Bereiten Sie Ihre Microsoft-Umgebung auf einen identitätsbasierten Angriff vor.
Buchen Sie noch heute eine Analyse der Identitätslücke.
Malware

Eine Analyse des Shamoon 2 Malware-Angriffs

Februar 7, 2017
Vectra AI Team für Sicherheitsforschung
Cybersecurity
Eine Analyse des Shamoon 2 Malware-Angriffs

Saudische Beamte warnten kürzlich Organisationen im Königreich vor der Schadsoftware Shamoon 2, die Computer lahmlegt, indem sie deren Festplatten löscht. Im Jahr 2012 legte Shamoon Saudi Aramco lahm, und diese neue Variante hatte es Berichten zufolge auf das saudische Arbeitsministerium sowie auf mehrere Ingenieur- und Fertigungsunternehmen abgesehen.

Bei einer kürzlich durchgeführten Analyse stieß Vectra Networks auf eine bösartige Komponente, die offenbar in Verbindung mit durch Spear-Phishing verbreiteten bösartigen Dokumenten verwendet wird.

Diese Dokumente verwenden PowerShell, um das Erkundungstool herunterzuladen und auszuführen, damit sie im Netzwerk des Opfers Fuß fassen können. Dieses Tool, bekannt als ISM, scheint ein vollwertiges, eigenständiges Tool zu sein, das es Remote-Betreibern ermöglicht, Systeme zu durchsuchen, bevor sie ihre Spuren mit Shamoon 2 beseitigen.

ISM ist eine relativ kleine Binärdatei im Vergleich zu moderner Malware. Es ist zwischen 565 und 580 KB groß und scheint mit Microsoft Visual C++ 8.0 kompiliert worden zu sein. Nach der Ausführung führt dieses Tool mehrere Aktionen aus, um so viele wichtige Informationen über das Zielsystem zu sammeln.

Es enthält einige Anti-Sandbox- und Analysemethoden und sucht speziell nach dem Vorhandensein von "ISM.exe", die ausgeführt wird, um seine Arbeit erfolgreich abzuschließen.

Abbildung 1: Tasklistensuche nach ISM.exe

Das Tool ermittelt die folgenden Informationen über die Zielmaschine:

  • Installierte Antivirenprodukte
  • Installierte Firewall-Produkte
  • Aktuelles Systemdatum und Uhrzeit
  • Aktuelle Systemzeitzone
  • Die Domäne des lokalen "Administrator"-Kontos
  • Ein vollständiger Netstat-Dump (netstat -ant)
  • Ein vollständiger ipconfig-Dump (ipconfig /all)
  • %username% Umgebungsvariable
  • %userdomain% Umgebungsvariable
  • Ein vollständiger Systemprofil-Informationsdump (systeminfo)
  • Liste der aktuell laufenden Prozesse (Taskliste)
  • WPAD und aktuelle Proxy-Konfigurationen
Abbildung 2: Beispiele für Skripte zur Datenerfassung

Das Tool erzwingt auch das Herunterfahren des Systems, indem es den Windows-Initialisierungsprozess winit.exe beendet, wenn das Herunterfahren des Systems nicht erfolgreich ist. Es kann geplante Aufgaben erstellen und diese verwenden, um die Überprüfung von Anwendungen und System-Updates zu unterbrechen.

Darüber hinaus ist das Tool in der Lage, zusätzliche Remote Access Tools (RAT) und Backdoor-Tools auszuführen. Die folgenden Tools sind im Code speziell gekennzeichnet:

  • Powershell UACME-Tool, um die Benutzerkontensteuerung zu umgehen und die Berechtigungen zu erweitern, indem verschiedene DLL-Dateien mithilfe der Windows-Binärdatei Wusa.exe abgelegt werden. Dieses Tool zielt speziell auf die OOBE-Methode zur Ausnutzung ab.
  • PowerShell Empire Invoke-bypassuac-Methode, die ein vertrauenswürdiges veröffentlichtes Zertifikat während der Prozessinjektion missbraucht, um die Berechtigungen zu erhöhen und die UAC zu umgehen.
  • Mimikatz - Ein beliebtes Tool zum Abrufen gespeicherter Windows-Anmeldeinformationen auf dem Rechner.
  • Powercat - Eine auf Powershell TCP Port 4444 basierende Backdoor, die mit ncat und netcat kompatibel ist.
  • ExecuteKL - Ein generischer Keylogger kann auf dem System ausgeführt werden und seine Ergebnisse werden in einer temporären Datei gespeichert.
Abbildung 3: Verweise auf zusätzliche RAT-Ressourcen

Das Tool stellt auch ausgehende DNS- und HTTP-Anfragen an den Server update.winappupdater.com. Bei der Inspektion dieses Servers wurden mehrere verdächtige PHP- und URI-Anfragen an Seiten gestellt, die auf eine C&C-Funktionalität hinweisen könnten.

Das Tool verwendet einen eindeutigen User-Agent-String von Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) wie Gecko, um HTTP-C&C-Anfragen durchzuführen:

Abbildung 4: Bezeichner des Benutzer-Agenten-Strings

Ein Beispiel für die Parameter während des C&C wäre etwa das folgende:

commandid=62168133-0418-411c-a6f9-27b812b76759

commandId=CmdResult=85bd26b3-c977-47d8-a32b-f7bae6f8134d

Diese HTTP-Anfragen werden an URIs gestellt, die Home/BM, Home/CC, Home/SCV, Home/CC oder Home/CR enthalten. Einige andere Ressourcen, wie Home/SF und Home/gf, wurden ebenfalls festgestellt und könnten für Tests oder frühere Kampagnen verwendet werden.

Abbildung 5: C&C-Kommunikations-URI-Standorte

Darüber hinaus scheint der Server auch einen veralteten, von Microsoft zertifizierten Intel Wireless LAN-Treiber (NB500_Win7_intel_wireless_LAN_Driver_13.3.0.24.1.s32) zu hosten. Dieses Tool wird wahrscheinlich in böswilliger Weise verwendet, um entweder vorhandene Netzwerktreiber zu manipulieren oder eine Schwachstelle im Treiber selbst für die Erhöhung von Berechtigungen auf den Zielsystemen zu nutzen.

Sobald diese Binärdatei auf einem System ausgeführt wurde und die Angreifer mit den gesammelten Daten zufrieden sind, ist das Tool in der Lage, alle Spuren seiner temporären Dateien aus dem System zu entfernen.

Diese gestohlenen Daten werden dann direkt in der Shamoon 2-Builder-Anwendung verwendet, um die Wirksamkeit der Datenlöschung zu maximieren. Da in dieser Phase die Anmeldeinformationen und Netzwerkstandorte gestohlen werden, müssen die Betreiber lediglich die Shamoon 2-Malware über die ISM-Backdoor in das System einspeisen, sobald sie ihre Hauptaufgabe erfüllt haben.

Nach der Initialisierung scannt die Shamoon 2-Binärdatei das aktuelle /24-Netzwerk, mit dem der lokale Rechner verbunden ist. Bei dieser Netzwerksuche wird nach Rechnern gesucht, die die von der ISM-Malware gestohlenen Anmeldeinformationen über die TCP-Ports 135, 139 und 445 verwenden.

Die Autoren überprüfen die Systeme auf gültige Kennwörter, indem sie Remote-Registrierungsaufrufe auf den Zielsystemen missbrauchen. Sobald eine erfolgreiche Remote-Registrierungssitzung erkannt wird, verwendet die Malware RPC und psexec, um die Dateien auf diese Rechner zu kopieren und dann jede dieser Binärdateien unbemerkt auszuführen.

Aktuelle Kopien der Shamoon 2-Binärdateien löschen das System am folgenden Dienstag nach der Ausführung um 0230 Uhr Systemzeit. Wir gehen davon aus, dass das Datum und die Uhrzeit der Detonation der Nutzlast je nach aktueller Kampagne ebenfalls angepasst werden können.

Was Sie tun sollten

Es wird dringend empfohlen, alle betroffenen Systeme sofort auszuschalten, sobald eine Aktivität von Shamoon 2 entdeckt wird. Die Administratoren sollten dann die betroffenen Geräte von einem sicheren USB-Gerät booten und das Dateisystem für den Lesezugriff mounten.

Betriebswichtige Dateien sollten dann vom System entfernt und das System mit anderen Anmeldedaten neu eingerichtet werden. Administratoren sollten beachten, dass, wenn die Shamoon 2-Binärdatei oder ihre Netzwerkaktivität entdeckt wird, Domänenanmeldeinformationen und wahrscheinlich andere sensible Informationen bereits gestohlen und aus dem betroffenen Netzwerk exfiltriert wurden.

Die resultierende Nutzlast von Shamoon 2, die den MBR löscht und durch ein Image ersetzt, dient wahrscheinlich dazu, die Spuren der Angreifer und ihre wahren Motive zu verwischen.

Die Datenwissenschaft hinter Vectra Bedrohungserkennungen

In diesem Whitepaper erfahren Sie, wie auf Vectra AI basierende Modelle zur Erkennung von Bedrohungen menschliches Fachwissen mit einem breiten Spektrum an Datenwissenschaft und ausgefeilten maschinellen Lernverfahren kombinieren, um Bedrohungen wie Shamoon 2 zu erkennen.