Turla/Snake Outlook Backdoor

Outlook Backdoor durch PDF-Anhänge in Mails steuerbar

| Redakteur: Peter Schmitz

ESET-Forscher analysierten eine Outlook Backdoor der APT-Gruppe Turla/Snake, die auch beim Angriff auf deutsche Behörden eingesetzt wurde.
ESET-Forscher analysierten eine Outlook Backdoor der APT-Gruppe Turla/Snake, die auch beim Angriff auf deutsche Behörden eingesetzt wurde. (Bild: Schmitz)

ESET-Forscher haben eine Backdoor der Advanced Persistent Threat (APT)-Gruppe Turla – auch bekannt als Snake oder Uroboros – untersucht. Damit wurde Behörden-Kommuni­kation in mindestens drei europäischen Ländern ausspioniert. Die Cyberkriminellen platzierten die Hintertür schon vor geraumer Zeit. Die neueren Versionen dieser Malware haben Outlook ins Visier genommen.

Unter den Opfern der Turla-Backdoor befindet sich auch das Deutsche Auswärtige Amt. Dort gelang es Turla/Snake, die Hintertür gleich auf mehreren Computern einzuschleusen. Fast über den gesamten Zeitraum von 2017 gelang es ihnen, sensible Daten zu stehlen. Die Turla/Snake-Operatoren kompromittierten zunächst eine Lernplattform der Hochschule des Bundes für öffentliche Verwaltung. Diese benutzten sie als Sprungbrett, um im März 2017 in das Netzwerk des Auswärtigen Amtes zu gelangen. Erst als sich das Jahr 2017 dem Ende entgegen neigte, wurde die Sicherheitslücke gefunden. Die breite Öffentlichkeit erfuhr davon im März 2018.

Die Untersuchungen der ESET-Forscher ergaben, dass es neben dem Deutschen Auswärtigen Amt noch zwei weitere EU-Staaten betroffen sind. Die Turla/Snake-Kriminellen setzten die gleiche Backdoor ein, um versteckte Zugangskanäle zu den Ämtern zu öffnen. Außerdem geriet auch ein Netzwerk eines großen Rüstungskonzerns ins Visier. Diese drei erweitern die Liste der Opfer der Turla/Snake APT-Gruppe, die zuvor schon Regierungen, Staatsbeamte, Diplomaten und Militärbehörden seit mindestens 2008 attackierte.

Das Turla/Snake Outlook Backdoor unter der Lupe

Die Hintertür hat seit der Erschaffung bereits eine lange Reise hinter sich – sie reicht zurück bis ins Jahr 2009. Über die Jahre fügten die Turla/Snake-Entwickler dem Tool immer mehr Funktionen hinzu und ein selten gesehenes Maß an Stealth-Technik und Resilienz. Die neuentdeckte Version vom April 2018 besitzt die Fähigkeit, schädliche Windows PowerShell Scripts direkt im Computer-Speicher auszuführen. Dieser Taktik bedienten sich immer mehr Cyberkriminelle in den letzten Jahren.

Die Entwicklung der Turla/Snake Backdoor im Zeitverlauf.
Die Entwicklung der Turla/Snake Backdoor im Zeitverlauf. (Bild: Eset)

Die neueren Backdoor-Versionen haben Microsoft Outlook ins Visier genommen. Ältere Versionen kompromittierten auch den The Bat! E-Mail-Client, welcher vorwiegend in den osteuropäischen Staaten eingesetzt wird. Die Turla/Snake-Gang nutzte keine Schwachstellen in PDF Readern oder in Microsoft Outlook als Angriffsvektor aus. Üblicherweise untergrub die Backdoor Outlooks Schnittstelle Messaging Application Programming Interface (MAPI) um Zugang zu den Postfächern der Opfer zu erhalten.

Die Cyberkriminellen verzichten auf eine bei Botnetzen übliche, konventionelle Command-and-Control (C&C) Infrastruktur via HTTP(S). Stattdessen kommunizieren sie mit dem Zielrechner mit Hilfe von E-Mails – genauer gesagt durch speziell entwickelte PDF-Dateien im E-Mail-Anhang. Damit kann die kompromittierte Maschine veranlasst werden, eine Reihe von Kommandos auszuführen. Für Turla/Snake dürften dabei das Abfangen von Daten, das downloaden externer Daten und das Ausführen zusätzlicher Programme und Funktionen von entscheidender Bedeutung sein. Das Abführen von Daten geschieht auch über PDF-Files.

Die Backdoor kommt in Form eines Dynamic Link Library (DLL) Moduls und kann an einer beliebigen Stelle der Festplatte abgelegt werden. Es installiert sich durch das Windows Utility RegSvr32.exe und erlangt seine Persistenz durch einen manipulativen Eingriff in die Windows Registry. In unserem Fall hält sich Turla/Snake an die bewährte Methode, die den Namen „COM Object Hijacking” trägt. Damit gewährleisten die Cyberkriminellen, dass bei jedem Start von Microsoft Outlook auch die Backdoor startet.

Die Funktionsweise der Turla Outlook Backdoor

Wann immer ein Opfer eine E-Mail-Nachricht empfängt oder verschickt, erzeugt die Malware eine Log-Datei mit Meta-Daten über die Nachricht. Darin befinden sich Informationen über den Absender, den Empfänger, die Betreffzeile, Namen von Anhängen und mehr. Regelmäßig werden die Logs gebündelt in einem speziellen PDF-Dokument gebündelt und zu den Turla/Snake Operatoren via E-Mail geschickt.

Die Backdoor überprüft jede eingehende E-Mail auf einen Anhang. Sie untersucht, ob sich in möglicherweise angehangenen PDF-Dokumenten Kommandobefehle befinden. Die Hintertür kann theoretisch von jeder E-Mail-Adresse verwendet werden. Der Angreifer muss „nur“ die Bedeutung der Kommandos kennen und sie in ein PDF-Dokument umwandeln. Das bedeutet, dass die Turla Operatoren auch dann die Kontrolle über die Hintertür behalten, wenn eine ihrer einprogrammierten – aber aktualisierbaren – E-Mail-Adressen geblockt werden sollte. Damit ist die Widerstandsfähigkeit fast auf einer Stufe mit der eines Rootkits, das den eingehenden Netzwerk-Traffic scannt und auf Befehle der Operatoren wartet.

Ausführen von Kommando-Befehlen aus einem PDF-Dokument.
Ausführen von Kommando-Befehlen aus einem PDF-Dokument. (Bild: Eset)

Auch wenn die ESET-Forscher bisher noch kein Sample eines PDF-Dokuments mit Befehlen für die Backdoor gesichtet haben, ist es mit dem Wissen darüber, gelungen, selbst ein PDF-Dokument zu erzeugen, das die Backdoor interpretieren und ausführen kann (siehe Bild links).

Die Malware geht im Allgemeinen sehr weit, um sich auf kompromittierten Rechnern quasi unsichtbar zu machen. Beispielsweise ist es zwar für ein paar Sekunden möglich, einen kurzen Blick auf die ungelesene E-Mail zu erhaschen. Allerdings werden keine von den Angreifern empfangenen Mails jemals im Posteingang auftauchen. In ähnlicher Weise blockieren die Turla/Snake Operatoren auch die Benachrichtigung der eingegangenen bösartigen E-Mail-Nachricht.

Fazit über die Turla Outlook Backdoor

Ein weiteres Mal können die ESET-Forscher den Einfallsreichtum der Turla-Gang dokumentieren – wie sie ihre Ziele erreichen und trotzdem unentdeckt bleiben wollen. Wie schon die Analysen über die Turla-Backdoor Gazer und die Kampagnen gegen osteuropäische Diplomaten zeigten, verfolgt die Gruppe weiterhin den Einsatz von ausgereiften Methoden, um Ziele auszuspionieren und Malware-Persistenz auf ausgewählten Computern zu erreichen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45470063 / Malware)