zurück zur Übersicht

Furtim: Ich sehe was, was du nicht siehst

Furtim ist perfekt getarnt wie eine Kröte im GrasFür jeden Malwareautor ist es wichtig, dass seine Kreation so lange wie möglich von Security-Produkten nicht erkannt wird. Aber die Schöpfer der Malware Furtim haben sich diesbezüglich besonders viel Mühe gegeben. Sicherheitsexperten warnen vor diesem neu entdeckten Schädling, dessen höchste Priorität seine Anonymität ist. Der Name, der im lateinischen so viel wie heimlich, verstohlen und listig bedeutet, wurde aufgrund der Unbekanntheit bei VirusTotal gewählt.

Entdeckt wurde er von einem unbekannten Sicherheitsexperten mit dem Twitter-Handle @hFireF0X. Die Bestandteile sind allerdings nicht wirklich neu –Treiber, Downloader und die eigentlichen Schadmodule.

Der Treiber überprüft die Zielmaschine auf aktuell laufende Tasks und installierte Sicherheitsprogramme. Der Downloader stellt die Backdoor für die Nachinstallation von Schadmodulen bereit. Diese umfassen eine Art Powermanagement Utility, einen Stealer und eine Kommunikationskomponente.

Konsequent undercover

Das wirklich Neue an dieser Malware ist die Gründlichkeit, mit der sie versucht sich vor Sicherheitsprodukten zu verstecken und ihrer Enttarnung zu entgehen. Furtim ist weder gepackt noch komprimiert, denn das lässt gängige AV-Programme misstrauisch werden. Stattdessen installiert Furtim einen Downloader, der eine Backdoor auf dem Computer des Opfers öffnet, durch die die Schadmodule später nachgeladen werden können.

Das ist aber nicht alles. Während der Präinstallationsphase überprüft Furtim den Client auf Virtualisierung, Sandboxing und sonstige Sicherheitsprodukte. Wird er fündig, bricht er die Installation sofort ab. DNS-Filterdienste umgeht die Malware indem sie diese durch öffentliche DNS-Server wie z.B. Google ersetzt. Des Weiteren wird der Zugriff auf URLs von über 200 Antivirus-Update-Sites und deren technische Hilfeseiten blockiert, indem die Hosts-Datei von Windows ausgetauscht wird. Außerdem ändert Furtim auch Windows GPOs für den Reboot des Systems, deaktiviert Windows Pop-Ups und blockiert den Zugang zu Kommandozeile und Taskmanager um seine Entdeckung zu erschweren. Um eine einmalige Aktivierung der Malware sicherzustellen, erstellt Furtim eine Art Fingerabdruck der Zielmaschine, damit die Payload nur einmal an das System geschickt wird. Dadurch wird die Kommunikation mit dem Command&Control-Server minimiert.

Furtim stiehlt nicht nur Ponys

Die drei Schadmodule die als Payload nachgeladen werden, stellen folgende Funktionen bereit: Pony-Stealer, ein im Untergrund käuflich zu erwerbender kommerzieller Credential-Stealer ist in der Lage vollautomatisch Zugangsdaten aus 110 verschiedenen Applikationen zu entschlüsseln und zu extrahieren, darunter Clients für VPN, FTP, E-Mail, Instant Messaging und Web Browser. Zweitens, eine bis dato noch unbekannte Kommunikationskomponente, die Informationen sammelt und diese an einen russischen Server schickt. Das dritte Modul ist ein Powermanagement-Utility, welches sicherstellt, dass der Rechner niemals in den Standby-Modus versetzt oder heruntergefahren wird.

Für welchen konkreten Zweck die Malware entwickelt wurde, darüber gehen die Meinungen derzeit weit auseinander. Auch der Infektionsweg ist momentan noch unklar. Einigkeit herrscht hingegen darüber, dass diese Art von Malware wohl kaum von „normalen“ Cyber-Ganoven verwendet wird. Indizien deuten eher in Richtung staatlich entwickelter Schadsoftware. Ob sich dieser Verdacht bewahrheitet bleibt abzuwarten.

Die Entdeckung von Furtim zeigt, dass Malware mit immer intelligenteren Funktionen ausgestattet wird, die es ermöglichen, Schutzmaßnahmen zu umgehen. Dieser Trend ist nicht neu (siehe den Beitrag zum Sandboxing) und wird sich auch weiterhin fortsetzen. Eine hohe Integrationstiefe bei der Verzahnung von verschiedenen präventiven und detektierenden Schutzmaßnahmen kann hier Abhilfe schaffen und Leisetreter wie Furtim dennoch ans Tageslicht bringen.

Quellen:

https://www.knowbe4.com/pony-stealer
https://blog.cylance.com/cylanceprotect-vs-furtim-the-stealthy-malware
http://news.softpedia.com/news/paranoid-furtim-malware-checks-for-400-security-products-before-execution-504130.shtml
http://www.infosecurity-magazine.com/news/experts-warn-of-superstealthy/
http://breakingmalware.com/malware/furtim-malware-avoids-mass-infection/

Bild: ©Fotolia/PMB-Photography

Schreibe einen Kommentar