Das Mysterium von MiniDuke: PDF 0-Day Regierungsspionage Assembler 0x29A Micro Backdoor

(oder: Wie viele coole Wörter lassen sich in einer Überschrift unterbringen)

Am 12. Februar 2013 gab FireEye die Entdeckung eines Zero-Day-Exploits für den Adobe Reader bekannt, das genutzt wird, um ein bis dahin unbekanntes, fortschrittliches Schadprogramm abzuladen. Wir haben diese neue Malware “ItaDuke” genannt, da sie uns an Duqu erinnert hat und zudem im Shellcode ein antikes italienisches Zitat aus Dantes „Göttlicher Komödie“ enthielt.

Seit der Erklärung von FireEye haben wir mehrere neue Attacken beobachtet, bei denen dasselbe Exploit (CVE-2013-0640) eingesetzt wurde, das allerdings andere Schadprogramme transportierte. Einige dieser Vorfälle waren in vielerlei Hinsicht so ungewöhnlich, dass wir beschlossen, sie eingehend zu analysieren.

Gemeinsam mit unserem Partner CrySyS Lab haben wir eine detaillierte Analyse dieser ungewöhnlichen Vorfälle vorgenommen, die einen neuen, bisher unbekannten Akteur auf der Bühne der Bedrohungen vermuten lassen. Zur Analyse von CrySyS Lab gelangen Sie hier. Die Analyse von Kaspersky Lab lesen Sie im Folgenden:

Wichtigste Untersuchungsergebnisse:

• Die MiniDuke-Angreifer sind zum gegenwärtigen Zeitpunkt noch aktiv und haben erst am 20. Februar 2013 die neusten Versionen ihrer Malware entwickelt. Um ihre Opfer zu kompromittieren, setzten die Angreifer extrem effektive Social-Engineering-Techniken ein, unter anderem sendeten sie den Zielpersonen schädliche PDFs. Diese PDFs waren äußerst professionell gestaltet und enthielten angeblich Informationen zu einer Veranstaltung des Gesprächsforums ASEM (Asia-Europe Meetings), zur Ukrainischen Außenpolitik und zu Plänen des Landes bezüglich seiner NATO-Mitgliedschaft.

Malicious PDF

Die PDF-Dateien waren mit Exploits ausgestattet, welche die Adobe Reader Versionen 9, 10 und 11 angriffen und deren Sandbox umgingen.
• Sobald ein System kompromittiert ist, wird ein sehr kleiner Downloader von 20 KB auf der Festplatte des Opfers platziert. Dieser Downloader ist individuell auf das jeweilige System zugeschnitten und enthält einen maßgeschneiderten Backdoor, der in Assembler geschrieben ist. Beim Systemboot generiert der Downloader mittels verschiedener mathematischer Verfahren einen einmaligen Fingerabdruck des Computers und verwendet diese Daten wiederum später, um seine Kommunikation individuell zu verschlüsseln.
• Sofern der Zielrechner bestimmten, vordefinierten Bedingungen genügt, nutzt die Malware (ohne Wissen des Anwenders) Twitter und sucht nach speziellen Tweets von voreingerichteten Twitter-Accounts. Diese Accounts wurden von MiniDukes Command & Control-Servern (C&C) erstellt und die Tweets enthalten spezielle Tags zu den verschlüsselten URLs für die Backdoors.

Diese URLs eröffnen Zugriff auf die C&C, die wiederum Befehle und zusätzliche Backdoors verschlüsselt via GIF-Dateien auf das System übermitteln.

• Es deutet einiges darauf hin, dass die Autoren von MiniDuke ein dynamisches Backup-System zur Sicherung der Daten entwickelt haben, das nicht auf dem Radar der AV-Analysten erscheint – für den Fall, dass Twitter beziehungsweise eines der Twitter-Konten nicht funktioniert, ist die Malware auch in der Lage, die Google-Suche zum Auffinden der verschlüsselten Zeichenketten zum nächsten C&C-Server einzusetzen. Das Modell ist überaus flexibel und ermöglicht es den Betreibern, ständig die Methoden zu ändern, mittels derer die Backdoor-Trojaner Befehle erhalten oder weiteren böswilligen Code nachladen.

• Sobald das infizierte System das C&C lokalisiert hat, erhält es verschlüsselte Backdoors in Form von GIF-Dateien, die als Bilder getarnt auf dem Rechner des Opfers erscheinen.

Wurden die Backdoors erfolgreich auf den Zielrechner transportiert, so können sie komplexeren Code nachladen, der Cyberspionage betreiben kann, indem er unter anderem folgende Funktionen ausführt: Dateien kopieren, verschieben, löschen, Verzeichnisse anlegen, Prozesse beenden und – natürlich – weiteren Schadcode nachladen.

• Der endgültige Backdoor verbindet sich mit zwei Servern, einem in Panama und einem in der Turkei, um Anweisungen von den Angreifern entgegenzunehmen.

• Die Angreifer haben vor einem der Entschlüsselungsunterprogramme einen kleinen Hinweis in Form der Zahl 666 hinterlassen (0x29A hex):

• Durch die Analyse der Logs von den Kommandoservern konnten wir 59 individuelle Opfer in 23 Ländern identifizieren:

Belgien, Brasilien, Bulgarien, Tschechische Republik, Georgien, Deutschland, Ungarn, Irland, Israel, Japan, Lettland, Libanon, Litauen, Montenegro, Portugal, Rumänien, Russland, Slowenien, Spanien, Türkei, Ukraine, Vereinigtes Königreich und die Vereinigten Staaten.

Den vollständigen Bericht von Kaspersky Lab sowie Empfehlungen zum Schutz vor MiniDuke-Attacken finden Sie unter:

[The MiniDuke Mystery: PDF 0-day Government Spy Assembler 0x29A Micro Backdoor.PDF]
[The MiniDuke Mystery: PDF 0-day Government Spy Assembler 0x29A Micro Backdoor.PDF]

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.