Abo
  • Services:
Anzeige
Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module.
Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module. (Bild: Symantec)

Spionage: 49 neue Module für die Schnüffelsoftware Regin entdeckt

Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module.
Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module. (Bild: Symantec)

Die Schnüffelsoftware Regin bringt nicht nur Keylogger oder Passwort-Sniffer mit: Mit zahlreichen weiteren Modulen lässt sich nicht nur spionieren, sondern auch eine komplexe Infrastruktur innerhalb eines angegriffenen IT-Systems aufbauen.

Anzeige

Die vermutlich der NSA und dem GCHQ zuzuordnende Spionagesoftware Regin ist deutlich komplexer als gedacht: Der Hersteller von Anti-Viren-Software Symantec hat nach eigenen Angaben weitere 49 Module identifiziert, die gezielt eingesetzt werden können. Die Module können nicht nur einzelne Rechner ausspionieren, sondern ein Peer-to-Peer-Netzwerk in infiltrierten IT-Systemen aufbauen. Symantec vermutet, dass es weitere bislang unentdeckte Module gibt - und dass die Malware trotz ihrer Entdeckung vor fast einem Jahr weiterhin verwendet wird.

Bislang haben die IT-Sicherheitsforscher bei Symantec die erste Stufe von Regin - den sogenannten Dropper - nicht gefunden. Daher vermuten sie, dass eine initiale Infektion durch Code erfolgt, der beispielsweise ausschließlich im Speicher ausgeführt und dann gelöscht wird. Er löst eine mehrstufige Infektion aus. Das erste Modul besteht aus einem Treiber, der einzigen sichtbaren Datei in dem gesamten Malware-Framework. Auch er dient jedoch nur zum Laden eines weiteren Moduls, das auf dem System abgelegt wird. Bislang entdeckte Symantec diesen Treiber unter den Namen Usbclass.sys oder Adpu160.sys.

Dateisysteme und unbeschriebene Festplattensektoren als Verstecke

Diese zweite Stufe besteht aus verschlüsseltem Binärcode, der entweder in der Registry, in den Alternativen Datenströmen (ADS) des Dateisystems NTFS oder in den unbeschriebenen Sektoren einer Festplatte untergebracht werden. Sie dient nicht nur dazu, das erste Modul zu verstecken, sondern auch, um das nächste Modul nachzuladen.

Das dritte Modul wiederum bietet rudimentäre Netzwerkfunktionen, etwa eine Interprozesskommunikation. Zusätzlich enthält es Kompressions- sowie Ver- und Entschlüsselungsroutinen und kann mit den verschlüsselten Containern umgehen, in dem übergeordnete Module untergebracht sind. Gleichzeitig dient es als zentrale Instanz für die weiteren Module und verwaltet beispielsweise die Funktionen, die Regin auf dem System übernehmen soll. Dazu verschafft sich dieses Modul Zugriff auf die Prozesstabelle. Auch dieses Modul wird als Binärcode entweder in der Registry oder im ADS untergebracht. Und es lädt weitere Module in einer nächsten Stufe.

Schnüffeln in fünf Stufen

In Stufe vier werden mehrere Module geladen. Eines davon orchestriert die Funktionen von Regin auf Benutzerebene. Weitere dienen etwa dem Transport über TCP (Transmission Control Protokoll) und UDP (User Datagram Protokoll) oder als Peer-to-Peer-Knoten. Außerdem werden in Stufe vier Protokolle erstellt und es wird für den automatischen Start der Malware gesorgt. Sämtliche Module werden in einem verschlüsselten Container untergebracht und sind auch über ein eigenes virtuelles Dateisystem zugänglich.

Erst in Stufe fünf wird der eigentliche Kern der Malware geladen, der die Basisfunktionen für das Ausspionieren des Systems liefert. Dazu gehören die bereits bekannten Keylogger, Netzwerk- und Passwort-Sniffer sowie das Abgreifen von GSM-Adminstrationsdaten.

Spezialisierte Module

Je nach Einsatz gibt es weitere Module, die Regin nachladen kann. Einige greifen die Zugangsdaten zu Windows und Outlook ab, etwa in dem sie die Windows-SAM-Datei (Security Accounts Manager) parsen oder dafür speziell das Netzwerk abhören. Generell gibt es mehrere Module, die den Netzwerkverkehr analysieren, etwa einen Paket-Sniffer oder Module, die den SSL-Verkehr analysieren, DNS-Zugriffe protokollieren oder nach Cookies suchen. Diese Liste mit bislang 49 Modulen hat Symantec in einer aktualisierten Fassung seiner Analyse veröffentlicht.

Eigenes VPN 

eye home zur Startseite
Proctrap 02. Sep 2015

Die Überschrift des Artikels kommt fast rüber wie eine Ostereiersuche ;) So nach dem...

Prinzeumel 01. Sep 2015

Ich habe ausschließlich auf den Kommentar von melkor geantwortet. Das das keinen...

Freiheit 01. Sep 2015

Also wenn ich genau das verhindern wollen würde, würde ich versuchen, die abfließenden...



Anzeige

Stellenmarkt
  1. medavis GmbH, Karlsruhe
  2. Allplan Development Germany GmbH, München
  3. Groz-Beckert KG, Albstadt
  4. Janitza electronics GmbH, Lahnau


Anzeige
Hardware-Angebote
  1. beim Kauf einer GeForce GTX 1070 und GTX 108
  2. beim Kauf ausgewählter Gigabyte-Mainboards

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Apollo Lake

    Intel bringt neue NUC-Mini-PCs mit Atom-Antrieb

  2. Ericsson und Intel

    AT&T startet 5G-Test mit Kunden

  3. Samsung

    Akku im Galaxy Note 7 hatte vermutlich zu wenig Platz

  4. Datenbank

    Youtube und Facebook bekämpfen Terrorpropaganda

  5. Gigaset Mobile Dock im Test

    Das Smartphone wird DECT-fähig

  6. Fire TV

    Amazon bringt Downloader-App wieder zurück

  7. Wechselnde Standortmarkierung

    GPS-Probleme beim iPhone 7

  8. Paketlieferungen

    Schweizer Post fliegt ab 2017 mit Drohnen

  9. Apple

    Akkuprobleme beim neuen Macbook Pro

  10. Red Star OS

    Sicherheitslücke in Nordkoreas Staats-Linux



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Robot Operating System: Was Bratwurst-Bot und autonome Autos gemeinsam haben
Robot Operating System
Was Bratwurst-Bot und autonome Autos gemeinsam haben
  1. Roboterarm Dobot M1 - der Industrieroboter für daheim
  2. Roboter Laundroid faltet die Wäsche
  3. Fahrbare Roboter Japanische Firmen arbeiten an Transformers

Super Mario Bros. (1985): Fahrt ab auf den Bruder!
Super Mario Bros. (1985)
Fahrt ab auf den Bruder!
  1. Quake (1996) Urknall für Mouselook, Mods und moderne 3D-Grafik
  2. NES Classic Mini im Vergleichstest Technischer K.o.-Sieg für die Original-Hardware

HPE: Was The Machine ist und was nicht
HPE
Was The Machine ist und was nicht
  1. IaaS und PaaS Suse bekommt Cloudtechnik von HPE und wird Lieblings-Linux
  2. Memory-Driven Computing HPE zeigt Prototyp von The Machine
  3. Micro Focus HP Enterprise verkauft Software für 2,5 Milliarden Dollar

  1. Re: Ihr macht euch Gefanken über Kosten?!?

    blubberer | 10:57

  2. Re: War zu erwarten...

    Mithrandir | 10:57

  3. Re: Manchmal fühle ich mich auch Blind,

    DebugErr | 10:51

  4. Re: Vermehrt kleine Fehler

    Azt4c_ | 10:51

  5. Virtuix VR Boom

    Nikolai | 10:47


  1. 10:47

  2. 10:20

  3. 10:02

  4. 09:49

  5. 09:10

  6. 08:29

  7. 07:49

  8. 07:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel