Damballa: Furtim und SFG sind ein und derselbe Schädling

Eine neue Untersuchung stellt all das in Frage, was bisher über Furtim bekannt war – den neuen Schädling, der – wie man annahm – Steuerungssysteme von Energieversorgungsobjekten angreift. Laut Damballa handelt es sich bei dem Downloader von Furtim und dem kürzlich entdeckten SFG-Dropper um verschiedene Builds ein und desselben Programms, das keinen speziellen Code für Angriffe auf automatisierte Steuerungssysteme enthält.

Die in dem Unternehmen durchgeführte Analyse hat bestätigt, dass Furtim und SFG nicht nur ähnlich sind, sondern vielmehr sehr enge Verwandte. „Lediglich die HTTP-Header sind unterschiedlich“, präzisierte Don Jackson, Senior Threat Researcher bei Damballa, für Threatpost. „Die Header haben nur verschiedene Werte und werden von dem Schädling willkürlich ausgewählt, daher sehen die unterschiedlichen Builds desselben Schadprogramms im Netz nicht gleich aus.“

Eine genauere Untersuchung von Furtim/SFG hat ergeben, dass die Malware nicht auf Angriffe auf Energieversorgungsobjekte spezialisiert ist, wie vorher angenommen, sondern dass sie versucht, jedes beliebige Netz zu infizieren, um Kontodaten der Nutzer zu stehlen. „Dieser Schädling wird auf unterschiedliche Weise verbreitet, unter anderem auch via Drive-by-Download, schädliche Werbung und Spam“, erzählt Jackson. „Er ist ein ausgesprochener Allesfresser und zeigt keine Präferenzen gegenüber bestimmten Branchen. Er infiziert einfach die Windows-Rechner, in die es ihm gelungen ist einzudringen.“

Offensichtlich war die erste Nachricht von SentinelOne über SFG irreführend: Die Forscher nahmen zu diesem Zeitpunkt an, dass sich das analysierte Sample gegen einen europäischen Energieversorger richtete. Einige Tage später aktualisierte SentinelOne seinen Blogeintrag: „Unsere Veröffentlichung, in der es hieß, bei dem Ziel dieses Schädlings handele es sich um SCADA-Systeme im Bereich Energieversorgung, hat eine Vielzahl unwahrer Deutungen nach sich gezogen. Daher möchten wir hiermit unterstreichen, dass wir keinerlei Beweise dafür haben, dass es sich tatsächlich so verhält. Gegenstand unserer Analyse waren die schädlichen Charakteristika des Programms, nicht die Autorenschaft oder das Zielspektrum.“

Die Hauptaufgaben von Furtim/SFG sind das Verbergen vor Erkennung, die Ausführung von Exploits für die Windows-Sicherheitslücken CVE-2014-4113 und CVE-2015-1701 sowie die Umgehung der Benutzerkontensteuerung (UAC) von Windows, die die Nutzerrechte einschränkt. „Die Menge und die Arten der Taktiken zeugen von einem hohen technischen Niveau dieses Schädlings“, räumt Jackson ein. „Er setzt alle mir bekannten Methoden ein, um der Erkennung und Analyse zu entgehen. Die Malware ist nicht auf dem Level eines staatlich gesponserten Schadprogramms, aber trotzdem ist sie sehr gut durchdacht.“

Zur Erinnerung: Furtim wurde von den Forschern bei enSilo entdeckt, die im vergangenen Mai einen entsprechenden Bericht über diesen Schädling veröffentlichten. Nach Angaben von Damballa verwendet der neu erschienene Furtim/SFG die bekannte fast-flux-Infrastruktur Dark Cloud – ein Botnetz, auf das der Zugriff als Service bereitgestellt wird. Die zahlreichen Knoten von Dark Cloud funktionieren als Proxy, und aufgrund der sich ständig ändernden Adressen ist es äußerst schwierig, sie aufzuspüren und zu blockieren.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.