Palo Alto Networks entschlüsselt NetWire-C2-Netzverkehr
IT-Sicherheitsunternehmen stellt Tool zur Identifikation von Angriffen bereit
München – 07. August 2014 – Unit 42, das Palo Alto Networks Threat Intelligence Team, hat kürzlich über die „Silver Spaniel“-419-Betrüger berichtet. Von besonderer Bedeutung ist dabei, dass diese Akteure mit einem Remote Administration Tool (RAT), das sich NetWire nennt und Teil der NetWiredRC-Malware-Familie ist, arbeiten. Dieses RAT gibt Angreifern die vollständige Kontrolle über ein Windows-, Mac OS X- oder Linux-System mittels einer einfachen grafischen Benutzeroberfläche.
Zum besseren Verständnis des RAT hat das Palo Alto Networks Forschungsteam Reverse Engineering am Kommunikationsprotokoll, welches NetWire verwendet, betrieben und ein Tool vorgestellt, das NetWire-Traffic entschlüsselt und alle vom Angreifer erteilten Befehle anzeigt. NetWire nutzt ein benutzerdefiniertes TCP-basiertes Protokoll. Der Hersteller der NetWire WorldWiredLabs gibt an, 256-Bit-AES-Verschlüsselung zu nutzen, was Palo Alto Networks bestätigen konnte. Das Tool erzeugt zwei Schlüssel mit einem statischen Passwort, welches der Angreifer bei der Erstellung der NetWire-Binärdatei erstellt.
Durch Generierung des Session Key und mit Hilfe des Passworts können sich Hacker soweit vorarbeiten, dass sie zwei Keys für Client und Server haben und damit Traffic ver- und entschlüsseln können. Die Malware nutzt den AES-Algorithmus zur Verschlüsselung des Verkehrs mit dem Output Feedback (OFB)-Modus. Die Malware hat eine vollständige Suite von 76 möglichen Befehlen. Bei Empfang eines Befehls vom Server wird eine einzelne Funktion aufgerufen, um die Nutzlastdaten zu entschlüsseln und den empfangenen Befehl auszuführen. Eine vollständige Liste der möglichen Befehle in NetWire Verfügung wurde von CIRCL im April dokumentiert. Der NetWire Decoder verwendet Daten aus einer Paket-Capture-Datei, um den Client- und Server-Sitzungsschlüssel zu generieren und dann die restlichen Pakete zu entschlüsseln. Der Benutzer muss die IP-Adresse des infizierten Client, den von der Malware genutzten Port und das Verschlüsselungspasswort kennen, um den Traffic vollständig entschlüsseln zu können.
Um mehr über dieses Thema erfahren Sie im Blog von Palo Alto Networks unter http://researchcenter.paloaltonetworks.com/2014/08/new-release-decrypting-netwire-c2-traffic/
Über Palo Alto Networks
Palo Alto Networks ist das führende Unternehmen in einem neuen Zeitalter von Cybersecurity. Die Lösungen von Palo Alto Networks sichern die Netzwerke Tausender großer Unternehmen, Behörden und Service Provider gegen Risiken ab. Im Gegensatz zu fragmentierten Legacy-Lösungen ist die Security-Plattform von Palo Alto Networks in der Lage, den Geschäftsbetrieb sicher zu ermöglichen. Die Lösungen schützen Systeme basierend auf dem, was in aktuellen dynamischen IT-Umgebungen am wichtigsten ist: Anwendungen, Nutzer und Inhalte. Weitere Informationen unter http://www.paloaltonetworks.com.
