Tags: Sicherheit, Windows, Malware
Die deutsche IT-Sicherheitsfirma G Data dokumentiert, wie sich eine der bekanntesten Schadsoftware-Varianten in den vergangenen sieben Jahren weiterentwickelt hat. Es handelt sich um die Malware Agent.BTZ. Nach Angaben von G Data haben Cyber-Kriminelle die Software erstmals 2008 bei einem Angriff auf das Pentagon in Washington verwendet.
In einem Beitrag im G-Data-Blog beschreibt das Unternehmen detailliert den "Werdegang" von Agent.BTZ, einem Tool, mit dem Angreifer fremde Rechner fernsteuern können, und dessen Wandlung zu ComRAT. Die letztgenannte Variante kam im vergangenen Jahr unter anderem bei Angriffen auf die Außenministerien von Belgien und Finnland zum Einsatz. ComRAT weist wiederum Ähnlichkeiten mit dem Spionage-Rootkit Uroburos auf.
Nach den Erkenntnissen von G Data deutet einiges darauf hin, dass Angreifer oft beide Schädlinge parallel einsetzen. Hundertprozentig transparent sind die Einsatzszenarien der beiden Malware-Versionen allerdings nicht.
Fast 50 Samples analysiert
Das Security Lab von G Data analysierte 46 Samples der Malware. Ein Ergebnis: Bis zur Version 3.00, die 2012 herauskam, gab es nur geringe Änderungen am Programmcode. Ähnlich wie seriöse Software-Entwickler behoben die Programmierer von ComRAT bis dahin nur Fehler und ergänzten die Schadsoftware um neue Methoden, um der Entdeckung durch IT-Security-Software zu entgehen.
Außerdem wurden Funktionen entfernt, die durch neue Schutzmechanismen in Windows obsolet wurden. Dazu zählt beispielsweise ein Mechanismus zum Infizieren von Datenträger-Sticks. Der Grund ist vermutlich, dass Microsoft die automatische Ausführung bei externen Datenträgern deaktiviert hat. Für die Angreifer ist dieser Infektionsvektor daher laut G Data nicht mehr interessant.
Weitere Versionen sind zu erwarten
Dagegen wurden in den Folgeversionen bis zur aktuellen Ausgabe 3.26 der Angriffssoftware etliche neue Funktionen integriert, etwa die Unterstützung mehrerer Server (Comand und Control) für die Steuerung der Software und der von ihr befallenen Systeme sowie eine umfassende Verschlüsselung von Zeichenketten.
G Data geht davon aus, dass die Gruppe hinter Uroburos/Agent.BTZ/ComRAT auch weiterhin eine aktive Rolle im Bereich Malware und Advanced Persistent Threats (APT) spielen wird. "Aufgrund der neuesten Analyseergebnisse und der daraus gezogenen Schlussfolgerungen kommen wir zu der Ansicht, dass noch weitere Bedrohungen folgen werden", so Paul Rascagnères, Mitarbeiter des GData Security Lab in dem Blog-Beitrag.
Täglich Know-how für IT-Pros mit unserem Newsletter
Bernd Reder ist seit über 20 Jahren als Journalist zu den Themen IT, Netzwerke und Telekommunikation tätig. Zu seinen beruflichen Stationen zählen unter anderem die Fachtitel "Elektronik" und "Gateway".Bei der Zeitschrift "Network World" war Reder als stellvertretender Chefredakteur tätig. Von 2006 bis 2010 baute er die Online-Ausgabe "Network Computing" auf.Derzeit ist Bernd Reder als freier Autor für diverse Print- und Online-Medien sowie für Firmen und PR-Agenturen aktiv.
// Kontakt: E-Mail, XING //
Verwandte Beiträge
- Security Essentials 2.0 für Firmen: kostenlos, aber bedingt brauchbar
- Übersicht: Die wichtigsten Features von Windows Defender
- Überwachter Ordnerzugriff: Ransomware-Schutz mit Gruppenrichtlinien und PowerShell konfigurieren
- Reduktion der Angriffsfläche in Microsoft Defender mit Gruppenrichtlinien oder PowerShell aktivieren
- Schädliche Apps und unsichere Treiber mit Microsofts WDAC-Regeln blockieren
Weitere Links