit einem Paket mit den Flags SYN und ACK. Daraufhin sendet der Client ein ACK-Paket und bestätigt damit die Verbindung. Im Rahmen einer SYN-flood-Attacke sendet der Angreifer Pakete mit dem Flag SYN und fordert dabei kein Antwort-Paket mit den Flags SYN+ACK für die Verbindungsherstellung an, was den angegriffenen Server dazu bringt, Ressourcen für die Verarbeitung der Anfragedaten und das Absenden der Antwortpakete bereitzustellen.

TCP-DDoS – Gesamtheit der Angriffe, die wie im Fall von SYN-flood eine Besonderheit des TCP-Protokolls ausnutzen, dabei aber eine Verbindung zum angegriffenen Server herstellen. Im Fall einer Attacke des Typs TCP-flood übermittelt die angreifende Seite nach erfolgreichem Abschluss der „Handshake“-Prozedur die „Junk“-Daten über die eingerichtete Verbindung in großem Umfang oder sehr langsam. Das überlastet den Server und macht es Anwendern unmöglich, Ressourcen auszuwählen.

ICMP-DDoS – Gesamtheit der Angriffsszenarien über das Protokoll ICMP (Internet Control Message Protocol), das für die Übermittlung von Fehlermeldungen und anderen Ausnahmesituationen verwendet wird, die bei der Datenübermittlung auftreten. Im Falle einer Attacke sendet ein Cyberkrimineller eine Unmenge an ICMP-Anfragen in Richtung seines Angriffsziels, was dieses provoziert, Rechenleistung für die Verarbeitung der „Junk“-Anfragen zu verschwenden anstatt legitime Anfragen zu verarbeiten.

UDP-DDoS – Gesamtheit der Angriffsszenarien, die das UDP-Protokoll verwenden, das keinen Verbindungsaufbau erforderlich macht (User Datagram Protocol). Der Angreifer sendet dem Opfer zahlreiche UDP-Pakete, von denen jedes die Bearbeitung seitens des Servers und seines Kommunikationsequipments erforderlich macht. Das überlastet die Rechenressourcen des Angriffsziels.

HTTP-DDoS – alle Szenarien von DDoS-Attacken, deren Zielobjekte Webanwendungen sind. Im Rahmen der Umsetzung einer Attacke kann ein Cyberkrimineller sowohl normale GET/POST-Anfragen an die Homepage einer Webanwendung richten als auch nicht legitime Anfragen stellen (Anfragen nach irgendeiner Information in der Datenbank der Webanwendung, die Ausführung irgendwelcher Skripte seitens des Webservers und so weiter). Zudem können im Anfrage-Körper auch beliebige zusätzliche Header oder Cookie-Dateien eingefügt sein, um die Filter zu umgehen, die einen legitimen User anhand von Cookies identifizieren. Darüber hinaus kann ein Angreifer den Browser auf einem infizierten Gerät öffnen, um die Aktivität eines gewöhnlichen Webseiten-Besuchers zu imitieren, und so den Schutzsystemen des Angriffsziels die Möglichkeit zu nehmen, die Bots im allgemeinen Besucherstrom auszumachen.



Grabit und RATs


  Ido Naor       28 Mai 2015 | 11:00  MSK

Ihr Kommentar  

Vor nicht allzu langer Zeit wandten sich Kaspersky-Kunden in den USA an die Forscher von Kaspersky Lab mit der Bitte, einen neuen Malware-Typ zu untersuchen, den sie von den Servern ihrer Organisationen isolieren konnten. Die Malware nennt sich selbst Grabit und ist charakteristisch für ihre Vielseitigkeit und Wandlungsfähigkeit. Jedes Sample, das wir gefunden haben, unterschied sich in Größe und Aktivität von den anderen, doch der interne Name und andere Identifikatoren waren beunruhigend ähnlich. Der Zeitstempel scheint gültig zu sein und liegt dicht an der dokumentierten Infektionszeit. Unsere Studie bezieht sich auf eine Kampagne, die im späten Februar 2015 ihren Anfang nahm und Mitte März zu Ende ging. Als die Entwicklungsphase vermutlich abgeschlossen war, begann sich die Malware von Indien, den USA, Israel und anderen Ländern rund um den Globus auszubreiten.

All die Duzende von Samples, die wir zusammentragen konnten, wurden auf einem Windows 32bit Prozessor über das Microsoft .NET Framework (Visual Basic/C#) programmiert. Die Dateien wurden innerhalb eines Zeitraums von drei Tagen kompiliert, zwischen dem 7. und 9. März 2015. Die folgende Grafik illustriert, wie die Gruppe oder das Individuum die Samples erstellt hat, sowie die Größe jedes Samples, die Tageszeit, innerhalb derer es kompiliert wurde, und die Zeitspannen zwischen den jeweiligen Kompilierungen.

Zeitachse der Malware-Kompilierung

Das kleinste Sample (0.52 MB) und das größte (1.57 MB) wurden beide am selben Tag erstellt, was darauf hinweisen könnte, dass die Gruppe experimentierte, um bestimmte Funktionen, Packer und „toten Code“ zu testen.

Ein Blick auf die Grafik eröffnet auch einen interessanten Blick auf den modus operandi, da der Bedrohungsakteur durchgehend bemüht ist, eine Vielzahl von Samples zu erhalten mit unterschiedlichen Codegrößen und vermutlich komplexerer Obfuskation.

Neben den unterschiedlichen Größen, Aktivitäten und der Obfuskation wurde auch ein ernstzunehmender Verschlüsselungsalgorithmus in jedes der Samples implementiert. Der proprietäre obfuskierte String, die Methoden und Klassen machten die Analyse zu einer nicht zu unterschätzenden Herausforderung. Auch die ASLR (Adressverwürfelung) ist deaktiviert, was auf eine Open Source Fernsteuerungssoftware, ein RAT (remote administration tool), hinweisen könnte, oder sogar auf ein kommerzielles Framework, das die schädliche Software in eine gut geschriebene Struktur gepackt hat. Diese Methode ist als abschwächender Faktor für Bedrohungsakteure bekannt, die ihren Code vor den Augen der Analysten verbergen wollen.

Eine dynamische Analyse im Rahmen unserer Untersuchung hat gezeigt, dass die „Call-Home“-Funktion über ganz offensichtliche Kanäle kommuniziert und keinen Schritt zu viel unternimmt, um ihre Aktivität zu verbergen. Hinzu kommt, dass die Dateien selbst nicht so programmiert wurden, um irgendwelche Registrierungsmanöver zu unternehmen, die sie vor dem Windows Explorer verstecken würden. Wollte man einen Vergleich anstellen, so könnte man meinen, die Bedrohungsakteure schicken einen „schwachen Ritter in einer schweren Rüstung“ in den Krieg. Das bedeutet, dass wer auch immer die Malware programmiert hat, den Code nicht von Null auf geschrieben hat. Ein gut ausgebildeter Ritter würde niemals mit einem leuchtenden Schild und einem Stöckchen als Schwert in den Krieg ziehen.

Ein Blick in den “Call-Home”-Traffic zeigt, dass die Keylogger-Funktionalität Dateien bereitstellt, die als Container für Tastaturunterbrechungen dienen, Hostnamen sammeln sowie App-Namen, Nutzernamen und Passwörter. Der interessante Teil aber liegt hier.

Die Dateinamen enthalten einen sehr informativen String:

HawkEye_Keylogger_Execution_Confirmed_<VICTIM> 3.10.2015 6:08:31 PM

HawkEye ist ein kommerzielles Tool, das sich nun schon ein paar Jahre in der Entwicklungsphase befindet; es erschien im Jahr 2014, als eine Website mit dem Namen HawkEyeProducts, und es leistete einen bedeutenden Beitrag zur Hacker-Community.

Auf der Website demonstriert das Produkt eine große Vielseitigkeit, da es viele Arten von RATs enthält, Features und Funktionalitäten, wie etwa den traditionellen HawkEye Logger oder andere Arten von Remote Administration Tools wie etwa Cyborg Logger, CyberGate, DarkComet, NanoCore und andere. Es scheint drei Liefertypen zu unterstützen: FTP, SMTP und Web-Panel.

Wie man sehen konnte, verwendet die Malware eine Reihe von RATs, um seine Opfer zu kontrollieren oder ihre Aktivität zu verfolgen. Eine der erfolgreichen Implementierungen des Bedrohungsakteurs enthielt den wohlbekannten DarkComet. Diese bequeme “wähle-dein-RAT”-Funktionalität spielt eine sehr wichtige Rolle bei der Malware-Infektion, der Ausführung und dem Überleben auf dem Opferrechner. Die DarkComet-Samples sind komplexer als die traditionellen HawkEye-Logger. In einem Fall verfügte ein Sample über einen Generator für willkürliche Schlüssel, der einen Initialisierungsvektor für die ersten vier Bytes einer ausführbaren Datei einstellt und einen willkürlichen Schlüssel von 5 Byte anhängt, der eine weitere PE-Datei entpackt, die weniger als 20KB groß ist. Die PE-Datei enthält dann einen weiteren Packer mit einer noch komplexeren Obfuskationstechnik. Das letzte Sample, das wir untersucht haben, legte ein noch komplexeres Verhalten an den Tag. Der Code selbst hatte dieselbe Obfuskationstechnik, doch der Traffic wurde nicht in Klartext übertragen. Gestohlene Daten wurden gepackt und verschlüsselt über willkürliche http-Ports gesendet. Das bedeutet, dass die Gruppe versucht, andere Arten von schädlichen Samples mit unterschiedlichen RATs zu produzieren.

Ungefähr 10.000 gestohlene Dateien wurden zusammengetragen. In Thailand und Indien ansässige Unternehmen machten den größten Anteil an infizierten Rechnern aus. Mit einem Blick auf die gestohlenen Anmeldedaten wird klar, dass die Mitarbeiter sich die Malware gegenseitig zugeschickt haben, da die gestohlenen Hostnamen und internen Anwendungen gleich sind.

Hier die komplette Grafik, aktualisiert im Mai 2015:

Verteilung der Malware nach Ländern

Die Effizienz der simplen Keylogger demonstrierend, verwaltete ein C2 (am 15. Mai) tausende von Account-Daten der Opfer von hunderten von infizierten Systemen.

Zusammenfassend kann man sagen, dass die Grabit-Bedrohungsakteure keine raffinierten Umgehungen oder Manöver in ihrer dynamischen Aktivität verwendeten. Es ist interessant, die großen Unterschiede in den Kernstücken der Malware und der tatsächlichen Funktionalität zu sehen, die sie verwenden.

Einige Malware-Samples nutzten denselben Hosting-Server und sogar dieselben Anmeldedaten. Könnte es sein, dass unser Bedrohungsakteur es eilig hatte?

Unsere Vermutung ist, dass wir es mit einer Gruppe und nicht mit einem Individuum zu tun haben. Einige Mitglieder der Gruppe sind technisch versierter als andere, und andere sind eher sicherheitsorientiert und sich der Risiken bewusst, denen sie sich möglicherweise aussetzen.

Zurück auf Anfang:

Soweit wir bisher wissen, wird die Malware als E-Mail-Attachment im Format .doc (Microsoft Office Word) geliefert, das einen schädlichen Makro mit der Bezeichnung AutoOpen enthält. Dieser Macro baut einfach einen Socket über TCP auf und schickt eine http-Anfrage an einen entfernten Server, der von der Gruppe gehackt wurde, damit er als Malware-Netzknoten dient, bevor die Schadsoftware heruntergeladen wird. In einigen Fällen war das schädliche Makro Passwort geschützt, aber unser Bedrohungsakteur könnte vergessen haben, dass eine .doc-Datei tatsächlich ein Archiv ist und dass die Makro-Strings, wenn sie in einem beliebigen Editor unserer Wahl geöffnet werden, in Klartext dargestellt werden.

Die Malware ist deutlich sichtbar, modifiziert übliche Registry-Einträge, so wie Erstkonfigurationen, und verwischt seine Spuren nicht. Seine Binärdateien werden in den meisten Fällen nicht gelöscht und seine Kommunikation läuft in Klartext, so dass die Opfer die Kommunikation belauschen und die Anmeldedaten der FTP/SMTP-Server abfangen können.

Die Malware-Varianten sind hauptsächlich hier platziert:

C:\Users\<user>\AppData\Roaming\Microsoft

Phishing-Erweiterungen: .doc

3f77403a64a2dde60c4962a6752de601d56a621a

4E7765F3BF73AEC6E350F412B623C23D37964DFC

Icons: .pdf, .doc, .ttf, .xls, .ppt, .msg, .exe

Stealer: .txt, .jpeg, .eml

Zusätzliche Namen ausführbarer Dateien:

AudioEndpointBuilder.exe

BrokerInfrastructure.exe

WindowsUpdate.exe

Malware-Erweiterungen: .zip oder .exe

9b48a2e82d8a82c1717f135fa750ba774403e972b6edb2a522f9870bed57e72a

ea57da38870f0460f526b8504b5f4f1af3ee490ba8acfde4ad781a4e206a3d27

0b96811e4f4cfaa57fe47ebc369fdac7dfb4a900a2af8a07a7b3f513eb3e0dfa

1948f57cad96d37df95da2ee0057dd91dd4a9a67153efc278aa0736113f969e5

1d15003732430c004997f0df7cac7749ae10f992bea217a8da84e1c957143b1c

2049352f94a75978761a5367b01d486283aab1b7b94df7b08cf856f92352166b

26c6167dfcb7cda40621a952eac03b87a2f0dff1769ab9d09dafd09edc1a4c29

2e4507ff9e490f9137b73229cb0cd7b04b4dd88637890059eb1b90a757e99bcf

3928ea510a114ad0411a3528cd894f6b65f59e3d52532d3e0c35157b1de27651

710960677066beba4db33a62e59d069676ffce4a01e63dc968ad7446158f55d6

7371983a64ef9389bf3bfa8d2abacd3a909d13c3ee8b53cccf437026d5925df5

76ba61e510a340f8751e46449a7d857a2d242bd4724d0d040b060137ab5fb31a

78970883afe52e4ee846f4a7cf75b569f6e5a8e7a830d69358a8b33d186d6fec

7c8c3247ffeb269dbf840c7648e9bfaa8cf3d375a03066b57773c48de2b6d477

7f0c4d3644fdcd8ac5bc2e007bb5c3e9eab56a3d2d470bb796af88125cd74ac9

IP Adressen:

31.220.16.147

204.152.219.78

128.90.15.98

31.170.163.242

185.77.128.65

193.0.200.136

208.91.199.223

31.170.164.81

185.28.21.35

185.28.21.32

112.209.76.184


Setzten Videoüberwachungsanlagen die Öffentlichkeit dem Risiko von Cyberangriffen aus?


  Vasilios Hioureas       27 Mai 2015 | 11:00  MSK

Ihr Kommentar  

Wie unsicher arbeitet Überwachungstechnologie gegen uns?

Die vorliegende Studie wurde erstmals auf der DefCon 2014 vorgestellt. Sie wurde als Teil von Kaspersky Labs Beitrag zu Securing Smart Cities veröffentlicht – einer globalen gemeinnützigen Initiative, deren Ziel die Lösung der bestehenden und künftigen, die Cybersicherheit betreffenden Probleme von Smart Cities ist, und zwar durch die Zusammenarbeit zwischen Unternehmen, Regierungen, Pressekanälen, gemeinnützigen Initiativen und Individuen auf der ganzen Welt.

Thomas Kinsey von Exigent Systems Inc. hat einen Beitrag zu diesem Bericht geleistet.

Spät in der Nacht hielten ein Kollege und ich es für eine gute Idee, mitten in der Innenstadt auf eine öffentliche Brunnenanlage zu klettern. Plötzlich ertönte eine körperlose Stimme aus dem Himmel, die uns aufforderte, wieder von dem Brunnen herunterzusteigen. Wir bekamen einen gewaltigen Schreck, doch dann bemerkten wir eine Reihe von Kameras, die mit Lautsprechern ausgestattet waren und uns von verschiedenen Laternenpfählen aus beobachteten. Für uns war es das erste Mal, dass wir uns so direkt überwacht fühlten. Daher beschlossen wir, einmal genauer zu untersuchen, wie dieses System eigentlich funktioniert.

Es ist nichts Neues, dass Polizeibehörden und Regierungen ihre Bürger über Jahre hinweg mit Hilfe von Überwachungskameras beobachtet haben, die über verschiedene Städte verteilt sind. Heutzutage sehen die meisten Menschen das als einen fairen Kompromiss an – sie opfern einen Teil ihrer Privatsphäre in der Hoffnung, auf diese Weise besser vor Kriminellen und Terroristen geschützt zu werden. Doch wir erwarten auch, dass mit unseren privaten Daten – in diesem Fall Videoaufnahmen von unserem öffentlichen Leben – verantwortungsvoll und sicher umgegangen wird, so dass die Überwachung am Ende nicht mehr Schaden als Nutzen bringt.

In unserer jüngsten Studie stießen wir in vielen Städten auf drahtlose Technologien, die für Sicherheitskameras und Infrastruktur genutzt werden, anstelle der fest verdrahteten Installationen, die früher üblich waren. Diese Änderung bringt eine höhere Kosten- und Zeiteffizienz für die Stadtverwaltungen mit sich.

Leider liegt das Problem darin, dass die drahtlose Technologie gerade jetzt nicht so sicher ist wie sie sein könnte. Als sicherheitsbewusste Menschen haben wir auf den ersten Blick gesehen, dass die Daten, wenn sie auf diese Weise verarbeitet werden, gegenüber einer Reihe von Attacken potenziell angreifbar sein könnten. Daher wollten wir herausfinden, ob diese Systeme so umgesetzt wurden, dass unsere Daten sicher sind, oder ob die Daten problemlos zu bösartigen Zwecken manipuliert werden könnten.

Obwohl drahtlose Technologie selbst angreifbar sein kann, gibt es immer noch viele zusätzliche Verbesserungen, die eingebaut werden können, um so ein ausreichendes Sicherheitsniveau zu erreichen. Idealerweise sollten möglichst viele Sicherheitslevels vorhanden sein, so dass ein Hacker, nachdem er eine Hürde genommen hat, sich mit einer nur noch größeren Herausforderung konfrontiert sieht. Das war hier allerdings nicht der Fall.

Die Untersuchung

Unsere Untersuchung begann auf physischer Ebene: Wir fuhren zu verschiedenen Standorten in der Stadt und schauten uns an, wie die Hardware installiert ist. Dabei stellten wir auf den ersten Blick fest, dass die Stadt nicht ausreichend Überlegungen und Anstrengungen investiert hat, um ihre eigenen Systeme ordentlich zu handhaben.

Wie das Bild zeigt, wurde das Sicherheitssystem unsauber installiert. Die Einheiten, die unsere Daten verarbeiten, wurden nicht im Geringsten getarnt; auf manchen Einheiten konnten wir deutlich den Namen und das Modell der Hardware erkennen, so die Geräte identifizieren und unsere Studie starten.

Warum ist es so wichtig, die Beschriftung der Hardware, die man benutzt, zu verbergen? Ein Beispiel soll illustrieren, warum das eine so große Schwachstelle darstellt. Soll ein Server geschützt werden, so besteht eine der wichtigsten Maßnahmen zum Schutz vor Kompromittierung darin, dass man die Server-Binärdatei nicht öffentlich zugänglich macht. Der Grund hierfür ist, dass ein Forscher, der Zugriff auf die Binärdatei erhält, diese rückentwickeln und studieren kann, um so Bugs und Sicherheitslücken aufzuspüren. Es kommt selten vor, dass eine Sicherheitslücke entdeckt wird, ohne dass der Programmcode eingesehen werden kann. Daher kann eine sichtbare Gerätebeschriftung – scheinbar nur ein kleiner Fehler – tatsächlich massive Auswirkungen haben.

Zurück zum Kameranetzwerk: Wenn ein Hacker die drahtlosen Sicherheitseinstellungen dieser Systeme umgehen sollte (wobei nur die Standardverschlüsselungsprotokolle WEP oder WPA für WLAN aktiv sind), so könnte er an diesem Punkt nur unbekannte Protokolle, Header und WLAN-Pakete sehen, ohne Hinweise darauf, zu welchem System sie gehören. Bei unserer Analyse wussten wir zunächst nicht, welche Software diese Pakete erzeugt, da es ein proprietäres System ist. Ohne Zugriff auf den eigentlichen Code wäre es mehr oder minder unmöglich gewesen, das Protokoll, das sie benutzen, mittels Reverse Engineering herauszufinden, was aber der einzige Weg ist, das Netzwerk vernünftig zu untersuchen. An diesem Punkt war unsere Arbeit unterbrochen.

Nachdem wir in den Besitz der Hardware gekommen waren, stellten wir zweierlei fest: Die Netzwerk-Einstellungen der Polizeibehörde waren zwar schwach, doch die von ihnen ausgesuchte Hardware stellte tatsächlich ganz und gar nicht das Problem dar. Die vermaschten Knoten waren tatsächlich eine sehr komplexe und gut gemachte Lösung, und eingebaute Module schützen die Kommunikation über die zugrunde liegende WLAN-Sicherheit. Hier war nur noch eine ausreichend kompetente Person gefragt, die diese Technologie installiert und ordentlich konfiguriert. Leider mussten wir, nachdem wir viele der Pakete analysiert hatten, schnell feststellen, dass diese Verschlüsselungsmodule weder konfiguriert noch implementiert worden waren. Klartextdaten wurden durch das Netzwerk geschickt und waren für jeden Beobachter sichtbar. Es gab keine Verschlüsselung, die umgangen werden musste. Daher war uns klar, dass wir lediglich unsere eigene Version dieser Software rückentwickeln mussten, um die Daten, die sie verarbeitet, zu manipulieren.

Ein kurzer Vergleich, der zeigen soll, wie das vermaschte Netz arbeitet, um die Video-Feeds zu transportieren, wird zu einem besseren Verständnis beitragen, was genau wir lernen mussten, um das System zu manipulieren. In einem traditionellen WLAN-Netzwerk ist jedes Gerät typischerweise mit einem Router verbunden, der als Schaltzentrale dient. Um ein Datenpaket in einen anderen Teil des Netzwerks zu senden, nimmt es seinen an die entsprechende Geräte-Adresse über den Router. Das funktioniert in unmittelbarer Nähe gut, aber um über eine große Distanz kommunizieren zu können, verwendete das Kamera-Netzwerk eine Topologie und ein Protokoll, das wir in diesem Artikel nicht nennen werden.

Traditionelle Topologie eines drahtlosen Heimnetzwerks. Jedes mit dem Internet verbundene Gerät kann ein Client sein

Ein Angreifer gibt sich gegenüber dem Nutzer als Router aus und gegenüber dem Router als Nutzer. Auf diese Weise fängt er den Traffic von und zum Webserver ab

Ganz allgemein ist es für jeden, der mit einem beliebigen drahtlosen Netzwerk verbunden ist – einem Heimnetzwerk beispielsweise – möglich, eine Man-in-the-Middle-Attacke unter Verwendung von Methoden wie beispielsweise ARP-Spoofing durchzuführen. Dadurch ist der Nutzer in der Lage, jegliche Daten zu manipulieren, die an den Router fließen oder von ihm gesendet werden. Doch aufgrund der Natur der vermaschten Software wäre diese Standardmethode zumindest in ihrer einfachen Form nicht von großem Nutzen. Grundsätzlich kann jeder Knoten in dem vermaschten Netz nur eine direkte Sichtlinie zu einigen der vielen Knoten haben, die in dem Netzwerk existieren. Um ein Paket an ein Gerät zu senden, das nicht in Reichweite ist, muss das Paket vom Ursprungspunkt durch mehrere andere Knoten wandern und schließlich den Zielknoten erreichen. Das Hardwaresystem des Anbieters setzt einen Pathfinding-Algorithmus um, um Daten effizient zu transportieren und die verlässlichsten Routen zum Ziel zu finden. Der Algorithmus ist denen sehr ähnlich, die üblicherweise in Videospielen verwendet werden, um den Weg zu definieren, den ein Charakter zu seinem Ziel einschlagen wird und dabei Hindernisse vermeiden will. Ein gutes Beispiel dafür sind Echtzeitstrategiespiele.

Bespiel Echtzeitstrategiespiel: Der Pathfinding-Algorithmus findet Routen für die Charaktere, die sich basierend auf Variablen wie etwa Schwierigkeiten im Terrain fortbewegen

Der für die Überwachungskameras verwendete Pathfinding-Algorithmus fußt auf einer Reihe von Variablen. Doch am wichtigsten sind die Signalstärke zwischen einem Knoten und dem nächsten sowie die Zahl der Knoten, die das Paket auf seinem Weg zum Ziel durchläuft.

Das Paket kommt von Knoten A (Node A) und wandert durch B zu C und schließlich zu seinem Ziel (fingiertes Polizeirevier). Zwischenzeitlich gehen alle anderen Knoten einen komplett anderen Weg. Diese können nicht durch das Lauschen an einem einzelnen Ort abgefangen werden

Genau das haben wir uns zunutze gemacht. Indem wir den anderen Knoten vorgetäuscht haben, wir wären ein Knoten und würden die Pakete über eine direkte Verbindung zum fingierten Polizeirevier weiterleiten, begannen die in der Nähe installierten Kameras tatsächlich damit, ihre Pakete aufgrund der A*-Implementation direkt an uns zu senden. Mit dieser Aufstellung ist ein klassisches Man-in-the-Middle-Szenario möglich, jetzt aber für eine große Zahl von Video-Feeds. Um noch einmal auf den Vergleich oben mit dem Echtzeitstrategiespiel zurückzukommen: Mit dieser Methode baut man eine Brücke über den See, über die dann alle Charaktere gehen, anstatt am Seeufer entlangzuwandern.

Was sind die Folgen?

Wir sind keine Hacker – wir wollten nur ein Proof-of-Concept entwickeln, um zu zeigen, dass diese Art von Angriff möglich ist, um zu demonstrieren, dass es eine Sicherheitslücke gibt und um letztlich die Behörden auf eine Schwachstelle hinzuweisen, die beseitigt werden muss. Daher wurden unsere Untersuchungen auf unserer eigenen privaten Installation durchgeführt, die die Systeme der Polizei nachbildet. Wir haben deren Netzwerk in keiner Weise beschädigt.

Wenn Hacker mit kriminellen Absichten ihren Nutzen aus den von uns aufgezeigten Problemen ziehen wollen, können sich daraus viele gefährliche Szenarien ergeben, die Hollywood immer wieder gerne in seinen Filmen thematisiert. Die Möglichkeit, Man-in-the-Middle-Attacken auf die Videodaten durchzuführen, ist nur einen kleinen Schritt davon entfernt, die echten Videoaufnahmen durch selbst vorbereitetes Filmmaterial zu ersetzen. In so einer Situation könnte eine Cybercrime-Organisation die Polizei glauben machen, in der Stadt findet ein Verbrechen statt, um dann darauf zu warten, dass Beamte dorthin geschickt werden. Das würde wiederum die Möglichkeit eröffnen, in einem anderen Teil der Stadt ein Verbrechen zu begehen, wo nun keine Beamten mehr verfügbar sind. Und das ist nur eine Art, auf die jemand diese Systeme dazu missbrauchen könnte, um eine Straftat effizienter zu begehen. Insgesamt könnten diese Systeme damit mehr Schaden als Nutzen bringen. Leider handelt es sich dabei nicht nur um ein Hollywood-Szenario. Wir konnten diese Funktionalität in unserem Testlabor erfolgreich kopieren.

Wir vertrauen den Autoritäten, wenn sie auf unsere Daten zugreifen. Doch wenn diese Autoritäten nicht so viel Zeit und Ressourcen aufwenden wie notwendig sind, um verantwortungsvoll mit unseren Daten umzugehen, sind wir ohne diese Technologien insgesamt besser beraten. Glücklicherweise haben die Behörden der hier betroffenen Städte, nachdem wir sie über das Problem informiert hatten, ihre Besorgnis zum Ausdruck gebracht und seither gehandelt, um die Sicherheit zu verbessern.

Das ändert jedoch nichts an der unerfreulichen Wahrheit, dass heutzutage alles miteinander verbunden ist. Wenn neue Technologie flächendeckend etabliert wird, um ältere Systeme zu modernisieren, so bringt das auch unvermeidlich neue Sicherheitslücken mit sich. Neben den Überwachungssystemen, die wir an dieser Stelle analysiert haben, gibt es eine Vielzahl weiterer Systeme, die gegenüber verschiedenen Attacken angreifbar sind und bleiben werden. Es ist nun an „den Guten“, die Sicherheit auf den Prüfstand zu stellen, bevor „die Bösen“ Schwachstellen zu ihren schädlichen Zwecken ausnutzen können. Unsere Aufgabe besteht darin, dieses Ziel weiterhin zu verfolgen, um die Welt zu einem sichereren Ort zu machen.

Fazit

Die folgenden Überlegungen sind notwendig, um ein vermaschtes Netz auf ein vernünftiges Sicherheitsniveau zu heben:

  • Auch wenn es potenziell gehackt werden kann, so gehört WPA mit einem starken Passwort zu den minimalen Anforderungen, damit das System nicht zu einem leichten Ziel wird.
  • Eine verborgene SSID und ein MAC-Filter werden unausgebildete Hacker ebenfalls auf Abstand halten.
  • Stellen Sie sicher, dass alle Labels auf dem gesamten Equipment verdeckt oder innenliegend angebracht sind, um Angreifer abzuhalten, die kein Insiderwissen haben.
  • Die Sicherung von Videodaten unter Verwendung eines Public-Key-Verschlüsselungsverfahrens macht es mehr oder minder unmöglich, Video-Daten zu manipulieren.

Die Naikon APT und die MsnMM-Kampagnen


  Kurt Baumgartner       26 Mai 2015 | 17:02  MSK

Ihr Kommentar  

Die ersten bekannten Kampagnen der Naikon APT

Maxim Golovkin

The MsnMM Campaigns [pdf, ENG]

Seit mehr als einem halben Jahrzehnt führt die Naikon APT zahlreiche Kampagnen auf sensitive Ziele in ganz Südostasien und rund um das Südchinesische Meer durch. Dieser Bedrohungsakteur hat einen höchst offensiven Fokus auf Myanmar, Vietnam, Singapur, die Philippinen, Malaysia und Laos. Unter den Zielen und Opfern waren Regierungsbehörden und Regierungsabteilungen, Investmentfirmen, das Militär, Strafverfolgungsbehörden, Grenzkontrollorganisationen, Botschaften und Universitätsfakultäten in der ASEAN-Region.

Teile der Kampagnen wurden aufgrund der Natur ihrer Tools öffentlich diskutiert. Die MsnMM-Backdoors bekamen beispielsweise interne Namen wie etwa “WinMM” und “SslMM” und ihre Dateinamen waren eine Parodie auf MSN Talk und Msn Gaming Zone. Die Backdoor-Bezeichnung “naikon” ist abgeleitet von dem User-Agent-String “NOKIAN95″. Aber die msnMM-, naikon-, sakto- und rarstone-Backdoors werden alle von demselben Akteur verwendet, den wir Naikon APT nennen. Die Tools für die zweite Angriffsetappe waren lange unbekannt, doch der vorliegende Artikel enthält eine Liste dieser Werkzeuge.

Die Naikon-Angreifer versuchten sensitive geopolitische, militärische und wirtschaftliche Daten auszuschleusen, die Kommunikation abzufangen und die Überwachung ihrer Opfer während der gesamten MsnMM-Kampagnen aufrechtzuerhalten. Die Auswahl ihrer Tools und Techniken änderte sich mit der Zeit in vielen Details, und es scheint als würden sie von chinesischsprachigen Individuen ausgeführt werden. Die Infrastruktur der Gruppe, die auf Webanwendungen basiert, welche zumeist über dynamische DNS-Domains angelegt sind, überschnitt sich Kampagnen übergreifend. Wie schon früher beschrieben, sind die Methoden und Techniken dieser APT recht simpel, aber gegenüber der Verteidigung der Ziele höchst effizient. Wir finden hier keine 0-Days.

Ein großer Teil des Inhalts der Spearphishing- und Köder-Dokumente der Naikon APT fallen, ebenso wie die Bereitstellung, mit hochbrisanten geopolitischen Ereignissen zusammen. Die stimmige Liste der militärischen, wirtschaftlichen und politischen Ziele gibt die Interessen des Akteurs preis. In den frühen Kampagnen von Naikon wurden die Backdoors exe_exchange, winMM, und sys10 eingesetzt und die Codebasis wurde erst später in kundenspezifisch maßgeschneiderte Tools eingebaut. Die MsnMM-Kampagnen begannen Anfang des Jahres 2014 und schlummerten dann ein, bevor die später im Jahr bis ins Jahr 2015 wieder an Fahrt aufnahmen.

Vergleicht man die Naikon APT mit anderen APTs, so ist es interessant festzustellen, dass die Opfer der Naikon APT zum Teil gleichzeitig auch Opfer der Cycldek APT sind. Cycldek ist ebenfalls eine beständige, jedoch schwächere APT. Hinzu kommt, dass das Zielprofil der APT30 dem der Naikon APT entspricht und die Auswahl der Tools weist zwar geringe, aber merkliche Ähnlichkeiten auf. Und die späten Naikon-Kampagnen führten zu einem Zusammenstoß mit der Hellsing APT, als „das Empire zurückschlug.“

Obgleich verschiedene Aspekte der Malware-Auswahl in einigen Blogs und anderen Artikeln besprochen wurden, gab es bisher keinen ausführlichen Bericht, der die Details der MsnMM-, Sys10- und Naikon-Kampagnen als das Werk eines Teams zusammenfasst, und zwar der Naikon APT. Während dieser Bericht die vergangene Aktivität zum Inhalt hat, ist die Naikon APT noch immer aktiv und installiert nun eine neuere Codebasis. Unter den Top-Zielen des Jahres 2015, von denen wir wissen, sind Organisationen in Myanmar, Kambodscha, Vietnam, Thailand und Laos.

Auch Betrüger haben Rechte


  Andrey Kostin       21 Mai 2015 | 13:00  MSK

Ihr Kommentar  

Vor kurzem stießen wir auf eine vom technischen Standpunkt aus gesehen interessante Art, an persönliche Informationen zu gelangen. Einer unserer Kunden erhielt eine E-Mail, in der ihm mitgeteilt wurde, dass irgendwer seine Live ID zum Spam-Versand benutzt habe, weswegen sein Account nun gesperrt werden würde. Um das zu verhindern, sollte der Anwender auf einen Link klicken und die neuen Sicherheitsanforderungen des Services erfüllen.

Das alles klingt wie die Beschreibung einer typischen Phishing-Mail. In diesem Fall würde das Opfer dann aufgefordert werden, auf einen Link zu klicken, der ihn auf eine gefälschte Seite führt, die eine offizielle Seite des Dienstes Windows Live imitiert, um dort Daten einzugeben, die dann wiederum an die Betrüger geschickt würde. Doch zu unserer großen Überraschung führte der Link aus der Betrüger-Mail tatsächlich auf die Website von Windows Live und die Verbrecher versuchten nicht, die Anmeldedaten des Opfers zu stehlen. Sie gingen sehr viel raffinierter vor.

