Ein massiver Malwareangriff betrifft weit über 100 Banken, Firmen und Behörden. Die Infektion selber ist sehr schwer zu erkennen, da sie keine Daten zurücklässt. Kaspersky hat herausgefunden dass die Software ausschließlich vom Speicher aus arbeitet.
Ein massiver Malwareangriff auf 140 Unternehmen aus 40 Ländern!
Die Art der Malware wird unter anderem “fileless” genannt, da sie keine Spuren zurücklässt. Sobald der Rechner heruntergefahren wird, sind alle Spuren verwischt.
Gefunden wurde die Malware von einem Kaspersky Incident Response Team. Die Meterpreter Payload aus dem Metasploit Framework wurde auf einem System entdeckt, woraufhin das Team die Untersuchungen aufgenommen haben. Für die Generierung weiterer Skripte wurde ebenfalls das Metasploit Framework verwendet. Bei infizierten Systemen lässt sich in den Registrierungseinträgen etwas von:
MEM:Trojan.Win32.Cometer
finden. Das Schaubild visualisiert dabei das Vorgehen der Malware. Anfangs werden Server durch eine bekannte Lücke gehackt. Ein häufiges Einfallstor bieten dabei ungepatchte und bekannte Lücken.
Im nächsten Schritt werden die Standardtools von Angreifern kombiniert um die Endpunkte zu infizieren. Die Infizierung beschränkt sich jedoch nur auf den Zeitraum, in dem der Rechner angeschaltet ist. Passwörter und andere sensible Daten werden während der Zeit trotzdem abgefangen und übertragen. Weitere Details gibt es im ausführlichen Kaspersky Blog-Eintrag.
Massiver Malwareangriff ohne Spuren – meine Meinung!
Dieser Vorfall zeigt wieder: Viel spielt sich unter der Haube ab. Es ist eher mit einem Zufall zu vergleichen, dass diese Malware aufgeflogen ist. Hätten Angreifer nicht auf die Standardwerkzeuge zurückgegriffen, wäre der Code nicht erkannt worden.
Staatlich finanzierte Malware-Entwickler haben ausreichend finanzielle Ressourcen, um nicht auf Standard-Werkzeuge setzen zu müssen. Stark obfuskierter Code, welcher für bestimmte Branchen oder gar Firmen geschrieben worden ist, gelingt es unter dem Radar von Antiviren-Lösungen zu huschen. Damit wäre dann auch wieder die Rede von den sogenannten APTs – den sogenannten “Advanced Persistent Threats”.
Weitere Informationen und Quellen
[1] Fileless attacks against enterprise networks (securelist)
[2] Malwareangriff auf über 100 Banken, Firmen, Behörden (borncity)