Untersuchung von Einbruchsfällen in Online-Bezahlsysteme

Inhalt

Wir bei Kaspersky Lab werden immer häufiger vor die Aufgabe gestellt, Sicherheitsvorfälle in Unternehmen aufzuklären, die mit Malware in Verbindung stehen.

Im vorliegenden Artikel geht es um eine typische Attacke von Cyberkriminellen, die auf den Diebstahl von Unternehmensgeldern in Online-Bezahlsystemen abzielt.

Der Fall

Vor nicht allzu langer Zeit wandte sich ein Unternehmen mit der Bitte an Kaspersky Lab, einen Sicherheitsvorfall in seinem Internet-Bezahlsystem zu untersuchen. Ein Bankmitarbeiter rief in der Buchhaltung des Unternehmens an und bat um die Bestätigung einer Überweisung eines hohen Betrags. In der Organisation selbst wusste niemand etwas von dieser Überweisung. Der Buchhalter des Unternehmens bekräftigte, dass er die Überweisung nicht vorgenommen habe, da er sich zu dem Zeitpunkt, als die Transaktion durchgeführt wurde, gar nicht an seinem Platz befand, sondern zu Tisch war.

Der Buchhalter verwendete auf seinem Computer eine Banken-Software zum Erstellen und Verschicken von Zahlungsanweisungen an die Bank. Im Aktivitätsprotokoll dieser Software waren zwei verdächtige Überweisungen verzeichnet, die beide an ein und dieselbe Adresse gingen. Dabei war die erste Zahlung in Höhe von ungefähr 300.000 Rubel bereits erfolgreich durchgeführt worden, da diese Summe aus Sicht der Bankmitarbeiter nicht ungewöhnlich war. Doch die zweite Überweisung in Höhe von drei Millionen Rubel weckte das Misstrauen der Bankangestellten.

Da der Buchhalter die Überweisungen nicht vorgenommen hatte, ging man in der Firma von einem Angriff unter Verwendung von Schadsoftware aus. Doch wie konnte eine solche Attacke möglich sein? Das Unternehmen verwendete eine spezielle Banken-Software, die ein Passwort und eine spezielle Datei erforderte, um auf das Online-Bezahlsystem zugreifen zu können. Obendrein wurde auch die IP-Adresse des Absenders der Zahlungsanweisung von der Bank überprüft.

Die Untersuchung

Die wichtigsten Ziele der Untersuchungen von Virenvorfällen liegen darin, die genauen Angriffsfolgen zu erkennen, die kompromittierten Computer zu identifizieren sowie die Eindringungsmethoden des Schadprogramms auf die Computer herauszufinden. Mit diesen Informationen ist ein davon betroffenes Unternehmen in der Lage, die aufgrund des Sicherheitsvorfalls erlittenen Verluste zu minimieren und zudem die Schwachpunkte in seinen IT-Sicherheitsmaßnahmen zu ermitteln, so dass entsprechende Maßnahmen getroffen werden können, um solche Vorfälle künftig zu verhindern.

Im Laufe der Untersuchungen konnte Kaspersky Lab zudem bislang noch unbekannte Schadprogramm-Exemplare identifizieren und sie seinen Antiviren-Datenbanken hinzufügen. Potenzielle Opfer werden nun auch vor diesen Schädlingen geschützt.

Zur Analyse dieses Vorfalls übergaben wir dem Global Emergency Response Team (GERT) ein Abbild der Festplatte vom Computer des Buchhalters.

Fernzugriff auf den Computer

Bei der Erstanalyse der Festplatte des Buchhalter-Rechners fanden wir eine modifizierte Version des legalen Programms „Remote Manipulator System“, das die Fernsteuerung des Computers ermöglicht. Solche Programme werden häufig von Buchhaltern oder Systemadministratoren verwendet. Das von Kaspersky Lab entdeckte Programm befand sich allerdings in einem verdächtigen Verzeichnis und hatte eine verdächtige Bezeichnung („C:windowsdotcomwmiterm.exe“ – kein ungewöhnlicher „System“-Pfad, selbst fortgeschrittene User schöpfen hier kaum Verdacht), und es war dahingehend verändert, dass seine Funktionalität verborgen wurde:

  • Das Programmfenster erschien nicht in der Windows-Taskleiste.
  • Der Registrierungsschlüssel, in dem das Programm seine Einstellungen speichert, wurde verändert (von ursprünglich „HKLMSYSTEMRemote Manipulator Systemv4“ zu „HKLMSYSTEMSystemSystemRemoteWindows“, was einem „System“- Registrierungsschlüssel wiederum abermals sehr ähnlich sieht).
  • Die Darstellung des Programmfensters war deaktiviert.

Solche Veränderungen sind für Schadprogramme typisch. Daher hat Kaspersky Lab seiner Antiviren-Datenbank diese Schadsoftware hinzugefügt, die nun als Backdoor.Win32.RMS detektiert wird.

Im Rahmen der Analyse der Aktivität von Backdoor.Win32.RMS stellten wir fest, dass die Cyberkriminellen mit Hilfe dieses Schadprogramms einen weiteren Schädling auf den infizierten Computer luden, und zwar Backdoor.Win32.Agent (die Erkennung dieses Schadprogramms wurde unseren Datenbanken umgehend hinzugefügt, nachdem wir es entdeckt hatten). Diese Backdoor stellte entfernten VNC- Zugriff (Virtual Network Computing) auf den Computer bereit. Interessant ist, dass sich im Code des Schadprogramms sehr viele Gemeinsamkeiten mit dem Modul „hVNC“ des Trojaners Carberp finden (vermutlich aufgrund des offenen Zugriffs auf den Quellcode dieses Trojaners).

Doch wie ist nun das Schadprogramm Backdoor.Win32.RMS auf dem Computer des Buchhalters gelandet?

Infektion des Computers

p>In der Datenbank von Microsoft Outlook (die Datei „outlook.pst“ auf der Festplatte) fanden wir eine E-Mail, die einen Anhang mit der Bezeichnung „запрос ИФНС № АС-4-31339.doc“ enthielt. Dieses Office-Dokument erkennen unsere Antivirus-Lösungen als Exploit.MSWord.CVE-2012-0158.

Die Cyberkriminellen setzten hier Social Engineering ein: Im Text der E-Mail, die im Namen der staatlichen Steuerbehörde verschickt worden war, wurde um die umgehende Bearbeitung der Mitteilung gebeten. Dabei waren die Kontaktdaten von echten Mitarbeitern des Finanzamts aufgeführt.

GERT_1_ru

Der Buchhalter sollte vermutlich den Anhang öffnen, der unter Ausnutzung einer Sicherheitslücke in Microsoft Word ein sich selbst entpackendes Archiv von einem entfernten Server lud und es auf dem Rechner auspackte. Das Archiv enthielt die beiden Dateien „SYST.EXE“ (das umbenannte Archiv-Programm „7zip“) und „SYST“.

Im Zuge der Extraktion führte das ursprüngliche Archiv den Programm-Archivierer „SYST.EXE“ mit den Parametern aus, die auf die Entpackung des passwortgeschützten Archivs „SYST“ verweisen, und zwar unter Verwendung des integrierten Passwortes. Diese Methode unter Einsatz eines passwortgeschützten Archivs dient der Umgehung der statischen Entpackung der Datei durch Antiviren-Software, um so die Wahrscheinlichkeit der Entdeckung der Schaddateien durch Antivirus-Lösungen zu minimieren.

Infolge des Entpackens von „SYST“ wurde die Datei Backdoor.Win32.RMS erstellt, die von uns bereits früher entdeckt worden war, sowie das Skript „INST.CMD“, das die Installation der Backdoor im System erledigte (eben dieses Skript kopierte die Dateien der Malware in das Verzeichnis „C:windowsdotcom“).

Schon nach Entdeckung der Backdoor bekamen wir eine Vorstellung davon, wie der Raub des Geldes möglich sein konnte. Wenn sich die Verbrecher Fernzugriff auf den Computer des Buchhalters verschafft hatten, so konnten sie auch selbst eine Zahlungsanweisung erstellen – und damit wären auch die Schlüsseldatei und die IP-Adresse des Absenders legitim! Doch in dem Fall bleibt noch das Problem mit dem Passwort für den Zugriff auf die Banken-Software. Und daher war uns klar, dass wir nun nach einem Keylogger-Programm suchen mussten.

Keylogger

Unsere Aufmerksamkeit richtete sich auf die Datei „Svchost.exe“, die sich im Root-Verzeichnis der Systemfestplatte befand. Die Datei erwies sich als Keylogger (den die Lösungen von Kaspersky Lab als Trojan-Spy.Win32.Delf identifizieren) mit einer zusätzlichen Funktionalität zur Kontrolle der Einstellungen von Backdoor.Win32.RMS. Diese doch eher ungewöhnliche Funktionalität benötigten die Cyberkriminellen offenbar, um die modifizierte Version von „Remote Manipulator System“ zu kontrollieren, da sie das gesamte Anwenderinterface dieses Programms verbargen und es nicht zur Einstellungsverwaltung benutzen konnten.

Wir haben zudem herausgefunden, dass dieser Keylogger mit Hilfe der Backdoor Backdoor.Win32.RMS geladen wurde.

Der Keylogger schickte nicht nur regelmäßig Protokolle mit den gestohlenen Informationen an den Server der Cyberkriminellen, sondern speicherte auch eine aktuelle Kopie des Protokolls auf der Festplatte des infizierten Computers. Unter den vom Keylogger gestohlenen Informationen fanden wir auch das Passwort für die Banken-Software.

Angriffsschema

Aufgrund unserer Untersuchungsergebnisse konnten wir die folgende Vorgehensweise der Cyberkriminellen rekonstruieren:

  1. Im Laufe einer zielgerichteten Attacke unter Einsatz von Social Engineering und Ausnutzung einer Sicherheitslücke in Microsoft Word wurde der Computer des Buchhalters mit dem Schädling Backdoor.Win32.RMS infiziert.
  2. Mit Hilfe dieser Backdoor luden die Cyberkriminellen zwei weitere Schadprogramme auf den infizierten Rechner: einen Keylogger (Trojan-Spy.Win32.Delf) und eine Backdoor (Backdoor.Win32.Agent), die entfernten VNC-Zugriff auf den Computer bereitstellt.
  3. Der Keylogger fing das Passwort für den Zugriff auf das Online-Bezahlsystem ab.
  4. Solange sich der Buchhalter nicht an seinem Arbeitsplatz befand, starteten die Verbrecher mit Hilfe von Backdoor.Win32.Agent und dem VNC-Zugriff die Banken-Software im Namen des Buchhalters.
  5. Nachdem sie das vom Keylogger eingesetzte Passwort verwendet hatten, erstellten die Gauner eine Zahlungsanweisung über ungefähr 300.000 Rubel (zirka. 6.100 €) und übermittelten sie an die Bank.
  6. Kurz darauf wurde erneut eine Zahlungsanweisung erstellt und an die Bank gesendet – dieses Mal über etwa drei Millionen Rubel (ungefähr 61.200 €).

Kurz vor Abschluss unserer Untersuchungen stieß das Kaspersky-Team auf eine weitere interessante Tatsache: Die IP-Adressen der Steuerungsserver aller Schadprogramme, die bei der Attacke benutzt wurden, gehörten einem einzigen Subnetz an.

GERT_1_ru

Angriffsschema der Cyberkriminellen

Unsere Ermittlungen ergaben zudem, dass die Online-Gangster äußerst schnell handelten und ihre verbrecherischen Pläne innerhalb von nur vier Tagen umsetzten. Dabei galten die ersten drei Tage den Vorbereitungen, und alle Aktionen, die mit dem eigentlichen Diebstahl des Geldes zusammenhingen, wurden innerhalb weniger Stunden am vierten Tag durchgeführt.

Tag 1: Die Cyberkriminellen schickten dem Buchhalter des Unternehmens eine E-Mail. Der Buchhalter las die E-Mail und öffnete den Anhang. Auf seinen Computer wurde das Programm Backdoor.Win32.RMS geladen. In den nächsten Tagen verfolgten die Verbrecher mit Hilfe dieses Programms alle Aktivitäten des Buchhalters.

Tag 4: Die Gangster luden mit Hilfe des Schadprogramms Backdoor.Win32.RMS den Keylogger Trojan-Spy.Win32.Delf und fingen das Passwort für die Banken-Software ab. Etwas später luden sie Backdoor.Win32.Agent, mit dessen Hilfe sie sich mit dem Computer des Buchhalters verbanden. Daraufhin schickten die Cyberkriminellen eine Zahlungsanweisung an die Bank.

Benachrichtigung der betroffenen Personen

Da die Verbrecher mehrere IP-Adressen aus einem Subnetz verwendeten, beschlossen wir, die Steuerungsserver einmal genauer unter die Lupe zu nehmen. Wie sich zeigte, hatten die Gangster einen Fehler bei der Konfiguration des Servers gemacht, aufgrund dessen jeder Anwender die HTTP-Anfragen an die Server der Verbrecher einsehen konnte. Auf diese Weise fanden wir die IP-Adressen heraus, von denen die Anfragen an das Keylogger-Protokoll stammten. Es stellte sich heraus, dass mehrere Computer mit verschiedenen IP-Adressen mit dem Keylogger infiziert waren.

Der Keylogger verfügte über eine Besonderheit – beim Start auf einem infizierten Computer lud er die neueste Version seines Protokolls vom Steuerungsserver. Auf diese Weise konnte jeder beliebige Anwender auf den Inhalt des Keylogger-Protokolls zugreifen, der im Browser eine Webseite nach folgender Art aufrief: „http://SERVER_NAME/JOURNAL_NAME“. Wir schauten uns die HTTP-Anfragen an den Server der Cyberkriminellen einmal genauer an und entdeckten darin die Namen der Protokolle, die die Keylogger an den Steuerungsserver schickten. So kamen wir an den Inhalt der Protokolle aller Opfer der Keylogger. Meist enthielten die Protokolle den Namen der Organisation, zu der der infizierte Computer gehörte, sowie die Kontaktdaten des Opfers (die IP-Adresse des Opfers konnte man mit Hilfe einer Sicherheitslücke im Steuerungsserver erfahren). Diese Informationen machten es möglich, mit anderen betroffenen Personen in Kontakt zu treten (bei den meisten handelte es sich um Buchhalter kleiner und mittelständischer Unternehmen) und sie über die Infektion ihres Rechners in Kenntnis zu setzen, wofür sie uns auch überaus dankbar waren.

Besonderheiten von Angriffen auf Banken

Wie bereits zu Beginn des Artikels erwähnt, ist die hier beschriebene Attacke besonders typisch, wenn es um den Diebstahl von Finanzmitteln geht.

  1. Die Cyberkriminellen setzen aktiv Social Engineering ein, um ihre Opfer dazu zu bringen, eine bestimmte Datei zu öffnen.
  2. Mitarbeiter in Unternehmen, die Kenntnis über wichtige Unternehmensdaten haben und mit Finanzinstitutionen in Verbindung stehen, müssen über die Grundlagen der IT-Sicherheit aufgeklärt sein. In den Unternehmen müssen Sicherheitsregeln gelten, die das Risiko einer Infektion des Unternehmensnetzwerks infolge einer elementaren Fahrlässigkeit der Mitarbeiter auf ein Minimum reduzieren.

  3. In zielgerichteten Attacken auf wichtige Objekte können neue Exploits für bisher unveröffentlichte Sicherheitslücken eingesetzt werden. In diesen Fällen erweisen sich gewöhnliche Erkennungsmethoden, beispielsweise IDS, als nur unzureichend effektiv.
  4. Zero-Day-Exploits sind allerdings viel zu teuer für Angriffe auf gewöhnliche Unternehmen, daher werden in der Regel bei solchen Attacken Exploits zu bereits bekannten Sicherheitslücken eingesetzt. In diesen Fällen bieten bereits regelmäßige Software-Aktualisierungen (insbesondere von Microsoft Office und Java) sowie eine qualitativ hochwertige Schutzlösung mit fortschrittlichen Technologien zum Schutz vor Exploits ein hohes Maß an Sicherheit.

  5. Eine weitere Besonderheit dieser Art von Attacken ist die Verwendung von legaler Software. Diese Tendenz setzt sich derzeit immer weiter fort und wir beobachten, dass Cyberkriminelle bei vielen Angriffen legitime Anwendungen einsetzen, die den entfernten Zugriff und den Download und Start von Schaddateien oder anderen schädlichen Inhalten ermöglichen.
  6. Diese legalen Programme werden nicht von Antiviren-Lösungen erkannt, und die Cyberkriminellen müssen sich beim Einsatz dieser Anwendungen zu ihren Zwecken lediglich darum kümmern, dass sie unbemerkt im Hintergrund laufen. In unserem Fall wurde diese Aufgabe mit Hilfe einer Modifikation der ausführbaren Datei des Programms „Remote Manipulator System“ gelöst, wodurch es uns möglich wurde, unseren Datenbanken die Signatur der geänderten Datei hinzuzufügen.

    Wird eine unveränderte legale Software verwendet, so besteht die einzige Möglichkeit darin, dass die Schutzsysteme über den Start potenziell unerwünschter Programme informieren. Anwender, insbesondere solche, die mit Finanzdaten und anderen wichtigen Dokumenten arbeiten, sollten sich immer darüber im Klaren sein, dass kein Sicherheitssystem einen absoluten Schutz bieten kann. Daher sollten sie unbedingt auf die Systembenachrichtigungen und auf anomales Verhalten des Computers achten und den Sicherheitsdienst über alle verdächtigen Ereignisse im System informieren.

Im Idealfall sollten die Computer, die für Finanztransaktionen in Online-Bezahlsystemen verwendet werden, im Modus „Default Deny“ laufen, und zwar mit eingeschränktem Internetzugriff und dem Verbot zum Start von Dritt-Software, die nicht auf Whitelists verzeichnet ist. Das betrifft auch die Computer, auf denen die Unternehmensmitarbeiter mit kommerziell wichtigen Informationen arbeiten.

Fazit

Heutzutage haben Cyberkriminelle meist nur eine Motivation – Geldgier. Der Zugriff auf Online-Bezahlsysteme ist der direkteste und offensichtlichste Weg zum Geld der Unternehmen und damit auch die beste Möglichkeit, dieses zu stehlen. Es überrascht daher nicht, dass Internet-Bezahlsysteme ein immer beliebteres Angriffsziel für Online-Verbrecher abgeben.

Online-Bezahlsysteme sind mit einem integrierten Schutz ausgestattet, mit dessen Funktion die Anwender dieser Systeme bestens vertraut sind –und die Cyberkriminellen leider ebenfalls. Die Verwendung von Passwörtern, Schlüsseldateien, Hardware-Schlüsseln und IP-Zugriffsbeschränkungen erwecken bei dem Nutzer das trügerische Gefühl absoluter Sicherheit.

Allerdings erhöhen alle diese Maßnahmen für sich genommen aber auch insgesamt gesehen nicht das Sicherheitsniveau, wenn der Computer, auf dem sie durchgeführt werden, bereits kompromittiert wurde. Passwörter können abgefangen, die Schlüsseldatei kann kopiert werden, und wenn die Online-Gangster einen „verborgenen Arbeitsplatz“ erstellen, so können sie die originale IP-Adresse verwenden und auch den vom Buchhalter installierten Token.

Bei Untersuchungen von Sicherheitsvorfällen wird Kaspersky Lab mittlerweile häufig mit folgender Situation konfrontiert: Auf dem Computer wurde ein Schadprogramm ausgeführt und nach einer geraumen Zeit aktualisierte das Antiviren-Programm seine Datenbanken und löschte es. Danach wurde weiterhin mit dem Computer gearbeitet, auf dem sich der Vorfall zugetragen hatte, und es wurden über diesen Rechner sogar buchhalterische Operationen durchgeführt. Man war sich sicher, dass die Gefahr nun gebannt war.

Man muss unbedingt verstehen, dass ein Computer, auf dem bereits ein Schadprogramm ausgeführt wurde, als kompromittiert betrachtet werden muss, denn die erste Datei ist meist nur ein Downloader. Die eigentlichen Schädlinge, die die ursprüngliche Datei lädt, aktualisieren sich fortwährend selbst, um nicht von Antiviren-Lösungen erkannt zu werden. Wie bereits oben beschrieben können sie legale Programme laden, die von Cyberkriminellen für die Verbindung mit ihren Servern konfiguriert wurden. In einer solchen Situation bleiben die Programme, die schädliche Aktionen durchführen, unentdeckt.

Die Verluste, die ein Unternehmen aufgrund einer solchen Nachlässigkeit erleidet, können äußerst empfindlich sein. Wenn auf einem Computer mit kritisch wichtigen Informationen ein Schadprogramm gefunden wird, so sollten umgehend die notwendigen Maßnahmen ergriffen werden, um angemessen auf den Vorfall zu reagieren.

Wie unsere Erfahrung allerdings zeigt, werden die meisten Unternehmen erst dann in Alarmbereitschaft versetzt, wenn sie die Folgen eines Cyberangriffs zu spüren bekommen – finanzielle Verluste oder Unerreichbarkeit wichtiger Dienste. Dabei sind die Maßnahmen, die Unternehmen als Reaktion auf solche Vorfälle ergreifen, meist nicht effektiv und behindern außerdem häufig die Ermittlung dieser Fälle.

Da es vielfältige Angriffsvarianten gibt, existiert auch keine allgemein gültige und immer effektive Methode, auf Vorfälle zu reagieren. Beispielsweise kann manchmal das sofortige Abschalten des Computers Daten retten, die nach Ablauf einer gewissen Zeit unwiederbringlich von dem Schadprogramm gelöscht worden wären. In anderen Situationen führt das Trennen vom Stromnetz zum Verlust von für die Untersuchung unerlässlichen Daten im Arbeitsspeicher des Computers. Nur ein Spezialist für die Untersuchung von Sicherheitsvorfällen kann von Fall zu Fall die richtige Entscheidung treffen.

Unbedingt sollten mutmaßlich kompromittierte Computer aber bereits beim allergeringsten Verdacht, dass ein Schadprogramm ins System eingedrungen sein könnte, sowohl vom Internet als auch vom Unternehmensnetzwerk getrennt werden, und IT-Sicherheitsexperten sollten hinzugezogen werden.

Die Folgen eines Sicherheitsvorfalls können erst nach einer detaillierten Analyse effektiv beseitigt werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.