Kryptoschürfer-Malware von 850.000 Rechnern entfernt, Täter durch eigene Dummheit gefasst
Gut zusammengearbeitet hat die Cybereinheit der französischen Polizei mit dem Sicherheitsunternehmen Avast. Ende August wurde bekannt, dass Avast und Trend Micro die Quelle des Retadup Wurms in Frankreich aufgespürt hatten. Die beiden Cybersicherheitsfirmen waren Retadup bereits seit dem Frühjahr auf der Spur. Die Malwareanalysten von Avast trugen entschieden dazu bei, dass die Polizeieinheit die Command & Control Server übernehmen konnten.
Zwei Jahre lang infizierte der Retadup Wurm Computer und missbrauchte ihre Rechenleistung zum Schürfen der Kryptowährung Monero. Es gab allerdings auch nachgewiesene Fälle, in dem die Malware auch zur Übermittlung von Ransomware und Passwortdiebstahl-Programmen verwendet wurde. Avast fand heraus, dass insgesamt über 850.000 Rechner infiziert und zum Kryptoschürfen missbraucht wurden.
Anfang Juli drangen die Malware-Analysten von Avast tiefer in die Malware-Server ein und analysierten sie eingehend. Sie fanden schnell heraus, dass die meisten mit Retadup infizierten Computer sich in Lateinamerika befanden. Das umfangreichste Retadup-Botnetz befand sich dabei in Peru. Ihre Analyse gab ihnen auch einen tieferen Einblick in die Kommunikationsprotokolle des Command & Control-Servers. Dort eindeckten sie einen Programmierfehler, den sie prompt ausnutzten, um Retadup anzuweisen, sich selbst von den infizierten Rechnern zu löschen. Nach zwei Jahren Malware-Betrieb kam Retadup damit zum Stillstand.
Die sichergestellten Retadup Command & Control-Server waren vom 2. Juli bis zum 19. August in den Händen der Behörden. In dieser Zeit ersetzten sie zuerst die darauf gespeicherten Schadprogramme durch Desinfektionsprogamme. Das Retadup Programm auf jedem infizierten Host, der sich fortan mit den Servern verband, wurde angewiesen, sich selbst zu löschen. So waren die Avast-Forscher recht erstaunt herauszufinden, dass sich sofort mehrere Tausend Bots mit dem Server verbanden, um Befehle abzuholen. Am Ende waren es insgesamt über 850.000 Rechner, die den Server kontaktierten. Zutage kam dabei auch, dass sich ein Teil der Server-Struktur in den USA befand.
Die Retadup Malware tauchte 2017 erstmalig als kleiner Trojaner auf. Er stahl Informationen von infizierten Rechnern und leitete sie an einen Remote-Server zur Weiterverarbeitung. Aber Retadup hatte ein wurmartiges Verhalten, verbreitete sich also von selbst. Das geschah durch das Übertragen von manipulierten LNK-Dateien auf Gemeinschaftslaufwerke. Mittels dieser LNK Dateien wurden später die Kryptoschürf-Malware, das Akei-Passwortdiebstahl-Tool und die STOP-Ransomware verbreitet. Vieles deutet darauf hin, dass die Hacker aktiv „Installspace“ auf infizierten Hosts an andere Malware-Akteure verkauften.
Arbeitsweise des Retadup-Wurms
Retadup verbreitete den bösartigen XMRig Kryptoschürfer an Windows-Rechner. In einem Bericht erläuterte Avast:
„Retadup entschlüsselt eine XMRig PE-Datei im Speicher und injiziert sie in einen neu erstellten Prozess durch Prozessabbrüche. Es erstellt auch dynamisch eine XMRig-Konfigurationsdatei, legt sie auf die Festplatte und übergibt sie an den neu erstellten Prozess. Der Spendenlevel von XMRig wird auf 0 gesetzt, um keine Minengewinne mit den XMRig-Entwicklern teilen zu müssen.“
Weiter hieß es, dass Retadup sich tarnen und still ausharren konnte. Die Malware unterbrach das Kryptoschürfen, wenn taskmgr.exe ausgeführt wurde. Das Erkennen von erhöhter CPU-Auslastung für Benutzer war dann schwieriger. Der Prozess, der XMRig injizierte, fungierte damit auch als Wachhund, entdeckten die Avast-Forscher. Wenn also der befohlene Arbeitsprozess aus irgendeinem Grund beendet wird, erzeugt dieser Prozess einen neuen Arbeitsprozess als Ersatz.
Einen weiteren interessanten Aspekt des Malware Codes war, so Avast:
„Das Aushöhlen von Prozessen das oft durch den Aufruf übergeordneter Funktionen wie WriteProcessMemory oder NtMapViewOfSection realisiert wird. Die Schürfsoftware entscheidet sich für eine besonders heimliche Art, Systemaufrufe direkt zu nutzen.“
Ein typischer Ansatz hierfür, erklärten die Forscher, sei es,
„aus ntdll exportierte undokumentierte Funktionen (z. Bsp. NtUnmapViewOfSection) zur Prozess-Injektion zu verwenden.“
Dies sei oft durch Endpoint-Sicherheitslösungen erkennbar, hieß es.
„Indem man jedoch eine zweite Kopie von ntdll in den Speicher lädt und dadurch Aufruffunktionen exportiert, ist es oft möglich, dieses Hindernis zu umgehen. Die Idee dahinter ist, dass die neue Kopie von ntdll nicht die Hooks enthält, die die Originalversion enthielt. Damit kann die Sicherheitssoftware nicht sehen, welche Funktionen die Malware aufgerufen hat“,
erläuterten die Avast-Forscher.
Die Avast-Analyse ergab auch, dass der Command & Control-Server zudem einen .NET-Controller für eine AutoIt RAT namens HoudRat enthielt. Letzterer ist in der Lage, beliebige Befehle auszuführen, Tastatureingaben zu protokollieren, Screenshots zu machen, Passwörter zu stehlen, beliebige Dateien herunterzuladen und noch einiges mehr.
Palestinensischer Einzeltäter hinter Retadup?
Sicherheitsforscher der IT-Firma Under the Breach konnten innerhalb weniger Minuten den/einen Macher hinter Retadup anhand seiner Domain-Registrierungsdaten ermitteln. Demnach handelt es sich um einen 26-jährigen Palästinenser. Ob er alleine handelte oder als Teil einer Gruppe, ist noch nicht bekannt.
Jede Domain braucht einen Namen einer Person oder Unternehmens auf den die Domain registriert ist. Dieser Name ist häufig global einsehbar. Das ist fast so, wie ein Banküberfall mit dem eigenen Auto als Fluchtwagen inkl. gültiger Nummerntafel. Leider ist dies die Ausnahme, dass Hacker so unbedacht, wie hier geschehen, vorgehen.
Die Behörden konnten aus den beschlagnahmten Servern herauslesen, dass mindestens 53,72 XMR, im Wert von etwa 4.500 US-Dollar, geschürft wurden. Sie vermuten, dass das jedoch nur ein kleiner Teil der gesamten Ausbeute sei.
Laut Avast konnte sich der Retadup-Wurm so großflächig verbreiten, das etwa 85 % aller infizierten Rechner keinen Virenschutz installiert hatten. Retadup konnte daher still und heimlich arbeiten, ohne entdeckt zu werden.
IT-Experten loben die Vorgehensweise und die Zusammenarbeit zwischen Forschern und Strafverfolgungsbehörden in diesem Fall. Insbesondere, dass die Cyberpolizisten sich vorgewagt hätten, nicht nur der Malware Halt zu gebieten, sondern sie auch noch von den Rechnern zu entfernen. Dafür mussten die polizeilichen Cyberexperten eine Malware erst einmal vollständig verstehen. Ansonsten könnte eine falsch eingeleitete Desinfektion mehr Schaden auf den Rechnern der Opfer anrichten. Mithilfe der Avast-Forscher war der Desinfektionsvorgang allerdings zuvor eingehend getestet werden.
Artikel von zdnet.com, 28.08.2019: Avast and French police take over malware botnet and disinfect 850,000 computers
Artikel von threatpost.com, 28.08.2019: Dangerous Cryptomining Worm Racks Up 850K Infections, Self-Destructs
Artikel von vice.com, 28.08.2019: Cops Hijack Botnet, Remotely Wipe Malware From 850,000 Computers
Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0