Was Sicherheitsexperten derzeit den Schlaf raubt
Komisch, spannend und beängstigend. Jeden Tag gibt es neue Meldungen zu DDoS-Attacken, Ransomware, Crypto-Minern und Co. Die gefundenen Perlen erscheinen online im IT-Security-Blog. An dieser Stelle eine kleine Auswahl aus den Sammlungen des letzten Monats.
Fake Bugs sollen vor echten Bugs schützen
Um Benutzer vor Schadprogrammen zu schützen, kommen Sicherheitsforscher manchmal auf ungewöhnliche Ideen. Die folgende Technik eines Teams der New York University gehört definitiv in die Kategorie "so unorthodox, dass es vielleicht funktionieren könnte". Sie wollen selbst Programme mit Bugs verseuchen. Mit möglichst vielen Bugs. Ein voreiliger Hacker könnte jetzt schon ein "Danke!" auf den Lippen haben. Schliesslich leben sie davon, solche Sicherheitslücken zu finden und auszunutzen. Exploits für Bugs lassen sich auch verkaufen. Seriöse Sicherheitslücken erlauben dem Cyberkriminellen vielleicht sogar Zugriff auf Firmennetzwerke und Unternehmensdaten.
Die absichtlich eingebauten Bugs – die Forscher nennen sie "Chaff Bugs" – sollen aber als Ablenkung dienen. Die vermeintlichen Schwachstellen sollen natürlich nicht ausnutzbar sein, sondern auf Cyberkriminelle nur so wirken. Der Hacker, so die Idee hinter der Taktik, vergeudet seine Zeit damit, Exploits für nicht ausnutzbare Schwachstellen zu entwickeln.
Ganz unproblematisch ist die Idee nicht. Laut den Forschern könnten auch falsche Bugs zu echten Systemabstürzen führen. Zudem können die Forscher nicht garantieren, dass Cyberkriminelle einen Weg finden, Chaff Bugs von echten Bugs zu unterscheiden. Auch könne diese Methode nicht bei Open-Source-Lösungen angewandt werden. In ihrer Forschungsarbeit "Chaff Bugs: Deterring Attackers by Making Software Buggier" beschreiben die Sicherheitsforscher ausführlich, wie die Taktik funktionieren soll.
Was passiert, wenn man einen Ransomware-Autor erzürnt?
Die Ransomware Gandcrab hat in diesem Jahr eine Vielzahl von Systemen befallen – bis der IT-Security-Anbieter Ahnlab ihr am 19. Juli die Zähne zog. Das südkoreanische Unternehmen veröffentlichte ein Tool, das die Ransomware daran hindert, Dateien zu verschlüsseln, wie "Bleepingcomputer" berichtet. Nach einer Infektion kreiert Gandcrab eine bestimmte Datei mit der Endung .lock. So weiss sie, dass ein Rechner bereits verschlüsselt ist. Das Tool von Ahnlab kreiert just so eine Datei.
Der Autor der Gandcrab-Ransomware war über diese Entwicklung – verständlicherweise – nicht sonderlich erfreut. Der Cyberkriminelle kündigte neue Ausführungen seiner Ransomware an. Diese würden angeblich eine Zero-Day-Lücke in der Anti-Virus-Lösung von Ahnlab ausnützen. Seine Rache für das Tool sollte den Ruf der Südkoreaner über Jahre hinweg schädigen.
Anfang August war die neue Version der Ransomware bereits im Umlauf – inklusive des Ahnlab-Exploits. Das südkoreanische Unternehmen blieb jedoch unbesorgt. Der Gandcrab-Autor hatte seine Ransomware zwar mit einem Denial-of-Service-Bug erweitert, der die Anti-Virus-Lösung oder auch den ganzen Rechner zum Absturz bringen könnte. Allerdings wird dieser Angriffscode erst aktiviert, nachdem Gandcrab die Dateien auf dem Rechner verschlüsselt hat, wie Han Chang-kyu, Director von Ahnlab, gegenüber "Bleepingcomputer" erklärt. Ihr Tool stoppe Gandcrab jedoch, bevor die Ransomware überhaupt so weit komme.
Eine Ratte macht Handys zu Wanzen
Der Endpoint-Security-Anbieter Eset warnt vor einer neuen Mobile-Bedrohung. Diese heisst "HeroRAT" und nutzt das Protokoll der Messenger-App Telegram, wie das slowakische Unternehmen mitteilt.
Wie der Name schon vermuten lässt, gehört die Malware zur Gruppe der RAT-Schädlinge – Remote Access Trojans. Sie versucht, ihre Opfer mit Schein-Apps zu verführen. Diese werden in den App-Stores von Drittanbietern oder über Social Media und Messaging-Apps verbreitet.
Nach der Installation erscheint eine Fehlermeldung. Die App könne auf dem Gerät nicht ausgeführt werden und deinstalliere sich selbst wieder. Das Symbol auf der Benutzeroberfläche verschwindet. Aber der Angreifer hat nun die volle Kontrolle über das Gerät.
Die Malware verfügt über eine breite Palette von Spionage- und Datei-Filterfunktionen, wie Eset schreibt. Sie kann Textnachrichten abfangen, selbst Nachrichten verschicken, anrufen, die Geräteeinstellungen verändern sowie Audio- und Bildschirmaufnahmen machen. Über das Telegram-Protokoll sendet die Malware Daten zurück an den Angreifer. So verhindert "HeroRAT", dass sie entdeckt wird, weil sie Datenverbindungen zu bekannten von Cyberkriminellen genutzten Upload-Servern nutzt. Die Malware ist je nach Konfiguration in drei Preismodellen auf dem Schwarzmarkt erhältlich und bietet einen eigenen Video-Support.