Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

DSAG-Technologietage 2018
20.02.18 - 21.02.18
In Stuttgart

Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München

MalwareUnit 42, die Anti-Malware-Abteilung von Palo Alto Networks, hat eine Evolution der Infy-Malware, die den Namen „Foudre“ (Französisch für „Blitz“)  trägt entdeckt.

Die dahintersteckenden Kriminellen scheinen vom zwischenzeitlichen Lahmlegen ihrer Command and Control (C2)-Infrastruktur gelernt zu haben. So verfügt Foudre über neue Anti-Takeover-Techniken, um zu vermeiden, dass die Malware effizient gestoppt werden kann.

Diese neue Version von Infy verwendet den Begriff „Foudre“ in Zusammenhang mit seiner Keylogging-Funktion. Die Logik und Struktur von Foudre ist der ursprünglichen Infy-Malware sehr ähnlich. Der Großteil des Codes entspricht der ursprünglichen Delphi-Programmierung, mit einer zusätzlichen Kryptobibliothek und einem neuen De-Obfuscation-Algorithmus.

Foudre ist, wie sein Vorgänger Infy, ein „Information Stealer“. Mit dem integrierten Keylogger erfasst die Malware Inhalte aus der Zwischenablage in einem Zehn-Sekunden-Zyklus. Foudre sammelt zudem Systeminformationen einschließlich Prozessliste, installierten Antivirenprogrammen, Cookies und anderen Browserdaten. Die Malware prüft, ob Internetkonnektivität vorhanden ist – durch das Abfragen einer „HTTP 200“-Antwort nach einer Verbindung zu google.com. Sie kann nach Updates suchen und diese selbst herunterladen.

Diese „verbesserte“ Infy-Malware bestimmt den C2-Domain-Namen mittels eines Domain-Generierungs-Algorithmus (DGA), der dann bestätigt, dass die C2-Domain authentisch ist. Der C2 gibt eine Signaturdatei zurück, die die Malware entschlüsselt und mit einer lokal gespeicherten Validierungsdatei vergleicht. Sobald die Gültigkeit des C2 bestätigt ist, werden gestohlene Daten mit einem einfachen HTTP-POST exfiltriert.

Infektionsvektor

Der anfängliche Infektionsvektor ist eine klassische Speer-Phishing-E-Mail, einschließlich einer selbstausführenden Anlage. Wenn diese Option aktiviert ist, installiert diese ausführbare Datei einen ebenfalls ausführbaren Loader, eine Malware-DLL sowie eine Decoy-Readme-Datei, was sehr typisch ist für Infy.

Unklare Funktion von eingebetteten Textauszügen zu Beate Zschäpe

Wenig Klarheit gibt es aktuell über einen einbetteten Textauszug, der sich auf die NSU-Verdächtige Beate Zschäpe bezieht. So findet man im Code der Foudre-Malware den folgenden Satz: "Sie soll Auskunft über Zschäpes Verhalten in der Untersuchungshaft geben - daran dürften auch die Opferanwälte Interesse haben." Weitere Embedded-Text-Schnipsel auf Deutsch, Niederländisch und Englisch wurden in anderen Infy-Samples gefunden, wobei unklar ist, was die Funktion dieses eingebetteten Textes ist.

Klar hingegen ist, dass die Akteure von dem durch Palo Alto Networks initiierten Takedown der früheren C2-Infrastruktur gelernt haben. So haben sie in die aktuelle Version zwei neue C2-Mechanismen implementiert, um die feindliche C2-Übernahme zu vermeiden.

Schlussfolgerung

In ihrem "Prince of Persia"-Blog haben die Forscher von Palo Alto Netzworks festgestellt, dass diese Kampagne seit mindestens einem Jahrzehnt aktiv war. Nun ist Infy zurückgekehrt, mit der grundsätzlich gleichen Malware, die auf die gleichen Opfer abzielt.

Es handelt sich dabei offensichtlich um gezielte E-Spionage vom Iran aus, die gegen Regierungen und Unternehmen aus mehreren Ländern sowie die eigenen Bürger gerichtet ist. Die Angriffsziele liegen zu rund zwei Dritteln im Iran, gefolgt von den USA und dem Irak mit großen Anteilen, und zu jeweils kleineren Anteilen Großbritannien, Schweden, Seychellen, Deutschland, Kanada und Aserbeidschan.

Die Akteure haben verstanden, dass sie eine robustere C2-Infrastruktur benötigen, um eine Infiltration und einen Takedown zu verhindern. Ein DGA (wie zuvor erwähnt) fügt eine gewisse Widerstandsfähigkeit hinzu, macht „die Festung aber nicht uneinnehmbar“. Allerdings ist die digitale Signierung ein effektiver C2-Verteidiungsmechanismus. Ohne Zugriff auf die privaten Schlüssel ist es nicht möglich, einen C2 zu übernehmen, auch wenn eine DGA-Domain von einem Forscher registriert wird. Es ist möglich, dass die privaten Schlüssel lokal auf dem C2-Server vorgehalten werden, aber ohne Zugang zum C2 kann diese potenzielle Schwachstellen in der gegnerischen Infrastruktur nicht bestätigt werden. Prince of Persia bleibt daher vorläufig ein hartnäckiger Gegner.

Weitere Informationen finden Sie hier.
 

GRID LIST
Tb W190 H80 Crop Int 9d740e38cf32ac54829d35b81051d48d

Hacker sollen vor Quantentechnologie kapitulieren

Netzwerke, an denen sich Hacker todsicher die Zähne ausbeißen, sind nach einer neuen…
Tb W190 H80 Crop Int 33e73b25261b4f94d72c7793df32609a

Android-Trojaner stiehlt vertrauliche Daten von WhatsApp und Co.

Doctor Web entdeckte im Dezember einen Android-Trojaner, der Nachrichten und Bilder…
Tb W190 H80 Crop Int 8534c86a60d191365cb50a48df651c55

Hackerangriff auf Behörde, um Kryptogeld zu gewinnen

Wie jetzt bekannt wurde, ist das Landesamt für Besoldung und Versorgung Baden-Württemberg…
Tb W190 H80 Crop Int 294d4a259098ca5503fcaff9c2313cc7

Gute IT-Security - Vorsätze für das neue Jahr

Das neue Jahr ist wenige Tage alt und trotzdem haben Cyberkriminelle bereits tausende…
Tb W190 H80 Crop Int 412b12439a8b3e2b4660f00a51585909

IT-Security im Finanzbereich – diese drei Themen bestimmen 2018

Ein turbulentes Jahr liegt hinter der IT-Finanzbranche. Hackerangriffe wurden…
Vogel fängt Wurm

Die Rückkehr des Wurms

Vectra erwartet vermehrt Angriffe mit Würmern, Datendiebstahl in der Cloud und einen…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security