Rocket Kitten: Die Geschichte einer Malware-Analyse

Rocket Kitten

Mit der Analyse von Malware für eine großflächige Spearphising-Attacke konnten Datenexperten die Angreifer enttarnen. In detektivischer Kleinarbeit haben sie dabei ausgefeilte Komponenten aufgedeckt und ein Land hinter dem Angriff ausgemacht.

Wer steckt hinter Malware-Angriffen? Diese Frage beschäftigt IT-Sicherheitsexperten, insbesondere dann, wenn sie Regierungen dahinter vermuten. Wie schwierig eine eindeutige Schuldzuweisung ist, zeigt auch der aktuelle Hack auf die IT-Infrastruktur von Sony Pictures. Obwohl die US-Bundespolizei eindeutig Nordkorea als Urheber nennt, bleiben Zweifel. Zwei Datenexperten konnten in einem anderen Angriff jedoch einen Schuldigen ausmachen, auch weil sich dieser ziemlich ungeschickt anstellte. Ihre Geschichte erzählten sie auf dem 31C3.

Es begann mit einem Anruf im April 2014. Unbekannte hatten mit einer Spearphishing-Attacke versucht, einer zivilen Organisation Malware unterzujubeln. Deren Büros befinden sich direkt neben einem israelischen Luft- und Raumfahrtunternehmen. Die Datenexperten Gadi Evron und Tillmann Werner wollten zunächst wissen, ob es sich um einen großflächigen Cyber-Angriff handelte, einen sogenannten Advanced Persistent Threat (APT).

Angriff per Excel-Makro

Sicher sei das zunächst nicht gewesen, sagten die IT-Sicherheitsexperten. Denn die Spearphishing-Attacke erfolgte über eine präparierte Excel-Tabelle. Die Malware war dort als Makro eingebettet. Nutzer hätten also zunächst den Anhang der E-Mail öffnen und anschließend auch das Makro per Mausklick starten müssen, damit die Malware installiert wird. Solche Angriffe waren vor zehn Jahren die Regel, als die Standardeinstellungen Makros noch automatisch starteten. Heutzutage gelten sie als veraltet. Allerdings nehmen Antivirenhersteller veraltete Malware oftmals aus ihren Signaturdatenbanken. Inzwischen steigt die Zahl der Angriffe mit fast vergessenen Trojaner wieder.

Die Angreifer hätten die E-Mail teilweise mehrfach geschickt, etwa mit dem Zusatz: „Entschuldige, ich habe den Anhang in der letzten E-Mail vergessen.“ Mit solchen wiederholten E-Mails steigt die Wahrscheinlichkeit, dass ein Opfer den Anhang doch irgendwann öffnet.

Offizielle Dokumente als Köder

Der Köder war eine Excel-Tabelle und enthielt eine Kontaktliste hochrangiger Militärmitarbeiter aus aller Welt mit teils persönlichen Daten. Der erste Eintrag war der eines ägyptischen Armeeangehörigen, was in Israel durchaus interessant sein dürfte. Die Liste trug den Briefkopf eines österreichischen Ministeriums und war auf Deutsch verfasst. Um weitere Einträge der Liste einzusehen, sollte das Opfer eine weitere Tabelle öffnen. Erst dann würde sich die eigentliche Malware installieren. Dieser Köder sei ein erster Hinweis auf einen staatlich gelenkten Angriff gewesen, sagten die beiden Datenexperten.

In der Excel-Tabelle entdeckten die Datenexperten dessen Ersteller, der mit dem Namen Woll3n.H4t eingetragen war. Auch das Erstellungsdatum der Tabelle konnten sie auslesen. Mit diesen Informationen forschten die IT-Sicherheitsexperten zunächst, ob bereits andere Phishing-Angriffe mit dem Namen bekannt waren.

Malware aus Argentinien?

