Originalartikel von Razor Huang, Threats Analyst
Kürzlich fanden Trend Micros Sicherheitsforscher eine Variante der BIFROSE-Schadsoftware, die für Unix- und Unix-ähnliche Systeme umgeschrieben wurde. Dies stellt das jüngste Tool der Hintermänner der Operation Shrouded Crossbow dar, die auch andere BIFROSE-Varianten hervorgebracht hatte, wie etwa KIVARS und KIVARS x64. Unix-basierte Betriebssysteme sind in vielen Servern, Workstations und sogar in mobilen Geräten im Einsatz. Bedenkt man die vielen vertraulichen Daten, die auf diesen Systemen liegen, so kann BIFROSE für Unix als eindeutige Bedrohung eingestuft werden.
BIFROSE wurde speziell für die Kampagnen von Shrouded Crossbow geändert, und einige der Opfer sind bereits durch beide Varianten, Windows und Unix, kompromittiert worden. Ursprünglich nutzte Shrouded Crossbow BIFROSE für Angriffe auf Regierungsbehörden, regierungsnahe Firmen aber auch auf Unternehmen in der Unterhaltungselektronik, Computer, Gesundheitswesen und in der Finanzbranche.
| BIFROSE-Entwicklung unter Shrouded Crossbow | |
| 2004 | BIFROSE wurde von ksv entwickelt als Trojaner für die Infizierung von Windows 95 bis Windows 7. |
| 2010 | Shrouded Crossbow entwickelte KIVARS
2010 – von Schadsoftware TROJ_FAKEWORD.A (SHA1 218be0da023e7798d323e19e950174f53860da15) abgelegt und betraf nur 32-Bit-Systeme Verschlüsselt nur das “MZ” Magic Byte für die Backdoor Payload
|
| 2013 | Shrouded Crossbow entwickelte KIVARS x64
Arbeitet in 32-Bit- und 64-Bit-Umgebungen Payload ist nun verschlüsselt mit dem modifizierten RC4
|
| 2014 | Shrouded Crossbow entwickelte UNIX BIFROSE |
Einzelheiten zu UNIX BIFROSE gibt es im Originalbeitrag.
Malware ist plattformübergreifend
Der Test der UNIX BIFROSE-Version ergab, dass die Schadsoftware problemlos mit der BIFROSE-Serverkonsole der ursprünglichen Windows-Version kommuniziert. Das bedeutet, dass ein Netzwerk von beiden Versionen infiziert werden kann und der Angreifer in der Lage ist, mit jedem Server zu kommunizieren.
Als Komponente in einem gezielten Angriff kann BIFROSE für Unix für die laterale Bewegung genutzt werden, das ergaben die Analysen. Der Schädling kann für die Kontrolle eines Linux-Servers im Netzwerk des Opfers eingesetzt sein. Er kann aber auch weitere angreifbare Linux-Einheiten finden, die er infiziert, um sich weiter festzusetzen.
Die Bedrohlichkeit von UNIX BIFROSE ist zur Hälfte dessen Fähigkeiten geschuldet und zur anderen Hälfte den Fähigkeiten von Shrouded Crossbow, die ein solches Tool erstellen können.
Die Frage, welche Plattform BIFROSE als nächste erobert, ist Sache des Bedarfs.
Auswirkungen
Bei den ersten Anzeichen von der Norm abweichender Aktivitäten im Netzwerk oder über Mail-Logs, müssen IT-Admins in der Lage sein, schnell zu reagieren. Weitere Informationen dazu bietet der Blog-Eintrag „Sieben Punkte für die Suche nach Anzeichen eines gezielten Angriffs“.
Plattformen wie Trend Micros Deep Discovery, Deep Security und ServerProtect unterstützen IT-Admins dabei, diese Arten von Bedrohungen zu erkennen, zu analysieren und darauf zu reagieren. Sie können BIFROSEs Verhalten, Kommunikation mit C&C-Servern, laterale Bewegungen und Datenexfiltrierung erkennen.
Folgende Hashes für ELF_BIFROSE.ZTDA und die C&C-Server sind vorhanden:
| SHA1 | C&C |
| 3d3bb509f307db97630c297bdb985c83d8a40951 | 103.246.247.103
202.133.245.251 |
| 5d8b228e3014b4eb579e380b3a1113dd8c0d999a | 58.64.185.12 |