AutoCAD-Malware öffnet Hackern Tür und Tor

Originalartikel von Anthony Joe Melgarejo, Threat Response Engineer

Die Sicherheitsforscher von Trend Micro fanden kürzlich eine AutoCAD-Schadsoftware, die sie als ACM_SHENZ.A identifizierten. Die Datei scheint eine legitime AutoCAD-Komponente zu sein, die auf .FAS endet. Doch die Analyse zeigt, dass sie stattdessen die Systeme für Exploits öffnet, vor allem für solche, die alte Lücken ausnützen.

Der Schädling erzeugt zuerst ein Nutzerkonto mit Administratjionsrechten auf dem System. Danach erstellt er Netzwerk-Freigaben für alle Laufwerke von C bis I und öffnet vier Ports auf dem System (137 – 139 und 445).

Bild 1 und 2. Dekompilierter Code

Der Malware-Autor bemüht sich gar nicht, seinen Code zu verschleiern, möglicherweise, weil die Malware nur begrenzte Absichten verfolgt.


Bild 3. Malware-Code ohne Tarnung

Diese Ports stehen in Zusammenhang mit dem Server Message Block (SMB)-Protokoll, das für den Zugriff auf Dateien, Drucker und Serienports zuständig ist und verschiedenartige Kommunikation zwischen den Knoten eines Netzwerks unter Windows regelt. Durch das Öffnen der Ports kann ein Exploit, der SMB anvisiert, erfolgreich auf einem betroffenen System laufen, falls die entsprechende Sicherheitslücke noch nicht geschlossen wurde. Zu den relevanten Sicherheits-Bulletins gehören MS10-020 und MS11-043.

Die Erstellung eines Kontos mit Administrationsrechten gehört zur Strategie, denn anderenfalls müsste der Angreifer Kennwörter für bestehende Konten knacken oder aus der Ferne ein Konto erstellen – das sind Prozesse, die schwierig sind und Zeit kosten. Als Administrator hingegen kann der Angreifer einfach alle Dateien von den Laufwerken entwenden und auch weitere Schadsoftware für den Informationsdiebstahl platzieren.

AutoCAD-Malware tauchte in der Vergangenheit nur selten auf. Die Schadsoftware deaktiviert bestimmte Funktionen und stellt sicher, dass alle geöffneten AutoCAD-Dokumente auch Schadsoftware verteilen. Außerdem kann diese Art von Schädling auch dazu verwendet werden, um weitere schädliche Komponenten herunterzuladen und auszuführen. Der Vorteil der Malware mag auch darin liegen, dass Nutzer nicht davon ausgehen, dass dieser Dokumententypus bösartig ist, und damit sorgloser in der Handhabung sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*