- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Slingshot und sein ungewöhnlicher Angriffsweg


Hochentwickelte Cyberspionage: Der Spion, der aus dem Router kam
Kaspersky Lab entdeckt mit Slingshot hochentwickelte und seit 2012 aktive Cyberspionage-Malware

- Anzeigen -





Kaspersky Lab warnt vor einer hochentwickelten Form der Cyberspionage, die mindestens seit 2012 im Nahen Osten sowie in Afrika ihr Unwesen treibt. Dabei attackiert und infiziert die Malware ,Slingshot‘ ihre Opfer über kompromittierte Router. Slingshot ist in der Lage, im Kernel-Modus zu laufen und erhält somit vollständige Kontrolle über infizierte Geräte. Laut den Kaspersky-Experten nutzt der Bedrohungsakteur einige einzigartige Techniken. So werden Informationen heimlich und effektiv ausgespäht, indem der entsprechende Netzwerkverkehr in markierten Datenpaketen versteckt und ohne Spuren zu hinterlassen wieder aus dem regulären Datenstrom ausgelesen werden kann.

Die Kaspersky-Experten kamen der Operation Slingshot über den Fund eines verdächtigen Keylogger-Programms auf die Spur. Sie erzeugten eine Signatur zur Verhaltenserkennung, um eine weitere Existenz des Codes zu überprüfen. So konnte ein infizierter Rechner ausgemacht werden, der in einem Systemordner eine verdächtige Datei mit dem Namen "scesrv.dll" aufwies. Die weitere Untersuchung dieser Datei ergab, dass schädlicher Code in dieses Modul eingebettet war. Da die Bibliothek von "services.exe", einem Prozess mit Systemrechten, geladen wird, verfügt auch sie über die entsprechenden Berechtigungen. Das Resultat: Die Experten waren auf einen hochentwickelten Eindringling gestoßen, der seinen Weg in das Innerste des Rechners gefunden hatte.

Die bemerkenswerteste Eigenschaft von Slingshot ist sein ungewöhnlicher Angriffsweg. Die Kaspersky-Experten stellten bei mehreren Opfern fest, dass die Infektion in mehreren Fällen von infizierten Routern ausging. Die hinter Slingshot stehende Gruppe hatte anscheinend die Router mit einer schädlichen Dynamic Link Library (DLL) kompromittiert, die zum Download anderer schädlicher Komponenten diente. Loggt sich ein Administrator zur Konfiguration des Routers ein, lädt dessen Management-Software schädliche Module auf den Administratorrechner und bringt sie dort zur Ausführung. Der ursprüngliche Infektionsweg der Router selbst bleibt bislang allerdings unklar.

Nach der Infektion lädt Slingshot mehrere Module auf die Geräte seiner Opfer. Dazu gehören auch ,Cahnadr‘ und ,GollumApp‘. Die beiden Module sind miteinander verbunden und unterstützen sich gegenseitig bei der Sammlung von Informationen und deren Exfiltration sowie der möglichst langen Überdauerung auf den Rechnern.

Der Hauptzweck von Slingshot scheint Cyberspionage zu sein. Unter anderem werden Screenshots, Tastatureingaben, Netzwerkdaten, Passwörter, USB-Verbindungen, weitere Desktop-Aktivitäten und Clipboard-Daten gesammelt, wobei der Kernel-Zugang den Zugriff auf jede Art von Daten ermöglicht.

Die Advanced Persistent Threat (APT) verfügt über zahlreiche Techniken, um sich einer Erkennung zu widersetzen. Alle Zeichenketten in den Modulen sind verschlüsselt, und die Systemdienste werden direkt aufgerufen, um Sicherheitslösungen keine Anhaltspunkte zu bieten. Hinzu kommen etliche Anti-Debugging-Techniken; auch wird vor der Auswahl eines Prozesses zur Injizierung überprüft, welche Sicherheitslösungen installiert sind.

Slingshot arbeitet wie eine passive Backdoor. Auch wenn die Malware über keine hart codierte Command-and-Control-Adresse verfügt, erhält sie diese vom Operator, indem alle Netzwerkpakete im Kernel-Modus abgefangen werden und das Vorhandensein von zwei hart codierten ‚Magic Constants‘ in der Betreffzeile verfügbar sind. Ist das der Fall, bedeutet das, dass das Paket die C&C-Adresse enthält. Anschließend baut Slingshot einen verschlüsselten Kommunikationskanal zum C&C auf und beginnt mit der Übertragung von Daten zu deren Exfiltration.

Vermutlich besteht die Bedrohung bereits seit geraumer Zeit, denn die Kaspersky-Experten fanden schädliche Samples, die als "Version 6.x" gekennzeichnet waren. Die Entwicklungsdauer des komplexen Slingshot-Toolsets dürfte beträchtlich gewesen sein. Das gilt auch für die dafür benötigten Fähigkeiten und Kosten. Zusammengenommen lassen diese Hinweise hinter Slingshot eine organisierte, professionelle und wohl auch staatlich-gestützte Gruppe vermuten. Hinweise im Text des Codes deuten auf eine englischsprachige Organisation hin. Eine genaue Zuschreibung ist jedoch schwierig bis unmöglich; zumal das Thema Attribution zunehmend selbst manipulations- und fehleranfällig ist.

Geschädigte in Afrika und Asien
Bislang waren laut den Kaspersky-Experten rund 100 Opfer von Slingshot und seinen zugeordneten Modulen betroffen. Die Angriffe fanden vorwiegend in Kenia und im Jemen statt, aber auch in Afghanistan, Libyen, Kongo, Jordanien, Türkei, Irak, Sudan, Somalia und Tansania. Sie richteten sich scheinbar überwiegend gegen Privatpersonen und nicht gegen Organisationen; allerdings zählten auch einige Regierungseinrichtungen zu den Opfern.

"Slingshot stellt eine hochentwickelte Bedrohung mit einem breiten Spektrum an Tools und Techniken dar, wozu auch Module im Kernel-Modus zählen, die bis dato nur bei den komplexesten Angriffen zum Einsatz kamen", erklärt Alexey Shulmin, Lead Malware Analyst bei Kaspersky Lab. "Die Funktionalität ist äußerst präzise und für die Angreifer zugleich profitabel. Das erklärt, warum sich Slingshot mindestens sechs Jahre lang halten konnte."

Die Lösungen von Kaspersky Lab erkennen die Bedrohung zuverlässig und machen sie unschädlich.

Die Experten raten zu folgenden Schutzmaßnahmen:

• >> Nutzer von Mikrotik-Routern sollten so schnell wie möglich das Upgrade auf die aktuelle Software-Version durchführen. Nur so ist der Schutz gegen bekannte Schwachstellen gewährleistet, Zudem sollten keine Downloads mehr vom Router zum Rechner über die Mikrotik Winbox erfolgen.

• >> Unternehmen sollten eine geeignete Sicherheitslösung in Kombination mit Technologien zur Abwehr zielgerichteter Angriffe und Threat Intelligence einsetzen, wie sie etwa die Lösung Kaspersky Threat Management and Defense [2] bietet. Über die Analyse von Anomalien im Netzwerk werden hochentwickelte gezielte Angriffe sichtbar. Cybersicherheitsteams erhalten einen vollständigen Einblick in das Netzwerk und die automatische Vorfallreaktion.

• >> Alle Mitarbeiter der Sicherheitsteams benötigen Zugriff auf aktuelle Threat-Intelligence-Informationen. So bekommen sie Zugang zu hilfreichen Tools und Erfahrungen, die bisher bei der Abwehr gezielter Angriffe gewonnen werden konnten, wie zum Beispiel Kompromittierungsindikatoren (IOC), YARA und kundenspezifisches Advanced Threat Reporting.

• >> Werden frühzeitig Indikatoren für einen zielgerichteten Angriff gefunden, sollte die Inanspruchnahme von Managed Protection Services erwogen werden. Damit lassen sich proaktiv hochentwickelte Bedrohungen erkennen, deren Überlebensdauer reduzieren und zeitnah Maßnahmen zur Vorfallreaktion einleiten.
(Kaspersky Lab: ra)

eingetragen: 11.03.18
Newsletterlauf: 07.05.18

SentinelOne: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Heartbleed lebt & wird von Kriminellen ausgenutzt

    Heartbleed ist ein schwerwiegender Bug in OpenSSL, der bereits im Jahr 2014 entdeckt wurde und es Unbefugten und Kriminellen erlaubt, scheinbar sichere und verschlüsselte TLS-Verbindungen auszuspionieren und private Daten von Clients und Servern zu lesen. Der Global Threat Index für August 2018 von Check Point zeigt, dass der Fehler noch vier Jahre nach seiner Entdeckung zu einer der Schwachstellen zählt, die am häufigsten ausgenutzt werden. Kevin Bocek, VP Security Strategy and Threat Intelligence bei Venafi, erklärt dazu: "Heartbleed lebt und wird von Kriminellen ausgenutzt. Check Point erkennt, dass die zweithäufigste ausgenutzte Schwachstelle im August 2018 Heartbleed war (CVE-2014-0160; CVE-2014-0346). Dies ist ein Weckruf, dass der oft scheiternde Korrekturschritt, die Ersetzung aller Maschinenidentitäten wie TLS-Schlüssel und Zertifikate, noch ausgeführt werden muss."

  • Stehlen von Konto- und Kreditkartendaten

    Bei "Panda Banker" handelt es sich um einen Bankentrojaner, der sich den Source Code des bekannten Zeus-Trojaners zunutze macht. Der tauchte erstmals bereits 2016 auf, ist aber nach wie vor aktiv. Gerade in jüngster Zeit wurden zahllose Updates veröffentlicht. Panda Banker injiziert auf der Webseite des Opfers bösartigen Skript-Code und nutzt dabei "Man-in-the Browser"-Techniken. Der "Man-in-the-Browser"-Angriff ist eine Sonderform der "Man-in-the Middle"-Attacke". Bei einem MiTB-Angriff infiziert ein Trojaner den Browser des Nutzers.

  • Kamera des Smartphones kann übernommen werden

    Smartphone-Nutzer des Android-Betriebssystem sollten die Tage vorsichtig sein: Eine neue Malware für mobile Telefone ist im Umlauf und liest die Nachrichten und Kontakte der betroffenen Nutzer aus. Die Schadsoftware "Android.Trojan-Spy.Buhsam.A" für Android-Smartphones kann die Whatsapp-Historie der Nutzer ausspionieren, Kontakte auslesen und die Kamera des Smartphones übernehmen. Erstmals entdeckt wurde die Malware von dem Sicherheitsforscher Lukas Stefanko. G Data Analysten haben die Schadsoftware genauer analysiert. G Data Mobile Internet Security erkennt die Bedrohung unter dem Namen Android.Trojan-Spy.Buhsam.A. Nach Ansicht der G Data-Sicherheitsforscher ist die Malware derzeit entweder noch in der Entwicklungsphase oder schlecht programmiert. Denn nachdem die entsprechenden Dienste gestartet werden, erhalten Nutzer eine Benachrichtigung mit dem Inhalt "Service Started". Kriminelle versuchen normalerweise, so versteckt wie möglich zu agieren, um Ihre Spuren zu verwischen. Immer wieder gelangt noch in Entwicklung befindliche Malware versehentlich in den Umlauf, etwa weil die Autoren auf Seiten wie Virustotal überprüfen, ob ihre Schadsoftware von Virenscannern erkannt wird. Trotzdem hat die Malware einige besondere Funktionen.

  • Hide and Seek Botnet hat viele Geräten infiziert

    Hide and Seek, ein neues IoT-Botnet, das Anfang Januar vom Bitdefender Honeypot-System entdeckt wurde, hat schnell Bekanntheit erlangt. Innerhalb weniger Tage hat es über 90.000 Geräte in einem großen Botnet gesammelt. Während die erste Variante Brute-Force-Angriffe über den Telnet-Dienst durchführte, um sich in Geräte zu booten, wurden später durch weitere Updates neue Command Injection Exploits in der Webschnittstelle eines Geräts ausgelöst, die die Möglichkeiten des Botnets auf IPTV-Kameras erweiterten. Nun wurden neue Tricks bei Hide and Seek entdeckt: Indem die Android-Debug-Bridge-(ADB)-over-Wi-Fi-Schnittstelle in Android-Geräten genutzt wird, die Entwickler normalerweise zur Fehlerbehebung verwenden, erhält das Botnet neue Zugriffsmöglichkeiten. Obwohl diese Funktion eigentlich standardmäßig deaktiviert ist, werden einige Android-Geräte mit aktiviertem Gerät ausgeliefert. So werden Benutzer praktisch über die ADB-Schnittstelle, die über den TCP-Port 5555 zugänglich ist, einer Remote-Verbindung ausgesetzt. Jede Remote-Verbindung zum Gerät wird nicht authentifiziert und ermöglicht den Shell-Zugriff, so dass Angreifer praktisch jede Aufgabe im Administratormodus ausführen können.

  • UEFI-Rootkits extrem gefährliche Werkzeuge

    Eset-Forscher haben einen Cyberangriff entdeckt, bei dem erstmals ein sogenanntes UEFI-Rootkit erfolgreich eingesetzt wurde. Die von Eset Lojax getaufte Malware nutzt eine Schwachstelle in der UEFI des Mainboards aus und nistete sich in dessen Speicher ein. Dies ist extrem gefährlich, denn Lojax übernimmt von dort die Kontrolle des gesamten Rechners und kann nicht ohne weiteres gelöscht werden. Klassische Gegenmittel wie Virenprogramme oder gar der Festplattentausch sind wirkungslos. Als Drahtzieher der Kampagne wird die Sednit-Gruppe (auch APT28 oder FancyBear genannt) vermutet, die durch ihre Angriffe auf hochrangige Regierungsziele auf sich aufmerksam gemacht hat. Eset besitzt eine Schutzfunktion in ihren Antivirenlösungen vor dieser neuartigen Malware-Form.