„Dietrich“-Malware öffnet Cyberspionage Tor und Tür

Active Directory-Administratoren sollten nach der Entdeckung eines Schadprogramms, das in der Lage ist, die Ein-Faktorenauthentifizierung auf AD zu umgehen, verstärkt auf anomale Aktionen privilegierter User Ausschau halten. Der Schädling wurde im Rahmen einer groß angelegten Cyberspionage-Kampagne gegen ein global agierendes Unternehmen in London eingesetzt.

Die Hacker, die sich mit Hilfe einer Fernwartungssoftware (RAT) bereits Zugriff auf das Netz des Unternehmens verschafft hatten, verwendeten einen „Dietrich“-Schädling für den Diebstahl von Account-Daten interner Anwender, um Unternehmensdaten zu stehlen und sie nach außen zu verschicken, ohne dabei die Aufmerksamkeit der Experten für Datensicherheit auf sich zu ziehen.

Die Spezialisten von Dell SecureWorks haben weder den Namen des Unternehmens bekannt gegeben noch irgendwelche Informationen über die Identität und den Aufenthaltsort der Angreifer veröffentlicht und lediglich darauf hingewiesen, dass es sich hierbei nicht um eine kriminelle Operation gehandelt habe, und dass einige der gestohlenen Dokumente für Personen aus dem „Pazifischen Raum“ von Interesse sein könnten.

Die Skeleton Key-Malware zeichnet sich nach Aussage des Technologiechefs von Dell SecureWorks, Don Smith, nicht durch Beständigkeit aus. Sie wird als ein Patch im Arbeitsspeicher auf einem Active Directory Domain-Kontroller installiert und wird nach einem Neustart nicht gespeichert. Allerdings werden solche Active Directory Domain-Kontroller wie die, die im Rahmen dieser Attacke kompromittiert wurden, nicht sehr häufig neu gestartet.

„Ich glaube nicht, dass das ein Fehler ist [den die Cyberkriminellen versehentlich gemacht haben]. Die an dieser Operation beteiligten Leute hätten ihn sehr wohl beständiger machen können“, erklärt Smith. „Die fehlende Beständigkeit ist vielmehr der geheimen Natur dieser Operation geschuldet. Sollte er über einen Neustart hinaus gespeichert werden, so müsste in der Registry oder irgendwo sonst etwas hinterlassen werden, was ihn auch erneut starten lässt. So aber ist er superverborgen und das minimiert die Menge der hinterlassenen Spuren. Die Angreifer verlassen sich auf ihre Positionen an anderen Stellen im Netz und platzieren ihren Schädling jedes Mal neu, wann immer sie ihn brauchen.“

Mit dem Zugriff auf Active Directory können Hacker Kombinationen von Nutzernamen und Kennwörtern in ihren Besitz bringen und diese Account-Daten dann für die Durchführung der weiteren Etappen ihres Angriffs nutzen, da sie sich nun als legitime Nutzer authentifizieren können. Im Falle der Londoner Firma wurden sie in einem Netz entdeckt, das Nur-Passwort-Authentifizierung für Web-Mail und den entfernten Zugriff via VPN benutzt. Einmal drin, konnten die Angreifer Account-Daten nutzen, die von kritischen Servern, Workstations des Administrators und Domain-Kontrollern gestohlen wurden, um so den Generalschlüssel-Schädling im gesamten Netzwerk zu installieren.

Dell SecureWorks hat eine Reihe von Hinweisen auf eine Kompromittierung sowie Erkennungssignaturen für YARA in seinem Blog veröffentlicht. Auch verschiedene Dateinamen wurden mit dem Generalschlüssel-Schädling in Verbindung gebracht, inklusive solcher, die die Existenz einer älteren Version des Schädlings vermuten lassen, die im Jahr 2012 entwickelt wurde.

Dell SecureWorks teilte zudem mit, dass die Cyberkriminellen, nachdem sie ins Netz eingedrungen sind, die DLL-Datei des Schädlings auf einen bereits kompromittierten Rechner laden und versuchen, sich Zugriff auf Administrationsverzeichnisse auf den Domainkontrollern zu verschaffen, wobei sie eine Liste gestohlener Admin-Account-Daten verwenden. Wenn die Account-Daten nicht passen, installieren sie Tools zum Diebstahl von Passwörtern aus dem Speicher eines anderen Servers, der Workstations des Domainadministrators oder der Kontroller der Zieldomain. Mit dem Zugriff auf den Kontroller wird die DLL der Malware geladen und die Angreifer verwenden das Tool PsExec, um das Patch des Dietrich-Schädlings einzuschleusen und die schädliche DDL entfernt auf den Kontrollern der Zieldomain zu starten. Daraufhin verwenden die Verbrecher ein NTLM-Passwort-Hash, um sich als beliebiger User zu identifizieren.

Der Mangel an Beständigkeit ist nicht das einzige, was als Schwäche der Skeleton Key Malware aufgefasst werden kann. Seine Installation verursachte Probleme mit der Replikation von AD-Domainkontrollern in regionalen Niederlassungen, weshalb sie neu gestartet werden mussten. Laut Smith sind häufige Neustarts ein Zeichen dafür, dass die Cyberkriminellen den Generalschlüssel neu installieren, was – neben der Anwesenheit von PsExec oder TaskScheduler – die einzige anomale Aktivität ist, die beobachtet werden kann.

„Es ging hier nicht nur ums Sammeln von Passwörtern. Sobald sie die Hash eingeschleust hatten, konnten sie zu jedem beliebigen Rechner im Netz spazieren, indem sie jeden beliebigen Nutzernamen und jedes beliebige Kennwort eingaben“, erzählt Smith. „Die bösen Jungs nutzten den entfernten Zugriff zur Authentifizierung. Ich meine, das charakterisiert diesen Angriff als langfristige Cyberspionage-Operation. Es gibt viele Informationen in der Opferorganisation, auf die sie es abgesehen haben könnten, und sie verhalten sich so unauffällig wie möglich, um nicht entdeckt zu werden. Jegliche Spionagetätigkeit wird als Aktivität eines gewöhnlichen Nutzers ausgegeben. Das Problem besteht nun darin, dass die Schutzbeauftragten nach anomalem Nutzerverhalten suchen müssen, was nicht zu den leichtesten Aufgaben gehört.“

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.