poison ivy: schadensbeurteilung und datenanalyse · 4 joe stewart: „the sin digoo affair“,...

SECURITY REIMAGINED

SPECIAL REPORT

POISON IVY: Schadensbeurteilung und Datenanalyse

1 www.fireeye.com

Poison Ivy: Schadensbeurteilung und Datenanalyse

INHALT

Kurzfassung .............................................................................................................................................................................................................................................................................................................................................. 2

Einleitung ......................................................................................................................................................................................................................................................................................................................................................... 3

Technische Analyse ................................................................................................................................................................................................................................................................................................................ 4

Datenextraktion ..................................................................................................................................................................................................................................................................................................................... 14

Analyse von Poison Ivy-Exemplaren .................................................................................................................................................................................................................. 14

Fazit .............................................................................................................................................................................................................................................................................................................................................................. 32

Über FireEye .................................................................................................................................................................................................................................................................................................................... 32

2 www.fireeye.com


Selbst wenn Sicherheitsexperten Entwarnung geben: Hinter einem RAT kann sich ein gezielter Angriff verbergen – ein sogenannter Advanced Persistent Threat (APT). Anders als Schadsoftware, die auf opportunistische Cyberkriminalität spezialisiert ist und automatisierte Botnets nutzt, müssen RATs von einer Person bedient werden.

Im Zentrum dieses Berichts steht das Tool Poison Ivy (PIVY), ein RAT, das sich trotz seines Alters von acht Jahren und seiner Bekanntheit in IT-Sicherheitskreisen noch immer größter Beliebtheit bei Angreifern erfreut. Im Zuge dieser Studie veröffentlicht FireEye® Calamine, ein Set von Tools, mit denen Unternehmen eine Infizierung durch Poison Ivy erkennen und betroffene Systeme analysieren können.

Poison Ivy kam bei einer Vielzahl von Malware-Kampagnen zum Einsatz. Prominentestes Opfer war das Unternehmen RSA Security, dessen Sicherheitslösung SecurID-Token 2011 ausgespäht wurde. Im gleichen Jahr war Poison Ivy an einer Kampagne beteiligt, die sich unter dem Codenamen „Nitro“ gegen Chemiekonzerne,

Behörden, Rüstungsfirmen und Menschenrechtsorganisationen richtete.

Auch verschiedene aktuelle Cyberkampagnen werden mit Poison Ivy in Verbindung gebracht:

• admin@338 – Vornehmliches Ziel dieser seit 2008 laufenden Kampagne ist die Finanzdienstleistungsbranche. Weitere Ziele sind Telekommunikationsfirmen, staatliche Institutionen und die Rüstungsindustrie.

• th3bug – Die erstmals 2009 bekannt gewordene Kampagne nimmt verschiedene Branchen ins Visier, darunter auch das Bildungs- und Gesundheitswesen.

• menuPass – Diese ebenfalls 2009 gestartete Kampagne wird auf chinesische Hacker zurückgeführt und zielt auf Rüstungsfirmen in den USA und Übersee ab.

Die Gründe, warum Poison Ivy weiterhin so populär ist, liegen auf der Hand. Das Tool wird über eine vertraute Windows-Oberfläche gesteuert und stellt dem Benutzer eine Fülle

Kurzfassung Remote Access Tools (RATs) werden in IT-Sicherheitskreisen oft als „Stützräder“ für Hacker belächelt. Ein Unterschätzen dieser weit verbreiteten Art von Malware kann jedoch kostspielige Folgen haben. Obwohl RATs als Lieblingsspielzeug von sogenannten Skriptkiddies gelten, sind sie auch ein wichtiger Bestandteil fortschrittlicher Cyberangriffe.

RATs sind insbesondere deshalb attraktiv, da sie auch Hackern mit wenig technischem Know-how uneingeschränkten Zugang zu fremden Computersystemen ermöglichen. Die Handhabung ist verblüffend einfach: Mit simpler Maussteuerung können sich Angreifer durch ein Zielnetzwerk bewegen, um Daten und geistiges Eigentum zu stehlen. Oft spielen die Tools eine zentrale Rolle bei koordinierten Angriffen, die bisher unbekannte Schwachstellen in Software ausnutzen (Zero-Day-Angriffe) und mit Social-Engineering-Taktiken arbeiten.

3 www.fireeye.com


praktischer Funktionen bereit: das Aufzeichnen von Tastatureingaben, Bildschirminhalten und Videos, Dateiübertragungen, Kennwortdiebstahl, Systemadministration, die Umleitung von Datenverkehr usw.

Aufgrund der weiten Verbreitung können Angriffe, die mit Poison Ivy durchgeführt wurden, nicht ohne Weiteres zu bestimmten Personen zurückverfolgt werden.

Mit Calamine will FireEye dazu beitragen, dieser Anonymität ein Ende zu setzen. Unternehmen erhalten hilfreiche Daten, die Aufschluss über das Verhalten und die Kommunikation von Poison Ivy geben. Das Paket besteht aus folgenden Komponenten:

• PIVY-Tool zur Decodierung von Callbacks (ChopShop-Modul)

• PIVY-Tool zur Speicherdecodierung (Immunity Debugger PyCommand-Skript)

ChopShop1 ist ein neues, von der MITRE Corporation entwickeltes Framework für netzwerkbasierte Protokolldecoder, mit dem Sicherheitsexperten an Endpunkte gerichtete Steuerbefehle verfolgen können, die am anderen Ende eingegeben werden. Das PIVY-Modul für ChopShop entschlüsselt den von Poison Ivy initiierten Netzwerkdatenverkehr.

Bei PyCommands handelt es sich um Python-Skripte, die Tasks für Immunity Debugger automatisieren, ein beliebtes Tool zur Analyse von Malware-Binärdateien.2 Das FireEye PyCommand-Skript gibt einen Dump der Konfigurationsinformationen eines PIVY-Prozesses aus, der auf einem infizierten Endpunkt aktiv ist. Hierdurch können weitere Anhaltspunkte über den Angreifer gesammelt werden.

Die Calamine-Tools von FireEye sind unter der 2-Klausel-BSD-Lizenz3 weltweit für die kommerzielle und private Nutzung freigegeben. Die Tools können unter folgender Adresse heruntergeladen werden:

• https://github.com/fireeye/pycommands

• https://github.com/fireeye/chopshop

Durch die Überwachung des PIVY-Servers können die folgenden Informationen gewonnen werden:

• Domains und IP-Adressen, die für die Kommunikation mit Command-and-Control-Servern (CnC) verwendet werden

• Prozess-Mutex des PIVY-Prozesses

• PIVY-Kennwort des Angreifers

• Schadcode der Malware-Dropper

• Zeitlicher Ablauf von Malware-Aktivitäten

Dieser Bericht erläutert, welche Schlussfolgerungen aus diesen und anderen Angriffsdaten Calamine ermöglicht. Diese Indizien sind besonders hilfreich, wenn sie mit anderen Angriffen verglichen werden können, die die gleichen Merkmale aufweisen. Durch einen Abgleich dieser Fakten mit strategischen Bedrohungsdaten können Profile von Bedrohungsurhebern erstellt und IT-Abwehrmaßnahmen verbessert werden.

Auch wenn Calamine den Einsatz von Poison Ivy nicht verhindern kann, wird es die kriminellen Machenschaften von Angreifern deutlich erschweren.

1 ChopShop kann unter folgender Adresse heruntergeladen werden: https://github.com/MITRECND/chopshop.2 Immunity Debugger ist erhältlich unter http://debugger.immunityinc.com/.3 Die Vorlage zur 2-Klausel-BSD-Lizenz der Open Source Initiative finden Sie unter http://opensource.org/licenses/BSD-2-Clause.

4 www.fireeye.com


EinleitungPoison Ivy ist ein kostenloses Remote Access Tool (RAT), das über die offizielle Website www.poisonivy-rat.com erhältlich ist. Das erstmals 2005 veröffentlichte Tool wurde seit 2008 und Version 2.3.2 nicht weiterentwickelt. Poison Ivy verfügt über viele Funktionen, die typisch für Windows-RATs sind. Hierzu gehören das Aufzeichnen von Tastatureingaben, Bildschirminhalten und Videos, Dateiübertragungen, Systemadministration, Kennwortdiebstahl sowie die Umleitung von Datenverkehr.

Seine Benutzerfreundlichkeit und allgemeine Verfügbarkeit machen Poison Ivy zu einem populären Tool für Cyberkriminelle. Größte Bekanntheit erlangte es jedoch durch seine Rolle in gezielten APT-Angriffen, die in der Öffentlichkeit hohe Wellen schlugen.

Diese APTs nutzen RATs, um eine ständige Präsenz im Netzwerk des Angriffsziels aufrechtzuerhalten. Sie breiten sich im System aus und verschaffen sich nach Belieben unbefugten Zugriff auf vertrauliche Informationen.4,5 Da einige der für gezielte Angriffe verwendeten RATs frei erhältlich sind, kann mitunter nicht eindeutig festgestellt werden, ob ein Angriff Teil einer umfassenderen APT-Kampagne ist. Ebenso schwierig ist das Ausfindigmachen gefährlichen Datenverkehrs, um die Aktivitäten des Angreifers nach der Infizierung nachzuverfolgen und das Schadensausmaß näher zu bestimmen, da RATs häufig ihre Netzwerkkommunikation nach dem Exploit verschlüsseln.

2011, also drei Jahre nach Veröffentlichung der letzten Version von PIVY, drangen Angreifer mithilfe

des Fernwartungstools in das System des IT-Sicherheitsunternehmens RSA ein, um Daten zumnAuthentifizierungssystem SecureID zu entwenden. Die erbeuteten Daten wurden anschließend für andere Angriffe verwendet.6 Der RSA-Angriff wurde mit chinesischen Hackern in Verbindung gebracht und galt seinerzeit als äußerst raffiniert. Er nutzte eine Zero-Day-Schwachstelle aus und installierte PIVY als Schadcode auf dem Zielsystem.7,8 Und dies war beileibe kein Einzelfall. Die Kampagne wurde offenbar bereits 2010 gestartet und betraf eine Vielzahl weiterer Unternehmen.9 PIVY war 2011 auch entscheidend an den „Nitro“-Angriffen beteiligt, die Chemiekonzerne, Behörden, Rüstungsfirmen und Menschenrechtsorganisationen ins Visier nahmen.10,11 Ein Jahr später nutzten die Täter eine Zero-Day-Schwachstelle in Java, um PIVY erneut in Stellung zu bringen.12 Erst kürzlich wurde PIVY im Rahmen einer gezielten Website-Infizierung (auch „Strategic Web Compromise“ genannt) als Schadcode eines Zero-Day-Exploits für Internet Explorer eingeschleust. Der Angriff richtete sich u. a. gegen Besucher der Website eines US-Ministeriums.13

RATs müssen direkt und in Echtzeit vom APT-Angreifer gesteuert werden. Dies ist ein wesentlicher Unterschied zu Crimeware (Malware, die auf Cybercrime-Aktivitäten spezialisiert ist). Bei dieser können Täter bei Bedarf Befehle an das Botnet senden und die infizierten Systeme etwa anweisen, Spam zu versenden. Im Gegensatz dazu werden RATs für weitaus spezifischere Ziele eingesetzt und können ein Anhaltspunkt dafür sein, dass Sie es mit einem einzelnen Angreifer zu tun haben, der es auf Ihr Unternehmen abgesehen hat. Technische Analyse Erstellung und Bereitstellung

4 Joe Stewart: „The Sin Digoo Affair“, Februar 2012.5 Nart Villeneuve: „Trends in Targeted Attacks“, Oktober 2011.6 eWeek: „Northrop Grumman, L-3 Communications Hacked via Cloned RSA SecurID Tokens“, Juni 2011.7 RSA FraudAction Research Labs: „Anatomy of an Attack“, April 2011.8 CNET: „Attack on RSA used Zero-Day-Angriffe Flash exploit in Excel“, April 2011.9 Brian Krebs: „Who Else Was Hit by the RSA Attackers?“, Oktober 2011.10 Eric Chien und Gavin O’Gorman: „The Nitro Attacks: Stealing Secrets from the Chemical Industry“, Oktober 2011.11 GovCERTUK Computer Emergency Response Team: „Targeted Email Attack Alert“, Oktober 2011.12 Symantec: „Java Zero-Day Used in Targeted Attack Campaign“, August 2012.13 Yichong Lin: „IE Zero Day is Used in DoL Watering Hole Attack“, Mai 2013.

5 www.fireeye.com


Der Builder Kit für Poison Ivy ermöglicht Angreifern die Erstellung eines eigenen PIVY-Servers. Dieser wird als mobiler Code in ein infiziertes Zielsystem eingeschleust. Häufig wird dabei zur Täuschung der Opfer Social Engineering eingesetzt. Ist der Server auf einem Endpunkt einsatzbereit, verbindet er sich mit einem PIVY-Client, der auf dem System des Angreifers installiert ist, um diesem die Kontrolle über das Zielsystem zu verschaffen.

Je nach Konfiguration kann der PIVY-Servercode auf dem Endpunkt auf verschiedene Art und Weise ausgeführt werden. Üblicherweise wird der Servercode dabei in zwei Abschnitte aufgeteilt:

• Initialisierungs- und Wartungscode

• Netzwerkcode

Der Initialisierungs- und Wartungscode wird in den laufenden Prozess explorer.exe eingeschleust.

Je nach Konfiguration startet der Netzwerkcode unbemerkt einen Webbrowser-Prozess (den Standardbrowser des Systems) und integriert sich mittels Codeinjektion in diesen Prozess. Der Netzwerkcode lädt anschließend die fehlenden Codebestandteile und Daten, welche für die volle

Funktionalität benötigt werden, als Shellcode vom PIVY-Client herunter. Der neue Code wird auf dem Endpunkt im Kontext des Zielprozesses ausgeführt. Alle globalen Variablen, Konfigurationsparameter und Funktionszeiger werden im C-Datentyp struct gespeichert, der auch in die Zielprozesse und dabei sowohl in den Netzwerkcode als auch in den Initialisierungs- und Wartungscode injiziert wird.

Dies hat den Nebeneffekt, dass alle CALL-Anweisungen und globale Variablenadressen als Offset auf ein Register verweisen, wenn der Code disassembliert wird. Der in den Prozess explorer.exe eingeschleuste Code wird im Gegensatz zu

Abbildung 1: Konfigurationsparameter des PIVY-Servers werden an den PIVY-Client übermittelt

6 www.fireeye.com


Abbildung 2: Daten und Funktionen, die als Offset auf das struct verweisen, auf welches das ESI-Register zeigt

Abbildung 3: In unterschiedliche Speicherbereiche injizierte Funktionen im Prozess explorer.exe

Abbildung 4: Der „persistence“- Thread in explorer.exe kann mit dem Process Explorer mühelos beendet werden

7 www.fireeye.com


typischem Malware-Code Funktion für Funktion injiziert – jeder mit seinem eigenen Speicherbereich, wobei die jeweiligen Funktionszeiger im struct eingetragen werden.

Durch Aktivierung der PIVY-Option „persistence“ wird ein WatchDog-Thread in explorer.exe injiziert, der automatisch den PIVY-Serverprozess erneut startet, wenn dieser vom Betriebssystem des Zielrechners unerwartet beendet wird. Die Keylogging-Funktion von PIVY wird ebenfalls im Prozess explorer.exe verankert.

Command-and-Control-ProtokollPoison Ivy nutzt ein eigenes, komplexes Netzwerkprotokoll über TCP. Ein Großteil der Kommunikation wird mithilfe des Camellia-Algorithmus und einem 256-Bit-Schlüssel verschlüsselt.14 Als Schlüssel dient ein Kennwort, das vom Angreifer bei der Erstellung des PIVY-Servers festgelegt wird. Das Kennwort lautet standardmäßig „admin“ und kann als Klartext oder in Hexadezimalnotation im ASCII-Format angegeben werden. Das Kennwort wird mit Nullen auf 32 Byte aufgefüllt (256 Bit). Der Schlüssel wird zu Beginn der TCP-Sitzung mit einem Challenge-Response-Algorithmus validiert. Der PIVY-Server sendet 256 Byte zufällig generierter Daten an den PIVY-Client, der die Daten mithilfe des Schlüssels verschlüsselt und sie zur Validierung an den PIVY-Server zurücksendet. Viele der Daten, die PIVY zur Kommunikation

verwendet, werden vor der Verschlüsselung mithilfe des Kompressionsalgorithmus LZNT1 von Microsoft komprimiert15, der von PIVY über das Windows-API RtlCompressBuffer verwendet wird. Mithilfe des Protokolls werden verschlüsselte Datenabschnitte gesendet, denen der folgende verschlüsselte 32-Byte-Header vorangestellt wird:

struct PI_chunk_header {

int command_id;

int stream_id;

int padded_chunk_size;

int chunk_size;

int decompressed_chunk_size;

long total_stream_size;

int padding;

};

PI_chunk_header ist folgendermaßen aufgebaut: command_id – Dieser Parameter bestimmt die PIVY-Funktion, auf die sich der Datenabschnitt bezieht. stream_id – Dieser Teil bestimmt den Datenstrom, dem der Datenstrom zugeordnet ist. Das PIVYProtokoll unterstützt das gleichzeitige Senden mehrerer Datenströme. padded_chunk_size – Da es sich bei Camellia um eine 16-Byte-Blockchiffre handelt, werden die Header und Datenabschnitte mit Nullen aufgefüllt. chunk_size – Datenabschnitte werden zu einem Datenstrom zusammengefasst, der beliebigen Daten enthalten kann: eine übertragene Datei, ausführbaren Shellcode, Rohdaten oder eine Bitmap-Datei mit Screenshot. decompressed_chunk_size – Wenn sich dieser Wert vom Wert chunk_size unterscheidet, wird der Datenabschnitt mithilfe von LZNT1 komprimiert. total_stream_size – Dieser Parameter bezeichnet die Gesamtgröße der Daten, die für den entsprechenden Parameter command_id gesendet werden. padding – Dieser Parameter bezieht sich auf das Auffüllen mit Nullen auf bis zu 32 Byte.

14 Weitere Informationen zu dieser von NTT entwickelten Blockchiffre finden Sie unter https://info.isl.ntt.co.jp/crypt/eng/camellia/intro.html.

15 Weitere Informationen zu diesem Komprimierungsverfahren finden Sie unter http://msdn.microsoft.com/en-us/library/jj665697.aspx.

8 www.fireeye.com


Abbildung 5: Erstmalige Kontaktaufnahme durch PIVY

Abbildung 6: PIVY-Datenabschnitte mit Headern

9 www.fireeye.com


Das Modul Calamine ChopShopDer Poison Ivy-Decoder von FireEye prüft zu Beginn jeder TCP-Sitzung, ob von PIVY Challenge-Response-Sequenzen initiiert werden. Falls ja, versucht das Modul, die Antwort mithilfe eines oder mehrerer Kennwörter zu validieren, die als Argumente angegeben werden. Wurde kein Kennwort festgelegt, wird das Standardkennwort „admin“ verwendet.

Kennwörter können entweder als Klartext oder in Hexadezimalnotation im ASCII-Format angegeben werden. Bei mehreren Kennwörtern können Sie eine Textdatei mit einem Kennwort pro Zeile erstellen. Wenn der Decoder anhand eines bereitgestellten Kennworts die ersten PIVY-Datenströme identifiziert, decodiert er den Rest der relevanten Datenströme. Um das Modul ChopShop von FireEye zu verwenden, müssen Sie CamCrypt installieren. CamCrypt ist ein Python-Wrapper für eine Open-Source-Implementierung der Verschlüsselungsbibliothek von Camellia.16 Die meisten Funktionen von PIVY werden in gewissem Umfang von diesem Modul abgedeckt.

Hinweis: Wenn die PIVY-Datenströme keinem der angegebenen Kennwörter entsprechen, schlägt die Decodierung fehl. Glücklicherweise können Sie das festgelegte PIVY-Kennwort problemlos herausfinden, wenn ein Endpunkt mit PIVY oder einer Kopie des PIVY-Servercodes infiziert wurde (siehe Abschnitt „Abrufen des PIVY-Kennworts mithilfe des Calamine PyCommand-Skripts“).

Hinweise zur Nutzung von Calamine ChopShop Calamine ChopShop verfügt über folgende Funktionen und Optionen:

• Dateien, die von dem oder an den PIVY-Server übertragen werden, werden mithilfe der Option -f auf der Festplatte gespeichert.

• Aufzeichnungen von Webcams, Tastatureingaben sowie Audio- und Bildschirmaufnahmen werden mithilfe der Option -c auf der Festplatte gespeichert. Die Audioaufnahmen werden als Rohdaten gespeichert, die mithilfe eines Tools wie SoX17 problemlos in WAV-Dateien konvertiert werden können. Der Decoder gibt dabei Abtastrate, Kanal und Bitdaten aus.

• Suchanfragen nach Dateien und Registry-Daten werden mitsamt ihrer Ergebnisse angezeigt.

• Einzelheiten zu initiierten Netzwerkumleitungen werden angezeigt.

• Eine Liste aktiver Ports wird angezeigt.

Dieses Modul unterstützt teilweise die Decodierung von Listen von Windows-Dateien, Diensten, Prozessen, Geräten, der Registry sowie von Listen installierter Anwendungen. Während der Decodierung von PIVY-Datenströmen wird über die Standardausgabe des Moduls darauf hingewiesen, dass Listenanfragen gestellt wurden. Gegebenenfalls wird darauf hingewiesen, welcher Schlüssel oder welches Verzeichnis abgefragt wird. Verzeichnislisten werden ausgegeben, enthalten jedoch keine Dateiinformationen. Wenn das Modul mit der Funktion -1 aufgerufen wird, werden alle zurückgegebenen Daten so in einer Datei gespeichert, wie sie auf dem PIVY-Client angezeigt werden: als Kombination von Zeichenfolgen und Binärdaten, die diese Zeichenfolgen beschreiben.

Wenn Sie weitere Informationen zu den aufgelisteten Elementen benötigen, können Sie das Strings-Tool auf Dumps von Rohdateien anwenden.

16 CamCrypt is available at https://code.google.com/p/camcrypt/.17 SoX is available at http://sox.sourceforge.net/.

10 www.fireeye.com


Wenn Sie auf einen unbekannten Befehl stoßen oder die Funktionalität des Decoders erweitern möchten, können Sie die Option -d verwenden. Diese gibt einen Dump im Hexadezimalformat aus, der alle Header und assemblierten Datenströme in beide Richtungen enthält. Dies ist für die Analyse und weitere Auswertung hilfreich.

Abrufen des PIVY-Kennworts mithilfe des Calamine PyCommand-Skripts

Viele Angreifer behalten das Standardkennwort „admin“ bei. In diesem Fall können Sie sofort mit der Nutzung des Decoders beginnen. Es ist jedoch wahrscheinlich, dass der Angreifer das Kennwort geändert hat, um sich besser zu schützen. Wenn Sie Zugang zu einem mit P IVY infizierten Endpunkt oder dem PIVY-Servercode haben, können Sie das Kennwort jedoch problemlos abrufen. Dafür gibt es je nach Situation und Vorlieben unterschiedliche Vorgehensweisen.

Wenn Sie lieber mit Speicherdumps arbeiten, können wir Ihnen das exzellente Volatility-Plugin für PIVY von Forensikexperte Andreas Schuster empfehlen.18 Volatility gibt Dumps aus, die einen Großteil der relevanten PIVY-Konfigurationsdaten einschließlich des Kennworts enthalten. Weitere Informationen finden Sie auf der Projektseite von Volatility (http://code.google.com/p/volatility/source/browse/trunk/ contrib/plugins/malware/poisonivy.py?r=2833).

Wenn Sie eine Testumgebung zur Malware-Analyse verwenden, ist das Calamine PyCommand19-Skript für Immunity Debugger zu empfehlen, da dieses einfach und effizient zu bedienen ist.

Folgen Sie diesen Schritten, um PyCommand zu nutzen (die Schritte können unter Umständen variieren):

1. Hängen Sie Immunity Debugger an den Prozess an, in den PIVY injiziert wird (oder an den PIVY-Prozess selbst, wenn PIVY nicht injiziert wurde).

2. Legen Sie Breakpoints für die Funktionen send und connect fest.

3. Fahren Sie mit der Ausführung fort.

4. Warten Sie, bis die Ausführung unterbrochen wird.

5. Führen Sie den Prozess weiter aus, bis die Funktion verlassen wird.

6. Führen Sie PyCommand aus.

7. Prüfen Sie, ob die Protokolle die Konfigurationsdaten enthalten.

SchadensbeurteilungUm das Schadensausmaß eines Angriffs bewerten zu können, müssen Sie das Vorgehen des Täters rekonstruieren. Je nachdem, wie sorgfältig der Angreifer seine Spuren verwischt hat, ist eine Rekonstruktion allein mithilfe forensischer Daten vom betroffenen Host unter Umständen nicht möglich. Wenn jedoch Netzwerkaktivitäten von PIVY erfasst werden, kann das Modul Calamine ChopShop dabei helfen, diese Daten aufzudecken. Im folgenden Beispiel haben wir eine Testumgebung eingerichtet. In dieser wurden Befehle ausgeführt, die häufig von Angreifern nach der Infizierung eines Systems mit PIVY verwendet werden, um sich im Netzwerk auszubreiten. Anschließend haben wir mithilfe von Calamine ChopShop die Aktivitäten rekonstruiert.

18 The Volatility plugin is available at https://www.volatilesystems.com/default/volatility.

19 Corelan Team. “Starting to write Immunity Debugger PyCommands : my cheatsheet.” January 2010.

11 www.fireeye.com


Perspektive des Angriffsziels Perspektive des Angreifers

Starting ChopShop

Initializing Modules ...

Initializing module ‘poisonivy_23x’

Transferred files will be saved..

Screen/Cam/Audio/Key captures will be saved..

Running Modules ...

[2013-07-03 06:46:29 PDT] Poison Ivy

Version:2.32

[2013-07-03 06:46:30 PDT]*** Host Information***

PI profile ID: mal

IP address: 192.168.0.12

Hostname: BLUE

Windows User: admin

Windows Version: Windows XP

Windows Build: 2600

Service Pack: Service Pack 3

[2013-07-03 06:46:36 PDT] *** Shell Session ***

Microsoft Windows XP [Version 5.1.2600]

(C) Copyright 1985-2001 Microsoft Corp.

C:\>


ipconfig


Windows IP Configuration

Connection-specific DNS Suffix . :

IP Address. . . . . . . . . . . . : 192.168.0.15

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 192.168.0.1

C:\>

12 www.fireeye.com



[2013-07-03 06:47:23 PDT] inbound file

C:\gsecdump.exe

[2013-07-03 06:47:46 PDT] saved PI-

extractedinbound-

file-1-gsecdump.exe..


gsecdump.exe -a > hash.txt

0043B820

info: you must run as LocalSystem to dump LSA

secrets


C:\>

[2013-07-03 06:47:54 PDT] *** Directory Listing

Sent ***

AUTOEXEC.BAT

boot.ini

CONFIG.SYS

gsecdump.exe

hash.txt

IO.SYS

MSDOS.SYS

NTDETECT.COM

ntldr

pagefile.sys

[2013-07-03 06:48:02 PDT] outbound file

C:\hash.txt

[2013-07-03 06:48:02 PDT] saved PI-extractedoutbound-

file-2-hash.txt..

13 www.fireeye.com



[2013-07-03 06:48:57 PDT] *** Screen Capture Sent

***

PI-extracted-file-3-screenshot.bmp saved..

[2013-07-03 06:49:03 PDT] *** Remote Desktop

Session ***

[2013-07-03 06:49:03 PDT] *** Remote Desktop

Session ***

Shutting Down Modules ...

Shutting Down poisonivy_23x

Module Shutdown Complete ...

ChopShop Complete

Abbildung 7: Beispiele von PIVY-Befehlen und Bildschirmansichten (links: Angriffsziel, rechts: Angreifer)

Nach der Infizierung sehen die „Angreifer“, dass ein neuer Zielendpunkt verfügbar ist, und führen folgende Aktionen aus:

• Sie führen Standardbefehle wie ipconfig aus, um grundlegende Informationen über das Netzwerk zu erhalten.

• Sie laden das Hash-Extrahierungs-Tool gsecdump hoch (erhältlich unter http://www.truesec.se/sakerhet/verktyg/saakerhet/gsecdump_v2.0b5).

• Sie schreiben die Hash-Werte von Kennwörtern auf dem Endpunkt in eine Datei.

• Sie laden die Datei mit den Hash-Werten der Kennwörter vom Endpunkt herunter (um die Kennwörter offline zu entschlüsseln).

• Sie erstellen einen Screenshot vom Desktop des Zielsystems.

14 www.fireeye.com


DatenextraktionEin APT-Angriff lässt sich als eine Kampagne beschreiben – eine Angriffsserie, die sich über einen längeren Zeitraum erstreckt. Jeder einzelne Angriff innerhalb einer Kampagne kann in die folgenden Phasen untergliedert werden:20,21,22

• Ausspähen des Zielsystems

• Ausnutzen der Schwachstelle

• Übernahme der Kontrolle

• Ausbreiten im Netzwerk

• Datendiebstahl (oder andere schädliche Handlungen)

In all diesen Phasen können Sie aufschlussreiche Informationen über Ihren Gegenspieler gewinnen. Sicherheitsexperten können anhand der gesammelten Daten festzustellen, ob die Angriffe auf Spionage mittels Malware hinauslaufen.

Dies setzt die Kenntnis der folgenden Komponenten eines Angriffs voraus:

• Zeitplan und ausgewählte Ziele

• Exploits und Malware

• Netzwerkinfrastruktur

• Ausmaß der Aktivitäten im infizierten Netzwerk (einschließlich gestohlener Daten)

• Charakteristische Merkmale der Angriffsziele

Für diese Beurteilung wird mehr als eine bloße Malware-Analyse benötigt. Sie erfordert vielmehr eine Analyse der technischen Aspekte und des Kontexts einer Sicherheitsverletzung sowie die

Auseinandersetzung mit anderen Hypothesen.23,24 Dies ist wichtig, da meist entweder das Wissen über die geografische Ausbreitung des Angriffs und die betroffenen Branchen begrenzt ist oder Malware-Aktivitäten in bestimmten Phasen eines Angriffs nicht vollständig überblickt werden können.

Analyse von Poison Ivy-ExemplarenFür diese Analyse wurden 194 Poison Ivy-Exemplare gesammelt, die bei gezielten Angriffen zwischen 2008 und 2013 verwendet wurden. Daraus haben wir 22 verschiedene Kennwörter und 148 Mutex-Werte extrahiert. Zudem wurde ein Abbild der CnC-Infrastruktur erstellt, die aus 147 Domains und 165 IP-Adressen bestand.

Wir haben die Exemplare analysiert, um die von den Angreifern verwendeten Tools, Taktiken und Prozesse (TTPs) besser zu verstehen, sie Kampagnen zuzuordnen und damit den Angegriffenen die Möglichkeit zu geben, ihr Netzwerk besser zu schützen. Neben der Gruppierung der Exemplare anhand von technischen Kriterien wie Kennwörtern und extrahierten CnC-Daten haben wir auch Verhaltensmuster wie bevorzugte Angriffsziele und Social-Engineering-Strategien analysiert.

Jeder PIVY-Server (also die Malware, die der Angreifer an das Ziel sendet) kann so konfiguriert werden, dass er über einen beliebigen TCP-Port mit mehreren CnC-Servern in Verbindung tritt. Deshalb kommt es häufig vor, dass sich eine

20 SANS Computer Forensics: „Security Intelligence: Defining APT Campaigns“, Juni 2010.

21 SANS Computer Forensics: „Security Intelligence: Attacking the Cyber Kill Chain“, Oktober 2009.

22 Richard Bejtlich: „Incident Phases of Compromise“, Juni 2009.

23 Richard Bejtlich: „Attribution Is Not Just Malware Analysis“, Januar 2010.

24 Jeffrey Carr: „Mandiant APT1 Report Has Critical Analytic Flaws“, Februar 2013.

15 www.fireeye.com


PIVY-Instanz über verschiedene TCP-Ports mit mehreren CnC-Servern verbindet. Am häufigsten werden im Rahmen gezielter Angriffe die der Datenübertragung im Web dienenden Ports genutzt – insbesondere Port 443, der für SSL-verschlüsselten Webdatenverkehr reserviert ist.

Port 443 ist aus zwei Gründen von zentraler Bedeutung: Erstens muss ausgehender Datenverkehr über diesen Port von

Abwehrmaßnahmen am Perimeter zugelassen werden, damit Benutzer auf mit SSL verschlüsselte Websites zugreifen können. Zweitens kann verschlüsselter PIVY-Datenverkehr fälschlicherweise als normaler Datenverkehr interpretiert werden, da Datenverkehr über Port 443 stets verschlüsselt wird. (Viele protokollsensitive Firewalls erkennen PIVY-Datenverkehr jedoch und warnen vor diesem.)

Verwendeter TCP-Port Anzahl der PIVY-Exemplare

443 157

80 104

8080 22

8000 12

1863 7

PIVY-Prozess-Mutex Anzahl der PIVY-Exemplare

)!VoqA.I4 14

K^DJA^#FE 4

KEIVH^#$S 3

%1Sjfhtd8 3

2SF#@R@#! 3

Tabelle 1: TCP-Ports, die von PIVY-Varianten bei APT-Angriffen verwendet wurden

Tabelle 2: Prozess-Mutex-Werte von PIVY-Varianten, die bei APT-Angriffen zum Einsatz kamen

16 www.fireeye.com


Der Angreifer kann den Wert für den PIVY-Prozessmutex bei der Servererstellung festlegen.25 Manche Angreifer verwenden zwar den Standardwert )!VoqA.I4, meist wird jedoch für jeden Angriff ein eigener Mutex verwendet. Von den 147 Mutex-Werten in unserer Stichprobe waren 56 für die einmalige Verwendung vorgesehen.

Wenn Angreifer zum Zeitpunkt der Erstellung ein eindeutiges Kennwort erstellen, statt das Standardkennwort „admin“ zu verwenden, ist dieses benutzerdefinierte Kennwort das beste Merkmal. Obwohl das Kennwort jederzeit geändert werden kann, haben wir beobachtet, dass Angreifer häufig für lange Zeit dasselbe Kennwort verwenden. In Verbindung mit CnC-Daten können die von Tätern verwendeten Kennwörter eindeutige Hinweise liefern, die eine Zuordnung verwandter Aktivitäten ermöglichen.

Zuordnung der ExemplareUm die Aktivitäten der PIVY-Exemplare bestimmten APT-Kampagnen zuzuordnen, haben wir sie zunächst anhand gemeinsam genutzter CnC-Infrastrukturen in Gruppen eingeteilt. Mithilfe von passiven DNS-Daten haben wir Domains gruppiert, die auf gemeinsame IP-Adresse verwiesen. Da Angreifer ihre Domains unter Umständen „parken“, indem sie ihnen IP-Adressen zuordnen, die sie nicht unbedingt kontrollieren (und um andere Anomalien in den passiven DNS-Daten zu erklären), haben wir zusätzliche Daten aus den PIVY-Exemplaren extrahiert. Hierzu zählen PIVY-Kennwörter, Mutex-Werte, Kampagnenkennzeichen und -codes26 sowie Angaben zum verwendeten Launcher.27 Von diesen Daten ausgehend haben wir uns auf drei verschiedene APT-Kampagnen und die betreffenden Angreifer konzentriert, die wir anhand des PIVY-Kennworts identifizieren konnten, das bei mehreren Angriffen verwendet wurde:

25 Ein Mutex ist ein Windows-Objekt, das zur prozessübergreifenden Synchronisierung verwendet wird. Mithilfe von Mutexen stellt Schadsoftware meist

sicher, dass auf einem infizierten System immer nur eine Instanz der Malware ausgeführt wird.

26 Ein Kampagnenkennzeichen oder -code ist in der Regel ein String, der vom Angreifer in die Malware-Kommunikation und/oder in Malware-Binärdateien

eingebettet wird. Er dient der Kennzeichnung gezielter Kampagnen gegen ausgewählte Ziele (meist nach Branche unterteilt), damit die Angriffe besser

eingeordnet werden können.

27 Launcher sind Malware-Schadcode, der zum Laden weiterer Malware verwendet wird (Payload). Häufig wird dabei die Payload verschlüsselt und in einen

Hostprozess auf dem Endpunkt des Zielsystems injiziert.

PIVY-Kennwort Anzahl der PIVY-Exemplare

admin 38

keaidestone 35

menuPass 24

suzuki 14

happyyongzi 13

Tabelle 3: PIVY-Kennwörter von PIVY-Varianten, die bei APT-Angriffen zum Einsatz kamen

17 www.fireeye.com


• admin@338

• th3bug

• menuPass

Auf die einzelnen Kampagnen wird in den nächsten Abschnitten näher eingegangen.

Um den Zeitpunkt der wahrscheinlichen PIVY-Nutzung zu ermitteln, haben wir die aus den PIVY-Exemplaren

extrahierte Kompilierzeit der Portable Executable (PE) und das Datum verwendet, an dem ein Exemplar erstmals von Webdiensten wie

VirusTotal verzeichnet wurde. Alle diese APT-Kampagnen waren von 2008 bis 2013 aktiv.

Kampagne 1: admin@338

Für den Angreifer admin@338 stand uns folgende Stichprobe zur Verfügung:

• 21 Poison Ivy-Exemplare

• 3 Kennwörter

• 43 CnC-Server

Figure 9: Percent of admin@338 APT group attacks by industry

18 www.fireeye.com


Das erste uns vorliegende PIVY-Exemplar von admin@338 datiert vom 27. Dezember 2009. Wir nehmen jedoch an, dass die Kampagne unter Verwendung anderer PIVY-Kennwörter bereits seit dem 7. Januar 2008 aktiv war (key@123 und gwx@123). Diese noch andauernde Kampagne konzentriert sich überwiegend auf die Bereiche Finanzen, Wirtschaft und Handelspolitik. Außerdem betroffen sind die Sektoren ISP/Telekommunikation, staatliche Institutionen und Rüstung.

AngriffsvektorDie Angriffe werden überwiegend durch Spear-Phishing-Mails eingeleitet. Diese E-Mails sollen Opfer mit für sie relevanten Inhalten dazu bewegen, einen Dateianhang zu öffnen, der den PIVY-Servercode enthält.

Text und zur Täuschung der Ziele verwendete Dokumente sind dabei für gewöhnlich in englischer Sprache verfasst – obwohl für den Nachrichtentext ein chinesischer Zeichensatz verwendet wird (GB2312, siehe Abbildung 10).28

Abbildung 10: Beispiel einer Spear-Fishing-Email der APT-Gruppe admin@338

28 Wikipedia: „GB 2312“, Februar 2013.

19 www.fireeye.com


Vorbereitung der AngriffsmittelBei dieser Kampagne kamen Microsoft Word-Dokumente (CVE-2012-0158)29, PDF-Dateien (CVE-2009-4324)30 und Microsoft-Hilfedateien (HLP) zum Einsatz, um den PIVY-Schadcode in Zielsysteme einzuschleusen.

Die schädlichen Dokumente haben meist einen inhaltlichen Bezug zum Text der Spear-Fishing-Mail und sind für das Angriffsziel von Interesse. Es handelt sich um auf den ersten Blick normale Dokumente in englischer Sprache, die allerdings Schadcode enthalten.

Zuordnung der ExemplareNeben dem PIVY-Kennwort admin@338 haben wir die Angriffe mithilfe von passiven DNS-Daten anhand der IP-Adressen zusammengefasst, auf die die CnC-Servernamen verwiesen haben. Auf diese Weise konnten wir gemeinsame IP-Adressen unter den PIVY-Exemplaren für admin@338, key@123 und gwx@123 ermitteln.

Wir können das Kennwort key@123 über folgende Verbindungen mit dem Kennwort admin@338 in Verbindung bringen:

29 National Institute of Standards and Technology: „Vulnerability Summary for CVE-2012-0158“, April 2012.

30 National Institute of Standards and Technology: „Vulnerability Summary for CVE-2009-4324“, Dezember 2009.

Abbildung 11: GB2312-Kodierung in einer Spear-Fishing-Email der APT-Gruppe admin@338

Abbildung 12: Inhalt eines Dateianhangs, der von der APT-Gruppe admin@338 versendet wurde

20 www.fireeye.com


• Das key@123-Exemplar 808e21d6efa2884811fbd0adf67fda78 stellt eine direkte Verbindung zur IP-Adresse 219.76.208.163 her. Zwei CnC-Domains des admin@338-Exemplars 8010cae3e8431bb11ed6dc9acabb93b7, nämlich www.webserver.dynssl.com und www.webserver.freetcp.com, verwiesen auf dieselbe IP-Adresse (219.76.208.163). Wir können das PIVY-Kennwort gwx@123 über folgende Verbindungen mit dem Kennwort admin@338 in Verbindung bringen:

• Das gwx@123-Exemplar 0323de551aa10ca6221368c4a73732e6 stellt eine Verbindung zu den CnC-Domains microsofta.byinter.net, microsoftb.byinter.net, microsoftc. byinter.net und microsofte.byinter.net her. Diese Domains verweisen auf folgende IP-Adressen: 113.10.246.30 219.90.112.203, 202.65.220.64, 75.126.95.138, 219.90.112.197, 202.65.222.45 und 98.126.148.114.

• Das admin@338-Exemplar 8010cae3e8431bb11ed6dc9acabb93b7 stellt eine Verbindung zu den CnC-Domains www.webserver.fartit.com, www.webserver.freetcp.com und www.webserver.dynssl.com her.

• www.webserver.fartit.com verwies auf die IP-Adressen 113.10.246.30, 219.90.112.203, 202.65.220.64 und 75.126.95.138, die sich mit den IP-Adressen von gwx@123 überschneiden.

• www.webserver.freetcp.com verwies auf die IP-Adressen 113.10.246.30, 219.90.112.203, 202.65.220.64, 75.126.95.138, 219.90.112.197 und 202.65.222.45, die sich mit den IP-Adressen von gwx@123 überschneiden.

• www.webserver.dynssl.com verwies auf die IP-Adressen 113.10.246.30, 219.90.112.203, 219.90.112.203, 75.126.95.138, 219.90.112.197 und 202.65.222.45, die sich mit den IP-Adressen von gwx@123 überschneiden.

Abbildung 14: Verknüpfung der admin@338-Exemplare anhand von Kennwörtern und Mutex-Werten

21 www.fireeye.com


Diese Daten deuten darauf hin, dass die hinter diesen Angriffen stehenden Täter zusammenarbeiten. In den meisten Fällen wird zumindest eine gemeinsame CnC-Infrastruktur verwendet.

Neben der Namensauflösung lassen auch PIVY-Prozess-Mutexe auf eine Verbindung zwischen den PIVY-Kennwörtern gwx@123 und admin@338 schließen.

Obwohl die Exemplare von gwx@123, wwwst@Admin und admin@338 unterschiedliche Mutex-Werte aufwiesen, ließ die Auswahl der Zeichen ein ähnliches Muster erkennen.

Kampagne 2: th3bugFür den Angreifer th3bug stand uns folgende Stichprobe zur Verfügung:


• 2 Kennwörter

• 9 CnC-Server

Das erste uns vorliegende PIVY-Exemplar von th3bug datiert vom 26. Oktober 2009. Die noch aktive Kampagne nimmt verschiedene Sektoren wie das Bildungs- und Gesundheitswesen ins Visier.

Abbildung 15: Angriffe der APT-Gruppe th3bug nach Branche (in Prozent)

22 www.fireeye.com


AngriffsvektorIm Gegensatz zu den anderen in diesem Bericht beschriebenen Kampagnen kommt th3bug offenbar ohne Spear Phishing aus, um PIVY-Schadcode zu verbreiten. Stattdessen infizieren die Angreifer gezielt ausgesuchte Websites, um sich Zugang zu Zielsystemen zu verschaffen. Dieser Ansatz hat eine breiter gestreute Infizierung zur Folge, was unter Umständen die heterogene Auswahl der Ziele erklärt.

Im FireEye-Blog haben wir vor Kurzem die Infizierung einer Website durch th3bug dokumentiert.31 Im folgenden Beispiel haben die hinter der th3bug-Kampagne stehenden Täter mehrere Websites kompromittiert, die von den Angriffszielen frequentiert wurden. Die Angreifer schleusten JavaScript auf den infizierten Websites ein, um Opfer zu einem Exploit für Internet Explorer umzuleiten, der Schadcode eines Launchers/Downloaders der Stufe 1 installierte. Dieser Downloader lud und installierte anschließend eine PIVY-Variante.

Abbildung 16: Beispiel eines Angriffsvektors der APT-Gruppe th3bug bei der Erstinfizierung

31 Thoufique Haq und Yasir Khalid: „Internet Explorer 8 Exploit Found in Watering Hole Campaign Targeting Chinese Dissidents“, März 2013.

23 www.fireeye.com


Vorbereitung der AngriffsmittelBei ähnlichen Kampagnen hat th3bug verschiedene Exploits für Java und Internet Explorer verwendet. Hierzu gehören (CVE-2013-0422),32 (CVE-2013-1347)33 und (CVE-2011-3544)34.

Figure 17: Example of ROP exploit code used by th3bug APT group

Figure 18: Cluster intel of the th3bug APT group

32 National Institute of Standards and Technology: „Vulnerability Summary for CVE-2013-0422“, Februar 2013.

33 National Institute of Standards and Technology: „Vulnerability Summary for CVE-2013-0422“, Januar 2013.

34 National Institute of Standards and Technology: „Vulnerability Summary for CVE-2011-3544“, Oktober 2011.

Zuordnung der Exemplare

Zuordnung der Exemplare

Das PIVY-Standardkennwort admin wird von einer Vielzahl von Tätern verwendet, daher können nicht alle PIVY-Exemplare mit dem Kennwort admin der th3bug-Kampagne zugeordnet werden. Es gibt jedoch Anhaltspunkte dafür, dass die Angreifer zunächst das

24 www.fireeye.com


Standardkennwort nutzten, bevor sie dieses in th3bug änderten. Wir können anhand der folgenden Verbindungen mindestens ein PIVYExemplar, welches das Kennwort admin verwendet, mit der th3bug-Kampagne in Verbindung bringen:

• Das Exemplar 8002debc47e04d534b45f7bb7dfcab4d stellte mithilfe des PIVY-Kennworts admin eine Verbindung zu kr.iphone.qpoe.com her.

• Die Domain kr.iphone.qpoe.com verwies am 12. Januar 2012 auf die IP-Adresse 180.210.206.96.

• Die Domain kr.iphone.qpoe.com verwies am 3. Januar 2012 ebenfalls auf die IP-Adresse 180.210.206.96.

• Die Domain kr.iphone.qpoe.com verwies am 23. Dezember 2011 ebenfalls auf die IP-Adresse 101.78.151.179.

• Die Domain e.ct.toh.info verwies am 12. Juni 2012 auf die IP-Adresse 101.78.151.179.

• Das Exemplar 55a3b2656ceac2ba6257b6e39f4a5b5a stellte mithilfe des PIVY-Kennworts th3bug eine Verbindung zu ct.toh.info her.

Die Analyse ergab, dass weniger PIVY-Exemplare auf die th3bug-Kampagne zurückzuführen waren als auf die admin@338- und menuPass-Kampagnen. Diese geringe Zahl hat wahrscheinlich zwei Gründe:

Erstens scheint th3bug nur relativ wenige Angriffe durchzuführen. Stattdessen werden lediglich wenige, strategisch ausgewählte Websites pro Jahr kompromittiert. Zweitens bringt th3bug PIVY in mehreren Stufen in Stellung. Um den PIVY-Schadcode der zweiten Stufe sicherzustellen, müsste ein Angriff beobachtet werden, während er abläuft.

Abbildung 19: Teil des Datenclusters der APT-Gruppe th3bug (vergrößerte Ansicht)

25 www.fireeye.com


Kampagne 3: menuPassFür den Angreifer menuPass stand uns folgende Stichprobe zur Verfügung:


• 8 Kennwörter

• 61 Domains

• 74 IP-Adressen

Das erste uns vorliegende PIVY-Exemplar von menuPass datiert vom 14. Dezember 2009. Dieses Exemplar (b08694e14a9b966d8033b42b58ab727d) stellte mithilfe des Kennworts xiaoxiaohuli (chinesisch: „kleiner kleiner Fuchs“) eine Verbindung zu einem CnC-Server mit der Domain js001.3322.org her. Unsere Daten deuten darauf hin, dass menuPass bevorzugt US-amerikanische und andere Rüstungsfirmen ins Visier nimmt.

Abbildung 20: Angriffe der APT-Gruppe menuPass nach Branche (in Prozent)

26 www.fireeye.com


AngriffsvektorDie menuPass-Kampagne setzt bevorzugt auf Spear Phishing, um Schadcode auf Zielsystemen einzuschleusen. Die E-Mail aus Abbildung 21 zeigt einen typischen Spear-Phishing-Angriff durch menuPass.

Auch wenn die Angreifer hinter menuPass andere RATs in ihrer Kampagne eingesetzt haben, scheinen sie PIVY als primären Persistenzmechanismus zu nutzen.

Abbildung 21: Beispiel einer Spear-Fishing-E-Mail, die von der APT-Gruppe menuPass versendet wurde

Abbildung 22: Beispiele schädlicher EXE-Dateien, die von der APT-Gruppe menuPass versendet wurden

Vorbereitung der AngriffsmittelBei der menuPass-Kampagne wurden Microsoft Word-Dokumente (CVE-2010-3333)35 und ZIP-Dateien als Köder eingesetzt, um den PIVY-Schadcode in Zielsysteme einzuschleusen. In Abbildung 22 sind einige Programmdateien aufgeführt, die in den an Spear-Phishing-E-Mails angehängten ZIP-Dateien enthalten waren.

Dateiname Kompilierungszeit MD5-Hash

Strategy_Meeting.exe 2012-06-11 04:41:31 8d6b6e023b4221bae8ed-37bb18407516

Background Consent Form.exe 2012-05-13 22:13:07 8d769c63427a8ce407d17946 702c7626

Doha_Climate_Change_Conference-November_2012.exe

2012-11-13 07:19:03 001b8f696b6576798517168cd 0a0fb44

35 National Institute of Standards and Technology: „Vulnerability Summary for CVE-2010-3333“, November 2011.

27 www.fireeye.com


Zuordnung der ExemplareDie menuPass-Angreifer verwenden in erster Linie einen Launcher, der sich mithilfe der Dokument-/Ansichtsarchitektur als Microsoft Foundation Class Library36 ausgibt. Dieser Launcher enthält eine gepackte Kopie des PIVY-Servers, die anschließend entpackt und nach einem nutzlosen Aufruf des APIs FindFirstFile ausgeführt wird. Von den 155 für menuPass erfassten Exemplaren sind 81 MFC-Anwendungen mit einer Dokumentenklasse. Von diesen 81 MFC-Launchern nutzen 64 den Klassennamen CBricksDoc. Auch folgende Namen wurden verwendet:

• CMy20130401Doc

• CShellCodeDoc

• CMy20130401Doc

• CPiShellPutDo

• CCrocodileDoc

• CMy20130401Doc

• CStatePattern_GameDoc

• CPiShellPutDoc

• CPIVCDoc

• CMy1124Doc

• CLightGameDoc

• CPiShellPutDoc

Einige Exemplar wurden in Projekte gepackt, die aus dem Internet stammen und als Launcher zweckentfremdet wurden.

Das in der menuPass-Kampagne am häufigsten verwendete PIVY-Kennwort lautet keaidestone (verwendet in 35 Exemplaren), gefolgt von menuPass (24 Exemplare). Im Rahmen der Kampagne wurden zudem auch die folgenden PIVY-Kennwörter verwendet:

• suzuki

• happyyongzi

• admin

• smallfish

• XGstone

• xiaoxiaohuli

• fishplay

36 Microsoft: „Class Library Overview“, 2013.

28 www.fireeye.com


Einige IP-Adressen aus dem Classless Inter-Domain Routing-Block (CIDR) 60.10.1.0/24 haben Domains gehostet, die in der menuPass-Kampagne zum Einsatz kamen. Wir können einen Zusammenhang zwischen den Kennwörtern keaidestone und XGstone anhand der folgenden Verbindungen in diesem */24-Block herstellen:

• Die IP-Adresse 60.10.1.120 hostete die Domain apple.cmdnetview.com.

• Das Exemplar d8c00fed6625e5f8d0b8188a5caac115 stellte mithilfe des Kennworts XGstone eine Verbindung zu apple.cmdnetview.com her.

• Die IP-Adresse 60.10.1.115 hostete die Domain autuo.xicp.net.

• Das Exemplar b1deff736b6d12b8d98b485e20d318ea stellte mithilfe des Kennworts keaidestone eine Verbindung zu autuo.xicp.net her.

• Die Exemplare b1deff736b6d12b8d98b485e20d318ea und d8c00fed6625e5f8d0b8188a5caac115 nutzten beide den Launcher CBricksDoc.

• 08709f35581e0958d1ca4e50b7d86dba wurde am 20. Juli 2012 kompiliert und stellte mithilfe des Kennworts keaidestone eine Verbindung zu tw.2012yearleft.com her. Dieses Exemplar verwendete ebenfalls den Launcher CBricksDoc.

• 2012yearleft.com wurde am 13. Februar 2012 von [email protected] registriert.

• Die Domain cmdnetview.com wurde ebenfalls am 13. Februar 2012 von [email protected] registriert.

Abbildung 23: Teil des Datenclusters der APT-Gruppe menuPass (vergrößerte Ansicht von „keaidestone“)

Abbildung 24: Teil des Datenclusters der APT-Gruppe menuPass (vergrößerte Ansicht von „menuPass“)

29 www.fireeye.com


Zudem können wir einen Zusammenhang zwischen den Kennwörtern keaidestone und smallfish anhand der folgenden Verbindungen im CDIR-Block 60.10.1.0/24 herstellen:

• Die Domain dedydns.ns01.us verwies auf die IP-Adresse 60.10.1.121 .

• Das Exemplar e84853c0484b02b7518dd683787d04fc stellte mithilfe des Kennworts smallfish eine Verbindung zu dedydns.ns01.us her und setzte dabei den Launcher CBricksDoc ein.

Wir können einen Zusammenhang zwischen den Kennwörtern keaidestone und happyyongzi anhand der folgenden Verbindungen im CDIR-Block 60.10.1.0/24 herstellen:

• Die Domain maofajapa.3322.org verwies auf die IP-Adresse 60.10.1.121.

• Das Exemplar cf8094c07c15aa394dddd4eca4aa8c8b stellte mithilfe des Kennworts happyyongzi eine Verbindung zu maofajapa.3322.org her.

Das Kennwort suzuki kann über folgende Verbindungen mit dem Kennwort keaidestone in Zusammenhang gebracht werden:

• Das Exemplar 410eeaa18dbec01a27c5b41753b3c7ed stellte mithilfe des Kennworts suzuki eine Verbindung zu send.have8000.com her.

• Die Domain have8000.com wurde am 13. Februar 2012 über die E-Mail-Adresse zhengyanbin8@ gmail.com registriert

• Mit derselben Adresse ([email protected]) wurde am selben Tag die Domain

cmdnetview.com registriert.

• Wie bereits erwähnt, stellte das Exemplar b2dc98caa647e64a2a8105c298218462 mithilfe des

Kennworts XGstone eine Verbindung zu apple.cmdnetview.com her.

Wir können das Kennwort menuPass anhand folgender Verbindungen mit dem Kennwort keaidestone in Zusammenhang bringen:

• 08709f35581e0958d1ca4e50b7d86dba wurde am 20. Juli 2012 kompiliert und stellte mithilfe des Kennworts keaidestone eine Verbindung zu tw.2012yearleft.com her. Dieses Exemplar verwendete ebenfalls den Launcher CBricksDoc.

• tw.2012yearleft.com verwies am 6. Juni 2012 auf die IP-Adresse 60.10.1.114 und am 11. März 2013 auf 60.1.1.114.

• Die Domain fbi.zyns.com verwies am 21. August 2012 auf 60.10.1.118.

• 68fec995a13762184a2616bda86757f8 wurde am 25. März 2012 kompiliert und stellte mithilfe des Kennworts menuPass eine Verbindung zu fbi.zyns.com her. Dieses Exemplar verwendete ebenfalls den Launcher CBricksDoc.

• Das Exemplar 68fec995a13762184a2616bda86757f8 wurde am 2. April 2010 kompiliert und stellte mithilfe des Kennworts keaidestone eine Verbindung zu weile3322b.3322.org her.

Dieses Exemplar verwendete den Launcher CPiShellPutDoc.

30 www.fireeye.com


• Das Exemplar f5315fb4a654087d30c69c768d80f826 wurde am 21. Mai 2010 kompiliert und stellte mithilfe des Kennworts menuPass eine Verbindung zu ngcc.8800.org her. Dieses Exemplar verwendete ebenfalls den Launcher CPiShellPutDoc.

Mithilfe der folgenden Verbindungen können wir einen Zusammenhang zwischen den Kennwörtern happyyongzi und menuPass herstellen:

• Das Exemplar e6ca06e9b000933567a8604300094a85 stellte mithilfe des Kennworts happyyongzi eine Verbindung zu sh.chromeenter.com her.

• Die Domain sh.chromeenter.com verwies zuvor auf die IP-Adresse 60.2.148.167.

• Die Domain jj.mysecondarydns.com verwies ebenfalls auf die IP-Adresse 60.2.148.167.

Wie viele andere Bedrohungsurheber hat dieser Angreifer PIVY-Exemplare mit dem Standardkennwort admin verwendet. Wie bereits erwähnt, können nicht alle PIVY-Exemplare mit dem Kennwort admin mit menuPass in Verbindung gebracht werden. Dennoch können wir anhand der folgenden Verbindungen menuPass einigen anderen Instanzen von PIVY zuordnen, die das Kennwort admin verwenden:

• Das Exemplar 56cff0d0e0ce486aa0b9e4bc0bf2a141 wurde am 31. August 2011 kompiliert und stellte mithilfe des Kennworts menuPass eine Verbindung zu mf.ddns.info her.

• Die Domain mf.ddns.info verwies am 22. November 2012 auf die IP-Adresse 54.241.8.84. Dieselbe IP-Adresse hostete am selben Tag auch die Domain av.ddns.us.

• Das Exemplar 60963553335fa5877bd5f9be9d8b23a6 wurde am 9. Juni 2012 kompiliert und stellte mithilfe des Kennworts admin eine Verbindung zu av.ddns.us her.

• Einige Exemplare von menuPass und admin nutzten zudem den Launcher CBricksDoc, insbesondere 6d989302166ba1709d66f90066c2fd59 und 4bc6cab128f623f34bb97194da21d7b6.

• Das Exemplar 4e84b1448cf96fabe88c623b222057c4 stellte mithilfe des Kennworts menuPass eine Verbindung zu jj.mysecondarydns.com her.

Das Kennwort fishplay kann anhand folgender Zusammenhänge mit dem Kennwort menuPass in Verbindung gebracht werden:

• Das Exemplar 494e65cf21ad559fccf3dacdd69acc94 stellte mithilfe des Kennworts fishplay eine Verbindung zu mongoles.3322.org her.

• Die Domain mongoles.3322.org verwies auf die IP-Adresse 123.183.210.28.

• Die Domain a.wubangtu.info verwies ebenfalls auf die IP-Adresse 123.183.210.28.

• Das Exemplar a5965b750997dbecec61358d41ac93c7 stellte mithilfe des Kennworts menuPass eine Verbindung zu 3q.wubangtu.info her.

• Die Exemplare 494e65cf21ad559fccf3dacdd69acc94 und a5965b750997dbecec61358d41ac93c7 nutzten beide den Launcher CBricksDoc.

31 www.fireeye.com


Der gemeinsam genutzte Launcher CPiShellPutDoc deutet auf eine Verbindung zwischen den Kennwörtern xiaoxiaohuli und menuPass hin:

• • f5315fb4a654087d30c69c768d80f826 wurde am 21. Mai 2010 kompiliert und stellte mithilfe des Kennworts menuPass eine Verbindung zu ngcc.8800.org her.

• e6ca06e9b000933567a8604300094a85 wurde am 29. Juni 2010 kompiliert und stellte mithilfe des Kennworts happyyongzi eine Verbindung zu sh.chromeenter.com her.

• Sowohl f5315fb4a654087d30c69c768d80f826 als auch e6ca06e9b000933567a8604300094a85 nutzten den Launcher CPiShellPutDoc.

Abbildung 25: Vollständiger Datencluster der APT-Gruppe menuPass

Schließlich können wir das Kennwort happyyongzi anhand folgender Zusammenhänge mit dem Kennwort xiaoxiaohuli in Verbindung bringen:

• e6ca06e9b000933567a8604300094a85 wurde am 29. Juni 2010 kompiliert und stellte mithilfe des

Kennworts happyyongzi eine Verbindung zu sh.chromeenter.com her.

• e62584c9cd15c3fa2b6ed0f3a34688ab wurde am 28. Dezember 2009 kompiliert und stellte mithilfe des Kennworts xiaoxiaohuli eine Verbindung zu js001.3322.org her.

• Sowohl e6ca06e9b000933567a8604300094a85 als auch e62584c9cd15c3fa2b6ed0f3a34688ab nutzten den Launcher CPiShellPutDoc.

32 www.fireeye.com


FireEye, Inc. | 1440 McCarthy Blvd. Milpitas, CA 95035 | 408.321.6300 | 877.FIREEYE (347.3393) | [email protected] | www.fireeye.com

© 2014 FireEye, Inc. Alle Rechte vorbehalten. FireEye ist eine eingetragene Marke von FireEye, Inc. Alle anderen Marken, Produkte oder Servicenamen sind Marken oder Dienstleistungsmarken der jeweiligen Eigentümer. – RPT.PIVY.DE-DE.082014

FazitWir können nicht mit Sicherheit sagen, warum die Angreifer, die für die Kampagnen admin@338, menuPass und th3bug verantwortlich zeichnen, Poison Ivy einsetzen. Mögliche Gründe sind die

Benutzerfreundlichkeit und die relative Anonymität, die ein weit verbreitetes RAT den Tätern bietet. Im Vergleich zu anderen RATs ist PIVY sehr leicht zu bedienen. Die grafische Benutzeroberfläche erleichtert die Erstellung neuer Server und die Steuerung infizierter Ziele. Mit simpler Maussteuerung können sich Angreifer durch ein infiltriertes Netzwerk bewegen und Daten entwenden.

Standard-RATs erschweren zudem die Arbeit von Sicherheitsexperten bei der Verfolgung eines Angreifers über einen längeren Zeitraum, da dieser in der unüberschaubaren Menge von Malware- Aktivitäten auf Grundlage von Poison Ivy anonym bleiben kann.

Indem wir die Rolle von PIVY und anderer weit verbreiteter RATs in APT-Kampagnen aufdecken, möchten wir es den Angreifern schwerer machen, sich hinter Standardtools zu verstecken – und sie vielleicht zwingen, künftig von diesen RATs Abstand zu nehmen.

Mit den Techniken, die wir in diesem Bericht vorgestellt haben, lässt sich PIVY nicht nur im Netzwerk erkennen. Es ist auch möglich, erkannte Infizierungen zu klassifizieren und anderen APT-Aktivitäten zuzuordnen. Bei der Erstellung von PIVY-Servern hinterlassen Angreifer Spuren wie die folgenden:

• Domains und IP-Adressen von Command-and-Control-Servern (CnC)

• Prozess-Mutex-Werte für PIVY

• Kennwörter für PIVY

• Launcher-Code für den Malware-Dropper

• Chronik des Angriffs

• Wahl der Angriffsziele

Diese Anhaltspunkte können dazu beitragen, APTs mit Poison Ivy effektiv zu erkennen und zu analysieren.

Über FireEyeFireEye hat eine auf Virtualisierungstechnik beruhende Sicherheitsplattform speziell zur Echtzeit-Abwehr von Bedrohungen entwickelt, die Unternehmen und staatliche Stellen auf der ganzen Welt vor Cyberangriffen der nächsten Generation schützt. Komplexe Cyberangriffe können traditionelle, signaturabhängige Sicherheitslösungen wie Next-Generation-Firewalls, IPS- und Antiviruslösungen sowie Gateways mühelos umgehen. Durch dynamischen Echtzeit-Schutz ohne Signaturen schirmt die

FireEye-Plattform Unternehmen vor allen primären Bedrohungsvektoren in den verschiedenen Phasen des Angriffszyklus ab, darunter Web, E-Mail und Dateien. Herzstück der FireEye-Plattform ist eine Virtual Execution Engine, die in Verbindung mit Dynamic Threat Intelligence Cyberangriffe in Echtzeit erkennen und abwehren kann. FireEye hat 1.000 Kunden in mehr als 40 Ländern, darunter mehr als ein Drittel der Fortune-100-Unternehmen.

poison ivy: schadensbeurteilung und datenanalyse · 4 joe stewart: „the sin digoo affair“,...

Documents