Die Datenexperten analysierten den sogenannten Payload, der durch das eingebettete Makro aufgerufen wird. Es handelte sich um eine PE-Binärdatei, die die Experten mit dem Disassembler Idapro analysierten. Zunächst entdeckten sie einen Pfad für Debug-Dateien. Außerdem fiel ihnen auf, dass in dem Debug-Code die Länderkennung von Argentinien eingebettet war. Das verwirrte die Experten zunächst, denn ein Angriff aus Argentinien auf Israel konnten sie sich nicht vorstellen.

Der Code der Malware sei von hoher Qualität, sagten die Experten. Es sei Position-independent Code, er kann also unabhängig von der Position im Speicher ausgeführt werden. Konstanten werden nicht direkt, sondern über Lookup-Tables aufgerufen, etwa Netzwerk-Sockets. Dadurch lässt sich der Code leichter auf verschiedene Plattformen und Betriebssysteme portieren. Ungewöhnlich sei auch, dass das Hashing für die Sitzungsverwaltung mit Blowfish realisiert wird. Auch die APIs werden durch Wrapper bereitgestellt. Und es gab einen Proxy für den Aufruf von generischen APIs.

Malware mit geklautem Programm

Eine Suche bei Google ergab eine Übereinstimmung mit einem Syscall Proxy des Unternehmens Core Security, das die Datenexperten als „eines der guten“ bezeichnet. Das US-Unternehmen hat ein Büro in Argentinien und sein Syscall Poxy verwendet nach eigenen Angaben Blowfish für internes Hashing.

Core Security hat auf Anfrage jegliche Zusammenarbeit mit Militär und Geheimdiensten abgestritten, was die beiden Experten bestätigen. Jemand habe ein „gutes Werkzeug gestohlen und böses damit gemacht“, sagten Evron und Werner. Die Auswahl der Werkzeuge zeige, dass es sich um einen hochentwickelten Angriff handele, ein Hinweis auf einen Angriff im Auftrag und mit Unterstützung einer Regierung.

Syscall-Proxy für die Steuerung aus der Ferne

Das Besondere an Syscall Proxys ist, dass sie auf dem einen Rechner nur eine winzige ausführbare Datei installieren. Auf einem anderen wird die Steuerung ausgeführt. Mit Syscall Proxys können so fast beliebige Werkzeuge verwendet werden, ohne dass sie auf dem angegriffenen Rechner installiert werden müssen: Sie werden auf den entfernten Rechnern gestartet, die Befehle werden dort in entsprechende Systemaufrufe umgewandelt und auf dem Zielrechner ausgeführt. Die Rückmeldungen werden wieder an den angreifenden Computer zurückgeschickt. Über ein eigenes Protokoll, ähnlich wie Remote Procedure Call (RPC), wird die Kommunikation abgewickelt. Es sei wie die Auslagerung des User-Space auf andere Rechner, erklärten die Datenexperten. Es könnten auch mehrere Rechner gleichzeitig die Steuerung übernehmen.

Im Code der Malware entdeckten sie mehrere IP-Adressen. Die führten zu einem deutschen Provider, der auch Satellitendienste anbietet. Eine Abfrage der Geoposition der IP-Adressen platzierte sie am Äquator mitten im Atlantischen Ozean. Es handele sich vermutlich um Proxy-Adressen, sagten die Experten. Die für die verschlüsselte Kommunikation verwendeten Zertifikate stammten vom inzwischen als unschuldig eingestuften Core Security. Die Spur führte also ins Leere.

Rocket Kitten wird zum großflächigen Angriff

Dann widmeten sich die Experten erneut den für die Phishing-Angriffe verwendeten Excel-Tabellen, denn inzwischen stellte sich heraus, dass die Malware bereits an mehrere Objekte in Israel und in Ländern der EU versendet wurde. Der letzte Angriff datierte vom Oktober 2014. Das interessanteste Dokument sei die eingangs erwähnte Kontaktliste mit Militärmitarbeitern, so die Vortragenden. Andere enthielten Telefonnummern von öffentlichen Einrichtungen in Israel oder einer Liste aller Botschaften in Berlin. Inzwischen sei der Angriff als APT eingestuft worden und habe den Namen Rocket Kitten erhalten.