Betrugsschema

Worin liegt also die Gefahr, wenn man auf den mitgelieferten Link klickt, da er doch tatsächlich auf den offiziellen Service von Microsoft führt?

Betrügerische Mail

Die Sache ist die, der Live ID-Account kann auch für andere Dienste genutzt werden. Unter anderem für Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger oder OneDrive. Ein Cyberkrimineller erhält infolge der Attacke im Namen des Opfers keinen direkten Zugriff auf diese Dienste. Er kann aber trotzdem persönliche Informationen stehlen, die in den Anwenderprofilen dieser Services enthalten sind, und diese zu betrügerischen Zwecken verwenden.

Wenn man auf den Link aus der Mail klickt, landet man auf dem offiziellen Service live.com, wo man gebeten wird, sich zu authentifizieren, indem man seinen Benutzernamen und sein Passwort eingibt:

Nach erfolgreicher Autorisierung fallen Benutzername und Kennwort nicht den Cyberkriminellen in die Hände, wie man vielleicht vermuten könnte (und wie es normalerweise auch der Fall ist). Nein, man autorisiert sich vielmehr tatsächlich bei live.com. Daraufhin erhält man eine interessante Anfrage von dem Service:

„Darf die Anwendung auf Ihre Daten zugreifen?“

Irgendeine Anwendung bittet um die Erlaubnis, sich automatisch einzuloggen, die Profilangaben und Kontaktliste einzusehen und auf die E-Mail-Adressen zuzugreifen. Klickt man auf „Ja“, überträgt man der Anwendung solche Rechte und stellt somit den Autoren der App die eigenen persönliche Informationen zur Verfügung wie auch die E-Mail-Adressen der eigenen Kontakte, die Spitznamen und Namen von Freunden usw. Da wir in diesem Fall nichts über die Anwendung und ihre Autoren wissen, ist anzunehmen, dass die auf diese Weise gesammelten Daten zu betrügerischen Zwecken verwendet werden. Wir weisen nochmals darauf hin, dass Benutzername und Kennwort dabei geheim bleiben.

Wie funktioniert das?

Technisch ist alles recht einfach. Es gibt das spezialisierte offene Autorisierungsprotokoll OAuth, das es Dritten ermöglicht, ohne Eingabe der Login-Daten eingeschränkt auf geschützte Ressourcen des Anwenders zuzugreifen. Häufig verwenden die Entwickler von Webanwendungen dieses Protokoll für Soziale Netzwerke, wenn ihre Apps für die Arbeit irgendwelche Daten benötigen, beispielsweise Zugriff auf die Kontaktliste. Für die Anwender selbst besteht der Vorteil darin, dass wenn sie sich bei dem Service angemeldet haben, nicht jedes Mal Kennwort und Nutzername eingeben müssen, bevor sie der Anwendung die Zugriffserlaubnis erteilen.

Lücken in der Sicherheit des Protokolls OAuth sind schon seit langem bekannt – Anfang des Jahres 2014 beschrieb ein Student aus Singapur mögliche Methoden, Anwenderdaten nach der Autorisierung zu stehlen. Allerdings registrierten wir bisher keine Phishing-Mails, in denen Cyberverbrecher versuchen diese Methoden auch in die Praxis umzusetzen.

In unserem Fall landet ein Anwender,der auf den von den Betrügern gesendeten Link — hxxps://login.live.com/oauth20_authorize.srf? client_id=00xxx4142735&scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails &response_type=code&redirect_uri= hxxp://webmail.code4life.me/hot/oauth-hotmail.php — geklickt hat, auf einer Autorisierungsseite, wo er nach der Bestätigung der in den Parametern des Links kodierten Rechte für die Anwendung gefragt wird. Im Fall einer positiven Antwort wird der Nutzer auf hxxp://webmail.code4life.me/hot/oauth-hotmail.php umgeleitet, in dessen URL nach dem Parameter “code” “access token” (hxxp://webmail.code4life.me/hot/oauth-hotmail.php?code=36cef237-b8f6-9cae-c8e4-ad92677ba) hinzugefügt wird, der daraufhin von der Anwendung direkt aus der Adresszeile abgefangen wird. Daraufhin wird dieser “access token” von der Anwendung für die Kommunikation mit den geschützten Ressourcen verwendet. Generell beschränken sich die Möglichkeiten von OAuth nicht nur auf die Authentifizierung und Autorisierung. Nachdem im Autorisierungsprozess der Token erhalten wurde, kann man das Protokoll für die weitere Integration der Möglichkeiten eines Webservices oder sozialen Netzes in die eigene Ressource nutzen — Lesen, Verfassen von Postings, Zugriff auf die Freundesliste und die Pinnwand und vieles mehr.

Inhalt des Links

Wenn man sich den übermittelten Link einmal genauer ansieht, erkennt man die Parameter wl.signin, wl.basic, wl.emails und wl.contacts_emails. In genau diesen Parametern sind auch die Erlaubnisebenen kodiert, die die Anwendung bei dem Nutzer anfragt:

  • wl.signin – einmalige Registrierung, dank derer die Anwender, die bereits in Windows Live eingeloggt sind, automatisch bei jeder anderen Website registriert werden, die diesen Autorisierungstyp unterstützt;
  • wl.basic ermöglicht den Zugriff auf das Lesen der wichtigsten Profilangaben des Anwenders, wie z.B. Spitzname, Vor- und Nachname, Geschlecht, Alter, Land sowie seine Kontaktliste;
  • wl.emails – Zugriff auf das Lesen persönlicher, bevorzugter und auch dienstlicher E-Mail-Adressen des Anwenders;
  • wl.contacts_emails eröffnet Zugriff auf die E-Mail-Adressen aller Kontakte des Anwenders.

Es gibt noch eine große Zahl anderer Parameter, die Erlaubnisse gewähren, beispielsweise auf den Erhalt von Fotografien sowohl des Anwenders als auch seiner Kontakte, Angaben über Geburtstage, Terminlisten und Listen wichtiger Ereignisse. Faktisch ist ein Krimineller, der über alle diese Informationen verfügt, in der Lage, ein Profil eines Menschen zu erstellen, zu erfahren, womit sich dieser beschäftigt, wann er nicht zu Hause ist, mit wem er befreundet ist und mit wem er sich trifft, um dieses Wissen dann zu verbrecherischen Zwecken zu nutzen.

