Schlagwort-Archive: Flame

Schadprogramme mit Adobe-Zertifikaten im Umlauf

Originalartikel von Gelo Abendan, Technical Communications

Zertifikate mit Codesignaturen bestätigen, dass eine Software nicht bösartig verändert wurde. Doch was passiert, wenn ein Schadprogramm legal ausgegebene Zertifikate nutzt? Letzte Woche veröffentlichte Adobe ein Advisory, in dem der Hersteller Nutzer vor genau solchen schädlichen Programmen mit legalen Adobe-Zertifikaten warnte. Auch wies der Anbieter darauf hin, dass er voraussichtlich am 4. Oktober alle Zertifikate für Codesignaturen seit Juli dieses Jahres zurückziehen will.

Trend Micro-Sicherheitsforscher haben diese schädlichen Programme analysiert und folgende Schädlinge gefunden:

HTKL_PWDUMP extrahiert Hash-Werte aus den Binaries SAM- und SYSTEM-Dateien ins Dateisystem. Dies kann dazu führen, dass Windows-Kennwörter ohne Autorisierung entnommen werden – ein wohlbekanntes Tool. TOJ_AGENT.MGSM wiederum leitet den Verkehr auf einen Webserver um.

Die Gefahr von Malware, die valide Zertifikate nutzt, liegt darin, dass die Angreifer diese als Social Engineering-Taktik verwenden können, denn User vertrauen signierten Programmen und führen sie aus. Cyberkriminelle haben diese Technik auch bereits in gezielten Angriffen angewendet. Beispielsweise missbrauchten bestimmte Komponenten in dem berüchtigten FLAME-Angriff im Iran und in anderen Ländern von Microsoft ausgegebene Zertifikate.

Adobe versichert, dass Systeme mit echter Adobe-Software nicht betroffen seien und daher keine Gefahr für die Kunden bestehe. Dennoch müssen möglicherweise IT-Administratoren bestimmte Maßnahmen ergreifen, etwa Zertifikat-Updates einspielen.

Trend Micros Smart Protection Network schützt die Anwender vor dieser Bedrohung, denn es erkennt und entfernt die Programme.

Gauss auf Streifzug in libanesischen Banken

Originalartikel von Trend Micro

Der Gauss-Angriff hat auch durch denVergleich mit Flame viel öffentliche Aufmerksamkeit auf sich gezogen. Der Schädling kann systembezogene Informationen sammeln sowie Zugangsdaten zu Bankkonten, sozialen Netzwerken, E-Mail und Instant Messaging stehlen. Bedrohungsexperten äußerten auch den Verdacht, es handle sich um einen neuen geheimdienstlich initiierten Angriff, ähnlich Stuxnet in 2010.

Ähnlichkeiten mit Flame

Manche werden sich erinnern, Flame würde als Cyberspionage-Tool bezeichnet, das mithilfe von verschiedenen Techniken, einschließlich dem Abfangen von Screen Shots und Audioaufnahmen, Informationen stiehlt. Ähnlich wie Flame hat Gauss Angriffe in mehreren Staaten des Mittleren Ostens gestartet.

Darüber hinaus haben die beiden Schädlinge einige technische Gemeinsamkeiten:

  • Beide sind in der Programmiersprache C++ geschrieben,
  • nutzen dieselbe .LNK-Schwachstelle aus (CVE-2010-2568),
  • verwenden USB als Speichermedium für die gestohlenen Daten,
  • sind auf den Diebstahl von Browser-History/Cookies ausgerichtet,
  • verwenden dieselbe Verschlüsselungsmethode (XOR) und
  • enthielten ähnliche Command and Control (C&C) Strukturen.

Aus diesen Gemeinsamkeiten schlossen die Sicherheitsforscher, dass Gauss das Werk derselben Leute sei, die auch Flame entwickelt hatten. Doch trotz der Ähnlichkeiten war Gauss darauf ausgerichtet, Informationen von  libanesischen Banken wie etwa Bank of Beirut, BlomBank, ByblosBank, FransaBank und Credit Libanais zu stehlen. Auch zielten die Angriffe des Schädlings des weiteren auf Unternehmen wie Citibank und Paypal. Für einige Fachleute war diese Fokussierung auf libanesische Banken der Beweis dafür, dass der Angriff von einem gewissen Staat unterstützt wurde.

Die Lösungen von Trend Micro schützen die Nutzer vor dieser Art von Angriffen, den die Services des Smart Protection Networks entdecken und löschen die damit verbundene Malware. Auch blocken sie den Zugang zu den C&C-IP-Adressen.

Microsoft Security Advisory 2718704

Originalartikel auf dem Trend Micro Malware Blog

Letzten Sonntag hat Microsoft das Security Advisory 2718704 veröffentlicht. Darin wird ein Update angekündigt, das zwei von Microsoft herausgegebene Certificate Authority (CA)-Subzertifikate in allen aktuell unterstützten Windows-Versionen für ungültig erklärt. Es handelt sich um die Subzertifikate

  • Microsoft Enforced Licensing Intermediate PCA (2 Zertifikate)
  • Microsoft Enforced Licensing Registration Authority CA (SHA1)

Wie in Microsofts Advisory dargestellt, hat die Analyse der Flame-Attacke ergeben, dass diese Zertifikate dazu missbraucht wurden, unautorisierte digitale Zertifikate auszustellen. Diese wurden von den Angreifern dazu benutzt, Komponenten der Flame-Attacke so aussehen zu lassen, als ob sie von Microsoft signiert wären. Die Schädlingskomponenten hatten folglich fälschlicherweise den Anschein, Microsoft-Code zu sein, und spielten bei der Infektion der Systeme durch einen Man-in-the-middle (MitM)-Angriff gegen den Windows Update-Mechanismus von Microsoft eine Rolle.

Während Trend Micro und andere erklärt haben, dass die Flame-Attacke begrenzt ist und keine umfassende Bedrohung für Kunden darstellt, handelt es sich bei der Fähigkeit, bösartigen Code mit diesen Zertifikaten zu signieren und dadurch Sicherheitsprüfungen zu umgehen, durchaus um eine potenzielle, umfassende Bedrohung. Zwar gibt es im Augenblick keine Anzeichen dafür, dass diese Zertifikate in anderen Angriffen benutzt wurden, um Schadsoftware den Anstrich der Legitimität zu verleihen. Allerdings besteht die sehr reale Möglichkeit, dass dies in Zukunft der Fall sein könnte.

Wir fordern daher alle Kunden eindringlich auf, die Sicherheitsaktualisierungen im Zusammenhang mit dem Microsoft Security Advisory 2718704 so bald wie möglich zu installieren. Dadurch werden die beiden Zertifikate ungültig, jeglicher Code, der mit ihnen signiert wurde und möglicherweise Schadsoftware darstellt, wird als nicht vertrauenswürdig gekennzeichnet.

Anfang dieser Woche hat Microsoft zudem auf seinem Blog erklärt, demnächst ein weiteres Update zu veröffentlichen und damit den Windows Update-Mechanismus noch stärker gegen Man-in-the-middle-Angriffe abzusichern. Wir fordern daher alle Kunden eindringlich auf, sich bereits jetzt auf die Veröffentlichung dieser Aktualisierung vorzubereiten, um sie dann so schnell wie möglich einzuspielen.

Auch wenn noch keine breit angelegten Angriffe mittels betrügerischer Zertifikate oder Man-in-the-middle-Angriffe gegen Windows Update beobachtet wurden, sei noch einmal auf deren großes Gefahrenpotenzial hingewiesen. Kunden sollten daher unbedingt das aktuelle Update so schnell wie möglich sowie das künftige ab Verfügbarkeit implementieren.

Wie berichtet, sind Trend Micro-Kunden gegen den Flame-Schädling geschützt. Zusätzlich zur Installation der Microsoft-Sicherheitsaktualisierungen sollten Kunden sicherstellen, dass ihre Trend Micro-Produkte auf dem neuesten Stand hinsichtlich Updates und Signaturen sind. Sie leisten dadurch zu ihrem eigenen Nutzen einen wertvollen Beitrag, um den größtmöglichen Schutz gegen jegliche Versuche, diese Angriffsmechanismen einzusetzen, zu gewährleisten.

Weitere Informationen folgen nach Verfügbarkeit.

Trend Micro schützt vor Flame

Originalartikel von Trend Micro

Die Angriffe auf Behörden und Industrieunternehmen mithilfe der Spionagesoftware Flame sind in aller Munde, und es herrscht Einigkeit darüber, dass der Schädling noch gefährlicher ist als Stuxnet. Trend Micro hat die Malware als WORM_FLAMER.A identifiziert. Der Wurm verbreitet sich über Wechselmedien und kann auch auf andere Computer in einem lokalen Netzwerk übergreifen. Er ist in Lage, laufende Prozesse zu beenden, vor allem solche, die Anti-Malware- oder Firewall-bezogen sind, kann Screenshots und Audioaufnahmen kapern sowie Aktivitäten loggen und vieles mehr.

Trend Micro schützt seine Anwender vor diesem gefährlichen Wurm, denn das Smart Protection Network erkennt und entfernt den Schädling von den betroffenen Computern, genauso wie die Konfigurationsdateien TROJ_FLAMER.CFG. Zudem wird der Zugriff auf alle damit in Verbindung stehenden URLs geblockt.