Wölfe im Schafpelz: Plugx, Blame und Simbot haben es auf Finanzkonten abgesehen

MalwareSophosLabs

IT-Sicherheitsstrukturen verzeichnen immer hartnäckigere, gezieltere Angriffe – und viele scheinen auf Finanzkonten ausgerichtet zu sein. Wir können die Zunahme nicht in Zahlen ausdrücken, doch die SophosLabs haben immer perfidere Angriffe ausgemacht, die bestimmte Unternehmen oder Institutionen zum Ziel haben, einschließlich Organisationen, die zuvor nicht als primäres Ziel in Frage kamen. Diese Angriffe schienen zunehmend auf die Schädigung von Finanzkonten gerichtet zu sein und zeigen das Interesse von herkömmlichen Cyberkriminellen, die Geld erbeuten möchten, an Bereitstellungsmethoden, die zuvor bei APT-Attacken (Advanced Persistence Threat) eingesetzt wurden.

Einige gezielte Angriffe versuchen sich als seriöse Anwendungen zu tarnen. Wir beobachten insbesondere gefährliche Diebstähle von Zertifikaten, bei denen reine, unterzeichnete Komponenten vom Windows-Betriebssystem oder Drittanbietern verwendet werden, um schädliche Komponenten zu laden. Der schädliche Code wird anschließend von einem vertrauenswürdigen Prozess ausgeführt. Wenn also eine Firewall ausgehenden Datenverkehr erkennt, wird u. U. davon ausgegangen, dass er legitim ist.
Sophos Principal Researcher Gabor Szappanos stellte jüngst neueste Erkenntnisse zu diesen gezielten Angriffen vor, in denen beschrieben wurde, wie sie für Monate oder gar Jahre unentdeckt bestehen können, indem das System minimal beeinträchtigt wird und nahe alles in verschlüsselter Form bleibt und sich stark den „reinen“ Anwendungen anpassen. Dieser Techniken zeigen den Weg zu einer Ära auf, in der Angriffe noch schwer zu entdecken sein werden.

So basiert Plugx beispielsweise darauf, digital unterzeichnete saubere Anwendungen auszunutzen. Es verwendet die bekannte Schwachstelle von Windows der DLL-Ladereihenfolge, indem die schädliche Bibliothek neben der Anwendung abgelegt wird. Bei Ausführung der Anwendung wird anstelle der sauberen DLL im Systemordner die Malware-DLL aus dem aktuellen Ordner geladen. Diese Schwachstelle spiegelt eine Entscheidung bei der Entwicklung wieder, die vor vielen Jahren getroffen wurde. Würde Microsoft das ändern, würden wahrscheinlich viele legitime Anwendungen ausfallen. Daher werden wir wohl noch länger mit dieser Schwachstelle zu tun haben.
Eine weitere Spezies, Blame, versteckt ihren schädlichen Inhalt tief in einer DLL, die aus verschiedenen Open-Souce-Projekten kompiliert wurde. Dazu zählt der weit verbreitete LAME MP3-Encoder, der als Köder fungiert und ausreichend unbefallenen Code hinzufügt, um den schädlichen Code zu verbergen.

Eine dritte Spezies, Simbot, definiert das neue BYOT-Angriffsmodell (Bring your own target). Es enthält eine reine, jedoch anfällige Anwendung, die mit einer extrem langen Befehlszeile beginnt. Diese führt zur Ausführung eines schädlichen Shellcodes, der verschlüsselt und den Haupt-Payload lädt.
Während die Nutzung von anfälligen Anwendungen keine neue Taktik ist, ist die Art neu, wie Simbot diese bei jedem Start auf bereits infizierten Systemen nutzt, um sicherzustellen, dass nur eine reine Anwendung ausgeführt wird und der schädliche Code nur über den Exploit ausgeführt wird. Dadurch, dass Simbot die Anwendung gleich mitliefert, ist es nicht von der bereits auf dem System installierten Anwendung abhängig und eine Behebung der Schwachstelle in einer späteren Version der Anwendung hat keine Auswirkungen. Der Ansatz von Simbot hinterlässt beinah keine Spuren.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s