Potente Malware, die sich sechs Jahre lang versteckte, breitete sich aus über Router

Potente Malware, die sich sechs Jahre lang versteckte, verbreitete sich über RouterVergrößernKaspersky Labor

Forscher haben Malware entdeckt, die so verstohlen war, dass sie geblieben ist Sechs Jahre lang versteckt, obwohl mindestens 100 Computer infiziert wurden weltweit.

Schleuder – der Name stammt aus dem Text, der in einigen der Wiederhergestellte Malware-Beispiele – gehören zu den am weitesten fortgeschrittenen Angriffen Plattformen jemals entdeckt, was bedeutet, dass es wahrscheinlich auf entwickelt wurde im Namen eines gut ausgestatteten Landes, Forscher mit Sitz in Moskau Kaspersky Lab berichtete am Freitag. Die Raffinesse der Malware konkurriert mit Regin – der fortschrittlichen Hintertür, die Belgier infizierte Telekommunikation Belgacom und andere hochkarätige Ziele seit Jahren – und Project Sauron, eine separate Malware, deren Existenz verdächtigt wird entwickelt von einem Nationalstaat, der auch verborgen blieb Jahre.

Komplexes Ökosystem

“Die Entdeckung von Slingshot enthüllt ein weiteres komplexes Ökosystem wo mehrere Komponenten zusammenarbeiten, um eine sehr zu schaffen flexible und gut geölte Cyberspionage-Plattform “, Kaspersky Lab Forscher schrieben in einem 25-seitigen Bericht, der am Freitag veröffentlicht wurde. “Das Malware ist weit fortgeschritten und löst alle möglichen Probleme von a technische Perspektive und oft auf sehr elegante Weise zu kombinieren ältere und neuere Komponenten in einem durchdachten, Langzeitbetrieb, etwas, das man von einer erstklassigen Leistung erwarten kann gut ausgestatteter Schauspieler. ”

Die Forscher wissen immer noch nicht genau, wie Slingshot anfangs alle seine Ziele infiziert. In einigen Fällen jedoch Slingshot-Betreiber erhielten Zugang zu Routern von Latvian Hersteller MikroTik und pflanzte einen Schadcode hinein. Besonderheiten der Router-Technik sind noch nicht bekannt, aber sie beinhalten die Verwendung von ein MikroTik-Konfigurationsprogramm namens Winbox zum dynamischen Herunterladen Verknüpfen Sie Bibliotheksdateien aus dem Dateisystem des Routers. Eine der Dateien, ipv4.dll ist ein bösartiger Download-Agent, der vom Slingshot erstellt wurde Entwickler. Winbox überträgt ipv4.dll auf den Computer des Ziels, lädt es in den Speicher und führt es aus.

In aSlingshot FAQ schrieben die Forscher:

Diese DLL verbindet sich dann mit einer fest codierten IP und einem Port (in jedem Fälle, in denen wir sahen, dass es die IP-Adresse des Routers war), lädt die andere herunter bösartige Komponenten und führt sie aus.

So führen Sie den Code in den neuesten Versionen von im Kernelmodus aus Betriebssysteme mit Driver Signature Enforcement, Slingshot Lädt signierte anfällige Treiber und führt ihren eigenen Code durch Schwachstellen.

Nach einer Infektion würde Slingshot eine Reihe von Modulen laden auf das Opfergerät, darunter zwei große und mächtige: Cahnadr, das Kernel-Modus-Modul, und GollumApp, ein Benutzermodus-Modul. Die beiden Module sind miteinander verbunden und können sich gegenseitig unterstützen Informationserfassung, Persistenz und Datenexfiltration.

Das ausgereifteste Modul ist GollumApp. Das enthält fast 1.500 User-Code-Funktionen und bietet die meisten der oben beschriebenen routines for persistence, file system control, and C&CKommunikation.

Canhadr, auch als NDriver bekannt, enthält Routinen auf niedriger Ebene für Netzwerk, E / A-Operationen und so weiter. Sein Kernel-Modus-Programm ist in der Lage um bösartigen Code auszuführen, ohne das gesamte Dateisystem zum Absturz zu bringen oder verursacht Blue Screen – eine bemerkenswerte Leistung. Geschrieben in reinem C Sprache bietet Canhadr / Ndriver vollen Zugriff auf die Festplatte und Arbeitsspeicher trotz Gerätesicherheitsbeschränkungen, und [es] führt eine Integritätskontrolle verschiedener Systemkomponenten durch, um dies zu vermeiden Debugging und Sicherheitserkennung.

Die Forscher sagten, dass Slingshot andere Methoden verwendet haben könnte, einschließlich Zero-Day-Schwachstellen, zu verbreiten. Es war aktiv seit mindestens 2012 und blieb bis zum letzten Monat in Betrieb. Die Fähigkeit für ein solches voll ausgestattetes Stück Malware zu bleiben So lange versteckt ist eines der Dinge, die es so machen fortgeschritten.

Einer der Wege, auf denen sich Slingshot versteckte, war die Verwendung eines verschlüsseltes virtuelles Dateisystem, das sich normalerweise in einer unbenutzter Teil der Festplatte. Durch die Trennung von Malware-Dateien von Das Dateisystem des infizierten Computers, Slingshot stand einiges Bessere Chance, von Antiviren-Engines nicht erkannt zu werden. Andere Zu den Stealth-Techniken gehörte das Verschlüsseln aller Textzeichenfolgen verschiedene Module, die Systemdienste direkt aufrufen, um sie zu umgehen von Sicherheitsprodukten verwendete sogenannte Haken und die Fähigkeit zum Schließen Komponenten herunterfahren, wenn forensische Tools geladen werden.

Der Hauptzweck der Malware scheint Spionage zu sein. Kaspersky Labs Analyse ergab, dass Slingshot für die Protokollierung verwendet wurde Desktop-Aktivitäten und Inhalte der Zwischenablage sowie zum Sammeln von Screenshots, Tastaturdaten, Netzwerkdaten, Kennwörter und USB-Verbindungsdaten. Die Fähigkeit von Slingshot, auf den Betriebssystemkern zuzugreifen bedeutet, dass die Malware Zugriff auf alle auf der Website gespeicherten Daten hatte Festplatte oder im internen Speicher eines infizierten Computers. Infizierte Computer befanden sich hauptsächlich in Kenia und im Jemen, aber auch in Afghanistan, Libyen, Kongo, Jordanien, Türkei, Irak, Sudan, Somalia und Tansania. Die meisten Opfer schienen gezielt zu sein Einzelpersonen. Einige waren jedoch Regierungsorganisationen und Institutionen.

VergrößernKaspersky Lab

In perfektem Englisch geschriebene Debugmeldungen deuten darauf hin, dass Entwickler sprachen diese Sprache. Wie es typisch für Kaspersky Lab ist Berichte, Freitag Bericht hat nicht versucht, die Entwickler zu identifizieren von Slingshot anders als zu sagen, sie arbeiteten höchstwahrscheinlich im Auftrag von ein Nationalstaat.

“Slingshot ist sehr komplex und die Entwickler dahinter haben hat eindeutig viel Zeit und Geld für seine Schaffung aufgewendet. ” Firmenforscher schrieben. “Sein Infektionsvektor ist bemerkenswert – und, nach bestem Wissen einzigartig. ”

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: