Grabit und RATs

Vor nicht allzu langer Zeit wandten sich Kaspersky-Kunden in den USA an die Forscher von Kaspersky Lab mit der Bitte, einen neuen Malware-Typ zu untersuchen, den sie von den Servern ihrer Organisationen isolieren konnten. Die Malware nennt sich selbst Grabit und ist charakteristisch für ihre Vielseitigkeit und Wandlungsfähigkeit. Jedes Sample, das wir gefunden haben, unterschied sich in Größe und Aktivität von den anderen, doch der interne Name und andere Identifikatoren waren beunruhigend ähnlich. Der Zeitstempel scheint gültig zu sein und liegt dicht an der dokumentierten Infektionszeit. Unsere Studie bezieht sich auf eine Kampagne, die im späten Februar 2015 ihren Anfang nahm und Mitte März zu Ende ging. Als die Entwicklungsphase vermutlich abgeschlossen war, begann sich die Malware von Indien, den USA, Israel und anderen Ländern rund um den Globus auszubreiten.

All die Duzende von Samples, die wir zusammentragen konnten, wurden auf einem Windows 32bit Prozessor über das Microsoft .NET Framework (Visual Basic/C#) programmiert. Die Dateien wurden innerhalb eines Zeitraums von drei Tagen kompiliert, zwischen dem 7. und 9. März 2015. Die folgende Grafik illustriert, wie die Gruppe oder das Individuum die Samples erstellt hat, sowie die Größe jedes Samples, die Tageszeit, innerhalb derer es kompiliert wurde, und die Zeitspannen zwischen den jeweiligen Kompilierungen.

Zeitachse der Malware-Kompilierung

Das kleinste Sample (0.52 MB) und das größte (1.57 MB) wurden beide am selben Tag erstellt, was darauf hinweisen könnte, dass die Gruppe experimentierte, um bestimmte Funktionen, Packer und „toten Code“ zu testen.

Ein Blick auf die Grafik eröffnet auch einen interessanten Blick auf den modus operandi, da der Bedrohungsakteur durchgehend bemüht ist, eine Vielzahl von Samples zu erhalten mit unterschiedlichen Codegrößen und vermutlich komplexerer Obfuskation.

Neben den unterschiedlichen Größen, Aktivitäten und der Obfuskation wurde auch ein ernstzunehmender Verschlüsselungsalgorithmus in jedes der Samples implementiert. Der proprietäre obfuskierte String, die Methoden und Klassen machten die Analyse zu einer nicht zu unterschätzenden Herausforderung. Auch die ASLR (Adressverwürfelung) ist deaktiviert, was auf eine Open Source Fernsteuerungssoftware, ein RAT (remote administration tool), hinweisen könnte, oder sogar auf ein kommerzielles Framework, das die schädliche Software in eine gut geschriebene Struktur gepackt hat. Diese Methode ist als abschwächender Faktor für Bedrohungsakteure bekannt, die ihren Code vor den Augen der Analysten verbergen wollen.

Eine dynamische Analyse im Rahmen unserer Untersuchung hat gezeigt, dass die „Call-Home“-Funktion über ganz offensichtliche Kanäle kommuniziert und keinen Schritt zu viel unternimmt, um ihre Aktivität zu verbergen. Hinzu kommt, dass die Dateien selbst nicht so programmiert wurden, um irgendwelche Registrierungsmanöver zu unternehmen, die sie vor dem Windows Explorer verstecken würden. Wollte man einen Vergleich anstellen, so könnte man meinen, die Bedrohungsakteure schicken einen „schwachen Ritter in einer schweren Rüstung“ in den Krieg. Das bedeutet, dass wer auch immer die Malware programmiert hat, den Code nicht von Null auf geschrieben hat. Ein gut ausgebildeter Ritter würde niemals mit einem leuchtenden Schild und einem Stöckchen als Schwert in den Krieg ziehen.

Ein Blick in den “Call-Home”-Traffic zeigt, dass die Keylogger-Funktionalität Dateien bereitstellt, die als Container für Tastaturunterbrechungen dienen, Hostnamen sammeln sowie App-Namen, Nutzernamen und Passwörter. Der interessante Teil aber liegt hier.

Die Dateinamen enthalten einen sehr informativen String:

HawkEye ist ein kommerzielles Tool, das sich nun schon ein paar Jahre in der Entwicklungsphase befindet; es erschien im Jahr 2014, als eine Website mit dem Namen HawkEyeProducts, und es leistete einen bedeutenden Beitrag zur Hacker-Community.

Auf der Website demonstriert das Produkt eine große Vielseitigkeit, da es viele Arten von RATs enthält, Features und Funktionalitäten, wie etwa den traditionellen HawkEye Logger oder andere Arten von Remote Administration Tools wie etwa Cyborg Logger, CyberGate, DarkComet, NanoCore und andere. Es scheint drei Liefertypen zu unterstützen: FTP, SMTP und Web-Panel.

Wie man sehen konnte, verwendet die Malware eine Reihe von RATs, um seine Opfer zu kontrollieren oder ihre Aktivität zu verfolgen. Eine der erfolgreichen Implementierungen des Bedrohungsakteurs enthielt den wohlbekannten DarkComet. Diese bequeme “wähle-dein-RAT”-Funktionalität spielt eine sehr wichtige Rolle bei der Malware-Infektion, der Ausführung und dem Überleben auf dem Opferrechner. Die DarkComet-Samples sind komplexer als die traditionellen HawkEye-Logger. In einem Fall verfügte ein Sample über einen Generator für willkürliche Schlüssel, der einen Initialisierungsvektor für die ersten vier Bytes einer ausführbaren Datei einstellt und einen willkürlichen Schlüssel von 5 Byte anhängt, der eine weitere PE-Datei entpackt, die weniger als 20KB groß ist. Die PE-Datei enthält dann einen weiteren Packer mit einer noch komplexeren Obfuskationstechnik. Das letzte Sample, das wir untersucht haben, legte ein noch komplexeres Verhalten an den Tag. Der Code selbst hatte dieselbe Obfuskationstechnik, doch der Traffic wurde nicht in Klartext übertragen. Gestohlene Daten wurden gepackt und verschlüsselt über willkürliche http-Ports gesendet. Das bedeutet, dass die Gruppe versucht, andere Arten von schädlichen Samples mit unterschiedlichen RATs zu produzieren.

Ungefähr 10.000 gestohlene Dateien wurden zusammengetragen. In Thailand und Indien ansässige Unternehmen machten den größten Anteil an infizierten Rechnern aus. Mit einem Blick auf die gestohlenen Anmeldedaten wird klar, dass die Mitarbeiter sich die Malware gegenseitig zugeschickt haben, da die gestohlenen Hostnamen und internen Anwendungen gleich sind.

Hier die komplette Grafik, aktualisiert im Mai 2015:

Verteilung der Malware nach Ländern

Die Effizienz der simplen Keylogger demonstrierend, verwaltete ein C2 (am 15. Mai) tausende von Account-Daten der Opfer von hunderten von infizierten Systemen.

Zusammenfassend kann man sagen, dass die Grabit-Bedrohungsakteure keine raffinierten Umgehungen oder Manöver in ihrer dynamischen Aktivität verwendeten. Es ist interessant, die großen Unterschiede in den Kernstücken der Malware und der tatsächlichen Funktionalität zu sehen, die sie verwenden.

Einige Malware-Samples nutzten denselben Hosting-Server und sogar dieselben Anmeldedaten. Könnte es sein, dass unser Bedrohungsakteur es eilig hatte?

Unsere Vermutung ist, dass wir es mit einer Gruppe und nicht mit einem Individuum zu tun haben. Einige Mitglieder der Gruppe sind technisch versierter als andere, und andere sind eher sicherheitsorientiert und sich der Risiken bewusst, denen sie sich möglicherweise aussetzen.

Zurück auf Anfang:

Soweit wir bisher wissen, wird die Malware als E-Mail-Attachment im Format .doc (Microsoft Office Word) geliefert, das einen schädlichen Makro mit der Bezeichnung AutoOpen enthält. Dieser Macro baut einfach einen Socket über TCP auf und schickt eine http-Anfrage an einen entfernten Server, der von der Gruppe gehackt wurde, damit er als Malware-Netzknoten dient, bevor die Schadsoftware heruntergeladen wird. In einigen Fällen war das schädliche Makro Passwort geschützt, aber unser Bedrohungsakteur könnte vergessen haben, dass eine .doc-Datei tatsächlich ein Archiv ist und dass die Makro-Strings, wenn sie in einem beliebigen Editor unserer Wahl geöffnet werden, in Klartext dargestellt werden.

Die Malware ist deutlich sichtbar, modifiziert übliche Registry-Einträge, so wie Erstkonfigurationen, und verwischt seine Spuren nicht. Seine Binärdateien werden in den meisten Fällen nicht gelöscht und seine Kommunikation läuft in Klartext, so dass die Opfer die Kommunikation belauschen und die Anmeldedaten der FTP/SMTP-Server abfangen können.

Die Malware-Varianten sind hauptsächlich hier platziert:

Phishing-Erweiterungen: .doc

3f77403a64a2dde60c4962a6752de601d56a621a

4E7765F3BF73AEC6E350F412B623C23D37964DFC

Icons: .pdf, .doc, .ttf, .xls, .ppt, .msg, .exe

Stealer: .txt, .jpeg, .eml

Zusätzliche Namen ausführbarer Dateien:

AudioEndpointBuilder.exe

BrokerInfrastructure.exe

WindowsUpdate.exe

Malware-Erweiterungen: .zip oder .exe

9b48a2e82d8a82c1717f135fa750ba774403e972b6edb2a522f9870bed57e72a

ea57da38870f0460f526b8504b5f4f1af3ee490ba8acfde4ad781a4e206a3d27

0b96811e4f4cfaa57fe47ebc369fdac7dfb4a900a2af8a07a7b3f513eb3e0dfa

1948f57cad96d37df95da2ee0057dd91dd4a9a67153efc278aa0736113f969e5

1d15003732430c004997f0df7cac7749ae10f992bea217a8da84e1c957143b1c

2049352f94a75978761a5367b01d486283aab1b7b94df7b08cf856f92352166b

26c6167dfcb7cda40621a952eac03b87a2f0dff1769ab9d09dafd09edc1a4c29

2e4507ff9e490f9137b73229cb0cd7b04b4dd88637890059eb1b90a757e99bcf

3928ea510a114ad0411a3528cd894f6b65f59e3d52532d3e0c35157b1de27651

710960677066beba4db33a62e59d069676ffce4a01e63dc968ad7446158f55d6

7371983a64ef9389bf3bfa8d2abacd3a909d13c3ee8b53cccf437026d5925df5

76ba61e510a340f8751e46449a7d857a2d242bd4724d0d040b060137ab5fb31a

78970883afe52e4ee846f4a7cf75b569f6e5a8e7a830d69358a8b33d186d6fec

7c8c3247ffeb269dbf840c7648e9bfaa8cf3d375a03066b57773c48de2b6d477

7f0c4d3644fdcd8ac5bc2e007bb5c3e9eab56a3d2d470bb796af88125cd74ac9

IP Adressen:

31.220.16.147
204.152.219.78
128.90.15.98
31.170.163.242
185.77.128.65
193.0.200.136
208.91.199.223
31.170.164.81
185.28.21.35
185.28.21.32
112.209.76.184

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.