Malware as a Service

GoldenEye Ransomware analysiert

| Autor / Redakteur: Jason Reaves / Peter Schmitz

Im Rahmen der GoldenEye-Angriffskampagne finden sich in der Malware mehrere Verweise auf den gleichnamigen James-Bond-Film.
Im Rahmen der GoldenEye-Angriffskampagne finden sich in der Malware mehrere Verweise auf den gleichnamigen James-Bond-Film. (Bild: geralt - Pixabay / CC0)

Ende 2016 trat eine Malware namens GoldenEye erstmals in Erscheinung. Das Besondere an dieser Schadsoftware ist, dass sie als Ransomware-as-a-Service arbeitet und über ein Gewinnbeteiligungsmodell bezahlt wird. Fidelis Cybersecurity Threat Research hat die nach einem James-Bond-Film benannte Ransomware genauer untersucht.

GoldenEye trat als Ransomware-as-a-Service Ende 2016 erstmals in Erscheinung und setzte in E-Mails deutschsprachige Themenangaben als Lockmittel ein. Diese Ransomware ist ein gutes Beispiel dafür, dass die Cybercrime-Wirtschaft expandiert und sich Ransomware für viele Cyberkriminelle als lukrative Einnahmequelle erwiesen hat.

Dies motiviert die Akteure, ihre Malware stetig zu verbessern, um die entsprechenden Umsätze zu schützen. Auch wenn neue technische Lösungen zum Schutz vor Attacken entwickelt werden, kann man davon ausgehen, dass weitere Angriffswellen folgen. Denn die Initiatoren haben viel zu verlieren.

Kampagne

Das Fidelis Cybersecurity Threat Team verzeichnete eine erste Angriffswelle mit der Verbreitung von GoldenEye via E-Mail, die am 1. Dezember 2016 startete. Im Titel trugen die Mails deutschsprachige Begriffe wie etwa 'Bewerbung', wobei die Nachrichten auch an andere Nutzer in Europa, dem Nahen Osten und Nordamerika verteilt wurden.

Als typische Vorgehensweise wurde als Mail-Anhang eine Excel-Datei mit eingebettetem Makro ausgeliefert. In einigen Fällen wurde quasi als Köder ein weiteres Dokument beigefügt, das keine Malware enthielt.

Im Laufe des Dezembers nahm die Zahl der Angriffe über verbreitete GoldenEye-Mails zu, woraus sich schließen lässt, dass die Initiatoren die ersten Testläufe als erfolgreich ansahen.

Bereitstellung

Primär wurde die GoldenEye-Ransomware über Office-Dokumente verteilt, wobei der als Makro eingebettete Schadcode quasi als Pipette (Dropper) fungiert. Das bedeutet: Die für die nächste Angriffsstufe erforderlichen Objekte sind bereits enthalten, es muss nicht alles nachgeladen werden.

Ein näherer Blick auf den Makrocode zeigt, dass verstreute Teile eines Skripts für die nächste Angriffsebene enthalten sind, das mehrere Variablen enthält.

Setzt man diese Teile zusammen, ergibt sich ein neues, in Javascript erstelltes Skript. Nach der Modifizierung einiger Bereiche ergibt sich ein Skriptauszug für die nächste Ebene, der sich auf Dateien bezieht (Grafik 2 in der Bildergalerie). Dieses Skript ist recht einfach aufgebaut, es sammelt lediglich alle Daten und codiert sie im Verfahren Base64 in eine Zeichenfolge, bevor es ausgeführt wird. Daher muss zur Analyse lediglich dieses Skript imitiert werden, ohne die Funktionen auszuführen. Das zeigt, dass es sich um einen Dropper handelt. Grafik 3 in der Bildergalerie zeigt den PE-Header (Portable Executable) aus dem Dump der neu extrahierten ausführbaren Datei.

Schäden (Payload)

Nach dem Durchlaufen des Packers kontrolliert der Bot zunächst, ob er über %APPDATA% ausgeführt wird oder nicht - dies ist der übliche Pfad zum Speicherort für Daten auf einem System unter Windows. Falls diese Überprüfung ergibt, dass es nicht so ist, kopiert er sich selbst an den entsprechenden Speicherort und startet (Grafik 4 in der Bildergalerie).

