- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Adwind: König der Trojaner


Geschäftsmodell RATs: AlienSpy und TaaS (Trojans-as-a Service)
Raffiniertere RATs wie KilerRAT haben viel zu bieten: Sie sind in der Lage, Tastatureingaben zu erfassen, auf Laptop-Kameras zuzugreifen und die Windows Registry direkt zu manipulieren

(22.04.16) - Remote-Access-Trojaner (RATs) sind so etwas wie die Mausefallen der Hackerwelt und als solche sind sie kaum noch zu verbessern. Mit Hilfe von RATs gelingt es Hackern in ein Zielsystem einzudringen. Sobald die schädliche Fracht (meist über eine Phishing-E-Mail) auf Client-Seite installiert ist, kann der Angreifer sich Dateien anzeigen lassen und abgreifen, zusätzliche Malware laden, Anwendungen starten und Shells erstellen.

Der RAT sitzt auf dem C2-Server des Hackers und lauscht an Port 80. So bleibt der RAT-Datenverkehr verborgen und sieht wie eine ganz normale Web-Interaktion aus. Zudem verfügen RATs über integrierte Funktionen, die ihre Anwesenheit verschleiern.

Kurz gesagt: Es ist nicht ganz so einfach sie zu bemerken.

Raffiniertere RATs wie KilerRAT haben noch mehr zu bieten. Sie sind in der Lage, Tastatureingaben zu erfassen, auf Laptop-Kameras zuzugreifen und die Windows Registry direkt zu manipulieren.

Doch abgesehen von solchen Neuerungen sind aktuelle RATs den ersten Varianten, die wir in der Blog-Serie zu Penetrationstests beschrieben haben, im Grunde genommen sehr ähnlich.

Adwind, AlienSpy & Co. ändern die Spielregeln
Nun scheint allerdings ein Hacker-Labor eine noch bessere Art von RAT entwickelt zu haben. Sie nennt sich Adwind und ist quasi der König der Trojaner.

Laut Angaben der Spezialisten von Kaspersky, tauchte der RAT bereits 2013 zum ersten Mal auf.

Dass es für RATs und Schadprogramme im Internet einen florierenden Markt gibt auf dem man sie wie handelsübliche Software erwerben kann ist bekannt. Das Interessante speziell an diesem RAT aber ist, dass man die Schadsoftware nicht unbedingt kaufen muss.

Im Fall von Adwind wird die Malware in der Cloud gehostet und die Hacker bezahlen lediglich eine monatliche Gebühr. Je nach Bedarf kann man zusätzliche Features buchen und geeignete Phishing-E-Mail-Kampagnen auswählen. Das macht die ganze Sache auch für "Möchtegern"-Hacker und Anfänger in diesem Business interessant. Bei diesem Modell muss man nicht ein Mal selbst die Software installieren. Das wird alles für den Kunden erledigt.

Hinter diesem Trojan-as-a-Service-Geschäftsmodell stecken also ganz offensichtlich kluge Köpfe mit einem ausgeprägten Sinn fürs Geschäftliche.

Und noch etwas ist an Adwind ungewöhnlich: Er basiert auf Java und funktioniert deshalb unabhängig vom Betriebssystem. Es läuft auf Windows, Linux und jeder anderen Plattform mit einer Java-Laufzeitumgebung. Die Phishing-Mail mit der schädlichen Payload ist eigentlich eine JAR-Datei.

Die Malware-Szene ist äußerst lebendig, und es werden laufend Produktnamen geändert und neue Features hinzugefügt. 2015 kam AlienSpy als verbesserte Version von Adwind auf den Markt. Dieser innovative RAT kann Antiviren-Software nicht nur besser erkennen und deaktivieren – er ist sogar in der Lage die Benutzerkontensteuerung für Windows ausschalten. Auch er setzt den Allatori Java Obfuscator ein, ein Tool zum Verschleiern des Java-Codes. Hacker sind also durchaus darauf bedacht, ihr geistiges Eigentum zu schützen.

Der Nachfolger von AlienSpy
AlienSpy und sein Vorgänger waren bisher ziemlich erfolgreich. Laut Kaspersky haben sie in unter-schiedlichen Versionen mehr als 400.000 Systeme weltweit infiziert.

AlienSpy ist aber inzwischen sehr bekannt und umfassend untersucht worden. Deshalb wollten die Entwickler ein wenig Verwirrung stiften und benannten den RAT vor kurzem um. Er treibt jetzt als JSocket sein Unwesen. Angeblich wurden die Selbstverschlüsselungs-Funktionen optimiert, sodass es nun noch schwieriger ist, ihn zu analysieren.

Man darf also getrost davon ausgehen, dass es immer wieder neue Bedrohungen geben wird, die man nicht auf Anhieb erkennen wird. RATs sind inzwischen einfach zu einem Teil der IT-Welt geworden. (Varonis: ra)

Varonis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Werbeanzeigen lösen Wi-Fi-Verbindungen aus

    Die Sicherheitsforscher von Check Point Software Technologies haben die neue Adware "LightsOut" in Google Play entdeckt. Die Malware wurde in 22 unterschiedlichen Flashlight- und Dienstprogramm-Anwendungen im offiziellen App-Store von Google gefunden. Dabei geht man von einer erreichten Verbreitung von 1,5 Millionen bis 7,5 Millionen Downloads aus. Ziel von LightsOut war die Generierung illegaler Werbeeinnahmen auf Kosten seiner ahnungslosen Opfer.

  • Zielrichtung E-Mail und Social Media

    Der Banking-Trojaner Terdot, der ursprünglich auf Online-Banking und Zahlungsvorgänge abzielte, feiert gerade Comeback als Instrument zum Diebstahl von Daten und Anmeldeinformationen. Ein aktuell veröffentlichtes Whitepaper von Bitdefender zeichnet detailliert nach, wie der Trojaner entstanden ist, wie er sich ausbreitet und tarnt, was er an Fähigkeiten heute besitzt und wie er sich noch entwickeln könnte. Leser erhalten mit der detaillierten technischen Analyse ein Musterbeispiel, wie Cyberkriminelle heute ihre Attacken individualisieren und perfektionieren. Seine Fähigkeiten gehen über den Primärzweck eines Banking-Trojaners weit hinaus: Terdot kann unter anderem durch einen leistungsstarken Man-in-the-Middle-Proxy sensible Daten aus dem gesamten Internetverkehr eines Users filtern und weiterleiten. Zudem ist es ihm möglich, Browser-Informationen wie Login-Daten und Kreditkarteninformationen zu stehlen und HTML-Code in besuchte Webseiten zu injizieren.

  • Selbstschutz und Zerstörung

    Die Experten von Kaspersky Lab haben mit ,Loapi' eine neue, multimodular aufgebaute mobile Malware entdeckt, die nahezu beliebig schädliche Aktionen ausführen kann - von nicht gewünschten Werbeeinblenden über SMS-Betrug bis hin zum Mining von Kryptowährungen und zur Durchführung von DDoS-Attacken (Distributed Denial-of-Service). Durch seine modulare Architektur kann der ungewöhnliche und mächtige Android-Trojaner auf einem kompromittierten Gerät um zahlreiche schädliche Funktionen nachgerüstet werden. Ein weiteres Merkmal unterscheidet ,Loapi' von der Masse üblicher Android-Malware: der Schädling kann ein mobiles Gerät durch eine zu hohe Auslastung physisch zerstören.

  • Riesiges neues Bot-Netz entdeckt

    Sicherheitsforscher haben ein riesiges neues Bot-Netz entdeckt, das auf den Namen Reaper oder auch "Io Troop" getauft wurde. Und das mit gutem Grund, denn es zielt vor allem auf schlecht gesicherte Geräte im Internet der Dinge ab und versucht aus ihnen eine Art Zombie-Armee zu machen. Das Ausmaß ist beachtlich und Forscher sprechen bereits von Größenordnungen, die potenziell das gesamte Internet lahmlegen könnten. Was die Zahlen anbelangt, wurde jüngst veröffentlicht, dass mehr als geschätzte 1 Million Unternehmen weltweit infiziert sind. Io Troop habe das Potenzial noch leistungsstärker zu sein als das bekannte Mirai-Botnet, einer der folgenschwersten Cyberangriffe überhaupt.

  • Hintergrund zum Mokes Backdoor

    Anfang Oktober 2017 wurde im Wall Street Journal ein Artikel mit dem Vorwurf veröffentlicht, dass über Software von Kaspersky Lab als vertraulich eingestufte Daten von einem privaten Rechner eines NSA-Mitarbeiters geladen wurden. Da sich Kaspersky Lab seit 20 Jahren an vorderster Front im Kampf gegen Cyberspionage und Cyberkriminalität sieht, wurden die Vorwürfe innerhalb des Unternehmens sehr ernst behandelt. Kaspersky Lab hat daher eine interne Untersuchung durchgeführt, um Fakten zu sammeln und jegliche Bedenken zu adressieren. Bereits am 25. Oktober 2017 wurden erste, vorläufige Ergebnisse der Untersuchung veröffentlicht - darunter allgemeine Erkenntnisse der unternehmensinternen Suche nach Beweisen für die in den Medien geäußerten Vorwürfe. Der veröffentlichte neue Bericht bestätigt die vorläufigen Ergebnisse und gibt zusätzliche Einblicke der telemetrischen Analyse des Vorfalls durch Kaspersky-Produkte. Demnach lassen sich auf dem betroffenen Rechner verdächtige Aktivitäten feststellen, und zwar im Zeitraum des Vorfalls im Jahr 2014.