Flüchtige Schadsoftware nutzt Windows-Bordmittel für Tunnelbau

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34913
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Flüchtige Schadsoftware nutzt Windows-Bordmittel für Tunnelbau

Beitrag von doelf » 10 Feb 2017, 19:16

Sobald sich Schadprogramme auf einen Festspeicher schreiben, sind sie vergleichsweise leicht zu erwischen. Es gibt eine oder mehrere Dateien, die man untersuchen kann, so dass sich - im Idealfall - der Angriffsweg zurückverfolgen lässt. Wenn sich der Schädling allerdings nur im flüchtigen Arbeitsspeicher aufhält, ist er nach einem Neustart spurlos verschwunden. Und das hat für die Angreifer einige Vorteile.

Zunächst klingt diese Strategie völlig abwegig. Wo sich andere Viren und Trojaner größte Mühen geben, dauerhaft auf dem Opfersystem verankert zu bleiben, sollen andere die Selbstauslöschung durch einen simplen Neustart riskieren? Nun, es kommt immer auf die Ziele an: Bei einem normalen Desktop-PC, der tagtäglich neu gestartet wird, macht flüchtige Schadsoftware nur wenig Sinn. Doch bei einem Server, der Wochen oder Monate ohne Neustart auskommt, sieht es ganz anders aus. Hier birgt die dauerhafte Speicherung auf dem Datenträger ein unnötiges Risiko der Entdeckung, während das automatische Löschen beim Neustart alle Spuren des Angriffs verwischt und dessen Entdeckung und Aufbereitung beinahe unmöglich macht. In der Praxis verwischen oftmals die Grenzen, beispielsweise wenn Schädlinge ihre Installationsroutine per SDELETE von der Festplatte löschen, selbst aber im RAM verbleiben.

Die Sicherheitsexperten von Kaspersky Lab beschreiben aktuell einen Fall, bei dem es eine flüchtige Schadsoftware auf Unternehmens- und Regierungsnetzwerke abgesehen hatte. Es soll mehr als 140 Opfer geben, darunter Banken und Telekommunikationsanbieter. 21 stammen aus den USA, zehn aus Frankreich und neun Ecuador. In Deutschland, Österreich, der Schweiz und Belgien hat es demnach keine Opfer gegeben. Das Sicherheitsteam einer Bank hatte den Angriff bemerkt, als es Code des Meterpreter-Clients im Arbeitsspeicher eines Domain Controllers entdeckte. Dieser Client ist ein Bestandteil des Metasploit-Frameworks, welches von Sicherheitsexperten und Hackern für Penetrationstests genutzt wird. Kaspersky Lab führte daraufhin eine forensische Untersuchung des Vorfalls durch.

Zunächst hatten die Angreifer ein PowerShell-Skript mit Hilfe des Metasploit-Werkzeugs Msfvenom generiert. Im Anschluss wurde über das zu Windows gehörende Programm SC ein neuer Dienst angemeldet, der das Skript aufruft und unsichtbar ausführt. Das Skript alloziert Speicherbereiche, löst WinAPIs auf und lädt Meterpreter direkt in den Arbeitsspeicher. Über das Kommandozeilenwerkzeug Netsh, welches ebenfalls zu Windows gehört, wurde dann ein Proxy-Tunnel geöffnet, über den die Angreifer aus der Ferne auf ihr Opfer zugreifen konnten. Da für SC, Netsh und PowerShell erweiterte Rechte benötigt werden, nutzten die Angreifer die Berechtigungen von Service-Konten wie Backup und griffen die dazugehörigen Passwörter mit mimikatz aus dem Arbeitsspeicher.

Weitere Details über diesen Angriff mit flüchtiger Schadsoftware und Windows-Bordmitteln will Kaspersky Lab Anfang April 2017 präsentieren. Zu diesem Zeitpunkt treffen sich Sicherheitsexperten aus aller Welt zum Security Analyst Summit auf der zu den Niederlanden gehörenden Karibikinsel St. Martin. Das klingt nach einem Vortrag mit reichlich Palmen, Sonne, Rum und Dope.

Quelle:
https://securelist.com/blog/research/77 ... -networks/
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten