Sie sind hier:  IT News  »  Artikel

 
23.02.2017

Computer-Einbruch ohne Spuren


Der klassische Trojaner hat womöglich bald ausgedient, denn inzwischen ist ein Cyber-Angriff auch ohne Spuren zu hinterlassen möglich.




Normalerweise hinterlassen Einbrecher Spuren, ganz egal ob in der Realität oder der virtuellen Welt. Mit einem neuen Trick soll es möglich sein, Schutz- und Analyse-Programme für den PC völlig zu umgehen. Vermutlich die Carbanak-Gang soll es geschafft haben, in Computer und Netze einzudringen, ohne verdächtige Dateien zu produzieren.

Das Banken-Sicherheitsteam war ratlos. Es gab eindeutig verdächtige Veränderungen in ihrem Netzwerk, doch ein klassischer Trojaner konnte ausgeschlossen werden. Mit Hilfe von Kaspersky starteten sie ihre Nachforschungen und stießen dabei auf eine dateilose Infektion, die Windows-Computer betrifft. Spuren wie Trojaner-Dateien oder typische Tools, mit denen Daten abgegriffen werden, waren nicht zu finden - die Festplatte wirkte völlig harmlos. Erst als Registry und Arbeitsspeicher durchforstet wurden, stießen die Forensiker auf die Lösung.

Im RAM fanden die Experten von Kaspersky eine Meterpreter-Payload, die dort allem Anschein nach ein Metasploit-Exploit einer Sicherheitslücke platzierte. Nachdem die Payload die Powershell aktivierte, wurde über WinAPI-Aufrufe Speicher freigehalten, der mit Tools wie Meterpreter und Mimikatz gefüllt wurde. Die Angreifer haben zusätzlich die Administrations-Werkzeuge sc und netsh genutzt. Da klassische Antiviren-Software und Forensik-Tools primär Dateien analysieren, greifen sie in solchen Fällen ins Leere.

Bereits 2014 gab es Fälle, in denen Schadcode statt in einer Datei in der Windows-Registry platziert wurde, schwer ist das nicht. Doch die spur- und dateilose Infektion wird wohl nun im großen Stil für Einbrüche in Firmennetzwerke genutzt. Übergriffe dieser Art hat Kaspersky bereits in 40 Ländern registriert, bei über 100 Firmen hatten die Experten die entsprechenden Powershell-Skripte in der Registry gefunden. Die Angreifer seien nach wie vor aktiv und sollen vor allem Regierungsorganisationen sowie die Telekommunikations- und Finanzbranche im Visier haben.

Kaspersky hat ebenfalls jemanden im Visier und verdächtigt die Hackergruppen Carbanak und GCMAN. In die Schlagzeilen geriet Carbanak Anfang 2015, als bekannt wurde, dass die Gruppe insgesamt eine Milliarde US-Dollar von Banken auf der ganzen Welt erbeutet hatte. Weil sie die Arbeitsweise von Bankangestellten imitiert hatten, blieben sie lange unentdeckt.






Quelle: https://www.heise.de/newsticker/meldung/Dateilose-Infektion-Einbruch-ohne-Spuren-3623084.html
Bild: © Brian A Jackson - shutterstock.com

Weitere Artikel

Kommentare

  • Keine Kommentare vorhanden

Artikel kommentieren