Von unserem Gastautor Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

[datensicherheit.de, 30.07.2018] Ob Viren, Würmer, Bots, Trojaner oder Keylogger, viele der gängigen Malware-Formen bergen nicht nur ein hohes Schadenspotential, sondern sind auch überaus wandlungsfähig. Ein berüchtigtes Beispiel ist die CryptoWall-Ransomware, mit der Cyberkriminelle nach Schätzung des FBI mehr als 18 Millionen Dollar erbeutet haben. CryptoWall ist ein polymorpher Ransomware-Stamm, der in bekannter Weise Daten auf dem Computer des Opfers verschlüsselt und anschließend Lösegeld erpresst. Der in CryptoWall verwendete polymorphe Builder entwickelt dabei für jedes Angriffsziel eine im Wesentlichen neue Code-Variante, um der Entdeckung durch traditionelle Sicherheitslösungen zu entgehen. Polymorphe Malware ändert ständig ihre identifizierbaren Merkmale, beispielsweise durch Veränderung von Dateinamen und -typen, Verschlüsselung oder Komprimierung. Einige polymorphe Taktiken existieren bereits seit den 1990ern, doch in den letzten zehn Jahren hat sich eine neue Welle aggressiver polymorpher Malware entwickelt.

Bild: Digital Guardian

Christoph M. Kumpa: „Abwehrtechnologie muss auf der Verhaltensebene ansetzen.“

Bösartige Verwandlungskünstler: Wie polymorphe Malware agiert

Während polymorphe Malware manche ihrer Erscheinungsmerkmale ändert, bleibt ihre schädliche Funktion, beispielsweise als Ransomware oder Keylogger, jedoch unverändert. Polymorphismus wird verwendet, um die Mustererkennung zu umgehen, auf die sich Sicherheitslösungen wie traditionelle Antivirensoftware verlassen. Viele Malware-Stämme verfügen heutzutage über polymorphe Fähigkeiten, um herkömmliche AV-Lösungen auszuhebeln. Durch die Veränderung von Merkmalen erkennen signaturbasierte Security-Lösungen die Datei nicht als bösartig. Und selbst, wenn die Signatur identifiziert und in die Datenbank der AV-Lösung aufgenommen wird, kann polymorphe Malware weiterhin permanent ihre Signatur ändern und unentdeckt Angriffe durchführen. So sind Cyberkriminelle traditionellen Abwehrtechniken stets einen Schritt voraus.

Vier Best Practices zum Schutz vor polymorpher Malware

Um gegen diese Form der Malware gerüstet zu sein, ist eine Abwehrtechnologie, die auf der Verhaltensebene ansetzt, entscheidend. Diese sollte zudem Bestandteil eines mehrschichtigen Ansatzes sein, der Mitarbeiter, Prozesse und Sicherheitstechnologien kombiniert.

1. Verhaltensbasierte Erkennungswerkzeuge: Da polymorphe Malware entwickelt wurde, um der Erkennung durch herkömmliche Antiviren-Tools zu entgehen, verwenden Sicherheitslösungen der neuesten Generation fortschrittliche, verhaltensbasierte Erkennungstechniken. Verhaltensbasierte Lösungen wie Endpoint Detection and Response (EDR) oder Advanced Threat Protection (ATP) können Bedrohungen in Echtzeit erkennen, bevor Daten gefährdet werden. EDR-Tools überwachen Endpunkt- und Netzwerkereignisse und speichern diese Informationen in einer zentralen Datenbank. Ein auf den Hostsystemen installierter Software-Agent bildet die Grundlage für die Ereignisüberwachung und das Reporting. Mithilfe fortschrittlicher Verfahren zur Verhaltensanalyse werden die Daten auf Anomalien wie selten auftretende Prozesse, ungewöhnliche oder unbekannte Verbindungen und andere verdächtige Aktivitäten untersucht. Dieser Vorgang kann automatisiert werden, wobei Anomalien Warnmeldungen für sofortige Maßnahmen oder weiterführende Untersuchungen auslösen. Zudem bieten viele EDR-Tools auch eine manuelle oder nutzergesteuerte Datenanalyse.
2. Software-Updates: Eine einfache Möglichkeit, Malware-Infektionen zu verhindern, besteht darin, die verschiedenen Anwendungen und Software-Tools des Unternehmens stets auf dem neuesten Stand zu halten. Hersteller von Unternehmenssoftware wie Microsoft, Oracle oder Adobe veröffentlichen regelmäßig Software-Updates, die kritische Sicherheits-Patches für bekannte Schwachstellen enthalten. Das Ausführen veralteter Software mit Sicherheitslücken eröffnet Angriffsflächen für Exploits, die zu einer Vielzahl von Malware-Infektionen führen können.
3. Sensibilisierung der Mitarbeiter für Phishing-Angriffe: Phishing-E-Mails beinhalten häufig bösartige Links oder Anhänge zur Verbreitung von Malware. Eine umfassende Aufklärung der Mitarbeiter, wie sie betrügerische Nachrichten erkennen können, trägt wesentlich dazu bei, diesen gängigen Bedrohungsvektor zu entschärfen.
4. Starke Passwörter: Konten mit starken, nicht mehrfach verwendeten Passwörtern zu schützen, die in regelmäßigen Abständen geändert werden, ist eine weitere bewährte Methode zum Schutz vor Malware. Unternehmen sollten ihre Mitarbeiter über die Standards zur Generierung starker Passwörter informieren und bei Bedarf Funktionen wie Multi-Faktor-Authentifizierung oder sichere Passwortmanager nutzen.

Die Kombination eines mehrschichtigen Security-Ansatzes mit verhaltensbasierten Sicherheitstechnologien wie Endpoint Detection and Response bietet einen grundlegenden Schutzwall gegen polymorphe Malware. Die Vorteile einer kontinuierlichen Transparenz aller Datenaktivitäten machen EDR zu einem wertvollen Bestandteil der Sicherheitsarchitektur, denn verhaltensbasierter Schutz ist wesentlich genauer als herkömmliche signaturbasierte Methoden. EDR-Tools ermöglichen IT-Teams, gängige Angriffe abzuwehren, erleichtert die Früherkennung bereits laufender Attacken durch externe Angreifer oder böswillige Insider und bietet eine rasche Reaktion auf erkannte Bedrohungen.

Weitere Infiormationen zum Thema:

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit,de, 28.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel

[datensicherheit.de, 09.03.2018] KASPERSKY lab hat nach eigenen Angaben eine hochentwickelten Form der Cyber-Spionage entdeckt, die demnach mindestens seit 2012 im Nahen Osten sowie in Afrika ihr Unwesen treibt: Die Malware „Slingshot“ attackiere und infiziere ihre Opfer über kompromittierte Router. „Slingshot“ sei in der Lage, im Kernel-Modus zu laufen und erhalte somit vollständige Kontrolle über infizierte Geräte. Laut KASPERSKY lab nutzt der Bedrohungsakteur einige einzigartige Techniken. So würden Informationen heimlich und effektiv ausgespäht, indem der entsprechende Netzwerkverkehr in markierten Datenpaketen versteckt und ohne Spuren zu hinterlassen wieder aus dem regulären Datenstrom ausgelesen werden könne.

Experten stießen auf hochentwickelten Eindringling

Der „Operation Slingshot“ seien die Experten über den Fund eines verdächtigen Keylogger-Programms auf die Spur gekommen.
Diese hätten eine Signatur zur Verhaltenserkennung erzeugt, um eine weitere Existenz des Codes zu überprüfen. So sei ein infizierter Rechner ausgemacht worden, der in einem Systemordner eine verdächtige Datei mit dem Namen „scesrv.dll“ aufgewiesen habe. Die weitere Untersuchung dieser Datei habe ergeben, dass schädlicher Code in dieses Modul eingebettet gewesen sei.
Da die Bibliothek von „services.exe“, einem Prozess mit Systemrechten, geladen werde, verfüge auch sie über die entsprechenden Berechtigungen. Das Resultat: Die Experten seien auf einen hochentwickelten Eindringling gestoßen, der seinen Weg in das Innerste des Rechners gefunden habe.

Ursprünglicher Infektionsweg der Router bislang unklar

Die bemerkenswerteste Eigenschaft von „Slingshot“ sei sein ungewöhnlicher Angriffsweg: So sei bei mehreren Opfern festgestellt worden, dass die Infektion in mehreren Fällen von infizierten Routern ausgegangen sei. Die hinter „Slingshot“ stehende Gruppe habe anscheinend die Router mit einer schädlichen, zum Download anderer schädlicher Komponenten dienende „Dynamic Link Library“ (DLL) kompromittiert.
Loggt sich ein Administrator zur Konfiguration des Routers ein, lädt demnach dessen Management-Software schädliche Module auf den Administratorrechner und bringt sie dort zur Ausführung – der ursprüngliche Infektionsweg der Router selbst bleibe bislang allerdings unklar.
Nach der Infektion lade „Slingshot“ mehrere Module auf die Geräte seiner Opfer. Dazu gehörten auch „Cahnadr“ und „GollumApp“. Diese beiden Module seien miteinander verbunden und unterstützten sich gegenseitig bei der Sammlung von Informationen und deren Exfiltration sowie der möglichst langen Überdauerung auf den Rechnern.

APT widersetzt sich Erkennung

Der Hauptzweck von „Slingshot“ scheine Cyber-Spionage zu sein. Unter anderem würden Screenshots, Tastatureingaben, Netzwerkdaten, Passwörter, USB-Verbindungen, weitere Desktop-Aktivitäten und Clipboard-Daten gesammelt, wobei der Kernel-Zugang den Zugriff auf jede Art von Daten ermögliche.
Diese „Advanced Persistent Threat“ (APT) verfüge über zahlreiche Techniken, um sich ihrer Erkennung zu widersetzen. Alle Zeichenketten in den Modulen seien verschlüsselt, und die Systemdienste würden direkt aufgerufen, um Sicherheitslösungen keine Anhaltspunkte zu bieten. Hinzu kämen etliche Anti-Debugging-Techniken; auch werde vor der Auswahl eines Prozesses zur Injizierung überprüft, welche Sicherheitslösungen installiert sind.
„Slingshot“ arbeite wie eine passive Backdoor. Auch wenn diese Malware über keine hart codierte Command-and-Control-Adresse verfüge, erhalte sie diese vom Operator, indem alle Netzwerkpakete im Kernel-Modus abgefangen würden und das Vorhandensein von zwei hart codierten „Magic Constants“ in der Betreffzeile verfügbar seien. In diesem Fall enthalte das Paket die C&C-Adresse. Anschließend baue „Slingshot“ einen verschlüsselten Kommunikationskanal zum C&C auf und beginne mit der Übertragung von Daten zu deren Exfiltration.

Organisierte, professionelle und staatlich-gestützte Urheber vermutet

Vermutlich bestehe diese Bedrohung bereits seit geraumer Zeit, denn die KASPERSKY-Mitarbeiter hätten schädliche Samples gefunden, die als „Version 6.x“ gekennzeichnet gewesen seien. Die Entwicklungsdauer des komplexen „Slingshot“-Toolsets dürfte beträchtlich gewesen sein. Das gelte auch für die dafür benötigten Fähigkeiten und Kosten.
Zusammengenommen ließen diese Hinweise hinter „Slingshot“ eine organisierte, professionelle und wohl auch staatlich-gestützte Gruppe vermuten: Hinweise im Text des Codes deuteten auf eine englischsprachige Organisation hin.
Eine genaue Zuschreibung sei jedoch schwierig bis unmöglich – zumal das Thema Attribution zunehmend selbst manipulations- und fehleranfällig sei.

Bisher überwiegend Privatpersonen in Afrika und Asien geschädigt

Bislang seien rund 100 Opfer von „Slingshot“ und seinen zugeordneten Modulen betroffen: Die Angriffe hätten vorwiegend in Kenia und im Jemen stattgefunden, aber auch in Afghanistan, Libyen, Kongo, Jordanien, Türkei, Irak, Sudan, Somalia und Tansania.
Sie richteten sich anscheinend überwiegend gegen Privatpersonen und nicht gegen Organisationen; allerdings zählten auch einige Regierungseinrichtungen zu den Opfern.
„,Slingshot‘ stellt eine hochentwickelte Bedrohung mit einem breiten Spektrum an Tools und Techniken dar, wozu auch Module im Kernel-Modus zählen, die bis dato nur bei den komplexesten Angriffen zum Einsatz kamen“, erläutert Alexey Shulmin, „Lead Malware Analyst“ bei KASPERSKY lab. Die Funktionalität sei „äußerst präzise und für die Angreifer zugleich profitabel“. Das erkläre, warum sich „Slingshot“ mindestens sechs Jahre lang habe halten können.

Graphik: KASPERSKY lab

„Slingshot APT – how it attacks“

Graphik: KASPERSKY lab

„Slingshot APT – the main malicious modules”

KASPERSKY-Tipps zur Abwehr:

Prinzipiell wird zu folgenden Schutzmaßnahmen geraten:

• Nutzer von Mikrotik-Routern sollten so schnell wie möglich das Upgrade auf die aktuelle Software-Version durchführen. Nur so sei der Schutz gegen bekannte Schwachstellen gewährleistet. Zudem sollten keine Downloads mehr vom Router zum Rechner über die „Mikrotik Winbox“ erfolgen.
• Unternehmen sollten eine geeignete Sicherheitslösung in Kombination mit Technologien zur Abwehr zielgerichteter Angriffe und „Threat Intelligence“ einsetzen (z.B. „Kaspersky Threat Management and Defense“). Über die Analyse von Anomalien im Netzwerk würden hochentwickelte gezielte Angriffe sichtbar. Cyber-Sicherheitsteams erhielten einen vollständigen Einblick in das Netzwerk und die automatische Vorfallreaktion.
• Alle Mitarbeiter der Sicherheitsteams benötigten Zugriff auf aktuelle Threat-Intelligence-Informationen. So bekämen sie Zugang zu hilfreichen Tools und Erfahrungen, die bisher bei der Abwehr gezielter Angriffe hätten gewonnen werden können, wie zum Beispiel Kompromittierungsindikatoren (IOC), „yara“ (Identifizierungs- und Klassifizierungshilfe für Malware-Forscher) und kundenspezifisches „Advanced Threat Reporting“.
• Würden frühzeitig Indikatoren für einen zielgerichteten Angriff gefunden, sollte die Inanspruchnahme von „Managed Protection Services“ erwogen werden – damit ließen sich proaktiv hochentwickelte Bedrohungen erkennen, deren Überlebensdauer reduzieren und zeitnah Maßnahmen zur Vorfallreaktion einleiten.

Weitere Informationen zum Thema:

SECURELIST, 09.03.2018
The Slingshot APT FAQ

datensicherheit.de, 29.11.2016
Angriff auf Router von Telekom-Kunden zeigt Verletzbarkeit der IKT-Infrastruktur

[datensicherheit.de, 31.07.2017] KASPERSKY lab hat nach eigenen Angaben eine neue Variante des mobilen Banking-Trojaners „Svpeng“ entdeckt. Mittels Keylogger-Funktion greift dieser modifizierte Trojaner demnach eingegebenen Text wie Banking-Zugangsdaten ab, indem die Zugangsdienste von „Android“ missbraucht werden. Dadurch erlange dieser weitere Rechte und könne so die eigene Deinstallation verhindern. Selbst Geräte mit aktuellster Software schützten nicht vor dem Schädling.

Missbrauch von Zugangsdiensten

Zugangsdienste (Accessibility Services) sind Erweiterungen der Benutzeroberfläche, um Nutzer, die nicht mit dem Gerät interagieren können, zu unterstützen.
Die im Juli 2017 von KASPERSKY lab entdeckte modifizierte Version von „Svpeng“ sei nun in der Lage, diese Systemfunktion zu missbrauchen, um in andere Apps eingegebenen Text abzugreifen und sich selbst weitere Rechte zu verschaffen.

Sich selbst Administratorenrechte für das Gerät verschaffen

Dieser Trojaner werde über gefährliche Webseiten, als „Flash-Player“-App getarnt, verbreitet und erfrage die Erlaubnis zur Nutzung der Zugangsdienste. Dadurch erhalte er Zugang zur Benutzeroberfläche anderer Apps und könne so bei Tastendruck Screenshots erstellen und Daten wie Banking-Zugangsdaten mitprotokollieren.
Darüber hinaus könne er sich selbst Administratorenrechte für das Gerät verschaffen und andere Apps überdecken, was dem Trojaner dabei helfe, das Unterbinden der Screenshot-Erstellung durch einige Apps zu umgehen. Die Experten von KASPERSKY lab haben demnach URLs ausgemacht, die es auf die Apps führender europäischer Banken abgesehen hätten.

Trojaner kann eigene Deinstallation verhindern

Der modifizierte „Svpeng“-Trojaner könne sich als Standard-SMS-App installieren und so SMS-Nachrichten versenden und empfangen, Anrufe tätigen und Kontakte auslesen.
Außerdem sei der Schädling in der Lage, sämtliche Versuche, die Geräte-Administrationsrechte zu entfernen, zu blockieren und so die eigene Deinstallation zu verhindern. Die gefährlichen Techniken des Trojaners funktionierten selbst auf Geräten, die das neuste „Android“-Betriebssystem und alle Sicherheitsupdates installiert haben.

Deutschland bisher auf Platz 2

Bisher seien die Angriffszahlen gering, da der Trojaner noch nicht weit verbreitet sei. Die meisten Angriffe stammten aus Russland (29 Prozent), Deutschland (27 Prozent), der Türkei (15 Prozent), Polen (6 Prozent) und Frankreich (3 Prozent).
„Die Keylogger-Funktion und der Missbrauch der Zugangsdienste sind eine neue Entwicklung im Bereich mobiler Banking-Malware; es überrascht uns nicht, dass ,Svpeng‘ diese Entwicklungen anführt“, so Roman Unuchek, „Senior Malware Analyst“ bei KASPERSKY lab. Die „Svpeng“-Malware-Familie sei bekannt für Innovation und mache sie damit zu einer der gefährlichsten Familien überhaupt. Unuchek: „Sie war eine der ersten mit Angriffe auf SMS-Banking, die Phishing-Webseiten verwendet hat, um Apps zu überlagern und so Zugangsdaten abzugreifen, um dann die Geräte zu blocken und Geld zu verlangen. Daher ist es so wichtig, jede neue Version dieser Schädlingsfamilie zu überwachen und zu analysieren.“

KASPERSKY-Tipps zum Schutz vor „Svpeng“:

• Installation einer robusten Sicherheitslösung (als Beispiel wird „Kaspersky Internet Security for Android“ genannt).
• Vor dem Download einer App überprüfen, ob diese von einem seriösen Entwickler stammt.
• Keine Apps downloaden, die verdächtig aussehen oder deren Quelle nicht verifiziert ist.
• Bei der Vergabe von zusätzlichen Rechten an Apps achtsam sein.

Weitere Informationen zum Thema:

SECURELIST, 31.07.2017
A new era in mobile banking Trojans / Svpeng turns keylogger and steals everything through accessibility services

datensicherheit.de, 11.07.2017
MAC: Banking-Trojaner greift gezielt Schweizer Nutzer an

[datensicherheit.de, 28.07.2017] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) geht in einer aktuellen Stellungnahme auf die Unzulässigkeit von Keyloggern im Beschäftigungsverhältnis ein.

Überwachungsdruck mit Persönlichkeitsrechten unvereinbar

Das Bundesarbeitsgericht hat am 27. Juli 2017 entschieden, dass Arbeitgeber ihre Beschäftigten nicht ohne konkreten Verdacht „ins Blaue hinein“ durch sogenannte Keylogger überwachen dürfen (BAG, Urteil vom 27. Juli 2017 – 2 AZR 684/16).
Die Erfurter Richter hätten mit ihrer Entscheidung die Linie bestätigt, dass eine lückenlose technische Überwachung am Arbeitsplatz in der Regel rechtswidrig sei. Der LfDI Prof. Dr. Dieter Kugelmann begrüßt diese Entscheidung als weiteren Beitrag zur Stärkung des Beschäftigtendatenschutzes: „Die verdachtslose Verwendung von Keyloggern greift massiv in das Recht auf informationelle Selbstbestimmung ein, führt zu einer Dauerüberwachung der Beschäftigten und erzeugt einen Überwachungsdruck, der grundsätzlich mit ihren Persönlichkeitsrechten nicht vereinbar ist.“

Totale PC-Überwachung

In dem nunmehr entschiedenen Verfahren hatte demnach ein Web-Entwickler gegen seine Kündigung geklagt. Die Arbeitgeberin soll ihren Beschäftigten mitgeteilt haben, dass sie die gesamte PC-Nutzung mittels einer Software protokollieren und dauerhaft speichern würde. Auch auf dem Dienst-PC des Klägers sei die Software installiert worden und habe in Folge alle Tastatureingaben des Klägers aufgezeichnet. Daneben habe die Software in regelmäßigen Abständen Bildschirmfotos (Screenshots) angefertigt.
Die Auswertung dieser Daten soll ergeben haben, dass der Beschäftigte seinen Dienst-PC auch zu privaten Zwecken innerhalb seiner Dienstzeit genutzt habe – ihm sei daraufhin fristlos gekündigt worden.

Rechtswidrige Überwachung

Der Beschäftigte sei vor Gericht gezogen und habe gegen die außerordentliche Kündigung geklagt, da er der Meinung gewesen sei, seine Arbeitgeberin dürfe die aus dem Keylogger gewonnen Daten nicht gegen ihn zu Kündigungszwecken verwenden.
Das Bundesarbeitsgericht habe ihm Recht gegeben: Der Einsatz eines Keyloggers sei rechtswidrig und verstoße gegen die datenschutzrechtlichen Bestimmungen, wenn vor dem Einsatz kein konkreter Verdacht für eine Straftat oder eine schwerwiegende Pflichtverletzung gegeben sei. Für die aus dieser rechtswidrigen Überwachung gewonnenen Daten bestehe ein Beweisverwertungsverbot. Deshalb dürften sie nicht verwendet werden, um ein Fehlverhalten eines Beschäftigten zu beweisen.

Einsatz von Überwachungssoftware im Regelfall „unverhältnismäßig“

Der LfDI weist nach eigenen Angaben seit Jahren darauf hin, dass eine Totalüberwachung – unabhängig davon ob durch Videoüberwachung, GPS oder wie im jetzt entschiedenen Fall durch Protokollierung des Arbeitsverhaltens am Dienst-PC – grundsätzlich unzulässig sei, wenn kein konkreter Verdacht auf eine schwere Pflichtverletzung des Beschäftigten vorliegt.
Dies werde sich auch nach zukünftiger Rechtslage im Kern nicht ändern. Auch die in der sogenannten „Art. 29“-Gruppe versammelten Datenschutzbehörden der europäischen Mitgliedstaaten bezeichneten in ihrem am 8. Juni 2017 veröffentlichen Arbeitspapier den Einsatz von Keyloggern, Mausbewegungs-Rekordern und automatischer Screen-Capture-Software im Regelfall als „unverhältnismäßig“.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Arbeitspapier WP249 vom 8.6.2017 der Art. 29-Gruppe

datenscherheit.de, 02.09.2016
In Rheinland-Pfalz geregelt: Datenschutzkonformer Einsatz von Wildkameras

[datensicherheit.de, 15.07.2016] Laut einer aktuellen Meldung von Palo Alto Networks beobachtet das eigene Malware-Analyseteam („Unit 42“) derzeit ein Wiederaufleben von Keylogger-Aktivitäten. Hardware- oder auch Software-basierte Keylogger erfassen die Tastatureingaben des Benutzers. Aktuell gebe es vier weitverbreitete Keylogger-Softwarefamilien: „KeyBase“, „iSpy“, „HawkEye“ und „PredatorPain“.
„Unit 42“ hat nun nach eigenen Angaben den Fokus auf die Akteure, die hinter den Bedrohungen stecken, sowie auf eine praktische Technik zur Identifizierung gelegt.

Keylogger: Übertragung der Daten per http, smtp oder ftp

Keylogger müssen die erfassten Daten zurück an den Angreifer übertragen – dafür gibt es drei etablierte Methoden per http, smtp bzw. ftp. Die http-Übertragung beinhaltet demnach in der Regel eine einfache POST-Anforderung mit einem Textkörper, der die gestohlenen Daten enthält. Bei SMTP und FTP ist oft eine Authentifizierung erforderlich, um sich bei einem Dienst anzumelden, bevor die Daten aus dem kompromittierten System übertragen werden können.
Dies stelle einen wertvollen Datenanhaltspunkt dar, weil alle vier großen Keylogger-Familien ihre Anmeldeinformationen innerhalb ihrer Binärdateien einbetteten. Die Forscher könnten so die Remote-Server-Adresse, den Benutzernamen und das Passwort für jedes analysierte Sample feststellen. Werde dies kombiniert mit der großen Anzahl an aktiven Keyloggern, stehe ein sehr großer Datensatz zur Korrelation zur Verfügung.

Muster und Daten zur Identifizierung der Akteure aufdecken

Durch den Einsatz des Bedrohungserkennungsdienstes „Auto Focus“ von Palo Alto Networks habe „Unit 42“ in kurzer Zeit 500 aktuelle Samples von „HawkEye“ und „iSpy“ identifizieren können, die während der dynamischen Analyse entweder ftp- oder smtp-Aktivitäten aufwiesen hätten.
Nach dem Download der Samples hätten die Forscher alle erfolgreichen ftp- und smtp-Aktivitäten analysiert, um einen Datensatz für „Maltego“ (ein Tool zum Visualisieren von Zusammenhängen in Netzwerken), zu erstellen. Diese eingebetteten Anmeldeinformationen würden derzeit verwendet, um Muster und Daten aufzudecken, die zu den Akteuren führen.

4 verschiedene Akteure identifiziert

Angesichts des großen Ausmaßes der Keylogger-Aktivitäten, sei dies nur ein kleines Sample-Set. Trotzdem sei es groß genug, um zu erkennen, dass sich über die eingebetteten Anmeldeinformationen ein Einblick in das Verhalten und die Infrastruktur der Akteure gewinnen lasse. Den Forschern von Palo Alto Networks habe damit eine praktische Technik zur Verfügung gestanden, um innerhalb kurzer Zeit mindestens vier verschiedene Akteure zu identifizieren, die aktiv Keylogger zum Stehlen von Daten kompromittierter Systemen einsetzten: Diese wurden laut Palo Alto Networks „Kramer”, „OpSec“, „LogAllTheThings“ und „MailMan“ benannt.

Weitere Informationen zum Thema:

paloalto NETWORKS, 12.07.2016
How to Track Actors Behind Keyloggers Using Embedded Credentials

[datensicherheit.de, 22.10.2011] Der Virenschutz-Experte Bitdefender stellt ab sofort online ein Removal-Tool für die aggressive Rootkit-Malware „Duqu“ zum kostenlosen Download bereit:
Bei dem Schädling handele es sich um eine aktuell sehr verbreitete Schadsoftware, die die Technologie des militärisch genutzten „Stuxnet“-Virus mit einem erweiterten Keylogger und einer Backdoor-Applikation verbinde.
„Stuxnet“ hatte im September 2010 für Aufsehen gesorgt, als er offenbar genutzt wurde, um das iranische Atomprogramm auszuspionieren. Wie sein hochgefährlicher „Vater“ bediene sich „Rootkit.Duqu.A“ eines gestohlenen, digitalen Zertifikats, das eigentlich nicht mehr gültig sei. Dieses Zertifikat ermögliche ihm, sich selbst auf „Windows“-basierenden 32- und 64-bit-Versionen der Betriebssysteme von „Windows XP“ bis hin zu „Windows 7“ zu installieren. „Duqu“ verbleibe 36 Tage auf dem Computer und sammele in dieser Zeit alle möglichen Informationen, die über die Tastatur eingegeben wurden – dies umfasse auch Passwörter, E-Mails, IM-Konversationen und vieles mehr.
Nach dieser Phase der Überwachung entferne sich der Virus samt den Keylogger-Komponenten selbstständig vom System. Bis dahin ermögliche es die spezielle Rootkit-Technologie dem Schadcode, sich sowohl vor den Anwendern als auch vor dem Abwehrmechanismus des Betriebssystems sowie einfachen Virenschutzlösungen zu verstecken.
Rootkit-Viren seien sehr schwer zu erkennen, da sie es schafften, das Betriebssystem zu kontaminieren, bevor es vollständig geladen ist. Vom manuellen Entfernen werde dringend abgeraten, so Bitdefender in einer aktuellen Mitteilung.

Weitere Informationen zum Thema:

Bitdefender
Laden sie den Rootkit.Duqu.A removal tool herunter

[datensicherheit.de, 19.08.2011] KASPERSKY lab hat nach eigenen Angeben bisher 2,4 Millionen einzigartige Schadprogramme identifiziert, die gegen Gamer gerichtet seien:
Vor einem Jahr habe der IT-Sicherheitsexperte noch 1,8 Millionen explizite Exemplare von Gaming-Malware gezählt. Die meisten Schadprogramme seien sogenannte „Keylogger“, mit denen Spieler-Account-Daten abgegriffen werden. Dies geht aus der Präsentation „Gaming the Security – Daily Hacker Tales“ von Christian Funk, Virenanalyst bei KASPERSKY lab, hervor. Die meisten Schadprogramme im Gaming-Bereich attackierten Online-Rollenspiele, so Funk. Über gestohlene Accounts könnten Spielcharaktere sowie deren Ausstattungsgegenstände wie virtueller Güter gekapert und für bares Geld verkauft werden.

Abbildung: Kaspersky Labs GmbH, Ingolstadt

Gamer im Visier: 2,4 Millionen einzigartige Schadprogramme identifiziert.

Der Markt für den Verkauf von virtuellen Spielgegenständen ist vorhanden. Nach einer KASPERSKY-Hochrechnung würden allein über eBay im Jahr circa 11,5 Millionen Euro mit dem Verkauf von legalen und illegalen Gaming-Gegenständen umgesetzt. eBay sei dabei nur ein Verkaufskanal – sie gingen davon aus, dass die Dunkelziffer beim Umsatz von Spiele-Account-Daten noch viel höher liege. Da der Missbrauch von illegal verkauften Spielgütern nicht nachhaltig verfolgt werde, sei der Handel mit gestohlenen Account-Daten weniger risikoreich als beispielsweise mit gestohlenen Kreditkarteninformationen, erklärt Funk.
Neben Schadprogrammen attackieren Cyberkriminelle die Gaming-Gemeinschaft und ihre virtuellen Schätze gerne mit Phishing-Mails. Die Methode dabei sei oft denkbar einfach. Offizielle E-Mails der Spieleindustrie würden fast zu hundert Prozent kopiert und als Phishing-Mail missbraucht, um an Account-Daten zu gelangen. KASPERSKY lab empfiehlt den Einsatz von Spam-Filtern sowie die Eingabe von Internetadressen über die Tastatur beziehungsweise die Verwendung von Bookmarks. Generell sollten Nutzer niemals auf in E-Mails enthaltene Links klicken.

Weitere Informationen zum Thema:

KASPERSKY lab
„Gaming the Security – Daily Hacker Tales“