bluebit

Kaspersky Analyse

Verschlüsselung - Neue Malware missbraucht Windows-Zertifikats-System

von Robert Klatt •

HTTPS-Verschlüsselung verbreitet sich immer mehr. Hacker nutzen daher eigene Zertifikate, um auch in verschlüsselte Verbindungen Werbung einzuschleusen.


0 Kommentare

Zertifikate werden eigentlich genutzt um sichere verschlüsselte Verbindungen und digitale Signaturen von vertrauenswürdiger Software zu identifizieren. Zertifikate sind damit eine Art „digitale Unterschrift“, die vom Betriebssystem dann als gültig erkannt wird, wenn der Herausgeber des Zertifikats vorher als vertrauenswürdig eingestuft wurde. Einige Kriminelle missbrauchen das Zertifikats-System in den letzten Monaten jedoch vermehrt, indem ihre Malware direkt auf den infizierten Systemen ihrer Opfer eigene passende Zertifikate hinterlegen.

Man-in-the-Middle Angriff schleust Werbung ein

Dies wurde beispielsweise genutzt um bei einer per YouTube verbreiteten Malware, die sich an Spieler des Survival-Game Fortnite richtet, Werbung in besuchte Webseiten einzuschleusen. Beworben wurde die Malware als Cheat, der in Fortnite einen Aimbot und Coin-Generator bieten sollte. Nach der Installation der Malware wurden anschließend auf besuchten Webseiten die Werbeeinblendungen der Besitzer durch Werbung der Hacker ausgetauscht. Da dies bei per HTTPS verschlüsselten Webseiten nur dann möglich ist, wenn ein gültiges Zertifikat vorhanden ist, installierten die Hacker eigene Root-Zertifikate auf den Computern der Nutzer. Anschließend konnten die Hacker per Man-in-the-Middle Angriff Werbung in die Verbindungen der Opfer einschleusen.

Kaspersky analysierte Malware

Laut einer Analyse des Sicherheitsunternehmens Kaspersky wird der Downloader mit dem Namen „Rakhni“ genutzt, um auf den infizierten Rechnern entweder Ransomware oder einen Krypto-Miner zu installieren. Vor der Installation der eigentlichen Malware werden jedoch einige Schritte zur Vorbereitung auf den Computern der Opfer ausgeführt. Um die Analyse zu erschweren, probiert der Downloader zu erkennen, ob er auf einer virtuellen Maschine gestartet wurde. Außerdem aktiviert er gängige Antiviren-Software und unterminiert das Windows-Zertifikats-System dauerhaft. Erst nach Abschluss dieser Schritt erfolgt der finale Download der eigentlichen Malware.

Der Downloader nutzt dazu ein Kommandozeilen-Tool, um eine neue Root-CA im Zertifikatsspeicher von Microsoft Windows zu installieren. Die von den Hackern installierte Zertifizierungsstelle kann dann mit den Namen von Microsoft und Adobe die Echtzeit von Zertifikaten bestätigen und somit die nachinstallierte der Malware der Hacker als vertrauenswürdig einstufen. Dies wird laut Kaspersky genutzt, um einige Antiviren-Tools zu umgehen und an Security-Policies vorbei die Malware auszuführen.

In der Vergangenheit nutzte auch der Trojaner Retefe ein ähnliches System, das ein gefälschtes Thawte-Zertifikat installierte, um Online-Banking-Betrug zu begehen. Da immer mehr Webseiten HTTPS-Verschlüsselungen einsetzen und auch die digital signierte Software immer mehr an Bedeutung gewinnt, setzen auch immer mehr Hacker eigene Zertifikate ein. Besonders problematisch ist, dass die Zertifikate auch nach der Entfernung der eigentlichen Malware oft noch im Zertifikats-Speicher verbleiben.

Außerdem ist es relativ schwierig zu prüfen, ob die CA-Zertifikate eines Windows-Computers echt sind, da Microsoft selbst Zertifikate erst bei Bedarf dynamisch nachinstalliert und somit kein bloßer Vergleich mit einem sauberen System ausreicht. Nutzer die ihre eigenen Systeme prüfen wollen können dazu beispielsweise das Tool sigcheck aus der Sysinternals-Sammlung nutzen.

0 Kommentare

Kommentar verfassen