SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

EuroCIS 2018
27.02.18 - 01.03.18
In Düsseldorf, Messe Halle 9 und 10

BIG DATA Marketing Day
27.02.18 - 27.02.18
In Wien

AUTOMATE IT 2018
01.03.18 - 01.03.18
In Hamburg, Schwanenwik 38

DIGITAL FUTUREcongress
01.03.18 - 01.03.18
In Frankfurt, Messe

MalwareDas Anti-Malware-Team von Palo Alto Networks, Unit 42, hat neue Samples der Malware Disttrack entdeckt, die kürzlich in einem großangelegten Cyberangriff verwendet wurden. Die Attacken ähneln den anfänglichen Shamoon-Angriffen im August 2012.

Diese hatten ein Energieunternehmen zum Ziel, das mit einer Malware namens Disttrack angegriffen wurde.

Disttrack ist ein Multifunktionstool, das Wurm-ähnliches Verhalten zeigt. Der Hauptzweck der Disttrack-Malware besteht darin, Dateien und Speicherpartitionen zu überschreiben, um Daten zu zerstören und das System unbrauchbar zu machen. Der Angriff vor vier Jahren führte dazu, dass 30.000 oder mehr Systeme beschädigt wurden. Um seinen Zerstörungseffekt zu maximieren, versucht das Disttrack-Tool, sich mittels gestohlener Administrator-Anmeldeinformationen auf andere Systeme im Netzwerk zu verbreiten, was darauf hindeutet, dass die Bedrohungsakteure vorherigen Zugriff auf das Netzwerk hatten oder erfolgreiches Phishing vor dem Angriff mit Disttrack durchführten.

Disttrack besteht aus drei verschiedenen Teilen: einer Dropper-, einer Kommunikations- und einer Wiper-Komponente. Die wichtigste ausführbare Datei von Disttrack ist der Dropper, der zusätzliche Tools aus eingebetteten Ressourcen extrahiert und koordiniert, wann sie gespeichert und ausgeführt werden sollen. Eingebettet in jedes Disttrack-Sample ist eine Komponente, die für die Kommunikation mit einem C2-Server dient, und eine separate Komponente für die Ausführung der Wiper-Funktionalität.

Diese Merkmale ähneln den Shamoon-Angriffen von 2012. Dabei kamen kompromittierte, aber legitime Anmeldeinformationen, die im Vorfeld der Angriffe gewonnen wurden, hart codiert in der Malware zum Einsatz, um deren Ausbreitung zu unterstützen. Disttrack hat auch die Fähigkeit, zusätzliche Anwendungen auf das System herunterzuladen und auszuführen, sowie ferngesteuert das Datum einzustellen, um das Löschen von Systemen zu starten.

Die Disttrack-Malware verbreitet sich auf andere Systeme automatisch mittels gestohlener Anmeldeinformationen. Das Sample, das die Forscher von Palo Alto Networks analysierten, enthielt die internen Domainnamen und Administrator-Anmeldeinformationen des Angriffsziels. Die internen Informationen sind offensichtlich vor der Aktivierung des Tools gestohlen worden, da es sich nicht um eine Public Domain handelt. Zudem waren die Anmeldeinformationen nicht schwach genug, dass sie durch Erraten, Brute-Force- oder Dictionary-Angriffe gewonnen werden konnten. 

www.paloaltonetworks.com
 

GRID LIST
Tb W190 H80 Crop Int 55506f221ab84cba05d05865a12ffc34

Sicherheit in der „Smart City“ – worauf es ankommt

Technologien verändern unseren Alltag, das zeigt ein kurzer Blick auf die Kommunikation:…
Tb W190 H80 Crop Int 30fc4f90cd196143425331ec53049b63

Cyberkriminalität: "Den Menschen in den Mittelpunkt stellen"

Gemeinsam gegen Cyberkriminelle: Das Land Nordrhein-Westfalen intensiviert die…
Tb W190 H80 Crop Int 06f6eb4c29171a4441de1ba66103d83b

Cryptomining-Kampagne mit Jenkins Server entdeckt

Check Point Software Technologies Ltd. (NASDAQ: CHKP), entdeckt riesige…
Cyber Attack

Wenn Angreifer Admin-Tools für Cyberattacken missbrauchen

Eine der schwierigsten Aufgaben bei der Suche nach versteckten Angreifern im Netzwerk…
Tb W190 H80 Crop Int 7c77460484978a4728239d15bea143e1

Malware über Zero-Day-Schwachstelle in Telegram

Die Sicherheitsexperten von Kaspersky Lab haben Angriffe aufgedeckt, die mittels einer…
Tb W190 H80 Crop Int 18b7ca49e8f858989fae8325fe356d18

PZChao: Spionage-Infrastruktur mit Cryptominer

Der Malware-Werkzeugkasten „PZChao“, verfügt über eine umfassende Infrastruktur zur…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security