Lost Door RAT: einfach erhältliches, anpassbares Angriffs-Tool

Originalbeitrag von Janus Agcaoili

Kürzlich entdeckten Trend Micros Sicherheitsforscher einen Cyberangriff über einen Remote Access Trojaner (RAT) namens Lost Door, der derzeit in Social Media-Seiten angeboten wird. Das Bemerkenswerte an dem Tool (BKDR_LODORAT.A) ist die Art und Weise, wie der RAT die Port Forward-Funktion in Routern missbraucht. Über diese Funktion können sich Systeme remote mit einem bestimmten Computer oder Dienst innerhalb eines LANs verbinden. Im Falle eines Angriffs ermöglicht das Cyberkriminellen, ihre Aktivitäten im Netz zu verbergen und eine frühe Erkennung zu vermeiden. Da RATs so einfach anzupassen sind, reicht auch die Kenntnis über Indicators of Compromise nicht aus, um die Bedrohung zu vermeiden.

Anders als andere Angriffswerkzeuge, die nur in cyberkriminellen Untergrundmärkten zu haben sind, ist Lost Door sehr leicht erhältlich. Das Tool wird in sozialen Medien wie YouTube und Facebook beworben. Sein Autor OussamiO hat sogar eine eigene Facebook-Seite, auf der Details zu seinem Werk stehen, und auch in einem eigenen Blog (hxxp://lost-door[.]blogspot[.]com/) gibt es Videos dazu und Anleitungen zum Einsatz.

Bild 1. Facebook-Seite mit Werbung für Lost Door RAT

Bild 2. Blog mit Werbung für Lost Door RAT

OussamiO verkauft nicht nur den Quellcode des Tools im Surface-Web, sondern bietet Kunden auch als Kaufanreiz die Option, ein kompiliertes Sample kostenlos herunterzuladen. Natürlich gibt es das Tool auch im Untergrund, etwa seit 2009 in russischen, chinesischen und brasilianischen Märkten.

Bild 3. Lost Door RAT v8 Builder

Seit der ersten Version von Lost Door im Jahr 2007 hat es verschiedene Versionen des Tools gegeben, die neueste ist Lost®Door E-Lite v9. Wie andere berüchtigte RATS auch (PlugX und Poison Ivy) lässt sich Lost Door einfach anpassen, um das Tool in neue und unterschiedliche Routinen einzubringen. Der Anwender hat die Wahl zwischen einer Vielfalt an vordefinierten Server Builds sowie anderen Optionen für die Verbreitung, Anti-Analyse, für das Verbergen und die Persistenz. Cyberkriminelle können auch Wurm-Fähigkeiten, Backdoor-Befehle und sogar Keylogging-Routinen hinzufügen; Anleitungen dazu finden sich sowohl in Facebook als auch in den Blogspot-Seiten.

Das Ausnutzen der Port Forward-Fähigkeit in Routern, die auch DarkComet missbrauchte, ermöglicht es Angreifern, auf Server in einem privaten Netzwerk zuzugreifen. Damit kann jeglicher bösartiger Verkehr oder die Kommunikation als normal/intern durchgehen – eine perfekte Tarntechnik für C&C-Adressen, denn der Server muss sie nicht direkt ansprechen. Stattdessen wird die IP-Adresse des Routers anvisiert und auf seine offenen Ports zugegriffen. Auch Netzwerk-Monitoring wird damit vermieden, weil sich das RAT lediglich mit einer internen /Router-IP-Adresse verbindet (192[.]168[.]1[.]101 via Port 9481). Sowohl die IP-Adresse als auch der Port können über den Builder modifiziert werden.

Zu den weiteren Fähigkeiten der neuesten Lost Door-Version gehören das Drucken von Dateien über einen Remote-Drucker, Ausführen von Apps sowie Sammeln von Informationen aus der Clipboard-Memory. Dieses RAT unterstützt auch verschiedene Sprachen: Englisch, Arabisch, Französisch, Spanisch, Polnisch, Italienisch und Schwedisch. Auch dies lässt sich laut OussamiO ändern, wenn jemand die englische Version in eine weitere Sprache übersetzen will.

Für IT-Administratoren ist es schwierig, dieses RAT im Netzwerk zu entdecken, weil es die Indicator of Compromise ständig ändert. Doch gibt es als Startpunkt folgende einzigartige Zeichenketten, die dabei helfen können, Lost Door zu entdecken:

  • Welcome to Lost Door E-Lite v9.1
  • We Control Your Digital Worlds
  • E-Lite v9.1
  • \ \Nouveau dossier\OussamiO\Coding\My Softs\Max Security KiT By UniQue OussamiO\2\SLostDoor\Kner.vbp

Zudem gilt für diese Bedrohung auch eine YARA-Regel:

rule lodorat_code
{
meta:
author = “Trend Micro, Inc.”
description = “system infected with lodorat”
in_the_wild = true

strings:
$s1 = “OussamiO” wide ascii
$s2 = “Welcome To Lost Door” wide ascii nocase
$s3 = “E-Lite v9” wide ascii nocase
$s4 = “We Control Your Digital Worlds”

$a1 = /shutdown.{0,5}(-s|-r).{0,5}[0-9]*/i
$a2 = /(D:|E:|F:)\\Music.exe/i
$a3 = “C:\\Program Files\\LimeWire”
$a4 = “C:\\Program Files\\eMule”
$a5 = “C:\\Program Files\\Morpheus”
$a6 = “C:\\Program Files\\Bearshare”
$a7 = “C:\\Program Files\\Kazaa”
$a8 = “C:\\Program Files\\Ares”

$r1 = /CurrentVersion\\Policies\\System\\(DisableTaskMgr|DisableRegistryTools)/i

condition:
any of ($s*) and (2 of ($a*) or $r1) or
2 of ($s*)
}

Trend Micro schützt Anwender und deren Systeme vor der Bedrohung via Sandbox und Script Analyzer in Deep Discovery, oder auch über die Endpunktlösungen Trend Micro™ Security, Smart Protection Suites und Worry-Free Business Security.

Zusätzliche Analysen von Joey Costoya, Lion Gu, Rhena Inocencio und Fernando Merces

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.