Malware Emotet greift WLANs an!

Emotet nutzt offenbar eine bislang nicht bekannte Methode, sich weiter auszubreiten: Er klinkt sich in schlecht gesicherte Funknetze ein !!

Emotet nutzt mehrere Methoden, sich nach einer Infektion weiter zu verbreiten. Neu ist, dass der Schädling offenbar gezielt WLANs attackiert, um Zugriff auf weitere potentielle Opfer zu erhalten. Dabei kommt offenbar eine interne Passwortliste zum Einsatz, wie die Sicherheitsforscher von Binary Search berichten.

Bislang beschränkte sich Emotet bei seinen Versuchen, weitere Opfer zu finden, auf die aktive Netzwerkverbindung der infizierten Rechner. Binary Search entdeckte jedoch bei einer Emotet-Analyse ein sich selbst auspackendes RAR-Archiv, dessen Programme worm.exe und service.exe bislang unbekannte Aktivitäten entfalten. Auf Rechnern mit WLAN erstellen sie eine Liste aller sichtbaren Funknetze. Anschließend versucht der Schädling, sich dort anzumelden und probiert dazu systematisch Passwörter aus einer Liste durch.

Alt aber bislang unbekannt

Im nächsten Schritt kommt dann das übliche Emotet-Programm zum Einsatz, um auch die im WLAN vorgefundenen Windows-Rechner zu infizieren. Dazu gehört insbesondere der Zugriff auf Dateifreigaben und Windows- beziehungsweise Actice-Directory-Konten. Alle Informationen und insbesondere die Namen der Funknetze und deren Passwörter meldet der Schädling seinem Command and Control Server (C2).

Gegenüber helpnet Security erklärt James Quinn von Binary Defense, dass dieses WLAN-Modul bereits fast zwei Jahre alt sei. Man selbst habe es allerdings erstmals am 23. Januar 2020 beobachtet. Auch in anderen Quellen war bislang nichts zu derartigen Aktivtäten berichtet worden. Leider hat Binary Defense bisher keine eindeutigen Informationen veröffentlicht, nach denen Forensiker suchen könnten (Indicators of Compromise, IoCs). Lediglich in einer Grafik sind zwei C2-IPs aufgeführt: 87.106.37.146 und 45.79.223.161. Es ist aber nicht klar, ob diese nicht auch bei gewöhnlichen Emotet-Aktivitäten genutzt wurden.

Gegen halbwegs sichere WLAN-Passwörter kann ein solcher Brute-Force-Angriff nichts ausrichten. Wer jedoch Standardpasswörter einsetzt, die auf einschlägigen Listen auftauchen, sollte das spätestens jetzt schleunigst ändern – nicht nur wegen Emotet.

Binary Defense hat jetzt eine detaillierte Analyse des beobachteten Emotet-Angriffs auf WLAN-Netze veröffentlicht. Diese enthält neben den beiden bereits erwähnten IP-Adressen auch Hash-Werte der involvierten Dateien und Suricata-Regeln, mit denen das Open-Source-IPS den „Emotet Wi-Fi Spreader“ erkennen kann.

https://www.binarydefense.com/emotet-evolves-with-new-wi-fi-spreader/

(Quelle: BinaryDefense / Linux c’t)

2 Likes

Im Zusammenhang zum obigen Thema, hier nun eine Ideenspielerei, warum momentan die neue Sicherheitslücke des Wlan’s Kr00k, die ähnlich der alten Lücke (Exploit) Krack arbeitet, genau zur rechten Zeit die Öffentlichkeit erblickt, zu einem großen Testlauf ?!? :wink:

WLAN-Lücke Kr00k: Sicherheitsforschern zufolge 1 Milliarde Geräte gefährdet!!

