zurück zur Übersicht

Wenn der Hammer fällt: Warnung vor HAMMERTOSS

Hammer_bWie im kalten Krieg bleiben die Ziele gleich, aber die Mittel und Wege diese zu erreichen verändern sich. Früher waren es Spione, die sich mittels falscher Identitäten in fremdem Territorium bewegten. Ihr Ziel: Informationen sammeln und durch codierte Funksprüche zurückmelden. Heute im Web 2.0 schleust sich Malware wie HAMMERTOSS in Systeme ein – und kommuniziert mit dem Auftraggeber per Twitter. HAMMERTOSS ist eine neue Malware von APT29, einer mutmaßlich russischen Advanced-Persistent-Threat-Gruppierung. Besonders raffiniert: das Schadprogramm nutzt Steganographie (versteckte Daten in einem Bild) um über getweetete Bilder heimlich Steuerbefehle abzurufen. Doch wie genau macht HAMMERTOSS das und warum ist es so gefährlich für Unternehmen? Die bei APT (Advanced Persistent Threat) Angriffen eingesetzte Malware benötigt in der Regel Steuerungsanweisungen. Diese werden normalerweise durch einen „Domain Generation Algorithm“ (DGA) abgerufen. Das Schadprogramm erzeugt so ständig Verbindungen zu nichtexistenten oder harmlosen Servern, um die Adresse des echten Angriffsservers (Command and Control Server) zu verschleiern, von dem die Instruktionen kommen.

Statt eines DGA wird hier ein „Twitter Handle Generation“ -Algorithmus verwendet, der für jeden Tag eine neue Verbindung zu Twitter aufbaut. Will nun APT 29 mit HAMMERTOSS kommunizieren, so setzt die Gruppe einen Twitter Account auf, den die HAMMERTOSS Malware an diesem bestimmten Tag besuchen wird. Die Daten, die HAMMERTOSS sammelt, werden in die Cloud geladen, wo APT 29 sie schliesslich ohne Probleme abgreifen kann.

Die Kommunikation sieht wie folgt aus:
APT 29 kennt den Algorithmus nach dem HAMMERTOSS Twitter kontaktiert, und erstellt entsprechend einen Tweet den die Malware beim nächsten Kontakt findet. Auf dieser Seite wird nun ein Link und ein Hashtag getweetet. Der Link führt zu einer weiteren Webpage, die harmlos aussehende Bilder enthält. Im Hashtag selbst sind Zusatzinformationen codiert, wie die Position im Bild, an der die versteckten Instruktionen stehen und ein Teil des Schlüssels, der für die Entschlüsselung des Codes notwendig ist. Auf diese Weise wird Twitter zum Command and Control Server für HAMMERTOSS. Dabei verschleiert die Software zusätzlich ihren Datenverkehr indem sie nur zu „normalen Geschäftszeiten“ aktiv wird. Da die meisten Firmen heutzutage selbst Twitter nutzen, um Neuigkeiten oder Informationen zu veröffentlichen, ist es problematisch, Verbindungen zu Twitter generell zu blockieren. Was also tun, um sich vor so einem Angriff zu schützen oder ihn zumindest frühzeitig zu erkennen?

Heutige SIEM (Security Information and Event Management) Systeme können Malware-typisches Verhalten durch Korrelation von Logs unterschiedlicher sicherheitsrelevanter Systeme wie z.b. Firewall oder IDS erkennen. Das Vorgehen von erartigen APTs an sich folgt einem relativ typischen Muster. HAMMERTOSS macht da keine Ausnahme. Geeignete Tools zur Detektion gibt es in vielen Varianten für verschiedene Situationen. Lassen Sie sich von der iT-CUBE SYSTEMS AG beraten welche Lösung für Sie die beste ist – oder profitieren Sie direkt von langjähriger Erfahrung, top qualifizierten Mitarbeitern sowie ausgereiften Tools und informieren Sie sich über unsere Managed Security Services.


Links:

https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf
https://www2.fireeye.com/APT29-HAMMERTOSS-WEB-2015-RPT.html
http://www.pressebox.de/inaktiv/fireeye/Neuer-Report-von-FireEye-enthuellt-anspruchsvolle-Taktiken-einer-russischen-APT-Gruppierung/boxid/750556
http://securityaffairs.co/wordpress/38978/cyber-crime/apt-29-report.html
http://fusion.net/story/174703/russian-hacker-squad-apt-29-is-using-twitter-to-steal-valuable-data/
http://www.securityweek.com/russian-hacker-tool-uses-legitimate-web-services-hide-attacks-fireeye

Schreibe einen Kommentar