Im Laufe weiterer Untersuchungen konnten wir noch einige ähnliche Phishing-Mails aufspüren, die Links auf den offiziellen Service von Microsoft enthielten. In allen Fällen fragten die Cyberkriminellen bei den Opfern Identifikationsinformationen an (Profilangaben, E-Mail-Adressen, Kontakte), sie unterschieden sich nur durch die Adresse der Platzhalterseite, auf der die betrügerische Anwendung platziert wurde.

hxxps://login.live.com/oauth20_authorize.srf?client_id=000000004C1xxx06& scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code& redirect_uri=http://soluciones-ntflix.com/web/oauth-hotmail.php
hxxps://login.live.com/oauth20_authorize.srf?client_id=000000004C1xxx3C& scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code& redirect_uri=http://registros-promos.com/web/oauth-hotmail.php
hxxps://login.live.com/oauth20_authorize.srf?client_id=00000000441xxx1B& scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code& redirect_uri=http://applications-registro.com/web/oauth-hotmail.php
hxxps://login.live.com/oauth20_authorize.srf?client_id=00000000441xxx17& scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code& redirect_uri=http://estimaciones-serv.com/web/oauth-hotmail.php

Man darf nicht vergessen, dass einige Anwendungen für soziale Netzwerke ebenfalls das Protokoll OAuth verwenden.

Beispiel für die Zuweisung von Rechten gegenüber einer Anwendung bei Facebook

Eine von Cyberkriminellen entwickelte App kann beim Opfer um die Erlaubnis zum Posten von Kommentaren und Fotografien an der Pinnwand bitten, zum Lesen und Senden persönlicher Nachrichten, zum Schreiben von Gästebucheinträgen. Diese Möglichkeiten könnten für die Verbreitung von Spam, Links auf Phishing-Mails und schädliche Websites ausgenutzt werden.

Fazit

In dem von uns untersuchten Fall werden die Informationen höchstwahrscheinlich zusammengetragen, um mit ihrer Hilfe Spam über das Adressbuch des Opfers zu verbreiten oder um gezielte Phishing-Attacken (Spear-Phishing) durchzuführen.

Will man den Betrügern nicht zum Opfer fallen, sollte man keine Links in E-Mails oder in persönlichen Nachrichten innerhalb Sozialer Netzwerke anklicken. Noch wichtiger ist es aber, keinen unbekannten Anwendungen Zugriffsrechte auf die eigenen persönlichen Daten zu gewähren. Bevor man auf den „Zustimmen“-Button klickt, sollte man sich aufmerksam die Beschreibung der Zugriffsrechte auf den Account durchlesen, die die Anwendung erhält und damit den Grad der Bedrohung abschätzen. Informationen und Rezensionen über eine Anwendung findet man im Web. Zudem kann man in jedem Netzwerk oder Webservice in die Profil-/Account-Einstellungen gehen und nachschauen, über welche Rechte die derzeit installierten Apps verfügen und diese bei Bedarf einschränken.

Beispiel für die Zuweisung von Rechten bei Google

Wenn Sie in Erfahrung gebracht haben, dass eine Anwendung bereits in Ihrem Namen Spam oder schädliche Links verbreitet, können Sie sich an das Management des Sozialen Netzwerkes oder Web-Services wenden und den Account blockieren lassen. Und wenn Sie sich bei irgendeinem Web-Service oder Sozialen Netzwerk autorisieren müssen, gehen Sie besser direkt auf die offizielle Webseite, indem Sie manuell die Adresse im Browser eingeben. Und schließlich: Achten Sie darauf, dass die Datenbanken Ihrer Antiviren-Software mit einer Technologie zum Schutz vor Phishing immer auf dem neusten Stand sind.

Simdas Versteckspiel: kein Kinderkram


  Vitaly Kamluk       13 April 2015 | 19:27  MSK

Ihr Kommentar  

Am 9. April waren Kaspersky Lab und INTERPOL an der synchronisierten Operation zur Zerschlagung des Simda-Botnets beteiligt, die vom INTERPOL Global Complex for Innovation koordiniert wurde. In diesem Fall wurden die Ermittlungen zunächst von Microsoft eingeleitet und dann ausgeweitet, so dass sich der Kreis der Beteiligten unter anderem auf die folgenden Organisationen erstreckte: TrendMicro, das Cyber Defense Institute, die niederländische NHTCU, das FBI, die Police Grand-Ducale Section Nouvelles Technologies in Luxemburg und das für Cyberkriminalität zuständige Department "K" des russischen Innenministeriums, unterhalten vom nationalen Zentralbüro von INTERPOL in Moskau.

Im Rahmen der Zerschlagungs-Aktion wurden 14 C&C-Server konfisziert, die sich in den Niederlanden, den USA, Luxemburg, Polen und Russland befanden. Eine vorläufige Analyse einiger der abgefangenen Server-Logs förderte eine Liste von 190 Ländern zutage, die von der Aktivität des Simda-Botnets betroffen sind.


Simba, die liebenswerte Walt Disney-Figur, hat nichts mit dem Simda-Botnet zu tun

Simda ist ein mysteriöses Botnet, das zu kriminellen Zwecken benutzt wird, z.B. zur Verbreitung potentiell unerwünschter und schädlicher Software. Dieser Bot ist deshalb mysteriös, weil er nur selten auf unserem KSN-Radar erscheint, obwohl er täglich eine große Zahl von Hosts kompromittiert. Das liegt teilweise an der Erkennung von Emulation, Sicherheitstools und virtuellen Maschinen. Die Schadsoftware verfügt über eine Reihe von Methoden, Sandbox-Umgebungen zu erkennen, in der Absicht die Malware-Analysten auszutricksen, indem die gesamten CPU-Ressourcen aufgezehrt werden oder der Botnet-Betreiber über die IP-Adresse des Analysten-Netzwerks informiert wird. Ein weiterer Grund ist ein serverseitiger Polymorphismus und die eingeschränkte Lebensdauer der Bots.

Simda wird von einer Reihe infizierter Websites verbreitet, die auf Exploit-Kits umleiten. Der Bot verwendet hart codierte IP-Adressen, um seinen Meister über verschiedene Stadien des Ausführungsprozesses in Kenntnis zu setzen. Er lädt zusätzliche Komponenten von seinen eigenen Update-Servern und führt sie aus, zudem ist er in der Lage, die Systemdatei hosts zu modifizieren. Letztgenanntes ist eine recht interessante Technik, auch wenn sie auf den ersten Blick zu offensichtlich erscheint.

Normalerweise modifizieren Malware-Autoren die host-Dateien, um Suchmaschinenergebnisse zu manipulieren oder einige Sicherheitssoftware-Websites auf die Schwarze Liste zu setzen, doch der Simda-Bot fügt unerwartete Einträge für google-analytics.com und connect.facebook.net hinzu, um auf schädliche IPs zu verweisen.

Wozu das, mag man sich fragen? Wir wissen es nicht, doch wir glauben, dass die Antwort mit Simdas eigentlicher Bestimmung zusammenhängt - der Verbreitung anderer Malware. Das kriminelle Geschäftsmodell eröffnet die Möglichkeit exklusiver Malware-Verbreitung. Das bedeutet, die Verbreiter können dafür garantieren, dass nur die Malware des Kunden auf den infizierten Rechnern installiert wird. Und das ist der Fall, wenn Simda eine Antwort von dem C&C-Server interpretiert – er kann sich selbst deaktivieren, indem er den Bot davon abhält, beim nächsten Reboot zu starten und umgehend aussteigt. Diese Deaktivierung geht mit der Modifizierung der hosts-Systemdatei einher. Als Abschiedsgeste ersetzt Simda die originale hosts-Datei durch eine neue aus seinem eigenen Körper.

