- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Malware-Scanner umgehen


Sticky-Keys-Attacke: Wenn sich das Betriebssystem gegen Sie richtet
Panda Security entdeckt neuen Typ von gezielten Cyberangriffen

- Anzeigen -





PandaLabs hat einen neuen Typ von gezielten Angriffen gegen Unternehmen entdeckt. Dabei nutzen die Hacker keinerlei Malware, um Daten von Unternehmensnetzwerken zu stehlen. Alles, was der Angreifer tun muss, ist, fünf Mal die Shift-Taste eines Computers zu drücken, um das Sticky-Keys-Feature zu aktivieren und das betroffene System zu kompromittieren. Denn diese Keys ermöglichen es den Cyberkriminellen, eine Back Door auf dem attackierten Computer zu öffnen – normalerweise ein Server, der zuvor mithilfe einer Brute-Force-Attacke gegen das Remote Desktop Protokoll (RDP) gehackt wurde. Selbst wenn der Angriff bemerkt und die Zugangsdaten zum RDP geändert werden, können die Cyberkriminellen so weiterhin Sticky Keys aktivieren und sozusagen ‚durch die Hintertür‘ auf das System zugreifen, ohne die (neuen) Zugangsdaten zu kennen.

Entdeckt wurde diese clevere Masche von den PandaLabs, als deren IT-Experten eine Attacke gegen ein ungarisches Unternehmen analysierten. Das Besondere daran: Der Angriff nutzte nicht irgendwelche Malware als solche (z.B. Phishing, Würmer oder die gefürchteten Verschlüsselungstrojaner), sondern Skripts und andere zum Betriebssystem gehörige Tools, um die Malware-Scanner zu umgehen. Dies ist nur ein weiteres Beispiel für die zunehmende Selbstsicherheit und Professionalität, die IT-Security- bei Cyberkriminellen in den letzten Monaten beobachtet haben.

Analyse einer Attacke ohne Malware-Verwendung
Zunächst starten die Hacker ihren Angriff, indem sie mithilfe des Remote Desktop Protokolls (RDP) eine Brute-Force-Attacke gegen einen Server einleiten. Sobald sie die Login-Daten des Computers bekommen haben, haben sie kompletten Zugriff auf diesen.

Das Nächste, was die Hacker tun, ist, dass sie die sethc.exe-Datei mit dem Parameter 211 vom Command Prompt Window (CMD) des Computers starten. Dies aktiviert das ‚Sticky Keys‘-Feature des Systems. Sicherlich haben Sie diese Nachricht schon mal gesehen:

Dann wird ein Programm namens ‚Traffic Spirit‘ heruntergeladen und gestartet. ‚Traffic Spirit‘ ist eine Anwendung zur Traffic-Generierung, die in diesem Fall dazu genutzt wird, um Geld mit den kompromittierten Computern zu machen.

Anschließend wird eine selbst-extrahierende Datei gestartet, die die folgenden Dateien in den %Windows%\cmdacoBin-Ordner dekomprimiert:
• >> registery.reg
• >> SCracker.bat
• >> sys.bat

Die Angreifer fahren dann mit dem Start des Windows Registry Editors (Regedit.exe) fort und fügen den folgenden in der registery.reg-Datei enthaltenen Key hinzu:
Der Key hat folgendes Ziel: Jedes Mal, wenn das Sticky-Keys-Feature genutzt wird (sethc.exe), startet eine Datei namens SCracker.bat. Dies ist eine Batch-Datei, die ein sehr einfaches Authentifizierungssystem implementiert.

Der Benutzername und das Passwort werden aus zwei in der Datei sys.bat enthaltenen Variablen abgerufen: Auf diese Weise installiert der Angreifer eine Back Door auf dem betroffenen System. Mit dieser ‚Hintertür‘ ist der Angreifer in der Lage, sich mit dem Zielcomputer zu verbinden, ohne die Anmeldeinformationen eingeben zu müssen. Er aktiviert die Sticky-Keys-Funktion (z. B. durch fünfmaliges Drücken der SHIFT-Taste) und gibt den entsprechenden Benutzernamen und das Passwort in die Command Shell ein:

Die Command Shell Shortcuts erlauben dem Angreifer, auf bestimmte Verzeichnisse zuzugreifen, die Konsolenfarbe zu ändern und andere typische Befehlszeilenbefehle zu verwenden.

Der Angriff hört hier aber nicht auf. In ihrem Versuch, so viel Gewinn wie möglich von mit der angegriffenen Firma zu machen, installiert der Angreifer einen Bitcoin-Miner, um mit jedem kompromittierten Computer weiteres Geld zu erhalten. Bitcoin-Mining-Software zielt darauf ab, die Computerressourcen der Opfer zu nutzen, um die virtuelle Währung zu erzeugen, ohne dass sie es bemerken. Eine billige und sehr effektive Möglichkeit, Computerinfektionen zu monetarisieren.

Wie hilft die Sticky-Keys-Funktion den Cyberkriminellen?
Wofür benötigen Angreifer eine Back Door, wenn sie über eine RDP-Verbindung gezielt auf einen Computer zugreifen können? Die Antwort auf diese Frage ist einfach: Die Installation einer Hintertür auf dem betroffenen System ermöglicht es dem Angreifer, durch Aktivierung der Sticky-Keys-Funktion jederzeit wieder auf das System zugreifen zu können, selbst wenn das Opfer den Angriff bemerkt und seine Login-Daten ändert.

Adaptive Defense 360, die fortschrittliche Cyber-Security-Lösung von Panda Security, konnte diesen gezielten Angriff durch die kontinuierliche Überwachung des IT-Netzwerks des betroffenen ungarischen Unternehmens bereits in den Anfängen stoppen. Die Firma wurde somit vor ernsthaften finanziellen Einbußen und Reputationsschäden bewahrt. (Panda Security: ra)

eingetragen: 17.04.17
Home & Newsletterlauf: 21.04.17


Panda Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Erfolgreiche Methoden in neuem Gewand

    Forscher von Eset haben sich eine aktuelle Malware-Kampagne der asiatischen Hacker-Gruppe OceanLotus genauer angesehen. Diese Gruppe ist auch unter den Namen APT32 oder APT C-00 bekannt und greift vor allem Ziele in Ostasien an. Laut den Forschungsergebnissen nutzen die Cyberkriminellen zwar weitgehend die gleichen bekannten Prozesse wie bei vorherigen Angriffe, aber eine neue Backdoor. Ein White Paper von Eset zeigt die verschiedenen Methoden für drei Ziele auf: Nutzer zur Ausführung der Backdoor verleiten, die Malware-Analyse verzögern und Entdeckung verhindern.

  • Cyberattacke auf unvorsichtige Nutzer

    Barracuda Networks hat eine neue Form einer Cyberattacke auf unvorsichtige Nutzer identifiziert, die von Kriminellen genutzt werden kann, um Ransomware oder andere Malware zu verbreiten. Die Angreifer nutzen eine für die Nutzer unbekannte Dateiendung innerhalb eines Links, um den bereits bekannten Trojaner Quant Loader zu starten, der in der in der Lage ist, Ransomware zu verbreiten und Passwörter abzugreifen. Die Angriffstechnik über Links in E-Mails ist zwar nicht neu, neu bei dieser Variante ist, dass der URL nicht "http://" vorangestellt ist, sondern "file://", was sie mit Samba verknüpft anstatt eines Webbrowsers.

  • Ziel, sensible Daten stehlen

    Die Experten von Kaspersky Lab haben Teile der Infrastruktur der bekannten russischsprachigen APT-Gruppe "Crouching Yeti" - auch bekannt als Energetic Bear - aufgedeckt, darunter kompromittierte Server auf der ganzen Welt. Laut den Cybersicherheitsexperten waren seit dem Jahr 2016 zahlreiche Server in verschiedenen Ländern betroffen, auch um auf andere Ressourcen Zugriff zu erhalten. Weitere Server, einschließlich derjenigen, die russische Websites hosten, wurden für Wasserloch-Attacken genutzt. Kaspersky Lab hat im Vorfeld der Hannover Messe Industrie, die vom 23. bis zum 27. April 2018 stattfindet, bereits für die zweite Jahreshälfte 2017 überwiegend viele Cyberattacken gegen Organisationen aus den Branchen Energie sowie Maschinenbau und ICS-Integration gemeldet.

  • Miner für Kryptowährungen

    Sicherheitsforscher haben erstmals einen Miner für Kryptowährungen entdeckt, der eine "Kill List"-Funktion enthält. Sie stoppt laufende Prozesse anderer Coinminer und versucht so die Rechenleistung zur Transaktionsverarbeitung eines infizierten Computers komplett für sich in Beschlag zu nehmen. Also quasi rivalisierende Miner auszuschalten. Xavier Mertens, Sicherheitsforscher beim ICS Sans, hält diesen Coinminer an sich aber für nichts Ungewöhnliches, sondern für eine der vielen neuen Malware-Varianten, die sich auf das Mining von Kryptowährungen spezialisiert haben und insbesondere seit Beginn dieses Jahres auftauchen. Seit Anfang 2018 hat sich die Cyberkrimininalität ganz offensichtlich von Ransomware verstärkt auf die Verteilung von Coinminern verlagert.

  • Die Schadsoftware ist in Skins enthalten

    Eine 30-Tage-Datenanalyse von Avast ergab, dass nahezu 50.000 Minecraft-Accounts mit Malware infiziert wurden. Die Schadsoftware kann Festplatten neu formatieren und Backups und Systemprogramme löschen. Das verseuchte Powershell-Script, das die Sicherheitsexperten des Avast Threat Labs entdeckt haben, wird mit Hilfe der Minecraft "Skins" in Form von PNG-Dateien verbreitet. Diese Skins sind beliebte Features, um das Aussehen eines Minecraft Avatars zu verändern. Sie können von diversen Online-Quellen auf die Minecraft-Website hochgeladen werden und stehen dann für die Spieler zum Download bereit.