Analysen zur GAUSS-Malware GAUSS: Bankingtrojaner und Supermalware

Autor / Redakteur: Dennis Kowalski / Peter Schmitz

Nach Stuxnet, Duqu und Flame ist mit GAUSS der nächste Supertrojaner entdeckt worden. Dieses Mal scheinen es die Urheber des Schädlings auch auf das Geld der Opfer abgesehen zu haben, denn die Malware hat auch Bankingfunktionen.

Ist GAUSS die neueste Spionagewaffe im Köcher der Geheimdienste? Die Malware hat Ähnlichkeit zu Flame und damit zu Stuxnet und Duqu. Dieser neue Supertrojaner hat allerdings sogar Bankingfunktionen.
Ist GAUSS die neueste Spionagewaffe im Köcher der Geheimdienste? Die Malware hat Ähnlichkeit zu Flame und damit zu Stuxnet und Duqu. Dieser neue Supertrojaner hat allerdings sogar Bankingfunktionen.

Im Zuge von Ermmittlungen zu FLAME konnte ein neuer Abkömmling der Familie der Supertrojaner ausfindig gemacht werden, diesmal mit Bankingfunktionen.

In einer durch die Internationalen Fernmeldeunion initierten Ermittlung zu FLAME konnte Kaspersky Labs im Juni diesen Jahres einen neuen Supertrojaner ausfinding machen. Dieser Schädling ist so wie die bisher gesehenen Superschädlinge sehr modular aufgebaut und kann über die Ferne mit Plugins ausgerüsttet werden.

Bildergalerie

Basierend auf Analysen der Timestamps und der Module des sogenannten GAUSS Schädlings gehen die Experten von einem Start der Operation GAUSS im August oder September 2011 aus. Interessant hierbei ist, dass das Labor für Kryptographie und System Sicherheit der Budapester Universität für Technologie und Wirtschaftswissenschaften genau in diesem Zeitraum die Entdeckung von Duqu bekannt gemacht hat.

Man ist sich nicht sicher ob die Entwickler des Duqu zu dem Zeitpunkt einfach auf GAUSS wechselten jedoch ist eins ganz sicher, GAUSS kann in Verbindung mit Flame gebracht werden, dieser mit Stuxnet und Stuxnet mit Duqu. Somit besteht eine gewisse Verbindung zwischen GAUSS und Duqu.

Warum GAUSS?

Die in GAUSS verwandten Module wurden nach berühmten Mathematikern und Philosophen benannt wie z.B.:Kurt Godel, Johann Carl Friedrich Gauss and Joseph-Louis Lagrange. Das aktuell interessanteste Modul welches den Datenstehlenden Bestandteil trägt heisst GAUSS, somit war ein Name für den Schädling schnell gefunden. Die Entwickler haben vergessen debbuging informationen zu bereinigen, so konnten Projektpfade ermittelt werden, diese lauten:

August 2011 d:\projects\gaussOctober 2011 d:\projects\gauss_for_macis_2Dec 2011-Jan 2012 c:\documents and settings\flamer\desktop\gauss_white_1

Bezüglich des Strings "white" gibt es aktuell eine Theorie. Man vermutet dass man sich hier auf den Libanon bezieht, dem Land mit den meisten GAUSS Infektionen. Laut Wikipedia stammt der Name Libanon vom Sprachstamm LBN, welcher Weiß bedeutet und sich auf die weiße Kuppe des Berges Libanon bezieht.

Das kann der GAUSS-Trojaner

Die Payload des GAUSS ist wie schon bei den anderen Schädlingen gesehen verschlüsselt. Es konnte bisher nur ein geringer Teil entschlüsselt werden und somit ist noch vieles unklar. Die bisher bekannten Module sind:

  • Abfangen von Cookies und Passwörtern
  • Sammeln und versenden von System Konfigurationsinformationen
  • Infektion von USB Sticks mit einem Datenstehlenden Modul
  • Auflistung von Dateien und Verzeichnissen der Laufwerke
  • Stehlen diverser Bankingzugänge aus dem Mittleren Osten
  • Stehlen diverser Accountinformationen Sozialer Netzwerke, Emailanbieter und Instant Messaging

Bei den Bankingzugängen handelt es sich um diverse libanesische Banken wie: Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank and Credit Libanais. Zudem steht noch die Citibank und Paypal im Fokus des Schädlings.

So verbreitet sich GAUSS

Die genauen Verbreitungswege sind bisher unklar. Fakt ist dass Kaspersky Labs 2.500 infizierte Systeme ausfindig machen konnte und von mehreren unbekannten zehn Tausend ausgeht.

Der Hauptkontrollserver wurde durch den AV-Hersteller deaktiviert. Was jedoch schon ermittelt werden konnte ist, dass GAUSS USB Sticks infiziert. Hierbei nutzt es die .LNK-Schwachstelle, diese wurde durch Stuxnet bekannt und auch in Flame weiterhin genutzt. Jedoch war man hier bei der Umsetzung deutlich spitzfindiger. Die durch GAUSS auf dem Stick hinterlegte Routine enthält einen Time to Live Wert von 30, was bedeutet, dass die Schadroutine nachdem sie 30 mal auf dem Stick gelaufen ist sich selber entfernt und den Stick somit wieder bereinigt.

Deshalb Installiert GAUSS eine Schriftart

Bei einer Infektion mit GAUSS wird eine Schriftart namens "Palida Narrow" installiert. Der Zweck dieser Installation ist jedoch nicht klar. Interessant ist es hier zu erwähnen, dass Duqu eine FONT Rendering Lücke Systeme infizierte. Es gibt verschiedene teilweise sehr fantasievolle Theorien zu dieser Schriftart:

  • 1. Es gibt Vermutungen die besagen dass über eine Kerning Funktion bei der Eingabe eine gewissen Zeichenfolge Schadcode ausgeführt werden könnte.
  • 2. Das die installierte Schriftart in diversen Dokumenten die originale Schriftart ersetzt und somit ausgedruckte Dokumente anhand der Schriftart als Dokumente infizierter Quelle ausfindig gemacht werden könnten.
  • 3. Das mit der Schriftart bestückte Systeme durch speziell geschriebene Webseiten als infizierte Systeme erkannt werden könnten.

Im folgenden eine Beschreibung wie eine Webseite ein infiziertes System erkennen könnte:

Webseiten enthalten zumeist eine Verlinkung zu einem Cascading Style Sheet (CSS), dieses enthält mitunter Informationen darüber wie z.B. der Text der Webseite dargestellt werden soll.

So kann auch eine lokale Schriftart zur Darstellung der Webseite genutzt werden. Betrachten wir nun folgendes CSS Beispiel (Quelle Crysys.hu):

@font-face {font-family: "Palida";src: local("Palida Narrow"),url("palida.ttf");}
@font-face {font-family: "Crysysida";src:url("Crysysida.ttf");}

Diese CCS verweist den Browser die lokale Schriftart Palida Narrow zu nutzen, sollte dies nicht möglich sein verweist es den Browser diese herunterzuladen und zu installieren. In dem Beispiel wurde noch eine weitere Schriftart hinzugefügt um einen Check auszuführen. Dieser sieht wie folgt aus:

  • Lädt ein Client beide Schriftarten herunter, so ist das System nicht infiziert.
  • Lädt der Client nur die Crysysida, so ist das System infiziert, da Palida Narrow schon installiert ist
  • Lädt der Client nichts herunter, so kann es sein dass der Browser dies nicht unterstützt oder die Funktion deaktiviert wurde.

Der Online-Check

Das Crysys bietet mittlerweile einen Online-Check an, welcher den zugreifenden Rechner auf das Vorhandensein der Schriftart Palida Narrow prüft.

(ID:35074200)