Gezielte Angriffe verstecken sich hinter SSL-Kommunikation

Originalartikel von Nart Villeneuve, Senior Threat Researcher

Der Einsatz verschlüsselter Kommunikation etwa mit Secure Sockets Layers (SSL) in Kombinatiion mit schlagzeilenträchtigen Neuigkeiten als Social Engineering-Köder ergibt die perfekte Technik, um sich gezielt in die Infrastruktur eines Opfers einzuschleichen.

Es dauerte nicht lang, bis Cyberkriminelle die Anschläge beim Boston Marathon letzte Woche als Köder nutzten, um User dazu zu verführen, bösartige Anhänge zu öffnen. Die Trend Micro-Sicherheitsforscher entdeckten etwa eine E-Mail mit einem bösartigen Anhang namens The Prayer.DOC. Die Empfänger wurden hier dazu aufgerufen, für die Opfer der Tragödie zu beten.

Abbildung 1. Beispiel einer E-Mail, die die tragischen Ereignisse beim Boston Marathon als Köder einsetzt

Der Anhang (MD5: 5863fb691dd5b3002c040fc7c535800f, als TROJ_MDROP.ATP identifiziert) nutzt die Sicherheitslücke CVE-2012-0158 aus, um eine bösartige ausführbare Datei „iExplorer.exe” (MD5: 74a8269dd80d41f7c81e0323719c883c) auf dem Zielsystem abzulegen.
Diese Schadsoftware (TROJ_NAIKON.A) verbindet sich über SSL (Port 443) mit dem Domänennamen gnorthpoint.eicp.net, der vorher in 220.165.218.39 aber nun in 50.117.115.89 aufgelöst wurde.
Das Zertifikat enthält gefälschte Informationen einschließlich der Identität “donc” und der Organisation “abc”.

Abbildung 2. Screenshot des Zertifikats mit falschen Informationen

Obwohl die Schadsoftware die Verbindung über SSL verschlüsselt, umfasst der Klartext-Verkehr einen leicht zu erkennenden User-Agenten:
GET /config/login_verify2?&.src=ym HTTP/1.1
User-Agent: NOKIAN95/WEB

Der Command-and-Control (C&C)-Server gnorthpoint.eicp.net teilte sich vorher eine IP-Adresse, 112.112.38.143, mit dem C&C-Server kullywolf.gicp.net, der in einem ShadowServer-Report erwähnt ist. Er war in einen Fall verwickelt, wo das bösartige Dokument einen vietnamesischen Namen CV gui bao cao LD.doc hatte und die Sicherheitslücke CVE-2010-3333 ausnutzte, jedoch dieselbe Schädlingsfamilie ablegte.

In einem Fall teilte sich der C&C-Server gnorthpoint.eicp.net auch die IP-Adresse, 220.165.217.98, mit der Domain myyuming55.3322.org, die als C&C-Server für eine andere Malware-Familie, die 2011 aktiv war, diente. Doch in Anbetracht des zeitlichen Unterschieds ist eine Verbindung dazu nicht zu klären.
Das Whitepaper „Detecting APT Activity with Network Traffic Analysis“ zeigt die Vorteile des Einsatzes von SSL-Verschlüsselung bei der Kommunikation mit C&C, vor allem weil dadurch die Entdeckung auf der Grundlage von Mustern in URL-Parametern und http-Headern schwieriger wird. Dennoch können Verantwortliche einige Schritte unternehmen, etwa nach standardmäßigen, zufälligen oder nicht vorhandenen Werten in SSL-Zertifikatsfeldern suchen und das Aufspüren auf Zertifikate externer Netzwerke beschränken.
Auch können Lösungen wie Trend Micros Deep Discovery Anwendern helfen, verdächtigen Netzwerkverkehr aufzuspüren und auch Zero-Day-Schadsoftware abzuwehren. Schließlich sollten Nutzer ihre Systeme stets auf aktuellem Stand halten und immer die neuesten Sicherheits-Patches aufspielen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*