Sandboxing

Analyse einer infizierten RTF-Datei

| Autor / Redakteur: Christine Schönig* / Stephan Augsten

Mittels Sandboxing lassen sich Schädlinge am Ausbreiten hindern und in Ruhe analysieren.
Mittels Sandboxing lassen sich Schädlinge am Ausbreiten hindern und in Ruhe analysieren. (Bild: ribkhan - Fotolia.com)

Malware wird oft erst dann erkannt, wenn sie sich bereits im Netzwerk ausgebreitet hat. Sandboxing und eine Laufzeit-Analyse oder auch Threat Emulation können dem entgegenwirken. Dies soll präventiv vor Gefahren schützen.

Trotz steigender Aufmerksamkeit und zusätzlicher Investitionen in IT-Sicherheitstechnologien wächst die Zahl erfolgreich durchgeführter Malware-Angriffe von Jahr zu Jahr. Hat die Schadsoftware erst einmal ein Netzwerk infiziert, können Angreifer problemlos Daten entwenden, Netzwerkeinstellungen verändern oder sogar in Betriebsabläufe eingreifen.

Oft ist es immer noch so, dass nur bekannte Malware-Familien zuverlässig aufgespürt, identifiziert und beseitigt werden. Selbst wenn es nur eine schädliche Datei ins Netzwerk geschafft hat, so wird dieses komplett geprüft, um eine interne Ausbreitung zu verhindern. Dieser Vorgang nimmt nicht selten mehrere Tage in Anspruch.

Schadprogramme können ein Netzwerk allerdings über mehrere Monate oder sogar Jahre unbemerkt infiltrieren. Untersuchungen zeigen, dass im vergangen Jahr 83 Prozent aller Organisationen mit einem Bot infiziert waren; In 47 Prozent der Fälle waren die Bots für mindestens vier Wochen aktiv.

In solchen Zeitspannen können Angreifer sich problemlos Zugriff auf die sensibelsten Daten eines Unternehmens verschaffen und dessen Betriebsabläufe sabotieren. Wenige Tage, unter Umständen auch nur wenige Stunden, sind hierfür schon mehr als ausreichend.

Beispiel: Eine Variante des Zeus-Trojaners

Wie Cyber-Kriminelle vorgehen wird an einer kürzlich entdeckten Variante des Zeus-Trojaners aufgezeigt. Vor wenigen Monaten wurde der Forschungsabteilung von Check Point ein infiziertes RTF-Dokument (Rich Text Format) von einem Kunden zugespielt. Dort hatten mehrere Mitarbeiter das Dokument geöffnet und damit ihre PC-Arbeitsplätze infiziert. Es stellte sich heraus, dass die Code-Schreiber drei verschiedene Remote-Code Execution-Schwachstellen in MS-Word genutzt hatten.

Exzerpt des verdächtigen RTF-Dokuments mit einer Rückkopplung zu C&C-Server mit Hilfe einer INCLUDEPICTURE-Anweisung.
Exzerpt des verdächtigen RTF-Dokuments mit einer Rückkopplung zu C&C-Server mit Hilfe einer INCLUDEPICTURE-Anweisung. (Bild: Check Point Software)

Die Machart des gesamten Dokuments ließ nur den Schluss zu, dass es nicht von Hand sondern mit dem Exploit Kit „Microsoft Word Intruder“ (MWI) entwickelt worden war. Mit dem Dokument verbunden war außerdem ein mit Zeus verwandter Trojaner gleicher Funktionalität: Modifikation der Sicherheitsparameter von Browsern, Stehlen von FTP-Zugangsdaten, Cookies und E-Mail Einstellungen sowie die Möglichkeit, weitere Module herunterzuladen und auszuführen.

Der Netzwerkverkehr der Malware zeigte im Rahmen der Sandbox-Untersuchung auf, dass dieser mit einem Command-and-Control-Server (C&C-Server) Kontakt aufnahm und http-Get-Anfragen stellte. Die Domain des Servers führte zu einer realen mittelständischen Firma, deren Website gekapert worden war und als Endpunkt für die Kampagne diente. Weitere Analysen zeigten wiederum auf, dass von dort aus insgesamt sieben verschiedene Attacken durchgeführt wurden.

Das MWIStat-Statistiken-Panel wurde von den Angreifern genutzt, um den Erfolg ihrer Kampagnen zu messen. „Load“ in der Action-Zeile steht für eine erfolgreiche Infektion.
Das MWIStat-Statistiken-Panel wurde von den Angreifern genutzt, um den Erfolg ihrer Kampagnen zu messen. „Load“ in der Action-Zeile steht für eine erfolgreiche Infektion. (Bild: Check Point Software)

Über das vorangestellte Statistiken-Panel ließ sich der Kampagnen-Erfolg messen. Einige der Kontroll-Panels überlappen sich in ihren Monitoring-Funktionen. Gruppe 3 und 4 zeigen beispielsweise den Fortschritt der gleichen Kampagne an. Viele Kampagnen nutzen darüber hinaus verschiedene Varianten von Trojanern. Andere scheinen dagegen weniger intelligent aufgesetzt worden zu sein. Anscheinend dienten sie als Testballon.

