Slingshot: Kaspersky entdeckt neue Windows-Malware

Sie infiziert Systeme unter anderem über kompromittierte Router. Auf einem Windows-Rechner erlangt Slingshot Kernel-Rechte und damit uneingeschränkten Zugriff auf Dateisystem und Arbeitsspeicher. Möglicherweise ist Slingshot schon seit 2012 aktiv.

Forscher haben auf der Sicherheitskonferenz Kaspersky Security Analyst Summit (SAS) eine ihrer Einschätzung nach hochentwickelte Cyberspionage-Kampagne namens Slingshot vorgestellt. Als Besonderheit stellten sie den Angriffsvektor hervor: kompromittierte Router des Herstellers Mikrotik. Allerdings ist bei den meisten Systemen, die mit der Slingshot-Malware infiziert wurden, nicht bekannt, wie die eigentliche Infektion erfolgte.

Im Fall der Mikrotik-Router ist es den Hintermännern gelungen, in ein Paket mit legitimen Dateibibliotheken (DLL) eine schädliche DLL einzuschleusen, die wiederum als Downloader für schädliche Dateien dient, die anschließend im Router gespeichert werden. Über eine Winbox Loader genannte Management-Software für Mikrotik-Router gelangt schließlich der Loader namens Slingshot auf den Windows-Rechner des Router-Administrators.

Slingshot APT (Bild: Kaspersky)Dort ersetzt er die legitime Windows-Bibliothek „scesrv.dll“ durch eine speziell präparierte Variante mit derselben Dateigröße. Sie interagiert mit weiteren Malware-Modulen, darunter ein Kernelmodus-Netzwerksniffer, ein Datei-Packer und ein virtuelles Dateisystem.

Ein Modul namens Gollum-App enthält der Analyse zufolge mehr als 1500 Funktionen, die vor allem der Tarnung der Schadsoftware dienen, die Kontrolle des Dateisystems ermöglichen und für die Kommunikation mit einem Befehlsserver zuständig sind. Das Modul Canhadr wiederum bringt Low-Level-Routinen für das Netzwerk und Ein-Ausgabe-Operationen. Es ist in der Lage, Schadcode im Kernelmodus auszuführen, ohne einen Absturz des Dateisystems oder einen Blue Screen auszulösen, was die Forscher als „bemerkenswerte Leistung“ einstufen. Canhadr gibt vollständigen Zugriff auf die Festplatte und den Arbeitsspeicher, ohne von Sicherheitsfunktionen erkannt zu werden oder ein Debugging auszulösen.

„Hauptaufgabe von Slingshot scheint die Cyberspionage zu sein“, heißt es in einer FAQ zu Slingshot. Die Malware erstellt demnach Screenshots, sammelt Tastaturdaten, Netzwerkdaten, Passwörter, überwacht USB-Verbindungen, die Zwischenablage und den Desktop. Dank Kernelrechten könne Slingshot beliebige Daten stehlen wie Kreditkartendaten, Passwort-Hashes und Sozialversicherungsnummern.

Zero-Day-Lücken wurden bisher laut Kaspersky im Zusammenhang mit Slingshot nicht entdeckt. „Aber das bedeutet nicht, dass sie nicht existieren – dieser Teil der Geschichte fehlt uns noch“, so Kaspersky weiter. „Aber es nutzt bekannte Anfälligkeiten in Treibern aus, um ausführbaren Code an den Kernelmodus zu übergeben.“

Die Kaspersky-Forscher gehen davon aus, dass Slingshot bereits seit 2012 aktiv ist – und immer noch von den unbekannten Hintermännern verbreitet wird. Mikrotik-Router lassen sich ihnen zufolge allerdings nicht mehr für die Slingshot-Kampagne missbrauchen. Sie schließen allerdings nicht aus, dass sich der Angriff auch über Router anderer Hersteller ausführen lässt.

Die Verbreitung von Slingshot ist bisher als sehr gering einzustufen. Zwischen 2012 und 2018 soll die Malware gerade mal rund 100 Opfer gefunden haben, vor allem in Kenia, dem Jemen, Afghanistan, Lybien, Kongo, Jordanien, der Türkei, dem Irak, Sudan, Somalia und Tansania. In den meisten Fällen handele es sich um Einzelpersonen und nicht um Organisationen.

Zu den Hintermännern gibt es bisher offenbar nur vage Vermutungen. So soll der Schadcode darauf hinweisen, dass die Täter Englisch sprechen. Da die analysierten Muster der Schadsoftware die Versionsnummer 6.x tragen, gehen die Forscher zudem davon aus, dass Slingshot schon länger aktiv ist. Aufgrund der Komplexität soll zudem eine Organisation dahinter stecken, die über erhebliche Ressourcen verfügt – möglicherweise ein Nationalstaat. „Wie immer ist eine genaue Zuordnung schwer wenn nicht sogar unmöglich, und zunehmend anfällig für Manipulationen und Fehler“, ergänzte Kaspersky.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Themenseiten: Cybercrime, Kaspersky, Malware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Slingshot: Kaspersky entdeckt neue Windows-Malware

Kommentar hinzufügen
  • Am 12. März 2018 um 10:58 von Andreas

    Wenn dieser Schad-Code seit 8 Jahren unentdeckt in freier Wildbahn existiert, möchte ich nicht wissen wieviel noch unter dieser Eisberg-Spitze lauert oder auch fleißig ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *