Bitdefender veröffentlicht detaillierte Trojaner-Analyse

MiniDuke – Funktionsweise und Tarnung

| Redakteur: Stephan Augsten

Malware-Forscher von Bitdefender haben MiniDuke und seine Funktionen genau dokumentiert.
Malware-Forscher von Bitdefender haben MiniDuke und seine Funktionen genau dokumentiert. (Bild: Bitdefender)

Malware-Spezialisten von Bitdefender haben den Backdoor-Trojaner MiniDuke analysiert und ein detailliertes Forschungspapier online gestellt. Dieses beleuchtet unter anderem die Bedeutung von Twitter im Verbreitungsprozess und die Standorte der Kontroll- und Datenserver.

Gut eineinhalb Jahre lang konnte MiniDuke unbemerkt sein Unwesen treiben, bevor die Antivirus-Unternehmen dem Trojaner auf die Schliche kamen. Nun hat Bitdefender unter dem Titel „A Closer View at MiniDuke“ einen detaillierten Forschungsbericht über MiniDuke veröffentlicht.

Im ersten Schritt widmeten sich die drei Sicherheitsforscher dem Aufbau des Trojaners. Da wäre zunächst einmal ein PDF-Dokument, das einen Exploit-Code für den Adobe-Prozess und einen Dropper beinhaltet. Dieser installiert die Hauptkomponente von MiniDuke (DLL-Datei) und umfasst zusätzlich eine saubere Version des PDF-Dokuments, damit der Anwender von der Infektion nichts mitbekommt.

Sobald MiniDuke erfolgreich installiert wurde, stellt der Trojaner zunächst einmal sicher, dass er nur auf diesem einen System lauffähig ist. Hierfür erstellt er eine Kopie seiner selbst und versieht diese mit einem digitalen Wasserzeichen. Der Datenbereich der entstandenen Datei, in dem sich die Twitter-Links befinden, ist zu diesem Zeitpunkt bereits verschlüsselt und wird weiter modifiziert.

Auf diese Weise entsteht eine individuelle MiniDuke-Version mit einer einzigartigen Prüfsumme, um Antivirus-Mechanismen wie die Datei-Reputation und Fingerprinting zu erschweren. Die DLL-Datei selbst wird im Ordner „Application Data“ der öffentlichen Benutzergruppe hinterlegt. Ein Autostart-Eintrag sorgt dafür, dass die Datei bei jedem Boot-Vorgang automatisch über den Windows-Prozess rundll32.exe gestartet wird.

Twitter als Adressbuch

Nun kann der Trojaner mit der eigentlichen Arbeit beginnen. Er dechiffriert den Datenbereich und stellt über die enthaltenen Links eine Verbindung zu speziell hierfür angelegten Twitter-Benutzerkonten her. Dort werden wiederum die URLs zu den Command-and-Control-Servern (C&C-Servern) gepostet.

Damit MiniDuke dabei möglichst unauffällig agiert, bedienen sich die Malware-Autoren in den neueren Versionen zweier Tricks: Der Datentraffic wird möglichst klein gehalten, indem MiniDuke auf die mobile Twitter-Version zugreift. Darüber hinaus werden die Verbindungen seit 2012 via HTTPS aufgebaut. Sollte Twitter einmal nicht erreichbar sein, kann der Trojaner alternativ eine Google-Suche starten.

Bei einer erfolgreichen Verbindung zu einem C&C-Server erhält MiniDuke neue Updates und Schadcode-Funktionen (Payloads) in Form manipulierter GIF-Bilder. Ein solcher Payload ist beispielsweise eine Backdoor, die es den Angreifern erlaubt, diverse Befehle abzusetzen. So lassen sich beispielsweise Dateien löschen und kopieren oder auch Prozesse ausspionieren und gezielt beenden.

Bitdefender konnte zwei Hauptserver lokalisieren, die für die Angriffe genutzt werden. Der eine davon steht offenbar in den USA, der andere in der Türkei. Bitdefender konnte auch die aufgeschalteten Domains und die dazugehörigen Inhaber identifizieren. Detailliertere Informationen erhalten Interessierte direkt im PDF „A Closer Look at MiniDuke“.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 39000550 / Malware)