Anatomie eines Trojaners
SecureWorks hat eine ausführliche Analyse eines Trojaners veröffentlicht, der in der Lage ist, SSL-Verbindungen mitzulesen; die Analyse gibt auch einen Einblick in die straff organisierten Abläufe der Verteilung gestohlener Daten.
- Daniel Bachfeld
Passend zu der von Symantec im Internet Security Threat Report skizzierten "Underground Economy" hat der Sicherheitsdienstleister und Hersteller SecureWorks eine ausführliche Analyse eines Windows-Trojaners veröffentlicht. Dieser ist nicht nur in der Lage, SSL-Verbindungen mitzulesen; die Analyse gibt auch einen Einblick in die straff organisierten Abläufe der Verteilung gestohlener Daten.
So erhalten Käufer des Trojaners zusätzlich eine Datenbanksoftware, um die gestohlenen Daten auf einem Server zu sammeln. Zudem gibt es eine Schnittstelle, mit der Kaufinteressenten gestohlenene Daten online nach bestimmten Merkmalen durchsuchen und kaufen können. Nach der Schilderung von SecureWorks lassen sich mit einem Verwaltungs-Interface auch unterschiedliche Preise für verschiedene Konten definieren. Wer für seine Machenschaften Webspace benötigt, bekommt ihn ebenfalls gleich angeboten.
Der Trojaner selbst ist modular aufgebaut und soll über Rootkit-Funktionen verfügen, um sich vor den Zugriffen von Virenscannern zu schützen. Nach Schätzungen von SecureWorks hat die von ihnen untersuchte Variante 5200 PCs infiziert und Daten von 10.000 Konten gesammelt. Bei einer ersten Analyse mit 30 Virenscannern fand keines der Produkte anhand der Signatur etwas Verdächtiges, immerhin warnte bei einigen die Heuristik vor einem Schädling – allerdings nur, weil die Datei mit einem Packer komprimiert war, der üblicherweise von Virenautoren benutzt wird. Mittlerweile hat sich die Erkennungsrate verbessert, fünf erkennen nach Tests von SecureWorks den Schädling aber immer noch nicht.
Der Trojaner klinkt sich in die Winsock2-Funktionen ein, um beispielsweise auch Datenverkehr mitlesen zu können, der bei der Übertragung im Netz mit SSL verschlüsselt ist. Der unter anderem Agent.AVV, Small.BS oder Ursnif.AG genannte Trojaner soll über eine Schwachstelle im Internet Explorer in einen PC eindringen.
SecureWorks hat nach eigenen Angaben Ermittlungsbehörden über den Fall informiert und die unwissentlichen Wirte der Datenbankserver, die in der Regel auf gehackten Webservern laufen, informiert. Als Schutz vor dem Verlust von Daten empfiehlt SecureWorks den Einsatz von Intrusion Detection Systemen – was wenig überrascht, da der Hersteller selbst IDS-Lösungen anbietet.
Für die meisten Anwender dürfte allerdings das Absichern des eigenen Webbrowsers mehr Früchte tragen. Wie das geht, zeigt unter anderem der c't-Browsercheck.
Siehe dazu auch:
- Gozi Trojan, Analyse von SecureWorks
(dab)
