Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2015  
Jan Feb Mär
Apr Mai  
     
     
Über die Autoren des Tagebuches
Über die Autoren des Tagebuches

Das Analytiker-Tagebuch ist ein weblog, das von den Analytikern des Kaspersky Lab unter der Leitung von Eugene Kaspersky unterhalten wird. Erfahren Sie mehr über die Autoren des weblog.

Cybercrime Umfrage

Sobald Sie Ihren PC mit dem Internet verbinden, wird er zu einem potenziellen Ziel für Cyberkriminelle. Genauso wie Einbrecher bei einem ungesicherten Haus leichtes Spiel haben, ist ein ungeschützter PC wie eine offene Einladung an Autoren von Malware. Cyberbedrohungen werden nicht nur immer raffinierter, sondern nehmen auch ständig zu: Unser Antiviruslabor verzeichnet derzeit über 17.000 neue Internetbedrohungen pro Tag.

Zur Umfrage

 

  Home / Weblog

Analytiker-Tagebuch

Grabit und RATs


  Ido Naor       28 Mai 2015 | 11:00  MSK

Ihr Kommentar  

Vor nicht allzu langer Zeit wandten sich Kaspersky-Kunden in den USA an die Forscher von Kaspersky Lab mit der Bitte, einen neuen Malware-Typ zu untersuchen, den sie von den Servern ihrer Organisationen isolieren konnten. Die Malware nennt sich selbst Grabit und ist charakteristisch für ihre Vielseitigkeit und Wandlungsfähigkeit. Jedes Sample, das wir gefunden haben, unterschied sich in Größe und Aktivität von den anderen, doch der interne Name und andere Identifikatoren waren beunruhigend ähnlich. Der Zeitstempel scheint gültig zu sein und liegt dicht an der dokumentierten Infektionszeit. Unsere Studie bezieht sich auf eine Kampagne, die im späten Februar 2015 ihren Anfang nahm und Mitte März zu Ende ging. Als die Entwicklungsphase vermutlich abgeschlossen war, begann sich die Malware von Indien, den USA, Israel und anderen Ländern rund um den Globus auszubreiten.

All die Duzende von Samples, die wir zusammentragen konnten, wurden auf einem Windows 32bit Prozessor über das Microsoft .NET Framework (Visual Basic/C#) programmiert. Die Dateien wurden innerhalb eines Zeitraums von drei Tagen kompiliert, zwischen dem 7. und 9. März 2015. Die folgende Grafik illustriert, wie die Gruppe oder das Individuum die Samples erstellt hat, sowie die Größe jedes Samples, die Tageszeit, innerhalb derer es kompiliert wurde, und die Zeitspannen zwischen den jeweiligen Kompilierungen.

Zeitachse der Malware-Kompilierung

Das kleinste Sample (0.52 MB) und das größte (1.57 MB) wurden beide am selben Tag erstellt, was darauf hinweisen könnte, dass die Gruppe experimentierte, um bestimmte Funktionen, Packer und „toten Code“ zu testen.

Ein Blick auf die Grafik eröffnet auch einen interessanten Blick auf den modus operandi, da der Bedrohungsakteur durchgehend bemüht ist, eine Vielzahl von Samples zu erhalten mit unterschiedlichen Codegrößen und vermutlich komplexerer Obfuskation.

Neben den unterschiedlichen Größen, Aktivitäten und der Obfuskation wurde auch ein ernstzunehmender Verschlüsselungsalgorithmus in jedes der Samples implementiert. Der proprietäre obfuskierte String, die Methoden und Klassen machten die Analyse zu einer nicht zu unterschätzenden Herausforderung. Auch die ASLR (Adressverwürfelung) ist deaktiviert, was auf eine Open Source Fernsteuerungssoftware, ein RAT (remote administration tool), hinweisen könnte, oder sogar auf ein kommerzielles Framework, das die schädliche Software in eine gut geschriebene Struktur gepackt hat. Diese Methode ist als abschwächender Faktor für Bedrohungsakteure bekannt, die ihren Code vor den Augen der Analysten verbergen wollen.

Eine dynamische Analyse im Rahmen unserer Untersuchung hat gezeigt, dass die „Call-Home“-Funktion über ganz offensichtliche Kanäle kommuniziert und keinen Schritt zu viel unternimmt, um ihre Aktivität zu verbergen. Hinzu kommt, dass die Dateien selbst nicht so programmiert wurden, um irgendwelche Registrierungsmanöver zu unternehmen, die sie vor dem Windows Explorer verstecken würden. Wollte man einen Vergleich anstellen, so könnte man meinen, die Bedrohungsakteure schicken einen „schwachen Ritter in einer schweren Rüstung“ in den Krieg. Das bedeutet, dass wer auch immer die Malware programmiert hat, den Code nicht von Null auf geschrieben hat. Ein gut ausgebildeter Ritter würde niemals mit einem leuchtenden Schild und einem Stöckchen als Schwert in den Krieg ziehen.

Ein Blick in den “Call-Home”-Traffic zeigt, dass die Keylogger-Funktionalität Dateien bereitstellt, die als Container für Tastaturunterbrechungen dienen, Hostnamen sammeln sowie App-Namen, Nutzernamen und Passwörter. Der interessante Teil aber liegt hier.

Die Dateinamen enthalten einen sehr informativen String:

HawkEye_Keylogger_Execution_Confirmed_<VICTIM> 3.10.2015 6:08:31 PM

HawkEye ist ein kommerzielles Tool, das sich nun schon ein paar Jahre in der Entwicklungsphase befindet; es erschien im Jahr 2014, als eine Website mit dem Namen HawkEyeProducts, und es leistete einen bedeutenden Beitrag zur Hacker-Community.

Auf der Website demonstriert das Produkt eine große Vielseitigkeit, da es viele Arten von RATs enthält, Features und Funktionalitäten, wie etwa den traditionellen HawkEye Logger oder andere Arten von Remote Administration Tools wie etwa Cyborg Logger, CyberGate, DarkComet, NanoCore und andere. Es scheint drei Liefertypen zu unterstützen: FTP, SMTP und Web-Panel.

Wie man sehen konnte, verwendet die Malware eine Reihe von RATs, um seine Opfer zu kontrollieren oder ihre Aktivität zu verfolgen. Eine der erfolgreichen Implementierungen des Bedrohungsakteurs enthielt den wohlbekannten DarkComet. Diese bequeme “wähle-dein-RAT”-Funktionalität spielt eine sehr wichtige Rolle bei der Malware-Infektion, der Ausführung und dem Überleben auf dem Opferrechner. Die DarkComet-Samples sind komplexer als die traditionellen HawkEye-Logger. In einem Fall verfügte ein Sample über einen Generator für willkürliche Schlüssel, der einen Initialisierungsvektor für die ersten vier Bytes einer ausführbaren Datei einstellt und einen willkürlichen Schlüssel von 5 Byte anhängt, der eine weitere PE-Datei entpackt, die weniger als 20KB groß ist. Die PE-Datei enthält dann einen weiteren Packer mit einer noch komplexeren Obfuskationstechnik. Das letzte Sample, das wir untersucht haben, legte ein noch komplexeres Verhalten an den Tag. Der Code selbst hatte dieselbe Obfuskationstechnik, doch der Traffic wurde nicht in Klartext übertragen. Gestohlene Daten wurden gepackt und verschlüsselt über willkürliche http-Ports gesendet. Das bedeutet, dass die Gruppe versucht, andere Arten von schädlichen Samples mit unterschiedlichen RATs zu produzieren.

Ungefähr 10.000 gestohlene Dateien wurden zusammengetragen. In Thailand und Indien ansässige Unternehmen machten den größten Anteil an infizierten Rechnern aus. Mit einem Blick auf die gestohlenen Anmeldedaten wird klar, dass die Mitarbeiter sich die Malware gegenseitig zugeschickt haben, da die gestohlenen Hostnamen und internen Anwendungen gleich sind.

Hier die komplette Grafik, aktualisiert im Mai 2015:

Verteilung der Malware nach Ländern

Die Effizienz der simplen Keylogger demonstrierend, verwaltete ein C2 (am 15. Mai) tausende von Account-Daten der Opfer von hunderten von infizierten Systemen.

Zusammenfassend kann man sagen, dass die Grabit-Bedrohungsakteure keine raffinierten Umgehungen oder Manöver in ihrer dynamischen Aktivität verwendeten. Es ist interessant, die großen Unterschiede in den Kernstücken der Malware und der tatsächlichen Funktionalität zu sehen, die sie verwenden.

Einige Malware-Samples nutzten denselben Hosting-Server und sogar dieselben Anmeldedaten. Könnte es sein, dass unser Bedrohungsakteur es eilig hatte?

Unsere Vermutung ist, dass wir es mit einer Gruppe und nicht mit einem Individuum zu tun haben. Einige Mitglieder der Gruppe sind technisch versierter als andere, und andere sind eher sicherheitsorientiert und sich der Risiken bewusst, denen sie sich möglicherweise aussetzen.

Zurück auf Anfang:

Soweit wir bisher wissen, wird die Malware als E-Mail-Attachment im Format .doc (Microsoft Office Word) geliefert, das einen schädlichen Makro mit der Bezeichnung AutoOpen enthält. Dieser Macro baut einfach einen Socket über TCP auf und schickt eine http-Anfrage an einen entfernten Server, der von der Gruppe gehackt wurde, damit er als Malware-Netzknoten dient, bevor die Schadsoftware heruntergeladen wird. In einigen Fällen war das schädliche Makro Passwort geschützt, aber unser Bedrohungsakteur könnte vergessen haben, dass eine .doc-Datei tatsächlich ein Archiv ist und dass die Makro-Strings, wenn sie in einem beliebigen Editor unserer Wahl geöffnet werden, in Klartext dargestellt werden.

Die Malware ist deutlich sichtbar, modifiziert übliche Registry-Einträge, so wie Erstkonfigurationen, und verwischt seine Spuren nicht. Seine Binärdateien werden in den meisten Fällen nicht gelöscht und seine Kommunikation läuft in Klartext, so dass die Opfer die Kommunikation belauschen und die Anmeldedaten der FTP/SMTP-Server abfangen können.

Die Malware-Varianten sind hauptsächlich hier platziert:

C:\Users\<user>\AppData\Roaming\Microsoft

Phishing-Erweiterungen: .doc

3f77403a64a2dde60c4962a6752de601d56a621a

4E7765F3BF73AEC6E350F412B623C23D37964DFC

Icons: .pdf, .doc, .ttf, .xls, .ppt, .msg, .exe

Stealer: .txt, .jpeg, .eml

Zusätzliche Namen ausführbarer Dateien:

AudioEndpointBuilder.exe

BrokerInfrastructure.exe

WindowsUpdate.exe

Malware-Erweiterungen: .zip oder .exe

9b48a2e82d8a82c1717f135fa750ba774403e972b6edb2a522f9870bed57e72a

ea57da38870f0460f526b8504b5f4f1af3ee490ba8acfde4ad781a4e206a3d27

0b96811e4f4cfaa57fe47ebc369fdac7dfb4a900a2af8a07a7b3f513eb3e0dfa

1948f57cad96d37df95da2ee0057dd91dd4a9a67153efc278aa0736113f969e5

1d15003732430c004997f0df7cac7749ae10f992bea217a8da84e1c957143b1c

2049352f94a75978761a5367b01d486283aab1b7b94df7b08cf856f92352166b

26c6167dfcb7cda40621a952eac03b87a2f0dff1769ab9d09dafd09edc1a4c29

2e4507ff9e490f9137b73229cb0cd7b04b4dd88637890059eb1b90a757e99bcf

3928ea510a114ad0411a3528cd894f6b65f59e3d52532d3e0c35157b1de27651

710960677066beba4db33a62e59d069676ffce4a01e63dc968ad7446158f55d6

7371983a64ef9389bf3bfa8d2abacd3a909d13c3ee8b53cccf437026d5925df5

76ba61e510a340f8751e46449a7d857a2d242bd4724d0d040b060137ab5fb31a

78970883afe52e4ee846f4a7cf75b569f6e5a8e7a830d69358a8b33d186d6fec

7c8c3247ffeb269dbf840c7648e9bfaa8cf3d375a03066b57773c48de2b6d477

7f0c4d3644fdcd8ac5bc2e007bb5c3e9eab56a3d2d470bb796af88125cd74ac9

IP Adressen:

31.220.16.147

204.152.219.78

128.90.15.98

31.170.163.242

185.77.128.65

193.0.200.136

208.91.199.223

31.170.164.81

185.28.21.35

185.28.21.32

112.209.76.184


Setzten Videoüberwachungsanlagen die Öffentlichkeit dem Risiko von Cyberangriffen aus?


  Vasilios Hioureas       27 Mai 2015 | 11:00  MSK

Ihr Kommentar  

Wie unsicher arbeitet Überwachungstechnologie gegen uns?

Die vorliegende Studie wurde erstmals auf der DefCon 2014 vorgestellt. Sie wurde als Teil von Kaspersky Labs Beitrag zu Securing Smart Cities veröffentlicht – einer globalen gemeinnützigen Initiative, deren Ziel die Lösung der bestehenden und künftigen, die Cybersicherheit betreffenden Probleme von Smart Cities ist, und zwar durch die Zusammenarbeit zwischen Unternehmen, Regierungen, Pressekanälen, gemeinnützigen Initiativen und Individuen auf der ganzen Welt.

Thomas Kinsey von Exigent Systems Inc. hat einen Beitrag zu diesem Bericht geleistet.

Spät in der Nacht hielten ein Kollege und ich es für eine gute Idee, mitten in der Innenstadt auf eine öffentliche Brunnenanlage zu klettern. Plötzlich ertönte eine körperlose Stimme aus dem Himmel, die uns aufforderte, wieder von dem Brunnen herunterzusteigen. Wir bekamen einen gewaltigen Schreck, doch dann bemerkten wir eine Reihe von Kameras, die mit Lautsprechern ausgestattet waren und uns von verschiedenen Laternenpfählen aus beobachteten. Für uns war es das erste Mal, dass wir uns so direkt überwacht fühlten. Daher beschlossen wir, einmal genauer zu untersuchen, wie dieses System eigentlich funktioniert.

Es ist nichts Neues, dass Polizeibehörden und Regierungen ihre Bürger über Jahre hinweg mit Hilfe von Überwachungskameras beobachtet haben, die über verschiedene Städte verteilt sind. Heutzutage sehen die meisten Menschen das als einen fairen Kompromiss an – sie opfern einen Teil ihrer Privatsphäre in der Hoffnung, auf diese Weise besser vor Kriminellen und Terroristen geschützt zu werden. Doch wir erwarten auch, dass mit unseren privaten Daten – in diesem Fall Videoaufnahmen von unserem öffentlichen Leben – verantwortungsvoll und sicher umgegangen wird, so dass die Überwachung am Ende nicht mehr Schaden als Nutzen bringt.

In unserer jüngsten Studie stießen wir in vielen Städten auf drahtlose Technologien, die für Sicherheitskameras und Infrastruktur genutzt werden, anstelle der fest verdrahteten Installationen, die früher üblich waren. Diese Änderung bringt eine höhere Kosten- und Zeiteffizienz für die Stadtverwaltungen mit sich.

Leider liegt das Problem darin, dass die drahtlose Technologie gerade jetzt nicht so sicher ist wie sie sein könnte. Als sicherheitsbewusste Menschen haben wir auf den ersten Blick gesehen, dass die Daten, wenn sie auf diese Weise verarbeitet werden, gegenüber einer Reihe von Attacken potenziell angreifbar sein könnten. Daher wollten wir herausfinden, ob diese Systeme so umgesetzt wurden, dass unsere Daten sicher sind, oder ob die Daten problemlos zu bösartigen Zwecken manipuliert werden könnten.

Obwohl drahtlose Technologie selbst angreifbar sein kann, gibt es immer noch viele zusätzliche Verbesserungen, die eingebaut werden können, um so ein ausreichendes Sicherheitsniveau zu erreichen. Idealerweise sollten möglichst viele Sicherheitslevels vorhanden sein, so dass ein Hacker, nachdem er eine Hürde genommen hat, sich mit einer nur noch größeren Herausforderung konfrontiert sieht. Das war hier allerdings nicht der Fall.

Die Untersuchung

Unsere Untersuchung begann auf physischer Ebene: Wir fuhren zu verschiedenen Standorten in der Stadt und schauten uns an, wie die Hardware installiert ist. Dabei stellten wir auf den ersten Blick fest, dass die Stadt nicht ausreichend Überlegungen und Anstrengungen investiert hat, um ihre eigenen Systeme ordentlich zu handhaben.

Wie das Bild zeigt, wurde das Sicherheitssystem unsauber installiert. Die Einheiten, die unsere Daten verarbeiten, wurden nicht im Geringsten getarnt; auf manchen Einheiten konnten wir deutlich den Namen und das Modell der Hardware erkennen, so die Geräte identifizieren und unsere Studie starten.

Warum ist es so wichtig, die Beschriftung der Hardware, die man benutzt, zu verbergen? Ein Beispiel soll illustrieren, warum das eine so große Schwachstelle darstellt. Soll ein Server geschützt werden, so besteht eine der wichtigsten Maßnahmen zum Schutz vor Kompromittierung darin, dass man die Server-Binärdatei nicht öffentlich zugänglich macht. Der Grund hierfür ist, dass ein Forscher, der Zugriff auf die Binärdatei erhält, diese rückentwickeln und studieren kann, um so Bugs und Sicherheitslücken aufzuspüren. Es kommt selten vor, dass eine Sicherheitslücke entdeckt wird, ohne dass der Programmcode eingesehen werden kann. Daher kann eine sichtbare Gerätebeschriftung – scheinbar nur ein kleiner Fehler – tatsächlich massive Auswirkungen haben.

Zurück zum Kameranetzwerk: Wenn ein Hacker die drahtlosen Sicherheitseinstellungen dieser Systeme umgehen sollte (wobei nur die Standardverschlüsselungsprotokolle WEP oder WPA für WLAN aktiv sind), so könnte er an diesem Punkt nur unbekannte Protokolle, Header und WLAN-Pakete sehen, ohne Hinweise darauf, zu welchem System sie gehören. Bei unserer Analyse wussten wir zunächst nicht, welche Software diese Pakete erzeugt, da es ein proprietäres System ist. Ohne Zugriff auf den eigentlichen Code wäre es mehr oder minder unmöglich gewesen, das Protokoll, das sie benutzen, mittels Reverse Engineering herauszufinden, was aber der einzige Weg ist, das Netzwerk vernünftig zu untersuchen. An diesem Punkt war unsere Arbeit unterbrochen.

Nachdem wir in den Besitz der Hardware gekommen waren, stellten wir zweierlei fest: Die Netzwerk-Einstellungen der Polizeibehörde waren zwar schwach, doch die von ihnen ausgesuchte Hardware stellte tatsächlich ganz und gar nicht das Problem dar. Die vermaschten Knoten waren tatsächlich eine sehr komplexe und gut gemachte Lösung, und eingebaute Module schützen die Kommunikation über die zugrunde liegende WLAN-Sicherheit. Hier war nur noch eine ausreichend kompetente Person gefragt, die diese Technologie installiert und ordentlich konfiguriert. Leider mussten wir, nachdem wir viele der Pakete analysiert hatten, schnell feststellen, dass diese Verschlüsselungsmodule weder konfiguriert noch implementiert worden waren. Klartextdaten wurden durch das Netzwerk geschickt und waren für jeden Beobachter sichtbar. Es gab keine Verschlüsselung, die umgangen werden musste. Daher war uns klar, dass wir lediglich unsere eigene Version dieser Software rückentwickeln mussten, um die Daten, die sie verarbeitet, zu manipulieren.

Ein kurzer Vergleich, der zeigen soll, wie das vermaschte Netz arbeitet, um die Video-Feeds zu transportieren, wird zu einem besseren Verständnis beitragen, was genau wir lernen mussten, um das System zu manipulieren. In einem traditionellen WLAN-Netzwerk ist jedes Gerät typischerweise mit einem Router verbunden, der als Schaltzentrale dient. Um ein Datenpaket in einen anderen Teil des Netzwerks zu senden, nimmt es seinen an die entsprechende Geräte-Adresse über den Router. Das funktioniert in unmittelbarer Nähe gut, aber um über eine große Distanz kommunizieren zu können, verwendete das Kamera-Netzwerk eine Topologie und ein Protokoll, das wir in diesem Artikel nicht nennen werden.

Traditionelle Topologie eines drahtlosen Heimnetzwerks. Jedes mit dem Internet verbundene Gerät kann ein Client sein

Ein Angreifer gibt sich gegenüber dem Nutzer als Router aus und gegenüber dem Router als Nutzer. Auf diese Weise fängt er den Traffic von und zum Webserver ab

Ganz allgemein ist es für jeden, der mit einem beliebigen drahtlosen Netzwerk verbunden ist – einem Heimnetzwerk beispielsweise – möglich, eine Man-in-the-Middle-Attacke unter Verwendung von Methoden wie beispielsweise ARP-Spoofing durchzuführen. Dadurch ist der Nutzer in der Lage, jegliche Daten zu manipulieren, die an den Router fließen oder von ihm gesendet werden. Doch aufgrund der Natur der vermaschten Software wäre diese Standardmethode zumindest in ihrer einfachen Form nicht von großem Nutzen. Grundsätzlich kann jeder Knoten in dem vermaschten Netz nur eine direkte Sichtlinie zu einigen der vielen Knoten haben, die in dem Netzwerk existieren. Um ein Paket an ein Gerät zu senden, das nicht in Reichweite ist, muss das Paket vom Ursprungspunkt durch mehrere andere Knoten wandern und schließlich den Zielknoten erreichen. Das Hardwaresystem des Anbieters setzt einen Pathfinding-Algorithmus um, um Daten effizient zu transportieren und die verlässlichsten Routen zum Ziel zu finden. Der Algorithmus ist denen sehr ähnlich, die üblicherweise in Videospielen verwendet werden, um den Weg zu definieren, den ein Charakter zu seinem Ziel einschlagen wird und dabei Hindernisse vermeiden will. Ein gutes Beispiel dafür sind Echtzeitstrategiespiele.

Bespiel Echtzeitstrategiespiel: Der Pathfinding-Algorithmus findet Routen für die Charaktere, die sich basierend auf Variablen wie etwa Schwierigkeiten im Terrain fortbewegen

Der für die Überwachungskameras verwendete Pathfinding-Algorithmus fußt auf einer Reihe von Variablen. Doch am wichtigsten sind die Signalstärke zwischen einem Knoten und dem nächsten sowie die Zahl der Knoten, die das Paket auf seinem Weg zum Ziel durchläuft.

Das Paket kommt von Knoten A (Node A) und wandert durch B zu C und schließlich zu seinem Ziel (fingiertes Polizeirevier). Zwischenzeitlich gehen alle anderen Knoten einen komplett anderen Weg. Diese können nicht durch das Lauschen an einem einzelnen Ort abgefangen werden

Genau das haben wir uns zunutze gemacht. Indem wir den anderen Knoten vorgetäuscht haben, wir wären ein Knoten und würden die Pakete über eine direkte Verbindung zum fingierten Polizeirevier weiterleiten, begannen die in der Nähe installierten Kameras tatsächlich damit, ihre Pakete aufgrund der A*-Implementation direkt an uns zu senden. Mit dieser Aufstellung ist ein klassisches Man-in-the-Middle-Szenario möglich, jetzt aber für eine große Zahl von Video-Feeds. Um noch einmal auf den Vergleich oben mit dem Echtzeitstrategiespiel zurückzukommen: Mit dieser Methode baut man eine Brücke über den See, über die dann alle Charaktere gehen, anstatt am Seeufer entlangzuwandern.

Was sind die Folgen?

Wir sind keine Hacker – wir wollten nur ein Proof-of-Concept entwickeln, um zu zeigen, dass diese Art von Angriff möglich ist, um zu demonstrieren, dass es eine Sicherheitslücke gibt und um letztlich die Behörden auf eine Schwachstelle hinzuweisen, die beseitigt werden muss. Daher wurden unsere Untersuchungen auf unserer eigenen privaten Installation durchgeführt, die die Systeme der Polizei nachbildet. Wir haben deren Netzwerk in keiner Weise beschädigt.

Wenn Hacker mit kriminellen Absichten ihren Nutzen aus den von uns aufgezeigten Problemen ziehen wollen, können sich daraus viele gefährliche Szenarien ergeben, die Hollywood immer wieder gerne in seinen Filmen thematisiert. Die Möglichkeit, Man-in-the-Middle-Attacken auf die Videodaten durchzuführen, ist nur einen kleinen Schritt davon entfernt, die echten Videoaufnahmen durch selbst vorbereitetes Filmmaterial zu ersetzen. In so einer Situation könnte eine Cybercrime-Organisation die Polizei glauben machen, in der Stadt findet ein Verbrechen statt, um dann darauf zu warten, dass Beamte dorthin geschickt werden. Das würde wiederum die Möglichkeit eröffnen, in einem anderen Teil der Stadt ein Verbrechen zu begehen, wo nun keine Beamten mehr verfügbar sind. Und das ist nur eine Art, auf die jemand diese Systeme dazu missbrauchen könnte, um eine Straftat effizienter zu begehen. Insgesamt könnten diese Systeme damit mehr Schaden als Nutzen bringen. Leider handelt es sich dabei nicht nur um ein Hollywood-Szenario. Wir konnten diese Funktionalität in unserem Testlabor erfolgreich kopieren.

Wir vertrauen den Autoritäten, wenn sie auf unsere Daten zugreifen. Doch wenn diese Autoritäten nicht so viel Zeit und Ressourcen aufwenden wie notwendig sind, um verantwortungsvoll mit unseren Daten umzugehen, sind wir ohne diese Technologien insgesamt besser beraten. Glücklicherweise haben die Behörden der hier betroffenen Städte, nachdem wir sie über das Problem informiert hatten, ihre Besorgnis zum Ausdruck gebracht und seither gehandelt, um die Sicherheit zu verbessern.

Das ändert jedoch nichts an der unerfreulichen Wahrheit, dass heutzutage alles miteinander verbunden ist. Wenn neue Technologie flächendeckend etabliert wird, um ältere Systeme zu modernisieren, so bringt das auch unvermeidlich neue Sicherheitslücken mit sich. Neben den Überwachungssystemen, die wir an dieser Stelle analysiert haben, gibt es eine Vielzahl weiterer Systeme, die gegenüber verschiedenen Attacken angreifbar sind und bleiben werden. Es ist nun an „den Guten“, die Sicherheit auf den Prüfstand zu stellen, bevor „die Bösen“ Schwachstellen zu ihren schädlichen Zwecken ausnutzen können. Unsere Aufgabe besteht darin, dieses Ziel weiterhin zu verfolgen, um die Welt zu einem sichereren Ort zu machen.

Fazit

Die folgenden Überlegungen sind notwendig, um ein vermaschtes Netz auf ein vernünftiges Sicherheitsniveau zu heben:

  • Auch wenn es potenziell gehackt werden kann, so gehört WPA mit einem starken Passwort zu den minimalen Anforderungen, damit das System nicht zu einem leichten Ziel wird.
  • Eine verborgene SSID und ein MAC-Filter werden unausgebildete Hacker ebenfalls auf Abstand halten.
  • Stellen Sie sicher, dass alle Labels auf dem gesamten Equipment verdeckt oder innenliegend angebracht sind, um Angreifer abzuhalten, die kein Insiderwissen haben.
  • Die Sicherung von Videodaten unter Verwendung eines Public-Key-Verschlüsselungsverfahrens macht es mehr oder minder unmöglich, Video-Daten zu manipulieren.

Die Naikon APT und die MsnMM-Kampagnen


  Kurt Baumgartner       26 Mai 2015 | 17:02  MSK

Ihr Kommentar  

Die ersten bekannten Kampagnen der Naikon APT

Maxim Golovkin

The MsnMM Campaigns [pdf, ENG]

Seit mehr als einem halben Jahrzehnt führt die Naikon APT zahlreiche Kampagnen auf sensitive Ziele in ganz Südostasien und rund um das Südchinesische Meer durch. Dieser Bedrohungsakteur hat einen höchst offensiven Fokus auf Myanmar, Vietnam, Singapur, die Philippinen, Malaysia und Laos. Unter den Zielen und Opfern waren Regierungsbehörden und Regierungsabteilungen, Investmentfirmen, das Militär, Strafverfolgungsbehörden, Grenzkontrollorganisationen, Botschaften und Universitätsfakultäten in der ASEAN-Region.

Teile der Kampagnen wurden aufgrund der Natur ihrer Tools öffentlich diskutiert. Die MsnMM-Backdoors bekamen beispielsweise interne Namen wie etwa “WinMM” und “SslMM” und ihre Dateinamen waren eine Parodie auf MSN Talk und Msn Gaming Zone. Die Backdoor-Bezeichnung “naikon” ist abgeleitet von dem User-Agent-String “NOKIAN95″. Aber die msnMM-, naikon-, sakto- und rarstone-Backdoors werden alle von demselben Akteur verwendet, den wir Naikon APT nennen. Die Tools für die zweite Angriffsetappe waren lange unbekannt, doch der vorliegende Artikel enthält eine Liste dieser Werkzeuge.

Die Naikon-Angreifer versuchten sensitive geopolitische, militärische und wirtschaftliche Daten auszuschleusen, die Kommunikation abzufangen und die Überwachung ihrer Opfer während der gesamten MsnMM-Kampagnen aufrechtzuerhalten. Die Auswahl ihrer Tools und Techniken änderte sich mit der Zeit in vielen Details, und es scheint als würden sie von chinesischsprachigen Individuen ausgeführt werden. Die Infrastruktur der Gruppe, die auf Webanwendungen basiert, welche zumeist über dynamische DNS-Domains angelegt sind, überschnitt sich Kampagnen übergreifend. Wie schon früher beschrieben, sind die Methoden und Techniken dieser APT recht simpel, aber gegenüber der Verteidigung der Ziele höchst effizient. Wir finden hier keine 0-Days.

Ein großer Teil des Inhalts der Spearphishing- und Köder-Dokumente der Naikon APT fallen, ebenso wie die Bereitstellung, mit hochbrisanten geopolitischen Ereignissen zusammen. Die stimmige Liste der militärischen, wirtschaftlichen und politischen Ziele gibt die Interessen des Akteurs preis. In den frühen Kampagnen von Naikon wurden die Backdoors exe_exchange, winMM, und sys10 eingesetzt und die Codebasis wurde erst später in kundenspezifisch maßgeschneiderte Tools eingebaut. Die MsnMM-Kampagnen begannen Anfang des Jahres 2014 und schlummerten dann ein, bevor die später im Jahr bis ins Jahr 2015 wieder an Fahrt aufnahmen.

Vergleicht man die Naikon APT mit anderen APTs, so ist es interessant festzustellen, dass die Opfer der Naikon APT zum Teil gleichzeitig auch Opfer der Cycldek APT sind. Cycldek ist ebenfalls eine beständige, jedoch schwächere APT. Hinzu kommt, dass das Zielprofil der APT30 dem der Naikon APT entspricht und die Auswahl der Tools weist zwar geringe, aber merkliche Ähnlichkeiten auf. Und die späten Naikon-Kampagnen führten zu einem Zusammenstoß mit der Hellsing APT, als „das Empire zurückschlug.“

Obgleich verschiedene Aspekte der Malware-Auswahl in einigen Blogs und anderen Artikeln besprochen wurden, gab es bisher keinen ausführlichen Bericht, der die Details der MsnMM-, Sys10- und Naikon-Kampagnen als das Werk eines Teams zusammenfasst, und zwar der Naikon APT. Während dieser Bericht die vergangene Aktivität zum Inhalt hat, ist die Naikon APT noch immer aktiv und installiert nun eine neuere Codebasis. Unter den Top-Zielen des Jahres 2015, von denen wir wissen, sind Organisationen in Myanmar, Kambodscha, Vietnam, Thailand und Laos.

Auch Betrüger haben Rechte


  Andrey Kostin       21 Mai 2015 | 13:00  MSK

Ihr Kommentar  

Vor kurzem stießen wir auf eine vom technischen Standpunkt aus gesehen interessante Art, an persönliche Informationen zu gelangen. Einer unserer Kunden erhielt eine E-Mail, in der ihm mitgeteilt wurde, dass irgendwer seine Live ID zum Spam-Versand benutzt habe, weswegen sein Account nun gesperrt werden würde. Um das zu verhindern, sollte der Anwender auf einen Link klicken und die neuen Sicherheitsanforderungen des Services erfüllen.

Das alles klingt wie die Beschreibung einer typischen Phishing-Mail. In diesem Fall würde das Opfer dann aufgefordert werden, auf einen Link zu klicken, der ihn auf eine gefälschte Seite führt, die eine offizielle Seite des Dienstes Windows Live imitiert, um dort Daten einzugeben, die dann wiederum an die Betrüger geschickt würde. Doch zu unserer großen Überraschung führte der Link aus der Betrüger-Mail tatsächlich auf die Website von Windows Live und die Verbrecher versuchten nicht, die Anmeldedaten des Opfers zu stehlen. Sie gingen sehr viel raffinierter vor.

Betrugsschema

Worin liegt also die Gefahr, wenn man auf den mitgelieferten Link klickt, da er doch tatsächlich auf den offiziellen Service von Microsoft führt?

Betrügerische Mail

Die Sache ist die, der Live ID-Account kann auch für andere Dienste genutzt werden. Unter anderem für Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger oder OneDrive. Ein Cyberkrimineller erhält infolge der Attacke im Namen des Opfers keinen direkten Zugriff auf diese Dienste. Er kann aber trotzdem persönliche Informationen stehlen, die in den Anwenderprofilen dieser Services enthalten sind, und diese zu betrügerischen Zwecken verwenden.

Wenn man auf den Link aus der Mail klickt, landet man auf dem offiziellen Service live.com, wo man gebeten wird, sich zu authentifizieren, indem man seinen Benutzernamen und sein Passwort eingibt:

Nach erfolgreicher Autorisierung fallen Benutzername und Kennwort nicht den Cyberkriminellen in die Hände, wie man vielleicht vermuten könnte (und wie es normalerweise auch der Fall ist). Nein, man autorisiert sich vielmehr tatsächlich bei live.com. Daraufhin erhält man eine interessante Anfrage von dem Service:

„Darf die Anwendung auf Ihre Daten zugreifen?“

Irgendeine Anwendung bittet um die Erlaubnis, sich automatisch einzuloggen, die Profilangaben und Kontaktliste einzusehen und auf die E-Mail-Adressen zuzugreifen. Klickt man auf „Ja“, überträgt man der Anwendung solche Rechte und stellt somit den Autoren der App die eigenen persönliche Informationen zur Verfügung wie auch die E-Mail-Adressen der eigenen Kontakte, die Spitznamen und Namen von Freunden usw. Da wir in diesem Fall nichts über die Anwendung und ihre Autoren wissen, ist anzunehmen, dass die auf diese Weise gesammelten Daten zu betrügerischen Zwecken verwendet werden. Wir weisen nochmals darauf hin, dass Benutzername und Kennwort dabei geheim bleiben.

Wie funktioniert das?

Technisch ist alles recht einfach. Es gibt das spezialisierte offene Autorisierungsprotokoll OAuth, das es Dritten ermöglicht, ohne Eingabe der Login-Daten eingeschränkt auf geschützte Ressourcen des Anwenders zuzugreifen. Häufig verwenden die Entwickler von Webanwendungen dieses Protokoll für Soziale Netzwerke, wenn ihre Apps für die Arbeit irgendwelche Daten benötigen, beispielsweise Zugriff auf die Kontaktliste. Für die Anwender selbst besteht der Vorteil darin, dass wenn sie sich bei dem Service angemeldet haben, nicht jedes Mal Kennwort und Nutzername eingeben müssen, bevor sie der Anwendung die Zugriffserlaubnis erteilen.

Lücken in der Sicherheit des Protokolls OAuth sind schon seit langem bekannt – Anfang des Jahres 2014 beschrieb ein Student aus Singapur mögliche Methoden, Anwenderdaten nach der Autorisierung zu stehlen. Allerdings registrierten wir bisher keine Phishing-Mails, in denen Cyberverbrecher versuchen diese Methoden auch in die Praxis umzusetzen.

In unserem Fall landet ein Anwender,der auf den von den Betrügern gesendeten Link — hxxps://login.live.com/oauth20_authorize.srf? client_id=00xxx4142735&scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails &response_type=code&redirect_uri= hxxp://webmail.code4life.me/hot/oauth-hotmail.php — geklickt hat, auf einer Autorisierungsseite, wo er nach der Bestätigung der in den Parametern des Links kodierten Rechte für die Anwendung gefragt wird. Im Fall einer positiven Antwort wird der Nutzer auf hxxp://webmail.code4life.me/hot/oauth-hotmail.php umgeleitet, in dessen URL nach dem Parameter “code” “access token” (hxxp://webmail.code4life.me/hot/oauth-hotmail.php?code=36cef237-b8f6-9cae-c8e4-ad92677ba) hinzugefügt wird, der daraufhin von der Anwendung direkt aus der Adresszeile abgefangen wird. Daraufhin wird dieser “access token” von der Anwendung für die Kommunikation mit den geschützten Ressourcen verwendet. Generell beschränken sich die Möglichkeiten von OAuth nicht nur auf die Authentifizierung und Autorisierung. Nachdem im Autorisierungsprozess der Token erhalten wurde, kann man das Protokoll für die weitere Integration der Möglichkeiten eines Webservices oder sozialen Netzes in die eigene Ressource nutzen — Lesen, Verfassen von Postings, Zugriff auf die Freundesliste und die Pinnwand und vieles mehr.

Inhalt des Links

Wenn man sich den übermittelten Link einmal genauer ansieht, erkennt man die Parameter wl.signin, wl.basic, wl.emails und wl.contacts_emails. In genau diesen Parametern sind auch die Erlaubnisebenen kodiert, die die Anwendung bei dem Nutzer anfragt:

  • wl.signin – einmalige Registrierung, dank derer die Anwender, die bereits in Windows Live eingeloggt sind, automatisch bei jeder anderen Website registriert werden, die diesen Autorisierungstyp unterstützt;
  • wl.basic ermöglicht den Zugriff auf das Lesen der wichtigsten Profilangaben des Anwenders, wie z.B. Spitzname, Vor- und Nachname, Geschlecht, Alter, Land sowie seine Kontaktliste;
  • wl.emails – Zugriff auf das Lesen persönlicher, bevorzugter und auch dienstlicher E-Mail-Adressen des Anwenders;
  • wl.contacts_emails eröffnet Zugriff auf die E-Mail-Adressen aller Kontakte des Anwenders.

Es gibt noch eine große Zahl anderer Parameter, die Erlaubnisse gewähren, beispielsweise auf den Erhalt von Fotografien sowohl des Anwenders als auch seiner Kontakte, Angaben über Geburtstage, Terminlisten und Listen wichtiger Ereignisse. Faktisch ist ein Krimineller, der über alle diese Informationen verfügt, in der Lage, ein Profil eines Menschen zu erstellen, zu erfahren, womit sich dieser beschäftigt, wann er nicht zu Hause ist, mit wem er befreundet ist und mit wem er sich trifft, um dieses Wissen dann zu verbrecherischen Zwecken zu nutzen.

Im Laufe weiterer Untersuchungen konnten wir noch einige ähnliche Phishing-Mails aufspüren, die Links auf den offiziellen Service von Microsoft enthielten. In allen Fällen fragten die Cyberkriminellen bei den Opfern Identifikationsinformationen an (Profilangaben, E-Mail-Adressen, Kontakte), sie unterschieden sich nur durch die Adresse der Platzhalterseite, auf der die betrügerische Anwendung platziert wurde.

hxxps://login.live.com/oauth20_authorize.srf?client_id=000000004C1xxx06& scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code& redirect_uri=http://soluciones-ntflix.com/web/oauth-hotmail.php
hxxps://login.live.com/oauth20_authorize.srf?client_id=000000004C1xxx3C& scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code& redirect_uri=http://registros-promos.com/web/oauth-hotmail.php
hxxps://login.live.com/oauth20_authorize.srf?client_id=00000000441xxx1B& scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code& redirect_uri=http://applications-registro.com/web/oauth-hotmail.php
hxxps://login.live.com/oauth20_authorize.srf?client_id=00000000441xxx17& scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code& redirect_uri=http://estimaciones-serv.com/web/oauth-hotmail.php

Man darf nicht vergessen, dass einige Anwendungen für soziale Netzwerke ebenfalls das Protokoll OAuth verwenden.

Beispiel für die Zuweisung von Rechten gegenüber einer Anwendung bei Facebook

Eine von Cyberkriminellen entwickelte App kann beim Opfer um die Erlaubnis zum Posten von Kommentaren und Fotografien an der Pinnwand bitten, zum Lesen und Senden persönlicher Nachrichten, zum Schreiben von Gästebucheinträgen. Diese Möglichkeiten könnten für die Verbreitung von Spam, Links auf Phishing-Mails und schädliche Websites ausgenutzt werden.

Fazit

In dem von uns untersuchten Fall werden die Informationen höchstwahrscheinlich zusammengetragen, um mit ihrer Hilfe Spam über das Adressbuch des Opfers zu verbreiten oder um gezielte Phishing-Attacken (Spear-Phishing) durchzuführen.

Will man den Betrügern nicht zum Opfer fallen, sollte man keine Links in E-Mails oder in persönlichen Nachrichten innerhalb Sozialer Netzwerke anklicken. Noch wichtiger ist es aber, keinen unbekannten Anwendungen Zugriffsrechte auf die eigenen persönlichen Daten zu gewähren. Bevor man auf den „Zustimmen“-Button klickt, sollte man sich aufmerksam die Beschreibung der Zugriffsrechte auf den Account durchlesen, die die Anwendung erhält und damit den Grad der Bedrohung abschätzen. Informationen und Rezensionen über eine Anwendung findet man im Web. Zudem kann man in jedem Netzwerk oder Webservice in die Profil-/Account-Einstellungen gehen und nachschauen, über welche Rechte die derzeit installierten Apps verfügen und diese bei Bedarf einschränken.

Beispiel für die Zuweisung von Rechten bei Google

Wenn Sie in Erfahrung gebracht haben, dass eine Anwendung bereits in Ihrem Namen Spam oder schädliche Links verbreitet, können Sie sich an das Management des Sozialen Netzwerkes oder Web-Services wenden und den Account blockieren lassen. Und wenn Sie sich bei irgendeinem Web-Service oder Sozialen Netzwerk autorisieren müssen, gehen Sie besser direkt auf die offizielle Webseite, indem Sie manuell die Adresse im Browser eingeben. Und schließlich: Achten Sie darauf, dass die Datenbanken Ihrer Antiviren-Software mit einer Technologie zum Schutz vor Phishing immer auf dem neusten Stand sind.

Simdas Versteckspiel: kein Kinderkram


  Vitaly Kamluk       13 April 2015 | 19:27  MSK

Ihr Kommentar  

Am 9. April waren Kaspersky Lab und INTERPOL an der synchronisierten Operation zur Zerschlagung des Simda-Botnets beteiligt, die vom INTERPOL Global Complex for Innovation koordiniert wurde. In diesem Fall wurden die Ermittlungen zunächst von Microsoft eingeleitet und dann ausgeweitet, so dass sich der Kreis der Beteiligten unter anderem auf die folgenden Organisationen erstreckte: TrendMicro, das Cyber Defense Institute, die niederländische NHTCU, das FBI, die Police Grand-Ducale Section Nouvelles Technologies in Luxemburg und das für Cyberkriminalität zuständige Department "K" des russischen Innenministeriums, unterhalten vom nationalen Zentralbüro von INTERPOL in Moskau.

Im Rahmen der Zerschlagungs-Aktion wurden 14 C&C-Server konfisziert, die sich in den Niederlanden, den USA, Luxemburg, Polen und Russland befanden. Eine vorläufige Analyse einiger der abgefangenen Server-Logs förderte eine Liste von 190 Ländern zutage, die von der Aktivität des Simda-Botnets betroffen sind.


Simba, die liebenswerte Walt Disney-Figur, hat nichts mit dem Simda-Botnet zu tun

Simda ist ein mysteriöses Botnet, das zu kriminellen Zwecken benutzt wird, z.B. zur Verbreitung potentiell unerwünschter und schädlicher Software. Dieser Bot ist deshalb mysteriös, weil er nur selten auf unserem KSN-Radar erscheint, obwohl er täglich eine große Zahl von Hosts kompromittiert. Das liegt teilweise an der Erkennung von Emulation, Sicherheitstools und virtuellen Maschinen. Die Schadsoftware verfügt über eine Reihe von Methoden, Sandbox-Umgebungen zu erkennen, in der Absicht die Malware-Analysten auszutricksen, indem die gesamten CPU-Ressourcen aufgezehrt werden oder der Botnet-Betreiber über die IP-Adresse des Analysten-Netzwerks informiert wird. Ein weiterer Grund ist ein serverseitiger Polymorphismus und die eingeschränkte Lebensdauer der Bots.

Simda wird von einer Reihe infizierter Websites verbreitet, die auf Exploit-Kits umleiten. Der Bot verwendet hart codierte IP-Adressen, um seinen Meister über verschiedene Stadien des Ausführungsprozesses in Kenntnis zu setzen. Er lädt zusätzliche Komponenten von seinen eigenen Update-Servern und führt sie aus, zudem ist er in der Lage, die Systemdatei hosts zu modifizieren. Letztgenanntes ist eine recht interessante Technik, auch wenn sie auf den ersten Blick zu offensichtlich erscheint.

Normalerweise modifizieren Malware-Autoren die host-Dateien, um Suchmaschinenergebnisse zu manipulieren oder einige Sicherheitssoftware-Websites auf die Schwarze Liste zu setzen, doch der Simda-Bot fügt unerwartete Einträge für google-analytics.com und connect.facebook.net hinzu, um auf schädliche IPs zu verweisen.

Wozu das, mag man sich fragen? Wir wissen es nicht, doch wir glauben, dass die Antwort mit Simdas eigentlicher Bestimmung zusammenhängt - der Verbreitung anderer Malware. Das kriminelle Geschäftsmodell eröffnet die Möglichkeit exklusiver Malware-Verbreitung. Das bedeutet, die Verbreiter können dafür garantieren, dass nur die Malware des Kunden auf den infizierten Rechnern installiert wird. Und das ist der Fall, wenn Simda eine Antwort von dem C&C-Server interpretiert – er kann sich selbst deaktivieren, indem er den Bot davon abhält, beim nächsten Reboot zu starten und umgehend aussteigt. Diese Deaktivierung geht mit der Modifizierung der hosts-Systemdatei einher. Als Abschiedsgeste ersetzt Simda die originale hosts-Datei durch eine neue aus seinem eigenen Körper.

Der neugierige Leser mag nun fragen: Was nützt ihm das alles? Diese Domains werden nicht länger benutzt, um Suchergebnisse zu generieren, sondern mit Simda infizierte Rechner haben in der Vergangenheit gelegentlich weiter http-Anfragen an schädliche Server geschickt, selbst wenn vermutet wird, dass ausschließlich Malware von dritter Seite installiert ist.

Wir dürfen nicht vergessen, dass diese Rechner ursprünglich von einem Exploit-Kit infiziert wurden, das eine Sicherheitslücke in nicht gepatchter Software ausnutzt. Es ist höchstwahrscheinlich, dass Fremd-Malware mit der Zeit entfernt wird, aber ein sorgloser Nutzer kommt vielleicht nie auf die Idee, angreifbare Software zu aktualisieren.

Wenn alle diese Hosts zu den schädlichen Servern zurückkehren und Webressourcen wie etwa Javascript-Dateien anfragen, könnten Kriminelle dieselben Exploits nutzen, um die Computer erneut zu infizieren und sie noch einmal von vorn zu verkaufen – vielleicht sogar „exklusiv“ an den ursprünglichen Kunden. Womit einmal mehr bewiesen wäre – selbst Verbrecher können Verbrechern nicht trauen.

Bei diesen Ermittlungen schlossen Microsoft und verschiedene Strafverfolgungsbehörden den Sinkholing-Prozess ab und Kaspersky Lab leistete gern einen Beitrag zur Vorbereitung der Botnet-Abschaltung. Dazu gehörte die technische Analyse der Malware, das Sammeln von statistischen Infektionsdaten, Empfehlungen zur Beschlagnahmungsstrategie sowie Beratungen mit unseren Partnern von INTERPOL.

Kaspersky Lab detektiert den Simda-Bot als Backdoor.Win32.Simda und unseren Schätzungen zufolge, die auf den KSN-Statistiken und den Daten unserer Partner basieren, sind weltweit hunderttausende Opfer betroffen.

Simda wird automatisch bei Bedarf generiert, wovon auch das völlige Fehlen jeglicher Regelmäßigkeit bei den Linkzeiten zeugt. Unten stehend eine Grafik, die von einer kleinen Untermenge von etwa 70 zufälligen Simda-Samples erstellt wurde:


Linkzeiten der Samples in der UTC-Zeitzone

Die Zunahme der Linkzeiten hat aller Wahrscheinlichkeit nach mit der Aktivität der meisten Simda-Opfer zu tun, die sich irgendwo in den Zeitzonen zwischen UTC-9 und UTC-5 befinden, was die USA einschließt.

Dank der Sinkhole-Operation und den unter den Partnern ausgetauschten Daten konnten wir eine Seite erstellen, auf der Sie überprüfen können, ob Ihre IP in der Vergangenheit mit den C&C-Servern von Simda verbunden war. Wenn Sie den Verdacht haben, dass Ihr Computer kompromittiert wurde, nutzen Sie unsere kostenlose Lösung oder unsere Testversion, um Ihre gesamte Festplatte zu scannen, oder installieren Sie Kaspersky Internet Security als langfristigen Schutz.

Die Produkte von Kaspersky Lab detektieren aktuell hunderttausende von Simda-Modifikationen, zusammen mit vielen unterschiedlichen Fremd-Schadprogrammen, die im Rahmen der Simda-Kampagne verbreitet werden.

References:

Darwin Nuke


  Vasilios Hioureas       10 April 2015 | 14:00  MSK

Ihr Kommentar  

Andrey Khudyakov, Maxim Zhuravlev, Andrey Rubin

Im Dezember 2014 entdeckten wir eine sehr interessante Sicherheitslücke im Darwin-Kernel – ein wichtiger Open-Source-Bestandteil der zwei Betriebssysteme von Apple: OS X und iOS. Das bedeutet, dass auch OS X 10.10 und iOS 8 angreifbar sind. Diese Sicherheitslücke hat mit der Verarbeitung eines IP-Pakets zu tun, das eine bestimmte Größe und ungültige IP-Optionen hat. Die Folge ist, dass entfernte Angreifer eine Dienstblockade, DoS, auf einem Gerät hervorrufen können, auf dem OS X 10.10 oder iOS 8 installiert ist. Angreifer müssen dem Opfer also nur ein inkorrektes Netzwerkpaket schicken, um dessen System abstürzen zu lassen.


OS X 10.10 Absturz nach der Verarbeitung eines ungültigen Netzwerkpakets

Während der Analyse dieser Sicherheitslücke entdeckten wir, dass die Geräte mit 64-Bit-Prozessoren sowie die folgenden iOS 8-Geräte von dieser Bedrohung betroffen sind:


  • iPhone 5s und spätere Modelle
  • iPad Air und spätere Modelle
  • iPad mini 2 und spätere Modelle

Um die Natur dieses Bugs zu verstehen, werfen wir einmal einen Blick auf den Speicherauszug zum Zeitpunkt des Absturzes:


Kernel-Stacktrace

Man sieht auf diesem Auszug, dass in der Funktion icmp_error() etwas falsch gelaufen ist. Sie ruft die panic function auf. Diese Funktion versucht, eine neue ICMP-Fehlermeldung zu konstruieren und sie erneut zu senden. Der Screenshot zeigt, dass der icmp_error nach dem Parsen der Paketoptionen aufgerufen wurde. Das Problem liegt in diesem Teil des Codes:


Die Ursache des Problems

Wenn die im Code festgelegten Bedingungen erfüllt werden, wird die panic function aktiviert und das System wird in den Notbetrieb heruntergefahren. Das passiert, weil die internen Kernelstrukturen geändert wurden und die neue Puffergröße zu gering ist, um ein neu generiertes ICM-Paket zu speichern. Um das zu erreichen, müssen die folgenden Kriterien erfüllt werden:


  • Die Größe des IP-Headers sollte 60 Bytes betragen.
  • Die Größe der IP-Payload sollte mindestens 65 Bytes betragen.
  • Es sollte Fehler in den IP-Optionen geben (ungültige Größe einer Option, Klasse etc.)


Beispiel für ein Paket, das einen Absturz verursacht

Auf den ersten Blick wird nicht klar, wie dieser Bug effektiv ausgenutzt werden kann. Doch ein echter Profi kann mit Hilfe dieser Sicherheitslücke problemlos ein Anwendergerät außer Gefecht setzen oder sogar die Arbeit eines Unternehmensnetzwerks zum Erliegen bringen.

Normalerweise wird diese Art von inkorrekten Paketen von Routern und Firewalls ausgelassen, doch wir entdeckten verschiedene Kombinationen von inkorrekten IP-Optionen, die die Internet-Router durchlaufen können.

Diese Sicherheitslücke ist in OS X 10.10.3 und iOS 8.3 nicht mehr vorhanden. Nutzer von Kaspersky Lab-Produkten sind zudem auch in der Version OS X 10.10 durch das Feature Network Attack Blocker vor dieser Sicherheitslücke geschützt. Beginnend mit Kaspersky Internet Security für Mac 15.0, wird diese Bedrohung als DoS.OSX.Yosemite.ICMP.Error.exploit detektiert.

Sinkholing der DGA-Infrastruktur von Volatile Cedar


  Kurt Baumgartner       31 Mrz 2015 | 17:35  MSK

Ihr Kommentar  

Opfer über den Libanon verstreut


Costin Raiu


Derzeit gibt es einige Aufregung um die Aktivität der APT-Gruppe Volatile Cedar im Mittleren Osten, eine Bande, die nicht nur maßgeschneiderte Fernwartungstools bereitstellt, sondern auch USB-Verbreitungskomponenten, wie Check Point [pdf] berichtete. Wenn Sie Interesse an weiteren Details über diese APT haben, so empfehlen wir Ihnen, zunächst den Bericht des Unternehmens zu lesen.


Eine interessante Funktion der von dieser Gruppe verwendeten Backdoors ist ihre Fähigkeit, sich zunächst mit einer Auswahl an statischen Update-C2-Servern zu verbinden, die dann zu anderen C2 umleiten. Wenn sie sich nicht mit ihren hart kodierten statischen C2 verbinden können, fallen sie zurück in einen DGA (Domain Generation Algorithmus) und navigieren durch andere Domains, um sich mit ihnen zu verbinden.


Statistik:


Dieser Aspekt der Angriffe dieses Bedrohungsakteurs schien uns besonders interessant, so dass wir einen Teil der dynamisch generierten Steuerungsinfrastruktur auf einen Sinkhole-Server umleiteten. Die Opferstatistik ergab dann ein recht überraschendes Bild. Fast alle Opfer befinden sich im Libanon.



Opfer, die sich im DGA c2 anmelden

Offensichtlich kommunizieren die meisten der Opfer, die wir beobachten, von IPs, die von ISPs im Libanon gehostet werden. Und die meisten der übrigen Verbindungen scheinen mit der Untersuchung und Erforschung der Kampagnen zusammenzuhängen. Fast alle Backdoors, die mit den Sinkhole-Domains kommunizieren, sind die Hauptbackdoor, "Explosion". Doch auf einigen der Opfersysteme im Libanon, die mit unserem Sinkhole kommunizieren, läuft die sehr seltene Backdoor "Micro", die von unseren Kollegen von Checkpoint in ihrem Bericht beschrieben wird: "Micro ist eine sehr seltene Explosive-Version. Man kann sie am besten als eine absolut andere Version des Trojaners beschreiben, mit Ähnlichkeiten zu dem Rest der Explosive-"Familie" (wie z.B. in der Konfigurations- und Code-Basis). Wir glauben, dass Micro tatsächlich ein alter Vorfahre von Explosive ist, aus dem alle anderen Versionen entwickelt wurden. Wie in anderen Versionen auch, ist diese Version abhängig von einer selbst entwickelten DLL mit der Bezeichnung "wnhelp.dll." Sie melden sich bei edortntexplore[.]info mit der URI "/micro/data/index.php?micro=4" über Port 443 an.



Während Volatile Cedar sich sicherlich nicht durch ein hohes Maß an technologischen Fertigkeiten auszeichnet, scheint es doch, als sei die Gruppe bei der Verbreitung ihrer Malware ähnlich effektiv wie die Madi-APT, über die wir Mitte des Jahres 2012 berichteten. Da die Gruppe anscheinend kein Spear-Phishing einsetzt, sollten IT-Administratoren auf ihre eigenen, öffentlich zugreifbaren Angriffsflächen achten, wie z.B. Webapplikationen, ftp-Server, ssh-Server, etc., und sicherstellen, dass sie nicht gegenüber SQLi, SSI-Attacken und anderer offensiver serverseitiger Aktivität angreifbar sind.


Kaspersky-Detektionen und MD5s:

Trojan.Win32.Explosion.a

981234d969a4c5e6edea50df009efedd

Trojan.Win32.Explosion.b

7031426fb851e93965a72902842b7c2c



Trojan.Win32.Explosion.c

6f11a67803e1299a22c77c8e24072b82

Trojan.Win32.Explosion.d

eb7042ad32f41c0e577b5b504c7558ea

Trojan.Win32.Explosion.e

61b11b9e6baae4f764722a808119ed0c

Trojan.Win32.Explosion.f

c7ac6193245b76cc8cebc2835ee13532

184320a057e455555e3be22e67663722



Trojan.Win32.Explosion.g

5d437eb2a22ec8f37139788f2087d45d



Trojan.Win32.Explosion.i

7dbc46559efafe8ec8446b836129598c



Trojan.Win32.Explosion.j

c898aed0ab4173cc3ac7d4849d06e7fa

Trojan.Win32.Explosion.k

9a5a99def615966ea05e3067057d6b37



Trojan.Win32.Explosion.l

1dcac3178a1b85d5179ce75eace04d10



Trojan.Win32.Explosion.m

22872f40f5aad3354bbf641fe90f2fd6



Trojan.Win32.Explosion.n

2b9106e8df3aa98c3654a4e0733d83e7



Trojan.Win32.Explosion.o

08c988d6cebdd55f3b123f2d9d5507a6



Trojan.Win32.Explosion.p

1d4b0fc476b7d20f1ef590bcaa78dc5d



Trojan.Win32.Explosion.q

c9a4317f1002fefcc7a250c3d76d4b01



Trojan.Win32.Explosion.r

4f8b989bc424a39649805b5b93318295



Trojan.Win32.Explosion.s

3f35c97e9e87472030b84ae1bc932ffc



Trojan.Win32.Explosion.t

7cd87c4976f1b34a0b060a23faddbd19



Trojan.Win32.Explosion.u

ea53e618432ca0c823fafc06dc60b726



Trojan.Win32.Explosion.v

034e4c62965f8d5dd5d5a2ce34a53ba9



Trojan.Win32.Explosion.w

5ca3ac2949022e5c77335f7e228db1d8



Trojan.Win32.Explosion.x

ab3d0c748ced69557f78b7071879e50a

Trojan.Win32.Explosion.y

5b505d0286378efcca4df38ed4a26c90



Trojan.Win32.Explosion.z

e6f874b7629b11a2f5ed3cc2c123f8b6


Trojan.Win32.Explosion.aa

306d243745ba53d09353b3b722d471b8


Trojan.Win32.Explosion.ab

740c47c663f5205365ae9fb08adfb127


Trojan.Win32.Explosion.ac

c19e91a91a2fa55e869c42a70da9a506


Trojan.Win32.Explosion.ad

edaca6fb1896a120237b2ce13f6bc3e6


Trojan.Win32.Explosion.ae

d2074d6273f41c34e8ba370aa9af46ad


Trojan.Win32.Explosion.af

66e2adf710261e925db588b5fac98ad8

29eca6286a01c0b684f7d5f0bfe0c0e6

2783cee3aac144175fef308fc768ea63

f58f03121eed899290ed70f4d19af307


Trojan.Win32.Agent.adsct

826b772c81f41505f96fc18e666b1acd


Trojan-Dropper.Win32.Dycler.vhp

44b5a3af895f31e22f6bc4eb66bd3eb7


??

96b1221ba725f1aaeaaa63f63cf04092




Wie ich mein Fitness-Armband hackte


  Roman Unuchek       26 Mrz 2015 | 14:00  MSK

Ihr Kommentar  

Die Geschichte, die ich hier erzählen möchte, begann vor einigen Monaten, als ich ein Fitness-Armband einer populären Marke in die Finger bekam. Da es sich dabei um ein so genanntes „Wearable“ handelt, habe ich mir die App (speziell für Wearables) Android Wear installiert. Diese App verband sich ohne Probleme mit dem Fitness-Armband.

Eine Sache war allerdings merkwürdig: Das Programm verband sich mit einem „Nike+ Fuel Band SE”, aber ich hatte ein Armband eines anderen Herstellers. Recht schnell fand ich heraus, dass das Nike-Armband meinem Kollegen gehört. Und er hatte noch nicht einmal bemerkt, dass ich mich mit seinem Gerät verbunden hatte.

So entstand die Idee für eine kleine Untersuchung, um die Sicherheit meines Armbands zu prüfen.

Smarte Armbänder: Kommunikation mit dem Telefon

Derzeit werden viele Fitness-Armbänder angeboten, die zwar von unterschiedlichen Herstellern stammen, untereinander aber sehr ähnlich sind. Die unten stehende Grafik zeigt eine Statistik des Kaspersky Security Network (KSN) zur Installation von Android-Apps, die für die Zusammenarbeit mit populären Fitness-Trackern auf den mobilen Geräten der Nutzer vorgesehen sind (die Informationen für die Statistik haben wir von KSN-Anwendern erhalten, die der Datenübermittlung zugestimmt haben).


Verteilung der Installationen von Android-Apps für Fitness-Tracker verschiedener Hersteller

Obwohl es sich um eine Statistik zur Häufigkeit von Android-Apps handelt (wir haben keine Garantie dafür, dass die Anwender tatsächlich auch die entsprechenden Geräte besitzen), so spiegelt sie doch bis zu einem gewissen Grad auch die Popularität tragbarer Geräte wider.

Für die Kommunikation mit dem Smartphone nutzen die meisten Fitness-Armbänder die Technologie Bluetooth LE (auch bekannt als Bluetooth Smart). Das heißt, die Geräte verbinden sich nicht auf die gleiche Weise wie über das ‚traditionelle‘ Bluetooth. Es gibt kein allgemeines Passwort, denn die meisten Armbänder haben keinen Bildschirm oder keine Tastatur.

Armbänder mit Bluetooth-LE-Unterstützung verwenden das Generic Attribute Profil, abgekürzt GATT. Das bedeutet, dass es auf dem tragbaren Gerät eine gewisse Auswahl an Services gibt, von denen jeder über unterschiedliche Eigenschaften verfügt. Jede Eigenschaft enthält einen Bytepuffer und eine Liste von Deskriptoren, jeder Deskriptor enthält einen Wert – den Bytepuffer.

Um das zu verdeutlichen, habe ich mir einen fertigen Code aus dem Google-Software-Kit Android SDK genommen – ein Beispiel für eine App zum Verbinden mit Bluetooth-LE-Geräten. Ich musste nicht eine einzige Codezeile schreiben, sondern habe einfach ein bereits bestehendes Projekt im Android Studio geöffnet und den Start-Button gedrückt.

Auf dem Screenshot oben ist das Resultat der Verbindung mit meinem Fitness-Armband mit Hilfe dieser App zu sehen. Dort sind die Services und ihre Eigenschaften dargestellt. Doch für mein Armband ist es nicht so einfach, Daten aus diesen Eigenschaften zu erhalten. Zu diesem Zweck muss es nicht nur verbunden, sondern auch authentifiziert sein. Bei einigen anderen Geräten gelang es mir, Daten aus den Eigenschaften und ihren Deskriptoren zu lesen. Es ist durchaus möglich, dass es sich dabei um Anwenderdaten handelt.

Scan

Mir ist es also unter Verwendung eines App-Beispiels aus dem Android SDK gelungen, mich mit mehreren Geräten zu verbinden. Daraufhin erstellte ich meine eigene App, die automatisch nach Bluetooth-LE-Geräten sucht, und versuchte, mich mit ihnen zu verbinden und an ihre Service-Listen zu kommen.

Unter Einsatz dieser App führte ich mehrere Scans durch.


  • Innerhalb von zwei Stunden konnte ich mich in der Moskauer U-Bahn mit 19 Geräten verbinden: mit elf FitBit-Armbändern und acht Jawbone-Armbändern.

  • Im Laufe einer Stunde wurden in einem Fitnessclub in der Stadt Bellevue im US-Bundesstaat Washington 25 Geräte erkannt: 20 Fitbit-Armbänder und je ein Gerät von Nike, Jawbone, Microsoft, Polar und Quans.

  • Innerhalb von zwei Stunden konnte ich mich während der IT-Sicherheitskonferenz SAS2015 in Cancún mit zehn Fitness-Trackern verbinden, und zwar mit drei Jawbone- und sieben FitBit-Geräten.


Ich musste insgesamt nur sechs Stunden scannen, um mich mit 54 Geräten verbinden zu können. Und das, obwohl mir dabei zwei ernsthafte Einschränkungen im Weg standen:


  1. Auch wenn in den Handbüchern eine Distanz von 50 Metern angegeben ist, so ist die reale Distanz, innerhalb derer eine Verbindung zwischen Smartphone und Fitness-Armband möglich ist, in den meisten Fällen nicht größer als sechs Meter.

  2. Mit einem bereits verbundenen Gerät sollte man sich nicht verbinden können. Ist Ihr Gerät mit Ihrem Telefon verbunden, sollte es also selbst beim Scannen nicht für andere sichtbar sein.

Die zweite Einschränkung bedeutet im Prinzip, dass das Gerät nicht angegriffen werden kann, solange es mit einem Smartphone verbunden ist. In Wirklichkeit stimmt das aber nicht. Hier ein Beispiel: Mit Hilfe meiner Scan-App konnte ich die Kommunikation zwischen meinem Fitness-Tracker und der offiziellen Anwendung blockieren, obwohl diese vorher verbunden waren.

Berücksichtigt man den zweiten Punkt der oben aufgeführten Einschränkungen, so kann man annehmen, dass die von mir entdeckten Geräte noch nie mit einem Telefon verbunden waren, oder dass das Armband während des Scans nicht mit einem Smartphone verbunden war (Bluetooth war auf dem Telefon deaktiviert). Oder ein bereits verbundenes Gerät war für eine Verbindung verfügbar, ungeachtet der vermuteten Einschränkung. Wie dem auch sei – die Chancen, sich mit einem Fitness-Tracker zu verbinden, sind für Cyberverbrecher durchaus groß.

Um Zugriff auf die Anwenderdaten zu erhalten, reicht es in den meisten Fällen allerdings nicht aus, mit dem Gerät verbunden zu sein, sondern man muss sich auch authentifizieren. Schauen wir uns einmal an, wie die Authentifizierung bei meinem Armband abläuft.

Mein Armband: Authentifizierung

Um das Armband auf dem Telefon zu authentifizieren, verwendet die offizielle Anwendung eine von vier Services auf dem Armband. Für jede Eigenschaft aus diesem Service installiert die App das Flag „CharacteristicNotification“. Auf diese Weise teilt die App dem Armband mit, dass sie über jede beliebige Änderung dieser Eigenschaft benachrichtigt werden will. Daraufhin erhält die Anwendung die Liste der Deskriptoren für jede Eigenschaft und installiert das Flag „ENABLE_NOTIFICATION_VALUE“ – so teilt die Anwendung dem Armband mit, dass sie über jede beliebige Änderung jedes Deskriptors benachrichtigt werden will.

Danach ändert eine der Eigenschaften ihren Wert, nämlich den Bytepuffer. Die App liest diesen Puffer aus dem Armband aus: Header 200f1f und Byte-Array – nennen wir den Bytepuffer authBytes.

Die Anwendung erstellt ein neues Array. Sein erster Teil ist ein konstantes Array, das in der Anwendung enthalten ist und mit 6dc351fd44 beginnt. Der zweite Teil des neuen Arrays ist authBytes. Die App erhält die MD5-Hashfunktion von dem neuen Array und sendet sie in der folgenden Struktur an das Gerät:


  • Header (201210051f)

  • Md5

  • Kontroll-Byte


Daraufhin sendet die Anwendung ein weiteres Array an das Gerät, das ebenfalls in dieser App enthalten ist.

Danach fängt das Armband an zu vibrieren. Der Anwender muss nun lediglich einen Knopf drücken und die Authentifizierung ist abgeschlossen.

Bei der offiziellen App dauert der Authentifizierungsprozess etwa 15 Sekunden. Ich habe eine App erstellt, die nur vier Sekunden braucht, um das Armband zum vibrieren zu bringen.

Es ist leicht, den Nutzer dazu zu bringen, einen einzelnen Knopf zu drücken. Man muss nur hartnäckig sein: Der Authentifizierungsprozess lässt sich viele Male neu starten, solange der Anwender trotz allem nicht den Knopf drückt, oder solange er sich nicht weiter als sechs Meter von dem Gerät entfernt.

Ist die Authentifizierung abgeschlossen, können die Daten auf meinem Armband nach Lust und Laune ausspioniert werden. Zum gegenwärtigen Zeitpunkt befinden sich nicht allzu viele Informationen auf tragbaren Fitness-Trackern. In der Regel sind das die Zahl der Schritte, die Schlafphasen und der Puls innerhalb der letzten Stunde. Ungefähr einmal pro Stunde übermittelt die Anwendung alle Informationen vom Armband in die Cloud.

Nach der Authentifizierung lassen sich auf dem Gerät problemlos Befehle ausführen. Um beispielsweise die Zeit umzustellen, benötigt man ein Byte-Array, das mit f0020c beginnt, und dann das Datum in folgender Form: YYYY MM DD DW HH MM SS MSMSMSMS.

Bei anderen Fitness-Trackern ist alles noch viel einfacher: Bei einigen von ihnen ist ein Teil der Daten sofort nach der Verbindung verfügbar, und der Code der App für Geräte von Nike ist noch nicht einmal in irgendeiner Art und Weise verschlüsselt und lässt sich daher sehr leicht lesen (die Ergebnisse einer Untersuchung finden Sie hier).

Fazit

Wie die Ergebnisse meiner kleinen Studie gezeigt haben, kann man sich in einigen Fällen mit einem tragbaren Gerät verbinden, ohne dass der Nutzer davon weiß.

Würden Cyberkriminelle mein Armband hacken, so könnten sie nicht auf alle Daten zugreifen, denn sie werden nicht auf dem Armband oder auf dem Telefon gespeichert, da die offizielle App alle Informationen regelmäßig vom Armband in die Cloud hochlädt.

Fitness-Tracker werden immer beliebter und erhalten immer mehr Funktionen. Es ist durchaus denkbar, dass sie schon bald wesentlich mehr Sensoren und auch wesentlich mehr Anwenderinformationen enthalten werden, unter anderem medizinische Daten. Und trotzdem drängt sich der Eindruck auf, dass die Hersteller dieser Geräte sich über das Thema Sicherheit nicht allzu viele Gedanken machen.

Stellen Sie sich einmal folgendes vor: Wenn ein mit Pulsmesser ausgestattetes Armband gehackt wurde, kann der Inhaber eines Ladens die Pulsfrequenz eines Käufers verfolgen, während dieser die Angebote in seinem Shop betrachtet. Auf dieselbe Weise lässt sich auch die Reaktion potenzieller Kunden auf Werbung nachvollziehen. Ein gehacktes Pulsmesser-Armband lässt sich sogar als Lügendetektor einsetzen.

Selbstverständlich sind auch weitaus schädlichere Aktivitäten denkbar, wie beispielsweise der Einsatz eines Schadprogramms des Typs Trojan-Ransom, also eines Erpresserprogramms. Ein Verbrecher könnte sich die Kontrolle über Ihr Armband verschaffen und es dazu bringen, ununterbrochen zu vibrieren. Für die Deaktivierung der Vibration könnte er dann Geld verlangen.

Wir haben unsere Erkenntnisse dem Hersteller meines Armbands übermittelt. Das Unternehmen stufte unsere Untersuchungsergebnisse daraufhin als einen UX-Bug und nicht als Sicherheitsproblem ein. Aus ethischen und sicherheitsrelevanten Gründen werden wir Name und Modell des Armbands zum jetzigen Zeitpunkt nicht nennen. Sollten Sie sich Sorgen über mögliche Folgen einer Ausnutzung dieses Sicherheitsproblems in freier Wildbahn machen, so scheuen Sie sich nicht, den Hersteller zu kontaktieren und ihn zu fragen, ob das Produkt, das Sie benutzen, von der in diesem Artikel beschriebenen Methode betroffen ist.

Wir hoffen außerdem, dass dieser Bericht nicht nur für Anwender, sondern auch für die Hersteller der Armbänder hilfreich ist, um ihre Geräte hinsichtlich der IT-Sicherheit weiter zu verbessern.

Date mit Lisa - für nur einen Euro


  Marco Preuss       12 Mrz 2015 | 13:03  MSK

Ihr Kommentar  

Neulich Abend erhielt ich eine unerwartete SMS auf eins meiner Telefone. Eine Nachricht von "Lisa", die vorgab, mich zu kennen, inklusive einer URL, die den Leser der Mitteilung auf ein Foto von ihr locken sollte.

Die Kurz-URL verweist auf die Domain "m.bensbumsblog.com", die schon dafür bekannt ist, in SMS-Spam für Dating-Websites benutzt zu werden, indem sie den Nutzer auf eine solche Site umleitet. Da es keine vorhergehende Registrierung und auch kein Abonnement gab, gehört das hier zweifellos in die Kategorie unerwünschte Massenversendungen.

Das endgültige Ziel des Links ist "daily-date.de". Diese Website macht eine Registrierung erforderlich (Benutzername, Passwort, E-Mail-Adresse und einige persönliche Fragen). Schließlich wird dem Anwender Premium-Zugriff auf das System angeboten, was eine Suchfunktion, Treffen und Simsen mit anderen Personen sowie das Anschauen von Bildern beinhaltet, allerdings nicht kostenlos. Beworben wird hier ein 14-tägiges Probeabo zum Preis von 1€.

Die Domain "bensbumsblog.com" wird von einem Anonymisierungsdienst geschützt, um die Identifizierung des Besitzers zu verhindern. Wobei die IP-Adresse einem Cloud-Service gehört (laut RIPE-Datenbank) und von einer Marketing-Firma gepachtet wird (IP Reverse-Lookup).

Die Endgültige Website "daily-date.de" gehört einem deutschen Unternehmen in Berlin.

Ein Blick auf die Klick-Statistiken von "bit.ly" zeigt, dass diese Kampagne am 03.03.2015 startete und es innerhalb von 18 Stunden auf mehr als 10.000 Klicks brachte, wobei die meisten aus Deutschland stammten. Die meisten Klicks erfolgten in den ersten 3 Stunden dieser Kampagne (sie begann gegen 18:00 MEZ).

Der "bit.ly"-User "benbu", der diesen Link einrichtete, hat bereits 15 weitere Bitlinks/Short-URL erstellt (die seit dem 2. März 2015 aktiv sind).

Zahl der BitlinksZiel/Kampagne
6DailyDates (diese Kampagne)
1Billige Kredite/Kreditkarten
8Coupons

Spam ist ein allgemeines Problem, und zwar nicht nur E-Mail-Spam. Obwohl SMS-Spam in Asien verbreiteter, in Europa aber weniger verbreitet ist.

Schaut man sich andere Kampagnen dieses Users an, so sieht man, dass nicht alle erfolgreich waren. Neben der hier beschriebenen hatten noch 6 weitere einige Klicks. Alle griffen hauptsächlich deutsche Nutzer an.

Erstellt amZiel/KampagneKlicks
02.03.2015Coupons2630
02.03.2015Coupons1764
02.03.2015Coupons250
02.03.2015DailyDates993
03.03.2015Coupons1878
03.03.2015Coupons1004

Klicken Sie ganz generell nicht einfach auf jeden Link, den Sie erhalten, denn es könnte sich schädlicher Content dahinter verbergen. Um den Schutz Ihres mobilen Geräts (Smartphone/Tablet) zu verbessern, führen Sie regelmäßige Updates durch. Außerdem sollten Sie Sicherheitssoftware zum Schutz vor mobiler Malware auf Ihrem Gerät installieren.

Wie Online-Schwindel funktioniert: Betrüger auf Websites mit privaten Kleinanzeigen


  David Jacoby        9 Mrz 2015 | 12:00  MSK

Ihr Kommentar  

Derzeit haben wir in Schweden ein großes Problem mit Betrügern, die versuchen Artikel zu kaufen, die auf verschiedenen Auktionswebsites angeboten werden. Doch wenn man als Anbieter Kontakt zu dem potentiellen Käufer aufnimmt, wird es unschön und man läuft Gefahr, Geld zu verlieren. Das ist im Prinzip nichts Neues und die Internet-Auktionshäuser haben über dieses Problem geschrieben, um ihre Nutzer darüber zu informieren, aber sie erklären dabei nicht im Detail, wie dieser Betrug eigentlich funktioniert – in ihren FAQs raten sie den Usern nur, vorsichtig zu sein. Ich weiß, dass viele Fragen besorgter Anwender unbeantwortet bleiben.

Als einer dieser Verbrecher versuchte, meine Frau zu betrügen, beschloss ich, den Betrug zurückzuverfolgen und den gesamten Prozess zu dokumentieren, damit ich nicht nur die Strafverfolgungsbehörden, sondern auch unsere Leser informieren könnte, wie dieser Schwindel tatsächlich funktioniert. Denn wenn man weiß, wie der Betrug funktioniert, ist es wesentlich einfacher, ihn zu erkennen und zu vermeiden, hinters Licht geführt zu werden.

Zunächst einmal die Hintergrundgeschichte:

Unsere Tochter hat ein neues Fahrrad bekommen, und daher beschlossen wir, ihr altes auf Blocket zu verkaufen, der größten Website für private Anzeigen (kaufen/verkaufen) in Schweden.

Nach ein paar Tagen erhielt meine Frau eine SMS (die unglücklicherweise gelöscht wurde). Die SMS kam von einer polnischen Nummer, und der Absender schrieb in sehr gutem Englisch. Der Absender schrieb, er wäre sehr interessiert an dem Rad, aber er hätte gern mehr Informationen und gab meiner Frau daher eine E-Mail-Adresse. Ich bat sie, NICHT per SMS, sondern via E-Mail zu antworten, da die Übeltäter manchmal SMS von Premiumnummern senden. Das bedeutet, wenn man auf eine solche SMS antwortet, kostet das sehr viel mehr als eine normale SMS.

Ich bat meine Frau, sich bei ihrer Antwort sehr kurz zu fassen. Was sie auch tat, wie an ihrer ersten E-Mail-Antwort unten zu sehen ist:

Wie man sieht, stellt die Person nun stichhaltige Fragen zu dem Fahrrad – es kann sich also nicht um einen Bot handeln, sondern jemand hat tatsächlich manuell auf diese Anzeige geantwortet. Ich habe keine Ahnung, nach welchen Kriterien die Opfer ausgewählt werden, aber es ist offensichtlich ein manueller Prozess.

Wir beschlossen weiterzumachen, um auch den nächsten Schritt im Betrugsschema beobachten zu können, also antworteten wir mit Informationen über das Rad – es bestand auch immerhin noch eine Chance, dass es sich nicht um einen Betrüger handelte, und die Person tatsächlich das Fahrrad kaufen wollte.

Und nach dieser E-Mail begann es dann unschön zu werden. Unser Angebot wurde akzeptiert, doch merkwürdig war, dass der Absender seine polnische Identität bestätigte. Auch wenn man diese Person in sozialen Medien sucht, scheint sie polnischer Herkunft zu sein. Also machten wir weiter.

Die Person fragte nach unserem Namen, den PayPal-Daten und dem Gesamtpreis, den wir aber bereits genannt hatten. Es hieß auch, dass die Versandkosten für das Fahrrad von ihr übernommen würden und auch um das Lieferunternehmen wurde sich gekümmert.

Wir gaben unsere Informationen weiter und warteten auf eine Antwort. Die Betrüger haben SEHR schnell auf alle E-Mails geantwortet; es hatte beinahe den Anschein, als würden dort viele Leute mit Zugriff auf denselben Account sitzen, aber das konnten wir nicht bestätigen. In der E-Mail, die sie direkt vor dem Geldtransfer schickten, gaben sie auch eine Adresse in Polen an. Diese Adresse wurde nicht bestätigt, doch wir versuchen herauszufinden, wer unter der Adresse auf dem unten stehenden Screenshot lebt. Innerhalb von Minuten bestätigten die Absender, dass der Transfer nun abgeschlossen sei, wie auf dem zweiten Screenshot zu sehen ist.

Ich bekam zwei E-Mails von irgendetwas, das wie PayPal aussah, doch bei genauerem Hinschauen erkennt man, dass diese E-Mail keinesfalls von PayPal stammt. Das ist ein sehr schlauer, aber gängiger Trick, der auch bei Phishing-Attacken eingesetzt wird. Guckt man sich die Absenderadresse an, so fällt auf, dass die Mail in Wirklichkeit von service@e-pay-team.com verschickt wurde, was bei Google Mail gehostet wird. Was diese E-Mail so interessant macht, ist die Tatsache, dass sie aller Wahrscheinlichkeit nach ebenfalls manuell erstellt wurde, da sie bestimmte Details enthält, wie etwa den Preis, den wir für das Rad verlangt haben.

Zu diesem Zeitpunkt war kein Geld auf mein PayPal-Konto überwiesen worden – die E-Mails waren nur ein Fake. Die Betrüger versuchten nun, mich dazu zu bringen, die Versandkosten von unserem Konto auf das Konto der Firma „P.S.S Logistics” zu überweisen, in diesem Fall 1.700 Schwedische Kronen (ungefähr 200 Dollar). Der von ihnen ausgewählte Überweisungsprozess sah einen Besuch bei einer Western Union Niederlassung vor, um dort das Geld an diesen Spediteur zu überweisen. Wenn man sich die E-Mails, die die Betrüger schickten, einmal genauer anschaut, bemerkt man, dass wir das Geld an eine Privatperson transferieren sollten. Es gibt eine Firma mit dem Namen “P.S.S Logistics”, aber die ist in Südafrika registriert, und die Betrüger benutzten ihren Namen. Doch wenn man das Geld überweist, geht es an eine Person in Nigeria mit dem Namen “Bamise Seon”.

An dieser Stelle fragte ich mich, ob die Betrüger mit gehackten Accounts arbeiten, denn alle diese Personen findet man in verschiedenen sozialen Netzwerken. Die Person beispielsweise, in deren Namen, der polnisch ist und “Pawel Dylewski” lautet, die E-Mails verschickt wurden, ist bei Google Plus zu finden. Und die Person in Nigeria findet man auf Facebook. Guckt man sich die Screenshots, die ich bei Facebook gemacht habe, genauer an, sieht man, dass es sich um zwei Identitäten handelt, eine männliche und eine weibliche, und dass sie über denselben Namen miteinander verbunden sind. Auf dem Screenshot unten sieht man deutlich, dass dort steht: “Send HER a friend request”, zu Deutsch also „Schicke IHR eine Freundschaftsanfrage“, was darauf schließen lässt, dass dieses Profil zu einer weiblichen Person gehört. Man sieht auch, dass sie einen Freund hat, eine Person, die denselben Namen trägt, aber mit dem Profilfoto eines Mannes und mehr Informationen ausgestattet ist.

Ich arbeite derzeit mit PayPal, Western Union, Google und Strafverfolgungsbehörden zusammen, um die Erkenntnisse, die ich gewonnen habe, zu teilen. Aber ich möchte auch diese Geschichte teilen. Wir müssen jeden informieren, der aktiv Dinge online verkauft oder kauft, damit jeder ein wachsames Auge auf die Details hat. Wenn ein Geschäft zu gut klingt, um wahr zu sein, dann ist es das in den meisten Fällen auch.

Das Schema in Kurzform:

  1. Man erhält eine SMS von einem potentiellen Käufer, die eine E-Mail-Adresse für weitere Korrespondenz enthält.
  2. In einigen Fällen wird die SMS von einer Premiumnummer gesendet, und wenn man darauf antwortet, muss man für den Premium-Service bezahlen.
  3. Wird eine E-Mail-Konversation begonnen, so will der Käufer mit einem Online-Bezahldienst zahlen – zum Beispiel PayPal - und zwar den vollen Preis inklusive Versandkosten.
  4. Die Betrüger verschicken GEFÄLSCHTE E-Mails, die angeblich von PayPal stammen, in denen es heißt, das Geld sei auf Ihr Konto angewiesen worden, würde aber erst nach Abschluss des Geschäfts auf Ihr Konto transferiert.
  5. Das Geschäft kann nur abgeschlossen werden, wenn Sie die Versandkosten an die Spedition überweisen, beispielsweise über Western Union.
  6. Die Spedition gibt es nicht, es handelt sich tatsächlich um das persönliche Konto des Betrügers. Das bedeutet, die Verbrecher wollen Sie dazu bringen, eine Summe aus eigener Tasche zu überweisen, in der Hoffnung, dass Sie dann den vollen Betrag (inklusive den Preis für den Artikel) auf Ihr PayPal-Konto erhalten.

Einige nützliche Tipps für die Kommunikation mit Fremden über das Internet:

  • Bitte kommunizieren Sie nicht via SMS, da Betrüger Premiumnummern verwenden könnten, um ihnen eine Menge Geld abzubuchen.
  • Bitte überprüfen sie jede E-Mail-Adresse mehrfach: In diesem Fall stammte die Mail nicht von“paypal.com”, sondern von “e-pay-team.com”.
  • Überweisen Sie nie irgendwelches Geld an irgendwen; und stellen Sie immer sicher, dass Sie die Zahlung erhalten haben, BEVOR Sie den zu verkaufenden Artikel versenden.
  • Zahlen Sie nie mit Kreditkarte, wenn Sie sich nicht 100%ig sicher sind, dass die Website legitim ist; versuchen Sie sichere Zahlungsmethoden zu verwenden, wie z.B. PayPal.

P.S.: Wir haben das Fahrrad heute verkauft. An eine REALE Person :).

Nach oben  |  Archiv >>

 

Copyright © 1996 - 2015
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen