Zunahme von Keylogger-Aktivitäten

Keylogger-Akteure durch eingebetteter Anmeldeinformationen enttarnen – Palo Alto Networks zeigt Schutzmaßnahmen auf

München, den 15. Juli 2016 – Das Malware-Analyseteam von Palo Alto Networks, Unit 42, beobachtet ein Wiederaufleben von Keylogger-Aktivitäten. Ein Keylogger ist eine Hardware oder eine Software, die die Tastatureingaben des Benutzers erfasst. Aktuell gibt es vier weit verbreitete Keylogger-Softwarefamilien wie KeyBase, iSpy, HawkEye und PredatorPain. Unit 42 hat nun den Fokus auf die Akteure, die hinter den Bedrohungen stecken, sowie auf eine praktische Technik zur Identifizierung gelegt.

Keylogger müssen die erfassten Daten zurück an den Angreifer übertragen. Dafür gibt es drei etablierte Methoden: HTTP, SMTP und FTP. Die http-Übertragung beinhaltet in der Regel eine einfache POST-Anforderung mit einem Textkörper, der die gestohlenen Daten enthält. Bei SMTP und FTP ist oft eine Authentifizierung erforderlich, um sich bei einem Dienst anzumelden, bevor die Daten aus dem kompromittierten System übertragen werden können. Dies stellt einen wertvollen Datenanhaltspunkt dar, weil alle vier großen Keylogger-Familien ihre Anmeldeinformationen innerhalb ihrer Binärdateien einbetten. Die Forscher können so die Remote-Server-Adresse, den Benutzernamen und das Passwort für jedes analysierte Sample feststellen. Wird dies kombiniert mit der großen Anzahl an Keyloggern, die in Umlauf sind, steht ein sehr großer Datensatz zur Korrelation zur Verfügung.

Durch den Einsatz des Bedrohungserkennungsdienstes Auto Focus von Palo Alto Networks konnte Unit 42 in kurzer Zeit 500 aktuelle Samples von HawkEye und iSpy identifizieren, die während der dynamischen Analyse entweder FTP- oder SMTP-Aktivitäten aufwiesen. Nach dem Download der Samples analysierten die Forscher alle erfolgreichen FTP- und SMTP-Aktivitäten, um einen Datensatz für Maltego, ein Tool zum Visualisieren von Zusammenhängen in Netzwerken, zu erstellen. Diese eingebetteten Anmeldeinformationen werden derzeit verwendet, um Muster und Daten aufzudecken, die zu den Akteuren führen.

Angesichts des großen Ausmaßes der Keylogger-Aktivitäten, ist dies nur ein kleines Sample-Set. Trotzdem war es groß genug, um zu erkennen, dass sich über die eingebetteten Anmeldeinformationen ein Einblick in das Verhalten und die Infrastruktur der Akteure gewinnen lässt. Den Forschern von Palo Alto Networks stand damit eine praktische Technik zur Verfügung, um innerhalb kurzer Zeit mindestens vier verschiedene Akteure zu identifizieren, die aktiv Keylogger einsetzen, um Daten von kompromittierten Systemen zu stehlen. Diese wurden „Kramer”, „OpSec“, „LogAllTheThings“ und „MailMan“ benannt. Weitere Details hierzu finden sich im Blog-Beitrag des Malware-Forschungsteams von Palo Alto Networks, wo sich Interessierte fundiert um die jüngsten Erkenntnisse informieren können.