Sysbus
NewsSecurity

Sticky-Keys-Attacke: Wenn sich das Betriebssystem gegen die Anwender richtet

gcg

PandaLabs, Panda Securitys Anti-Malware-Labor, hat einen neuen Typ von gezielten Angriffen gegen Unternehmen entdeckt. Dabei nutzen die Hacker keinerlei Malware, um Daten von Unternehmensnetzwerken zu stehlen. Alles, was der Angreifer tun muss, ist, fünf Mal die Shift-Taste eines Computers zu drücken, um das Sticky-Keys-Feature zu aktivieren und das betroffene System zu kompromittieren. Denn diese Keys ermöglichen es den Cyberkriminellen, eine Back Door auf dem attackierten Computer zu öffnen – normalerweise ein Server, der zuvor mithilfe einer Brute-Force-Attacke gegen das Remote Desktop Protokoll (RDP) gehackt wurde. Selbst wenn der Angriff bemerkt und die Zugangsdaten zum RDP geändert werden, können die Cyberkriminellen so weiterhin Sticky Keys aktivieren und sozusagen “durch die Hintertür” auf das System zugreifen, ohne die (neuen) Zugangsdaten zu kennen.

Entdeckt wurde diese Masche kürzlich von den PandaLabs, als deren IT-Experten eine Attacke gegen ein ungarisches Unternehmen analysierten. Das Besondere daran: Der Angriff nutzte nicht irgendwelche Malware als solche (Phishing, Würmer oder die gefürchteten Verschlüsselungstrojaner) sondern Skripts und andere zum Betriebssystem gehörige Tools, um die Malware-Scanner zu umgehen. Dies ist nur ein weiteres Beispiel für die zunehmende Selbstsicherheit und Professionalität, die IT-Security- bei Cyberkriminellen in den letzten Monaten beobachtet haben.

Analyse einer Attacke ohne Malware-Verwendung

Zunächst starten die Hacker ihren Angriff, indem sie mithilfe des Remote Desktop Protokolls (RDP) eine Brute-Force-Attacke gegen einen Server einleiten. Sobald sie die Login-Daten des Computers bekommen haben, haben sie kompletten Zugriff auf diesen.

Das Nächste, was die Hacker tun, ist, dass sie die sethc.exe-Datei mit dem Parameter “211” vom Command Prompt Window (CMD) des Computers starten. Dies aktiviert das “Sticky Keys”-Feature des Systems. Sicherlich haben die meisten Benutzer diese Nachricht schon mal gesehen:

Dann wird ein Programm namens “Traffic Spirit” heruntergeladen und gestartet. “Traffic Spirit” ist eine Anwendung zur Traffic-Generierung, die in diesem Fall dazu genutzt wird, um Geld mit den kompromittierten Computern zu machen.

Anschließend wird eine selbst-extrahierende Datei gestartet, die die folgenden Dateien in den “%Windows%\cmdacoBin”-Ordner dekomprimiert:

  • registery.reg
  • SCracker.bat
  • sys.bat

Die Angreifer fahren dann mit dem Start des Windows Registry Editors (Regedit.exe) fort und fügen den folgenden in der registery.reg-Datei enthaltenen Key hinzu:

Der Key hat folgendes Ziel: Jedes Mal, wenn das Sticky-Keys-Feature genutzt wird (sethc.exe), startet eine Datei namens SCracker.bat. Dies ist eine Batch-Datei, die ein sehr einfaches Authentifizierungssystem implementiert. Beim Start der Datei wird folgendes Fenster angezeigt:

Der Benutzername und das Passwort werden aus zwei in der Datei sys.bat enthaltenen Variablen abgerufen:

Auf diese Weise installiert der Angreifer eine Back Door auf dem betroffenen System. Mit dieser Hintertür ist er nun in der Lage, sich mit dem Zielcomputer zu verbinden, ohne die Anmeldeinformationen eingeben zu müssen. Er aktiviert die Sticky-Keys-Funktion (zum Beispiel durch fünfmaliges Drücken der SHIFT-Taste) und gibt den entsprechenden Benutzernamen und das Passwort in die Command Shell ein:

Die Command Shell Shortcuts erlauben dem Angreifer, auf bestimmte Verzeichnisse zuzugreifen, die Konsolenfarbe zu ändern und andere typische Befehlszeilenbefehle zu verwenden.

Der Angriff hört hier aber nicht auf. In ihrem Versuch, so viel Gewinn wie möglich von mit der angegriffenen Firma zu machen, installiert der Angreifer einen Bitcoin-Miner, um mit jedem kompromittierten Computer weiteres Geld zu erhalten. Bitcoin-Mining-Software zielt darauf ab, die Computerressourcen der Opfer zu nutzen, um die virtuelle Währung zu erzeugen, ohne dass sie es bemerken. Eine billige und sehr effektive Möglichkeit, Computerinfektionen zu monetarisieren.

Wie hilft die Sticky-Keys-Funktion den Cyberkriminellen?

Wofür benötigen Angreifer eine Back Door wenn sie über eine RDP-Verbindung gezielt auf einen Computer zugreifen können? Die Antwort auf diese Frage ist einfach: Die Installation einer Hintertür auf dem betroffenen System ermöglicht es dem Angreifer, durch Aktivierung der Sticky-Keys-Funktion jederzeit wieder auf das System zugreifen zu können, selbst wenn das Opfer den Angriff bemerkt und seine Login-Daten ändert.

Adaptive Defense 360, die fortschrittliche Cyber-Security-Lösung von Panda Security, konnte diesen gezielten Angriff durch die kontinuierliche Überwachung des IT-Netzwerks des betroffenen ungarischen Unternehmens bereits in den Anfängen stoppen. Die Firma wurde somit vor ernsthaften finanziellen Einbußen und Reputationsschäden bewahrt.

Weitere Informationen: www.pandasecurity.com/germany

Ähnliche Beiträge:

  1. Nach Äußerungen zur NotPetya-Attacke: Sind Unternehmen wirklich machtlos?
  2. ImageGate: Check Point entdeckt neue Methode zur Verbreitung von Malware durch Bilder
  3. Nach WannaCrypt-Attacke: Ivanti kontert mit kostenloser 90-Tage-Patch-Lizenz
  4. WannaCry-Attacke: Backup oder Archiv alleine bieten nur bedingt Schutz

Das könnte dir auch gefallen

5G-WAN-Edge-Lösungen von Versa Networks

gg

Das Märchen von Linux und Malware

gcg

Expertenkommentar von Paessler zum Thema “Richtiger Umgang mit Sicherheitslücken”

gcg