- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Adwind: König der Trojaner


Geschäftsmodell RATs: AlienSpy und TaaS (Trojans-as-a Service)
Raffiniertere RATs wie KilerRAT haben viel zu bieten: Sie sind in der Lage, Tastatureingaben zu erfassen, auf Laptop-Kameras zuzugreifen und die Windows Registry direkt zu manipulieren

(22.04.16) - Remote-Access-Trojaner (RATs) sind so etwas wie die Mausefallen der Hackerwelt und als solche sind sie kaum noch zu verbessern. Mit Hilfe von RATs gelingt es Hackern in ein Zielsystem einzudringen. Sobald die schädliche Fracht (meist über eine Phishing-E-Mail) auf Client-Seite installiert ist, kann der Angreifer sich Dateien anzeigen lassen und abgreifen, zusätzliche Malware laden, Anwendungen starten und Shells erstellen.

Der RAT sitzt auf dem C2-Server des Hackers und lauscht an Port 80. So bleibt der RAT-Datenverkehr verborgen und sieht wie eine ganz normale Web-Interaktion aus. Zudem verfügen RATs über integrierte Funktionen, die ihre Anwesenheit verschleiern.

Kurz gesagt: Es ist nicht ganz so einfach sie zu bemerken.

Raffiniertere RATs wie KilerRAT haben noch mehr zu bieten. Sie sind in der Lage, Tastatureingaben zu erfassen, auf Laptop-Kameras zuzugreifen und die Windows Registry direkt zu manipulieren.

Doch abgesehen von solchen Neuerungen sind aktuelle RATs den ersten Varianten, die wir in der Blog-Serie zu Penetrationstests beschrieben haben, im Grunde genommen sehr ähnlich.

Adwind, AlienSpy & Co. ändern die Spielregeln
Nun scheint allerdings ein Hacker-Labor eine noch bessere Art von RAT entwickelt zu haben. Sie nennt sich Adwind und ist quasi der König der Trojaner.

Laut Angaben der Spezialisten von Kaspersky, tauchte der RAT bereits 2013 zum ersten Mal auf.

Dass es für RATs und Schadprogramme im Internet einen florierenden Markt gibt auf dem man sie wie handelsübliche Software erwerben kann ist bekannt. Das Interessante speziell an diesem RAT aber ist, dass man die Schadsoftware nicht unbedingt kaufen muss.

Im Fall von Adwind wird die Malware in der Cloud gehostet und die Hacker bezahlen lediglich eine monatliche Gebühr. Je nach Bedarf kann man zusätzliche Features buchen und geeignete Phishing-E-Mail-Kampagnen auswählen. Das macht die ganze Sache auch für "Möchtegern"-Hacker und Anfänger in diesem Business interessant. Bei diesem Modell muss man nicht ein Mal selbst die Software installieren. Das wird alles für den Kunden erledigt.

Hinter diesem Trojan-as-a-Service-Geschäftsmodell stecken also ganz offensichtlich kluge Köpfe mit einem ausgeprägten Sinn fürs Geschäftliche.

Und noch etwas ist an Adwind ungewöhnlich: Er basiert auf Java und funktioniert deshalb unabhängig vom Betriebssystem. Es läuft auf Windows, Linux und jeder anderen Plattform mit einer Java-Laufzeitumgebung. Die Phishing-Mail mit der schädlichen Payload ist eigentlich eine JAR-Datei.

Die Malware-Szene ist äußerst lebendig, und es werden laufend Produktnamen geändert und neue Features hinzugefügt. 2015 kam AlienSpy als verbesserte Version von Adwind auf den Markt. Dieser innovative RAT kann Antiviren-Software nicht nur besser erkennen und deaktivieren – er ist sogar in der Lage die Benutzerkontensteuerung für Windows ausschalten. Auch er setzt den Allatori Java Obfuscator ein, ein Tool zum Verschleiern des Java-Codes. Hacker sind also durchaus darauf bedacht, ihr geistiges Eigentum zu schützen.

Der Nachfolger von AlienSpy
AlienSpy und sein Vorgänger waren bisher ziemlich erfolgreich. Laut Kaspersky haben sie in unter-schiedlichen Versionen mehr als 400.000 Systeme weltweit infiziert.

AlienSpy ist aber inzwischen sehr bekannt und umfassend untersucht worden. Deshalb wollten die Entwickler ein wenig Verwirrung stiften und benannten den RAT vor kurzem um. Er treibt jetzt als JSocket sein Unwesen. Angeblich wurden die Selbstverschlüsselungs-Funktionen optimiert, sodass es nun noch schwieriger ist, ihn zu analysieren.

Man darf also getrost davon ausgehen, dass es immer wieder neue Bedrohungen geben wird, die man nicht auf Anhieb erkennen wird. RATs sind inzwischen einfach zu einem Teil der IT-Welt geworden. (Varonis: ra)

Varonis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Schadcode auf Mobilgeräten

    Check Point Software Technologies hat nach dem Bekanntwerden von Cyberattacken gegen israelische Soldaten eine der eingesetzten Schädlinge untersucht. GlanceLove ist eine Android-Malware die Schadcode auf Mobilgeräte schleust. Der Name GlanceLove leitet sich von der Chat-App "Glance Love" ab, einer scheinbar legitimen Dating-App, die jedoch hauptsächlich dazu diente, Schadcode auf die Endgeräte zu schleusen. Die meisten Angriffe wurden allerdings mit einer App namens "Golden Cup" gefahren. Hierbei handelte es sich um eine Fußball-App zur WM, die ebenfalls funktionsfähig im Google Play Store verfügbar war und die Sicherheitsprüfungsmechanismen von Google umgehen konnte. Außerdem sind Angriffe über das Chatprogramm "Wink Chat" bekannt.

  • Tricks der Cyberkriminellen

    Vom derzeitigen Bitcoin- und Blockchain-Hype scheinen auch Cyberkriminelle zu profitieren. So schätzt Kaspersky Lab, dass Cyberkriminelle im vergangenen Jahr mittels neuer und bewährter Social-Engineering-Methoden mehr als 21.000 ETH (Ether) beziehungsweise zehn Millionen US-Dollar erbeuten konnten. Eine Analyse der über die Kaspersky-Produkte gemessenen Bedrohungen bestätigt den Trend: mehr als hunderttausend Alarme wurden im Zusammenhang mit Kryptowährungen ausgelöst. Derzeit haben es die Cyberkriminellen verstärkt auf Investoren im Krypto-Startup-Bereich abgesehen; sie missbrauchen namhafte Kryptowährungsprojekte und Twitter-Konten prominenter Personen für ihre Betrügereien.

  • Neue Klasse von SSDP-Missbrauch aufgedeckt

    Netscout Arbor, Sicherheitsspezialistin für DDoS-Abwehr-Lösungen, hat eine neue Klasse von SSDP-Missbrauch aufgedeckt, bei dem Geräte auf SSDP-Reflexions-/Verstärkungsangriffe mit einem nicht standardisierten Port reagieren. SSDP (Simple Service Discovery Protocol) ist ein Netzwerkprotokoll, das zur Suche nach Universal-Plug-and-Play-Geräten (UPnP) in Windows-Netzwerken dient. Offen aus dem Internet erreichbare SSDP-Server können für DDoS-Reflexionsangriffe gegen IT-Systeme von Unternehmen und Organisationen missbraucht werden. Die daraus resultierende Flut von UDP-Paketen hat kurzlebige Quell- und Zielports, sodass die Eindämmung erschwert wird. Dieses Verhalten scheint auf eine breite Wiederverwendung in CPE-Geräten, wie Telefone, Faxe und Modems, der Open-Source-Bibliothek libupnp zurückzuführen zu sein. Erkenntnise aus früheren DDoS-Vorfällen deuten darauf hin, dass sich Angreifer dieses Verhaltens bewusst sind und sich aufgrund der Wirksamkeit ihres Angriffs gezielt anfällige Geräte suchen und diese auszunutzen können.

  • Phishing ist Big Business

    Sophos hat den Aufstieg von Phishing-Angriffen im letzten Jahr untersucht. Das Ergebnis: Ausgefuchste Taktiken in Tateinheit mit penetrantem Auftreten machen die neue Qualität von Phishing-Emails aus. Die Angreifer haben die Vorteile von Malware-as-a-Service (MaaS) entdeckt - ein Cousin von Ransomware-as-a-Service (RaaS), beide wohnhaft im Dark Web - um die Effizienz und das Volumen von Attacken zu steigern. Lieblings-Ziel: die Mitarbeiter. In der Simulations- und Trainings-Umgebung "Sophos Phish Threat" werden Nutzer darin geschult, wie sie Phishing-Emails erkennen können. Die gesammelten Erkenntnisse liegen nun in einem White Paper vor. Daraus geht hervor, dass die beste Verteidigung gegen Phishing-Attacken eine duale Strategie ist.

  • Android-Wurm ADB.Miner nutzt Schwachstelle aus

    Tausende von Smartphones weltweit sind von einem Android-Wurm betroffen. Schuld daran ist eine Sicherheitslücke durch eine vergessene Debug-Schnittstelle. G Data klärt über die Gefahr auf und zeigt, wie Benutzer überprüfen können, ob ihr Mobilgerät ebenfalls davon betroffen ist und falls ja, wie die Sicherheitslücke geschlossen werden kann. Ein unbekannter Dritter greift via Internet auf das eigene Smartphone zu - und das mit vollen Root-Rechten als Administrator. Was sich wie ein komplizierter und denkbar unmöglicher Fall liest, wird durch eine Android-Sicherheitslücke zum einfachen Spiel für Cyberangreifer. Dieser kann sich dank des geöffneten TCP-Port 5555 per Androids Debug Bridge-Schnittstelle (kurz: ADB) auf das Gerät einklinken. Über ADB lassen sich eine Vielzahl von Geräte-Aktionen durchführen - angefangen vom simplen Auslesen der Geräteinformationen, über den Diebstahl sensibler Daten, bis hin zu sicherheitskritischen Installationen von schädlichen Programmen.