Rocket Kitten: Die Geschichte einer Malware-Analyse

Categories: Internet Business
Comments: Comments Off
Published on: Januar 1, 2015

Rocket Kitten

Mit der Analyse von Malware für eine großflächige Spearphising-Attacke konnten Datenexperten die Angreifer enttarnen. In detektivischer Kleinarbeit haben sie dabei ausgefeilte Komponenten aufgedeckt und ein Land hinter dem Angriff ausgemacht.

Wer steckt hinter Malware-Angriffen? Diese Frage beschäftigt IT-Sicherheitsexperten, insbesondere dann, wenn sie Regierungen dahinter vermuten. Wie schwierig eine eindeutige Schuldzuweisung ist, zeigt auch der aktuelle Hack auf die IT-Infrastruktur von Sony Pictures. Obwohl die US-Bundespolizei eindeutig Nordkorea als Urheber nennt, bleiben Zweifel. Zwei Datenexperten konnten in einem anderen Angriff jedoch einen Schuldigen ausmachen, auch weil sich dieser ziemlich ungeschickt anstellte. Ihre Geschichte erzählten sie auf dem 31C3.

Es begann mit einem Anruf im April 2014. Unbekannte hatten mit einer Spearphishing-Attacke versucht, einer zivilen Organisation Malware unterzujubeln. Deren Büros befinden sich direkt neben einem israelischen Luft- und Raumfahrtunternehmen. Die Datenexperten Gadi Evron und Tillmann Werner wollten zunächst wissen, ob es sich um einen großflächigen Cyber-Angriff handelte, einen sogenannten Advanced Persistent Threat (APT).

Angriff per Excel-Makro

Sicher sei das zunächst nicht gewesen, sagten die IT-Sicherheitsexperten. Denn die Spearphishing-Attacke erfolgte über eine präparierte Excel-Tabelle. Die Malware war dort als Makro eingebettet. Nutzer hätten also zunächst den Anhang der E-Mail öffnen und anschließend auch das Makro per Mausklick starten müssen, damit die Malware installiert wird. Solche Angriffe waren vor zehn Jahren die Regel, als die Standardeinstellungen Makros noch automatisch starteten. Heutzutage gelten sie als veraltet. Allerdings nehmen Antivirenhersteller veraltete Malware oftmals aus ihren Signaturdatenbanken. Inzwischen steigt die Zahl der Angriffe mit fast vergessenen Trojaner wieder.

Die Angreifer hätten die E-Mail teilweise mehrfach geschickt, etwa mit dem Zusatz: „Entschuldige, ich habe den Anhang in der letzten E-Mail vergessen.“ Mit solchen wiederholten E-Mails steigt die Wahrscheinlichkeit, dass ein Opfer den Anhang doch irgendwann öffnet.

Offizielle Dokumente als Köder

Der Köder war eine Excel-Tabelle und enthielt eine Kontaktliste hochrangiger Militärmitarbeiter aus aller Welt mit teils persönlichen Daten. Der erste Eintrag war der eines ägyptischen Armeeangehörigen, was in Israel durchaus interessant sein dürfte. Die Liste trug den Briefkopf eines österreichischen Ministeriums und war auf Deutsch verfasst. Um weitere Einträge der Liste einzusehen, sollte das Opfer eine weitere Tabelle öffnen. Erst dann würde sich die eigentliche Malware installieren. Dieser Köder sei ein erster Hinweis auf einen staatlich gelenkten Angriff gewesen, sagten die beiden Datenexperten.

In der Excel-Tabelle entdeckten die Datenexperten dessen Ersteller, der mit dem Namen Woll3n.H4t eingetragen war. Auch das Erstellungsdatum der Tabelle konnten sie auslesen. Mit diesen Informationen forschten die IT-Sicherheitsexperten zunächst, ob bereits andere Phishing-Angriffe mit dem Namen bekannt waren.

Malware aus Argentinien?

Die Datenexperten analysierten den sogenannten Payload, der durch das eingebettete Makro aufgerufen wird. Es handelte sich um eine PE-Binärdatei, die die Experten mit dem Disassembler Idapro analysierten. Zunächst entdeckten sie einen Pfad für Debug-Dateien. Außerdem fiel ihnen auf, dass in dem Debug-Code die Länderkennung von Argentinien eingebettet war. Das verwirrte die Experten zunächst, denn ein Angriff aus Argentinien auf Israel konnten sie sich nicht vorstellen.

Der Code der Malware sei von hoher Qualität, sagten die Experten. Es sei Position-independent Code, er kann also unabhängig von der Position im Speicher ausgeführt werden. Konstanten werden nicht direkt, sondern über Lookup-Tables aufgerufen, etwa Netzwerk-Sockets. Dadurch lässt sich der Code leichter auf verschiedene Plattformen und Betriebssysteme portieren. Ungewöhnlich sei auch, dass das Hashing für die Sitzungsverwaltung mit Blowfish realisiert wird. Auch die APIs werden durch Wrapper bereitgestellt. Und es gab einen Proxy für den Aufruf von generischen APIs.

Malware mit geklautem Programm

Eine Suche bei Google ergab eine Übereinstimmung mit einem Syscall Proxy des Unternehmens Core Security, das die Datenexperten als „eines der guten“ bezeichnet. Das US-Unternehmen hat ein Büro in Argentinien und sein Syscall Poxy verwendet nach eigenen Angaben Blowfish für internes Hashing.

Core Security hat auf Anfrage jegliche Zusammenarbeit mit Militär und Geheimdiensten abgestritten, was die beiden Experten bestätigen. Jemand habe ein „gutes Werkzeug gestohlen und böses damit gemacht“, sagten Evron und Werner. Die Auswahl der Werkzeuge zeige, dass es sich um einen hochentwickelten Angriff handele, ein Hinweis auf einen Angriff im Auftrag und mit Unterstützung einer Regierung.

Syscall-Proxy für die Steuerung aus der Ferne

Das Besondere an Syscall Proxys ist, dass sie auf dem einen Rechner nur eine winzige ausführbare Datei installieren. Auf einem anderen wird die Steuerung ausgeführt. Mit Syscall Proxys können so fast beliebige Werkzeuge verwendet werden, ohne dass sie auf dem angegriffenen Rechner installiert werden müssen: Sie werden auf den entfernten Rechnern gestartet, die Befehle werden dort in entsprechende Systemaufrufe umgewandelt und auf dem Zielrechner ausgeführt. Die Rückmeldungen werden wieder an den angreifenden Computer zurückgeschickt. Über ein eigenes Protokoll, ähnlich wie Remote Procedure Call (RPC), wird die Kommunikation abgewickelt. Es sei wie die Auslagerung des User-Space auf andere Rechner, erklärten die Datenexperten. Es könnten auch mehrere Rechner gleichzeitig die Steuerung übernehmen.

Im Code der Malware entdeckten sie mehrere IP-Adressen. Die führten zu einem deutschen Provider, der auch Satellitendienste anbietet. Eine Abfrage der Geoposition der IP-Adressen platzierte sie am Äquator mitten im Atlantischen Ozean. Es handele sich vermutlich um Proxy-Adressen, sagten die Experten. Die für die verschlüsselte Kommunikation verwendeten Zertifikate stammten vom inzwischen als unschuldig eingestuften Core Security. Die Spur führte also ins Leere.

Rocket Kitten wird zum großflächigen Angriff

Dann widmeten sich die Experten erneut den für die Phishing-Angriffe verwendeten Excel-Tabellen, denn inzwischen stellte sich heraus, dass die Malware bereits an mehrere Objekte in Israel und in Ländern der EU versendet wurde. Der letzte Angriff datierte vom Oktober 2014. Das interessanteste Dokument sei die eingangs erwähnte Kontaktliste mit Militärmitarbeitern, so die Vortragenden. Andere enthielten Telefonnummern von öffentlichen Einrichtungen in Israel oder einer Liste aller Botschaften in Berlin. Inzwischen sei der Angriff als APT eingestuft worden und habe den Namen Rocket Kitten erhalten.

Ein weiteres Dokument fiel den Datenexperten besonders auf: Es handelte sich um ein Informationsblatt zu einem geplanten deutsch-israelischen Treffen im Februar 2015, an dem auch die Bundesministerin für Bildung und Forschung Johanna Wanka teilnehmen wird, ebenfalls in perfektem Deutsch und vermutlich gestohlen. Solche Dokumente seien deshalb wichtig, weil sie möglicherweise auf geplante Angriffe hinweisen, die dann verhindert werden könnten.

Enttarnt!

Eine weitere Analyse ergab, dass neben dem Syscall Proxy auch eine weitere Malware enthalten war. Sie war aber eher rudimentär programmiert und sollte etwa die Dateien auslesen, in denen Zugangsdaten gespeichert sind. In dem Code entdeckten die Datenexperten nochmals das Handle Woll3n.H4t sowie eine Gmail-Adresse. Und noch viel wichtiger: den redigierten Klarnamen einer der Programmierer der Malware. Sie machten keine Schuldzuweisung, sagten Evron und Werner, sie seien sich aber zu 99,99 Prozent sicher, dass ein Land hinter den Angriffen stecke.

Für ein letztes Foto zum Schluss des Vortrags posierten die beiden vor einem Foto der iranischen Flagge.

 

Original:

http://www.golem.de

Weitere US-Ketten gestehen Hack ihrer Zahlungssysteme

Categories: Sicherheit
Comments: Comments Off
Published on: Oktober 30, 2014

Dairy Queen und Kmart mussten zugeben, dass auch ihre Kassensysteme gehackt wurden. Die Eindringlinge sammeln die Daten von Plastikgeld. PINs seien aber nicht mitgeschnitten worden, heißt es.

Zwei große US-Ketten haben Ende der Woche mitgeteilt, dass ihre Zahlungsabwicklungssysteme nicht sicher waren. Sowohl bei dem Schnellrestaurant-Franchise Dairy Queen (DQ) als auch beim Warenhaus KMart haben Angreifer über längere Zeit Daten abgegriffen. Betroffen sind Kreditkarten, Debitkarten und ähnliches Plastikgeld aller Banken. PINs und Sozialversicherungsnummern sollen sie allerdings nicht erbeutet haben.

Kmart hat den Angriff eigenen Angaben zufolge am vergangenen Donnerstag entdeckt. Eine nicht genannte Malware hat demnach seit Anfang September ihr Unwesen getrieben. Der Online-Shop sowie die zum selben Konzern gehörenden Sears- und Roebuck-Läden sollen nicht betroffen sein. Ansonsten hält sich KMart mit Auskünften zurück. Man sollte davon ausgehen, dass jede der über 1.200 Filialen einbezogen war.

Dairy Queen nennt das Kind beim Namen: Die Zugangsdaten eines Dienstleisters seien kompromittiert worden. Über diesen Account sei dann die Malware Backoff installiert worden. Ähnlich waren die Täter bei der Kaufhauskette Target vorgegangen. Dort konnten sie eine Art Hausmeisterzugang verwenden.

Kein Einzelfall

Betroffen sind knapp 400 der etwa 4.800 US-Filialen der verschiedenen Dairy-Queen-Marken, darunter auch Orange Julius. Wie aus der veröffentlichten Liste hervorgeht, war die Malware von Anfang August bis Ende August oder Anfang September, in einem Fall in Florida bis Anfang Oktober aktiv. Die meisten DQ-Filialen werden von Franchise-Nehmern geführt.

Sowohl Kmart als auch DQ machen keine Angaben darüber, wie viele Bezahlkarten ins Visier der Malware gekommen sein könnten. Bei Target (USA) waren es bis zu 40 Millionen Datensätze von Kreditkarten und 70 Millionen Kundendatensätze gewesen, Home Depot (USA und Kanada) sprach von bis zu 56 Millionen Karten.

Der Logistiker UPS, die Restaurantkette P.F. Chang’s, das Nobelwarenhaus Neiman Marcus , die Heimwerkerkette Michaels und die Supervalu-Supermärkte sind weitere Beispiele. Insgesamt dürften mehr als 1.000 US-Firmen unfreiwillig zur Datenschleuder geworden sein. Und bei der Bank JPMorgan Chase hatten sich Hacker dieses Jahr sogar Rootrechte auf 90 Servern verschafft. Damit konnten sie auf Daten von 76 Millionen Haushalten und sieben Millionen kleiner Unternehmen zugreifen.

 

Erstmals veröffentlicht:

http://www.heise.de/newsticker/

Google-Initiative bietet Hilfe für gehackte Sites

Categories: Google
Comments: Comments Off
Published on: April 15, 2014

Google hat ein Informationsangebot “Help for Hacked Sites” gestartet, das Artikel und Videos für Webmaster von kompromittierten Websites enthält. Es informiert die in solchen Fällen meist geschockten Betreiber, welche Schritte sie nach einem Sicherheitsvorfall als erstes einleiten sollten und wie sie die Kontrolle über ihre Server zurückerlangen. (more…)

Anonymous: Hacker gelangen an Daten von FDP-Mitgliedern

Categories: Sicherheit
Comments: Comments Off
Published on: April 26, 2013

 

Angeblich aus Protest gegen die Bestandsdatenauskunft haben Unbekannte eine Plattform der FDP gehackt und sich Zugang zu Passwörtern und anderen persönlichen Daten verschafft – auch von Parteiprominenz. Von der Partei oder den Betreibern des Portals gibt es bislang keine Stellungnahme.

Rund 37.000 Datensätze mit Namen, Anschriften und weiteren persönlichen Daten sowie angeblich nur leicht verschlüsselten Passwörtern sind offenbar in die Hände von Hackern gelangt. Sie sind in die Datenbank von Meine-Freiheit.de (früher my.fdp.de) eingedrungen, ein Diskussionsportal der Liberalen. Unter den Daten sollen sich auch Zugangsdaten von Außenminister Guido Westerwelle und Entwicklungsminister Dirk Niebel befinden. (more…)

DDOS – Massive Denial-of-Service-Attacke lässt Internet schwächeln

Categories: Sicherheit
Comments: Comments Off
Published on: April 25, 2013

Eine Auseinandersetzung zwischen der Antispam-Organisation Spamhaus und dem niederländischen Unternehmen Cyberbunker hat nach einem Bericht der New York Times zur größten Distributed-DoS-Attacke  („Distributed Denial of Service“) in der Geschichte des Internet geführt.  (more…)

page 1 of 1

Teilen

Welcome , today is Donnerstag, Februar 25, 2021