Antivirussoftware, die Dateien zur Überprüfung ausführt (und ggf. in die Cloud hoch lädt), kann sich zum potentiellen Sicherheitsrisiko auswachsen. Speziell in Umgebungen, wo Uploads von Dateien eigentlich geblockt werden sollen lassen sich u.U. Dateien ausschleusen.
Anzeige
Auf der Hacker-Konferenz DefCon werden immer wieder neue Gefahrenstellen in IT-Systemen bekannt. Jetzt haben Itzik Kotler und Amit Klein ein Angriffsszenario beschrieben, in dem Antivirussoftware zum Datendiebstahl verwendet werden kann.
Die gesicherte Umgebung
In Unternehmen kommen in sensitiven Bereichen häufig besonders gesicherte Umgebungen zum Einsatz. So wird Endgeräten der Zugriff auf das Web verboten und es lassen sich nur Updates für das Betriebssystem und für die Antivirensoftware per Internet beziehen. Alternativ kann auch dieser Bezug gesperrt werden, so dass die Geräte nur auf interne Server für Updates und Virenschutz zugreifen können. Dies soll eigentlich verhindern, dass Daten oder Dateien die so abgesicherte Umgebung verlassen.
Der Angriffsvektor
In einem Proof-of-concept zeigten Itzik Kotler und Amit Klein, wie man Antivirussoftware zum Diebstahl von Daten aus solchen Umgebungen verwenden kann. Der Ansatz setzt zwar eine Infektion eines Geräts in einer solchen Umgebung voraus, kann dann aber durch Tricks den eigentlich geblockten Internetzugriff umgehen.
Dazu wird eine als Rocket bezeichnete Malware (z.B. per USB-Stick) auf den Zielgeräten installiert (das ist die Schwachstelle des Konzepts, aber es gab ja Fälle, wo genau dieses Angriffsszenario in Industrieanlagen verwendet wurde). Die Malware sammelt dann in der abgesicherten Umgebung die interessierenden Daten und legt diese in einem Satellite genannten Zwischenpuffer ab. Anschließend werden die Daten mit dem Code des Eicar-Testvirus und dem Satellite-Code zu einer ausführbaren Datei kompiliert. Das Ganze wird unter Windows noch im Autostart-Ordner abgelegt.
Anzeige
Ziel ist es, dass der auf der Maschine installierte Virenscanner diese Datei findet und in einer Sandbox analysiert. Bei der Analyse wird die betreffende Datei unter Kontrolle der Antivirensoftware in der Sandbox ausgeführt. Normalerweise könnte die Sandbox den Zugriff auf das Internet blocken. Da aber viele Antivirusprodukte potentielle Schaddateien zur Analyse in die Cloud hochladen, ist ein Zugriff auf das Internet aus der Sandbox potentiell möglich.
Wie heise.de hier schreibt, wird der Schädling im Satellite bei der Ausführung des Codes in der Sandbox aktiv und prüft, ob eine Internetverbindung existiert. Trifft dies zu, verschickt er die gesammelten Daten aus der gesicherten Umgebung an die vorgegebenen Server.
Ist keine Kommunikation per http etc. möglich, versucht die Malware die Daten in Base64 zu verschlüsseln. Dann wird dieser Code als Subdomäne in eine DNS-Anfrage gepackt. Wird die DNS-Abfrage abgesetzt, erhält die betreffende Domain, die von den Angreifern kontrolliert wird, diese verschlüsselten Daten (meist einige hundert Bytes).
Laut heise.de waren gleich mehrere Virenscanner (Avira Antivirus Pro, Comodo Client Security, ESET NOD32 und Kaspersky Total Security 2017) anfällig für diese Art des Angriffs. Auch Virustotal hat das Problem, wobei Google dort, nach Aussage von heise.de, nichts am Internetzugriff aus der Sandbox ändern. Bei Virustotal muss ein Administrator aber den Schädling (mit den Daten im Beipack) zumindest manuell hochladen.
Anzeige
Das Szenario ist zwar durchaus möglich aber das sind mir zu viele "wenns" damit es auch tatsächlich auch richtig funktioniert, da gibt es meiner Meinung nach einfachere Möglichkeiten um an die Daten von Interesse zu gelangen.
Zumal wenn erst ein USB-Stick benötigt wird um die Sogenannten als Rocket bezeichnete Malware (z.B. per USB-Stick) auf den Zielgeräten zu installieren, kann auch der USB-Stick gleich dafür benutzt werden um die Interessanten Daten auf den USB-Stick zu kopieren. Wozu soll ich da erst noch warten das die Antiviren Software den Container aus der Sandbox in die Cloud hoch lädt?