Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.701.081 Produkten

Uli Ries 79

Cloud-Antivirensoftware hilft beim Datenklau aus luftdichten Netzwerken

Computervirus

Bild: dpa, Sebastian Kahnert/Illustration

Mindestens vier Virenscanner, die verdächtige Daten zur Analyse in die Cloud hochladen, helfen beim Datenklau von ansonsten in ihrer Kommunikationsfähigkeit beschränkten PCs. Auch Virustotal ist betroffen.

Itzik Kotler und Amit Klein zeigten während der Hacker-Konferenz Def Con ihren Spacebin getauften Angriff (Beispielcode auf Github). Spacebin macht moderne Antivirensoftware zum Sprungbrett für Datendiebstahl: Mindestens vier Antivirenprodukte – Avira Antivirus Pro, Comodo Client Security, ESET NOD32 und Kaspersky Total Security 2017 – sind beziehungsweise waren anfällig für die neue Angriffsmethode.

Anzeige
Insgesamt zehn Cloud-basierte Antivirenprodukte testeten die Forscher, vier davon (grün markiert) waren anfällig für die neuartige Attacke.
Insgesamt zehn Cloud-basierte Antivirenprodukte testeten die Forscher, vier davon (grün markiert) waren anfällig für die neuartige Attacke. (Bild: Itzik Kotler und Amit Klein)

Bis auf Kaspersky haben die betroffenen Hersteller die Lücken bereits geschlossen. Kaspersky empfiehlt seinen Kunden, auf den Cloud-Upload von verdächtigen Dateien zu verzichten. Die Schutzwirkung sei dadurch nicht beeinträchtigt.

Die Funktion zum Scannen der fraglichen Dateien in der Cloud ist es, die beim Ausschleusen der Daten hilft. Die Forscher nahmen für ihre Attacke zwei Szenarien an, wie sie typisch sind für besonders gesicherte Umgebungen. In einem kann das betroffene Endgerät nur Updates für Windows und die Antivirensoftware aus dem Internet ziehen, hat sonst aber keinerlei Zugriff auf das Web. Im zweiten Szenario findet noch nicht einmal das statt, die Maschine kann nur auf interne Update- und Antiviren-Management-Server zugreifen.

Damit der Angriff funktioniert, muss die von den Forschern zu Demozwecken geschriebene und Rocket getaufte Malware-Komponente im ersten Schritt auf einen dieser Rechner geschleust werden. Beispielsweise per USB-Stick. Anschließend beginnt ein mehrstufiger Prozess: Rocket sammelt die zu stehlenden Daten im Netzwerk ein und legt sie in der in ihr schlummernden "Satellite"-Komponente ab. Der Satellit hat hierfür einen zuvor reservierten Puffer.

Anschließend kompiliert die Rakete den Programmcode des Satelliten samt gestohlener Daten, gliedert die ausführbare Datei aus und schiebt sie samt der EICAR-Testdatei in den Windows-Autostart-Ordner. Ablageort und EICAR-Datei sollen garantieren, dass die Antivirensoftware (AV-Software) auf jeden Fall Alarm schlägt und auf die Malware aufmerksam wird.

Anschließend lädt die AV-Software den Satelliten zur Analyse in die Sandbox in der Cloud. Dort führen die Virenwächter den Code zur Analyse aus, wodurch der Satellit den letzten Teil des Angriffs startet: Da die Cloud-Umgebungen der Malware Internetzugriff erlauben, kann der Schädling die Daten auf verschiedenen Arten an die Hintermänner der Attacke weiterleiten. ESET beispielsweise erlaubt der Malware keine Kommunikation per http -aber per DNS. In diesem Fall enkodiert der Satellit die auszuschleusenden Daten mit Base64 und packt diese als Subdomäne in eine DNS-Anfrage. Die angefragte Domäne steht unter Kontrolle des Angreifers, so dass dieser pro DNS-Anfrage zumindest einige hundert Bytes empfangen kann.

Laut den Forschern ist auch das von Google betriebenen Virustotal anfällig. Lädt ein Administrator eine fragliche Datei von Hand zu Virustotal hoch, hilft er Datendieben damit bei ihrem Job. Auch Virustotal will laut Kotler und Klein den Internetzugriff der Sandbox, der auf verschiedensten Ports erlaubt ist, nicht einschränken. (Uli Ries) / (axv)

79 Kommentare

Themen:

Anzeige
  1. DNS-Hijacker greift Macs an

    DNS-Hijacker greift Macs an

    Der Sicherheitsforscher Patrick Wardle hat eine neue Malware analysiert, die den Internet-Verkehr von macOS-Usern umleitet. Zudem wird ein neues Root-Zertifikat installiert.

  2. Kaspersky torpediert SSL-Zertifikatsprüfung

    Kaspersky torpediert SSL-Zertifikatsprüfung

    Der Schreck der Antiviren-Hersteller hat wieder zugeschlagen: Google-Forscher Tavis Ormandy hat diesmal Schwächen im Umgang mit SSL-Zertifikaten bei Kaspersky aufgedeckt. Und das nicht zum ersten Mal.

  3. Industroyer: Fortgeschrittene Malware soll Energieversorgung der Ukraine gekappt haben

    Industroyer: Fortgeschrittene Malware soll Energieversorgung der Ukraine gekappt haben

    Sicherheitsforscher haben nach eigenen Angaben eine Art zweites Stuxnet entdeckt: Einen Trojaner, der auf die Steuerung von Umspannwerken zugeschnitten ist. Er soll für Angriffe auf den ukrainischen Stromversorger Ukrenergo verantwortlich sein.

  4. Erste SambaCry-Angriffe: Trojaner schürft Kryptowährung auf Linux-Servern

    Erste SambaCry-Angriffe: Trojaner schürft Kryptowährung auf Linux-Servern

    Sicherheitsforscher haben einen Trojaner entdeckt, der durch die vor kurzem entdeckte Samba-Lücke in Linux-Server einbricht und dann mit deren Hardware Kryptogeld erzeugt.

  1. Virenschutz unter Linux

    Schutz gegen Malware, Trojaner und Erpresser ist auch unter Linux keine schlechte Idee und fix eingerichtet - auch kostenlos.

  2. Daten in der Cloud sicher verschlüsseln

    Wer Daten in die Cloud legt, kann nie sicher sein, dass kein Dritter mitliest. Wichtige Daten sollten separat verschlüsselt werden. Wir zeigen, wie's geht.

  3. So sicherst du Windows 10 gegen Erpresser-Trojaner ab

    Erpresser-Trojaner gehören zu den fiesesten Bedrohungen für PCs. Mit einigen Vorkehrungen kannst du dich gegen Lösegeldforderungen schützen.

  1. DSGVO: Folterfragebogen im Selbsttest

    DSGVO: Folterfragebogen im Selbsttest

    Die neue EU-Datenschutzgrundverordnung tritt im Mai in Kraft. Sie bringt Verbrauchern neue Rechte und Unternehmen neue Pflichten. c't gibt einen Überblick, hilft Verbrauchern, ihre Rechte geltend zu machen - und testet das Prozedere für Unternehmen.

  2. Nervöse Nerds: Bill Gates in The Big Bang Theory

    Bill Gates

    Sheldon-Fans dürften unruhig werden: Der ehemalige Microsoft-Chef ist für eine Folge der Nerd- und Physiker-Sitcom angekündigt.

  3. SpotMini: Roboter lässt sich von Mensch nicht aufhalten

    Boston Dynamics: Roboter SpotMini öffnet Tür trotz Widerstand

    Ein Mensch hindert den Roboter SpotMini von Boston Dynamics mit Hockeyschläger und Seil beim öffnen einer Tür: Wie ein neues Video zeigt, wehrt sich der Roboterhund regelrecht und gibt nicht auf.

  4. Assassin's Creed Origins: Spielmodus "Entdeckungstour" macht antikes Ägypten frei erkundbar

    Assassin's Creed Origins: Spielmodus "Entdeckungstour" macht antikes Ägypten frei erkundbar

    Die Spielwelten zählten schon immer zu den Stärken der Assassin's-Creed-Reihe. Bei Origins trifft das besonders zu: Das wunderschön gestaltete antike Ägypten kann man jetzt in 75 vertonten Touren ungestört erkunden.

Anzeige