„Crisis“ für virtuelle Maschinen

Originalartikel von Christopher Daniel So, Threat Response Engineer  und Warren Wu, Director, Product Group Management Datacenter Business Unit

Die Sicherheitsspezialisten von Trend Micro sind auf Angriffe des Schädlings Crisis/MORCUT auf virtuelle Maschinen in VMware-Umgebungen gestoßen. Ende Juli war der Backdoor-Schädling schon einmal aktiv gewesen, doch da hatte er sich Mac OSX-Systeme als Ziel ausgewählt. Dieses Mal jedoch fanden die Experten Crisis/MORCUT in mobilen Windows-Umgebungen und interessanterweise auf virtuellen Festplatten.

Der Schädling infiziert so genannte Type 2 Hypervisor-Umgebungen. Hierbei wird der Hypervisor über ein Standard-Betriebssystem (Windows/Linux) installiert und hostet mehrere virtuelle Maschinen. Die Malware kompromittiert zuerst das Host-Betriebssystem, sucht nach VMDK-Dateien und instanziiert dann wahrscheinlich die VM, die er mit derselben Infektion wie den Host kompromittiert.

Wie der Schädling in die Systeme kommt, ist noch nicht ganz geklärt. Den Anfang scheint jedoch ein Download eines schädlichen Java-Applets (JAVA_AGENT.NTW) gemacht zu haben. Das Applet ist mit zwei Dateien verbunden: mac – der Hintertür-Schädling OSX_MORCUT.A und win – ein Wurm WORM_MORCUT.A. Die win-Datei wird in einem Windows-Betriebssystem ausgeführt und legt dann einige Komponenten ab (Einzelheiten gibt es hier).

Eine erste Analyse ergab, dass WORM_MORCUT.A sich über USB-Geräte und VMware virtuelle Festplatten verbreiten kann. Der Wurm nutzt die Komponente TROJ_MORCUT.A des Gerätetreibers, um sich auf virtuellen Festplatten einzuhängen. Diese Fähigkeit lässt den Schluss zu, der Schädling verbreite sich aggressiv, doch es gibt derzeit nicht ganz 100 Infektionen mit WORM_MORCUT.A und TROJ_MORCUT.A.

Eine Infektion für Type 2 Hypervisor-Szenarien kann über aktuelle Antimalware-Lösungen wie Trend Micro Deep Security oder Trend Micro OfficeScan verhindert werden. Damit sind die virtuellen Maschinen sicher. Des weiteren sollte der Zugang zu VMDK eingeschränkt werden. Zwar richten sich die Angriffe von Crisis nur auf gehostete Hypervisor nicht auf das Datacenter, dennoch ist eine solche Maßnahme grundsätzlich wichtig. Jeder, der auf die VMDK-Dateien in einem Dateisystem zugreifen kann, hat die Möglichkeit, viel Schaden auf den virtuellen Festplatten und VMs anzurichten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*