Auflistung der Herkunftsländer der anvisierten IP-Adressen für die Kampagne 1213 von Gruppe 3. Diese Kampagne, neben der Kampagne ausgeführt, von der das untersuchte RTF-Dokument stammt, zielte auf insgesamt 1.149 PCs weltweit ab.
Auflistung der Herkunftsländer der anvisierten IP-Adressen für die Kampagne 1213 von Gruppe 3. Diese Kampagne, neben der Kampagne ausgeführt, von der das untersuchte RTF-Dokument stammt, zielte auf insgesamt 1.149 PCs weltweit ab. (Bild: Check Point Software)

Ein anderes Beispiel ist die Kampagne 1133 in der Gruppe 2. Hier wurden insgesamt 25 Clients angegriffen, 24 in der Ukraine und Russland. Sie alle wurden mit LiteManager, einem Remote-Administrator Tool infiziert. Ziel dieser Kampagne waren vor allem Banken, Telekommunikations-Unternehmen, Service Provider und sogar Hersteller von Sicherheitssoftware. Ausgangspunkt dieser Angriffe wiederum war eine IP-Adresse von einer deutschen Hosting-Firma.

Zusammenfassung der anvisierten IP-Adressen nach Ländern bei der Kampagne 3122 der Gruppe 1. Diese Kampagne zielte auf insgesamt 250 verschiedene PC-Arbeitsplätze ab und nutzte eine Variante des Zeus Trojaners. Fast die Hälfte aller Ziele dieser Kampagne finden sich in Israel wieder.
Zusammenfassung der anvisierten IP-Adressen nach Ländern bei der Kampagne 3122 der Gruppe 1. Diese Kampagne zielte auf insgesamt 250 verschiedene PC-Arbeitsplätze ab und nutzte eine Variante des Zeus Trojaners. Fast die Hälfte aller Ziele dieser Kampagne finden sich in Israel wieder. (Bild: Check Point Software)

Ein weiteres Beispiel zur Informationsgewinnung ist die Kampagne 3122 in der Gruppe 1. Hier kam der ursprüngliche Angreifer aus Israel. Die Ziele kamen bei diesen Angriffen vor allem aus Israel und es finden sich zahlreiche Unternehmen aus der öffentlichen Verwaltung, Sicherheit und Forschungseinrichtungen auf der Liste wieder. Insgesamt 200 Rechner in 15 verschiedenen Behörden und Unternehmen. Dass es so wirkt, dass der ursprüngliche Angreifer aus dem gleichen geographischen Raum kam wie die Opfer ist meist gewollt, um den eigentlichen Standort des C&C Servers zu verschleiern.

Fazit

Log-Files, wiederhergestellt von einem der angegriffenen Server. Die Logs zeigen auf, wie die infizierten PCs „nach Hause telefoniert“ haben. Die „THREAD_ID“ Zeile listet die Kampagnen-ID auf. Der „STATUS“ berichtet über den Stand der Infektion „Open“ meint das infizierte Dokument wurde geöffnet, „Load“ wiederum meint, dass die payload ausgeführt wurde und „susp“ meint, dass MWI davon ausgeht, dass die Verbindung nicht von einem aktuell infizierten PC aufgebaut wurde.
Log-Files, wiederhergestellt von einem der angegriffenen Server. Die Logs zeigen auf, wie die infizierten PCs „nach Hause telefoniert“ haben. Die „THREAD_ID“ Zeile listet die Kampagnen-ID auf. Der „STATUS“ berichtet über den Stand der Infektion „Open“ meint das infizierte Dokument wurde geöffnet, „Load“ wiederum meint, dass die payload ausgeführt wurde und „susp“ meint, dass MWI davon ausgeht, dass die Verbindung nicht von einem aktuell infizierten PC aufgebaut wurde. (Bild: Check Point Software)

Woher die Angriffe tatsächlich kamen, konnten die Forscher bislang nicht herausfinden, sicher ist aber, dass die Kampagnen zusammengehören und zu einer erheblichen Bedrohung führten. Dass die Ziele einen politischen Hintergrund implizieren, gilt dagegen als wahrscheinlich – es wurden vor allem Ziele der öffentlichen Verwaltung in Israel attackiert.

Um sich gegen solche zielgerichteten Attacken zu wappnen, sollten Unternehmen ihre eingesetzte Software regelmäßig aktualisieren, vor allem die Antivirus und IPS-Signaturen sollten immer auf dem aktuellsten Stand sein. Sandboxing, also das Ausführen von Dateien in einer gesicherten Umgebung, bevor diese ins Netzwerk gelangen, ist eine weitere wichtige Empfehlung

Anti-Bot- und Post-Infektions-Technologien, um die infizierten Hosts zu scannen, und ein Script-Blocker für den Browser sind ebenfalls nützlich. Generell aber gilt es, allen Web-Links oder Dokumenten außerhalb des eigenen Unternehmens zu misstrauen.

* Christine Schönig ist Technical Managerin bei Check Point Software Technologies.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43819684 / Malware)