Wie das Tor-Netzwerk zur Malware-Verbreitung genutzt wird

F-Secure analysiert OnionDuke-Backdoor

| Redakteur: Stephan Augsten

Zwei hart kodierte URLs im Code von OnionDuke weisen auf die Autoren der Spionage-Software MiniDuke hin.
Zwei hart kodierte URLs im Code von OnionDuke weisen auf die Autoren der Spionage-Software MiniDuke hin. (Bild: F-Secure)

Die Sicherheit des Tor-Netzwerks steht auf dem Prüfstand. Im Zuge der Meldung um einen Exit Node, der heruntergeladene EXE-Dateien mit Malware infizierte, hat der Antivirus-Spezialist F-Secure tiefgehende Analysen gestartet. Demnach könnte die Backdoor von denselben Schadcode-Entwicklern stammen wie das Spionage-Tool MiniDuke.

Das Tor-Netzwerk muss momentan einiges über sich ergehen lassen. Nicht nur, dass im Rahmen der Operation Onymous zahlreiche Personen durch die NSA enttarnt wurden. Für Schlagzeilen sorgte jüngst auch ein manipulierter Exit Node (Ausgangsknoten) in Russland, der es ermöglichte, Schadcode in Downloads zu platzieren.

Fragt der mit dem böswilligen Server verbundene Anwender eine ausführbare Datei an, dann wird diese während des Herunterladens infiziert. Das potenzielle Opfer erhält einen Wrapper, also ein sich selbst extrahierendes Paket, das den Namen der Originaldatei trägt.

Startet der Anwender die Datei, dann extrahiert der Wrapper zunächst einmal die originale Datei und führt sie aus, um den Anwender zu täuschen. Im gleichen Atemzug wird allerdings der Trojaner-Dropper OnionDuke.A ausgepackt und gestartet. Der Dropper enthält seinerseits ein scheinbares GIF-Bild, das in Wahrheit eine verschlüsselte Dynamic Link Library (DLL) ist. Diese wird im Zuge der Infektion entschlüsselt und ausgeführt.

Bei der DLL handelt es sich um eine Backdoor, die fest integrierte C&C-Server (Command and Control Server) im Internet kontaktiert, um beispielsweise weitere Schadcode nachzuladen. Zwei der URLs, die F-Secure im Rahmen der Analyse gefunden hat, wurden bereits von der Malware-Familie MiniDuke verwendet.

Hier erklärt sich auch die Namenswahl, F-Secure führt OnionDuke auf die gleichen Malware-Entwickler zurück. Ähnlich wie MiniDuke soll auch OnionDuke für Angriffe auf europäische Behörden genutzt worden sein. Laut den Antivirus-Spezialisten deuten Zeitstempel im Schadcode darauf hin, dass OnionDuke seit Oktober 2013 aktiv erbreitet wird.

F-Secure rät bis auf weiteres davon ab, ausführbare Binärdateien über das Tor-Netzwerk herunterzuladen. Die detaillierte Malware-Analyse findet sich im Weblog des Herstellers.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43074260 / Malware)