AGENT.BTZ, COMRAT, CARBON UND UROBUROS - … · Night Dragon Stuxnet (USA) Flame Ajax Security Team...
Transcript of AGENT.BTZ, COMRAT, CARBON UND UROBUROS - … · Night Dragon Stuxnet (USA) Flame Ajax Security Team...
1
ConsumerAutomotive
TechnologyRetail Life Sciences & Healthcare
Energy & Chemicals
AGENT.BTZ, COMRAT, CARBON UND
UROBUROS
Historie und Funktionsumfang von
Spionagetools mit russischem? Ursprung
Ralf Benzmüller
Leiter G DATA SecurityLabs
EICAR WG 2 | Bonn | 10. Februar 2015
• Gegründet 1985
• Anbieter von Sicherheitslösungen für Privatanwender
und Unternehmen
• Unternehmenssitz in Bochum
• Offices in 14 Ländern
• Partner in >90 Ländern
• >400 Mitarbeiter
• Weltweit erhältlich
2
G DATA KOMPAKT
EICAR WG 2 | Bonn | 10. Februar 2015 3
30 JAHRE ERFAHRUNG
20131987
20081989
2005
1990 1986
1985
1997
1999
20011997
19871988
1998
1988
2013
2001
1985 1987 1995 2000 2001 2002 2003 2005 2008
Entwicklung der
DoubleScan-Technologie
Einführung
Unternehmenslösungen
Eintritt in den
asiatischen Markt
Erster Anbieter
integrierter Cloud
Security-Technologie
Gründung in Bochum
durch Kai Figge
Erste ausländische
Niederlassung
Implementierung der
Fingerprinting-Technologie
Börsengang;
Anteile bei Mitarbeitern
und Gründern
2012 2013
Einführung der
weltweit ersten
Antiviren-Software
Integration von G DATA
BankGuard Einführung der G DATA
CloseGap-Technolgie
2
EICAR WG 2 | Bonn | 10. Februar 2015 4
Guard
Anti-Spam
Anti-Phishing
Firewall
Cloud
Behavior based
detection
BankGuard
CloseGapExploit
Protection
EICAR WG 2 | Bonn | 10. Februar 2015
Intro
Gezielte Angriffe allgemein
Ein Framework
Agent.BTZ
COMRAT
Carbon/Cobra
Uroburos
5
AGENDA
EICAR WG 2 | Bonn | 10. Februar 2015
Spezifische Angriffe
Angepasst an IT
Zugeschnitten auf Mitarbeiter
Ausgelegt auf Prozesse,
Produkte
Von Spezialisten ausgeführt
Mögliche Ziele
Militär, Regierungen
Behörden, NGO
Forschungseinrichtungen
Unternehmen
• Kritische Infrastruktur
• Konkurrenten
Individuen
• Journalisten, Dissidenten,
Anwälte, Aktivisten, etc.
6
GEZIELTE ANGRIFFE
3
EICAR WG 2 | Bonn | 10. Februar 2015
APT1 (China)
Nitro Attacks
Elderwood
Sykipot
Aurora
Night Dragon
Stuxnet (USA)
Flame
Ajax Security Team (Iran)
NetTraveler RedStar
Uroburos/ Snake (Russland)
Havex / DragonFly
Regin
TARGETED ATTACK OPERATIONS
EICAR WG 2 | Bonn | 10. Februar 2015
Vorbereitung
• Öffentliche Informationen über Personen und IT-Infrastruktur
• Vor-Ort Beobachtungen
Eindringen
• Social Engineering und technische Schwachstellen
• Whale Phishing, Waterhole Attack, Trojanisierte Installer
• USB-Geräte
• Android Apps
Zugang erweitern und absichern
Daten sammeln und ausleiten
Andere Aktionen
ABLAUF EINES ANGRIFFS
8
EICAR WG 2 | Bonn | 10. Februar 2015
Social Media enthalten viele Infos
Mitarbeiter sind (meistens) freundlich, hilfsbereit und
kooperativ
• Bitte um Hilfe bei einem dringenden Projekt
• Als „Recruiter“ bekommt man viele interessante Informationen
Mitarbeiter sind neugierig
• Der „verlorene“ USB-Stick in Operation Buckshot Yankee
Mitarbeiter ignorieren und unterwandern IT-Richtinien
Zulieferer, Boten, Hilfskräfte bekommen oft tiefe Einblicke
AWARENESS: Vom Layer 8 Problem zum Layer 8 Schutz
SOCIAL ENGINEERING
9
4
EICAR WG 2 | Bonn | 10. Februar 2015
Password Stealer
Keylogger, Screenlogger
Network Sniffing
SQL Injection
Traffic Rerouting
Memory Carving
…
Offene Ports
HTTPS
FTP
SMTP
DNS
ICMP
Instant Message
10
DATEN SAMMELN UND AUSLEITEN
EICAR WG 2 | Bonn | 10. Februar 2015
Drucker
Beamer
IP-Telefone
Viele andere Geräte mit IP-
Adresse
Air Gap: Datenübertragung
per Lautsprecher
Keylogging per Teleskop &
Kaffeekanne oder per Mikro
Sprachsteuerung
Netzbrummen identifiziert im
TV verpixelte Whistleblower
11
ABSEITS DER ÜBLICHEN WEGE
EICAR WG 2 | Bonn | 10. Februar 2015 12
VON AGENT.BTZ ZU UROBUROS
5
EICAR WG 2 | Bonn | 10. Februar 2015
VON AGENT.BTZ ZU UROBUROS
EICAR WG 2 | Bonn | 10. Februar 2015
Seit 2006
46 Dateien mit Versionsnummern und Compilation Date
10 davon untersucht
14
AGENT.BTZ
Quelle: http://en.wikipedia.org/wiki/2008_cyberattack_on_United_States
EICAR WG 2 | Bonn | 10. Februar 2015
Version Comp Date
1.0 Jun 2007
1.5 Mrz 2008
2.03 Mai 2008
2.11 Sep 2009
2.14.1 Feb 2010
3.0 Jan 2012
3.10 Dez 2012
3.20 Jun 2013
3.25 Feb 2014
3.26 Jan 2013 modifiziert
VON AGENT.BTZ ZU COMRAT
6
EICAR WG 2 | Bonn | 10. Februar 2015
2008: Operation Buckshot Yankee
USB-Sticks in Garage von US-Militärbasis „verloren“
Eingesteckt in einen Rechner des U.S. Central Command
„The worst breach of U.S. military computers in history“
Bereinigung dauerte 14 Monate
16
AGENT.BTZ V1.5
Quelle: http://en.wikipedia.org/wiki/2008_cyberattack_on_United_States
EICAR WG 2 | Bonn | 10. Februar 2015
EICAR WG 2 | Bonn | 10. Februar 2015
Injektion in alle Prozesse
Payload ist nur in explorer.exe injiziert
Kommunikation mit C&C via Browser
Kommunikation mit Browser via Named Pipes
RAT Funktionen
• Code execution,
• File download und file upload
• Daten sammeln
18
7
EICAR WG 2 | Bonn | 10. Februar 2015
Nachfolger von Agent.BTZ (v3.26 vs v1.5)
Gleiche Dateinamen für Log-Files
Gleicher XOR key
Identische Code-Segmente
Benutzt den gleichen CnC-Server
Neu:
Gestohlene werden in der Registry gespeichert
COM Object Hijacking
19
EICAR WG 2 | Bonn | 10. Februar 2015
VON AGENT.BTZ ZU COMRAT: CODEÄHNLICHKEIT
EICAR WG 2 | Bonn | 10. Februar 2015
Version Comp Date Änderungen
1.0 Jun 2007 XML-Konfig in ASCII
1.5 Mrz 2008 XML-Konfig in Unicode,
Neuer Infektionsmechanismus
Neues Event: „wowmgr_is_load“ wird etabliert
2.03 Mai 2008 Verschlüsselungstechnik eingeführt
Flag „<CHCMD>“ in Kommunikationsprotokoll
Unterstützt „runas“ (Adminrechte)
2.11 Sep 2009 Namen von Registry-Keys und Funktionen
2.14.1 Feb 2010 Fehlerkorrekturen
OLE-COM Integration
VON AGENT.BTZ ZU COMRAT
8
EICAR WG 2 | Bonn | 10. Februar 2015
Version Comp Date Änderungen
3.0 Jan 2012 Neuer Compiler VS 9.0/10.0
Sammelt mehr Infos (z.B. Festplatte)
Infektionsmechanismus entfernt
Malware wird in alle Prozesse injiziert
Named Pipe für Interprozesskommunikation
Primäre Payload in explorer.exe
POST-Requests für CnC-Kommunikation
3.10 Dez 2012 Mehr Protokolle, Mutex, Mehrere CnC möglich
3.20 Jun 2013 Dauerhafte Registry-Keys
3.25 Feb 2014 Neue CLSID (Tarnung)
Fast alle Strings verschlüsselt
3.26 Jan 2013 XOR-Schlüssel von Uroburos wurde entfernt
Es werden keine Protokolle mehr generiert
Gefälschtes Compilation Date
VON AGENT.BTZ ZU COMRAT
EICAR WG 2 | Bonn | 10. Februar 2015
Cobra System:
Technische Gemeinsamkeiten mit Agent.BTZ, ComRAT und
Uroburos (aka Turla, Snake):
Verschlüsselungsschlüssel
Verschlüsselungsalgorithmus
Konzeption usw.
User-mode Gegenstück zu Uroburos
C A R B O N .
23
EICAR WG 2 | Bonn | 10. Februar 2015
Verbreitung
Angriff: Spear-Phishing, Waterhole => Exploit
Aufklärungstool Tavdig (aka Wipbot, Epic Backdoor)
Überprüft, ob Rechner interessant ist
Wenn interessant => Persistenztool installieren
Cobra Uroburos
C A R B O N .
24
9
EICAR WG 2 | Bonn | 10. Februar 2015
Carbon ist Teil des Projekts COBRA
Dropper erzeugt DLL und registriert sie als Dienst.
Das „System“
verwaltet Interprozesskommunikation (Named Pipes),
erzeugt Arbeitsdateien und –ordner mit Zufallsnamen
erzeugt verschlüsselte Protokolldateien
entpackt (CAST128) die Konfig-Datei (ID, CnC, etc.)
Dropper injiziert CARBON.DLL in Browser und E-Mail-Client
C O B R A .
25
EICAR WG 2 | Bonn | 10. Februar 2015
Dienste:
VPN Routing Service kann mit VPN-Verbindungen umgehen
System Restore Service
X.509 certificate and key management services
C O B R A .
26
EICAR WG 2 | Bonn | 10. Februar 2015
• Hoch entwickelte Malware
• Ziel: Daten stehlen
• Hochrangige Ziele
• Wahrscheinlich russische Wurzeln
• G DATA Whitepaper Feb 2014
UROBUROS
https://www.gdata.de/rdk/dl-en-rp-Uroburos
10
EICAR WG 2 | Bonn | 10. Februar 2015
• Rootkit-Funktion zum Selbstschutz
• Umgeht Driver Signature
Enforcement
• Umgeht PatchGuard (Windows
kernel protection)
• Virtuelles Dateisystem
• Supernodes
UROBUROS FEATURES
https://www.gdata.de/rdk/dl-en-rp-Uroburos
EICAR WG 2 | Bonn | 10. Februar 2015
• Schutz für 64bit Windows seit Vista
• Nur Treiber mit validen Zertifikaten können installiert
werden
• Wildwuchs vermeiden, vor Malware schützen
• Activation status ist gespeichert in der Kernelvariable
g_CiEnabled
• Aber: Jede Software mit Adminrechten darf jeden Treiber
laden
30
DRIVER SIGNATURE ENFORCEMENT
EICAR WG 2 | Bonn | 10. Februar 2015
• Signatur eines VirtualBox-Treibers ist outdated
• Aber: Wechsel zu anderem unsicheren Treiber möglich
• Dieser Ansatz zum Driver-Signature-Enforcement-Bypass
funktioniert so lange es verwundbare Treiber mit legitimer
Signatur gibt.
31
KONSEQUENZEN
11
EICAR WG 2 | Bonn | 10. Februar 2015
• Microsoft PatchGuard verhindert die Modifikation von
Kernelkomponenten
• Wenn eine Modifikation erkannt wird:
• Call KeBugCheckEx() mit Code 0x109
CRITICAL_STRUCTURE_CORRUPTION
• Führt zum Shutdown mit Blue Screen
• Uroburos umgeht PatchGuard durch Hooking von
KeBugCheckEx()
• Funktion wird ohne Aktion beendet
=> kein BlueScreen
32
PATCHGUARD BYPASS
EICAR WG 2 | Bonn | 10. Februar 2015
• Unterstützt NTFS, FAT32 (Legacy?)
• Verschlüsselt mit CAST128
• Zugang via named pipe \\.\Hd1\
• Inhalt:
• Queue file
• Spy Tools
• Stiehlt Office Dokumente
• NTLM Password Stealer
• Logs
UROBUROS VIRTUAL FILE SYSTEM
EICAR WG 2 | Bonn | 10. Februar 2015
• Zugang zu Queue file via
\\.\Hd1\queue
• Inhalt:
• Konfiguration der Malware
• Encryption key
• User-mode DLLs
• Kann in jeden user-mode Prozess
injiziert warden
• Z.B. DLL Man-in-the-Browser
• Gestohlene Daten
UROBUROS VIRTUAL FILE SYSTEM
12
EICAR WG 2 | Bonn | 10. Februar 2015
• Windows Filtering Platform:
API zum Erstellen von
Netzwerkfiltern
• Von Uroburos für Deep Packet
Inspection (DPI) genutzt
• Filtert CnC-Kommunication aus
dem Netzwerkdatenverkehr heraus
• Protocols: HTTP, SMTP
• Forwarded in user mode via Named
Pipes
UROBUROS DEEP PACKET INSPECTION
• Marker for Uroburos Packets:• 0xDEADBEEF
• 0xC001BA5E
EICAR WG 2 | Bonn | 10. Februar 2015 36
SUPERNODES
EICAR WG 2 | Bonn | 10. Februar 2015
VON AGENT.BTZ ZU UROBUROS
13
EICAR WG 2 | Bonn | 10. Februar 2015
Risikobewertung
• Aufwand vs. Nutzen
• nach Threat LifeCycle und CIA
Spezifische Schutzmaßnahmen
Angepasst an eigene IT
Zugeschnitten auf Mitarbeiter
Abwehrspezialisten
• Incident Response
• Pen-Testing
GEZIELTE ANGRIFFE ABWEHREN
Integrierte Sicherheit nutzen
(z.B. Netzwerksegmentierung, Rechte für
Nutzer, Abwehrstrategien für jeden Bereich,
EMET)
Produktauswahl (Hardware, OS,
Software, Schutztechnologien, Virenschutz)
Patch Management
Exploit Protection
Usability (Funktionalität vs Sicherheit)
Awareness
38
EICAR WG 2 | Bonn | 10. Februar 2015
Vielen Dank
39