OnionDuke: APT-Angriffe über das Tor-Netzwerk

Sicherheit & Privatsphäre

Unsere Kollegen aus dem Lab haben heute auf deren Blog einen sehr interessanten Beitrag zum Thema OnionDuke veröffentlicht. Hier die deutsche Übersetzung dazu:

Kürzlich wurde ein Forschungsbericht veröffentlicht über einen Exit-Node im Tor-Netzwerk, mit Standort in Russland, über den unkomprimierte, ausführbare Windows-Dateien in böswilliger Absicht modifiziert wurden. Diese wurden von dort auch heruntergeladen. Damit war unser Interesse geweckt, so dass wir beschlossen haben, uns dies näher anzusehen. Dabei kam mehr zum Vorschein als zunächst erwartet. Die Spur führte zurück bis zur berüchtigten russischen APT-Familie MiniDuke, bekannt für den Einsatz bei gezielten Angriffen gegen die NATO und europäische Regierungsbehörden. Die in diesem Fall verwendete Malware ist jedoch nicht eine Version von MiniDuke. Es handelt sich vielmehr um eine eindeutige eigene Familie von Malware, die wir OnionDuke getauft haben. Aber fangen wir am besten ganz von vorne an.

Wenn ein Benutzer versucht, eine ausführbare Datei über den bösartigen Tor-Exit-Node herunterzuladen, erhält er tatsächlich einen ausführbaren „Wrapper“, der sowohl die Originaldatei als auch eine zweite, schädliche ausführbare Datei enthält. Durch die Verwendung eines separaten Wrappers sind die Malware-Akteure in der Lage, Integritätschecks zu umgehen, die die originale Binärdatei enthalten könnte. Bei der Ausführung wird der Wrapper damit fortfahren, auf die Festplatte zu schreiben und die ursprüngliche Datei auszuführen, damit der Benutzer denkt, dass alles geklappt hat. Allerdings wird der Wrapper das gleiche auch mit der zweiten ausführbaren Datei machen. In allen Fällen, die wir beobachtet haben, war diese schädliche ausführbare Datei die gleiche Binärdatei (SHA1: a75995f94854dea8799650a2f4a97980b71199d2, identifiziert als Trojan-Dropper:W32/ OnionDuke.A). Diese ausführbare Datei ist ein Dropper, der eine PE-Ressource enthält, die sich als eingebettete GIF-Bilddatei ausgibt. In Wirklichkeit ist die Ressource tatsächlich eine verschlüsselte DLL-Datei (Dynamically Linked Library). Der Dropper wird damit fortfahren, diese DLL zu entschlüsseln, auf Festplatte zu schreiben und auszuführen.

Darstellung des Infizierungsprozesses

Einmal ausgeführt, wird die DLL-Datei (SHA1: b491c14d8cfb48636f6095b7b16555e9a575d57f, identifiziert als Backdoor:W32/OnionDuke.B) eine eingebettete Konfiguration (siehe unten) entschlüsseln und versuchen sich zu den hartcodierten C&C-URLs, die in den Konfigurationsdaten spezifiziert sind, zu verbinden. Von diesen C&Cs kann die Malware Anweisungen zum Herunterladen und Ausführen zusätzlicher bösartiger Komponenten erhalten. Wir glauben zudem, dass es sich bei allen fünf Domains, die von der Malware kontaktiert werden, um „unschuldige“, von den Malware-Akteuren kompromittierte Websites handelt und nicht um eigens betriebene bösartige Server.

Screenshot der eingebetteten Konfigurationsdaten

Durch unsere Forschung waren wir auch in der Lage, mehrere andere Komponenten der OnionDuke- Malware-Familie zu identifizieren. Wir haben zum Beispiel Komponenten beobachtet, die Zugangsdaten auf dem infizierten Computer stehlen, ebenso wie Komponenten, die weitere Informationen über das kompromittierte System, wie etwa das Vorhandensein von Antivirus-Software oder einer Firewall, sammeln. Einige dieser Komponenten sind beobachtet worden, wie sie heruntergeladen und für den ursprünglichen Backdoor-Prozess ausgeführt wurden, jedoch für andere Komponenten. Hierbei müssen wir noch den Infektionsvektor identifizieren. Die meisten dieser Komponenten haben keine eigene C&C-Informationen eingebettet, sondern kommunizieren mit ihren Controllern über den ursprünglichen Backdoor-Prozess.

Eine Komponente ist jedoch eine interessante Ausnahme. Diese DLL-Datei (SHA1 d433f281cf56015941a1c2cb87066ca62ea1db37, identifiziert als Backdoor:W32 / OnionDuke.A) enthält unter seine Konfigurationsdaten eine andere hartkodierte C&C-Domäne: overpict.com. Es gibt auch Hinweise darauf, dass diese Komponente Twitter als zusätzlichen C&C-Kanal missbrauchen kann. Was die overpict.com-Domain interessant macht, ist, dass sie ursprünglich im Jahr 2011 mit dem Alias „John Kasai“ registriert worden war. Innerhalb eines zweiwöchigen Fensters registrierte „John Kasai“ auch die folgenden Domains: airtravelabroad.com, beijingnewsblog.net, grouptumbler.com, leveldelta.com, nasdaqblog.net, natureinhome.com, nestedmail.com, nostressjob.com, nytunion.com, oilnewsblog.com, sixsquare.net und ustradecomp.com. Dies ist signifikant, da die Domänen leveldelta.com und grouptumbler.com vorher als C&C-Domänen, die von MiniDuke verwendet werden, identifiziert worden waren. Dies spricht stark dafür, dass obwohl OnionDuke und MiniDuke zwei getrennte Familien von Malware sind, die Akteure hinter ihnen durch die Verwendung von gemeinsam genutzter Infrastruktur verbunden sind.

OnienDuke, MiniDuke
Visualisierung der Infrastruktur, die sich OnionDuke und MiniDuke teilen

Ausgehend von Compilation-Zeitstempeln und den Zeitpunkten der Entdeckung von Samples, die wir beobachtet haben, glauben wir, dass die Betreiber von OnionDuke mindestens seit Ende Oktober 2013 heruntergeladene ausführbare Dateien infiziert haben. Wir haben auch Hinweise darauf, dass zumindest seit Februar 2014 OnionDuke nicht nur durch die Modifizierung heruntergeladener Executables verbreitet worden ist, sondern auch durch die Infizierung von ausführbaren Dateien in .torrent-Dateien, die raubkopierter Software enthalten. Es scheint jedoch, dass die OnionDuke-Familie viel älter ist, da beide auf älteren Compilation-Zeitstempeln basieren – und auch aufgrund der Tatsache, dass einige der eingebetteten Konfigurationsdaten sich auf eine scheinbare Versionsnummer 4 beziehen, was darauf hindeutet, dass mindestens drei frühere Versionen der Familie existieren.

Während unserer Forschung haben wir auch deutliche Hinweise darauf entdeckt, dass OnionDuke in gezielten Angriffen gegen europäische Behörden eingesetzt wurde, obwohl wir bisher den oder die Infektionsvektoren nicht identifiziert haben. Interessanterweise würde dies auf zwei sehr unterschiedliche Strategien deuten: Auf der einen Seite „Mit Kanonen auf Spatzen schießen“, also eine Strategie der Masseninfizierung durch modifizierte Binärdateien und auf der anderen Seite die eher chirurgische Vorgehensweise, traditionell in Verbindung mit APT-Maßnahmen (Advanced Persistent Threat).

Auch wenn vorerst vieles noch im Geheimnisvollen und Spekulativen bleibt, eines ist sicher: Während die Verwendung von Tor helfen kann, anonym zu bleiben, malt es gleichzeitig eine riesige Zielscheibe auf dem Rücken der Benutzer auf. Es ist nie eine gute Idee, Binärdateien über Tor (oder irgendein anderes Netzwerk) ohne Verschlüsselung herunterzuladen. Das Problem mit Tor ist, dass der Nutzer keine Ahnung hat, wer den Exit Node, den man verwendet, verwaltet und welche Absicht dahintersteckt. VPNs wie Freedome von F-Secure verschlüsseln die Verbindung auf dem kompletten Weg zum Tor-Netzwerk, so dass die Betreuer von Tor-Exit-Nodes den Traffic der Nutzer nicht sehen können – und diesen somit auch nicht manipulieren können.

Samples:

• a75995f94854dea8799650a2f4a97980b71199d2
• b491c14d8cfb48636f6095b7b16555e9a575d57f
• d433f281cf56015941a1c2cb87066ca62ea1db37

Identifiziert als: Trojan-Dropper:W32/OnionDuke.A, Backdoor:W32/OnionDuke.A, und Backdoor:W32/OnionDuke.B.

Schlagwörter

#APT #MiniDuke #OnionDuke #Tor

Diesen Beitrag bewerten

0 Bewertungen

0 Kommentare

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Könnte Ihnen ebenfalls gefallen