:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Malware-Analyse Die Rückkehr des Festi-Rootkit
Veraltete Software wird nicht unendlich verkauft, sondern irgendwann vom Markt genommen. Es macht auch keinen Sinn, sie später wieder auf den Markt zu bringen. Gleiches gilt eigentlich auch für Malware. Ist ein Angriffsvektor bekannt, sollten Unternehmen ihn schließen und der Schädling hätte keine Chance mehr. Leider passiert das nicht, dies zeigt die Geschichte von Festi, eines ehemals beliebten Rootkits.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Das Festi-Rootkit wurde hauptsächlich vom RIG Exploit-Kit verbreitet und geht zurück bis ins Jahr 2009. Damals diente es zur Bildung eines großen und erfolgreichen Botnetzes, das sowohl für DDoS als auch für die Verbreitung von Spam-Mails genutzt wurde. Die Firma ESET untersuchte, das Rootkit und veröffentlichte 2012 eine eingehende Analyse seiner internen Funktionsweise. Seither, und nach der Festnahme seines Autors und Betreibers Igor Artimovich durch die russischen Behörden, war Festi inaktiv. Die Festnahme erfolgte nach einer Untersuchung eines DDoS-Angriffs, der 2010 von dem Botnetz auf die Webseite von Aeroflot ausgeführt wurde. Igor, der in Untergrundforen unter dem Spitznamen „Angel“ bekannt war, wurde zu zweieinhalb Jahren Haft mit Entlassung im August 2016 verurteilt. Seit seiner Verhaftung war das Botnetz abgeschaltet.
Jetzt gibt es eine neue Variante von Festi, die für Attacken eingesetzt wird. Sie geht mit einem komplizierten neuen Dropper einher, der sich zur Rechteausweitung als Update des Adope Flash Players tarnt. Interessant ist auch, dass die neue Rootkit-Variante etliche Änderungen im Code enthält, was darauf schließen lässt, dass der aktuelle Betreiber Zugriff auf den Quellcode von Festi hat. Vor diesem Hintergrund wirft das plötzliche Wiederauftreten von Festi Fragen in Hinblick auf die Identität des Betreibers auf, der dahintersteckt. Um die Frage nach den Hintermännern zu beantworten, muss man den Schädling analysieren.
:quality(80)/images.vogel.de/vogelonline/bdb/1401800/1401868/original.jpg "Unsere Telemetrie zeigt einige tausend Infektionen von Festi, die meisten davon in der Türkei und Brasilien.")
:quality(80)/images.vogel.de/vogelonline/bdb/1401800/1401863/original.jpg "Der Festi-Dropper zeigt ein authentisch aussehendes Abode Flash Player Updater-Fenster, das den Benutzer ködert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1401800/1401864/original.jpg "Einige der Ähnlichkeiten (grau hinterlegt) und Unterschiede in den alten und neuen Festi DriverEntry-Funktionen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1401900/1401903/original.jpg "Vergleich der Anti-Debugging-Checks in alten und neuen Festi-Proben.")
Der Dropper
Der Dropper ist verantwortlich für die Entschlüsselung und Installation des integrierten, verschlüsselten Rootkit-Treibers. Besitzt der Dropper nicht die erforderlichen Rechte zur Installation des Treibers, nutzt er eine hinterhältige Social-Engineering-Technik, um seine Rechte zu erweitern und die UAC zu „umgehen“. Er zeigt ein authentisch aussehendes Adobe Flash Player Updater-Fenster, das den Nutzer dazu verleitet, auf „Installieren“ zu klicken, um über die UAC erweiterte Rechte anzufordern.
Diese Technik ist zwar nicht neu, aber das hier erlebte hohe Maß an Authentizität ist ziemlich beeindruckend. Das fingierte Installationsfenster enthält Links, wie „Siehe Details…“ und „Endnutzer-Lizenzvereinbarung“, die auf die echte Adobe-Webseite hindeuten. Und wenn der Nutzer auf „Später erinnern“ klickt, ist der Dropper da und löscht sich selbst, woraus sich schließen lässt, dass die Betreiber lieber vorsichtig sind, als sich weitere Infektionen zuzuziehen.
Das Festi-Rootkit
Das Rootkit selbst ist in C++ geschrieben und arbeitet als Kernel-Mode-Treiber, der beim Einschalten inmitten der Standard-Systemtreiber gestartet wird. Es ist ziemlich raffiniert, insbesondere für seine Zeit, denn es wendet Tricks zur Umgehung von Endpunktsicherheitsprodukten an. Durch seinen modularen Aufbau unterstützt es verschiedene Plugins, die eine individuelle Anpassung der Funktionalität ermöglichen.
Die zuletzt beobachteten Muster weisen im Vergleich zu den ersten Untersuchungen jedoch einige Veränderungen im Code auf. Anfangs ist es schwierig überhaupt Gemeinsamkeiten zu erkennen. Bei näherer Betrachtung scheint es jedoch, als sei die Core-Logik weitestgehend noch immer die gleiche. Die Abweichungen, die in Code-Teilen zu erkennen sind und in beiden Binärprogrammen dem gleichen Zweck dienen, deuten darauf hin, dass der Malware-Code mit hoher Wahrscheinlichkeit neu kompiliert wurde. Es gibt jedoch etliche Änderungen, die an der Funktionalität selbst vorgenommen wurden. Einige davon sind nachstehend erläutert.
Betrachtet man zunächst einmal die DriverEntry-Funktion beider Binärprogramme, kann man einen ähnlichen Flow erkennen, wobei die Malware einige Initialisierungen vornimmt, die für ihre Funktionalität erforderlich sind. Dazu gehört die Entschlüsselung eines eingebetteten Konfigurationsabschnitts, die Zuordnung einer Versandroutine für alle wichtigen Funktionen, ein Anhang an das SystemRoot-Gerät, um einen IRP abzuhören, bevor er zu nachfolgenden Filtertreibern weitergeleitet wird, sowie die Initiierung des wichtigsten Worker Threads der Malware.
Allerdings gibt es einige Änderungen. Zum einen enthielt die ältere Version Anti-VM-Checks (einen für VMWare und einen weiteren für Virtual PC) sowie einen Check für das Vorhandensein des Network-Packet-Filter-Treibers (npf.sys), der von Wireshark verwendet wird. Diese sind in der neuen Version nicht enthalten. Man kann nur vermuten warum. Entweder wurde absichtlich auf sie verzichtet, oder bei der Erstellung der neuen Muster wurde eine ältere Codebasis verwendet.
Beide Versionen prüfen das Vorhandensein eines angeschlossenen Debuggers. Dieser erfolgt durch Untersuchung der globalen Variablen KD_DEBUGGER_ENABLED. Die ältere Version beinhaltet einen zusätzlichen Check, um zu testen, ob sie auf das Objekt \Driver\NTICE zugreifen kann das dem SoftICE-Debugger entspricht. Auch dieser Check ist in der neueren Version nicht enthalten.
Eine weitere Ähnlichkeit, die zu beobachten ist, liegt im Aufbau der DGA-Funktion, bei der es sich um einen Rückfallmechanismus für den Fall handelt, dass die fest codierte C&C-Domain nicht reagiert. Hier ist der Gesamtalgorithmus der gleiche. Bei näherer Betrachtung man aber erkennen, dass zwar die Reihenfolge der Aufrufe der Mapping-Funktionen die erhalten bleibt, die Reihenfolge der Seed-Argumente in der neuen Version jedoch verändert ist. Auch die Mappings selbst haben sich verändert. Schließlich beinhaltet die neuere Version eine zusätzliche Xor-Verknüpfung eines Stack DWORD. Das untermauert die Tatsache, dass diese spezielle Funktion neu kompiliert wurde.
Eine Funktion, die schließlich vollständig verändert wurde, ist die Verschlüsselungsfunktion des Konfigurationsbereichs. Dieser Bereich ist im Abschnitt .cdata im Treiber-Image eingebettet und wird während der Laufzeit entschlüsselt, um den Großteil der Strings, die von der Malware während ihrer Ausführung verwendet werden, zu hosten. Wie bereits erwähnt legen diese Veränderungen nahe, dass jemand im Besitz des ursprünglichen Quellcodes von Festi ist.
Zusammenfassung
Die Rückkehr des Festi-Rootkit ist nach so langer Abwesenheit ziemlich überraschend. Das bisherige Vorgehen deutet darauf hin, dass der aktuelle Betreiber vorsichtig ist und lieber unter dem Radar agiert. Darüber hinaus weist die technische Analyse darauf hin, dass der aktuelle Betreiber möglicherweise im Besitz des Quellcodes ist. Es ist noch zu früh zu sagen, ob es sich lediglich um jemanden handelt, der mit einer alten Malware herumspielt, oder um ein völlig neues Kapitel für Festi.
Über den Autor: Andreas Müller ist Enterprise Manager bei Check Point.
(ID:45321507)
:quality(80)/p7i.vogel.de/wcms/c2/f7/c2f7a1194914bc9d3b029809adb8172a/0110182512.jpeg "BlackLotus nutzt eine mehr als ein Jahr alte Sicherheitslücke, die Microsoft mit einem Update vom Januar 2022 gepatcht hat. Trotzdem ist die Malware in der freien Wildbahn aktiv. (Bild: temp-64GTX - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/aa/d5aa0bb901f21964faecdab57316bf62/0113384380.jpeg "Hacker nutzen eine gefährliche neue Sicherheitslücke aus, bei der sie mit Schadcode versehene, Treiber mit nicht widerrufenen Zertifikaten signieren, die vor dem 29. Juli 2015 ausgestellt wurden oder davor abgelaufen sind. (Bild: NicoElNino - stock.adobe.com)")