RAT-Trojaner von Tom und Jerry-Fans

Die Experten aus der IT-Sicherheitsfirma Forcepoint haben einen RAT-Trojaner identifiziert, der – dem Kompilierungsdatum nach zu urteilen – bereits seit mindestens einem halben Jahr in freier Wildbahn eingesetzt wird, allerdings nur in sehr eingeschränktem Maße. Zudem versteht er es, sich geschickt vor Erkennung zu schützen.

Nach Angaben der Experten verfügt dieser Windows-Schädling, der auf den Namen Felismus getauft wurde, über eine modulare Architektur und wurde überaus professionell programmiert. Seine funktionalen Möglichkeiten sind typisch für Trojaner dieser Art: Datei-Down- und Upload, Ausführen von Dateien, selbstständiges Aktualisieren und Ausführen von Shellbefehlen.

Auffallend ist, dass die Autoren des neuen Schädlings sich sehr bemüht haben, ihn vor einer Analyse zu schützen und die Arbeitskommunikation zu verbergen. Ein Test hat gezeigt, dass Felismus in der Lage ist, viele Antivirenprodukte zu erkennen und sich der Detektion zu widersetzen. Seine ausführbaren Codes und DLL sind gut vor einer Analyse und Reverse Engineering geschützt, und die meisten Nachrichten, die der Trojaner mit dem C&C austauscht, werden zweifach mit unterschiedlichen Schlüsseln chiffriert.

Die ersten Felismus-Samples, die analysiert wurden, waren getarnt als AdobeCMS.exe. Zum Zeitpunkt der detektierten nur neun von 60 Antiviren-Lösungen aus der Kollektion von VirusTotal die Imitationen, gegenwärtig erkennen etwas mehr als die Hälfte sie als schädlich.

Beim Start erstellten alle Samples ein unsichtbares Fenster und registrierten dafür die Funktion WindowProc, um die wichtigsten schädlichen Aktivitäten zu gewährleisten: Das Laden einer Datei von einem entfernten Server, das Erstellen einer Textdatei auf der lokalen Maschine, die Ausführung der Datei, das Ausführen eines Shellbefehls und das Speichern der Ergebnisse auf der Festplatte, Upload der Ergebnisse der letzten Ausführung von cmd.exe auf einen entfernten Server. Die Liste der Antiviren-Produkte, deren Prozesse der getestete Felismus verfolgte, umfasste 45 Positionen.

Viele von dem Trojaner verwendeten IDs (Opfer-ID, Modul-ID, Chiffrierungsschlüssel) werden auf der Grundlage von MD5-Hashes anderer Komponenten erstellt. Enthüllt wurde nur ein für Menschen lesbarer Codierungsschlüssel – Tom&Jerry@14here. Er hat die Experten auch auf den passenden Namen gebracht: ‚Felis‘ und ‚mus‘ sind die lateinischen Gattungsnamen für „Katze“ und „Maus“. Für die Verschlüsselung der C&C-Kommunikation verwendet Felismus in Abhängigkeit vom Mitteilungstyp mindestens drei Chiffrierungsmethoden. Die Befehlsinfrastruktur des Schädlings ist aktiv und wird allem Anschein nach sorgfältig gepflegt.

Eine Reihe von Domains, die mit dieser Bedrohung in Verbindung gebracht werden, geben eine gefälschte WordPress.org-Seite aus dem Jahr 2013 zurück, die eine Reihe falscher Daten enthält, unter anderem, ungültige Telefonnummern in Hongkong und nicht existierende physische Kontakt-Adressen. Die E-Mail-Adresse des Domain-Registranten wird nach Angaben von Forcepoint nirgends mehr online verwendet.

Im Laufe der Untersuchung des Samples wurden nur wenige Funktionen ausgeführt und nur einige unikale Einträge im Ereignisprotokoll hinterlassen. Dafür könnte es nach Ansicht der Experten zwei Gründe geben: Entweder ist die Cyberkampagne zu dem Zeitpunkt zum Erliegen gekommen oder das Verhalten des entsprechenden Samples ist abhängig von den Charakteristika des infizierten Computers. Die Forscher bemerkten zudem, dass der C&C-Server von Felismus eine der ausgehenden IP ihres Unternehmens blockiert.

Die Ziele der Angreifer sind zum aktuellen Zeitpunkt nicht klar. Drei von fünf Domains, die mit der IP-Adresse des C&C assoziiert werden, lassen sich dem Namen nach dem Finanzsektor zuordnen. Es wurden auch keine eindeutigen Hinweise auf eine Verbindung von Felismus zu bekannten APT-Kampagnen gefunden. Der ungewöhnliche Name eines der Verzeichnisse – datas – und der Tippfehler im Namen der Funktion ‚GetCurrtenUserName‘ könnten dafür sprechen, dass Englisch nicht die Muttersprache der Trojaner-Autoren ist. Die bei Forcepoint analysierten Samples wurden offensichtlich unter Verwendung eines Compilers mit offenem TDM-GCC–Quellcode in einer Version aus dem Dezember 2014 erstellt.

Quelle: Securityweek

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.