Aktualisiertes Sundown Exploit Kit nutzt Steganographie

Originalartikel von Brooks Li und Joseph C. Chen, Threat Analysten

2016 fand ein Wechsel in der Exploit Kit-Landschaft statt, wobei viele der “Big Player” überraschend ihre Aktivität einstellten. Der Betrieb des Nuclear Exploit Kits begann im Mai zu schrumpfen, Angler verschwand etwa zur selben Zeit, es gab fast 50 Verhaftungen im Juni durch den russischen Federal Security Service, und dann wurde Neutrino “privatisiert” und im September nur noch für eine ausgewählte Klientel eingesetzt. RIG und Sundown sind nun die bekanntesten aktiven Exploit Kits und gerieten in die Schlagzeilen, kurz nachdem Neutrino verschwand.

Sundown ist ein Sonderfall unter den typischen Exploit Kits. Das Kit tendiert dazu, alte Exploits wiederzuverwenden, und unternimmt keine Anstrengungen, seine Aktivitäten zu verbergen. Die URLs für Sundown-Anfragen für Flash-Dateien enden auf .swf, während Silverlight-Anfragen .xap-Extensions haben. Dies sind die normalen Extensions für diese Dateitypen. Auch besitzt Sundown keine Anti-Crawling-Fähigkeiten wie andere.

Nutzung von Sundown/RIG

Sundown und RIG gerieten beide im September in die Schlagzeilen, als eine Malvertising-Kampagne CryLocker-Ransomware über die beiden Exploit Kits verteilte. Sicherheitsforscher entdeckten am 1. September, dass RIG Ransomware als Payload verteilte, während Sundown erst später im Monat damit begann. CryLockers Alleinstellungsmerkmal war die Nutzung von Portable Network Graphic (PNG)-Dateien für die Verteilung der von den infizierten Systemen gestohlenen Informationen. Die PNG-Datei wurde dann in ein Imgur-Album hochgeladen, wo Ransomware-Betreiber einfach darauf zugreifen und dabei die Entdeckung vermeiden konnten.

Die Entwickler der Schadsoftware gaben ihren Dateien einen validen PNG Header mit, aber kein Image. Die Datei umfasste die Systeminformationen nur als ASCII-Ketten. Damit unterscheidet sie sich von Steganographie.

Von Exploit Kits genutzte Steganographietechniken

Steganographie stellt eine fortschrittliche Technik dar, die dazu genutzt wird, um bösartigen Code in einem Image zu verstecken, um eine signaturbasierte Erkennung zu vermeiden. Die Technik ist beliebt und wurde in mehreren Malvertising-Kampagnen und Exploit Kit-Angriffen eingesetzt. Die breit angelegte GooNky Malvertising-Kampagne nutzte mehrere Techniken, um ihren bösartigen Verkehr zu verbergen, einschließlich des Verschiebens von Teilen schädlichen Codes in Images. Doch hier „versteckten“ die Angreifer die Daten nicht wirklich im Bild selbst, sondern hängten ihren Schadcode am Ende der Datei an.

In einem anderen noch raffinierteren Fall arbeiteten die Sicherheitsforscher von Trend Micro mit Kollegen zusammen, um Einblicke in die Steganographie-Techniken aus der AdGholas Malvertising-Kampagne und dem damit in Verbindung stehenden Astrum Exploit Kit zu erhalten. Die Kampagne codiert ein Skript in den Alpha-Kanal eines Image, wo die Transparenz der Pixel definiert wird. Die geringfügige Änderung erlaubt es dem Malware-Designer, eine legitime Werbung nachzuahmen, mit nur einem geringen Farbunterschied. Damit wird es schwieriger, die bösartigen Werbungen zu erkennen und zu analysieren.

Am 27. Dezember 2016 stellten die Sicherheitsforscher fest, dass Sundown mit ähnlichen Techniken aktualisiert worden war. Die PNG-Dateien wurden nicht nur zum Speichern der gesammelten Informationen genutzt, sondern setzten auch Steganographie ein, um ihren Exploit-Code zu verbergen.

Das aktualisierte Exploit Kit wurde in mehreren Malvertising-Kampagnen zur Verteilung von Schadsoftware eingesetzt. Die am meisten betroffenen Länder waren Japan, Kanada und Frankreich, wobei die japanischen Nutzer mehr als 30% der gesamten Ziele ausmachten.

Bild 1. Verteilung des Sundown Exploit Kits vom 21. – 27. Dezember

Während frühere Sundown-Versionen die Opfer direkt mit der Flash Exploit-Datei auf der Landing-Seite verbanden, erzeugt das Malvertisement des Kits einen versteckten iFrame, der die Verbindung zur Sundown Landing-Seite automatisch herstellt. Die Seite extrahiert und downloadet ein PNG-Image. Danach decodiert es die Daten in diese PNG-Datei, um weiteren Schadcode zu erhalten:

Bild 2. In der Sundown Exploit Kit-Infektionskette genutzte Steganographie

Weitere Analysen des Exploit Codes des PNG-Image zeigte, dass es den Exploit Code mit umfasste, der die unter CVE-2015-2419 bekannte Schwachstelle beim Handling von Jscript im Internet Explorer anvisierte. Ein Flash Exploit für CVE-2016-4117 wird vom Exploit Code ebenfalls extrahiert. Die Landing-Seite selbst umfasst einen Exploit, der auf eine weitere IE-Schwachstelle CVE-2016-0189 zielt. Alle diese Exploits wurden gepatcht und sind im vergangenen Jahr von weiteren Exploit Kits genutzt worden.


Bild 3. JavaScript Code in der Landing-Seite zum Decodieren der PNG-Datei

Die von Sundown abgelegte Schadsoftware ist der Chthonic Bankentrojaner (TSPY_CHTHONIC.A). Chthonic ist eine Zeus-Variante, die im letzten Juli in einem PayPal-Betrug eingesetzt wurde.

Das Sundown Exploit Kit missbraucht Sicherheitslücken unter anderen in Adobe Flash und JavaScript. Trend Micro schützt die Anwender vor dieser Bedrohung. Die Sandbox mit der Script Analyzer Engine als Teil von Trend Micro Deep Discovery Inspector erkennt die Bedrohung an ihrem Verhalten, ohne jegliche Engine- oder Pattern-Updates. Die Browser Exploit Prevention-Funktion in Endpoint-Produkten wie Trend Micro Deep Security™, Trend Micro Smart Protection Suitess und Trend Micro Worry-Free Services Advanced blockt das Exploit, sobald der Nutzer auf die URL zugreift, wo es gehostet wird. Browser Exploit Prevention schützt vor Exploits, die Browser oder damit zusammenhängende Plugins anvisieren.

Indicators of Compromise

Die folgenden Domänen wurden vom Sundown Exploit Kit mit den zugehörigen IP-Adressen eingesetzt:

  • xbs.q30.biz (188.165.163.228)
  • cjf.0340.mobi (93.190.143.211)

Das Chthonic Sample hat den folgenden SHA1 Hash:

  • c2cd9ea5ad1061fc33adf9df68eeed6a1883c5f9

Das Sample verwendete den C&C-Server:

  • pationare.bit

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*