Schadsoftware hat es auch auf SAP-Nutzer abgesehen

Originalartikel von Andrei Castillo, Research Engineer

In jüngster Zeit hat es Berichte über Schadsoftware gegeben, die SAP-Nutzer angreift, um an deren Informationen heranzukommen. Die Sicherheitsforscher von Trend Micro haben diese Bedrohung als BKDR_SHIZ.TO erkannt, ein Schädling, der seit 2010 im Umlauf ist.

Bislang hatte die Malware-Familie wenig Aufsehen erregt, doch seitdem der Schädling SAP-Anwendungen ins Visier genommen hat, ändert sich dies. Er agiert vor allem als Backdoor, der Tastenanschläge in bestimmten Anwendungen festhält. Doch nicht allein SAP-Software ist das Ziel:

Bild 1. BKDR_SHIZ bei der Suche nach Anwendungen

Dieser Teil des Codes prüft, ob bestimmte Anwendungen auf dem betroffenen System laufen und auch ob die Datei in jeder Anwendung im „richtigen“ Verzeichnis liegt. Damit stellt der Schädling sicher, dass tatsächlich installierte Programme (und nicht etwa Backups mit demselben Dateinamen) geloggt werden.

Findet die Malware eine der Anwendungen von der Liste, so wird deren Speicherort festgehalten und an den Command-and-Control-Server des Backdoors geschickt. So wissen die Angreifer genau, welche Anwendungen auf dem System vorhanden sind.

Die Liste der anvisierten Anwendungen ist breit angelegt. Neben SAP sind auch andere Produktklassen vorhanden, so etwa Verschlüsselungssoftware und Bitcoin-/Litecoin-Wallets. Zusätzlich gehören zu den Zielen verschiedene Spiele, obwohl die meisten bereits vor einigen Jahren veröffentlicht wurden.

Neben Anwendungs-Scanning ist Keylogging die wichtigste Routine. Sie ist auf keine der vorher erkannten Anwendungen beschränkt, sondern zeichnet Tastenanschläge innerhalb jedes aktiven Fensters auf. Die Logs sind nach Name des aktiven Fensters, Zeit und des tatsächlichen Tastendrucks organisiert.

Bild 2. Aufzeichnung der Tastenanschläge

Der Schädling besitzt neben diesen Routinen die typischen Backdoor-Fähigkeiten. Er kann

  • Dateien herunterladen und ausführen,
  • Betriebssystem neu starten,
  • Sich selbst Updaten

Zwar kann BKDR_SHIZ.TO Informationen von SAP-Nutzern entwenden, doch tut er dies nicht „gezielt“. Auch ist nicht klar, ob der Diebstahl zu weiteren gezielten Angriffen auf SAP-Nutzer führen mag – es wäre eine Möglichkeit. Die Schadsoftware ist beim Informationsdiebstahl nicht wählerisch, sodass es schwierig ist, die verfolgten Ziele zu auszumachen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*