staatstrojaner-report23

Die Malware bestand aus einer WindowsDLL ohne exportierte Routinen. Das ist für eine DLL ungewöhnlich; erfahrungsgemäß kommt dies so gut wie ausschließlich bei Schadsoftware vor.Unsere Untersuchung umfaßt eine statische Analyse im Disassembler und die praktische Umsetzung der Erkenntnisse in der Implementierung einer eigenen Kontrollsoftware für den Trojaner.Die IPAdresse des sogenannten CommandandControlServers 207.158.22.134 war fest in den Trojaner einprogrammiert. Der Server ist zum Zeitpunkt des Schreibens dieses Berichtes nach wie vor aktiv und erreichbar. Aus einem ZeitstempelFeld konnten wir schließen, daß der Beginn der dem TrojanerEinsatz zugrundeliegenden Ermittlung einige Zeit zurückliegt.Für die AußenKommunikation verwendet der Trojaner den TCPPort 443. Allerdings spricht der Trojaner über diesen Port nicht HTTPS, sondern ein eigenes BastelProtokoll. Daher ist es möglich, die Kommunikation des Trojaners automatisiert zu erkennen und beispielsweise in einer Firewall oder einem IDS zu identifizieren und zu filtern.Das Protokoll benutzt zwar einen Verschlüsselungsalgorithmus, die Implementierung erfüllt jedoch bei weitem nicht die gängigen kryptographischen Sicherheitsstandards. So wird nur ein symmetrisches Verfahren AES im nichtverketteten PlaceboModus ECB verwendet. Der Schlüssel ist zudem fest einprogrammiert. Bei anderen Versionen des Trojaners war der identische Schlüssel im Einsatz. Es werden einzig die Antworten des Trojaners verschlüsselt, eine Authentisierung der jeweiligen Gegenseite findet nicht statt. Ein zeitgemäßes, kryptografisches Verfahren zum Schutz der sensiblen Daten, deren Integrität und Vertraulichkeit wird hier nicht verwendet. Man kann also bestenfalls von einer Verschleierung der Kommunikation reden.Alle untersuchten Varianten des Trojaners wurden zum Zeitpunkt der Berichterstellung von keinem AntivirusProgramm als Schadsoftware erkannt.Die in den Trojaner eingebauten Funktionen sind das Anfertigen von Screenshots und das Abhören von Skype und anderen VoIPGesprächen, allerdings können auch beliebige SchadModule nachgeladen und ausgeführt werden.
SEITE 3/,50/Wir haben keine Erkenntnisse über das Verfahren, wie die Schadsoftware auf dem Zielrechner installiert wurde. Eine naheliegende Vermutung ist, daß die Angreifer dafür physischen Zugriff auf den Rechner hatten. Andere mögliche Verfahren wären ähnliche Angriffe, wie sie von anderer Malware benutzt werden, also EMailAttachments oder DriveByDownloads von Webseiten. Es gibt auch kommerzielle Anbieter von sogenannten Infection Proxies, die genau diese Installation für Behörden vornehmen.Sicher können wir sagen, daß bei der Infektion zwei Komponenten installiert wurden: eine WindowsDLL im Userland c:\\windows\\system32\\mfc42ul.dllsowie ein WindowsKernelModul namens winsys32.sys.Das Laden und Ausführen des DLLCodes wird über den RegistryKey SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\AppInit_DLLs realisiert, das KernelModul wird über einen WindowsKernelModulService vom Betriebssystem geladen.Das KernelModul liegt in Form einer unsignierten 32bitDatei vor. Es kann daher in dieser Form nur auf einem 32bitWindows funktionieren. Uns liegen keine Erkenntnisse vor, ob es auch eine 64bitVersion gibt. Dies wäre daher interessant, da 64bitVersionen zwangsläufig signiert sein müssen. Über die Signatur könnte man eventuell Rückschlüsse auf den Urheber der Software ziehen.,0..6/,\"50/.5,0..\"/0;/53\"Beim regulären Laden einer WindowsDLL wird zumindest die DLLMainRoutine verarbeitet, hierin werden die ersten, initialen Schadroutinen ausgeführt, die dafür sorgen, daß aktuell laufende Prozesse infiziert werden. Unter anderem dockt sich die Schadsoftware an den Prozeß explorer.exe an und baut von hier aus die Verbindung zum Kontrollserver auf.Der in den uns vorliegenden Trojanern hart einkodierte CommandandControlServer CCServer befindet sich auf der IP 207.158.22.134. Diese IP liegt im Rechenzentrum des kommerziellen HostingAnbieters Web Intellects in Columbus, Ohio, USA.
Gesamtes Dokument lesen »