AGENT.BTZ, COMRAT, CARBON UND UROBUROS - … · Night Dragon Stuxnet (USA) Flame Ajax Security Team (Iran) NetTraveler RedStar Uroburos/ Snake (Russland) Havex / DragonFly Regin

1

ConsumerAutomotive

TechnologyRetail Life Sciences & Healthcare

Energy & Chemicals

AGENT.BTZ, COMRAT, CARBON UND

UROBUROS

Historie und Funktionsumfang von

Spionagetools mit russischem? Ursprung

Ralf Benzmüller

Leiter G DATA SecurityLabs

EICAR WG 2 | Bonn | 10. Februar 2015

• Gegründet 1985

• Anbieter von Sicherheitslösungen für Privatanwender

und Unternehmen

• Unternehmenssitz in Bochum

• Offices in 14 Ländern

• Partner in >90 Ländern

• >400 Mitarbeiter

• Weltweit erhältlich

2

G DATA KOMPAKT

EICAR WG 2 | Bonn | 10. Februar 2015 3

30 JAHRE ERFAHRUNG

20131987

20081989

2005

1990 1986

1985

1997

1999

20011997

19871988

1998

1988

2013

2001

1985 1987 1995 2000 2001 2002 2003 2005 2008

Entwicklung der

DoubleScan-Technologie

Einführung

Unternehmenslösungen

Eintritt in den

asiatischen Markt

Erster Anbieter

integrierter Cloud

Security-Technologie

Gründung in Bochum

durch Kai Figge

Erste ausländische

Niederlassung

Implementierung der

Fingerprinting-Technologie

Börsengang;

Anteile bei Mitarbeitern

und Gründern

2012 2013

Einführung der

weltweit ersten

Antiviren-Software

Integration von G DATA

BankGuard Einführung der G DATA

CloseGap-Technolgie

2


Guard

Anti-Spam

Anti-Phishing

Firewall

Cloud

Behavior based

detection

BankGuard

CloseGapExploit

Protection


Intro

Gezielte Angriffe allgemein

Ein Framework

Agent.BTZ

COMRAT

Carbon/Cobra

Uroburos

5

AGENDA


Spezifische Angriffe

Angepasst an IT

Zugeschnitten auf Mitarbeiter

Ausgelegt auf Prozesse,

Produkte

Von Spezialisten ausgeführt

Mögliche Ziele

Militär, Regierungen

Behörden, NGO

Forschungseinrichtungen

Unternehmen

• Kritische Infrastruktur

• Konkurrenten

Individuen

• Journalisten, Dissidenten,

Anwälte, Aktivisten, etc.

6

GEZIELTE ANGRIFFE

3


APT1 (China)

Nitro Attacks

Elderwood

Sykipot

Aurora

Night Dragon

Stuxnet (USA)

Flame

Ajax Security Team (Iran)

NetTraveler RedStar

Uroburos/ Snake (Russland)

