zurück zur Übersicht

Silence – Banküberfall in aller Stille

Spektakuläre Banküberfälle sind Stoff für eine ganze Reihe von Filmen. Immer actiongeladen, meistens mit einem interessanten Twist und manchmal auch noch mit einer gehörigen Portion Humor.

Banküberfälle im Internet sehen ein bisschen anders aus. Mehr noch: Banküberfälle im Internet sind für den Beobachter eher langweilig. Keine spektakulären Verfolgungsjagden, nur hin und wieder faszinierend neue Vorgehensweisen.

Und falls die Angreifer Humor besitzen, bekommt der Beobachter davon nur sehr selten etwas mit. Digitale Überfälle erfordern vor allem Fingerspitzengefühl, Vorsicht und eine ganze Menge Geduld.

Eigentlich ist die klassische Vorgehensweise ein alter Hut: reinschleichen, tarnen, beobachten, abräumen. Da das aber immer noch funktioniert, schadet es nicht, den Ablauf noch einmal genau zu sezieren. Kaspersky liefert dazu gerade aktuelles Material zu gezielten Angriffen. Die Rede ist von Silence, einer noch immer andauernden Kampagne gegen Finanzinstitute, meist aus Russland.

1 – Reinschleichen

Die meisten Bankräuber in der physischen Filmwelt gehen ganz offen durch die Vordertür einer Bankfiliale. Dann ziehen sie eine Pistole und erpressen die Bankangestellten bei ihrem Leben um das Geld im Tresor. Im Internet läuft es etwas gewiefter ab. Hier setzt sich der Bösewicht eine Maske und Perücke auf und nimmt den Platz eines geschätzten Kollegen ein.

Die Rede ist natürlich von Phishing, in diesem Fall sogar Spear-Phishing. Dabei wird eine Mail so präpariert, dass sie für den Empfänger so aussieht, als stamme sie von einem legitimen Absender. Meist ist das ein Vorgesetzter oder ein Kollege. Diese Anfrage enthält dann entweder einen Link oder einen Anhang, der für eine Infektion des Systems sorgt. Es kann sich aber auch gleich um eine firmenschädliche Aufgabe handeln, die natürlich dringend zu erledigen ist.

Das Interessante an dem von Kaspersky beschriebenen Fall ist, dass es sich dabei nicht um Adressen handelt, die einen kleinen Schreibfehler haben oder „in aller Eile“ von einem privaten Gerät und von einer privaten Mailadresse aus geschickt worden sind. Diese Phishing-Mails stammen tatsächlich von echten, offiziellen Adressen. Natürlich wissen die infizierten Absender nichts von dem Missbrauch, von ihrer Infektion oder davon, dass ihr System gerade das nächste angesteckt hat. Die Empfänger dagegen glauben, ihrem ganz normalen Tagewerk nachzugehen, und klicken ganz unbedarft auf den Anhang.

2 – Tarnen

Der Anhang enthält dann den versteckten Schadcode. Im Falle des Silence-Trojaners handelt es sich um eine Microsoft Compiled HTML Help Datei mit eingebettetem JavaScript, das über einige Umwege den eigentlichen Trojaner herunterlädt. Über diesen Dropper wird das frisch infizierte System beim Command-and-Control-Server (C&C-Server) registriert. Ab diesem Moment wird das System auf Anfrage des Angreifers Aktionen, z.B. Downloads, ausführen.

Damit dieses Verhalten nicht entdeckt wird, werden übliche Windows-Administrationstools verwendet. Kaspersky beobachtete sogar die Verwendung eines Kompatibilitätsmoduls, das es ermöglicht, von einem Linux-basierten System aus Anfragen an das infizierte Windows-System zu senden. Ganz bequem für den Angreifer, also.

3 – Beobachten

Die ganze Action ist an dieser Stelle eigentlich gelaufen. Jetzt heißt es bloß noch: Geduld haben, Kopf unten halten – und das Fingerspitzengefühl nicht vergessen! Eins der Module des Silence-Trojaners enthält dafür eine Screen-Recording-Funktion. Über diese Funktionalität werden, wie der Name schon andeutet, in regelmäßigen Abständen Screenshots des Bildschirms gemacht. Ein Kommunikationsmodul schickt die Bilder dann an den C&C-Server gesendet. Darüber kann sich der Angreifer ein recht genaues Bild vom Alltag des Opfers machen. Das schließt verwendete Programme genauso ein wie die Routine-Aufgaben des betroffenen Mitarbeiters.

Letzteres wird wiederum verwendet, um sich unter der Mailadresse des Opfers zum nächsten System zu hangeln. Da die infizierte Mail eine ganz alltägliche Routine-Anfrage ist, z.B. eine Kontoeröffnung, weckt die infizierte Mail höchstwahrscheinlich auch beim nächsten Mitarbeiter keinen Argwohn.

4 – Abräumen

Mit einer ganzen Menge Geduld und Beobachtungsgabe verbreitet sich der Trojaner also im Netzwerk, bis der Angreifer genügend Informationen über das Unternehmen beisammen hat. Durch das langsame, vorsichtige Vorgehen eröffnet sich für den Angreifer die Möglichkeit, dauerhaften Zugriff auf interne Netze und Systeme von Unternehmen zu erlangen. Der Lohn für die Mühen sind interne Informationen, die sich zu Geld machen lassen, oder im Falle von Banken möglicherweise auch gleich direkte Überweisungen. Ganz davon abgesehen, dass sich mit internem Zugriff auch ansonsten eine Menge Schindluder treiben lässt.

Die Geduld und Professionalität des Angreifers erschwert Gegenmaßnahmen deutlich. Das Verhalten der Malware wirkt legitim. Trotzdem lässt sich in der Erkennung und Bekämpfung einiges machen.

Gegenmaßnahmen?

Im von Kaspersky beobachteten Fall ist sowohl die URL, von der der Dropper heruntergeladen wird, als auch die IP des C&C-Servers hart in den Quellcode eingebettet. Diese Indikatoren lassen sich also z.B. über Proxys erkennen und über Firewalls blockieren. Langfristig gesehen können sich diese Eckdaten natürlich genauso ändern wie die Signatur der Malware, doch bis dahin hält der Fix.

Ein weiterer Ansatzpunkt ist Advanced Endpoint Security. Das schließt Verhaltensanalyse von Prozessen genauso ein wie die Analyse von E-Mails, die schnelle Quarantäne betroffener Endpunkte und eine vereinfachte Suche nach bekannten Indikatoren (z.B. Signaturen, IPs, …) über das gesamte Netzwerk.

Der wichtigste Hebel aber ist der informierte Mitarbeiter selbst. Sobald ihm irgendetwas am Verhalten seines Rechners seltsam vorkommt oder er eine Mail findet, die verdächtig aussieht, ja sogar selbst (oder erst recht), wenn er den Anhang schon geöffnet hat, muss er sich an eine zuständige Stelle wenden dürfen. Und das ohne Angst um seinen eigenen Kopf. Denn der Mitarbeiter in der Bank kann im Zweifelsfall ja auch nichts dafür, dass sich der Bankräuber ausgerechnet seine Filiale und seine Schicht ausgesucht hat, um mit der Pistole in der Hand zur Hintertür hereinzuschleichen.

Schreibe einen Kommentar