Cyberspionage-Angreifer haben ihre PowerShell-Hintertür zugunsten der Windows-BITS-Benachrichtigungsfunktion verlassen.
Die berüchtigte Cyberspionage-Gruppe Stealth Falcon hat eine neue Hintertür eingeführt, die den Windows Background Intelligent Transfer Service (BITS) bei ihren laufenden Spyware-Angriffen gegen Journalisten, Aktivisten und Dissidenten im Nahen Osten verwendet.
Laut Forschern von ESET nutzen die Angreifer die BITS-"Benachrichtigungsfunktion" von Windows aus. Die Funktion ermöglicht es Angreifern, eine wiederkehrende Aufgabe zum Herunterladen und Installieren von Malware zu erstellen, selbst nachdem die ursprüngliche Malware extrahiert wurde.
Stealth Falcon wurde erstmals 2012 als eine Cyber-Spionagegruppe identifiziert, die sich gegen politische Aktivisten und Journalisten im Nahen Osten richtet (und im Januar sagte Amnesty International, dass sie glaubt, dass Stealth Falcon und eine ähnliche Cyber-Spionagegruppe namens Project Raven tatsächlich die gleichen sind). Im Jahr 2016 skizzierte Citizen Lab einige der Taktiken und Techniken der Gruppe und hob die Verwendung von Stealth Falcon mit einer Sprengfalle im Microsoft Word-Dokument hervor. Wenn das Dokument geöffnet wurde, lieferte es eine bösartige Nutzlast.
"Das Makro übergibt einen Base64-kodierten Befehl an Windows PowerShell, das Systeminformationen über die Windows Management Instrumentation (WMI) sammelt und versucht, die installierte Version von .NET durch Abfragen der Registrierung zu ermitteln", so Citizen Lab.
Ein neuer Blick auf Stealth Falcon von ESET zeigt, dass sich die Gruppe erneut weiterentwickelt hat und nun eine neue Hintertür verwendet, die als Win32/StealthFalcon identifiziert wurde und die die Standard-Windows-Komponente BITS nutzt.
"BITS wurde entwickelt, um große Datenmengen zu übertragen, ohne viel Netzwerkbandbreite zu verbrauchen, was durch das Senden der Daten mit gedrosseltem Durchsatz erreicht wird, um den Bandbreitenbedarf anderer Anwendungen nicht zu beeinträchtigen", beschreibt ESET. BITS wird von Windows Update und Software von Drittanbietern für Anwendungsaktualisierungen verwendet.
"Dies bedeutet, dass BITS-Aufgaben eher von hostbasierten Firewalls zugelassen werden", so die beiden Autoren.
Die Forscher merken an, dass BITS Vorteile gegenüber ähnlichen Tools hat, die von Gegnern verwendet werden. Zunächst einmal verwendet es die COM-Schnittstelle eines Systems für die Kommunikation mit einem Command-and-Control-Server (C2), wodurch es für Endpunkt-Sicherheitssoftware schwieriger wird, die Kommunikation als bösartig zu identifizieren. Zweitens kann die BITS-Kommunikation eine Reihe von Unterbrechungen überstehen, wie z.B. einen Netzwerkausfall, die Abmeldung des Benutzers von einem System oder einen Neustart des Computers.
"Da BITS die Geschwindigkeit, mit der Dateien übertragen werden, auf der Grundlage der verfügbaren Bandbreite anpasst, hat der Benutzer keinen Grund für einen Verdacht", schrieben die Forscher.
Win32/StealthFalcon arbeitet so, dass es sich selbst als eine Aufgabe einplant, die bei jeder Benutzeranmeldung ausgeführt wird. Es ist in der Lage, grundlegende Befehle wie Datensammlung und Exfiltration sowie das Schreiben heruntergeladener Daten in lokale Dateien zu verarbeiten.
Eine andere, nicht so gut verstandene Ausweichtechnik, die mit Win32/StealthFalcon verbunden ist, ist eine merkwürdige Funktion, die laut ESET ausgeführt wird, bevor eine bösartige Nutzlast gestartet wird.
"Sie verweist auf über 300 Importe, verwendet diese aber überhaupt nicht. Stattdessen kehrt sie immer zurück und fährt danach mit der Nutzlast fort, ohne Bedingungsprüfungen, die darauf hindeuten würden, dass es sich um einen Anti-Emulationstrick handelt", schrieben Forscher.
Der BITS-Dienst wird schon seit langem von Angreifern missbraucht, und zwar seit 2007. Und auch heute noch ist BITS für Hacker attraktiv, weil die Windows-Komponente die Möglichkeit bietet, Dateien mit einer Anwendung abzurufen oder hochzuladen, die von den Firewalls des Hosts als vertrauenswürdig eingestuft wird.
BITS ist nicht die einzige Funktion der Stealth-Falcon-Gruppe. Im vergangenen Jahr berichteten Kaspersky-Forscher, dass die Gruppe FruityArmor APT - eine im Nahen Osten ansässige Cyberspionage-Gang - es als Hintertür zur Kommunikation mit C2-Servern verwendet hat.
Im Jahr 2016 berichtete Dell SecureWorks, dass die BITS-Funktion von einem Angreifer missbraucht wurde, der sie benutzte, um Ziele mit der DNSChanger-Malware namens Zlob.Q zu infizieren. In diesem Fall bemerkten die Ermittler BITS-Aktivität, aber da zunächst keine Malware entdeckt wurde, gab es keine roten Fahnen. Die Forscher sagten, dass die Angreifer schließlich den Deckmantel der BITS-Legitimität nutzten, um schließlich Malware herunterzuladen und den Host zu infizieren.
Die in der Vergangenheit vorgeschlagenen Maßnahmen zur Eindämmung von BITS beginnen mit dem Bewusstsein, so die Forscher. Eine Reihe von Sicherheitsfirmen bieten eine Möglichkeit an, nach bösartigen BITS-"Benachrichtigungs"-Aufgaben zu suchen, um das Problem zu beseitigen. Außerdem wird empfohlen, dass die betroffenen Parteien den Zugang zu verdächtigen Bereichen einschränken.
