SPECIAL REPORT. POISON IVY: Schadensbeurteilung und Datenanalyse SECURITY REIMAGINED

Transkript

1 SPECIAL REPORT POISON IVY: Schadensbeurteilung und Datenanalyse SECURITY REIMAGINED

2 INHALT Kurzfassung...2 Einleitung... 3 Technische Analyse...4 Datenextraktion Analyse von Poison Ivy-Exemplaren...14 Fazit Über FireEye

3 Kurzfassung Remote Access Tools (RATs) werden in IT-Sicherheitskreisen oft als Stützräder für Hacker belächelt. Ein Unterschätzen dieser weit verbreiteten Art von Malware kann jedoch kostspielige Folgen haben. Obwohl RATs als Lieblingsspielzeug von sogenannten Skriptkiddies gelten, sind sie auch ein wichtiger Bestandteil fortschrittlicher Cyberangriffe. RATs sind insbesondere deshalb attraktiv, da sie auch Hackern mit wenig technischem Know-how uneingeschränkten Zugang zu fremden Computersystemen ermöglichen. Die Handhabung ist verblüffend einfach: Mit simpler Maussteuerung können sich Angreifer durch ein Zielnetzwerk bewegen, um Daten und geistiges Eigentum zu stehlen. Oft spielen die Tools eine zentrale Rolle bei koordinierten Angriffen, die bisher unbekannte Schwachstellen in Software ausnutzen (Zero-Day-Angriffe) und mit Social-Engineering- Taktiken arbeiten. Selbst wenn Sicherheitsexperten Entwarnung geben: Hinter einem RAT kann sich ein gezielter Angriff verbergen ein sogenannter Advanced Persistent Threat (APT). Anders als Schadsoftware, die auf opportunistische Cyberkriminalität spezialisiert ist und automatisierte Botnets nutzt, müssen RATs von einer Person bedient werden. Im Zentrum dieses Berichts steht das Tool Poison Ivy (PIVY), ein RAT, das sich trotz seines Alters von acht Jahren und seiner Bekanntheit in IT- Sicherheitskreisen noch immer größter Beliebtheit bei Angreifern erfreut. Im Zuge dieser Studie veröffentlicht FireEye Calamine, ein Set von Tools, mit denen Unternehmen eine Infizierung durch Poison Ivy erkennen und betroffene Systeme analysieren können. Poison Ivy kam bei einer Vielzahl von Malware- Kampagnen zum Einsatz. Prominentestes Opfer war das Unternehmen RSA Security, dessen Sicherheitslösung SecurID-Token 2011 ausgespäht wurde. Im gleichen Jahr war Poison Ivy an einer Kampagne beteiligt, die sich unter dem Codenamen Nitro gegen Chemiekonzerne, Behörden, Rüstungsfirmen und Menschenrechtsorganisationen richtete. Auch verschiedene aktuelle Cyberkampagnen werden mit Poison Ivy in Verbindung gebracht: Vornehmliches Ziel dieser seit 2008 laufenden Kampagne ist die Finanzdienstleistungsbranche. Weitere Ziele sind Telekommunikationsfirmen, staatliche Institutionen und die Rüstungsindustrie. th3bug Die erstmals 2009 bekannt gewordene Kampagne nimmt verschiedene Branchen ins Visier, darunter auch das Bildungs- und Gesundheitswesen. menupass Diese ebenfalls 2009 gestartete Kampagne wird auf chinesische Hacker zurückgeführt und zielt auf Rüstungsfirmen in den USA und Übersee ab. Die Gründe, warum Poison Ivy weiterhin so populär ist, liegen auf der Hand. Das Tool wird über eine vertraute Windows-Oberfläche gesteuert und stellt dem Benutzer eine Fülle 2

4 praktischer Funktionen bereit: das Aufzeichnen von Tastatureingaben, Bildschirminhalten und Videos, Dateiübertragungen, Kennwortdiebstahl, Systemadministration, die Umleitung von Datenverkehr usw. Aufgrund der weiten Verbreitung können Angriffe, die mit Poison Ivy durchgeführt wurden, nicht ohne Weiteres zu bestimmten Personen zurückverfolgt werden. Mit Calamine will FireEye dazu beitragen, dieser Anonymität ein Ende zu setzen. Unternehmen erhalten hilfreiche Daten, die Aufschluss über das Verhalten und die Kommunikation von Poison Ivy geben. Das Paket besteht aus folgenden Komponenten: PIVY-Tool zur Decodierung von Callbacks (ChopShop-Modul) PIVY-Tool zur Speicherdecodierung (Immunity Debugger PyCommand-Skript) ChopShop 1 ist ein neues, von der MITRE Corporation entwickeltes Framework für netzwerkbasierte Protokolldecoder, mit dem Sicherheitsexperten an Endpunkte gerichtete Steuerbefehle verfolgen können, die am anderen Ende eingegeben werden. Das PIVY-Modul für ChopShop entschlüsselt den von Poison Ivy initiierten Netzwerkdatenverkehr. Bei PyCommands handelt es sich um Python- Skripte, die Tasks für Immunity Debugger automatisieren, ein beliebtes Tool zur Analyse von Malware-Binärdateien. 2 Das FireEye PyCommand-Skript gibt einen Dump der Konfigurationsinformationen eines PIVY- Prozesses aus, der auf einem infizierten Endpunkt aktiv ist. Hierdurch können weitere Anhaltspunkte über den Angreifer gesammelt werden. Die Calamine-Tools von FireEye sind unter der 2-Klausel-BSD-Lizenz 3 weltweit für die kommerzielle und private Nutzung freigegeben. Die Tools können unter folgender Adresse heruntergeladen werden: Durch die Überwachung des PIVY-Servers können die folgenden Informationen gewonnen werden: Domains und IP-Adressen, die für die Kommunikation mit Command-and-Control- Servern (CnC) verwendet werden Prozess-Mutex des PIVY-Prozesses PIVY-Kennwort des Angreifers Schadcode der Malware-Dropper Zeitlicher Ablauf von Malware-Aktivitäten Dieser Bericht erläutert, welche Schlussfolgerungen aus diesen und anderen Angriffsdaten Calamine ermöglicht. Diese Indizien sind besonders hilfreich, wenn sie mit anderen Angriffen verglichen werden können, die die gleichen Merkmale aufweisen. Durch einen Abgleich dieser Fakten mit strategischen Bedrohungsdaten können Profile von Bedrohungsurhebern erstellt und IT- Abwehrmaßnahmen verbessert werden. Auch wenn Calamine den Einsatz von Poison Ivy nicht verhindern kann, wird es die kriminellen Machenschaften von Angreifern deutlich erschweren. 1 ChopShop kann unter folgender Adresse heruntergeladen werden: 2 Immunity Debugger ist erhältlich unter 3 Die Vorlage zur 2-Klausel-BSD-Lizenz der Open Source Initiative finden Sie unter 3

5 Einleitung Poison Ivy ist ein kostenloses Remote Access Tool (RAT), das über die offizielle Website www. poisonivy-rat.com erhältlich ist. Das erstmals 2005 veröffentlichte Tool wurde seit 2008 und Version nicht weiterentwickelt. Poison Ivy verfügt über viele Funktionen, die typisch für Windows-RATs sind. Hierzu gehören das Aufzeichnen von Tastatureingaben, Bildschirminhalten und Videos, Dateiübertragungen, Systemadministration, Kennwortdiebstahl sowie die Umleitung von Datenverkehr. Seine Benutzerfreundlichkeit und allgemeine Verfügbarkeit machen Poison Ivy zu einem populären Tool für Cyberkriminelle. Größte Bekanntheit erlangte es jedoch durch seine Rolle in gezielten APT-Angriffen, die in der Öffentlichkeit hohe Wellen schlugen. Diese APTs nutzen RATs, um eine ständige Präsenz im Netzwerk des Angriffsziels aufrechtzuerhalten. Sie breiten sich im System aus und verschaffen sich nach Belieben unbefugten Zugriff auf vertrauliche Informationen. 4,5 Da einige der für gezielte Angriffe verwendeten RATs frei erhältlich sind, kann mitunter nicht eindeutig festgestellt werden, ob ein Angriff Teil einer umfassenderen APT-Kampagne ist. Ebenso schwierig ist das Ausfindigmachen gefährlichen Datenverkehrs, um die Aktivitäten des Angreifers nach der Infizierung nachzuverfolgen und das Schadensausmaß näher zu bestimmen, da RATs häufig ihre Netzwerkkommunikation nach dem Exploit verschlüsseln. 2011, also drei Jahre nach Veröffentlichung der letzten Version von PIVY, drangen Angreifer mithilfe des Fernwartungstools in das System des IT- Sicherheitsunternehmens RSA ein, um Daten zumnauthentifizierungssystem SecureID zu entwenden. Die erbeuteten Daten wurden anschließend für andere Angriffe verwendet. 6 Der RSA-Angriff wurde mit chinesischen Hackern in Verbindung gebracht und galt seinerzeit als äußerst raffiniert. Er nutzte eine Zero-Day-Schwachstelle aus und installierte PIVY als Schadcode auf dem Zielsystem. 7,8 Und dies war beileibe kein Einzelfall. Die Kampagne wurde offenbar bereits 2010 gestartet und betraf eine Vielzahl weiterer Unternehmen. 9 PIVY war 2011 auch entscheidend an den Nitro -Angriffen beteiligt, die Chemiekonzerne, Behörden, Rüstungsfirmen und Menschenrechtsorganisationen ins Visier nahmen. 10,11 Ein Jahr später nutzten die Täter eine Zero-Day-Schwachstelle in Java, um PIVY erneut in Stellung zu bringen. 12 Erst kürzlich wurde PIVY im Rahmen einer gezielten Website-Infizierung (auch Strategic Web Compromise genannt) als Schadcode eines Zero-Day-Exploits für Internet Explorer eingeschleust. Der Angriff richtete sich u. a. gegen Besucher der Website eines US- Ministeriums. 13 RATs müssen direkt und in Echtzeit vom APT- Angreifer gesteuert werden. Dies ist ein wesentlicher Unterschied zu Crimeware (Malware, die auf Cybercrime-Aktivitäten spezialisiert ist). Bei dieser können Täter bei Bedarf Befehle an das Botnet senden und die infizierten Systeme etwa anweisen, Spam zu versenden. Im Gegensatz dazu werden RATs für weitaus spezifischere Ziele eingesetzt und können ein Anhaltspunkt dafür sein, dass Sie es mit einem einzelnen Angreifer zu tun haben, der es auf Ihr Unternehmen abgesehen hat. Technische Analyse Erstellung und Bereitstellung 4 Joe Stewart: The Sin Digoo Affair, Februar Nart Villeneuve: Trends in Targeted Attacks, Oktober eweek: Northrop Grumman, L-3 Communications Hacked via Cloned RSA SecurID Tokens, Juni RSA FraudAction Research Labs: Anatomy of an Attack, April CNET: Attack on RSA used Zero-Day-Angriffe Flash exploit in Excel, April Brian Krebs: Who Else Was Hit by the RSA Attackers?, Oktober Eric Chien und Gavin O Gorman: The Nitro Attacks: Stealing Secrets from the Chemical Industry, Oktober GovCERTUK Computer Emergency Response Team: Targeted Attack Alert, Oktober Symantec: Java Zero-Day Used in Targeted Attack Campaign, August Yichong Lin: IE Zero Day is Used in DoL Watering Hole Attack, Mai

6 Der Builder Kit für Poison Ivy ermöglicht Angreifern die Erstellung eines eigenen PIVY- Servers. Dieser wird als mobiler Code in ein infiziertes Zielsystem eingeschleust. Häufig wird dabei zur Täuschung der Opfer Social Engineering eingesetzt. Ist der Server auf einem Endpunkt einsatzbereit, verbindet er sich mit einem PIVY-Client, der auf dem System des Angreifers installiert ist, um diesem die Kontrolle über das Zielsystem zu verschaffen. Je nach Konfiguration kann der PIVY-Servercode auf dem Endpunkt auf verschiedene Art und Weise ausgeführt werden. Üblicherweise wird der Servercode dabei in zwei Abschnitte aufgeteilt: Initialisierungs- und Wartungscode Netzwerkcode Der Initialisierungs- und Wartungscode wird in den laufenden Prozess explorer.exe eingeschleust. Je nach Konfiguration startet der Netzwerkcode unbemerkt einen Webbrowser-Prozess (den Standardbrowser des Systems) und integriert sich mittels Codeinjektion in diesen Prozess. Der Netzwerkcode lädt anschließend die fehlenden Codebestandteile und Daten, welche für die volle Funktionalität benötigt werden, als Shellcode vom PIVY-Client herunter. Der neue Code wird auf dem Endpunkt im Kontext des Zielprozesses ausgeführt. Alle globalen Variablen, Konfigurationsparameter und Funktionszeiger werden im C-Datentyp struct gespeichert, der auch in die Zielprozesse und dabei sowohl in den Netzwerkcode als auch in den Initialisierungs- und Wartungscode injiziert wird. Dies hat den Nebeneffekt, dass alle CALL- Anweisungen und globale Variablenadressen als Offset auf ein Register verweisen, wenn der Code disassembliert wird. Der in den Prozess explorer. exe eingeschleuste Code wird im Gegensatz zu Abbildung 1: Konfigurationsparameter des PIVY-Servers werden an den PIVY- Client übermittelt 5

7 Abbildung 2: Daten und Funktionen, die als Offset auf das struct verweisen, auf welches das ESI- Register zeigt Abbildung 3: In unterschiedliche Speicherbereiche injizierte Funktionen im Prozess explorer.exe Abbildung 4: Der persistence - Thread in explorer.exe kann mit dem Process Explorer mühelos beendet werden 6

8 typischem Malware-Code Funktion für Funktion injiziert jeder mit seinem eigenen Speicherbereich, wobei die jeweiligen Funktionszeiger im struct eingetragen werden. Durch Aktivierung der PIVY-Option persistence wird ein WatchDog-Thread in explorer.exe injiziert, der automatisch den PIVY-Serverprozess erneut startet, wenn dieser vom Betriebssystem des Zielrechners unerwartet beendet wird. Die Keylogging-Funktion von PIVY wird ebenfalls im Prozess explorer.exe verankert. Command-and-Control-Protokoll Poison Ivy nutzt ein eigenes, komplexes Netzwerkprotokoll über TCP. Ein Großteil der Kommunikation wird mithilfe des Camellia- Algorithmus und einem 256-Bit-Schlüssel verschlüsselt. 14 Als Schlüssel dient ein Kennwort, das vom Angreifer bei der Erstellung des PIVY- Servers festgelegt wird. Das Kennwort lautet standardmäßig admin und kann als Klartext oder in Hexadezimalnotation im ASCII-Format angegeben werden. Das Kennwort wird mit Nullen auf 32 Byte aufgefüllt (256 Bit). Der Schlüssel wird zu Beginn der TCP-Sitzung mit einem Challenge-Response-Algorithmus validiert. Der PIVY-Server sendet 256 Byte zufällig generierter Daten an den PIVY-Client, der die Daten mithilfe des Schlüssels verschlüsselt und sie zur Validierung an den PIVY-Server zurücksendet. Viele der Daten, die PIVY zur Kommunikation verwendet, werden vor der Verschlüsselung mithilfe des Kompressionsalgorithmus LZNT1 von Microsoft komprimiert 15, der von PIVY über das Windows-API RtlCompressBuffer verwendet wird. Mithilfe des Protokolls werden verschlüsselte Datenabschnitte gesendet, denen der folgende verschlüsselte 32-Byte-Header vorangestellt wird: int command_id; int stream_id; int padded_chunk_size; int chunk_size; int decompressed_chunk_size; long total_stream_size; int padding; }; PI_chunk_header ist folgendermaßen aufgebaut: command_id Dieser Parameter bestimmt die PIVY-Funktion, auf die sich der Datenabschnitt bezieht. stream_id Dieser Teil bestimmt den Datenstrom, dem der Datenstrom zugeordnet ist. Das PIVYProtokoll unterstützt das gleichzeitige Senden mehrerer Datenströme. padded_chunk_ size Da es sich bei Camellia um eine 16-Byte- Blockchiffre handelt, werden die Header und Datenabschnitte mit Nullen aufgefüllt. chunk_size Datenabschnitte werden zu einem Datenstrom zusammengefasst, der beliebigen Daten enthalten kann: eine übertragene Datei, ausführbaren Shellcode, Rohdaten oder eine Bitmap-Datei mit Screenshot. decompressed_chunk_size Wenn sich dieser Wert vom Wert chunk_size unterscheidet, wird der Datenabschnitt mithilfe von LZNT1 komprimiert. total_stream_size Dieser Parameter bezeichnet die Gesamtgröße der Daten, die für den entsprechenden Parameter command_id gesendet werden. padding Dieser Parameter bezieht sich auf das Auffüllen mit Nullen auf bis zu 32 Byte. struct PI_chunk_header { 14 Weitere Informationen zu dieser von NTT entwickelten Blockchiffre finden Sie unter 15 Weitere Informationen zu diesem Komprimierungsverfahren finden Sie unter 7

9 Abbildung 5: Erstmalige Kontaktaufnahme durch PIVY Abbildung 6: PIVY- Datenabschnitte mit Headern 8

10 Das Modul Calamine ChopShop Der Poison Ivy-Decoder von FireEye prüft zu Beginn jeder TCP-Sitzung, ob von PIVY Challenge- Response-Sequenzen initiiert werden. Falls ja, versucht das Modul, die Antwort mithilfe eines oder mehrerer Kennwörter zu validieren, die als Argumente angegeben werden. Wurde kein Kennwort festgelegt, wird das Standardkennwort admin verwendet. Kennwörter können entweder als Klartext oder in Hexadezimalnotation im ASCII-Format angegeben werden. Bei mehreren Kennwörtern können Sie eine Textdatei mit einem Kennwort pro Zeile erstellen. Wenn der Decoder anhand eines bereitgestellten Kennworts die ersten PIVY- Datenströme identifiziert, decodiert er den Rest der relevanten Datenströme. Um das Modul ChopShop von FireEye zu verwenden, müssen Sie CamCrypt installieren. CamCrypt ist ein Python- Wrapper für eine Open-Source-Implementierung der Verschlüsselungsbibliothek von Camellia. 16 Die meisten Funktionen von PIVY werden in gewissem Umfang von diesem Modul abgedeckt. Hinweis: Wenn die PIVY-Datenströme keinem der angegebenen Kennwörter entsprechen, schlägt die Decodierung fehl. Glücklicherweise können Sie das festgelegte PIVY-Kennwort problemlos herausfinden, wenn ein Endpunkt mit PIVY oder einer Kopie des PIVY-Servercodes infiziert wurde (siehe Abschnitt Abrufen des PIVY-Kennworts mithilfe des Calamine PyCommand-Skripts ). Hinweise zur Nutzung von Calamine ChopShop Calamine ChopShop verfügt über folgende Funktionen und Optionen: Dateien, die von dem oder an den PIVY- Server übertragen werden, werden mithilfe der Option -f auf der Festplatte gespeichert. Aufzeichnungen von Webcams, Tastatureingaben sowie Audio- und Bildschirmaufnahmen werden mithilfe der Option -c auf der Festplatte gespeichert. Die Audioaufnahmen werden als Rohdaten gespeichert, die mithilfe eines Tools wie SoX17 problemlos in WAV-Dateien konvertiert werden können. Der Decoder gibt dabei Abtastrate, Kanal und Bitdaten aus. Suchanfragen nach Dateien und Registry- Daten werden mitsamt ihrer Ergebnisse angezeigt. Einzelheiten zu initiierten Netzwerkumleitungen werden angezeigt. Eine Liste aktiver Ports wird angezeigt. Dieses Modul unterstützt teilweise die Decodierung von Listen von Windows-Dateien, Diensten, Prozessen, Geräten, der Registry sowie von Listen installierter Anwendungen. Während der Decodierung von PIVY-Datenströmen wird über die Standardausgabe des Moduls darauf hingewiesen, dass Listenanfragen gestellt wurden. Gegebenenfalls wird darauf hingewiesen, welcher Schlüssel oder welches Verzeichnis abgefragt wird. Verzeichnislisten werden ausgegeben, enthalten jedoch keine Dateiinformationen. Wenn das Modul mit der Funktion -1 aufgerufen wird, werden alle zurückgegebenen Daten so in einer Datei gespeichert, wie sie auf dem PIVY-Client angezeigt werden: als Kombination von Zeichenfolgen und Binärdaten, die diese Zeichenfolgen beschreiben. Wenn Sie weitere Informationen zu den aufgelisteten Elementen benötigen, können Sie das Strings-Tool auf Dumps von Rohdateien anwenden. 16 CamCrypt is available at 17 SoX is available at 9

11 Wenn Sie auf einen unbekannten Befehl stoßen oder die Funktionalität des Decoders erweitern möchten, können Sie die Option -d verwenden. Diese gibt einen Dump im Hexadezimalformat aus, der alle Header und assemblierten Datenströme in beide Richtungen enthält. Dies ist für die Analyse und weitere Auswertung hilfreich. Abrufen des PIVY-Kennworts mithilfe des Calamine PyCommand-Skripts Viele Angreifer behalten das Standardkennwort admin bei. In diesem Fall können Sie sofort mit der Nutzung des Decoders beginnen. Es ist jedoch wahrscheinlich, dass der Angreifer das Kennwort geändert hat, um sich besser zu schützen. Wenn Sie Zugang zu einem mit P IVY infizierten Endpunkt oder dem PIVY-Servercode haben, können Sie das Kennwort jedoch problemlos abrufen. Dafür gibt es je nach Situation und Vorlieben unterschiedliche Vorgehensweisen. Wenn Sie lieber mit Speicherdumps arbeiten, können wir Ihnen das exzellente Volatility-Plugin für PIVY von Forensikexperte Andreas Schuster empfehlen. 18 Volatility gibt Dumps aus, die einen Großteil der relevanten PIVY- Konfigurationsdaten einschließlich des Kennworts enthalten. Weitere Informationen finden Sie auf der Projektseite von Volatility ( browse/trunk/ contrib/plugins/malware/ poisonivy.py?r=2833). Wenn Sie eine Testumgebung zur Malware- Analyse verwenden, ist das Calamine PyCommand 19 -Skript für Immunity Debugger zu empfehlen, da dieses einfach und effizient zu bedienen ist. 1. Hängen Sie Immunity Debugger an den Prozess an, in den PIVY injiziert wird (oder an den PIVY-Prozess selbst, wenn PIVY nicht injiziert wurde). 2. Legen Sie Breakpoints für die Funktionen send und connect fest. 3. Fahren Sie mit der Ausführung fort. 4. Warten Sie, bis die Ausführung unterbrochen wird. 5. Führen Sie den Prozess weiter aus, bis die Funktion verlassen wird. 6. Führen Sie PyCommand aus. 7. Prüfen Sie, ob die Protokolle die Konfigurationsdaten enthalten. Schadensbeurteilung Um das Schadensausmaß eines Angriffs bewerten zu können, müssen Sie das Vorgehen des Täters rekonstruieren. Je nachdem, wie sorgfältig der Angreifer seine Spuren verwischt hat, ist eine Rekonstruktion allein mithilfe forensischer Daten vom betroffenen Host unter Umständen nicht möglich. Wenn jedoch Netzwerkaktivitäten von PIVY erfasst werden, kann das Modul Calamine ChopShop dabei helfen, diese Daten aufzudecken. Im folgenden Beispiel haben wir eine Testumgebung eingerichtet. In dieser wurden Befehle ausgeführt, die häufig von Angreifern nach der Infizierung eines Systems mit PIVY verwendet werden, um sich im Netzwerk auszubreiten. Anschließend haben wir mithilfe von Calamine ChopShop die Aktivitäten rekonstruiert. Folgen Sie diesen Schritten, um PyCommand zu nutzen (die Schritte können unter Umständen variieren): 18 The Volatility plugin is available at 19 Corelan Team. Starting to write Immunity Debugger PyCommands : my cheatsheet. January

12 Perspektive des Angriffsziels Perspektive des Angreifers Starting ChopShop Initializing Modules... Initializing module poisonivy_23x Transferred files will be saved.. Screen/Cam/Audio/Key captures will be saved.. Running Modules... [ :46:29 PDT] Poison Ivy Version:2.32 [ :46:30 PDT]*** Host Information*** PI profile ID: mal IP address: Hostname: BLUE Windows User: admin Windows Version: Windows XP Windows Build: 2600 Service Pack: Service Pack 3 [ :46:36 PDT] *** Shell Session *** Microsoft Windows XP [Version ] (C) Copyright Microsoft Corp. C:\> [ :46:42 PDT] *** Shell Session *** ipconfig [ :46:43 PDT] *** Shell Session *** Windows IP Configuration Connection-specific DNS Suffix. : IP Address : Subnet Mask : Default Gateway : C:\> 11

13 Perspektive des Angriffsziels Perspektive des Angreifers [ :47:23 PDT] inbound file C:\gsecdump.exe [ :47:46 PDT] saved PIextractedinboundfile-1-gsecdump.exe.. [ :47:46 PDT] *** Shell Session *** gsecdump.exe -a > hash.txt 0043B820 info: you must run as LocalSystem to dump LSA secrets [ :47:46 PDT] *** Shell Session *** C:\> [ :47:54 PDT] *** Directory Listing Sent *** AUTOEXEC.BAT boot.ini CONFIG.SYS gsecdump.exe hash.txt IO.SYS MSDOS.SYS NTDETECT.COM ntldr pagefile.sys [ :48:02 PDT] outbound file C:\hash.txt [ :48:02 PDT] saved PI-extractedoutboundfile-2-hash.txt

14 Perspektive des Angriffsziels Perspektive des Angreifers [ :48:57 PDT] *** Screen Capture Sent *** PI-extracted-file-3-screenshot.bmp saved.. [ :49:03 PDT] *** Remote Desktop Session *** [ :49:03 PDT] *** Remote Desktop Session *** Shutting Down Modules... Shutting Down poisonivy_23x Module Shutdown Complete... ChopShop Complete Abbildung 7: Beispiele von PIVY-Befehlen und Bildschirmansichten (links: Angriffsziel, rechts: Angreifer) Nach der Infizierung sehen die Angreifer, dass ein neuer Zielendpunkt verfügbar ist, und führen folgende Aktionen aus: Sie führen Standardbefehle wie ipconfig aus, um grundlegende Informationen über das Netzwerk zu erhalten. Sie laden das Hash-Extrahierungs-Tool gsecdump hoch (erhältlich unter truesec.se/sakerhet/verktyg/saakerhet/ gsecdump_v2.0b5). Sie schreiben die Hash-Werte von Kennwörtern auf dem Endpunkt in eine Datei. Sie laden die Datei mit den Hash-Werten der Kennwörter vom Endpunkt herunter (um die Kennwörter offline zu entschlüsseln). Sie erstellen einen Screenshot vom Desktop des Zielsystems. 13

15 Datenextraktion Ein APT-Angriff lässt sich als eine Kampagne beschreiben eine Angriffsserie, die sich über einen längeren Zeitraum erstreckt. Jeder einzelne Angriff innerhalb einer Kampagne kann in die folgenden Phasen untergliedert werden: 20,21,22 Ausspähen des Zielsystems Ausnutzen der Schwachstelle Übernahme der Kontrolle Ausbreiten im Netzwerk Datendiebstahl (oder andere schädliche Handlungen) In all diesen Phasen können Sie aufschlussreiche Informationen über Ihren Gegenspieler gewinnen. Sicherheitsexperten können anhand der gesammelten Daten festzustellen, ob die Angriffe auf Spionage mittels Malware hinauslaufen. Dies setzt die Kenntnis der folgenden Komponenten eines Angriffs voraus: Zeitplan und ausgewählte Ziele Exploits und Malware Netzwerkinfrastruktur Ausmaß der Aktivitäten im infizierten Netzwerk (einschließlich gestohlener Daten) Charakteristische Merkmale der Angriffsziele Für diese Beurteilung wird mehr als eine bloße Malware-Analyse benötigt. Sie erfordert vielmehr eine Analyse der technischen Aspekte und des Kontexts einer Sicherheitsverletzung sowie die Auseinandersetzung mit anderen Hypothesen. 23,24 Dies ist wichtig, da meist entweder das Wissen über die geografische Ausbreitung des Angriffs und die betroffenen Branchen begrenzt ist oder Malware-Aktivitäten in bestimmten Phasen eines Angriffs nicht vollständig überblickt werden können. Analyse von Poison Ivy-Exemplaren Für diese Analyse wurden 194 Poison Ivy- Exemplare gesammelt, die bei gezielten Angriffen zwischen 2008 und 2013 verwendet wurden. Daraus haben wir 22 verschiedene Kennwörter und 148 Mutex-Werte extrahiert. Zudem wurde ein Abbild der CnC-Infrastruktur erstellt, die aus 147 Domains und 165 IP-Adressen bestand. Wir haben die Exemplare analysiert, um die von den Angreifern verwendeten Tools, Taktiken und Prozesse (TTPs) besser zu verstehen, sie Kampagnen zuzuordnen und damit den Angegriffenen die Möglichkeit zu geben, ihr Netzwerk besser zu schützen. Neben der Gruppierung der Exemplare anhand von technischen Kriterien wie Kennwörtern und extrahierten CnC-Daten haben wir auch Verhaltensmuster wie bevorzugte Angriffsziele und Social-Engineering-Strategien analysiert. Jeder PIVY-Server (also die Malware, die der Angreifer an das Ziel sendet) kann so konfiguriert werden, dass er über einen beliebigen TCP-Port mit mehreren CnC-Servern in Verbindung tritt. Deshalb kommt es häufig vor, dass sich eine 20 SANS Computer Forensics: Security Intelligence: Defining APT Campaigns, Juni SANS Computer Forensics: Security Intelligence: Attacking the Cyber Kill Chain, Oktober Richard Bejtlich: Incident Phases of Compromise, Juni Richard Bejtlich: Attribution Is Not Just Malware Analysis, Januar Jeffrey Carr: Mandiant APT1 Report Has Critical Analytic Flaws, Februar

16 PIVY-Instanz über verschiedene TCP-Ports mit mehreren CnC-Servern verbindet. Am häufigsten werden im Rahmen gezielter Angriffe die der Datenübertragung im Web dienenden Ports genutzt insbesondere Port 443, der für SSLverschlüsselten Webdatenverkehr reserviert ist. Port 443 ist aus zwei Gründen von zentraler Bedeutung: Erstens muss ausgehender Datenverkehr über diesen Port von Abwehrmaßnahmen am Perimeter zugelassen werden, damit Benutzer auf mit SSL verschlüsselte Websites zugreifen können. Zweitens kann verschlüsselter PIVY- Datenverkehr fälschlicherweise als normaler Datenverkehr interpretiert werden, da Datenverkehr über Port 443 stets verschlüsselt wird. (Viele protokollsensitive Firewalls erkennen PIVY-Datenverkehr jedoch und warnen vor diesem.) Tabelle 1: TCP-Ports, die von PIVY-Varianten bei APT- Angriffen verwendet wurden Verwendeter TCP-Port Anzahl der PIVY-Exemplare Tabelle 2: Prozess-Mutex-Werte von PIVY-Varianten, die bei APT-Angriffen zum Einsatz kamen PIVY-Prozess-Mutex Anzahl der PIVY-Exemplare )!VoqA.I4 14 K^DJA^#FE 4 KEIVH^#$S 3 %1Sjfhtd8 3 2SF#@R@#!

17 Der Angreifer kann den Wert für den PIVY- Prozessmutex bei der Servererstellung festlegen. 25 Manche Angreifer verwenden zwar den Standardwert )!VoqA.I4, meist wird jedoch für jeden Angriff ein eigener Mutex verwendet. Von den 147 Mutex-Werten in unserer Stichprobe waren 56 für die einmalige Verwendung vorgesehen. Wenn Angreifer zum Zeitpunkt der Erstellung ein eindeutiges Kennwort erstellen, statt das Standardkennwort admin zu verwenden, ist dieses benutzerdefinierte Kennwort das beste Merkmal. Obwohl das Kennwort jederzeit geändert werden kann, haben wir beobachtet, dass Angreifer häufig für lange Zeit dasselbe Kennwort verwenden. In Verbindung mit CnC- Daten können die von Tätern verwendeten Kennwörter eindeutige Hinweise liefern, die eine Zuordnung verwandter Aktivitäten ermöglichen. Zuordnung der Exemplare Um die Aktivitäten der PIVY-Exemplare bestimmten APT-Kampagnen zuzuordnen, haben wir sie zunächst anhand gemeinsam genutzter CnC-Infrastrukturen in Gruppen eingeteilt. Mithilfe von passiven DNS-Daten haben wir Domains gruppiert, die auf gemeinsame IP- Adresse verwiesen. Da Angreifer ihre Domains unter Umständen parken, indem sie ihnen IP-Adressen zuordnen, die sie nicht unbedingt kontrollieren (und um andere Anomalien in den passiven DNS-Daten zu erklären), haben wir zusätzliche Daten aus den PIVY-Exemplaren extrahiert. Hierzu zählen PIVY-Kennwörter, Mutex-Werte, Kampagnenkennzeichen und -codes 26 sowie Angaben zum verwendeten Launcher. 27 Von diesen Daten ausgehend haben wir uns auf drei verschiedene APT-Kampagnen und die betreffenden Angreifer konzentriert, die wir anhand des PIVY-Kennworts identifizieren konnten, das bei mehreren Angriffen verwendet wurde: Tabelle 3: PIVY-Kennwörter von PIVY-Varianten, die bei APT- Angriffen zum Einsatz kamen PIVY-Kennwort Anzahl der PIVY-Exemplare admin 38 keaidestone 35 menupass 24 suzuki 14 happyyongzi Ein Mutex ist ein Windows-Objekt, das zur prozessübergreifenden Synchronisierung verwendet wird. Mithilfe von Mutexen stellt Schadsoftware meist sicher, dass auf einem infizierten System immer nur eine Instanz der Malware ausgeführt wird. 26 Ein Kampagnenkennzeichen oder -code ist in der Regel ein String, der vom Angreifer in die Malware-Kommunikation und/oder in Malware-Binärdateien eingebettet wird. Er dient der Kennzeichnung gezielter Kampagnen gegen ausgewählte Ziele (meist nach Branche unterteilt), damit die Angriffe besser eingeordnet werden können. 27 Launcher sind Malware-Schadcode, der zum Laden weiterer Malware verwendet wird (Payload). Häufig wird dabei die Payload verschlüsselt und in einen Hostprozess auf dem Endpunkt des Zielsystems injiziert. 16

18 th3bug menupass Auf die einzelnen Kampagnen wird in den nächsten Abschnitten näher eingegangen. Um den Zeitpunkt der wahrscheinlichen PIVY- Nutzung zu ermitteln, haben wir die aus den PIVY-Exemplaren extrahierte Kompilierzeit der Portable Executable (PE) und das Datum verwendet, an dem ein Exemplar erstmals von Webdiensten wie VirusTotal verzeichnet wurde. Alle diese APT- Kampagnen waren von 2008 bis 2013 aktiv. Kampagne 1: Für den Angreifer stand uns folgende Stichprobe zur Verfügung: 21 Poison Ivy-Exemplare 3 Kennwörter 43 CnC-Server Figure 9: Percent of admin@338 APT group attacks by industry 17

19 Das erste uns vorliegende PIVY-Exemplar von datiert vom 27. Dezember Wir nehmen jedoch an, dass die Kampagne unter Verwendung anderer PIVY-Kennwörter bereits seit dem 7. Januar 2008 aktiv war und Diese noch andauernde Kampagne konzentriert sich überwiegend auf die Bereiche Finanzen, Wirtschaft und Handelspolitik. Außerdem betroffen sind die Sektoren ISP/ Telekommunikation, staatliche Institutionen und Rüstung. Angriffsvektor Die Angriffe werden überwiegend durch Spear- Phishing-Mails eingeleitet. Diese s sollen Opfer mit für sie relevanten Inhalten dazu bewegen, einen Dateianhang zu öffnen, der den PIVY-Servercode enthält. Text und zur Täuschung der Ziele verwendete Dokumente sind dabei für gewöhnlich in englischer Sprache verfasst obwohl für den Nachrichtentext ein chinesischer Zeichensatz verwendet wird (GB2312, siehe Abbildung 10). 28 Abbildung 10: Beispiel einer Spear- Fishing- der APT-Gruppe 28 Wikipedia: GB 2312, Februar

20 Vorbereitung der Angriffsmittel Bei dieser Kampagne kamen Microsoft Word- Dokumente (CVE ) 29, PDF-Dateien (CVE ) 30 und Microsoft-Hilfedateien (HLP) zum Einsatz, um den PIVY-Schadcode in Zielsysteme einzuschleusen. Die schädlichen Dokumente haben meist einen inhaltlichen Bezug zum Text der Spear-Fishing- Mail und sind für das Angriffsziel von Interesse. Es handelt sich um auf den ersten Blick normale Dokumente in englischer Sprache, die allerdings Schadcode enthalten. Zuordnung der Exemplare Neben dem PIVY-Kennwort haben wir die Angriffe mithilfe von passiven DNS-Daten anhand der IP-Adressen zusammengefasst, auf die die CnC-Servernamen verwiesen haben. Auf diese Weise konnten wir gemeinsame IP-Adressen unter den PIVY-Exemplaren für und ermitteln. Wir können das Kennwort über folgende Verbindungen mit dem Kennwort in Verbindung bringen: Abbildung 11: GB2312-Kodierung in einer Spear-Fishing- der APT-Gruppe Abbildung 12: Inhalt eines Dateianhangs, der von der APT- Gruppe versendet wurde 29 National Institute of Standards and Technology: Vulnerability Summary for CVE , April National Institute of Standards and Technology: Vulnerability Summary for CVE , Dezember