{"id":264209,"date":"2022-04-07T11:43:58","date_gmt":"2022-04-07T09:43:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=264209"},"modified":"2022-04-07T12:51:08","modified_gmt":"2022-04-07T10:51:08","slug":"cicada-chinesische-hacker-missbrauchen-u-a-den-vlc-player-per-dll-side-loading-fr-spionage","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/04\/07\/cicada-chinesische-hacker-missbrauchen-u-a-den-vlc-player-per-dll-side-loading-fr-spionage\/","title":{"rendered":"Cicada: Chinesische Hacker missbrauchen u.a. den VLC Player per DLL-Side-Loading für Spionage"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sicherheitsforscher von Symantec sind einer seit Jahren laufenden Malware-Kampagne (Cicada) auf die Spur gekommen. Eine staatnahe chinesische Hackergruppe missbraucht legitime Anwendungen wie den VLC Player, um Malware \u00fcber DLL-Side-Loading in die Systeme einzuschleusen. Ziel ist die Spionage auf den Systemen der Opfer, die in staatlichen, juristischen und religi\u00f6sen Bereichen sowie in Nichtregierungsorganisationen (NRO) auf mindestens drei Kontinenten t\u00e4tig sind.<\/p>\n

<\/p>\n

\"\"Ich habe den ersten Hinweis bei den Kollegen von Bleeping Computer gesehen, bin dann aber bei meiner Recherche auf nachfolgenden Tweet<\/a> von @BrigidOGorman aus Irland gesto\u00dfen, die auf diesen Symantec-Beitrag<\/a> verlinkt.<\/p>\n

\"Cicada:<\/a><\/p>\n

Zu den Opfern der Cicada-Kampagne, die von der vom chinesischen Staat unterst\u00fctzten APT-Gruppe (Advanced Persistent Threat, auch bekannt als menuPass, Stone Panda, Potassium, APT10, Red Apollo) ausgehen, geh\u00f6ren staatliche, juristische, religi\u00f6se und nichtstaatliche Organisationen (NGOs) in mehreren L\u00e4ndern auf der ganzen Welt, darunter in Europa, Asien und Nordamerika. Die Sicherheitsforscher sind erstaunt \u00fcber die gro\u00dfe Anzahl von Zielen dieser Kampagne und deren geografische Verteilung. Die anf\u00e4nglichen Aktivit\u00e4ten von Cicada vor einigen Jahren konzentrierten sich stark auf Unternehmen mit Verbindungen nach Japan, w\u00e4hrend in j\u00fcngster Zeit Angriffe auf Managed Service Provider (MSPs) mit einer globaleren Pr\u00e4senz zu verzeichnen waren. Diese Kampagne scheint jedoch darauf hinzudeuten, dass Cicada seine Angriffsziele weiter ausdehnt.<\/p>\n

Cicada wird mit spionage\u00e4hnlichen Operationen in Verbindung gebracht wird, die bis ins Jahr 2009 zur\u00fcckreichen. Die fr\u00fcheste Aktivit\u00e4ten der aktuell laufenden Kampagne wurde Mitte 2021 entdeckt. Die j\u00fcngste Aktivit\u00e4t wurde im Februar 2022 beobachtet, wobei die Kampagne sehr lange l\u00e4uft und noch anhalten d\u00fcrfte, schreiben die Sicherheitsforscher von Symantec.<\/p>\n

Diverse Tools werden benutzt<\/h2>\n

Sobald sich die Angreifer erfolgreich Zugang zu den Rechnern der Opfer verschafft haben (kann per E-Mail mit einem Anhang erfolgen), setzen sie verschiedene Tools ein. Darunter gibt es einen benutzerdefinierten Loader (siehe auch nachfolgende Ausf\u00fchrungen) sowie die Sodamaster-Backdoor. Der in dieser aktuellen Kampagne eingesetzte Lader wurde auch bei einem fr\u00fcheren Cicada-Angriff eingesetzt.<\/p>\n

Sodamaster ist ein bekanntes Cicada-Tool, von dem angenommen wird, dass es ausschlie\u00dflich von dieser Gruppe verwendet wird. Es handelt sich um eine dateilose Malware, die mehrere Funktionen ausf\u00fchren kann, darunter die Umgehung der Erkennung in einer Sandbox durch die Suche nach einem Registrierungsschl\u00fcssel oder die Verz\u00f6gerung der Ausf\u00fchrung, die Auflistung des Benutzernamens, des Hostnamens und des Betriebssystems der Zielsysteme, die Suche nach laufenden Prozessen sowie das Herunterladen und Ausf\u00fchren zus\u00e4tzlicher Nutzdaten. Er ist auch in der Lage, den Datenverkehr, den er an seinen Command-and-Control-Server (C&C) sendet, zu verschleiern und zu verschl\u00fcsseln. Es handelt sich um eine leistungsstarke Backdoor, die Cicada seit mindestens 2020 verwendet.<\/p><\/blockquote>\n

In der aktuellen Kampagne sp\u00e4hen die Angreifer auch Anmeldedaten aus, u. a. mithilfe eines benutzerdefinierten Mimikatz-Laders. Diese Version von Mimikatz legt die Datei mimilib.dll<\/em> ab, um Anmeldeinformationen im Klartext f\u00fcr jeden Benutzer zu erhalten, der auf den kompromittierten Host zugreift, und sorgt daf\u00fcr, dass sie auch nach einem Neustart erhalten bleiben.<\/p>\n

Angriffsvektor DLL-Side-Loading<\/h2>\n

Die Gruppe verwendet verschiedene Angriffsmethoden – so werden wohl ungepatchte Microsoft Exchange-Server angegriffen. Die Angreifer nutzen auch den legitimen VLC Media Player aus, sobald sie Zugriff auf die Zielmaschine haben. F\u00fcr den Angriff bzw. den Malware-Loader werden verschiedene Tools verwendet. Eine Angriffsmethode verwendet benutzerdefinierten Loader, den die Angreifer \u00fcber die VLC-Exportfunktion starten. Dann verwenden Sie das WinVNC-Tool zur Fernsteuerung der Opferrechner.<\/p>\n

Bleeping Computer hat mit Brigid O Gorman vom Symantec Threat Hunter Team gesprochen. Gorman erkl\u00e4rte, dass der Angreifer eine saubere Version von VLC mit einer b\u00f6sartigen DLL-Datei im selben Pfad wie die Exportfunktionen des Media Players verwendet. Diese Technik ist als DLL-Side-Loading bekannt und wird h\u00e4ufig von Bedrohungsakteuren eingesetzt, um Malware in legitime Prozesse zu laden und die b\u00f6sartigen Aktivit\u00e4ten zu verbergen.<\/p>\n

Was so nett mit DLL-Side-Loading<\/a> umschrieben wird (siehe auch hier<\/a>), habe ich hier im Blog ja h\u00e4ufiger unter dem Begriff DLL-Hijacking thematisiert. Ein Angreifer macht sich die Tatsache zunutze, dass Windows beim Start einer Anwendung die referenzierten DLLs zuerst im Ordner der Programmdatei – und erst dann in den Windows-Ordnern sucht. Legt ein Angreifer eine sch\u00e4dliche DLL mit dem betreffenden Namen im Programmordner ab, wird diese, statt der gew\u00fcnschten Windows- oder Programm-DLL geladen. Bekommt ein Programm vom Benutzer administrative Rechte zugeteilt, wird die sch\u00e4dliche DLL mit diesen Rechten ausgef\u00fchrt, ohne dass der Benutzer etwas merkt.<\/p>\n

Dieser Angriffsvektor l\u00e4sst sich vor allem bei der Verwendung von portablen Anwendungen oder beim Einsatz von .exe-Installern missbrauchen, um Malware in eine System einzuschleusen. Die Sucheinstellungen f\u00fcr das DLL-Loading lassen sich vom Entwickler einer Software zwar vorgeben. Aber die Standard-Linker oder -Tools von Microsoft, mit denen Software gebaut wird, ber\u00fccksichtigen dies nicht. Und die Hinweise, doch bitte darauf zu achten, dass ein DLL-Hijacking nicht nutzbar ist, verlaufen i.d.R. im Sande (wenn ich das Thema hier im Blog aufgreife, werde ich schlechtesten falls beschimpft<\/a>). Auch Microsofts Entwickler sind bei diesem Lapsus immer vorne mit dabei (siehe Sysinternals Disk2vhd v2.02 freigegeben<\/a>) – obwohl es interne Dokumente zu best practice gibt, die genau vorgeben, dass DLL-Hijacking zu vermeiden ist.<\/p>\n

Aktuell ist mir in obigem Kontext aber noch unklar, wie eine Malware \u00fcber den VLC-Player per DLL-Side-Loading zu Administratorrechten kommen kann. Es muss ja ein Schreibzugriffsrecht auf den VLC-Player-Programmordner bestehen. Bei einer portablen Fassung wird man den Player aber nicht mit Administratorrechten starten. Nur der Fall, dass ein VLC-Player-Installer in Form einer .exe-Datei ausgerollt und die b\u00f6sartige DLL im Download-Ordner abgelegt wird, erm\u00f6glicht administrative Berechtigungen.<\/p><\/blockquote>\n

Andere Tools, die in dieser Angriffskampagne verwendet werden, sind:<\/p>\n