- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Unklar, wer hinter den Angriffen steckt


Unsichtbare Angriffe: Im Speicher versteckte Malware greift Unternehmen in 40 Ländern an
Finanz- und Telekommunikationsbranche sowie Regierungsorganisationen betroffen - Hauptverdächtige sind die Gruppen GCMAN und Carbanak

- Anzeigen -





Die Experten von Kaspersky Lab haben eine Reihe zielgerichteter und nahezu unsichtbarer Attacken entdeckt, die ausschließlich mittels legitimer Software durchgeführt wurden. Die Angreifer nutzen weitverbreitete Tools für Penetrationstests und Administratoren sowie das PowerShell-Framework zur Aufgabenautomatisierung unter Windows. Es werden keine Malware-Dateien auf der Festplatte hinterlassen, sondern lediglich kurzeitig im Speicher versteckt. Der Ansatz verhindert eine Entdeckung durch Whitelisting-Technologien und hinterlässt Forensikern kaum analysierbare Spuren oder Malware-Muster. Die Angreifer verbleiben nur im System, solange sie Informationen sammeln. Mit dem nächsten Systemneustart sind alle Spuren beseitigt. Die Angreifer sind noch aktiv.

Ende des Jahres 2016 informierten Banken aus der GUS-Region Kaspersky Lab, dass sie eine Penetrationstest-Software, die oft für schadhafte Zwecke eingesetzt wird, unerwartet im Speicher ihrer Server gefunden haben. Anschließend entdeckten die Experten von Kaspersky Lab, dass der Penetrationstest-Code mit einer Reihe legitimer PowerShell-Skripts und anderen Hilfsmitteln verknüpft wurde. Die kombinierten Tools wurden in schafhaften Code umgearbeitet, der sich im Speicher verstecken und so unbemerkt Passwörter von Systemadministratoren sammeln konnte. Die Angreifer erlangten so die Kontrolle über ein System. Ziel war wohl der Zugriff auf Finanzprozesse.

Seither hat Kaspersky Lab eine Vielzahl solcher Attacken entdeckt: mehr als 140 Unternehmensnetzwerke in unterschiedlichen Wirtschaftsbereichen wurden angegriffen, vornehmlich Banken, Telekommunikationsunternehmen und Regierungsorganisationen. Die meisten Opfer stammen aus den USA, Frankreich, Ecuador, Kenia, Großbritannien und Russland. Auch wurden wenige deutsche und österreichische Zielobjekte ausgemacht. Insgesamt wurden Angriffe in 40 Ländern registriert.

Bisher ist unklar, wer hinter den Angriffen steckt. Der Einsatz von Open Source Exploit Code, herkömmlichen Windows-Tools und unbekannten Domains macht es fast unmöglich, die verantwortlichen Hintermänner zu bestimmen – oder herauszufinden, ob es sich um eine einzige Gruppe handelt oder um mehrere, die dieselben Werkzeuge verwenden. Bekannte Gruppen, die einen ähnlichen Ansatz verfolgen, sind GCMAN und Carbanak.

Kaspersky Lab: Einsatz legitimer und Open-Source-basierter Werkzeuge macht Zuweisung annähernd unmöglich
Die Verwendung derartiger Tools macht zudem die Entdeckung von Angriffsdetails schwierig. Für gewöhnlich folgen Experten während einer Vorfallreaktion (Incident Response) Spuren und Mustern, die im Netzwerk vom Angreifer zurückbleiben. Datenspuren können bis zu einem Jahr nach dem Vorfall auf Festplatten verbleiben, hier allerdings sind sie mit dem nächsten Neustart des Computers aus dem Speicher verschwunden. In diesem Fall konnten die Experten jedoch rechtzeitig die Spuren sichern.

"Die Entschlossenheit der Angreifer, ihre Aktivitäten zu verstecken und so die Entdeckung und eine Incident Response extrem zu erschweren, zeigt den neuesten Trend antiforensischer Techniken und speicherbasierter Malware", so Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab. "Speicherforensik wird deshalb für die Analyse von Malware und deren Funktionen besonders wichtig. Bei diesen Attacken nutzten die Angreifer jede denkbare antiforensische Technik und demonstrierten, dass keine Malware-Dateien für das erfolgreiche Herausfiltern von Daten aus einem Netzwerk benötigt werden. Gleichzeitig zeigt sich, dass die Verwendung legitimer und Open-Source-basierter Werkzeuge eine Zuweisung der Attacke fast unmöglich macht."

