SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

MalwareUnit 42, die Anti-Malware-Abteilung von Palo Alto Networks, hat eine Evolution der Infy-Malware, die den Namen „Foudre“ (Französisch für „Blitz“)  trägt entdeckt.

Die dahintersteckenden Kriminellen scheinen vom zwischenzeitlichen Lahmlegen ihrer Command and Control (C2)-Infrastruktur gelernt zu haben. So verfügt Foudre über neue Anti-Takeover-Techniken, um zu vermeiden, dass die Malware effizient gestoppt werden kann.

Diese neue Version von Infy verwendet den Begriff „Foudre“ in Zusammenhang mit seiner Keylogging-Funktion. Die Logik und Struktur von Foudre ist der ursprünglichen Infy-Malware sehr ähnlich. Der Großteil des Codes entspricht der ursprünglichen Delphi-Programmierung, mit einer zusätzlichen Kryptobibliothek und einem neuen De-Obfuscation-Algorithmus.

Foudre ist, wie sein Vorgänger Infy, ein „Information Stealer“. Mit dem integrierten Keylogger erfasst die Malware Inhalte aus der Zwischenablage in einem Zehn-Sekunden-Zyklus. Foudre sammelt zudem Systeminformationen einschließlich Prozessliste, installierten Antivirenprogrammen, Cookies und anderen Browserdaten. Die Malware prüft, ob Internetkonnektivität vorhanden ist – durch das Abfragen einer „HTTP 200“-Antwort nach einer Verbindung zu google.com. Sie kann nach Updates suchen und diese selbst herunterladen.

Diese „verbesserte“ Infy-Malware bestimmt den C2-Domain-Namen mittels eines Domain-Generierungs-Algorithmus (DGA), der dann bestätigt, dass die C2-Domain authentisch ist. Der C2 gibt eine Signaturdatei zurück, die die Malware entschlüsselt und mit einer lokal gespeicherten Validierungsdatei vergleicht. Sobald die Gültigkeit des C2 bestätigt ist, werden gestohlene Daten mit einem einfachen HTTP-POST exfiltriert.

Infektionsvektor

Der anfängliche Infektionsvektor ist eine klassische Speer-Phishing-E-Mail, einschließlich einer selbstausführenden Anlage. Wenn diese Option aktiviert ist, installiert diese ausführbare Datei einen ebenfalls ausführbaren Loader, eine Malware-DLL sowie eine Decoy-Readme-Datei, was sehr typisch ist für Infy.

Unklare Funktion von eingebetteten Textauszügen zu Beate Zschäpe

Wenig Klarheit gibt es aktuell über einen einbetteten Textauszug, der sich auf die NSU-Verdächtige Beate Zschäpe bezieht. So findet man im Code der Foudre-Malware den folgenden Satz: "Sie soll Auskunft über Zschäpes Verhalten in der Untersuchungshaft geben - daran dürften auch die Opferanwälte Interesse haben." Weitere Embedded-Text-Schnipsel auf Deutsch, Niederländisch und Englisch wurden in anderen Infy-Samples gefunden, wobei unklar ist, was die Funktion dieses eingebetteten Textes ist.

Klar hingegen ist, dass die Akteure von dem durch Palo Alto Networks initiierten Takedown der früheren C2-Infrastruktur gelernt haben. So haben sie in die aktuelle Version zwei neue C2-Mechanismen implementiert, um die feindliche C2-Übernahme zu vermeiden.

Schlussfolgerung

In ihrem "Prince of Persia"-Blog haben die Forscher von Palo Alto Netzworks festgestellt, dass diese Kampagne seit mindestens einem Jahrzehnt aktiv war. Nun ist Infy zurückgekehrt, mit der grundsätzlich gleichen Malware, die auf die gleichen Opfer abzielt.

Es handelt sich dabei offensichtlich um gezielte E-Spionage vom Iran aus, die gegen Regierungen und Unternehmen aus mehreren Ländern sowie die eigenen Bürger gerichtet ist. Die Angriffsziele liegen zu rund zwei Dritteln im Iran, gefolgt von den USA und dem Irak mit großen Anteilen, und zu jeweils kleineren Anteilen Großbritannien, Schweden, Seychellen, Deutschland, Kanada und Aserbeidschan.

Die Akteure haben verstanden, dass sie eine robustere C2-Infrastruktur benötigen, um eine Infiltration und einen Takedown zu verhindern. Ein DGA (wie zuvor erwähnt) fügt eine gewisse Widerstandsfähigkeit hinzu, macht „die Festung aber nicht uneinnehmbar“. Allerdings ist die digitale Signierung ein effektiver C2-Verteidiungsmechanismus. Ohne Zugriff auf die privaten Schlüssel ist es nicht möglich, einen C2 zu übernehmen, auch wenn eine DGA-Domain von einem Forscher registriert wird. Es ist möglich, dass die privaten Schlüssel lokal auf dem C2-Server vorgehalten werden, aber ohne Zugang zum C2 kann diese potenzielle Schwachstellen in der gegnerischen Infrastruktur nicht bestätigt werden. Prince of Persia bleibt daher vorläufig ein hartnäckiger Gegner.

Weitere Informationen finden Sie hier.
 

GRID LIST
DNS

DNS wird zur ersten Verteidigungslinie gegen Cyber-Attacken

F-Secure und die Global Cyber Alliance bekämpfen künftig gemeinsam bösartige URLs mit…
Fisch aus Wasser

Gezielte Cyberangriffe von „MuddyWater“

Unit 42, das Forschungsteam von Palo Alto Networks, hat Cyberangriffe beobachtet, die sie…
Malware

Was Sie jetzt über Malware wissen müssen

Neue Viren, Ransomware und Co erfordern aktuelle Anti-Malware-Programme: Häufig ist die…
DDoS

Mehr komplexe DDoS-Attacken: Gaming-Industrie im Visier

In verschiedenen Ländern sind Ressourcen ins Visier der Angreifer geraten, ebenso wie wir…
Thomas Ehrlich

„Ordinypt“ entpuppt sich als gefährlicher Wiper

Die vermeintliche Ransomware „Ordinypt“ erweist sich als gefährlicher Wiper. Ein…
IT-Sicherheit

BSI Lagebericht: IT-Sicherheit in Deutschland 2017

Dank dem BSI und vielen anderen Security-Forschern liegen uns heute wesentlich mehr…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet