ESET Forscher haben einen neuen USB-basierten Datendieb entdeckt, der verdeckte Angriffe gegen „Air Gap“-Systeme ausführen kann. Gleichzeitig ist die Malware selbst gut vor Erkennung und Reverse Engineering geschützt.
Tomáš Gardoň, Malware Analyst bei ESET, erklärt im Interview, warum der Trojaner Win32/PSW.Stealer.NAI (USB-Dieb) unter Sicherheitsexperten Aufmerksamkeit weckt.
„Der USB-Dieb unterscheidet sich in vielerlei Hinsicht von gewöhnlicher Schadsoftware, die sonst das Internet überflutet. Er nutzt ausschließlich USB-Sticks für die Verbreitung und hinterlässt keine Hinweise auf dem kompromittierten Computer. Die Malware-Autoren implementierten außerdem einen speziellen Mechanismus, um den Trojaner vor Reproduktion und Kopieren zu schützen. Das macht es noch schwerer, ihn zu entdecken und zu analysieren.“, sagt Gardoň.
Wenn man über neue Malware liest, kommt einem zuerst die Frage in den Sinn: „Was ist das Ziel der Autoren?“ Was halten Sie vom USB-Dieb?
Wir können die Absichten anhand der implementierten Fähigkeiten der Malware vermuten. Da sie USB-basiert ist, ist sie in der Lage, das System isoliert vom Internet zu attackieren. Dass die Datenklau-Malware bei der Ausführung auf dem Wechseldatenträger keinerlei Spuren hinterlässt, ist sehr tückisch. Die Opfer merken nicht, dass ihre Daten gestohlen wurden.
Das Außergewöhnliche an diesem Trojaner ist, dass die schädlichen Funktionen nur an einen einzelnen USB-Stick gekoppelt sind. Es scheint, als sei eine Vervielfältigung nicht vorgesehen. Diese Verbindung in Kombination mit seiner komplexen Umsetzung von mehrstufiger Verschlüsselung, die auch von den Eigenschaften des USB-Sticks abhängig ist, erschwert die Erkennung und Analyse um ein Vielfaches.
Können Sie Gründe nennen, warum die Malware an ein bestimmtes Gerät gebunden ist und es verschlüsselt?
Üblicherweise wird Malware verschlüsselt. Der naheliegende Grund dafür ist, dass die Verschlüsselung vor einer Entdeckung schützt, oder nach Entdeckung der Malware eine Analyse verhindert. In dem vorliegenden Fall dient die Verschlüsselung vor allem dem Zweck, die Malware an nur einen USB-Stick zu binden.
Diese Kopplung verhindert zwar eine Ausbreitung der Malware, gleichzeitig wird hierdurch aber verhindert, dass sie außerhalb des anvisierten Systems entdeckt wird. Darüber hinaus hinterlässt der Angriff keinerlei Spuren und wenn die Malware auf dem USB-Stick bleibt und nach erfolgreicher Mission vom Rechner gelöscht wird, stehen die Chancen gut, dass sie unentdeckt bleibt.
Zusammenfassend scheint es mir so, dass die Malware für gezielte Angriffe erschaffen wurde.
Malware, die gezielte Angriffe ohne Internetzugang durchführen kann, ist trotzdem ein gefährliches Werkzeug, oder?
Unter Berücksichtigung der Tatsache, dass Unternehmen bestimmte Systeme aus gutem Grund isolieren, lautet die Antwort: Ja. Jedes Tool, das in der Lage ist, sogenannte Air-Gap-Systeme gezielt anzugreifen, muss als gefährlich eingestuft werden. Das trifft umso mehr zu, je besser die Malware verschwindet, ohne Spuren zu hinterlassen.
Wie können Unternehmen solche Malware-Attacken verhindern?
Die Malware ist einzigartig aufgrund ihrer angesprochenen Besonderheit. Der Schutz dagegen steht und fällt mit der Ausgestaltung allgemeiner Sicherheitsmaßnahmen. USB-Ports sollten dort deaktiviert werden, wo sie nicht gebraucht werden. Wenn das nicht möglich ist, sollten strenge Sicherheitsrichtlinien im Umgang damit herrschen. Es wäre wünschenswert, wenn Mitarbeiter auf allen Ebenen an einem Sicherheitstraining teilnehmen, das reale Anforderungen der Praxis einschließt. Wenn möglich…
...sollten die Mitarbeiter nicht auf die Malware hereinfallen, oder?
Bei dem USB-Datendieb ist das nicht der Fall, da er nicht den üblichen Infektionsweg benutzt: Der Trojaner profitiert davon, dass auf USB-Sticks oft portable Versionen beliebter Anwendungen wie Firefox, Notepad++, TrueCrypt usw. gespeichert sind. Er kann sich als Plug-In oder Link Library (DLL) dieser portablen Versionen tarnen. Beim Ausführen der Anwendung nimmt auch die Malware ihren Dienst im Hintergrund auf.
Eigentlich sollten die Leute das Risiko im Umgang mit USB-Sticks aus nicht vertrauenswürdigen Quellen kennen. Verschiedene Umfragen zeigen jedoch, dass viele zu leichtfertig mit dem Thema umgehen.
Natürlich sollten auch andere Mittel zum Schutz von Daten eingesetzt werden – sei es der Perimeterschutz, die Verschlüsselung oder das Backup.
Wenn wir über Air-Gap-Systeme sprechen, betrifft das auch Industrieanlagen, richtig? Diese Malware stellt doch aber weniger eine Gefahr für industrielle Systeme dar, da sie lediglich Daten stehlen kann...
Nun ja, es gibt viele Wege für bösartige Leute, Systeme zu beschädigen, wenn sie erst einmal eingedrungen sind. Die Payload des USB-Diebs könnte umgeschrieben werden und dann nicht mehr nur Daten klauen, sondern noch andere, schädlichere Attacken durchführen.