Die Angreifer sind noch aktiv. Daher sollten IT-Sicherheitsverantwortliche darauf achten, dass ein derartiger Cyberangriff nur im RAM (Random Access Memory), Netzwerk und der Registry entdeckt werden kann. YARA-Regeln, die auf dem Scan schadhafter Dateien basieren, bieten hier keinen Schutz. Die Lösungen von Kaspersky Lab entdecken Angriffe mit den oben genannten Taktiken, Techniken und Verfahren. (Kaspersky Lab: ra)

eingetragen: 10.03.17
Home & Newsletterlauf: 15.03.17


Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Techniken gegen virtuelle Maschinen

    Nach Angaben von IT-Sicherheitsunternehmen ist eine neue Variante des IoT/Linux Botnets Tsunami aufgetaucht. "Amnesia" richtet sich gegen nicht gepatchte Schwachstellen bei der Remote-Code-Ausführung in DVR-Geräten von TVT Digital. Geräte, die von mehr als 70 verschiedenen Hersteller weltweit unter deren Marke vertrieben werden. Betroffen sind rund 227.000 Geräte weltweit vornehmlich in Taiwan, den USA, Israel, der Türkei und Indien. Sicherheitsforscher gehen davon aus, dass dies eine der ersten Malware-Varianten ist, die fortgeschrittene Techniken gegen virtuelle Maschinen richtet, um die Malware-Analyse in Sandboxing-Umgebungen auszuhebeln. Wenn die Malware eine virtuelle Maschine findet, löscht sie das virtualisierte Linux-System indem sie alle Dateien im System vernichtet.

  • Instagram-Optik weckt Vertrauen

    Wieder einmal wurde der Google Play Store zum Einfallstor für Hacker: Forscher von Eset haben insgesamt 13 Fake-Apps entdeckt, welche vorgaben, Tools für das Erhöhen oder Steuern von Instagram-Follower-Zahlen zu sein. Ziel der Angreifer waren Anmeldedaten der beliebten Social-Media-Plattform. Google hat bereits reagiert und nach dem Hinweis der Eset Forscher sämtliche betroffene Apps aus dem Google Play Store entfernt. Lohnendes Geschäftsmodell: Zum ersten Mal kamen die Programme - beispielsweise "Instagram Followers", "Followers Insta" oder "Fast Followers for Instagram" - in der Türkei auf. Einige davon nutzen eine englische Lokalisierung, um Instagram-Nutzer weltweit zu erreichen. Insgesamt wurden die verschiedenen Apps 1,5 Millionen Mal heruntergeladen. Um Nutzer zum Download zu verleiten, versprachen sie ihnen einen rapiden Anstieg von Followern, Likes und Kommentaren für ihre Instagram-Accounts. Ironischerweise wurden die gehackten Accounts dazu genutzt, die Follower-Zahlen anderer Nutzer zu steigern: Die Remote-Server, an welche die Anmeldedaten gesendet wurden, betreiben Webseiten, auf denen Usern verschiedene Pakete für Beliebtheits-Booster auf Instagram angeboten werden. Für die Betreiber ist das ein lohnendes "Geschäftsmodell".

  • Sathurbot: Botnet greift WordPress-Seiten an

    Kostenlose Filme und Software: Damit lockt der Trojaner Sathurbot Nutzer, um ihre Rechner zu infizieren und mit einem wachsenden Botnet WordPress-Webseiten anzugreifen. Der europäische Security-Software-Hersteller Eset hat Sathurbot analysiert und stellt die Ergebnisse in einem ausführlichen Bericht vor. Sathurbot hat es auf Webseiten abgesehen die das Content Management System WordPress verwenden. Mit mehr als 5.000 grundlegenden generischen Wörtern versucht die Malware, Anmeldeinformationen für WordPress-Webseiten zu erstellen. Verschiedene Bots im Sathurbot-Botnet probieren unterschiedliche Anmeldeinformationen auf der gleichen Website aus.

  • Aktivitäten der Hackergruppe Callisto

    Einem Bericht der F-Secure Labs zufolge hat eine bis dato noch unbekannte Hackergruppe in den letzten Jahren aktiv nachrichtendienstliche Informationen über die Außen- und Sicherheitspolitik in Osteuropa und dem südlichen Kaukasus gesammelt. Der Bericht beschreibt die Callisto Gruppe als hoch motivierte und ressourcenstarke Hacker und ernst zu nehmende Bedrohung, die seit mindestens 2015 Cyberattacken auf Militärpersonal, Regierungsangestellte, Journalisten und Think Tanks durchgeführt hat.

  • Malware-Scanner umgehen

    Panda Security hat einen neuen Trojaner namens RDPPatcher entdeckt. Das Ungewöhnliche an dieser Ransomware ist, dass sie nicht dazu genutzt wird, Anmeldedaten zu stehlen. Stattdessen sammelt sie so viele Daten wie möglich. Der Trojaner wurde offenbar speziell dafür entwickelt, die infizierten Systeme zu inventarisieren und insbesondere nach POS-, ATM- und Online-Glücksspielsoftware zu suchen. Ziel dieser Hacker-Methode ist es, den Zugriff auf die Geräte an spezialisierte Gruppen von Cyberkriminellen zu verkaufen. In jüngster Zeit verzeichnen die PandaLabs, Panda Securitys Anti-Malware-Labor, einen starken Aufwärtstrend bei Malware, die mithilfe eines Remote Desktop Protokolls (RDP) installiert wird. Jeden Tag registrieren die PandaLabs-Experten inzwischen Tausende von Infektionsversuchen, die eine Sache gemeinsam haben: Den Zugriff auf infizierte Systeme über RDP, nachdem man mittels Brute-Force-Methode in den Besitz der Anmeldedaten gelangt ist.