{"id":192067,"date":"2017-07-06T07:50:54","date_gmt":"2017-07-06T05:50:54","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=192067"},"modified":"2022-10-12T09:46:17","modified_gmt":"2022-10-12T07:46:17","slug":"eset-analyse-zu-not-petyadiskcoder-c-verbreitung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/07\/06\/eset-analyse-zu-not-petyadiskcoder-c-verbreitung\/","title":{"rendered":"ESET Analyse zu Not Petya\/Diskcoder.C Verbreitung"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Vor einer Woche traf eine neue Cyberattacke der Ransomware NotPetya eine Reihe Firmen bzw. Windows-Systeme. Der europ\u00e4ische Security-Software-Hersteller ESET hat die Malware analysiert und einige Informationen bereitgestellt.<\/p>\n<p><!--more--><\/p>\n<h2>Ein R\u00fcckblick<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/b0e963121ce344268b1f7c6b3df68f57\" alt=\"\" width=\"1\" height=\"1\" \/>Die Cyberattacke der Ransomware NotPetya, die von ESET als <a href=\"http:\/\/virusradar.com\/en\/Win32_Diskcoder.C\/description\" target=\"_blank\" rel=\"noopener\">Win32\/Diskcoder.C<\/a> erkannt wird, hat zwar nur gut 20.000 Systeme betroffen (siehe <a href=\"https:\/\/borncity.com\/blog\/2017\/07\/01\/neues-zu-petya-zahl-der-infektionen-ziele-und-mehr\/\">Neues zu Petya: Zahl der Infektionen, Ziele und mehr \u2026<\/a>). Aber die Sch\u00e4den sind teilweise gigantisch.<\/p>\n<ul>\n<li>So kam der Hafenbetrieb in Bombay (Mumbai) in Indien f\u00fcr einen Tag wohl komplett zum Stillstand. Hintergrund ist wohl, dass die d\u00e4nische Firma AP Moller-Maersk, die von der Attacke besonders betroffen war, das Terminal am Hafen betreibt. Details finden sich <a href=\"http:\/\/www.hindustantimes.com\/india-news\/cyber-attack-malware-hits-jawaharlal-nehru-port-operations-in-mumbai\/story-xGtbHwvZI4bX5RgJCUBN3L.html\" target=\"_blank\" rel=\"noopener\">hier<\/a>.<\/li>\n<li>Einem <a href=\"https:\/\/twitter.com\/Maersk\/status\/882338519301201921\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> der Firma AP Moller-Maersk ist zu entnehmen, dass man immer noch daran arbeitet, die Sch\u00e4den zu beheben.<\/li>\n<li>Beim Hersteller Mondelez steht seit einer Woche die Produktion von Milka-Schokolade still, wie der Tagesspiegel <a href=\"http:\/\/www.tagesspiegel.de\/wirtschaft\/wegen-erpressersoftware-petya-milka-fabrik-steht-seit-einer-woche-still\/20013388.html\" target=\"_blank\" rel=\"noopener\">hier<\/a> berichtet.<\/li>\n<li>Der Reinigungsmittelhersteller Reckitt Benckiser (Sagrotan etc.) verzeichnet durch Ausfall von Systemen einen Umsatzr\u00fcckgang f\u00fcr das zweite Quartal, wie heise.de <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Cyber-Attacke-NotPetya-Spuerbarer-Umsatzrueckgang-fuer-Reckitt-Benckiser-3765253.html\" target=\"_blank\" rel=\"noopener\">hier berichtet<\/a>.<\/li>\n<\/ul>\n<p>Inzwischen hat die Polizei in der Ukraine wohl die Server beschlagnahmt, auf denen die Updates f\u00fcr die Software M.E.Doc kompromittiert wurden. Es deutete sich an, dass wohl erneut Vorbereitungen f\u00fcr einen Angriff getroffen wurden, wie z.B. heise.de <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Cyber-Attacke-NotPetya-Angebliche-Angreifer-wollen-250-000-Euro-fuer-Datenrettung-3764208.html\" target=\"_blank\" rel=\"noopener\">hier<\/a> berichtet. Dort wird auch thematisiert, dass die Angreifer angeblich 250.000 Euro f\u00fcr die Datenrettung haben wollen. Scheint aber eine windige Geschichte zu sein, gehen Sicherheitsforscher doch davon aus, dass sich die Daten eher nicht restaurieren lassen.<\/p>\n<h2>Neues zum Verbreitungsweg<\/h2>\n<p>Im ESET-Dokument gibt der Sicherheitsanbieter noch ein paar Einblicke, wie sich der Trojaner NotPetya verbreiten konnte. So wurde die vor allem in der Ukraine verbreitete Buchhaltungssoftware M.E.Doc als Ursprung der Attacke identifiziert. Bei der Analyse der Backdoor, die die Cyberkriminellen in die Software einschleusten, konnte ESET neue Erkenntnisse \u00fcber die Verbreitung der Malware (von ESET als Win32\/Diskcoder.C bezeichnet) gewinnen.<\/p>\n<p>Die Hacker zeigen tiefes Verst\u00e4ndnis des verwendeten Programms, denn die ESET Analyse der Backdoor in M.E.Doc zeigt, dass die Hacker ihren Angriff sorgf\u00e4ltig planten und ausf\u00fchrten. Um die Sicherheitsl\u00fccke in das Programm einzuschleusen, m\u00fcssen sie sich Zugriff zum Quellcode des Programms verschafft und sich ausf\u00fchrlich mit ihm befasst haben.<\/p>\n<p>Au\u00dferdem erlangten sie Zugriff auf den Server, \u00fcber den die Software bereitgestellt wurde. Ohne aktives Zutun der Opfer wurden so immer wieder infizierte Updates auf den Rechnern der Nutzer von M.E.Doc installiert. Offenbar war dieser Angriff von langer Hand vorbereitet. Erste infizierte Updates der Bibliothek <em>ZvitPublishedObjects.dll<\/em> wurden bereits am 14. April verbreitet. Zwei weitere Updates mit integriertem Trojaner folgten. am 15 Mai und am 22. Juni. Durch legitime Updates der M.E.Doc-Software wurden die Trojaner wohl immer wieder \u00fcberschrieben. Dadurch scheint die Verbreitung der Malware einged\u00e4mmt worden zu sein.<\/p>\n<p>\u00dcber das interne Nachrichtensystem des Programms versendeten die Hacker dar\u00fcber hinaus Phishing-Nachrichten an weitere Opfer. Zudem verbreitete sich die Malware \u00fcber VPN-Verbindungen in den Unternehmen, die M.E.Doc nutzen, intern sowie bei ihren Kunden und Gesch\u00e4ftspartnern. Genau diese beiden letztgenannten Verbreitungswege waren mir bisher unbekannt.<\/p>\n<p>\u00dcber eine Backdoor in der modifizierten DLL konnten die Angreifer Informationen und Dateien von den infizierten Rechnern an eigene Server hochladen und weitere Schadsoftware nachladen. In Folge kam es dann bei allen Systemen, die im Netzwerk eines infizierten Rechners aktiv waren, zu einer Infektion mit der Backdoor. Der Ratschlag ist daher, alle Rechner, die w\u00e4hrend der Infektion im Netz aktiv waren, abzuschalten und zu s\u00e4ubern.<\/p>\n<h2>Angriff den TeleBots zuzuschreiben<\/h2>\n<p>Ich hatte es in einem fr\u00fcheren Beitrag angesprochen: Es wurde die Hackergruppe Telebots als Urheber vermutet. Auch ESET adressiert diesen Ansatz. Bei der Analyse der Malware erkannten die ESET Forscher zahlreiche Parallelen zu fr\u00fcheren Angriffen. Eine L\u00e4ngsschnittanalyse legt nahe, dass der Cyberangriff der Hackergruppe TeleBots zuzuschreiben ist. Diese ist unter anderem f\u00fcr die <a href=\"https:\/\/web.archive.org\/web\/20220508045824\/https:\/\/www.welivesecurity.com\/deutsch\/2017\/01\/05\/killdisk-torpediert-linux-loesegeld-hilft-nicht\/\" target=\"_blank\" rel=\"noopener\">Linux-Version der KillDisk-Malware<\/a> verantwortlich und ver\u00fcbte Angriffe auf zahlreiche ukrainische Unternehmen, darunter Finanzinstitute und kritische Infrastruktureinrichtungen. Zudem konnte der Gruppe eine Verbindung zu den ber\u00fcchtigten BlackEnergy-Hackern nachgewiesen werden, die f\u00fcr die <a href=\"https:\/\/web.archive.org\/web\/20220311013318\/https:\/\/www.welivesecurity.com\/deutsch\/2016\/01\/15\/blackenergy-und-der-ukranische-stromausfall-wir-wissen\/\" target=\"_blank\" rel=\"noopener\">Stromausf\u00e4lle im Dezember 2015 in der Ukraine<\/a> verantwortlich waren.<\/p>\n<p>Eine ausf\u00fchrliche Analyse der TeleBots-Gruppe steht unter <a href=\"https:\/\/web.archive.org\/web\/20220507162503\/https:\/\/www.welivesecurity.com\/deutsch\/2017\/07\/03\/telebots-supply-chain-attack-gegen-ukraine\/\" target=\"_blank\" rel=\"noopener\">ESET-Analyse von TeleBots listiger Backdoor<\/a> zur Verf\u00fcgung. Eine Zusammenfassung l\u00e4sst sich <a href=\"https:\/\/www.heise.de\/security\/meldung\/Cyber-Attacke-Petya-NotPetya-Neue-Einblicke-in-die-perfide-Verbreitungsmasche-3763750.html\" target=\"_blank\" rel=\"noopener\">bei heise.de<\/a> nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Vor einer Woche traf eine neue Cyberattacke der Ransomware NotPetya eine Reihe Firmen bzw. Windows-Systeme. Der europ\u00e4ische Security-Software-Hersteller ESET hat die Malware analysiert und einige Informationen bereitgestellt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4935,4715,4328],"class_list":["post-192067","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-petya","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/192067","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=192067"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/192067\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=192067"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=192067"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=192067"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}