Backoff-Malware: „Unsophisticated“, aber effektiv

Sehen Sie, ich versuche nicht, Ihnen Angst zu machen, obwohl ich nicht denke, dass es eine schlechte Idee ist, ein wenig besorgt über das aktuelle Bedrohungsniveau durch data breaches zu sein. Die Backoff-Malware, die hinter den meisten großen Schlagzeilen-Verletzungen des vergangenen Jahres vermutet wird, wird im Allgemeinen als nicht sehr ausgeklügelt beschrieben – und dennoch ist es Kriminellen gelungen, Versionen dieses Codes zu verwenden, um Hunderte Millionen Kreditkartennummern und zugehörige persönliche Informationen zu stehlen.

Letzten Monat veröffentlichten Sicherheitsexperten bei Damballa einen Bericht, der einen Anstieg der Infektionen mit der Backoff-Point-of-Sale-Malware während des dritten Quartals 2014 zeigte. Letzte Woche fügten sie einen weiteren Blogbeitrag hinzu, der darauf hinweist, dass die Infektionen weiter steigen, während wir auf die äußerst wichtige Weihnachtseinkaufssaison zugehen. Um die Sache noch schlimmer zu machen, gaben Forscher bei Fortinet die Entdeckung von zwei neuen Versionen von Backoff bekannt, die in freier Wildbahn aktiv sind und speziell modifiziert wurden, um die Entdeckung zu erschweren.

Obwohl Backoff als nicht raffiniert beschrieben wird, ist es dennoch ziemlich heimtückisch. Kurz gesagt, so funktioniert es:

• Wenn die ausführbare Datei läuft, kopiert sie sich selbst auf die Festplatte des Computers, um wie eine Java-Anwendung (javaw.exe) auszusehen. (Die neu entdeckten Versionen, ROM und 211G1, sehen stattdessen wie ein Mediaplayer aus.)
• Die neue Datei ist mit den Attributen READONLY, SYSTEM und HIDDEN konfiguriert.
• Die Schadsoftware setzt mehrere Registrierungsschlüssel, um die Persistenz über Neustarts hinweg sicherzustellen.
• Es verwendet eine benutzerdefinierte Funktion zum Scrapen von Kreditkartendaten und verwandten Daten im Speicher.
• Die Schadsoftware verwendet Keylogging und speichert Tastatureingaben in einer Protokolldatei. (Die ROM- und 211G1-Versionen scheinen kein Keylogging zu beinhalten.)
• Die Schadsoftware versucht, Code in den explorer.exe-Prozess zu injizieren, der es ihr ermöglicht, sich selbst neu zu installieren, falls sie entfernt wird.
• Es kommuniziert regelmäßig mit dem Angreifer, um Daten zu senden, und der Angreifer hat die Fähigkeit, Befehle zu senden, einschließlich neuer Versionen von Malware.

Sie können eine detailliertere Erklärung dieses Prozesses in SpiderLabs’ „Backoff – Technical Analysis.“ lesen

Eine weitere interessante Nachricht, die diese Woche bekannt wurde, betrifft den data breach bei Home Depot, von dem angenommen wird, dass er auf einer Version von Backoff beruht und zum Verlust von 56 Millionen Zahlungskartennummern führte. Home Depot gab bekannt, dass Malware über die legitimen Zugangsdaten eines Drittanbieters in ihre Systeme gelangt ist. Mit anderen Worten, der ursprüngliche Hack fand im Netzwerk eines anderen statt, was den Kriminellen erlaubte, mit scheinbar legitimer Autorisierung in das Netzwerk von Home Depot einzudringen.

Die wichtige Lektion, die wir aus dieser Nachricht ziehen sollten, ist, dass es manchmal keine Rolle spielt, wie gut Ihre Perimetersicherheit ist. Es sei denn, Sie leben in einem unterirdischen Bunker, der absolut keine Verbindungen zu irgendetwas oder irgendjemandem hat, gibt es immer einen Weg hinein. Und es gibt nicht viele praktikable Geschäfte, die man aus einem abgeschotteten Bunker betreiben kann.

Obwohl Backoff hauptsächlich als Schadsoftware für den Point-of-Sale konzipiert ist, die Einzelhändler ins Visier nimmt, sollten auch andere Unternehmen wachsam sein. American Banker veröffentlichte „Wie die 'Backoff'-Schadsoftware funktioniert und warum Banken darauf achten sollten,“ primär an Finanzinstitutionen gerichtet, aber mit wertvollen Informationen für jedes Unternehmen. Der Artikel hebt hervor, wie die Keylogging-Fähigkeit der Malware genutzt werden kann, um Passwörter zu stehlen, was für Banken, medizinische Einrichtungen oder jedes Unternehmen, das mit gesicherten Daten arbeitet, ein Problem darstellen könnte.

Wie fast jede Malware versucht auch Backoff, seine Aktivitäten zu verbergen – es löscht Kopien von sich selbst, benennt sich um und so weiter. Gleichzeitig nimmt es viele Änderungen am Netzwerk vor, während es seinen Geschäften nachgeht. Und es erstellt einen Kommunikationskanal mit dem Angreifer, um gestohlene Daten zu exfiltrieren. Als Ergebnis sollte die Aktivität von Backoff in einem change auditing log auftauchen. Ja, es ist wichtig, ein aktuelles Anti-Virus- und Malware-Schutzprogramm zu haben, aber es ist auch wichtig, das Netzwerk genau zu beobachten, um unbefugte oder ungewöhnliche Änderungen oder Kommunikationen zu erkennen.

Im Fall des Home Depot-Datenlecks war die Malware mindestens vier Monate lang auf ihren Systemen aktiv und hat regelmäßig Kreditkarteninformationen und andere persönliche Daten außerhalb des Netzwerks gesendet. Das ist eine wirklich lange Zeit für so viel Aktivität innerhalb des Netzwerks, ohne dass Alarm geschlagen wurde. Ich hoffe, dass andere IT-Profis wachsamer beim network auditing sind und nach Problemen wie Backoff Ausschau halten. Sie möchten nicht, dass Ihre Feiertagssaison durch einen Datenverlust ruiniert wird – oder die eines anderen.