Über eine Lücke in WLAN-Chips für Geräte von Amazon, Apple, Google & Co. könnten Angreifer Teile von mit WPA2 gesicherten Datenverkehr entschlüsseln.
Eine Sicherheitslücke in WLAN-Chips von Broadcom und Cypress macht unzählige Geräte angreifbar. Darunter finden sich beispielsweise iPhones, Nexus- und Galaxy-Geräte sowie Amazons Echo und Kindle. Klappt eine Attacke, könnten Angreifer Teile von mit WPA2 verschlüsseltem Datenverkehr entschlüsseln. Erste Updates sind bereits verfügbar.

[Neben Clients sind einer Warnmeldung der Sicherheitsforscher von Eset zufolge auch Router von unter anderem Asus bedroht. Beispielsweise Apple hat iPhones und iPads bereits im Oktober 2019 mit iOS 13.2 und iPadOS 13.2 abgesichert. Auch macOS 10.15.1 ist gegen Kr00k gerüstet. Besitzer von Computern, Smartphones & Co. sollten sicherstellen, dass ihre Geräte auf dem aktuellen Stand sind und Ausschau nach Updates halten.

Wie gefährlich ist Kr00k?

Die Sicherheitsforscher haben die Lücke (CVE-2019-15126) auf den Namen Kr00k getauft. Mit dem Namen spielen sie darauf an, dass die Übermittlung von bestimmten Daten im Zuge einer erfolgreichen Attacke nicht mehr ausreichend verschlüsselt werden – dabei spielt ein „genullter“ Schlüssel eine wichtige Rolle. Betroffen sind die Sicherheitsstandards WPA2 Personal und WPA2 Enterprise mit AES-CCMP-Verschlüsselung. Das WLAN-Passwort ist von Kr00k nicht gefährdet.

Eset spricht von einer „ernsten Sicherheitslücke“, ordnet den Schweregrad und das Angriffsrisiko aber nicht konkret ein. Die derzeit verfügbaren Informationen lesen sich so, dass Attacken nur in Funkreichweite von gefährdeten Geräten und mit viel Know-how möglich sind.

Angriff skizziert

Die Kr00k-Attacke setzt im Kontext des 4-Wege-Handshakes an, wenn Client und Router eine verschlüsselte Verbindung aushandeln. Nachdem Client und Router nicht mehr miteinander reden – beispielsweise wenn ein Nutzer WLAN deaktiviert -, verbleibt ein genullter Session Key im Speicher von betroffenen WLAN-Chips. Das ist ein gewolltes Verhalten, da nach der Trennung keine Datenübertragung mehr vorgesehen ist.

Doch die Sicherheitsforscher haben entdeckt, dass Daten aus dem Buffer des Chips mit dem genullten Schlüssel „verschlüsselt“ werden. Diese Daten könnten Angreifer mitschneiden und zum Teil einsehen. Darin finden sich beispielsweise DNS- und HTTP-Anfragen. Der Traffic mit via HTTPS verschlüsselten Websites ist nicht im Klartext sichtbar, da die TLS-Verschlüsselung von Kr00k nicht betroffen ist. Das WPA2-Passwort müssen Angreifer Eset zufolge für eine Attacke nicht kennen.

Da Teile beim Verbindungsaufbau ohne Authentifizierung und unverschlüsselt ablaufen, könnten Angreifer auf eigene Faust eine Trennung auslösen und so den Grundstein für eine Attacke legen. Machen sie das immer wieder, könnten sie so immer mehr Daten abgreifen.
(Quelle: Heise Sec.)

Nun die eigentliche Idee bezüglich Zusammenspiel von EMOTET (über Wlan) und Kr00k:
Das was Emotet noch fehlte bei dem neuen Attack-Vector (Wlan), war etwas, was die Bruteforce- Angriffe, die bis dato genutzt wurden, überflüssig machen würde!!
Da nun bei Kr00k festgestellt wurde, dass für den ganzen Angriff das PW nicht gebraucht wird, wäre es ja eine Überlegung wert, entweder Kr00k in Emotet zu integrieren? Oder halt die Technik etc. dahinter, verfeinert in Emotet zu etablieren - je nachdem was günstigewr und / oder schneller für die Entwickler geht…Wirklich wundern tät es mich auch nicht, wenn genau aus dieser Idee Kr00k genau jetzt die Wildbahn betritt… :shushing_face: :sunglasses:

1 Like

Ich frag mich immer wieder, wie die Entwickler dieser Schadsoftware diese trivialen Sicherheitslücken entdecken. Wo doch vorher kein Hersteller/Experte überhaupt auf die Idee kam, das und wie sowas ausgenutzt werden kann.

Sowas ist ja nicht einfach mal so mit Reverse Engineering entdeckt wurden.

Aber gäbe es keine Freaks wäre auch die EICAR-Testdatei die einzige virale Angelegenheit. Ist ja auch langweilig

Zuerst einmal muß ich sagen, dass ich über die gesamte Situation ähnlich denke, wie @d0m1ng0 es hier formulierte.
Zur Übersichtlichkeit, hier einmal vier kurze Definitionen der beteiligten Personen:

Programmierer:
Ein Programmierer ist der fähigste Kodierer und hat nur Kenntnisse in ein einigen Programmiersprachen. Die grundlegende Funktion eines Programmierers besteht darin, die Codes für eine reibungslose und effiziente Anwendung zu schreiben. Sowohl die Hacker als auch die Entwickler sind Programmierer. Programmierer sind jedoch nicht dazu bestimmt, Hacker oder Entwickler zu sein.

Developer:
Entwickler schaffen Dinge, weshalb sie auch Entwickler genannt werden. Ein Entwickler kann Wege finden, um ein Problem zu identifizieren und zu lösen. Entwickler sind für die Verwaltung der Wartbarkeit, Leistung, Robustheit und Sicherheit ihrer Anwendung (Entwicklung) verantwortlich.

Hacker (Black Hat):
Ein Hacker ist eine kreative Person, die über Fachwissen in verschiedenen Bereichen wie Computerkenntnisse, Hardware-Entwicklung und Programmierung usw. verfügt. Hacker werden in Notfallsituationen benötigt und sind für ihre Schnelligkeit und Anpassungsfähigkeit bekannt. Ein Hacker ist definiert als eine Person, die Bugs oder jede andere Form von Fehlern benutzt, um in ein Computersystem einzudringen. Ein Hacker erstellt keine Anwendungen, sondern nimmt Änderungen daran vor, um in das komplexe System einzudringen.

Security-Researcher (White Hat):
Aufgrund der Zunahme von Cyber-Angriffen und der Entstehung neuer Malware erhöht sich die Nachfrage nach Sicherheitsforschern. Kurz und einfach gesagt, ein Sicherheitsforscher ist derjenige, der früher Fehler, Malware und Exploits in verschiedenen Webanwendungen gefunden hat und diese einfach den Firmeninhabern meldete und dafür Sicherheits-Kopfgelder erhielt. Im Gegensatz zu Hackern, wie wir Ihnen oben schon gesagt haben. Hacker verkaufen möglicherweise dieselben Daten oder könnten für falsche Assoziationen verwendet werden. Der Umfang der Jobs für Sicherheitsforscher ist recht groß.

Wie man direkt sehen kann, sind alle vier Beschreibungen ähnlich ausformuliert. Das liegt einfach daran, dass man zwischen den vier Tätigkeiten keine klaren Grenzen ziehen kann, sondern die Inhalte eher miteinander verschwimmen.
Ich denke, eine feste Definition der einzelnen Tätigkeiten ergibt sich immer erst, wenn die involvierten Personen sich selber fokussiert haben in ihrem Schaffen.

Meiner Meinung nach beschreibt auch der Wortlaut „FREAKS“ am Besten die Personen, welche über „Reverse Engeneering“ die Grundlagen schaffen, um anschliessend aus den gewonnenen Erkenntnissen igendwelche Massnahmen bzw. Gegenmassnahmen zu kreieren!

Fehlerhafte Produkte können entstehen, wenn Hersteller oberflächlich, mit fehlender fachlicher Kompetenz oder auch mit lückenhafter Projektstruktur arbeiten.
Ich bin aber auch der festen Überzeugung, dass die meisten Entwickler / Hersteller von Hardware (z.B. Intel) oder auch von Software im Vorfeld genau wissen, wieso und wo in ihren Produkten, Fehler und deren Quellen integriert sind!! Diese werden mit voller Absicht gerne „übersehen“, wenn das Endprodukt an sich zur Zufriedenheit funktioniert. In eigentlich allen Fällen des nicht sehen wollens, haben wirtschaftliche Aspekte den Vorang in der Unternehmensstruktur. Zudem gesellt sich gerne eine gewisse Überheblichkeit der Firmen in ihr Zukunftsdenken, frei nach dem Motto: „Das kann ja niemand so schnell merken!“. Solche Meinungen werden zum Beispiel dann gebildet, wenn es zum Zeitpunkt der Veröffentlichung noch keine Techniken, Ideen und Ansätze gibt, um den Fehler zu entdecken!
Überheblich daran ist die Tatsache, nicht über den eigenen „Tellerrand“ hinwegblicken zu müssen und es einfach der Zukunft zu überlassen, was danach passiert.

Und genau an dieser Stelle der Wertschöpfung setzt dann das sogenannte „Reverse Engeneering“ an!!
Reverse Engineering (englisch, bedeutet: umgekehrt entwickeln, rekonstruieren, Kürzel: RE; auch Nachkonstruktion) bezeichnet den Vorgang, aus einem bestehenden fertigen System oder einem meistens industriell gefertigten Produkt durch Untersuchung der Strukturen, Zustände und Verhaltensweisen die Konstruktionselemente zu extrahieren. Aus dem fertigen Objekt wird somit wieder ein Plan erstellt.

Beispiele zum RE:
Hardware:
Um Hardware zwecks Nachbau zu untersuchen, wurden z. B. in der DDR Methoden entwickelt, bei denen ein Chip-Die lagenweise abgetragen wurde (durch Schleifen oder selektives Ätzen) und dann die Ebenen per Mikroskop untersucht wurden, um die Funktionalität und ihre Hardwarebasis herauszufinden. Auf diese Weise entstand ein Z80-Nachbau als U880. Diese Vorgehensweisen sind glaubhaft erklärt, da einige Firmen noch heute solche Dienste anbieten und erfolgreich erbringen.

Software:
Speziell bezogen auf Software wird darunter meistens einer der drei folgenden Vorgänge verstanden:

  • Die Rückgewinnung des Quellcodes oder einer vergleichbaren Beschreibung aus Maschinencode. Z. B. von einem ausführbaren Programm oder einer Programmbibliothek, etwa mit einem Disassembler (kann Teil eines Debuggers sein) oder einem Decompiler.
  • Die Erschließung der Regeln eines Kommunikationsprotokolls aus der Beobachtung der Kommunikation, z. B. mit einem Sniffer.
  • Die nachträgliche Erstellung eines Modells, ausgehend von bereits vorliegendem Quellcode, in der objektorientierten Programmierung.

Fazit:
Die Fachleute des Reverse Engeneerings sind also letztendlich die Schnittstellen zwischen dem Hersteller des Produktes und der anschliessend entwickelten Malware!
Die Herstellung und / oder die Weiterentwicklung von Malware-Programmen aber auch der Infrastrukturen dahinter (z.B. Bot-Netze usw.) unterliegt letztendlich den gleichen Gesetzmässigkeiten, wie zuvor beim „Originalprodukt“ auch.
Ein Malware-Produkt ist heutzutage zumeist nicht die Tat eines einzelnen. Dahinter haben sich mitlerweile ganze „Schattenindustrien“ gebildet, die sich mit der Entwicklung und vor allem natürlich der weltweiten Verbreitung beschäftigen! Natürlich gibt es aber auch noch den schrulligen „Coder“ der in seinem abgedunkelten Hinterzimmer Ideen austüfftelt, ein Produkt entwickelt und dieses auf die Menschheit loslässt - aus welchen Beweggründen auch immer…