Malware › Nickswriting über Online-Business

Posts tagged “Malware”.

January 1st 2015
by

Rocket Kitten: Die Geschichte einer Malware-Analyse

Rocket Kitten

Mit der Analyse von Malware für eine großflächige Spearphising-Attacke konnten Datenexperten die Angreifer enttarnen. In detektivischer Kleinarbeit haben sie dabei ausgefeilte Komponenten aufgedeckt und ein Land hinter dem Angriff ausgemacht.

Wer steckt hinter Malware-Angriffen? Diese Frage beschäftigt IT-Sicherheitsexperten, insbesondere dann, wenn sie Regierungen dahinter vermuten. Wie schwierig eine eindeutige Schuldzuweisung ist, zeigt auch der aktuelle Hack auf die IT-Infrastruktur von Sony Pictures. Obwohl die US-Bundespolizei eindeutig Nordkorea als Urheber nennt, bleiben Zweifel. Zwei Datenexperten konnten in einem anderen Angriff jedoch einen Schuldigen ausmachen, auch weil sich dieser ziemlich ungeschickt anstellte. Ihre Geschichte erzählten sie auf dem 31C3.

Es begann mit einem Anruf im April 2014. Unbekannte hatten mit einer Spearphishing-Attacke versucht, einer zivilen Organisation Malware unterzujubeln. Deren Büros befinden sich direkt neben einem israelischen Luft- und Raumfahrtunternehmen. Die Datenexperten Gadi Evron und Tillmann Werner wollten zunächst wissen, ob es sich um einen großflächigen Cyber-Angriff handelte, einen sogenannten Advanced Persistent Threat (APT).

Angriff per Excel-Makro

Sicher sei das zunächst nicht gewesen, sagten die IT-Sicherheitsexperten. Denn die Spearphishing-Attacke erfolgte über eine präparierte Excel-Tabelle. Die Malware war dort als Makro eingebettet. Nutzer hätten also zunächst den Anhang der E-Mail öffnen und anschließend auch das Makro per Mausklick starten müssen, damit die Malware installiert wird. Solche Angriffe waren vor zehn Jahren die Regel, als die Standardeinstellungen Makros noch automatisch starteten. Heutzutage gelten sie als veraltet. Allerdings nehmen Antivirenhersteller veraltete Malware oftmals aus ihren Signaturdatenbanken. Inzwischen steigt die Zahl der Angriffe mit fast vergessenen Trojaner wieder.

Die Angreifer hätten die E-Mail teilweise mehrfach geschickt, etwa mit dem Zusatz: “Entschuldige, ich habe den Anhang in der letzten E-Mail vergessen.” Mit solchen wiederholten E-Mails steigt die Wahrscheinlichkeit, dass ein Opfer den Anhang doch irgendwann öffnet.

Offizielle Dokumente als Köder

Der Köder war eine Excel-Tabelle und enthielt eine Kontaktliste hochrangiger Militärmitarbeiter aus aller Welt mit teils persönlichen Daten. Der erste Eintrag war der eines ägyptischen Armeeangehörigen, was in Israel durchaus interessant sein dürfte. Die Liste trug den Briefkopf eines österreichischen Ministeriums und war auf Deutsch verfasst. Um weitere Einträge der Liste einzusehen, sollte das Opfer eine weitere Tabelle öffnen. Erst dann würde sich die eigentliche Malware installieren. Dieser Köder sei ein erster Hinweis auf einen staatlich gelenkten Angriff gewesen, sagten die beiden Datenexperten.

In der Excel-Tabelle entdeckten die Datenexperten dessen Ersteller, der mit dem Namen Woll3n.H4t eingetragen war. Auch das Erstellungsdatum der Tabelle konnten sie auslesen. Mit diesen Informationen forschten die IT-Sicherheitsexperten zunächst, ob bereits andere Phishing-Angriffe mit dem Namen bekannt waren.

Malware aus Argentinien?

Die Datenexperten analysierten den sogenannten Payload, der durch das eingebettete Makro aufgerufen wird. Es handelte sich um eine PE-Binärdatei, die die Experten mit dem Disassembler Idapro analysierten. Zunächst entdeckten sie einen Pfad für Debug-Dateien. Außerdem fiel ihnen auf, dass in dem Debug-Code die Länderkennung von Argentinien eingebettet war. Das verwirrte die Experten zunächst, denn ein Angriff aus Argentinien auf Israel konnten sie sich nicht vorstellen.

Der Code der Malware sei von hoher Qualität, sagten die Experten. Es sei Position-independent Code, er kann also unabhängig von der Position im Speicher ausgeführt werden. Konstanten werden nicht direkt, sondern über Lookup-Tables aufgerufen, etwa Netzwerk-Sockets. Dadurch lässt sich der Code leichter auf verschiedene Plattformen und Betriebssysteme portieren. Ungewöhnlich sei auch, dass das Hashing für die Sitzungsverwaltung mit Blowfish realisiert wird. Auch die APIs werden durch Wrapper bereitgestellt. Und es gab einen Proxy für den Aufruf von generischen APIs.

Malware mit geklautem Programm

Eine Suche bei Google ergab eine Übereinstimmung mit einem Syscall Proxy des Unternehmens Core Security, das die Datenexperten als “eines der guten” bezeichnet. Das US-Unternehmen hat ein Büro in Argentinien und sein Syscall Poxy verwendet nach eigenen Angaben Blowfish für internes Hashing.

Core Security hat auf Anfrage jegliche Zusammenarbeit mit Militär und Geheimdiensten abgestritten, was die beiden Experten bestätigen. Jemand habe ein “gutes Werkzeug gestohlen und böses damit gemacht”, sagten Evron und Werner. Die Auswahl der Werkzeuge zeige, dass es sich um einen hochentwickelten Angriff handele, ein Hinweis auf einen Angriff im Auftrag und mit Unterstützung einer Regierung.

Syscall-Proxy für die Steuerung aus der Ferne

Das Besondere an Syscall Proxys ist, dass sie auf dem einen Rechner nur eine winzige ausführbare Datei installieren. Auf einem anderen wird die Steuerung ausgeführt. Mit Syscall Proxys können so fast beliebige Werkzeuge verwendet werden, ohne dass sie auf dem angegriffenen Rechner installiert werden müssen: Sie werden auf den entfernten Rechnern gestartet, die Befehle werden dort in entsprechende Systemaufrufe umgewandelt und auf dem Zielrechner ausgeführt. Die Rückmeldungen werden wieder an den angreifenden Computer zurückgeschickt. Über ein eigenes Protokoll, ähnlich wie Remote Procedure Call (RPC), wird die Kommunikation abgewickelt. Es sei wie die Auslagerung des User-Space auf andere Rechner, erklärten die Datenexperten. Es könnten auch mehrere Rechner gleichzeitig die Steuerung übernehmen.

Im Code der Malware entdeckten sie mehrere IP-Adressen. Die führten zu einem deutschen Provider, der auch Satellitendienste anbietet. Eine Abfrage der Geoposition der IP-Adressen platzierte sie am Äquator mitten im Atlantischen Ozean. Es handele sich vermutlich um Proxy-Adressen, sagten die Experten. Die für die verschlüsselte Kommunikation verwendeten Zertifikate stammten vom inzwischen als unschuldig eingestuften Core Security. Die Spur führte also ins Leere.

Rocket Kitten wird zum großflächigen Angriff

Dann widmeten sich die Experten erneut den für die Phishing-Angriffe verwendeten Excel-Tabellen, denn inzwischen stellte sich heraus, dass die Malware bereits an mehrere Objekte in Israel und in Ländern der EU versendet wurde. Der letzte Angriff datierte vom Oktober 2014. Das interessanteste Dokument sei die eingangs erwähnte Kontaktliste mit Militärmitarbeitern, so die Vortragenden. Andere enthielten Telefonnummern von öffentlichen Einrichtungen in Israel oder einer Liste aller Botschaften in Berlin. Inzwischen sei der Angriff als APT eingestuft worden und habe den Namen Rocket Kitten erhalten.

Ein weiteres Dokument fiel den Datenexperten besonders auf: Es handelte sich um ein Informationsblatt zu einem geplanten deutsch-israelischen Treffen im Februar 2015, an dem auch die Bundesministerin für Bildung und Forschung Johanna Wanka teilnehmen wird, ebenfalls in perfektem Deutsch und vermutlich gestohlen. Solche Dokumente seien deshalb wichtig, weil sie möglicherweise auf geplante Angriffe hinweisen, die dann verhindert werden könnten.

Enttarnt!

Eine weitere Analyse ergab, dass neben dem Syscall Proxy auch eine weitere Malware enthalten war. Sie war aber eher rudimentär programmiert und sollte etwa die Dateien auslesen, in denen Zugangsdaten gespeichert sind. In dem Code entdeckten die Datenexperten nochmals das Handle Woll3n.H4t sowie eine Gmail-Adresse. Und noch viel wichtiger: den redigierten Klarnamen einer der Programmierer der Malware. Sie machten keine Schuldzuweisung, sagten Evron und Werner, sie seien sich aber zu 99,99 Prozent sicher, dass ein Land hinter den Angriffen stecke.

Für ein letztes Foto zum Schluss des Vortrags posierten die beiden vor einem Foto der iranischen Flagge.

 

Übernommen aus:

www.golem.de

November 20th 2014
by

Malware „WireLurker“ schlägt zu – Neuer Super-Virus gefährdet iPhones und iPads

Apple-Nutzer sollten vorsichtig sein: Im Internet ist ein neuer Computer-Schädling aufgetaucht, der sich mit ausgeklügelter Technik immer weiter ausbreitet. „WireLurker“ springt über das USB-Kabel sogar vom Mac aufs iPhone und stiehlt dort Daten.

Das US-Unternehmen Palo Alto Networks, Experte für Netzwerksicherheit, warnt vor einer „neuen Ära der OS X- und iOS-Malware“. Die IT-Spezialisten haben nach eigenen Angaben sechs Monate lang eine Schadsoftware namens „WireLurker“ erforscht, der wohl im Verborgenen bereits Hundertausende Apple-Geräte befallen hat. Die Malware attackiere sowohl Macs als auch mobile Geräte wie iPads und iPhones auf teilweise innovativen Wegen.

Momentan lasse sich die Reichweite von „WireLurker“ noch regional einschränken: Betroffen sind demnach vor allem Kunden des chinesischen App-Stores „Maiyadi“. Dort seien fast 500 downloadbare Anwendungen von dem Schädling befallen und würden so auf die Geräte kommen. Die entsprechenden Anwendungen seien bereits rund 356.000 Mal auf OS X-Rechner heruntergeladen worden, eine entsprechende große Zahl von Nutzern sei also infiziert oder gefährdet.

Über das USB-Kabel aufs iPhone

Neu sei an der Malware vor allem, dass sie auch mobile Geräte ohne Jailbreak befallen kann. „WireLurker“ erkennt nämlich demnach, wenn der Computer über ein USB-Kabel mit einem iPhone oder iPad verbunden wird und installiert sich unbemerkt auf dem mobilen Gerät – daher stamme der Name „Kabel-Schleicher“. Darüber hinaus habe der Schädling diverse Möglichkeiten sich zu verstecken und sich selbst zu verschlüsseln, um Gegenmaßnahmen zu entgehen.

Die Funktion von „WireLurker“ ist auch für Palo Alto Networks noch unklar. Der Schädling könne eine Reihe von Daten stehlen und befinde sich in „aktiver Weiterentwicklung“: Er erhalte regelmäßige Updates von einem Server. Zur Abwehr empfiehlt das IT-Sicherheitsunternehmen eine Reihe von Maßnahmen, wie aktuelle Virenscanner, betont aber auch, man solle seine mobilen Geräte nicht mit unsicheren Rechnern verbinden, da sich „WireLurker“ so weiter verbreiten kann.

 

Die Homepage besuchen:

http://www.focus.de/digital/

October 21st 2014
by

Immer mehr PC’s werden mit unerwünschten Programmen und Toolbars verseucht

Seit geraumer Zeit werden die Internetnutzer mit hinterhältiger Software genervt. Es kann schon beim Installieren von bestimmter kostenloser Software passieren, dass man sich zwar das gewünschte Programm installiert, aber nebenbei oft noch andere Programme installiert werden, die keinerlei nützliche Funktionen haben, sondern nur den Rechner mehr oder weniger mit Werbung oder angeblichen Systemoptimierungsprogrammen lahmlegen. Dabei handelt sich meistens nicht um Viren oder Trojaner im klassischen Sinn, es geht vielmehr darum, dass die Werbung angeklickt wird oder für die Freischaltung eines unwirksamen Programms Geld verlangt wird. Es gibt aber auch den Fall, dass man sich auf nicht ganz legalen Seiten aufhält und da z.B. aufgefordert wird , den Videoplayer zu aktualisieren oder einen neuen Player zu aktualisieren, um den Film sehen zu können. Tut man dies von einer dieser Seiten, hat man eine ganze Reihe von Problemen. Es geht los, dass die Startseite des Browsers (Internet Explorer, Google Chrome oder Firefox) und der Standardsuchanbieter geändert wird, sowie diverse unnütze und bremsende Browser-Addins und Toolbars installiert sind. Stichworte sind hier Nationzoom, sweetpage, ask toolbar, mysearch, wajam, search-protect, deltasearch und Ähnliches. Unerwünschte Programme sind z.B. My PC-Backup, System Optimizer, regcleaner u. ä. . Zur Entfernung dieser Malware benötigen User, die keine tieferen Computerkenntnisse haben, einen PC Service. Es genügt nicht, einfach die Browser zurückzusetzen oder neu zu installieren. Man muss diverse Reinigungsprogramme und Scanner in einer bestimmten Reihenfolge laufen lassen, um wirklich alles loszuwerden. Ich nenne hier bewusst nicht die Vorgehensweise, weil man ohne PC-Kenntnisse auch mehr Schaden anrichten kann, schlimmstenfalls startet der Rechner gar nicht mehr. Und dann ist umso mehr ein Fachmann von einem PC Notdienst gefragt.
Im Internet gibt es zu dieser Problematik auch den Tipp, das Betriebssystem neu aufzuspielen, was oft einen sehr großen Aufwand bedeutet. Meiner Erfahrung nach ist das in den meisten Fällen nicht nötig, man kann in der Regel den PC vollständig bereinigen. Allerdings gibt es den Fall, dass man diese Malware so gut es geht, ignoriert und mit dem Rechner einfach weiter arbeitet. Dann kann es passieren, dass im Hintergrund weitere Programme heruntergeladen und installiert werden, die dann mitunter wirklich nur durch eine Neuinstallation von Windows entfernt werden können. Da bei einer Neuinstallation von Windows alle Daten verloren gehen, muss dafür oft ein Computerservice beauftragt werden, der die Daten ohne Malware sichern kann.

Tipp: Lassen Sie sich nicht verführen, irgendwelche Updates von einer Webseite herunterzuladen. Wichtige Updates wie z.B. Windows Updates oder Flash-Player Updates meldet immer das Betriebssystem selbst, ohne einen Browser geöffnet zu haben. Falls Sie ein kostenloses Programm installieren möchten, sollten Sie das von einer seriösen Quelle herunterladen, am besten von einer de-Webseite. Sollte es Sie doch mal erwischt haben, wenden Sie sich an einen Computerservice wie diesen hier.

April 18th 2014
by

SMS-Trojaner für Mac OS X entdeckt

Der russische Sicherheitsspezialist Dr. Web hat eine Malware für Mac OS X gemeldet, die einen SMS-Betrugsversuch startet. Der “Trojan.SMSSend.3666″ getaufte Trojaner fragt Handynummern der infizierten Anwender ab und versucht per SMS-Bestätigung, diese zu einem mit hohen Kosten verbundenen SMS-Abonnement zu überreden.

 

Das Programm tarnt sich als Installationsdatei für eine Software namens VKMusic 4. Ein solches Programm gibt es tatsächlich: Es dient der Kommunikation zwischen Nutzern des Social Network VK. read more »