Hintermänner von “Shrouded Crossbow” entwickeln BIFROSE für UNIX

Originalartikel von Razor Huang, Threats Analyst

Kürzlich fanden Trend Micros Sicherheitsforscher eine Variante der BIFROSE-Schadsoftware, die für Unix- und Unix-ähnliche Systeme umgeschrieben wurde. Dies stellt das jüngste Tool der Hintermänner der Operation Shrouded Crossbow dar, die auch andere BIFROSE-Varianten hervorgebracht hatte, wie etwa KIVARS und KIVARS x64. Unix-basierte Betriebssysteme sind in vielen Servern, Workstations und sogar in mobilen Geräten im Einsatz. Bedenkt man die vielen vertraulichen Daten, die auf diesen Systemen liegen, so kann BIFROSE für Unix als eindeutige Bedrohung eingestuft werden.

BIFROSE wurde speziell für die Kampagnen von Shrouded Crossbow geändert, und einige der Opfer sind bereits durch beide Varianten, Windows und Unix, kompromittiert worden. Ursprünglich nutzte Shrouded Crossbow BIFROSE für Angriffe auf Regierungsbehörden, regierungsnahe Firmen aber auch auf Unternehmen in der Unterhaltungselektronik, Computer, Gesundheitswesen und in der Finanzbranche.

 

BIFROSE-Entwicklung unter Shrouded Crossbow
2004 BIFROSE wurde von ksv entwickelt als Trojaner für die Infizierung von Windows 95 bis Windows 7.
2010 Shrouded Crossbow entwickelte KIVARS

2010 – von Schadsoftware TROJ_FAKEWORD.A (SHA1 218be0da023e7798d323e19e950174f53860da15) abgelegt und betraf nur 32-Bit-Systeme

Verschlüsselt nur das “MZ” Magic Byte für die Backdoor Payload

 

2013 Shrouded Crossbow entwickelte KIVARS x64

Arbeitet in 32-Bit- und 64-Bit-Umgebungen

Payload ist nun verschlüsselt mit dem modifizierten RC4

 

2014 Shrouded Crossbow entwickelte UNIX BIFROSE

Einzelheiten zu UNIX BIFROSE gibt es im Originalbeitrag.

Malware ist plattformübergreifend

Der Test der UNIX BIFROSE-Version ergab, dass die Schadsoftware problemlos mit der BIFROSE-Serverkonsole der ursprünglichen Windows-Version kommuniziert. Das bedeutet, dass ein Netzwerk von beiden Versionen infiziert werden kann und der Angreifer in der Lage ist, mit jedem Server zu kommunizieren.

Als Komponente in einem gezielten Angriff kann BIFROSE für Unix für die laterale Bewegung genutzt werden, das ergaben die Analysen. Der Schädling kann für die Kontrolle eines Linux-Servers im Netzwerk des Opfers eingesetzt sein. Er kann aber auch weitere angreifbare Linux-Einheiten finden, die er infiziert, um sich weiter festzusetzen.

Die Bedrohlichkeit von UNIX BIFROSE ist zur Hälfte dessen Fähigkeiten geschuldet und zur anderen Hälfte den Fähigkeiten von Shrouded Crossbow, die ein solches Tool erstellen können.

Die Frage, welche Plattform BIFROSE als nächste erobert, ist Sache des Bedarfs.

Auswirkungen

Bei den ersten Anzeichen von der Norm abweichender Aktivitäten im Netzwerk oder über Mail-Logs, müssen IT-Admins in der Lage sein, schnell zu reagieren. Weitere Informationen dazu bietet der Blog-Eintrag „Sieben Punkte für die Suche nach Anzeichen eines gezielten Angriffs“.

Plattformen wie Trend Micros Deep Discovery, Deep Security und ServerProtect unterstützen IT-Admins dabei, diese Arten von Bedrohungen zu erkennen, zu analysieren und darauf zu reagieren. Sie können BIFROSEs Verhalten, Kommunikation mit C&C-Servern, laterale Bewegungen und Datenexfiltrierung erkennen.

Folgende Hashes für ELF_BIFROSE.ZTDA und die C&C-Server sind vorhanden:

SHA1 C&C
3d3bb509f307db97630c297bdb985c83d8a40951 103.246.247.103

202.133.245.251

5d8b228e3014b4eb579e380b3a1113dd8c0d999a 58.64.185.12

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*