Ein weiteres Dokument fiel den Datenexperten besonders auf: Es handelte sich um ein Informationsblatt zu einem geplanten deutsch-israelischen Treffen im Februar 2015, an dem auch die Bundesministerin für Bildung und Forschung Johanna Wanka teilnehmen wird, ebenfalls in perfektem Deutsch und vermutlich gestohlen. Solche Dokumente seien deshalb wichtig, weil sie möglicherweise auf geplante Angriffe hinweisen, die dann verhindert werden könnten.

Enttarnt!

Eine weitere Analyse ergab, dass neben dem Syscall Proxy auch eine weitere Malware enthalten war. Sie war aber eher rudimentär programmiert und sollte etwa die Dateien auslesen, in denen Zugangsdaten gespeichert sind. In dem Code entdeckten die Datenexperten nochmals das Handle Woll3n.H4t sowie eine Gmail-Adresse. Und noch viel wichtiger: den redigierten Klarnamen einer der Programmierer der Malware. Sie machten keine Schuldzuweisung, sagten Evron und Werner, sie seien sich aber zu 99,99 Prozent sicher, dass ein Land hinter den Angriffen stecke.

Für ein letztes Foto zum Schluss des Vortrags posierten die beiden vor einem Foto der iranischen Flagge.

 

Link zur Homepage:

www.golem.de/news/rocket-kitten-die-geschichte-einer-malware-analyse-1412-111367.html

Anti-Malware für Android im Test

Das AV-Test Institut hat 31 Sicherheitslösungen für Android auf den Prüfstand gestellt. Fast alle haben eine sehr gute Schädlingserkennung zu bieten. Die Zahl der Fehlalarme hat abgenommen.

Android ist für Malware-Programmierer das Windows unter den Mobilbetriebssystemen: es ist am weitesten verbreitet und bietet Malware-Infektionen nur wenig Widerstand. Anwender nutzen ihre Smartphones und Tablets immer öfter auch für sensible Zwecke wie Online-Banking. Deshalb werden Schutzprogramme für Android immer wichtiger. Das Magdeburger AV-Test Instituthat 31 Anti-Malware-Apps geprüft, darunter auch kostenlose Software.

Die Zertifizierungstests finden stets unter realistischen Bedingungen auf echter Hardware (Nexus 5) unter Android 4.4.4 (Kitkat) statt. Geprüft haben die Magdeburger in den Kategorien Schutzwirkung (Malware-Erkennung) und Benutzbarkeit (Systembelastung, Fehlalarme). In jeder Kategorie gibt es maximal sechs Punkte, sind nützliche Zusatzfunktion wie Diebstahlschutz, Web-Filter oder Backup vorhanden, gibt es einen Extrapunkt. Apps, die insgesamt mehr als acht der maximal 13 Punkte erzielen, erhalten ein Zertifikat. Fünf der 31 getesteten Apps, die nur eine chinesische Bedienoberfläche bieten, haben wir aus der Wertung genommen.

Die Testergebnisse

Die Ergebnisse bei der Malware-Erkennung sind mit einer Ausnahme auf hohem Niveau. Im Durchschnitt erreichen die Testkandidaten eine Erkennungsrate von 97,6 Prozent. Nur Jarviz MobileHeal, ein Neuling im Testfeld, fällt mit wenig mehr als 50 Prozent aus dem Rahmen. Für diese dürftige Leistung gibt es null Punkte und auch kein Zertifikat.

  Punkte gesamt mit Gewichtung
Hersteller/Produkt Schutz Benutzung Extras 1:1:1 5:3:2
AhnLab V3 Mobile 2.1 6,0 6,0 1,0 13,0 13,0
Antiy AVL 2.3 6,0 6,0 1,0 13,0 13,0
Bitdefender Mobile Security 2.23 6,0 6,0 1,0 13,0 13,0
Bullguard Mobile Security 14.0 6,0 6,0 1,0 13,0 13,0
Cheetah Mobile Clean Master 5.8 6,0 6,0 1,0 13,0 13,0
Cheetah Mobile CM Security 2.2 6,0 6,0 1,0 13,0 13,0
ESET Mobile Security & Antivirus 3.0 6,0 6,0 1,0 13,0 13,0
G Data Internet Security 25.6 6,0 6,0 1,0 13,0 13,0
Kaspersky Internet Security 11.5 6,0 6,0 1,0 13,0 13,0
PSafe Total 1.7 6,0 6,0 1,0 13,0 13,0
Qihoo 360 Mobile Security 1.0 6,0 6,0 1,0 13,0 13,0
Sophos Mobile Security 4.0 6,0 6,0 1,0 13,0 13,0
Trend Micro Mobile Security 6.0 6,0 6,0 1,0 13,0 13,0
Avast Mobile Security 4.0 5,5 6,0 1,0 12,5 12,4
F-Secure Mobile Security 9.2 5,5 6,0 1,0 12,5 12,4
Intel Security (McAfee) Mobile Security 4.2 5,5 6,0 1,0 12,5 12,4
QuickHeal Total Security 2.01 5,5 6,0 1,0 12,5 12,4
Ikarus mobile.security 1.7 5,5 5,5 1,0 12,0 12,0
Avira Free Android Security 3.6 6,0 4,5 1,0 11,5 11,8
Symantec Norton Mobile Security 3.8 5,5 5,0 1,0 11,5 11,6
Bornaria Mobile Security 1.5 4,5 5,5 1,0 11,0 10,7
Comodo Mobile Security 2.6 4,0 6,0 1,0 11,0 10,4
AVG AntiVirus Free 4.2 3,5 6,0 1,0 10,5 9,8
Webroot SecureAnywhere Mobile 3.6 3,5 5,5 1,0 10,0 9,4
NSHC Droid-X 3.0 3,0 6,0 1,0 10,0 9,1
Jarviz MobileHeal Pro 2.01 0,0 5,5 1,0 6,5 4,8

Erfreulich ist auch, dass die Zahl der Fehlalarme deutlich geringer geworden ist. Waren im letzten Test vor zwei Monaten noch insgesamt 36 Fehlalarme zu verzeichnen, sind es nunmehr nur noch sieben. Den größten Anteil an den verbliebenen Fehlalarmen hat Aviras Gratislösung, die bei Apps aus Google Play gleich dreimal falschen Alarm geschlagen hat. Bornaria, Ikarus, Jarviz und Webroot haben sich je einen Fehlalarm geleistet. AVG und G Data, die im vorherigen Test viele Fehlalarme hatten, gehen diesmal ohne solche Fehler durchs Ziel.

Die Hälfte der geprüften Schutzprogramme hat die Höchstpunktzahl erreicht. Darunter sind mit Bitdefender, ESET, G Data, Kaspersky, Sophos und Trend Micro auch renommierte Antivirushersteller aus dem PC-Bereich. G Datas schlechtes Abschneiden im vorherigen Test war anscheinend ein Ausrutscher. Avira hätte es mit seiner tadellosen Malware-Erkennung in die Spitzengruppe schaffen können, doch die Fehlalarme werfen es ins untere Mittelfeld zurück. AVG und Comodo finden hingegen zu wenige der echten Schädlinge.

Bei der Wahl einer passenden Security-App könnte angesichts der großen Auswahl sehr guter Schutzprogramme die gebotene Zusatzausstattung das Zünglein an der Waage spielen. Diebstahlschutz, Spam- und Web-Filter finden Sie bei vielen Apps, Backup-Funktionen sind schon etwas seltener und Verschlüsselung bieten nur AhnLab und Sophos. Die Tabelle der Zusatzfunktionen verschafft Ihnen einen Überblick über den Funktionsumfang der Produkte.

 

externer Link zum Artikel:

www.pcwelt.de

„Porndroid“: Trojaner-App erpresst Android-Nutzer mit Kinderpornos

Ein bislang kaum bekannter Virenforscher warnt in den USA vor einem besonders perfiden Android-Trojaner, der seine Opfer mit kinderpornografischem Material zu erpressen versucht. Zuerst lädt das Schadprogramm einschlägiges Material auf das Gerät des Nutzers und täuscht sodann eine Sperrung des Geräts durch das FBI vor.

Dem Sicherheitsforscher zufolge, der seine Identität hinter dem Pseudonym „Kafeine“ verbirgt, schleust sich die Malware von manipulierten Websites aus als App mit dem Titel „Porndroid“ auf Android-Handys ein. Seine Opfer animiert „Porndroid“ mit Versprechen von mehr Sicherheit und „extra Performance“ zur Installation. Das ist in diesem Fall nötig, weil der Schädling keine Sicherheitslücke ausnutzt, um sich zu installieren. Stattdessen setzen der oder die Entwickler der Software auf die freiwillige Mithilfe der Smartphone-Nutzer. Die muss sogar so weit gehen, dass der Anwender der App volle Administratorrechte einräumt.

Ist das erreicht, werden auf dem Bildschirm mehrere Vorschaubilder kinderpornografischer Videos angezeigt. Kurz darauf wird der Bildschirm gesperrt, und es erscheint eine Meldung, die vorgibt, vom FBI zu stammen. In dem Schreiben wird der Nutzer beschuldigt, verbotene pornografische Websites besucht zu haben. Screenshots und ein durch die Frontkamera aufgenommenes Foto seien an die Strafverfolgungsbehörden übermittelt worden. Außerdem wird der Verlauf der zuvor besuchten Websites angezeigt.

500 Dollar sollen die Opfer bezahlen

Die eigentliche Erpressung erfolgt, nachdem der Anwender auf diese Weise verunsichert wurde. Um weiteren Schwierigkeiten aus dem Weg zu gehen, wird die Aufhebung der Sperre gegen Zahlung von 500 Dollar angeboten. Das Geld solle mit Guthabenkarten bezahlt werden, wie sie in amerikanischen Supermärkten erhältlich sind. Bisher scheint sich das Schadprogramm ausschließlich an Nutzer in den USA zu richten.

Android-Nutzer sollten sich vor derartigen Schädlingen schützen, indem sie keine APK-Installationspakete von unsicheren dritten Quellen annehmen. Vielmehr sollten sie in den Sicherheitseinstellungen ihres Geräts die Option „Unbekannte Herkunft – Installation von Apps aus unbekannten Quellen zulassen“ deaktivieren. Auch das bietet noch keine absolute Sicherheit, der beste Tipp bleibt deshalb auch in diesem Fall wieder einmal: Achtsam sein!

Artikel-Quelle:

www.spiegel.de

Google: Wo Malware zu Hause ist

 

Google erweitert seinen Transparenzbericht um Informationen aus seinem 2006 gestarteten Programm Safe Browsing. Erkennbar wird, wo in der Welt betrügerische oder bösartige Websites gehostet und wie schnell Websites nach einer Säuberung von Malware erneut befallen werden.

Mit seinem Programm Safe Browsing schützt Google Internetnutzer vor Malware und Phishing: Browser, nicht nur Google Chrome, nutzen die Daten, um vor dem Besuch als gefährlich markierter Seiten zu warnen, sollte ein Nutzer diese anklicken. Insgesamt greifen mehr als 1 Milliarde Nutzer auf die Daten zu. Read More

Verbreitung von Android-Malware nimmt deutlich zu, aber …

Die Anzahl der Kaspersky insgesamt bekannten Malware-Samples ist deutlich in die Höhe geschnellt.
Bild: Kaspersky Lab
Die Antivirenfirma Kaspersky Lab will im zweiten Quartal dieses Jahres doppelt so viele neue Android-Schädlinge gesichtet haben, wie im gleichen Quartal des Vorjahres. Laut dem entsprechenden Gefahrenbericht ist die Anzahl der bekannten Malware-Samples für Android um in Q2 um rund 30.000 auf insgesamt über 100.000 angestiegen. Im vergangenen Jahr hatte das Unternehmen in diesem Zeitraum lediglich knapp 15.000 neue Samples entdeckt. Read More

