{"id":16078,"date":"2018-03-13T15:56:51","date_gmt":"2018-03-13T13:56:51","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=16078"},"modified":"2018-09-18T14:50:21","modified_gmt":"2018-09-18T12:50:21","slug":"web-sas-2018-apt-announcement","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/web-sas-2018-apt-announcement\/16078\/","title":{"rendered":"Slingshot: der Spion, der aus dem Router kam"},"content":{"rendered":"

Eine der interessantesten Enth\u00fcllungen unserer Forscher beim Kaspersky Security Analyst Summit<\/a> (SAS) in diesem Jahr war ein Bericht \u00fcber eine hochentwickelte Cyberspionage-Kampagne namens Slingshot. Bislang richteten sich die Attacken \u00fcberwiegend gegen Privatpersonen, nicht aber gegen Organisationen.<\/p>\n

Angriffsvektor<\/h2>\n

Die bemerkenswerte Eigenschaft von Slingshot ist sein ungew\u00f6hnlicher Angriffsweg. Unseren Erkenntnissen zufolge, ging die Infektion in mehreren F\u00e4llen von infizierten MikroTik-Routern aus. Die hinter Slingshot stehende Gruppe hatte die Router offensichtlich mit einer sch\u00e4dlichen Dynamic Link Library (DLL) kompromittiert, die zum Download anderer sch\u00e4dlicher Komponenten diente. Loggt sich ein Administrator zur Konfiguration des Routers ein, l\u00e4dt dessen Management-Software sch\u00e4dliche Module auf den Administratorrechner und bringt sie dort zur Ausf\u00fchrung.<\/p>\n

\"What<\/p>\n

An dieser Stelle m\u00f6chten wir hinzuf\u00fcgen, dass wir dem Entwickler das Problem bereits gemeldet haben; MikroTik hat sich bereits mit diesem Problem befasst. Unsere Experten sind jedoch der Meinung, dass es sich bei MikroTik nicht um die einzige Marke handelt, die von den Slingshot-Akteuren genutzt wird \u2013 es kann m\u00f6glicherweise auch andere kompromittierte Ger\u00e4te geben.<\/p>\n

Ein weiterer interessanter Aspekt der Cyberspionage-Malware Slingshot: Sie ist in der Lage im Kernel-Modus zu laufen. In aktualisierten Betriebssystemen war das wegen fehlender Sicherheitsl\u00fccken fast unm\u00f6glich; deshalb lud die Malware zun\u00e4chst als anf\u00e4llig signierte Treiber herunter und f\u00fchrte dann ihren eigenen Code aus.<\/p>\n

B\u00f6sartige Module<\/h2>\n

Nach der Infektion l\u00e4dt Slingshot mehrere Module auf die Ger\u00e4te seiner Opfer. Dazu geh\u00f6ren auch \u201eCahnadr\u201c und \u201eGollumApp\u201c.<\/p>\n

Ausgef\u00fchrt im Kernel-Modus, gibt Cahnadr den Angreifern die vollst\u00e4ndige Kontrolle \u00fcber den infizierten Computer. Dar\u00fcber hinaus \u2013 und im Gegensatz zu anderer Malware, die versucht im Kernel-Modus zu arbeiten \u2013 kann Slingshot Code ausf\u00fchren ohne einen Absturz des Dateisystems oder einen Blue Screen zu provozieren. GollumApp hingegen ist noch raffinierter und enth\u00e4lt rund 1500 User-Code-Funktionen.<\/p>\n

Dank dieser Module kann Slingshot Screenshots, Tastatureingaben, Netzwerkdaten, Passw\u00f6rter, andere Desktop-Aktivit\u00e4ten, Dateien in der Zwischenablage und vieles mehr sammeln. Und all das, ohne die Zero-Day-Schwachstellen auszunutzen. Zumindest haben unsere Experten bislang noch keine Beweise gefunden, die darauf hindeuten, dass diese von Slingshot ausgenutzt werden.<\/p>\n

So versucht Slingshot unentdeckt zu bleiben<\/h3>\n

Was Slingshot so unglaublich gef\u00e4hrlich macht, sind die zahlreichen Techniken, die die Akteure nutzen, um sich einer Erkennung zu widersetzen. Alle Zeichenketten in den Modulen sind verschl\u00fcsselt und die Systemdienste warden direct aufgerufen, um Sicherheitsl\u00f6sungen keine Anhaltspunkte zu bieten. Dar\u00fcber hinaus verwendet Slingshot sein eigenes verschl\u00fcsseltes Dateisystem in einem ungenutzten Teil der Festplatte. Weitere Informationen zu Slingshot finden Sie auf Securelist<\/a>.<\/p>\n

Das k\u00f6nnen Sie tun<\/h2>\n

Nutzer von Mikrotik-Routern und WinBox sollten so schnell wie m\u00f6glich das Upgrade auf die aktuelle Software-Version durchf\u00fchren und sicherstellen, dass der Router auf die neuste Version seines Betriebssystems aktualisiert wurde. Updates sch\u00fctzen Sie allerdings nur vor dem Angriffsvektor, nicht der APT selbst.<\/p>\n

Unternehmen sollten eine geeignete Sicherheitsl\u00f6sung in Kombination mit Technologien zur Abwehr zielgerichteter Angriffe und Threat Intelligence einsetzen, wie sie etwa die L\u00f6sung Kaspersky Threat Management and Defense bietet.<\/p>\n

Kaspersky Anti Targeted Attack<\/em> nutzt bew\u00e4hrte Technologien, um Anomalien im Netzwerkverkehr zu finden, verd\u00e4chtige Prozesse zu isolieren und nach Zusammenh\u00e4ngen zwischen Ereignissen zu suchen. Kaspersky Endpoint Detection and Response<\/em> dient der Zusammenfassung und Visualisierung der gesammelten Daten, was bei der Untersuchung von Vorf\u00e4llen von entscheidender Bedeutung ist. Dank unserer professionellen Services erhalten Sie das ganze Jahr \u00fcber durchg\u00e4ngigen Support, k\u00f6nnen Schulungen f\u00fcr die Mitarbeiter Ihrer \u00dcberwachungszentrale anfordern oder die Awareness Ihrer Unternehmensmitarbeiter steigern. Mehr Details zu unserer L\u00f6sung finden Sie hier<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Unsere Experten analysieren eine der ausgefeiltesten APT-Kampagnen, die wir je gesehen haben.<\/p>\n","protected":false},"author":700,"featured_media":16079,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3108],"tags":[2780,2927,522,380,1332,1344,2926,2921],"class_list":{"0":"post-16078","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-thesas2018","10":"tag-2927","11":"tag-apt","12":"tag-router","13":"tag-sas","14":"tag-security-analyst-summit","15":"tag-slingshot","16":"tag-the-sas-2018"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/web-sas-2018-apt-announcement\/16078\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/web-sas-2018-apt-announcement\/10558\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/web-sas-2018-apt-announcement\/14870\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/web-sas-2018-apt-announcement\/13188\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/web-sas-2018-apt-announcement\/12615\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/web-sas-2018-apt-announcement\/15499\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/web-sas-2018-apt-announcement\/21507\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/web-sas-2018-apt-announcement\/10092\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/web-sas-2018-apt-announcement\/19784\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/web-sas-2018-apt-announcement\/19810\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/thesas2018\/","name":"#TheSAS2018"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/16078","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=16078"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/16078\/revisions"}],"predecessor-version":[{"id":16082,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/16078\/revisions\/16082"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/16079"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=16078"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=16078"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=16078"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}