Abo
  • Services:

Spionage: 49 neue Module für die Schnüffelsoftware Regin entdeckt

Die Schnüffelsoftware Regin bringt nicht nur Keylogger oder Passwort-Sniffer mit: Mit zahlreichen weiteren Modulen lässt sich nicht nur spionieren, sondern auch eine komplexe Infrastruktur innerhalb eines angegriffenen IT-Systems aufbauen.

Artikel veröffentlicht am ,
Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module.
Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module. (Bild: Symantec)

Die vermutlich der NSA und dem GCHQ zuzuordnende Spionagesoftware Regin ist deutlich komplexer als gedacht: Der Hersteller von Anti-Viren-Software Symantec hat nach eigenen Angaben weitere 49 Module identifiziert, die gezielt eingesetzt werden können. Die Module können nicht nur einzelne Rechner ausspionieren, sondern ein Peer-to-Peer-Netzwerk in infiltrierten IT-Systemen aufbauen. Symantec vermutet, dass es weitere bislang unentdeckte Module gibt - und dass die Malware trotz ihrer Entdeckung vor fast einem Jahr weiterhin verwendet wird.

Inhalt:
  1. Spionage: 49 neue Module für die Schnüffelsoftware Regin entdeckt
  2. Eigenes VPN

Bislang haben die IT-Sicherheitsforscher bei Symantec die erste Stufe von Regin - den sogenannten Dropper - nicht gefunden. Daher vermuten sie, dass eine initiale Infektion durch Code erfolgt, der beispielsweise ausschließlich im Speicher ausgeführt und dann gelöscht wird. Er löst eine mehrstufige Infektion aus. Das erste Modul besteht aus einem Treiber, der einzigen sichtbaren Datei in dem gesamten Malware-Framework. Auch er dient jedoch nur zum Laden eines weiteren Moduls, das auf dem System abgelegt wird. Bislang entdeckte Symantec diesen Treiber unter den Namen Usbclass.sys oder Adpu160.sys.

Dateisysteme und unbeschriebene Festplattensektoren als Verstecke

Diese zweite Stufe besteht aus verschlüsseltem Binärcode, der entweder in der Registry, in den Alternativen Datenströmen (ADS) des Dateisystems NTFS oder in den unbeschriebenen Sektoren einer Festplatte untergebracht werden. Sie dient nicht nur dazu, das erste Modul zu verstecken, sondern auch, um das nächste Modul nachzuladen.

Das dritte Modul wiederum bietet rudimentäre Netzwerkfunktionen, etwa eine Interprozesskommunikation. Zusätzlich enthält es Kompressions- sowie Ver- und Entschlüsselungsroutinen und kann mit den verschlüsselten Containern umgehen, in dem übergeordnete Module untergebracht sind. Gleichzeitig dient es als zentrale Instanz für die weiteren Module und verwaltet beispielsweise die Funktionen, die Regin auf dem System übernehmen soll. Dazu verschafft sich dieses Modul Zugriff auf die Prozesstabelle. Auch dieses Modul wird als Binärcode entweder in der Registry oder im ADS untergebracht. Und es lädt weitere Module in einer nächsten Stufe.

Schnüffeln in fünf Stufen

Stellenmarkt
  1. Bosch Gruppe, Reutlingen
  2. Bierbaum-Proenen GmbH & Co. KG, Köln

In Stufe vier werden mehrere Module geladen. Eines davon orchestriert die Funktionen von Regin auf Benutzerebene. Weitere dienen etwa dem Transport über TCP (Transmission Control Protokoll) und UDP (User Datagram Protokoll) oder als Peer-to-Peer-Knoten. Außerdem werden in Stufe vier Protokolle erstellt und es wird für den automatischen Start der Malware gesorgt. Sämtliche Module werden in einem verschlüsselten Container untergebracht und sind auch über ein eigenes virtuelles Dateisystem zugänglich.

Erst in Stufe fünf wird der eigentliche Kern der Malware geladen, der die Basisfunktionen für das Ausspionieren des Systems liefert. Dazu gehören die bereits bekannten Keylogger, Netzwerk- und Passwort-Sniffer sowie das Abgreifen von GSM-Adminstrationsdaten.

Spezialisierte Module

Je nach Einsatz gibt es weitere Module, die Regin nachladen kann. Einige greifen die Zugangsdaten zu Windows und Outlook ab, etwa in dem sie die Windows-SAM-Datei (Security Accounts Manager) parsen oder dafür speziell das Netzwerk abhören. Generell gibt es mehrere Module, die den Netzwerkverkehr analysieren, etwa einen Paket-Sniffer oder Module, die den SSL-Verkehr analysieren, DNS-Zugriffe protokollieren oder nach Cookies suchen. Diese Liste mit bislang 49 Modulen hat Symantec in einer aktualisierten Fassung seiner Analyse veröffentlicht.

Eigenes VPN 
  1. 1
  2. 2
  3.  


Anzeige
Blu-ray-Angebote

Proctrap 02. Sep 2015

Die Überschrift des Artikels kommt fast rüber wie eine Ostereiersuche ;) So nach dem...

Prinzeumel 01. Sep 2015

Ich habe ausschließlich auf den Kommentar von melkor geantwortet. Das das keinen...

Freiheit 01. Sep 2015

Also wenn ich genau das verhindern wollen würde, würde ich versuchen, die abfließenden...


Folgen Sie uns
       


V-Rally 4 - Golem.de live

Michael schaut sich die PC-Version von V-Rally 4 an, die in einigen Punkten deutlich besser ist als die Konsolenfassung.

V-Rally 4 - Golem.de live Video aufrufen
Programmiersprachen, Pakete, IDEs: So steigen Entwickler in Machine Learning ein
Programmiersprachen, Pakete, IDEs
So steigen Entwickler in Machine Learning ein

Programme zum Maschinenlernen stellen andere Herausforderungen an Entwickler als die klassische Anwendungsentwicklung, denn hier lernt der Computer selbst. Wir geben eine Übersicht über die wichtigsten Entwicklerwerkzeuge - inklusive Programmierbeispielen.
Von Miroslav Stimac

  1. Software-Entwickler Welche Programmiersprache soll ich lernen?

Icarus: Forscher beobachten Tiere via ISS
Icarus
Forscher beobachten Tiere via ISS

Dass Vögel wandern, ist seit langem bekannt. Wir haben auch eine Idee, wohin sie ziehen. Aber ganz genau wissen wir es nicht. Das wird sich ändern: Im Rahmen des Projekts Icarus wollen Forscher viele Tiere mit kleinen Sendern ausstatten und so ihre Wanderrouten verfolgen. Die Daten kommen über die ISS zur Erde.
Ein Bericht von Werner Pluta

  1. Tweether Empfangsmodul für 94 GHz kommt aus Kassel
  2. Tweether 10 GBit/s über einen Quadratkilometer verteilt
  3. Telekommunikation Mit dem Laser durch die Wolken

Dell Ultrasharp 49 im Test: Pervers und luxuriös
Dell Ultrasharp 49 im Test
Pervers und luxuriös

Dell bringt mit dem Ultrasharp 49 zwei QHD-Monitore in einem, quasi einen Doppelmonitor. Es könnte sein, dass wir uns im Test ein kleines bisschen in ihn verliebt haben.
Ein Test von Michael Wieczorek

  1. Magicscroll Mobiles Gerät hat rollbares Display zum Herausziehen
  2. CJG50 Samsungs 32-Zoll-Gaming-Monitor kostet 430 Euro
  3. Agon AG322QC4 Aggressiv aussehender 31,5-Zoll-Monitor kommt für 600 Euro

    •  /