Hackergruppe verteilt Kinderpornos über kompromittierte Server

Die Kinderschutz-Organisation Internet Watch Foundation weist auf einen neuen Trend hin: In den letzten Wochen sind 277 Fälle aktenkundig geworden, in denen Kriminelle Websites kompromittierten und dort Kinderpornografie verfügbar machten. Ziel der Operationen waren häufig legale Sex-Angebote.

 

Das Bildmaterial bezeichnet Sprecherin Emma Lowther als “das Schlimmste, was man sich vorstellen kann”, teilweise mit Babys als Opfer. “Wenn Sie jetzt wissen möchten, warum jemand so etwas tut, ist die Antwort – keine Ahnung. Allerdings wird eine Malware installiert, sobald der Nutzer auf den Bilderordner zugreift. Vielleicht meint jemand, so Viren verbreiten zu können. Wir glauben nicht, dass die Angreifer wirklich Kinderpornografie an Gleichgesinnte verteilen wollen.” Read More

Bösartige Plug-ins für Chrome und Firefox kapern Social-Network-Konten

Trend Micro hat auf neue Malware für Chrome und Firefox hingewiesen. “Troj_Febuser.AA” tarnt sich als Service Pack bekannter Software wie Googles Chrome, Mozillas Firefox oder F-Secures Sicherheitslösungen. Es will sich als Browser-Plug-in auf dem Rechner installieren.

Die bösartigen Browser-Plug-ins geben sich laut Trend Micro als Service-Pack der Browserhersteller oder eines Antivirenanbieters aus. Read More

Angriff auf US-Atomforscher: Microsoft warnt vor Zero-Day-Lücke in IE8

Microsoft warnt vor einer neuen Zero-Day-Lücke in Internet Explorer 8. Betroffen sind Nutzer von Windows XP, Server 2003, Vista, Server 2008, 7 und Server 2008 R2. Einem am Freitag veröffentlichten Advisory zufolge könnte die Schwachstelle missbraucht werden, um Schadcode einzuschleusen und auszuführen. Ein Opfer muss dafür lediglich eine speziell präparierte Website besuchen. Die Anfälligkeit wird schon für Angriffe auf US-Forscher missbraucht, die unter anderem an der Entwicklung von Atomwaffen beteiligt sind. Read More

Panda Security: 23 Prozent der deutschen PCs mit Malware infiziert

Deutschland ist unter den zehn Ländern mit dem geringsten Malware-Befall (Diagramm: PandaLabs).

Die Forscher von Panda Security haben in ihrem Malware-Report fürs erste Quartal 2013 konstatiert, dass sich auf 22,94 Prozent aller PCs in Deutschland Schadsoftware befindet. Damit ist Deutschland unter den zehn Nationen mit der geringsten Infektionsquote. Es führt Finnland mit 17 Prozent vor Schweden mit 20 Prozent und der Schweiz mit 20,99 Prozent. Read More

SMS-Trojaner für Mac OS X entdeckt

Der russische Sicherheitsspezialist Dr. Web hat eine Malware für Mac OS X gemeldet, die einen SMS-Betrugsversuch startet. Der “Trojan.SMSSend.3666″ getaufte Trojaner fragt Handynummern der infizierten Anwender ab und versucht per SMS-Bestätigung, diese zu einem mit hohen Kosten verbundenen SMS-Abonnement zu überreden.

 

Das Programm tarnt sich als Installationsdatei für eine Software namens VKMusic 4. Ein solches Programm gibt es tatsächlich: Es dient der Kommunikation zwischen Nutzern des Social Network VK. Read More

Tags: ,