Astrum will die Lücke in der Exploit Kit-Landschaft füllen

Originalbeitrag von Joseph C Chen, Fraud Researcher

Der Rückgang der Exploit Kit-Aktivitäten – vor allem der wohlbekannten wie Magnitude, Nuclear, Neutrino und Rig – während der zweiten Hälfte 2016 bedeutet nicht, dass die Hintermänner aufgeben. So wurde das alte und „zurückhaltende“ Exploit Kit Astrum (auch als Stegano bekannt) kürzlich mehrmals aktualisiert. Astrum wurde exklusiv von der AdGholas Malvertising Kampagne genutzt, die eine Fülle an Bedrohungen lieferte, einschließlich des Banken-Trojaners Dreambot/Gozi (auch als Ursnif bekannt, BKDR_URSNIF) sowie von RAMNIT (TROJ_RAMNIT, PE_RAMNIT). Trend Micros Sicherheitsforscher beobachteten auch, dass Astrum von der Seamless Malvertising-Kampagne genutzt wurde, die für den Einsatz von Rig bekannt ist.

Astrums jüngste Aktivitäten zeigen einige Upgrades und lassen auf eine Abkehr von den genannten bekannten Schädlingen schließen. Diese Änderungen scheinen eine Grundlage für künftige Kampagnen aufzubauen und womöglich auch auf einen breiteren Einsatz vorzubereiten. Mit einer Arbeitsweise, die durch den Missbrauch des Diffie-Hellman-Schlüsselaustausches Analyse und Forensik behindert, scheint Astrum wieder angreifen zu wollen.

Astrums Angriffsablauf

Am 23. März fand der Sicherheitsforscher Kafeine heraus, dass Astrum CVE-2017-0022 auszunutzen begann, eine Sicherheitslücke in Windows (gepatcht am 14. März 2017 via MS17-022). Der Exploit wurde dazu genutzt, um herauszufinden, ob bestimmte Antivirus-Produkte auf dem Zielsystem vorhanden waren.

Ende April wurde Astrum wieder aktualisiert, diesmal um Sicherheitsforscher daran zu hindern, den bösartigen Netzwerkverkehr nachzuvollziehen. Diese neue Fähigkeit war darauf ausgerichtet, den Diffie-Hellman-Schlüsselaustausch zu missbrauchen. Angler hatte dies als erster Schädling in 2015 getan.

Die Implementierung des Diffie-Hellman-Schlüsselaustausches hindert Analysten und Sicherheitsforscher daran, den geheimen Schlüssel zu finden, den Astrum für die Ver- und Entschlüsselung seiner Payloads nutzt. Damit wird es sehr schwierig, diese Payload nur über den aufgezeichneten Netzwerkverkehr zu kriegen. Technische Einzelheiten dazu liefert der Originalbeitrag.

Darüber hinaus nutzt Astrum Exploits für Sicherheitslücken in Adobe Flash:

Testläufe

Trend Micros Analyse zeigt, dass die derzeit von Astrum mitgelieferten Payloads keine etablierte Schadsoftware sind. Auch erzeugt Astrum nur wenig Verkehr. Diese Aktivitäten lassen sich als Testläufe für künftige Angriffe deuten.

Was kann man sonst von Astrum erwarten? Es käme nicht überraschend, wenn die Betreiber die Schadsoftware in ein exklusiv gehandeltes Tool verwandeln, wie Magnitude und Neutrino, oder über die Ausnutzung von Sicherheitslücken in Adobe Flash hinaus gehen. Emulationsfähigkeiten ihrer Vorgänger wie dateilose Infektionen, die verschlüsselte Payloads bei ihren Opfern hinterlassen, sind nicht allzu weit weg.

Gegenmaßnahmen

Exploit Kits setzen Endbenutzer dem Risiko des Diebstahls persönlicher Informationen oder gar der nicht autorisierten Verschlüsselung von persönlichen Dateien aus. Für Unternehmen können Exploit Kits eine Behinderung des Geschäfts und Rufschädigung mit sich bringen oder höhere Ausgaben für Unterbrechungen verursachen. Weil nicht gepatchte Sicherheitslücken Alltagsgeschäft für jedes Exploit Kit sind, ist das regelmäßige Patchen und Aktualisieren von Systemen die wichtigste Maßnahme.IT/Systemadministratoren können die Netzwerke und Endpunkte ihrer Unternehmen durch den Einsatz von Firewalls und Intrusion Detection and Prevention Systems (IDS/IPS) noch besser absichern. Virtual Patching sowie eine starke Patch Management-Policy reduziert das Risiko weiter.

Trend Micro-Lösungen

Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko möglichst gering zu halten.

Trend Micro Smart Protection mit XGen Endpoint Security kombiniert High-Fidelity Machine Learning mit anderen Erkennungstechnologien und globalem Bedrohungswissen für einen umfassenden Schutz gegen Ransomware und fortschrittliche Malware. Zudem schützt Vulnerability Protection Endpunkte auch schon bevor Patches aufgespielt wurden.

Für kleine Unternehmen bietet Trend Micro Worry-Free Services Advanced Cloud-basierte Email Gateway-Sicherheit. Der Endpoint-Schutz der Lösung liefert auch Fähigkeiten wie Verhaltens-Monitoring oder Echtzeit-Web-Reputationsdienste, um  Ransomware zu erkennen und zu blocken.

Indicators of Compromise (IoCs):

IP-Adressw und Domäne im Zusammenhang mit dem Astrum Exploit Kit:

  • 141[.]255[.]161[.]68
  • hxxp://define[.]predatorhuntingusa[.]com

Hashes der abgelegten Payloads (SHA256):

  • 39b1e99034338d7f5b0cbff9fb9bd93d9e4dd8f4c77b543da435bb2d2259b0b5
  • ccf89a7c8005948b9548cdde12cbd060f618234fd00dfd434c52ea5027353be8

IP-Adressen in Verbindung mit der Seamless Malvertising-Kampagne:

  • 193[.]124[.]200[.]194
  • 193[.]124[.]200[.]212
  • 194[.]58 [.]40 [.]46

Zusätzliche Analysen von Michael Du

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*