Nach dem Entpacken aller Komponenten beginnt die Malware ihren vorgesehenen Prozess zur Dateiverschlüsselung, der zuvor als 'Mischa' bezeichnet wurde. Ein Hinweis auf die Ransomware wird auf dem Desktop platziert (Grafik 5 in der Bildergalerie).

Anschließend startet das Schadprogramm den Aufbau einer Liste mit allen Dateien, die eine Erweiterung besitzen, die sich in der Liste der zu verschlüsselnden Dateitypen (Grafik 6 in der Bildergalerie) befindet. Diese werden verschlüsselt.

Die Verschlüsselung der Dateien erfolgt mittels AES (Advanced Encryption Standard), der Schlüssel basiert teilweise auf einem Hash mit 512 Bit (SHA512) (2). Sowohl die Routinen von AES als auch die von SHA512 sind in die Malware integriert, aber es werden auch Zufallsdaten über die Microsoft CryptoAPI generiert.

Entschlüsselung

Nach der Verschlüsselung erhalten die Dateien eine per Zufallsgenerator erstellte Erweiterung. Eine Untersuchung der Entschlüsselungsschnittstelle (Grafik 7 in der Bildergalerie) ergab, dass diese Erweiterungen wohl nirgendwo gespeichert sind, also bei jedem erfolgreichen Angriff einmalig verwendet werden.

Master Boot Record

Wenn die Malware Zugriff auf den Master Boot Record (MBR) hat, wird der ursprüngliche Bootloader codiert und in ein anderes Segment verschoben. Anschließend wird ein eigener 16-Bit-Bootloader installiert, der vorgibt, CHKDSK zu sein, in Wahrheit aber die Festplatte verschlüsselt (Grafik 8 in der Bildergalerie). Die durchgeführte Verschlüsselung nutzt das Verfahren Salsa20, das ursprünglich einige Designfehler aufwies (4). Diese wurden in den neueren Versionen allerdings behoben und zuvor eingesetzte Lösungen zur Festplattenentschlüsselung funktionieren nicht mehr.

Der Initiator

Der Hauptverantwortliche für diese Ransomware nutzt im Darknet den Namen "Janus". Wie viele Cyberkriminelle setzt er Social-Media-Kanäle ein, um Werbung für seine Malware zu machen. Ein Beispiel sind seine Meldungen per Twitter über @JanusSecretary, in denen er Informationen zu Neuigkeiten und Updates seiner Malware kommuniziert und sich unter anderem auch bei seinen erfolgreichen deutschen Distributoren bedankt (Grafik 9 in der Bildergalerie).

Zusammenfassung

Im Rahmen der GoldenEye-Ransomware-Attacke wurde wieder klar, wie weit die Cybercrime-Wirtschaft sich entwickelt, lokalisiert und ihr eigenes Geschäft gegen moderne Abwehrmechanismen schützen will. Zu beachten ist allerdings auch: Selbst, wenn diese Malware-Attacken sehr innovativ und komplex sind, gehören zu einem erfolgreichen Angriff auch gelungene Social-Engineering-Attacken und die Ausführung von Makros in Office-Dateien, die nur greifen können, wenn die entsprechenden Exploits nicht gepatcht sind. Auch viele andere Angriffswellen in letzter Zeit setzen auf manipulierte Skriptdateien. Daher sollten sich Anwender und Administratoren dieser Taktik stets bewusst sein. Das heißt: Weiterhin niemals Dateianhänge aus dubiosen Quellen öffnen, aber auch vermeintlich sichere Quellen können sich verdächtig verhalten und eine Gefahr darstellen. Weiterhin empfiehlt sich der Einsatz administrativer Tools, um beispielsweise die Ausführung von Makros zu verhindern, die nicht aus der eigenen Organisation stammen. Wird dies konsequent umgesetzt, sinkt die Wahrscheinlichkeit rapide, selbst zum Opfer zu werden.

* Jason Reaves ist Security Researcher im Fidelis Threat Research Team.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44499308 / Malware)