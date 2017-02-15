Verfasst vom IBM X-Force Incident Response und Intelligence Services (IRIS) Team.
Forscher des IBM X-Force Incident Response und Intelligence Services (IRIS)-Teams haben ein fehlendes Glied in den Operationen eines Bedrohungsakteurs identifiziert, der an den jüngsten Shamoon-Malware-Angriffen auf Unternehmen in den Golfstaaten beteiligt war. Diese Angriffe, die im November 2016 und Januar 2017 stattfanden, betrafen Berichten zufolge Tausende von Computern in mehreren Regierungs- und zivilen Unternehmen in Saudi-Arabien und anderen Golfstaaten. Shamoon ist darauf ausgelegt, Computerfestplatten zu zerstören, indem der Master Boot Record (MBR) und die Daten unwiederbringlich gelöscht werden, im Gegensatz zu Ransomware, die Daten gegen eine Lösegeldzahlung als Geisel hält.
Mithilfe ihrer jüngsten Untersuchungen konnten unsere Forensikanalysten den ursprünglichen Angriffsvektor und die nachfolgenden Operationen identifizieren, die zur Bereitstellung der zerstörerischen Shamoon-Malware auf den Zielinfrastrukturen führten. Erwähnenswert ist, dass der anfängliche Kompromiss laut X-Force IRIS Wochen vor dem Start der eigentlichen Shamoon-Bereitstellung und -Aktivierung erfolgte.
Da es sich bei den Shamoon-Vorfällen um Infiltrations- und Eskalationsphasen gezielter Angriffe handelt, suchten die Einsatzkräfte von X-Force IRIS nach dem Einstiegspunkt der Angreifer. Ihre Erkenntnisse wiesen auf den offenbar genutzten Ausgangspunkt für die Kompromittierung durch die Angreifer hin: ein Dokument, das ein bösartiges Makro enthielt, das nach Genehmigung zur Ausführung die C2-Kommunikation mit dem Server des Angreifers und dessen Remote-Shell über PowerShell ermöglichte.
Das Dokument war nicht das einzige, das in den jüngsten Angriffswellen entdeckt wurde. X-Force-IRIS-Forscher hatten frühere Aktivitäten im Zusammenhang mit ähnlichen bösartigen, mit PowerShell beladenen Dokumenten verfolgt. Diese galten als Lebensläufe und Ressourcen-Dokumente, von denen sich einige auf Unternehmen in Saudi-Arabien bezogen. Diese Untersuchung ergab mehrere offensive Aktivitäten in den letzten Monaten, bei denen die Angreifer ähnliche Betriebsmethoden anwandten, um sich einen ersten Zugang zum Netzwerk zu verschaffen. Dazu übermittelten sie bösartige Dokumente und andere ausführbare Malware-Dateien von Webservern aus an ihre Ziele.
Branchen-Newsletter
Bleiben Sie mit dem Think-Newsletter über die wichtigsten – und faszinierendsten – Branchentrends in den Bereichen KI, Automatisierung, Daten und mehr auf dem Laufenden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.
Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.
Obwohl Shamoon zuvor in Forschungsblogs dokumentiert wurde, sind die spezifischen Methoden der Netzwerkkompromittierung, die zu den Angriffen führten, in den gemeldeten Fällen unklar geblieben. Die Forscher von X-Force IRIS untersuchten den Lebenszyklus des Shamoon-Angriffs und beobachteten seine Taktiken bei in Saudi-Arabien ansässigen Organisationen und Unternehmen des privaten Sektors. Diese Forschung führte sie zu der Annahme, dass der Akteur, der Shamoon bei den jüngsten Angriffen einsetzte, sich stark auf präparierte Dokumente stützte, die darauf ausgelegt waren, PowerShell zu nutzen, um sich anfänglichen Netzwerkzugang zu verschaffen und die darauffolgenden Operationen durchzuführen:
Abbildung 1: Shamoon-Angriff – Logischer Ablauf der Ereignisse
X-Force IRIS hat das folgende schädliche Dokument identifiziert:
Unsere Forscher untersuchten die Domain, auf der die erste schädliche Datei gehostet wurde: mol.com-ho[.]me. Gemäß dem WHOIS-Eintrag registrierte ein anonymisierter Registrant die Domain com-ho[.]me im Oktober 2016 und nutzte sie, um bösartige Dokumente mit ähnlichen Makroaktivierungs-Funktionen bereitzustellen. In der folgenden Liste sind Dokumente enthalten:
Diese Dateien wurden höchstwahrscheinlich über Spear-Phishing-E-Mails verbreitet, um Mitarbeiter dazu zu verleiten, unwissentlich die schädliche Payload zu starten.
Eine genauere Überprüfung der Dateinamen ergab die Namen „IT Worx“ und „MCI“. Eine Suche nach dem Namen IT Worx führt zu einem globalen Software-Dienstleistungsunternehmen mit Hauptsitz in Ägypten. MCI ist das saudi-arabische Ministerium für Handel und Investitionen. Es ist möglich, dass diese Namen in Spear-Phishing-E-Mails verwendet wurden, da sie den Mitarbeitern in Saudi-Arabien harmlos erscheinen und sie somit zum Öffnen des Anhangs verleiten.
X-Force IRIS-Forscher identifizierten außerdem, dass der Bedrohungsakteur hinter den bösartigen Dokumenten viele davon mit einem URL-Verkürzungsschema im folgenden Muster bediente: briefl[.]Ink/{a-z0-9}[5].
Die folgende Abbildung zeigt, welche Ansicht Mitarbeitern präsentiert wurde, als sie die ihnen zur Vorbereitung eines Shamoon-Angriffs zugesandten schädlichen Word-Dateien öffneten:
Abbildung 2: Bösartiges Word-Dokument zur Vorbereitung eines Shamoon-Malware-Angriffs (Quelle: X-Force IRIS)
Bei der passiven DNS-Analyse einer mit dem Shamoon-Angriff in Verbindung stehenden Kommunikationsdomäne wurde eine zugehörige Netzwerkinfrastruktur offengelegt und weitere von den Bedrohungsakteuren genutzte Domänen identifiziert.
X-Force IRIS stellte außerdem fest, dass der Bedrohungsakteur mindestens eine bösartige ausführbare Datei auf einem Server hostete, der unter ntg-sa[.]com registriert war. Diese Datei täuschte die Zielpersonen, indem sie vorgab, ein Flash-Player-Installationsprogramm zu sein. Tatsächlich legte sie jedoch eine Windows-Batchdatei ab, um PowerShell in die gleiche C2-Kommunikation einzubinden.
Die Analyse eines Dokuments des Bedrohungsakteurs ergab, dass beim Ausführen des Makros zwei separate PowerShell-Skripte gestartet werden. Der erste Befehl führt ein PowerShell-Skript aus, das von hxxp://139.59.46.154:3485/eiloShaegae1 bereitgestellt wird. Der Host steht möglicherweise im Zusammenhang mit Angriffen, die das Pupy RAT bedienten, ein öffentlich verfügbares plattformübergreifendes Remote-Zugriffs-Tool.
Das zweite Skript ruft VirtualAlloc auf, um einen Puffer zu erstellen, verwendet memset, um Metasploit-bezogenen Shellcode in diesen Puffer zu laden, und führt ihn über CreateThread aus. Metasploit ist ein Open-Source-Framework, das sich als Tool zur Entwicklung und Ausführung von Exploit-Code gegen entfernte Zielrechner großer Beliebtheit erfreut. Der Shellcode führt eine DWORD-XOR-Verknüpfung von 4 Bytes an einer Position vom Anfang des Shellcodes aus. Dadurch wird der Code so geändert, dass eine Schleife entsteht und die XOR-Verknüpfung 0x57 Mal fortgeführt wird.
Wenn diese Ausführung erfolgreich ist, wird mit VirtualAlloc ein Puffer erstellt und InternetReadFile in einer Schleife aufgerufen, bis alle Dateiinhalte von hxxp://45.76.128.165:4443/0w0O6 abgerufen werden. Anschließend wird dies als Zeichenkette an PowerShell zurückgegeben. PowerShell ruft daraufhin Invoke-Expression (iex) auf, um anzuzeigen, dass die erwartete Payload PowerShell ist.
Bemerkenswert ist, dass das Makro eine DownloadFile()-Funktion enthielt, die URLDownloadToFileA verwenden sollte. Diese wurde jedoch tatsächlich nie verwendet.
Basierend auf Beobachtungen im Zusammenhang mit dem bösartigen Dokument beobachteten wir nachfolgende Shell-Sitzungen, die wahrscheinlich mit Meterpreter von Metasploit in Verbindung standen und die Bereitstellung zusätzlicher Tools und Malware vor der Bereitstellung von drei Shamoon-bezogenen Dateien ermöglichte: ntertmgr32.exe, ntertmgr64.exe and vdsk911.sys.
Obwohl die vollständige Liste der Opfer von Shamoon nicht öffentlich ist, berichtete Bloomberg, dass in einem Fall Tausende von Computern im Hauptquartier der saudischen Zivilluftfahrtbehörde zerstört wurden, wodurch entscheidende Daten gelöscht und der Betrieb für mehrere Tage zum Erliegen gebracht wurde.
Die jüngsten Aktivitäten der Shamoon-Angreifer, die X-Force IRIS beobachtet hat, wurden bisher in zwei Wellen entdeckt, aber diese werden aufgrund der seit Ende 2016 erregten öffentlichen Aufmerksamkeit wahrscheinlich nachlassen.
Saudi-Arabien veröffentlichte eine Warnung an Unternehmen vor Ort vor der Shamoon-Malware, warnte vor möglichen Angriffen und riet den Unternehmen, sich vorzubereiten. Die Analysen und Warnungen bezüglich Shamoon führen zu Vorbereitungen seitens der Zielpersonen. Die Akteure werden wahrscheinlich untertauchen und ihre Taktiken ändern, bis die nächste Angriffswelle erfolgt.
Technische Details zu dieser Forschung und den verwandten Kompromittierungsindikatoren finden Sie im X-Force Advisory auf X-Force Exchange.