Business Security

Malware versteckt sich im Speicher-Unternehmen in 40 Ländern betroffen

Es sind die Gruppen GCMAN und Carbanak, die die Finanz- und Telekommunikationsbranche sowie Regierungsorganisationen im Visier haben. Die Experten von Kaspersky Lab haben eine Reihe zielgerichteter und nahezu unsichtbarer Attacken entdeckt, die ausschließlich mittels legitimer Software durchgeführt wurden. Die Angreifer nutzen weitverbreitete Tools für Penetrationstests und Administratoren sowie das PowerShell-Framework zur Aufgabenautomatisierung unter Windows.

Der Speicher dient als Versteck

Es werden keine Malware-Dateien auf der Festplatte hinterlassen, sondern lediglich kurzeitig im Speicher versteckt. Der Ansatz verhindert eine Entdeckung durch Whitelisting-Technologien und hinterlässt Forensikern kaum analysierbare Spuren oder Malware-Muster. Die Angreifer verbleiben nur im System, solange sie Informationen sammeln. Mit dem nächsten Systemneustart sind alle Spuren beseitigt. Die Angreifer sind noch aktiv.

Ende des Jahres 2016 informierten Banken aus der GUS-Region Kaspersky Lab, dass sie die Penetrationstest-Software Meterpreter, die oft für schadhafte Zwecke eingesetzt wird, unerwartet im Speicher ihrer Server gefunden haben. Anschließend entdeckten die Experten von Kaspersky Lab, dass der Meterpreter-Code mit einer Reihe legitimer PowerShell-Skripts und anderen Hilfsmitteln verknüpft wurde. Die kombinierten Tools wurden in schadhaften Code umgearbeitet, der sich im Speicher verstecken und so unbemerkt Passwörter von Systemadministratoren sammeln konnte. Die Angreifer erlangten so die Kontrolle über ein System. Ziel war wohl der Zugriff auf Finanzprozesse.

Grafik Unternehmens Attacken, Bildquelle: Kaspersky Lab
Grafik Unternehmens Attacken, Bildquelle: Kaspersky Lab

Kaspersky Lab: Einsatz legitimer und Open-Source-basierter Werkzeuge macht Zuweisung annähernd unmöglich

Die Verwendung derartiger Tools macht zudem die Entdeckung von Angriffsdetails schwierig. Für gewöhnlich folgen Experten während einer Vorfallreaktion (Incident Response) Spuren und Mustern, die im Netzwerk vom Angreifer zurückbleiben. Datenspuren können bis zu einem Jahr nach dem Vorfall auf Festplatten verbleiben, hier allerdings sind sie mit dem nächsten Neustart des Computers aus dem Speicher verschwunden. In diesem Fall konnten die Experten jedoch rechtzeitig die Spuren sichern.

Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab, kommentiert:

„Die Entschlossenheit der Angreifer, ihre Aktivitäten zu verstecken und so die Entdeckung und eine Incident Response extrem zu erschweren, zeigt den neuesten Trend antiforensischer Techniken und speicherbasierter Malware“

„Speicherforensik wird deshalb für die Analyse von Malware und deren Funktionen besonders wichtig. Bei diesen Attacken nutzten die Angreifer jede denkbare antiforensische Technik und demonstrierten, dass keine Malware-Dateien für das erfolgreiche Herausfiltern von Daten aus einem Netzwerk benötigt werden. Gleichzeitig zeigt sich, dass die Verwendung legitimer und Open-Source-basierter Werkzeuge eine Zuweisung der Attacke fast unmöglich macht.“

Darauf sollten IT-Sicherheitsverantwortliche achten

Die Angreifer sind noch aktiv. Daher sollten IT-Sicherheitsverantwortliche darauf achten, dass ein derartiger Cyberangriff nur im RAM (Random Access Memory), Netzwerk und der Registry entdeckt werden kann. YARA-Regeln, die auf dem Scan schadhafter Dateien basieren, bieten hier keinen Schutz.

Die Lösungen von Kaspersky Lab entdecken Angriffe mit den oben genannten Taktiken, Techniken und Verfahren.

Weitere Informationen zu den Angriffen sowie passende YARA-Regeln für die forensische Analyse sind auf hier abrufbar. Für Kunden der Kaspersky Intelligence Services wurden technische Details, einschließlich Kompromittierungsindikatoren (IoC), bereitgestellt.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben