Hacker infizieren Benutzer von Antivirendiensten, die Updates über HTTP bereitstellen

Hacker haben fünf Jahre lang einen Antivirendienst missbraucht, um Endbenutzer mit Schadsoftware zu infizieren. Der Angriff funktionierte, weil der Dienst Updates über HTTP bereitstellte, ein Protokoll, das anfällig für Angriffe ist, die Daten bei der Übertragung über das Internet beschädigen oder manipulieren.

Den unbekannten Hackern, die möglicherweise Verbindungen zur nordkoreanischen Regierung haben, gelang dieses Kunststück, indem sie einen Man-in-the-Middle-Angriff (MiitM) durchführten, bei dem das Original-Update durch eine Datei ersetzt wurde, die stattdessen eine fortschrittliche Hintertür installierte, sagten Forscher von Sicherheitsfirma Avast heute.

eScan, ein AV-Dienst mit Hauptsitz in Indien, stellt seit mindestens 2019 Updates über HTTP bereit, berichteten Avast-Forscher. Dieses Protokoll bot eine wertvolle Gelegenheit zur Installation der Malware, die in Sicherheitskreisen unter dem Namen GuptiMiner verfolgt wird.

„Diese hochentwickelte Operation hat MitM-Angriffe durchgeführt, die auf einen Update-Mechanismus des Antiviren-Anbieters eScan abzielten“, schrieben die Avast-Forscher Jan Rubín und Milánek. „Wir haben die Sicherheitslücke sowohl eScan als auch dem India CERT mitgeteilt und am 31.07.2023 von eScan die Bestätigung erhalten, dass das Problem behoben und erfolgreich gelöst wurde.“

Komplexe Infektionskette

Die komplexe Infektionskette begann, als sich eScan-Anwendungen beim eScan-Update-System eincheckten. Anschließend führten die Bedrohungsakteure einen MitM-Angriff durch, der es ihnen ermöglichte, das vom Update-Server gesendete Paket abzufangen und durch ein beschädigtes Paket zu ersetzen, das Code zur Installation von GuptiMiner enthielt. Die Avast-Forscher wissen noch nicht genau, wie die Angreifer das Abfangen durchführen konnten. Sie vermuten, dass die Zielnetzwerke möglicherweise bereits irgendwie kompromittiert wurden, um den Datenverkehr an einen böswilligen Zwischenhändler weiterzuleiten.

Um die Wahrscheinlichkeit einer Entdeckung zu verringern, verwendete die Infektionsdatei DLL-Hijacking, eine Technik, die legitime Dynamic Link Library-Dateien, die von den meisten Microsoft-Apps verwendet werden, durch in böser Absicht erstellte Dateien mit demselben Dateinamen ersetzt. Für zusätzliche Tarnung stützte sich die Infektionskette auch auf einen benutzerdefinierten DNS-Server (Domain Name System), der es ihr ermöglichte, beim Herstellen einer Verbindung zu von Angreifern kontrollierten Kanälen legitime Domänennamen zu verwenden.

Letztes Jahr haben die Angreifer die DNS-Technik aufgegeben und durch eine andere Verschleierungstechnik namens IP-Adressmaskierung ersetzt. Dies umfasste folgende Schritte:

1. Erhalten Sie eine IP-Adresse eines fest codierten Servernamens, der für den Angreifer registriert ist, indem Sie standardmäßig die verwenden gethostbyname API-Funktion
2. Für diesen Server werden zwei IP-Adressen zurückgegeben – die erste ist eine IP-Adresse, die eine maskierte Adresse ist, und die zweite bezeichnet eine verfügbare Payload-Version und beginnt mit 23.195. als seine ersten beiden Oktette
3. Wenn die Version neuer als die aktuelle ist, wird die maskierte IP-Adresse demaskiert, was zu einer echten Command-and-Control-IP-Adresse (C&C) führt
4. Die echte C&C-IP-Adresse wird zusammen mit einer fest codierten Konstantenzeichenfolge (Teil eines URL-Pfads) verwendet, um eine Datei herunterzuladen, die bösartigen Shellcode enthält

Einige Varianten der Infektionskette versteckten den Schadcode in einer Bilddatei, um die Erkennung zu erschweren. Die Varianten installierten außerdem ein benutzerdefiniertes Root-TLS-Zertifikat, das die Anforderungen einiger Zielsysteme erfüllte, dass alle Apps vor der Installation digital signiert werden müssen.

Die Nutzlast enthielt mehrere Hintertüren, die bei der Installation in großen Netzwerken aktiviert wurden. Kurioserweise lieferte das Update auch XMRig, ein Open-Source-Paket zum Mining von Kryptowährungen.

GuptiMiner ist seit mindestens 2018 im Umlauf und wurde mehrfach überarbeitet. Man durchsuchte kompromittierte Netzwerke nach Systemen mit Windows 7 und Windows Server 2008, vermutlich um Exploits einzuschleusen, die auf diesen früheren Versionen funktionierten. Ein anderer bot eine Schnittstelle zur Installation spezieller Module, die für verschiedene Opfer angepasst werden konnten. (Diese Version durchsuchte auch das lokale System nach gespeicherten privaten Schlüsseln und Kryptowährungs-Wallets.)

Die Forscher waren überrascht, dass Malware, die sich so viel Mühe gab, unter dem Radar zu verschwinden, auch einen Kryptowährungs-Miner installierte, der von Natur aus normalerweise leicht zu erkennen ist. Eine Möglichkeit ist die mögliche Verbindung der Angreifer zu Kimsuky, dem Verfolgungsnamen einer von der nordkoreanischen Regierung unterstützten Gruppe. Im Laufe der Jahre hat die nordkoreanische Regierung durch Schadsoftware, die auf den Geräten unwissender Opfer installiert wurde, Kryptowährungen in Milliardenhöhe erwirtschaftet. Die Forscher stellten den möglichen Zusammenhang her, nachdem sie Ähnlichkeiten zwischen einem bekannten Kimsuky-Keylogger und Codefragmenten gefunden hatten, die während der GuptiMiner-Operation verwendet wurden.

Der GuptiMiner-Angriff zeichnet sich dadurch aus, dass er schwerwiegende Mängel in eScan aufdeckte, die mindestens fünf Jahre lang unbemerkt blieben. Abgesehen davon, dass Updates nicht über HTTPS bereitgestellt werden, ein Medium, das nicht anfällig für MitM-Angriffe ist, hat eScan auch keine digitale Signatur erzwungen, um sicherzustellen, dass Updates vor der Installation nicht manipuliert wurden. Vertreter von eScan antworteten nicht auf eine E-Mail mit der Frage, warum die Ingenieure den Update-Prozess so gestaltet hätten.

Personen, die eScan verwenden oder verwendet haben, sollten im Avast-Beitrag nachsehen, ob ihre Systeme infiziert sind. Es ist wahrscheinlich, dass die meisten seriösen AV-Scanner diese Infektion auch erkennen.