Einer Schadsoftware bei der Arbeit zuschauen

Eine Analyse mit Unico’s Cyber Detective

17. Juni 2019

1. Vom Word Dokument zur Schadsoftware

Die Mailbox ist voll mit neuen Nachrichten. Es gilt, Weizen vom Spreu zu trennen, und das möglichst schnell. Mails mit Webinhalten riechen nach Newsletter oder Werbung, die lassen sich rasch filtern. Aber da sind immer noch genügend Nachrichten mit wichtigen Anfragen. Also rasch den Anhang öffnen und prüfen, ob und wann ich reagieren muss… Ups! Was ist das?

Wer hier der Anleitung folgt oder die Sicherheitseinstellung im Office bereits auf «lass mich arbeiten» eingestellt hat, ebnet dem kleinen Programm, welches dieser Datei in Form eines Makros mitgeliefert wurde, den Weg zur Ausführung. Davon wird im Vordergrund natürlich nichts angezeigt. Wir schauen deshalb mal hinter die Kulissen.

2. «Der Loader»

Eine ausgereifte Schadsoftware ist umfangreich und lässt sich in der Regel nicht als Makro in Office Dateien verstecken. Stattdessen kreiert ein Angreifer oft ein «Loader» Programm, also eine Software, die alle Komponenten für die eigentliche Schadsoftware vom Internet herunterladen kann. In unserem Beispiel geschieht dies mit einem Powershell-Befehl (Windows eigenes Programm):

Dieser Befehl ist verschlüsselt, so dass die eigentliche Aktion nicht offensichtlich erkennbar ist. Übersetzt sieht das so aus:

Selbst wenn man Powershell nicht kennt, findet man beim näheren Hinschauen einige Internet Adressen. Das sind die Orte, wo der Loader die Installationsdateien für die eigentliche Schadsoftware bezieht.
Auch den Verbindungsaufbau können wir beobachten:

3. Persistenz

Die Installationsdatei heisst in unserem Fall 267.exe und wird im Benutzerverzeichnis abgelegt.

Die Aufgabe dieser Datei ist es, die Schadsoftware so zu installieren, dass sie bei jedem Neustart des Gerätes ausgeführt wird. Diese Aktion bezeichnen wir als Persistenz (Dauerhaftigkeit). Das kann auf verschiedene Arten erreicht werden. Im vorliegenden Fall wird ein Service resp. ein Programm installiert, welches – wie andere Windows Dienste – im Hintergrund läuft. Ein Indiz für diese Aktion liefert der folgende Registry Eintrag:

Dieser Eintrag zeigt uns auch gleich den Namen des Dienstes an: Nissmall

4. Anruf nach Hause zum Command and Control

Der frisch installierte Dienst meldet sich beim Kontroll-System. Das Kontroll-System, auch C&C (command and control) genannt, dient der Verwaltung der infizierten Systeme. Von hier aus werden Befehle abgesetzt, welche die infizierten Systeme ausführen sollen. Umgekehrt sendet die Schadsoftware angeforderte Daten über diesen Kanal zum C&C zurück. In unserem Fall stellen wir eine Verbindung nach Argentinien fest:

Ab diesem Zeitpunkt ist das infizierte System in der Hand des Angreifers. Je nach Zweck der Schadsoftware kann das System nun für weitere Angriffe auch auf andere Systeme verwendet werden. Es kann Bankdaten ausspionieren, Benutzernamen und Passwörter mitlesen oder für andere kriminelle Aktivitäten eingesetzt werden.

5. Fazit

Die im vorliegenden Beispiel aufgefundenen Komponenten der Schadsoftware waren bei einem Grossteil der heutigen Virenschutzprogramme (Referenz https://virustotal.com) nur zum Teil bekannt. Ein vollständiges Bereinigen des Systems wäre zum Zeitpunkt des Vorfalls nicht möglich gewesen. Mit Hilfe des Cyber Detective Services war es uns aber möglich, die Aktionen der Schadsoftware vollumfänglich nachzuvollziehen und anhand der gewonnen Erkenntnisse auch Systeme zu untersuchen, auf welchen keine Alarme ausgelöst wurden.
Ausprägungen und Wirkungen von Schadsoftware ändern laufend und sehr schnell. Somit gibt es nur eine wirksame Massnahme: kontinuierlich am Ball bleiben, von Angriffen lernen und unsere heutigen Schutzmassnahmen permanent auf die neuen Probleme von morgen vorbereiten!

Unico's Cyber Detective Service

Mit dem Cyber Detective Service hat Unico Data AG ein geeignetes und schlagkräftiges Werkzeug zur Hand. Wir freuen uns darauf, Ihrem Unternehmen mit diesem und anderen Services im Bereich Cyber Security zur Seite stehen zu dürfen.