Der gefährliche Sunburst-Trojaner, vermutlich mit einer russischen Hacking-Gruppe verbunden, wurde durch einen gemeinsamen Kill-Schalter gestoppt, der von einem Team von Spezialisten von Microsoft entwickelt wurde, Los Papa, und FireEye. Dies wurde in der Sicherheitsgemeinschaft nach dem Eindringen in SolarWinds in der letzten Woche gemeldet, ein Unternehmen für Unternehmenssoftware.
Warum der Sunburst-Trojaner gestoppt werden musste
Viele Informationen wurden über den Sunburst-Trojaner verfügbar, nachdem er letzte Woche bei einem Angriffsangriff gegen SolarWinds verwendet wurde. Es wurde berichtet, dass der Sicherheitsvorfall gegen das Unternehmen über eine eigene Anwendung namens aufgerufen wurde Orion. Was wir wissen ist, dass es möglich ist, dass die bekannte russische Hacking-Gruppe angerufen hat APT29 (alternativ bekannt als “Gemütlicher Bär”) ist dahinter. Dies wird zwar nicht bestätigt, es ist eine der wahrscheinlichen Möglichkeiten.
Diese Nachricht “Pleite” aus einem Artikel bei der Washington Post, dass die russische Gruppe hinter einer Spionagekampagne steht, die sich gegen Agenturen der US-Regierung richtet. Während die Zeitung ihre Quellen nicht explizit nennt, Dies hat eine Menge Forschung in dieser Angelegenheit provoziert.
Nach den veröffentlichten Informationen, Die Kriminellen dieses Hacker-Kollektivs konnten die E-Mail-Systeme der Agenturen mithilfe eines Schadpakets infiltrieren, das eine modifizierte Version des SolarWinds Orion-Programms ist. Anscheinend benutzten die Kriminellen mit Malware infizierte Updates zu den Zielnetzwerken. Der Angriffsvektor kann das E-Mail-System sein, Es wird vermutet, dass die Agenturen ein Cloud-basiertes Servicenetz verwenden. Dies bietet die Möglichkeit, viele Geräte gleichzeitig zu infizieren.
Orion von SolarWinds ist eine komplexe Plattform, mit der Netzwerkadministratoren ihre Infrastruktur und unterstützte Softwareinstallationen verfolgen und messen können. Diese Reihe von Programmen und Lösungen wird wahrscheinlich auch von vielen Unternehmensbenutzern und großen Unternehmen verwendet, Dies zeigt die Schwere der Situation. Nach den Informationen, SolarWinds selbst alarmierte ihre Kunden, Aber nur etwa die Hälfte von ihnen hat die mit Trojanern infizierten Pakete erhalten.
Die Hauptmethode der Infiltration ist die Verteilung dieser böswillige Orion-Updates — Dies ist möglich, indem Sie einen Server des Unternehmens entführen oder eine Sicherheitsanfälligkeit in der Anwendung verwenden, um die Zustellung der mit Viren infizierten Pakete auszulösen. Der Sunburst-Trojaner ist eine ausgeklügelte Hintertür, mit der Benutzerdaten entführt und tief in die gefährdeten Computer eingebaut werden können.
Funktionen des Sunburst-Trojaners
Dank des erfassten Beispiels des Trojaners können wir eine detaillierte Beschreibung seiner Funktionen geben. Sie wurden in einer speziellen Umgebung analysiert und ermöglichen es den Sicherheitsforschern, zu überprüfen, was genau auf den kompromittierten Maschinen funktioniert. Aus den Ergebnissen der Analyse, es ist offensichtlich, dass Der Trojaner wurde möglicherweise seit März verwendet 2020.
Der Sunburst-Trojaner als typischer Vertreter dieses Malware-Kategorietyps versteckt sich tief in den Systemen. Teilweise aufgrund seiner Verteilung kann es so programmiert werden, dass es eine Vielzahl gefährlicher Aktionen ausführt, einschließlich Systemrekonfiguration. Es enthält einen Mechanismus, der dafür ausgelegt ist Sicherheitserkennung umgehen indem man sich mit einer großen Verzögerung selbst startet. Dies überwindet die typischen Filter, die von Antivirenprogrammen verwendet werden, die davon ausgehen, dass Virusinfektionen unmittelbar nach der Bereitstellung der entsprechenden Bedrohung auf einem bestimmten System auftreten. Einige der bekannten Funktionen der Trojaner-Dateien sind die folgenden:
- Daten Ernte — Verschiedene Arten von Informationen können von der Malware automatisch erfasst werden, je nachdem wie sie programmiert sind. Dies kann persönliche Benutzerinformationen umfassen, die für verschiedene Arten von kriminellen Zwecken verwendet werden können: Erpressung, Erpressung, und Identitätsdiebstahl. Dies kann auf Systeminformationen erweitert werden, Eine Vielzahl von Daten kann extrahiert werden: von einzelnen Betriebssystemumgebungswerten bis zu den verwendeten Hardwaregeräten. Ein spezieller Algorithmus kann verwendet werden, um eine eindeutige Kennung basierend auf den gesammelten Informationen zu erstellen.
- Windows Registry Changes — Wenn Registrierungswerte geändert werden, können bei den Benutzern Leistungsprobleme auftreten, die Unfähigkeit, bestimmte Dienste auszuführen, und sogar Datenverlust.
- Dateien Entfernen — Durch die Ausführung des Trojaners können wichtige Dateien wie Sicherungen und Kopien von Schattenvolumes gelöscht werden. Wenn die Betriebssystemdateien manipuliert werden, kann dies zu weiteren Problemen beim Wiederherstellungsversuch führen.
- Zusätzliche Malware Lieferung — Da sich dieser Virus mithilfe einer ausgeklügelten Methode selbst installiert, können die Hacker andere Bedrohungen darin bündeln, einschließlich Ransomware.
Der Sunburst-Trojaner hat viele erweiterte Mechanismen festgestellt, die alle Teil des typischen erweiterten Verhaltensmusters sind — Es kann die Engines der installierten Sicherheitssoftware verfolgen und deaktivieren, Netzwerkverkehr manipulieren, und ETC. Angesichts der Umstände seines Einsatzes, die kompromittierten Ziele, und das hohe Maß an Raffinesse, Wir können daraus schließen, dass die Hacking-Gruppe es wahrscheinlich für verwendet detaillierte Überwachung.
Sunburst-Trojaner gestoppt von Kill Switch, entwickelt vom gemeinsamen Team von GoDaddy, Microsoft und FireEye
Nach der Entdeckung der Malware und angesichts der Schwere der Situation hat ein gemeinsames Expertenteam einen Kill-Schalter entwickelt, um die weitere Verbreitung der Malware zu verhindern. Experten von Microsoft, Los Papa, und FireEye hat festgestellt, dass eine einzelne von Hackern kontrollierte Domäne den Hauptbefehls- und Kontrolldienst ausführt. Der Trojaner maskiert den Netzwerkverkehr und analysiert Netzwerkströme. Es können aktive Verbindungen hergestellt werden. Die böswilligen Befehle werden in einem speziellen Format gesendet, Sie werden als bezeichnet “Arbeitsplätze”. Alle Arten von Optionen werden unterstützt, einschließlich Dateiübertragung, Systemdienste deaktivieren, Informationen sammeln, und so weiter.
Dieser Trojaner verbreitet auch einen Teil seines Datenverkehrs durch virtuelle private Netzwerke in einem Versuch, seine Präsenz in den gefährdeten Netzwerken zu verbergen. Der von drei Unternehmen geschaffene Kill-Schalter hat es ermöglicht, die kriminellen Aktivitäten des aktuellen Angriffs zu erkennen und zu beenden.
Der Kill-Schalter deaktiviert neue Infektionen und blockiert auch die Ausführung früherer, indem die Aktivität für die Domäne gestoppt wird. Jedoch, Dadurch werden keine Active Agent-Installationen oder andere Malware entfernt, die über sie bereitgestellt wurden. Aus diesem Grund, Für alle Computer und Unternehmensnetzwerke wird ein aktiver Deep-Virus-Scan empfohlen.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: