Aktuelles, Branche, Produkte - geschrieben von dp am Freitag, Juli 15, 2016 18:51 - noch keine Kommentare
Wiederaufleben von Keylogger-Aktivitäten beobachtet
Palo Alto Networks enttarnt Akteure durch eingebettete Anmeldeinformationen
[datensicherheit.de, 15.07.2016] Laut einer aktuellen Meldung von Palo Alto Networks beobachtet das eigene Malware-Analyseteam („Unit 42“) derzeit ein Wiederaufleben von Keylogger-Aktivitäten. Hardware- oder auch Software-basierte Keylogger erfassen die Tastatureingaben des Benutzers. Aktuell gebe es vier weitverbreitete Keylogger-Softwarefamilien: „KeyBase“, „iSpy“, „HawkEye“ und „PredatorPain“.
„Unit 42“ hat nun nach eigenen Angaben den Fokus auf die Akteure, die hinter den Bedrohungen stecken, sowie auf eine praktische Technik zur Identifizierung gelegt.
Keylogger: Übertragung der Daten per http, smtp oder ftp
Keylogger müssen die erfassten Daten zurück an den Angreifer übertragen – dafür gibt es drei etablierte Methoden per http, smtp bzw. ftp. Die http-Übertragung beinhaltet demnach in der Regel eine einfache POST-Anforderung mit einem Textkörper, der die gestohlenen Daten enthält. Bei SMTP und FTP ist oft eine Authentifizierung erforderlich, um sich bei einem Dienst anzumelden, bevor die Daten aus dem kompromittierten System übertragen werden können.
Dies stelle einen wertvollen Datenanhaltspunkt dar, weil alle vier großen Keylogger-Familien ihre Anmeldeinformationen innerhalb ihrer Binärdateien einbetteten. Die Forscher könnten so die Remote-Server-Adresse, den Benutzernamen und das Passwort für jedes analysierte Sample feststellen. Werde dies kombiniert mit der großen Anzahl an aktiven Keyloggern, stehe ein sehr großer Datensatz zur Korrelation zur Verfügung.
Muster und Daten zur Identifizierung der Akteure aufdecken
Durch den Einsatz des Bedrohungserkennungsdienstes „Auto Focus“ von Palo Alto Networks habe „Unit 42“ in kurzer Zeit 500 aktuelle Samples von „HawkEye“ und „iSpy“ identifizieren können, die während der dynamischen Analyse entweder ftp- oder smtp-Aktivitäten aufwiesen hätten.
Nach dem Download der Samples hätten die Forscher alle erfolgreichen ftp- und smtp-Aktivitäten analysiert, um einen Datensatz für „Maltego“ (ein Tool zum Visualisieren von Zusammenhängen in Netzwerken), zu erstellen. Diese eingebetteten Anmeldeinformationen würden derzeit verwendet, um Muster und Daten aufzudecken, die zu den Akteuren führen.
4 verschiedene Akteure identifiziert
Angesichts des großen Ausmaßes der Keylogger-Aktivitäten, sei dies nur ein kleines Sample-Set. Trotzdem sei es groß genug, um zu erkennen, dass sich über die eingebetteten Anmeldeinformationen ein Einblick in das Verhalten und die Infrastruktur der Akteure gewinnen lasse. Den Forschern von Palo Alto Networks habe damit eine praktische Technik zur Verfügung gestanden, um innerhalb kurzer Zeit mindestens vier verschiedene Akteure zu identifizieren, die aktiv Keylogger zum Stehlen von Daten kompromittierter Systemen einsetzten: Diese wurden laut Palo Alto Networks „Kramer”, „OpSec“, „LogAllTheThings“ und „MailMan“ benannt.
Weitere Informationen zum Thema:
paloalto NETWORKS, 12.07.2016
How to Track Actors Behind Keyloggers Using Embedded Credentials
Aktuelles, Experten - Juli 18, 2025 17:27 - noch keine Kommentare
Riyadh: World’s first robotic BiVAD implantation performed at KFSHRC
weitere Beiträge in Experten
- Riad: Weltweit erste robotergestützte BiVAD-Implantation am KFSHRC durchgeführt
- Knapp ein Drittel nutzt digitalen Umzugsservice für Bankkontowechsel
- „Digitale Befähigung im Alter“ – Netzwerk in Berlin gegründet
- EUDI-Wallet: Breites Bündnis fordert mehr Einsatz der Bundesregierung für Digitale Identitäten
- Digital Networks Act: vzbv-Warnung vor Beeinträchtigung der Verbraucherrechte und Netzneutralität
Aktuelles, Branche - Juli 19, 2025 0:33 - noch keine Kommentare
NoName057(16): Operation Eastwood wohl längst nicht das Ende der Hacktivisten
weitere Beiträge in Branche
- Crowdstrike-Ausfall vom 19. Juli 2024: Eileen Haggerty erörtert Erkenntnisse
- Social Engineering weiterhin wichtigstes cyberkriminelles Einfallstor
- EU-Verhaltenskodex für KI: Fragen zur Nutzung Künstlicher Intelligenz bleiben offen
- Letzte Verteidigungslinie im Unternehmen: Cyberstorage-Resilienz und schnelle Wiederherstellung
- Videoüberwachung und Sicherheit: heyData untersuchte Kamerabeobachtung im Öffentlichen Raum
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren