zurück zur Übersicht

Von Glasratten und Rosinenpickern

glassrat_2Der Begriff Zero-Day-Vulnerability ist in aller Munde, doch wie steht es um Zero-Detection-Malware? Im November haben zwei Unternehmen Berichte über ausgefuchste Schadprogramme veröffentlicht, die verschiedene ausgefeilte Techniken benutzen, um unter dem Radar konventioneller Endpoint-Security-Komponenten hindurch zu schlüpfen. Und als wäre diese Tatsache an sich nicht schon beunruhigend genug, kommt leider noch hinzu, dass beide Programme wohl schon seit einigen Jahren weitestgehend unbemerkt zum Einsatz kamen.

Trustwave berichtete über Cherry Picker, eine Malware die es darauf abgesehen hat sogenannte Point-of-Sale-Terminals (PoS), also Geräte für den bargeldlosen Zahlungsverkehr, anzugreifen, um Kreditkarteninformationen zu stehlen. Diese werden durch Einbindung einer DLL in den regulären Verarbeitungsprozess aus dem Speicher des Systems extrahiert. Dabei nutzt Cherry Picker verschiedene Techniken, um sich vor Virenscannern und Sandboxing-Lösungen zu verstecken. Der Dropper, also der Teil der Schadsoftware, der für die persistente Installation verantwortlich ist, startet die Installation der maliziösen DLL nur, wenn ein bestimmter Parameter angegeben wird. Dies verhindert, dass AV-Lösungen, die eine Verhaltensanalyse der Datei durchführen, diese als Schadsoftware erkennen. Um sich dauerhaft auf dem System zu verankern, nutzt Cherry Picker zwei verschiedene Ansätze. Zum einen kann durch Modifikation des AppInit_DLLs Registrierungsschlüssels das Laden einer DLL bei allen Prozessen erreicht werden, die mit user32.dll verlinkt sind. Dies hat allerdings den Nachteil, dass die Veränderung des Registrierungsschlüssels Spuren hinterlässt, die letztlich belegen, dass die Malware aktiv ist. Der weitaus unauffälligere Weg besteht darin, eine DLL direkt zu patchen, z.B. eben jene user32.dll, mit der die Mehrzahl der Windowsapplikationen verlinkt ist. Die maliziöse DLL wird dann aufgerufen bevor der legitime Inhalt der DLL ausgeführt wird.

Die nächste Verschleierungsmaßnahme ist in der verschlüsselten Konfigurationsdatei der Schadsoftware zu finden. Neben Daten zur Verschlüsselung und Ausschleusung der extrahierten Kreditkartendaten kann hier ein Zielprozess spezifiziert werden. Wird dieser nicht gefunden, beendet sich die Schadsoftware. Dieses Verhalten gab der Schadsoftware den Namen und lässt darauf schließen, dass der Angreifer intensive Aufklärungsarbeit betrieben haben muss, um herauszufinden welcher Prozess konkret für die Verarbeitung der Kreditkartendaten verantwortlich ist und somit das eigentliche Ziel darstellt. Letztlich beinhaltet Cherry Picker noch Komponenten, um nach getaner Arbeit seine Spuren zu verwischen. Hierzu werden die relevanten Dateien mehrfach überschrieben, umbenannt und schließlich gelöscht. Im Idealfall bleibt kein Indiz zurück an dem bei einer forensischen Untersuchung des betroffenen Systems angeknüpft werden kann.

Über GlassRAT, einen vormals nicht aufspürbaren Remote-Access-Trojaner berichtete RSA. Die Schadsoftware kam in den letzten 3 Jahren wohl hauptsächlich in Angriffen gegen chinesische Staatsbürger zum Einsatz, die in Verbindung mit multinationalen Konzernen stehen. Die Analysten von RSA beschreiben ihn als Beispiel für gutes und effektives Malware-Design. Die Dropper-Komponente wurde in diesem Fall mit einem gestohlenen Code-Signing-Zertifikat eines vertrauenswürdigen und wohlbekannten chinesischen Softwareherstellers signiert, um die Opfer in Sicherheit zu wiegen. Nach erfolgter Installation einer DLL löscht sich die Dropper-Komponente selbst. Doch noch viel interessanter als die Malware selbst, ist die Tatsache, dass die Domänen, mit denen der Trojaner kommuniziert, teilweise bereits in anderen Malware-Kampagnen (Mirage und PlugX) verwendet wurden. Dies legt nahe, dass die Urheber solcher Angriffe ein ganzes Arsenal von Werkzeugen zur Verfügung haben, aus dem sie sich je nach spezifischen Eigenschaften des Angriffsziels bedienen können.

Doch welche Schlüsse kann man nun aus diesen beiden Beispielen für die Sicherheitsstrategie von Unternehmen ziehen?

Zunächst bestätigt sich hier wieder einmal, dass signatur- und verhaltensbasierte Schutzprogramme schnell an ihre Grenzen stoßen, wenn Drahtzieher eines Angriffs die Möglichkeit haben, auf bisher unbekannte Schadprogramme zurückzugreifen bzw. neue Derivate zu erstellen. Die Zeitspanne die Prevention-Lösungen bleibt, um eine Datei als potentiell gefährlich zu klassifizieren und entsprechende Maßnahmen zu ergreifen, ist einfach zu kurz und die Maßnahmen, die die Entwickler der Schadsoftware benutzen, um einer Erkennung zu entgehen sind mannigfaltig. Je komplexer und modularer eine Schadsoftware jedoch ist, desto länger dauert der damit verbundene Angriff. Somit steigt aber letztlich auch die Summe der Indizien, die zu seiner Entdeckung führen können. Es ist allerdings essenziell, diese Indizien, auch Indicators of Compromise (IoC) genannt, zu erkennen.

Die Angreifer die Cherry Picker benutzten, mussten den relevanten Prozess für die Verarbeitung von Kreditkartendaten auf den PoS-Terminals auskundschaften und GlassRAT erhielt Instruktionen von bekannten Command&Control-Servern (C&C). Die Grundlage der Erkennung ist die Verfügbarkeit entsprechender Informationen. Ohne ein funktionierendes Log-Management können sie Logdateien nicht nach Auffälligkeiten durchsuchen. Ein effektiv und effizient betriebenes SIEM-System hilft Ihnen, verschiedene Events automatisch zu korrelieren und miteinander in Bezug zu setzen. Über Threat-Intelligence-Feeds profitieren Sie von Beobachtungen in anderen Umgebungen (wie z.B. identifizierte C&C-Server) und Incident-Response-Tools ermöglichen Ihnen detailliierte Analysen und Bereinigungsmaßnahmen direkt auf den betroffenen Zielsystemen.

Sprechen Sie uns an. Wir beraten Sie gern, wie Sie sich gegen die Folgen von Malware schützen, die ihr Virenscanner (noch) nicht erkennt.


Weiterführende Informationen:

https://community.rsa.com/community/products/netwitness/blog/2015/11/25/detecting-glassrat-using-security-analytics-and-ecat
https://www.trustwave.com/Resources/SpiderLabs-Blog/Shining-the-Spotlight-on-Cherry-Picker-PoS-Malware/

Bild: ©iT-CUBE SYSTEMS AG 2015

Schreibe einen Kommentar