Aktuelles, Branche, Produkte - geschrieben von dp am Freitag, Juli 15, 2016 18:51 - noch keine Kommentare
Wiederaufleben von Keylogger-Aktivitäten beobachtet
Palo Alto Networks enttarnt Akteure durch eingebettete Anmeldeinformationen
[datensicherheit.de, 15.07.2016] Laut einer aktuellen Meldung von Palo Alto Networks beobachtet das eigene Malware-Analyseteam („Unit 42“) derzeit ein Wiederaufleben von Keylogger-Aktivitäten. Hardware- oder auch Software-basierte Keylogger erfassen die Tastatureingaben des Benutzers. Aktuell gebe es vier weitverbreitete Keylogger-Softwarefamilien: „KeyBase“, „iSpy“, „HawkEye“ und „PredatorPain“.
„Unit 42“ hat nun nach eigenen Angaben den Fokus auf die Akteure, die hinter den Bedrohungen stecken, sowie auf eine praktische Technik zur Identifizierung gelegt.
Keylogger: Übertragung der Daten per http, smtp oder ftp
Keylogger müssen die erfassten Daten zurück an den Angreifer übertragen – dafür gibt es drei etablierte Methoden per http, smtp bzw. ftp. Die http-Übertragung beinhaltet demnach in der Regel eine einfache POST-Anforderung mit einem Textkörper, der die gestohlenen Daten enthält. Bei SMTP und FTP ist oft eine Authentifizierung erforderlich, um sich bei einem Dienst anzumelden, bevor die Daten aus dem kompromittierten System übertragen werden können.
Dies stelle einen wertvollen Datenanhaltspunkt dar, weil alle vier großen Keylogger-Familien ihre Anmeldeinformationen innerhalb ihrer Binärdateien einbetteten. Die Forscher könnten so die Remote-Server-Adresse, den Benutzernamen und das Passwort für jedes analysierte Sample feststellen. Werde dies kombiniert mit der großen Anzahl an aktiven Keyloggern, stehe ein sehr großer Datensatz zur Korrelation zur Verfügung.
Muster und Daten zur Identifizierung der Akteure aufdecken
Durch den Einsatz des Bedrohungserkennungsdienstes „Auto Focus“ von Palo Alto Networks habe „Unit 42“ in kurzer Zeit 500 aktuelle Samples von „HawkEye“ und „iSpy“ identifizieren können, die während der dynamischen Analyse entweder ftp- oder smtp-Aktivitäten aufwiesen hätten.
Nach dem Download der Samples hätten die Forscher alle erfolgreichen ftp- und smtp-Aktivitäten analysiert, um einen Datensatz für „Maltego“ (ein Tool zum Visualisieren von Zusammenhängen in Netzwerken), zu erstellen. Diese eingebetteten Anmeldeinformationen würden derzeit verwendet, um Muster und Daten aufzudecken, die zu den Akteuren führen.
4 verschiedene Akteure identifiziert
Angesichts des großen Ausmaßes der Keylogger-Aktivitäten, sei dies nur ein kleines Sample-Set. Trotzdem sei es groß genug, um zu erkennen, dass sich über die eingebetteten Anmeldeinformationen ein Einblick in das Verhalten und die Infrastruktur der Akteure gewinnen lasse. Den Forschern von Palo Alto Networks habe damit eine praktische Technik zur Verfügung gestanden, um innerhalb kurzer Zeit mindestens vier verschiedene Akteure zu identifizieren, die aktiv Keylogger zum Stehlen von Daten kompromittierter Systemen einsetzten: Diese wurden laut Palo Alto Networks „Kramer”, „OpSec“, „LogAllTheThings“ und „MailMan“ benannt.
Weitere Informationen zum Thema:
paloalto NETWORKS, 12.07.2016
How to Track Actors Behind Keyloggers Using Embedded Credentials
Kooperation
Kooperation

Mitgliedschaft

Multiplikator

Partner

Gefragte Themen
- Aufenthaltsort und Internetkennungen tagelang auf Vorrat gespeichert
- Netzwerkdurchsetzungsgesetz: Rechtsunsicherheit für Soziale Netzwerke
- Digitalen Schutzraum für Kinder gefordert
- McAfee benennt Cyber-Security-Trends 2020
- EDSA: Erste Leitlinien zum Recht auf Vergessenwerden verabschiedet
- Vermehrt Angriffe auf biometrische Daten
- Vectra meldet Erfolg: Ermittlern gelang Schlag gegen RAT-Betreiber
- BEC-Attacken bevorzugt an Werktagen
- Unternehmen ohne Mobile-First-Strategie droht Scheitern
- Datensicherheit als Nachzügler: Zuerst stand die Fabrik
- Ransomware Ryuk hat Sicherheitsdienstleister angegriffen
- Sehr geehrter Herr Müller,
bezieht sich Ihr obiges Papier zu ePrivacy auf die...
- Es ist nicht zu fassen, was Herr Spahn sich hier mit diesem Gesetz erlaubt! Ein ...
- Von dem Cyberangriff auf Nordvpn hat ursprünglich TechCrunch berichtet und alle ...
- Intelligente Gebäudeautomation und damit Smart Buildings sind an sich schon eine...
- Mir hat man bei meiner immer noch herausragenden Ausbildung bei der AOK beigebra...
- Sehr geehrter Herr Stange,
die Redaktion von datensicherheit.de geht davon aus,...
- Ich vermute, dass es sich bei „GermanWiper“ um nichts anderes als eine Hoax-Meld...
- Vielen Dank für Ihren Kommentar. Weitere Informationen finden Sie unter den Empf...
Aktuelles, Experten - Dez 7, 2019 14:08 - noch keine Kommentare
Aufenthaltsort und Internetkennungen tagelang auf Vorrat gespeichert
weitere Beiträge in Experten
- Netzwerkdurchsetzungsgesetz: Rechtsunsicherheit für Soziale Netzwerke
- Digitalen Schutzraum für Kinder gefordert
- EDSA: Erste Leitlinien zum Recht auf Vergessenwerden verabschiedet
- Datenschutz-Adventskalender bietet 24 Hinweise
- Recht auf Vergessenwerden gilt auch gegenüber Online-Archiven
Aktuelles, Branche, Studien - Dez 5, 2019 20:16 - noch keine Kommentare
McAfee benennt Cyber-Security-Trends 2020
weitere Beiträge in Branche
- Vermehrt Angriffe auf biometrische Daten
- Vectra meldet Erfolg: Ermittlern gelang Schlag gegen RAT-Betreiber
- BEC-Attacken bevorzugt an Werktagen
- Unternehmen ohne Mobile-First-Strategie droht Scheitern
- Datensicherheit als Nachzügler: Zuerst stand die Fabrik
Aktuelles, Persönlichkeiten, Portraits, Rezensionen, Service - Okt 16, 2019 15:42 - noch keine Kommentare
Warnung und Trost zugleich: Keine absolute Sicherheit
weitere Beiträge in Service
- Nährwertkennzeichnung: Große Mehrheit für Nutri-Score-Ampel
- Datenschutz: Mehrheit fühlt sich durch die Gesetze sicher
- Umfrage der Brabbler AG zum Thema Privatsphäre
- Bitkom: Kunden achten beim Online-Banking nicht immer auf Sicherheit
- Trotz hoher Risiken: Unternehmen vertrauen auf die Sicherheit der Cloud-Provider
Kommentieren