Gastbeitrag Security Awareness

Die Wiederauferstehung des Adwind-RAT in Phishing-E-Mails

, München, Knowbe4 | Autor: Stu Sjouwerman

Die Wiederauferstehung des Adwind-RAT in Phishing-E-Mails

Phishing-E-Mails und Social Engineering-Hooks

Gastbeitrag von von Stu Sjouwerman, CEO bei KnowBe4

Vor zwei Jahren gab es verschiedene Veröffentlichungen über den Adwind (alias AlienSpy) Remote Access Trojaner (RAT) und nun wurde eine bestimmte Adwind-Variante, Jsocket über den Phishing Alert Button (PAB) gemeldet. Damals dominierte Ransomware die Aufmerksamkeit der Sicherheitsbranche. Die Beharrlichkeit von Adwind, einem plattformübergreifenden Malware-as-a-Service-Angebot, ist nicht zu unterschätzen, schließlich treibt es seit 2012 sein Unwesen. Nun tauchte es in den Phishing-E-Mails auf, die an Sicherheitsexperten zur Analyse geschickt wurden.

Stu Sjouwerman, CEO bei KnowBe4

Die Antivirenabdeckung der JSocket-Varianten, reicht von bestenfalls „lückenhaft“ (5 oder 6 von 50 plus Antivirenscanner auf VirusTotal) bis fast nicht vorhanden. JSocket verfügt über fortschrittliche Funktionen, um Anti-Malware-Anwendungen herunterzufahren und zu deaktivieren. Dadurch wird jeder Virenschutz auf einer mit JSocket kompromittierten Box wahrscheinlich außer Betrieb genommen. Bösartige Akteure erhalten dadurch die vollständige Kontrolle über einen Computer im Netzwerk.

Obwohl Jsocket und andere Adwind-Varianten in den vergangenen zwei Jahren nie wirklich verschwunden sind, ist ein deutliches Wiederaufleben der von Adwind befallenen Phishing-E-Mails dennoch überraschend. Fasziniert beschlossen wir, einen genaueren Blick darauf zu werfen. Was hat sich mit Adwind, wenn überhaupt, verändert? Waren Endpunkt-Antivirenanwendungen im Umgang mit Adwind erfolgreicher? Und schließlich, hatten die Bösewichte irgendwelche Änderungen an den Social Engineering-Schemata vorgenommen, die in den Phishing-E-Mails eingesetzt wurden?

Zweiter Wind eines RAT

Im letzten Jahr wurde ein Anstieg bei der Anzahl der Phishing-E-Mails festgestellt, die von Unternehmen mit JAR (Java)-Anhängen gemeldet wurden – ein Markenzeichen von Adwind/AlienSpy. Gelegentliche „Upticks“ bei bestimmten Bedrohungen sind nichts Besonderes, da verschiedene Malware-Banden mit neuen Phishing-Kampagnen experimentieren und ihr gewohntes Menü ändern, um vorübergehend verschiedene Arten von Malware zu verbreiten. Dann war klar geworden, dass dieser kleine Aufwärtstrend an Fahrt aufgenommen hatte und immer mehr E-Mails gefunden wurden.

Basierend auf dem, was bereits über Adwind und seine verschiedenen Varianten wie Jsocket bekannt war, war klar, dass dieses Wiederaufleben in JAR-Dateianhängen mit ziemlicher Sicherheit eine gezielte Kampagne war. Und da Adwind und seine verschiedenen Varianten über ein abonnementbasiertes Malware-as-a-Service-Modell an böswillige Akteure verteilt werden, war ebenfalls klar, dass die Bösewichte alle Adwind-Varianten gleichzeitig einsetzen.

Während die Adwind Phishing-E-Mails, die von Phishing Alert Button (PAB)-Benutzern gemeldet wurden, eine Vielzahl von Betreffzeilen und entsprechenden Social-Engineering-Hooks trugen, gab es eine grundlegende Konsistenz. Alle Adwind Phishing-E-Mails verwendeten das gleiche Thema: Sie konzentrierten sich auf alltägliche Geschäftsdokumente und verwandte Formulare: Rechnungen, Bestellungen, Zahlungsanweisungen, Verträge und Ausschreibungen. Solche Social-Engineering-Programme sind so konzipiert, dass sie harmlos aussehen und unter dem Radar der meisten Mitarbeiter fliegen. Diese klicken reflexartig auf die bösartigen E-Mails, die sich kaum von den üblichen unterscheiden. Ein Beispiel für Betreffzeilen:

  • Attached revised Price Inquiry
  • BALANCE PAYMENT
  • BALANCE PAYMENT AND SWIFT COPY
  • Confirmation transfer
  • Payment advice (21 Oct 2017)
  • For your information (A)
  • Outgoing SWIFT Message 47C9C13970FF.txt
  • Payment advice (21 Oct 2017)
  • Payment Advice – Advice Ref:[G41391375839] / ACH credits/Customer Ref:[GIRO PAYMENT-CREDITORS] / Second Party Ref:[H60]
  • payment copy 10/23/2017
  • Proforma
  • Purchase Order
  • REQUEST FOR QUOTATION
  • Request For Quotation/ Top Urgent
  • Request For Quotation/ Urgent Supply SYNERGY BQ155
  • RFQ MJEPL/MB-4638/2017
  • SALES CONTRACT DOCUMENT
  • Swift_MT103576587_PDF
  • URGENT ORDER

Bemerkenswert ist die Tatsache, dass sich solche Social-Engineering-Hooks, die sich auf finanzrelevante Geschäftsdokumente konzentrieren, eindeutig an Mitarbeiter im Finanz- und Rechnungswesen richten. Das ist kein Zufall.

Adwind und seine verschiedenen Varianten sind in erster Linie darauf ausgelegt, heimlich Daten aus kompromittierten Boxen zu sammeln und zu exfiltrieren. Dann kann einschließlich E-Mails, Dateien, Anmeldeinformationen und praktisch alles andere, was über den integrierten Tastendrucklogger, das Remote-Desktop-Modul und die Abhörkomponenten, die den Zugriff auf die Kamera und das Mikrofon des PCs ermöglichen, gesaugt werden. Die PCs der Mitarbeiter im Finanz- und Rechnungswesen enthalten mit hoher Wahrscheinlichkeit sensible und äußerst wertvolle Daten, die böswilligen Akteuren den Zugang zu den sensibelsten Konten innerhalb eines Unternehmens ermöglichen könnten. Darunter auch diejenigen, die die finanziellen Ressourcen kontrollieren, ganz zu schweigen von dem Schatz an Kundendaten, die für Bootstrap-Angriffe auf noch anfälligere Unternehmen verwendet werden könnten.

Weitere Betreffzeilen, die verwendet wurden:

  • Re: Payment/TR COPY-Urgent
  • credit note for outstanding payment of Invoice
  • Fwd: //Top Urgent// COPY DOCS
  • Re:Re: Re:Re:Re TT copy & PIs with Amendments very urgent…
  • PO#939423
  • Western Union Transaction

Selbst die Art der angehängten Dateinamen war bemerkenswert einheitlich:

  • 0.58713700 1508714104.jpg.jar
  • BALANCE PAYMENT.jar
  • Confirmation 0.003.jar
  • contract.jar
  • IMG_1508605445.jar
  • order corfirmation.jar
  • PAYMENT AND SWIFT COPY.jar
  • payment copy.jar
  • PO.jar
  • PO_COPY#908790.jar
  • Proforma#.84242300.jar
  • Qlty request 40012300_png.pdf.jar
  • Quote #100-231017.jar
  • Revised Price List 738584752985.jar
  • Scan_list29017.jar
  • Swift_MT103576587_PDF.jar
  • SYNERGY BQ155.jar
  • Transfer Confirmation.jar
  • Shipment_copies (2).jar
  • FUD FIle.jar
  • PO 8324979(1).jar
  • Shipping Documents.jar
  • Telex Copy.jar
  • INSTRUCTIONCZ121.jar
  • Order939423.jar
  • Payment TT COPY.jar
  • SCAN_DRAFT COPY BL,PL,CI.jar
  • Enquiries&Sample Catalog CME-Trade.jar
  • Transaction reciept for reconfirmation.xslx.jar
  • P-ORD-C-10156-124658.jar
  • Proforma Invoice…jar
  • TT APPLICATION COPY FORM.jar
  • Dec..PO.jar
  • Credit_Status_0964093_docx.jar

Die Cyberkriminellen haben in den letzten zwei Jahren zwar neue Vorlagen für ihre Phishing-E-Mails entwickelt, aber der grundlegende Ansatz zur Herstellung effektiver Social Engineering-Hooks ist derselbe geblieben.

Wie zu erwarten ist, sind die E-Mails für diese Adwind-Phische kurz und bündig und geben den Benutzern wenig Hinweise darauf, dass etwas nicht stimmt:

Man könnte sich darüber ermutigen, dass Outlook den Zugriff auf Anhänge verweigert, die Outlook für unsicher hält (z.B. .JAR-Dateien), aber dieser Schutz lässt sich leicht umgehen:

Der Adwind-Fernzugriffstrojaner bleibt anscheinend ein potenter, gefährlicher Gegner, der seit mindestens 2012 kontinuierlich für das kommerzielle Angebot entwickelt wurde. Die Adwind-Varianten, die wir vor zwei Jahren kennengelernt haben, reichen von 120 KB bis 200 KB Größe. Die neueste Charge von Adwind.JARs reicht von 500-600 KB Größe, wobei die meisten in etwa 550 KB kommen.

Adwind behält auch eine gewaltige Sammlung von erweiterten Funktionen, einschließlich:

  • Sandbox Erkennung
  • Erkennung, Deaktivierung und Ausschaltung verschiedener Antiviren- und Sicherheitstools
  • TLS-geschützte Befehls- und Steuerungstechnik
  • Anti-Reverse-Engineering/Debugging-Schutz

Eine Vielzahl von Funktionen zur Datenerfassung:

  • Sammlung von Systeminformationen (z.B. IP, Betriebssystem-Version, Speicher-RAM-Informationen, Java-Version, Computername, etc.)
  • Hochladen & Ausführen von zusätzlicher Malware
  • Erfassen von Webcam und Mikrofon ohne Benachrichtigung des Benutzers
  • Remote Desktop zur Überwachung der Benutzeraktivität
  • Datei-Manager, um den Zugriff auf Dateien im Kontext des aktuellen Benutzers zu ermöglichen.
  • Browser Passwortdiebstahl
  • Keylogging zur Erfassung von Passwörtern, die sonst nicht sichtbar sind.

Von besonderem Interesse war jedoch, wie gut Endpunkt-Antiviren-Engines mit diesen neuesten Adwind-Varianten umgehen können. Vor zwei Jahren wurde eine bestimmte Jsocket-Variante bekannt und die Antivirenabdeckung (gemessen über VirusTotal) war bestenfalls „fleckig“, wobei typischerweise nur 5-6 Engines die Proben erkannten. Zwar kann die Erkennung von Antiviren-Engines mit der Zeit verbessert haben, die eingereichten Proben wurden jedoch nur von 16-24 Engines (von 60 insgesamt) gefunden – etwa 26-40 Prozent der getesteten Engines.

Es sei darauf hingewiesen, dass die meisten Endpunkt-Antivirenprodukte jetzt heuristisch-gesteuerte Verhaltenserkennungsfunktionen enthalten, die es ihnen ermöglichen, Schutz über ihre traditionellen, dateibasierten Kern-Engines hinaus zu bieten. Viele dieser verhaltensorientierten Schutzsysteme greifen erst dann ein, wenn bösartige Dateien auf dem Dateisystem landen und jedoch ausgeführt werden. Und da Adwind selbst extrem aggressive Werkzeuge besitzt, um alle Arten von Sicherheitswerkzeugen zu erkennen und auszuschalten, ist der beste Ansatz, um mit einer fortgeschrittenen Bedrohung wie Adwind umzugehen, zu verhindern, dass sie überhaupt heruntergeladen und ausgeführt wird.

Fazit

Das Wiederaufleben von Adwind lässt den Schluss zu, dass es keine Anzeichen dafür gibt, dass die Verbreitung des RAT nachgelassen hatte. Diese Phishing-Kampagne ist besonders alarmierend, da sie darauf hinweist, dass ein oder mehrere bösartige Akteure aktiv Malware erfolgreich einsetzen. Und diese bösartigen Akteure haben immer noch eine Fülle von Möglichkeiten, diese zu nutzen, da Java auch zwei Jahrzehnte nach seiner ursprünglichen Veröffentlichung und jahrelangen Berichten über Sicherheitsprobleme, ein beliebtes Werkzeug in Unternehmen bleibt.

Während die meisten Ransomware-Kampagnen mit einmaligen Smash-and-Grab-Operationen verglichen werden können, die darauf abzielen, anfällige Organisationen zur Zahlung von Lösegeld zu bewegen, werden Adwind-Kampagnen von Einzelpersonen und Gruppen verfolgt. Diese scheinen mehr daran interessiert zu sein, ein längeres Spiel zu spielen, in dem sie Geschäfte eröffnen und dann diese Einfallstore innerhalb der Unternehmensnetzwerke über einen längeren Zeitraum ausbeuten. Tatsächlich geben die E-Mail-Vorlagen, die in Adwind-Phishing-Kampagnen verwendet werden, jedes Anzeichen dafür, dass sie aus den Posteingängen früherer Opfer geholt wurden.

Obwohl Antiviren-Endpunkte anscheinend einige Fortschritte bei der Verbesserung der Erkennung von Adwind und Varianten wie Jsocket gemacht haben, bleibt die Erkennung von Adwind durch Kern-Antiviren-Engines unterdurchschnittlich. Und da es bereits Tausende von Varianten und Untervarianten von Adwind gibt, die von Hunderten von bösartigen Akteuren verteilt werden, die sich für Abonnements dieses Malware-as-a-Service angemeldet haben, sollte sich kein Unternehmen ausschließlich auf den Standard-Endpunkt-Malwareschutz verlassen. Wie bereits erwähnt, ist der beste Ansatz zur Bewältigung der von Adwind ausgehenden Bedrohung, zu verhindern, dass seine bösartigen JAR-Dateien heruntergeladen und überhaupt ausgeführt werden. Und ein entscheidendes Instrument in diesem Zusammenhang sollte ein New School Security Awareness-Training sein, das Mitarbeitern beibringt, wie man potenziell bösartige E-Mails erkennt und verhindert, dass sie zum Klicken verleitet werden. Diese Mitarbeiter sollten dann regelmäßig getestet werden, um ihr Sicherheitsbewusstsein zu schärfen und ihnen ein konkretes Maß für die menschlichen Schwachstellen ihrem eigenen Unternehmen zu geben.