- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Malware-Scanner umgehen


Sticky-Keys-Attacke: Wenn sich das Betriebssystem gegen Sie richtet
Panda Security entdeckt neuen Typ von gezielten Cyberangriffen

- Anzeigen -





PandaLabs hat einen neuen Typ von gezielten Angriffen gegen Unternehmen entdeckt. Dabei nutzen die Hacker keinerlei Malware, um Daten von Unternehmensnetzwerken zu stehlen. Alles, was der Angreifer tun muss, ist, fünf Mal die Shift-Taste eines Computers zu drücken, um das Sticky-Keys-Feature zu aktivieren und das betroffene System zu kompromittieren. Denn diese Keys ermöglichen es den Cyberkriminellen, eine Back Door auf dem attackierten Computer zu öffnen – normalerweise ein Server, der zuvor mithilfe einer Brute-Force-Attacke gegen das Remote Desktop Protokoll (RDP) gehackt wurde. Selbst wenn der Angriff bemerkt und die Zugangsdaten zum RDP geändert werden, können die Cyberkriminellen so weiterhin Sticky Keys aktivieren und sozusagen ‚durch die Hintertür‘ auf das System zugreifen, ohne die (neuen) Zugangsdaten zu kennen.

Entdeckt wurde diese clevere Masche von den PandaLabs, als deren IT-Experten eine Attacke gegen ein ungarisches Unternehmen analysierten. Das Besondere daran: Der Angriff nutzte nicht irgendwelche Malware als solche (z.B. Phishing, Würmer oder die gefürchteten Verschlüsselungstrojaner), sondern Skripts und andere zum Betriebssystem gehörige Tools, um die Malware-Scanner zu umgehen. Dies ist nur ein weiteres Beispiel für die zunehmende Selbstsicherheit und Professionalität, die IT-Security- bei Cyberkriminellen in den letzten Monaten beobachtet haben.

Analyse einer Attacke ohne Malware-Verwendung
Zunächst starten die Hacker ihren Angriff, indem sie mithilfe des Remote Desktop Protokolls (RDP) eine Brute-Force-Attacke gegen einen Server einleiten. Sobald sie die Login-Daten des Computers bekommen haben, haben sie kompletten Zugriff auf diesen.

Das Nächste, was die Hacker tun, ist, dass sie die sethc.exe-Datei mit dem Parameter 211 vom Command Prompt Window (CMD) des Computers starten. Dies aktiviert das ‚Sticky Keys‘-Feature des Systems. Sicherlich haben Sie diese Nachricht schon mal gesehen:

Dann wird ein Programm namens ‚Traffic Spirit‘ heruntergeladen und gestartet. ‚Traffic Spirit‘ ist eine Anwendung zur Traffic-Generierung, die in diesem Fall dazu genutzt wird, um Geld mit den kompromittierten Computern zu machen.

Anschließend wird eine selbst-extrahierende Datei gestartet, die die folgenden Dateien in den %Windows%\cmdacoBin-Ordner dekomprimiert:
• >> registery.reg
• >> SCracker.bat
• >> sys.bat

Die Angreifer fahren dann mit dem Start des Windows Registry Editors (Regedit.exe) fort und fügen den folgenden in der registery.reg-Datei enthaltenen Key hinzu:
Der Key hat folgendes Ziel: Jedes Mal, wenn das Sticky-Keys-Feature genutzt wird (sethc.exe), startet eine Datei namens SCracker.bat. Dies ist eine Batch-Datei, die ein sehr einfaches Authentifizierungssystem implementiert.

Der Benutzername und das Passwort werden aus zwei in der Datei sys.bat enthaltenen Variablen abgerufen: Auf diese Weise installiert der Angreifer eine Back Door auf dem betroffenen System. Mit dieser ‚Hintertür‘ ist der Angreifer in der Lage, sich mit dem Zielcomputer zu verbinden, ohne die Anmeldeinformationen eingeben zu müssen. Er aktiviert die Sticky-Keys-Funktion (z. B. durch fünfmaliges Drücken der SHIFT-Taste) und gibt den entsprechenden Benutzernamen und das Passwort in die Command Shell ein:

Die Command Shell Shortcuts erlauben dem Angreifer, auf bestimmte Verzeichnisse zuzugreifen, die Konsolenfarbe zu ändern und andere typische Befehlszeilenbefehle zu verwenden.

Der Angriff hört hier aber nicht auf. In ihrem Versuch, so viel Gewinn wie möglich von mit der angegriffenen Firma zu machen, installiert der Angreifer einen Bitcoin-Miner, um mit jedem kompromittierten Computer weiteres Geld zu erhalten. Bitcoin-Mining-Software zielt darauf ab, die Computerressourcen der Opfer zu nutzen, um die virtuelle Währung zu erzeugen, ohne dass sie es bemerken. Eine billige und sehr effektive Möglichkeit, Computerinfektionen zu monetarisieren.

Wie hilft die Sticky-Keys-Funktion den Cyberkriminellen?
Wofür benötigen Angreifer eine Back Door, wenn sie über eine RDP-Verbindung gezielt auf einen Computer zugreifen können? Die Antwort auf diese Frage ist einfach: Die Installation einer Hintertür auf dem betroffenen System ermöglicht es dem Angreifer, durch Aktivierung der Sticky-Keys-Funktion jederzeit wieder auf das System zugreifen zu können, selbst wenn das Opfer den Angriff bemerkt und seine Login-Daten ändert.

Adaptive Defense 360, die fortschrittliche Cyber-Security-Lösung von Panda Security, konnte diesen gezielten Angriff durch die kontinuierliche Überwachung des IT-Netzwerks des betroffenen ungarischen Unternehmens bereits in den Anfängen stoppen. Die Firma wurde somit vor ernsthaften finanziellen Einbußen und Reputationsschäden bewahrt. (Panda Security: ra)

eingetragen: 17.04.17
Home & Newsletterlauf: 21.04.17


Panda Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Als Flash-Player-App getarnt

    Die Experten von Kaspersky Lab haben eine neue Variante des mobilen Banking-Trojaners Svpeng entdeckt. Mittels Keylogger-Funktion greift der modifizierte Trojaner eingegebenen Text wie Banking-Zugangsdaten ab, indem die Zugangsdienste von Android missbraucht werden. Dadurch erlangt der Trojaner weitere Rechte und kann so die eigene Deinstallation verhindern. Selbst Geräte mit aktuellster Software schützen nicht vor dem Schädling. Zugangsdienste (Accessibility Services) sind Erweiterungen der Benutzeroberfläche, um Nutzer, die nicht mit dem Gerät interagieren können, zu unterstützen. Die im Juli 2017 von Kaspersky Lab entdeckte modifizierte Version von Svpeng ist in der Lage, diese Systemfunktion zu missbrauchen, um in andere Apps eingegebenen Text abzugreifen und sich selbst weitere Rechte zu verschaffen.

  • Geschäftsmodell Ransomware-as-a-Service

    Auf der Black Hat 2017 in Las Vegas hat Sophos gestern einen Report zum Thema "Ransomware-as-a-Service (RaaS): eine Analyse von Philadelphia" veröffentlicht. Autorin ist Dorka Palotay, eine Entwicklern zur Gefahrenanalyse in den SophosLabs in Budapest, Ungarn. Der Report beschäftigt sich eingehend mit den inneren Mechanismen eines Ransomware-Bausystems, das jeder für 400 US-Dollar kaufen kann. Einmal erworben, können die Kriminellen Computer kidnappen und Daten gegen Lösegeld zurückhalten.

  • Infektion über Filesharing-Seiten

    Mehr als eine halbe Million Nutzer sind von einer Malware-Kampagne betroffen, die infizierte Systeme zu einem Botnet hinzufügt. Die Malware ist komplex und extrem anpassungsfähig. So schaffte es "Stantinko", über fünf Jahre lang unentdeckt zu agieren und ein Botnet von mehr als 500.000 infizierten Systemen zu bilden. Das ist das Ergebnis einer umfassenden Untersuchung der europäischen Security-Software-Herstellerin Eset. Die meisten Betroffenen entdeckte Eset in Russland und in der Ukraine. Stantinko infiziert Systeme über Filesharing-Webseiten und lockt Nutzer mit kostenloser Software. Die Entwickler haben die Malware clever getarnt: Der Infektionsvektor installiert eine Reihe auffälliger Anwendungen, gleichzeitig wird das Schadprogramm unauffällig im Hintergrund installiert. Stantinko ist so komplex aufgebaut, dass die Malware nur schwer entdeckt werden kann.

  • Unfertige Spyware Rurktar aufgetaucht

    In den G Data Security Labs ist eine Spyware aufgetaucht, die ihren Ursprung scheinbar in Russland hat. Das lässt sich durch die internen Fehlermeldungen der Software zurückverfolgen. Ob hinter der Programmierung der Schadsoftware ganze Entwicklerteams oder eine einzelne Person stecken, ist indes noch unklar.

  • Mac-Version der Windows-Malware WERDLOD

    Forscher von Trend Micro haben die vor kurzem entdeckte Malware OSX_DOK eingehend analysiert. Dabei zeigte sich, dass der Trojaner ausschließlich Daten von Schweizer Nutzern abfängt, die er an ihrer IP-Adresse erkennt. OSX_DOK stellt die Mac-Version der Windows-Malware WERDLOD dar, die bereits 2014 in dem als "Operation Emmental" bekannten Angriff auf Schweizer Bankkunden verwendet wurde.