Havex / DragonFly

Regin

TARGETED ATTACK OPERATIONS


Vorbereitung

• Öffentliche Informationen über Personen und IT-Infrastruktur

• Vor-Ort Beobachtungen

Eindringen

• Social Engineering und technische Schwachstellen

• Whale Phishing, Waterhole Attack, Trojanisierte Installer

• USB-Geräte

• Android Apps

Zugang erweitern und absichern

Daten sammeln und ausleiten

Andere Aktionen

ABLAUF EINES ANGRIFFS

8


Social Media enthalten viele Infos

Mitarbeiter sind (meistens) freundlich, hilfsbereit und

kooperativ

• Bitte um Hilfe bei einem dringenden Projekt

• Als „Recruiter“ bekommt man viele interessante Informationen

Mitarbeiter sind neugierig

• Der „verlorene“ USB-Stick in Operation Buckshot Yankee

Mitarbeiter ignorieren und unterwandern IT-Richtinien

Zulieferer, Boten, Hilfskräfte bekommen oft tiefe Einblicke

AWARENESS: Vom Layer 8 Problem zum Layer 8 Schutz

SOCIAL ENGINEERING

9

4


Password Stealer

Keylogger, Screenlogger

Network Sniffing

SQL Injection

Traffic Rerouting

Memory Carving

…

Offene Ports

HTTPS

FTP

SMTP

DNS

ICMP

Instant Message

10

DATEN SAMMELN UND AUSLEITEN


Drucker

Beamer

IP-Telefone

Viele andere Geräte mit IP-

Adresse

Air Gap: Datenübertragung

per Lautsprecher

Keylogging per Teleskop &

Kaffeekanne oder per Mikro

Sprachsteuerung

Netzbrummen identifiziert im

TV verpixelte Whistleblower

11

ABSEITS DER ÜBLICHEN WEGE


VON AGENT.BTZ ZU UROBUROS

5




Seit 2006

46 Dateien mit Versionsnummern und Compilation Date

10 davon untersucht

14

AGENT.BTZ

Quelle: http://en.wikipedia.org/wiki/2008_cyberattack_on_United_States


Version Comp Date

1.0 Jun 2007

1.5 Mrz 2008

2.03 Mai 2008

2.11 Sep 2009

2.14.1 Feb 2010

3.0 Jan 2012

3.10 Dez 2012

3.20 Jun 2013

3.25 Feb 2014

3.26 Jan 2013 modifiziert

VON AGENT.BTZ ZU COMRAT

6


2008: Operation Buckshot Yankee

USB-Sticks in Garage von US-Militärbasis „verloren“

Eingesteckt in einen Rechner des U.S. Central Command

„The worst breach of U.S. military computers in history“

Bereinigung dauerte 14 Monate

16

AGENT.BTZ V1.5

Quelle: http://en.wikipedia.org/wiki/2008_cyberattack_on_United_States



Injektion in alle Prozesse

Payload ist nur in explorer.exe injiziert

Kommunikation mit C&C via Browser

Kommunikation mit Browser via Named Pipes

RAT Funktionen

• Code execution,

• File download und file upload

• Daten sammeln

18

7


Nachfolger von Agent.BTZ (v3.26 vs v1.5)

Gleiche Dateinamen für Log-Files

Gleicher XOR key

Identische Code-Segmente

Benutzt den gleichen CnC-Server

Neu:

Gestohlene werden in der Registry gespeichert

COM Object Hijacking

19


VON AGENT.BTZ ZU COMRAT: CODEÄHNLICHKEIT


Version Comp Date Änderungen

1.0 Jun 2007 XML-Konfig in ASCII

1.5 Mrz 2008 XML-Konfig in Unicode,

Neuer Infektionsmechanismus

Neues Event: „wowmgr_is_load“ wird etabliert

2.03 Mai 2008 Verschlüsselungstechnik eingeführt

Flag „<CHCMD>“ in Kommunikationsprotokoll

Unterstützt „runas“ (Adminrechte)

2.11 Sep 2009 Namen von Registry-Keys und Funktionen

2.14.1 Feb 2010 Fehlerkorrekturen

OLE-COM Integration


8


Version Comp Date Änderungen

3.0 Jan 2012 Neuer Compiler VS 9.0/10.0

Sammelt mehr Infos (z.B. Festplatte)

Infektionsmechanismus entfernt

Malware wird in alle Prozesse injiziert

Named Pipe für Interprozesskommunikation

Primäre Payload in explorer.exe

POST-Requests für CnC-Kommunikation

3.10 Dez 2012 Mehr Protokolle, Mutex, Mehrere CnC möglich

3.20 Jun 2013 Dauerhafte Registry-Keys

3.25 Feb 2014 Neue CLSID (Tarnung)

Fast alle Strings verschlüsselt

3.26 Jan 2013 XOR-Schlüssel von Uroburos wurde entfernt

Es werden keine Protokolle mehr generiert

Gefälschtes Compilation Date



Cobra System:

Technische Gemeinsamkeiten mit Agent.BTZ, ComRAT und

Uroburos (aka Turla, Snake):

Verschlüsselungsschlüssel

Verschlüsselungsalgorithmus

Konzeption usw.

User-mode Gegenstück zu Uroburos

C A R B O N .

23


Verbreitung

Angriff: Spear-Phishing, Waterhole => Exploit

Aufklärungstool Tavdig (aka Wipbot, Epic Backdoor)

Überprüft, ob Rechner interessant ist

Wenn interessant => Persistenztool installieren

Cobra Uroburos

C A R B O N .

24

9


Carbon ist Teil des Projekts COBRA

Dropper erzeugt DLL und registriert sie als Dienst.

Das „System“

verwaltet Interprozesskommunikation (Named Pipes),

erzeugt Arbeitsdateien und –ordner mit Zufallsnamen

erzeugt verschlüsselte Protokolldateien

entpackt (CAST128) die Konfig-Datei (ID, CnC, etc.)

Dropper injiziert CARBON.DLL in Browser und E-Mail-Client

C O B R A .

25


Dienste:

VPN Routing Service kann mit VPN-Verbindungen umgehen

System Restore Service

X.509 certificate and key management services

C O B R A .

26


• Hoch entwickelte Malware

• Ziel: Daten stehlen

• Hochrangige Ziele

• Wahrscheinlich russische Wurzeln

• G DATA Whitepaper Feb 2014

UROBUROS

https://www.gdata.de/rdk/dl-en-rp-Uroburos


10


• Rootkit-Funktion zum Selbstschutz

• Umgeht Driver Signature

Enforcement

• Umgeht PatchGuard (Windows

kernel protection)

• Virtuelles Dateisystem

• Supernodes

UROBUROS FEATURES



• Schutz für 64bit Windows seit Vista

• Nur Treiber mit validen Zertifikaten können installiert

werden

• Wildwuchs vermeiden, vor Malware schützen

• Activation status ist gespeichert in der Kernelvariable

g_CiEnabled

• Aber: Jede Software mit Adminrechten darf jeden Treiber

laden

30

DRIVER SIGNATURE ENFORCEMENT


• Signatur eines VirtualBox-Treibers ist outdated

• Aber: Wechsel zu anderem unsicheren Treiber möglich

• Dieser Ansatz zum Driver-Signature-Enforcement-Bypass

funktioniert so lange es verwundbare Treiber mit legitimer

Signatur gibt.

31

KONSEQUENZEN


11


• Microsoft PatchGuard verhindert die Modifikation von

Kernelkomponenten

• Wenn eine Modifikation erkannt wird:

• Call KeBugCheckEx() mit Code 0x109

CRITICAL_STRUCTURE_CORRUPTION

• Führt zum Shutdown mit Blue Screen

• Uroburos umgeht PatchGuard durch Hooking von

KeBugCheckEx()

• Funktion wird ohne Aktion beendet

=> kein BlueScreen

32

PATCHGUARD BYPASS


• Unterstützt NTFS, FAT32 (Legacy?)

• Verschlüsselt mit CAST128

• Zugang via named pipe \\.\Hd1\

• Inhalt:

• Queue file

• Spy Tools

• Stiehlt Office Dokumente

• NTLM Password Stealer

• Logs

UROBUROS VIRTUAL FILE SYSTEM


• Zugang zu Queue file via

\\.\Hd1\queue

• Inhalt:

• Konfiguration der Malware

• Encryption key

• User-mode DLLs

• Kann in jeden user-mode Prozess

injiziert warden

• Z.B. DLL Man-in-the-Browser

• Gestohlene Daten

UROBUROS VIRTUAL FILE SYSTEM

12


• Windows Filtering Platform:

API zum Erstellen von

Netzwerkfiltern

• Von Uroburos für Deep Packet

Inspection (DPI) genutzt

• Filtert CnC-Kommunication aus

dem Netzwerkdatenverkehr heraus

• Protocols: HTTP, SMTP

• Forwarded in user mode via Named

Pipes

UROBUROS DEEP PACKET INSPECTION

• Marker for Uroburos Packets:• 0xDEADBEEF

• 0xC001BA5E


SUPERNODES



13


Risikobewertung

• Aufwand vs. Nutzen

• nach Threat LifeCycle und CIA

Spezifische Schutzmaßnahmen

Angepasst an eigene IT

Zugeschnitten auf Mitarbeiter

Abwehrspezialisten

• Incident Response

• Pen-Testing

GEZIELTE ANGRIFFE ABWEHREN

Integrierte Sicherheit nutzen

(z.B. Netzwerksegmentierung, Rechte für

Nutzer, Abwehrstrategien für jeden Bereich,

EMET)

Produktauswahl (Hardware, OS,

Software, Schutztechnologien, Virenschutz)

Patch Management

Exploit Protection

Usability (Funktionalität vs Sicherheit)

Awareness

38


Vielen Dank

39

Documents

AGENT.BTZ, COMRAT, CARBON UND UROBUROS - … · Night Dragon Stuxnet (USA) Flame Ajax Security Team (Iran) NetTraveler RedStar Uroburos/ Snake (Russland) Havex / DragonFly Regin