Suchen

Malware 101

Einfache Schadcode-Analyse mit simplen Tools

Seite: 5/5

Firmen zum Thema

Konkrete Schlussfolgerungen aus der Malware-Analyse

Die “Malware” ist in diesem Fall ein Satz Hacker-Tools, der manuell durch Zugriff auf die Maschine oder automatisch durch Nutzung eines Scripts, eines Hintergrundjobs, einer geplanten Aufgabe, durch Autorun usw. ausgeführt werden kann. Wer immer die Dateien in das Netzwerk eingeschleust hat, hat versucht, mindestens auf einem Netzwerk-Host Fuß zu fassen. Zudem hat er geplant, die Maschinen mit gestohlenen Domain-Passwörtern zu durchsuchen und so seine Operationen auszudehnen.

Da es sich bei dem Ziel um einen Händlerkunden handelte, ist anzunehmen, dass das Endziel des Angreifers der Diebstahl von Kreditkarten von POS-Maschinen war. Es ist davon auszugehen, dass die IP-Adressen, die von den WinSCP -Varianten verwendet wurden, als Orte zum Ablegen der extrahierten Dateien genutzt wurden. Diese IP-Adressen gehören privaten Hosting-Unternehmen mit Sitz in der Schweiz bzw. Moldawien. Die Hosts selbst nicht mehr aktiv.

Die vom AB-Tool verwendete IP-Adresse war auch an dem Angriff beteiligt, vielleicht als Beacon-Server. Diese IP-Adresse liegt im Bereich eines britischen Breitband-Operators und scheint einem Heimanwender zu gehören (obwohl er als Proxy hätte genutzt werden können und möglicherweise nicht direkt zum Angreifer führt).

Paul Pilyaki, alias pashulke, ist an diesem Angriff direkt oder indirekt beteiligt, da sein Name auf dem zum Signieren der meisten Angriffsdateien verwendeten Zertifikat registriert ist. Dies bedeutet nicht unbedingt, dass er die Dateien signiert oder eingeschleust hat, denn das Zertifikat kann auch gestohlen worden sein. Pashulke hat jedoch auf keine der Anfragen von Check Point per Email oder Skype reagiert.

Da den Check Point Mitarbeitern der Zugang zum Kundennetzwerk verwehrt ist, kann nicht eindeutig bestimmt werden, wie der Angreifer ursprünglich im System Fuß gefasst hat. Das Ausmaß der Kompromittierung ist ebenfalls nicht einzuschätzen.

Fazit

Wer bisher noch keine Erfahrung mit Malware-Analysen gemacht hat, sollte sich nach dem Lesen dieses Beitrags beim Analysieren „mysteriöser“ Samples wohler fühlen. Manche Malware ist zwar sehr komplex, gut versteckt und technologisch weit entwickelt, doch ist der Großteil nicht schwerer zu knacken, als der hier gezeigte Fall.

* Yaniv Balmas ist Malware-Forscher bei Check Point Software.

(ID:43325254)