Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Uli Ries 79

Cloud-Antivirensoftware hilft beim Datenklau aus luftdichten Netzwerken

Computervirus

Bild: dpa, Sebastian Kahnert/Illustration

Mindestens vier Virenscanner, die verdächtige Daten zur Analyse in die Cloud hochladen, helfen beim Datenklau von ansonsten in ihrer Kommunikationsfähigkeit beschränkten PCs. Auch Virustotal ist betroffen.

Itzik Kotler und Amit Klein zeigten während der Hacker-Konferenz Def Con ihren Spacebin getauften Angriff (Beispielcode auf Github). Spacebin macht moderne Antivirensoftware zum Sprungbrett für Datendiebstahl: Mindestens vier Antivirenprodukte – Avira Antivirus Pro, Comodo Client Security, ESET NOD32 und Kaspersky Total Security 2017 – sind beziehungsweise waren anfällig für die neue Angriffsmethode.

Insgesamt zehn Cloud-basierte Antivirenprodukte testeten die Forscher, vier davon (grün markiert) waren anfällig für die neuartige Attacke.
Insgesamt zehn Cloud-basierte Antivirenprodukte testeten die Forscher, vier davon (grün markiert) waren anfällig für die neuartige Attacke. Vergrößern
Bild: Itzik Kotler und Amit Klein
Bis auf Kaspersky haben die betroffenen Hersteller die Lücken bereits geschlossen. Kaspersky empfiehlt seinen Kunden, auf den Cloud-Upload von verdächtigen Dateien zu verzichten. Die Schutzwirkung sei dadurch nicht beeinträchtigt.

Beschränkt kommunikationsfähig

Die Funktion zum Scannen der fraglichen Dateien in der Cloud ist es, die beim Ausschleusen der Daten hilft. Die Forscher nahmen für ihre Attacke zwei Szenarien an, wie sie typisch sind für besonders gesicherte Umgebungen. In einem kann das betroffene Endgerät nur Updates für Windows und die Antivirensoftware aus dem Internet ziehen, hat sonst aber keinerlei Zugriff auf das Web. Im zweiten Szenario findet noch nicht einmal das statt, die Maschine kann nur auf interne Update- und Antiviren-Management-Server zugreifen.

Damit der Angriff funktioniert, muss die von den Forschern zu Demozwecken geschriebene und Rocket getaufte Malware-Komponente im ersten Schritt auf einen dieser Rechner geschleust werden. Beispielsweise per USB-Stick. Anschließend beginnt ein mehrstufiger Prozess: Rocket sammelt die zu stehlenden Daten im Netzwerk ein und legt sie in der in ihr schlummernden "Satellite"-Komponente ab. Der Satellit hat hierfür einen zuvor reservierten Puffer.

Anschließend kompiliert die Rakete den Programmcode des Satelliten samt gestohlener Daten, gliedert die ausführbare Datei aus und schiebt sie samt der EICAR-Testdatei in den Windows-Autostart-Ordner. Ablageort und EICAR-Datei sollen garantieren, dass die Antivirensoftware (AV-Software) auf jeden Fall Alarm schlägt und auf die Malware aufmerksam wird.

Auch Virustotal betroffen

Anschließend lädt die AV-Software den Satelliten zur Analyse in die Sandbox in der Cloud. Dort führen die Virenwächter den Code zur Analyse aus, wodurch der Satellit den letzten Teil des Angriffs startet: Da die Cloud-Umgebungen der Malware Internetzugriff erlauben, kann der Schädling die Daten auf verschiedenen Arten an die Hintermänner der Attacke weiterleiten. ESET beispielsweise erlaubt der Malware keine Kommunikation per http -aber per DNS. In diesem Fall enkodiert der Satellit die auszuschleusenden Daten mit Base64 und packt diese als Subdomäne in eine DNS-Anfrage. Die angefragte Domäne steht unter Kontrolle des Angreifers, so dass dieser pro DNS-Anfrage zumindest einige hundert Bytes empfangen kann.

Laut den Forschern ist auch das von Google betriebenen Virustotal anfällig. Lädt ein Administrator eine fragliche Datei von Hand zu Virustotal hoch, hilft er Datendieben damit bei ihrem Job. Auch Virustotal will laut Kotler und Klein den Internetzugriff der Sandbox, der auf verschiedensten Ports erlaubt ist, nicht einschränken. (axv)

79 Kommentare

Themen:

Anzeige
  1. Kaspersky torpediert SSL-Zertifikatsprüfung

    Kaspersky torpediert SSL-Zertifikatsprüfung

    Der Schreck der Antiviren-Hersteller hat wieder zugeschlagen: Google-Forscher Tavis Ormandy hat diesmal Schwächen im Umgang mit SSL-Zertifikaten bei Kaspersky aufgedeckt. Und das nicht zum ersten Mal.

  2. Industroyer: Fortgeschrittene Malware soll Energieversorgung der Ukraine gekappt haben

    Industroyer: Fortgeschrittene Malware soll Energieversorgung der Ukraine gekappt haben

    Sicherheitsforscher haben nach eigenen Angaben eine Art zweites Stuxnet entdeckt: Einen Trojaner, der auf die Steuerung von Umspannwerken zugeschnitten ist. Er soll für Angriffe auf den ukrainischen Stromversorger Ukrenergo verantwortlich sein.

  3. Erste SambaCry-Angriffe: Trojaner schürft Kryptowährung auf Linux-Servern

    Erste SambaCry-Angriffe: Trojaner schürft Kryptowährung auf Linux-Servern

    Sicherheitsforscher haben einen Trojaner entdeckt, der durch die vor kurzem entdeckte Samba-Lücke in Linux-Server einbricht und dann mit deren Hardware Kryptogeld erzeugt.

  4. FinFisher: Internetprovider schieben Spitzelopfern Malware unter

    FinFisher: Internetprovider schieben Spitzelopfern Malware unter

    Eine neue Variante der Spionage-Malware FinFisher nutzt einen aufsehenerregenden Infektionsweg: Lokale Internetprovider schleusen als Man-in-the-Middle vergiftete Versionen vertrauenswürdiger Software wie TrueCrypt oder VLC Player auf die PCs.

  1. Virenschutz unter Linux

    Schutz gegen Malware, Trojaner und Erpresser ist auch unter Linux keine schlechte Idee und fix eingerichtet - auch kostenlos.

  2. So sicherst du Windows 10 gegen Erpresser-Trojaner ab

    Erpresser-Trojaner gehören zu den fiesesten Bedrohungen für PCs. Mit einigen Vorkehrungen kannst du dich gegen Lösegeldforderungen schützen.

  3. Hacken mit DNA

    Hacken mit DNA

    Erstmals haben Forscher mit Hilfe von DNA die Kontrolle über einen Computer übernommen. Der Angriff ist wenig realitätsnah, könnte jedoch an Relevanz gewinnen.

  1. Sicherheitslücke in HP-Druckern – Firmware-Updates stehen bereit

    Hewlett-Packard-Logo

    Unter Verwendung spezieller Malware können Angreifer aus der Ferne auf Drucker von HP zugreifen und dort unter anderem gerätespezifische Befehle ausführen. Der Hersteller hat Updates bereitgestellt und empfiehlt die umgehende Aktualisierung.

  2. Mini tritt bei der Dakar-Rallye 2018 mit Allrad- und Hinterradantrieb an

    Mini

    Am 6. Januar 2018 startet in Lima die 40. Rallye Dakar. Mini wird die Rallye erstmals mit zwei konzeptionell komplett unterschiedlichen Fahrzeugtypen bestreiten. Zum Allradler kommt ein Buggy mit Hinterradantrieb

Anzeige