+49 (0) 209 - 8830 6760

Über uns

Zertifizierungen

MItgliedschaften

Engagement

Branchen

PRESSE

Karriere

Kontakt

Datendiebstahl / Incident Response / Sicherheitslücke / Virenscanner

Massiver Malwareangriff auf über 100 Organisationen!

Veröffentlicht am

Ein massiver Malwareangriff betrifft weit über 100 Banken, Firmen und Behörden. Die Infektion selber ist sehr schwer zu erkennen, da sie keine Daten zurücklässt. Kaspersky hat herausgefunden dass die Software ausschließlich vom Speicher aus arbeitet.

Ein massiver Malwareangriff auf 140 Unternehmen aus 40 Ländern!

Die Art der Malware wird unter anderem “fileless” genannt, da sie keine Spuren zurücklässt. Sobald der Rechner heruntergefahren wird, sind alle Spuren verwischt.

Gefunden wurde die Malware von einem Kaspersky Incident Response Team. Die Meterpreter Payload aus dem Metasploit Framework wurde auf einem System entdeckt, woraufhin das Team die Untersuchungen aufgenommen haben. Für die Generierung weiterer Skripte wurde ebenfalls das Metasploit Framework verwendet. Bei infizierten Systemen lässt sich in den Registrierungseinträgen etwas von:

MEM:Trojan.Win32.Cometer

finden. Das Schaubild visualisiert dabei das Vorgehen der Malware. Anfangs werden Server durch eine bekannte Lücke gehackt. Ein häufiges Einfallstor bieten dabei ungepatchte und bekannte Lücken.

Ein massiver Malwareangriff und deren Analyse. So sieht die Roadmap der Malware aus. (Quelle: Screenshot securelist.com)
Ein massiver Malwareangriff und deren Analyse. So sieht die Roadmap der Malware aus. (Quelle: Screenshot securelist.com)

Im nächsten Schritt werden die Standardtools von Angreifern kombiniert um die Endpunkte zu infizieren. Die Infizierung beschränkt sich jedoch nur auf den Zeitraum, in dem der Rechner angeschaltet ist. Passwörter und andere sensible Daten werden während der Zeit trotzdem abgefangen und übertragen. Weitere Details gibt es im ausführlichen Kaspersky Blog-Eintrag.

Massiver Malwareangriff ohne Spuren – meine Meinung!

Dieser Vorfall zeigt wieder: Viel spielt sich unter der Haube ab. Es ist eher mit einem Zufall zu vergleichen, dass diese Malware aufgeflogen ist. Hätten Angreifer nicht auf die Standardwerkzeuge zurückgegriffen, wäre der Code nicht erkannt worden.

Staatlich finanzierte Malware-Entwickler haben ausreichend finanzielle Ressourcen, um nicht auf Standard-Werkzeuge setzen zu müssen. Stark obfuskierter Code, welcher für bestimmte Branchen oder gar Firmen geschrieben worden ist, gelingt es unter dem Radar von Antiviren-Lösungen zu huschen. Damit wäre dann auch wieder die Rede von den sogenannten APTs – den sogenannten “Advanced Persistent Threats”.

Weitere Informationen und Quellen

[1] Fileless attacks against enterprise networks (securelist)
[2] Malwareangriff auf über 100 Banken, Firmen, Behörden (borncity)

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.

AWARE7 GmbH

Munscheidstr. 14
45886 Gelsenkirchen

Tel. +49 (0) 209 - 8830 6760
Fax. +49 (0) 209 - 8830 6769
Mail info@aware7.de

Öffnungszeiten
Montag - Freitag
8:00 - 17:00 Uhr

KONTO

Konto

Warenkorb

UNTERNEHMEN

Über uns

Zertifizierungen

Mitgliedschaften

Engagement

Verhaltenskodex

Karriere

Kontakt

WEITERBILDUNG

T.I.S.P.-Expertenzertifikat

Cyberschutzraum
B2B E-Learning Solution

AWARENESS

Live Hacking Show

Managed Phishing Simulation

Escape Desk

RESSOURCEN

IT-Security Blog

Medienpaket

Downloads

Whitepaper

Events

Presse

OFFENSIVE SERVICES

Penetrationstest

Schwachstellenscan

360° KMU-Analyse

IT-Security Notfall

KONTAKT

Kontaktformular

Terminservice

Rückrufservice

Angebotsanfrage (CfP)

BERATUNG

ISMS-Beratung

CyberRisikoCheeck (BSI)

Externer Informationssicherheitsbeauftragter

FORSCHUNG & ENTWICKLUNG

Abgeschlossene Abschlussarbeiten

Forschungsprojekte

Advisorys

Impressum Datenschutzerklärung
Anfahrtsbeschreibung Zahlungsarten

Alle Preise inkl. der gesetzlichen MwSt.