Die Windows Sicherheitslücke EternalBlue macht weiter von sich Reden. Obwohl durch die Maßnahmen von Microsoft und auch einer mängelbehafteten Codierung der Ransomware das Schlimmste – eine rasche und weite Ausbreitung von WannaCry – verhindert werden konnte, ist das Kapitel EternalBlue offensichtlich noch lange nicht abgeschlossen. Es bleibt offensichtlich weiter nervenzehrend.

Sicherheitsforscher von FireEye haben kürzlich herausgefunden, dass der Windows-Fehler nun ausgenutzt wird, um andere Schadsoftware effektiver und noch verdeckter auszuliefern. Trojaner wie Backdoor.Nitol und Gh0st RAT werden damit seit Kurzem insbesondere in Singapur und Südasien erfolgreich verbreitet. Die Schwachstelle nutzt eine bestimmte Version des Windows SMB-Netzwerkprotokolls aus und verteilt darüber eine Hintertür, über die sich die Trojaner so einschleusen lassen. Insbesondere die Gh0st RAT Malware ist sehr gefährlich, da sie infizierte Windows-Geräte nicht nur ausspionieren, sondern auch komplett übernehmen kann. Davor zittert insbesondere die Luft- und Raumfahrtindustrie, aber auch Regierungsbehörden schon seit ein paar Jahren – durch die Mitwirkung von EternalBlue wird die Gefahrenlage nun noch einmal größer. Auch Backdoor.Nitol treibt seit Längerem ihr Unwesen. Dieser Trojaner nutzt eine Remotecode-Schwachstelle auf älteren Versionen des Internet Explorers mittels Verwendung eines ADODB.Stream ActiveX Objekts aus.

Im Prinzip liefert EternalBlue jetzt nicht mehr die Ransomware ab, sondern erst einmal ein Werkzeug, mit dem Befehle in eine VBScript-Datei geschrieben werden, die dann ausgeführt wird, um weitere bösartige Pakete auf einem anderen Server abzuholen. Damit nimmt alles Weitere seinen Lauf – die für die Einschleusung benötigte Hintertüre wird mithilfe einer der beiden Trojaner geschaffen. Die FireEye Experten schätzen die Bedrohungslage als ziemlich brisant ein, und befürchten, dass EternalBlue noch zur Überbringung weiterer bösartiger Pakete verwendet werden wird.

Ein paar Details zu der VBScript-Datei: Die Befehle werden in eine neue 1.vbs Datei reflektiert um später ausgeführt zu werden. Sie holen dann taskmgr.exe von dem anderen Server ab und erstellen damit das ActiveX Objekt ADODB.Stream. Das erlaubt das Lesen der Serverdatei und das Schreiben der Ergebnisse der Binärendaten in einem Stream, die abgespeichert und zur Überschreibung andere gleichnamiger binärer Daten verwendet werden. Über eine Befehlszeilenversion wird dann die VBS-Datei gelöscht und wenn die ausführbare Datei abgerufen und gespeichert wird, wird die Hintertür vom Speicherort aus aktiviert.

Sicherheitsexperten raten allen Anwendern ihre Systeme unbedingt zu schützen, da sie mit weiteren Nutzungsszenarien für EternalBlue rechnen. Entweder mittels Patch-Updates oder, wo nicht möglich, durch das Sperren von Netzwerk-Ports, dem Abschalten von unnötigen Diensten und der aufmerksamen Überwachung aller verdächtigen Aktivitäten. Dazu gehört vor allem auch die grundlegende Identifikation aller möglicherweise vorhandenen anfälligen Systeme.

Weitereführende Links:

http://www.zdnet.com/article/leaked-nsa-hacking-exploit-used-in-wannacry-ransomware-is-now-powering-trojan-malware/

https://www.scmagazine.com/eternalblue-used-in-wannacry-now-with-nitol-backdoor-and-gh0st-rat/article/666426/

https://threatpost.com/eternalblue-exploit-spreading-gh0st-rat-nitol/126052/

https://www.fireeye.com/blog/threat-research/2017/05/threat-actors-leverage-eternalblue-exploit-to-deliver-non-wannacry-payloads.html

Neue Einsatzmöglichkeiten für EternalBlue

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.