{"id":192692,"date":"2017-08-01T16:55:45","date_gmt":"2017-08-01T14:55:45","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=192692"},"modified":"2017-08-01T16:55:45","modified_gmt":"2017-08-01T14:55:45","slug":"datendiebstahl-durch-cloud-gesttzte-antivirensoftware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/08\/01\/datendiebstahl-durch-cloud-gesttzte-antivirensoftware\/","title":{"rendered":"Datendiebstahl durch (Cloud-gestützte) Antivirensoftware"},"content":{"rendered":"

Antivirussoftware, die Dateien zur \u00dcberpr\u00fcfung ausf\u00fchrt (und ggf. in die Cloud hoch l\u00e4dt), kann sich zum potentiellen Sicherheitsrisiko auswachsen. Speziell in Umgebungen, wo Uploads von Dateien eigentlich geblockt werden sollen lassen sich u.U. Dateien ausschleusen. <\/p>\n

<\/p>\n

\"\"Auf der Hacker-Konferenz DefCon werden immer wieder neue Gefahrenstellen in IT-Systemen bekannt. Jetzt haben Itzik Kotler und Amit Klein ein Angriffsszenario beschrieben, in dem Antivirussoftware zum Datendiebstahl verwendet werden kann.<\/p>\n

Die gesicherte Umgebung<\/h2>\n

In Unternehmen kommen in sensitiven Bereichen h\u00e4ufig besonders gesicherte Umgebungen zum Einsatz. So wird Endger\u00e4ten der Zugriff auf das Web verboten und es lassen sich nur Updates f\u00fcr das Betriebssystem und f\u00fcr die Antivirensoftware per Internet beziehen. Alternativ kann auch dieser Bezug gesperrt werden, so dass die Ger\u00e4te nur auf interne Server f\u00fcr Updates und Virenschutz zugreifen k\u00f6nnen. Dies soll eigentlich verhindern, dass Daten oder Dateien die so abgesicherte Umgebung verlassen. <\/p>\n

Der Angriffsvektor<\/h2>\n

In einem Proof-of-concept zeigten Itzik Kotler und Amit Klein, wie man Antivirussoftware zum Diebstahl von Daten aus solchen Umgebungen verwenden kann. Der Ansatz setzt zwar eine Infektion eines Ger\u00e4ts in einer solchen Umgebung voraus, kann dann aber durch Tricks den eigentlich geblockten Internetzugriff umgehen.  <\/p>\n

Dazu wird eine als Rocket bezeichnete Malware (z.B. per USB-Stick) auf den Zielger\u00e4ten installiert (das ist die Schwachstelle des Konzepts, aber es gab ja F\u00e4lle, wo genau dieses Angriffsszenario in Industrieanlagen verwendet wurde). Die Malware sammelt dann in der abgesicherten Umgebung die interessierenden Daten und legt diese in einem Satellite genannten Zwischenpuffer ab. Anschlie\u00dfend werden die Daten mit dem Code des Eicar-Testvirus und dem Satellite-Code zu einer ausf\u00fchrbaren Datei kompiliert. Das Ganze wird unter Windows noch im Autostart-Ordner abgelegt. <\/p>\n

Ziel ist es, dass der auf der Maschine installierte Virenscanner diese Datei findet und in einer Sandbox analysiert. Bei der Analyse wird die betreffende Datei unter Kontrolle der Antivirensoftware in der Sandbox ausgef\u00fchrt. Normalerweise k\u00f6nnte die Sandbox den Zugriff auf das Internet blocken. Da aber viele Antivirusprodukte potentielle Schaddateien zur Analyse in die Cloud hochladen, ist ein Zugriff auf das Internet aus der Sandbox potentiell m\u00f6glich. <\/p>\n

Wie heise.de hier schreibt<\/a>, wird der Sch\u00e4dling im Satellite bei der Ausf\u00fchrung des Codes in der Sandbox aktiv und pr\u00fcft, ob eine Internetverbindung existiert. Trifft dies zu, verschickt er die gesammelten Daten aus der gesicherten Umgebung an die vorgegebenen Server. <\/p>\n

Ist keine Kommunikation per http etc. m\u00f6glich, versucht die Malware die Daten in Base64 zu verschl\u00fcsseln. Dann wird dieser Code als Subdom\u00e4ne in eine DNS-Anfrage gepackt. Wird die DNS-Abfrage abgesetzt, erh\u00e4lt die betreffende Domain, die von den Angreifern kontrolliert wird, diese verschl\u00fcsselten Daten (meist einige hundert Bytes). <\/p>\n

Laut heise.de waren gleich mehrere Virenscanner (Avira Antivirus Pro, Comodo Client Security, ESET NOD32 und Kaspersky Total Security 2017) anf\u00e4llig f\u00fcr diese Art des Angriffs. Auch Virustotal hat das Problem, wobei Google dort, nach Aussage von heise.de, nichts am Internetzugriff aus der Sandbox \u00e4ndern. Bei Virustotal muss ein Administrator aber den Sch\u00e4dling (mit den Daten im Beipack) zumindest manuell hochladen. <\/p>\n","protected":false},"excerpt":{"rendered":"

Antivirussoftware, die Dateien zur \u00dcberpr\u00fcfung ausf\u00fchrt (und ggf. in die Cloud hoch l\u00e4dt), kann sich zum potentiellen Sicherheitsrisiko auswachsen. Speziell in Umgebungen, wo Uploads von Dateien eigentlich geblockt werden sollen lassen sich u.U. Dateien ausschleusen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[5667,1171,4328],"class_list":["post-192692","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-antiviussoftware","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/192692","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=192692"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/192692\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=192692"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=192692"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=192692"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}