{"id":228762,"date":"2020-02-27T00:06:00","date_gmt":"2020-02-26T23:06:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=228762"},"modified":"2020-07-03T10:21:32","modified_gmt":"2020-07-03T08:21:32","slug":"spionage-cloud-snooper-kommuniziert-via-firewalls","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/02\/27\/spionage-cloud-snooper-kommuniziert-via-firewalls\/","title":{"rendered":"Spionage: Cloud Snooper kommuniziert via Firewalls"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[<a href=\"https:\/\/borncity.com\/win\/?p=13371\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Sicherheitsexperten von SophosLabs sind auf eine neue Cyber-Attacke mit einer Spionagesoftware gesto\u00dfen. Die Malware wurde Cloud Snooper getauft, implantiert einen Rootkit und kommuniziert \u00fcber Firewalls hinweg. Gefunden wurde die Spionagesoftware in der Amazon-Cloud auf einem Linux-Server. Die Malware kann aber auch Windows-Systeme befallen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg08.met.vgwort.de\/na\/9bcafee0c6284c1198adc271dad3d3ae\" width=\"1\" height=\"1\"\/>Der Fall ist mir \u00fcber den nachfolgenden Tweet unter die Augen gekommen \u2013 und da es durchaus einige Administratoren in Unternehmensumgebungen tangiert, nehme ich es mal separat im Blog auf. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"de\" dir=\"ltr\">Professionelle E-Spionage: Neue Angriffsart Cloud Snooper kommuniziert via <a href=\"https:\/\/twitter.com\/hashtag\/APT?src=hash&amp;ref_src=twsrc%5Etfw\">#APT<\/a> Firewalls <a href=\"https:\/\/t.co\/Q9Y4hzXgt4\">https:\/\/t.co\/Q9Y4hzXgt4<\/a><\/p>\n<p>\u2014 Sophos IT-Sicherheit (@sophos_info) <a href=\"https:\/\/twitter.com\/sophos_info\/status\/1232581636413427714?ref_src=twsrc%5Etfw\">February 26, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Die neue Angriffsmethode verwendet, laut den Sophos-Experten, eine bislang unbekannte Kombination aus Hackertechniken, um der Schadsoftware den Weg frei zu machen, um auf Servern durch Firewalls hindurch mit den eigenen Befehls- und Kontrollservern kommunizieren zu k\u00f6nnen. Das Ganze funktioniert sowohl auf Linux- als auf Windows-Maschinen. Wegen der ausgefeilten Techniken stecken sehr professionelle Hacker hinter der Kampagne, m\u00f6glicherweise genie\u00dft die Gruppe staatliche Unterst\u00fctzung.<\/p>\n<h2>Unbekannte Kombination aus Hackertechniken<\/h2>\n<p>Die Details zu Cloud Snooper legt Sophos in <a href=\"https:\/\/web.archive.org\/web\/20200303190553\/https:\/\/news.sophos.com\/wp-content\/uploads\/2020\/02\/CloudSnooper_report.pdf\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Bericht<\/a> (PDF) offen. Aufgefallen ist dieser Angriff, weil jemand eine Anomalie (ungew\u00f6hnlich hoher Traffik) auf einer Amazon Web Services (AWS) Instanz feststellte. W\u00e4hrend die AWS-Sicherheitsgruppen (SGs) richtig eingestellt waren und nur eingehenden HTTP- oder HTTPS-Verkehr zulie\u00dfen, war das kompromittierte Linux-System immer noch auf eingehende Verbindungen auf den Ports 2080\/TCP und 2053\/TCP eingestellt.<\/p>\n<p>Das war dann Grund, das Ganze n\u00e4her zu untersuchen. Bei dieser Analyse dieses Systems wurde dann ein Rootkit gefunden, welches den Urhebern der Malware die M\u00f6glichkeit gab, den Server \u00fcber die AWS-SGs fernzusteuern. Die F\u00e4higkeiten dieses Rootkits beschr\u00e4nken sich jedoch nicht auf die Ausf\u00fchrung in der Amazon-Cloud: Es k\u00f6nnte auch zur Kommunikation mit und zur Fernsteuerung von Malware auf jedem Server hinter jeder beliebigen Firewall, selbst auf einem lokalen Server, verwendet werden.<\/p>\n<p>Nach der Analyse wurden weitere Linux-Hosts identifiziert, die mit demselben oder einem \u00e4hnlichen Rootkit infiziert sind. In einem weiteren Schritt identifizierten die SophosLabs-Experten ein kompromittiertes Windows-System mit einer Hintert\u00fcr. Das System kommunizierte mit einem \u00e4hnlichen C2-Server wie andere kompromittierte Linux-Hosts. Dabei wurde ein sehr \u00e4hnliches Konfigurationsformat verwendet. Die Hintert\u00fcr basiert offenbar auf dem Quellcode der ber\u00fcchtigten Gh0st-RAT-Malware.<\/p>\n<h2>Gefundene Cloud Snooper-Tools <\/h2>\n<p>SophosLabs hat bei der Untersuchung befallener Systeme verschiedene Dateien gefunden, die den Cloud Snooper-Tools zugeordnet werden. Die Beschreibung beginnt mit der Linux-Malware und geht dann zu ihrem Windows-Pendant \u00fcber, das offenbar auf Gh0st RAT basiert. Insgesamt wurden im Laufe der Untersuchung 10 Beispiele entdeckt und untersucht. Dabei fanden sich nachfolgende manipulierten Dateien:<\/p>\n<p><strong>Linux Malware, Group 1<\/strong><\/p>\n<ul>\n<li>snd_floppy (MD5 a3f1e4b337ba1ed35cac3fab75cec369), 738.368 Bytes, ELF64, x86-64  <\/li>\n<li>snd_floppy (MD5 6a1d21d3fd074520cb6a1fda76d163da), 738.368 Bytes, ELF64, x86-64  <\/li>\n<li>snd_floppy (MD5 9cd93bb2a12cf4ef49ee1ba5bb0e4a95), 544.832 Bytes, ELF64, x86-64  <\/li>\n<li>snoopy (MD5 c7a3fefb3c231ad3b683f00edd0e26e4), 305.309 Bytes, ELF64, x86-64  <\/li>\n<li>vsftpd (MD5 15e96f0ee3abc9d5d2395c99aabc3b92), 60.456 Bytes, ELF64, x86-64  <\/li>\n<li>ips (MD5 2b7d54251068a668c4fe8f988bfc3ab5), 35.580 Bytes, ELF64, x86-64<\/li>\n<\/ul>\n<p><strong>Linux Malware, Group 2 &#8211; Gh0st RAT<\/strong><\/p>\n<ul>\n<li>snort (MD5 ecac141c99e8cef83389203b862b24fd), 64.412 Bytes, ELF64, x86-64  <\/li>\n<li>javad (MD5 67c8235ac0861c8622ac2ddb1f5c4a18), 64.412 Bytes, ELF64, x86-64  <\/li>\n<li>nood.bin (MD5 850bf958f07e6c33a496b39be18752f3), 66.000 Bytes, ELF64, x86-64 <\/li>\n<\/ul>\n<p><strong>Windows Malware \u2013 Gh0st RAT<\/strong><\/p>\n<ul>\n<li>NSIProvider.dll (MD5 a59c83285679296758bf8589277abde7), 219.648 Bytes, PE32, x86  <\/li>\n<li>NSIProvider.dll.crt (MD5 76380fea8fb56d3bb3c329f193883edf), 516.097 Bytes, [encrypted]<\/li>\n<\/ul>\n<p>Im Sophos-Blog findet sich ein <a href=\"https:\/\/news.sophos.com\/de-de\/2020\/02\/26\/professionelle-e-spionage-neue-angriffsart-cloud-snooper-kommuniziert-via-firewalls\/\" target=\"_blank\" rel=\"noopener noreferrer\">deutschsprachiger Blog-Beitrag<\/a> mit einigen kurzen Informationen. Ich finde den <a href=\"https:\/\/news.sophos.com\/en-us\/2020\/02\/25\/cloud-snooper-attack-bypasses-firewall-security-measures\/\" target=\"_blank\" rel=\"noopener noreferrer\">englischsprachigen Blog-Post<\/a> aber spannender, da er einige Details mehr offen legt. In die Vollen geht aber der <a href=\"https:\/\/web.archive.org\/web\/20200303190553\/https:\/\/news.sophos.com\/wp-content\/uploads\/2020\/02\/CloudSnooper_report.pdf\" target=\"_blank\" rel=\"noopener noreferrer\">PDF-Bericht<\/a> mit seinem 30 Seiten.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsexperten von SophosLabs sind auf eine neue Cyber-Attacke mit einer Spionagesoftware gesto\u00dfen. Die Malware wurde Cloud Snooper getauft, implantiert einen Rootkit und kommuniziert \u00fcber Firewalls hinweg. Gefunden wurde die Spionagesoftware in der Amazon-Cloud auf einem Linux-Server. Die Malware kann aber &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/02\/27\/spionage-cloud-snooper-kommuniziert-via-firewalls\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[95,426,301],"tags":[674,4305,4328,4325],"class_list":["post-228762","post","type-post","status-publish","format-standard","hentry","category-linux","category-sicherheit","category-windows","tag-cyber-kriminalitat","tag-linux","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/228762","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=228762"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/228762\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=228762"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=228762"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=228762"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}