Abo
  • Services:
Anzeige
Rocket Kitty ist eine Spionagekampagne, die jetzt analysiert wurde.
Rocket Kitty ist eine Spionagekampagne, die jetzt analysiert wurde. (Bild: Bernard Landgraf, CC By-2.0)

Rocket Kitten: Die Geschichte einer Malware-Analyse

Rocket Kitty ist eine Spionagekampagne, die jetzt analysiert wurde.
Rocket Kitty ist eine Spionagekampagne, die jetzt analysiert wurde. (Bild: Bernard Landgraf, CC By-2.0)

Mit der Analyse von Malware für eine großflächige Spearphising-Attacke konnten Datenexperten die Angreifer enttarnen. In detektivischer Kleinarbeit haben sie dabei ausgefeilte Komponenten aufgedeckt und ein Land hinter dem Angriff ausgemacht.

Anzeige

Wer steckt hinter Malware-Angriffen? Diese Frage beschäftigt IT-Sicherheitsexperten, insbesondere dann, wenn sie Regierungen dahinter vermuten. Wie schwierig eine eindeutige Schuldzuweisung ist, zeigt auch der aktuelle Hack auf die IT-Infrastruktur von Sony Pictures. Obwohl die US-Bundespolizei eindeutig Nordkorea als Urheber nennt, bleiben Zweifel. Zwei Datenexperten konnten in einem anderen Angriff jedoch einen Schuldigen ausmachen, auch weil sich dieser ziemlich ungeschickt anstellte. Ihre Geschichte erzählten sie auf dem 31C3.

Es begann mit einem Anruf im April 2014. Unbekannte hatten mit einer Spearphishing-Attacke versucht, einer zivilen Organisation Malware unterzujubeln. Deren Büros befinden sich direkt neben einem israelischen Luft- und Raumfahrtunternehmen. Die Datenexperten Gadi Evron und Tillmann Werner wollten zunächst wissen, ob es sich um einen großflächigen Cyber-Angriff handelte, einen sogenannten Advanced Persistent Threat (APT).

Angriff per Excel-Makro

Sicher sei das zunächst nicht gewesen, sagten die IT-Sicherheitsexperten. Denn die Spearphishing-Attacke erfolgte über eine präparierte Excel-Tabelle. Die Malware war dort als Makro eingebettet. Nutzer hätten also zunächst den Anhang der E-Mail öffnen und anschließend auch das Makro per Mausklick starten müssen, damit die Malware installiert wird. Solche Angriffe waren vor zehn Jahren die Regel, als die Standardeinstellungen Makros noch automatisch starteten. Heutzutage gelten sie als veraltet. Allerdings nehmen Antivirenhersteller veraltete Malware oftmals aus ihren Signaturdatenbanken. Inzwischen steigt die Zahl der Angriffe mit fast vergessenen Trojaner wieder.

Die Angreifer hätten die E-Mail teilweise mehrfach geschickt, etwa mit dem Zusatz: "Entschuldige, ich habe den Anhang in der letzten E-Mail vergessen." Mit solchen wiederholten E-Mails steigt die Wahrscheinlichkeit, dass ein Opfer den Anhang doch irgendwann öffnet.

Offizielle Dokumente als Köder

Der Köder war eine Excel-Tabelle und enthielt eine Kontaktliste hochrangiger Militärmitarbeiter aus aller Welt mit teils persönlichen Daten. Der erste Eintrag war der eines ägyptischen Armeeangehörigen, was in Israel durchaus interessant sein dürfte. Die Liste trug den Briefkopf eines österreichischen Ministeriums und war auf Deutsch verfasst. Um weitere Einträge der Liste einzusehen, sollte das Opfer eine weitere Tabelle öffnen. Erst dann würde sich die eigentliche Malware installieren. Dieser Köder sei ein erster Hinweis auf einen staatlich gelenkten Angriff gewesen, sagten die beiden Datenexperten.

In der Excel-Tabelle entdeckten die Datenexperten dessen Ersteller, der mit dem Namen Woll3n.H4t eingetragen war. Auch das Erstellungsdatum der Tabelle konnten sie auslesen. Mit diesen Informationen forschten die IT-Sicherheitsexperten zunächst, ob bereits andere Phishing-Angriffe mit dem Namen bekannt waren.

Malware aus Argentinien?

Die Datenexperten analysierten den sogenannten Payload, der durch das eingebettete Makro aufgerufen wird. Es handelte sich um eine PE-Binärdatei, die die Experten mit dem Disassembler Idapro analysierten. Zunächst entdeckten sie einen Pfad für Debug-Dateien. Außerdem fiel ihnen auf, dass in dem Debug-Code die Länderkennung von Argentinien eingebettet war. Das verwirrte die Experten zunächst, denn ein Angriff aus Argentinien auf Israel konnten sie sich nicht vorstellen.

