FAKEM Remote Access Trojaner: Protokolle als Versteck

Originalartikel von Nart Villeneuve, Senior Threat Researcher

Die Täter hinter zielgerichteten Angriffen streben eine dauerhafte Präsenz in einem Zielnetzwerk an, um bei Bedarf kritische Daten abziehen zu können. Um dies zu erreichen, versuchen sie, ihre Schadsoftware in den normalen Netzwerkverkehr zu mischen und Ports zu nutzen, die die Firewalls erlauben. Sie verwenden oft HTTP und HTTPS, um sich als normalen Webverkehr zu tarnen. Die Schädlings-Tools ermöglichen den Übeltätern die vollständige Kontrolle über die infizierten Systeme, sind aber häufig simpel und können nur wenige Befehle ausführen.

Einige Angreifer wählen als Schädling für den zweiten Schritt in den zielgerichteten Angriffen Remote Access Trojaner (RAT). Diese verfügen üblicherweise über eine grafische Benutzerschittstelle und über Funktionen wie das Durchsuchen von Verzeichnissen, Dateiübertragung, die Möglichkeit Screenshots zu erstellen und das Mikrofon oder die Webkamera eines infizierten Computers zu aktivieren. Die drei von Trend Micro analysierten RAT-Versionen wurden alle über Spear-Phishing-Mails und Social-Engineering-Taktiken mit verschiedenen Themen verbreitet. Als Anhänge kamen Word- und Excel-Dokumente sowie ein paar Mal auch .exe-Dateien in Frage.

Öffentlich verfügbar und häufig genutzt sind RATs wie Gh0st, PoisonIvy, Hupigon, und DRAT sowie “nicht öffentlich released” RATs wie  MFC Hunter und PlugX. Der Netzwerkverkehr, den diese RATs verursachen, ist bekannt und leicht zu erkennen, dennoch können die Werkzeuge erfolgreich eingesetzt werden.

Die Angreifer suchen ständig nach Möglichkeiten, ihren bösartigen Verkehr mit legitimem zu vermengen, um sich zu tarnen. Die Sicherheitsforscher von Trend Micro haben nun eine RAT-Familie aufgespürt, FAKEM genannt, die ihren Netzwerkverkehr nach verschiedenen Protokollen aussehen lässt. Einige Varianten tarnen ihn als Windows Messenger– und Yahoo! Messenger-Verkehr. Eine andere tarnt sich als normalen Webverkehr.

Das FAKEM RAT scheint seit September 2009 im Einsatz zu sein. Bestimmte FAKEM RAT-Angriffe stehen wohl mit bekannten Kampagnen (vor allem solchen mit Protux) in Verbindung, doch ist nicht klar, ob auch tatsächlich alle Angriffe die diesen Schädling nutzten miteinander in Verbindung stehen.

Auch wenn es möglich ist, den Netzwerkverkehr, den FAKEM RAT-Varianten produzieren, von dem legitimer Protokolle zu unterscheiden, so ist es doch nicht einfach, in großen Netzwerken den gefälschten Verkehr zu erkennen. Dieser getarnte Verkehr könnte genügen, um die Malware in den kompromittierten Umgebungen länger überleben zu lassen.

Lösungen wie Trend Micros Deep Discovery unterstützen Administratoren dabei, ihre Organisation vor diesen Angriffen zu schützen, indem die Software den FAKEM RAT-Verkehr und ihre Varianten erkennt.

Die Infografik „APT-Kampagnen auf der Spur“ zeigt die verschiedenen Komponenten eines APTs. Detaillierte Informationen liefert auch das Trend Micro-Papier „FAKEM RAT Malware Disguised as Windows Messenger- und Yahoo! Messenger“.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*