[English]Sicherheitsforscher von Fortinet sind auf eine Malware-Kampagne gestoßen, die sie der chinesischen APT-Gruppe Deep Panda zuordnen. Die Malware verwendet die Log4Shell-Schwachstelle in VMware Horizon-Servern auszunutzen. Auf den infizierten Rechnern wird eine eine Backdoor und ein neuartiges Rootkit installiert. Hier einige Hinweise auf die Details dieser Bedrohung.
Ich bin über nachfolgenden Tweet auf den Sachverhalt aufmerksam geworden, den Fortinet im Artikel New Milestones for Deep Panda: Log4Shell and Digitally Signed Fire Chili Rootkits beschreibt.
Die Kampagne von Deep Panda, einer chinesischen APT-Gruppe, wurde bereits im vergangenen Monat von FortiEDR entdeckt. Die Gruppe nutzte die Log4Shell-Schwachstelle in VMware Horizon-Servern aus. Die Opfer stammen aus der Finanz-, Hochschul-, Kosmetik- und Reisebranche. Die Infektionen verteilen sich dabei auf verschiedene Länder.
Über Log4Shell zur Backdoor
Nach der Infektion des VMware Horizon-Servers über die Log4Shell-Schwachstelle setzte Deep Panda eine Backdoor auf den infizierten Computern ein. Die forensischen Spuren der Backdoor führten zur Entdeckung eines neuartigen Kernel-Rootkits. Dieses ist mit einem gestohlenen digitalen Zertifikat signiert. Die Sicherheitsforscher fanden heraus, dass dasselbe Zertifikat auch von einer anderen chinesischen APT-Gruppe namens Winnti verwendet wurde, um einige ihrer Tools zu signieren.
Die Kampagne führt die Angriffe über einen neuen PowerShell-Prozess aus. Ein verschlüsselter PowerShell-Befehl lädt ein anderes PowerShell-Skript von einem Remoteserver herunter und führt es aus. Dann wird versucht, eine Kette von Skripten herunterzuladen und auszuführen. Das Ganze endet mit der Installation einer bösartigen DLL (siehe obiges Schema im Tweet).
Die Datei 1.dll ist die letzte Nutzlast, die heruntergeladen und installiert wird. Dies ist eine Backdoor, die die Sicherheitsforscher Milestone genannt haben. Deren Code basiert auf dem geleakten Quellcode von Gh0st RAT/Netbot Attacker und ist mit Themida gepackt.
Die Hintertür kopiert sich nach %APPDATA%\newdev.dll und erstellt einen Dienst namens msupdate2, indem sie den Diensteintrag direkt in der Registrierung erstellt. Bei verschiedenen Beispielen wurden mehrere andere Dienstnamen und Beschreibungen beobachtet.
Insgesamt verfügt die Backdoor über ähnliche Fähigkeiten wie Gh0st RAT. Unterschied ist aber, dass die Backdoor ihre C2-Kommunikation, im Gegensatz zur Gh0st RAT-Kommunikation, die zlib-komprimiert ist, unkomprimiert abwickelt. Auch bei den C2-Befehlen gibt es Unterschiede. Beim CMD-Befehl zum Beispiel kopieren einige Varianten zunächst cmd.exe nach dllhost.exe, um eine Erkennung durch Sicherheitsprodukte zu vermeiden, die CMD-Ausführungen überwachen. Außerdem unterstützt die Hintertür einen Befehl, der Informationen über die aktuellen Sitzungen auf dem System an den Server sendet. Dieser Befehl ist im Original-Quellcode von Gh0st RAT nicht enthalten.
Fire Chili Rootkit
Bei der Auswertung von Infektionen sind die Sicherheitsforscher zudem auf einen Fire Chili Rootkit gestoßen, der mit einem gestohlenen Zertifikat signiert wurde. Die verschiedenen Beispiele dieses Rootkits werden derzeit von Virustotal kaum erkannt (1 Virenscanner schlägt an). Das Rootkit stellt zunächst sicher, dass sich der Computer des Opfers nicht im abgesicherten Modus befindet. Dann prüft es die Version des Betriebssystems.
Das Rootkit verwendet Direct Kernel Object Modification (DKOM), das undokumentierte Kernelstrukturen und -objekte für seine Operationen verwendet. Aus diesem Grund ist es auf bestimmte Betriebssystem-Builds angewiesen, da es sonst zum Absturz des infizierten Computers führen kann. Im Allgemeinen ist das neueste unterstützte Build das Windows 10 Creators Update (Redstone 2), das im April 2017 veröffentlicht wurde.
Der Zweck des Treibers besteht darin, bösartige Artefakte vor Komponenten des Benutzermodus zu verbergen und zu schützen. Dies umfasst vier Aspekte: Dateien, Prozesse, Registrierungsschlüssel und Netzwerkverbindungen. Der Treiber verfügt über vier globale Listen, eine für jeden Aspekt, die die zu versteckenden Artefakte enthalten. Die IOCTLs des Treibers ermöglichen eine dynamische Konfiguration der Listen über das Steuergerät \Device\crtsys. Der Dropper verwendet diese IOCTLs, um den Registrierungsschlüssel des Treibers, die Loader- und Backdoor-Dateien sowie den Loader-Prozess zu verbergen. Die Details zur Infektion und zum Verhalten sind dem Fortinet-Beitrag New Milestones for Deep Panda: Log4Shell and Digitally Signed Fire Chili Rootkits zu entnehmen.