:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Malware as a Service GoldenEye Ransomware analysiert
Ende 2016 trat eine Malware namens GoldenEye erstmals in Erscheinung. Das Besondere an dieser Schadsoftware ist, dass sie als Ransomware-as-a-Service arbeitet und über ein Gewinnbeteiligungsmodell bezahlt wird. Fidelis Cybersecurity Threat Research hat die nach einem James-Bond-Film benannte Ransomware genauer untersucht.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
GoldenEye trat als Ransomware-as-a-Service Ende 2016 erstmals in Erscheinung und setzte in E-Mails deutschsprachige Themenangaben als Lockmittel ein. Diese Ransomware ist ein gutes Beispiel dafür, dass die Cybercrime-Wirtschaft expandiert und sich Ransomware für viele Cyberkriminelle als lukrative Einnahmequelle erwiesen hat.
Dies motiviert die Akteure, ihre Malware stetig zu verbessern, um die entsprechenden Umsätze zu schützen. Auch wenn neue technische Lösungen zum Schutz vor Attacken entwickelt werden, kann man davon ausgehen, dass weitere Angriffswellen folgen. Denn die Initiatoren haben viel zu verlieren.
:quality(80)/images.vogel.de/vogelonline/bdb/1165200/1165277/original.jpg "Grafik 1: Code des eingebetteten VBA-Makros.")
:quality(80)/images.vogel.de/vogelonline/bdb/1165200/1165278/original.jpg "Grafik 2: Skript der zweiten Ebene.")
:quality(80)/images.vogel.de/vogelonline/bdb/1165200/1165279/original.jpg "Grafik 3: PE-Datei.")
:quality(80)/images.vogel.de/vogelonline/bdb/1165200/1165280/original.jpg "Grafik 4: Überprüfung der Variablen AppData.")
Kampagne
Das Fidelis Cybersecurity Threat Team verzeichnete eine erste Angriffswelle mit der Verbreitung von GoldenEye via E-Mail, die am 1. Dezember 2016 startete. Im Titel trugen die Mails deutschsprachige Begriffe wie etwa 'Bewerbung', wobei die Nachrichten auch an andere Nutzer in Europa, dem Nahen Osten und Nordamerika verteilt wurden.
Als typische Vorgehensweise wurde als Mail-Anhang eine Excel-Datei mit eingebettetem Makro ausgeliefert. In einigen Fällen wurde quasi als Köder ein weiteres Dokument beigefügt, das keine Malware enthielt.
Im Laufe des Dezembers nahm die Zahl der Angriffe über verbreitete GoldenEye-Mails zu, woraus sich schließen lässt, dass die Initiatoren die ersten Testläufe als erfolgreich ansahen.
Bereitstellung
Primär wurde die GoldenEye-Ransomware über Office-Dokumente verteilt, wobei der als Makro eingebettete Schadcode quasi als Pipette (Dropper) fungiert. Das bedeutet: Die für die nächste Angriffsstufe erforderlichen Objekte sind bereits enthalten, es muss nicht alles nachgeladen werden.
Ein näherer Blick auf den Makrocode zeigt, dass verstreute Teile eines Skripts für die nächste Angriffsebene enthalten sind, das mehrere Variablen enthält.
Setzt man diese Teile zusammen, ergibt sich ein neues, in Javascript erstelltes Skript. Nach der Modifizierung einiger Bereiche ergibt sich ein Skriptauszug für die nächste Ebene, der sich auf Dateien bezieht (Grafik 2 in der Bildergalerie). Dieses Skript ist recht einfach aufgebaut, es sammelt lediglich alle Daten und codiert sie im Verfahren Base64 in eine Zeichenfolge, bevor es ausgeführt wird. Daher muss zur Analyse lediglich dieses Skript imitiert werden, ohne die Funktionen auszuführen. Das zeigt, dass es sich um einen Dropper handelt. Grafik 3 in der Bildergalerie zeigt den PE-Header (Portable Executable) aus dem Dump der neu extrahierten ausführbaren Datei.
Schäden (Payload)
Nach dem Durchlaufen des Packers kontrolliert der Bot zunächst, ob er über %APPDATA% ausgeführt wird oder nicht - dies ist der übliche Pfad zum Speicherort für Daten auf einem System unter Windows. Falls diese Überprüfung ergibt, dass es nicht so ist, kopiert er sich selbst an den entsprechenden Speicherort und startet (Grafik 4 in der Bildergalerie).
Nach dem Entpacken aller Komponenten beginnt die Malware ihren vorgesehenen Prozess zur Dateiverschlüsselung, der zuvor als 'Mischa' bezeichnet wurde. Ein Hinweis auf die Ransomware wird auf dem Desktop platziert (Grafik 5 in der Bildergalerie).
Anschließend startet das Schadprogramm den Aufbau einer Liste mit allen Dateien, die eine Erweiterung besitzen, die sich in der Liste der zu verschlüsselnden Dateitypen (Grafik 6 in der Bildergalerie) befindet. Diese werden verschlüsselt.
Die Verschlüsselung der Dateien erfolgt mittels AES (Advanced Encryption Standard), der Schlüssel basiert teilweise auf einem Hash mit 512 Bit (SHA512) (2). Sowohl die Routinen von AES als auch die von SHA512 sind in die Malware integriert, aber es werden auch Zufallsdaten über die Microsoft CryptoAPI generiert.
Entschlüsselung
Nach der Verschlüsselung erhalten die Dateien eine per Zufallsgenerator erstellte Erweiterung. Eine Untersuchung der Entschlüsselungsschnittstelle (Grafik 7 in der Bildergalerie) ergab, dass diese Erweiterungen wohl nirgendwo gespeichert sind, also bei jedem erfolgreichen Angriff einmalig verwendet werden.
Master Boot Record
Wenn die Malware Zugriff auf den Master Boot Record (MBR) hat, wird der ursprüngliche Bootloader codiert und in ein anderes Segment verschoben. Anschließend wird ein eigener 16-Bit-Bootloader installiert, der vorgibt, CHKDSK zu sein, in Wahrheit aber die Festplatte verschlüsselt (Grafik 8 in der Bildergalerie). Die durchgeführte Verschlüsselung nutzt das Verfahren Salsa20, das ursprünglich einige Designfehler aufwies (4). Diese wurden in den neueren Versionen allerdings behoben und zuvor eingesetzte Lösungen zur Festplattenentschlüsselung funktionieren nicht mehr.
Der Initiator
Der Hauptverantwortliche für diese Ransomware nutzt im Darknet den Namen "Janus". Wie viele Cyberkriminelle setzt er Social-Media-Kanäle ein, um Werbung für seine Malware zu machen. Ein Beispiel sind seine Meldungen per Twitter über @JanusSecretary, in denen er Informationen zu Neuigkeiten und Updates seiner Malware kommuniziert und sich unter anderem auch bei seinen erfolgreichen deutschen Distributoren bedankt (Grafik 9 in der Bildergalerie).
Zusammenfassung
Im Rahmen der GoldenEye-Ransomware-Attacke wurde wieder klar, wie weit die Cybercrime-Wirtschaft sich entwickelt, lokalisiert und ihr eigenes Geschäft gegen moderne Abwehrmechanismen schützen will. Zu beachten ist allerdings auch: Selbst, wenn diese Malware-Attacken sehr innovativ und komplex sind, gehören zu einem erfolgreichen Angriff auch gelungene Social-Engineering-Attacken und die Ausführung von Makros in Office-Dateien, die nur greifen können, wenn die entsprechenden Exploits nicht gepatcht sind. Auch viele andere Angriffswellen in letzter Zeit setzen auf manipulierte Skriptdateien. Daher sollten sich Anwender und Administratoren dieser Taktik stets bewusst sein. Das heißt: Weiterhin niemals Dateianhänge aus dubiosen Quellen öffnen, aber auch vermeintlich sichere Quellen können sich verdächtig verhalten und eine Gefahr darstellen. Weiterhin empfiehlt sich der Einsatz administrativer Tools, um beispielsweise die Ausführung von Makros zu verhindern, die nicht aus der eigenen Organisation stammen. Wird dies konsequent umgesetzt, sinkt die Wahrscheinlichkeit rapide, selbst zum Opfer zu werden.
* Jason Reaves ist Security Researcher im Fidelis Threat Research Team.
(ID:44499308)
:quality(80)/p7i.vogel.de/wcms/90/f6/90f6f884fc7a45a16c918f113b51ded5/0106132217.jpeg "Cyberkriminelle wenden sich von Makro-aktivierten Dokumenten ab und verwenden zunehmend andere Dateitypen als initiale Payload. Insbesondere ISO- und andere Container-Dateiformate sowie LNK-Dateien erfreuen sich dabei großer Beliebtheit. (Bild: Sasint - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/09/45094460c96046afd4f9b57be6cb1d6e/0106836712.jpeg "Bis Anfang 2021 zählte Emotet zu den gefährlichsten Computer-Schadprogrammen weltweit. Zehn Monate später war die Malware wieder im Umlauf. (Bild: James Thew - stock.adobe.com)")