{"id":263970,"date":"2022-04-01T18:33:05","date_gmt":"2022-04-01T16:33:05","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263970"},"modified":"2022-04-02T02:23:54","modified_gmt":"2022-04-02T00:23:54","slug":"deep-panda-zielt-ber-log4shell-auf-vmware-horizon-server","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/04\/01\/deep-panda-zielt-ber-log4shell-auf-vmware-horizon-server\/","title":{"rendered":"Deep Panda: Zielt über Log4Shell auf VMware Horizon Server"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sicherheitsforscher von Fortinet sind auf eine Malware-Kampagne gesto\u00dfen, die sie der chinesischen APT-Gruppe Deep Panda zuordnen. Die Malware verwendet die Log4Shell-Schwachstelle in VMware Horizon-Servern auszunutzen. Auf den infizierten Rechnern wird eine eine Backdoor und ein neuartiges Rootkit installiert. Hier einige Hinweise auf die Details dieser Bedrohung.<\/p>\n

<\/p>\n

\"\"Ich bin \u00fcber nachfolgenden Tweet<\/a> auf den Sachverhalt aufmerksam geworden, den Fortinet im Artikel New Milestones for Deep Panda: Log4Shell and Digitally Signed Fire Chili Rootkits<\/a> beschreibt.<\/p>\n

\"Deep<\/a><\/p>\n

Die Kampagne von Deep Panda, einer chinesischen APT-Gruppe, wurde bereits im\u00a0 vergangenen Monat von FortiEDR entdeckt. Die Gruppe nutzte die Log4Shell-Schwachstelle in VMware Horizon-Servern aus. Die Opfer stammen aus der Finanz-, Hochschul-, Kosmetik- und Reisebranche. Die Infektionen verteilen sich dabei auf verschiedene L\u00e4nder.<\/p>\n

\u00dcber Log4Shell zur Backdoor<\/h2>\n

Nach der Infektion des VMware Horizon-Servers \u00fcber die Log4Shell-Schwachstelle setzte Deep Panda eine Backdoor auf den infizierten Computern ein. Die forensischen Spuren der Backdoor f\u00fchrten zur Entdeckung eines neuartigen Kernel-Rootkits. Dieses ist mit einem gestohlenen digitalen Zertifikat signiert. Die Sicherheitsforscher fanden heraus, dass dasselbe Zertifikat auch von einer anderen chinesischen APT-Gruppe namens Winnti verwendet wurde, um einige ihrer Tools zu signieren.<\/p>\n

Die Kampagne f\u00fchrt die Angriffe \u00fcber einen neuen PowerShell-Prozess aus. Ein verschl\u00fcsselter PowerShell-Befehl l\u00e4dt ein anderes PowerShell-Skript von einem Remoteserver herunter und f\u00fchrt es aus. Dann wird versucht, eine Kette von Skripten herunterzuladen und auszuf\u00fchren. Das Ganze endet mit der Installation einer b\u00f6sartigen DLL (siehe obiges Schema im Tweet).<\/p>\n

Die Datei 1.dll<\/em> ist die letzte Nutzlast, die heruntergeladen und installiert wird. Dies ist eine Backdoor, die die Sicherheitsforscher Milestone genannt haben. Deren Code basiert auf dem geleakten Quellcode von Gh0st RAT\/Netbot Attacker und ist mit Themida gepackt.<\/p>\n

Die Hintert\u00fcr kopiert sich nach %APPDATA%\\newdev.dll und erstellt einen Dienst namens msupdate2, indem sie den Diensteintrag direkt in der Registrierung erstellt. Bei verschiedenen Beispielen wurden mehrere andere Dienstnamen und Beschreibungen beobachtet.<\/p>\n

Insgesamt verf\u00fcgt die Backdoor \u00fcber \u00e4hnliche F\u00e4higkeiten wie Gh0st RAT. Unterschied ist aber, dass die Backdoor ihre C2-Kommunikation, im Gegensatz zur Gh0st RAT-Kommunikation, die zlib-komprimiert ist, unkomprimiert abwickelt. Auch bei den C2-Befehlen gibt es Unterschiede. Beim CMD-Befehl zum Beispiel kopieren einige Varianten zun\u00e4chst cmd.exe<\/em> nach dllhost.exe<\/em>, um eine Erkennung durch Sicherheitsprodukte zu vermeiden, die CMD-Ausf\u00fchrungen \u00fcberwachen. Au\u00dferdem unterst\u00fctzt die Hintert\u00fcr einen Befehl, der Informationen \u00fcber die aktuellen Sitzungen auf dem System an den Server sendet. Dieser Befehl ist im Original-Quellcode von Gh0st RAT nicht enthalten.<\/p>\n

Fire Chili Rootkit<\/h2>\n

Bei der Auswertung von Infektionen sind die Sicherheitsforscher zudem auf einen Fire Chili Rootkit gesto\u00dfen, der mit einem gestohlenen Zertifikat signiert wurde. Die verschiedenen Beispiele dieses Rootkits werden derzeit von Virustotal kaum erkannt (1 Virenscanner schl\u00e4gt an). Das Rootkit stellt zun\u00e4chst sicher, dass sich der Computer des Opfers nicht im abgesicherten Modus befindet. Dann pr\u00fcft es die Version des Betriebssystems.<\/p>\n

Das Rootkit verwendet Direct Kernel Object Modification (DKOM), das undokumentierte Kernelstrukturen und -objekte f\u00fcr seine Operationen verwendet. Aus diesem Grund ist es auf bestimmte Betriebssystem-Builds angewiesen, da es sonst zum Absturz des infizierten Computers f\u00fchren kann. Im Allgemeinen ist das neueste unterst\u00fctzte Build das Windows 10 Creators Update (Redstone 2), das im April 2017 ver\u00f6ffentlicht wurde.<\/p>\n

Der Zweck des Treibers besteht darin, b\u00f6sartige Artefakte vor Komponenten des Benutzermodus zu verbergen und zu sch\u00fctzen. Dies umfasst vier Aspekte: Dateien, Prozesse, Registrierungsschl\u00fcssel und Netzwerkverbindungen. Der Treiber verf\u00fcgt \u00fcber vier globale Listen, eine f\u00fcr jeden Aspekt, die die zu versteckenden Artefakte enthalten. Die IOCTLs des Treibers erm\u00f6glichen eine dynamische Konfiguration der Listen \u00fcber das Steuerger\u00e4t \\Device\\crtsys. Der Dropper verwendet diese IOCTLs, um den Registrierungsschl\u00fcssel des Treibers, die Loader- und Backdoor-Dateien sowie den Loader-Prozess zu verbergen. Die Details zur Infektion und zum Verhalten sind dem Fortinet-Beitrag New Milestones for Deep Panda: Log4Shell and Digitally Signed Fire Chili Rootkits<\/a>\u00a0 zu entnehmen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsforscher von Fortinet sind auf eine Malware-Kampagne gesto\u00dfen, die sie der chinesischen APT-Gruppe Deep Panda zuordnen. Die Malware verwendet die Log4Shell-Schwachstelle in VMware Horizon-Servern auszunutzen. Auf den infizierten Rechnern wird eine eine Backdoor und ein neuartiges Rootkit installiert. Hier einige … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-263970","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263970","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263970"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263970\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263970"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263970"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263970"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}