Der neugierige Leser mag nun fragen: Was nützt ihm das alles? Diese Domains werden nicht länger benutzt, um Suchergebnisse zu generieren, sondern mit Simda infizierte Rechner haben in der Vergangenheit gelegentlich weiter http-Anfragen an schädliche Server geschickt, selbst wenn vermutet wird, dass ausschließlich Malware von dritter Seite installiert ist.

Wir dürfen nicht vergessen, dass diese Rechner ursprünglich von einem Exploit-Kit infiziert wurden, das eine Sicherheitslücke in nicht gepatchter Software ausnutzt. Es ist höchstwahrscheinlich, dass Fremd-Malware mit der Zeit entfernt wird, aber ein sorgloser Nutzer kommt vielleicht nie auf die Idee, angreifbare Software zu aktualisieren.

Wenn alle diese Hosts zu den schädlichen Servern zurückkehren und Webressourcen wie etwa Javascript-Dateien anfragen, könnten Kriminelle dieselben Exploits nutzen, um die Computer erneut zu infizieren und sie noch einmal von vorn zu verkaufen – vielleicht sogar „exklusiv“ an den ursprünglichen Kunden. Womit einmal mehr bewiesen wäre – selbst Verbrecher können Verbrechern nicht trauen.

Bei diesen Ermittlungen schlossen Microsoft und verschiedene Strafverfolgungsbehörden den Sinkholing-Prozess ab und Kaspersky Lab leistete gern einen Beitrag zur Vorbereitung der Botnet-Abschaltung. Dazu gehörte die technische Analyse der Malware, das Sammeln von statistischen Infektionsdaten, Empfehlungen zur Beschlagnahmungsstrategie sowie Beratungen mit unseren Partnern von INTERPOL.

Kaspersky Lab detektiert den Simda-Bot als Backdoor.Win32.Simda und unseren Schätzungen zufolge, die auf den KSN-Statistiken und den Daten unserer Partner basieren, sind weltweit hunderttausende Opfer betroffen.

Simda wird automatisch bei Bedarf generiert, wovon auch das völlige Fehlen jeglicher Regelmäßigkeit bei den Linkzeiten zeugt. Unten stehend eine Grafik, die von einer kleinen Untermenge von etwa 70 zufälligen Simda-Samples erstellt wurde:


Linkzeiten der Samples in der UTC-Zeitzone

Die Zunahme der Linkzeiten hat aller Wahrscheinlichkeit nach mit der Aktivität der meisten Simda-Opfer zu tun, die sich irgendwo in den Zeitzonen zwischen UTC-9 und UTC-5 befinden, was die USA einschließt.

Dank der Sinkhole-Operation und den unter den Partnern ausgetauschten Daten konnten wir eine Seite erstellen, auf der Sie überprüfen können, ob Ihre IP in der Vergangenheit mit den C&C-Servern von Simda verbunden war. Wenn Sie den Verdacht haben, dass Ihr Computer kompromittiert wurde, nutzen Sie unsere kostenlose Lösung oder unsere Testversion, um Ihre gesamte Festplatte zu scannen, oder installieren Sie Kaspersky Internet Security als langfristigen Schutz.

Die Produkte von Kaspersky Lab detektieren aktuell hunderttausende von Simda-Modifikationen, zusammen mit vielen unterschiedlichen Fremd-Schadprogrammen, die im Rahmen der Simda-Kampagne verbreitet werden.

References:

Darwin Nuke


  Vasilios Hioureas       10 April 2015 | 14:00  MSK

Ihr Kommentar  

Andrey Khudyakov, Maxim Zhuravlev, Andrey Rubin

Im Dezember 2014 entdeckten wir eine sehr interessante Sicherheitslücke im Darwin-Kernel – ein wichtiger Open-Source-Bestandteil der zwei Betriebssysteme von Apple: OS X und iOS. Das bedeutet, dass auch OS X 10.10 und iOS 8 angreifbar sind. Diese Sicherheitslücke hat mit der Verarbeitung eines IP-Pakets zu tun, das eine bestimmte Größe und ungültige IP-Optionen hat. Die Folge ist, dass entfernte Angreifer eine Dienstblockade, DoS, auf einem Gerät hervorrufen können, auf dem OS X 10.10 oder iOS 8 installiert ist. Angreifer müssen dem Opfer also nur ein inkorrektes Netzwerkpaket schicken, um dessen System abstürzen zu lassen.


OS X 10.10 Absturz nach der Verarbeitung eines ungültigen Netzwerkpakets

Während der Analyse dieser Sicherheitslücke entdeckten wir, dass die Geräte mit 64-Bit-Prozessoren sowie die folgenden iOS 8-Geräte von dieser Bedrohung betroffen sind:


  • iPhone 5s und spätere Modelle
  • iPad Air und spätere Modelle
  • iPad mini 2 und spätere Modelle

Um die Natur dieses Bugs zu verstehen, werfen wir einmal einen Blick auf den Speicherauszug zum Zeitpunkt des Absturzes:


Kernel-Stacktrace

Man sieht auf diesem Auszug, dass in der Funktion icmp_error() etwas falsch gelaufen ist. Sie ruft die panic function auf. Diese Funktion versucht, eine neue ICMP-Fehlermeldung zu konstruieren und sie erneut zu senden. Der Screenshot zeigt, dass der icmp_error nach dem Parsen der Paketoptionen aufgerufen wurde. Das Problem liegt in diesem Teil des Codes:


Die Ursache des Problems

Wenn die im Code festgelegten Bedingungen erfüllt werden, wird die panic function aktiviert und das System wird in den Notbetrieb heruntergefahren. Das passiert, weil die internen Kernelstrukturen geändert wurden und die neue Puffergröße zu gering ist, um ein neu generiertes ICM-Paket zu speichern. Um das zu erreichen, müssen die folgenden Kriterien erfüllt werden:


  • Die Größe des IP-Headers sollte 60 Bytes betragen.
  • Die Größe der IP-Payload sollte mindestens 65 Bytes betragen.
  • Es sollte Fehler in den IP-Optionen geben (ungültige Größe einer Option, Klasse etc.)


Beispiel für ein Paket, das einen Absturz verursacht

Auf den ersten Blick wird nicht klar, wie dieser Bug effektiv ausgenutzt werden kann. Doch ein echter Profi kann mit Hilfe dieser Sicherheitslücke problemlos ein Anwendergerät außer Gefecht setzen oder sogar die Arbeit eines Unternehmensnetzwerks zum Erliegen bringen.

Normalerweise wird diese Art von inkorrekten Paketen von Routern und Firewalls ausgelassen, doch wir entdeckten verschiedene Kombinationen von inkorrekten IP-Optionen, die die Internet-Router durchlaufen können.

Diese Sicherheitslücke ist in OS X 10.10.3 und iOS 8.3 nicht mehr vorhanden. Nutzer von Kaspersky Lab-Produkten sind zudem auch in der Version OS X 10.10 durch das Feature Network Attack Blocker vor dieser Sicherheitslücke geschützt. Beginnend mit Kaspersky Internet Security für Mac 15.0, wird diese Bedrohung als DoS.OSX.Yosemite.ICMP.Error.exploit detektiert.

Nach oben  |  Archiv >>

 

Copyright © 1996 - 2015
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen