Tag Archives: Hacker

Rocket Kitten: Die Geschichte einer Malware-Analyse

Rocket Kitten

Mit der Analyse von Malware für eine großflächige Spearphising-Attacke konnten Datenexperten die Angreifer enttarnen. In detektivischer Kleinarbeit haben sie dabei ausgefeilte Komponenten aufgedeckt und ein Land hinter dem Angriff ausgemacht.

Wer steckt hinter Malware-Angriffen? Diese Frage beschäftigt IT-Sicherheitsexperten, insbesondere dann, wenn sie Regierungen dahinter vermuten. Wie schwierig eine eindeutige Schuldzuweisung ist, zeigt auch der aktuelle Hack auf die IT-Infrastruktur von Sony Pictures. Obwohl die US-Bundespolizei eindeutig Nordkorea als Urheber nennt, bleiben Zweifel. Zwei Datenexperten konnten in einem anderen Angriff jedoch einen Schuldigen ausmachen, auch weil sich dieser ziemlich ungeschickt anstellte. Ihre Geschichte erzählten sie auf dem 31C3.

Es begann mit einem Anruf im April 2014. Unbekannte hatten mit einer Spearphishing-Attacke versucht, einer zivilen Organisation Malware unterzujubeln. Deren Büros befinden sich direkt neben einem israelischen Luft- und Raumfahrtunternehmen. Die Datenexperten Gadi Evron und Tillmann Werner wollten zunächst wissen, ob es sich um einen großflächigen Cyber-Angriff handelte, einen sogenannten Advanced Persistent Threat (APT).

Angriff per Excel-Makro

Sicher sei das zunächst nicht gewesen, sagten die IT-Sicherheitsexperten. Denn die Spearphishing-Attacke erfolgte über eine präparierte Excel-Tabelle. Die Malware war dort als Makro eingebettet. Nutzer hätten also zunächst den Anhang der E-Mail öffnen und anschließend auch das Makro per Mausklick starten müssen, damit die Malware installiert wird. Solche Angriffe waren vor zehn Jahren die Regel, als die Standardeinstellungen Makros noch automatisch starteten. Heutzutage gelten sie als veraltet. Allerdings nehmen Antivirenhersteller veraltete Malware oftmals aus ihren Signaturdatenbanken. Inzwischen steigt die Zahl der Angriffe mit fast vergessenen Trojaner wieder.

Die Angreifer hätten die E-Mail teilweise mehrfach geschickt, etwa mit dem Zusatz: „Entschuldige, ich habe den Anhang in der letzten E-Mail vergessen.“ Mit solchen wiederholten E-Mails steigt die Wahrscheinlichkeit, dass ein Opfer den Anhang doch irgendwann öffnet.

Offizielle Dokumente als Köder

Der Köder war eine Excel-Tabelle und enthielt eine Kontaktliste hochrangiger Militärmitarbeiter aus aller Welt mit teils persönlichen Daten. Der erste Eintrag war der eines ägyptischen Armeeangehörigen, was in Israel durchaus interessant sein dürfte. Die Liste trug den Briefkopf eines österreichischen Ministeriums und war auf Deutsch verfasst. Um weitere Einträge der Liste einzusehen, sollte das Opfer eine weitere Tabelle öffnen. Erst dann würde sich die eigentliche Malware installieren. Dieser Köder sei ein erster Hinweis auf einen staatlich gelenkten Angriff gewesen, sagten die beiden Datenexperten.

In der Excel-Tabelle entdeckten die Datenexperten dessen Ersteller, der mit dem Namen Woll3n.H4t eingetragen war. Auch das Erstellungsdatum der Tabelle konnten sie auslesen. Mit diesen Informationen forschten die IT-Sicherheitsexperten zunächst, ob bereits andere Phishing-Angriffe mit dem Namen bekannt waren.

Malware aus Argentinien?

Die Datenexperten analysierten den sogenannten Payload, der durch das eingebettete Makro aufgerufen wird. Es handelte sich um eine PE-Binärdatei, die die Experten mit dem Disassembler Idapro analysierten. Zunächst entdeckten sie einen Pfad für Debug-Dateien. Außerdem fiel ihnen auf, dass in dem Debug-Code die Länderkennung von Argentinien eingebettet war. Das verwirrte die Experten zunächst, denn ein Angriff aus Argentinien auf Israel konnten sie sich nicht vorstellen.

Der Code der Malware sei von hoher Qualität, sagten die Experten. Es sei Position-independent Code, er kann also unabhängig von der Position im Speicher ausgeführt werden. Konstanten werden nicht direkt, sondern über Lookup-Tables aufgerufen, etwa Netzwerk-Sockets. Dadurch lässt sich der Code leichter auf verschiedene Plattformen und Betriebssysteme portieren. Ungewöhnlich sei auch, dass das Hashing für die Sitzungsverwaltung mit Blowfish realisiert wird. Auch die APIs werden durch Wrapper bereitgestellt. Und es gab einen Proxy für den Aufruf von generischen APIs.

Malware mit geklautem Programm

Eine Suche bei Google ergab eine Übereinstimmung mit einem Syscall Proxy des Unternehmens Core Security, das die Datenexperten als „eines der guten“ bezeichnet. Das US-Unternehmen hat ein Büro in Argentinien und sein Syscall Poxy verwendet nach eigenen Angaben Blowfish für internes Hashing.

Core Security hat auf Anfrage jegliche Zusammenarbeit mit Militär und Geheimdiensten abgestritten, was die beiden Experten bestätigen. Jemand habe ein „gutes Werkzeug gestohlen und böses damit gemacht“, sagten Evron und Werner. Die Auswahl der Werkzeuge zeige, dass es sich um einen hochentwickelten Angriff handele, ein Hinweis auf einen Angriff im Auftrag und mit Unterstützung einer Regierung.

Syscall-Proxy für die Steuerung aus der Ferne

Das Besondere an Syscall Proxys ist, dass sie auf dem einen Rechner nur eine winzige ausführbare Datei installieren. Auf einem anderen wird die Steuerung ausgeführt. Mit Syscall Proxys können so fast beliebige Werkzeuge verwendet werden, ohne dass sie auf dem angegriffenen Rechner installiert werden müssen: Sie werden auf den entfernten Rechnern gestartet, die Befehle werden dort in entsprechende Systemaufrufe umgewandelt und auf dem Zielrechner ausgeführt. Die Rückmeldungen werden wieder an den angreifenden Computer zurückgeschickt. Über ein eigenes Protokoll, ähnlich wie Remote Procedure Call (RPC), wird die Kommunikation abgewickelt. Es sei wie die Auslagerung des User-Space auf andere Rechner, erklärten die Datenexperten. Es könnten auch mehrere Rechner gleichzeitig die Steuerung übernehmen.

Im Code der Malware entdeckten sie mehrere IP-Adressen. Die führten zu einem deutschen Provider, der auch Satellitendienste anbietet. Eine Abfrage der Geoposition der IP-Adressen platzierte sie am Äquator mitten im Atlantischen Ozean. Es handele sich vermutlich um Proxy-Adressen, sagten die Experten. Die für die verschlüsselte Kommunikation verwendeten Zertifikate stammten vom inzwischen als unschuldig eingestuften Core Security. Die Spur führte also ins Leere.

Rocket Kitten wird zum großflächigen Angriff

Dann widmeten sich die Experten erneut den für die Phishing-Angriffe verwendeten Excel-Tabellen, denn inzwischen stellte sich heraus, dass die Malware bereits an mehrere Objekte in Israel und in Ländern der EU versendet wurde. Der letzte Angriff datierte vom Oktober 2014. Das interessanteste Dokument sei die eingangs erwähnte Kontaktliste mit Militärmitarbeitern, so die Vortragenden. Andere enthielten Telefonnummern von öffentlichen Einrichtungen in Israel oder einer Liste aller Botschaften in Berlin. Inzwischen sei der Angriff als APT eingestuft worden und habe den Namen Rocket Kitten erhalten.

Ein weiteres Dokument fiel den Datenexperten besonders auf: Es handelte sich um ein Informationsblatt zu einem geplanten deutsch-israelischen Treffen im Februar 2015, an dem auch die Bundesministerin für Bildung und Forschung Johanna Wanka teilnehmen wird, ebenfalls in perfektem Deutsch und vermutlich gestohlen. Solche Dokumente seien deshalb wichtig, weil sie möglicherweise auf geplante Angriffe hinweisen, die dann verhindert werden könnten.

Enttarnt!

Eine weitere Analyse ergab, dass neben dem Syscall Proxy auch eine weitere Malware enthalten war. Sie war aber eher rudimentär programmiert und sollte etwa die Dateien auslesen, in denen Zugangsdaten gespeichert sind. In dem Code entdeckten die Datenexperten nochmals das Handle Woll3n.H4t sowie eine Gmail-Adresse. Und noch viel wichtiger: den redigierten Klarnamen einer der Programmierer der Malware. Sie machten keine Schuldzuweisung, sagten Evron und Werner, sie seien sich aber zu 99,99 Prozent sicher, dass ein Land hinter den Angriffen stecke.

Für ein letztes Foto zum Schluss des Vortrags posierten die beiden vor einem Foto der iranischen Flagge.

 

Siehe hier:

www.golem.de/

Gestohlene Zugangsdaten: Erhöhte Zugriffe auf Domainverwalter registriert

Gestohlene Zugangsdaten

Der US-Domainverwalter Namecheap vermerkt seit einigen Tagen deutlich erhöhte Login-Versuche. Die dabei genutzten Kontodaten sollen aus der Sammlung russischer Hacker stammen.

Seit einigen Tagen hat das Intrusion Detection System (IDS) des US-Domainverwalters Namecheap eine deutlich gestiegene Anzahl an Login-Versuchen registriert. Interne Untersuchungen hätten ergeben, dass die dabei verwendeten Login-Daten aus der Datenbank russischer Hacker stammen. Vor wenigen Tagen hatte das IT-Sicherheitsunternehmen Hold Security gemeldet, im Besitz von über einer Milliarde Zugangsdaten zu sein, die es von russischen Hackern erbeutet haben will.

Offenbar probieren Datendiebe die gestohlenen Zugangsdaten massenweise aus. Laut Namecheap hätten die Hacker dafür eine gefälschte Login-Seite erstellt, in der sie die Daten eingeben, um sich Zugang zu den Konten der Namecheap-Benutzer zu verschaffen. Der größte Teil der Zugangsversuche sei gescheitert, da die Passwörter oder die Kundendaten nicht mehr gültig seien, schreibt Namecheap in einem Blogeintrag.

Betroffene werden informiert

Dennoch habe das Unternehmen einige erfolgreiche Einlog-Versuche registriert. Die betroffenen Konten seien umgehend gesichert und deren Besitzer informiert worden, schreibt Namecheap. Die Kunden werden gebeten, ihre Identitäten zu verifizieren und erhalten von Namecheap daraufhin ein neues starkes Passwort. Ihnen wird außerdem geraten, die Zwei-Authentifizierung zu aktivieren, die Namecheap wie viele andere Unternehmen anbietet.

Außerdem werden betroffene Kunden darauf hingewiesen, dass die verwendeten Zugangsdaten nicht bei Namecheap gestohlen wurden. Einen erfolgreichen Einbruch habe es dort bislang nicht gegeben. Das weise darauf hin, dass die Daten auch bei anderen Webseiten verwendet werden. Die Kunden sollten auch dort ihre Zugangsdaten ändern.

IP-Adressen gesperrt

Um sich gegen die zunehmenden Login-Versuche zu wehren, liest Namecheap die IP-Adressen aus, von denen die Einwahlversuche stammen. Sie werden von den Servern des Unternehmens blockiert. Außerdem habe Namespace die Strafverfolgungsbehörden informiert.

Ob die bei Namecheap verwendeten Zugangsdaten tatsächlich aus der Datenbank stammen, die Hold Security aus Daten aus diversen Foren und anderen Quellen gesammelt hat, ist aber unklar. Hold Security war in die Kritik geraten, weil es besorgten Kunden nur einen kostenpflichtigen Dienst anbietet, um herauszufinden, ob ihre Daten zu den gestohlenen gehören.

 

zur Webseite:

www.golem.de/news

Haftstrafen für LulzSec-Hacker in Großbritannien

Am Donnerstag wurden in Großbritannien vier Hacker aus dem Umfeld der Hackergruppe LulzSec nach einem zwei Tage dauernden Verfahren schuldig gesprochen. Als Grundlage für den Prozess dienten mehrere Attacken der Gruppe auf die Webserver von Sony Pictures, Fox.com und dem Fernsehsender PBS im Jahr 2011.

Des Weiteren zeichnet sich das Kollektiv für die Einbrüche auf die Webseiten des US-amerikanischen Geheimdiensts CIA sowie die britische Ermittlungsbehörde für Organisierte Kriminalität, SOCA (Serious Organised Crime Agency) verantwortlich. Bei dieser Aktion konnte das FBI eines der führenden LulzSec-Mitglieder enttarnen und festnehmen. Der 28-jährigen Hector Xavier Monsegur half in den darauf folgenden Monaten dabei, die Mitverantwortlichen zu ermitteln, welche in einer konzentrierten internationalen Aktion am 6. März 2012 verhaftet wurden. Seine Urteilsverkündung ist für den 23. August angesetzt. Continue Reading

Anonymous: Hacker gelangen an Daten von FDP-Mitgliedern

 

Angeblich aus Protest gegen die Bestandsdatenauskunft haben Unbekannte eine Plattform der FDP gehackt und sich Zugang zu Passwörtern und anderen persönlichen Daten verschafft – auch von Parteiprominenz. Von der Partei oder den Betreibern des Portals gibt es bislang keine Stellungnahme.

Rund 37.000 Datensätze mit Namen, Anschriften und weiteren persönlichen Daten sowie angeblich nur leicht verschlüsselten Passwörtern sind offenbar in die Hände von Hackern gelangt. Sie sind in die Datenbank von Meine-Freiheit.de (früher my.fdp.de) eingedrungen, ein Diskussionsportal der Liberalen. Unter den Daten sollen sich auch Zugangsdaten von Außenminister Guido Westerwelle und Entwicklungsminister Dirk Niebel befinden. Continue Reading

Gefahr durch Cyber-Angriffe – Hacker legen Seite von JPMorgan Chase lahm

Stundenlang ging gar nichts: Ein Hackerangriff hat die Internetseite der US-Bank JPMorgan Chase lahmgelegt. Laut CIA sind die Attacken aus dem Netz inzwischen eine größere Gefahr für die USA als der Terrorismus.
JPMorgan und andere große Finanzinstitute wie Bank of Americaund Citigrouphatten bereits vor kurzem bekanntgegeben, dass ihre Seiten angegriffen worden seien und vermutet, dass die Attacken anhalten würden. Nach Ansicht der US-Geheimdienste stellen Cyber-Angriffe und Internet-Spionage mittlerweile eine größere Gefahr für die Sicherheit der USA dar als der Terrorismus.Auch die US-Notenbank Federal Reserve war vor kurzem ebenfalls Opfer einer Attacke von Computerhackern, selbst der IT-Konzern Microsoft war kürzlich betroffen. Vergangene Woche wurde zudem bekannt, dass Hacker Dutzende Computersysteme von Regierungen in Europa angegriffen haben.

Oft werden solche Attacken China zugeschrieben. Die Volksrepublik hat dies immer wieder zurückgewiesen und gekontert, hinter dem Großteil der Hackerangriffe auf Chinas offizielle Webseiten steckten die USA. Continue Reading

Google-Initiative bietet Hilfe für gehackte Sites

Google hat ein Informationsangebot “Help for Hacked Sites” gestartet, das Artikel und Videos für Webmaster von kompromittierten Websites enthält. Es informiert die in solchen Fällen meist geschockten Betreiber, welche Schritte sie nach einem Sicherheitsvorfall als erstes einleiten sollten und wie sie die Kontrolle über ihre Server zurückerlangen. Continue Reading

Sicherheit: Einbruch in FreeBSD-Infrastruktur

 

Angreifer hatten Zugriff auf zwei Maschinen des FreeBSD-Projekts. Anwender sollten von dem Vorgang nicht betroffen sein, eventuell aber ihre Rechner überprüfen und notfalls neu installieren.

Vor etwas mehr als einer Woche sei dem FreeBSD-Team ein Einbruch in seine Infrastruktur aufgefallen, wie es nun mitteilt. Die Beteiligten gehen davon aus, dass die zwei betroffenen Systeme bereits seit dem 19. September dieses Jahres kompromittiert waren. Continue Reading