Cloud-Antivirensoftware hilft beim Datenklau aus luftdichten Netzwerken
Mindestens vier Virenscanner, die verdächtige Daten zur Analyse in die Cloud hochladen, helfen beim Datenklau von ansonsten in ihrer Kommunikationsfähigkeit beschränkten PCs. Auch Virustotal ist betroffen.
Itzik Kotler und Amit Klein zeigten während der Hacker-Konferenz Def Con ihren Spacebin getauften Angriff (Beispielcode auf Github). Spacebin macht moderne Antivirensoftware zum Sprungbrett für Datendiebstahl: Mindestens vier Antivirenprodukte – Avira Antivirus Pro, Comodo Client Security, ESET NOD32 und Kaspersky Total Security 2017 – sind beziehungsweise waren anfällig für die neue Angriffsmethode.
Bis auf Kaspersky haben die betroffenen Hersteller die Lücken bereits geschlossen. Kaspersky empfiehlt seinen Kunden, auf den Cloud-Upload von verdächtigen Dateien zu verzichten. Die Schutzwirkung sei dadurch nicht beeinträchtigt.
Beschränkt kommunikationsfähig
Die Funktion zum Scannen der fraglichen Dateien in der Cloud ist es, die beim Ausschleusen der Daten hilft. Die Forscher nahmen für ihre Attacke zwei Szenarien an, wie sie typisch sind für besonders gesicherte Umgebungen. In einem kann das betroffene Endgerät nur Updates für Windows und die Antivirensoftware aus dem Internet ziehen, hat sonst aber keinerlei Zugriff auf das Web. Im zweiten Szenario findet noch nicht einmal das statt, die Maschine kann nur auf interne Update- und Antiviren-Management-Server zugreifen.
Damit der Angriff funktioniert, muss die von den Forschern zu Demozwecken geschriebene und Rocket getaufte Malware-Komponente im ersten Schritt auf einen dieser Rechner geschleust werden. Beispielsweise per USB-Stick. Anschließend beginnt ein mehrstufiger Prozess: Rocket sammelt die zu stehlenden Daten im Netzwerk ein und legt sie in der in ihr schlummernden „Satellite“-Komponente ab. Der Satellit hat hierfür einen zuvor reservierten Puffer.
Anschließend kompiliert die Rakete den Programmcode des Satelliten samt gestohlener Daten, gliedert die ausführbare Datei aus und schiebt sie samt der EICAR-Testdatei in den Windows-Autostart-Ordner. Ablageort und EICAR-Datei sollen garantieren, dass die Antivirensoftware (AV-Software) auf jeden Fall Alarm schlägt und auf die Malware aufmerksam wird.
Auch Virustotal betroffen
Anschließend lädt die AV-Software den Satelliten zur Analyse in die Sandbox in der Cloud. Dort führen die Virenwächter den Code zur Analyse aus, wodurch der Satellit den letzten Teil des Angriffs startet: Da die Cloud-Umgebungen der Malware Internetzugriff erlauben, kann der Schädling die Daten auf verschiedenen Arten an die Hintermänner der Attacke weiterleiten. ESET beispielsweise erlaubt der Malware keine Kommunikation per http -aber per DNS. In diesem Fall enkodiert der Satellit die auszuschleusenden Daten mit Base64 und packt diese als Subdomäne in eine DNS-Anfrage. Die angefragte Domäne steht unter Kontrolle des Angreifers, so dass dieser pro DNS-Anfrage zumindest einige hundert Bytes empfangen kann.
Laut den Forschern ist auch das von Google betriebenen Virustotal anfällig. Lädt ein Administrator eine fragliche Datei von Hand zu Virustotal hoch, hilft er Datendieben damit bei ihrem Job. Auch Virustotal will laut Kotler und Klein den Internetzugriff der Sandbox, der auf verschiedensten Ports erlaubt ist, nicht einschränken.
Quelle: https://heise.de/-3786507
Suche
Kategorien
- Brexit: IT-Branche bedauert Austritt der Briten aus der EU Freitag, 24. Juni 2016
- Google veröffentlicht Riesen-Patch-Paket für Android Freitag, 20. Januar 2017
- AVM entweicht geheimer FritzBox-Schlüssel Sonntag, 13. November 2016
- Erpressungs-Trojaner: Neue Locky-Welle infiziert Computer Freitag, 24. Juni 2016
- Upgrade auf Windows 10: Drückermethode wird noch aggressiver Dienstag, 31. Mai 2016
- Ho Ho Ho! Frohes Fest Freitag, 24. Dezember 2021
- Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen Montag, 13. Dezember 2021
- Bericht: Android-Trojaner GriftHorse kassiert bei über 10 Millionen Opfern ab Samstag, 2. Oktober 2021
- Achtung, dringender Handlungsbedarf: Ist Ihre UTM Firmware auf dem neuesten Stand? Dienstag, 21. September 2021
- Jetzt patchen! Kritische Lücke bedroht WordPress 3.7 bis 5.7 Mittwoch, 19. Mai 2021
- Fahed Fatnassi: Das Gerät vereint einen leistungsst... Montag, 31. Juli 2017
- Ralf Küpper: geiles Bild aber die Speaker sind s... Montag, 31. Juli 2017
- Detlef: Professionelle Beratung. Man nahm s... Montag, 31. Juli 2017
- netzwerkstudio: Hochwertig verarbeitet, modular und... Montag, 31. Juli 2017
- netzwerkstudio: Hervorragende Verarbeitung, sehr mo... Montag, 31. Juli 2017