Aktuelles, Branche, Produkte - geschrieben von dp am Freitag, Juli 15, 2016 18:51 - noch keine Kommentare
Wiederaufleben von Keylogger-Aktivitäten beobachtet
Palo Alto Networks enttarnt Akteure durch eingebettete Anmeldeinformationen
[datensicherheit.de, 15.07.2016] Laut einer aktuellen Meldung von Palo Alto Networks beobachtet das eigene Malware-Analyseteam („Unit 42“) derzeit ein Wiederaufleben von Keylogger-Aktivitäten. Hardware- oder auch Software-basierte Keylogger erfassen die Tastatureingaben des Benutzers. Aktuell gebe es vier weitverbreitete Keylogger-Softwarefamilien: „KeyBase“, „iSpy“, „HawkEye“ und „PredatorPain“.
„Unit 42“ hat nun nach eigenen Angaben den Fokus auf die Akteure, die hinter den Bedrohungen stecken, sowie auf eine praktische Technik zur Identifizierung gelegt.
Keylogger: Übertragung der Daten per http, smtp oder ftp
Keylogger müssen die erfassten Daten zurück an den Angreifer übertragen – dafür gibt es drei etablierte Methoden per http, smtp bzw. ftp. Die http-Übertragung beinhaltet demnach in der Regel eine einfache POST-Anforderung mit einem Textkörper, der die gestohlenen Daten enthält. Bei SMTP und FTP ist oft eine Authentifizierung erforderlich, um sich bei einem Dienst anzumelden, bevor die Daten aus dem kompromittierten System übertragen werden können.
Dies stelle einen wertvollen Datenanhaltspunkt dar, weil alle vier großen Keylogger-Familien ihre Anmeldeinformationen innerhalb ihrer Binärdateien einbetteten. Die Forscher könnten so die Remote-Server-Adresse, den Benutzernamen und das Passwort für jedes analysierte Sample feststellen. Werde dies kombiniert mit der großen Anzahl an aktiven Keyloggern, stehe ein sehr großer Datensatz zur Korrelation zur Verfügung.
Muster und Daten zur Identifizierung der Akteure aufdecken
Durch den Einsatz des Bedrohungserkennungsdienstes „Auto Focus“ von Palo Alto Networks habe „Unit 42“ in kurzer Zeit 500 aktuelle Samples von „HawkEye“ und „iSpy“ identifizieren können, die während der dynamischen Analyse entweder ftp- oder smtp-Aktivitäten aufwiesen hätten.
Nach dem Download der Samples hätten die Forscher alle erfolgreichen ftp- und smtp-Aktivitäten analysiert, um einen Datensatz für „Maltego“ (ein Tool zum Visualisieren von Zusammenhängen in Netzwerken), zu erstellen. Diese eingebetteten Anmeldeinformationen würden derzeit verwendet, um Muster und Daten aufzudecken, die zu den Akteuren führen.
4 verschiedene Akteure identifiziert
Angesichts des großen Ausmaßes der Keylogger-Aktivitäten, sei dies nur ein kleines Sample-Set. Trotzdem sei es groß genug, um zu erkennen, dass sich über die eingebetteten Anmeldeinformationen ein Einblick in das Verhalten und die Infrastruktur der Akteure gewinnen lasse. Den Forschern von Palo Alto Networks habe damit eine praktische Technik zur Verfügung gestanden, um innerhalb kurzer Zeit mindestens vier verschiedene Akteure zu identifizieren, die aktiv Keylogger zum Stehlen von Daten kompromittierter Systemen einsetzten: Diese wurden laut Palo Alto Networks „Kramer”, „OpSec“, „LogAllTheThings“ und „MailMan“ benannt.
Weitere Informationen zum Thema:
paloalto NETWORKS, 12.07.2016
How to Track Actors Behind Keyloggers Using Embedded Credentials
Aktuelles, Experten, Veranstaltungen - Jul 27, 2024 0:58 - noch keine Kommentare
ULD-Sommerakademie 2024 in Kiel: Digitale Datenräume und Archive im Fokus
weitere Beiträge in Experten
- NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen
- KI-Verordnung tritt am 1. August 2024 in Kraft
- Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten
- CrowdStrike: Ein IT-Update und es wackelt die ganze Welt
- IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024
Aktuelles, Branche, Veranstaltungen - Jul 27, 2024 0:46 - noch keine Kommentare
Schutz persönlicher Daten: SOPHOS lädt zu Web-Seminar mit der Ethischen Hackerin Rachel Tobac ein
weitere Beiträge in Branche
- Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick
- Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt
- Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich
- Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall
- Crowdstrike-Vorfall als Weckruf für ganzheitliche digitale Sicherheit
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren