Besonders brenzlig wird es, wenn sich Cyberkriminelle nach erfolgreichen Attacken unbemerkt eine Hintertür auf Computern einrichten. Im privaten Bereich schieben sie dadurch oft weitere Malware wie Sniffer auf Systeme, um darüber etwa eingetippte Passwörter abzugreifen. Im geschäftlichen Umfeld nutzen Kriminelle die Hintertür in der Regel als Sprungbrett, um darüber weitere PCs zu attackieren. Desinfec’t, das Sicherheitstool der c’t-Redaktion, hilft jetzt bei der Erkennung.

Schlupfloch entdecken

Eine Hintertür lässt sich über mehrere Wege einrichten, beispielsweise über Remote-Access-Trojaner (RAT). Haben die in Desinfec’t integrierten Anti-Viren-Scanner von etwa Eset und WithSecure die Schädlinge schon in ihren Datenbanken, kann das Sicherheitstool nach einer Aktualisierung der Signaturen der Virenscanner dem Schadcode auf die Spur kommen.

Oft nisten sich Angreifer aber über Cobalt Strike Beacons dauerhaft auf Computern ein, für deren Erkennung Desinfec’t bislang nicht optimiert war. Cobalt Strike ist eigentlich ein legitimes kommerzielles Tool für Pentester und Datenforensiker, die damit Systeme auf Sicherheit abklopfen oder Spuren von Angreifern verfolgen. Es ist eine Art Schweizer Taschenmesser für Sicherheitsforscher. Doch Angreifer missbrauchen die darin enthaltenen Tools und richten sich damit nach erfolgreichen Attacken einen Fernzugriff auf kompromittierten Systemen ein.

Für Malware-Profis

Um bösartigen Cobalt Strike Beacons effektiver auf die Spur zu kommen, hat Google im November 2022 spezielle Erkennungsregeln veröffentlicht. Als Erkennungsmerkmal für den missbräuchlichen Einsatz nutzt Google eigenen Angaben zufolge unter anderem eine Versionserkennung. Denn in der Regel setzen Angreifer gecrackte Versionen von Cobalt Strike ein und diese sind in der Regel veraltet.

Die Erkennungsregeln fußen auf Yara. Dabei handelt es sich um ein quelloffenes Framework, unter anderem mit Erkennungsmustern für Trojaner. Den Open Threat Scanner (OTS) in Desinfec’t kann man mit eigenen Regeln füttern, um sich so einen auf bestimmte Szenarien optimierten AV-Scanner zu erstellen. Das hat 2019 beispielsweise die Uni Gießen im großen Stil gemacht, um so Tausende Rechner auf Ransomware-Befall zu untersuchen.

Achtung: Wie man an der CPU-Auslastung im Statusfenster sieht, kostet die Erkennung von Cobalt Strike Beacons sehr viele Ressourcen, dennoch ist sie wichtig.

Ausgebauter Funktionsumfang

Da Cobalt Strike Beacons in der aktuellen Bedrohungslandschaft vergleichsweise weiter verbreitet sind, stellen wir für Desinfec’t 2022 ab sofort das p5- und für Desinfec’t 2022/23 das p4-Update bereit. Die Updates sollten sich bei aktiver Internetverbindung automatisch installieren. Ob das geklappt hat, erkennen Sie an der Versionsbezeichnung oben rechts auf dem Desktop im Statusfenster. Klappt die Aktualisierung nicht automatisch, müssen Sie sie mit folgenden Befehlen manuell anstoßen:

sudo apt-get update sudo apt-get -y dist-upgrade

Das Update erweitert das Signatur-Update des OTS um die Google-Repositories, sodass die Erkennungsregeln bei der Aktualisierung des Scanners geladen werden. Beim Start von OTS kann dann eine Warnung erscheinen, dass damit ressourcenintensive Regeln abgearbeitet werden. Darüber hinaus erhält OTS standardmäßig Updates aus dem Repository von ReversingLabs. Deren Credo ist eine hohe Erkennungsrate und möglichst wenig Fehlalarme.

Die Schadcode-Suche über OTS richtet sich an Malware-Profis. Denn die Ergebnisse sind nur mit Erfahrung in diesem Bereich richtig zu deuten. Eins muss ebenfalls klar sein: Desinfec’t ist ein Analysetool und kann infizierte Systeme nicht reparieren. Doch gerade mit OTS und dem ebenfalls integrierten Thor Lite Scanner können Profis wertvolle Erkenntnisse über kompromittierte Systeme sammeln.

(des)