Advanced Persistent Threats gegen tibetische Aktivisten und mehr
Zum Abschluss des Themas Advanced Persistent Threats gibt es in dieser Folge noch ein paar Informationen, die in die anderen Texte nicht passten oder nach deren Veröffentlichung erschienen sind. Als Beispiel dafür, dass nicht nur Unternehmen und Regierungen das Ziel von APT-Angriffen sind, dienen
APTs gegen tibetische Aktivisten
Immer wieder wurden tibetische Aktivisten das Opfer gezielter Angriffe. Kaspersky berichtete Ende Juni über gezielte Angriffe per E-Mails, die an bestimmte Uigurische Mac-Benutzer gerichtet waren. Die E-Mails enthielten ein ZIP-Archiv als Anhang, in dem sich ein JPEG-Bild und eine Mac-Anwendung befinden. Bei der Anwendung handelt es sich um eine neue Version der Backdoor "MaControl". Nach dem Start installiert sich die Backdoor auf dem Rechner und nimmt Verbindung zu einem Command&Control-Server auf.
Das ist nicht der erste Angriff gegen tibetische Aktivisten etc., aber zuvor wurden noch präparierte Word-Dokumente eingesetzt, die eine Schwachstelle in Word zur Installation von "SabPub" bzw. "MaControl" ausnutzten. Der aktuelle Angriff setzt dagegen allein auf Social Engineering.
Exploit-Auswahl
Die Angriffe richten sich evtl. gegen Mac-Benutzer, weil der Dalai Lama als Mac-Benutzer bekannt ist, wie entsprechende Fotos belegen. Die Frage ist nur, ob auf dem Mac auch wirklich Mac OS X läuft. Ich kenne einige Leute, die zwar MacBooks verwenden, darauf aber Windows installiert haben.
Aber selbst wenn ein Opfer auf seinem Macbook Windows installiert hätte, würde das den Angriff nicht verhindern: Die Alienvault Labs berichteten über parallel laufende Angriff auf Windows-Benutzer, dort ist die Backdoor "Gh0st RAT" im ZIP-Archiv enthalten.
Angriffe über kompromittierte Websites
"Gh0st RAT" wurde übrigens im Mai im Rahmen einer Drive-by-Infektion verbreitet: Die Website von Amnesty International United Kingdom war kompromittiert worden. Über die auch vom Mac-Schädling Flashback ausgenutzte Java-Schwachstelle wurden hier Windows-Rechner kompromittiert, um "Gh0st RAT" zu installieren. Der eingeschleuste Schadcode enthielt ein gültiges Zertifikat eines chinesischen Unternehmens. Ein nahezu identischer Angriff erfolgte wenig später über die Website der Democratic Party of Hong Kong.
Signierte Schadsoftware
Mit signierter Schadsoftware allgemein hat sich Craig Schmugar von McAfee beschäftigt. Signierte Schädlinge sind übrigens gar nicht mal so selten, nur kommen meist keine offiziellen Zertifikate zum Einsatz, sondern es werden "test-signierte" bzw. selbstsignierte Dateien eingesetzt. Schadsoftware mit offiziellen Zertifikaten, die von einer vom System als vertrauenswürdig eingestuften CA ausgestellt wurden, sind dagegen deutlich seltener. Beispiele dafür sind außer den im Rahmen von APTs bereits beschriebenen Schädlingen ein Dropper mit zwischen Dezember 2011 und 7. März 2012 ausgestellten Zertifikaten eines Schweizer Unternehmens, ein über präparierte PDF-Dateien verbreiteter Schädling mit einer Signatur des "Malaysian Agricultural Research and Development Institute" und eine Variante des Bots "Qbot" bzw. "Qakbot" mit einem Zertifikat, dass auf "Word & Brown" ausgestellt ist. In allen Fällen dürften die Cyberkriminellen die nötigen privaten Schlüssel der Zertifikatsinhaber ausgespäht haben. Entsprechender Schadcode ist bereits seit längerem im Netz unterwegs.
Geschickt getarnter APT-Exploit
Mitte Juni berichtete Kaspersky über einen anderen per E-Mail durchgeführten Angriff auf tibetische Aktivisten (Deutsche Version). Die E-Mails stammten angeblich von einem tibetischen Aktivisten, dessen E-Mail-Adresse bei einem vorherigen Angriff auf Stratfor erbeutet worden war. Interessanterweise war in der E-Mail der Name angegeben, während bei Stratfor nur die E-Mail-Adresse ausgespäht worden war.
Ausgenutzt wurde dabei eine im April behobene
Schwachstelle
in Microsoft Office. Das dafür verwendete Word-Dokument weist eine
Besonderheit auf: Während die meisten Exploits für diese
Schwachstelle auf einen Proof-of-Concept des Metasploit-Frameworks im
RTF-Format basieren, handelt es sich um einen zuvor nicht bekannten
OLE-Stream in einer .doc-Datei. Damit werden manche Virenscanner
ausgetrickst, da die nur auf eingebettete Objekte oder OLE-Streams in
Verbindung mit den Befehlen \object
und \objocx
reagieren. Auch der Rest des Exploit setzt eher unübliche Methoden
ein, um eine Erkennung zu erschweren,
Und das sollen APTs sein?
Falls Sie sich jetzt fragen, was das alles mit Advanced Persistent Threats zu tun hat, schließlich sind das zwar alles Bedrohungen, also Threats, aber weder sind sie besonders Advanced noch scheinen sie Persistent zu sein: Diese Angriffe sind nur der erste Schritt eines APTs. Über den damit eingeschleusten Schadcode erlangen die Angreifer die Kontrolle über den ersten Rechner, den sie dann in Ruhe ausspionieren und ggf. später als Sprungbrett ins lokale Netz nutzen. Wird der Schadsoftware schon auf diesem ersten Rechner der Garaus gemacht, kommt es gar nicht erst zum APT. Aber wie Sie ja im fünften, sechsten und siebten Teil der Serie erfahren haben, bleiben diese "Erstinfektionen" oft unentdeckt.
Linktips
Zum Abschluss noch ein paar Hinweise auf weiterführende Texte und Bilder etc.:
- Mikko Hypponen von F-Secure hat versucht zu erklären, wieso die Antiviren-Hersteller unfähig waren, Stuxnet, Duqu und Flame rechtzeitig zu Erkennen. Diese Erklärung nimmt Bruce Schneier ihm nicht ab: "I don't buy this." Daraufhin hat F-Secure (übrigens nicht besonders überzeugend) geantwortet. Wie üblich bei Texten von Bruce Schneier enthalten auch die Kommentare darunter viele interessante Punkte.
- Von Trend Micro gibt es einen Blogbeitrag mit dem Titel "Top APT Research of 2011 (That You Probably Haven’t Heard About)", der einen Überblick über Forschungsergebnisse zum Thema APTs bzw. gezielte Angriffe gibt.
- Ebenfalls von Trend Micro stammt der "Snapshot of Exploit Documents for April 2012", der einen Überblick über die im April 2012 am häufigsten ausgenutzten Schwachstellen und die dafür verwendeten Dateitypen gibt.
- Die Grafik "APT Myths and Challenges" von Trend Micro gibt einen Überblick über die Schritte eines APT und räumt mit einigen Mythen rund um APTs auf (Deutsche Version). Die Grafik "Global Target" liefert eine Übersicht über einige APTs: Lurid, Luckycat, Nitro, Shadownet, Ghostnet, Shadyrat und Nightdragon.
- Ein weiterer APT ist "IXESHE" (auf englisch ausgesprochen als "i-sushi"), den Trend Micro in einem Whitepaper beschreibt. Das Besondere an "IXESHE": Als Command&Control-Server werden kompromittierte Rechner innerhalb der angegriffenen Organisationen und Unternehmen verwendet.
- Über gezielte Angriffe auf syrische Aktivisten berichtet F-Secure.
- Sophos berichtet, dass der Director General des britischen MI5, Jonathan Evans, vor den "staatlich gesponserten Angriffen" als neuer Form der Cyberkriminalität warnt, und liefert auch gleich etliche Beispiele.
Damit soll das Thema "Advanced Persistent Threats" zumindest vorerst beendet sein. Womit es in der nächsten Folge weiter geht, weiß ich noch nicht. Ich habe mehrere Themen im Blick und werde mich vermutlich erst kurzfristig für eines entscheiden.
Übersicht über alle Artikel zum Thema
- Was ist ein Advanced Persistent Threat (APT)?
- Ein bekannter Advanced Persistent Threat: Operation Aurora
- Ein weiterer bekannter Advanced Persistent Threat: Stuxnet
- Noch ein bekannter Advanced Persistent Threat: Der Angriff auf RSA
- Kann man Advanced Persistent Threats erkennen?
- Advanced Persistent Threats - Wo verrät sich der Angreifer?
- Advanced Persistent Threats - So verrät sich der Angreifer!
- Gezielte Angriffe und Advanced Persistent Threats
- Advanced Persistent Threats gegen tibetische Aktivisten und mehr
Trackbacks
Dipl.-Inform. Carsten Eilers am : Kommentare zum DNS-Changer, der ersten "Schadsoftware" in Apples App Store und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues zu den 0-Day-Schwachstellen in Java
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Angriffe auf mTAN, tibetische Aktivisten, Windows 8 und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues zu Java-Versionen, Android Packages, einem Rootkit und SSL/TLS
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Code Signing - Auch Schadsoftware kann signiert sein
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Wasserloch-Angriffe, Teil 1: Ein paar Beispiele
Vorschau anzeigen