Beim dem neu von Panda Securitys entdeckten Cyberangriff nutzen die Hacker keinerlei Malware, um Daten von Unternehmensnetzwerken zu stehlen. Alles, was der Angreifer tun muss, ist fünf Mal die Shift-Taste eines Computers zu drücken, um das Sticky-Keys-Feature zu aktivieren und das betroffene System zu kompromittieren. [...]
Bei dem neu entdeckten Angriff ermöglichen die Shift-Tasten Cyberkriminellen, eine Back-Door auf dem attackierten Computer zu öffnen – normalerweise ein Server, der zuvor mithilfe einer Brute-Force-Attacke gegen das Remote Desktop Protokoll (RDP) gehackt wurde. Selbst wenn der Angriff bemerkt und die Zugangsdaten zum RDP geändert werden, können die Cyberkriminellen so weiterhin Sticky-Keys aktivieren und sozusagen „durch die Hintertür“ auf das System zugreifen, ohne die (neuen) Zugangsdaten zu kennen.
Entdeckt wurde diese clevere Masche erst kürzlich von den PandaLabs, als deren IT-Experten eine Attacke gegen ein ungarisches Unternehmen analysierten. Das Besondere daran: Der Angriff nutzte nicht irgendwelche Malware als solche (Phishing, Würmer oder die gefürchteten Verschlüsselungstrojaner) sondern Scripts und andere zum Betriebssystem gehörige Tools, um die Malware-Scanner zu umgehen. Dies ist nur ein weiteres Beispiel für die zunehmende Selbstsicherheit und Professionalität, die IT-Security- bei Cyberkriminellen in den letzten Monaten beobachtet haben.
Die Details einer Attacke ohne Malware-Verwendung
Zunächst starten die Hacker ihren Angriff, indem sie mithilfe des Remote Desktop Protokolls (RDP) eine Brute-Force-Attacke gegen einen Server einleiten. Sobald sie die Login-Daten des Computers bekommen haben, haben sie kompletten Zugriff auf diesen.
Das Nächste, was die Hacker tun, ist, dass sie die sethc.exe-Datei mit dem Parameter 211 vom Command Prompt Window (CMD) des Computers starten. Dies aktiviert das „Sticky Keys“-Feature des Systems.
Dann wird ein Programm namens „Traffic Spirit“ heruntergeladen und gestartet. „Traffic Spirit“ ist eine Anwendung zur Traffic-Generierung, die in diesem Fall dazu genutzt wird, um Geld mit den kompromittierten Computern zu machen.
Anschließend wird eine selbst-extrahierende Datei gestartet, die die folgenden Dateien in den %Windows%cmdacoBin-Ordner dekomprimiert:
* registery.reg
* SCracker.bat
* sys.bat
Die Angreifer fahren dann mit dem Start des Windows Registry Editors (Regedit.exe) fort und fügen den folgenden in der registery.reg-Datei enthaltenen Key hinzu.
Der Key hat folgendes Ziel: Jedes Mal, wenn das Sticky-Keys-Feature genutzt wird (sethc.exe), startet eine Datei namens SCracker.bat. Dies ist eine Batch-Datei, die ein sehr einfaches Authentifizierungssystem implementiert.
Auf diese Weise installiert der Angreifer eine Back-Door auf dem betroffenen System. Mit dieser „Hintertür“ ist der Angreifer in der Lage, sich mit dem Zielcomputer zu verbinden, ohne die Anmeldeinformationen eingeben zu müssen. Er aktiviert die Sticky-Keys-Funktion (z.B. durch fünfmaliges Drücken der Shift-Taste) und gibt den entsprechenden Benutzernamen und das Passwort in die Command Shell ein:
Die Command-Shell-Shortcuts erlauben dem Angreifer, auf bestimmte Verzeichnisse zuzugreifen, die Konsolenfarbe zu ändern und andere typische Befehlszeilenbefehle zu verwenden.
Der Angriff hört hier aber nicht auf. In ihrem Versuch, so viel Gewinn wie möglich von mit der angegriffenen Firma zu machen, installiert der Angreifer einen Bitcoin-Miner, um mit jedem kompromittierten Computer weiteres Geld zu erhalten. Bitcoin-Mining-Software zielt darauf ab, die Computerressourcen der Opfer zu nutzen, um die virtuelle Währung zu erzeugen, ohne dass sie es bemerken. Eine billige und sehr effektive Möglichkeit, Computerinfektionen zu monetarisieren.
Wie hilft die Sticky-Keys-Funktion den Cyberkriminellen?
Wofür benötigen Angreifer eine Back-Door wenn sie über eine RDP-Verbindung gezielt auf einen Computer zugreifen können? Die Antwort ist einfach: Die Installation einer Hintertür auf dem betroffenen System ermöglicht es dem Angreifer, durch Aktivierung der Sticky-Keys-Funktion jederzeit wieder auf das System zugreifen zu können, selbst wenn das Opfer den Angriff bemerkt und seine Login-Daten ändert.
Übrigens: Mit der eigenen Cyber-Security-Lösung Adaptive Defense 360 konnte Panda Security, diesen gezielten Angriff durch die kontinuierliche Überwachung des IT-Netzwerks des betroffenen ungarischen Unternehmens bereits in den Anfängen stoppen und die Firma vor finanziellen Einbußen und Reputationsschäden bewahren.
Be the first to comment