Categories: FirewallSicherheit

Kaspersky entdeckt neue Windows-Malware Slingshot

Forscher haben auf der Sicherheitskonferenz Kaspersky Security Analyst Summit (SAS) eine ihrer Einschätzung nach hochentwickelte Cyberspionage-Kampagne namens Slingshot vorgestellt. Als Besonderheit stellten sie den Angriffsvektor hervor: kompromittierte Router des Herstellers Mikrotik. Allerdings ist bei den meisten Systemen, die mit der Slingshot-Malware infiziert wurden, nicht bekannt, wie die eigentliche Infektion erfolgte.

Im Fall der Mikrotik-Router ist es den Hintermännern gelungen, in ein Paket mit legitimen Dateibibliotheken (DLL) eine schädliche DLL einzuschleusen, die wiederum als Downloader für schädliche Dateien dient, die anschließend im Router gespeichert werden. Über eine Winbox Loader genannte Management-Software für Mikrotik-Router gelangt schließlich der Loader namens Slingshot auf den Windows-Rechner des Router-Administrators.

Slingshot-APT (Bild: Kaspersky Labs)
Dort ersetzt er die legitime Windows-Bibliothek “scesrv.dll” durch eine speziell präparierte Variante mit derselben Dateigröße. Sie interagiert mit weiteren Malware-Modulen, darunter ein Kernelmodus-Netzwerksniffer, ein Datei-Packer und ein virtuelles Dateisystem.

Ein Modul namens Gollum-App enthält der Analyse zufolge mehr als 1500 Funktionen, die vor allem der Tarnung der Schadsoftware dienen, die Kontrolle des Dateisystems ermöglichen und für die Kommunikation mit einem Befehlsserver zuständig sind. Das Modul Canhadr wiederum bringt Low-Level-Routinen für das Netzwerk und Ein-Ausgabe-Operationen. Es ist in der Lage, Schadcode im Kernelmodus auszuführen, ohne einen Absturz des Dateisystems oder einen Blue Screen auszulösen, was die Forscher als “bemerkenswerte Leistung” einstufen. Canhadr gibt vollständigen Zugriff auf die Festplatte und den Arbeitsspeicher, ohne von Sicherheitsfunktionen erkannt zu werden oder ein Debugging auszulösen.

“Hauptaufgabe von Slingshot scheint die Cyberspionage zu sein”, heißt es in einer FAQ zu Slingshot. Die Malware erstellt demnach Screenshots, sammelt Tastaturdaten, Netzwerkdaten, Passwörter, überwacht USB-Verbindungen, die Zwischenablage und den Desktop. Dank Kernelrechten könne Slingshot beliebige Daten stehlen wie Kreditkartendaten, Passwort-Hashes und Sozialversicherungsnummern.

Zero-Day-Lücken wurden bisher laut Kaspersky im Zusammenhang mit Slingshot nicht entdeckt. “Aber das bedeutet nicht, dass sie nicht existieren – dieser Teil der Geschichte fehlt uns noch”, so Kaspersky weiter. “Aber es nutzt bekannte Anfälligkeiten in Treibern aus, um ausführbaren Code an den Kernelmodus zu übergeben.”

Die Kaspersky-Forscher gehen davon aus, dass Slingshot bereits seit 2012 aktiv ist – und immer noch von den unbekannten Hintermännern verbreitet wird. Mikrotik-Router lassen sich ihnen zufolge allerdings nicht mehr für die Slingshot-Kampagne missbrauchen. Sie schließen allerdings nicht aus, dass sich der Angriff auch über Router anderer Hersteller ausführen lässt.

Die Verbreitung von Slingshot ist bisher als sehr gering einzustufen. Zwischen 2012 und 2018 soll die Malware gerade mal rund 100 Opfer gefunden haben, vor allem in Kenia, dem Jemen, Afghanistan, Lybien, Kongo, Jordanien, der Türkei, dem Irak, Sudan, Somalia und Tansania. In den meisten Fällen handele es sich um Einzelpersonen und nicht um Organisationen.

Zu den Hintermännern gibt es bisher offenbar nur vage Vermutungen. So soll der Schadcode darauf hinweisen, dass die Täter Englisch sprechen. Da die analysierten Muster der Schadsoftware die Versionsnummer 6.x tragen, gehen die Forscher zudem davon aus, dass Slingshot schon länger aktiv ist. Aufgrund der Komplexität soll zudem eine Organisation dahinter stecken, die über erhebliche Ressourcen verfügt – möglicherweise ein Nationalstaat. “Wie immer ist eine genaue Zuordnung schwer wenn nicht sogar unmöglich, und zunehmend anfällig für Manipulationen und Fehler”, ergänzte Kaspersky.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

Backup-Lücken in der Cloud

Für Backup und Recovery ihrer Daten sind SaaS-Anwenderunternehmen selbst verantwortlich. Verlassen sie sich nur auf…

8 Stunden ago

Wie gut ist Deutschland gegen Cyberangriffe gerüstet?

Potsdamer Konferenz für Nationale CyberSicherheit 2022 des Hasso-Plattner-Instituts.

8 Stunden ago

Prävention von Post-Quantum-Cyber-Attacken

BlackBerry unterstützt quantenresistente sichere Boot-Signaturen für die kryptoagilen S32G-Fahrzeugnetzwerkprozessoren von NXP Semiconductors.

8 Stunden ago

BSI veröffentlich Whitepaper zur Prüfbarkeit von KI-Systemen

Methode zur Erfassung der Prüfbarkeit der IT-Sicherheit von KI-Systemen.

13 Stunden ago

Blick in die Blackbox: Transparente Künstliche Intelligenz

Funktionsweisen von KI-Anwendungen für Autonomen Fahren oder in der Industrie 4.0 müssen transparent und nachvollziehbar…

16 Stunden ago

Silicon Security Day: Künstliche Intelligenz in der Cyber-Security

Cyberangreifer setzen zunehmend KI als Waffe ein, um ihre Angriffe noch zielführender zu starten –…

3 Tagen ago