Cybercrime: Desinfec't-Update spürt Hintertüren auf

Cybercrime-Banden setzen Cobalt Strike Beacons gerne als Hintertür zu infizierten Systemen ein. Desinfec't kann die jetzt ganz gezielt aufspüren.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 3 Beiträge
Desinfec't-Logo

(Bild: Andreas Martini)

Mit einem ab sofort verfügbaren Update erkennt der in Desinfec't eingebaute Open Threat Scanner (OTS) die bei Cyber-Kriminellen überaus beliebten Cobalt Strike Beacons. Die Erkennung erfolgt durch spezielle Yara-Regeln die Google öffentlich bereit stellt. Nach einem jetzt bereitgestellten Update lädt und aktualisiert Desinfec't diese automatisch.

Cobalt Strike ist ein professionelles Framework zur Simulation möglichst realistischer Angriffe. Das besondere daran ist, dass es eine sehr einfach zu benutzende grafische Bedienoberfläche bietet, mit der sich auch komplexe Angriffe mit wenigen Klicks durchführen lassen. Es ist so gut, dass kriminelle Banden gecrackte Versionen für ihre Ransomware-Raubzüge nutzen. In fast allen analysierten Fällen stoßen die Ermittler früher oder später auf Cobalt Strike Beacons, die als Remote Access Trojaner dauerhaften und umfassenden Zugang zu infizierten Systemen gewährten.

Cobalt Strike aus der Sicht eines Angreifers: Die grafische Oberfläche macht auch komplexe Angriffe zum simplen Click&Shoot.

(Bild: Fortra)

Um dem endlich einen Riegel vorzuschieben, hat Googles Security-Team jetzt spezielle Yara-Regeln erstellt, mit denen sich diese Cobalt Strike Beacons erkennen lassen. Yara ist ein Open-Source-Tool, mit dem man sehr effizient auf bestimmte Merkmale hin untersuchen kann und hat sich als Defacto-Standard für selbstgemachte Viren-Signaturen etabliert. Deshalb haben wir es auch in Desinfec't eingebaut.

Desinfec't ist ein von c't gepflegtes Live-System zur Suche nach Schad-Software. Es kann zwar eine Installation von Schadprogrammen nicht verhindern, leistet aber wertvolle Dienste, wenn man einem Verdacht auf mögliche Infektion auf den Grund gehen will. So hat etwa die Uni Gießen nach ihrem Ransomware-Vorfall Desinfec't eingesetzt, um tausende Rechner zu untersuchen. Das erforderte damals noch eine speziell angepasste Version, mittlerweile sind die notwendigen Tools bereits an Bord und Desinfec't bezieht aus verschiedenen Quellen regelmäßig aktualisierte Signaturen für die Suche nach Ransomware und anderen von Cyber-Kriminellen eingesetzten Werkzeugen.

Das jetzt verfügbare Update auf Desinfec't 2022p5 und 22/23p4 wird beim nächsten Start des Systems automatisch installiert. Es erweitert das Signatur-Update des Open Threat Scanners um die Google-Repositories. Das wird also auch zukünftige Updates der Regeln automatisch nachladen und enthält auch die von Google bereitgestellten Regeln für das Open-Source-Pendant Sliver. Beim Start von OTS kann dann eine Warnung erscheinen, dass damit Ressourcen-intensive Regeln abgearbeitet werden.

(ju)