Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt    
Über die Autoren des Tagebuches
Über die Autoren des Tagebuches

Das Analytiker-Tagebuch ist ein weblog, das von den Analytikern des Kaspersky Lab unter der Leitung von Eugene Kaspersky unterhalten wird. Erfahren Sie mehr über die Autoren des weblog.

Cybercrime Umfrage

Sobald Sie Ihren PC mit dem Internet verbinden, wird er zu einem potenziellen Ziel für Cyberkriminelle. Genauso wie Einbrecher bei einem ungesicherten Haus leichtes Spiel haben, ist ein ungeschützter PC wie eine offene Einladung an Autoren von Malware. Cyberbedrohungen werden nicht nur immer raffinierter, sondern nehmen auch ständig zu: Unser Antiviruslabor verzeichnet derzeit über 17.000 neue Internetbedrohungen pro Tag.

Zur Umfrage

 

  Home / Weblog

Analytiker-Tagebuch

ChewBacca – eine neue Tor-basierte Malware


  Marco Preuss       17 Dezember 2013 | 19:15  MSK

Ihr Kommentar  

Überblick

Wir haben einen neuen Tor-basierten Schädling, genannt “ChewBacca”, entdeckt, der als “Trojan.Win32.Fsysna.fej” erkannt wird. Nicht nur dieser Schädling verfügt über Tor-Funktionalitäten. Allerdings beinhaltet er ein Feature, welches eher selten vorzufinden ist.


Tor wurde gerade in letzter Zeit bekannter, da dieser Dienst die Anonymität eines Benutzers sicherstellt. Auch Kriminelle benutzen Tor, um ihre Aktivitäten zu verschleiern. Tor wird allerdings eher selten – so wie hier geschehen – dafür verwendet, um kriminelle Infrastrukturen aufzubauen. Zum Zeus-Trojaner wurde erst kürzlich diese Funktionalität hinzugefügt, wie mein Kollege hier berichtet. Aber auch das CrimewareKit Atrax und das Botnetz Mevade wurden durch diese Technik bekannt.

 

Einführung

Tor ist ein Netzwerk zur Anonymisierung. Es hostet seine eigene Top-Level-Domain “.onion”, welche nur innerhalb des Tor-Netzwerkes verfügbar ist. Dadurch wird der Ort des Servers und des Betreibers verschleiert. Trotzdem hat die Verwendung von Tor auch einige Nachteile, weshalb nur wenige Kriminelle diese Funktion benutzen. Durch den Aufbau ist Tor langsamer und Zeitüberschreitungen können auftreten. Große Botnetze können das ganze Netzwerk beeinflussen, wie der Fall von Mevade zeigt, und erregen somit Aufsehen bei Sicherheitsforschern. Zusätzlich erhöht die Implemenntierung von Tor die Komplexität der Malware.

 

Der Schädling

Der Trojaner ist eine PE32-Executable, erstellt mit Free Pascal 2.7.1 (Version vom 22.10.2013). Die 5 MB große Datei enthält zudem Tor 0.2.3.25.

Nach der Ausführung wird die Funktion  “P$CHEWBACCA$_$TMYAPPLICATION_$__$$_INSTALL“ aufgerufen, welche den Schädling als „spoolsv.exe“ im Autostartverzeichnis speichert (bspw. C:\Documents and Settings\All Users\Start Menu\Programs\Startup\). Anschließend  fragt er die öffentliche IP-Adresse des infizierten Systems mithilfe ein frei zugänglichen Dienstes auf http://ekiga.net/ip (es besteht hierbei keine Verbindung zur Malware) ab.

Tor wird als „tor.exe“ im Temp-Verzeichnis des Benutzers gespeichert, und läuft per default auf Port 9050.

Sobald der Trojaner aktiv ist, loggt er alle Tastatureingaben in die Datei “system.log”, welche im Temp-Verzeichnis des Benutzers angelegt wird. Diese Funktion wird über die SetWindowsHookExA-API Funktion installiert, mit dem Hook-Typ WH_KEYBOARD_LL. Die Datei „system.log“ wird über den Aufruf [url]/sendlog.php auf den Server der Kriminellen hochgeladen.

Der Trojaner geht auch alle laufenden Prozesse durch und liest deren Speicher. Hierzu beinhaltet der Schädling 2 regex (Reguläre Ausdrücke ) um nach Informationen zu suchen.

 

 

Diese Daten werden mithilfe der “Exfiltrate” Funktion auf den Server per [url]/recvdata.php hochgeladen.

Der Schädling enthält ebenfalls eine Uninstall Funktion “P$CHEWBACCA$_$TMYAPPLICATION_$__$$_DESTROY”.

Command-and-Control Server

Der C&C ist eine einfache LAMP-installation, basierend auf Linux CentOS, Apache 2.2.15, MySQL und PHP 5.3.3 (mit phpmyadmin 2.11.11.3), erreichbar über http://5jiXXXXXXXXXXgmb.onion.

Wird die URL aufgerufen, erscheint ein Login-Fenster, wobei das Hintergrundbild mit ChewBacca aus “A Game of Clones”- einer Serie erstellt von Andrew Spear (keinerlei Beziehung zum Schädling) angezeigt wird.

 


Die beiden oben genannten PHP-Skripte enthalten die Funktionen des Servers.

  • sendlog.php enthält die Funktion zum Hochladen der Keylogger-Daten
  • recvdata.php wird zum Exfiltrieren der Speicherdaten benutzt – ein Auruf liefert folgende Fehlermeldung zurück: “Notice: Undefined index: raw data in /var/www/html/recvdata.php on line 24“

Fazit und Anmerkungen

Dank an meinen Kollegen Nicolas Brulez für die Unterstützung bei der Analyse.

Chewbacca wird derzeit nicht, wie bspw. Zeus, öffentlich (in Untergrund Foren) angeboten. Möglicherweise befindet sich der Schädling noch in der Entwicklung oder wird nur Privat eingesetzt bzw. verteilt.

Einige Kriminelle scheinen daran interessiert, ihre Infrastruktur über Tor zu hosten, da Tor Sicherheit für die C&Cs verspricht. Jedoch birgt dies, wie oben bereits erwähnt, auch einige Probleme.

 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen