Information und Bildungsarbeit von und für die SAP-Community

Der unsichtbare Feind

Cyberkriminelle finden neue Wege, um an sensible Daten ihrer Opfer zu gelangen – unerkannt mittels dateiloser Schadsoftware. CERT-Bund und zahlreiche Sicherheitsforscher warnen vor diesen Angriffen.
Silvana Rößler
8. April 2021
it security Header
avatar

Internetverbindungsprobleme, unerklärbare Einbrüche der Performance, oder der E-Mail-Server befindet sich auf einer Blacklist – seit dem vierten Quartal 2020 häufen sich Fälle, in denen deutsche Nutzer von Windows-Computern über unspezifische Auffälligkeiten berichten. Gootkit, ein altbekannter Banking-Trojaner, ist zurück und hat es insbesondere auf deutsche Anwender abgesehen.

In den meisten Fällen bemerken die Opfer nicht, dass ihre Rechner kompromittiert wurden, bis sie im besten Fall eine Meldung über ihren Internet Service Provider erhalten, dass eines ihrer Geräte mit einem Botnetz kommuniziert. Die danach durch den Nutzer erfolgten Überprüfungen mittels Antivirenprogrammen zeigen überwiegend keine Infektion, sodass die Ratlosigkeit groß ist.

Bei Gootkit handelt es sich um einen seit 2014 bekannten Banking-Trojaner. Dieser verfügt über zahlreiche bösartige Funktionen, um Informationen von den Rechnern seiner Opfer zu stehlen. Hierzu gehört eine Keylogger-Funktionalität wie auch die Fähigkeit der Videoaufzeichnung des Bildschirms oder auch der Remote Access für die Angreifer.

In einigen Fällen wurden zusätzlich ungewollte Weiterleitungsregelungen in E-Mail-Postfächern eingerichtet, um diese zum Beispiel für nachfolgende Phishingkampagnen abfließen zu lassen. Nach einer einjährigen Pause ist dieser Trojaner mit einer neuen Tarnung zurück.

Die Weiterentwicklung dieses Trojaners erlaubt nach Erlangen der Persistenz eine dateilose Existenz auf dem Rechner seines Opfers. Er liegt somit nicht als eine selbstständige Datei auf der Festplatte vor, sondern agiert lediglich im Arbeitsspeicher. Damit er auch einen Neustart des Computers übersteht, liegt sein obfuskierter Code in variierenden Schlüsseln der Windows-Registrierungsdatenbank. So gelingt es dem Trojaner, sich vor einigen Intrusion-Preven­tion-Lösungen und Antivirenprogrammen erfolgreich zu verstecken.

In der aktuellen Bedrohungswelle missbrauchen Kriminelle fremde Webserver mit Sicherheitslücken, um potenziellen Besuchern mittels SEO Poisoning gefälschte, speziell auf deren Anliegen zugeschnittene Forenbeiträge anzuzeigen. Dies hat zur Folge, dass bei einer Internetsuche, insbesondere nach Vorlagen und Mustern, das Opfer auf einen dynamisch erstellten, hilfreich klingenden Forumsbeitrag trifft, in welchem sich eine Datei mit der passenden Vorlage zum Download befindet. Hierbei kann man bemerken, dass diese Datei die Suchbegriffe des Opfers im Dateinamen trägt, um attraktiv und unverdächtig zu klingen.

Aktiv mitdenken

Wird diese Datei heruntergeladen und anschließend ausgeführt, nimmt die Infektion ihren Lauf. Das in der Datei enthaltene JavaScript-Programm stellt unbemerkt eine Verbindung zu seinem Command-&-Control-Server her und lädt ein weiteres Skript herunter, das die eigentliche Schadsoftware beinhaltet. In den meisten Fällen handelt es sich um die dateilose Variante des Trojaners Gootkit.

In einigen Fällen wurde jedoch eine Verteilung einer ebenfalls dateilosen Variante der Ransomware REvil beobachtet. REvil, auch als Sodinokibi bekannt, wird als Ransomware as a Service (RaaS) distribuiert und gehört zu den Verschlüsselungstrojanern mit zusätzlicher Erpressung durch Datenabfluss und -veröffentlichung.

Wurde ein Rechner mit einer solchen dateilosen Schadsoftware infiziert, sollte umgehend professionelle Hilfe in Anspruch genommen werden, um das Ausmaß des Schadens und die Auswirkungen der Schadsoftware einschätzen zu können. Nur so können anschließend die richtigen Maßnahmen zur Bereinigung durchgeführt werden.

Um es nicht erst zu einer Infektion kommen zu lassen, muss der Anwender aktiv mitdenken. Können die Herkunft und die Plausibilität eines E-Mail-Anhangs oder des Downloads zweifelsfrei festgestellt werden? Ist man sich nicht sicher, so gilt generell: Mauszeiger weg von der Datei!

networker-solutionsCI-Banner.jpg
avatar
Silvana Rößler

Head of Security Incident Response bei Networker, Solutions


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.