{"id":10868,"date":"2017-03-27T14:17:18","date_gmt":"2017-03-27T13:17:18","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=10868"},"modified":"2017-03-24T10:17:46","modified_gmt":"2017-03-24T09:17:46","slug":"sticky-keys-attacke-wenn-sich-das-betriebssystem-gegen-die-anwender-richtet","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=10868","title":{"rendered":"Sticky-Keys-Attacke: Wenn sich das Betriebssystem gegen die Anwender richtet"},"content":{"rendered":"

PandaLabs, Panda Securitys Anti-Malware-Labor, hat einen neuen Typ von gezielten Angriffen gegen Unternehmen entdeckt. Dabei nutzen die Hacker keinerlei Malware, um Daten von Unternehmensnetzwerken zu stehlen. Alles, was der Angreifer tun muss, ist, f\u00fcnf Mal die Shift-Taste eines Computers zu dr\u00fccken, um das Sticky-Keys-Feature zu aktivieren und das betroffene System zu kompromittieren. Denn diese Keys erm\u00f6glichen es den Cyberkriminellen, eine Back Door auf dem attackierten Computer zu \u00f6ffnen \u2013 normalerweise ein Server, der zuvor mithilfe einer Brute-Force-Attacke gegen das Remote Desktop Protokoll (RDP) gehackt wurde. Selbst wenn der Angriff bemerkt und die Zugangsdaten zum RDP ge\u00e4ndert werden, k\u00f6nnen die Cyberkriminellen so weiterhin Sticky Keys aktivieren und sozusagen „durch die Hintert\u00fcr“ auf das System zugreifen, ohne die (neuen) Zugangsdaten zu kennen.<\/p>\n

<\/p>\n

Entdeckt wurde diese Masche k\u00fcrzlich von den PandaLabs, als deren IT-Experten eine Attacke gegen ein ungarisches Unternehmen analysierten. Das Besondere daran: Der Angriff nutzte nicht irgendwelche Malware als solche (Phishing, W\u00fcrmer oder die gef\u00fcrchteten Verschl\u00fcsselungstrojaner) sondern Skripts und andere zum Betriebssystem geh\u00f6rige Tools, um die Malware-Scanner zu umgehen. Dies ist nur ein weiteres Beispiel f\u00fcr die zunehmende Selbstsicherheit und Professionalit\u00e4t, die IT-Security- bei Cyberkriminellen in den letzten Monaten beobachtet haben.<\/p>\n

Analyse einer Attacke ohne Malware-Verwendung<\/strong><\/p>\n

Zun\u00e4chst starten die Hacker ihren Angriff, indem sie mithilfe des Remote Desktop Protokolls (RDP) eine Brute-Force-Attacke gegen einen Server einleiten. Sobald sie die Login-Daten des Computers bekommen haben, haben sie kompletten Zugriff auf diesen.<\/p>\n

Das N\u00e4chste, was die Hacker tun, ist, dass sie die sethc.exe-Datei mit dem Parameter „211“ vom Command Prompt Window (CMD) des Computers starten. Dies aktiviert das „Sticky Keys“-Feature des Systems. Sicherlich haben die meisten Benutzer diese Nachricht schon mal gesehen:<\/p>\n

\"\"<\/a><\/p>\n

Dann wird ein Programm namens „Traffic Spirit“ heruntergeladen und gestartet. „Traffic Spirit“ ist eine Anwendung zur Traffic-Generierung, die in diesem Fall dazu genutzt wird, um Geld mit den kompromittierten Computern zu machen.<\/p>\n

\"\"<\/a><\/p>\n

Anschlie\u00dfend wird eine selbst-extrahierende Datei gestartet, die die folgenden Dateien in den „%Windows%\\cmdacoBin“-Ordner dekomprimiert:<\/p>\n