Abo
  • IT-Karriere:

Vom Webserver in interne Netz

Von dem infizierten Webserver aus versuchen die Einbrecher weitere Rechner im Netzwerk zu kompromittieren. Bei Explosive handele es sich jedoch nicht um einen Wurm, der sich automatisch im Netzwerk verteile, betonte Shalyt. Die Angreifer suchten ihre Opfer vielmehr gezielt aus. Inzwischen gebe es auch eine Version der Malware, die speziell für die Weitergabe per USB-Stick erstellt worden sei. Insgesamt haben die Experten bei Check Point fünf verschiedene Versionen der Spionagesoftware gefunden, die ab 2012 immer weiter entwickelt wurde. Sie sei in dieser Zeit bereits mehrfach von verschiedener Antivirensoftware entdeckt worden, sagte Shaylat. Allerdings sei erst jetzt ein Zusammenhang zwischen den Versionen deutlich geworden.

Stellenmarkt
  1. Dataport, Bremen, Magdeburg, Rostock
  2. Haufe Group, Freiburg

Mit verschiedenen Tricks versucht die Spionagesoftware, ihre Aktivitäten zu tarnen. Während bei der ersten Version der Netzwerkverkehr zum C&C-Server noch unverschlüsselt war, wird in Version 2 und 3 der Spyware eine eigene, komplexe Kodierfunktion verwendet. Die IP-Adresse des zentralen C&C-Servers ist fest in der Spyware kodiert. Einzelne Zeichen in Strings werden in hexadezimale ASCII-Werte verwandelt, die jeweils durch ein @-Zeichen getrennt sind. Wird der erste C&C-Server nicht gefunden, versucht Explosive eine neue IP-Adresse bei einem ebenfalls hartkodierten Update-Server zu erhalten. Scheitert auch das, verwendet die Spionagesoftware einen integrierten Domain Generation Algorithmus (DGA), um statt über einer IP-Adresse eine Verbindung über einen Domainnamen herzustellen. DGAs werden häufig in Malware für die Verbindungsherstellung in ein Botnetz verwendet. Müssen große Datenmengen übertragen werden, bauen die Angreifer auch ab und an einen SSH-Tunnel zwischen dem Rechner eines Opfers und einem Server auf.

Angreifer mit politischem Hintergrund

Auf einem infizierten Rechner kann Explosive per Keylogger und aus dem Zwischenspeicher Daten sammeln. Außerdem liest die Spionagesoftware Chroniken von Browsern oder Registry-Werte aus. Die Angreifer haben Explosive in eine ausführbare Datei und eine dazugehörige DLL-Bibiliothek unterteilt. Die Bibliothek wird nur im Bedarfsfall geladen, auch um das Aufspüren der Software durch Antivirensoftware oder Angriffserkennungssysteme zu erschweren. Außerdem können die Angreifer damit leichter weitere Funktionen einbauen. Wurde die Malware einmal entdeckt, bauen die Angreifer sie weitgehend um, damit sie wieder unentdeckt bleibt. Ferner wird stets die Arbeitsspeicherauslastung überwacht, und die von Explosive genutzten Threads können jederzeit aus der Ferne beendet werden.

Bei der Spionagesoftware der Operation Volatile Cedar handele es sich zwar nicht um eine so ausgereifte Software wie die der Equation Group, sagte Shaylat. Es steckten aber auch definitiv keine Skript-Kiddies hinter der Software. Was den Entwicklern der Spionagesoftware an Programmierkenntnissen mangele, um ihre Software zu verstecken, machten sie durch eine disziplinierte Steuerung ihrer Malware wieder wett.

Erst kürzlich wurde eine Hackergruppe namens Wüstenfalken enttarnt, die ebenfalls hauptsächlich im Nahen Osten agiert. Sie verbreiten ihre Spionagesoftware jedoch vornehmlich über Social Engineering.

 Operation Volatile Cedar: Spionagesoftware aus dem Libanon
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 58,90€
  2. 27“ großer NANO-IPS-Monitor mit 1 ms Reaktionszeit und WQHD-Auflösung (2.560 x 1.440)
  3. (u. a. Ghost Recon Wildlands Ultimate Edition für 35,99€, The Banner Saga 3 für 9,99€, Mega...
  4. (u. a. Predator - Upgrade, Red Sparrow, Specttre, White Collar - komplette Serie)

Folgen Sie uns
       


Razer Blade Stealth 13 mit GTX 1650 - Hands on (Ifa 2019)

Von außen ist das Razer Blade Stealth wieder einmal unscheinbar. Das macht das Gerät für uns besonders, da darin potente Hardware steckt, etwa eine Geforce GTX 1650.

Razer Blade Stealth 13 mit GTX 1650 - Hands on (Ifa 2019) Video aufrufen
Telekom Smart Speaker im Test: Der smarte Lautsprecher, der mit zwei Zungen spricht
Telekom Smart Speaker im Test
Der smarte Lautsprecher, der mit zwei Zungen spricht

Die Deutsche Telekom bietet derzeit den einzigen smarten Lautsprecher an, mit dem sich parallel zwei digitale Assistenten nutzen lassen. Der Magenta-Assistent lässt einiges zu wünschen übrig, aber die Parallelnutzung von Alexa funktioniert schon fast zu gut.
Ein Test von Ingo Pakalski

  1. Smarte Lautsprecher Amazon liegt nicht nur in Deutschland vor Google
  2. Pure Discovr Schrumpfender Alexa-Lautsprecher mit Akku wird teurer
  3. Bose Portable Home Speaker Lautsprecher mit Akku, Airplay 2, Alexa und Google Assistant

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

    •  /