Shady Ops

Das Spektakel um das ShadyRAT-Whitepaper fiel zeitlich mit dem Start der Blackhat-Konferenz 2011 in den USA zusammen. Während darin angemerkt wurde, dass AV-Anbieter zuverlässig die entsprechenden ShadyRAT Downloader-Komponenten detektieren, wurden andere Komponenten überhaupt nicht diskutiert. Die in dem Bericht beiläufig erwähnten Downloader werden bereits seit Jahren verlässlich von Kaspersky Lab-Produkten erkannt.

Weitere Informationen wurden auf der Website eines anderen Anbieters bereitgestellt. Der Leser des Whitepapers wurde allerdings nur oberflächlich mit den hochrangigen Daten vertraut gemacht, die von den Webmonitoring-Komponenten der Angreifer kompiliert wurden, und keine prozessfähigen Informationen wurden präsentiert.

Währenddessen wurden auf HBGary Blog die interessanteren Beschreibungen der Substanz der Backdoor-Komponenten und der Kommunikation diskutiert – etwas, womit Systemadministratoren etwas anfangen können.

Wir haben die Erkennung dieser Komponente und ähnlicher Varianten ebenfalls als Backdoor.Win32.Shady.a (Trojan-Downloader.Win32.Agent.szfj) hinzugefügt, ein Schädling, der tatsächlich bereits seit Anfang 2011 eingesetzt wird, und nach einigen Monaten – noch immer aktiv – nur von Sophos detektiert wird.

Dieses lang andauernde Nicht-Detektieren ist sowohl akut problematisch als auch symptomatisch für aktive, zielstrebige Gruppen. Die Shady-Backdoors sind besonders auf Grund ihrer Art der geheimen Kommunikation besonders interessant – mit verborgenen Mitteilungen im HTML-Quelltext auf kompromittierten und managed Websites.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.