Aktuelles, Branche, Produkte - geschrieben von dp am Freitag, Juli 15, 2016 18:51 - noch keine Kommentare
Wiederaufleben von Keylogger-Aktivitäten beobachtet
Palo Alto Networks enttarnt Akteure durch eingebettete Anmeldeinformationen
[datensicherheit.de, 15.07.2016] Laut einer aktuellen Meldung von Palo Alto Networks beobachtet das eigene Malware-Analyseteam („Unit 42“) derzeit ein Wiederaufleben von Keylogger-Aktivitäten. Hardware- oder auch Software-basierte Keylogger erfassen die Tastatureingaben des Benutzers. Aktuell gebe es vier weitverbreitete Keylogger-Softwarefamilien: „KeyBase“, „iSpy“, „HawkEye“ und „PredatorPain“.
„Unit 42“ hat nun nach eigenen Angaben den Fokus auf die Akteure, die hinter den Bedrohungen stecken, sowie auf eine praktische Technik zur Identifizierung gelegt.
Keylogger: Übertragung der Daten per http, smtp oder ftp
Keylogger müssen die erfassten Daten zurück an den Angreifer übertragen – dafür gibt es drei etablierte Methoden per http, smtp bzw. ftp. Die http-Übertragung beinhaltet demnach in der Regel eine einfache POST-Anforderung mit einem Textkörper, der die gestohlenen Daten enthält. Bei SMTP und FTP ist oft eine Authentifizierung erforderlich, um sich bei einem Dienst anzumelden, bevor die Daten aus dem kompromittierten System übertragen werden können.
Dies stelle einen wertvollen Datenanhaltspunkt dar, weil alle vier großen Keylogger-Familien ihre Anmeldeinformationen innerhalb ihrer Binärdateien einbetteten. Die Forscher könnten so die Remote-Server-Adresse, den Benutzernamen und das Passwort für jedes analysierte Sample feststellen. Werde dies kombiniert mit der großen Anzahl an aktiven Keyloggern, stehe ein sehr großer Datensatz zur Korrelation zur Verfügung.
Muster und Daten zur Identifizierung der Akteure aufdecken
Durch den Einsatz des Bedrohungserkennungsdienstes „Auto Focus“ von Palo Alto Networks habe „Unit 42“ in kurzer Zeit 500 aktuelle Samples von „HawkEye“ und „iSpy“ identifizieren können, die während der dynamischen Analyse entweder ftp- oder smtp-Aktivitäten aufwiesen hätten.
Nach dem Download der Samples hätten die Forscher alle erfolgreichen ftp- und smtp-Aktivitäten analysiert, um einen Datensatz für „Maltego“ (ein Tool zum Visualisieren von Zusammenhängen in Netzwerken), zu erstellen. Diese eingebetteten Anmeldeinformationen würden derzeit verwendet, um Muster und Daten aufzudecken, die zu den Akteuren führen.
4 verschiedene Akteure identifiziert
Angesichts des großen Ausmaßes der Keylogger-Aktivitäten, sei dies nur ein kleines Sample-Set. Trotzdem sei es groß genug, um zu erkennen, dass sich über die eingebetteten Anmeldeinformationen ein Einblick in das Verhalten und die Infrastruktur der Akteure gewinnen lasse. Den Forschern von Palo Alto Networks habe damit eine praktische Technik zur Verfügung gestanden, um innerhalb kurzer Zeit mindestens vier verschiedene Akteure zu identifizieren, die aktiv Keylogger zum Stehlen von Daten kompromittierter Systemen einsetzten: Diese wurden laut Palo Alto Networks „Kramer”, „OpSec“, „LogAllTheThings“ und „MailMan“ benannt.
Weitere Informationen zum Thema:
paloalto NETWORKS, 12.07.2016
How to Track Actors Behind Keyloggers Using Embedded Credentials
Kooperation

Mitgliedschaft
Mitgliedschaft

Multiplikator

Gefragte Themen
- Tenable kommentiert erstes Microsoft-Update des Jahres 2021
- Covid-19: Schwarzmarkt für Impfstoffe im Darknet expandiert
- Bestandsdatenauskunft: Warnung vor Internet-Surfspionage
- Zunahme der Bedeutung der Cloud – und der Unsicherheit
- Ungeschützter Online-Zugriff: 45 Millionen medizinische Bilder weltweit
- TERREG: Umstrittene EU-Anti-Terror-Internetverordnung angenommen
- BSI-Einladung zum 17. Deutschen IT-Sicherheitskongress
- eco warnt vor übereiltem Anti-Hass-Gesetz
- Office 365: Kompromittierung mittels geschäftlicher E-Mails
- Cyberangriffe auf Krankenhäuser: Anstieg um 220 Prozent
- Malware macht mobil: Zunehmend Schadsoftware auf Smartphones
Aktuelles, Experten - Jan 13, 2021 20:32 - noch keine Kommentare
Bestandsdatenauskunft: Warnung vor Internet-Surfspionage
weitere Beiträge in Experten
- TERREG: Umstrittene EU-Anti-Terror-Internetverordnung angenommen
- BSI-Einladung zum 17. Deutschen IT-Sicherheitskongress
- eco warnt vor übereiltem Anti-Hass-Gesetz
- Sichere Smartphones: Umfrage zu Maßnahmen der Nutzer
- Keine Auslieferung von Julian Assange – Reporter aber weiter in Gefahr
Aktuelles, Branche - Jan 14, 2021 20:03 - noch keine Kommentare
Tenable kommentiert erstes Microsoft-Update des Jahres 2021
weitere Beiträge in Branche
- Covid-19: Schwarzmarkt für Impfstoffe im Darknet expandiert
- Zunahme der Bedeutung der Cloud – und der Unsicherheit
- Ungeschützter Online-Zugriff: 45 Millionen medizinische Bilder weltweit
- Office 365: Kompromittierung mittels geschäftlicher E-Mails
- Cyberangriffe auf Krankenhäuser: Anstieg um 220 Prozent
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren