Sony/Destover: Die zerstörerische Netzwerk-Aktivität des geheimnisvollen nordkoreanischen Bedrohungsakteurs – Gegenwart und Vergangenheit

Anfang Dezember veröffentlichte das FBI erstmals eine Warnung vor einer destruktiven Löschfunktionalität, die in der Attacke auf Sony Pictures Entertainment eingesetzt wurde. Samples dieser Destover-Malware enthielten Konfigurationsdateien, die auf Systemen erstellt wurden, die koreanische Sprachpakete verwenden.

Seit die Attacken veröffentlicht wurden, sind weitere Informationen über die Malware in der einen oder anderen Form an die Oberfläche gekommen, doch einige Details, wie etwa solche, die sich auf frühere Aktivität des Hauptverdächtigen beziehen, müssen noch durchleuchtet werden.

Während Sony Pictures also still und leise sein kostenintensives Großreinemachen fortsetzt und sich auf die Veröffentlichung von "The Interview" vorbereitet, wollen wir über einige der Malware-Funktionen sprechen, über offenkundige Ähnlichkeiten zu anderen Vorfällen, bei denen Daten gelöscht wurden, sowie über die frühere Aktivität der mutmaßlichen Hackergruppe.

Mystery_1

Zuallererst ist anzumerken, dass zerstörerische Aktivität, die die Netzwerke großer Organisationen angreift, nichts Ungewöhnliches mehr ist. Andere so genannte Wiper-Schadsoftware wird hier besprochen. Die meisten mit dieser Malware in Verbindung stehenden Vorfälle haben sich im Mittleren Osten und auf der Koreanischen Halbinsel zugetragen. Wir haben zudem einen separaten Vorfall in Osteuropa im Zusammenhang mit BlackEngergy2 in einer industriellen Kontrollsystemumgebung registriert und ihn hier detaillierter beschrieben. Und auch das Löschen der gesamten Kundendaten von Code Spaces in Großbritannien durch einen Hacker, der – wie hier beschrieben – die Informationen zu Erpressungszwecken gestohlen hat, ist schwer zu ignorieren.

Die bei der Attacke auf Sony Entertainment eingesetzte Malware heißt Trojan Destover und ist in der Lage, Festplattenlaufwerke und den Master Boot Record zu löschen.

Funktionalität des Wiper-Schädlings Destover

Die interessantesten Aspekte der destruktiven Funktionalität dieser Malware haben mit der Auswahl und Speicherung/Anlieferung der Treiber zu tun, die nun wiederholt in dieser Art von Sabotage-Angriffen verwendet werden.

Die Destover-Dropper installieren EldoS RawDisk Treiber und führen diese aus, um die NTFS-Sicherheitsberechtigung zu umgehen und die Festplattendaten und den MBR selbst zu überschreiben. Dies hat Folgen für die Wiederherstellung der Daten. Im Falle der DarkSeoul-Malware konnten die überschriebenen Daten mittels einer Methode zurückgeholt werden, die der Methode zur Wiederherstellung der von Shamoon ‚zerstörten‘ Daten gleicht. Die Wiederherstellung der von Destover gelöschten Daten funktioniert vermutlich genauso.

Die Kette der zwischengeschalteten Komponenten, die zu der destruktiven Payload führen, folgt einer Vielzahl von Stufen (die bereits an anderer Stelle beschrieben wurden), wobei die Ausführung auf verschiedene Modi eingestellt werden kann, wie auch bei Shamoon:

  1. Das Sample wird das erste Mal auf einem 32-Bit-Betriebssystem ausgeführt.
  2. Das Sample wird auf einem 32-Bit-Betriebssystem ausgeführt als selbstinstallierter Service, mit einem von mehreren Code-Pfaden.
  3. Das Sample wird auf einem 64-Bit-Betriebssystem als selbstinstallierter Service ausgeführt.

Bei der ersten Ausführung erstellt es den ‚Backup and Restore Management‘ Windows brmgmtsvc Service, fügt seine eigene ausführbare Datei hinzu und stellt einen Start-‚-i‚-Switch ein. Er verteilt außerdem mehrere Kopien seiner selbst und startet jede von ihnen mit einem anderen Switch: -m, -d, und -w.

-m (MBR überschreiben):
Es wird versucht, sich mit den drei IP-Adressen zu verbinden. Selbst wenn das nicht gelingt, kommt es zur Prozessausführung.
Die Malware ruft ihre Ressource auf, die den komprimierten EldoS RawDisk Treiber enthält und schreibt ihn als einen ‚usbdrv3.sys‘ in das temporäre Verzeichnis.
Dann installiert sie den Treiber als den usbdrv3 Service ‚USB 3.0 Host Controller‘.
Danach startet sie den Treiberdienst und schließt ihren Service-Identifikator.
Die Schadsoftware erstellt dann einen Filehandle für den Treiber mit Schreibgenehmigungen:
‚?ElRawDisk??PhysicalDrive0#99E2428CCA4309C68AAF8C616EF3306582A64513E55C786A864BC83DAFE0C78585 B692047273B0E55275102C664C5217E76B8E67F35FCE385E4328EE1AD139EA6AA26345C4F93000DBBC7EF1579D4F‘
und schreibt zu diesem Identifikator mit 64k Strings von ‚0xAAAAAAAA‘. ← beachten Sie bitte, dass das Problem eines überlangen Lizenzschlüssels (#99E2428…) bereits in unserem Blogpost Shamoon The Wiper – Part II besprochen wurde.
Daraufhin erstellt sie neue Threads, von denen jeder versucht, sich mit jedem möglichen physikalischen Laufwerkbuchstaben zu verbinden und ihn ebenfalls zu überschreiben.

-d (Daten überschreiben):
Hier wird versucht, sich mit denselben drei IP-Adressen zu verbinden. Auch in diesem Fall findet ungeachtet der Kommunikation Prozessausführung statt.
Die Malware erhält die logischen Treiber und durchwandert sie rekursiv und identifiziert so alle Datendateien. Sind es keine .exe oder .dll, überschreibt der Prozess den Dateiinhalt mit ‚0x0df0adba‘ in einem 20k-Block. Dieses Überschreiben vollzieht sich aus dem Nutzermodus, ohne EldoS-Treiber.
Daraufhin wird versucht, unter Verwendung der win32 api ‚DeleteFileW‘, die Datendatei zu löschen. Bei einer Rekursion durch alle Systemverzeichnisse wird nun versucht, alle .exe- und .dll-Dateien zu löschen.

-w (Webserver):
Auch hier wird versucht, eine Verbindung zu denselben drei IP-Adressen herzustellen. Wieder findet ungeachtet der Kommunikation Prozessausführung statt.
Die Windows Terminal Services von der cmd-Linie werden gestoppt: ‚cmd.exe /c net stop termservice /y‘
Dann wird die Ressource resource#85 gefunden, dekomprimiert und die Inhalte werden in ‚c:windowsiissvr.exe‚ geschrieben.
Der Prozess iissvr.exe wird gestartet und der Switch wird beendet.
iissvr ist, was es zu sein scheint – ein Webserver, der eine verschlüsselte JPG-, HTML- und WAV-Datei enthält. Der Prozess horcht auf Port 80 und stellt diese Dateien bereit. Die vollständige Grafik und die Warnmitteilung folgen an späterer Stelle in diesem Artikel. Hier die entschlüsselte jpg-Datei:

Mystery_2

Schließlich, nach zwei Stunden, startet der ursprüngliche Dienst den Rechner neu mit einem Aufruf zu ExitWindowsEx(EWX_REBOOT|EWX_FORCE, 0). Dadurch wird ein Beenden erzwungen, doch das Herunterfahren selbst wird verzögert, während eine Dateierstellung zum Systemstatus erscheint.

Gemeinsamkeiten zwischen Wiper-Schädlingen

Wie auch bei Shamoon, sind die Treiber der Destover Wiper-Malware käuflich als EldoS RawDisk Treiberdateien erwerblich.

Wie auch bei Shamoon, werden die Treiber der Destover Wiper-Malware in der Ressourcensektion des Droppers verwaltet.

Wie auch bei Shamoon, wurden die Festplattendaten und der MBR bei der DarkSeoul Wiper-Attacke mit vagen, verschlüsselten pseudo-politischen Botschaften überschrieben.

Wie auch bei DarkSeoul, wurden die ausführbaren Dateien der Destover-Malware irgendwann in einem Zeitraum zwischen 48 Stunden vor der Attacke und dem Tag der Attacke kompiliert. Es ist höchst unwahrscheinlich, dass die Angreifer sich ihren Weg zu einer großen Zahl von Usern durch Spearphishing gebahnt haben, und es ist sehr wahrscheinlich, dass sie sich schon vor der Attacke uneingeschränkten Zugriff auf das gesamte Netzwerk verschafft haben.

Die Shamoon-Komponenten wurden in ähnlich kurzer Zeit, bevor sie zur Anwendung kamen, kompiliert. Die CompiledOn-Zeitstempel fallen alle in einen Zeitraum, der fünf Tage vor der Zündung ihrer ausführbaren Dateien liegt. Fast alle wurden am 10. August 2012 kompiliert (zwischen 00:17:23 und 02:46:22) und der „Zeitzünder“ war auf den 15. August 2012 eingestellt. Das ist ein enges Zeitfenster, wenn es darum geht, diese Binärdateien bereitzustellen, wenn man bedenkt, dass zehntausende Rechner mit dieser Payload zerstört wurden.

In allen drei Fällen, Shamoon, DarkSeoul und Destover, haben die Gruppen, die für sich beanspruchen, für die zerstörerischen Auswirkungen innerhalb ganzer großer Netzwerke verantwortlich zu sein, keine Geschichte oder keine wirklich eigene Identität. Alle haben versucht, nach ihrer Tat von der Bildfläche zu verschwinden, haben keine klaren Erklärungen abgegeben, dafür aber bizarre, umständliche Anschuldigungen ausgesprochen, und sie haben ihre destruktiven Taten immer direkt nach einem politisch brisanten Ereignis begangen, das dann als eigentlicher Grund für die ganze Sache herhalten musste.

Die Bilder der Gruppen ‚Whois‘ (DarkSeoul) und ‚GOP‘ (Destover) enthalten eine ‚gehackt von‘-Behauptung, die begleitet wird von einer "Warnung" und Drohungen hinsichtlich der gestohlenen Daten. Beide drohen, dass das hier nur der Anfang sei, und dass die Gruppe zurückkehren werde. Es sieht so aus, als wäre auch das originale Skelett-Kunstwerk in beiden enthalten.

Hier Grafik und Warnung vom Whois-Team:

Mystery_3

Und hier die Grafik plus Warnung von GOP:

Mystery_1

Zu den Unterschieden zwischen den Wiper-Attacken von Destover und denen von DarkSeoul gehört das Fehlen von *nix-Skripten bei Destover, die dazu dienen, auch Speicherzonen in Linux-Systemen zu löschen.

Die oben stehende Liste von Gemeinsamkeiten ist natürlich kein Beweis dafür, dass die Bande hinter Shamoon sowohl hinter DarkSeoul als auch hinter Destover steckt. Aber man sollte berücksichtigen, dass die reaktionären Ereignisse und das ihnen eigene Vorgehen sowie die Merkmale der Toolsets deutliche Ähnlichkeiten aufweisen. Und es ist überaus ungewöhnlich, dass so außergewöhnliche und zielgerichtete Akte von umfassender Cyberzerstörung mit deutlich spürbaren Ähnlichkeiten durchgeführt werden.

Netzwerkaktivität

In Beziehung stehende Ziele wurden veröffentlicht als:

  • 88.53.215.64
  • 217.96.33.164
  • 203.131.222.102

Doch direkt damit verbundene Samples führen auch Rückrufe zu einer Reihe anderer IP-Adressen durch. Die Daten des Kaspersky Security Network (KSN) weisen ein komplettes Fehlen von Malware auf, die in der Vergangenheit von irgendeiner dieser Adressen geliefert wurde:

  • 58.185.154.99
  • 200.87.126.116
  • 208.105.226.235
  • 212.31.102.100

Diese Verbindungen erscheinen willkürlich und haben nichts mit der Ausführung des schädlichen Pakets zu tun. Einige sind aktuell nicht aktiv. Diese IPs scheinen alle einzeln ausgewählt zu sein.

Von einigen dieser Adressen ist bekannt, dass die in jüngster Vergangenheit RD-Scans durchgeführt haben. Im Spätjahr 2012 war 217.96.33.164 ein bekannter RDP-Bruteforcing-Netzwerkscanner. Der Server wird auf einer IP-Adresse in Polen gehostet, von diesem Provider unterstützt seit 1996.

Anfang des Jahres 2014 wurde 88.53.215.64 in Italien gehostet und diente als ein ‚Hide My Ass‘ Premium- und kostenloser Proxyserver über Port 443. Die Malware versucht, sich mit dem Server auf den Ports 8000 und 8080 zu verbinden, und derzeit sind keine Ressourcen verfügbar.

200.87.126.116 diente früher, in den Jahren 2011 und 2012, ebenfalls als ein kostenloser SOCKS-Proxy. Oftmals wurden diese Arten von Ressourcen von Spammern und Betrügern, die illegale Suchmaschinenoptimierung betreiben, missbraucht.

Frühere Backdoors

Die DarkSeoul-Kampagnen stehen in Verbindung mit verschiedenen Familien von Trojanern und Backdoors, die alle im Laufe mehrerer Jahre verwendet wurden. Manche Verbindungen sind sehr viel stärker als andere:

  • Concealment Troy
  • DarkSeoul
  • HttpDr0pper
  • HttpTroy
  • TDrop

Destover MD5s

Trojaner:

MD5 Größe CompiledOn Kaspersky-Name
d1c27ee7ce18675974edf42d4eea25c6 262 kb 2014.11.22 00:06:54 Trojan.Win32.Destover.a
2618dd3e5c59ca851f03df12c0cab3b8 430 kb 2014.11.22 00:05:02 Trojan.Win32.Destover.d
760c35a80d758f032d02cf4db12d3e55 244 kb 2014.11.22 04:11:08 Trojan.Win32.Destover.c
b80aa583591eaf758fd95ab4ea7afe39 304 kb 2014.11.24 04:12:55 Trojan.Win32.Destover.b
e1864a55d5ccb76af4bf7a0ae16279ba 112 kb 2014.11.13 02:05:35 Backdoor.Win32.DestoverServ.a
a3fa8c7eb4f061ab8b9f7829c6741593 111 kb 2014.05.03 07:10:22 Trojan.Win32.Destover.f
2c545b89acdb9877da5cbb96653b1491 53 kb 2014.07.14 13:38:18 Trojan.Win32.Destover.e
e904bf93403c0fb08b9683a9e858c73e 90 kb 2014.07.07 08:01:09 Trojan.Win32.Destover.d

Eldos-Treiber:

6aeac618e29980b69721158044c2e544 (32-bit), signiert von EldoS Corporation
86e212b7fc20fc406c692400294073ff (64-bit), signiert von EldoS Corporation

Zertifikat (6aeac618e29980b69721158044c2e544 32-Bit und
86e212b7fc20fc406c692400294073ff 64-Bit):

Frühere und parallele Studienreferenzen

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.