Abo
  • Services:
Anzeige
Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module.
Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module. (Bild: Symantec)

Spionage: 49 neue Module für die Schnüffelsoftware Regin entdeckt

Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module.
Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module. (Bild: Symantec)

Die Schnüffelsoftware Regin bringt nicht nur Keylogger oder Passwort-Sniffer mit: Mit zahlreichen weiteren Modulen lässt sich nicht nur spionieren, sondern auch eine komplexe Infrastruktur innerhalb eines angegriffenen IT-Systems aufbauen.

Anzeige

Die vermutlich der NSA und dem GCHQ zuzuordnende Spionagesoftware Regin ist deutlich komplexer als gedacht: Der Hersteller von Anti-Viren-Software Symantec hat nach eigenen Angaben weitere 49 Module identifiziert, die gezielt eingesetzt werden können. Die Module können nicht nur einzelne Rechner ausspionieren, sondern ein Peer-to-Peer-Netzwerk in infiltrierten IT-Systemen aufbauen. Symantec vermutet, dass es weitere bislang unentdeckte Module gibt - und dass die Malware trotz ihrer Entdeckung vor fast einem Jahr weiterhin verwendet wird.

Bislang haben die IT-Sicherheitsforscher bei Symantec die erste Stufe von Regin - den sogenannten Dropper - nicht gefunden. Daher vermuten sie, dass eine initiale Infektion durch Code erfolgt, der beispielsweise ausschließlich im Speicher ausgeführt und dann gelöscht wird. Er löst eine mehrstufige Infektion aus. Das erste Modul besteht aus einem Treiber, der einzigen sichtbaren Datei in dem gesamten Malware-Framework. Auch er dient jedoch nur zum Laden eines weiteren Moduls, das auf dem System abgelegt wird. Bislang entdeckte Symantec diesen Treiber unter den Namen Usbclass.sys oder Adpu160.sys.

Dateisysteme und unbeschriebene Festplattensektoren als Verstecke

Diese zweite Stufe besteht aus verschlüsseltem Binärcode, der entweder in der Registry, in den Alternativen Datenströmen (ADS) des Dateisystems NTFS oder in den unbeschriebenen Sektoren einer Festplatte untergebracht werden. Sie dient nicht nur dazu, das erste Modul zu verstecken, sondern auch, um das nächste Modul nachzuladen.

Das dritte Modul wiederum bietet rudimentäre Netzwerkfunktionen, etwa eine Interprozesskommunikation. Zusätzlich enthält es Kompressions- sowie Ver- und Entschlüsselungsroutinen und kann mit den verschlüsselten Containern umgehen, in dem übergeordnete Module untergebracht sind. Gleichzeitig dient es als zentrale Instanz für die weiteren Module und verwaltet beispielsweise die Funktionen, die Regin auf dem System übernehmen soll. Dazu verschafft sich dieses Modul Zugriff auf die Prozesstabelle. Auch dieses Modul wird als Binärcode entweder in der Registry oder im ADS untergebracht. Und es lädt weitere Module in einer nächsten Stufe.

Schnüffeln in fünf Stufen

In Stufe vier werden mehrere Module geladen. Eines davon orchestriert die Funktionen von Regin auf Benutzerebene. Weitere dienen etwa dem Transport über TCP (Transmission Control Protokoll) und UDP (User Datagram Protokoll) oder als Peer-to-Peer-Knoten. Außerdem werden in Stufe vier Protokolle erstellt und es wird für den automatischen Start der Malware gesorgt. Sämtliche Module werden in einem verschlüsselten Container untergebracht und sind auch über ein eigenes virtuelles Dateisystem zugänglich.

Erst in Stufe fünf wird der eigentliche Kern der Malware geladen, der die Basisfunktionen für das Ausspionieren des Systems liefert. Dazu gehören die bereits bekannten Keylogger, Netzwerk- und Passwort-Sniffer sowie das Abgreifen von GSM-Adminstrationsdaten.

Spezialisierte Module

Je nach Einsatz gibt es weitere Module, die Regin nachladen kann. Einige greifen die Zugangsdaten zu Windows und Outlook ab, etwa in dem sie die Windows-SAM-Datei (Security Accounts Manager) parsen oder dafür speziell das Netzwerk abhören. Generell gibt es mehrere Module, die den Netzwerkverkehr analysieren, etwa einen Paket-Sniffer oder Module, die den SSL-Verkehr analysieren, DNS-Zugriffe protokollieren oder nach Cookies suchen. Diese Liste mit bislang 49 Modulen hat Symantec in einer aktualisierten Fassung seiner Analyse veröffentlicht.

Eigenes VPN 

eye home zur Startseite
Proctrap 02. Sep 2015

Die Überschrift des Artikels kommt fast rüber wie eine Ostereiersuche ;) So nach dem...

Prinzeumel 01. Sep 2015

Ich habe ausschließlich auf den Kommentar von melkor geantwortet. Das das keinen...

Freiheit 01. Sep 2015

Also wenn ich genau das verhindern wollen würde, würde ich versuchen, die abfließenden...



Anzeige

Stellenmarkt
  1. über Nash Direct GmbH, München/Ismaning
  2. Zweckverband Kommunales Rechenzentrum Niederrhein (KRZN), Kamp-Lintfort
  3. über Harvey Nash GmbH, Hamburg
  4. SCHOTT AG, Mainz


Anzeige
Hardware-Angebote
  1. 18,99€ statt 39,99€
  2. täglich neue Deals

Folgen Sie uns
       


  1. Google

    Youtube Red und Play Music fusionieren zu neuem Dienst

  2. Facebook Marketplace

    Facebooks Verkaufsplattform kommt nach Deutschland

  3. Ryzen 3 1300X und 1200 im Test

    Harte Gegner für Intels Core i3

  4. Profitbricks

    United Internet kauft Berliner Cloud-Anbieter

  5. Lipizzan

    Google findet neue Staatstrojaner-Familie für Android

  6. Wolfenstein 2 angespielt

    Stahlskelett und Erdbeermilch

  7. Streaming

    Facebooks TV-Shows sollen im August starten

  8. Geldwäsche

    Mutmaßlicher Betreiber von BTC-e angeklagt und festgenommen

  9. HTC

    Das Vive Standalone erscheint in China

  10. New Nintendo 2DS XL im Test

    Schwaches Hardware-Finale



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

Poets One im Test: Kleiner Preamp, großer Sound
Poets One im Test
Kleiner Preamp, großer Sound
  1. Dunkirk Interstellar-Regisseur setzt weiter auf 70mm statt 4K
  2. Umfrage Viele wollen weg von DVB-T2
  3. DVB-T2 Freenet TV will wohl auch über Astra ausstrahlen

Shipito: Mit wenigen Mausklicks zur US-Postadresse
Shipito
Mit wenigen Mausklicks zur US-Postadresse
  1. Kartellamt Mundt kritisiert individuelle Preise im Onlinehandel
  2. Automatisierte Lagerhäuser Ein riesiger Nerd-Traum
  3. Onlineshopping Ebay bringt bedingte Tiefpreisgarantie nach Deutschland

  1. Re: Ich hab mir einen Tag nach der Ankündigung...

    Dwalinn | 16:15

  2. Google schwimmt in Kohle, warum bekommen die...

    Stereo | 16:13

  3. Überrascht...

    TC | 16:11

  4. Re: Warum kein Hyperthreading?

    superdachs | 16:10

  5. Re: Noch mehr Müll zum ansehen

    Master TOB | 16:10


  1. 16:27

  2. 15:00

  3. 15:00

  4. 14:45

  5. 14:31

  6. 14:10

  7. 13:36

  8. 13:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel