Digitale Spurensuche: Sieben Hinweise auf die Urheber komplexer Cyberangriffe

Ähnliche Dokumente
REPORT DIGITALE SPURENSUCHE: Sieben Hinweise auf die Urheber komplexer Cyberangriffe SECURITY REIMAGINED

Daten, geistiges Eigentum und Marken effektiv vor Cyberangriffen schützen

Installationsanleitung - Command WorkStation 5.6 mit Fiery Extended Applications 4.2

Das Kaspersky Threat Intelligence Portal: Vorfallsuntersuchung und -reaktion

SECURITY REIMAGINED. FireEye Network Threat Prevention Platform. Threat-Prevention-Plattform zur Bekämpfung von Cyberangriffen

Versteckte und komplexe Angriffe schnell erkennen, analysieren und reagieren

Google Cloud Print Anleitung

Technical Solutions & Consulting

Digitale Unterschriften

NEUE BEDROHUNGEN AM ENDPUNKT WAPPNEN SIE SICH JETZT MIT TRAPS 4.1

Komplette Website Sicherheit. Sicherheit von A bis Z.

DIE AKTUELLE BEDROHUNGSLAGE

Installation von PRAXIDENT-KFO auf einem neuen Arbeitsplatz (Nebenrechner / Client) mit vorhandenem Server für Fachleute

Anleitung für Google Cloud Print

Google Cloud Print Anleitung

McAFEE-LÖSUNG FÜR INTEGRIERTE BEDROHUNGSABWEHR

2. Automotive SupplierS Day. Security

McAfee Threat-Report: Erstes Quartal 2013

KASPERSKY INTERNET SECURITY 2011 UND KASPERSKY ANTI-VIRUS 2011 COPY POINTS

How to hack your critical infrastructure

G DATA Mobile Malware Report

Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen

Mit WhatsApp telefonieren und anderes mehr

Benutzerhandbuch Brother Software Licence Management Tool

PGP. Warum es gut ist. Sascha Hesseler [Datum]

Cisco-Studie: Unternehmen zunehmend im Fadenkreuz von Erpressungssoftware

TC CLIENT CERTIFICATES

BfV Cyber-Brief. Nr. 02/ Hinweis auf aktuelle Angriffskampagne - Kontakt: Bundesamt für Verfassungsschutz Referat 4D2/4D3 0221/

WIE SICHER IST DER INHALT IHRER S? Sicher mit Secure -as-a-Service

Präsentation IKS. Desktop Personal Firewall (DPF) Virenscanner

Warnmeldung für Unternehmen und Behörden

WINDOWS 10. Modul 1 - Grundlagen

Aufsetzen des HIN Abos und des HIN Praxispakets

Cockpit Update Manager

JMP 7 Administrator-Handbuch für Windows-, Macintosh- und Linuxversionen

Cyber defense. ZKI Frühjahrstagung Frankfurt (Oder), 8. März 2016 Dr. Bernd Eßer

Network Storage Link

S7: Java als Sicherheitsrisiko security-zone Renato Ettisberger

Chip-Tuner Schnellstart

Sticky-Keys-Attacke: Wenn sich das Betriebssystem gegen Sie richtet

Erkennung von Angriffen auf Industrieanlagen Alternative Ansätze vs. Methoden der Office-IT

Schnellstart: Registrieren Sie sich für das Microsoft Business Center

Ketzerische Gedanken zur IT- Sicherheit. Dr. Nabil Alsabah Bereichsleiter IT-Sicherheit, Bitkom

Datenschutz in Zeiten der Digitalisierung

Endpoint Web Control Übersichtsanleitung

Administrator: -to-Fax

Schutz vor moderner Malware

NCP Android Client zu AVM FRITZ!Box

Digitale Wirtschaftsspionage Deutsche Wirtschaft im Fokus fremder Nachrichtendienste

VPN in 5 Minuten. bintec VPN Gateway. Konfigurationsanleitung für den FEC VPN Testzugang

WLAN Nutzung an der HTL Kapfenberg

FortiSandbox. Der intelligentere und integrierte Ansatz gegen heutige Angriffe. Frank Barthel, Senior System Engineer

Installationsanleitung

Inbetriebnahme Chiligreen Home Server 2011

L2TP/IPsec VPN-Verbindung unter Windows 8 zur Synology DiskStation einrichten

Sie können ebenfalls ganz einfach eine Weiterleitung auf eine bereits vorhandene -Adresse einschalten.

Anleitung zur Benutzung des Admin Control Panel

Installation von Windows 10

Berechtigungsverwalter 1.0 Installationsanleitung

Schutz vor Malware - Antivirensoftware

IT-Sicherheit. Referent: Michael Harenberg (IT-Sicherheitsbeauftragter, VR-Bank eg) Folie 1. Quelle: FIDUCIA IT AG

Software-Factory Rathausplatz 9 CH-6210 Sursee Schweiz

BRL FileBox Anleitung online

Handbuch Wi-Fi Direct

DOKUMENTATION DER SCHNITTSTELLEN

Hacking for your security - Penetration Testing

Hinweis zur Erreichbarkeit unserer Support-Hotline per Bitte nutzen Sie ab sofort zur Kontaktaufnahme per die folgende Adresse:

AirPrint Anleitung. Dokumentation für Inkjet-Modelle. Version B GER

Windows Server 2012 Technische Daten zur Virtualisierung

Softwaredatenblatt #VDJ (für Windows PC und Mac)

ELIT2012: Security. Security: Potentielle Gefahren und Gegenmaßnahmen

eco Cybersicherheit ein Bild zur Lage der Nation und zu Windows 10

Vielen Dank für Ihre Aufmerksamkeit!

Wie erreiche ich was?

Benutzerhandbuch. Firmware-Update für Cherry ehealth Produkte Terminal ST-1503 und Tastatur G ZF Friedrichshafen AG Electronic Systems

2. Dabei wird für jede IP ein eigener Thread gestartet.

ProSecure Sales Training 4/6. Vielseitige Verteidigung des SMB

Router für BT-Professional MOBILE konfigurieren

Google Cloud Print Anleitung

AVG Free 201X Installation Die Screenshots sind von der Version 2014, gelten aber sinngemäß auch für neuere Versionen.

Übung - Einen Router erstmalig anschließen

Einzelprodukttest. Panda Adaptive Defense Dezember Letzte Überarbeitung: 12. Januar

Installationsanleitung

Initiative Tierwohl. Einrichtung des FTP-Zugangs zur Clearingstelle. In 5 Schritten zum sicheren FTP-Zugang. Version

Visualisierung & Absicherung von Anwendungen, Benutzern und Inhalten. Sichtbarkeit & Transparenz: Entscheidungsqualität?

P2PBlock Handbuch. P2PBlock

Trend Micro SMART PROTECTION NETWORK SMART FEEDBACK

Reale Angriffsszenarien Clientsysteme, Phishing & Co.

Leitfaden zur IT-Sicherheit für Anwender. PRESS Professional Learning

1.1 Datenbankprogramm Oracle für MCIS MDA

Bedienungsanleitung Wöhler A 550 Mess-App

Benutzerhandbuch: tele-look

Sophos Enterprise Console

Reale Angriffsszenarien Advanced Persistent Threats

Automatisierte Erkennung von netzwerk-steganographischer Daten-Exfiltration

Transkript:

Digitale Spurensuche: Sieben Hinweise auf die Urheber komplexer Cyberangriffe

Inhalt Kurzfassung 2 Einleitung 3 1. Zeichensatz und Tastaturbelegung 3 2. Malware-Metadaten 5 3. Eingebettete Schriftarten 6 4. DNS-Registrierung 7 5. Sprache 8 6. Konfiguration des Remote Administration Tools 10 7. Verhaltensmuster 12 Fazit 13 Über FireEye 14 FireEye, Inc. Digitale Spurensuche: Sieben Hinweise auf die Urheber komplexer Cyberangriffe 1

Kurzfassung Angesichts der aktuellen Bedrohungslage sind Informationen über die Gegenspieler ein wesentliches Elemente jeder Verteidigungsstrategie. Um Ihre Daten und Ihr geistiges Eigentum wirksam schützen zu können, müssen Sie wissen, wer die Angreifer sind, wie sie arbeiten und welche Ziele sie verfolgen. Wie an jedem anderen Tatort sind auch auf kompromittierten Computersystemen Spuren zu finden. Bei komplexen Cyberangriffen geben Angreifer durch ihren Malware-Code, ihre Phishing-E-Mails, die verwendeten Command-and-Control-Server (CnC-Server) und ihr Verhalten wichtige Informationen über sich preis. Fingerabdrücke, DNS- und Stoffanalysen sind aus der Forensik nicht mehr wegzudenken. Auch die Puzzleteile eines komplexen Cyberangriffs können dazu beitragen, selbst raffiniert vorgehende Angreifer zu enttarnen sofern man weiß, worauf zu achten ist. Der vorliegende Artikel stützt sich auf fast 1.500 Angriffskampagnen, die von FireEye verfolgt wurden. Anhand dieser Datenbasis werden die folgenden Aspekte von Malware-Angriffen dargelegt, die häufig Rückschlüsse auf die Täter zulassen: Zeichensatz und Tastaturbelegung. Phishing-E-Mails enthalten Angaben zu den von Angreifern verwendeten Zeichensätzen, die wiederum Hinweise auf Sprache und Region liefern. Malware-Metadaten. Im Code von Malware sind technische Informationen verborgen, die Rückschlüsse auf die Sprache und den Standort des Angreifers sowie auf Verbindungen zu anderen Kampagnen zulassen. Eingebettete Schriftarten. Die in Phishing-E-Mails eingestellten Schriftarten weisen auf den Ursprungsort des Angriffs hin. Dies gilt selbst dann, wenn die betreffenden Schriftarten normalerweise nicht für die Muttersprache des Angreifers verwendet werden. DNS-Registrierung. Anhand der bei Angriffen verwendeten Domains ist eine Lokalisierung des Angreifers möglich. Bei übereinstimmenden Einträgen können mehrere Domains einem einzigen Täter zugeordnet werden. Sprache. In Malware eingebettete Sprachfragmente weisen häufig auf das Ursprungsland des Angreifers hin. Anhand von typischen sprachlichen Fehlern in Phishing-E-Mails ist es unter Umständen möglich, die Muttersprache des Verfassers zu ermitteln. Konfiguration des Remote Administration Tools. Die verbreiteten Tools zur Erstellung von Malware verfügen über eine Vielzahl von Konfigurationsoptionen. Angreifer verwenden häufig eine charakteristische Kombination dieser Optionen, was eine Zuordnung verschiedener Angriffe zu einem Urheber ermöglicht. Verhaltensmuster. Charakteristische Verhaltensmuster wie Angriffsmethoden und Ziele erlauben Rückschlüsse auf die Strategien und Motive von Angreifern. Eine Untersuchung der Verhaltensmuster kann zu großen Fortschritten bei der Ermittlung der Urheber von Bedrohungen führen, sodass Sicherheitsexperten Unternehmen besser vor zukünftigen Cyberangriffen schützen können. FireEye, Inc. Digitale Spurensuche: Sieben Hinweise auf die Urheber komplexer Cyberangriffe 2

Einleitung Auch wenn Cyberangriffe in jüngster Zeit raffinierter und hartnäckiger geworden sind, gilt immer noch: Es gibt kein perfektes Verbrechen. In jeder Angriffsphase Ausspähen, Vorbereitung der Angriffsmittel, Einschleusen des Codes, Ausnutzen der Schwachstelle, Installation, Übernahme der Kontrolle, Durchsetzung der Ziele (meist Datendiebstahl) 1 werden unter Umständen digitale Spuren hinterlassen. Dies hat einen einfachen Grund: In jeder Phase kommen Angreifer und Ziel in irgendeiner Form miteinander in Berührung. In einigen Phasen erfolgt dieser Kontakt direkt, etwa in Form einer Phishing- E-Mail, in anderen indirekt, zum Beispiel bei einem Callback, der eine Verbindung zwischen den Computersystemen des Ziels und des Angreifers herstellt. In beiden Fällen besteht die Möglichkeit, mehr über den Angreifer in Erfahrung zu bringen. Eine kompetente Analyse dieser Informationen hilft Sicherheitsexperten, den Schaden zu begrenzen, befallene Systeme wiederherzustellen und zukünftige Angriffe vorherzusehen. Bitte beachten Sie: Die im vorliegenden Bericht vorgestellten Techniken der Computerforensik haben sich für FireEye-Analysten als hilfreich erwiesen, allerdings können Indizien auch irreführend und widersprüchlich sein. Die Analyse von Indizien ist Kunst und Wissenschaft zugleich, sie erfordert großen Aufwand und gewissenhaftes Vorgehen. In den wenigsten Fällen fördert sie einen zentralen, eindeutigen Beweis zutage. Cyberkriminelle sind Meister der Täuschung, nehmen Sie also nichts für bare Münze. FireEye empfiehlt nachdrücklich, keine voreiligen Schlüsse über den Ursprung eines Angriffs zu ziehen, immer Hinweise aus mehreren Quellen zu berücksichtigen und gegebenenfalls Experten für Computerforensik hinzuzuziehen. 1. Zeichensatz und Tastaturbelegung Das Attribut charset in den Kopfdaten von Phishing-E-Mails gibt den Zeichensatz der Nachricht an und ermöglicht damit Rückschlüsse auf die Tastatur, mit der ein bestimmtes Malware-Exemplar erstellt wurde. Bei den meisten Phishing-Versuchen wird ein westlicher Standardzeichensatz verwendet, der nicht auf ein bestimmtes Land hinweist. Handelt es sich nicht um einen Standardzeichensatz, ist das ein wichtiges Indiz. Analysten von FireEye haben bei vielen Malware-Kampagnen Hinweise darauf gefunden, dass sie den chinesischen Zeichensatz GB2312 verwenden, also auf einer Tastatur für Mandarin eingegeben wurden. Entsprechend ist die in Nordkorea gängige Zeichenkodierung KPS 9566 ein Hinweis darauf, dass eine Kampagne auf dieses Land zurückzuführen ist. Die Rückverfolgung eines Angriffs auf diese Weise ist allerdings nicht täuschungssicher. Theoretisch könnte zum Beispiel ein russischer Angreifer einen nordkoreanischen Zeichensatz verwenden, um seine Identität und seinen Aufenthaltsort zu verschleiern. Im März 2012 wandte sich FireEye-Sicherheitsanalyst Alex Lanstein per E-Mail an tibetanische Aktivisten, um sie vor einem Cyberangriff zu warnen. Die Angreifer beschafften sich über eines der Zielsysteme eine Kopie der Nachricht von Lanstein und nutzten diese anschließend selbst, um andere Aktivisten zu täuschen. Im Gegensatz zur der ursprünglichen E-Mail-Nachricht mit westlichem Zeichensatz (Windows-1252) wurde für die Kopie allerdings der Zeichensatz GB2312 verwendet, der auf einen Absender mit chinesischer Tastatur hinweist. 1 Eric M. Hutchins, Michael J. Cloppert und Rohan M. Amin (Lockheed Martin): Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains, November 2010. FireEye, Inc. Digitale Spurensuche: Sieben Hinweise auf die Urheber komplexer Cyberangriffe 3

Abbildung 1 zeigt die zur Täuschung verwendete E-Mail. Abbildung 2 zeigt die Kopfdaten mit dem Zeichensatz, der Rückschlüsse auf die Tastaturbelegung gestattet. Abbildung 1: An tibetanische Aktivisten versendete Phishing-E-Mail Abbildung 2: Zeichenkodierung in Phishing-E-Mail (siehe Abbildung 1) FireEye, Inc. Digitale Spurensuche: Sieben Hinweise auf die Urheber komplexer Cyberangriffe 4

2. Malware-Metadaten Im Binärcode von Malware finden sich oft Verweise auf das Verzeichnis, in dem sich der ursprüngliche Quellcode befand. Bei in C++ geschriebenen Programmen wird häufig ein Projektname genannt. Der Code kann selbst dann die Sprache oder das Herkunftsland des Angreifers verraten, wenn der Code und andere Merkmale des Angriffs auf die Sprache des Ziels zugeschnitten wurden. Abbildung 3 zeigt den Code für die dritte Phase eines aktuellen Angriffs. Der Angreifer hat in diesem Fall Beijing Rising International Software Co., einen chinesischen Hersteller von Antivirussoftware (der Aussprache entsprechend Ruixing geschrieben), mit einem Schimpfwort bedacht. Abbildung 3: Malware-Code, in dem der chinesischen Hersteller von Antivirussoftware Beijing Rising (der Aussprache entsprechend Ruixing geschrieben) beleidigt wird. Die Beleidigung wurde in der Abbildung unkenntlich gemacht. Abbildung 4 zeigt den Code für die zweite Phase eines bisher nicht veröffentlichten Angriffs. Es handelt sich um eine als PNG-Datei getarnte Programmdatei. Die Datei wurde nach dem ersten Einbruch in das System an den Endpunkt übermittelt. Der Code enthält einen Verweis auf eine PDB-Datei, die sich auf der Festplatte des Angreifers unter E:\pjts2008\moon\Release\MoonClient2.pdb befindet. (PDB-Dateien werden bei der Entwicklung von Programmen mit der Windows Plattform.NET verwendet.) Bei der Datei MoonClient, auf die hier verwiesen wird, handelt es sich um eine Variante der Malware WEBC2, die von der auch als CommentGroup bekannten chinesischen Hackergruppe APT1 verwendet wird. Abbildung 4: Eine dekodierte Programmdatei, der Verweis auf die PDB-Datei wurde hervorgehoben. FireEye, Inc. Digitale Spurensuche: Sieben Hinweise auf die Urheber komplexer Cyberangriffe 5

3. Eingebettete Schriftarten Wie das im Abschnitt Zeichensatz und Tastaturbelegung erörterte Attribut charset kann auch die in Phishing-E-Mails und anderen schädlichen Dokumenten verwendete Schriftart hilfreich sein, um einen APT-Angriff zurückzuverfolgen. Ein Beispiel hierfür ist der APT-Angriff Sanny, den FireEye-Analysten vor Kurzem aufgedeckt haben. Abbildung 5 zeigt das zur Täuschung der Ziele verwendete Dokument. Abbildung 5: Dokument in russischer Sprache, aber mit koreanischen Schriftarten Obwohl das Dokument in russischer Sprache verfasst und an russische Ziele gerichtet war, wurden die koreanischen Schriftarten Batang und KPCheongPong verwendet. Die Wahl der Schriftarten stimmte mit anderen Hinweisen wie dem Namen des Autors und den bei dem Angriff verwendeten CnC-Servern überein, die auf Nordkorea hindeuteten. In der Summe ließen diese Hinweise überzeugende Rückschlüsse auf die Herkunft des Angreifers zu. FireEye, Inc. Digitale Spurensuche: Sieben Hinweise auf die Urheber komplexer Cyberangriffe 6

4. DNS-Registrierung In einigen Fällen registrieren die Urheber von Bedrohungen kostenpflichtige Domains, um nicht von gängigen Malware-Abwehrmaßnahmen wie Domain-Sperrlisten erfasst zu werden. Die DNS- Registrierung weist oft direkt auf das Herkunftsland des Angreifers hin. Selbst DNS-Registrierungen mit falschen Namen und Adressen können bei der Tätersuche hilfreich sein, da die Angreifer die falschen Kontaktdaten in einigen Fällen für die Registrierung verschiedener Domains verwenden. Anhand von Übereinstimmungen können verschiedene Angriffe derselben Person zugeordnet und die dabei zusammengetragenen Informationen miteinander verknüpft werden. Ein typisches Beispiel: der Fall Sin Digoo. Zwischen 2004 und 2011 registrierte eine Person mit einer E-Mail-Adresse von Hotmail mehrere Domains unter demselben Namen. Dabei wurde als Anschrift ein Postfach in Sin Digoo, Californa angegeben, offensichtlich eine falsche Schreibweise von San Diego. Dank der übereinstimmenden Registrierungsdaten konnten auf den ersten Blick vereinzelte Malware-Angriffe einem größeren Muster von APTs zugeordnet werden. 2 Auf ähnliche Weise konnte der Malware-Analyst Nart Villeneuve anhand von DNS-Registrierungsdaten die chinesische Universität Zhejiang mit einem Angriff auf Amnesty Hongkong, Journalisten und Menschenrechtsaktivisten im Jahr 2010 in Verbindung bringen. 3 Auch FireEye konnte mithilfe von DNS-Registrierungsdaten vor Kurzem verschiedene Malware-Exemplare miteinander in Verbindung bringen, die einer Virusprüfung auf der Website VirusTotal unterzogen wurden (siehe Abbildung 6). Wahrscheinlich wollte der Angreifer testen, ob die Dateien als Viren erkannt werden. Abbildung 6: Beispiel für ein hochgeladenes Malware-Exemplar Der Bedrohungsurheber, der die Datei hochgeladen hatte, verschleiert den CnC-Versuch in der ersten Phase. In der zweiten Phase die nur dann einsehbar ist, wenn die Malware in einer aktiven Infrastruktur ausgeführt wird wird die Domain secureplanning.net verwendet (Abbildung 7), die auf eine Person mit einer wahrscheinlich falschen Anschrift in Neu-Delhi eingetragen ist. Abbildung 7: Übertragungsdaten für das an VirusTotal übermittelte Malware-Exemplar 2 Joe Stewart (Dell SecureWorks): The Sin Digoo Affair, Februar 2012. 3 Nart Villeneuve: Nobel Peace Prize, Amnesty HK and Malware, November 2010. FireEye, Inc. Digitale Spurensuche: Sieben Hinweise auf die Urheber komplexer Cyberangriffe 7

Die Registrierungsdaten sind kein zweifelsfreies Indiz. Ein geschickt vorgehender Angreifer könnte irreführende Kontaktdaten verwenden, um seine Spuren zu verwischen. In diesem Fall haben FireEye- Analysten jedoch mehr als 15 leicht veränderte Versionen der Malware beobachtet, die auf VirusTotal hochgeladen wurden. Bei allen Exemplaren erfolgten Verbindungsversuche zu Domains, die auf dieselbe Adresse in Neu-Delhi eingetragen waren, woraus sich ein deutlicheres Muster ergibt. 5. Sprache In vielen Fällen legen verschiedene Anzeichen den Schluss nahe, dass die in einer Malware-Kampagne verwendete Sprache nicht die Muttersprache des Angreifers ist, in einigen weisen sie sogar auf seine Herkunft hin. Offensichtliche Tipp- und Rechtschreibfehler sind ein deutliches Indiz. In manchen Fällen zeigen sich bei eingehender Analyse verräterische Anzeichen, die auf die Verwendung automatisierter Übersetzungsdienste im Internet hinweisen. Wenn Analysten wissen, wie beliebte Übersetzungs-Websites bestimmte Wörter und Phrasen handhaben, können sie die Ausgangssprache von Phishing-E-Mails rekonstruieren. Nehmen wir als Beispiel den viel diskutierten Angriff auf RSA im Jahr 2011. Zwei Gruppen, die mutmaßlich im Auftrag einer Regierung tätig sind, drangen in das Netzwerk des Unternehmens ein, um Daten der SecurID-Produkte von RSA zu entwenden. Bei dem Angriff wurde eine unbekannte Sicherheitslücke in Flash ausgenutzt, was auf ein hohes Maß an technischem Fachwissen schließen lässt. Die Phishing-E-Mail (Abbildung 8) ist allerdings in dürftigem Englisch verfasst und enthält eine unbeholfene (wenn auch letztlich erfolgreiche) Aufforderung, den Anhang zu öffnen. Diese Indizien legen den Schluss nahe, dass Englisch nicht die Muttersprache des Angreifers ist. Abbildung 8: Bei dem Angriff auf RSA im Jahr 2011 verwendete Phishing-E-Mail FireEye, Inc. Digitale Spurensuche: Sieben Hinweise auf die Urheber komplexer Cyberangriffe 8

In anderen Fällen können Sprachfragmente in der Malware eine Lokalisierung der Angreifer ermöglichen. Abbildung 9 zeigt einen Ausschnitt des Codes der Schadsoftware Backdoor.LV, der arabische Namen und Ausdrücke zur Kennzeichnung von Zielen enthält. Abbildung 9: Ausschnitt des Codes der Schadsoftware Backdoor.LV. Die hervorgehobene Zeichenfolge ist in Abbildung 10 in dekodierter Form dargestellt. Die markierte Zeichenfolge ergibt dekodiert den Text HacKed By Fayez Hacker_400CD510 (Abbildung 10). Abbildung 10: Ausschnitt von Backdoor.LV in dekodierter Form Der in Abbildung 11 gezeigte Code scheint von demselben Angreifer zu stammen. Die Zeichenfolge ergibt in dekodierter Form das Kennzeichen 400CD510, gefolgt von arabischen Schriftzeichen (Abbildung 12). Abbildung 11: Ein weiterer Malware- Ausschnitt, der Fayez zugeordnet werden kann. Die hervorgehobene Zeichenfolge ist in Abbildung 12 in dekodierter Form dargestellt. Abbildung 12: Das Kennzeichen 400CD510 und arabische Schriftzeichen FireEye, Inc. Digitale Spurensuche: Sieben Hinweise auf die Urheber komplexer Cyberangriffe 9

6. Konfiguration des Remote Administration Tools Bei Remote Administration Tools (RATs) handelt es sich um eine Form von Malware, mit dem sich Angreifer die Kontrolle über einen Computer verschaffen. Derartige Tools verfügen über verschiedene Funktionen wie das Aufzeichnen von Tastatureingaben, Bildschirminhalten und Videos, Dateiübertragungen, Systemadministration sowie Befehlszeilenzugang. Die kostenpflichtig oder kostenfrei erhältlichen RATs sind für Angreifer attraktiv, weil sie in der Regel ausgiebig getestet wurden und einen großen Funktionsumfang haben. Auf den ersten Blick erschweren RATs die Zuschreibung von Angriffen, schließlich sind sie für jedermann nutzbar. Zudem verwenden viele verschiedene Gruppen dieselben Tools. Aus den Konfigurationsmöglichkeiten ergibt sich allerdings eine Kombination von Einstellungen, die für jeden Angreifer charakteristisch ist. Kommt ein RAT wiederholt mit derselben Konfiguration zum Einsatz, weist dies auf denselben Angreifer hin. Ein Beispiel hierfür ist das verbreitete, acht Jahre alte RAT Poison Ivy. Zu den aufschlussreichsten Einstellungen des Tools zählen die Optionen ID, Group, Password und Process Mutex. Abbildung 13 zeigt die Felder ID und Password im Verbindungsfenster von Poison Ivy. Abbildung 14 zeigt das Feld Process Mutex im Fenster für die erweiterte Konfiguration. Abbildung 13: Das Verbindungsfenster von Poison Ivy. Die Felder ID und Password sind hervorgehoben. FireEye, Inc. Digitale Spurensuche: Sieben Hinweise auf die Urheber komplexer Cyberangriffe 10

Abbildung 14: Das Fenster für die erweiterte Konfiguration von Poison Ivy. Das Feld Process Mutex ist hervorgehoben Mithilfe von Volatility, einem Open Source-Framework für Speicherforensik, das Speicherauszüge analysiert, können die Konfigurationseinstellungen aus den kompilierten RATs ausgelesen werden. Die Felder ID und Group von Poison Ivy werden von Angreifern verwendet, um Ziele zu kennzeichnen und zu Gruppen zusammenzufassen. Wenn bei verschiedenen Angriffen dieselben IDs oder Gruppennamen verwendet werden, können die Angriffe miteinander in Beziehung gesetzt werden. Die Zeichenfolge im Kennwortfeld wird zur Verschlüsselung der Verbindungen von Poison Ivy verwendet. Die Voreinstellung, die häufig übernommen wird, lautet admin. Wird ein abweichendes Kennwort festgelegt, kann es als digitaler Fingerabdruck dienen, da die Kennwörter zwar individuell sind, von den Angreifern aber häufig bei mehreren Kampagnen verwendet werden. Bei einem Mutex handelt es sich im ein Programmobjekt, mit dem verhindert wird, dass mehrere Threads eines Programms gleichzeitig auf dieselben Ressourcen zugreifen. Im Fall von Poison Ivy dient das Mutex-Objekt als Kennzeichen für einen laufenden Poison Ivy-Prozess auf einem befallenen System. Auf diese Weise wird verhindert, dass mehr als eine Instanz des Tools gestartet wird. Als Voreinstellung verwendet Poison Ivy die Zeichenfolge )!VoqA.l4. Wie bei den in Poison Ivy festgelegten Kennwörtern ist jeder abweichende Wert normalerweise so charakteristisch, dass er als hilfreiches Indiz dienen kann. FireEye, Inc. Digitale Spurensuche: Sieben Hinweise auf die Urheber komplexer Cyberangriffe 11

7. Verhaltensmuster Der Mensch, so weiß ein bekanntes Sprichwort, ist ein Gewohnheitstier. Das gilt auch für die Urheber von Bedrohungen, bei denen bestimmte Verhaltensmuster zu beobachten sind: Sie konzentrieren sich auf dieselben Ziele, verwenden dieselben CnC-Server und legen ihren Schwerpunkt auf dieselben Branchen. Diese Muster können Aufschluss über die Herangehensweise, die Ziele und den Aufenthaltsort von Angreifern geben. Genau darum geht es beim Profiling von Bedrohungsurhebern. Ähnlich wie Kriminalermittler den Kreis möglicher Verdächtiger mithilfe von Täterprofilen einengen, können Sicherheitsanalysten Angreifer über einen längeren Zeitraum beobachten und bestimmte Muster erkennen. Auf diese Weise können sie Vorlieben einer Gruppe für bestimmte Herangehensweisen offenlegen. Auch die verwendeten Exploit-Toolkits und Strategien sind für die Erstellung eines Angreiferprofils hilfreich. Abbildung 15 zeigt vier verschiedene Angriffe, bei denen unterschiedliche Exploits, Lockmittel und Malware-Varianten zum Einsatz kamen. Sie haben allerdings eine Gemeinsamkeit: Ihr Ziel sind religiöse Aktivisten. Wie die Kopfdaten der E-Mails zeigen (Abbildung 16), wurden sie auch alle von demselben Server aus versendet, einige über den Webmail-Dienst von Yahoo! und andere mithilfe eines Skripts. Diese Anhaltspunkte deuten auf verschiedene Urheber innerhalb desselben Teams hin, die auf eine gemeinsame Infrastruktur zugreifen. Abbildung 15: Vier Phishing-E-Mails FireEye, Inc. Digitale Spurensuche: Sieben Hinweise auf die Urheber komplexer Cyberangriffe 12

Abbildung 16: Die Kopfdaten der Phishing-E-Mails. Die IP-Adressen sind hervorgehoben. Fazit Ein vereinzeltes Indiz ist noch kein hinreichender Beweis. Deuten allerdings mehrere Indizien auf ein und denselben Angreifer hin, kann mit großer Gewissheit auf die Urheber einer Kampagne geschlossen werden. Diese Information ist hilfreich, um die Angriffsmethoden und Beweggründe im Vorfeld zu erkennen, sodass Sicherheitsexperten kommende Angriffe besser vorhersehen und Systeme sowie Daten entsprechend schützen können. Wenn es darum geht, einen laufenden Angriff so schnell wie möglich einzudämmen und die Schäden zu beheben, mag die Suche nach dem Ausgangspunkt eines Angriffs nebensächlich erscheinen, doch dieser Eindruck täuscht. Kennt ein von einem Angriff betroffenes Unternehmen die Methoden und Ziele der Angreifer, kann es mit gezielten Gegenmaßnahmen reagieren: Sofortige Verlagerung von Ressourcen zum Schutz sensibler Daten Anfordern weiterer Unterstützung durch eigene Experten oder Strafverfolgungsbehörden Eingehende Untersuchung anderer, möglicherweise übersehener Angriffsvektoren, die bei anderen Kampagnen des Angreifers genutzt wurden Hinweise auf den Ursprung eines Angriffes sind besonders nützlich, wenn sie mit Informationen verbunden werden, die im Rahmen früherer Angriffe desselben Urhebers gesammelt wurden. Lösungen wie die FireEye Dynamic Threat Intelligence -Cloud, die den Austausch von anonymisierten Bedrohungsdaten zwischen der wachsenden Zahl von FireEye-Kunden ermöglicht, liefern Informationen zu den Strategien, Protokollen, Ports und Callback-Kanälen, die von Angreifern verwendet werden. Wenn Sie mehr darüber erfahren möchten, wie die Threat-Protection-Plattform von FireEye Sie vor Cyberangriffen schützt, besuchen Sie FireEye unter www.fireeye.com. FireEye, Inc. Digitale Spurensuche: Sieben Hinweise auf die Urheber komplexer Cyberangriffe 13

Über FireEye FireEye hat eine auf Virtualisierungstechnik beruhende Sicherheitsplattform speziell zur Echtzeit- Abwehr von Bedrohungen entwickelt, die Unternehmen und staatliche Stellen auf der ganzen Welt vor Cyberangriffen der nächsten Generation schützt. Komplexe Cyberangriffe können traditionelle, signaturabhängige Sicherheitslösungen wie Next-Generation-Firewalls, IPS- und Antiviruslösungen sowie Gateways mühelos umgehen. Durch dynamischen Echtzeit-Schutz ohne Signaturen schirmt die FireEye- Plattform Unternehmen vor allen primären Bedrohungsvektoren in den verschiedenen Phasen des Angriffszyklus ab, darunter Web, E-Mail und Dateien. Herzstück der FireEye-Plattform ist eine Virtual Execution Engine, die in Verbindung mit Dynamic Threat Intelligence Cyberangriffe in Echtzeit erkennen und abwehren kann. FireEye hat 1.000 Kunden in mehr als 40 Ländern, darunter mehr als ein Drittel der Fortune-100-Unternehmen. 2013 FireEye, Inc. Alle Rechte vorbehalten. FireEye ist eine Marke von FireEye, Inc. Alle anderen Marken, Produkte oder Servicenamen sind Marken oder Dienstleistungsmarken der jeweiligen Eigentümer. RPT.DBC.DE.062013 FireEye, Inc. Digitale Spurensuche: Sieben Hinweise auf die Urheber komplexer Cyberangriffe 14 FireEye, Inc. 1440 McCarthy Blvd. Milpitas, CA 95035, USA 408 321 6300 877 FIREEYE (347 3393) DACH@FireEye.com www.fireeye.com

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback