Antiviren-Experten sehen in der Cyber-Attacke mit dem MiniDuke-Backdoor-Trojaner, der aktuell zahlreiche Regierungsstellen und weitere Organisationen angegriffen hat, einen Mix aus dem typisch 90er Stil und Social-Engineering-Tricks von heute.
Der MiniDuke-Backdoor-Trojaner wurde eingesetzt, um in der vergangenen Woche weltweit zahlreiche Regierungsstellen und weitere Organisationen anzugreifen. Kaspersky Lab hat zusammen mit CrySys Lab die Angriffe analysiert.
Der Gründer und CEO von Kaspersky Lab Eugene Kaspersky.
“Der Backdoor-Trojaner MiniDuke ist hochspezialisiert und in der maschinennahen Sprache Assembler geschrieben. Daher ist er mit nur 20 KB sehr klein“, erklärt Eugene Kaspersky, Gründer und CEO von Kaspersky Lab.
Es ist die Kombination von klassischer Virenprogrammierung mit neuesten Exploit-Technologien sowie raffinierten Social-Engineering-Tricks, die diese in Bezug auf hochrangige Zielpersonen so gefährlich macht.
“Ich kenne diesen Stil der Programmierung aus den späten 90er Jahren und um die Jahrtausendwende. Und ich frage mich, warum diese Malware-Autoren, die gleichsam als Schläfer ein Jahrzehnt inaktiv waren, plötzlich aufgewacht sind und sich einer aktuellen Gruppe von Cyber-Spionen angeschlossen haben. Diese Elite, also die “Old-School‘-Autoren, waren in der Vergangenheit hinsichtlich der Schaffung von hochkomplexen Viren-Programmen sehr effektiv. Jetzt kombinieren sie ihre Fähigkeiten mit sehr raffinierten Sicherheitslücken, die etwa eine Sandbox-Technologie umgehen, um Regierungsstellen oder Forschungseinrichtungen in verschiedenen Ländern anzugreifen.“
[heading style=”1”]Die Angriffe[/heading] Die Opfer wurden mittels sehr effektiver Social-Engineering-Techniken angegriffen. Die dabei verschickten PDF-Dateien waren sehr professionell erstellt und gaben vor, Informationen der ASEM (Asia-Europe Meetings), zur Außenpolitik der Ukraine und Plänen von NATO-Mitgliedern zu enthalten.Die PDF-Dateien waren mit Exploits ausgestattet, welche die Adobe Reader Versionen 9, 10 und 11 angriffen und deren Sandbox umgingen. Diese Exploits wurden mit einem Toolkit erstellt, das offenbar dasselbe wie in der kürzlich von FireEye berichteten Attacke war. Die Exploits, die bei den MiniDuke-Attacken zum Einsatz kamen, dienten anscheinend einem anderen Zweck und verfügten über eine eigene Malware.
Sobald ein System kompromittiert ist, wird ein sehr kleiner Downloader von 20 KB auf der Festplatte des Opfers platziert. Der Downloader ist für jedes System einmalig und enthält eine spezielle Hintertür, die in Assembler geschrieben ist. Beim Hochfahren des Systems ermittelt der Downloader mittels mathematischer Verfahren einen einmaligen Fingerabdruck des angegriffenen Computersystems und verwendet diese Daten auch zur späteren Verschlüsselung. Seine Programmierung wehrt überdies Analysewerkzeuge bestimmter Umgebungen wie etwa VMware ab. Sobald die Software einen Analyseversuch bemerkt, stellt sie ihre Aktivitäten ein, um keine Möglichkeit der Entschlüsselung zu geben. Dies ist ein Zeichen dafür, dass die Malware-Schreiber das Vorgehen von IT-Sicherheitsspezialisten genau kennen.
Binaercode des GIF Files als Screenshot.
Sofern der Zielrechner bestimmten, vordefinierten Bedingungen genügt, startet die Malware (ohne Wissen des Anwenders) die Suche nach speziellen Tweets von voreingerichteten Twitter-Konten. Die Tweets enthalten besondere Tags zu verschlüsselten URLs. Die Twitter-Konten werden von Command & Control (C&C)-Servern verwendet. Mittels dieser URLs öffnet sich die Hintertür zu den C&C-Servern, die dann Befehle und zusätzlichen, verschlüsselten Backdoor-Code via Gif-Bilddateien an den Zielrechner übermitteln.
Es deutet auch einiges darauf hin, dass die Autoren von MiniDuke ein dynamisches Backup-System zur Sicherung der Daten entwickelt haben, das ebenfalls unterhalb der Wahrnehmungsschwelle von Analysetools agiert. Und falls Twitter beziehungsweise eines der Twitter-Konten nicht funktioniert, ist die Malware auch in der Lage, die Google-Suche zum Auffinden der verschlüsselten Zeichenketten mit einer URL zum nächsten C&C-Server einzusetzen. Auf diese Weise kann die Malware ständig die Methoden ändern, und beispielsweise den Backdoor-Trojaner auf den Zielrechnern weitere Befehle zu erteilen oder zusätzlichen böswilligen Code nachzuladen.
Der weitere Backdoor-Code für den Zielrechner wird vom C&C-Server in einer Gif-Bilddatei übermittelt. Anschließend wird komplexerer Code gesandt, der einfache Operationen wie das Kopieren und Löschen von Dateien, Anlegen von Verzeichnissen, Stoppen von Prozessen und natürlich das Nachladen von weiterem Code erlaubt.
Der Backdoor-Trojaner verbindet sich mit zwei Servern – einer davon befindet sich in Panama, der andere in der Türkei – um Befehle der Angreifer zu erhalten.
Mehr zum Thema im Kaspersky-Blog: http://blog.crysys.hu/2013/02/miniduke/
(Quelle: Kaspersky Lab)
No comments yet.