Open-Source-Software für gezielte Angriffe „aufrüsten“

Originalartikel von Abraham Camba, Bren Matthew Ebriega, Gilbert Sison, Bedrohungsanalysten

Trojanisierte quelloffene Software lässt sich nur schwer entdecken. Sie versteckt sich hinter der Fassade legitimer, nicht bösartiger Software und ist deshalb für gezielte Angriffe besonders nützlich. Eine genauere Untersuchung kann jedoch verdächtiges Verhalten aufdecken, das ihre böswilligen Absichten entlarvt. Die Sicherheitsforscher von Trend Micro zeigten anhand der Analyse des Missbrauchs der legitimen Anwendung Notepad++, wie leicht die trojanisierte Version mit der unverdächtigen legalen verwechselt werden kann, vor allem von Mitarbeitern, deren technisches Wissen begrenzt ist.

Bei der Analyse eines Sicherheitsvorfalls fanden die Forscher eine Datei namens notepad.exe. Notepad ist eine bekannte legitime Anwendung. Malware-Autoren jedoch tarnen bösartige Dateien, indem sie den Namen von legitimer Software wie notepad.exe verwenden, um der Erkennung zu entgehen.

Bild 1. Telemetriedaten zeigen die verdächtige notepad.exe-Datei

Die notepad.exe-Datei wurde über das Windows NT Operating System Kernel Executable (ntoskrnl.exe) abgelegt, und eine Root Cause Analyse brachte zutage, dass die bösartige Datei verdächtige Aktionen über den Aufruf verschiedener Tools ausführte (Liste der Tools im Originalbeitrag). Die Verbindung zu diesen Prozessen und ihren Funktionen lässt darauf schliessen, dass die Datei ein typischer Backdoor ist, der die Befehle von einem böswilligen Remote-User erhält. In der Auflistung der Dateimerkmale von notepad.exe fiel auf, dass Notepad++ erwähnt wurde, eine quelloffene Software, die als Source-Code-Editor verwendet wurde:

Bild 2. Merkmale von Notepad.exe

Auch sind einige der Details zur Datei verdächtig. Beispielsweise werden Notepad++-Dateien üblicherweise als „notepad++.exe“ und nicht als „notepad.exe“ bezeichnet. Die Version v7.8.6, im April veröffentlicht, ist alt, denn die neueste im November veröffentlichte Version ist v7.9.1. Das Aussehen und die Funktionsweise der Benutzerschnittstelle der Datei ist gleich der einer typischen legitimen Notepad++-Datei. Doch beim Verhalten fällt auf, dass das Beispiel etwas tut, was ein nicht bösartiger Notepad++ nicht tun würde: Es sucht nach einer Datei namens config.dat, die sich im Ordner c:\windows\debug befindet. Dieses Verhalten ist bemerkenswert, da die besagte Datei in der Analyse des Codes des Beispiels auftaucht.

Die gesamte Code-Analyse können Interessierte im Originalbeitrag nachlesen.

Fazit

Bedrohungsakteure können nach offenem Quellcode weit verbreiteter Software suchen und diesen durch Hinzufügen von bösartigem Code trojanisieren, der Funktionen wie das Laden einer verschlüsselten Blob-Datei ausführen kann. Das bedeutet also, dass der größte Teil des Binärcodes in der „neuen“ Datei nicht bösartig ist. Der bösartige Code lädt einfach eine Datei oder eine Aktivität, die nicht allzu verdächtig erscheint. Außerdem haben verschlüsselte Blob-Dateien keine Dateiheader. Diese erschweren es Anti-Malware-Lösungen, die sich nur auf eine einzige Schutzebene konzentrieren, einschliesslich KI/ML-basierter, die trojanisierten Versionen zu erkennen. Um diese Art von Bedrohungen zu blockieren, wären Lösungen hilfreich, die Sichtbarkeit über mehrere Ebenen hinweg gewährleisten, da Sicherheitsteams die Lösungen nutzen können, um Daten und Verhalten innerhalb der Umgebung zu korrelieren.

Empfehlungen

Um diese Art der Bedrohungen zu vermeiden, sollten Nutzer Dateien, Anwendungen und Software (wie etwa Open Source) ausschliesslich aus vertrauenswürdigen Quellen herunterladen. Beispielsweise können Notepad++-Nutzer wichtige Dateien von der offiziellen Website herunterladen.

Unternehmen können eine Liste der genehmigten Download-Sites erstellen und an ihre Mitarbeiter verteilen. Als weitere Sicherheitsmassnahme könnte auch die Genehmigung von IT-Teams eingeholt werden, bevor Mitarbeiter Software auf Bürogeräten installieren dürfen. Für Sicherheits- und IT-Teams wird ausserdem dringend empfohlen,  heruntergeladene Binärdateien mit Prüfsummen zu validieren, da gute Open-Source-Projekte die Prüfsummen ihrer offiziell veröffentlichten Binärdateien vorhalten.

Zudem kann eine Sicherheitslösung wie Trend Micro™ XDR Daten über Endpunkte, E-Mails, Cloud-Workloads und Netzwerke hinweg sammeln und korrelieren, und damit einen besseren Kontext schaffen, sodass Untersuchungen an einem Ort durchgeführt werden können. Dies wiederum ermöglicht es den Teams, fortgeschrittene und gezielte Bedrohungen früher zu erkennen.