2300852

CCleaner-Attacke: Angreifer nutzten zu kleine Festplatte

22.09.2017 | 12:32 Uhr |

Es gibt weitere Infos zur CCleaner-Attacke. So wurde geklärt, weshalb nur wenig Daten gesammelt wurden. Der Krimi geht weiter.

Die Sicherheitsexperten von Avast haben am Freitag weitere Informationen zur CCleaner-Attacke verkündet, wobei dieses Mal vor allem auf technische Aspekte in dem Blog-Eintrag eingegangen wird. So wurde beispielsweise geklärt, warum die Angreifer über ihren Command-and-Control-Server nur vergleichsweise wenig Daten abgreifen konnten, obwohl dieser am 31. Juli installiert worden war und über einen Monat lief. Ursprünglich war man davon ausgegangen, dass die Angreifer eventuell die Entdeckungsgefahr im Nacken gespürt und Daten gelöscht hatten. Die genauere Analyse der Log-Dateien lieferte nun eine andere Erklärung:

Die Daten landeten in einer MariaDB-Datenbank, der schlicht und ergreifend am 12. September der Festplattenspeicherplatz ausging. Sie produzierte Fehlermeldungen und ein eilig herbeigeeilter User loggte sich ein und begann Log-Dateien zu löschen, um das Problem zu lösen. Allerdings war die MariaDB-Datenbank zu diesem Zeitpunkt bereits kaputt und musste dann von dem Angreifer zwei Tage später neu installiert werden, nachdem andere Rettungsversuche scheiterten. Dabei gingen alle Daten verloren. Für die Ermittler ist das äußerst ärgerlich, denn mehr Daten hätten ihnen dabei geholfen, nicht nur die Angreifer zu ermitteln, sondern auch die Attacke selbst klarer zu analysieren. Damit sei es sehr unglücklich, so Avast, dass die Angreifer nur eine Low-End-Maschine mit limitiertem Festplattenspeicherplatz verwendet haben.

Eine Spur führt nach China

Wie wir bereits berichtet haben, konnten bisher unbekannte Angreifer eine Malware in der über die offizielle Website ausgelieferten 32-Bit-Version von CCleaner 5.33.6162 implantieren, die dann zwischen dem 15. August und 15. September 2017 an etwa 2,27 Millionen Nutzer ausgeliefert worden war. Die Malware verwendete einen "Command and Control"-Server (CnC-Server), der schnell abgeschaltet werden konnte. Am Donnerstag waren neue Informationen zur Attacke bekannt geworden und es ist dabei klar geworden, dass alles noch viel schlimmer hätte kommen können, denn die Angreifer gelten als äußerst raffiniert und hatten große Unternehmen im Visier.

Offen bleibt weiterhin, wer hinter der Attacke genau steckt. Klar ist nur, dass die Angreifer äußerst geschickt und fähig sein sollen. Vom "zu kleine Festplatte"-Fauxpas mal abgesehen. Ein rumänischer Sicherheitsexperte hatte kürzlich per Tweet erklärt, der Code der Malware der CCleaner-Attacke weise Ähnlichkeiten zu einer anderen Malware aus, für die die chinesische Hackergruppe APT17 verantwortlich war. Diese Ähnlichkeiten im Code bestätigt nun auch Avast nach der weiteren Analyse des Malware-Codes. Zusätzlich wurde auch analysiert, woher die Verbindungen zum Command-and-Control-Server erfolgten. Hier führt die Spur nach Japan. Das bedeutet nicht, dass die Angreifer aus Japan stammen, sondern vielmehr, dass sie sich mit asiatischen Netzwerken auskennen, so Avast.

Mehr Unternehmen betroffen und Kill-Switch entdeckt

Bereits gestern hatten wir berichtet, dass nicht Nutzer im Visier der Attacke standen, sondern 18 große Unternehmen, darunter auch in Deutschland. Ein chinesisches Unternehmen befindet sich aber nicht unter den Zielen. Dafür hat sich aber die Anzahl der betroffenen Unternehmen laut Avast nun auf 20 erhöht. In dem Code konnten vier weitere Domains entdeckt werden, die zwei Unternehmen aus Südkorea gehören. Welche genau, will Avast nicht verraten. Allerdings: Im Code waren die betreffenden Domains auskommentiert, was bedeuten könnte, dass sich die Angriffsziele über die Zeit des Angriffs hinweg verändert haben.

Bei der Untersuchung wurde auch ein Kill Switch im Code entdeckt. Also ein Schalter, durch den sich die Attacke aus der Ferne abschalten lässt. Bei der Wannacry-Attacke vor einigen Monaten konnte die Entdeckung und Betätigung dieses Schalters Schlimmeres verhindern. Bei der CCleaner-Backdoor ist der Kill Switch aber wirkungslos, sobald der angegriffene Rechner mit dem Command-and-Control-Server zum ersten Mal in Verbindung getreten und den zweiten Payload empfangen hat.

Apropos Payload: Neben einem zweiten Payload war laut den jüngsten Erkenntnissen auch eine dritte Stufe der Attacke geplant. Interessant dabei ist, dass die Angreifer gleich drei ausgeklügelte Methoden in den Code implementiert hatten, um die IP-Adresse des CnC-Servers zu ermitteln. Per Zufallsverfahren sollte eine der drei Methoden dann auf dem Rechner zum Einsatz kommen. Noch interessanter ist allerdings, dass alle drei Methoden derzeit nur IP-Adressen ausspucken, die - zumindest aktuell - nicht existieren. Die angegriffenen Rechner sollten darauf lauern, dass die IP-Adressen kontaktierbar sind, um dann Informationen über den Rechner an den CnC-Server zu senden und von diesem dann neuen, schädlichen Code zu empfangen.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2300852