Abo
  • Services:
Anzeige
Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module.
Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module. (Bild: Symantec)

Spionage: 49 neue Module für die Schnüffelsoftware Regin entdeckt

Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module.
Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module. (Bild: Symantec)

Die Schnüffelsoftware Regin bringt nicht nur Keylogger oder Passwort-Sniffer mit: Mit zahlreichen weiteren Modulen lässt sich nicht nur spionieren, sondern auch eine komplexe Infrastruktur innerhalb eines angegriffenen IT-Systems aufbauen.

Anzeige

Die vermutlich der NSA und dem GCHQ zuzuordnende Spionagesoftware Regin ist deutlich komplexer als gedacht: Der Hersteller von Anti-Viren-Software Symantec hat nach eigenen Angaben weitere 49 Module identifiziert, die gezielt eingesetzt werden können. Die Module können nicht nur einzelne Rechner ausspionieren, sondern ein Peer-to-Peer-Netzwerk in infiltrierten IT-Systemen aufbauen. Symantec vermutet, dass es weitere bislang unentdeckte Module gibt - und dass die Malware trotz ihrer Entdeckung vor fast einem Jahr weiterhin verwendet wird.

Bislang haben die IT-Sicherheitsforscher bei Symantec die erste Stufe von Regin - den sogenannten Dropper - nicht gefunden. Daher vermuten sie, dass eine initiale Infektion durch Code erfolgt, der beispielsweise ausschließlich im Speicher ausgeführt und dann gelöscht wird. Er löst eine mehrstufige Infektion aus. Das erste Modul besteht aus einem Treiber, der einzigen sichtbaren Datei in dem gesamten Malware-Framework. Auch er dient jedoch nur zum Laden eines weiteren Moduls, das auf dem System abgelegt wird. Bislang entdeckte Symantec diesen Treiber unter den Namen Usbclass.sys oder Adpu160.sys.

Dateisysteme und unbeschriebene Festplattensektoren als Verstecke

Diese zweite Stufe besteht aus verschlüsseltem Binärcode, der entweder in der Registry, in den Alternativen Datenströmen (ADS) des Dateisystems NTFS oder in den unbeschriebenen Sektoren einer Festplatte untergebracht werden. Sie dient nicht nur dazu, das erste Modul zu verstecken, sondern auch, um das nächste Modul nachzuladen.

Das dritte Modul wiederum bietet rudimentäre Netzwerkfunktionen, etwa eine Interprozesskommunikation. Zusätzlich enthält es Kompressions- sowie Ver- und Entschlüsselungsroutinen und kann mit den verschlüsselten Containern umgehen, in dem übergeordnete Module untergebracht sind. Gleichzeitig dient es als zentrale Instanz für die weiteren Module und verwaltet beispielsweise die Funktionen, die Regin auf dem System übernehmen soll. Dazu verschafft sich dieses Modul Zugriff auf die Prozesstabelle. Auch dieses Modul wird als Binärcode entweder in der Registry oder im ADS untergebracht. Und es lädt weitere Module in einer nächsten Stufe.

Schnüffeln in fünf Stufen

In Stufe vier werden mehrere Module geladen. Eines davon orchestriert die Funktionen von Regin auf Benutzerebene. Weitere dienen etwa dem Transport über TCP (Transmission Control Protokoll) und UDP (User Datagram Protokoll) oder als Peer-to-Peer-Knoten. Außerdem werden in Stufe vier Protokolle erstellt und es wird für den automatischen Start der Malware gesorgt. Sämtliche Module werden in einem verschlüsselten Container untergebracht und sind auch über ein eigenes virtuelles Dateisystem zugänglich.

Erst in Stufe fünf wird der eigentliche Kern der Malware geladen, der die Basisfunktionen für das Ausspionieren des Systems liefert. Dazu gehören die bereits bekannten Keylogger, Netzwerk- und Passwort-Sniffer sowie das Abgreifen von GSM-Adminstrationsdaten.

Spezialisierte Module

Je nach Einsatz gibt es weitere Module, die Regin nachladen kann. Einige greifen die Zugangsdaten zu Windows und Outlook ab, etwa in dem sie die Windows-SAM-Datei (Security Accounts Manager) parsen oder dafür speziell das Netzwerk abhören. Generell gibt es mehrere Module, die den Netzwerkverkehr analysieren, etwa einen Paket-Sniffer oder Module, die den SSL-Verkehr analysieren, DNS-Zugriffe protokollieren oder nach Cookies suchen. Diese Liste mit bislang 49 Modulen hat Symantec in einer aktualisierten Fassung seiner Analyse veröffentlicht.

Eigenes VPN 

eye home zur Startseite
Proctrap 02. Sep 2015

Die Überschrift des Artikels kommt fast rüber wie eine Ostereiersuche ;) So nach dem...

Prinzeumel 01. Sep 2015

Ich habe ausschließlich auf den Kommentar von melkor geantwortet. Das das keinen...

Freiheit 01. Sep 2015

Also wenn ich genau das verhindern wollen würde, würde ich versuchen, die abfließenden...



Anzeige

Stellenmarkt
  1. Pneuhage Management GmbH & Co. KG, Karlsruhe
  2. ROHDE & SCHWARZ GmbH & Co. KG, München
  3. Robert Bosch Start-up GmbH, Ludwigsburg
  4. Universität Passau, Passau


Anzeige
Blu-ray-Angebote
  1. 49,99€ mit Vorbesteller-Preisgarantie
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Elektrorennwagen

    VW will elektrisch auf den Pikes Peak

  2. Messung

    Über 23.000 Funklöcher in Brandenburg

  3. Star Wars Battlefront 2 Angespielt

    Der Todesstern aus Sicht der Kampagne

  4. Nach Wahlniederlage

    Netzpolitiker Klingbeil soll SPD-Generalsekrektär werden

  5. Adasky

    Autonome Autos sollen im Infrarot-Bereich sehen

  6. Münsterland

    Deutsche Glasfaser baut weiter in Nordrhein-Westfalen aus

  7. Infineon

    BSI zertifiziert unsichere Verschlüsselung

  8. R-PHY- und R-MACPHY

    Kabelnetzbetreiber müssen sich nicht mehr festlegen

  9. ePrivacy-Verordnung

    Ausschuss votiert für Tracking-Schutz und Verschlüsselung

  10. Lifetab X10605 und X10607

    LTE-Tablets direkt bei Medion bestellen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Re: Persönliche Meinung nach einigen Momenten in...

    Bouncy | 20:27

  2. Re: Eigene Krypto?

    nicoledos | 20:25

  3. Re: Besiegelung und Zukunft

    tux. | 20:24

  4. Gegen Panik würde Aufklärung zumindest in den...

    1ras | 20:22

  5. Re: Wie das zertifiziert wurde ist sehr leicht...

    Sharra | 20:19


  1. 18:37

  2. 18:18

  3. 18:03

  4. 17:50

  5. 17:35

  6. 17:20

  7. 17:05

  8. 15:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel