arrow - Fotolia

Malware-Analyse: So arbeitet der Keylogger iSpy

Per Keylogger, die Tastatureingaben aufzeichnen und Screenshots anfertigen, gelangen Angreifer an sensible Daten. Eine Analyse der Malware iSpy.

Keylogger gehören zum Standardinventar eines jeden Hacker-Werkzeugkastens. Sie geben Angreifern die Möglichkeit, jeden einzelnen Tastaturanschlag am Rechner des Opfers aufzuzeichnen und so an sensible Informationen zu gelangen. Erst kürzlich hat das ThreatLabZ Team von Zscaler in der Cloud-Sandbox Malware aus einer Kampagne mit signierten Keyloggern entdeckt. Dieser Artikel geht detailliert auf den bösartigen, kommerziellen Keylogger iSpy ein. Die Malware ist in .Net 2.0 geschrieben und dafür konfiguriert, Tastatureingaben aufzuzeichnen, Passwörter und Screenshots zu stehlen sowie Webcams und Zwischenablagen zu überwachen. In Untergrundforen wird der Keylogger in unterschiedlichen Abo-Paketen vertrieben.

Verschickt wird iSpy mit Spam-E-Mails, deren Anhänge mit bösartigem JavaScript oder Document Code verseucht sind, der dann wiederum den Keylogger herunterlädt. Die Hauptdatei ist normalerweise mit einem speziellen Packprogramm komprimiert. Die Packer, die bisher aufgetaucht sind, waren in Visual Basic 6.0, Autolt oder .Net geschrieben. Bei einer Kampagne wurde iSpy mittels eines signierten Verschlüsselungsprogramms in .Net ausgeliefert. Dieser Crypter nutzt unterschiedliche digitale Zertifikate, meist ungültige, und hinterlässt verschiedene Malware-Muster.

Installation des Keyloggers

Das untersuchte Exemplar der Malware war mit einem maßgeschneiderten, nativen VB6-Packer komprimiert. Das Programm verwendet eine XOR-basierte Methode, um die Dateiinhalte zu entschlüsseln und enthält verschleierten Zombie-Code zwischen den Anweisungen. Damit erschwert es die Analyse.

Die zweite Verpackungsschicht enthält einige Tricks, um sich gegen virtuelle Maschinen und Analyse zu schützen. Folgende Abläufe gehören dazu:

  • PEB Flags werden geprüft, um zu sehen, ob ein Debugger vorhanden ist.
  • Mittels GetTickCount und Sleep werden Sandboxen und Debugger überprüft.
  • Schleifen werden ausgeführt, bis eine Bewegung des Cursors verzeichnet wird.
  • Das Programm überprüft, ob die Bildschirmauflösung 800 x 600 Pixel oder mehr beträgt.

Zuletzt entschlüsselt die Software die Hauptdatei und injiziert das entschlüsselte File in eine andere Instanz desselben Prozesses. Dabei bedient es sich der Process-Hollowing-Methode.

Abbildung 1: Der Installationsablauf und die Funktionsweise von iSpy im Überblick.

Bei der entschlüsselten Datei handelt es sich um einen Loader, der DLL- und .NET- Binärdateien in den Ressourcen enthält. Zunächst lädt er eine DLL-Datei, die dann mittels der LoadDotNetPE-Exportfunktion die eigentliche iSpy .NET-Binärdatei herunterlädt.

Die Malware überprüft die Einstellungen und sucht einen Ordner, um die .exe-Datei zu hinterlegen. Abhängig von der Konfiguration legt sie sich dabei in einem der folgenden Ordner ab:

  •  %APPDATA%
  • %LOCALAPPDATA%
  • %USERPROFILE%\Documents
  • %TEMP%

Nachdem es sich an eine der genannten Stellen kopiert hat, löscht das Programm die „Zone.Identifier“-Markierung aus dem Alternate Data Stream (ADS). Auf diese Weise wird die Warnmeldung unterdrückt, die normalerweise bei jeder Ausführung der Malware angezeigt würde.

Die Malware erzeugt je nach Konfigurationseinstellungen einen Eintrag im Key „SOFTWARE\Microsoft\Windows\CurrentVersion\Run“ unter HKLM oder HKCU. Dadurch wird sie bei jedem Systemstart ausgeführt.

Die Konfiguration des Keyloggers

iSpy lässt sich durch zahlreiche Features individuell anpassen. Die Funktionen umfassen das Aufzeichnen von Tastaturanschlägen, die Wiederherstellung von Passwörtern und das Empfangen der Seriennummern unterschiedlicher Programme. Die gestohlenen Daten werden dann über SMTP, HTTP oder FTP weitergegeben. Es gibt auch ein Web-Panel, mit dem der Angreifer die Aktivitäten der iSpy-Installationen überwachen kann.

Je nach Konfiguration kann iSpy gestohlene Daten also auf drei unterschiedlichen Wegen verschicken – HTTP, SMTP oder FTP. Die Zugangsdaten für SMTP und FTP sind dabei direkt im Dateicode hinterlegt und mit einer speziellen Methode verschlüsselt. Die Entschlüsselungsfunktion in der Klasse StringCipher entschlüsselt sowohl die Zugangsdaten als auch andere Strings. Der MUTEX-Wert aus der Konfiguration dient als Key für die Entschlüsselung. Bei der HTTP-Variante setzt iSpy auf die Authentifizierung mittels PHP_KEY, um Daten auf den C&C-Server hochzuladen.

Abbildung 2: Die Angreifer können relativ komfortabel über eine Weboberfläche die Aktivitäten von iSpy mitverfolgen.

Datendiebstahl

Das aktuelle Beispiel, um das es hier geht, sendet gestohlene Dateien via FTP an den Angreifer. Der betreffende FTP-Account war zum Zeitpunkt der Analyse aktiv, die Zugangsdaten waren in der Datei selbst enthalten. Die Website führt zu einer IP-Adresse, die zu comxa.com gehört. Comxa.com wiederum gehört dem 000webhost Network, einem Anbieter kostenfreier Web-Hosting-Dienste. comxa.com ist über den Missbrauch des Accounts informiert.

Nach der erfolgreichen Installation sammelt iSpy Informationen über den Wirtscomputer, wie beispielsweise den Benutzernamen, welche Version von Windows läuft und Details über installierte Software wie Antivirenprogramme, Firewall, Browser und andere. Diese Informationen sendet die Malware zusammen mit einer Meldung über die erfolgte Installation an einen C&C-Server.

Die hier analysierte Malware besteht hauptsächlich aus Keylogging-Code. Sie zeichnet Tastaturanschläge mit Zeitstempel auf und schickt die Information an den Angreifer. Sie enthält außerdem Code, um Lizenzschlüssel von Anwendungssoftware wie Adobe Photoshop, Microsoft Office und anderen Anwendungen zu stehlen. Darüber hinaus sammelt sie gespeicherte Passwörter von Web-Browsern, E-Mail-Programmen wie etwa Outlook, FTP Clients wie FileZilla oder CoreFTP und Spielen wie Minecraft.

Antivirenprogramme werden ausgeschaltet

iSpy kann Antivirenprogramme ausschalten. Dazu erzeugt iSpy einen Sub-Key des entsprechenden Programms im Registry-Key „Software\\Microsoft\\WindowsNT\\CurrentVersion\\Image File Execution Options\\“. In diesem Key wird dann der Wert für „Debugger“ auf „rundll.32.exe“ gesetzt. Anschließend setzt iSpy alle RegistryRights auf „deny“ und sperrt so den Zugriff auf den neu erzeugten Registry-Key. Dadurch lässt er sich nur noch schwer entfernen. Nach diesen Änderungen an der Registry lädt Windows „rundll32.exe“, sobald der entsprechende Prozess gestartet wird. Im Endeffekt wird so der jeweilige Prozess der Antivirensoftware unterbunden. Dabei zielt iSpy auf eine ganze Reihe von AV-Prozessen ab. 

Aufnahmen über die Webcam und Screengrabber

Wenn der Webcam-Logger eingestellt ist, macht die Malware Aufnahmen mit der Webcam des Opfers und speichert die Bilder im Ordner %TEMP%. Dabei nutzt sie das Präfix „snapshot“ und die Dateiendung .PNG. Anschließend schickt sie die Daten an die Adresse an einen legalen Bildspeicherdienst. Den genauen URL-Pfad der jeweiligen Bilder zeichnet iSpy auf und schickt diese Log-Daten mittels der eingestellten Methode an den C&C-Server.

„Kommerzielle Keylogger sind vielseitig einsetzbare Werkzeuge für den Datendiebstahl, mit denen Kriminelle ihren Opfern so viele Daten wie möglich entwenden.“

 Deepen Densai, Zscaler

 

Auf ganz ähnliche Weise erzeugt iSpy Screenshots. Dafür nutzt das Programm die .NET API CopyFromScreen und speichert die Bilddaten in einer Datei mit dem Namen „img.png“, ebenfalls in den Ordner %TEMP%. Gespeicherte Bilder werden dann wieder auf den genannten Dienst hochgeladen, die geloggten URL-Pfade schickt iSpy an den Angreifer.

Weitere Funktionen von iSpy

  • Website Blocking auf Basis modifizierter Host-Dateien
  • Dateidownloads
  • Bot Killer
  • Falsche Nachrichten werden angezeigt, sobald die Malware ausgeführt wird
  • Disabler (Taskmgr, Regedit, CMD)
  • PinLogger für das Fantasy Online-Rollenspiel RuneScape. In dem von Jagex entwickelten Game kommt eine Bank-PIN als Sicherheitsfeature zum Einsatz, mit dem Spieler ihre virtuellen In-Game-Banken schützen können.
  • Ein Run Bind File, das parallel zur Malware ausgeführt wird.

Fazit

Kommerzielle Keylogger sind vielseitig einsetzbare Werkzeuge für den Datendiebstahl, mit denen Kriminelle ihren Opfern so viele Daten wie möglich entwenden. Der Untergrundmarkt bietet zahlreiche kommerzielle Keylogger, die verhältnismäßig leicht und mit geringen technischen Vorkenntnissen anzuwenden sind. Obwohl immer mehr hochspezialisierte Werkzeuge zum Einsatz kommen, bleibt der Keylogger ein verbreitetes Mittel mit hohem Schadenspotenzial.

Über den Autor:
Deepen Densai ist Direktor Security Research des ThreatLabs-Team von Zscaler. Behavioural Analysis und die mehrstufigen Schutzmechanismen gegen Advanced Persistent Threats sorgen für Sicherheit durch die Cloud-basierte Internet Security Plattform von Zscaler.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

So arbeitet der Erpressungstrojaner Locky.

Die Malware Latentbot nutzt Verschleierung für ihre Angriffe.

Angriffe mit dateiloser Malware nehmen zu.

Malware-Verbreitung: Risiko Cloud-Sync-Verzeichnisse.

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close