Dateilose Infektion: Einbruch ohne Spuren

Moritz Rosenfeld on February 14, 2017 - 10:45 am in Security

[ad_1]

Sicherheitsforscher warnen, dass vermutlich die Carbanak-Gang einen neuen Trick verwendet, der viele Schutz- und Analyse-Programme ins Leere laufen lässt. Sie brechen in Computer und Netze ein, ohne dass dabei verdächtige Dateien auf der Platte landen.

Dem Sicherheitsteam einer Bank fielen Anomalien in ihrem Netzwerk auf, doch die Computer sind offensichtlich nicht mit einem klassischen Trojaner infiziert. Unter Mithilfe von Kaspersky machten sie sich auf die Suche nach dem Ursprung und diagnostizierten eine dateilose Infektion diverser Windows-Computer.

Normalerweise hinterlässt der Einbruch in ein Netz Spuren in Form von Trojaner-Dateien auf dem PC; häufig finden sich auch Tools, die etwa zum Abgreifen von Daten oder die Kommunikation genutzt wurden. Nicht so in diesen Fällen. Die Untersuchung der Festplatten förderte keine verdächtigen Dateien zu Tage. Erst bei einer Analyse von Registry und Arbeitsspeicher wurden die Forensiker fündig.

In seiner Analyse zeigt Kaspersky auf, anhand welcher Indikatoren man feststellen kann, ob der eigene Computer von einem deratigen Übergriff betroffen ist.

Schadcode im RAM

Konkret spürten Kasperskys Experten etwa eine Meterpreter-Payload im RAM auf, die wohl ein Metasploit-Exploit einer nicht näher beschriebenen Sicherheitslücke dort platzierte. Diese Payload startete die Powershell, die dann über WinAPI-Aufrufe Speicher reservierte und diesen mit Tools wie Meterpreter und Mimikatz bestückte. Darüber hinaus nutzten die Angreifer unter anderem die Administrations-Tools sc und netsh.

Antiviren-Software und auch viele Forensik-Tools setzen primär auf die Analyse von Dateien; sie haben es demzufolge in solchen Fällen schwer, da sie ins Leere greifen. Dass sich Schadcode nicht in einer Datei, sondern in der Windows-Registry versteckt, ist kein Hexenwerk – so etwas gab es bereits 2014. Doch jetzt kommt die dateilose Infektion offenbar im großen Stil bei gezielten Einbrüchen in Firmennetze zum Einsatz.

Weltweite Angriffe

Solche Übergriffe hat es Kaspersky zufolge in über 40 Ländern gegeben; bei über 100 Firmen entdeckte man bereits derartige Powershell-Skripte in der Registry – auch heute seien die Angreifer noch aktiv. Sie sollen es vor allem auf die Finanz- und Telekommunikationsbranche sowie Regierungsorganisationen abgesehen haben.

Aktuell verdächtigt Kaspersky die Hacker-Gruppen GCMAN und Carbanak. Carbanak sorgte Anfang 2015 für Aufsehen, als bekannt wurde, dass die Gruppe weltweit 1 Milliarde US-Dollar von Banken erbeutet hat. Dabei sollen sie die Arbeitsweise von Bankangestellten imitiert haben und blieben so lange unentdeckt.

[UPDATE 14.02.2017 09:05 Uhr]

Verweis, wie man Hinweise auf einen derartigen Übergriff auf einem Computer findet, im Fließtext eingefügt. (des)

[ad_2]