Offensive Services

Massiver Malwareangriff auf über 100 Organisationen!

Aktualisiert am

Ein massiver Malwareangriff betrifft weit über 100 Banken, Firmen und Behörden. Die Infektion selber ist sehr schwer zu erkennen, da sie keine Daten zurücklässt. Kaspersky hat herausgefunden dass die Software ausschließlich vom Speicher aus arbeitet.

Ein massiver Malwareangriff auf 140 Unternehmen aus 40 Ländern!

Die Art der Malware wird unter anderem “fileless” genannt, da sie keine Spuren zurücklässt. Sobald der Rechner heruntergefahren wird, sind alle Spuren verwischt.

Gefunden wurde die Malware von einem Kaspersky Incident Response Team. Die Meterpreter Payload aus dem Metasploit Framework wurde auf einem System entdeckt, woraufhin das Team die Untersuchungen aufgenommen haben. Für die Generierung weiterer Skripte wurde ebenfalls das Metasploit Framework verwendet. Bei infizierten Systemen lässt sich in den Registrierungseinträgen etwas von:

MEM:Trojan.Win32.Cometer

finden. Das Schaubild visualisiert dabei das Vorgehen der Malware. Anfangs werden Server durch eine bekannte Lücke gehackt. Ein häufiges Einfallstor bieten dabei ungepatchte und bekannte Lücken.

Ein massiver Malwareangriff und deren Analyse. So sieht die Roadmap der Malware aus. (Quelle: Screenshot securelist.com)
Ein massiver Malwareangriff und deren Analyse. So sieht die Roadmap der Malware aus. (Quelle: Screenshot securelist.com)

Im nächsten Schritt werden die Standardtools von Angreifern kombiniert um die Endpunkte zu infizieren. Die Infizierung beschränkt sich jedoch nur auf den Zeitraum, in dem der Rechner angeschaltet ist. Passwörter und andere sensible Daten werden während der Zeit trotzdem abgefangen und übertragen. Weitere Details gibt es im ausführlichen Kaspersky Blog-Eintrag.

Massiver Malwareangriff ohne Spuren – meine Meinung!

Dieser Vorfall zeigt wieder: Viel spielt sich unter der Haube ab. Es ist eher mit einem Zufall zu vergleichen, dass diese Malware aufgeflogen ist. Hätten Angreifer nicht auf die Standardwerkzeuge zurückgegriffen, wäre der Code nicht erkannt worden.

Staatlich finanzierte Malware-Entwickler haben ausreichend finanzielle Ressourcen, um nicht auf Standard-Werkzeuge setzen zu müssen. Stark obfuskierter Code, welcher für bestimmte Branchen oder gar Firmen geschrieben worden ist, gelingt es unter dem Radar von Antiviren-Lösungen zu huschen. Damit wäre dann auch wieder die Rede von den sogenannten APTs – den sogenannten “Advanced Persistent Threats”.

Weitere Informationen und Quellen

[1] Fileless attacks against enterprise networks (securelist)
[2] Malwareangriff auf über 100 Banken, Firmen, Behörden (borncity)

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.