Kaspersky: Malware brugte Google Docs som kommunikationskanal

Illustration: shmeljov/Bigstock
Avanceret malware kunne i udgangspunktet kun dekrypteres af serienummer på det rigtige offers harddisk.

Cyberangreb, malware og det, der ligner, er på mange måder trælse størrelser. Men mange, der beskæftiger sig med det, vil nok ikke kunne sige sig fri for at finde denne del af it-sikkerhedsområdet fascinerende.

Ikke mindst når der fra tid til anden dukker nye og ret opfindsomme angrebsteknikker op.

Malwaren ShadowPad kunne være sådan et eksempel. Bagdørs-malwaren har eksisteret i flere år i flere versioner. Sidste år dukkede der en opgraderet udgave op, som Vitaly Kamluk har set nærmere på.

Han er director ved den russiske it-sikkerhedsvirksomhed Kaspersky Labs Global Research and Analysis Team.

Version2 talte oprindeligt med ham i forbindelse med et andet angreb, ShadowHammer, som foregik ved at kompromittere Asus-software, også sidste år.

Asus-angrebet har Version2 beskrevet i flere tidligere artikler.

Læs også: Tusindvis af Asus-computere er blevet hacket via falsk softwareopdatering

Læs også: Tjek om Asus-malware har været på udkig efter netop din Mac-adresse

ShadowPad

Når Vitaly Kamluk kommer ind på ShadowPad-malwaren under snakken om ShadowHammer og Asus, så hænger det netop sammen med, at malware-koden i disse angreb har flere fællestræk, som Kaspersky Lab beskriver nærmere i et detaljeret indlæg her.

Vitaly Kamluk fortæller, at der er brugt den samme strategi ved begge angreb:Ellers legitime software-leverandører er blevet kompromitteret og deres kanaler brugt til at distribuere malware. Den form for angreb kaldes supply chain-angreb.

Derudover har begge angreb samlet mac-adresser fra inficerede systemer via IPHLPAPI.dll, og så har malwaren i begge angreb indeholdt en ensartet (ikke helt identisk) algoritme til beregning af en hashværdi.

Vitaly Kamluk forklarer, at flere selskaber har været inficeret med med den opgraderede udgave af ShadowPad, som han kalder en Power Backdoor.

Denne udgave af ShadowPad adskiller sig ifølge Vitaly Kamluk fra en tidligere udgave ved blandt andet at anvende serienummeret på det inficerede systems harddisk som dekrypteringsnøgle.

Vitaly Kamluk fortæller, at han blev opmærksom på malwaren, da en samarbejdspartner i december 2018 sendte ham en fil, som skulle analyseres.

Men det skulle vise sig ikke at være så ligetil. Normalt tager det ifølge Vitaly Kamluk nogle timer at finde ud af, hvad det egentlig er, der foregår i et stykke ondsindet kode.

»Jeg brugte en dag på den, og den knækkede ikke. Jeg brugte to dage på den, og den knækkede ikke,« fortæller Vitaly Kamluk.

Eksekverede skrald

Gradvist fik han skrællet lag efter lag af malwaren men ramte så en mur, som han beskriver det.

»Jeg fandt ud af, at den eksekverede skrald (eng. trash).«

Forklaringen var, at koden, som malwaren forsøgte at eksekvere, var krypteret via serienummeret på et specifikt systems harddisk. Så hvis malwaren kører på et system med et serienummer, der ikke passer, så bliver intetsigende skrammelkode forsøgt eksekveret.

Ved at målrette angrebet kan aktøren bag malwaren have held til at holde sig under radaren i længere tid sammenlignet med et angreb, der rammer bredt.

Derudover vanskeliggør tricks som at bruge harddiskens serienummer som dekrypteringsnøgle også opklaringsarbejdet for sikkerhedsfolk som Vitaly Kamluk, der selv med en kopi af malwaren ikke umiddelbart kan se, hvad der faktisk foregår.

Ifølge Kamluk viste der sig dog at være fejl i implementeringen af krypteringen, som gjorde, at han kunne få malwaren til at eksekvere alligevel.

»Jeg tænkte, der måtte være noget meget vigtigt i den, siden de havde gemt det på sådan en sofistikeret måde. Jeg forventede en exploit via en 0-day i Windows Kernel eller noget lignende ... men til min overraskelse var der ikke noget vildt interessant.«

Google Docs

Malwaren viste sig at indeholde seks forskellige plugins. Disse plugins gjorde blandt andet malwaren i stand til at kommunikere via forskellige protokoller og hente yderligere kode ned.

I malwaren var der desuden en URL, som pegede på et Google-dokument, hvorfra den ondsindede software kunne modtage yderligere instruktioner.

Dokumentet var delt på sådan en måde, at alle med kendskab til den rette URL kunne foretage ændringer. På den måde kunne aktøren bag også lave ændringer uden at skulle logge på en Google-konto.

»De bruger en konto til at skabe det og dele det med verden. Og når det først er delt, så kan alle med en unik URL redigere det. Dokument-forfatteren kan endda benægte at være ansvarlig, når en anonym tredjepartsbruger ændrer det,« siger Vitaly Kamluk.

Dokumentet var tomt, da Kaspersky-folkene kiggede på det, men det var muligt at gå tilbage i historikken og se ændringerne.

Her viste det sig, at dokumentet tidligere har indeholdt det, der ved første øjekast ligner en privat RSA-nøgle. Ved nærmere eftersyn havde denne nøgle to dollar-tegn, der ikke viste sig at passe.

En streng gemt i et Google-dokument blev brugt til at sende beskeder til ShadowPad-malwaren. Illustration: Kaspersky Lab

Mellem disse tegn var der en krypteret tekst-streng, som har haft skiftende værdi. Malwaren spejdede efter disse strenge, som er blevet dekrypteret til ip-adresser, hvorfra yderligere instruktioner er blevet hentet.

Vitaly Kamluk forklarer, at Kaspersky Lab har indsamlet en række ip-adresser, som malwaren er blevet instrueret i at kontakte. Men ingen af adresserne var aktive længere, da sikkerhedsfolkene fandt frem til dem.

Og dermed er det også uvist, hvad der er blevet kommunikeret til malwaren fra disse adresser.

Offentlige domæner

Der er i øvrigt en selvstændig pointe, når en aktør bruger eksempelvis Google Docs og lignende offentlige tjenester til fjernstyring af malware.

En del af en sikkerhedsstrategi kan være at blokere for kommunikationen fra en virksomheds netværk til kendte, ondsindede ip-adresser og domæner.

Men det kan være svært for en organisation helt at lukke helt ned for kommunikationen med eksempelvis google.com for at beskytte netværket mod ondsindet trafik.

Ifølge Vitaly Kamluk så er det netop derfor en almindelig strategi blandt trusselsaktører at bruge Googles servere eller ressourcer hos andre cloud-udbydere til fjernstyring af malware.

Simpelthen fordi det er vanskeligt for organisationer at blokere for generel kommunikation til disse virksomheders tjenester, da denne kommunikation jo kan indgå i en masse legitime sammenhænge, som kan være kritiske for den almindelige forretningsgang.

Derudover bemærker Vitaly Kamluk, at blandt andet Google jo anvender HTTPS-forbindelser, hvor indholdet af datapakkerne er krypteret. Og derfor er det ikke uden videre muligt at se, om eksempelvis malware som ShadowPad henter obfuskerede ip-adresser fra et Google-dokument.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Rune Larsen

Tak for en velskrevet artikel om et fascinerende emne.

Kan ikke lade være med at tænke, at hvis den krypterede del af koden havde indeholdt en 0-day, ville den jo være mange penge værd, så det ville man måske ikke udbasunere til en journalist :-)

Kunne han ikke bare brute force ved at prøve alle relevante hdd/ssd serienumre.

Gad vide, om angriberne fik hvad de gik efter.

  • 4
  • 0
Log ind eller Opret konto for at kommentere