Threat Report: Malware, die Dukes und wie Systeme kompromittiert werden

F-Secure Labs' aktueller Threat Report schaut auf die Entwicklungen in der Gefahrenlandschaft des letzten Jahres, nimmt einige der wichtigsten Sicherheitsvorkommnisse des letzten Jahres auseinander und gibt den Lesern ein neues analytisches Tool, um zu verstehen, wie heutige Cyber-Gefahren die Sicherheit kompromittieren.

Verfasser: F-Secure Business Security Insider
Datum: 10. März 2016
Lesedauer: 6 Minuten

Download des Threat Reports

F-Secure Labs haben heute den neuen Threat Report veröffentlicht. Der Report behandelt unterschiedlichste Fragen aus dem Bereich der Cybersecurity und nutzt Daten, die im Laufe des Jahres 2015 von F-Secure gesammelt wurden, um die Ressourcen zu analysieren, die Angreifer genutzt haben – und weiterhin nutzen -, um die Sicherheit von Personen und Firmen anzugreifen.

Während die erste Hälfte des Reports grundsätzlich die Gefahrenlage beschreibt, geht die zweite Hälfte tiefer in die Analyse und zeigt auf, dass einige der bekanntesten Angriffe des Jahres (einschließlich Ransomware und Exploit Kits) nur Teil von größeren Angriffen waren. Im Gegensatz zu dem, was einige Personen denken, sind Cyber-Attacken nicht nur Computerviren. Die Hacker von heute nutzen unterschiedlichste Ressourcen in Attacken mit verschiedenen Phasen, bei denen jede Phase es den Angreifern erlaubt, tiefer und tiefer in die Zielsysteme und -Netzwerke einzudringen.

Chain of CompromiseDer Threat Report nutzt ein Benutzer-zentrisches Modell, das Chain of Compromise (CoC) genannt wird, um zu illustrieren, wie Angriffe in verschiedene Phasen eingeteilt werden, und wie diese einzelnen Phasen Einfluss auf die potenziellen Ziele haben. Die unterschiedlichen Phasen sind dabei nicht an eine spezielle Art des Angriffs oder Art des Opfers gebunden, was das Modell anders als herkömmlich genutzte Modelle an die Analyse von Attacken heranführt.

Dieser Faktor ist eine wichtige Stärke des CoC. Jeder, der ein potenzielles Ziel ist, kann das Modell nutzen, um zu erkennen, wie Cyber-Gefahren Sicherheitsvorfälle auslösen können – egal, ob es ein Computerwurm oder eine Lücke im Schutz von Daten ist. Der Report zeigt konkrete Beispiele auf, wie man das tun kann, inklusive der Nutzung des CoC um zu illustrieren, wie die Dukes – eine APT-Gruppe, die Cyber-Spionage-Kampagnen durchführt – das so genannte Spear-Phishing nutzen, um ihre Ziele dazu zu bringen, sich den Attacken der Dukes zu öffnen.

Dieses Video demonstriert, wie die Dukes das so genannte Spear-Phishing nutzen, um Attacken vorzubereiten, um in Systeme einzubrechen und ihre Ziele mit ihrem CosmicDuke Infostealer zu infizieren.

Den Köder versteckt abliefern“, ist laut F-Secure Cyber Security Advisor Erka Koivunen der Punkt, an dem die Attacke bereits beginnt.

In diesem Fall erhält der Empfänger eine gefälschte E-Mail (übrigens ein oft benutzter Trick von Cyber-Kriminellen). Indem die Informationen, die die Personen im Absenderfeld sehen, gefälscht sind, ist es einfach für die Angreifer, sie denken zu lassen, dass sie eine E-Mail von einer anderen Person bekommen, als der wirkliche Absender.

Das ist einer der Wege, die Angreifer wie die Dukes nutzen, um die Anfangsphase, den Beginn, des Angriffs einzuleiten. Sobald der Empfänger die E-Mail öffnet (oder vielmehr, den Köder schluckt), öffnet er oder sie sich bereits der Gefahr – dem ersten Schritt zur Kompromittierung. Jetzt liegt es nur noch daran, ob der Angreifer es schafft, den Empfänger dazu zu bekommen, dass er ihn ins System hineinlässt.

Köder werden dazu entwickelt, Aufmerksamkeit zu erregen“, kommentiert Erka.

Die E-Mail enthält einen Anhang, der spezifisch auf den Empfänger zugeschnitten ist, damit die Chance einer Öffnung maximiert wird. In diesem Fall ist der Anhang ein Köder, der vom wahren Zweck des Dokuments ablenkt – nämlich der Ausführung von schädlichem Code auf dem Zielsystem.

Angreifer, die Spear-Phishing E-Mails nutzen, haben sehr spezifische Ziele vor Augen und das macht es so einfach für sie, Inhalte zu erstellen, die sich mit den Interessen, der Arbeitsstelle oder anderen Faktoren decken, die dem Empfänger unverdächtig vorkommen. Das ist der Schlüssel zu Social Engineering: Angreifer wollen, dass ihre Ziele mit ihnen interagieren, ähnlich wie es Marketing- und Werbeverantwortliche als Ziel haben, die wollen, dass jemand ihre Banner anklickt.

Das kann man gut im Video sehen. Sowohl der Betreff als auch der Anfang des angehängten Dokuments signalisiert dem Leser, dass der Inhalt von Sanktionen der EU gegen Russland wegen der Ukraine-Krise handelt. Solche Informationen sind interessant und relevant für eine große Anzahl an Personen, die in Positionen arbeiten, die sich mit Politik oder internationalen Angelegenheiten beschäftigen – genau die Art Personen, die die Dukes als Ziel haben. Wir haben ähnliche Taktiken immer wieder auch in anderen Attacken gesehen.

Da die Informationen augenscheinlich nur bestimmten Gruppen zugänglich sein sollen (in der oberen rechten Ecke des Anhangs zu sehen), ist es sehr glaubhaft, dass es versteckt ist, und dass es für den Empfänger notwendig ist, Makros anzuschalten, um an die Informationen zu kommen. Zusätzlich ist die reine Idee, an geheime Informationen zu kommen, oftmals zu verlockend, als dass eine Person, die normalerweise solche Informationen nicht bekommt, sie nicht nutzen würde.

Personen, die nicht mit der Wirkungsweise von Exploits und Makro-Trojanern vertraut sind (weitere Informationen dazu sind im Threat Report zu finden), werden kaum erkennen können, dass solche Vorgehensweise genau das ist, was die Angreifer brauchen, um Systeme zu kompromittieren. Wie im Video weiterhin zu sehen ist, bewirkt die Freischaltung des Inhalts viel mehr, als nur das reine Lesen des restlichen Dokuments durch den Empfänger. Es erlaubt den Dukes, auf das System des Empfängers zuzugreifen (siehe dazu den Anfang des .tmp Prozesses). Die Ausführung des schädlichen Codes, der im Dokument versteckt ist, erlaubt es den Angreifern, die Eindringphase des Angriffs zu starten und lässt ihnen alle Freiheiten, zur Infektionsphase überzugehen.

Sobald der Exploit aktiviert ist, ist für das Ziel ‚Game Over'“, so Erka.

Nachdem sich der Empfänger exponiert hat und der Angriff das System erfolgreich infiltriert hat, startet die CosmicDuke Infektion. Das Video zeigt deutlich, wie ein .tmp Prozess anfängt zu arbeiten, während der User das Dokument liest. CosmicDuke ist im Grunde ein Infostealer, obwohl noch andere Komponenten mit an Bord sind, die zusätzliche Möglichkeiten bieten. Es stielt eine Vielzahl von Informationen auf verschiedene Weise – unter anderem durch das Aufzeichnen von Tastendrücken, von Bildschirmfotos und durch den Export von Schlüsseln zur Entschlüsselung von Daten.

Sobald die Infektionsphase vorbei ist, haben sich die Angreifer im System eingenistet, um weitere, noch schlimmere Attacken zu starten (dies wird im Video nicht gezeigt). CosmicDuke enthält langlebige Komponenten, die es dem Programm erlauben, im System zu bleiben und jederzeit von den Angreifern mit mehr Funktionalität ausgestattet zu werden. Dadurch können die Angreifer noch weiter in das System eindringen und sogar den Sprung in andere Netzwerke schaffen.

Was können potenzielle Ziele also tun?

Es bedeutet viel Ärger, wenn man untätig bleibt“, fasst es Erka zusammen.

Ein Bewusstsein für solche Dinge muss in allen Firmen und Angestellten geweckt werden. Unternehmen sind lukrative Ziele für Spear-Phishing-Kampagnen, also müssen sich IT Administratoren und Management vorbereiten und ihre Mitarbeiter informieren, dass sie solche E-Mails von APT-Gruppen, Cyber-Kriminellen und anderen Kriminellen erhalten können.

Laut des Threat Reports gibt es ein Comeback von Makro-Malware, deshalb müssen Unternehmen ihren Mitarbeitern klar machen, dass die bloße Aufforderung zum Erlauben von Makros ein Warnsignal ist.

„Angreifer suchen sich Angestellte, die schlechte Angewohnheiten haben und das Erlauben von Makros ist sozusagen das Aufgeben von jeder Deckung“, so Erka. „Wenn Firmen nicht wollen, dass Angestellte aus Gewohnheit ‚zum Aktivieren klicken‘, müssen die IT Administratoren die Nutzung von Makros innerhalb des Unternehmens eliminieren, damit es sich nicht um eine normale Aufforderung handelt, wenn ein Makro aktiviert werden soll. Sollten Makros nicht aus den Prozessen im Unternehmen entfernt werden können, sollten die Administratoren nur die Nutzung von signierten Makros erlauben, damit sichergestellt werden kann, dass die Makros nicht aus einer nicht vertrauenswürdigen Quelle kommen.“

Sie können den Threat Report unten herunterladen und in diesem Blogpost mehr Informationen finden.


One thought on “Threat Report: Malware, die Dukes und wie Systeme kompromittiert werden


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s