Der Code der Malware sei von hoher Qualität, sagten die Experten. Es sei Position-independent Code, er kann also unabhängig von der Position im Speicher ausgeführt werden. Konstanten werden nicht direkt, sondern über Lookup-Tables aufgerufen, etwa Netzwerk-Sockets. Dadurch lässt sich der Code leichter auf verschiedene Plattformen und Betriebssysteme portieren. Ungewöhnlich sei auch, dass das Hashing für die Sitzungsverwaltung mit Blowfish realisiert wird. Auch die APIs werden durch Wrapper bereitgestellt. Und es gab einen Proxy für den Aufruf von generischen APIs.

Malware mit geklautem Programm 

eye home zur Startseite
Lala Satalin... 30. Dez 2014

Ich ziehe die Burma oder Maine-Coon vor. :D

Gamma Ray Burst 29. Dez 2014

Ja am Ende, eine absichtlich falsche Faehrte die am Ende die richtige ist, klassischer...

Gamma Ray Burst 29. Dez 2014

Nach Wikipedia wurde die Firma 1996 in Buenos Aires gegruendet. Da würde ich glatt...

Kleba 29. Dez 2014

Seite 1, zweiter Absatz: "Die Datenexperten Gadi Evron und Tillmann Werner wollten...

Chikken 28. Dez 2014

Der Vortrag ist inzwischen auch auf YouTube verfügbar: http://youtu.be/WIhKovlHDJ0 Grüße...



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart
  2. T-Systems International GmbH, Leinfelden-Echterdingen
  3. T-Systems International GmbH, Bonn
  4. T-Systems International GmbH, Bonn, Mülheim an der Ruhr, Aachen, Darmstadt, Münster


Anzeige
Blu-ray-Angebote
  1. 5,49€
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. 3 3D-Blu-rays für 30 EUR, Box-Sets u. Serien)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Künstliche Intelligenz

    Softbank und Honda wollen sprechendes Auto bauen

  2. Alternatives Android

    Cyanogen soll zahlreiche Mitarbeiter entlassen

  3. Update

    Onedrive erstellt automatisierte Alben und erkennt Pokémon

  4. Die Woche im Video

    Ausgesperrt, ausprobiert, ausgetüftelt

  5. 100 MBit/s

    Zusagen der Bundesnetzagentur drücken Preis für Vectoring

  6. Insolvenz

    Unister Holding mit 39 Millionen Euro verschuldet

  7. Radeons RX 480

    Die Designs von AMDs Partnern takten höher - und konstanter

  8. Koelnmesse

    Tagestickets für Gamescom ausverkauft

  9. Kluge Uhren

    Weltweiter Smartwatch-Markt bricht um ein Drittel ein

  10. Linux

    Nvidia ist bereit für einheitliche Wayland-Unterstützung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nintendo auf dem Smartphone: Pokémon Go Out!
Nintendo auf dem Smartphone
Pokémon Go Out!
  1. Pokémon Go Monsterjagd im Heimatland
  2. Pokémon Go Verbraucherschützer reichen Abmahnung gegen Niantic ein
  3. Wearable Pokémon Go Plus grundsätzlich vorbestellbar

Miniscooter: E-Floater, der Elektroroller für die letzte Meile
Miniscooter
E-Floater, der Elektroroller für die letzte Meile
  1. Relativity Space Raketenbau ohne Menschen
  2. Surround-Video Nico360 filmt 360-Grad-Videos zwischen Fingerspitzen
  3. Besuch bei Senic Das Kreuzberger Shenzhen

Pokémon Go im Test: Hype in der Großstadt, Flaute auf dem Land
Pokémon Go im Test
Hype in der Großstadt, Flaute auf dem Land
  1. T-Mobile US Telekom-Tochter bietet freien Datenverkehr für Pokémon Go an
  2. Pokémon Go und Nutzerrechte Gotta catch 'em all!
  3. Nintendo und Niantic Pokémon Go in den USA erhältlich

  1. Re: Womit wir wieder bei Dezentralisierung wären.

    Moe479 | 08:22

  2. Re: Gab es dafür jemals einen Markt?

    wire-less | 08:10

  3. Gerade getestet...

    ve2000 | 07:20

  4. Re: Des Menschen Logik

    Analysator | 06:20

  5. Re: Riecht irgendwie faul...

    ve2000 | 03:18


  1. 15:17

  2. 14:19

  3. 13:08

  4. 09:01

  5. 18:26

  6. 18:00

  7. 17:00

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel