Von unserem Gastautor Mark Lechtik, Malware Research Team Leader bei Check Point Technologies, Ltd.

[datensicherheit.de, 17.10.2018] Malware ist heutzutage ausgeklügelte Software, die in vielen Schritten entwickelt wird. Die Ersteller nutzen dabei zahlreiche Tools für sehr spezifische Arbeitsprozesse. Deshalb müssen sich Sicherheitsexperten nicht nur mit dem fertigen Schadcode, sondern auch mit dessen Erstellung beschäftigen.

Forscher entdeckten jetzt einen neuen Online-Builder mit dem Namen ‚Gazorp‘, der im Dark Web gehostet wird. Gazorp wurde entwickelt, um Binärdateien der beliebten Malware Azorult zu erstellen. Azorult dient unter anderem zum Diebstahl von Benutzerpasswörtern, Kreditkarteninformationen und Details zu Wallets von Kryptowährungen. Darüber hinaus wird der Gazorp-Dienst kostenlos angeboten und ermöglicht den Akteuren, neue Azorult-Muster und einen entsprechenden Panel-Servercode zu erstellen, so dass es ausreichend ist, wenn diese ihre Command & Control (C&C)-Adresse angeben. Diese Adresse wird in die neu erstellte Binärdatei eingebettet, die wiederum nach Belieben des Angreifers verteilt werden kann.

Bild: Check Point

Mark Lechtik, Malware Research Team Leader bei Check Point Technologies, Ltd.

Unsere Analyse des Builders zeigt, dass Gazorp Versionen von Azorult Version 3.0 erzeugt, die bereits vor fünf Monaten verbreitet wurden. Seitdem wurde die Malware zweimal aktualisiert und die nachfolgenden Versionen 3.1 und 3.2 veröffentlicht und im Einsatz beobachtet. Eigentlich sollte dies die von Gazorp entwickelte Version überflüssig machen. Dennoch verfügt die veraltete Version über mehrere Diebstahlfunktionen, die von jedem Akteur genutzt werden können, um Informationen ihrer Opfer zu sammeln und zu missbrauchen, sowie über mehrere Upgrades und Verbesserungen des C2-Panelcodes der Malware.

Der Zeitpunkt der Veröffentlichung von Gazorp

Ein interessanter Fakt in Bezug auf den Builder ist der Zeitpunkt der Veröffentlichung. Der Entstehung von Gazorp im Dark Web ging nämlich ein Codeleck des Azorult Panels voraus (für die Versionen 3.1 und 3.2). Tatsächlich ermöglicht dieses Leck jedem, der ein Azorult C&C Panel hosten möchte, dies ohne großen Aufwand zu tun. Das Leck enthielt ebenfalls einen Builder für die neueste Version der Malware, die aber anscheinend nicht die von den Autoren verwendete Originalversion war. Stattdessen kodierte und platzierte der Builder lediglich die C&C-Adresse, die ihm als Argument vom Benutzer gegeben wurde, in einem bestimmten Feld eines vorgefertigten Binärprogramm. Es ist also möglich, dass der einfache Mechanismus und die Bereitstellung der neuesten Malware-Versionen, die Autoren von Gazrop dazu inspiriert haben, diese online zur Verfügung zu stellen.

Ein weiterer zu beachtender Punkt ist, dass der Online-Builder auf einen Telegrammkanal verlinkt ist, auf dem die Aktivitäten seiner Ersteller für die Öffentlichkeit sichtbar sind. Die Teilnehmer können sich über das Projekt informieren und eigene Verbesserungsvorschläge einbringen. Außerdem ermutigen die Autoren die Nutzer, Geld für ihr Projekt zu spenden, indem sie Transaktionen in eine bestimmte Bitcoin-Wallet ausgeben – was scheinbar der einzige Weg ist, Gazorp zu monetarisieren (da die Nutzung völlig kostenlos ist). Im Gegenzug, so wird zumindest behauptet, werden die Nutzer (oder nach eigenen Angaben – „mehr Spenden, mehr Updates“) von mehr Entwicklung und Upgrades profitieren.

Bild: Check Point

Abbildung 1: Gazorp’s Seite über das Dark Net

Der erste Absatz auf der obigen Seite des Builders beschreibt die einfachen Maßnahmen zur Nutzung. Das bedeutet Folgendes:

„Völlig kostenlosen Builder der beliebten Malware Azorult finden Sie hier. Es ist so einfach wie das 2×2:

1. Geben Sie die Domain an, an die die Malware berichten soll.
2. Laden Sie das Archiv herunter, das aus dem Build, einem Handbuch und dem Panel besteht
3. Installieren Sie das Panel, stellen Sie den Build bereit.
4. Work $$$$ ;-).“

Darüber hinaus versuchen die Autoren, die Verbesserungen, die sie im Malware-Panel vorgenommen haben, als großen Mehrwert darzustellen. Azorults Panel für Version 3 wurde ebenfalls in der Vergangenheit bekannt und auf Github hochgeladen, so dass Cyberkriminelle die Möglichkeit haben, es zu missbrauchen.

Änderungen am Panel umfassen laut den Hintermännern mehrere Schwachstellen und Bugfixes, bessere Leistung, visuelle Verbesserungen und eine Vielzahl neuer Funktionen. In der Tat: Wenn wir die Quellcodebäume für beide Panels unterscheiden, können wir große Unterschiede und Ergänzungen in Gazorp feststellen.

Bild: Check Point

Abbildung 2: Unterschiede im Codebaum zwischen Gazorp und Azorult v3 Panels. Die schwarzen Felder zeigen fehlende Code-Verzeichnisse im Azorult Baum an.

In Wirklichkeit ist der Look des Panels von Gazorp weit weniger verlockend als versprochen. Die Hauptstatistikseite sieht im Vergleich zu Azorult v3 ziemlich langweilig aus. Die wichtigste Verbesserung gegenüber Azorult v3 ist die globale Heapkarte, die Länderstatistiken auf eine Weise liefert, die in den Azorult Panels nicht verfügbar war.

Bild: Check Point

Abbildung 3: Das Hauptmenü von Gazorp mit der neuen Funktion für globale Statistiken.

Bild: Check Point

Abbildung 4: Azorult Version 3 Hauptmenü des Bedienfelds

Abgesehen von den vorgeschlagenen Modifikationen gibt es eine ganze Menge versprochener künftiger Features. Beispielsweise haben die Autoren einen Abschnitt „Module“ eingefügt, der zwar die Möglichkeit, Azorult um neue Funktionen zu erweitern, vorschlägt, aber noch nicht implementiert ist. Sie bieten auch einfachere Panel-Funktionen wie die Möglichkeit, das Panel zu konfigurieren und die verschiedenen Datenbanken in eine Datei zu exportieren. Auch diese sind noch nicht verfügbar und werden voraussichtlich im Laufe des Projekts hinzugefügt.

Bild: Check Point

Abbildung 5: Geplante Funktionen des Panels

Verwendung des Azorult v3.0 Binary

Wie bereits erwähnt, scheint Gazorp ein Duplikat von Azorults v3.0-Binary zu produzieren, das zuvor von Cert.lu (https://malware.lu/articles/2018/05/04/Azorult-stealer.html) analysiert wurde.
Diese Azorult-Version von Gazorp lässt sich durch mehrere Merkmale charakterisieren:

1. Jede Version von Azorult hat eine einzigartige Mutex, die die Malware zu Beginn der Ausführung erstellt. Azorult v3.0 erzeugt insbesondere einen Mutex-Namen, der eine Verkettung der Berechtigungen des aktuellen Benutzers (A-admin, U-Benutzer, S-System, G-Gast) und der Zeichenkette „d48qw4d6wq84d56as“ ist.
2. Azorult verschlüsselt seine Verbindung mit dem C2-Server mit einer einfachen XOR- Methode mit einem in der Datei fest kodierten Schlüssel. Jede Version von Azorult hat einen anderen Schlüssel. Im Falle von v3.0 ist es 0xfe, 0x29, 0x36.

Bild: Check Point

Abbildung 6: Azorult v3.0 und Gazorp Mutex sowie C2-Servernamen

Bild: Check Point

Abbildung 7: Gazorp und Azorult 3.0 Verbindungsmethode und Schlüssel 3.

Die entschlüsselte Rückmeldung vom C2-Server besteht aus Tags. In Version 3.0 hat die zurückgegebene Meldung folgende Tags:
<c> configuration_data</c>
<s>Sqlite3_datei</s>>
<z>zip_functions_file</z>>
<d>Namen_von_Software_zum_diebstahl_von_Zugangsdaten_von</d>.

Die Werte zwischen den Tags werden mit Base64 dekodiert.

Bild: Check Point

Abbildung 8: Azorult v3.0 und Gazorp interpretieren die empfangene C2-Nachricht durch Tags

Dieser neue Dienst ist ein Beispiel für den einfach Zugang zu gängiger Malware im Web. Im Moment scheint es sich um eine sehr frühe Version des Gazorp-Dienstes (0.1) zu handeln, bei der das Hauptprodukt, das geliefert wird, ein verbesserter Azorult C&C Panel Code ist. Es ist jedoch zu erwarten, dass sich das Projekt mit der Zeit weiterentwickelt und möglicherweise neue Varianten für Azorult zur Verfügung stellen wird.

Es wird deutlich, dass Software-Experten sich nicht ausschließlich auf neu entwickelte und aktuelle Malware konzentrieren sollten. Durch die kostenlose und öffentliche Verfügbarkeit ist es möglich, dass unterschiedliche, auch größere Kampagnen der ursprünglichen Malware entstehen und somit weitere Varianten von Angriffen getätigt werden können. Die Tatsache, dass der Gazorp auf einem Telegram-Cannel verlinkt ist, macht den Builder noch unberechenbarer. Teilnehmer können sich hier nicht nur über das Projekt informieren, sondern auch Vorschläge zur Verbesserung einbringen.

Der Teufel steckt also im Detail: Auch bereits überarbeitete oder veraltete Schadsoftware kann Elemente enthalten, die Cyberkriminellen immer noch nützlich sein könnten und deshalb für Securityteams nicht zu vernachlässigen sind – wie die Gazorp-Version von Azorult deutlich zeigt.

Weitere Informationen zum Thema:

datensicherheit.de, 23.09.2018
Top-Malware im August 2018: Anstieg von Angriffen durch Banking-Trojaner

[datensicherheit.de, 24.07.2018] Fast musste man annehmen, dass am 25. Mai 2018 das Internet abgeschaltet wird, so groß schien die Aufregung und Verunsicherung über das Inkrafttreten der neuen EU-Datenschutzgrundverordnung (EU-DSGVO). Fakt ist jedoch, dass die neue europaweite Datenschutznovelle größeren Einfluss auf zukünftige Geschäftsmodelle von Unternehmen und ihre Governance haben wird, als bislang angenommen. Rund 120 Tage nach der Einführung wird der neue Cybersecurity-Summit Command Control deshalb vom 20. – 22. September 2018 in München eine erste Bilanz zur EU-DSGVO ziehen und aufzeigen, warum Datenschutz heute ein maßgeblicher Faktor für wirtschaftlichen Erfolg ist. Zudem erfahren die Teilnehmer von der Berichterstatterin des EU-Parlaments zum europäischen Rechtsakt zu Cybersecurity Prof. Angelika Niebler (MdEP), wie die Europäische Union Cybersicherheit in Zukunft im Interesse von Industrie und Verbrauchern steuern wird.

EU-Datenschutzgrundverordnung soll mehr Sicherheit bringen

Die neue EU-Datenschutzgrundverordnung soll mehr Sicherheit bringen: Mit den neuen Vorgaben werden insbesondere der Verbraucherschutz und der transparente Umgang mit Daten gestärkt. Die neue Regelung hat dadurch erhebliche Auswirkungen auf aktuelle und künftige Geschäftsmodelle: Unternehmen müssen deshalb jetzt Maßnahmen treffen, um die Einhaltung der Compliance-Regeln und die Kontrolle ihrer Kundendaten sicherzustellen. Andernfalls riskieren sie, das Vertrauen ihrer Kunden zu verlieren. Datenschutz- und Datensicherheitsmaßnahmen werden dadurch zu einem erfolgskritischen Faktor, der über die weitere Reputation und künftiges Wachstum entscheidet.

Große Verunsicherung in der Wirtschaft

In der Wirtschaft besteht jedoch große Verunsicherung, da die Umsetzung vieler Datenschutzregeln auch nach dem Stichtag am 25. Mai unklar ist. Sorge bereitet den Unternehmen etwa, dass mit der EU-DSGVO eine Flut von Anfragen auf Auskunft und Datenlöschung auf sie zukommen und in der Folge das Alltagsgeschäft leiden könnte. Erschwerend kommt hinzu, dass bislang mehr als die Hälfte der zuständigen Behörden in den EU-Staaten nicht ausreichend ausgestattet ist, geltendes Datenschutzrecht umzusetzen. So fehlt es laut einer Umfrage der Nachrichtenagentur Reuters mindestens 17 von 24 nationalen Datenschutzbehörden an Personal und rechtlichen Kompetenzen zur Durchsetzung der EU-DSGVO. Die Unternehmen befinden sich dadurch in einer Art Schwebezustand.

„Mit der EU-Datenschutzgrundverordnung wächst bei Unternehmensverantwortlichen die Unsicherheit, ob ihre Datenschutz-Governance im weiteren Geschäftsalltag noch tragfähig ist und welche Risiken daraus für ihr Geschäftsmodell entstehen“, beschreibt Tom Köhler, Partner der auf vernetzte Cybersicherheit spezialisierten Strategieberatung connecting trust, die gegenwärtige Situation in Unternehmen. Der neue Cybersecurity-Summit der Messe München „Command Control“ wird deshalb rund vier Monate nach Inkrafttreten der EU-DSGVO eine erste Bilanz ziehen und die nächsten praktischen Schritte für Organisationen und Unternehmen im Datenschutz diskutieren. „Wir wollen vor allem Verständnis dafür schaffen, dass Datenschutz kein reines IT-Problem, sondern eine Business-Aufgabe ist“, erklärt Klaus Dittrich, Chef der Messe München.

Verantwortungsbewusster Umgang mit Daten als Schlüssel für Wachstum

Das Credo der Command Control ist: Nur umfangreicher Datenschutz schafft Vertrauen in der digitalen Welt. Ein verantwortungsbewusster Umgang mit Daten und die Anpassung der Governance-Strukturen in Organisationen sind ein entscheidender Schlüssel für Innovationen und Wachstum. „Datenschutz wird damit zur neuen Vertrauenswährung und entscheidet über den zukünftigen Erfolg von Geschäftsmodellen“, betont Dittrich. Das neue Cybersecurity-Format der Messe München sensibilisiert deshalb Entscheider, Führungskräfte und Anwender für besseren Schutz von geistigem Eigentum, Geschäftsgeheimnissen sowie Kundendaten und bringt sie mit Experten, Aufsichtsbehörden und Anbietern zusammen. Die Bandbreite der Zielgruppen ist laut Dittrich groß: „Von unserem Angebot können neben dem Top-Management insbesondere Führungskräfte der jeweiligen mit Datenschutz betrauten Fachgebiete vom Chief Information Security Officer, über den Chief Data Officer und Datenschutzbeauftragten bis hin zum Chief Risk Officer und Rechtsexperten profitieren.“

Themenwelt Data Protection bietet Lösungen für drängende Herausforderungen

Die Command Control adressiert dazu in Form von Paneldiskussionen und Workshops Unsicherheits- und Risikofaktoren beim Datenschutz und fördert branchenübergreifend die erfolgreiche Implementierung von wirksamen Datenschutz- und -sicherheitsmaßnahmen in Unternehmen. Unter anderem erfahren die Teilnehmer, wie sich die EU-DSGVO auf das Geschäft und ihre interne Organisationsstruktur auswirkt, warum eine ordnungsgemäße Daten-Governance die Einhaltung von Datenschutzbestimmungen erleichtert, auf welche Art und Weise man mit Datenschutz durch Design Wettbewerbsvorteile erreichen kann, wie man rechtlich mit Datenpannen in einer komplexen digitalen Welt umgeht und sich Finanz- und Reputationsschäden bei Datensicherheitsvorfällen verhindern lassen. Zudem zeigt die Veranstaltung auf, wie die zuständigen Fachabteilungen in Unternehmen in die Lage versetzt werden können, Datenschutz und -sicherheit erfolgreich und messbar umzusetzen.

Neben dem Panel „Cybersecurity – Europäische Ansätze“ mit Prof. Angelika Niebler haben die Teilnehmer die Möglichkeit, sich mit weiteren renommierten internationalen Experten und Datenschützern auszutauschen. Beispielsweise diskutieren Steve Purser, Head of Core Operations bei der Europäische Agentur für Netz- und Informationssicherheit ENISA und der renommierte Datenschutzexperte Dr. Alexander Duisberg über den aktuellen Stand bei der EU-DSGVO und der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit NIS. Ilias Chantzos, Senior Director of Government Affairs EMEA und Asia Pacific beim führenden Cybersecurity-Anbieter Symantec, geht dagegen im Rahmen eines Panels darauf ein, wie Unternehmen der Meldepflicht bei Datenvorfällen im Rahmen der neuen EU-Gesetzgebung nachkommen können. Außerdem stellt Max Imbiel vom Beratungsunternehmen BridgingIT verschiedene erfolgreiche Projekte vor, bei denen Unternehmen zur vollständigen DSGVO-Compliance begleitet wurden.

Weitere Informationen zum Thema:

Command Control
The Leading Summit for Cyber Security

datensicherheit.de, 19.07.2018
DSGVO: Hohe Bekanntheit bei geringer Wertschätzung

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018