Abo
  • IT-Karriere:

Spionage: 49 neue Module für die Schnüffelsoftware Regin entdeckt

Die Schnüffelsoftware Regin bringt nicht nur Keylogger oder Passwort-Sniffer mit: Mit zahlreichen weiteren Modulen lässt sich nicht nur spionieren, sondern auch eine komplexe Infrastruktur innerhalb eines angegriffenen IT-Systems aufbauen.

Artikel veröffentlicht am ,
Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module.
Die modular aufgebaute Spionagesoftware regin enthält zahlreiche spezielle Module. (Bild: Symantec)

Die vermutlich der NSA und dem GCHQ zuzuordnende Spionagesoftware Regin ist deutlich komplexer als gedacht: Der Hersteller von Anti-Viren-Software Symantec hat nach eigenen Angaben weitere 49 Module identifiziert, die gezielt eingesetzt werden können. Die Module können nicht nur einzelne Rechner ausspionieren, sondern ein Peer-to-Peer-Netzwerk in infiltrierten IT-Systemen aufbauen. Symantec vermutet, dass es weitere bislang unentdeckte Module gibt - und dass die Malware trotz ihrer Entdeckung vor fast einem Jahr weiterhin verwendet wird.

Inhalt:
  1. Spionage: 49 neue Module für die Schnüffelsoftware Regin entdeckt
  2. Eigenes VPN

Bislang haben die IT-Sicherheitsforscher bei Symantec die erste Stufe von Regin - den sogenannten Dropper - nicht gefunden. Daher vermuten sie, dass eine initiale Infektion durch Code erfolgt, der beispielsweise ausschließlich im Speicher ausgeführt und dann gelöscht wird. Er löst eine mehrstufige Infektion aus. Das erste Modul besteht aus einem Treiber, der einzigen sichtbaren Datei in dem gesamten Malware-Framework. Auch er dient jedoch nur zum Laden eines weiteren Moduls, das auf dem System abgelegt wird. Bislang entdeckte Symantec diesen Treiber unter den Namen Usbclass.sys oder Adpu160.sys.

Dateisysteme und unbeschriebene Festplattensektoren als Verstecke

Diese zweite Stufe besteht aus verschlüsseltem Binärcode, der entweder in der Registry, in den Alternativen Datenströmen (ADS) des Dateisystems NTFS oder in den unbeschriebenen Sektoren einer Festplatte untergebracht werden. Sie dient nicht nur dazu, das erste Modul zu verstecken, sondern auch, um das nächste Modul nachzuladen.

Das dritte Modul wiederum bietet rudimentäre Netzwerkfunktionen, etwa eine Interprozesskommunikation. Zusätzlich enthält es Kompressions- sowie Ver- und Entschlüsselungsroutinen und kann mit den verschlüsselten Containern umgehen, in dem übergeordnete Module untergebracht sind. Gleichzeitig dient es als zentrale Instanz für die weiteren Module und verwaltet beispielsweise die Funktionen, die Regin auf dem System übernehmen soll. Dazu verschafft sich dieses Modul Zugriff auf die Prozesstabelle. Auch dieses Modul wird als Binärcode entweder in der Registry oder im ADS untergebracht. Und es lädt weitere Module in einer nächsten Stufe.

Schnüffeln in fünf Stufen

Stellenmarkt
  1. Porsche Consulting GmbH, Stuttgart, Berlin, Frankfurt am Main, Hamburg, München
  2. LOTTO Hessen GmbH, Wiesbaden

In Stufe vier werden mehrere Module geladen. Eines davon orchestriert die Funktionen von Regin auf Benutzerebene. Weitere dienen etwa dem Transport über TCP (Transmission Control Protokoll) und UDP (User Datagram Protokoll) oder als Peer-to-Peer-Knoten. Außerdem werden in Stufe vier Protokolle erstellt und es wird für den automatischen Start der Malware gesorgt. Sämtliche Module werden in einem verschlüsselten Container untergebracht und sind auch über ein eigenes virtuelles Dateisystem zugänglich.

Erst in Stufe fünf wird der eigentliche Kern der Malware geladen, der die Basisfunktionen für das Ausspionieren des Systems liefert. Dazu gehören die bereits bekannten Keylogger, Netzwerk- und Passwort-Sniffer sowie das Abgreifen von GSM-Adminstrationsdaten.

Spezialisierte Module

Je nach Einsatz gibt es weitere Module, die Regin nachladen kann. Einige greifen die Zugangsdaten zu Windows und Outlook ab, etwa in dem sie die Windows-SAM-Datei (Security Accounts Manager) parsen oder dafür speziell das Netzwerk abhören. Generell gibt es mehrere Module, die den Netzwerkverkehr analysieren, etwa einen Paket-Sniffer oder Module, die den SSL-Verkehr analysieren, DNS-Zugriffe protokollieren oder nach Cookies suchen. Diese Liste mit bislang 49 Modulen hat Symantec in einer aktualisierten Fassung seiner Analyse veröffentlicht.

Eigenes VPN 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. (-12%) 52,99€
  2. 69,99€ (Release am 25. Oktober)
  3. (-78%) 2,20€
  4. 69,99€ (Release am 21. Februar 2020, mit Vorbesteller-Preisgarantie)

Proctrap 02. Sep 2015

Die Überschrift des Artikels kommt fast rüber wie eine Ostereiersuche ;) So nach dem...

Anonymer Nutzer 01. Sep 2015

Ich habe ausschließlich auf den Kommentar von melkor geantwortet. Das das keinen...

Freiheit 01. Sep 2015

Also wenn ich genau das verhindern wollen würde, würde ich versuchen, die abfließenden...


Folgen Sie uns
       


Ghost Recon Breakpoint - Fazit

Das Actionspiel Ghost Recon Breakpoint von Ubisoft schickt Spieler als Elitesoldat Nomad auf eine fiktive Pazifikinsel.

Ghost Recon Breakpoint - Fazit Video aufrufen
Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

    •  /